Procedura certyfikacji szczegółowa
Procedura certyfikacji systemów zarządzania składa się z 4 kroków:
1. Krok 1 Przygotowanie auditu
Celem tego działania jest rozpoznanie potrzeb Klienta, ocena możliwości realizacji usługi przez jednostkę certyfikującą oraz przygotowanie oferty na certyfikację i utrzymanie certyfikacji na dany system zarządzania przez 3 lata. Obejmuje to:
1. Kontakt przedstawiciela GEM CERT z Klientem w celu określenia jego potrzeb.
2. Wypełnienie przez Klienta kwestionariusza danych o firmie, niezbędnych do przygotowania oferty
3. Sporządzenie przez GEM CERT oferty na certyfikację i utrzymanie jej przez 3 lata, przesłanie klientowi do akceptacji
4. Zawarcie umowy pomiędzy GEM CERT a Klientem na realizację usługi certyfikacji systemu zarządzania i jej utrzymania
5. Wyznaczenie auditorów GEM CERT posiadających wymagane kwalifikacje i kompetencje, poinformowanie Klienta o składzie auditorów
6. Ustalenie terminu auditu z Klientem
2. Krok 2 audit początkowej certyfikacji
Audit początkowej certyfikacji (pierwszej certyfikacji) składa się z dwóch etapów: ETAP 1 i ETAP2.
ETAP1- jest to audit gotowości Klienta do auditu certyfikacji ETAP2. Audit ETAP 1 jest prowadzony na miejscu u klienta.
Jego celem jest :
a) dokonanie oceny przez auditora wiodącego udokumentowanych informacji systemu zarządzania Klienta, potwierdzenie wnioskowanego zakresu certyfikacji, weryfikacja i ocena specyficznych dla lokalizacji Klienta warunków oraz przeprowadzenie rozmów z personelem Klienta w celu określenia gotowości do drugiego "zasadniczego" etapu.
b) przeprowadzenie przeglądu wyników funkcjonowania systemu zarządzania Klienta i zrozumienia przez niego wymagań danej normy systemu zarządzania, zwłaszcza w odniesieniu do identyfikacji kluczowych wyników działań, celów lub znaczących aspektów, procesów.
c) uzyskanie informacji o zakresie systemu zarządzania, w tym o:
- lokalizacji Klienta, stosowanych procesach, niezbędnym wyposażeniu do realizacji tych procesów,
- mających zastosowanie wymaganiach prawnych i regulacyjnych,
- środkach nadzoru (szczególnie w przypadku organizacji wielooddziałowych), oraz
dokonanie przeglądu przydziału zasobów do realizacji drugiego etapu auditu certyfikacyjnego, uzgodnienie szczegółów, zaplanowanie auditu etapu drugiego;
Zadaniem auditora wiodącego jest skupienie się na zaplanowaniu drugiego etapu poprzez zrozumienie systemu zarządzania Klienta i prowadzonej przez niego działalności w danej lokalizacji w kontekście danej normy systemu zarządzania lub innego dokumentu normatywnego. Dokonanie oceny , czy są planowane i realizowane audity wewnętrzne i przeglądy zarządzania, oraz czy poziom wdrożenia systemu zarządzania uzasadnia gotowość Klienta do drugiego etapu certyfikacji.
Klient otrzymuje raport z auditu ETAP 1, zawierajacy ewentualne zidentyfikowane słabe punkty, które mogłyby zostać ocenione podczas auditu ETAP 2 jako niezgodności. Warunkiem przejścia do ETAPu2 jest pozytywny wynik auditu ETAP1. Potencjalne słabe punkty, możliwe do naprawy do czasu auditu ETAP 2, nie są przeszkodą w kontynuowaniu procesu certyfikacji. Termin auditu ETAP 2 jest ustalany z uwzględnieniem czasu potrzebnego na usunięcie słabych punktów.
