Содержание
Введение3
Глава 1. Теоретические аспекты аудита информационной безопасности5
1.1 Сущность аудита информационной безопасности5
1.2 Нормативное регулирование аудита информационной безопасности6
Глава 2. Методические аспекты проведения аудита информационной безопасности12
2.1 Планирование аудита информационной безопасности12
2.2 Методика аудита информационной безопасности15
Заключение20
Список литературы21
Выдержка из текста работы
По результатам анализа работ по сертификации за период с 2006 по 2010 г.г. выявлено порядка 3000 несоответствий (около 110 предприятий), установлено, что у предприятий возникают основные проблемы с непониманием назначения и выгод сертификации. Во многих случаях демонстрируется формальный подход к разработке и внедрению необходимых процедур, описывающих установленные самим же предприятием процессы. Просматривается недостаточное представление взаимодействия процессов, критериев их оценки, что не позволяет в достаточной степени осуществлять их мониторинг и, при необходимости, корректирующие и предупреждающие действия. Просматривается формальный подход к назначению ответственных за процесс («владельцев процесса»). Мало уделяется внимания сбору и обработке данных о качестве с применением статистических методов для их анализа и принятия решений, основанных на фактах (7 принцип менеджмента).
Недостаточно уделяется внимание применению принципов менеджмента в системе менеджмента качества, построенной в соответствии с требованиями ГОСТ Р ИСО 9001-2001 (Анализ проводился и по версии 2001 и частично по версии 2008 г.).
Диаграмма распределения несоответствий по ГОСТ Р ИСО 9001-2008 представлена на рис. 1.
Рис. 1
По результатам анализа основных несоответствий выявлено, что наибольшее количество несоответствий относится к управлению документацией и управлению записями (две обязательные процедуры из восьми). Диаграмма Парето по выявленным несоответствиям, демонстрирующая эти наблюдения представлена на рис. 2. На рис. 3 представлена диаграмма Парето по несоответствиям, выявленным по несоблюдению требований к документации п. 4.2 ГОСТ Р ИСО 9001-2008.
Рис. 2
Рис. 3
2.1. В пункте 4.1, ГОСТ Р ИСО 9001 говорится о том, что «Организация должна разработать, задокументировать, внедрить, поддерживать в рабочем состоянии СМК, постоянно улучшать её результативность в соответствии с требованиями настоящего международного стандарта».
2.2. Подпункт 4.2.1, ГОСТ Р ИСО 9001 требует включить в документацию системы менеджмента качества:
- документально оформленное заявление о политике и целях в области качества;
- руководство по качеству;
- документированные процедуры и записи, установленные международным стандартом ГОСТ Р ИСО 9001;
- документы, включая записи, которые необходимы Организации для эффективного планирования, осуществления процессов и управления ними.
2.3. В подпункте 4.2.2, ГОСТ Р ИСО 9001 требуется установить и поддерживать в рабочем состоянии Руководство по качеству, которое должно включать:
- область распространения системы менеджмента качества, включая подробное описание и обоснование любых исключений;
- документированные процедуры, разработанные для системы менеджмента качества или ссылки на них;
- описание взаимодействия процессов системы менеджмента качества.
2.4. Существует еще одна категория, неявно упоминаемая в стандарте. Это — специальные формы. Назначение этих форм — предоставить руководящие указания или инструктировать относительно регистрации данных по качеству, в частности, какую информацию следует заносить в них. Поэтому, под формами можно понимать рабочие инструкции.
2.5. Теоретически, все вышеперечисленные документы могут быть включены в Руководство по качеству, иначе говоря, система качества в целом может быть документирована в Руководстве по качеству, которое является отдельным документом, сборником всех документов и процедур системы качества.
2.6. На практике удобней Руководство по качеству в виде отдельного документа, а процедуры издавать отдельно.
2.7. Не существует какой-то единой и определенной структуры документации системы качества. Как правило, документация группируется на нескольких уровнях, которые могут включать:
2.7.1. Уровень 1: Руководство по качеству.
Обычно Руководство содержит политику в области качества и краткий обзор системы качества с указанием того, что делается для соответствия требованиям стандарта со ссылками на процедуры системы качества.
2.7.2. Уровень 2: Процедуры, в которых описано, что делается и зачем, где, когда, как и кем выполняется действие.
2.7.3. Уровень 3: Рабочие инструкции разъясняют сотрудникам выполнение конкретных действий и находятся в зависимости от процедур.
2.7.4. Уровень 4: Формы и документы внешнего происхождения, «встроенные» в систему. Сюда относятся специальные формы для необходимых данных, норм регламентирующих и законодательных документов.
· руководящий стандарт системы качества;
· средства, персонал и продукцию, попадающие под область применения системы.
c) Представление организации, включающее:
· историю
· возможности и направления деятельности
· оказываемые услуги
· основные достижения
- Утверждение, поправки и рассылку.
- Толкование терминов.
- Обзор системы качества и ее структуры.
- Приложения.
5.7. Описание условий деятельности, развития, производственных мощностей и основных достижений компании, как правило, включается в Руководство потому, что последнее может использоваться и как рекламная литература, а также в целях аккредитации.
1. Федеральный закон «О техническом регулировании», от 27.12.2002 г. №184 — ФЗ с изменениями и дополнениями внесенными Федеральным законом «О внесении изменений в ФЗ «О техническом регулировании» от 18.07.2009 г. №189-ФЗ.
2. ГОСТ Р ИСО 9000-2008. Системы менеджмента качества. Основные положения и словарь.
3. ГОСТ Р ИСО 9001-2008. Системы менеджмента качества. Требования.
4. ГОСТ Р ИСО 9004-2001. Системы менеджмента качества. Рекомендации по улучшению деятельности.
5. ГОСТ Р ИСО 19011-2003. Руководящие указания по аудиту систем менеджмента качества и/или систем экологического менеджмента.
6. ГОСТ Р ИСО/ТО 10013-2007 Менеджмент организации. Руководство по документированию системы менеджмента качества.
7. В.А. Никитин Управление качеством на базе стандартов ИСО 9000:2000. — СПб.: Питер, 2002.
Приложение
Методика по проверке выполнения требований ГОСТ Р ИСО 9001-2008
4. Система менеджмента качества
4.1 Общие требования
ГОСТ Р ИСО 9001-2008 Организация должна разработать, задокументировать, внедрить и поддерживать в рабочем состоянии систему менеджмента качества, постоянно улучшать ее результативность в соответствии с требованиями настоящего стандарта.
|
1. Организация должна продемонстрировать аудитору (аудиторам) (в документации, в деятельности) выполнение всех требований ГОСТ Р ИСО 9001-2008 (далее — стандарта), в том числе постоянное улучшение результативности
СМК в определенном временном интервале (предоставить документированное подтверждение). Продолжительность временного интервала определяет организация.
2. При подтверждении постоянного повышения результативности СМК организация должна предоставить документированные данные об использовании для улучшения результативности СМК:
· политики в области качества;
· целей в области качества;
· результатов аудитов;
· анализа данных;
· корректирующих действий;
· предупреждающих действий;
· анализа со стороны руководства.
Примечание. Слова «разработать», «определить», «установить», используемые в стандарте и в настоящем документе, означают обязательное документирование выполнения соответствующего требования стандарта или настоящего документа.
ГОСТ Р ИСО 9001-2008 Организация должна: а) определять процессы, необходимые для системы менеджмента качества, и их применение во всей организации (1.2); |
1. Организация должна представить документированные свидетельства определения процессов СМК (карты процесса, регламенты процесса, стандарты предприятия и т.п.).
2. Организация должна документально описать (например, в руководстве по качеству) применение процессов во всей организации, учитывая обоснованные исключения требований стандарта из области применения СМК.
3. Изначально при разработке СМК или в ходе ее совершенствования организация может декомпозировать процессы, т.е. в рамках процессов определить подпроцессы (субпроцессы), в рамках подпроцессов выделить процессы, входящие в подпроцессы и т.д.
3.1 В случаях, когда рассматриваемые подпроцессы (субпроцессы) определены организацией как процессы, то к ним должны предъявляться требования п. 4.1 настоящего стандарта.
3.2 В случаях, когда рассматриваемые подпроцессы (субпроцессы) являются этапными работами (видами деятельности) при осуществлении процесса организации, то к ним не применимы требования п. 4.1 настоящего стандарта.
Примечания.
1. «Определить процесс» означает:
· назначить руководителя (владельца, хозяина или ответственного или т.п.) процесса;
· задокументировать входы (информация (документы), материальные объекты и др.) и поставщиков процесса (сторонние организации, в том числе потребитель; подразделения организации; ответственные лица и др.);
· задокументировать выходы (информация (документы), материальные объекты и др.) и потребителей процесса (сторонние организации, в том числе потребитель; подразделения организации; ответственные лица и др.);
· задокументировать ресурсы, предоставленные руководителю процесса со стороны высшего руководства, и необходимые для результативного функционирования процесса (наименование ресурсов и их количество) ;
· разработать процедуру (карту процесса, регламент процесса, стандарт предприятия и т.п.), описывающую порядок выполнения процесса (технологию процесса) и управление процессом, включая осуществление мониторинга, измерения, анализа и улучшения.
2. В соответствии с рекомендациями стандарта в процессы, необходимые для СМК, организация может включать процессы управленческой деятельности руководства, обеспечения ресурсами, процессы жизненного цикла продукции и измерения.
б) определять последовательность и взаимодействие этих процессов;
|
1. Организация должна документально описать (схематично, текстом или другим способом) последовательность осуществления процессов СМК.
2. Организация должна продемонстрировать для взаимодействующих процессов (используя руководство по качеству, карты процессов, регламенты процессов и т.п.) соответствие того, что выходы одних процессов являются входами других процессов. Любой вход должен иметь поставщика, любой выход должен иметь своего клиента.
3. Организация должна документально показать входы, поступающие в процессы от поставщиков, не являющихся процессами (например, от производителей комплектующих, должностных лиц организации и др.), а также выходы процессов, предназначенные для клиентов, не являющихся процессами (например, для потребителей, подрядных организаций и др.)
в) определять критерии и методы, необходимые для обеспечения результативности как при осуществлении, так и при управлении этими процессами;
|
1. Организация должна (используя руководство по качеству, карты процессов, регламенты процессов и т.п.) документировано представить показатели для каждого процесса и критерии (значения показателей), с помощью которых оценивается результативность процесса. Критериями должны являться качественные или количественные значения показателей результативности процессов.
2. Организация должна документировано представить для каждого процесса или группы процессов (используя руководство по качеству, карты процессов, регламенты процессов и т.п.) методы, применяя которые организация обеспечивает достижение запланированных результатов (результативности) при:
- осуществлении процессов;
- управлении процессами.
Примечание.
1. Аудитор не должен требовать документирование методов расчета результативности процессов, поскольку это не регламентировано стандартом.
2. Определить методы, необходимые для обеспечения результативности при управлении процессами — это означает документально определить: «контрольные точки», т.е. показатели по ходу реализации процесса, в которых должны проводиться периодические измерения; методы, используемые для измерения данных показателей; ответственность за измерение показателей и предоставление соответствующих данных; форма представления данных; ответственность за реализацию коррекции и корректирующих действий, если полученные значения показателей не соответствуют запланированным. В случае, если показатель влияет на соответствие выпускаемой продукции установленным требованиям, то при получении его несоответствующего значения корректирующее действие должно быть реализовано в обязательном порядке.
г) обеспечивать наличие ресурсов и информации, необходимых для поддержки этих процессов и их мониторинга;
|
1. Организация должна продемонстрировать механизм (не обязательно документированный) обеспечения ресурсами (информационными, людскими, финансовыми, оборудованием, материалами и др.), необходимыми для обеспечения результативного функционирования процессов, включая проведение их мониторинга.
2. Организация должна продемонстрировать наличие установленных организацией ресурсов (перечни, табели технической оснащенности, планы обеспечения ресурсами и т.п.), требуемых для выполнения конкретных работ (например, на проверяемом строительном объекте, по проекту и т.п.).
д) осуществлять мониторинг, измерение, там где это возможно, и анализ этих процессов;
|
Организация должна документировано продемонстрировать результаты мониторинга, измерения и анализа процессов СМК. Мониторинг может осуществляться по так называемым «контрольным (реперным) точкам» функционирования процессов.
Примечание.
Для организаций, осуществляющих конвейерное производство продукции (с устоявшимися характеристиками и технологией производства) «контрольные точки» мониторинга процесса могут совпадать с показателями, используемыми для периодической оценки результативности.
е) принимать меры, необходимые для достижения запланированных результатов и постоянного улучшения этих процессов.
|
Организация должна документировано продемонстрировать принятие мер, необходимых для достижения запланированных результатов и постоянного улучшения процессов, в том числе на основе проведенного мониторинга, измерения и анализа процессов.
ГОСТ Р ИСО 9001-2008 Организация должна осуществлять менеджмент этих процессов в соответствии с требованиями настоящего стандарта.
|
Организация должна в ходе аудита продемонстрировать осуществление руководства и управления (менеджмента) процессов в соответствии с требованиями настоящего стандарта.
Примечание. Оценка соответствия указанному требованию стандарта может производиться после проверки всех элементов СМК.
ГОСТ Р ИСО 9001-2001 Если организация решает передать сторонним организациям выполнение какого-либо процесса, влияющего на соответствие продукции требованиям, она должна обеспечивать со своей стороны управление таким процессом. Вид и степень управления процессами, переданными сторонним организациям, должны быть определены в системе менеджмента качества.
|
1. Возможны два случая при передаче сторонним организациям (так называемом «аутсорсинге») выполнение какого-либо процесса:
а) когда процесс определен в СМК организации и организация в состоянии осуществить этот процесс.
б) когда организация не обладает компетентностью для осуществления процесса и не выполняет его самостоятельно.
2. В обоих случаях организация должна:
— разработать в СМК управление такими процессами и предоставить в виде, например, пункта в руководстве по качеству, инструкции, процедуры, раздела в договоре (контракте), описании (карты, регламента и т.п.) процесса и/или др. документа;
— представить аудитору документированные свидетельства обеспечения контроля и управления за конкретными процессами, выполнение которых передано сторонним организациям;
— разработанное организацией управление такими процессами (видами деятельности, входящими в процесс) должно обеспечить их соответствие требованиям ГОСТ Р ИСО 9001-2001 (Например, если организация передает на сторону процесс, или его часть, производства продукции — то деятельность осуществляемая в рамках этого процесса должна соответствовать требованиям раздела 7.5, 8.2.3).
3. Во втором случае организация должна продемонстрировать результаты проверки на адекватность средств управления, предложенных поставщиком (подрядной организацией).
Примечание.
Организация может представить документально оформленный порядок (механизм) проведения такой проверки.
4. При передаче видов деятельности, входящих в процесс, организация должна предоставить документированные свидетельства обеспечения контроля и управления за такими видами деятельности. Управление такими видами деятельности должно быть определено в СМК организации и может быть представлено в виде, например, инструкции, процедуры, пункта в руководстве по качеству, раздела в договоре (контракте), описании (карты, регламента и т.п.) процесса и/или др. документа.
Если организация не обладает компетентностью для осуществления видов деятельности, входящих в процесс, и не выполняет их самостоятельно, организация должна продемонстрировать результаты проверки на адекватность средств управления, предложенных поставщиком (подрядной организацией).
Примечание.
Организация может представить документально оформленный порядок (механизм) проведения такой проверки.
5. В случаях передачи процессов или видов деятельности, входящих в процесс, на выполнение сторонним организациям, организация должна продемонстрировать выполнение требований п.п. 7.4.1 — 7.4.3 стандарта по отношению к подрядным организация как к поставщикам продукции или услуг (см. п.п. 7.4.1 — 7.4.3 настоящего документа).
6. В случаях, когда невозможно верифицировать результаты процессов или видов деятельности, входящих в процесс, переданных на выполнение сторонним организациям, организация должна включать в управление такими процессами или видами деятельности их валидацию в соответствии с п. 7.5.2 стандарта (см. п. 7.5.2 настоящего документа).
7. В случаях передачи работ (на выполнение сторонним организациям), не включенных в процессы жизненного цикла продукции (например: земляные работы, монтаж систем автоматики и связи и др. не включены в процесс жизненного цикла продукции — «Производство строительно-монтажных работ»), организация не выполняет требование п. 7.1 стандарта в части разработки процессов, необходимых для обеспечения жизненного цикла продукции, т.к. такие работы не включены в процессы как виды деятельности (см. п. 7.1 настоящего документа).
ГОСТ Р ИСО 9001-2008 Примечание. 1. Упомянутые выше процессы, необходимые для системы менеджмента качества, включают в себя процессы управленческой деятельности руководства, обеспечения ресурсами, процессы жизненного цикла продукции, измерения, анализа и улучшения. 2. Процесс, переданный другой организации, является процессом, необходимым для системы менеджмента организации, но который по выбору организации выполняется внешней для не стороной. 3. Обеспечения управления процессами, переданными сторонним организациям, не освобождает организацию от ответственности за соответствие всем требованиям потребителей и обязательным требованиям. Выбор вида и степени управления процессом, переданным сторонней организации, зависит от таких факторов, как: а) возможное влияние переданного сторонним организациям процесса на способность организации поставлять продукцию, соответствующую требованиям; б) степень участия в управлении процессом переданным сторонней организации; в) возможность обеспечения необходимого управления посредством применений 7.4. |
Примечание.
Указанное примечание носит рекомендательный характер, и не может быть использовано как обязательное требование при проведении аудита.
4.2 Требования к документации
4.2.1 Общие положения
ГОСТ Р ИСО 9001-2008 Документация системы менеджмента качества должна включать: а) документально оформленные заявления о политике и целях в области качества;
|
Организация должна предоставить документально оформленные политику и цели в области качества (см. п. 5.4.1 настоящего документа). Политика и цели в области качества могут оформляться как раздельно, так и в едином документе.
б) руководство по качеству;
|
Организация должна предоставить документально оформленное руководство по качеству.
в) документированные процедуры и записи, требуемые настоящим стандартом;
|
Организация должна предоставить документированные процедуры по:
· управлению документацией;
· управлению записями;
· управлению несоответствующей продукцией;
· проведению внутренних аудитов (проверок);
· осуществлению корректирующих действий;
· осуществлению предупреждающих действий.
г) документы, включая записи, определенные организацией как необходимые для обеспечения эффективного планирования, осуществления процессов и управления ими;
|
Организация должна предоставить документы (инструкции, процедуры, стандарты предприятия, регламенты, описания, карты и т.п.), необходимые (с точки зрения организации) для обеспечения эффективного планирования, осуществления процессов и управления ими.
