ISO 9001 — повний посібник: система менеджменту якості, вимоги, сертифікація

ISO 9001 — це міжнародний стандарт системи менеджменту якості (СУЯ), який задає вимоги до того, як організація планує, виконує, контролює і покращує свої процеси. Чинна редакція — ISO 9001:2015. Видавець — Міжнародна організація зі стандартизації (ISO, Женева), технічну розробку веде комітет ISO/TC 176. Стандарт добровільний за статусом, але часто стає фактично обов'язковим для тендерів, експорту і роботи з великими корпоративними замовниками.

Якщо звести суть до одного речення: ISO 9001 змушує компанію перетворити «ми робимо якісно» з лозунгу на доказувану систему — з документованими процесами, відповідальними, метриками, циклом аналізу і виправленням невідповідностей. У 2026 році в світі діє понад мільйон сертифікатів за цим стандартом (ISO Survey), що робить його найпоширенішим стандартом менеджменту в історії.

В Україні діє ідентичний переклад — ДСТУ ISO 9001:2015 (IDT), виданий УкрНДНЦ. Технічно це той самий документ, лише українською мовою і з національним кодом. Детальніше про український національний стандарт читайте у матеріалі ДСТУ ISO 9001:2015 — український національний стандарт. Якщо тема для вас нова й хочеться розібратися без зайвої термінології, спочатку зайдіть у ISO 9001 простими словами — це м'яке введення для початківців.

ISO 9001 пройшов п'ять редакцій за майже сорок років. Перша версія, ISO 9001:1987, виросла з британського військового стандарту BS 5750 і американського MIL-Q-9858. Після цього — три великі переробки і одна косметична: 1994, 2000, 2008 і 2015.

• 1987 — перша редакція, фокус на контролі якості продукції, дуже формалізована.
• 1994 — невеликі правки, додано вимоги до коригувальних і запобіжних дій.
• 2000 — революційна перебудова: процесний підхід замість процедурного, об'єднання трьох стандартів (9001/9002/9003) в один.
• 2008 — переважно роз'яснення без нових вимог.
• 2015 — чинна редакція. Додано risk-based thinking, посилено лідерство вищого керівництва, перехід на структуру Annex SL для уніфікації з іншими стандартами ISO.

Редакція 2015 року досі чинна, бо ISO утримує цикл перегляду орієнтовно 7-10 років. У 2021 ISO/TC 176 формально проголосував за збереження стандарту без змін, наступну ревізію очікують у 2026-2027 роках, але офіційного драфту ISO 9001:2026 на сьогодні немає. Це означає, що інвестиція у впровадження ISO 9001:2015 у 2026-му відпрацює мінімум до 2028-2030 без необхідності переробки.

Стандарт ISO 9001 ґрунтується на сімох принципах менеджменту якості, сформульованих у супутньому стандарті ISO 9000:2015. Це не вимоги, які перевіряє аудитор пунктом, а філософська основа всієї СУЯ. Якщо принципи закладено в культуру організації, аудит проходить значно легше — бо вимоги стандарту просто описують те, як живе компанія, а не вимагають додаткової «гри в документацію».

Що цікаво — ці принципи не суто академічні. Якщо ваша компанія вже працює за лін, Six Sigma, Agile або просто за здоровим глуздом експертної команди, переважна частина принципів закрита де-факто. Завдання впровадження ISO 9001 у такому випадку — не побудувати нову систему, а оформити існуючу мову управління в форматі, який зрозумілий аудитору. Більше про бізнес-вигоди структурованого підходу до якості — у статті про значення впровадження ISO 9001 для бізнесу.

З 2015 року всі нові й переглянуті стандарти систем менеджменту ISO мають єдину структуру — High Level Structure (HLS), описану в Annex SL директив ISO. Це означає 10 однакових розділів верхнього рівня, спільну термінологію, спільний підхід до контексту, ризиків, лідерства й оцінювання дієвості.

Практична користь — інтеграція. Якщо у вас вже впроваджено ISO 14001 (екологія), ISO 45001 (охорона праці) або ISO 27001 (інформбезпека), документована основа для ISO 9001 повторно використовується на 60-70%: контекст, ризики, аналіз з боку керівництва, внутрішні аудити, управління документованою інформацією. Замість чотирьох окремих систем компанія отримує одну інтегровану з різними «модулями». Це знижує бюджет на впровадження кожного наступного стандарту приблизно на третину і скорочує час сертифікаційних аудитів.

Схожа логіка діє і для інтеграції з харчовими стандартами — ISO 22000 теж побудовано на HLS, що робить пакет «якість + безпечність харчових продуктів» природним вибором для продовольчих виробників. Якщо ваш бізнес у харчовій галузі, варто паралельно подивитися HACCP — повний посібник і ISO 22000 для харчової галузі як суміжний стандарт.

