Добавить в корзинуПозвонить
Найти в Дзене
Жизнь и Доллары
26 подписчиков

Международная стандартизация и сертификаты ИСО (ISO)

13 мин
ИСО опубликовала более 24 000 действующих стандартов, охватывающих производство, услуги, информационную безопасность и охрану труда. Для российского бизнеса сертификат ISO давно перестал быть имиджевым атрибутом: без него закрыта часть тендеров, а ряд отраслей де-факто отказывается работать с несертифицированными поставщиками. ИСО расшифровывается как «Международная организация по стандартизации» (от фр. Organisation internationale de normalisation; в англоязычной практике используется аббревиатура ISO). Организация основана в 1947 году, штаб-квартира находится в Женеве. В ИСО входят национальные органы по стандартизации более чем 160 стран; Россию представляет Росстандарт. Два понятия, которые часто путают. Стандарт ISO: документ с требованиями к системе управления: он описывает что организация должна делать, но не как именно. Сертификат ISO: это подтверждение того, что система управления организации проверена независимым органом и соответствует требованиям конкретного стандарта. Полу
Оглавление

ИСО опубликовала более 24 000 действующих стандартов, охватывающих производство, услуги, информационную безопасность и охрану труда. Для российского бизнеса сертификат ISO давно перестал быть имиджевым атрибутом: без него закрыта часть тендеров, а ряд отраслей де-факто отказывается работать с несертифицированными поставщиками.

Что такое ИСО и зачем нужен сертификат ISO

ИСО расшифровывается как «Международная организация по стандартизации» (от фр. Organisation internationale de normalisation; в англоязычной практике используется аббревиатура ISO). Организация основана в 1947 году, штаб-квартира находится в Женеве. В ИСО входят национальные органы по стандартизации более чем 160 стран; Россию представляет Росстандарт.

Два понятия, которые часто путают. Стандарт ISO: документ с требованиями к системе управления: он описывает что организация должна делать, но не как именно. Сертификат ISO: это подтверждение того, что система управления организации проверена независимым органом и соответствует требованиям конкретного стандарта. Получить сертификат без внедрённой системы нельзя: аудитор работает с реальными процессами, записями и персоналом, а не с комплектом документов в папке.

Сегодня ISO насчитывает свыше 24 000 опубликованных стандартов. Три деловые функции сертификата, ради которых его получают: доступ к тендерам, где наличие ISO указано как квалификационное требование; подтверждение надёжности для контрагентов, в том числе иностранных; выполнение условий экспортных контрактов, когда зарубежный заказчик требует сертификат органа с международным признанием.

Основные стандарты ISO: виды и области применения

Каждый стандарт ISO охватывает одну область управления. Организация может одновременно сертифицироваться по нескольким стандартам; часть органов предлагает интегрированный аудит по двум-трём стандартам за один визит, что снижает общую стоимость по сравнению с раздельными аудитами.

  • ISO 9001:2015 — Менеджмент качества — Любая организация, самое широкое применение — ГОСТ Р ИСО 9001-2015
  • ISO 14001:2015 — Экологический менеджмент — Производство, логистика, добывающие компании — ГОСТ Р ИСО 14001-2016
  • ISO 45001:2018 — Охрана труда и безопасность — Производство, строительство, промышленность — ГОСТ Р ИСО 45001-2020
  • ISO 27001:2022 — Информационная безопасность — ИТ, финансы, подрядчики государственных органов — ГОСТ Р ИСО/МЭК 27001-2021
  • ISO 13485:2016 — Медицинские изделия — Производство и дистрибуция медизделий — ГОСТ ISO 13485-2017

ISO 9001 занимает особое место в этой линейке: стандарт версии 2015 года заложил принципы, которые другие отраслевые стандарты используют как базу. IATF 16949 для автопрома и ISO 13485 для медизделий строятся поверх требований ISO 9001, добавляя специфические отраслевые блоки. Серия ISO 9000 содержит словарь и основные положения, необходимые для понимания терминологии при внедрении любого стандарта серии.

Чем международный сертификат ISO отличается от ГОСТ Р

ГОСТ Р ИСО 9001-2015 и ISO 9001:2015 технически идентичны: первый является официальным переводом второго и введён в России без каких-либо изменений технических требований. Аудиторские критерии при обоих форматах одинаковы.