ETAP2- audit początkowej certyfikacji
Przed auditem Klient otrzymuje plan auditu z podaniem zespołu auditorów. Klient proszony jest o potwierdzenie tego planu, braku zastrzeżeń do składu zespołu auditorów. Audit prowadzony jest w miejscu prowadzenia działalności Klienta. Podczas auditu sprawdzana jest skuteczność wdrożenia systemu zarządzania. Podstawą są wymagania danej normy systemu zarządzania, ustalone przez Klienta zasady postępowania, mające zastosowanie wymagania prawne dla wyrobów, usług. Zespół auditorów na podstawie przeprowadzonych rozmów, powstających udokumentowanych informacji z przeprowadzonych działań, obserwacji prowadzonych działań, ocenia stopień spełniania wymagań danej normy systemu zarządzania. Wszystkie wymagania danej normy, ich spełnienie jest weryfikowane podczas auditu ETAP 2. Wynik auditu jest dokumentowany przez auditora wiodącego w raporcie z auditu i komunikowany Klientowi na tzw. spotkaniu zamykającym. W przypadku nie spełnienia danego wymagania, auditorzy odnotowują to w raporcie niezgodności. Niezgodności są klasyfikowane jako małe bądź duże. Klient jest zobowiązany do podjęcia działań korygujących w stosunku do wystawionych niezgodności. Częściowe powtórzenie auditu jest konieczne w przypadku wystawienia dużej niezgodności, w celu sprawdzenia skuteczności wdrożonych działań korygujących na miejscu u Klienta. W przypadku niezgodności małej, auditor wiodący na podstawie przedstawionych dowodów działań korygujących podejmuje decyzję o ich akceptacji. Wszystkie działania korygujące związane z wystawionymi niezgodnościami muszą być zakończone, zaakceptowane przez auditora wiodącego, przed decyzją o certyfikacji.
3. Krok 3 Decyzja o przyznaniu, odmowie, utrzymaniu certyfikacji
Certyfikat jest wydawany po pozytywnej weryfikacji dokumentów z auditu przez niezależnego weryfikatora, w tym raportu z auditu, analizy przyczyn niezgodności, planu działań korekcyjnych i korygujących, dowodów wdrożenia działań korekcyjnych, korygujących, oraz potwierdzenia zgodności z procedurą certyfikacyjną GEM CERT. Certyfikat jest wydawany tylko wówczas, gdy zostały zamknięte wszystkie niezgodności. Certyfikat systemu zarządzania ważny jest 3 lata, pod warunkiem przeprowadzania rocznych auditów nadzoru w organizacji, potwierdzających zadowalające funkcjonowanie systemu zarządzania. Zatwierdzony raport z auditu wraz z certyfikatem systemu zarządzania przekazywany jest Klientowi.
3.1 Publikacja/ udostępnianie informacji o certyfikacie na żądanie stron zainteresowanych
Informacja o wydanym certyfikacie, terminie jego ważności oraz zakresie certyfikacji jest udostępniana na stronie https://iafcertsearch.org wszystkim zainteresowanym stronom.
Baza akredytowanych certyfikatów utworzona została przez IAF. Obowiązek umieszczania podstawowych danych o wydanych certyfikatach został wprowadzony przez IAF dokumentem IAF MD28, który wchodzi w życie od października 2024.
4. Krok 4 Audity nadzoru
Warunkiem utrzymania ważności certyfikatu jest przeprowadzanie przez jednostkę certyfikującą auditów nadzoru, zwykle raz w roku. Przed auditem nadzoru uaktualniane są dane firmy w celu uwzględnienia istotnych ewentualnych zmian mających wpływ na zakres działalności organizacji, bądź na wymiar czasowy auditu. W przypadkach takich jak znaczne zwiększenie lub zmniejszenie zatrudnienia, zmiana zakresu certyfikacji, w tym rozszerzenie bądź zawężenie, może być konieczne przygotowanie nowej wyceny auditu i przedstawienie zaktualizowanej oferty na audit nadzoru.
Audity nadzoru są prowadzone zgodnie z planem auditu przedstawionym przez auditora wiodącego. Pierwszy audit nadzoru jest przeprowadzany nie później niż 12 miesięcy od decyzji o wydaniu certyfikatu. Kolejne raz w roku kalendarzowym. W przypadku nie przeprowadzenia auditu nadzoru w terminie, certyfikat jest zawieszany lub może być wycofany , przy czym zawieszenie nie może trwać dłużej niz 6 miesięcy. W przypadku wystąpienia dużej niezgodności, procedura jest taka sama jak przy audicie początkowej certyfikacji tj. weryfikacja wdrożonych działań w lokalizacji Klienta. W przypadku małych niezgodności, auditor wiodący ocenia plan działań wynikający z przeprowadzonej analizy przyczyn ich wystąpienia i je zatwierdza. Skuteczność tych działań jest weryfikowana na kolejnym audicie.
