Systemy zarządzania

Co to jest program certyfikacji systemów zarządzania?

Program to skrócony opis procedury certyfikacyjnej systemów zarządzania realizowanej przez Jednostkę Certyfikującą Systemy Zarządzania TÜV NORD Polska Sp. z o.o. (dalej zwaną Jednostką Certyfikującą) w oparciu o wymagania normy ISO/IEC 17021-1:2015 „Ocena zgodności. Wymagania dla jednostek prowadzących audity i certyfikację systemów zarządzania”
Program dotyczy systemów zarządzania (podstawa certyfikacji) m.in.:

  • jakością (QM) wg ISO 9001,
  • środowiskowego (UM) wg ISO 14001,
  • bezpieczeństwem i higieną pracy (BHP) wg PN-ISO 45001:2018-06,
  • bezpieczeństwem informacji (SZBI) wg ISO 27001,
  • rozporządzenia Parlamentu Europejskiego i Rady (WE) nr 1221/2009 (EMAS)
  • energią (SZE) wg ISO 50001,
  • jakością wyrobów medycznych (QMMD) wg PN-EN ISO 13485,
  • bezpieczeństwem żywności wg normy PN-EN ISO 22000.

Procedura certyfikacyjna Systemów Zarządzania (SZ) dzieli się na kilka, poniżej opisanych faz. Jest ona realizowana przez kompetentny personel TÜV NORD Polska. Do każdego procesu auditowego, Kierownik Jednostki Certyfikującej wyznacza auditorów posiadanych odpowiednie kwalifikacje i kompetencje.

Jak wygląda przygotowanie i planowanie auditu?

Działania realizowane w ramach przygotowania do auditu, służą zbadaniu celowości i możliwości przeprowadzenia certyfikacji u Klienta.

Na podstawie wypełnionego i przesłanego przez Klienta „Zapytania ofertowego” Jednostka Certyfikująca ocenia, czy posiada wszystkie konieczne informacje i czy są one wystarczające dla sformułowania oferty dla Klienta (ewentualne niejasności wyjaśniane są z Klientem). Warunki certyfikacji zawiera przesłana do Klienta oferta. Rozpoczęcie procesu certyfikacji następuje po przesłaniu przez Klienta zlecenia akceptującego ofertę.

Jednostka Certyfikująca zawiera z Klientem umowę na certyfikację systemu zarządzania, która określa prawa i obowiązki stron. Zlecenie Klienta jest podstawą do rozpoczęcia fazy planowania i przeprowadzenia auditu.

Jednostka Certyfikująca, z odpowiednim wyprzedzeniem, informuje klienta o terminie każdego auditu (uzgodnionym z klientem) oraz składzie zespołu auditorskiego. Każdorazowo wyznaczany jest lider zespołu auditowego. Klient ma prawo pisemnego zgłoszenia uzasadnionego sprzeciwu wobec wyznaczenia każdego konkretnego auditora, eksperta technicznego, praktykanta lub obserwatora.

Klient jest zobowiązany do umożliwienia auditorom wykonania wszystkich czynności niezbędnych dla przeprowadzenia auditów, w tym działań umożliwiających analizę dokumentacji i zapewnienia dostępu do wszystkich procesów i obszarów objętych certyfikacją.

Każdy audit jest zaplanowany przez lidera zespołu auditowego, a plan zakomunikowany klientowi z wyprzedzeniem w stosunku do daty auditu. W realizacji auditu mogą brać udział tylko osoby uzgodnione z liderem zespołu audytowego i zapisane w planie auditu.

W przypadku certyfikacji ww systemów zarządzania należy dostarczyć przed auditem m.in. następującą udokumentowaną informację:

  1. Zakres SZ
  2. Polityka SZ
  3. Polityka bezpieczeństwa informacji oraz Deklaracja Stosowania dla SZ ISO/IEC 27001
  4. Niezbędne udokumentowane informacje, które umożliwią auditorowi zaplanowanie i przeprowadzenie fazy 1 oraz zaplanowanie fazy 2 auditu certyfikacyjnego.