Разница касается признания. Сертификат, выданный органом с аккредитацией IAF MLA (Multilateral Recognition Arrangement), признаётся зарубежными партнёрами напрямую, без дополнительного подтверждения. Орган, аккредитованный только в Росаккредитации, подтверждает соответствие для российского рынка; его сертификат иностранный заказчик вправе не принять. Если организация работает исключительно внутри страны, различие несущественно. При наличии или планировании экспортных поставок принадлежность органа к IAF MLA нужно проверять до заключения договора на сертификацию.

Для государственных закупок по ФЗ-44 и ФЗ-223 оба варианта равнозначны: заказчик вправе включить требование к наличию СМК, но не обязан уточнять, каким именно органом выдан сертификат.

Добровольная и де-факто обязательная сертификация ISO

Российское законодательство не содержит нормы, обязывающей организации получать сертификат ISO 9001 или любой другой стандарт серии ISO. Штрафов за отсутствие ISO не существует; это принципиально отличает сертификацию от обязательного подтверждения соответствия техническим регламентам ЕАЭС.

Де-факто обязательность возникает на отраслевом уровне. Поставщики автомобильного конвейера работают по IATF 16949, который прямо требует действующего сертификата ISO 9001 как обязательного условия входа в отраслевой аудит. Производители и дистрибьюторы медицинских изделий сертифицируются по ISO 13485; без него часть зарубежных тендеров и регистрация изделий в ряде стран недоступны. Подрядчики, получающие доступ к государственным информационным системам, всё чаще встречают требование ISO 27001 в технических заданиях госзаказчиков.

Добровольность не означает безразличие рынка. Отсутствие сертификата может заблокировать заявку на тендер или оттолкнуть иностранного заказчика ещё на стадии переговоров.

Кто выдаёт сертификат ISO и как проверить аккредитацию органа

Сертификаты ISO выдают органы по сертификации систем менеджмента, аккредитованные в национальном органе по аккредитации. В России это Росаккредитация. Органы с международным признанием дополнительно входят в систему IAF MLA; принадлежность к MLA означает, что их сертификаты принимаются зарубежными заказчиками без дополнительных проверок.

Аккредитацию в Росаккредитации проверяют через официальный реестр на сайте fsa.gov.ru, выбирая раздел органов по сертификации систем менеджмента. Принадлежность к IAF MLA проверяется через базу IAF CertSearch на сайте iaf.nu. Оба источника стоит проверять одновременно: орган может быть активным в российском реестре, но не входить в MLA.

Сертификат от органа без аккредитации IAF MLA зарубежный партнёр вправе отклонить как юридически незначимый. Единого государственного реестра ISO-сертификатов в России нет: каждый орган ведёт собственный перечень выданных документов. Проверка подлинности конкретного сертификата проходит через сайт выдавшего органа или через базу IAF CertSearch для органов из системы MLA.

Документы для сертификации ISO

Перед подачей заявки в орган организация готовит документационный комплект системы менеджмента. Для ISO 9001 минимальный набор включает:

  • заявление о сертификации с описанием области и границ СМК
  • политику в области качества, утверждённую руководством
  • задокументированные процедуры СМК: управление документами, записями, внутренними аудитами, несоответствиями
  • цели в области качества с измеримыми показателями и планами достижения
  • свидетельство о государственной регистрации и ОГРН
  • записи о проведённых внутренних аудитах и протокол анализа со стороны руководства

Организациям без опыта внедрения СМК подготовка документации занимает от 3 до 6 месяцев: требуется не просто разработать документы, но выстроить реальные процессы и накопить записи, доказывающие работу системы. Орган проводит предварительный анализ документации до выезда на аудит. При неполном пакете или существенных недостатках в документах аудит переносится, а договорные сроки и стоимость пересматриваются.

Этапы сертификации: от заявки до получения сертификата

До подачи заявки СМК должна функционировать минимум 3 месяца: орган запрашивает доказательства работы системы, прежде всего отчёты о внутренних аудитах и протокол анализа со стороны руководства. Система, внедрённая формально накануне аудита, не пройдёт именно по этому критерию. Сертификационный аудит проходит в два обязательных этапа с разрывом от 1 до 4 недель между ними.

