competenţă matrice... · web viewclientului trebuie să i se ofere ocazia să pună întrebări....

Matricea de corespondență între cerințele standardului SR EN ISO/CEI 17021-1 și documentația OEC

Denumire OEC

Denumire și adresă Organizație:Denumire și adresă OEC:

OEC cu mai multe locații: Da Nu

Locație evaluată:

(se completează de RENAR)

(Denumire)/Adresă:

(Denumire)/Adresă:

(Denumire)/Adresă:

Mod de utilizare a Matricea de corespondență între cerințele standardului SR EN ISO/CEI 17021-1 și documentația OEC:- prima și a doua coloană cuprind cerințele SR EN ISO/CEI 17021-1:2015; - coloana 3 se completeză de solicitantul acreditării cu următoarele informații:

documentul în care se specifică modul de implementare al acestei cerințe (se va indica documentul: manualul calitatii și/sau procedura cu capitolul și articolul /paragraful în care este documentată cerința, inclusiv înregistrările care demonstrează implementarea cerinței)

cerințele care nu se aplică se vor marca cu „0” și vor fi însoțite de o justificare întemeiată. - coloana 4 se completează de către echipa de evaluare în vederea realizării analizei documentelor

consemnându-se eventualele neconformități (fără a fi încadrate); - coloana 5 se completează de către echipa de evaluare, consemnându-se observații referitoare la:

rezolvarea neconformităților; aspecte care trebuie urmărite la evaluarea la sediu; alte aspecte care reies din etapa de pregătire a evaluării.

În situația în care nu se formulează nicio neconformitate față de un element din standard, în dreptul secțiunii corespunzătoare, este suficient să se bifeze.

Neconformitățile identificate în timpul etapei de analiză a documentelor vor fi comunicate OEC prin adresă oficială, iar închiderea acestora se va consemna în tabelul din spațiul dedicat RENAR.

RENAR Cod: F05-6-PR-14 Ediția din 28.08.2017 Pag 1 / 52


Denumire OEC

Cerințele standardului SR EN ISO/CEI 17021-1Unde este documentată cerința1 și înregistrările care demonstrează

implementarea?

Constatări echipa de evaluare2

Analiza documentelor3 Observații1 2 3 4 5

Imparţialitate4.2.1Pentru a fi imparţial şi a fi perceput ca imparţial este necesar ca un organism de certificare

să efectueze certificări care furnizează încredere. Este important ca întreg personalul intern şi extern să fie conştient de nevoia de imparţialitate.

4.2.2Este recunoscut că sursa de venituri pentru un organism de certificare este clientul său care plăteşte pentru certificare, iar aceasta constituie o potenţială ameninţare la adresa imparţialităţii.

4.2.3Pentru a câştiga şi a menţine încrederea, este esenţial ca deciziile unui organism de certificare să fie bazate pe dovezi obiective de conformitate (sau neconformitate)obţinute de organismul de certificare şi ca deciziile acestuia să nu fie influenţate de alte interese sau de alte părţi.

4.2.4Ameninţările la adresa imparţialităţii pot include, dar nu se limitează numai la, următoarele:

a) interes personal: ameninţări care apar atunci când o persoană sau un organism acţionează în propriul său interes. Propriul interes financiar reprezintă o îngrijorare referitoare la certificare, ca o ameninţare la adresa imparţialităţii;

b) autoevaluare: ameninţări care apar atunci când o persoană sau un organism îşi evaluează propria activitate. A audita sistemele de management ale unui client căruia organismul de certificare i-a acordat consultanţă pentru sisteme de management ar putea fi o ameninţare de tip autoevaluare;

c) familiaritate (sau încredere): ameninţări care apar atunci când o persoană sau un organism este prea familiar sau încrezător faţă de o altă persoană în loc să caute dovezi de audit;

d) intimidare: ameninţări care apar atunci când o persoană sau un organism se simte constrâns în mod direct sau indirect, de exemplu o ameninţare de a fi înlocuit sau raportat ierarhic.

4.3 Competenţă

1 Se va descrie inclusiv documentarea cerințelor actului normativ aplicabil (regulament, directivă etc.) sau ale cerinţelor specifice documentate de proprietarul de schemă.2 Evaluatorul Șef evaluează cerințele referitoare la sistemul de management; Evaluatorul evaluează cerințe tehnice. 3 Se va lua în considerare inclusiv modul în care au fost documentate cerințele actului normativ aplicabil (regulament, directivă etc.)

RENAR Cod: F05-6- PR-14 Ediția din 28.08.2017 Pag 2 / 52


Denumire OEC

Cerințele standardului SR EN ISO/CEI 17021-1Unde este documentată cerința și înregistrările care demonstrează

implementarea?

Constatări echipa de evaluare

Analiza documentelor Observații1 2 3 4 5

4.3.1 Este necesar ca, în toate funcţiile implicate în activităţile de certificare, competenţa personalului organismului de certificare să conducă la certificări care furnizează încredere.

4.3.2 Competenţa trebuie de asemenea să fie susţinută de sistemul de management al organismului de certificare.

4.3.3 Un aspect cheie pentru managementul organismului de certificare, este acela de a avea un proces implementat pentru stabilirea criteriilor de competenţă pentru personalul implicat în audit şi în alte activităţi de certificare, şi pentru a realiza evaluarea în raport cu criteriile.

4.4 Responsabilitate4.4.1Clientul certificat, şi nu organismul de certificare, are responsabilitatea realizării

consecvente a rezultatelor intenţionate ale implementării standardului sistemului de management şi ale conformităţii cu cerinţele pentru certificare.

4.4.2Organismul de certificare are responsabilitatea de a evalua suficiente dovezi obiective pe care să se bazeze decizia de certificare. Pe baza concluziilor auditului, acesta ia decizia acordării certificării, dacă există suficiente dovezi de conformitate, sau neacordării certificării, în lipsa dovezilor suficiente de conformitate.Orice audit este bazat pe o eşantionare în cadrul sistemului de management al unei organizaţii şi, de aceea, conformitatea cu cerinţele nu este 100% garantată.

4.5 Deschidere4.5.1Eate necesar ca un organism de certificare să asigure acces public sau difuzarea către

public, în mod adecvat şi oportun, a informaţiilor referitoare la procesele sale de audit şi de certificare, precum şi cele referitoare la statutul certificării )de exemplu acordarea, menţinerea certificării, extinderea, sau restrângerea domeniului certificării, reînnoirea, suspendarea, reacordarea sau retragerea certificării) oricărei organizaţii, pentru a câştiga încrederea în integritatea şi credibilitatea certificării. Deschiderea este un principiu al accesului la informaţii adecvate sau al dezvăluirii acestora.

4.5.2Pentru a câştiga şi a menţine încrederea în certificare, un organism de certificare ar trebui să asigure accesul adecvat la, sau să dezvăluie, informaţii neconfidenţiale referitoare la concluziile unor audituri specifice (de exemplu audituri ca urmare a reclamaţiilor) părţilor interesate în mod specific.Confidenţialitate

Pentru a obţine accesul privilegiat la informaţiile care îi sunt necesare pentru a evalua în mod adecvat conformitatea cu cerinţele de certificare, este esenţial ca un organism de certificare să nu dezvăluie nicio informaţie confidenţială.



Denumire OEC


implementarea?



4.7 Capacitate de răspuns la reclamaţiiPărţile care se bazează pe certificare se aşteaptă ca reclamaţiile să fie investigate şi,

dacă se constată că sunt valide, ar trebui să aibă încredere că reclamaţiile vor fi tratate într-un mod adecvat şi organismul de certificare va depune un efort rezonabil pentru a le rezolva. Capacitatea de răspuns eficace la reclamaţii este un mijloc important pentru protecţia organismului de certificare, a clienţilor săi şi a altor utilizatori ai certificării împotriva erorilor, omisiunilor sau a conduitei inadecvate. Dacă reclamaţiile sunt procesate într-un mod adecvat, se păstrează încrederea în activităţile de certificare.

NOTĂ - Pentru a demonstra tuturor utilizatorilor certificării integritatea şi credibilitatea, este necesar un echilibru adecvat între principiile deschiderii şi confidenţialităţii, inclusiv capacitatea de răspuns la reclamaţii.

4.8 Abordarea pe bază de riscEste necesar ca organismele de certificare să ia în considerare riscurile asociate cu furnizarea de certificare competentă, coerentă şi imparţială. Riscurile pot include, dar nu se limitează la, cele asociate cu:- obiectivele auditului;- eşantionarea utilizată în procesul de audit;- imparţialitatea reală şi percepută;- aspecte legale, de reglementare şi de răspundere juridică;- organizaţia clientului auditat şi mediului său de operare;- impactul auditului asupra clientului şi activităţilor acestuia;- sănătate şi securitatea echipelor de audit;- percepţia părţilor interesate;- declaraţii înşelătoare ale clientului certificat;- utilizarea mărcilor.Cerinţe generale

Aspecte juridice şi contractuale5.1.1Responsabilitate juridică

Organismul de certificare trebuie să fie o entitate legală, sau o parte definită a unei entităţi legale, care poate fi responsabilă juridic, pentru toate activităţile sale de certificare. Un organism de certificare guvernamental este considerat o entitate legală pe baza statutului său guvernamental.

5.1.2 N2) de certificare

N2)N2) NOTĂ NAŢIONALĂ – Termenul „acord” are şi semnificaţia „contract”.RENAR Cod: F05-6- PR-14 Ediția din 28.08.2017 Pag 4 / 52


Denumire OEC


implementarea?



Organismul de certificare trebuie să aibă un acord juridic legal cu fiecare client pentru furnizarea activităţilor de certificare, în concoedanţă cu cerinţele relevante ale acestei părţi din standardul ISO/IEC 17021 Suplimentar, atunci când există mai multe sedii ale unui organism de certificare sau locaţii multiple ale unui client, organismul de certificare trebuie să se asigure că există un acord juridic legal între organismul de certificare care acordă certificarea şi client care acoperă toate locaţiile din cadrul domeniului certificării.

Notă – un acord poate fi realizat prin mai multe acorduri care fac trimitere unul la celălalt sau au o altfel de legătură între ele.

5.1.3Responsabilitate pentru deciziile de certificareOrganismul de certificare trebuie să fie responsabil şi să-şi păstreze autoritatea pentru

deciziile referitore la certificare, inclusiv acordarea, neacordarea,menţinerea certificării, extinderea sau reducerea domeniului certificării, reînnoirea, suspendarea, ridicarea suspendării sau, retragerea certificării.

5.2 Managementul imparţialităţii5.2.1Activităţile de evaluare a conformităţii trebuie întreprinse parţial. Organismul de certificare

trebuie să fie responsabil pentru imparţialitatea activităţilor sale de evaluare a confomităţii şi nu trebuie să permită ca presiuni comerciale, financiare sau de altă natură să compromită imparţialitatea.

5.2.2ganismul de certificare trebuie să aibă un angajament al managementului de la cel mai înalt nivel referitor la imparţialitate activităţilor de certificare a sistemului de management. Organismul de certificare trebuie să aibă o politică prin care înţelege importanţa imparţialităţii în efectuarea activităţilor sale de certificare a sistemului de management, gestionează conflictul de interese şi se asigură de obiectivitatea activităţilor sale de certificare a sistemului de management.