Ustalenia dotyczące przekazanych dokumentów podejmuje wspólnie auditor i auditowana organizacja. W przypadkach nadzwyczajnych, np. powodujących konieczność przeprowadzenia auditu zdalnego będą obowiązywały odrębne ustalenia.

Jak przebiega audyt certyfikacyjny systemu zarządzania?

Audit certyfikacyjny składa się z dwóch etapów.

Etap pierwszy auditu certyfikacyjnego

Celem pierwszego etapu auditu jest ocena gotowości systemu zarządzania do certyfikacji oraz przygotowania organizacji klienta do drugiego, zasadniczego etapu auditu. Przyjmuje się, że Klient dostarcza zespołowi auditorskiemu dokumentację systemu zarządzania na 2 tygodnie przed terminem 1-go etapu auditu. Ocenie podlegają między innymi: dokumentacja systemu zarządzania, lokalizacja/e klienta i jej specyficzne warunki, przeprowadzenie przeglądu statusu klienta i zrozumienia przez niego wymagań normy, zwłaszcza w odniesieniu do identyfikacji kluczowych wyników działań lub znaczących aspektów, procesów, celów i działania systemu zarządzania, planowanie i realizacja auditów wewnętrznych i przeglądów zarządzania. Wynikiem tej oceny jest ustalenie czy poziom wdrożenia systemu zarządzania jest odpowiedni dla przeprowadzenia drugiego etapu auditu.

Raport z 1-go etapu auditu zawiera decyzję o tym, czy możliwe jest przeprowadzenie etapu 2-go oraz identyfikuje obszary, które mogłyby być zakwalifikowane jako niezgodności podczas drugiego etapu auditu. Rozwiązanie tych kwestii przez Klienta może mieć wpływ na termin 2-go etapu auditu. W czasie 1-go etapu potwierdza się ustaloną treść zakresu certyfikacji. Przyjmuje się, że odstęp czasu pomiędzy dwoma etapami auditu nie powinien być większy niż trzy miesiące.

Etap drugi auditu certyfikacyjnego

Celem 2-go etapu auditu certyfikacyjnego jest sprawdzenie skuteczności wdrożonego w organizacji systemu zarządzania.

Przyjmuje się w szczególności, że warunkami, które muszą być spełnione przed drugim etapem auditu są:

  • stosowanie w organizacji przedstawianego do certyfikacji systemu zarządzania minimum od trzech miesięcy,
  • przeprowadzenie auditu wewnętrznego całego certyfikowanego systemu zarządzania (w tym uwzględnienie wszystkich wymagań normy odniesienia),- przeprowadzenie przeglądu zarządzania.

Audit rozpoczyna się spotkaniem otwierającym, którego celem jest zapoznanie organizacji z planowanym przebiegiem auditu. Zadaniem auditorów jest ocena wdrożenia systemu zarządzania i spełniania wymagań normy odniesienia. Dokonywane jest to poprzez wywiady z kadrą zarządzającą i pracownikami, przegląd dokumentów i udokumentowanych informacji oraz poprzez obserwację obszarów systemu i realizowanych procesów.

Po zakończeniu auditu podczas spotkania zamykającego Klient jest informowany o wyniku oceny. Wynik dokumentowany jest w sprawozdaniu. Stwierdzone i udokumentowane niezgodności wymagają sformułowania przez Klienta planu działań obejmującego: działania korekcyjne, analizę przyczyn niezgodności oraz działania korygujące. Plan wymaga akceptacji lidera zespołu auditowego. Skuteczność działań proponowanych przez Klienta jest weryfikowana podczas dodatkowego auditu lub na podstawie dostarczonych, w ciągu maksimum 90 dni, dokumentów potwierdzających usunięcie niezgodności lub też na kolejnym audicie nadzoru. Decyzja o wyborze sposobu weryfikacji działań korekcyjnych należy do lidera zespołu auditowego.

Uwaga: rozróżniamy dwa rodzaje niezgodności: duże (NC A), które negatywnie wpływają na zdolność systemu zarządzania do osiągnięcia zamierzonych wyników oraz małe (NC B), które nie mają takiego wpływu.

Najczęściej zadawane pytania?

Kto podejmuje decyzje o przyznaniu certyfikatu?