Организация должна выборочно (на выбор аудитора) предоставить записи, определенные в СМК организации и требуемые стандартом.
Примечания. 1. Там, где в настоящем стандарте встречается термин «документированная процедура», это означает, что процедура разработана, документально оформлена, внедрена и поддерживается в рабочем состоянии. Один документ может содержать требования одной или более процедур. Требование о наличии документированной процедуры может быть реализовано более чем одним документом. 2. Степень документированности системы менеджмента качества одной организации может отличаться от другой в зависимости от: а) размера организации и вида деятельности; б) сложности и взаимодействия процессов; в) компетентность персонала. 3. Документация может быть в любой форме и на любом носителе. |
Примечания.
1. Документированные процедуры могут быть оформлены в виде «регламентов», «стандартов предприятия», «процедур» и т.п. В одном документе допускается изложение нескольких документированных процедур.
2. Документированная процедура должна быть разработана, документально оформлена, внедрена и поддерживается в рабочем состоянии.
3. Разработка документированной процедуры означает, что процедура документально оформлена и одобрена с точки зрения достаточности до выпуска (например: введена в действие приказом руководителя организации, утверждена руководителем организации и т.п.).
4. Внедрение документированной процедуры означает, что процедура применяется в практической деятельности организации и в нее внесены (при необходимости) изменения по результатам внедрения.
5. Поддержание документированной процедуры в рабочем состоянии означает, что:
· документированная процедура разработана в соответствии с установленными требованиями;
· документированная процедура актуализирована (внесены и идентифицированы соответствующие изменения);
· документированная процедура сохраняется четкой и понятной;
· в практической деятельности организации продемонстрировано выполнение требований и положений, представленных в документированной процедуре;
· ведутся записи, установленные документированной процедурой.
6. Документация может быть оформлена и предоставлена для аудита в любой форме и на любом носителе.
7. Степень документированности СМК одной организации может отличаться от другой в зависимости от:
а) размера организации и вида деятельности;
б) сложности и взаимодействия процессов;
в) компетентность персонала.
4.2.2 Руководство по качеству
ГОСТ Р ИСО 9001-2008 Организация должна разработать и поддерживать в рабочем состоянии руководство по качеству, содержащее: а) область применения системы менеджмента качества, включая подробности и обоснование любых исключений (1.2);
|
1. Организация должна представить документально оформленное руководство по качеству. Руководство по качеству должно быть актуализировано и сохраняться четким.
2. Организация должна продемонстрировать выполнение в практической деятельности организации положений, представленных в руководстве по качеству.
3. Организация должна указать в руководстве по качеству область применения СМК (виды продукции, работ (услуг), на которые распространяется СМК).
4. Организация должна указать требования стандарта, исключенные из области применения СМК, которые нельзя применить ввиду специфики организации и ее продукции.
При сделанных исключениях заявления о соответствии настоящему стандарту приемлемы, если эти исключения подпадают под требования, приведенные в разделе 7, и не влияют на способность или ответственность организации обеспечивать продукцией, отвечающей требованиям потребителей и соответствующим обязательным требованиям.
б) документированные процедуры, разработанные для системы менеджмента качества, или ссылки на них;
|
В руководстве по качеству необходимо указать ссылки на документированные процедуры или изложить документированные процедуры в рамках руководства по качеству.
в) описание взаимодействия процессов системы менеджмента качества.
|
Руководство по качеству должно содержать описание (текстовое и/или графическое) взаимодействия процессов СМК с указанием входов и поставщиков, выходов и клиентов.
4.2.3 Управление документацией
ГОСТ Р ИСО 9001-2008 Документы системы менеджмента качества должны управляться. Записи представляющие собой специальный вид документов и они должны управляться согласно требованиям, приведенным в 4.2.4. Для определения необходимых средств управления должна быть разработана документированная процедура, предусматривающая: а) официальное одобрение документов с точки зрения их достаточности до их выпуска; б) анализ и актуализацию по мере необходимости и повторное официальное одобрение документов; в) обеспечение идентификации изменений и статуса пересмотра документов; г) обеспечение наличия соответствующих версий документов в местах их применения; д) обеспечение сохранения документов четкими и легко идентифицируемыми; е) обеспечение идентификации и управления рассылкой документов внешнего происхождения, определенных организацией как необходимые для планирования и функционирования системы менеджмента качества; ж) предотвращение непреднамеренного использования устаревших документов и применение соответствующей идентификации таких документов, оставленных для каких-либо целей.
|
1. Организация должна предоставить документированную процедуру по управлению документацией.
2. В документированной процедуре по управлению документацией должны быть описаны (возможно с использованием блок-схем, таблиц и др.) средства управления, т.е. должно быть определено: «кто» (ответственность), «что», «где», «когда», «почему», «как» необходимо осуществлять действия для обеспечения выполнения требований п. 4.2.3, а) — ж) стандарта. Допускается определение только ряда средств управления, например, в организации может быть определено: «кто» (ответственность) и «что» осуществляет для управления документацией. При этом аудитор должен удостовериться, что таких средств достаточно для обеспечения выполнения требований п. 4.2.3, а) — ж) стандарта (т.е. несоответствия по п. 4.2.3 стандарта не выявлены в ходе аудита).
3. Организация должна в ответ на выборочные вопросы аудитора продемонстрировать в документации и деятельности обеспечение выполнения требований п. 4.2.3, а) — ж) стандарта.
4.2.4 Управление записями
ГОСТ Р ИСО 9001-2008 Записи, установленные для представления доказательств соответствия требованиям и результативного функционирования системы менеджмента качества должны находиться под управлением. Организация должна установить документированную процедуру для определения средств управления, требуемых при идентификации, хранении, защите, восстановлении, определении сроков сохранения и изъятии записей. Записи должны оставаться четкими, легко идентифицируемыми и восстанавливаемыми.
|
1. Организация должна продемонстрировать документально оформленные формы записей (в виде отдельного документа, в виде приложений к документам и др.), необходимых организации для предоставления свидетельств соответствия требованиям (не только к продукции) и результативности функционирования СМК.
2. Организация должна продемонстрировать по выборочным записям (по запросу аудитора), что записи:
· являются четкими;
· являются легко идентифицируемыми;
· являются легко восстанавливаемыми;
· хранятся в установленном месте в условиях, определенных организацией;
· защищены от порчи и потери;
· ведутся, не превышая установленный срок сохранения;
· изъяты при превышении срока сохранения.
3. Организация должна продемонстрировать по выборочным записям (по запросу аудитора), что записи ведутся в строгом соответствии с формами, установленными в СМК.
4. Организация должна предоставить документированную процедуру по управлению записями.
5. В документированной процедуре по управлению записями должны быть описаны (возможно с использованием блок-схем, таблиц и др.) средства управления, требуемые при идентификации, хранении, защите, восстановлении, определении сроков сохранения и изъятии записей, т.е. должно быть определено: «кто», «что», «где», «когда», «почему», «как» необходимо осуществлять действия для обеспечения выполнения требований п. 4.2.4 стандарта. Допускается определение только ряда средств управления, например, в организации может быть определено: «кто» (ответственность) и «что» осуществляет для управления записями. При этом аудитор должен удостовериться, что таких средств достаточно для обеспечения выполнения требований п. 4.2.4 стандарта (т.е. несоответствия по п. 4.2.4 стандарта не выявлены в ходе аудита).
6. Организация должна в ответ на выборочные вопросы аудитора продемонстрировать по конкретным записям обеспечение выполнения требований п. 4.2.4 стандарта.
Примечания.
1. Определение записи означает, что:
· документирована форма записи или состав записи или дана ссылка на документ, в котором документирована форма записи;
· документировано место хранения записи;
· зафиксирован документально срок сохранения записи.
2. Поддержание записи в рабочем состоянии означает то, что:
· запись идентифицирована и ведется в соответствии с установленной формой или установленным содержанием (составом записи);
· запись сохраняется четкой и понятной;
· запись хранится и защищается в соответствии с установленными требованиями.
5.1 Обязательства руководства
ГОСТ Р ИСО 9001-2008Высшее руководство должно обеспечивать наличие свидетельств принятия своих обязательств по разработке и внедрению системы менеджмента качества, а также постоянному улучшению ее результативности посредством: |
Примечание.
Обязательства высшего руководства организации должны относиться в равной степени ко всем требованиям ГОСТ Р ИСО 9001, включая:
— общее руководство работами по разработке и внедрению СМК;
— постоянное повышение результативности СМК;
— обеспечению ресурсами, необходимыми для разработки, внедрения, управления (поддержания в работоспособном состоянии) и улучшения СМК;
— обеспечению выполнения функций головного исполнителя (исполнителя, соисполнителя) работ в соответствии с требованиями договора (контракта), внутренних документов организации.
Организация должна предоставить свидетельства доведения до сведения персонала важности выполнения требований потребителей, законодательных и обязательных требований. Такими свидетельствами могут являться:
— приказы и распоряжения руководства, протоколы собраний (например, по подведению итогов и планов деятельности), организационных и технических совещаний, Дней качества, программы конференций и т.п., в повестку дня которых включены вопросы выполнения требований потребителей, законодательных и обязательных требований и их важности для организации и потребителя;
— соответствующие свидетельства при осуществлении процессов (процесса) обмена информацией (см. п. 5.5.3 настоящего документа) (свидетельства отправки и получения копий протоколов и выписок из них, служебных записок и т.п. подразделениями и должностными лицами);
— соответствующие информационные материалы (материалы, помещаемые на стенды, в газеты, радио, информационный сайт организации, сообщения по электронной почте и т.п.);
— программа инструктажа с принимаемыми на работу работниками и их роспись в соответствующем документе и др.
Организация должна предоставить политику в области качества в соответствии с требованиями п. 5.3 стандарта (см. п. 5.3 настоящего документа).
Примечание.
Политика в области качества содержит основные направления развития предприятия в области качества и может дополняться конкретными целями в области качества, сформированными как конкретные задачи по реализации политики в области качества.
Политику в области качества утверждает руководитель организации. С Политикой в области качества должны быть ознакомлены все сотрудники организации.
Организация должна предоставить цели в области качества в соответствии с требованиями п. 5.4.1 стандарта (см. п. 5.4.1 настоящего документа).
Организация должна продемонстрировать проведение анализа СМК со стороны руководства в соответствии с требованиями п. 5.6.1 — 5.6.3 стандарта (см. п. п. 5.6.1 — 5.6.3 настоящего документа) представлением соответствующих записей об анализе со стороны руководства (протоколы, распоряжения, решения, приказы и т.п.). Такие записи должны быть определены в СМК организации.
Организация должна представить свидетельства обеспечения необходимыми ресурсами (например, утвержденные документы и результаты выполнения бюджета, планов развития, планов модернизации и технического перевооружения, планов освоения новых видов продукции и услуг, планов совершенствования административно-управленческой деятельности, планов совершенствования СМК организации и т.п.).
Примечание.
В представленные документы должны быть включены соответствующие ресурсы, необходимые для разработки и внедрения СМК, а также постоянного улучшения ее результативности (финансовые, материальные, людские и др.)
5.2 Ориентация на потребителя
ГОСТ Р ИСО 9001-2008Высшее руководство должно обеспечивать определение и выполнение требований потребителей для повышения их удовлетворенности (7.2.1 и 8.2.1).
|
1. Организация должна представить свидетельства того, что высшее руководство обеспечивает определение требований потребителя путем выполнения требований п. 7.2.1 стандарта (см. п. 7.2.1 настоящего документа)
2. Организация должна представить свидетельства того, что высшее руководство обеспечивает выполнение требований потребителей (например, акты приемки-сдачи работ, журналы производства работ, результаты анализа замечаний и рекламаций и осуществления соответствующих корректирующих и предупреждающих действий и др.).
Примечания.
1. Определение требований потребителей может осуществляться в рамках деятельности по анализу требований к продукции со стороны потребителя, обязательных законодательных требований к продукции, результатов анализа ожидаемых потребителем свойств и качеств продукции. Основой могут являться результаты деятельности по анализу контрактов (договоров, коммерческих предложений) потребителя, результаты маркетинговой деятельности организации по анализу потребностей рынка, результаты анализа свойств и качеств аналогичной продукции, результаты анализа условий предполагаемого использования продукции (предварительная валидация), эргономичности, целевого предназначения продукции и др.
Требования могут быть установлены международными, национальными, отраслевыми стандартами, техническими условиями, регламентами, иными документально оформленными утвержденными или согласованными с заказчиком нормативными документами.
2. Результаты выполнения требований потребителей прослеживаются посредством осуществления мониторинга удовлетворенности потребителя, что регламентируется соответствующим процессом (процессами) СМК.
Деятельность по мониторингу удовлетворенности потребителя, в общем случае может включать: деятельность по анализу рекламаций от потребителя (заказчика), анализ результатов приемо-сдаточных испытаний, оценку соответствия продукции (сертификации) независимыми организациями, сбор и анализ данных по результатам переписки (анкетирования) с потребителями (заказчиками) и др.
5.3 Политика в области качества
ГОСТ Р ИСО 9001-2008Высшее руководство должно обеспечивать, чтобы политика в области качества:а) соответствовала целям организации;
|
1. Организация должна представить документально оформленную политику в области качества.
2. Политика в области качества должна отражать основные направления деятельности, общие цели, задачи, обязательства организации на текущий момент и на перспективу с учетом интересов заказчика (ориентация на потребителя) и в соответствии с целями организации.
Примечания.
1. Как правило политика в области качества утверждается руководителем организации.
2. Политика в области качества может оформляться в виде отдельного документа, в виде приложения к Руководству по качеству или в совместном документе с целями в области качества.
3. Политика в области качества может предусматривать: выполнение требований заказчика, снижение риска для заказчика при выполнении заказа (контракта); обязательства эффективного использования выделяемых финансовых и других ресурсов за счет осуществления мероприятий в области качества; повышения результативности мероприятий по обеспечению качества продукции на стадиях ее жизненного цикла и предупреждения отклонений от заданных требований и др.
4. Политику в области качества можно использовать как маркетинговый инструмент, способствующий привлечению потенциальных заказчиков.
б) включала обязательство соответствовать требованиям и постоянно повышать результативность системы менеджмента качества;
|
Организация должна продемонстрировать наличие в политике в области качества обязательства соответствовать требованиям и постоянно повышать результативность СМК.
в) создавала основы для постановки и анализа целей в области качества;
|
Организация должна представить аудитору политику и цели в области качества. Организация должна доказать (устно) то, что политика в области качества создает основы для постановки и анализа целей в области качества.
г) была доведена до сведения персонала организации и понятна ему;
|
1. Организация должна продемонстрировать, что политика в области качества доведена до сведения персонала организации.
2. Организация должна продемонстрировать, что политика в области качества понятна персоналу организации.
Аудитор должен в рамках проверок подразделений и должностных лиц выборочно проверить у конкретных работников понимание политики в области качества (какие положения политики относятся к их деятельности и как они понимают их реализацию в своей работе).
Примечание.
Ознакомление персонала организации с Политикой в области качества может осуществляться посредством ее рассылки по подразделениям организации; наглядной агитацией, например, оформлением «уголков качества» в подразделениях; ознакомлением персонала при приеме на работу; при проведении общих собраний персонала и др.
д) анализировалась на постоянную пригодность.
|
Организация должна представить документированные свидетельства (записи) осуществления анализа политики в области качества на постоянную пригодность (протоколы совещаний, записи по анализу СМК со стороны руководства, решения и т.п.).
Примечание.
Анализ Политики в области качества на пригодность может осуществляться руководством организации при проведении анализа СМК со стороны руководства.
5.4 Планирование
5.4.1 Цели в области качества
ГОСТ Р ИСО 9001-2008Высшее руководство организации должно обеспечивать, чтобы цели в области качества, включая те, которые необходимы для выполнения требований к продукции [7.1 а)], были установлены в соответствующих подразделениях и на соответствующих ее уровнях. Цели в области качества должны быть измеримыми и согласуемыми с политикой в области качества. |
1. Организация должна представить свидетельства по обеспечению установления целей в области качества в соответствующих подразделениях и на соответствующих ее уровнях.
2. Цели в области качества должны быть оформлены документально и установлены как для организации в целом, так и для конкретных подразделений организации и соответствующих ее уровней (отделов, групп или отдельных должностных лиц и т.п.).
Подразделения и уровни организации, в которых устанавливаются цели в области качества, определяются самой организацией на основе организационной структуры организации.
Порядок установления целей в области качества может быть включен в соответствующие документы СМК.
3. Цели в области качества должны быть измеримыми.
Измеримость целей предполагает возможность оценки уполномоченным персоналом факта достижения или не достижения целей в области качества через определенный временной интервал.
4. Представив аудитору политику и цели в области качества, организация должна доказать (устно) то, что цели в области качества согласуемы с политикой в области качества.
Примечание.
1. Цели в области качества могут включать:
- цели по совершенствованию СМК (совершенствование конкретных процессов СМК, например, на основании результатов внутренних аудитов; разработка новых процессов СМК — при освоении новых видов деятельности, продукции и услуг);
- цели при освоении конкретных видов деятельности, продукции и услуг;
- цели в рамках совершенствования административно-управленческой системы организации;
- цели по развитию научного потенциала, производственно-технической и экспериментальной базы организации;
- цели, связанные с формированием финансово-экономической политики организации;
- цели по социальной защите, мотивации персонала организации; и др.
2. Цели в области качества, как правило, формируются на основании задач, стоящих перед организацией, на период 1-2 года.
3. Цели в области качества могут формироваться на основе перспективных планов развития организации, планов модернизации и технического перевооружения научной и производственной базы, планов освоения новых видов продукции и услуг, планов совершенствования административно-управленческой деятельности, планов совершенствования СМК, реализации конкретных проектов, требований и пожеланий заказчиков.
4. Цели в области качества для организации утверждаются, как правило, руководителем организации, для подразделений и уровней организации — соответствующими руководителями.
5. Цели в области качества для организации определяются высшим руководством (при участии высшего руководства). Цели в области качества организации могут трансформироваться в конкретные цели в области качества подразделений организации и ее соответствующих уровней.
6. Деятельность по анализу выполнения целей в области качества должна совмещаться с деятельностью по анализу СМК со стороны руководства (см. п. 5.6.1 настоящего документа).
Исходной информацией о достижении целей в области качества могут являться входные данные для анализа СМК со стороны руководства (результаты внутренних аудитов, результаты деятельности по разработке, проектировании и производству конкретных видов продукции, результаты внешних аудитов).
