Этапы аудита ИСО (ISO) при сертификации: как проходит проверка

Подробное руководство по этапам аудита ИСО (ISO): от предварительного анализа до получения сертификата. Что проверяют аудиторы и как подготовиться.

Свяжитесь с нами

Нажимая кнопку «Отправить», я подтверждаю согласие на обработку персональных данных в соответствии с Политикой конфиденциальности

Главная Блог Этапы аудита ИСО (ISO) при сертификации: как проходит проверка
2026-04-06 · ISO Certificate
Содержание
  1. Этапы аудита ISO (ИСО) при сертификации: полный разбор проверки
  2. Что такое сертификационный аудит ИСО и кто его проводит
  3. Stage 1 — документарный аудит: что проверяют и как подготовиться
  4. Stage 2 — основной аудит на месте: как проходит выезд аудитора
  5. Классификация несоответствий: major, minor и наблюдения
  6. Принятие решения о сертификации: что происходит после аудита
  7. Надзорные аудиты: что проверяют ежегодно
  8. Ресертификация: аудит через три года
  9. Полная схема этапов аудита ИСО: сводная таблица
  10. Как подготовиться к аудиту ИСО: практические шаги
  11. Особенности аудита для разных стандартов ИСО
  12. Часто задаваемые вопросы
  13. Итог
  14. Читайте также
Этапы аудита ИСО (ISO) при сертификации: как проходит проверка — иллюстрация
Иллюстрация к статье: Этапы аудита ИСО (ISO) при сертификации: как проходит проверка

Этапы аудита ISO (ИСО) при сертификации: полный разбор проверки

Аудит ИСО (ISO) — это не внезапная проверка. Каждый этап регламентирован, заранее согласован с организацией и проходит строго по утверждённой программе. Компания, которая знает, что именно происходит на каждой стадии, приходит к финальному решению о выдаче сертификата без неприятных сюрпризов.

Сертификационный аудит ИСО состоит из двух обязательных этапов — документарного (Stage 1) и основного аудита на месте (Stage 2). После получения сертификата каждый год проводятся надзорные аудиты (Surveillance Audit), а через три года — ресертификация. Понимание логики каждого из этих этапов позволяет руководству компании реалистично планировать ресурсы, назначать ответственных и не тратить время на хаотичную подготовку.

В этой статье разобран полный цикл аудита при сертификации ИСО 9001 (ISO 9001:2015), ИСО 14001 (ISO 14001:2015), ИСО 45001 (ISO 45001:2018) и других популярных стандартов. Принципы одинаковы для всех — различается лишь предметная область проверки.

Что такое сертификационный аудит ИСО и кто его проводит

Сертификационный аудит ИСО (ISO) — это систематическая, независимая и документально оформленная проверка того, соответствует ли система менеджмента организации требованиям выбранного стандарта. Понятие «аудит» в контексте ИСО определено стандартом ISO 19011:2018 («Руководящие указания по аудиту систем менеджмента»).

Проводят аудит органы по сертификации — независимые организации, аккредитованные в национальных или международных системах аккредитации. В России это органы, аккредитованные в Росаккредитации (ФГИС «Национальная система аккредитации»). Для международного признания сертификата орган должен быть членом форумов IAF (International Accreditation Forum) и работать через аккредитованное тело — например, DAkkS (Германия), UKAS (Великобритания) или ANAB (США).

Аудиторскую группу возглавляет ведущий аудитор (Lead Auditor), сертифицированный по ISO 19011. В зависимости от размера проверяемой организации в состав группы могут входить один или несколько аудиторов и технические эксперты по конкретным отраслям. Состав группы согласовывается с организацией до начала аудита.

Аудит ИСО — это не карательная проверка. Аудитор не ищет виновных, а оценивает, насколько выстроенная система реально работает. Его задача — собрать достаточно объективных свидетельств для того, чтобы комитет по сертификации мог принять обоснованное решение.

