Proces certyfikacji systemów zarządzania
Proces certyfikacji jest zazwyczaj etapem wieńczącym dzieło wdrożenia systemów zarządzania.
Zazwyczaj, ponieważ w praktyce spotykamy jednostki organizacyjne, które po wdrożeniu systemu zarządzania nie przeprowadzają procesu certyfikacji, wykorzystując wdrożony system jako narzędzie do zarządzania organizacją w danym obszarze.
Obecnie polski rynek usług certyfikacyjnych to około 70 firm świadczących usługi na bardzo zróżnicowanym poziomie jakościowym i cenowym. Wybór jednostki certyfikującej jest więc trudnym zadaniem dla osób zaangażowanych w opracowanie i wdrożenie systemów zarządzania, dlatego przy wyborze powinniśmy kierować się między innymi:
- opinią organizacji współpracujących z jednostką certyfikującą,
- renomą rynkową w branży,
- posiadanymi akredytacjami,
- wykorzystaniem certyfikatu i akredytacji w relacjach międzynarodowych,
- ceną.
Stare porzekadło mówi „rozmawiamy ze wszystkimi, słuchamy nielicznych a decyzję podejmujemy samemu”, dlatego warto spotkać się z przedstawicielami wybranych jednostek certyfikujących w celu uzyskania niezbędnych informacji pomagających rozwiać wszelkie niejasności. Bezpośredni kontakt, rozmowa o procesie certyfikacji, interpretacji wymagań normy, sposobie postępowania z niezgodnościami czy o zasadach utrzymania certyfikatu będą doświadczeniem skutkującym podjęciem słusznej decyzji.
Na potrzeby niniejszego artykułu wykorzystano proces certyfikacji stosowany przez Bureau Veritas Certification Polska, której to jednostki certyfikującej autor jest auditorem i zarazem dziękuje za udostępnienie materiałów. Pełne informacje omawianych procesów i procedur w zakresie certyfikacji systemów zarządzania można znaleźć pod adresem http://www.bureauveritas.pl/
W celu lepszego zobrazowania procesu certyfikacji systemów zarządzania, proces ten przedstawiono w postaci kolejnych kroków, w których krótko omówiono działanie oraz wskazano wykonawcę.
Krok 1: Wniosek o ofertę certyfikacyjną
Wykonawca kroku: klient
Jest to formalne zapytanie klienta o ofertę. Formularz, zazwyczaj w wersji elektronicznej, zawiera niezbędne informacje o organizacji, takie jak między innymi: dane adresowe, osoby kontaktowe, charakter działalności, struktura organizacyjna, liczba zatrudnionych pracowników, ilość lokalizacji, informacje dotyczące systemów zarządzania, zakres usługi certyfikacyjnej i inne. Przesłany wniosek nie stanowi zobowiązania do przyjęcia oferty.
Krok 2: Przegląd wniosku, informacje uzupełniające
Wykonawca kroku: jednostka certyfikująca
Jednostka certyfikująca poddaje wniosek analizie w zakresie zdolności i wykonalności usługi certyfikacyjnej, uwzględniając czynniki takie jak:
– pełna informacja niezbędna do planowania i przeprowadzenia auditu,
– możliwość współpracy z auditowanym,
– czas i zasoby niezbędne do przeprowadzenia auditu.
Na tym etapie możliwe jest uzyskanie od klienta dodatkowych informacji.
Krok 3: Oferta certyfikacyjna
Wykonawca kroku: jednostka certyfikująca
Każda jednostka certyfikująca posiada własne procedury planowania i realizacji auditów, w tym kalkulacji kosztów certyfikacji wynikające z wymagań ISO/IEC 17021, PCA DACS-01, dokumentów IAF specyficznych dla certyfikowanych obszarów np. IAF MD 5 w przypadku certyfikacji Systemu zarządzania jakością i systemu zarządzania środowiskowego oraz innych wymagań specyficznych dla procesu certyfikacji.