  1. Подача заявки (организация). Организация направляет в орган заполненную анкету и описание области сертификации. Орган рассчитывает трудоёмкость исходя из численности персонала и сложности процессов.
  2. Анализ документации, Стадия 1 (аудитор). Аудитор изучает документы СМК удалённо или на территории организации. Цель: убедиться, что система готова к аудиту на месте. По итогам выдаётся заключение о допуске к Стадии 2.
  3. Аудит на месте, Стадия 2 (аудитор). Аудитор выезжает на площадку, проверяет реальное выполнение процедур, опрашивает персонал, изучает записи. Продолжительность зависит от численности сотрудников и числа площадок.
  4. Обработка несоответствий (организация + аудитор). Незначительные несоответствия закрываются корректирующими действиями в срок от 30 до 90 дней. Значительное несоответствие блокирует выдачу сертификата: требуется повторный аудит конкретного процесса.
  5. Решение о сертификации (орган). Орган рассматривает результаты аудита и представленные корректирующие действия. При положительном решении сертификат оформляется в течение 5-10 рабочих дней.

Значительное несоответствие на Стадии 2 отличается от незначительного по одному критерию: оно свидетельствует о системном сбое в выполнении требований стандарта, а не о единичном нарушении. Повторный аудит для закрытия значительного несоответствия проводится отдельно и оплачивается сверх первичного договора.

Сроки и стоимость сертификации ISO

Полный цикл от подачи заявки до получения сертификата занимает от 4 до 9 месяцев. Внутри этого срока два периода: подготовка СМК (3-6 месяцев, если система внедряется с нуля) и непосредственно сертификационный цикл (1-3 месяца, включая оба этапа аудита, обработку несоответствий и оформление документа). Если СМК уже функционирует, общий срок сокращается до 2-4 месяцев.

Стоимость сертификации ISO 9001 для малого предприятия (до 50 сотрудников, одна площадка) составляет, как правило, от 50 000 до 150 000 рублей. Для среднего бизнеса (100-500 человек, несколько подразделений) диапазон смещается к 150 000-400 000 рублей. Консалтинг по внедрению СМК, если он нужен, оплачивается отдельно и в приведённые суммы не входит.

На итоговую стоимость влияют четыре фактора: численность персонала (аудиторские нормы ISO напрямую связывают трудоёмкость с количеством сотрудников), число производственных площадок, сложность и разнообразие процессов, а также удалённость площадки от офиса аудитора. Командировочные расходы аудитора выставляются дополнительно к стоимости договора.

Срок действия сертификата и инспекционный контроль

Сертификат ISO действует 3 года. За этот период орган проводит два инспекционных аудита, обычно на 12-й и 24-й месяц от даты первичной сертификации. Инспекция подтверждает, что система управления продолжает соответствовать требованиям стандарта и не деградировала.

Важно: организации, прошедшие сертификацию без реального внедрения СМК, теряют сертификат именно на инспекционном аудите через 12 месяцев. Орган приостанавливает сертификат при выявлении существенных несоответствий, а при отказе от устранения отзывает его. Повторная сертификация проводится за счёт организации и занимает столько же времени, сколько первичная.

По истечении трёх лет организация проходит ресертификацию. Процедура аналогична первичной, но обычно занимает меньше времени: система уже функционирует, документация в порядке, персонал знаком с аудитом.

ISO в тендерах, государственных закупках и экспорте

В закупках по ФЗ-44 и ФЗ-223 заказчик вправе включить наличие сертифицированной СМК в квалификационные требования или критерии оценки заявок. В ряде отраслей (строительство, машиностроение, поставки для оборонно-промышленного комплекса) сертификат ISO 9001 становится фактическим условием допуска: без него заявка отклоняется при предквалификации.

Для экспортных поставок ценность сертификата определяется аккредитацией выдавшего органа. Зарубежный заказчик, работающий в рамках IAF MLA, принимает сертификат любого органа из системы без дополнительных подтверждений. Если орган не входит в MLA, иностранный партнёр вправе запросить новый сертификат от аккредитованного органа своей страны: повторные расходы несёт российская сторона.

В автомобилестроении ситуация жёстче всего: стандарт IATF 16949 (развитие ISO 9001 для автомотив-отрасли) требует действующего сертификата ISO 9001 как базового условия. Без него поставщик не проходит отраслевой аудит и не попадает в одобренный список производителей автокомпонентов.

Типичные ошибки при внедрении СМК и сертификации

Формальная СМК: наиболее распространённая проблема. Организация разрабатывает комплект документов ради прохождения аудита, не перестраивая реальные процессы. Первичный аудит такая система иногда проходит с незначительными несоответствиями. Но через 12 месяцев на инспекционном аудите картина меняется: внутренние аудиты не проводились, записи не велись, персонал не знает содержания политики качества. Орган фиксирует деградацию системы и приостанавливает сертификат.