Celem auditu nadzoru jest potwierdzenie, że certyfikowany system zarządzania nadal spełnia wymagania danej normy i własne Klienta. Audity nadzoru nie obejmuja całego systemu zarządzania, jednakże w ciągu trwania ważności certyfikatu, cały system zarządzania musi być poddany auditowi.
Audity nadzoru obejmują zawsze: audity wewnętrzne i przeglądy zarządzania, działania korygujące w stosunku do niezgodności z poprzedniego auditu, postępowanie z reklamacjami klienta, działania korygujące podejmowane w stosunku do wewnętrznie zidentyfikowanych problemów, skuteczność systemu zarządzania pod względem osiągania wyznaczonych przez Klienta celów, postęp w osiąganiu ciągłego doskonalenia, przegląd wszelkich zmian od poprzedniego auditu, stosowanie znaków i / lub powoływania się na certyfikację, nadzór nad udokumentowanymi informacjami, potwierdzenie zakresu certyfikacji.
Po audicie Klient otrzymuje zatwierdzony raport z auditu.
Audity ponownej certyfikacji
Przed upływem ważności certyfikatu musi być przeprowadzony audit ponownej certyfikacji, przedłużający ważność certyfikacji na kolejne 3 lata. Ponownie badana jest skuteczność całego systemu zarządzania. Przed auditem ponownej certyfikacji uaktualniane są dane organizacji, przygotowywana nowa oferta na kolejne trzy lata. Wymiar auditu ponownej certyfikacji wynosi 2/ 3 auditu certyfikacyjnego (etap 1 plus etap2). Audit ponownej certyfikacji przeprowadzany jest według zasad dla auditu certyfikacyjnego.
Po pozytywnej weryfikacji przez weryfikatora podejmowana jest decyzja o ponownej certyfikacji, wystawiany nowy certyfikat z nowym terminem ważności.
5. Certyfikacja wielooddziałowa
Certyfikacja wielooddziałowa stosowana jest w przypadku organizacji posiadających więcej niż jedną lokalizację prowadzenia działalności. Warunkiem jest jeden system zarządzania obejmujący wszystkie oddziały. Organizacje składające się z zależnych ale oddzielnie zarejestrowanych firm mogą także poddać się takiej certyfikacji.
Grupowa certyfikacja jest możliwa, jeśli spełnione są następujące warunki:
1. system zarządzania, który stosuje się do wszystkich oddziałów/ miejsc produkcyjnych, świadczących usługi, jest taki sam, wdrożony i nadzorowany "centralnie". Dotyczy także większości udokumentowanych informacji związanych z procesami.
2. Nadzór nad całym systemem zarządzania jest prowadzony centralnie przez wyznaczoną osobę, obejmujący audity wewnętrzne i przegląd zarządzania; Osoba ta jest upoważniona do wprowadzania i nadzorowania działań korygujących, doskonalących.
3. Niektóre działania, procesy są prowadzone centralnie, np. projektowanie wyrobu, procesu, zakupy, zarządzanie zasobami ludzkimi.
Podczas przeglądu gotowości (Etap 1) oraz Etapu 2, oceniane są dodatkowo raporty z auditów wewnętrznych ze wszystkich lokalizacji jak również polecenia działań korygujących i ich wdrożenie. W przypadku takiej samej działalności w różnych lokalizacjach, możliwe jest próbkowanie zgodnie z dokumentem normatywnym IAF MD 1, dostępnym na stronie PCA.
6. Rozszerzanie zakresu certyfikacji
Rozszerzenie zakresu certyfikacji (działalności i / lub włączenie dodatkowych lokalizacji) może nastąpić na wniosek Klienta. Konieczna jest nowa wycena i umowa na certyfikację i utrzymanie. Audit dodatkowej lokalizacji, działalności może być przeprowadzony przy okazji rutynowego auditu nadzoru, ponownej certyfikacji lub dodatkowego specjalnego auditu. Decyzja o certyfikacji jest podejmowana tak jak w przypadku certyfikacji początkowej. W przypadku udzielenia certyfikacji, wystawiane są nowe certyfikaty z aktualnym zakresem, lecz z datą ważności dotychczasowego certyfikatu.
7. Audity z krótkim terminem powiadamiania
Warunki przeprowadzenia auditu z krótkim terminem powiadamiania.