Decyzję o przyznaniu certyfikatu podejmuje Kierownik Jednostki Certyfikującej lub upoważniona przez niego osoba, na wniosek lidera zespołu auditowego, po zakończeniu auditu. Jeżeli umowa o certyfikację i prawo użytkowania znaku Jednostki Certyfikującej jest podpisana, należność za usługę certyfikacyjną uregulowana, to certyfikaty oraz sprawozdanie z auditu są przekazywane Klientowi.

Okres ważności certyfikatów wynosi trzy lata, licząc od daty podjęcia decyzji o przyznaniu certyfikatu.

Co to jest audyt ponownej certyfikacji (recertyfikacyjny)?

Warunkiem koniecznym dla odnowienia jego ważności na trzy kolejne lata jest przeprowadzenie w organizacji auditu recertyfikacyjnego z pozytywnym wynikiem.

Aby odnowienie takie nastąpiło bez luk czasowych w stosunku do okresu ważności certyfikatu, postępowanie składające się z auditu u klienta na miejscu wraz z oceną działań dotyczących stwierdzonych niezgodności, wnioskiem auditora dotyczącym udzielenia certyfikatu oraz podjęciem decyzji o ponownej certyfikacji powinno być zakończone przed upływem daty ważności certyfikatu.
Audit recertyfikacyjny nie może być wykonany wcześniej niż trzy miesiące przed datą ważności certyfikatu.

Jeżeli wyżej opisane postępowanie przedłuży się poza datę ważności certyfikatu, to może być, przy spełnieniu poniżej wymienionych warunków, kontynuowane po tej dacie, a decyzja o certyfikacji musi zapaść najpóźniej do 6 miesięcy po tej dacie:

  1. procesy przeglądu wniosku, ofertowania, zlecenia i podpisania umowy muszą być zakończone przed upływem ważności starego certyfikatu,
  2. ważność wystawionego następnie certyfikatu rozpoczyna się z datą podjęcia decyzji o przyznaniu certyfikatu. Wsteczne datowanie jest niedopuszczalne. Termin ważności odpowiada dotychczasowemu trzyletniemu cyklowi (data ważności „starego” certyfikatu plus trzy lata).
  3. okres pomiędzy końcem ważności starego, a początkiem ważności nowego certyfikatu należy wykazać na nowym certyfikacie, jako czas, w którym ważność certyfikatu nie była zachowana.
  4. Jednostka Certyfikująca musi poinformować odpowiednio wcześnie certyfikowaną organizację o konsekwencjach statusu „niecertyfikowana”.

Jeżeli decyzja o ponownej certyfikacji nie zostanie podjęta do 6 miesięcy po dacie ważności certyfikatu to dla uzyskania certyfikatu przez klienta musi być przeprowadzona nowa, pierwotna certyfikacja.

Metodologia auditu recertyfikacyjnego jest zgodna z metodologią drugiego etapu auditu certyfikacyjnego. Audit poprzedzony jest oceną dokumentacji systemu zarządzania.

Audit recertyfikacyjny jest z reguły jednoetapowy. Kierownik Jednostki Certyfikującej może podjąć decyzję o konieczności przeprowadzenia auditu w dwóch etapach (np. przy znaczących zmianach w auditowanej organizacji lub jej systemie zarządzania).

Na czym polega zawieszenie i cofnięcie certyfikatu?

W szczególnych przypadkach, takich jak np. : brak możliwości wykonania auditu nadzoru w terminie z winy Klienta, trwałej lub zamierzonej niezgodności z przepisami prawa (dot. SZBHP i SZŚ), Jednostka zawiesza certyfikat o czym powiadamia Klienta na piśmie. W takim przypadku Klient ma obowiązek niezwłocznie zaprzestać używania certyfikatu/znaku w jakichkolwiek celach do czasu ustania stanu zawieszenia. Czas trwania zawieszenia oraz warunki jego zakończenia określa Jednostka Certyfikująca. Stan zawieszenia kończy się przywróceniem prawa do używania certyfikatu po spełnieniu przez zleceniodawcę określonych warunków lub kończy się cofnięciem certyfikatu w przypadku niespełnienia wymagań.