Выбор органа без аккредитации IAF MLA обходится дороже, чем кажется на старте. Зарубежный партнёр или международный тендерный комитет такой сертификат не примет. Организация платит дважды: за документ от неаккредитованного органа и за повторную сертификацию у органа с признанием. Разница в цене между органами в 20-30% часто объясняется именно отсутствием MLA.

Неподготовленный персонал срывает аудит на Стадии 2. Аудитор опрашивает сотрудников напрямую: руководителей процессов, рядовых исполнителей, внутренних аудиторов. Если персонал не понимает требований СМК или не может показать записи, подтверждающие выполнение процедур, орган фиксирует значительное несоответствие. Повторный аудит для его закрытия оплачивается сверх первичного договора.

Частые вопросы об ISO

Чем сертификат ISO отличается от сертификата соответствия техническому регламенту? Сертификат соответствия техническому регламенту (ТР ТС, ГОСТ Р) подтверждает безопасность конкретной продукции и во многих категориях обязателен по закону. Сертификат ISO подтверждает соответствие системы управления организации требованиям международного стандарта; он добровольный и не заменяет обязательную сертификацию продукции. Какие стандарты ISO чаще всего оформляют российские компании? Наиболее распространён ISO 9001 (менеджмент качества): его требуют в большинстве тендеров. Следом идут ISO 14001 (экологический менеджмент) и ISO 45001 (охрана труда). В ИТ-секторе и финансах растёт спрос на ISO 27001 (информационная безопасность). Сколько действует сертификат ISO и что происходит после трёх лет? Стандартный срок действия сертификата: 3 года. По истечении организация проходит ресертификацию. В течение трёхлетнего цикла проводятся два ежегодных инспекционных аудита на 12-й и 24-й месяц. Как проверить подлинность сертификата ISO? Единого государственного реестра ISO-сертификатов в России нет. Проверить сертификат можно через сайт выдавшего органа или через базу IAF CertSearch на сайте iaf.nu, если орган аккредитован в системе IAF MLA. Нужен ли ISO для участия в тендерах и государственных закупках? Закон не делает ISO обязательным для всех закупок. Заказчик по ФЗ-44 или ФЗ-223 вправе включить наличие сертифицированной СМК в квалификационные требования или критерии оценки. В ряде отраслей и при закупках для нужд ОПК сертификат ISO 9001 становится фактическим условием допуска к тендеру.

Рекомендации

Начинать подготовку к сертификации не раньше чем через 3 месяца реальной работы СМК. Органы по сертификации ожидают увидеть записи о внутренних аудитах, протоколы анализа со стороны руководства и результаты корректирующих действий. Формальный пакет документов без подтверждающих записей стабильно приводит к значительным несоответствиям на Стадии 2 и переносу сертификации на несколько месяцев с дополнительными расходами.

При выборе органа по сертификации стоит проверить три параметра: действующий аттестат аккредитации в Росаккредитации, наличие в перечне IAF MLA (если планируется экспорт или работа с иностранными заказчиками), реальный опыт аудитов именно в вашей отрасли. Орган с низкой ценой, но без MLA несёт риск для любых международных проверок, и закрыть этот риск потом дороже, чем учесть его на старте.

Инспекционный аудит через 12 месяцев многие организации воспринимают как формальность после первичной сертификации. Проверяется реальное состояние системы: если за год внутренние аудиты не проводились или цели по качеству не отслеживались, орган зафиксирует деградацию. Сертификат будет приостановлен до устранения несоответствий, что немедленно блокирует тендерные заявки.

Нормативные документы

  • ГОСТ Р ИСО 9001-2015 — Системы менеджмента качества. Требования (национальная версия ISO 9001:2015)
  • ГОСТ Р ИСО 9000-2015 — Системы менеджмента качества. Основные положения и словарь
  • ГОСТ Р ИСО 14001-2016 — Системы экологического менеджмента. Требования (национальная версия ISO 14001:2015)
  • ГОСТ Р ИСО 45001-2020 — Системы менеджмента охраны здоровья и безопасности труда (ISO 45001:2018)
  • ГОСТ ISO 13485-2017 — Изделия медицинские. Системы менеджмента качества. Требования для целей регулирования
  • ГОСТ Р ИСО/МЭК 27001-2021 — Системы управления информационной безопасностью. Требования (ISO/IEC 27001:2013)
  • Федеральный закон от 28.12.2013 No 412-ФЗ — Об аккредитации в национальной системе аккредитации