5.2.3Organismul de certificare trebuie să aibă un proces continuu de identificare, analizare, evaluare, tratare, monitorizare şi documentare a riscurilor referitoare la conflictul de interese provenite din furnizarea certificării, inclusiv orice conflicte care apar din relaţiile sale. În cazulÎn cazul în care există ameninţări la adresa imparţialităţii, organismul de certificare trebuie să documenteze şi să demonstreze cum elimină sau minimizează aceste ameninţări şi să documenteze orice risc rezidual. Demonstraţia trebuie să acopere toate ameninţările potenţialele identificate, indiferent dacă ele apar din interiorul organismului de certificare sau din activităţile altor persoane, organisme sau organizaţii. Atunci când o relaţie reprezintă o ameninţare inacceptabilă pentru imparţialitate (cum ar fi cazul unei filiale care aparţine în totalitate organismului de certificare şi care solicită certificarea din partea organizaţiei mamă),



Denumire OEC


implementarea?



certificarea nu trebuie furnizată. Managementul de la cel mai înalt nivel trebuie să analizeze orice risc rezidual pentru a

determina dacă acesta este în limita nivelului de risc acceptabil.Procesul de evaluare a riscurilor trebuie să includă identificarea părţilor interesate

adecvate şi consultarea cu acestea asupra aspectelor care afectează imparţialitatea, inclusiv transparenţa şi percepţia publică. Consultarea cu părţile interesate în mod semnificativ trebuie să fie echilibrată, astfel încât să nu predomine un singur interes.

NOTA 1 - Sursele de ameninţări la adresa imparţialităţii organismului de certificare pot avea la bază proprietatea, guvernanţa, managementul, personalul, resursele comune, finanţele, contractele, instruirea, marketingul şi plata unui comision la vânzare sau alt stimulent pentru trimiterea de noi clienţi etc.

NOTA 2 - Părţile interesate pot include personal şi clienţi ai organismului de certificare, clienţi ai organizaţiilor ale căror sisteme de management sunt certificate, reprezentanţi ai asociaţiilor comerciale din industrie, reprezentanţi ai organismelor de reglementare guvernamentale sau ai altor servicii guvernamentale sau reprezentanţi ai organizaţiilor non-guvernamentale, inclusiv organizaţii ale consumatorilor.

NOTA 3 - O modalitate de a îndeplini cerinţa de consultare din acest articol este utilizarea unui comitet al acestor părţi interesate.

5.2.4Un organism de certificare nu trebuie să certifice sistemul de management al calităţii al altui organism de certificare.

5.2.5Organismul de certificare, orice parte a aceleiaşi entităţi legale şi orice entitate aflată sub controlul organizaţional al organismului de certificare [a se vedea 9.5.1.2, pct. b)] nu trebuie să ofere sau să furnizeze consultanţă pentru sisteme de management. Acest lucru este aplicabil şi în cazul unei părţi guvernamentale identificată ca organism de certificare.

NOTĂ - Aceasta nu exclude posibilitatea schimbului de informaţii (de exemplu explicarea constatărilor sau clarificarea cerinţelor) între organismul de certificare şi clienţii săi.

5.2.6Efectuarea auditurilor interne de către organismul de certificare şi orice parte a aceleiaşi entităţi legale pentru clienţii certificaţi constituie o ameninţare importantă asupra imparţialităţii. De aceea, organismul de certificare, orice parte a aceleiaşi entităţi legale şi orice entitate aflată sub controlul organizaţional al organismului de certificare [a se vedea 9.5.1.2, pct. b)] nu trebuie să ofere sau să furnizeze audituri interne clienţilor săi certificaţi. O diminuare acceptată a acestei ameninţări este aceea că organismul de certificare nu trebuie să



Denumire OEC


implementarea?



certifice un sistem de management pentru care a furnizat audituri interne, timp de minimum doi ani de la finalizarea auditurilor interne.

NOTĂ - A se vedea Nota 1 de la 5.2.3.5.2.7În cazul în care un client a primit consultanţă pentru sistemele de management din partea

unui organism care are o relaţie cu un organism de certificare, aceasta este o ameninţare importantă asupra imparţialităţii. O diminuare acceptată a acestei ameninţări este aceea că organismul de certificare nu trebuie să certifice sistemul de management timp de minimum doi ani de la finalizarea consultanţei.

NOTĂ - A se vedea Nota 1 de la 5.2.3.5.2.8Organismul de certificare nu trebuie să externalizeze audituri către o organizaţie de

consultanţă pentru sisteme de management, deoarece acest lucru constituie o ameninţare inacceptabilă la adresa imparţialităţii organismului de certificare (a se vedea 7.5). Acest lucru nu se aplică persoanelor contractate ca auditori indicate la 7.3.

5.2.9Activităţile organismului de certificare nu trebuie să fie prezentate sau oferite ca având legătură cu activităţile unei organizaţii care furnizează consultanţă pentru sisteme de management. Organismul de certificare trebuie să întreprindă acţiuni pentru a corecta legăturile sau declaraţiile inadecvate ale oricărei organizaţii de consultanţă care declară sau sugerează că certificarea ar fi mai simplă, mai uşoară, mai rapidă sau mai puţin costisitoare dacă se apelează la acel organism de certificare. Un organism de certificare nu trebuie să declare sau să sugereze că certificarea ar fi mai simplă, mai uşoară, mai rapidă sau mai puţin costisitoare dacă s-ar utiliza o anumită organizaţie de consultanţă.

5.2.10Pentru a se asigura că nu există conflict de interese, personalul care a furnizat consultanţă pentru sistemul de management, inclusiv cel care activează la nivel managerial, nu trebuie să fie utilizat de către organismul de certificare pentru a lua parte la un audit sau la alte activităţi de certificare, dacă a fost implicat în consultanţa pentru sistemul de management, către client. O diminuare acceptată a acestei ameninţări este aceea că personalul nu trebuie să fie utilizat timp de minimum doi ani de la finalizarea consultanţei.

5.2.11Organismul de certificare trebuie să întreprindă acţiuni pentru a răspunde oricăror ameninţări la adresa imparţialităţii care apar din acţiunile altor persoane, organisme sau organizaţii.

5.2.12Întreg personalul organismului de certificare, fie intern fie extern, sau comitetele, care ar putea influenţa activităţile de certificare, trebuie să acţioneze imparţial şi nu trebuie să permită presiuni comerciale, financiare sau de altă natură care să



Denumire OEC


implementarea?



compromită imparţialitatea.5.2.13Organismele de certificare trebuie să solicite personalului, intern sau extern, să dezvăluie

orice situaţie cunoscută care poate prezenta pentru ei sau organismul de certificare un conflict de interese. Organismele de certificare trebuie să înregistreze şi să utilizeze aceste informaţii ca elemente de intrare pentru a identifica ameninţările la adresa imparţialităţii generate de activităţile acestor persoane sau de organizaţiile care le-au angajat, şi nu trebuie să utilizeze aceste persoane, intern sau extern, decât dacă aceştia pot demonstra că nu există conflict de interese.

5.3 Răspundere juridică şi finanţare5.3.1Organismul de certificare trebuie să fie capabil să demonstreze că a evaluat riscurile care

apar din activităţile sale de certificare şi că are aranjamente adecvate (de exemplu asigurare sau provizioane) pentru a acoperi răspunderea juridică rezultată din operaţiile sale în fiecare din domeniile sale de activitate şi ariile geografice în care activează.

5.3.2Organismul de certificare trebuie să-şi evalueze situaţia financiară şi sursele de venit şi să demonstreze că, de la început şi în continuare, presiunile comerciale, financiare sau de altă natură nu compromit imparţialitatea sa.

6 Cerinţe structurale6.1Structură organizaţională şi management de la cel mai înalt nivel6.1.1Organismul de certificare trebuie să-şi documenteze structura organizaţională, sarcinile,

responsabilităţile şi autorităţile managementului şi ale celorlalţi membri ai personalului implicat în certificare, şi ale fiecăruia dintre comitete. Atunci când organismul de certificare este o parte definită a a unei entităţi legale, structura trebuie să includă linia de autoritate şi relaţia cu celelalte părţi în cadrul aceleiaşi entităţi legale.

6.1.2 Activităţile de certificare trebuie să fie structurate şi gestionate astfel încât să garanteze imparţialitatea.

6.1.3Organismul de certificare trebuie să identifice managementul de la cel mai înalt nivel (comitet director, grup de persoane sau persoană) care au întreaga autoritate şi responsabilitate pentru fiecare dintre următoarele:

a) dezvoltarea politicilor referitoare la funcţionarea organismului;

b) supervizarea implementării politicilor şi procedurilor;

c) asigurarea imparţialităţii;



Denumire OEC


implementarea?



d) supervizarea situaţiei financiare;

e) dezvoltarea serviciilor şi a schemelor de certificare a sistemului de management;

f) efectuarea de audituri şi certificare şi capacitatea de răspuns la reclamaţii;

g) decizii referitoare la certificare;

h) delegarea autorităţii către comitete sau persoane, pentru a întreprinde în numele său activităţi definite;

i) aranjamente contractuale;

j) asigurarea resurselor adecvate pentru activităţile de certificare.

6.1.4Organismul de certificare trebuie să aibă reguli oficiale pentru numirea, termenii de referinţă şi funcţionarea fiecărui comitet implicat în activităţile de certificare.

6.2Control operaţional6.2.1Organismul trebuie să aibă un proces pentru controlul eficace al activităţilor de certificare

furnizate de sucursale, parteneriate, agenţi, francize etc., indiferent de statutul lor juridic, relaţie sau localizare geografică. Organismul de certificare trebuie să ia în considerare riscul pe care aceste activităţi îl pun asupra competenţei, coerenţei şi imparţialităţii organismului de certificare

6.2.2Organismul de certificare trebuie să ia în considerare nivelul şi metoda adecvate pentru controlul activităţilor întreprinse, inclusiv procesele, domeniile tehnice de operare ale organismului de certificare, competenţa personalului, liniile de control, de raportare şi de acces de la distanţă la operaţiuni, ale managementului, inclusiv înregistrările.

7Cerinţe referitoare la resurse7.1Competenţa personalului7.1.1Consideraţii generale

Organismul de certificare trebuie să aibă procese prin care să se asigure că personalul are cunoştinţe adecvate şi abilităţi relevante pentru tipurile de sisteme de management (de exemplu sisteme de management de mediu, sisteme de management al calităţii, sisteme de management ale securităţii informaţiei) şi ariile geografice în care acţionează.

7.1.2Determinarea criteriilor de competenţă



Denumire OEC


implementarea?



Organismul de certificare trebuie să aibă un proces pentru determinarea criteriilor de competenţă pentru personalul implicat în managementul şi efectuarea auditurilor şi a altor activităţi de certificare. Criteriile de competenţă trebuie determinate luând în considerare cerinţele fiecărui tip de standard sau specificației pentru, pentru fiecare domeniu tehnic şi pentru fiecare funcţie din procesul de certificare.