Główne, ale nie jedyne, kryteria będące podstawą kalkulacji to:
- wielkość organizacji (efektywna liczba zatrudnionych),
- złożoność organizacyjna i rozległość (ilość lokalizacji),
- wnioskowany zakres certyfikacji,
- złożoność i ryzyko związane z procesami / usługami / wyrobami,
- proces certyfikacji na zgodność z jedną normą czy certyfikacja systemu zintegrowanego kryteriów certyfikacyjnych,
- dotychczasowe doświadczenie organizacji (posiadane certyfikaty).
Przekazana klientowi oferta certyfikacyjna prezentuje warunki cenowe i zasady przeprowadzenia procesu certyfikacji. Niezbędne jest, aby klient zwrócił uwagę na przedstawioną zawartość merytoryczną i cenową oferty np. czy przedstawione koszty dotyczą całego trzyletniego cyklu nadzoru czy tylko etapu certyfikacji, czy oferta obejmuje koszty dojazdu i pobytu auditorów, jaka będzie ilość wydanych certyfikatów oraz jego wersji językowych itp.
Jeżeli ze względu na przesłanki np. korporacyjne, jednostka certyfikacyjna nie jest wskazana odgórnie, dobra praktyka to przesłanie wniosków o certyfikację do kilku wybranych jednostek i porównanie ofert.
Krok 4: Umowa certyfikacyjna
Wykonawca kroku: klient i jednostka certyfikująca
Zaakceptowana i podpisana przez klienta oferta staje się umową certyfikacyjną.
Przed podpisaniem umowy, klient powinien zapoznać się ze wszystkimi szczegółowymi wymaganiami i obowiązkami dwustronnymi dotyczącymi świadczenia usług certyfikacyjnych, w tym odwołania, reklamacji, skarg dotyczących certyfikacji, jak również zawieszenia/wycofania certyfikatu oraz unieważnienia umowy. Istotną sprawą w niniejszej umowie jest zobowiązanie każdej ze stron do nieujawniania i do niewykorzystywania do jakichkolwiek celów żadnej wiedzy ani informacji poufnych uzyskanych podczas auditu.
Krok 5: Planowanie
Wykonawca kroku: jednostka certyfikująca
Jednostka certyfikująca zgodnie z procedurami wewnętrznymi uzgodni z klientem dogodny dla obu stron termin auditu. Następnie powoła auditora wiodącego, który w bezpośrednim kontakcie z klientem przygotuje plan auditu certyfikacyjnego – etap 1 oraz dokona wszelkich ustaleń związanych z realizacją auditu.
Krok 6: Audit certyfikacyjny – Etap 1 (wstępny)
Wykonawca kroku: klient i jednostka certyfikująca
Zgodnie z planem i ustalonym terminem, zostaje wykonany etap 1 auditu certyfikacyjnego. Jednostka przeprowadza ocenę gotowości klienta do certyfikacji, aby potwierdzić możliwość przystąpienia do etapu 2 auditu certyfikacyjnego. Ocena ta dotyczy między innymi: zakresu systemu zarządzania, zrozumienia wymagań normy, identyfikacji i realizacji wymagań prawnych mających zastosowanie w organizacji, identyfikacji i oceny ryzyka, wymaganego udokumentowania, systemu audytów wewnętrznych. Zespół auditorów zapoznaje się z organizacją, działalnością i procesami, technologią oraz personelem uczestniczącym w audicie.
Krok 7: Wymagane korekty oraz działania korygujące
Wykonawca kroku: klient
Po przeprowadzonym audicie etapu 1, klient otrzymuje raport z auditu będący podstawą do podjęcia działań korekcyjnych i korygujących, których przeprowadzenie jest niezbędne
i warunkuje kontynuowanie kolejnego kroku procesu certyfikacji. Jeśli podczas auditu zostaną zidentyfikowane niezgodności, klient jest zobowiązany do podjęcia niezbędnych działań korekcyjnych oraz korygujących w terminie maks. 90 dni od ostatniego dnia auditu (w przypadku niezgodności kategorii „dużej”).
