ISO 19443 — это не просто «ISO 9001 для атомной отрасли». Это специальный стандарт для организаций в цепочке поставок ядерной энергетики, которые поставляют продукцию и услуги, важные для ядерной безопасности. В основе действительно лежит ISO 9001, но стандарт добавляет отраслевую логику: значимость продукции и работ для безопасности, требования заказчика, культуру ядерной безопасности, дифференцированный подход к контролю и более строгую дисциплину в управлении поставщиками, изменениями и прослеживаемостью.
Для бизнеса это означает простую вещь: аудит ISO 19443 проверяет не только наличие процедур, но и то, насколько система реально помогает не допускать ошибок в ядерной цепочке поставок. Поэтому сертификация ISO 19443 обычно воспринимается заказчиками не как формальность, а как подтверждение того, что поставщик понимает требования к безопасности, управляет рисками и способен стабильно выпускать или оказывать то, что требуется для объектов и процессов с повышенной ответственностью.
Эта статья будет полезна компаниям, которые только планируют внедрение ISO 19443, уже работают по ISO 9001 и хотят адаптировать систему под ядерную цепочку поставок, а также тем, кто готовится к внутреннему аудиту ISO 19443, аудиту поставщика или внешней сертификации.
Что такое сертификация ISO 19443 простыми словами
Сертификация ISO 19443 — это внешний аудит системы менеджмента качества в ядерной отрасли, который проводит независимый орган по сертификации. Его задача — проверить, соответствует ли система требованиям стандарта и действительно ли она работает в реальных процессах компании, а не только в документах. В опубликованной базе стандарт существует как ISO 19443:2018, а в 2024 году к нему было выпущено дополнение.
Важно понимать, что сертифицируют не «отдел качества» и не комплект документов. Сертифицируют систему управления: как компания определяет область применения, как понимает требования заказчика, как управляет поставщиками и внешними процессами, как контролирует изменения, как обеспечивает компетентность персонала, как ведет записи и как реагирует на несоответствия.
Если говорить совсем просто, внешний аудит ISO 19443 отвечает на три вопроса:
- Понимает ли компания, что именно в ее продукции, услугах или деятельности влияет на ядерную безопасность?
- Выстроила ли она процессы так, чтобы риски ошибок, дефектов, подмены, потери прослеживаемости и неуправляемых изменений были под контролем?
- Есть ли у нее реальные доказательства, что эта система работает стабильно?
Чем аудит ISO 19443 отличается от обычного аудита ISO 9001
Главное отличие — фокус на ядерной безопасности и роли поставщика в общей цепочке поставок. ISO 19443 прямо адресован организациям, которые поставляют продукцию и услуги, важные для ядерной безопасности, а IAEA отдельно отмечает, что стандарт развивает общую модель ISO 9001, дополняя ее отраслевыми требованиями и принципами безопасности.
Поэтому на аудите ISO 19443 обычно недостаточно показать, что у вас есть процедура закупок, процедура проектирования или процедура управления несоответствующей продукцией. Аудитор будет смотреть глубже: как вы определяете важность конкретной продукции или услуги для безопасности, как отражаете это в требованиях к процессам, как усиливаете контроль там, где ошибка может иметь более серьезные последствия, и как доносите эту логику до сотрудников и поставщиков. Это и есть тот самый дифференцированный подход — graded approach («градуированный подход», то есть соразмерность глубины контроля важности и риску).
Еще одно отличие — внимание к культуре ядерной безопасности. В ISO 19443 и связанных материалах IAEA подчеркивается, что для поставщиков важны не только технические процедуры, но и управленческое поведение: готовность сообщать о проблемах, дисциплина исполнения, прозрачность, документирование, отношение руководства к безопасности и обучение персонала. Иными словами, аудиторы смотрят не только на систему, но и на поведение системы.
Что такое ITNS и почему это критично для аудита
Термин ITNS расшифровывается как items and activities important to nuclear safety — продукция, работы и действия, важные для ядерной безопасности. Именно вокруг этого понятия строится логика ISO 19443. Стандарт применяют не «вообще к хорошему качеству», а к тем поставкам и видам деятельности, где ошибка может повлиять на безопасность, выполнение требований заказчика и доверие к поставщику.
На практике это означает, что аудит начинается не с папки процедур, а с понимания контекста: что именно вы поставляете, для какого применения, какие требования дает заказчик, где проходят границы ответственности, какие характеристики критичны, какие записи должны обеспечивать прослеживаемость, какие изменения нельзя вносить без оценки и согласования.
Зрелая компания умеет ответить на эти вопросы предметно. Она может показать, почему для одной номенклатуры контроль входящих материалов должен быть усиленным, почему для другой критична полная прослеживаемость партии, а для третьей решающим является подтверждение компетентности исполнителя услуги. Незрелая компания обычно отвечает слишком общо: «мы все контролируем одинаково» или «у нас это в договоре с клиентом написано». Для ISO 19443 этого мало.
Как проходит аудит ISO 19443: этапы сертификации
С практической точки зрения сертификация ISO 19443 обычно идет по классической двухэтапной логике внешнего аудита систем менеджмента: Stage 1 и Stage 2, после чего следует решение о выдаче сертификата. Далее система входит в цикл надзорных аудитов и последующей ресертификации. У сертификационных органов этот цикл обычно строится как трехлетняя программа: первичная сертификация, затем надзорные аудиты в течение цикла и повторная сертификация.
Этап 1. Оценка готовности системы
Первый этап нужен не для «полного экзамена», а для проверки готовности компании ко второму этапу. На нем обычно смотрят область применения системы, понимание требований стандарта, ключевую документированную информацию, карту процессов, состояние внутренних аудитов, анализ со стороны руководства, зрелость системы и общую готовность площадок и процессов к полноценной проверке.
Для ISO 19443 на первом этапе особенно важно, понимает ли компания свою роль в ядерной цепочке поставок. Аудитор обычно пытается увидеть, как организация определяет ITNS, как учитывает требования заказчика и где именно в системе управления появляются дополнительные меры контроля по сравнению с обычным ISO 9001.
Если на этом этапе видно, что система описана слишком формально, персонал не понимает терминов, внутренние аудиты поверхностные, а границы ответственности размыты, Stage 2 пройдет тяжело. По сути, первый этап — это момент, когда становится видно, живет ли система в бизнесе или пока существует только на бумаге.
Этап 2. Основной сертификационный аудит
На втором этапе аудиторы уже проверяют внедрение и результативность системы в реальных процессах. Здесь смотрят не только документы, но и выполнение работ, записи, интервью с сотрудниками, маршруты продукции, управление поставщиками, контроль изменений, квалификацию персонала, выпуск продукции, несоответствия, корректирующие действия и фактическую прослеживаемость. Именно этот этап отвечает на вопрос, можно ли доверять системе в повседневной работе.
Для компании из ядерной цепочки поставок аудитор, как правило, идет по процессам и по реальным примерам. Он может проследить конкретный заказ от требований клиента до закупки, производства, контроля, выпуска и записей. Может проверить, как согласовывались изменения, как оценивался поставщик, какие критерии приемки были применены, кто утверждал отклонения и есть ли доказательства, что критичные требования не потерялись по дороге.
Именно на втором этапе особенно заметны слабые места зрелости. Например, процедура по управлению изменениями есть, но сотрудники считают, что «небольшая замена материала» не считается изменением. Или прослеживаемость существует только до отгрузки, но не позволяет восстановить цепочку используемых материалов и проверок. Или требования к поставщикам есть в анкете, но не встроены в реальный процесс закупки и приемки.
Решение о сертификации и дальнейший цикл
После завершения аудита и закрытия критичных несоответствий орган по сертификации принимает решение о выдаче сертификата. На этом жизнь системы не заканчивается: дальше следуют надзорные аудиты, а затем ресертификация в новом цикле.
Это важный момент для бизнеса. ISO 19443 нельзя пройти один раз и «положить на полку». Если система поддерживается формально, это быстро становится заметно на надзорных аудитах: ухудшается дисциплина записей, размывается логика graded approach, поставщики начинают оцениваться номинально, а корректирующие действия становятся косметическими.
Какие сроки бывают на практике
Точный срок сертификации ISO 19443 зависит не столько от размера компании, сколько от зрелости системы и характера поставок. На практике на сроки сильнее всего влияют:
- есть ли у компании уже реально работающая система по ISO 9001;
- насколько четко определены ITNS и требования заказчиков;
- сколько площадок, процессов и внешних поставщиков нужно охватить;
- есть ли проектирование, специальное производство, специальные процессы или критичные услуги;
- насколько хорошо выстроены прослеживаемость, управление изменениями и доказательная база.
Если у компании уже зрелая система менеджмента качества и она действительно управляет рисками в ядерной цепочке поставок, путь до сертификации обычно короче. Если же ISO 19443 внедряется поверх формального ISO 9001, основное время уходит не на сам внешний аудит, а на доработку процессов, обучение персонала, выстраивание логики ITNS и наведение порядка в записях.
Правильнее смотреть на сроки не как на «сколько длится аудит», а как на четыре отрезка: подготовка системы, первый этап, доработка по итогам первого этапа, второй этап и закрытие несоответствий. Для руководства это полезнее, чем пытаться заранее угадать количество аудиторских дней.
Что обычно проверяют аудиторы ISO 19443
Помимо базовой логики системы менеджмента качества, аудиторы обычно внимательно смотрят на темы, которые для ядерной цепочки поставок особенно чувствительны:
- понимание требований заказчика и их перенос в процессы компании;
- определение и управление ITNS;
- применение graded approach;
- управление поставщиками и внешними процессами;
- прослеживаемость продукции, материалов и записей;
- управление изменениями и конфигурацией;
- компетентность персонала и осознание влияния своей работы на безопасность;
- выявление и предотвращение контрафактных, поддельных или вызывающих подозрение изделий — counterfeit, fraudulent and suspect items (CFS items).
Последний пункт часто недооценивают. Но для ядерной отрасли это не экзотическая тема, а реальный риск цепочки поставок. Если компания не умеет оценивать происхождение продукции, надежность поставщика, достаточность входного контроля и признаки сомнительных изделий, это воспринимается как системная слабость, а не как частная ошибка закупки.
Типовые ошибки и слабые места
Самая частая ошибка — считать, что внедрение ISO 19443 сводится к переписыванию процедур под новую терминологию. На бумаге появляются слова ITNS, культура безопасности и graded approach, но сами процессы не меняются. Аудиторы это видят быстро.
Вторая типовая ошибка — отсутствие связки между требованиями заказчика и внутренней системой. Например, требования есть в контракте, технической документации или спецификации, но они не переведены в контрольные точки процесса, критерии приемки, правила управления изменениями и записи.
Третья ошибка — формальный подход к поставщикам. Для nuclear supply chain quality management этого недостаточно. Опросник поставщика сам по себе не гарантирует, что поставщик действительно контролирует свою продукцию, понимает критичность требований и не создает риски для вашей компании и конечного заказчика.
Четвертая ошибка — слабая прослеживаемость. Пока все идет хорошо, проблема незаметна. Но как только возникает претензия, отклонение или подозрение на несоответствие, выясняется, что компания не может быстро и надежно восстановить цепочку: от какого поставщика пришел материал, на каком оборудовании он обрабатывался, кто проводил контроль, какое изменение было внесено и какие партии затронуты.
Практические рекомендации: как подготовиться к аудиту лучше
Первое — определите, где именно в вашем бизнесе проходит граница ITNS. Не в общих словах, а по конкретной продукции, услугам, работам, процессам и записям.
Второе — проверьте, что graded approach реально встроен в систему. Не все должно контролироваться одинаково. Но все, что важнее для ядерной безопасности, должно контролироваться глубже, строже и доказуемо.
Третье — сделайте пробный проход по реальному заказу. Возьмите один типичный контракт или поставку и проследите всю цепочку: требования заказчика, закупки, производство, контроль, записи, отклонения, изменения, выпуск. Такой самоаудит очень быстро показывает слабые места.
Четвертое — посмотрите на систему глазами аудитора поставщика. Какие риски вы передаете вниз по цепочке? Как убеждаетесь, что ваш поставщик понял критичность требований? Как предотвращаете появление сомнительных изделий? Где ваши реальные доказательства?
Пятое — готовьте к аудиту не только службу качества. В ISO 19443 большое значение имеют руководители процессов, закупки, производство, инженерные функции, контроль качества, технические специалисты и руководство компании. Если стандарт понимает только один координатор проекта, аудит будет тяжелым.
Итоги
Сертификация ISO 19443 — это проверка не красоты документации, а способности компании надежно работать в ядерной цепочке поставок. Аудит идет по классической схеме с первым и вторым этапом, затем переходит в цикл надзорных проверок, но содержание аудита существенно глубже обычного ISO 9001: здесь критичны ITNS, культура ядерной безопасности, управление поставщиками, прослеживаемость, контроль изменений и дисциплина доказательств.
Для бизнеса смысл ISO 19443 в том, что он помогает не просто получить сертификат, а выстроить систему, которой доверяет заказчик. А это уже влияет на доступ к проектам, устойчивость поставок, снижение дефектов и переделок, а главное — на снижение рисков там, где цена ошибки действительно высока.
Полезные сервисы и ресурсы по сертификации ISO
Планируете пройти сертификацию по ГОСТ Р ИСО 19443 или другим стандартам? Отправьте одну заявку и получите до 5 коммерческих предложений за 1 раз только от аккредитованных ФСА органов по сертификации.
📢 Подписывайтесь на наш Telegram-канал с новостями и статьями по ISO;
💬 Присоединяйтесь к чату специалистов по системам менеджмента;
💰 Рассчитайте примерную стоимость сертификации в нашем онлайн-калькуляторе;
🗺️ Найдите орган по сертификации в нашем реестре — по стандарту или прямо на карте.
Планируете пройти сертификацию по ГОСТ Р ИСО 19443 или другим стандартам? Отправьте одну заявку и получите до 5 коммерческих предложений за 1 раз только от аккредитованных ФСА органов по сертификации.
📢 Подписывайтесь на наш Telegram-канал с новостями и статьями по ISO;
💬 Присоединяйтесь к чату специалистов по системам менеджмента;
💰 Рассчитайте примерную стоимость сертификации в нашем онлайн-калькуляторе;
🗺️ Найдите орган по сертификации в нашем реестре — по стандарту или прямо на карте.