Elementele de ieşire ale procesului trebuie să fie criteriile documentate pentru cunoştinţele şi abilităţile necesare pentru realizarea eficace a sarcinilor de audit şi certificare, care vor fi îndeplinite pentru a obţine rezultatele intenţionate. Anexa A specifică cunoştinţele şi abilităţile pe care un organism de certificare trebuie să le definească pentru funcţii specifice. Atunci când au fost stabilite criterii de competenţă specifice suplimentare pentru un anumit standard sau o schemă de certificare (de exemplu ISO/IEC TS 17021-2, ISO/IEC TS 17021-3 sau ISO/TS 22003), acestea trebuie aplicate.

NOTĂ – Expresia „domeniu tehnic” poate fi aplicată diferit în funcţie de standardul de sistem de management luat în considerare. Pentru orice sistem de management, expresia se referă la produse şi procese în contextul domeniului de aplicare al standardului de sistem de management. Domeniul tehnic poate fi definit de o anumită schemă de certificare specifică (de exemplu ISO/TS 22003); sau pot fi determinat de organismul de certificare.

Este folosit pentru a acoperi un număr de alţi termeni precum ”domenii”, “categorii”, “sectoare” etc. care sunt utilizaţi în mod tradiţional în diferite discipline de sisteme de management.

7.1.3Procese de evaluareOrganismul de certificare trebuie să aibă procese documentate pentru evaluarea iniţială a

competenţei şi pentru monitorizarea continuă a competenţelor şi performanţelor întregului personal implicat în managementul și, efectuarea auditurilor şi a altor activităţi de cerificare, aplicând criteriile de competenţă determinate. Organismul de certificare trebuie să demonstreze că metodele sale de evaluare sunt eficace.

Competenţa trebuie demonstrată înainte de asumarea individuală a responsabilităţii pentru desfăşurarea activităţilor acestora în cadrul organismului de certificare.

NOTA 1 – În anexa B sunt descrise mai multe metode de evaluare care pot fi utilizate pentru evaluarea competenţei.

NOTA 2 - Anexa C prezintă un exemplu de diagramă de proces pentru determinarea şi menţinerea competenţei



Denumire OEC


implementarea?



7.1.4Alte consideraţiiOrganismul de certificare trebuie să aibă acces la expertiza tehnică necesară pentru

îndrumare asupra subiectelor legate direct de activităţile de certificare pentru toate domeniile tehnice, tipurile de sisteme de management şi zonele geografice în care funcţionează organismul de certificare. Astfel de îndrumări pot fi furnizate de personal extern sau de personalul organismului de certificare.

7.2Personal implicat în activităţile de certificare7.2.1Organismul de certificare trebuie să aibă personal competent, suficient, pentru a gestiona

şi a susţine tipul şi gama de programe de audit şi alte activităţi de certificare efectuate.

7.2.2Organismul de certificare trebuie să angajeze, sau să aibă acces la, un număr suficient de auditori, inclusiv conducători ai echipei de audit, şi experţi tehnici pentru a acoperi toate activităţile şi realiza volumul de muncă reprezentat de auditurile efectuate.

7.2.3Organismul de certificare trebuie să clarifice fiecărei persoane implicate care îi sunt sarcinile, responsabilităţile şi autorităţile.

7.2.4Organismul de certificare trebuie să aibă procese pentru selectarea, instruirea, autorizarea oficială a auditorilor şi pentru selectarea şi familiarizarea experţilor tehnici utilizaţi în activitatea de certificare. Evaluarea iniţială a competenţei unui auditor trebuie să includă capacitatea de a aplica, în timpul auditurilor, cunoştinţele şi abilităţile cerute, aşa cum a fost aceasta determinată de un evaluator competent prin observarea auditorului în timpul efectuării unui audit.

NOTĂ – În timpul procesului de selectare şi instruire descris mai sus, poate fi luat în considerare comportamentul dorit pentru personal.. Acestea sunt caracteristici care afectează capacitatea unei persoane de a îndeplini funcţii specifice. De aceea, cunoaşterea comportamentelor persoanelor permite unui organism de certificare să beneficieze de avantajul calităţilor lor şi să minimizeze impactul slăbiciunilor acestora. Comportamentul dorit, care este important pentru personalul implicat în activităţile de certificare, este descris în Anexa D.



Denumire OEC


implementarea?



7.2.5Organismul de certificare trebuie să aibă un proces pentru a realiza şi a demonstra o auditare eficace, inclusiv utilizarea auditorilor şi a conducătorilor echipei de audit care posedă abilităţi şi cunoştinţe de auditare, atât generice cât şi adecvate pentru auditarea în domeniile tehnice specifice.

7.2.6Organismul de certificare trebuie să se asigure că auditorii (şi, atunci când este necesar, experţii tehnici) cunosc procesele sale de audit, cerinţele de certificare şi alte cerinţe relevante. Organismul de certificare trebuie să permită auditorilor şi experţilor tehnici accesul la un set actualizat de proceduri documentate care conţin instrucţiuni de audit şi toate informaţiile relevante referitoare la activităţile de certificare.

7.2.7Organismul de certificare trebuie să identifice necesităţile de instruire şi trebuie să ofere sau să furnizeze acces la instruire specifică, pentru a se asigura că auditorii săi, experţii tehnici şi alte persoane implicate în activităţile de certificare sunt competente pentru funcţiile pe care le exercită.

7.2.8Grupul sau persoana care ia decizia de acordare, neacordare, menţinere, reînnoire, suspendare, restabilire sau retragere a certificării, sau de extindere sau reducere a domeniului certificării, trebuie să înţeleagă standardul aplicabil şi cerinţele de certificare şi trebuie să aibă competenţă demonstrată pentru evaluarea rezultatelor proceselor de audit, inclusiv a recomandărilor echipei de audit corespunzătoare acestora.

7.2.9Organismul de certificare trebuie să se asigure că întreg personalul implicat în activităţile de audit şi de certificare are performanţe corespunzătoare. Trebuie să existe un proces documentat pentru monitorizarea competenţelor şi performanţelor tuturor persoanelor implicate, bazat pe frecvenţa utilizării lor şi pe nivelul de risc asociat activităţilor lor. În particular, organismul de certificare trebuie să analizeze şi să înregistreze competenţa personalului său prin prisma performanţelor acestuia, pentru a identifica necesităţile de instruire.

7.2.10Organismul de certificare trebuie să monitorizeze fiecare auditor luând în considerare fiecare tip de sistem de management pentru care auditorul este considerat competent. Procesul documentat de monitorizare a auditorilor trebuie să includă o combinaţie de evaluare la faţa locului, analiza rapoartelor de audit şi feedback de la clienţi sau piaţă. Această monitorizare trebuie concepută astfel încât să reducă la minimum perturbarea proceselor normale de certificare, în



Denumire OEC


implementarea?



special din punctul de vedere al clientului.7.2.11Organismul de certificare trebuie să evalueze periodic performanţa fiecărui auditor la faţa

locului. Frecvenţa evaluărilor la faţa locului trebuie să se stabilească pe baza necesităţii determinate din toate informaţiile disponibile referitoare la monitorizare.

7.3 Utilizarea auditorilor şi experţilor tehnici externi individualiOrganismul de certificare trebuie să solicite auditorilor externi şi experţilor tehnici externi

să aibă un acord scris prin care se angajează să se conformeze politicilor şi proceselor aplicabile stabilite de organismul de certificare. Acordul trebuie să se refere la aspecte legate de confidenţialitate şi imparţialitate şi trebuie să ceară auditorilor externi şi experţilor tehnici externi să notifice organismului de certificare orice legătură actuală sau anterioară cu orice organizaţie care le poate fi atribuită pentru auditare.

NOTĂ - Utilizarea unei persoane sau a unui angajat al altei organizaţii contractat individual pentru a fi utilizat ca auditor sau expert tehnic extern, nu constituie externalizare.

7.4 Înregistrări referitoare la personalOrganismul de certificare trebuie să menţină înregistrări actualizate referitoare la personal,

inclusiv calificările, instruirea, experienţa, afilierile, statutul profesional şi competenţa relevante. Acestea includ personalul de managementul şi administrativ, în plus faţă de cei care efectuează activităţi de certificare.

7.5 Externalizare7.5.1Organismul de certificare trebuie să aibă un proces prin care descrie condiţiile în care

poate avea loc externalizarea (care înseamnă subcontractarea la o altă organizaţie pentru a furniza o parte din activităţile de certificare în numele organismului de certificare). Organismul de certificare trebuie să aibă un acord juridic legal care să acopere aranjamentele, inclusiv confidenţialitatea şi conflictele de interese, cu fiecare organism care furnizează servicii externalizate.

7.5.2Deciziile referitoare la acordarea, neacordarea, menţinerea certificării, extinderea sau reducerea domeniului certificării, reînnoirea, suspendarea, restabilirea sau retragerea certificării, nu trebuie externalizate.

7.5.3Organismul de certificare trebuiesă-şi asume responsabilitatea pentru toate activităţile externalizate către alt organism,să se asigure că organismul care furnizează servicii externalizate şi persoanele pe care acesta le utilizează, se conformează cerinţelor



Denumire OEC


implementarea?



organismului de certificare precum şi prevederilor aplicabile din această parte a standardului ISO/IEC 17021, inclusiv competenţa, imparţialitatea şi confidenţialitatea;să se asigure că organismul care furnizează servicii externalizate şi persoanele pe care acesta le utilizează, nu sunt implicate, nici direct nici prin orice alt angajator, în raport cu o organizaţie ce va fi auditată, într-un mod care ar putea compromite imparţialitatea.

7.5.4Organismul de certificare trebuie să aibă un proces pentru aprobarea şi monitorizarea tuturor organismelor care furnizează servicii externalizate utilizate pentru activităţile de certificare şi trebuie să se asigure că sunt menţinute înregistrări referitoare la competenţa întregului personal implicat în activităţile de certificare.

NOTA 1 - Pentru paragrafele de la 7.5.1 până la 7.5.4, atunci când organismul de certificare angajează persoane fizice sau angajaţi ai altor organizaţii pentru a furniza resurse suplimentare sau expertiză, angajarea acestor persoane nu constituie externalizare, cu condiţia să fie contractate individual pentru a acţiona în cadrul sistemului de management al organismului de certificare (a se vedea 7.3).

NOTA 2 - Pentru paragrafele de la 7.5.1 până la 7.5.4, termenii “externalizare” şi “subcontractare” sunt consideraţi sinonimi.

8Cerinţe referitoare la informaţii8.1 Informaţii accesibile publicului8.1.1Organismul de certificare trebuie să menţină (prin intermediul publicaţiilor, mijloacelor

electronice sau altor mijloace) şi să facă publice, fără a fi cerute, în toate zonele geografice în care acţionează, informaţii despre:

a) procesele de audit;b) procesele de acordare, refuz, menţinere, reînnoire, suspendare, ridicarea a suspendării,

retragere a certificării sau extindere ori reducere a domeniului certificării;c) tipurile de sisteme de management şi schemele de certificare cu care operează;d) utilizarea numelui organismului de certificare şi a mărcii de certificare sau a logo-ului;e) procesele de tratare a solicitărilor de informaţii, a reclamaţiilor şi apelurilor;f) politica referitoare la imparţialitate.