Структура з 10 розділів виглядає так: розділи 1-3 — вступні (сфера застосування, нормативні посилання, терміни), розділи 4-10 — власне вимоги, які перевіряє аудитор. Далі ми пройдемо саме по 4-10.

Стартова точка СУЯ. Розділ 4 вимагає, щоб організація розуміла середовище, у якому працює, і свідомо визначила, на що поширюється її система менеджменту якості. Звучить абстрактно — на практиці це три цілком конкретні речі.

Розуміння внутрішніх і зовнішніх чинників (4.1). Які тренди ринку, регуляторні зміни, технологічні зрушення впливають на ваш бізнес? Які внутрішні чинники — культура, компетенції, ресурси? Аудитор хоче побачити записи: SWOT, PESTLE, протокол стратегічної сесії — формат не регламентований, але документ має існувати й оновлюватись щонайменше раз на рік.

Розуміння потреб і очікувань зацікавлених сторін (4.2). Реєстр стейкхолдерів: замовники, постачальники, регулятори, персонал, власники, місцева громада. Для кожного — релевантні вимоги, які ви маєте враховувати в СУЯ. На практиці це таблиця на 1-2 сторінки, не дисертація.

Визначення сфери застосування СУЯ (4.3) і процеси СУЯ (4.4). Сфера — точно опишіть продукти, послуги, майданчики, які охоплює сертифікат. Процеси — карта процесів верхнього рівня з входами, виходами, відповідальними. Це найскладніша частина для компаній, які раніше не працювали з процесним підходом, бо потрібно вперше формально описати, як саме все відбувається. Часто на цьому етапі команда виявляє, що «у нас немає процесу» там, де всі думали, що він є.

Найболючіший розділ для українських компаній — і найкритичніший для проходження аудиту. У 2015 році ISO навмисно перетворив «представника керівництва» (старий QMR з версії 2008) на повну відповідальність вищого керівництва. Тепер не можна «делегувати ISO» одній людині й забути.

Конкретні вимоги розділу:

• 5.1 Лідерство і зобов'язання. CEO або власник особисто бере відповідальність за дієвість СУЯ. Аудитор інтерв'ює керівника й перевіряє, чи знає він політику, цілі, ключові ризики, статус виконання плану аудитів. Відповідь «це не моя зона, питайте директорку з якості» автоматично дає невідповідність.
• 5.2 Політика якості. Документ на 1 сторінці — зобов'язання щодо якості, відповідність контексту організації, рамка для встановлення цілей. Має бути доведено до кожного співробітника. Перевіряється просто: аудитор питає прибиральницю на лінії, що написано в політиці, і чи знає вона, де її подивитися.
• 5.3 Ролі, відповідальність і повноваження. Хто за що відповідає в СУЯ, оформлене документально. Не обов'язково в окремому документі — може бути частиною посадових інструкцій або матриці відповідальності.

По суті, розділ 5 перевіряє, чи СУЯ — справжня частина управління компанією, чи вона існує паралельно «для папірця». Детальніший розбір вимог до лідерства — у статті вимоги до лідерства в ISO 9001 (розділ 5).

Розділ 6 закриває три питання: як ви управляєте ризиками, які цілі якості ставите, як плануєте зміни в системі.

6.1 Дії стосовно ризиків і можливостей. Це новинка редакції 2015 року, яка зачепила найбільше людей. ISO 9001 не вимагає формального ризик-менеджменту за ISO 31000, не вимагає матриці 5×5, не вимагає кількісних оцінок. Стандарт каже одне: визначте ризики й можливості, що впливають на здатність СУЯ досягати запланованих результатів, і сплануйте дії щодо них. Формат — на ваш розсуд. На практиці це таблиця: ризик, оцінка (low/medium/high), план дій, відповідальний, термін, результат. Аудитор перевіряє, чи список реальний (а не з шаблону), чи дії виконуються, чи переглядається список регулярно.

6.2 Цілі якості й планування досягнення. Цілі мають бути SMART: вимірні, погоджені з політикою, з конкретними строками, відповідальними, ресурсами. Пастка — ставити цілі типу «покращити якість на 10%». Аудитор запитає: 10% від чого, виміряно як, на який період, і що ви робили, щоб цього досягти. Цілі мають бути або процесні (рівень дефектності, час обробки скарги), або стратегічні (NPS, частка повторних замовлень).