Если цели в области качества не достигнуты, то в рамках планирования создания, поддержания и улучшения СМК (см. п. 5.4.2 настоящего документа) разрабатываются мероприятия по достижению установленных целей в области качества, либо цели в области качества подлежат корректировке.
5.4.2 Планирование создания, поддержания и улучшения системы менеджмента качества
ГОСТ Р ИСО 9001-2008Высшее руководство должно обеспечивать:а) планирование создания, поддержания и улучшения системы менеджмента качества для выполнения требований, приведенных в 4.1, а также для достижения целей в области качества;
|
Организация должна представить документированные свидетельства планирования создания, поддержания и улучшения СМК для выполнения требований, приведенных в 4.1, а также для достижения целей в области качества подразделений и на уровнях организации (например, планы (программы) разработки и/или совершенствования СМК; приказы, решения и распоряжения высшего руководства и специально созданных советов (Совет по качеству); протоколы совещаний; протоколы «Дней качества», планы мероприятий и т.п.).
Все представленные документы должны быть взаимосвязаны по срокам, включать ответственных лиц за реализацию соответствующих мероприятий. В документах могут быть указаны соответствующие отчетные документы.
Примечания.
1. На основании требований процессов СМК, в необходимых случаях, по направлениям деятельности, по видам продукции или отдельным изделиям могут разрабатываться программы обеспечения качества, программы обеспечения надежности, планы освоения новой техники, разработки технологических процессов, программы повышения квалификации персонала и др.
2. Планирование мероприятий по созданию, поддержанию и улучшению СМК и выделение необходимых ресурсов на реализацию планируемых мероприятий, как правило, осуществляется при проведении анализа СМК со стороны руководства.
б) сохранение целостности системы менеджмента качества при планировании и внедрении в нее изменений.
|
Аудитор должен выявить свидетельства того, что в организации сохраняется целостность СМК при планировании и внедрении в нее изменений. В ходе аудита могут быть выявлены, например, какие-либо противоречия в описании или осуществлении документально оформленных видов деятельности или др.
5.5 Ответственность, полномочия и обмен информацией
5.5.1 Ответственность и полномочия
ГОСТ Р ИСО 9001-2008Высшее руководство должно обеспечивать определение и доведение до сведения персонала организации ответственности и полномочий.
|
1. Организация должна представить документально установленные ответственность и полномочия персонала, в том числе за реализацию всех механизмов, наличие которых определено требованиями ГОСТ Р ИСО 9001-2008.
2. Организация должна представить свидетельства доведения до сведения персонала ответственности и полномочий (например: роспись работника об ознакомлении в должностной инструкции; протокол собрания персонала подразделения, на котором было проведено ознакомление с должностными инструкциями и разъяснены ответственность и полномочия отдельных работников; и др.).
Примечания.
1. Ответственность и полномочия персонала могут быть определены, например: в должностных инструкциях; в положениях о подразделениях; в приказах и распоряжениях руководства; в трудовых договорах; в процедурах, утвержденных руководством организации и др.
2. Организация может разработать отдельные документы, определяющие ответственность и полномочия (должностные инструкции, инструкции, приказы и т.п.) представителя руководства, ответственных за качество в подразделениях, внутренних аудиторов и др.
3. Как правило, положения о подразделениях, должностные инструкции персонала дополняются (перерабатываются) в соответствии с матрицей ответственности за процессы (процедуры, виды деятельности) СМК и управляются в соответствии с требованиями п. 4.2.3 стандарта.
5.5.2 Представитель руководства
ГОСТ Р ИСО 9001-2008 Высшее руководство должно назначить представителя из состава руководства, который независимо от других обязанностей должен нести ответственность и иметь полномочия, распространяющиеся на:
|
Организация должна представить документированное подтверждение назначения представителя из состава руководства (из числа руководителей, определенных штатным расписанием организации) (например: приказ, соответствующие положения руководства по качеству и/или других документов СМК, утвержденных высшим руководством).
а) обеспечение разработки, внедрения и поддержания в рабочем состоянии процессов, требуемых системой менеджмента качества;
|
1. В представленном документированном подтверждении назначения представителя из состава руководства организация должна определить ответственность и полномочия представителя руководства, распространяющиеся на обеспечение разработки, внедрения и поддержания в рабочем состоянии процессов, требуемых СМК.
2. Представитель руководства должен представить свидетельства осуществления своей деятельности по обеспечению разработки, внедрения и поддержания в рабочем состоянии процессов, требуемых СМК (соответствующие протоколы, планы, программы, росписи в документах СМК и др.).
б) представление отчетов высшему руководству о функционировании системы менеджмента качества и необходимости улучшения;
|
1. В представленном документированном подтверждении назначения представителя из состава руководства организация должна определить ответственность и полномочия представителя руководства, распространяющиеся на представление отчетов высшему руководству о функционировании СМК и необходимости улучшения.
2. Представитель руководства должен представить свидетельства осуществления своей деятельности по представлению отчетов высшему руководству о функционировании СМК и необходимости улучшения (отчет о функционировании СМК, служебные записки на имя руководителя организации с предложениями по улучшению СМК, и др.).
Примечание.
Как правило, отчеты высшему руководству о функционировании СМК и необходимости улучшения являются входными данными для анализа СМК со стороны руководства.
в) содействие распространению понимания требований потребителей по всей организации.
|
1. В представленном документированном подтверждении назначения представителя из состава руководства организация должна определить ответственность и полномочия представителя руководства, распространяющиеся на содействие распространению понимания требований потребителей по всей организации.
2. Представитель руководства должен представить свидетельства осуществления своей деятельности по оказанию содействия распространению понимания требований потребителей по всей организации, в том числе в рамках выполнения требований п. 5.2 стандарта (см. п. 5.2 настоящего документа).
ГОСТ Р ИСО 9001-2008 Примечание. В ответственность представителя руководства может быть включено поддержание связи с внешними сторонами по вопросам, касающимся системы менеджмента качества. |
Примечание.
Примечание носит рекомендательный характер, и не может быть использовано как обязательное требование при проведении аудита.
5.5.3 Внутренний обмен информацией
Высшее руководство должно обеспечивать разработку в организации соответствующих процессов обмена информацией, в том числе по вопросам результативности системы менеджмента качества.
|
Организация должна определить процесс (процессы) обмена информацией, в том числе по вопросам результативности СМК в соответствии с требованиями п. 4.1 стандарта (см. п. 4.1 настоящего документа).
Примечание.
1. Процесс (процессы) обмена информацией может организовываться между подразделениями, службами, ответственными должностными лицами, обеспечивающими выполнение процессов (процедур) СМК, выполнение требований заказчиков, в том числе деятельности по анализу СМК со стороны руководства, разработку и анализ политики и целей в области качества и др.
2. Для внутреннего обмена информацией, как правило, определяется состав и формы информационных документов, содержащих:
— исходные данные, необходимые для выполнения планируемых работ;
— алгоритмы, программы и методы решения задач в обеспечение выполнения установленных требований;
-результаты и решения (выходные данные) и пути их реализации для выполнения процессов.
3. Организация, при необходимости, может создать фонд алгоритмов, программ и методов решения типовых задач проектирования и обеспечения разработки продукции.
4. Организация может предусматривать:
- сбор на всех стадиях разработки, производства и эксплуатации продукции установленных в ТД и КД данных о качестве, результативности процессов СМК и проводимых мероприятий;
- определение исполнителей, подразделений и служб, ответственных за сбор, анализ, распределение информации, и их функциональных обязанностей;
- установление стабильных информационных связей между поставщиками и потребителями информации;
- создание информационных массивов нормативных и справочных данных, правил их использования, хранения и внесения изменений.
5. Внутренний обмен информацией может быть организован посредством:
общих собраний коллектива организации;
заседаний Совета по качеству (научно-технического совета);
технических совещаний;
рабочих совещаний по результатам внутренних аудитов в подразделении;
наглядной агитации в организации, проведением выставок;
распространения методических и информационных материалов по вопросам СМК;
доведения необходимой информации и данных через ответственных за качество в подразделениях;
обучения персонала; и др.
6. Соответствующие методы обмена информацией могут определяться и регламентироваться документами СМК.
5.6 Анализ со стороны руководства
5.6.1 Общие положения
ГОСТ Р ИСО 9001-2008Высшее руководство должно анализировать через запланированные интервалы времени систему менеджмента качества организации с целью обеспечения ее постоянной пригодности, достаточности и результативности. Этот анализ должен включать оценку возможностей улучшения и потребности в изменениях в системе менеджмента качества организации, в том числе в политике и целях в области качества.Записи об анализе со стороны руководства должны поддерживаться в рабочем состоянии (4.2.4).
|
1. Организация должна представить документированные подтверждения (соответствующие записи) проведения анализа СМК со стороны руководства. Такие записи должны быть определены в СМК организации и управляться в соответствии с требованиями п. 4.2.4 стандарта (см. п. 4.2.4 настоящего документа).
В записях об анализе со стороны руководства должны быть представлены результаты оценки возможностей улучшения и потребности в изменениях в СМК организации, в том числе в политике и целях в области качества.
2. Организация должна представить свидетельства достижения целей обеспечения постоянной пригодности, достаточности и результативности СМК.
Примечание.
1. Проведение анализа СМК со стороны руководство организации является основным инструментом по оценке возможности улучшения, разработки и корректировки политики и целей в области качества, а в необходимых случаях и реструктуризации СМК.
2. Порядок проведения анализа СМК со стороны руководства может приводиться в Руководстве по качеству, а также в отдельных документах СМК организации.
3. Пригодность — это способность реализовывать заявленные положения политики в области качества. Адекватность — это степень соответствия требованиям настоящего стандарта, требованиям внутренних и внешних нормативных документов. Результативность — это степень достижения запланированных показателей, степень выполнения запланированной деятельности. Таким образом, любые действия (выработанные по результатам анализа СМК со стороны руководства), направленные на изменение политики, достижение целей, достижение показателей результативности процессов, уменьшение количества замечаний при проведении последующих внутренних аудитов и т. д. могут быть расценены как обеспечение постоянной пригодности, достаточности, результативности.
5.6.2 Входные данные для анализа
Входные данные для анализа со стороны руководства должны включать следующую информацию: а) результаты аудитов (проверок);
|
Организация должна продемонстрировать наличие во входных данных (например: в отчете о функционировании СМК, в справках о результатах аудитов и т.п.) результаты аудитов (проверок) (внутренних и внешних).
б) обратную связь от потребителей;
|
Организация должна продемонстрировать наличие во входных данных (например: в отчете о функционировании СМК и т.п.):
- информации от потребителей (см. п. 7.2.3 настоящего документа);
- результатов мониторинга информации, касающейся восприятия потребителем выполнения организацией его требований (см. п. 8.2.1 настоящего документа);
- информации по удовлетворенности потребителей (см. п. 8.4 настоящего документа).
в) функционирование процессов и соответствие продукции;
|
Организация должна продемонстрировать наличие во входных данных (например: в отчете о функционировании СМК и т.п.):
- результаты анализа функционирования процессов СМК (см. п.п. 4.1 д), 8.2.3 настоящего документа);
- результаты проверки соответствия продукции (см. п. 8.2.4 настоящего документа).
г) статус предупреждающих и корректирующих действий;
|
Организация должна продемонстрировать наличие во входных данных (например: в отчете о функционировании СМК и т.п.):
- результаты выполнения и анализа предпринятых корректирующих мероприятий (см. п. 8.5.2 настоящего документа);
- результаты выполнения и анализа предпринятых предупреждающих мероприятий (см. п. 8.5.3 настоящего документа).
д) последующие действия, вытекающие из предыдущих анализов со стороны руководства;
|
Организация должна продемонстрировать наличие во входных данных (например: в отчете о функционировании СМК и т.п.) результаты осуществления мероприятий, вытекающих из предыдущих анализов СМК со стороны руководства.
е) изменения, которые могли бы повлиять на систему менеджмента качества;
|
Организация должна продемонстрировать наличие во входных данных (например: в отчете о функционировании СМК и т.п.) изменений, которые могли бы повлиять на СМК организации (например, изменение организационной структуры организации (реструктуризация), разработка новых процессов СМК, изменения в документации СМК, освоение новых направлений производственной деятельности организации и др.).
ж) рекомендации по улучшению. |
Организация должна продемонстрировать наличие во входных данных (например: в отчете о функционировании СМК и т.п.) рекомендаций по улучшению (например, со стороны представителя руководства (см. п. 5.5.2 настоящего документа), со стороны работников организации (протоколы «Дней качества», протоколы собраний в подразделениях), предложения отдельных работников и др.).
5.6.3 Выходные данные анализа
Выходные данные анализа со стороны руководства должны включать все решения и действия, относящиеся к: а) повышению результативности системы менеджмента качества и ее процессов;
|
1. Организация должна продемонстрировать наличие в выходных данных (например: в записях об анализе СМК со стороны руководства, в приказах, распоряжениях и т.п.) решений, относящихся к повышению результативности СМК и ее процессов.
2. Организация должна продемонстрировать наличие в выходных данных (например: в отчетах, служебных записках, справках, докладных и т.п.) факты выполнения решений, относящихся к повышению результативности СМК и ее процессов.
б) улучшению продукции по отношению к требованиям потребителей;
|
1. Организация должна продемонстрировать наличие в выходных данных (например: в записях об анализе СМК со стороны руководства, в приказах, распоряжениях и т.п.) решений, относящихся к улучшению продукции по отношению к требованиям потребителей.
2. Организация должна продемонстрировать наличие в выходных данных (например: в отчетах, служебных записках, справках, докладных и т.п.) факты выполнения решений, относящихся к улучшению продукции по отношению к требованиям потребителей (по решениям с истекшим сроком реализации).
в) потребности в ресурсах.
|
1. Организация должна продемонстрировать наличие в выходных данных (например: в записях об анализе СМК со стороны руководства, в приказах, распоряжениях и т.п.) решений, относящихся к потребности в ресурсах.
2. Организация должна продемонстрировать наличие в выходных данных (например: в отчетах, служебных записках, справках, докладных и т.п.) факты выполнения решений, относящихся к потребности в ресурсах (по решениям с истекшим сроком реализации).
6. Менеджмент ресурсов
6.1 Обеспечение ресурсами
ГОСТ Р ИСО 9001-2008 Организация должна определить и обеспечивать ресурсы, требуемые для: а) внедрения и поддержания в рабочем состоянии системы менеджмента качества, а также постоянного повышения ее результативности; б) повышения удовлетворенности потребителей путем выполнения их требований.
|
1. Организация должна предоставить:
- документы и записи (сметы, табели, планы, графики, протоколы и т.п.), в которых приведены ресурсы (финансовые, людские, информационные и др.), предназначенные для внедрения и поддержания в рабочем состоянии системы менеджмента качества, а также постоянного повышения ее результативности;
- документы и записи (сметы, табели, планы, графики, протоколы и т.п.), в которых приведены ресурсы (финансовые, людские, информационные и др.), предназначенные для повышения удовлетворенности потребителей путем выполнения их требований. Рекомендуется аудитору запросить документы и записи, применительно к конкретному объекту или проекту.
2. Организация должна предоставить документы и записи (сметы, табели, планы, графики, протоколы и т.п.), подтверждающие то, что организация обеспечивает соответствующие ресурсы (финансовые, людские, информационные и др.), требуемые для:
а) внедрения и поддержания в рабочем состоянии системы менеджмента качества, а также постоянного повышения ее результативности;
б) повышения удовлетворенности потребителей путем выполнения их требований. Рекомендуется аудитору запросить документы и записи, применительно к конкретному объекту или проекту.
6.2 Человеческие ресурсы
6.2.1 Общие положения
ГОСТ Р ИСО 9001-2008 Персонал, выполняющий работу, влияющую на качество продукции, должен быть компетентным на основе соответствующего образования, подготовки, навыков и опыта.
|
Примечание.
На соответствие продукции (услуги) требованиям прямо или косвенно может влиять персонал, выполняющий любую работу в рамках системы менеджмента качества.
Организация должна предоставить:
- документы, в которых определена требуемая компетентность персонала (положения о подразделениях, должностные инструкции, стандарты предприятия, инструкции или др.);
- документ, устанавливающий должности, специальности, разряды, количество штатных единиц и др. (штатное расписание, форма Т-3 (см. Постановление Госкомстата России от 05.01.04 №1) и др.);
- списки фактического и требуемого количества персонала;
- записи, содержащие сведения об образовании, подготовке, навыках и опыте персонала (унифицированные формы Т-2 «Личные карточки работника» (см. Постановление Госкомстата России от 05.01.04 №1), личные дела работников (см. Трудовой кодекс Российской Федерации, статьи 85-90)).
На основе вышеизложенных сведений и данных, представленных организацией, аудитор должен проверить соответствие:
- требуемой и фактической компетентности персонала;
- численности персонала, указанной в представленных данных и заявке (заявках) на проведение сертификации. В случае превышения фактической численности персонала руководитель аудиторской группы (аудитор) должен зафиксировать фактическую численность персонала в протоколе заключительного совещания, а также оформить заявку на изменение договора на сертификацию.
6.2.2 Компетентность, осведомленность и подготовка
ГОСТ Р ИСО 9001-2008 Организация должна: а) определять необходимую компетентность персонала, выполняющего работу, которая влияет на качество продукции;
|
Организация должна представить документы, в которых установлена необходимая компетентность персонала, выполняющего работу, которая влияет на качество продукции (положения о подразделениях, должностные инструкции, стандарты предприятия, инструкции, штатное расписание и др.).
Примечание.
Следует различать категории работников, к которым относятся требования п. 6.2.2 стандарта. Например, указанные требования приемлемы к работникам химической лаборатории, ведущих контроль химического состава продукции по ходу плавки (т.к. результаты контроля могут оказать влияние на качество продукции), но не применим к лаборантам, определяющим химический состав стального готового листа (т.к. результаты контроля не оказывают влияние на качество продукции, а влияют на достоверность результатов измерений). Во втором случае применимы требования п. 6.1 стандарта.
б) где это возможно, обеспечивать подготовку или предпринимать другие действия с целью удовлетворения этих потребностей;
Организация должна продемонстрировать осуществление подготовки персонала или других действий с целью обеспечения необходимой компетентности. Может быть представлена следующая документация:
- перечень направлений обучения;
- планы, программы, методики обучения;
- перечень организаций, предоставляющих услуги по обучению;
- обязательные требования к подготовке по каждой профессии;
- удостоверения, аттестаты, протоколы и другие документы, подтверждающие проведение обучения, и др.