 

Nierozwiązanie, w ustalonym przez Jednostkę Certyfikującą czasie, przez Klienta kwestii, które spowodowały zawieszenie certyfikatu powodują jego cofnięcie. O cofnięciu certyfikatu Jednostka Certyfikująca powiadamia Klienta na piśmie. Cofnięcie certyfikatu jest trwałym wygaśnięciem prawa do używania certyfikatu/znaku. W sytuacji, gdy certyfikat zostanie cofnięty, Klient ma obowiązek niezwłocznie zwrócić certyfikat Jednostce Certyfikującej, wycofać i zniszczyć posiadane kopie oraz zaprzestać używania certyfikatu/znaku w jakichkolwiek celach. Postępowanie nie dotyczy weryfikacji EMAS.

Co to jest audit nadzoru?

W okresie ważności certyfikatu (3 lata), z wyjątkiem lat, w których przypada ponowna certyfikacja (recertyfikacja), audity nadzoru wykonuje się co najmniej raz w roku kalendarzowym. Planowanie auditów nadzoru następuje w oparciu o datę referencyjną (data ostatniego dnia 2-go etapu auditu certyfikacyjnego plus 12 miesięcy (dla 1-go auditu nadzoru) i plus 24 miesiące (dla 2-go auditu nadzoru)).

Pierwszy audit nadzoru, który następuje po pierwszej certyfikacji, jest planowany do daty referencyjnej. Audit powinien być wykonany najpóźniej 12 miesięcy po dacie podjęcia decyzji o certyfikacji. Przekroczenie tej daty powoduje zawieszenie certyfikatu.

Kolejne audity nadzoru są planowane do daty referencyjnej uwzględniając spełnienie warunku, aby audit nadzoru odbył się w każdym roku kalendarzowym (ten warunek nie dotyczy roku, w którym odbywa się audit recertyfikacji). Audity nadzoru nie powinny być wykonywane wcześniej niż trzy miesiące przed datą referencyjną. W przypadku gdy certyfikowany klient nie dopuści do wykonania auditu nadzoru w danym roku kalendarzowym następuje zawieszenie certyfikatu.

W ciągu kolejnych trzech miesięcy od daty zawieszenia można wycofać zawieszenie certyfikatu przeprowadzając audit nadzoru. Czas trwania tego auditu może zostać, w stosunku do poprzednio planowanego, powiększony. Decyzję o czasie trwania tego auditu podejmuje Kierownik Jednostki Certyfikującej. Jeżeli taki audit nie zostanie wykonany certyfikat zostaje cofnięty.

Każdy audit nadzoru łącznie z korekcjami dotyczącymi stwierdzonych niezgodności oraz zwolnieniem procesu w Jednostce Certyfikującej musi być zakończony nie później niż trzy miesiące po dacie auditu. W ramach każdego auditu nadzoru oceniane są zawsze kluczowe elementy SZ, auditorzy badają obszary: auditów wewnętrznych i przeglądów systemu, działań korygujących, informacje zwrotne od klienta, postępowania z reklamacjami/skargami, skuteczności systemu, wykorzystania certyfikatu i logo Jednostki Certyfikującej oraz spełnienie obowiązku informacyjnego.

Wymagane jest, aby w organizacji przed każdym auditem nadzoru przeprowadzony został kompletny audit wewnętrzny (obejmujący wszystkie wymagania norm/y odniesienia) oraz przegląd zarządzania.
Stwierdzone podczas auditu niezgodności skutkują postępowaniem analogicznym jak w drugim etapie auditu certyfikacyjnego. Po zakończeniu auditu nadzoru Klient otrzymuje sprawozdanie.

 

Na czym polega obowiązek informacyjny (w tym dotyczący systemu BHP)?

Certyfikowany klient jest zobowiązany do aktualizowania istotnych danych związanych z zmianami w organizacji (np. liczba osób , zmianowość, lokalizacje , procesy , zakres SZ).

Certyfikowany klient jest zobowiązany do bezzwłocznego informowania Jednostki Certyfikującej o wystąpieniu poważnego incydentu związanego z bezpieczeństwem i higieną pracy, na przykład poważnego wypadku lub poważnego naruszenia przepisu prawa powodującego konieczność zaangażowania kompetentnego organu regulacyjnego.