6.3 Планування змін. Будь-яка істотна зміна в СУЯ (нові процеси, реорганізація, нові продукти) має пройти формальний цикл: оцінка наслідків, план впровадження, перевірка ефективності. Це захист від «зробили зміну, а потім три місяці гасили пожежу».

Розділ 7 описує все, що потрібно СУЯ для роботи: ресурси, компетентність, обізнаність, комунікацію, документовану інформацію.

• 7.1 Ресурси. Люди, інфраструктура, виробниче середовище, ресурси для моніторингу й вимірювання, організаційні знання. Останній підпункт (7.1.6) про знання організації часто пропускають — це вимога мати механізм збереження експертизи (бази знань, наставництво, документація проєктів).
• 7.2 Компетентність. Визначити, які компетенції потрібні для роботи в СУЯ, і забезпечити, щоб люди ці компетенції мали — освіта, тренінги, досвід. Записи про навчання, оцінювання компетентності — обов'язкові. Поширена помилка: «у нас усі вчилися», без записів і процедури — це не компетентність за ISO 9001.
• 7.3 Обізнаність. Кожен співробітник має знати політику якості, відповідні цілі, свій внесок у дієвість СУЯ, наслідки невідповідності вимогам. Перевіряється короткими інтерв'ю на робочих місцях.
• 7.4 Комунікація. Хто, що, коли, кому, як комунікує щодо СУЯ. Внутрішня (від керівництва до персоналу й навпаки) і зовнішня (із замовниками, постачальниками, регуляторами).
• 7.5 Документована інформація. Створення, актуалізація, контроль документів і записів. Версії, дата затвердження, відповідальний за актуалізацію, місце зберігання. Електронні документи — теж документована інформація, не лише папір.

Типова знахідка аудитора в розділі 7 — застаріла версія процедури на робочому місці, коли в системі вже діє нова. Контроль документації — нудна тема, але саме на ній валиться 30% перших аудитів.

Розділ 8 — найоб'ємніший. Він покриває весь життєвий цикл продукту чи послуги: від планування й розуміння вимог замовника до випуску, передачі замовнику й роботи з невідповідною продукцією.

8.1 Операційне планування й контроль. Як ви плануєте процеси випуску, які критерії приймання, які контрольні точки, які записи зберігаєте.

8.2 Вимоги до продукції й послуг. Робота із замовником: збір вимог, аналіз перед прийняттям зобов'язань, комунікація змін. Це поширене джерело конфліктів — клієнт каже «я мав на увазі», ви кажете «ми зробили те, що в ТЗ». Розділ 8.2 змушує оформити це формально: вимоги задокументовано, узгоджено, переглядається при змінах.

8.3 Проєктування і розроблення. Якщо ви проєктуєте власний продукт (а не просто виробляєте за чужим ТЗ), це 5 сторінок процедур: вхідні дані, етапи, перегляди, верифікація, валідація, контроль змін, записи. Багато компаній виключають цей пункт зі сфери, обґрунтовуючи, що проєктування виконує замовник.

8.4 Зовнішнє надання процесів, продукції й послуг. Управління постачальниками: критерії оцінювання, реєстр схвалених, моніторинг ефективності, дії при невідповідностях. Поширена помилка — формальний реєстр без реального оцінювання.

8.5 Виробництво і надання послуг. Контрольовані умови, ідентифікація і простежуваність, власність замовника, збереження продукції, діяльність після постачання, контроль змін.

8.6 Випуск продукції й послуг. Перевірка, що продукт відповідає вимогам перед передачею замовнику. Записи про того, хто санкціонував випуск.

8.7 Контроль невідповідних виходів. Що ви робите з браком, помилками, неякісними послугами. Ізолювати, замінити, переробити, отримати поступку від замовника, утилізувати — варіанти описані, рішення задокументовано.

Розділ 9 — це механізм перевірки, що СУЯ працює, а не існує лише на папері. Три інструменти:

9.1 Моніторинг, вимірювання, аналізування й оцінювання. Що ви вимірюєте (KPI процесів, задоволеність замовників, відповідність продукції), як, коли, хто аналізує. Задоволеність замовників — окрема вимога (9.1.2), яка не зводиться до «у нас немає скарг»: потрібен активний механізм збору зворотного зв'язку (опитування, інтерв'ю, аналіз поведінки).

9.2 Внутрішній аудит. Програма внутрішніх аудитів, що покриває всі процеси СУЯ протягом циклу (зазвичай рік). Аудитори — компетентні й незалежні від тих процесів, які перевіряють (бухгалтерія не аудитує бухгалтерію). Звіти, невідповідності, коригувальні дії — все задокументоване. Внутрішній аудит до сертифікаційного — обов'язкова умова, без нього на Stage 2 не пускають.