8.1.2Organismul de certificare trebuie să furnizeze la cerere informaţii despre:a) zonele geografice în care operează;b) statutul unei anumite certificări;c) numele, documentul normativ de referinţă, domeniul şi locaţia geografică (oraş şi ţară)



Denumire OEC


implementarea?



pentru un anumit client certificat.NOTA 1 - În cazuri excepţionale, accesul la anumite informaţii poate fi limitat la cererea

clientului (de exemplu din motive de securitate).NOTA 2 - Organismul de certificare poate, de asemenea, să facă publice informaţiile de la

8.1.2 prin orice mijloace alege, fără a fi cerute, de exemplu pe website-ul său.8.1.3Organismul de certificare trebuie să furnizeze clientului certificat, prin orice mijloace pe

care le alege, documente de certificare.8.2Documente de certificare8.2.1Organismul de certificare trebuie să furnizeze clientului certificat prin orice mijloace pe

care le alege, documente de certificare,.8.2.2

Documentul (documentele) de certificare trebuie să identifice următoarele:a) numele şi localizarea geografică a fiecărui client certificat (sau localizarea geografică a

sediului central şi a oricăror locaţii din domeniul unei certificări în locaţii multiple);

b) data efectivă a acordării, extinderii, reducerii domeniului certificării sau a reînnoirii certificării, care nu trebuie să fie anterioară datei la care s-a luat decizia relevantă de certificare;

NOTĂ - Organismul de certificare poate păstra data de certificare originală pe certificat atunci când un certificat îşi pierde valabilitatea pentru o perioadă de timp cu condiţia ca:data de începere şi de expirare a ciclului curent de certificare să fie clar indicate;

data de expirare a ultimului ciclu de certificare să fie indicată împreună cu data auditului de recertificare.

c) data expirării sau data prevăzută pentru recertificare, în concordanţă cu ciclul de recertificare;

d) un cod unic de identificare;e) standardul sistemului de management şi/sau alt document normativ, inclusiv indicarea

stadiului ediţiei (de exemplu data sau numărul reviziei) utilizate pentru auditul clientului certificat;

f) domeniul certificării în funcţie de tipul de activităţi, produse şi servicii, după cum este aplicabil fiecărei locaţii, fără inducere în eroare sau ambiguităţi;

g) numele, adresa şi marca de certificare a organismului de certificare; pot fi utilizate şi alte mărci (de exemplu simbolul de acreditare, logo-ul clientului), cu condiţia ca acestea să nu inducă în eroare şi să fie ambigue;



Denumire OEC


implementarea?



h) orice altă informaţie cerută de standardul şi/sau alt document normativ utilizat pentru certificare;

i) în cazul emiterii unor documente de certificare revizuite, un mijloc de a distinge documentele revizuite de orice alte documente anterioare, perimate.

8.3Referirea la certificare şi utilizarea mărcilor8.3.1Un organism de certificare trebuie să aibă reguli care reglementează orice marcă de

certificare a sistemului de management pentru utilizarea căreia şi-a autorizat clienţii certificaţi. Aceste reguli trebuie să asigure, printre altele, trasabilitatea către organismul de certificare. Nu trebuie să fie nicio ambiguitate, în marcă sau în textul de însoţire, cu privire la ce a fost certificat şi care organism de certificare a acordat certificarea. Această marcă nu trebuie utilizată pe un produs, nici pe un ambalaj de produs, nici în orice alt mod care ar putea fi interpretat ca o indicare a conformităţii produsului.

NOTĂ - ISO/IEC 17030 furnizează informaţii suplimentare pentru utilizarea mărcilor de terţă parte.

8.3.2Un organism de certificare nu trebuie să permită ca mărcile sale să fie aplicate de clienţii certificaţi pe rapoartele sau certificatele laboratoarelor de încercări, de etalonare sau inspecţie.

8.3.3Un organism de certificare trebuie să dispună de reguli care să reglementeze utilizarea oricărei declaraţii pe ambalajul produsului sau în informaţiile însoţitoare, conform căreia clientul certificat are un sistem de management certificat. Ambalajul unui produs este considerat ceea ce poate fi îndepărtat fără ca produsul să se dezintegreze sau să fie deteriorat. Informaţiile de însoţire sunt considerate ca disponibile separat sau uşor detaşabile. Etichetele tipărite sau plăcuţele de identificare sunt considerate ca parte a produsului. Declaraţia nu trebuie să sugereze în niciun fel prin aceste mijloace că produsul, procesul sau serviciul este certificat. Declaraţia trebuie să includă referiri la:

- identificarea clientului certificat (de exemplu brandul sau numele);- tipul de sistem de management (de exemplu calitate, mediu) şi standardul aplicabil;- organismul de certificare care a emis certificatul.

8.3.4Organismul de certificare trebuie să solicite clientului certificat, prin intermediul acordurilor juridice legale:

a) să se conformeze cerinţelor organismului de certificare atunci când se referă la statutul certificării în mijloacele de comunicare cum ar fi internet, broşuri, reclame sau



Denumire OEC


implementarea?



alte documente;b) să nu facă sau să nu permită declaraţii care să inducă în eroare referitoare la

certificarea sa;c) să nu utilizeze sau să nu permită utilizarea unui document de certificare sau a unei părţi

a acestuia într-un mod care poate induce în eroare;d) după retragerea certificării, să înceteze utilizarea tuturor materialelor publicitare care

conţin o referire la certificare, aşa cum este impus de organismul de certificare (a se vedea 9.6.5);

e) să modifice toate materialele publicitare atunci când domeniul de certificare a fost restrâns;

f) să nu permită ca referirea la certificarea sistemului său de management să fie utilizată într-un mod care să sugereze că organismul de certificare certifică un produs (inclusiv serviciu) sau proces;

g) să nu sugereze că certificarea se aplică şi activităţilor şi locaţiilor din afara domeniului de certificare;

h) să nu utilizeze certificarea într-un mod care ar putea aduce organismului de certificare şi/sau sistemului de certificare prejudicii şi pierderea încrederii publice.

8.3.5Organismul de certificare trebuie să exercite un control adecvat asupra dreptului de proprietate şi să întreprindă măsuri în cazul referirilor incorecte la statutul certificării sau în cazul utilizării care induce în eroare a documentelor de certificare, mărcilor sau rapoartelor de audit.

NOTĂ - O asemenea acţiune ar putea include solicitări pentru corecţie şi acţiune corectivă, suspendarea, retragerea certificării, publicarea abaterii şi, dacă este necesar, o acţiune juridică.

8.4Confidenţialitate8.4.1Organismul de certificare trebuie să fie responsabil, prin intermediul acordurilor juridice

legale, pentru managementul tuturor informaţiilor obţinute sau create în cursul activităţilor de certificare la toate nivelurile structurii sale, inclusiv comitete şi organisme sau persoane din exterior care acţionează în numele său.

8.4.2Organismul de certificare trebuie să-şi informeze clientul, în avans, referitor la informaţiile pe care intenţionează să le facă publice. Toate celelalte informaţii, exceptând cele făcute publice de către client, trebuie să fie considerate confidenţiale

8.4.3Cu excepţia celor cerute în această parte a ISO/IEC 17021, informaţiile referitoare la un anumit client sau persoană certificate nu trebuie divulgate unei terţe părţi fără consimţământul scris al clientului certificat sau persoanei respective.

8.4.4Atunci când organismul de certificare este obligat prin lege sau prin aranjamente



Denumire OEC


implementarea?



contractuale (cum ar fi cu organismul de acreditare) să transmită informaţii confidenţiale, clientul sau persoana respectivă trebuie notificată cu privire la informaţia furnizată, cu excepţia cazului în care este interzis prin lege.

8.4.5Informaţiile despre client din alte surse decât clientul (de exemplu reclamanţi, autorităţi de reglementare) trebuie tratate ca fiind confidenţiale, conform politicii organismului de certificare

8.4.6Personalul, inclusiv membrii comitetelor, contractorii, personalul organismelor externe sau persoane care acţionează în numele organismului de certificare, trebuie să păstreze confidenţialitatea tuturor informaţiilor obţinute sau create în cursul activităţilor organismului de certificare, cu excepţia celor cerute prin lege.

8.4.7Organismul de certificare trebuie să aibă procese şi, atunci când este aplicabil, echipamente şi facilităţi pentru a asigura manipularea sigură a informaţiilor confidenţiale

8.5Schimb de informaţii între un organism de certificare şi clienţii săi8.5.1Informaţii referitoare la activitatea şi cerinţele de certificare

Organismul de certificare trebuie să furnizeze clienţilor informaţii actualizate referitoare la:a) o descriere detaliată a activităţii de certificare iniţială şi de menţinere,

inclusiv solicitarea, audituri iniţiale, audituri de supraveghere, precum şi procesul de acordare, menţinere, restrângere, extindere, suspendare, retragere a certificării şi de recertificare;

b) cerinţele normative referitoare la certificare;c) informaţii referitoare la tarifele corespunzătoare solicitării, certificării

iniţiale şi menţinerii certificării;d) cerinţele organismului de certificare pentru clienţii potenţiali:

1) să îndeplinească cerinţele de certificare,2) să ia toate măsurile necesare pentru desfăşurarea auditurilor,

inclusiv prevederi pentru examinarea documentaţiei şi accesul la toate procesele şi zonele, înregistrările şi personalul, în scopurile certificării iniţiale, supravegherii, recertificării şi rezolvării reclamaţiilor şi

3) să aibă prevederi, dacă este cazul, pentru acceptarea prezenţei observatorilor (de exemplu evaluatori de acreditare sau auditori în curs de formare);

e) documente care descriu drepturile şi obligaţiile clienţilor certificaţi, inclusiv cerinţele referitoare la modul de referire la certificare în comunicările de orice tip, conform cerinţelor de la 8.4;

f) informaţii referitoare la procedurile de tratare a reclamaţiilor şi apelurilor.



Denumire OEC


implementarea?



g)8.5.2Notificarea modificărilor de către un organism de certificare

Organismul de certificare trebuie să notifice în mod adecvat orice modificare a cerinţelor sale de certificare, către clienţii săi certificaţi. Organismul de certificare trebuie să verifice că fiecare client certificat îndeplineşte noile cerinţe.

8.6.3Notificarea modificărilor de către un clientOrganismul de certificare trebuie să aibă acorduri juridice legale, pentru a se asigura că

este informat, fără întârziere, de către clientul certificat, referitor la aspectele care pot afecta capabilitatea sistemului de management de a continua să îndeplinească cerinţele standardului utilizat pentru certificare. Acestea, includ de exemplu, modificări referitoare la:a) statutul legal, comercial, organizaţional sau proprietatea,b) organizare şi management (de exemplu personal - cheie de

management, de decizie sau personal tehnic),c) adresă de contact şi locaţii,d) domeniul operaţiunilor din cadrul sistemului de management certificat şie) modificări majore aduse sistemului de management şi proceselor.