Za poważny incydent uznajemy wypadek: śmiertelny, ciężki lub zbiorowy oraz decyzję organu nadzoru wstrzymującą wykonywanie prac.

Informacja taka powinna zawierać nie tylko opis incydentu lecz również opis podjętych przez organizację działań systemowych. Zgłoszenia takie należy przesyłać na adres e-mail: info@incydent.tuv-nord.pl

Na podstawie analizy dokumentów Kierownik Jednostki Certyfikującej podejmuje decyzję o konieczności przeprowadzenia auditu specjalnego w celu zbadania, czy nie doszło do pogorszenia działania systemu i czy jego funkcjonowanie było skuteczne. Wynik przeprowadzonego auditu ma formę udokumentowanej informacji, co stanowi podstawę do podjęcia udokumentowanej decyzji odnośnie ewentualnego zawieszenia lub cofnięcia certyfikatu.

Co to są audity specjalne?

Audit zmieniający zakres SZ (rozszerzający/ograniczający)

Na wniosek Klienta dotyczący rozszerzenia zakresu udzielonej certyfikacji Jednostka Certyfikująca przeprowadza tzw. audit rozszerzający zakres . Zakres oceny dokumentacji i auditu jest odpowiedni do proponowanego rozszerzenia zakresu.

Jednostka Certyfikująca może ograniczyć zakres certyfikacji w celu wykluczenia tych części, które nie spełniają wymagań. Decyzja o ograniczeniu może zapaść po audicie nadzoru lub dodatkowym audicie.

Audit zmieniający zakres SZ (rozszerzający/ograniczający) może być powiązany z auditem nadzoru.

Postępowanie po audicie przebiega odpowiednio, jak po audicie certyfikacyjnym.

 

Audit z krótkim terminem 

W szczególnych, uzasadnionych przypadkach (np. w wyniku skarg klientów certyfikowanej organizacji na jej system zarządzania, zawieszenia certyfikatu), może być konieczne przeprowadzenie dodatkowego auditu. Stwierdzenie jego konieczności zależy od oceny Jednostki Certyfikującej. Jednostka Certyfikująca każdorazowo jest zobowiązana do przesłania zleceniodawcy informacji o powodzie auditu, związanych z auditem kosztach i o jego terminie.

Certyfikacja organizacji wielooddziałowej

Certyfikacje wielodziałowe stosowane są w organizacjach posiadających jednostki organizacyjne o różnej lokalizacji.

Certyfikacja wielooddziałowa (audit w oparciu o próbkę) jest możliwa, jeżeli spełnione są następujące warunki:

  • organizacja posiada funkcję centralę (odpowiedzialną za system zarzadzania i sprawująca nadzór nad tym systemem) oraz posiada sieć jednostek lokalnych lub filii (oddziałów), w których te działania są w całości lub częściowo prowadzone,
  • wszystkie oddziały są prawnie lub kontraktowo powiązane z funkcją centralną i objęte są wspólnym systemem zarządzania ustanowionym i nadzorowanym przez jednostkę centralną (w jednostce centralnej osoba z przypisaną odpowiedzialnością za SZ obejmujący wszystkie lokalizacje, wspólny przegląd kierownictwa w centrali obejmujący ocenę SZ w całej organizacji, program auditów wewnętrznych dla wszystkich oddziałów),
  • wszystkie oddziały realizują podobne procesy/działania.

W przypadku certyfikacji wg ISO 13485 certyfikacja wielooddziałowa jest możliwa pod warunkiem, że auditem objęte są wszystkie filie, w których odbywa się proces projektowania i rozwoju oraz produkcji.

Odwołania i skargi

Klientowi przysługuje w stosunku do decyzji Jednostki Certyfikującej prawo odwołania. Odwołania są rozpatrywane wg procedury Jednostki. O przebiegu i wyniku postępowania odwoławczego Klient jest informowany. Jednostka Certyfikująca jest zobowiązania do przyjmowania i rozpatrywania skarg na własną działalność oraz na działalność certyfikowanych przez nią klientów.


Rew. 17/01.22