Stage 1 — документарный аудит: что проверяют и как подготовиться

Stage 1 (первый этап сертификационного аудита) — это анализ документации системы менеджмента. Он предшествует выезду аудитора на площадку организации и занимает, как правило, 1–2 дня при малом бизнесе, до 3–5 дней при крупных многоплощадочных структурах.

Аудитор изучает:

  • Политику и цели в области качества (экологии, охраны труда — в зависимости от стандарта). Соответствуют ли они требованиям п. 5.2 и п. 6.2 ИСО 9001:2015?
  • Область применения системы менеджмента (п. 4.3) — насколько чётко определены границы, продукты/услуги, площадки.
  • Руководство по качеству (если организация его ведёт) или аналогичный верхнеуровневый документ.
  • Обязательную документированную информацию — перечень обязательных процедур и записей по стандарту.
  • Карту процессов и описание взаимодействия процессов (п. 4.4).
  • Результаты анализа контекста (п. 4.1) и анализа заинтересованных сторон (п. 4.2).
  • Программу внутренних аудитов и наличие результатов проведённых внутренних аудитов.
  • Протоколы анализа со стороны руководства (п. 9.3).

По результатам Stage 1 аудитор формирует отчёт, в котором фиксирует: - готовность организации к Stage 2; - области, требующие внимания (области риска); - предварительную программу Stage 2.

Если выявлены серьёзные пробелы в документации — аудитор рекомендует отложить Stage 2 до их устранения. Это не провал, а нормальная практика. Гораздо лучше устранить несоответствия на документарном уровне, чем получить «major nonconformity» во время аудита на месте.

Типичные замечания Stage 1, которые организации упускают: - Цели не измеримы или не связаны с политикой - Область применения слишком широка и не соответствует реальной деятельности - Анализ рисков и возможностей (п. 6.1) формальный, без реальных мер реагирования - Внутренние аудиты не охватывают все процессы системы

Stage 2 — основной аудит на месте: как проходит выезд аудитора

Stage 2 — это собственно аудит на месте (on-site audit). Аудитор приезжает на площадку организации и проверяет, насколько задокументированная система менеджмента реально функционирует. Это главный этап, по итогам которого принимается решение о сертификации.

Продолжительность Stage 2 зависит от численности персонала организации. Орган по сертификации рассчитывает время аудита по нормативам IAF MD 5 (для ИСО 9001), IAF MD 22 (для ИСО 45001) и аналогичным. Ориентировочные цифры:

Численность персонала Минимальное время аудита (чел.-дни)
1–10 сотрудников 1,5
11–25 сотрудников 2,0
26–45 сотрудников 2,5
46–65 сотрудников 3,0
66–85 сотрудников 3,5
86–125 сотрудников 4,0
126–175 сотрудников 4,5
176–275 сотрудников 5,0
276–425 сотрудников 5,5
426–625 сотрудников 6,0
626–875 сотрудников 6,5
876–1175 сотрудников 7,0

Программа дня аудита типично выглядит так:

  1. Открывающее совещание (30–60 минут) — аудитор представляет команду, подтверждает программу, объясняет метод сбора свидетельств, уточняет организационные вопросы. Присутствует руководство и ответственные за процессы.

  2. Проверка процессов (основной блок) — аудитор последовательно обходит подразделения и интервьюирует владельцев процессов, операторов, руководителей. Параллельно изучает записи, отчёты, акты, журналы — всё, что является объективным свидетельством функционирования системы.

  3. Анализ свидетельств — периодически аудитор делает паузы для систематизации собранных данных и консультаций с коллегами (при групповом аудите).

  4. Заключительное совещание (60–90 минут) — аудитор докладывает выводы: соответствия, наблюдения, замечания. Озвучивает найденные несоответствия с указанием конкретных пунктов стандарта. Руководство организации может задать вопросы и уточнить трактовку.