9 erinţe referitoare la proces9.1Activităţi pre-certificare9.1.1Solicitare

Organismul de certificare trebuie să solicite unui reprezentant autorizat al organizaţiei solicitante să furnizeze informaţiile necesare pentru a îi permite să stabilească următoarele:

a) domeniul de aplicare al certificării dorite;b) detalii relevante despre organizaţia solicitantă, aşa cum sunt cerute de schema

specifică de certificare, inclusiv numele şi adresa (adresele) locaţiei (locaţiilor), procesele şi operaţiunile sale, resursele umane şi tehnice, funcţiile, relaţiile şi orice obligaţii legale relevante;

c) identificarea proceselor externalizate utilizate de organizaţie care vor influenţa conformitatea cu cerinţele;

d) standardele sau alte cerinţe faţă de care organizaţia solicitantă doreşte certificarea;e) dacă a fost furnizată consultanţă referitoare la sistemul de management care va fi

certificat şi, dacă da, de către cine.9.1.2Analiza solicitării 9.1.2.1Organismul de certificare trebuie să efectueze o analiză a solicitării şi a informaţiilor



Denumire OEC


implementarea?



suplimentare pentru certificare, pentru a se asigura că:a) informaţiile despre organizaţia solicitantă şi sistemul său de management sunt

suficiente pentru a dezvolta un program de audit (a se vedea 9.1.3);b) este rezolvată orice diferenţă cunoscută de înţelegere, între organismul de certificare şi

organizaţia solicitantă;c) organismul de certificare are competenţa şi capabilitatea de a efectua activitatea de

certificare;d) sunt luate în considerare domeniul de aplicare vizat al certificării, locaţia (locaţiile)

operaţiunilor organizaţiei solicitante, timpul necesar pentru finalizarea auditurilor şi orice alte elemente care influenţează activitatea de certificare (limbă, condiţii de securitate, ameninţări asupra imparţialităţii, etc.).

9.1.2.2După analiza solicitării, organismul de certificare trebuie fie să accepte fie să refuze o solicitare de certificare. Atunci când organismul de certificare refuză o solicitare de certificare ca rezultat al analizei solicitării, motivele pentru refuzul solicitării trebuie documentate şi trebuie să fie clarificate clientului.

9.1.2.3Pe baza acestei analize, organismul de certificare trebuie să determine competenţele pe care este necesar să le includă în echipa sa de audit şi pentru decizia de certificare.

9.1.3Program de audit9.1.3.1Trebuie elaborat un program de audit pentru întregul ciclu de certificare, cu scopul de a

identifica în mod clar activitatea/activităţile de audit necesare pentru a demonstra că sistemul de management al clientului îndeplineşte cerinţele pentru certificarea faţă de standardul (standardele) sau alt document normativ (alte documente normative) selectate. Programul de audit pentru ciclul de certificare trebuie să acopere toate cerinţele sistemului de management.

9.1.3.2Programul de audit pentru certificarea iniţială trebuie să includă un audit iniţial în două etape, audituri de supraveghere în primul şi al doilea an după decizia de certificare şi un audit de recertificare în cel de-al treilea an, înainte de expirarea certificării. Primul ciclu de certificare de trei ani începe cu decizia de certificare. Ciclurile următoare încep cu decizia de recertificare (a se vedea 9.6.3.2.3).

Stabilirea programului de audit şi orice modificări ulterioare trebuie să ia în considerare mărimea organizaţiei clientului, domeniul de aplicare şi complexitatea sistemului său de management, produsele şi procesele, precum şi nivelul demonstrat de eficacitate a sistemului de management şi rezultatele oricăror audituri precedente.

NOTA 1 - Anexa E prezintă o diagrama a unui proces tipic de audit şi certificare.



Denumire OEC


implementarea?



NOTA 2 - Lista de mai jos conţine elemente suplimentare care pot fi luate în considerare atunci când se elaborează sau se revizuieşte un program de audit, poate fi de asemenea necesar ca aceste elemente să fie luate în considerare atunci când se determină domeniul de audit şi se elaborează planul de audit:

- reclamaţiile primite de organismul de certificare referitoare la client;- auditul combinat, integrat sau în comun;- modificările cerinţelor de certificare;- modificările cerinţelor legale;- modificările cerinţelor de acreditare;- date de performanţă organizaţională (de exemplu niveluri de defectări, date referitoare

la indicatori cheie de performanţă);- preocupări ale părţilor interesate relevante.NOTA 3 - Dacă o schemă de certificare specifică unui sector industrial precizează astfel,

ciclul de certificare poate diferi de trei ani.9.1.3.3Auditurile de supraveghere trebuie efectuate cel puţin o dată într-un an calendaristic, cu

excepţia anilor de recertificare. Data primul audit de supraveghere după certificarea iniţială nu trebuie să fie la mai mult de 12 luni de la data luării deciziei de certificare.

NOTĂ - Poate fi necesară ajustarea frecvenţei auditurilor de supraveghere pentru a ţine cont de factori ca activităţile sezoniere sau certificarea cu o durată limitată a sistemelor de management (de exemplu pentru locaţii temporare în construcţii).

9.1.3.4Atunci când un organism de certificare ia în considerare certificarea deja acordată clientului şi audituri efectuate de alt organism de certificare, el trebuie să obţină şi să păstreze dovezi suficiente referitoare la neconformităţi, cum ar fi rapoarte şi documentaţii referitoare la acţiunile corective. Documentaţia trebuie să îndeplinească cerinţele din această parte a standardului ISO/IEC 17021. Organismul de certificare trebuie, pe baza informaţiilor obţinute, să justifice şi să înregistreze orice ajustări ale programului de audit existent şi să urmărească implementarea acţiunilor corective referitoare la neconformităţile anterioare.

9.1.3.5Acolo unde clientul lucrează în schimburi, trebuie luate în considerare activităţile desfăşurate în schimburi atunci când se elaborează programul de audit şi planurile de audit.

9.1.4Determinarea duratei auditului9.1.4.1Organismul de certificare trebuie să aibă proceduri documentate pentru determinarea

duratei auditului. Pentru fiecare client organismul de certificare trebuie să



Denumire OEC


implementarea?



determine timpul necesar planificării şi realizării unui audit complet şi eficace al sistemului de management al clientului.

9.1.4.2La determinarea duratei auditului, organismul de certificare trebuie să ţină cont, printre altele, de următoarele aspecte:

a) cerinţele standardului relevant pentru sistemul de management;b) complexitatea clientului şi sistemul său de management;c) contextul tehnologic şi reglementat;d) orice externalizare a oricăror activităţi incluse în domeniul sistemului de management;e) rezultatele oricăror audituri anterioare;f) mărimea şi numărul locaţiilor, situarea lor geografică şi specificităţile locaţiilor multiple;g) riscurile asociate produselor, proceselor sau activităţilor organizaţiei;h) dacă auditurile sunt combinate, în comun sau integrate.NOTA 1 - Timpul petrecut pentru deplasarea către şi de la locaţiile auditate nu este inclus

în calculul duratei zilelor de audit al sistemului de management.NOTA 2 - Atunci când documentează aceste proceduri, pentru determinarea duratei

auditului, organismul de certificare poate utiliza liniile directoare descrise în ISO/IEC TS 17023.

Atunci când au fost stabilite criterii specifice pentru o anumită schemă de certificare, de exemplu ISO/TS 22003 sau ISO/IEC 27006, acestea trebuie aplicate.

9.1.4.3Durata auditului unui sistem de management şi justificarea sa trebuie înregistrate.9.1.4.4Timpul consumat de orice membru al echipei care nu este numit ca auditor (adică experţi

tehnici, traducători, interpreţi, observatori şi auditori în formare) nu trebuie cuantificat în durata auditului sistemului de management, determinată mai sus.

NOTĂ - Utilizarea traducătorilor şi interpreţilor poate necesita un timp suplimentar.9.1.5Eşantionarea locaţiilor multiple

Atunci când se utilizează eşantionarea locaţiilor multiple pentru a audita sistemul de management al unui client care desfăşoară aceeaşi activitate în mai multe locaţii, organismul de certificare trebuie să elaboreze un program de eşantionare pentru a asigura un audit corect al sistemului de management. Fundamentarea planului de eşantionare trebuie documentată pentru fiecare client. Eşantionarea nu este permisă pentru unele scheme specifice de certificare şi, atunci când au fost stabilite criterii specifice pentru o schemă specifică de certificare, de exemplu ISO/TS 22003, acestea trebuie aplicate.

NOTĂ – Atunci când în locaţiile multiple nu se desfăşoară aceeaşi activitate, eşantionarea nu este adecvată.

9.1.6Standarde de sisteme de management multiple



Denumire OEC


implementarea?



Atunci când organismul de certificare furnizează certificarea conform mai multor standarde de sistem de management, planificarea auditului trebuie să asigure un audit adecvat la faţa locului astfel încât să se furnizeze încredere în certificare.

9.2Planificarea auditurilor9.2.1Determinarea obiectivelor, domeniului şi criteriilor de audit

9.2.1.1Obiectivele auditului trebuie determinate de organismul de certificare. Domeniul şi criteriile de audit, inclusiv orice modificări, trebuie stabilite de organismul de certificare după discuţii cu clientul.

9.2.1.2Obiectivele auditului trebuie să descrie ce se va obţine prin audit şi trebuie să includă următoarele:

a) determinarea conformităţii sistemului de management al clientului, sau a unor părţi din acesta, cu criteriile de audit;

b) determinarea capabilităţii sistemului de management de a se asigura că organizaţia clientului îndeplineşte cerinţele legale, reglementate şi contractuale aplicabile;

NOTĂ - Auditul de certificare a unui sistem de management nu este audit de conformare cu legislaţia.

c) determinarea eficacităţii sistemului de management de a asigura clientul că se poate aştepta, în mod rezonabil, să îşi îndeplinească obiectivele specificate;

d) după cum este cazul, identificarea zonelor de îmbunătăţire potenţială a sistemului de management

9.2.1.3Domeniul auditului trebuie să descrie amploarea şi limitele auditului, cum ar fi locaţiile fizice, unităţile organizaţionale, activităţile şi procesele care vor fi auditate. Atunci când procesul iniţial sau de recertificare constă din mai mult de un singur audit (de exemplu când se acoperă mai multe locaţii), domeniul unui audit individual poate să nu acopere întregul domeniu de certificare, dar în totalitatea lor, auditurile trebuie să fie consecvente cu domeniul din documentul de certificare.

9.2.1.4Criteriile de audit trebuie utilizate ca o referinţă faţă de care se determină conformitatea şi trebuie să includă:

- cerinţele dintr-un document normativ definit referitor la sisteme de management;- procesele definite şi documentaţia sistemului de management elaborată de client.

9.2.2Selectarea şi desemnarea echipei de audit9.2.2.1 Generalităţi9.2.2.1.1Organismul de certificare trebuie să aibă un proces pentru selectarea şi desemnarea

echipei de audit, inclusiv a conducătorului echipei de audit şi a experţilor



Denumire OEC


implementarea?



tehnici, după cum este necesar, ţinând cont de competenţele necesare pentru realizarea obiectivelor auditului şi de cerinţele referitoare la imparţialitate. În cazul în care este vorba de un singur auditor, auditorul trebuie să aibă competenţa să realizeze sarcinile unui conducător al echipei de audit, aplicabile acelui audit. Echipa de audit trebuie să aibă toate competenţele pentru audit identificate de organismul de certificare aşa cum sunt stabilite la 9.1.2.3.

9.2.2.1.2Organismul de certificare trebuie să aibă un proces pentru selectarea şi desemnarea echipei de audit, inclusiv a conducătorului echipei de audit şi a experţilor tehnici, după cum este necesar, ţinând cont de competenţele necesare pentru realizarea obiectivelor auditului şi de cerinţele referitoare la imparţialitate. În cazul în care este vorba de un singur auditor, auditorul trebuie să aibă competenţa să realizeze sarcinile unui conducător al echipei de audit, aplicabile acelui audit. Echipa de audit trebuie să aibă toate competenţele pentru audit identificate de organismul de certificare aşa cum sunt stabilite la 9.1.2.3.