в) оценивать результативность предпринятых мер;
1. Организация должна документировано продемонстрировать проведение оценивания результативности предпринятых мер по обучению и подготовке персонала.
2. Организация должна представить соответствующие записи (например, бланки оценки результативности обучения и подготовки персонала, протоколы заседаний аттестационных комиссий, отзывы руководителей подразделений организации, результаты анализа претензий заказчиков и надзорных органов, связанных с уровнем квалификации и подготовки персонала организации, или др.).
г) обеспечивать осведомленность своего персонала об актуальности и важности его деятельности и вкладе в достижение целей в области качества;
1. Организация должна продемонстрировать применяемые способы и методы доведения до сведения персонала актуальности и важности его деятельности и вкладе в достижение целей в области качества.
2. Организация должна продемонстрировать доказательства осведомленности своего персонала об актуальности и важности его деятельности и вкладе в достижение целей в области качества.
Аудитор должен выборочным опросом персонала проверить осведомленность персонала организации об актуальности и важности его деятельности и вкладе в достижение целей в области качества организации и соответствующего подразделения.
д) поддерживать в рабочем состоянии соответствующие записи об образовании, подготовке, навыках и опыте (4.2.4).
Организация должна определить и вести записи об образовании, подготовке, навыках и опыте персонала (унифицированные формы Т-2 «Личные карточки работника» (см. Постановление Госкомстата России от 05.01.04 №1), личные дела работников (см. Трудовой кодекс Российской Федерации, статьи 85-90)).
6.3 Инфраструктура
ГОСТ Р ИСО 9001-2008 Организация должна определять, обеспечивать и поддерживать в рабочем состоянии инфраструктуру, необходимую для достижения соответствия требованиям к продукции. Инфраструктура может включать в себя, если применимо: а) здания, рабочее пространство и связанные с ним средства труда; б) оборудование для процессов (как технические, так и программные средства); в) службы обеспечения (например, транспорт или связь).
|
1. Организация должна определить инфраструктуру, необходимую для достижения соответствия требованиям к продукции. Инфраструктура может включать:
а) здания, рабочее пространство и связанные с ним средства труда;
б) оборудование для процессов (строительные машины и механизмы; оборудование, в том числе технологическое и измерительное; инструмент; программные и другие средства, используемые при подготовке, осуществлении и управлении процессами);
в) службы обеспечения (например, транспорт или связь).
2. Организация должна представить:
- перечни имеющегося оборудования для процессов, обеспечивающих изготовление продукции, выполнение работ (услуг) в соответствии с требованиям проектной и производственно-технологической документации;
- планировки зданий и помещений;
- службы (документы о назначении ответственных лиц), отвечающих за поддержание в рабочем состоянии инфраструктуры;
- процедуры по проведению технического обслуживания и ремонта оборудования, машин и механизмов, средств контроля и измерений (в случае проведения технического обслуживания и ремонта собственными силами);
- документы, определяющие права собственности на оборудование для процессов;
- документы, описывающие технические характеристики и правила эксплуатации оборудования для процессов;
- документов по планированию и регистрации проведения технического обслуживания и ремонта оборудования для процессов;
- формы записей, свидетельствующие о соответствии оборудования для процессов установленным требованиям (например, акты о вводе техники после ремонта, формуляры по видам техники, акты проверки оборудования на технологическую точность и т.п.) (см. п. 4.2.4 настоящего документа);
- документы, подтверждающие требуемую компетентность сторонних организаций, осуществляющих техническое обслуживание и ремонт оборудования, машин и механизмов, средств контроля и измерений (в случае проведения технического обслуживания и ремонта сторонними организациями);
- необходимые средства труда.
2. Организация должна продемонстрировать:
- наличие зданий, помещений, а также документов, определяющих право на их использование организацией (право собственности, договора на аренду, документы, подтверждающие право использования производственных помещений в промышленных целях, и др.);
- наличие служб (ответственных лиц), отвечающих за поддержание в рабочем состоянии инфраструктуры;
- размещение оборудования в соответствии с планировками зданий и помещений;
- наличие оборудования для процессов, пригодного для эксплуатации;
- наличие договоров на обеспечение жизнедеятельности зданий и помещений организации (электрической энергией, теплом, водой и др.)
- наличие документов, подтверждающих аттестацию лабораторий;
- наличие документов и/или записей, подтверждающих осуществление планирования проведения технического обслуживания и ремонта оборудования для процессов;
- наличие записей, свидетельствующих о соответствии оборудования для процессов установленным требованиям (например, акты о вводе техники после ремонта, формуляры по видам техники, акты проверки оборудования на технологическую точность и т.п.) (см. п. 4.2.4 настоящего документа);
- наличие необходимых средств труда.
6.4 Производственная среда
ГОСТ Р ИСО 9001-2008 Организация должна создавать производственную среду, необходимую для достижения соответствия требованиям к продукции, и управлять ею.
|
Примечание.
Термин «производственная среда» относится к условиям, в которых выполняют работу, включая физические, экологические и другие факторы (такие как шум, температура, влажность, освещенность или погодные условия).
Организация должна представить:
- документально оформленные требования к производственной среде для достижения соответствия требованиям к продукции (значения физических, социальных, психологических и экологических факторов, например, требования техники безопасности, аттестация рабочих мест, требуемые условия работы персонала (температура, влажность, освещенность, система признания и поощрения, эргономика и состав атмосферы), требуемые условия эксплуатации оборудования для процессов (см. п. 6.4) или др.)
- нормативные документы, определяющие требования к производственной среде по каждому фактору;
- службы (ответственных лиц), отвечающие за контроль и/или обеспечение необходимой производственной среды;
- документы, определяющие деятельность служб (ответственных лиц), отвечающих за контроль и/или обеспечение необходимой производственной среды (например, положение о подразделении, инструкции по контролю и обеспечению производственной среды и т.п.);
- средства контроля соблюдения требований к производственной среде;
- записи, подтверждающие результаты контроля соблюдения требований к производственной среде (например, журналы контроля параметров среды, протоколы аттестации рабочих мест и др.);
- перечень организаций, оказывающих услуги по управлению производственной средой, договора с такими организациями и документы (копии документов), подтверждающие способность выбранных организаций оказывать такие услуги (в случае пользования услугами таких организаций).
Примечание.
1. В соответствии с Постановлением Минтруда и соцразвития РФ от 14.03.97 г №12 и ТК РФ ст. 212 в организации должна быть проведена аттестация рабочих мест по условиям труда с последующей сертификацией работ по охране труда в организации с оформлением следующих документов:
- приказ о создании комиссии;
- протоколы измерений;
- Протоколы оценки РМ по травмобезопасности;
- карты аттестации Р.М. и т.д.;
- протокол аттестации рабочих мест по условиям труда;
- ведомость рабочих мест (РМ) и результатов их аттестации по условиям труда в подразделении;
- сводная ведомость рабочих мест (РМ) и результатов их аттестации по условиям труда в организации;
- план мероприятий по улучшению и оздоровлению условий труда в организации.
2. В соответствии с ТК РФ ст. 212, Постановлением Минтруда и соцразвития РФ от 17.12.02 г. №80 (с учетом мнения выборного профсоюзного или иного уполномоченного работниками органа, если такой орган существует в организации) в организации должна быть разработаны следующие документы:
- инструкции по охране труда для работников;
- журнал учета инструкций по охране труда для работников.
Перечень инструкций должен храниться у руководителя подразделений, пересмотр инструкции — не реже одного раза в пять лет.
3. В соответствии с ТК РФ ст. 212, 219, 225, Постановлением Минтруда и соцразвития РФ Минобразования РФ от 13.01.03 г. №1/29, ГОСТ 12.0.004-90* организация должна проводить:
- обучение безопасным методам и приемам выполнения работ по охране труда и оказания первой помощи при несчастных случаях на производстве;
- инструктаж по охране труда;
- стажировку на рабочем месте;
- проверку знаний требований охраны труда, безопасных методов и приемов выполнения работ.
Обучение работника должно проводиться по Программе обучения по охране труда в течение месяца после приема на работу.
4. Для проверки знаний по охране труда персонал организации должен проходить инструктажи по разработанной Программе с регистрацией результатов в соответствующих журналах. Комиссия по проверке знаний назначается приказом. Проверка знаний требований охраны труда оформляется протоколом.
Инструктажи подразделяются на: вводный; первичный; повторный (проводится не реже 1 раза в шесть месяцев); внеплановый; целевой (с оформлением наряда-допуска).
7. Процессы жизненного цикла продукции
7.1 Планирование процессов жизненного цикла продукции
ГОСТ Р ИСО 9001-2008 Организация должна планировать и разрабатывать процессы, необходимые для обеспечения жизненного цикла продукции. Планирование процессов жизненного цикла продукции должно быть согласовано с требованиями к другим процессам системы менеджмента качества (4.1)
|
1. Организация должна продемонстрировать осуществление планирования и разработки процессов, необходимых для обеспечения жизненного цикла продукции.
2. Организация должна продемонстрировать (любым достаточным, с точки зрения аудитора, способом) согласованность планирования процессов жизненного цикла продукции с требованиями к другим процессам системы менеджмента качества (см. п. 4.1 настоящего документа).
Примечания.
1. С целью планирования процессов, необходимых для обеспечения жизненного цикла продукции, организация может разработать механизм (алгоритм) такого планирования применительно к каждому конкретному виду продукции (проекту, объекту и т.п.).
2. К процессам, необходимым для обеспечения жизненного цикла продукции следует относить все установленные организацией процессы, являющиеся неотъемлемой частью общей технологии создания продукции (оказания услуг). При наличии затруднений у аудитора, касающихся классификации того или иного процесса организации как относящегося к указанной категории процессов, он должен руководствоваться одним из следующих критериев:
- процесс является технологическим, т.е. процессом, непосредственно описывающим деятельность (технологические операции) организации по созданию конечного продукта (продукции, результата услуги) организации или его составных частей;
- процесс напрямую взаимоувязан по своим входам и выходам с технологическими процессами (является неотъемлемым связующим звеном между ними);
- процесс является единственным поставщиком входов, необходимых для любого из технологических процессов.
При совпадении полученной аудитором информации о процессе, по меньшей мере, с одним из указанных критериев, делается однозначный вывод о данном процессе, как об одном из процессов, необходимых для обеспечения жизненного цикла продукции.
3. Следует четко разделять две основные составляющие требований данного подраздела: планирование процессов и разработку процессов.
4. Разработка процессов, необходимых для обеспечения жизненного цикла продукции, осуществляется, как правило, в трех случаях:
- для новой продукции (оказание нового вида услуги);
- при создании, либо реинжиниринге (переработке) СМК организации, когда имеет место разработка всей цепочки таких процессов «с нуля»;
- при выявлении по результатам планирования процессов потребности в создании (моделировании) отдельных дополнительных процессов под конкретный проект (контракт) для обеспечения управляемых условий при производстве продукции (выполнении работ) в рамках этого проекта (контракта);
- при необходимости доработки (внесения изменений и дополнений) в существующие процессы организации, выявленной по результатам планирования.
ГОСТ Р ИСО 9001-2008 При планировании процессов жизненного цикла продукции организация должна установить, подходящим для нее образом: а) цели в области качества и требования к продукции; б) потребность в разработке процессов, документов, а также в обеспечении ресурсами для конкретной продукции; в) необходимую деятельность по верификации и валидации, мониторингу, контролю и испытаниям для конкретной продукции, а также критерии приемки продукции; г) записи, необходимые для обеспечения свидетельства того, что процессы жизненного цикла продукции и продукция соответствуют требованиям (4.2.4).
|
1. Организация должна продемонстрировать осуществление планирования процессов жизненного цикла продукции и установить, если это применимо:
а) цели в области качества и требования к продукции;
б) потребность в разработке процессов, документов, а также в обеспечении ресурсами для конкретной продукции;
в) необходимую деятельность по верификации и валидации, мониторингу, контролю и испытаниям для конкретной продукции, а также критерии приемки продукции;
г) записи, необходимые для обеспечения свидетельства того, что процессы жизненного цикла продукции и продукция соответствуют требованиям (4.2.4).
2. Аудитор должен выявить обоснованность исключения при планировании выше изложенных мер.
3. Поскольку стандарт не выдвигает «прямых» требований к разработке процессов при выполнении организацией требований в части планирования процессов, аудитору необходимо проверить дальнейшие действия, вытекающие из планирования. В том случае, если запланирована разработка процессов, и при этом отсутствуют объективные свидетельства их фактической разработки, аудитор должен сделать вывод о несоответствии требованиям п. 7.1 стандарта.
Примечания.
Под планированием процессов, необходимых для обеспечения жизненного цикла продукции, следует подразумевать, в том числе и мероприятия, направленные на оценку адекватности (достаточности) как самих процессов в целом, так и составляющих этих процессов (в том числе видов деятельности, входящих в процессы), для выполнения требований заказчика в соответствии с согласованными с ним исходными данными (требованиями контракта, технического задания, проектной документации и т.п.).
К таким мероприятиям можно отнести:
- оценку достаточности объема и взаимосвязей имеющихся процессов для создания управляемых условий при последующем выпуске продукции (выполнении работ) на основании конкретных исходных данных;
- выбор конкретных целей, ресурсов, записей (см. п. 4.2.4 настоящего документа), мер по валидации и верификации, типовых рабочих инструкций для указанных процессов до начала выполнения конкретных действий в соответствии с требованиями договорной документации.
ГОСТ Р ИСО 9001-2008 Результат этого планирования должен быть представлен в форме, соответствующей практике организации. Примечания. 1 Документ, определяющий процессы системы менеджмента качества (включая процессы жизненного цикла продукции) и ресурсы, которые предстоит применять к конкретной продукции, проекту или контракту, может рассматриваться как план качества. 2 При разработке процессов жизненного цикла продукции организация может также применять требования 7.3.
|
Организация должна представить (документировано) результаты планирования и разработки процессов, необходимых для обеспечения жизненного цикла продукции в форме, установленной в организации (например, в виде плана качества, программы качества или др.).
7.2 Процессы, связанные с потребителями
7.2.1 Определение требований, относящихся к продукции
ГОСТ Р ИСО 9001-2008 Организация должна определить: а) требования, установленные потребителями, включая требования к поставке и деятельности после поставки;
|
1. Организация должна продемонстрировать документированные свидетельства определения требований, установленных потребителями, включая требования к поставке и деятельности после поставки (например, договор, контракт, техническое задание и т.п.).
2. Организация должна представить:
- фонд отраслевой нормативной документации (бумажный или электронный вид), содержащей типовые требования потребителей;
- договор на абонентской обслуживание фонда (обновление, актуализацию) с уполномоченными Заказчиком организациями, либо информационные бюллетени, представляющие информацию об изменениях в отраслевой документации.
б) требования, не определенные потребителем, но необходимые для конкретного или предполагаемого использования, когда оно известно;
|
Организация должна представить свидетельства определения дополнительных (не определенных потребителем) требований, необходимых для конкретного или предполагаемого использования, когда оно известно.
К таким требованиям могут относиться требования самой организации, от выполнения которых зависят качество, цена и сроки поставки продукции (выполнения работ).
в) законодательные и другие обязательные требования, относящиеся к продукции;
|
Организация должна представить свидетельства определения законодательных и другие обязательных требований, относящихся к продукции (выполнению работ) (СНиП, ГОСТ, ГОСТ Р, СанПиН и другие, которые приобретают статус обязательных при заключении сделки в случае ссылки на них) и законодательным актам РФ.
г) любые дополнительные требования, рассматриваемые организацией как необходимые.
|
Организация должна представить свидетельства определения дополнительных требований.
К таким требованиям могут относиться любые документально установленные организацией требования, являющиеся более «жесткими» по отношению к продукции (услуге) или ее составным частям относительно установленных требований в п. 7.2.1 а) — в) и необходимых для поддержания на установленном уровне или повышения удовлетворенности потребителя (заказчика).
7.2.2 Анализ требований, относящихся к продукции
ГОСТ Р ИСО 9001-2008 Организация должна анализировать требования, относящиеся к продукции. Этот анализ должен проводиться до принятия организацией обязательства поставлять продукцию потребителю (например, участия в тендерах, принятие контрактов или заказов, принятие изменений к контрактам или заказам).
|
Организация должна представить свидетельства проведения анализа требований, относящихся к продукции.
К документам, предоставляющим исходные данные для анализа требований к продукции могут относиться:
- полученные от заказчика проекты договорных документов (контрактов);
- тендерная документация;
- проектная документация.
Примечание.
Под анализом требований, относящихся к продукции, следует понимать анализ полноты первоначальных требований к продукции (услуге), полученных организацией от заказчика (потребителя), относительно объема установленной области требований для данного типа продукции (услуги).
Этот анализ <…> должен обеспечивать: а) определение требований к продукции; б) согласование требований контракта или заказа, отличающихся от ранее сформулированных; в) способность организации выполнять определенные требования. Записи результатов анализа и последующих действий, вытекающих из анализа, должны поддерживаться в рабочем состоянии (4.2.4). Если потребители не выдвигают документированных требований, организация должна подтвердить их у потребителя до принятия к исполнению. Если требования к продукции изменены, организация должна обеспечить, чтобы соответствующие документы были исправлены, а заинтересованный персонал был поставлен в известность об изменившихся требованиях. |
В обязательном порядке аудитору должны быть представлены документированные свидетельства, предоставляющие информацию по каждому из следующих вопросов:
- определению организацией принципиальной возможности произвести продукцию (оказать услугу) в объеме первоначальных требований, сообщенных заказчиком;
- оценке адекватности (полноты и достаточности) перечня требований, сообщенных заказчиком, объему требований, установленному самой организацией в соответствии с п. 7.2.1 ГОСТ Р ИСО 9001-2001 и ее текущим возможностям;
- обмену информацией между организацией и заказчиком, как при согласовании первоначальных условий, так и в случае выявления отклонений по результатам оценки адекватности перечня требований, сообщенных заказчиком (см. п. 7.2.3 настоящего документа);
- окончательному согласованию с заказчиком исходных данных, являющихся необходимыми и достаточными для подписания договорных документов и последующего осуществления выпуска продукции (оказания услуги).
Примечание.
К последующим действиям, вытекающим из анализа требований относящихся к продукции, может относиться планирование и разработка процессов, необходимых для жизненного цикла продукции (см. п. 7.1 настоящего документа), а также документов (ППР, программы и планы качества и т.п.). Т.е. требования п. 7.2.2 стандарта к наличию записей и их управлению относятся и к записям по п.п. 7.1, 7.2.3 а)-б), 7.3.1, 7.3.2.