Что проверяет аудитор на Stage 2:

  • Реальное выполнение задокументированных процедур (делают ли сотрудники то, что написано в документах)
  • Компетентность персонала (п. 7.2) — наличие обучения, подтверждённые квалификации
  • Управление инфраструктурой и производственной средой (пп. 7.1.3, 7.1.4)
  • Планирование и управление операциями (п. 8)
  • Управление несоответствующей продукцией / ненадлежащим оказанием услуг (п. 8.7)
  • Измерение удовлетворённости потребителей (п. 9.1.2)
  • Корректирующие действия по результатам несоответствий (п. 10.2)
  • Результаты и тренды КПЭ (ключевых показателей эффективности)

Классификация несоответствий: major, minor и наблюдения

По итогам Stage 2 аудитор классифицирует выявленные отклонения. Понимание этой классификации критично — от неё зависит, получит ли компания сертификат в запланированные сроки.

Значительное несоответствие (Major Nonconformity) — это отсутствие или системный сбой в выполнении требования стандарта, или ситуация, которая ставит под сомнение способность системы достигать запланированных результатов. Примеры: полное отсутствие процесса внутренних аудитов, ни разу не проводился анализ со стороны руководства, не управляется критически важный документированный процесс.

При наличии хотя бы одного major: сертификат не выдаётся до полного устранения несоответствия и подтверждения корректирующих действий. Обычно организации даётся 90 дней на устранение, после чего аудитор либо проверяет свидетельства дистанционно, либо проводит повторный визит.

Незначительное несоответствие (Minor Nonconformity) — единичный сбой или пробел, не влияющий на способность системы функционировать в целом. Примеры: одна из записей не содержит подписи ответственного, один процесс не откалиброван в срок.

При наличии minor: сертификат может быть выдан с условием представления плана корректирующих действий (обычно в течение 30–90 дней). Проверка устранения выполняется на первом надзорном аудите.

Наблюдение (Observation / Opportunity for Improvement) — не несоответствие, а рекомендация по улучшению. Никак не влияет на решение о сертификации, но серьёзный аудитор всегда включает наблюдения в отчёт как зоны роста.

Принятие решения о сертификации: что происходит после аудита

После завершения Stage 2 аудитор не принимает решение единолично. Он составляет аудиторский отчёт и передаёт его в технический комитет (или комитет по сертификации) своего органа. Это требование независимости: человек, проводивший аудит, не должен сам выдавать сертификат.

Комитет рассматривает отчёт, проверяет полноту собранных свидетельств и соответствие выводов стандарту. Если всё в порядке — принимается решение о выдаче сертификата. Срок от завершения аудита до выдачи сертификата составляет обычно 5–15 рабочих дней.

Сертификат ИСО (ISO) содержит: - Наименование и юридический адрес организации - Область сертификации (виды деятельности, площадки) - Наименование и номер стандарта (с годом издания) - Дату выдачи и дату окончания действия - Номер аккредитации органа по сертификации - Подпись уполномоченного лица

Срок действия сертификата — 3 года. Он вносится в реестр органа по сертификации, который, как правило, доступен публично на его сайте.

Надзорные аудиты: что проверяют ежегодно

Выдача сертификата — не финальная точка. Стандарт ISO 17021-1:2015 обязывает органы по сертификации проводить надзорные аудиты (Surveillance Audits) для подтверждения того, что система менеджмента продолжает функционировать.

Периодичность: минимум раз в 12 месяцев (для большинства стандартов). Первый надзорный аудит проводится не позднее 12 месяцев с момента принятия решения о сертификации.

Продолжительность надзорного аудита — примерно треть от времени Stage 2. То есть для компании с 50 сотрудниками это порядка 1 рабочего дня.

