Заявление о применимости
Заявление о применимости — это документ, оформляемый в рамках систем менеджмента качества (СМК), который официально определяет область действия системы, её границы и обосновывает исключение отдельных требований международного или национального стандарта (например, ISO 9001 или ГОСТ Р ИСО 9001). Заявление о применимости является обязательным элементом при сертификации СМК на соответствие стандарту ISO 9001:2015 (пункт 4.3) и его российскому аналогу ГОСТ Р ИСО 9001-2015, а также широко используется в стандартах информационной безопасности (ISO 27001, ГОСТ Р ИСО/МЭК 27001) и других отраслевых нормативных документах. Документ фиксирует, какие процессы, подразделения, виды продукции или услуг охвачены системой, и какие требования стандарта не применяются в организации с указанием причин.
Назначение и цели
Основное назначение заявления о применимости — обеспечить прозрачность и однозначность границ СМК для всех заинтересованных сторон: руководства организации, сотрудников, аудиторов (внутренних и внешних), заказчиков и регулирующих органов. Документ решает несколько ключевых задач:
- Определение области применения — фиксирует, на какие подразделения, процессы, виды деятельности и географические площадки распространяется система менеджмента.
- Обоснование исключений — если организация не может или не считает целесообразным применять некоторые требования стандарта, она обязана документально объяснить, почему это не влияет на её способность поставлять продукцию или услуги, соответствующие требованиям потребителей и обязательным требованиям.
- Установление границ ответственности — заявление помогает разграничить зоны действия СМК и других систем управления (экологического менеджмента, охраны труда, информационной безопасности).
- Обеспечение соответствия стандарту — без утверждённого заявления о применимости сертификация СМК на соответствие ISO 9001 или ISO 27001 невозможна, так как это прямое требование пунктов 4.3 и 4.4 соответствующих стандартов.
Структура и содержание
Заявление о применимости не имеет жёстко установленной формы, но должно включать следующие обязательные элементы в соответствии с требованиями стандартов:
1. Идентификация организации
Указывается полное наименование юридического лица (или индивидуального предпринимателя), его организационно-правовая форма, юридический и фактический адреса, а также реквизиты (ИНН, ОГРН). В случае наличия филиалов или обособленных подразделений перечисляются все площадки, включённые в область СМК.
2. Описание области применения
Формулируется в виде чёткого и недвусмысленного перечня:
- виды продукции, работ или услуг, на которые распространяется СМК;
- перечень процессов (основных, вспомогательных, управленческих), охваченных системой;
- структурные подразделения (отделы, цеха, участки), включённые в область;
- географические границы (например, «производственная площадка по адресу: г. Москва, ул. Ленина, д. 10»).
Пример формулировки: «Система менеджмента качества распространяется на проектирование, производство и сервисное обслуживание промышленного оборудования для нефтегазовой отрасли, осуществляемые на территории завода в г. Тюмень».
3. Обоснование исключений
В стандарте ISO 9001:2015 (пункт 4.3) допускается исключение требований, если они не применимы к характеру деятельности организации. Например, если организация не занимается проектированием, она может исключить требования пункта 8.3 «Проектирование и разработка продукции и услуг». Каждое исключение должно быть обосновано:
- Причина — почему данное требование не применимо (например, «организация не осуществляет разработку новых видов продукции, все заказы выполняются по готовым чертежам заказчика»).
- Влияние на качество — доказательство того, что исключение не снижает способности организации выполнять требования потребителей и обязательные требования.
В стандарте ISO 27001 (информационная безопасность) заявление о применимости (Statement of Applicability, SoA) содержит перечень всех контролей из Приложения A, с указанием статуса их применения («применяется» / «не применяется»), а также обоснование для каждого решения.
4. Дата и статус документа
Указывается дата утверждения, версия документа, сведения об утвердившем лице (обычно генеральный директор или руководитель СМК). Документ должен быть актуализирован при изменении области деятельности, структуры организации или требований стандарта.
Порядок разработки и утверждения
Разработка заявления о применимости обычно входит в обязанности отдела качества или службы СМК. Процесс включает несколько этапов:
- Анализ деятельности организации — изучение уставных документов, организационной структуры, перечня процессов, видов продукции и услуг, а также требований заказчиков и законодательства.