7.2.3 Связь с потребителями
Организация должна определять и осуществлять эффективные меры по поддержанию связи с потребителями, касающиеся: а) информации о продукции; б) прохождения запросов, контракта или заказа, включая поправки; в) обратной связи от потребителей, включая жалобы потребителей |
Организация должна представить документально оформленные меры по поддержанию связи с потребителями, а также свидетельства осуществления этих мер.
Примечание.
Поддержание связи с потребителем должно быть предусмотрено и, при необходимости, осуществляться:
- по п. 7.2.3 а), б) — при проведении по результатам анализа требований, относящихся к продукции (п. 7.2.2) и далее на всех стадиях проектирования, разработки и производства продукции (выполнения работ).
- по п. 7.2.3 в) — на всех основных стадиях выпуска продукции (предоставления услуги), при приемке заказчиком продукции и в ходе гарантийного срока ее обслуживания.
При полученных от проверяемых лиц ответах, например, «не было необходимости по данному контракту», «заказчик не ответил» аудитируемые обязаны представить объективные доказательства о факте информирования Заказчика об существовании указанных мер в организации. В противном случае эти ответы классифицируются как информация, свидетельствующая о несоответствии.
7.3 Проектирование и разработка
7.3.1 Планирование проектирования и разработки
Организация должна планировать проектирование и разработку и управлять этими процессами
|
Организация должна предоставить свидетельства осуществления планирования деятельности по проектированию (разработке).
Примечание.
1. К свидетельствам планирования деятельности по проектированию (разработке) могут относиться:
- приказ на создание рабочей группы и распределение ответственности за проектирование (разработку);
- календарный график осуществления проектирования (разработки) и т. д.
2. Осуществление требований пункта 7.3 для организации является приемлемой, если:
— проектирование и разработка являются стадиями жизненного цикла продукции организации по производству работ (продукции) (разработка ПОС, ППР, технологических карт, программ обследований и испытаний и др.);
— организация осуществляет разработку внутренних нормативных документов, регламентирующих деятельность организации по выполнению работ (производству продукции) (методики, регламенты, СТП, рабочие инструкции и т.п.).
Для проектных организаций требования пункта 7.3 применимы только в части разработки внутренних документов, регламентирующих деятельность организации по выполнению проектных работ, а также при разработке процессов жизненного цикла продукции по осуществлению проектирования (см. п. 7.1 настоящего документа).
В ходе планирования проектирования и разработки организация должна устанавливать: а) стадии проектирования и разработки; б) проведение анализа, верификацию и валидацию, соответствующие каждой стадии проектирования и разработки; в) ответственность и полномочия в области проектирования и разработки. Организация должна управлять взаимодействием различных групп, занятых проектированием и разработкой, с целью обеспечения эффективной связи и четкого распределения ответственности. Результаты планирования должны актуализироваться, если это необходимо, по ходу проектирования и разработки.
|
1. Организация должна представить свидетельства того, что соответствующие подразделения в ходе проектирования и разработки устанавливают:
а) стадии проектирования и разработки;
б) проведение анализа, верификацию и валидацию, соответствующие каждой стадии проектирования и разработки;
в) ответственность и полномочия в области проектирования и разработки.
Такими свидетельствами могут являться следующие составляющие проекта:
- назначение ответственного за проект (менеджера проекта);
- состав рабочей группы проекта (команды проекта) с соответствующим распределением задач и ответственности членов группы по составляющим проекта;
- границы проекта, включая календарные сроки реализации проекта;
- этапы (стадии) проекта;
- основные мероприятия, осуществляемые как по ходу выполнения проекта, так и при завершении каждого из его этапов, включая верификацию, валидацию и анализ проекта и разработки.
2. Организация должна продемонстрировать осуществление управления взаимодействием различных групп, занятых проектированием и разработкой, с целью обеспечения эффективной связи и четкого распределения ответственности (например, приказами, протоколами совещаний, протоколами заседаний технического совета и т.п.).
3. Аудитор должен, по возможности, выявить в организации необходимость актуализации результатов планирования проектирования и разработки, возникающей по ходу проектирования и разработки (например, в случаях изменения сроков осуществления разработки, изменения исходных данных и т.п.). При подтверждении такой необходимости этом организация должна представить свидетельства проведения такой актуализации.
Примечание.
1. При рассмотрении деятельности по проектированию (разработке) имеет смысл рассматривать такую деятельность через призму проектного менеджмента (PMI), поскольку фактически только при указанном способе управления возможна реализация требований раздела 7.3 в полном объеме.
2. Под этапом (стадией) проекта или разработки в указанном контексте следует понимать выполнение конкретной составляющей проекта при наличии всех необходимых для его выполнения исходных данных и ресурсов на момент его запуска. Т.е. в том случае, если все необходимые исходные данные и ресурсы на момент запуска проекта имеют место быть и по ходу проектирования (разработки) не предполагается предоставление дополнительных исходных данных или изменение существующих, проектирование (разработка) может являться одноэтапной. При этом организации также необходимо устанавливать проведение анализа, верификации и валидации на этапе завершения проекта.
3. Для строительно-монтажных организаций действие пункта 7.3 стандарта распространяется на разработку проектов производства работ и технологических карт.
Примечание:
Анализ, верификация и Валидация проектирования и разработки имеют разные цели, поэтому их можно проводить и записи по ним вести как отдельно, так и в любых сочетаниях, подходящих для продукции(услуги) и организации.
7.3.2 Входные данные проектирования и разработки
Входные данные, относящиеся к требованиям к продукции, должны быть определены, а записи должны поддерживаться в рабочем состоянии (4.2.4). Входные данные должны включать: а) функциональные и эксплуатационные требования; б) соответствующие законодательные и другие обязательные требования; в) там, где это возможно, информацию, взятую из предыдущих аналогичных проектов; г) другие требования, важные для проектирования и разработки.
|
1. Организация должна представить записи, подтверждающие использование в исходных данных следующих источников:
- информации от Заказчика, описывающей требования к продукции (результатам услуг) (ТЗ, ПОС, контрактная документация и т.п.), согласованная с ним по результатам проведенного организацией анализа (см. п. 7.2.2 настоящего документа);
- законодательных и других документов, содержащих обязательные требования к продукции (услугам);
- информации, относящейся к требованиям к продукции (услугам), установленным самой организацией исходя из результатов валидации предыдущих аналогичных проектов (см. п. 7.2.1 настоящего документа).
2. Организация должна представить свидетельства управления записями в соответствии с п. 4.2.4 настоящего документа.
Входные данные должны анализироваться на достаточность. Требования должны быть полными, недвусмысленными и непротиворечивыми.
|
Организация должна представить свидетельства проведения анализа входных данных на достаточность. Таким свидетельством может быть, например, протокол совещания с участием всех членов рабочей группы с целью определения достаточности требований, которые должны быть полными, недвусмысленными и непротиворечивыми.
7.3.3 Выходные данные проектирования и разработки
Выходные данные проектирования и разработки должны быть представлены в форме, позволяющей провести верификацию относительно входных требований к проектированию и разработке, а также должны быть официально одобрены до их последующего использования. Выходные данные проектирования и разработки должны: а) соответствовать входным требованиям к проектированию и разработке; б) обеспечивать соответствующей информацией по закупкам, производству и обслуживанию; в) содержать критерии приемки продукции или ссылки на них; г) определять характеристики продукции, существенные для ее безопасного и правильного использования.
|
Организация должна представить одобренные до последующего использования выходные данные проектирования и разработки.
К выходным данным проектирования могут относиться:
- проектная и конструкторская документация (ПОС, проект объекта и т.д.);
- нормативные документы (ОТТ, ТУ и т.п.)
- исходные данные для последующего проектирования (ТЗ).
К выходным данным разработки относятся:
- производственно-технологическая документация (проекты производства работ, технологические карты и т.д.);
- вновь разработанная документация СМК организации (в случае, если в ней установлены требования к продукции/услуге).
Примечание:
Информация по производству и обслуживанию может включать в себя подробные данные по сохранению продукции.
7.3.4 Анализ проекта и разработки
На соответствующих стадиях должен проводиться систематический анализ проекта и разработки в соответствии с запланированными мероприятиями (7.3.1) с целью: а) оценивания способности результатов проектирования и разработки удовлетворять требованиям; б) выявления любых проблем и внесения предложений по необходимым действиям. В состав участников такого анализа должны включаться представители подразделений, имеющих отношение к анализируемой(ым) стадии(ям) проектирования и разработки. Записи результатов анализа и всех необходимых действий должны поддерживаться в рабочем состоянии (4.2.4).
|
1. Организация должна представить записи результатов анализа проекта и разработки и всех необходимых действий. Требования к этим записям должны быть установлены в СМК организации (см. п. 4.2.4 настоящего документа).
Анализ должен проводиться:
- на соответствующих этапах проектирования (разработки) в соответствии с запланированными сроками или установленными критериями периодичности (см. п. 7.3.1 настоящего документа);
- при поступлении по ходу проектирования (разработки) дополнительных данных с целью оценки пригодности этих данных и адекватности им уже реализованных составляющих проекта;
- при внесении заказчиком изменений в исходные данные с целью оценки влияния указанных изменений как на составляющие проекта, так и на проект в целом (см. п. 7.3.7 настоящего документа).
2. Организация должна представить свидетельства того, что в состав участников такого анализа включаются представители подразделений, имеющих отношение к анализируемой(ым) стадии(ям) проектирования и разработки (например, записи результатов анализа, содержащие состав участников анализа).
7.3.5 Верификация проекта и разработки
Верификация должна осуществляться в соответствии с запланированными мероприятиями (7.3.1), чтобы удостовериться, что выходные данные проектирования и разработки соответствуют входным требованиям. Записи результатов верификации и всех необходимых действий должны поддерживаться в рабочем состоянии (4.2.4).
|
1. Организация должна продемонстрировать осуществление верификации в соответствии с запланированными мероприятиями (см. 7.3.1 настоящего документа), чтобы удостовериться, что выходные данные проектирования и разработки соответствуют входным требованиям. К видам верификации могут относиться: внутренняя экспертиза, нормоконтроль (в части соответствия выходных данных требованиям нормативных документов к содержанию и оформлению), внутреннее и/или внешнее согласование, соответствующее рассмотрение выходных данных на техническом совете и др.
2. Организация должна представить записи результатов верификации и всех необходимых действий.
Организация должна представить свидетельства управления такими записями в соответствии с п. 4.2.4 настоящего документа.
7.3.6 Валидация проекта и разработки
Валидация проекта и разработки должна осуществляться в соответствии с запланированными мероприятиями (7.3.1), чтобы удостовериться, что полученная в результате продукция соответствует требованиям к установленному или предполагаемому использованию, если оно известно. Где это практически возможно и целесообразно, валидация должна быть завершена до поставки или применения продукции. Записи результатов валидации и всех необходимых действий должны поддерживаться в рабочем состоянии (4.2.4).
|
1. Организация должна продемонстрировать осуществление валидации в соответствии с запланированными мероприятиями (см. 7.3.1 настоящего документа), чтобы удостовериться, что полученная в результате продукция соответствует требованиям к установленному или предполагаемому использованию, если оно известно.
К видам валидации могут относиться:
- сравнение с предыдущими аналогичными проектами (разработками)- для ПД, ПТД, ОТТ, ТУ;
- обсуждение с представителями эксплуатационных, подрядных организаций и организаций-заказчиков оптимальности (пригодности) с точки зрения практического применения тех или иных решений, отображенных в проекте (разработке) — для ПД и ПТД;
- посредством осуществления авторского надзора за проектными решениями — для ПД (если целью авторского надзора является подтверждение выполнения требований по конкретному объекту при осуществлении проекта или разработки);
- внешняя экспертиза проекта и/или разработки (если целью такой экспертизы ставится задача подтверждения соответствия требованиям к установленному или предполагаемому использованию;
- эксплуатационными испытаниями опытного образца — для КД и ТУ;
- испытания до начала производства продукции (монтажа на площадке строительства) и др.
2. Организация должна представить записи результатов валидации и всех необходимых действий.
Организация должна представить свидетельства управления такими записями в соответствии с п. 4.2.4 настоящего документа.
7.3.7 Управление изменениями проекта и разработки
Изменения проекта и разработки должны быть идентифицированы, а записи должны поддерживаться в рабочем состоянии. Изменения должны быть проанализированы, верифицированы и валидированы соответствующим образом, а также одобрены до внесения. Анализ изменений проекта и разработки должен включать оценку влияния изменений на составные части и уже поставленную продукцию. Записи результатов анализа изменений и любых необходимых действий должны поддерживаться в рабочем состоянии (4.2.4).
|
1. Организация должна представить подтверждения осуществления идентификации изменений проекта и разработки.
2. Организация должна представить свидетельства проведения анализа, верификации, валидации и одобрения изменений проекта и разработки до их внесения.
Организация может осуществлять такой анализ, верификацию, валидацию в соответствии с п.п. 7.3.4 — 7.3.6 настоящего документа.
3. Организация должна представить свидетельства проведения оценки влияния изменений на составные части и уже поставленную продукцию.
4. Организация должна представить записи результатов анализа изменений проекта и разработки и любых необходимых действий.
Организация должна представить свидетельства управления такими записями в соответствии с п. 4.2.4 настоящего документа.
Примечание.
Изменения в проект и разработку, как правило, связаны с внесением заказчиком изменений или дополнений в исходные данные проектирования и разработки.
7.4 Закупки
Примечания.
1. Требования пункта 7.4 применимы в следующих случаях:
ѕ организация закупает сырье, материалы, оборудование, готовые проекты, ППР и др., необходимые для производства продукции (выполнения работ, оказания услуг) и которые будут входить в состав конечной продукции или в результаты работ (услуг);
ѕ организация закупает услуги по выполнению работ, предназначенные для потребителя или затребованные им, а также осуществлению процессов, переданных на выполнение сторонним организациям в соответствии с п. 4.1 стандарта, так называемым «аутсорсинговым процессам» (см. п. 4.1 настоящего документа).
2. Требования пункта 7.4 не применимы в случаях закупок материалов, комплектующих, оборудования или услуг, не предназначенных для потребителя или не затребованных им (рабочей одежды, запасных частей для строительной техники и технологического оборудования, измерительного оборудования, услуг по обучению персонала, услуг по ремонту оборудования, услуг по поверке средств измерения и т. п.).
7.4.1 Процесс закупок
Организация должна обеспечивать соответствие закупленной продукции установленным требованиям к закупкам. Тип и степень управления, применяемые по отношению к поставщику и закупленной продукции, должны зависеть от ее воздействия на последующие стадии жизненного цикла продукции или готовую продукцию.
|
1. Организация должна продемонстрировать аудиторам механизмы обеспечения соответствия закупленной продукции (работ, услуг) установленным требованиям к закупкам с момента планирования процессов жизненного цикла продукции (см. 7.1 настоящего документа) до осуществления верификации закупленной продукции (входного контроля) (см. 7.4.3 настоящего документа).
Требования к продукции (работ, услуг), необходимым для производства могут содержаться, например, в проектно-сметной, контрактной, тендерной или другой документации.
2. Организация должна продемонстрировать то, что тип и степень управления, применяемые по отношению к поставщику и закупленной продукции, должны зависеть от ее воздействия на последующие стадии жизненного цикла продукции или готовую продукцию.
К таким свидетельствам могут относиться установленные в договорах поставок периодические проверки со стороны организации технологического процесса изготовления закупаемой продукции на предприятии поставщика, расширенный объем входного контроля, участие организации в контроле качества готовой продукции у поставщика и др.
Организация должна оценивать и выбирать поставщиков на основе их способности поставлять продукцию в соответствии с требованиями организации. Должны быть разработаны критерии отбора, оценки и повторной оценки. Записи результатов оценивания и любых необходимых действий, вытекающих из оценки, должны поддерживаться в рабочем состоянии (4.2.4). |
1. Организация должна представить документально оформленные критерии отбора, оценки и повторной оценки поставщиков.
2. Организация должна продемонстрировать проведение оценивания и выбора поставщиков на основе их способности поставлять продукцию в соответствии с требованиями организации.
3. Организация должна представить записи результатов оценивания и любых необходимых действий, вытекающих из оценки.
Организация должна представить свидетельства управления такими записями в соответствии с п. 4.2.4 настоящего документа.
Примечания.
1. Как правило, с помощью критериев отбора организация отбирает ряд потенциальных поставщиков конкретной продукции. Критерии оценки позволяют организации осуществить оценивание отобранных поставщиков и выбрать наиболее приемлемого поставщика или поставщиков. Используя критерии повторной оценки организация получает данные о том, что выбранные поставщики по-прежнему являются наиболее приемлемыми, а также расширяет круг приемлемых поставщиков из числа поставщиков, успешно прошедших повторное оценивание и ранее не выбираемых поставщиков.
2. Как правило, организация оценивает поставщиков отдельно по видам поставляемой продукции, что позволяет сравнивать результаты оценивания для проведения выбора наиболее приемлемого поставщика.
3. Организация должна проводить отбор, оценку и повторную оценку поставщика независимо от того, является ли он одним из многочисленных потенциальных поставщиков конкретной продукции, или единственным и уникальным поставщиком продукции.
7.4.2 Информация по закупкам
Информация по закупкам должна описывать заказанную продукцию, включая, где это необходимо: а) требования к официальному одобрению продукции, процедур, процессов и оборудования; б) требования к квалификации персонала; в) требования к системе менеджмента качества.
|
1. Организация должна продемонстрировать, что технические или другие требования на закупаемые материалы, комплектующие и оборудование содержат все данные и требуемые характеристики, необходимые для закупки (номенклатуру необходимой продукции, ее объемы, сметную стоимость покупки и доставки, качественные показатели, технические условия, сроки и места назначения поставок, рекомендуемых поставщиков, общие требования к поставщикам).
2. Информация о закупках и поставках может содержаться заявках на покупку, в получаемой от Заказчика рабочей, проектно-сметной, контрактной, тендерной и другой документации.
3. Если заказчик не предоставляет никаких требований и информации по закупкам, организация сама определяет эти требования и информацию для закупок, например, после разработки типовой технологической карты и согласования ее с заказчиком организация определяет требования и информацию по необходимым закупкам оборудования, материалов, комплектующих и т.п.
4. Информация по закупкам, где это необходимо, описывающая требования к официальному одобрению продукции, процедур, процессов и оборудованию поставщика, требования к квалификации персонала поставщика; требования к системе менеджмента качества поставщика может быть изложена в проектно-сметной документации, договоре (контракте) на поставку, в тендерной документации или в других документах.