Что обязательно проверяется при надзорном аудите:

  • Внутренние аудиты и анализ со стороны руководства
  • Меры по устранению несоответствий, выявленных в предыдущем аудите
  • Жалобы потребителей и управление ими
  • Результативность системы: достижение целей, тренды КПЭ
  • Прогресс по запланированным улучшениям
  • Изменения, которые могли повлиять на систему менеджмента (новые процессы, площадки, продукты)
  • Использование знаков и логотипов сертификационного органа

Если организация не обеспечивает проведение надзорного аудита в установленный срок — сертификат приостанавливается. При продолжении бездействия — отзывается.

Ресертификация: аудит через три года

По истечении 3 лет проводится ресертификационный аудит (Recertification Audit). По сложности и трудоёмкости он сопоставим с первоначальным сертификационным аудитом (Stage 2), но при условии, что все надзорные аудиты прошли успешно.

Ресертификация — это возможность, а не угроза. Организации, которые реально используют систему менеджмента как рабочий инструмент (а не как комплект документов для проверяющих), проходят ресертификацию без трудностей.

Ключевые отличия ресертификационного аудита от первичного:

  • Аудитор изучает историю работы системы за три года: тренды, значимые изменения, реакция на проблемы
  • Оцениваются долгосрочные результаты: снижение брака, улучшение удовлетворённости потребителей, достижение стратегических целей
  • Анализируется эффективность корректирующих действий по всем несоответствиям за период действия сертификата

Если ресертификационный аудит проходит успешно — выдаётся новый сертификат сроком на 3 года. Цикл повторяется.

Полная схема этапов аудита ИСО: сводная таблица

Этап аудита Когда проводится Продолжительность Формат Результат
Stage 1 — документарный Перед выездом аудитора 1–3 дня Анализ документов (дистанционно или на площадке) Отчёт: готовность к Stage 2, области риска
Stage 2 — основной После Stage 1 (через 2–6 недель) 1,5–7+ дней Выезд на площадку, интервью, осмотр Аудиторский отчёт, решение о сертификации
Надзорный аудит 1 Через 12 мес. после сертификации ~1/3 от Stage 2 Выезд на площадку Подтверждение или приостановление сертификата
Надзорный аудит 2 Через 24 мес. после сертификации ~1/3 от Stage 2 Выезд на площадку Подтверждение или приостановление сертификата
Ресертификация Через 36 мес. (до истечения срока) ~Stage 2 Выезд на площадку Новый сертификат на 3 года

Общая стоимость аудитов за 3-летний цикл для российской компании среднего размера (50–100 сотрудников):

Тип аудита Ориентировочная стоимость
Stage 1 20 000 – 50 000 руб.
Stage 2 60 000 – 150 000 руб.
Надзорный аудит (× 2) 30 000 – 80 000 руб. за каждый
Ресертификация 70 000 – 160 000 руб.
Итого за 3 года от 210 000 руб.

Цены существенно варьируются в зависимости от органа по сертификации, отрасли, количества площадок и удалённости от региона базирования аудиторов.

Как подготовиться к аудиту ИСО: практические шаги

Подготовка к сертификационному аудиту ИСО (ISO) — это не «срочное написание документов». Реальная готовность достигается за счёт системной работы в течение нескольких месяцев до аудита.

За 3–4 месяца до Stage 1:

  1. Провести GAP-анализ — сравнить текущее состояние системы менеджмента с требованиями стандарта. Зафиксировать пробелы письменно с оценкой трудоёмкости устранения каждого.

  2. Разработать или актуализировать документацию — в первую очередь те документы, которые проверяются на Stage 1. Политика, цели, карта процессов, анализ контекста и заинтересованных сторон.

  3. Обучить ответственных — владельцы процессов должны знать требования стандарта применительно к своей зоне ответственности. Особенно важны те, кто будет отвечать на вопросы аудитора.

За 1–2 месяца до Stage 2:

  1. Провести внутренний аудит — охватить все процессы системы. Без результатов внутреннего аудита Stage 2 провалится на начальном этапе: это одно из первых, что проверяется.