9.3 Аналіз з боку керівництва. Вище керівництво формально аналізує СУЯ — мінімум раз на рік. На вхід — статус дій з попереднього аналізу, зміни в зовнішніх і внутрішніх чинниках, результати аудитів, скарги, дії з ризиками й можливостями, ресурси. На вихід — рішення про поліпшення, зміни СУЯ, потреби в ресурсах. Протокол аналізу — один із перших документів, який запитує аудитор.

Останній розділ закриває цикл PDCA: на основі моніторингу й аналізу — діємо.

10.1 Загальні положення. Організація визначає й обирає можливості для поліпшення.

10.2 Невідповідність і коригувальні дії. Найперевіряніший пункт стандарту. Коли виникає невідповідність (скарга, дефект, незадовільний результат аудиту), потрібно: відреагувати, оцінити необхідність дій для усунення причин, виконати дії, перевірити ефективність, оновити ризики й можливості. Корінь проблеми, а не симптом — це ключова відмінність коригувальної дії від простого виправлення. «Виправили дефект на цій партії» — це корекція. «Знайшли причину дефекту й перенастроїли процес» — це коригувальна дія.

10.3 Постійне поліпшення. Систематичне підвищення придатності, адекватності та дієвості СУЯ. Стандарт не вимагає конкретного методу — Kaizen, Six Sigma, Lean, PDCA — але вимагає, щоб поліпшення відбувалися постійно й документувалися.

Якщо в розділі 10 у вас за рік не виявлено жодної невідповідності й не запущено жодної коригувальної дії — це не сильна СУЯ, це слабкий моніторинг. Аудитор сприйме «нуль невідповідностей» як червоний прапор.

Шлях від «у нас немає СУЯ» до сертифіката, який можна показати замовнику, складається з п'яти етапів. Загальна тривалість — від 3 до 6 місяців для компаній, які впроваджують з нуля; 1-3 місяці — якщо вже працюють процеси й документація вимагає лише причісування під вимоги стандарту.

Зовнішній консультант або підготовлений внутрішній аудитор проходить чек-листом за всіма пунктами розділів 4-10 ISO 9001 і фіксує розриви: чого немає в документації, які процеси існують, але не задокументовані, де практика не збігається з декларованим. На виході — звіт із пріоритизованим списком дій. Без цього кроку планування йде наосліп — ви не знаєте, скільки коштуватиме впровадження й скільки часу займе. Замовте попередню оцінку готовності до сертифікації на старті — це 5-10 робочих днів і об'єктивна картина.

Розробка політики, цілей, реєстру стейкхолдерів, аналізу ризиків, карти процесів, операційних процедур, журналів і записів. Паралельно — навчання персоналу: тренінги з основ ISO 9001 для всіх, тренінги з внутрішнього аудиту для команди (мінімум 3-5 осіб). Тривалість — 1.5-3 місяці. На цьому ж етапі починаються перші внутрішні запуски процесів, щоб накопичити записи, які перевірить аудитор.

Перед сертифікаційним аудитом потрібно провести повний внутрішній аудит за всіма пунктами стандарту, закрити виявлені невідповідності й виконати перший формальний аналіз з боку керівництва. Це обов'язкова вимога стандарту (розділи 9.2, 9.3) — без виконаних аудиту й аналізу орган сертифікації просто не пустить на Stage 2. Тривалість — 2-4 тижні.

Орган сертифікації приходить на 1-2 дні: вивчає документацію СУЯ, оцінює готовність до повного аудиту, фіксує зони ризику для Stage 2. Видає звіт з переліком пунктів, які треба підтягнути перед основним аудитом. Перерва між Stage 1 і Stage 2 — від 2 тижнів до 3 місяців, протягом яких ви закриваєте знайдені на Stage 1 пункти.

Аудитор працює 2-5 днів (залежно від розміру компанії й кількості майданчиків): інтерв'ю з персоналом, обходи виробництва, перевірка записів, оцінювання дієвості процесів. На виході — рішення про сертифікацію. Сертифікат дійсний 3 роки з обов'язковим щорічним наглядовим аудитом. На третій рік — ресертифікаційний аудит, ширший за обсягом.

Конкретніше про вартість і її складники читайте у матеріалі про фактори ціни сертифікації ISO 9001, а покроковий розбір вимог стандарту з боку процесу сертифікації — в окремій статті про процес сертифікації СУЯ.

Зібрали відповіді на найчастіші запитання, які отримуємо від клієнтів і читачів. Якщо вашого питання немає — напишіть нам, додамо в наступну редакцію посібника. На загальні консультації з впровадження доступні послуги з впровадження ISO 9001 та індивідуальний супровід від нашої команди.