Организация должна обеспечивать достаточность установленных требований к закупкам до их сообщения поставщику.
|
Организация должна продемонстрировать, что при выполнении всех действий или процедур по закупкам обеспечивается уверенность в достаточности установленных требований к закупкам до их сообщения поставщику (например, согласование с заказчиком марки закупаемых электродов и их производителя, до того, как она заключит договор с поставщиком).
7.4.3 Верификация закупленной продукции
Организация должна разработать и осуществлять контроль или другую деятельность, необходимую для обеспечения соответствия закупленной продукции установленным требованиям к закупкам.
|
1. Организация должна представить документы (инструкции, методики, ведомости входного контроля и т.п.) контроля закупленной продукции (материалов, комплектующих, услуг и т.п.), необходимого для обеспечения соответствия закупленной продукции установленным требованиям к закупкам.
2. Организация должна представить свидетельства осуществления контроля или другой деятельности, необходимой для обеспечения соответствия закупленной продукции установленным требованиям к закупкам (журналы входного контроля, акты приемки и т.п.).
3. Должны быть установлены требования к квалификации, образованию и/или подготовке персонала, осуществляющего верификацию закупленной продукции (например, в приказах или должностных инструкциях).
Примечание.
К услугам, по отношению к которым необходимо осуществлять верификацию, относятся работы (процессы), предназначенные для потребителя или затребованные им и переданные на выполнение сторонним организациям. К таким услугам не относится обучение персонала, осуществление ремонта оборудования и техники, поверка измерительного оборудования и т.п., т.е. работы, не предназначенные для потребителя и не затребованные им.
Если организация или ее потребитель предполагают осуществить верификацию у поставщика, то организация должна установить предполагаемые меры по верификации и порядок выпуска продукции в информации по закупкам.
|
При наличии таких случаев, организация должна представить свидетельства осуществления верификации на территории поставщика, а в информации по закупкам — предполагаемые меры по верификации и порядок выпуска продукции.
7.5 Производство и обслуживание
7.5.1 Управление производством
Организация должна планировать и осуществлять производство и обслуживание в управляемых условиях. Управляемые условия должны включать там, где это применимо:
а) наличие информации, описывающей характеристики продукции;
б) наличие рабочих инструкций в случае необходимости;
в) применение подходящего оборудования;
г) наличие и применение контрольных и измерительных приборов;
д) проведение мониторинга и измерений;
е) осуществление выпуска, поставки и действий после поставки продукции.
1. Организация должна продемонстрировать то, что планирование и производство продукции (работ, услуг) осуществляется в управляемых условиях.
Организация может представить механизм или порядок планирования и осуществления производства.
2. Организация должна представить условия (где это применимо) в соответствии с подпунктами а) — е) п. 7.5.1.
Организация должна обосновать неприменимость какого-либо подпункта а) — е) п. 7.5.1. В случае, когда организация не обосновала неприменимость какого-либо подпункта а) — е) п. 7.5.1, а аудитор аргументировано доказал применимость такого требования для специфики деятельности организации, то это указывает на несоответствие требованиям п. 7.5.1.
Примечание.
1. Для строительно-монтажных организаций часть управляемых условий приведено в проекте производства работ (ППР).
2. К действиям организации после поставки продукции (выполнения работ, оказания услуг) относится гарантийное обслуживание, наладка продукции (если это не входит в состав продукции), сопровождение продукции после поставки в процессе ее эксплуатации (если это не входит в состав продукции) и др.
7.5.2 Валидация процессов производства и обслуживания
Организация должна валидировать все процессы производства и обслуживания, результаты которых не могут быть верифицированы последующим мониторингом или измерениями, вследствие чего недостатки становятся очевидными только после начала использования продукции или после представления услуги..
Валидация должна продемонстрировать способность этих процессов достигать запланированных результатов.
Организация должна разработать меры по этим процессам, в том числе там, где это применимо:
а) определенные критерии для анализа и утверждения процессов;
б) утверждение соответствующего оборудования и квалификации персонала;
в) применение конкретных методов и процедур;
г) требования к записям (4.2.4);
д) повторную валидацию.
1. К процессам, недостатки которых становятся очевидными только после начала использования продукции или после предоставления услуги, относятся: сварка, наплавка, пайка, нанесение покрытия (изоляционного, окрасочного и др.), термообработка, электромонтаж (например, прокладка кабеля в кандуиты без проведения соответствующего специального контроля после прокладки) и др.
2. Организация должна представить свидетельства того, что применяемая валидация демонстрирует способность этих процессов достигать запланированных результатов (проведение аттестации технологии сварки, выполнение аналогичных работ на других объектах, опробование технологии покраски на образцах и т.п.).
3. Организация должна представить свидетельства принятия мер по таким процессам (где это применимо) в соответствии с требованиями подпунктов а) — д) п. 7.5.2.
Организация должна обосновать неприменимость какого-либо подпункта а) — д) п. 7.5.2. В случае, когда организация не обосновала неприменимость какого-либо подпункта а) — д) п. 7.5.2, а аудитор аргументировано доказал применимость такого требования для специфики деятельности организации, то это указывает на несоответствие требованиям п. 7.5.2.
7.5.3 Идентификация и прослеживаемость
Если это возможно и целесообразно, организация должна идентифицировать продукцию при помощи соответствующих средств на всех стадиях ее жизненного цикла.
Организация должна идентифицировать статус продукции по отношению к требованиям мониторинга и измерений на всех стадиях ее жизненного цикла.
Если прослеживаемость является требованием, то организация должна управлять специальной идентификацией продукции и поддерживать записи в рабочем состоянии (4.2.4).
Примечание — В ряде отраслей промышленности менеджмент конфигурации является средством поддержания идентификации и прослеживаемости.
1. Организация должна продемонстрировать аудиторам, каким образом осуществляется идентификация в организации на всех стадиях жизненного цикла продукции.
Примерами идентификации продукции (как собственной, так и полученной или закупленной от других организаций) могут быть: бирка, клеймо или любой другой визуально различимый идентификатор; место расположение продукции на установленных зонах (например, на схеме строительного участка); запись (например, журналы производства работ, бланки, акты и др.).
2. Организация должна продемонстрировать осуществление идентификации статуса продукции по отношению к требованиям мониторинга и измерений (например, представить акты с результатами контроля качества, журналы производства работ, журналы входного контроля и др.).
3. Если в ходе аудита выявлено, что в организации установлено требование прослеживаемости, то организация должна продемонстрировать осуществление прослеживаемости путем управления соответствующей идентификацией продукции.
Идентификация для целей прослеживаемости на различных этапах жизненного цикла продукции может обеспечиваться путем ведения журналов, актов, сопроводительных документов и других записей по качеству.
4. Организация должна представить соответствующие записи, подтверждающие осуществление прослеживаемости, а также продемонстрировать управление ими в соответствии с требованиями п. 4.2.4 стандарта (см. п. 4.2.4 настоящего документа).
7.5.4 Собственность потребителей
Организация должна проявлять заботу о собственности потребителя, пока она находится под управлением организации или используется ею. Организация должна идентифицировать, верифицировать, защищать и сохранять собственность потребителя, предоставленную для использования или включения в продукцию. Если собственность потребителя утеряна, повреждена или признана непригодной для использования, организация должна известить об этом потребителя и поддерживать записи в рабочем состоянии (4.2.4).
Примечание — Собственность потребителя может включать в себя интеллектуальную собственность и сведения личного характера.
Примечание.
К собственности потребителя относится продукция, передаваемая организации со стороны потребителя и входящая в состав результатов работ, оказания услуг или заказанной потребителем продукции в соответствии с договором (контрактом). Например, для строительно-монтажных организаций собственностью потребителя могут являться трубы, арматура, аппаратура и оборудование и т.п., которые организация монтирует с целью производства работ.
1. Организация должна продемонстрировать то, что собственность потребителя находится под управлением организации, представляя свидетельства осуществления:
— идентификации собственности потребителя (наносит идентификационные метки на продукции, складирует продукцию в строго определенных местах или площадках, ведет и поддерживает в рабочем состоянии соответствующие записи (см. п. п. 4.2.4, 7.5.3 настоящего документа) и др.);
— верификации собственности потребителя (проводит входной контроль или приемку собственности потребителя или другую аналогичную деятельность, ведет и поддерживает в рабочем состоянии соответствующие записи (см. п. п. 4.2.4, 7.4.3 настоящего документа) и др.);
— защиты и сохранения собственности потребителя (осуществляет охрану собственности потребителя от кражи, порчи, несанкционированного использования, копирования и др., а также защищает собственность потребителя от повреждения или потери (см. п. 7.5.5 настоящего документа).
2. Организация должна представить свидетельства определения записей, которые ведутся или будут оформляться в случаях утери, повреждении или признании непригодной для использования собственности потребителя (см. п. 4.2.4 настоящего документа).
7.5.5 Сохранность продукции
Организация должна сохранять продукцию в процессе внутренней обработки и поставки к месту назначения для поддержания ее соответствия установленным требованиям. Если это применимо сохранение соответствия продукции должно включать в себя идентификацию, погрузочно-разгрузочные работы, упаковку, хранение и защиту. Требование сохранения соответствия должно быть также применено и к составным частям продукции.
Организация должна продемонстрировать то, каким образом обеспечивается сохранность продукции в процессе внутреннего обращения (обработки, монтажа и т.п.) и доставки ее на объект или заказчику, включая идентификацию, погрузочно-разгрузочные работы, упаковку, хранение и защиту (в том числе составных частей продукции) (например, представить аудитору схемы строповки, инструкции по выполнению погрузочно-разгрузочных работ, схемы складирования, инструкции по учету и хранению продукции и ее составных частей, схемы укладки продукции, схемы движения транспорта и др.).
Примечание.
Требования п. 7.5.5 стандарта не применимы к материалам и комплектующим, не включаемым в конечную продукцию (например, к запчастям для технологического оборудования, инструменту и оснастки, средствам индивидуальной защиты и др.).
7.6 Управление оборудованием для мониторинга и измерений
Организация должна определить мониторинг и измерения, которые предстоит осуществлять, а также оборудование для мониторинга и измерения, необходимые для обеспечения свидетельства соответствия продукции установленным требованиям.
|
1. Организация должна определить (в описаниях процессов, СТП, документированных процедурах, технологических инструкциях, операционных картах и т. д.) все необходимые мониторинг и измерения, которые осуществляются в организации для предоставления свидетельств соответствия продукции/услуги установленным требованиям.
2. Для всех установленных видов мониторинга и измерений должны быть определены соответствующие устройства. Устройство может давать качественные (основанные на характерном признаке) или количественные результаты.
3. Для всех видов измерений должна быть установлена необходимая точность измерений. Соответственно, устройства для проведения измерений должны обладать метрологическими характеристиками, позволяющими добиться необходимой точности.
4. Должны быть определены и обеспечены необходимые методики проведения измерения. Управление методиками должно осуществляться в соответствии с требованиями п. 4.2.3 настоящего документа.
Примечание.
1. К измерениям, которые применяются в организации для предоставления свидетельств соответствия продукции/услуги установленным требованиям, могут относиться измерения, необходимые для:
ѕ подтверждения (официального) соответствия продукции/услуги в ходе её производства (при проведении входного контроля, пооперационного контроля, приемочного контроля), контроля соответствия хода технологических процессов производства установленным требованиям (контроль параметров технологических процессов, например, температуры, давления, продолжительности операций и т. д.);
ѕ мониторинга показателей продукции/услуги на промежуточных стадиях (глубина, при рытье траншеи; химический состав металла, в ходе плавки; угол изгиба, при гнутье отводов и т.д.);
ѕ контроля результатов проектирования и разработки (с помощью альтернативных компьютерных программ, таблиц, справочников и т. д.).
2. К устройствам для мониторинга и измерений можно отнести, например: аварийную мигающую лампу, индикатор включения/выключения электроэнергии, «проходной/непроходной» калибр, индикатор низкого уровня топлива; термический карандаш, нивелир, теодолит, толщиномер, программные средства, справочные таблицы, эталоны измерений, стандартные образцы и т.д.).
3. Для организаций, продукцией которых являются результаты измерений и/или мониторинга (контроль качества, диагностика и др.), требования п. 7.6 стандарта не применимы и должны быть исключены из области применения СМК организации. В таких случаях организация должна обеспечивать наличие подходящего измерительного оборудования и его пригодность в соответствии с требованиями п. 6.3 стандарта.
Организация должна иметь процессы для обеспечения того, чтобы мониторинг и измерения могли быть выполнены и в действительности выполнялись в соответствии с требованиями к ним.
|
1. Организация должна разработать, документально оформить (в виде карты процесса, регламента процесса, стандарта предприятия и т. п.) процесс/процессы, для обеспечения того, что мониторинг и измерения проводятся таким способом, который согласуется с требованиями к мониторингу и измерениям. Регламентация и управление процессом/процессами должно соответствовать требованиям п. 4.1 настоящего документа.
2. Аудитор должен убедиться, что установленные в описании процесса механизмы (существующие в практике организации), а также имеющееся измерительное оборудование позволяют выполнить все требуемые технологией производства измерения в полном объеме, с заданной периодичностью и точностью в соответствии с установленными методиками в необходимые сроки.
Примечание.
Целесообразно, чтобы в описании процесса были установлены (в т. ч. путем ссылок на другие документы):
-виды измерений (с указанием необходимой точности их результатов), необходимые для предоставления свидетельств соответствия продукции установленным требованиям;
— необходимые устройства для измерения с соответствующими метрологическими характеристиками;
— соответствующие методики измерений;
— механизм определения необходимых устройств для измерения при подготовке к реализации нового проекта (производства нового вида продукции, строительства нового объекта и т. д.) или внесения изменений в существующую технологию или конструкцию (например, посредством проведения метрологической экспертизы производственно-технологической документации) и их обеспечения;
— механизм обеспечения наличия необходимых средств измерений и методик измерения в местах их применения;
— виды измерений, результаты которых должны иметь законную силу (служить официальной гарантией того, что продукция/услуга соответствует установленным к ней требованиям) и соответствующие средства измерения, требующие обязательной поверки/калибровки;
— механизм обеспечения проведения своевременной поверки/калибровки средств измерения и соответствующей идентификации;
— механизм обеспечения надлежащей эксплуатации средств измерений, своевременного технического обслуживания и хранения;
— механизм оценки и документального оформления приемлемости результатов сделанных ранее измерений, если обнаружится, что средства измерения не соответствует требованиям, а также меры, которые должны быть приняты по отношению к такому оборудованию и измеренной с его помощью продукции/услуги.
Там, где необходимо обеспечивать имеющие законную силу результаты, измерительное оборудование должно быть:
|
В организации должны быть определены средства измерений (измерительное оборудование), которые применяются для официального подтверждения соответствия выпускаемой продукции/услуг. К ним относятся все средства, которые применяются при проведении входного, пооперационного и приемочного контроля, результаты которого (либо констатация соответствия) фиксируются документально, а также средства измерения, используемые для контроля технологических параметров по ходу их реализации.
а) откалибровано и/или проверено в установленные периоды или перед его применением по образцовым эталонам, передающим размеры единиц в сравнении с международными или национальными эталонами. При отсутствии таких эталонов база, использованная для калибровки или поверки, должна быть зарегистрирована(4.2.4);
|
1. В организации должна быть установлена ответственность за проведение своевременной поверки/калибровки соответствующих средств измерения (измерительного оборудования).
2. Аудитор должен убедиться, что организация, осуществляющая поверку или калибровку средств измерения, должна иметь свидетельство об аккредитации на право осуществления соответствующих видов поверки, а также соответствующую область аккредитации.
В случае, если организация заявляет о возможности самостоятельно проводить калибровку, она должна продемонстрировать аккредитацию в Центре метрологии и стандартизации (ЦСМ) с соответствующей областью аккредитации.
3. Аудитор должен иметь в виду, что организация может не проводить поверку/калибровку средств измерений по истечении срока межповерочного/межкалибровочного интервала. В этом случае применяемое средство измерения должно быть изъято из обращения с соответствующей идентификацией.
4. Поверка всех указанных средств измерения (до их использования) должна документально подтверждаться свидетельствами о поверке или паспортами с клеймом первичной поверки (до истечения срока первого межповерочного интервала).
5. Надо иметь в виду, что допускается отклонение от графика поверки, однако аудитор должен убедиться в том, что организация обеспечила поверку всех средств измерения перед их непосредственным использованием.
6. Все испытательное оборудование, которое используется для официального подтверждения соответствия выпускаемой продукции/услуг также должно периодически проходить аттестацию в установленном порядке с оформлением протоколов аттестации и аттестатов.
б) отрегулировано или повторно отрегулировано по мере необходимости; в) идентифицировано с целью установления статуса калибровки;
|
Организация должна обеспечить, чтобы все поверенные (прошедшие калибровку) средства измерения (измерительное оборудование) были идентифицированы таким образом, чтобы можно было определить проверены ли они в данный момент, были ли результаты поверки (калибровки) положительными, а также когда необходима повторная поверка (калибровка) данных средств измерения (измерительного оборудования).
Аудитор должен убедиться, что такая идентификация гарантирует, что при проведении официального подтверждения соответствия продукции/услуги будет исключено применение не поверенного (не прошедшего калибровку) измерительного оборудования, или оборудования, результаты поверки (калибровки) которого были отрицательными.
Примечание.
Идентификация может осуществляться посредством нанесения на оборудование информации о его статусе по отношению к результатам поверки/калибровки (дата проведения поверки/калибровки, информация о положительных, либо отрицательных результатах поверки/калибровки, дата следующей поверки/калибровки).
Допускается идентификация оборудования только по его номеру (заводскому или внутреннему инвентарному), при этом должны вестись записи, в которых содержится вся информация о статусе данного оборудования по отношению к результатам поверки/калибровки. В таком случае все сотрудники организации, полномочные проводить измерения данным оборудованием должны быть информированы о наличии и местонахождении таких записей.
г) защищено от регулировок, которые сделали бы недействительными результаты измерения; д) защищено от повреждения и ухудшения состояния в ходе обращения, технического обслуживания и хранения.
|
1. В организации должен быть документально определен круг сотрудников, которые полномочны проводить измерения (испытания) с целью официального подтверждения соответствия продукции/услуги установленным требованиям. Данные сотрудники должны быть соответствующим образом обучены и аттестованы (при необходимости).
2. Организация должна гарантировать, что производить регулировки измерительного оборудования могут только уполномоченные сотрудники.
Перед использованием оборудование должно быть соответствующим образом настроено. Соответствующая методика настройки/юстировки определена и уполномоченные сотрудники ознакомлены с ней.