- Сопоставление с требованиями стандарта — постатейное сравнение требований ISO 9001 (или другого стандарта) с реальными процессами организации. Выявляются пункты, которые не могут быть выполнены в силу специфики деятельности.
- Формулировка области применения и исключений — составление проекта документа с указанием границ и обоснований.
- Согласование — проект направляется руководителям подразделений, включённых в область СМК, для проверки корректности и полноты.
- Утверждение — документ подписывается руководителем организации (или уполномоченным лицом) и вводится в действие приказом.
- Доведение до сведения — заявление о применимости включается в документацию СМК (обычно в Руководство по качеству или как отдельный документ) и доводится до всех заинтересованных сотрудников.
Особенности для разных стандартов
ISO 9001:2015 (ГОСТ Р ИСО 9001-2015)
- Область применения определяется как «результаты, которые организация намерена достичь с помощью СМК». Исключения возможны только для требований раздела 8 (операционная деятельность), причём они не должны затрагивать способность организации обеспечивать соответствие продукции и услуг.
- Документ обычно входит в состав Руководства по качеству, хотя стандарт не требует отдельного документа — достаточно, чтобы область применения была зафиксирована в документированной информации.
ISO 27001:2022 (ГОСТ Р ИСО/МЭК 27001-2021)
- Заявление о применимости (SoA) является обязательным документом для сертификации систем менеджмента информационной безопасности. Оно содержит перечень всех контролей из Приложения A (93 контроля в версии 2022 года), с указанием статуса их применения и обоснованием.
- Документ должен быть подписан руководством и регулярно пересматриваться (не реже одного раза в год или при значительных изменениях в ИТ-инфраструктуре).
Отраслевые стандарты
- В автомобильной промышленности (IATF 16949) заявление о применимости может включать дополнительные требования, связанные с производственной частью и цепочкой поставок.
- В авиастроении (AS9100) — особое внимание уделяется исключениям, связанным с проектированием и разработкой, так как они критичны для безопасности полётов.
Ответственность и последствия отсутствия
Отсутствие заявления о применимости или его некорректное оформление может привести к следующим последствиям:
- Отказ в сертификации — аудитор не сможет подтвердить соответствие СМК требованиям стандарта, так как не будет определена область применения.
- Неопределённость границ — без чёткого документа сотрудники и аудиторы могут по-разному интерпретировать, какие процессы входят в СМК, что снижает эффективность системы.
- Юридические риски — при претензиях со стороны заказчиков или контролирующих органов отсутствие документированной области применения может быть расценено как нарушение требований к СМК.
Ответственность за разработку и актуализацию заявления о применимости несёт руководитель организации или лицо, назначенное ответственным за СМК (обычно представитель руководства по качеству).
Примеры
Пример 1 (ISO 9001, производственное предприятие): «Область применения СМК ООО «Станкострой»: проектирование, изготовление и гарантийное обслуживание металлорежущих станков. Исключаются требования пункта 8.3 «Проектирование и разработка продукции и услуг» в части разработки принципиально новых моделей, так как все изделия изготавливаются по типовым конструкторским документам, утверждённым заказчиком. Исключение не влияет на способность организации выполнять требования потребителей, так как заказчик предоставляет полный комплект конструкторской документации».
Пример 2 (ISO 27001, ИТ-компания): «Область применения СМКИБ: процессы обработки персональных данных клиентов в автоматизированной системе «Клиент-Банк». Из 93 контролей Приложения A применяются 78. Не применяются контроли A.8.24 (использование криптографии), A.8.25 (безопасная разработка) и A.8.26 (управление уязвимостями) в связи с тем, что разработка ПО осуществляется сторонней организацией на условиях аутсорсинга, а криптографические средства не используются в силу специфики бизнес-процессов».
Источники
- ГОСТ Р ИСО 9001-2015 «Системы менеджмента качества. Требования» (пункт 4.3).
- ГОСТ Р ИСО/МЭК 27001-2021 «Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования» (пункт 6.1.3, Приложение A).
- ISO 9000:2015 «Системы менеджмента качества. Основные положения и словарь».
- IATF 16949:2016 «Требования к системам менеджмента качества в автомобильной промышленности».
- Руководство по разработке документации СМК (Рекомендации Росстандарта, 2018).
- Практические рекомендации по составлению заявления о применимости (журнал «Методы менеджмента качества», № 4, 2020).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →