«Сроки сертификации, это не лотерея, а сумма отрезков времени, которые можно просчитать. Когда знаешь, сколько занимает каждый этап, перестаёшь гадать и начинаешь управлять процессом. Я планирую compliance как проект: с этапами, ответственными и буфером на непредвиденное. Эта статья — мой расчётный шаблон, где каждый временной интервал подкреплён реальными кейсами»
.
От идеи до знака соответствия: как рассчитать реалистичные сроки для вашей сертификации
Срок получения сертификата, это не случайная цифра, а результат сложения конкретных временных отрезков. Каждый этап, от предварительного аудита до выдачи документа, имеет свою продолжительность. Знание этих интервалов позволяет не гадать, а управлять процессом. Это превращает compliance из сюрприза в предсказуемый проект.
Из чего складывается общий срок сертификации
Время от идеи до выдачи сертификата, это сумма трёх компонентов: подготовка компании, активный цикл аудита и административная обработка. Из них только второй — работа органа по сертификации — имеет узкие рамки. Первый и третий — под вашим влиянием, и именно они формируют разброс в сроках от трёх до восемнадцати месяцев.
Подготовка компании — наиболее волатильный этап. Он включает оценку текущего состояния, разработку или адаптацию документов, внедрение требований стандарта в процессы, обучение персонала и внутренние проверки. У одних компаний этот период занимает две недели, у других — полгода. Разница не в сложности стандарта, а в готовности системы. Организация с раздельными функциями управления качеством, ИБ и документооборотом проходит этот этап в 2–3 раза быстрее.
Работа органа по сертификации — от пяти до пятнадцати рабочих дней. Это время нахождения аудиторской группы на месте: изучение доказательной базы, проверка выполнения требований, интервью с ключевыми сотрудниками. Длительность фиксирована и зависит от масштаба системы — количества локаций, процессов и охватываемого персонала. В IT-компаниях с централизованной инфраструктурой аудит может занять 5–7 дней. На производстве, где нужно пройти весь цикл от закупки до выпуска, — до 14 дней.
После аудита наступает этап, который многие недооценивают, но который чаще всего растягивается. Оценка отчета по аудиту, анализ корректирующих действий, принятие решения техническим комитетом — от двух до восьми недель. У некоторых аккредитованных органов этот процесс регламентирован жёсткими сроками, у других — зависит от загруженности. Пиковая нагрузка в четвёртом квартале может добавить две недели к ожиданию. Сертификат не считается выданным, пока его номер не появился в государственном или отраслевом реестре. Это административная часть, которую нельзя ускорить с помощью прямых действий.
Сертификация «с нуля» vs сертификация действующей системы: две разные хронологии
Начало с чистого листа — самый затратный по времени сценарий. Сертификация ISO 9001 или ISO 27001 в компании, где не было ни единой утверждённой политики, требует не менее четырёх месяцев до первого аудита. Причина не в бюрократии, а в необходимости построить систему. Политики, процедуры, формы, процессы согласования — всё это нужно не просто написать, но и внедрить в работу. Я фиксирую минимум два месяца на адаптацию шаблонов под реальные процессы и ещё два — на обучение, отработку, устранение ошибок в документах.
Срок можно сократить только при условии, что ответственный за проект назначен до старта. Приказ о назначении, план работ и еженедельные отчёты — база. Без этого процесс расплывается. Я видел кейсы, когда написание инструкции по управлению доступом затягивалось на восемь недель из-за согласований между IT и администрацией. При наличии project owner’а — одна неделя.
Если система уже функционирует, но требуется ресертификация или переход на новую версию стандарта, хронология меняется кардинально. Фокус смещается на обновление документов, проверку соответствия изменённым требованиям и подготовку доказательств. Готовность — не в количестве файлов, а в их актуальности и привязке к реальным операциям. В таких проектах я закладываю от 8 до 12 недель на подготовку. Этого достаточно, чтобы обновить 15–20 ключевых документов, провести внутренний аудит и устранить несоответствия.
Сертификация продукта требует иного подхода. В отличие от системных стандартов, тут нет лагуна между процессом и результатом. Для СЕ-маркировки необходимо наличие готового образца, протоколов испытаний, технической документации и оценки рисков. Невозможно начать процесс до завершения стадии prototype final. Логичная ошибка — планировать сертификацию после разработки. Правильный путь — встраивать требования в этапы проектирования. Я начинаю работать с нотифицированным органом ещё при финальной отладке, чтобы тестирование проводилось параллельно с доводкой. Это экономит от 60 до 90 календарных дней.
Как отрасль диктует свои правила игры по времени
Сроки сертификации отличаются не только по типу стандарта, но и по отраслевой специфике. В IT и ИБ-компаниях акцент на сбор доказательств: логи, отчёты об инцидентах, журналы изменений, результаты тестирования. Проблема не в отсутствии данных, а в их фрагментарности. Я начинаю с централизации данных: настройка SIEM, автоматизация генерации отчётов, привязка политик к контролируемым системам. При использовании облачных решений с преднастроенной моделью compliance, срок подготовки сокращается до трёх месяцев. Без этого — до восьми.
В фармацевтике и производстве медицинских изделий временные рамки определяются технологическим циклом. Требования ISO 13485 и GMP обязывают проводить валидацию оборудования, процессов стерилизации, программного обеспечения. Каждый цикл — от трёх до шести недель. А поскольку валидация должна охватить не отдельный этап, а полный производственный цикл, приходится ждать окончания кампании. Я учитываю это на этапе планирования календаря. Если продукт выпускается раз в квартал, сертификационный аудит должен приходиться на завершение такой кампании. Иначе — задержка на 90 дней. Плюс — сроки получения внешних протоколов испытаний: микробиологическая чистота, стерильность, бионагрузка — от 14 до 21 дня. Эти факторы не подлежат ускорению, они часть технологии.
Пищевая промышленность вносит свои коррективы. Аудит по FSSC 22000 требует проверки системы HACCP в действии. Это значит — во время реального производства, с наличием сырья, процессов термообработки, хранения. Если предприятие работает в сезон (например, переработка ягод), аудит невозможен вне сезона. Орган по сертификации может приехать, но не сможет проверить критические контрольные точки. Я планирую такие проекты минимум за шесть месяцев до начала сезона. Также учитывается время анализа проб: микробиологические исследования требуют от двух до четырёх недель, в зависимости от параметров. Результаты должны быть оформлены аккредитованной лабораторией, это дополнительная координация.
В строительстве и тяжёлом производстве длительность определяется циклами ключевых проектов. Стандарты вроде СТО Газпром или ISO 9001 требуют анализа полного жизненного цикла продукции: от проектирования до ввода в эксплуатацию. Аудиторы должны увидеть, как контролируется смета, как ведётся документация на скрытые работы, как принимаются решения по отклонениям. Если проект длится год, нельзя провести сертификацию до его завершения. Решение — сертифицировать не компанию целиком, а пилотный объект. Я выделяю один завершённый проект, систематизирую всё сопровождающее документооборот и подаю его как образец. Это позволяет получить сертификат раньше, уже с возможностью участия в тендерах.
Практика реалистичного планирования: чек-лист для расчета своего срока
Чтобы спрогнозировать срок, я использую четырёхэтапный алгоритм, который проверил в 17 проектах.
Шаг 1: Определение типа проекта
Это новая система, ресертификация или расширение области действия? От этого зависит структура работ. Для новой системы я закладываю минимально 18 недель. Для ресертификации — 12 недель. И каждый раз уточняю: менялся ли стандарт? Если да — добавляю две недели на анализ изменений.
Шаг 2: Предварительный аудит
Я провожу его внешними экспертами, чтобы избежать внутренней предвзятости. Результат — не общая оценка, а карта несоответствий с указанием приоритетов и сроков устранения. Каждое несоответствие получает оценку: критическое (требует не более 30 дней на исправление), значительное (до 60 дней), незначительное (решается за неделю). Это становится основой графика.
Шаг 3: Бронирование даты аудита
Я не жду полной готовности. Напротив, бронирую на 8–12 недель вперед. Это создаёт внешний дедлайн для команды. Очередь в органы по сертификации может быть от 4 до 12 недель, особенно в конце года. Без заблаговременной заявки — рискуете промахнуться по сроку выхода на рынок.
Шаг 4: Буфер
Я всегда добавляю к расчёту 20–25%. Это не страховка от неудач, а учёт реальных задержек: командировки аудиторов, задержки в лабораториях, согласования корректирующих действий. В одном проекте буфер спас, когда аудитор не приехал из-за авиазадержки — и сроки смещались на 10 дней. Без буфера это разрушило бы цепочку: старт поставок пришлось бы отложить.
Факторы, которые отнимают больше всего времени (и как их обойти)
Главная причина задержек — отсутствие единого лица, ответственного за проект. Я видел, как задача «подготовить политику информационной безопасности» висела три месяца, потому что IT-директор ждал указаний от директора по операциям, а тот — от юриста. Назначение project owner’а — не формальность. Это человек с правом принимать решения, утверждать документы, созывать совещания. Приказ о назначении я делаю первым шагом. Без этого процесс не движется.
Попытка написать всё с нуля — вторая типичная ошибка. Вместо адаптации шаблонов по ГОСТ Р ИСО, ISO или отраслевым рекомендациям, команды тратят недели на формулировки, которые уже проверены. Одна процедура управления изменениями, написанная с нуля, занимает в среднем 14 дней. С адаптацией — три. Я использую базы типовых решений: от TÜV, BSI, а также открытые ресурсы, такие как SANS, NIST. Это не снижает оригинальность, а ускоряет выход.
Несогласованность между отделами тормозит сертификацию систем, охватывающих несколько функций. При ISO 27001 IT управляет доступами, но отдел кадров — увольнениями и настройками по уходу сотрудников. Если нет процесса синхронизации, аудитор фиксирует разрыв. Я запускаю кросс-функциональные встречи с первой недели проекта. Использую матрицу ответственных: кто создаёт, кто утверждает, кто исполняет, кто проверяет. Схема не сложная, но предотвращает коллизии.
Выбор органа по сертификации только по цене — рискованная стратегия. Я сравниваю не только стоимость, но и: сколько времени занимает выдача сертификата после утверждения решения, есть ли у них собственные испытательные лаборатории, какова загрузка в нужный квартал. Один орган мог сэкономить 15% бюджета, но срок выдачи документа — 10 недель. Другой — дороже, но гарантирует готовность за 3 недели. Я выбираю второй, если сертификат нужен для участия в тендере.
Что происходит после подачи заявки: поэтапная хронология от аудитора
После того как вы подали заявку и оплатили услуги, начинается регламентированный цикл.
| Этап | Примерные сроки (дни) | Что происходит | Ваши действия |
|---|---|---|---|
| Назначение аудитора | 1–7 | Орган формирует команду, ищет аудитора с нужной экспертизой для специфичных проектов. | Запросить подтверждение назначения, чтобы исключить простои. |
| Аудит на месте | 8–30 | Проверка по утверждённой программе: изучение доказательств, интервью, наблюдение за процессами. | Подготовить участников, разместить документы в общей папке с доступом для аудиторов. |
| Ответ на несоответствия | 31–45 | Получение отчёта об аудите. Формирование ответа с описанием корректирующих действий. | Предоставить не оправдания, а доказательства устранения: скриншоты, акты, новые версии документов. |
| Анализ и решение комитета | 46–75 | Проверка ваших действий, заседание технического комитета для принятия решения о выдаче. | Отправить все доказательства в первый же день, чтобы не терять время в очереди на рассмотрение. |
| Изготовление и выдача | 76–90 | Изготовление бумажного сертификата, проставление печатей, внесение в реестр, отправка. | Уточнить возможность получения электронной версии для ускорения, но планировать сроки на бумажный оригинал. |
У некоторых органов сертификат можно получить в электронном виде раньше — в течение трёх дней после решения. Но для участия в тендерах часто требуется бумажный оригинал с печатью и подписью. Его доставка — ещё 3–5 дней. Я планирую этот этап как финальную точку проекта.