9.2.2.1.3Cunoştinţele şi abilităţile necesare pentru conducătorul echipei de audit şi pentru auditori pot fi suplimentate de experţi tehnici, traducători şi interpreţi, care trebuie să acţioneze sub conducerea unui auditor. Atunci când sunt utilizaţi traducători şi interpreţi, aceştia trebuie selecţionaţi astfel încât să nu influenţeze nejustificat auditul.

NOTĂ - Criteriile pentru selectarea experţilor tehnici sunt determinate de la caz la caz de nevoile echipei de audit şi de domeniul auditului.

9.2.2.1.4Auditorii în formare pot participa la audit, cu condiţia să fie numit un auditor ca evaluator. Evaluatorul trebuie să fie competent să preia sarcinile şi are responsabilitatea finală pentru activităţile şi constatările auditorului în formare.

9.2.2.1.5Conducătorul echipei de audit, prin consultare cu echipa de audit, trebuie să atribuie fiecărui membru al echipei responsabilitatea pentru auditarea anumitor procese, funcţii, locaţii, zone sau activităţi. Aceste atribuiri trebuie să ia în considerare nevoia de competenţă şi utilizarea eficace şi eficientă a echipei de audit, precum şi rolurile şi responsabilităţile diferite ale auditorilor, auditorilor în formare şi experţilor tehnici. Pot fi făcute modificări în atribuirea sarcinilor pe măsură ce auditul se desfăşoară, pentru a asigura realizarea obiectivelor auditului.



Denumire OEC


implementarea?



9.2.2.2Observatori, experţi tehnici şi ghizi9.2.2.2.1Observatori

Prezenţa şi justificarea observatorilor pe parcursul unei activităţi de auditare trebuie agreate între organismul de certificare şi client înainte de efectuarea auditului. Echipa de audit trebuie să se asigure că observatorii nu influenţează sau nu intervin nejustificat în procesul de audit sau rezultatele auditului.

NOTĂ - Observatorii pot fi membri ai organizaţiei clientului, consultanţi, personal de însoţire din partea organismului de acreditare, autorităţi sau alte persoane a căror prezenţă este justificată.

9.2.2.2.2Experţi tehniciRolul experţilor tehnici în timpul activităţii de audit trebuie să fie agreat între organismul de

certificare şi client înainte de efectuarea auditului. Un expert tehnic nu trebuie să acţioneze ca un auditor în cadrul echipei de audit. Experţii tehnici trebuie să fie însoţiţi de un auditor.

NOTĂ - Experţii tehnici pot furniza sfaturi echipei de audit pentru pregătire, planificare sau auditare.

9.2.2.2.3Fiecare auditor trebuie însoţit de un ghid, cu excepţia cazului în care s-a convenit altfel

între conducătorul echipei de audit şi client. Ghidul (ghizii) sunt desemnaţi echipei de audit pentru a facilita auditul. Echipa de audit trebuie să se asigure că ghizii nu influenţează sau nu intervin în procesul de audit sau rezultatele auditului.

NOTA 1 - Responsabilităţile unui ghid pot include:a) stabilirea contactelor şi a programării interviurilor;b) organizarea vizitelor în anumite părţi specifice ale locaţiei sau ale organizaţiei;c) asigurarea că regulile referitoare la siguranţa în locaţie şi procedurile de securitate sunt

cunoscute şi respectate de membrii echipei de audit;d) participarea ca martor la audit în numele clientului;e) furnizarea de clarificări sau informaţii la cererea unui auditor.

NOTA 2 - Dacă este adecvat, auditatul poate acţiona şi ca ghid9.2.3Plan de audit



Denumire OEC


implementarea?



9.2.3.1GeneralităţiOrganismul de certificare trebuie să se asigure că este stabilit un plan de audit înainte de

fiecare audit identificat în programul de audit, care să stea la baza acordului referitor la efectuarea şi programarea activităţilor de audit.

NOTĂ - Nu este de aşteptat ca organismul de certificare să elaboreze un plan de audit pentru fiecare audit atunci când elaborează programul de audit.

9.2.3.2Pregătirea planului de audit

Planul de audit trebuie să fie adecvat obiectivelor şi domeniului auditului. Planul de audit trebuie să includă cel puţin următoarele elemente sau să facă referire la acestea:

a) obiectivele auditului;b) criteriile auditului;c) domeniul auditului, inclusiv identificarea unităţilor organizaţionale şi funcţionale sau a

proceselor care vor fi auditate;d) datele calendaristice şi locaţiile unde se vor efectua activităţile de audit la faţa locului,

inclusiv vizitele în locaţiile temporare şi activităţile de audit la distanţă, atunci când este cazul;

e) duratele prevăzute pentru activităţile de audit la faţa locului;f) rolurile şi responsabilităţile membrilor echipei de audit şi ale persoanelor care îi

însoţesc, ca observatori sau interpreţi.

NOTĂ - Informaţiile din planul de audit pot fi incluse în mai mult de un singur document.9.2.3.3Comunicarea sarcinilor echipei de audit

Sarcinile atribuite echipei de audit trebuie definite şi trebuie să solicite echipei de audit:a) să examineze şi să verifice structura, politicile, procesele, procedurile, înregistrările şi

documentele asociate ale clientului relevante pentru standardul de sistem de management;

b) să determine dacă acestea îndeplinesc toate cerinţele relevante domeniului de aplicare intenţionat al certificării;

c) să determine dacă procesele şi procedurile sunt stabilite, implementate şi menţinute în mod eficace pentru a furniza încredere în sistemul de management al clientului;

d) să comunice clientului, pentru a întreprinde acţiuni, orice neconcordanţe dintre politica, obiectivele şi ţintele acestuia.



Denumire OEC


implementarea?



9.2.3.4Comunicarea planului de audit

Planul de audit trebuie comunicat şi datele de audit trebuie agreate, în prealabil, cu clientul.

9.2.3.5Comunicarea referitoare la membrii echipei de audit

Organismul de certificare trebuie să furnizeze numele şi, la cerere, să pună la dispoziţie referinţe despre fiecare membru al echipei de audit, cu suficient timp înainte pentru a permite clientului să obiecteze împotriva desemnării oricărui membru al echipei de audit şi organismului de certificare să reconstituie echipa, ca răspuns la orice obiecţie întemeiată.

9.3Certificarea iniţială9.3.1Audit de certificare iniţială9.3.1.1GeneralităţiAuditul de certificare iniţială al unui sistem de management trebuie efectuat în doua etape:

etapa 1 şi etapa 2.9.3.1.29.3.1.2.1Planificarea trebuie să asigure că obiectivele etapei 1 pot fi realizate şi clientul trebuie

informat despre orice activităţi „în locaţie” din timpul etapei 1.

NOTĂ - Pentru etapa 1 nu trebuie elaborat un plan de audit oficial (a se vedea 9.2.3).9.3.1.2.2Obiectivele etapei 1 sunt:

a) analizarea informaţiilor documentate ale sistemului de management al clientului;

b) evaluarea condiţiilor specifice locaţiei clientului şi derularea discuţiilor cu personalul clientului pentru a determina nivelul de pregătire pentru etapa 2;

c) analizarea situaţiei clientului şi a înţelegerii de către client a cerinţelor standardului, în particular cu privire la identificarea performanţelor cheie sau a aspectelor, proceselor, obiectivelor şi operaţiunilor semnificative ale sistemului de management;

d) obţinerea informaţiilor necesare referitoare la domeniul sistemului de management, inclusiv:



Denumire OEC


implementarea?



- locaţia (locaţiile) clientului;

- procesele şi echipamentele utilizate;- nivelurile de control stabilite (în special în cazul clienţilor cu locaţii multiple);

- cerinţele legale şi de reglementare aplicabile;

e) analizarea alocării resurselor pentru etapa 2 şi agrearea cu clientul a detaliilor etapei 2;

f) concentrarea pe planificarea etapei 2 prin obţinerea unei înţelegeri suficiente a sistemului de management al clientului şi a activităţilor de la faţa locului în contextul standardului de sistem de management sau a altui document normativ;

g) evaluarea dacă auditurile interne şi analizele efectuate de management sunt planificate şi efectuate, şi dacă nivelul de implementare al sistemului de management demonstrează faptul că clientul este pregătit pentru etapa 2.

NOTĂ - Dacă cel puţin o parte din etapa 1 este efectuată la sediul clientului, aceasta poate ajuta la atingerea obiectivelor menţionate mai sus.

9.3.1.2.3Concluziile documentate referitoare la îndeplinirea obiectivelor etapei 1 şi pregătirea pentru etapa 2 trebuie comunicate clientului, inclusiv identificarea oricăror probleme care ar putea fi clasificate ca neconformitate în timpul etapei 2.

NOTĂ – Nu este necesar ca rezultatul etapei 1 să respecte complet cerinţele unui raport (a se vedea 9.4.8).

9.3.1.2.4Pentru determinarea intervalului dintre etapa 1 şi etapa 2, trebuie să fie luate în considerare necesităţile clientului de a rezolva problemele identificate în timpul etapei 1. Poate fi de asemenea necesar ca organismul de certificare să-şi revizuiască aranjamentele pentru etapa 2. Dacă apar schimbări semnificative care pot avea impact asupra sistemului de management, organismul de certificare trebuie să ia în considerare necesitatea repetării etapei 1, în totalitate sau parţial. Clientul trebuie informat că rezultatele etapei 1 pot conduce la amânarea sau anularea etapei 2.

9.3.1.3



Denumire OEC


implementarea?



Scopul etapei 2 este evaluarea implementării, inclusiv a eficacităţii sistemului de management al clientului. Etapa 2 trebuie să aibă loc în locaţia (locaţiile) clientului. Trebuie să includă cel puţin auditarea următoarelor:

a) informaţii şi dovezi referitoare la conformitatea cu toate cerinţele standardului aplicabil de sistem de management sau altui document normativ;

b) monitorizarea, măsurarea, raportarea şi analizarea performanţelor în raport cu obiectivele cheie şi ţintele de performanţă (în concordanţă cu aşteptările din standardul aplicabil de sistem de management sau alt document normativ);

c) capacitatea sistemului de management al clientului şi performanţa sa în ceea ce priveşte îndeplinirea cerinţelor legale, de reglementare şi contractuale aplicabile;

d) controlul operaţional al proceselor clientului;

e) auditarea internă şi analiza efectuată de management;

f) responsabilitatea managementului pentru politicile clientului.9.3.1.4Concluziile auditului de certificare iniţială

Echipa de audit trebuie să analizeze toate informaţiile şi dovezile de audit colectate în timpul etapei 1 şi etapei 2, să analizeze constatările auditului şi să convină asupra concluziilor auditului.

9.4Efectuarea auditurilor

9.4.1GeneralităţiOrganismul de certificare trebuie să aibă un proces pentru efectuarea auditurilor la faţa

locului. Acest proces trebuie să includă o şedinţă de deschidere la începutul auditului şi o şedinţă de închidere la finalizarea auditului.