  2. Провести анализ со стороны руководства — задокументировать результаты в соответствии с п. 9.3 стандарта. Анализ должен включать все обязательные входные данные (результаты аудитов, КПЭ, ресурсы и т.д.).

  3. Устранить несоответствия по результатам внутреннего аудита с оформлением корректирующих действий (п. 10.2).

За 2–3 недели до Stage 2:

  1. Подготовить «аудиторские папки» — подборки свидетельств по каждому процессу: записи, журналы, отчёты за последние 6–12 месяцев.

  2. Провести инструктаж персонала — объяснить, как вести себя при интервью с аудитором: отвечать честно и по существу, не пытаться скрыть проблемы (аудитор найдёт, а степень доверия упадёт).

  3. Проверить актуальность реестра нормативных требований — для ИСО 14001 (ISO 14001) и ИСО 45001 (ISO 45001) это критический элемент, который часто упускают.

Особенности аудита для разных стандартов ИСО

Базовая структура аудита одинакова для всех стандартов ИСО. Но у каждого стандарта есть специфические акценты, на которые аудиторы обращают особое внимание.

ИСО 9001 (ISO 9001:2015) — Система менеджмента качества: Аудитор фокусируется на управлении рисками (п. 6.1), удовлетворённости потребителей (п. 9.1.2) и управлении внешними поставщиками (п. 8.4). Особое внимание — к прослеживаемости продукции и управлению несоответствующей продукцией (п. 8.7). Подробнее о требованиях стандарта — в статье Требования ИСО 9001:2015.

ИСО 14001 (ISO 14001:2015) — Экологический менеджмент: Ключевые проверки: реестр экологических аспектов (п. 6.1.2), реестр нормативно-правовых требований (п. 6.1.3), готовность к аварийным ситуациям (п. 8.2), оценка соответствия требованиям (п. 9.1.2). Аудитор обязательно выходит на производственную площадку для визуального осмотра. Подробности — в требованиях ИСО 14001.

ИСО 45001 (ISO 45001:2018) — Охрана труда и промышленная безопасность: Аудитор уделяет максимум внимания идентификации опасностей (п. 6.1.2), консультациям и участию работников (п. 5.4), расследованию инцидентов (п. 10.2). Проводится обход рабочих мест с проверкой реальных условий труда. Узнайте больше о сертификации ИСО 45001.

ИСО 27001 (ISO 27001:2022) — Информационная безопасность: Обязательная проверка: Декларация о применимости (Statement of Applicability, SoA), оценка рисков ИБ, физическая и логическая защита активов. Аудитор может проверять технические конфигурации систем и запрашивать демонстрацию работы средств защиты. Подробнее — в требованиях ИСО 27001.

Часто задаваемые вопросы

Можно ли совместить Stage 1 и Stage 2 в один визит аудитора?

Формально стандарт ISO 17021-1:2015 не запрещает проводить оба этапа в ходе одного визита, если организация достаточно мала и документация была передана аудитору заранее. На практике органы по сертификации крайне редко идут на такое совмещение для первичной сертификации: риск того, что Stage 2 придётся прервать из-за серьёзных проблем, обнаруженных при документарном анализе, слишком высок. Исключение — микропредприятия до 5 сотрудников с простыми процессами. В большинстве случаев между Stage 1 и Stage 2 выдерживается паузу от 2 до 6 недель.

Что происходит, если аудитор обнаружил major несоответствие?

Сертификат в этом случае не выдаётся. Организация получает официальное уведомление с описанием несоответствия и ссылкой на нарушенный пункт стандарта. Далее нужно разработать и реализовать план корректирующих действий — обычно в течение 90 дней. Аудитор либо проверяет свидетельства устранения дистанционно (по документам), либо приезжает повторно. Повторный выезд оплачивается отдельно. После подтверждения устранения несоответствия комитет принимает решение о выдаче сертификата.