Przeprowadzenie auditu z krótkim terminem powiadamiania może być konieczne w następujących sytuacjach:
a) poważne skargi/ reklamacje stron zainteresowanych, które otrzymała jednostka certyfikująca, i które stwarzają poważne wątpliwości co do skuteczności certyfikowanego systemu zarządzania, i które nie mogą być rozwiązane/ wyjaśnione w drodze pisemnej lub w ramach regularnego auditu nadzoru (np. domniemane naruszenie prawa przez organizację lub wyższe kierownictwo, potwierdzone doniesienia medialne). W tym przypadku możliwy jest także audit niezapowiedziany.
b) zmiany u Klienta, które wpływają na funkcjonowanie systemu zarządzania w taki sposób, że wymagania certyfikacyjne nie są już spełnione.
c) weryfikacja warunków zawieszenia certyfikacji w celu przywrócenia certyfikacji.
W tych przypadkach Klient nie może odmówić przeprowadzenia auditu specjalnego. Krótki termin powiadamiania to maximum 14 dni.
Warunki finansowe takiego auditu oparte są na aktualnie obowiązujących stawkach, o których Klient jest informowany.
8. Ograniczanie zakresu certyfikacji, zawieszanie, cofanie certyfikacji
8.1 Ograniczanie zakresu certyfikacji
Możliwe jest ograniczenie zakresu certyfikacji, aby wykluczyć te części działalności Klienta, które stale, lub w poważnym stopniu nie spełniają wymagań certyfikacyjnych. Jednakże te części nie mogą wpływać na zdolność organizacji do spełniania wymagań danej normy systemu zarządzania. W przypadku ograniczenia zakresu certyfikacji, wystawiany jest nowy certyfikat z nowym zakresem, lecz z datą ważności taką jak dotychczasowy certyfikat.
8.2 Zawieszenie certyfikacji
Zawieszenie certyfikacji następuje w poniższych przypadkach:
a) certyfikowany system zarządzania organizacji stale lub w poważnym stopniu nie spełnia wymagań certyfikacyjnych, w tym wymagań dotyczących skuteczności systemu zarządzania,
b) organizacja nie wyraża zgody na przeprowadzenie auditów w nadzorze z wymaganą częstością tj. conajmniej raz w roku kalendarzowym lub nie wyraża zgody na audit ponownej certyfikacji
c) organizacja sama wystąpiła o zawieszenie,
d) stwierdzenia przekroczenia przez organizację praw i obowiązków określonych w umowie o certyfikację,
e) uchylanie się od spełnienia zobowiązań finansowych wobec GEM CERT.
Zawieszenie ważności certyfikatu nie może przekroczyć sześciu miesięcy. W zawieszeniu, certyfikacja jest czasowo nieważna. W przypadku zawieszenia, organizcja musi powstrzymać się od dalszego powoływania się na certyfikację oraz stosowania Znaku Certyfikacji.
Jeśli kwestie, które sprawiły zawieszenie certyfikacji zostana usunięte, wówczas certyfikacja jest przywracana.
Może byc konieczny audit specjalny w sytuacji opisanej w pkt. a), c), id).
8.3 Cofanie certyfikacji
Cofnięcie certyfikacji następuje w przypadku, gdy :
a) nie zostały rozwiązane przyczyny zawieszenia certyfikatu w ciągu 6 miesięcy,
b) organizacja trwale zaprzestała produkcji wyrobów/ świadczenia usług/ realizacji procesów objętych zakresem certyfikacji.
Po cofnięciu certyfikatu Klient jest zobowiązany do zaprzestania powoływania się na status organizacji certyfikowanej i używania certyfikatów w jakichkolwiek celach, sugerujących że certyfikat jest ważny. Zaprzestanie powoływania się na certyfikat powinno nastąpić w ciągu miesiąca od poinformowania Klienta o cofnięciu certyfikatu.
Aktualizowana jest baza IAF na stronie https://iafcertsearch.org.
9. Koszty certyfikacji
Koszty certyfikacji zależą przede wszystkim od czasu auditu, który jest obliczany w oparciu o obowiązujące dokumenty IAF MD 5 , IAF MD 1, IAF MD 11. Wersje aktualne tych dokumentów dostępne są na stronie Polskiego Centrum Akredytacji.
18.09.2024