În cazul în care orice parte a auditului este efectuată prin mijloace electronice sau locaţia de auditat este virtuală, organismul de certificare trebuie să se asigure că astfel de activităţi sunt realizate de personal cu competenţe adecvate. Dovezile obţinute în timpul unui astfel de audit trebuie să fie suficiente pentru a permite auditorului să ia o decizie informată cu privire la conformitatea cu



Denumire OEC


implementarea?



cerinţa respectivă.

NOTĂ - Auditurile „la faţa locului” pot include accesul de la distanta la site-ul(urile) electronic(e) care conţin(e) informaţii care sunt relevante pentru auditul sistemului de management. Ar trebui luată de asemenea în considerare utilizarea mijloacelor electronice pentru realizarea auditurilor.

9.4.2Conducerea şedinţei de deschidereO şedinţă oficială de deschidere trebuie ţinută cu managementul clientului şi, atunci când

este cazul, cu cei responsabili cu funcţiile sau procesele care vor fi auditate. Scopul şedinţei de deschidere, condusă de obicei de conducătorul echipei de audit, este de furniza o scurta descriere a modului în care se vor desfăşura activităţile de audit. Gradul de detaliere trebuie să fie în concordanţă cu gradul de familiarizare a clientului cu procesul de auditare şi trebuie sa ia în considerare următoarele:

a) prezentarea participanţilor, inclusiv o subliniere a rolurilor acestora;

b) confirmarea domeniului certificării;

c) confirmarea planului de audit (inclusiv tipul şi domeniul auditului, obiectivele şi criteriile), orice modificări, alte aranjamente relevante cu clientul, precum şi data şi ora şedinţei de închidere, şedinţelor intermediare între echipa de audit şi managementul clientului;

a) confirmarea canalelor oficiale de comunicare între echipa de audit şi client;+

e) confirmarea disponibilităţii resurselor si facilitaţilor necesare echipei de audit;

f) confirmarea aspectelor legate de confidenţialitate;

g) confirmarea procedurilor de securitatea muncii, de urgenţă şi de siguranţă relevante pentru echipa de audit;

h) confirmarea disponibilităţii, rolurilor si identităţii oricăror ghizi şi observatori;

i) metoda de raportare, inclusiv orice clasificare a constatărilor auditului;

j) informaţii despre condiţiile in care auditul poate fi încheiat prematur;RENAR Cod: F05-6- PR-14 Ediția din 28.08.2017 Pag 30 / 52


Denumire OEC


implementarea?



k) confirmarea că echipa de audit si conducătorul acesteia, reprezentând organismul de certificare, sunt responsabili pentru audit şi trebuie să ţină sub control derularea planului de audit, inclusiv activităţile de audit şi urmările auditului;

l) confirmarea stadiului constatărilor aferente analizelor şi auditurilor anterioare, dacă este cazul;

m) metodele şi procedurile care vor fi utilizate la auditul bazat pe eşantionare;

n) confirmarea limbii care va fi utilizată pe parcursul auditului;

o) confirmarea că, pe parcursul auditului, clientul va fi informat în legătură cu desfăşurarea auditului şi despre orice îngrijorări;

p) oportunitatea pentru client de a pune întrebări.9.4.3Comunicarea pe parcursul auditului9.4.3.1Pe parcursul auditului, echipa de audit trebuie să evalueze periodic progresul auditului şi

să facă schimb de informaţii. Conducătorul echipei de audit trebuie să reatribuie activităţile între membrii echipei de audit după cum este necesar şi trebuie să comunice periodic clientului evoluţia auditului şi orice îngrijorări.

9.4.3.2Atunci când dovezile de audit disponibile indică faptul că obiectivele auditului nu sunt realizabile sau sugerează prezenţa unui risc imediat şi semnificativ (de exemplu pentru securitate), conducătorul echipei de audit trebuie să raporteze aceasta clientului şi, dacă este posibil, organismului de certificare, pentru a determina acţiunile adecvate. Astfel de acţiuni pot include reconfirmarea sau modificarea planului de audit, schimbări ale obiectivelor de audit sau ale domeniului de audit sau oprirea auditului. Conducătorul echipei de audit trebuie să raporteze organismului de certificare rezultatul acţiunilor întreprinse.

9.4.3.3Conducătorul echipei de audit trebuie să analizeze împreuna cu clientul orice necesitate de modificare a domeniului de audit care intervine pe măsură ce activităţile de auditare la faţa locului progresează, şi trebuie să raporteze aceasta organismului de certificare

9.4.4Obţinerea şi verificarea informaţiilor9.4.4.1Pe parcursul auditului informaţiile relevante pentru obiectivele, domeniul şi criteriile



Denumire OEC


implementarea?



auditului (inclusiv informaţiile referitoare la interfeţele dintre funcţii, activităţi şi procese) trebuie colectate prin eşantionare corespunzătoare şi trebuie verificate pentru a deveni dovezi de audit.

9.4.4.2Metodele de obţinere a informaţiilor trebuie să includă, dar nu se limitează la:

a) interviuri;

b) observarea proceselor şi activităţilor;

c) analizarea documentaţiei şi a înregistrărilor9.4.5Identificarea şi înregistrarea constatărilor auditului9.4.5.1Constatările auditului care rezumă conformitatea şi detaliază neconformităţile trebuie

identificate, clasificate şi înregistrate pentru a permite luarea unei decizii informate de certificare sau menţinere a certificării

9.4.5.2 Oportunităţile de îmbunătăţire pot fi identificate şi înregistrate, cu excepţia cazului în care este interzis prin cerinţele unei scheme de certificare a unui sistem de management. Totuşi, constatările auditului, care sunt neconformităţi, nu trebuie înregistrate ca oportunităţi de îmbunătăţire.

9.4.5.3O constatare a neconformităţii trebuie înregistrată faţă de o cerinţă specifică, şi trebuie să conţină o declaraţie clară a neconformităţii, identificând în detaliu dovada obiectivă pe care se bazează neconformitatea. Neconformităţile trebuie discutate cu clientul pentru a se asigura că dovada este corectă şi că neconformităţile sunt înţelese. Totuşi, auditorul trebuie să se abţină de la sugerarea cauzei neconformităţilor sau a soluţionării acestora.

9.4.5.4Conducătorul echipei de audit trebuie să încerce să rezolve orice opinii divergente dintre echipa de audit şi client, referitoare la dovezile sau constatările auditului, iar punctele nerezolvate trebuie înregistrate

9.4.6 Pregătirea concluziilor de audit

Sub responsabilitatea conducătorului echipei de audit şi înaintea şedinţei de închidere, echipa de audit trebuie:

a) să analizeze constatările auditului şi orice alte informaţii corespunzătoare colectate pe parcursul auditului, faţă de obiectivele şi criteriile auditului şi să clasifice neconformităţile;



Denumire OEC


implementarea?



b) să convină asupra concluziilor auditului luând în considerare incertitudinea inerentă a procesului de audit;

c) să convină asupra acţiunilor de urmărire necesare;

d) să confirme adecvarea programului de audit sau să identifice orice modificare cerută de viitoarele audituri (de exemplu domeniul, orarul sau datele auditului, frecvenţa supravegherilor, competenţa echipei de audit).

9.4.7Conducerea şedinţei de închidere9.4.7.1O şedinţă oficială de închidere, la care participarea trebuie înregistrata, trebuie ţinută cu

managementul clientului şi, atunci când este cazul, cu cei responsabili pentru funcţiile sau procesele auditate. Scopul şedinţei de închidere, condusă de obicei de conducătorul echipei de audit, este să prezinte concluziile auditului, inclusiv recomandarea referitoare la certificare. Orice neconformitate trebuie prezentată astfel încât să fie înţeleasă iar termenul pentru soluţionare trebuie agreat.

NOTA - „Înţeleasă” nu înseamnă neapărat că neconformitatea a fost acceptată de client.9.4.7.2Şedinţa de închidere, trebuie de asemenea să includă elementele de mai jos, unde gradul

de detaliere trebuie să fie în concordanţă cu gradul de familiarizare a clientului cu procesul de audit:

a) anunţarea clientului că dovezile de audit colectate s-au bazat pe un eşantion de informaţii; ceea ce a introdus un element de incertitudine;

b) metoda şi termenul de raportare, inclusiv orice clasificare a constatărilor auditului;

c) procesul organismului de certificare prin care gestionează neconformităţile inclusiv orice consecinţe referitoare la stadiul certificării clientului;

d) termenul până la care clientul urmează să prezinte un plan de corecţii şi acţiuni corective pentru orice neconformitate identificată în timpul auditului;

e) activităţile post audit ale organismului de certificare;

f) informaţii referitoare la procesele de tratare a reclamaţiilor şi apelurilor.9.4.7.3Clientului trebuie să i se ofere ocazia să pună întrebări. Orice opinii divergente referitoare



Denumire OEC


implementarea?



la rezultatele sau concluziile auditului dintre echipa de audit şi client trebuie discutate şi rezolvate pe cât posibil. Orice opinii divergente care nu au fost rezolvate trebuie înregistrate şi transmise organismului de certificare.

9.4.8Raport de audit9.4.8.1Organismul de certificare trebuie să furnizeze clientului un raport scris pentru fiecare audit.

Echipa de audit poate identifica oportunităţi de îmbunătăţire dar nu trebuie să recomande soluţii specifice. Organismul de certificare trebuie să rămână proprietarul raportului de audit.

9.4.8.2Conducătorul echipei de audit trebuie să asigure că raportul de audit este redactat şi este responsabil pentru conţinutul acestuia. Raportul de audit trebuie să furnizeze o înregistrare corectă, concisă şi clară a auditului pentru a permite luarea unei decizii de certificare informate şi trebuie să conţină sau să facă referire la următoarele:

a) identificarea organismului de certificare;

b) numele şi adresa clientului şi a reprezentantului acestuia;

c) tipul auditului (de exemplu audit iniţial, supraveghere sau recertificare sau audituri speciale);

d) criteriile de audit;

e) obiectivele auditului;

f) domeniul auditului, în special identificarea unităţilor organizaţionale sau funcţionale sau a proceselor auditate şi perioada auditului;

g) orice abatere de la planul de audit şi motivul;

h) orice problemă importantă care are impact asupra programului de audit;

i) identificarea conducătorului echipei de audit, a membrilor echipei de audit, a oricăror persoane care îi însoţesc;

j) datele şi locurile în care s-au realizat activităţile de audit (în locaţie



Denumire OEC


implementarea?



sau în afara locaţiei, locaţii permanente sau temporare);

k) constatările auditului (a se vedea 9.4.5), dovezile şi concluziile auditului, corespunzătoare cerinţelor tipului de audit;

l) dacă de la ultimul audit efectuat există schimbări semnificative care afectează sistemul de management al clientului;

m) orice probleme nerezolvate, dacă au fost identificate;

n) când este cazul, dacă auditul este unul combinat, comun sau integrat;

o) o declaraţie care indică că acel audit a fost bazat pe un proces de eşantionare a informaţiilor disponibile;

p) recomandare din partea echipei de audit;

q) controlul eficient al clientului asupra utilizării documentelor de certificare şi mărcilor, atunci când este aplicabil;

r) verificarea eficacităţii acţiunilor corective luate privind neconformităţile identificate anterior, atunci cand este aplicabil;

9.4.8.3Raportul mai trebuie să conţină:

a) o declaraţie asupra conformităţii şi eficacităţii sistemului de management precum şi o concluzie generală a dovezilor privitoare la:

-capabilitatea sistemului de management de a îndeplini cerinţele aplicabile ţi rezultatele aşteptate;

- procesul de audit intern şi analiza de management;

b) o concluzie asupra adecvării domeniului de certificare;

c) confirmarea că obiectivele auditului au fost îndeplinite.9.4.9Analiza cauzelor neconformităţilor



Denumire OEC


implementarea?