3. Должны быть документально установлены условия хранения и эксплуатации оборудования (например, в паспортах). В ходе проверки аудитор должен проверить (выборочно) соответствие условий хранения измерительного оборудования установленным требованиям.
4. Проведение измерений (испытаний) должно проводиться в строгом соответствии с утвержденными (при необходимости, аттестованными) методиками.
5. В организации должна быть установлена ответственность за сохранность (защиту от поломок и повреждений) измерительного оборудования в процессе его хранения, эксплуатации, технического обслуживания и транспортировки.
Периодическое техническое обслуживание измерительного оборудования (если такое предусмотрено) должно осуществляться в соответствии с требованиями паспортов.
Кроме того, организация должна оценить и зарегистрировать правомочность предыдущих результатов измерения, если обнаружено, что оборудование не соответствует требованиям. Организация должна предпринять соответствующее действие в отношении такого оборудования и любой измеренной продукции. Записи результатов калибровки и поверки должны поддерживаться в рабочем состоянии (4.2.4).
|
1. В процессе проведения проверки аудитор должен убедиться, что все сотрудники, уполномоченные проводить измерения с целью официального подтверждения соответствия знают (или это установлено документально), в каких случаях может быть выявлена неисправность измерительного оборудования (периодические дублирующие измерения, визуальный контроль полученных результатов и т. д.).
2. Аудитор должен убедиться, что в тех случаях, когда было выявлено несоответствие требованиям измерительного оборудования (характеристики результатов измерений выходят за рамки допустимых) были предприняты соответствующие меры в отношении измерительного оборудования и всей измеренной с его помощью продукции/услуги.
Данные меры должны гарантировать, что измеренная с помощью такого оборудования продукция/услуга либо соответствовала требованиям, либо была переделана, а её соответствие было повторно подтверждено годным измерительным оборудованием.
3. Аудитор должен убедиться, что аналогичные меры были предприняты в отношении измерительного оборудования, используемого для официального подтверждения соответствия продукции/услуги установленным требованиям (и в отношении измеренной с его помощью продукции), если были выявлены случаи, когда данное оборудование было не проверено/калибровано.
4. Записи, подтверждающие факт и результаты проведения поверки/калибровки (паспорта с отметкой о проведении первичной поверки, свидетельства о поверке и т. д.) должны находиться под управлением в соответствии с требованиями п. 4.2.4 настоящего документа.
Примечание.
Целесообразно, чтобы в организации были:
ѕ документально установлены (например, в описании процесса) меры (а также ответственность за их реализацию), которые должны быть предприняты в отношении измерительного оборудования и всей измеренной с его помощью продукции в случае, если окажется, что измерительное оборудование не соответствует требованиям (характеристики результатов измерений выходят за рамки допустимых);
ѕ определены мероприятия (периодические дублирующие измерения, визуальный контроль полученных результатов и т. д.), в ходе которых может быть установлена неисправность оборудования и ответственность за их выполнение;
ѕ установлен порядок действий, если окажется, что для подтверждения соответствия продукции/услуг установленным требованиям использовалось не поверенное (не прошедшее калибровку) измерительное оборудование.
Если при мониторинге и измерении установленных требований используют компьютерные программные средства, их способность удовлетворять предполагаемому применению предварительно должна быть подтверждена. Это должно быть осуществлено до начала применения и повторно подтверждено по мере необходимости.
|
Примечание:
Подтверждение соответствия компьютерного программного обеспечения предполагаемому применению обычно предусматривает его верификацию и менеджмент конфигурации в целях поддержания его пригодности для использования.
1. Компьютерные программные средства, используемые для мониторинга и измерений (например, расчетные программы, используемые при проектировании) должны быть аттестованы внутри организации (если данный программный продукт не сертифицирован или не аттестован во внешних организациях). Такая аттестация может осуществляться при первоначальной установке и внедрении компьютерных программных средств, а также в процессе их эксплуатации, в том числе при помощи использования альтернативных компьютерных программ, ручных расчетов, статистического анализа и т. д.
2. Должны вестись и управляться (в соответствии с п. 4.2.4 настоящего документа) записи, подтверждающие проведение таких аттестаций.
8. Измерение, анализ и улучшение
8.1 Общие положения
ГОСТ Р ИСО 9001-2008 Организация должна планировать и применять процессы мониторинга, измерения, анализа и улучшения, необходимые для: а) демонстрации соответствия требованиям к продукции; б) обеспечения соответствия системы менеджмента качества; в) постоянного повышения результативности системы менеджмента качества. Указанная деятельность должна включать в себя определение применимых методов, в том числе статистических, и область их использования.
|
1. Требования данного пункта являются обобщающими требования всего 8 раздела. Организация должна продемонстрировать аудитору, что в организации применяется методы мониторинга, измерения и анализа, на основании которых вырабатываются и реализуются конкретные мероприятия, направленные на достижение запланированных показателей и улучшение отдельных аспектов деятельности.
2. Организация должна определить и применять методы мониторинга и измерения продукции, анализировать полученные данные (по ходу производства и при проведении анализа со стороны высшего руководства), разрабатывать и реализовывать конкретные мероприятия (в т. ч. корректирующие действия) направленные на обеспечения соответствия продукции/услуги установленным требованиям и улучшение характеристик продукции.
3. Организация должна определить и применять методы мониторинга и измерения СМК (например, посредством проведения внутренних аудитов на соответствие требованиям ГОСТ Р ИСО 9001-2008, внутренним документам СМК и внешним нормативным документам), анализировать полученные данные (при выявлении несоответствий и при проведении итогового анализа результатов аудитов высшим руководством) разрабатывать и реализовывать конкретные мероприятия (в виде корректирующих мероприятий по несоответствиям выявленным при проведении внутренних аудитов, мероприятий, по итогам анализа СМК со стороны высшего руководства) направленные на обеспечение и повышение степени соответствия СМК требованиям нормативных документов.
4. Организация должна определить и применять методы мониторинга и измерения с целью повышения степени соответствия запланированным показателям (показателей результативности процессов, целей в области качества, показателей удовлетворенности персонала и т. д.). Данные, полученные посредством мониторинга и измерения должны быть проанализированы, на их основе должны быть предприняты действия в соответствии с требованиями пункта 8.5.1.
8.2 Мониторинг и измерение
8.2.1 Удовлетворенность потребителя
ГОСТ Р ИСО 9001-2008 Организация должна проводить мониторинг информации, касающейся восприятия потребителем выполнения организацией его требований, как одного из способов измерения работы системы менеджмента качества. Должны быть установлены методы получения и использования этой информации.
|
Примечания:
Мониторинг восприятия потребителями может включать в себя получение информации из таких источников, как исследования удовлетворенности потребителей, данные от потребителей о качестве поставленной продукции, исследования мнения пользователей, анализ оттока клиентов, благодарности, претензии по гарантийным обязательствам и отчеты распространителей.
1. В организации должны быть документально установлены методы получения информации, связанной с тем, насколько (степень удовлетворенности) заказчик (потребитель) удовлетворен качеством поставляемой продукции (оказываемой услуги), а также сотрудничеством с организацией в целом (сроки поставки, частота информирования заказчика по ходу производства продукции (услуги), готовность выполнения пожеланий заказчика, отличных от ранее сформулированных и т. д.).
2. В организации также должны быть установлены методы использования информации о степени удовлетворенности заказчика (проведение анализа данной информации, в том числе при анализе со стороны высшего руководства, использование информации при планировании производства/реализации проектов, мотивации соответствующих сотрудников и т. д.). Должна быть установлена ответственность за анализ полученных данных и принятие соответствующих решений (в т. ч. выделение необходимых ресурсов). Вышеуказанные методы должны включать форму в которой фиксируются принятые решения.
3. Организация должна продемонстрировать, что установленные механизмы получения и использования информации о степени удовлетворенности потребителя применяются с установленной периодичностью, что подтверждается соответствующими записями.
Примечания.
Методы получения информации о степени удовлетворенности заказчика могут относиться к, так называемым, «прямым» и «косвенным». К «прямым методам» могут относиться: анкеты-вопросники, телефонные переговоры, интервью и т. д.; измерение соответствующих показателей, характеризующих лояльность заказчика (например: количество повторных обращений, число приглашений (лично от заказчика) на участие в торгах, частота упоминаний в прессе, изменение условий оплаты и доставки, количество потенциальных клиентов обратившихся по рекомендациям старых заказчиков, количество официальных положительных (отрицательных) отзывов и т. д.) — «косвенные методы»).
8.2.2 Внутренние аудиты (проверки)
ГОСТ Р ИСО 9001-2008 Организация должна проводить внутренние аудиты (проверки) через запланированные интервалы с целью установления того, что система менеджмента качества: а) соответствует запланированным мероприятиям (7.1), требованиям настоящего стандарта и требованиям к системе менеджмента качества, разработанным организацией; б) внедрена результативно и поддерживается в рабочем состоянии.
|
1. Организация должна подтвердить (документально) аудитору (аудиторам) факт планирования и проведения внутренних аудитов.
Такими документами могут являться планы внутренних аудитов, программы внутренних аудитов, приказы руководства о проведении внутренних аудитов и т.д..
2. Организацией должно быть подтверждено (документально), что внутренние аудиты проводятся с определенной периодичностью (данные свидетельства могут содержаться, например, в процедуре проведения внутренних аудитов, где устанавливаются требования к периодичности проведения внутренних аудитов, а соблюдение данных требований может быть подтверждено планами внутренних аудитов, программами внутренних аудитов, приказами руководства о проведении внутренних аудитов и т.д.).
3. Организации необходимо продемонстрировать (например: в планах, программах внутренних аудитов), что внутренние аудиты охватывают следующие направления (проводятся с целью):
а) подтверждение соответствия требованиям ГОСТ Р ИСО 9001-2001;
б) подтверждение соответствия требованиям к СМК, установленным организацией самостоятельно;
в) подтверждение соответствия требованиям, установленных организацией при планировании процессов жизненного цикла продукции (например, в программах, планах качества) (п. 7.1);
г) подтверждение результативного внедрения СМК;
д) подтверждение поддержания СМК в рабочем состоянии.
Примечания:
1. Для подтверждения того, что СМК внедрена результативно, организация может не учитывать при планировании и проведении внутренних аудитов, если задачи (цели), для выполнения которых организация разрабатывала и внедряла СМК, достигнуты. Однако для организаций, у которых не подтверждено результативное внедрение СМК, или которые находятся на стадии внедрения, обязателен учет цели подтверждения результативного внедрения СМК при планировании и проведении внутренних аудитов.
2. Подтверждение поддержания СМК в рабочем состоянии является основной задачей (целью) проведения внутренних аудитов и является комплексной, т.е. может состоять из подтверждения соответствия (степени соответствия) по нескольким критериям, но как минимум по перечисленным выше в п. 3 а), б), в).
ГОСТ Р ИСО 9001-2008 Программа аудитов (проверок) должна планироваться с учетом статуса и важности процессов и участков, подлежащих аудиту, а также результатов предыдущих аудитов.
|
Организацией должно быть продемонстрировано, что планы (программы) внутренних аудитов, в части запланированного объема и критериев проверок, учитывают:
а) проведение проверок по процессам СМК организации с учетом статуса (важности) основных процессов СМК (например, объем аудита по процессам жизненного цикла продукции больше, чем по вспомогательным процессам или проверяют данные процессы не менее двух раз в год, а по остальным допускается одна проверка, и т.д.);
б) проведение проверок в подразделениях организации с учетом их статуса (важности) (например, производственные подразделения подвергаются внутренним аудитам чаще и в большем объеме, чем административно-хозяйственные подразделения);
в) результаты предыдущих аудитов (например, обязательное включение в план аудита проверки на соответствие требованиям, по которым в рамках предыдущего аудита были выявлены несоответствия; или увеличение объема (частоты) проверок по процессам (подразделениям), в которых выявляются наибольшее количество несоответствий и т.д.).
Примечание.
Программа (план) внутренних аудитов может и не содержать в явном виде учета результатов предыдущих аудитов. Аудитору необходимо установить каким образом процедурно определено в организации выполнение данного требования стандарта (например, организация может включать в план внутреннего аудита проведение верификации предпринятых мер по устранению ранее выявленных несоответствий и их причин или не включать, если верификация проведена ранее запланированного аудита). В качестве доказательства организация должна предоставить отчет о результатах верификации.
ГОСТ Р ИСО 9001-2008 Критерии, область применения, частота и методы аудитов должны быть определены.
|
Организация должна продемонстрировать определение в своей документации:
— критериев внутренних аудитов (требования конкретных нормативных документов внешнего происхождения, требования внутренней документации и т.д.);
— области применения аудитов (на какую область организации или СМК организации распространяются внутренние аудиты (или конкретный аудит);
— частоты проведения внутренних аудитов (периодичность);
— методов проведения внутренних аудитов (например, анализ документации, опрос, наблюдение за деятельностью и др.).
Примечание. Определение критериев, области применения, частоты и методов аудитов можно осуществить, например, в документированной процедуре или в планах внутренних аудитов. При этом могут использоваться положения внешних нормативных документов (например, ГОСТ Р ИСО 19011-2003), если даны ссылки на них.
ГОСТ Р ИСО 9001-2008 Выбор аудиторов и проведение аудитов должны обеспечивать объективность и беспристрастность процесса аудита. Аудиторы не должны проверять свою собственную работу.
|
Организация должна подтвердить (документально) обеспечение объективности и беспристрастности процесса аудита и аудиторов, т.е. аудиторы не должны проверять свою собственную работу, быть зависимыми от результатов проверки, иметь прямой интерес от результатов проверки и т.д.
ГОСТ Р ИСО 9001-2008 Должна быть установлена документированная процедура для определения ответственности и требований, связанных с планированием и проведением аудитов, ведением записей и составлением отчетов о результатах. Записи об аудитах и их результатах должны поддерживаться в рабочем состоянии(4.2.4). |
Организация должна представить документированную процедуру, в которой установлены:
- требования к планированию и проведению внутренних аудитов;
- требования к распределению ответственности в части планирования, проведения аудитов и последующих действий, вытекающих из проведения аудитов (устранение несоответствий, выявление и устранение вызвавших их причин и проведение верификации предпринятых мер);
- ответственность и требования к отчетности о результатах аудитов с определением ответственности и требований к обязательным записям по результатам внутренних аудитов.
ГОСТ Р ИСО 9001-2008 Руководство, ответственное за проверяемые области деятельности, должно обеспечивать, чтобы все необходимые коррекции и корректирующие действия предпринимались без излишней отсрочки для устранения обнаруженных несоответствий и вызвавших их причин.
|
1. Организация должна предоставить документальные подтверждения того, что руководство, ответственное за проверяемые области деятельности, при обнаружении несоответствий обеспечивает проведение мероприятий по устранению обнаруженных несоответствий и/или вызвавших их причин.
2. Организация должна предоставить свидетельства осуществления действий по устранению обнаруженных несоответствий и/или вызвавших их причин.
ГОСТ Р ИСО 9001-2008 Последующие действия должны включать верификацию предпринятых мер и отчет о результатах верификации (8.5.2).
|
1. Организация должна предоставить документальные подтверждения (записи) того, что по результатам устранения несоответствий и/или вызвавших их причин проводится анализ (проверка) достижения данных мероприятий запланированных результатов — устранения несоответствий и/или вызвавших их причин (например, мониторинг возникновения (не возникновения) несоответствия через определенные промежутки времени или при схожих условиях его предыдущего возникновения).
2. Организация должна предоставить подтверждения того, что отчеты о результатах верификации определены в СМК организации и поддерживаются в рабочем состоянии в соответствии с требованиями п. 4.2.4 стандарта (см. п. 4.2.4 настоящего документа).
Примечание — См. ИСО 19011 для руководства
|
Данное примечание указывает на нормативные документы, которые в настоящее время отменены и взамен которых введен в действие ГОСТ Р ИСО 19011-2003. Указанный стандарт содержит «руководящие указания по принципам аудита, управлению программами аудита, проведению аудитов систем менеджмента качества и систем экологического менеджмента, а также по компетентности аудиторов для проведения этих аудитов». Однако в данном документе указано, что «настоящий стандарт содержит только общие указания, однако пользователи могут использовать их для разработки своих собственных требований, связанных с аудитом».
Таким образом, организация самостоятельно определяет объем требований и положений ГОСТ Р ИСО 19011-2003, используемых в СМК организации.
8.2.3 Мониторинг и измерение процессов
ГОСТ Р ИСО 9001-2008 Организация должна применять подходящие методы мониторинга и, где это возможно, измерения процессов системы менеджмента качества. Эти методы должны демонстрировать способность процессов достигать запланированных результатов. Если запланированные результаты не достигаются, то должны предприниматься необходимые коррекции и корректирующие действия.
|
1. Организация должна представить свидетельства применения подходящих методов мониторинга и, где это целесообразно, измерения процессов СМК.
а) Организация должна осуществлять мониторинг и измерение процессов производства с целью управления ими для обеспечения соответствия характеристик получаемой в результате продукции или услуг установленным требованиям. Такой мониторинг должен осуществляться для:
- контроля последовательности выполнения технологических операций (например, в соответствии с маршрутной картой);
- контроля соответствия хода процессов производства установленным требованиям (контроль параметров технологических процессов, например, температуры, давления, продолжительности операций, силы тока и т. д.);
— мониторинга показателей продукции/услуги на промежуточных стадиях (глубина, при рытье траншеи; химический состав металла, в ходе плавки; угол изгиба, при гнутье отводов и т. д.).
б) Организация должна осуществлять мониторинг процессов (по определенным измеряемым показателям) с целью обеспечения результативности при управлении данными процессами (т.е. для своевременной генерации управляющих воздействий по ходу процесса с целью достижения запланированных показателей результативности). Мониторинг должен осуществляться по «контрольным или реперным точкам (показателям)» и представлять собой периодическое измерение в них. В случае проектного типа производства (проектирование, производство строительно-монтажных работ, разработка программного продукта и т. д.) данные показатели формируются путем декомпозиции из критериев результативности процесса, которые, в свою очередь, используются для оценки результативности по окончании проекта (мониторинг процесса по таким показателям также должен осуществляться через установленные интервалы времени, например, при проведении анализа СМК со стороны высшего руководства). Должна быть установлена периодичность измерения в «контрольных или репенных» точках, методы, используемые для измерения данных показателей; ответственность за измерение показателей и предоставление соответствующих данных; форма предоставления данных; ответственность за реализацию коррекции и корректирующих действий, если полученные значения показателей не соответствуют запланированным.