Krok 8: Audit certyfikacyjny – Etap 2
Wykonawca kroku: klient i jednostka certyfikująca
Przed rozpoczęciem Etapu 2 auditu certyfikacyjnego w terminie określonym przez procedurę wewnętrzną, jednostka certyfikująca dostarcza klientowi plan auditu. Plan auditu powinien zawierać lub odnosić się min. do:
- celów auditu,
- zakresu auditu,
- kryteriów auditu i dokumentów odniesienia,
- lokalizacji, dat, przewidywanych godzin i czasu trwania działań auditowych,
- metod auditu, jakie mają być użyte,
- roli i odpowiedzialności członków zespołu audytującego.
Zespół auditorów podczas spotkania otwierającego z kierownictwem klienta przedstawi szczegóły procesu auditu i działania związane z jego prawidłowym przeprowadzeniem.
Przebieg auditu to ustalenia wskazujące zgodność lub niezgodność z kryteriami auditu. Wszystkie niezgodności i wspierające je dowody z auditu zostaną zapisane przez zespół auditorów w celu możliwości ich weryfikacji. Zespół auditorów podczas spotkania zamykającego omówi wszelkie niezgodności, spostrzeżenia oraz możliwości doskonalenia systemu zarzadzania zidentyfikowane w trakcie auditu. Po zakończeniu auditu w terminie określonym przez procedurę wewnętrzną jednostki certyfikującej, zostaje opracowany i przedstawiony kierownictwu klienta raport, zawierający wyniki przeprowadzonego auditu certyfikacyjnego.
Krok 9: Wymagane korekty oraz działania korygujące
Wykonawca kroku: klient
Jeśli podczas auditu zostaną zidentyfikowane niezgodności, klient jest zobowiązany do podjęcia niezbędnych działań korekcyjnych oraz korygujących w terminie maks. 90 dni od ostatniego dnia auditu (w przypadku niezgodności kategorii „dużej”), których przeprowadzenie jest niezbędne i warunkuje kontynuowanie kolejnego kroku procesu certyfikacji czyli rekomendacji do wydania certyfikatu.
Krok 10: Rekomendacja do wydania certyfikatu i zamknięcie raportu z auditu
Wykonawca kroku: jednostka certyfikująca
Akceptacja przez auditora wiodącego wszystkich działań korygujących i korekcyjnych pozwala na zamknięcie raportu z auditu certyfikacyjnego. Następnie zgodnie z procedurami wewnętrznymi jednostki certyfikującej auditor wiodący rekomenduje organizację klienta do wydania certyfikatu.
Krok 11: Wydanie certyfikatu
Wykonawca kroku: jednostka certyfikująca
Wyznaczony zespół w jednostce certyfikującej przed wydaniem certyfikatu dokonuje sformalizowanego przeglądu procesu certyfikacji pod kątem jego poprawności, zgodności
z procedurami certyfikacyjnymi i pełnego udokumentowania. Certyfikat zostaje wydany klientowi na ogół do 30 dni po zakończeniu auditu.
Wydany certyfikat zgodności zawiera informacje o wdrożonym i funkcjonującym w organizacji systemie zarządzania klienta, którego zgodność z normą odniesienia została potwierdzona w procesie auditu auditem w procesie certyfikacyjnym. Informacje zawarte na certyfikacie to m.in.: znak certyfikacyjny jednostki wydającej certyfikat, zakres systemu zarządzania, normy odniesienia, termin ważności, akredytacja, numer identyfikacyjny i stosowne zatwierdzenia / podpisy. Data przyznania certyfikatu jest datą podjęcia decyzji certyfikacyjnej i posiada 3-letni termin ważności.
Znak certyfikacyjny a logo jednostki certyfikującej
Brak informacji / świadomości klienta o zasadach stosowania znaku certyfikacyjnego i logo jednostki certyfikującej prowadzi w najlepszym przypadku, do różnicy zdań a w krańcowym do zerwania umowy i pozwu sądowego.
Dla przypomnienia:
1)
W naszym przypadku logo 1) Bureau Veritas jest znakiem prawnie zastrzeżonym, którego wykorzystanie wymaga zgody ze strony firmy.
2)
Skomentuj