Может ли аудитор опрашивать любого сотрудника компании?

Да. Аудитор вправе побеседовать с любым сотрудником, деятельность которого входит в область сертификации. Это нормальная и ожидаемая практика: интервью с рядовым персоналом — один из самых информативных методов сбора свидетельств. Именно в разговоре с оператором линии или кладовщиком аудитор узнаёт, работают ли процедуры реально, а не только на бумаге. Поэтому инструктаж персонала перед аудитом — не уловка, а часть подготовки.

Сколько времени занимает вся процедура от подачи заявки до получения сертификата?

При условии, что система менеджмента уже внедрена и функционирует, типичные сроки выглядят так: подача заявки и согласование программы — 1–2 недели; Stage 1 — проводится через 2–4 недели после подачи заявки; Stage 2 — через 2–6 недель после Stage 1; принятие решения и оформление сертификата — 1–3 недели. Итого от заявки до сертификата — 2–3 месяца. Если по результатам Stage 2 выявлены major несоответствия, срок увеличивается на 2–4 месяца.

Нужно ли оплачивать повторный аудит при major несоответствии?

Да, повторный визит аудитора (follow-up audit) оплачивается дополнительно. Сумма зависит от органа по сертификации и обычно составляет 50–100% стоимости одного дня аудита. Именно поэтому качественная подготовка к Stage 2 экономически выгодна: цена ошибки — не только задержка сертификата, но и реальные расходы на повторный выезд.

Можно ли перенести запланированный аудит?

Перенести аудит можно, но за это может взиматься административный сбор органа по сертификации (как правило, при уведомлении менее чем за 10–14 рабочих дней). Для надзорных аудитов существуют жёсткие временные рамки: если надзорный аудит не проведён в течение 15 месяцев от предыдущего решения — сертификат приостанавливается автоматически. Период приостановления обычно не превышает 6 месяцев, после чего сертификат отзывается.

Как выбрать орган по сертификации?

При выборе органа по сертификации проверьте: наличие аккредитации в Росаккредитации для ГОСТ Р ИСО или в международном органе (IAF MLA-участник) для международного признания; репутацию на рынке и отзывы клиентов; наличие аудиторов с отраслевой экспертизой (для ИСО 22000 — пищевая промышленность, для ИСО 45001 — ваша отрасль производства); прозрачность ценообразования без скрытых сборов. Сертификат от органа, не входящего в международную систему признания IAF, может не приниматься зарубежными партнёрами или заказчиками.

Что такое трансфер сертификата и когда он нужен?

Трансфер (transfer certification) — это перенос действующего сертификата от одного органа по сертификации к другому без повторного прохождения полного сертификационного аудита. Это актуально, если вас не устраивает нынешний орган (сервис, цены, территориальное покрытие), или если головная компания требует сертификат от конкретного органа. Для трансфера новый орган проводит анализ документации предыдущего аудита и, как правило, короткий верификационный визит. Сертификат продолжает действовать на оставшийся срок.

Итог

Аудит ИСО (ISO) — это предсказуемый, структурированный процесс, к которому можно и нужно готовиться системно. Компании, воспринимающие аудит как разовую «сдачу экзамена», тратят в разы больше ресурсов, чем те, у кого система менеджмента работает постоянно. Stage 1 покажет пробелы в документации, Stage 2 — реальное функционирование системы, надзорные аудиты — устойчивость результатов. Понимание логики каждого этапа позволяет пройти весь цикл без неприятных сюрпризов.

Нужна помощь с подготовкой к аудиту ИСО? Оставьте заявку — наши эксперты проведут предварительный GAP-анализ, помогут устранить пробелы в документации и подготовить персонал к интервью с аудитором.

Оставить заявку

Читайте также

Получите бесплатную консультацию

Оставьте номер телефона — перезвоним в течение 30 минут и ответим на все вопросы

Нажимая кнопку, вы соглашаетесь с политикой конфиденциальности