2. Организация должна представить доказательства того, что применяемые методы мониторинга демонстрируют способность процессов достигать запланированных результатов. Аудитор в ходе проверки должен убедиться, что установленные значения «контрольных точек», методы и оперативность реагирования на результаты их измерения, а также полномочия сотрудника, принимающего решения по результатам мониторинга позволяют обеспечить достижение итоговых показателей результативности (в случае проектного типа производства «позволяют обеспечить достижение показателей результативности по окончании проекта»).
3. В случае, если организация определяет в СМК, что мониторинг и измерение продукции осуществляет заказчик или нанятая им организация (например, осуществление технического надзора за строительством), аудитор должен зафиксировать несоответствие по данному разделу.
Примечания.
Мониторинг процесса по «контрольным или реперным точкам» по ходу реализации проекта должен использоваться для оперативного управления (принятия решений) на основании полученных значений показателей с целью достижения запланированных результатов процесса (показателей результативности процесса). Данные показатели могут касаться качества выполняемых работ (например, количество замечаний технического надзора, количество бракованных стыков, количество замечаний от экспертизы при утверждении проекта), сроков выполнения работ (например, количество отклонений от месячно-суточного графика производства работ, допустимое отклонение от графика проектирования, отклонение от графика поставки материалов на площадку), эффективности производства (например, отклонение от сметной цены по видам работ, количество незапланированных работ) и т. д.
8.2.4 Мониторинг и измерение продукции
ГОСТ Р ИСО 9001-2008 Организация должна осуществлять мониторинг и измерять характеристики продукции с целью верификации соблюдения требований к продукции. Это должно осуществляться на соответствующих стадиях процесса жизненного цикла продукции согласно запланированным мероприятиям (7.1).
|
1. Организация должна документально установить контрольные точки в процессе производства продукции, в которых будет осуществляться измерение с целью официального подтверждения её соответствия, методы проведения измерений и необходимое измерительное оборудование, а также ответственность за проведение соответствующих измерений и принятие решений по результатам проведенных измерений (контроля).
2. Организация должна продемонстрировать, что мониторинг продукции осуществляется при входном и приемочном контроле, а также в процессе производства; по завершении тех технологических этапов, контроль результатов которых (в соответствии с принятой технологией) становится невозможным после начала выполнения следующего этапа, а также после завершения производства составных частей продукции, устранение дефектов которых, выявленных контролем, невозможно без разборки, повреждения последующих частей продукции (например, конструкций и инженерных сетей). Кроме того мониторинг продукции может осуществляться на всех стадиях производства, где с точки зрения организации это экономически оправдано.
Примечания.
Для проектных организаций под мониторингом продукции следует понимать проведение входного (входных данных на проектирование), поэтапного (по разделам проекта) и приемочного контроля проектно-сметной документации на соответствие требованиям нормативных документов, обязательных для применения (обязательных государственных требований и указанных в договоре) при проектировании.
ГОСТ Р ИСО 9001-2008 Свидетельства соответствия критериям приемки должны поддерживаться в рабочем состоянии. Записи должны указывать лицо(а), санкционировавшее(ие) выпуск продукции (4.2.4). Выпуск продукции и предоставление услуги не должны осуществляться до тех пор, пока все запланированные действия (7.1) не будут удовлетворительно завершены, если не утверждено иное соответствующим полномочным органом и, где это применимо, потребителем.
|
1. В организации должны быть установлены записи, в которых фиксируется факт проведения и результаты мониторинга продукции (журналы входного контроля, специальные журналы работ, акты на скрытые работы и т. д.). Формы записей должны быть определены, они должны управляться в соответствии с требованиями раздела 4.2.4 стандарта. Формы должны предполагать место для подписи лица, окончательно подтверждающего соответствие продукции установленным требованиям и несущего ответственность за её выпуск.
2. Аудитор должен убедиться (выборочно), что в организации отсутствуют случаи когда выпуск продукции или предоставление услуги были осуществлены без проведения соответствующих видов контроля с фиксацией данного факта в соответствующих записях (за исключением случаев, когда получено официальное письменное разрешение от представителей заказчика).
8.3 Управление несоответствующей продукцией
ГОСТ Р ИСО 9001-2008 Организация должна обеспечивать идентификацию продукции, не соответствующей требованиям, и управление ее с целью предотвращения непреднамеренного использования или поставки такой продукции.
|
Организация должна продемонстрировать аудитору (аудиторам) (в документации, в деятельности), что вся продукция, признанная несоответствующей требованиям, установленных к ней, идентифицируется (например, для отделения ее от продукции соответствующей требованиям), и действуют механизмы управления, способные предотвратить непреднамеренное использование несоответствующей продукции или поставку такой продукции потребителю.
Примечание.
При проведении аудита необходимо установить правильность понимания организацией (и, соответственно, полноту применения требований данного раздела) термина «продукция».
К продукции следует относить результаты процессов, предназначаемые для потребителя или затребованные им. Например, услуги (строительно-монтажные работы, выполняемые по договору с потребителем; и др.) являются продукцией и могут предоставляться с нарушением требований к ней, т.е. являться несоответствующей продукцией. Так же понятие «несоответствующая продукция» применимо и к составным частям конечного продукта (комплектующие, материалы). А например, дефектные запасные части, выявленные при входном контроле, и предназначенные для проведения ремонта строительной техники, не являются продукцией, предназначенной для потребителя или затребованной им, и поэтому к такой продукции не применимы требования п. 8.3 стандарта.
ГОСТ Р ИСО 9001-2008 Должна быть установлена документированная процедура для определения средств управления и соответствующей ответственности и полномочий для действий с несоответствующей продукцией.
|
Организации должна представить документированную процедуру, содержащую:
- средства управления для работы с несоответствующей продукцией, т.е. должно быть определено: «кто», «что», «где», «когда», «почему», «как» необходимо осуществлять действия для работы с несоответствующей продукцией;
- ответственность и полномочия для работы с продукцией, несоответствующей установленным требованиям.
Примечание.
Особое внимание следует обращать на наличие (описание) в документированной процедуре механизмов управления несоответствующей продукцией как при обнаружении ее до поставки заказчику, так и после. Ответственность и полномочия в рамках этих механизмов управления должны быть четко определены в данной процедуре.
ГОСТ Р ИСО 9001-2008 Если применимо, организация должна предпринимать в отношении несоответствующей продукции следующие действия: а) устранение обнаруженного несоответствия; б) санкционирование использования, выпуска или приемки продукции, если получено разрешение на отклонение от соответствующего полномочного лица или органа и, где это применимо, потребителя; в) предотвращение ее первоначального предполагаемого использования или применения; г) действия, адекватные последствиям (или потенциальным последствиям) несоответствия, если несоответствующая продукция выявлена после поставки или начала использования.
|
Организация должна в ходе аудита продемонстрировать (в документации, в деятельности), что вся продукция, которая может быть признана и/или признана несоответствующей, будет управляться и/или управляется, как минимум, по одному из выше указанных способов.
Аудиторам необходимо удостовериться в том, что решения по управлению несоответствующей продукцией в рамках указанных выше способов принимают лица, имеющие соответствующие полномочия, установленные в документированной процедуре, а действия, предпринимаемые в рамках данных способов, не противоречат представленным в документированной процедуре.
Организацией должны быть продемонстрированы свидетельства осуществления определенных действий при обнаружении несоответствующей продукции после поставки потребителю (если такие случаи имели место).
Организацией должны быть предоставлены соответствующие записи о характере несоответствий и любых предпринятых действиях.
Организации необходимо продемонстрировать, что данные действия предпринимались с учетом адекватности последствий (или потенциальных последствий) в зависимости от характера, значимости, тяжести и т.д. выявленных несоответствий в поставленной продукции
ГОСТ Р ИСО 9001-2008 После того как несоответствующая продукция исправлена, она должна быть подвергнута повторной верификации для подтверждения соответствия требованиям. Записи о характере несоответствий и любых последующих предпринятых действиях, включая полученные разрешения на отклонения, должны поддерживаться в рабочем состоянии (4.2.4). |
Организации необходимо продемонстрировать (предоставить документальные доказательства в виде записей), что вся исправленная (исправляемая) несоответствующая продукция подвергается повторной верификации.
Организация должна продемонстрировать осуществление деятельности по ведению всех необходимых записей в рамках процедуры управления несоответствующей продукцией. Указанные записи должны содержать информацию о характере несоответствий и всех последующих предпринятых действиях. Данные записи должны быть определены и управляться в соответствии с требованиями п. 4.2.4 стандарта (см. п. 4.2.4 настоящего документа).
Примечание.
Повторная верификация и действия организации при выявлении несоответствующей продукции после поставки потребителю являются частью средств управления несоответствующей продукцией, поэтому аудиторам необходимо удостоверится, а организации, в свою очередь, представить свидетельства того, что необходимые действия (алгоритм действий) установлены документально, а ответственность и соответствующие полномочия в рамках данных действий определены (в документированной процедуре).
8.4 Анализ данных
ГОСТ Р ИСО 9001-2008 Организация должна определить, собирать и анализировать соответствующие данные для демонстрации пригодности и результативности системы менеджмента качества, а также оценивания, в какой области можно осуществлять постоянное повышение результативности системы менеджмента качества. Данные должны включать информацию, полученную в результате мониторинга и измерения и из других соответствующих источников. Анализ данных должен предоставлять информацию относящуюся: а) к удовлетворенности потребителей (8.2.1); б) к соответствию требованиям к продукции (8.2.4); в) к характеристикам и тенденциям процессов и продукции, включая возможности проведения предупреждающих действий(8.2.3 и 8.2.4); г) к поставщикам(7.4).
|
1. Организация должна установить (определить) в документации СМК тип и объем данных, которые необходимо собирать для проведения дальнейшего анализа этих данных для целей изложенных выше. Эти данные должны включать:
- информацию по мониторингу и измерениям продукции (на всех стадиях ее жизненного цикла) и процессов СМК организации;
- информацию, касающуюся восприятия потребителем выполнения организацией его требований (п. 8.2.1);
- информацию по поставщикам организации (результаты оценивания и действия, предпринятые по ее результатам) (п. 7.4.1).
2. Организацией должны быть предоставлены свидетельства сбора этих данных (например, соответствующие записи) и проведения анализа на их основе (доказательством проведения анализа служат документально оформленные его результаты).
3. Результаты анализа данных должны содержать следующую информацию:
- об удовлетворенности потребителей;
- о соответствии требованиям к продукции;
- по поставщикам;
- характеристикам и тенденциям процессов и продукции, включая возможности проведения предупреждающих действий.
4. Организация должна предоставить документированные данные, свидетельствующие об учете результатов анализа данных при оценке пригодности и результативности СМК.
5. Организация должна предоставить свидетельства того, что результаты анализа данных применяются в организации для оценки, в какой области можно осуществлять постоянное повышение результативности СМК.
Примечание.
Особое внимание при проведении аудита следует обращать на наличие в результатах анализа данных информации по характеристикам и тенденциям процессов и продукции, включая возможности проведения предупреждающих действий или (как минимум) наличию достоверных свидетельств проведения со стороны организации «оценивания необходимости действий с целью предупреждения появления несоответствий» (см. п. 8.5.3 настоящего документа) по результатам анализа тенденций процессов СМК.
8.5 Улучшение
8.5.1 Постоянное улучшение
ГОСТ Р ИСО 9001-2008 Организация должна постоянно повышать результативность системы менеджмента качества посредством использования политики и целей в области качества, результатов аудитов, анализа данных, корректирующих и предупреждающих действий, а также анализа со стороны руководства.
|
1. Организация должна продемонстрировать (документально подтвердить) аудитору (аудиторам), что результативность СМК постоянно повышается, т.е. степень достижения запланированных организацией результатов (например, по продукции, по процессам СМК) в определенном временном интервале, больше чем в предыдущих.
Продолжительность временного интервала и «индикаторы», по которым осуществляется планирование и измерение результативности, определяет организация в СМК.
2. При подтверждении постоянного повышения результативности СМК организация должна предоставить свидетельства использования для повышения результативности СМК (в определенном временном интервале):
- политики в области качества;
- целей в области качества;
- результатов аудитов;
- анализа данных;
- корректирующих действий;
- предупреждающих действий;
- анализа со стороны руководства.
Организация должна продемонстрировать, каким-образом каждый из вышеперечисленных элементов используется для постоянного повышения результативности СМК. Например, политика в области качества должна регулярно анализироваться на постоянную пригодность. Цели в области качества должны быть установлены на конкретный временной отрезок. Если по истечении указанного срока цели не достигнуты, должен быть проведен анализ причин, затем выработаны (и реализованы) мероприятия направленные на достижение поставленных целей либо (если анализ показал необоснованность постановки целей) поставлены новые цели в этой области. Если постановленные цели достигнуты, должны быть поставлены новые цели (либо более высокие показатели по данному аспекту деятельности, либо цели по новому аспекту деятельности) и т.п.
8.5.2 Корректирующие действия
ГОСТ Р ИСО 9001-2008 Организация должна предпринимать корректирующие действия с целью устранения причин несоответствий для предупреждения повторного их возникновения. Корректирующие действия должны быть адекватными последствиям выявленных несоответствий.
|
Организация должна определить (в документированной процедуре) виды несоответствий (например, несоответствия, выявленные при проведении входного, пооперационного и приемочного контроля, оценке результативности процессов, анализе достижения целей в области качества, верификации проекта и разработки и т. д.), которые должны анализироваться с целью определения и реализации корректирующих действий для предотвращения их повторного возникновения. По несоответствиям, выявленным при проведении внутренних аудитов, по результатам мониторинга и измерения процессов, а также по жалобам (рекламациям, замечаниям, предписаниям и т. д.) такой анализ должен реализовываться в обязательном порядке.
Должна быть разработана документированная процедура для определения требований: а) к анализу несоответствий (включая жалобы потребителей);
|
В документированной процедуре организация должна определить ответственность за анализ несоответствий (например, по видам несоответствий) и принятие решений о необходимости выявления причины и дальнейшей работе с данными несоответствиями (часть несоответствий может быть вызвана невнимательностью исполнителей и не носить системный характер, кроме того, часть несоответствий может быть выставлена необоснованна).
б) к установлению причин несоответствий;
|
В документированной процедуре должен быть установлен порядок (механизм) выявления причин несоответствий (например, на совещании определенных лиц, на техническом совете, на совещании специальной комиссии/рабочей группы и т. д.). Представленный механизм должен включать определение ответственности за установление причины (например, по видам несоответствий).
в) к оцениванию необходимости действий, чтобы избежать повторения несоответствий; |
В документированной процедуре должна быть определена ответственность и порядок оценивания необходимости осуществления корректирующих действий.
Результат оценивания должен представлять решение о необходимости выработки и реализации корректирующих мероприятий.
Примечание.
При оценивании может быть рассмотрено влияние несоответствий на качество конечной продукции, удовлетворенность заказчика, себестоимость продукции, отношение затрат на реализацию корректирующих действий к затратам на устранение несоответствия, возможность устранения причины несоответствия в сложившихся условиях и т. д.
г) к определению и осуществлению необходимых действий;
|
В документированной процедуре должна быть установлен механизм определения необходимых корректирующих действий. В данном механизме должна быть распределена ответственность за разработку, утверждение, осуществление и контроль выполнения корректирующих мероприятий.
д) к записям результатов предпринятых действий (4.2.4);
|
1. Организацией должны быть определены записи (см. п. 4.2.4 настоящего документа), в которых фиксируются результаты выполненных корректирующих мероприятий.
2. Организация должна представить записи с результатами предпринятых корректирующих действий.
е) к анализу предпринятых корректирующих действий. |
В документированной процедуре должен быть установлен метод оценки результативности предпринятых корректирующих действий а также ответственность за оценку результативности корректирующих действий и принятие решений, в случае если корректирующее действие признано не результативным.
Примечание.
Под анализом предпринятых корректирующих действий следует понимать оценку результативности реализованных мероприятий, т. е. оценку того, устранена ли истинная причина выявленного несоответствия (в этом случае данное несоответствие больше не должно повторяться) или нет. Метод оценки результативности должен быть установлен в документированной процедуре и может представлять собой отслеживание того, повторится ли несоответствие через установленный период времени, внутреннюю аттестацию сотрудников, в случае, если корректирующее действие было связано с обучением специалистов и т. д. В случае повторения несоответствия (корректирующее действие не результативно) должен быть проведен анализ и выработано новое корректирующее действие.
8.5.3 Предупреждающие действия
ГОСТ Р ИСО 9001-2008 Организация должна определить действия с целью устранения причин потенциальных несоответствий для предупреждения их появления. Предупреждающие действия должны соответствовать возможным последствиям потенциальных проблем.
|
В организации должны быть разработаны (установлены в документированной процедуре) механизмы проведения анализа с целью выявления потенциальных несоответствий. Должна быть установлена ответственность за применение данного механизма, периодичность его применения а также записи, в которых фиксируются потенциальные несоответствия. Организация должна продемонстрировать факт проведения анализа последствий возникновения несоответствия и ресурсов, которые потребуются для реализации предупреждающего действия.
Примечание.
К предупреждающим действиям следует относить действия, направленные на устранение причин потенциальных несоответствий, или других потенциально нежелательных ситуаций с целью предотвращения их появления, которые вырабатываются в момент протекания процесса (а не при подготовке к нему). Основанием для выработки таких действий должно быть наличие риска возникновения негативного события (несоответствия, потенциально нежелательной ситуации), а не абсолютная тривиальность негативного последствия (т. е. если точно известно, что если не предпринимать никаких мероприятий, то в определенной области деятельности возникнет несоответствие).
ГОСТ Р ИСО 9001-2008 Должна быть разработана документированная процедура для определения требований: а) к установлению потенциальных несоответствий и их причин; б) к оцениванию необходимости действий с целью предупреждения появления несоответствий; в) к определению и осуществлению необходимых действий; г) к записям результатов предпринятых действий (4.2.4); д) к анализу предпринятых предупреждающих действий.
|
Требования к части процедуры, касающейся выявления и устранения причин выявленных потенциальных несоответствий идентичны требованиям к аналогичной процедуре установления причин уже случившихся несоответствий и выполнения корректирующих действий (см. п. 8.5.2 настоящего документа).
Оценивание необходимости действий с целью предупреждения появления несоответствий должно включать анализ вероятности их возникновения и оценку ресурсов, необходимых для реализации предупреждающих мероприятий.
Критерием результативности предупреждающего действия можно считать не появление предполагаемого несоответствия.
Размещено на