Organismul de certificare trebuie să ceară clientului să analizeze cauza şi să descrie corecţia specifică şi acţiunile luate sau planificate să fie luate pentru a elimina neconformităţile constatate, într-un timp definit.

9.4.10Eficacitatea corecţiilor şi acţiunilor corective

Organismul de certificare trebuie să analizeze corecţiile, cauzele identificate şi acţiunile corective formulate de client pentru a determina dacă acestea sunt acceptabile. Organismul de certificare trebuie să verifice eficacitatea oricărei corecţii şi acţiuni corective aplicate. Dovada obţinută pentru a susţine rezolvarea neconformităţilor trebuie înregistrata. Clientul trebuie informat despre rezultatele analizei şi verificării. Clientul trebuie informat dacă pentru a verifica eficacitatea corecţiilor şi acţiunilor corective este nevoie de un audit suplimentar complet, limitat sau dovezi documentate (care vor fi confirmate în timpul auditurilor viitoare)

NOTĂ - Verificarea eficacităţii corecţiilor şi acţiunilor corective se poate face pe baza unei analize a documentaţiei furnizate de client, sau atunci când este necesar, prin verificare la faţa locului. De obicei această activitate este făcuta de un membru al echipei de audit.

9.5Decizia de certificare9.5.1Generalităţi

9.5.1.1Organismul de certificare trebuie să asigure că acele persoane sau comitete care iau decizia de acordare sau respingere a certificare, extindere sau reducere a domeniului de certificare, suspendare sau ridicarea suspendării, retragerea sau reînnoirea certificării sunt diferite de cele care au efectuat auditurile. Desemnarea persoanei(persoanelor) care iau decizia trebuie să aibă competenţe adecvate.

9.5.1.2Persoana (persoanele) [exclusiv membrii comitetelor (a se vedea 6.1.4)] desemnate de organismul de certificare trebuie să fie angajate de către acesta sau trebuie să aibă un acord juridic legal,fie cu organismul de certificare fie cu o entitate sub controlul organizaţional al organismului de certificare. Un control organizaţional al organismului de certificare trebuie să fie unul dintre următoarele:

a) entitatea este deţinută în întregime sau în majoritate de organismul de certificare;



Denumire OEC


implementarea?



b) organismul de certificare are participare majoritară în consiliul de administraţie al entităţii;

c) organismul de certificare are o autoritate documentată asupra unei alte entităţi într-o reţea de entităţi legale (în care se află organismul de certificare), legate de dreptul de proprietate sau prin controlul consiliului de administraţie;

NOTĂ - Pentru organismele de certificare guvernamentale, alte părţi ale aceluiaşi guvern poate fi considerat a fi „legate prin dreptul de proprietate” a organismului de certificare.

9.5.1.3Persoanele angajate de, sau sub contract cu, entităţi aflate sub controlul organizaţional trebuie să îndeplinească aceleaşi cerinţe din această parte a ISO/IEC 17021 ca persoanele angajate de către, sau sub contrat cu, organismul de certificare.

9.5.1.4Organismul de certificare trebuie să înregistreze fiecare decizie referitoare la certificare, inclusiv orice informaţii sau clarificări suplimentare solicitate de la echipa de audit sau din alte surse.

9.5.2Acţiuni înainte de luarea deciziei

Organismul de certificare trebuie să aibă un proces pentru efectuarea unei analize eficace înainte de a lua decizia de acordare a certificării, de extindere sau reducere a domeniului certificării, de reînnoirea, suspendarea sau ridicarea suspendării sau de retragere a certificării, analiză care să includă faptul că:

a) informaţiile furnizate de echipa de audit sunt suficiente în ceea ce priveşte cerinţele certificării si domeniul certificării;

b) pentru orice neconformitate majoră s-au analizat, acceptat şi verificat corecţiile şi acţiunile corective;

a) pentru orice neconformitate minoră s-a analizat şi acceptat planul clientului pentru corecţii şi acţiuni corective.

9.5.3Informaţii pentru acordarea certificării iniţiale



Denumire OEC


implementarea?



9.5.3.1Informaţiile furnizate de echipa de audit organismului de certificare pentru luarea deciziei de certificare trebuie să includă cel puţin:

a) raportul de audit;

b) comentarii asupra neconformităţilor şi, atunci când este aplicabil, corecţiile şi acţiunile corective întreprinse de client;

c) confirmarea informaţiilor furnizate către organismul de certificare şi utilizate în analiza solicitării (a se vedea 9.1.2);

d) confirmarea că obiectivele auditului au fost îndeplinite;

a) o recomandare de acordare sau neacordare a certificării împreună cu toate condiţiile sau observaţiile.

9.5.3.2Dacă organismul de certificare nu este în măsură să verifice implementarea corecţiilor şi acţiunilor corective privitoare la o neconformitate majoră într-un interval de 6 luni de la ultima zi de audit a etapei 2, acesta trebuie să efectueze alt audit de etapa 2 înainte de recomandarea certificării.

9.5.3.3Atunci când se ia în considerare un transfer de certificare de la un organism de certificare la altul, organismul de certificare acceptant trebuie să aibă un proces pentru obţinerea de informaţii suficiente pentru a lua o decizie cu privire la certificare.

NOTA - Schemele de certificare pot avea reguli specifice privind transferul certificării.9.5.4Informaţii pentru acordarea recertificării

Organismul de certificare trebuie să ia decizia de reînnoire a certificării bazându-se pe rezultatele auditului de recertificare precum şi pe rezultatele analizei sistemului în perioada de certificare şi reclamaţiile primite de la utilizatorii certificării.

9.6Mentenanţa certificării 9.6.1Generalităţi

Organismul de certificare trebuie să menţină certificarea bazată pe demonstrarea satisfacerii continue de câtre client a cerinţelor standardului sistemului de



Denumire OEC


implementarea?



management. Se poate menţine certificarea clientului pe baza concluziei pozitive a conducătorului echipei de audit fără analize independente suplimentare şi decizie, asigurându-se că:

a) pentru orice neconformitate majoră sau altă situaţie care poate conduce la suspendarea sau retragerea certificării, organismul de certificare are un sistem care cere conducătorului echipei de audit să raporteze organismului de certificare necesitatea de a iniţia o analiză de către personal competent (a se vedea 7.2.8), diferit de acela care a efectuat auditul, pentru a determina dacă certificarea poate fi menţinută;

b) personalul competent al organismului de certificare îşi monitorizează activităţile proprii de supraveghere, inclusiv monitorizarea raportării efectuate de auditorii săi, pentru a confirma că activitatea de certificare este efectuată eficace.

9.6.2Activităţi de supraveghere

9.6.2.1Generalităţi9.6.2.1.1Organismul de certificare trebuie sa îşi dezvolte activităţile de supraveghere astfel încât

zonele şi funcţiile reprezentative acoperite de domeniul sistemului de management să fie monitorizate în mod regulat, şi sa ia în considerare schimbările apărute la clientul certificat şi în sistemul său de management.

9.6.2.1.2Activităţile de supraveghere trebuie să includă audituri la faţa locului pentru a evalua dacă

sistemul de management al clientului certificat îndeplineşte cerinţele specificate în raport cu standardul faţă de care a fost acordată certificarea. Alte activităţi de supraveghere pot include:

a) solicitări de informaţii din partea organismului de certificare adresate clientului certificat referitor la aspectele certificării;

b) analizarea oricăror declaraţii ale clientului privind activităţile sale (de exemplu materiale promoţionale, website);

c) solicitări adresate clientului de a furniza informaţii documentate (pe hârtie sau electronic);



Denumire OEC


implementarea?



d) alte mijloace de monitorizare a performantelor clientului certificat9.6.2.2Audit de supraveghere

Auditurile de supraveghere sunt audituri la faţa locului, dar nu sunt în mod necesar audituri complete de sistem şi trebuie planificate împreună cu alte activităţi de supraveghere astfel încât organismul de certificare să îndeplinească cerinţele, între auditurile de recertificare. Fiecare supraveghere trebuie să includă:

a) auditurile interne şi analiza efectuată de management;

b) o analiză a acţiunilor întreprinse pentru neconformităţile identificate în timpul auditului anterior;

c) tratarea reclamaţiilor;

d) eficacitatea sistemului de management cu privire la realizarea obiectivelor şi rezultatelor aşteptate de clientul certificat;

e) evoluţia activităţilor planificate pentru îmbunătăţirea continuă;

f) continuitatea controlului operaţional;

g) analiza oricăror modificări;

h) utilizarea mărcilor şi/sau a oricăror alte referiri la certificare.9.6.3Recertificare9.6.3.1Planificarea auditului de recertificare9.6.3.1.1Scopul auditului de recertificare este să confirme continua conformitate şi eficacitate a

sistemului de management ca un întreg, şi relevanţa şi aplicabilitatea lui continuă pentru domeniul certificării. Un audit de recertificare trebuie planificat şi efectuat pentru a evalua continuitatea îndeplinirii tuturor cerinţelor standardului sistemului de management sau ale altor documente normative relevante. Acesta trebuie planificat şi efectuat în timp util pentru a permite reînnoirea înainte de data de expirare a certificatului.

9.6.3.1.2Activitatea de recertificare trebuie să includă analiza rapoartelor auditurilor de supraveghere anterioare şi să ţină cont de performanţa sistemului de management în ultimul ciclu de certificare.



Denumire OEC


implementarea?



9.6.3.1.3Activităţile auditului de recertificare pot avea nevoie de o etapa 1 de audit în situaţiile în care au fost schimbări semnificative ale sistemului de management, organizaţiei sau contextul în care funcţionează sistemul de management (de exemplu schimbări ale legislaţiei).

NOTĂ - Asemenea modificări pot apărea oricând în perioada ciclului de certificare şi este nevoie sau nu ca organismul de certificare să efectueze un audit special (a se vedea 9.6.4), care poate fi sau nu audit etapa 2.

9.6.3.2Audit de recertificare9.6.3.2.1Auditul de recertificare trebuie să includă un audit la faţa locului care face referire la

următoarele:

a) eficacitatea sistemului de management în totalitatea sa ţinând cont de schimbările interne şi externe şi relevanţa şi aplicabilitatea lui continuă la domeniul certificării;

b) angajamentul demonstrat că menţine eficacitatea şi îmbunătăţeşte sistemul de management în scopul creşterii performantei generale;

c) eficacitatea sistemului de management privind îndeplinirea obiectivelor clientului certificat şi ale rezultatelor intenţionate ale sistemului(sistemelor) de management.

9.6.3.2.2Pentru orice neconformitate majoră, organismul de certificare trebuie să definească limitele de timp pentru corecţia şi acţiunile corective. Aceste acţiuni trebuie implementate şi verificate înainte de expirarea certificării.

9.6.3.2.3Atunci când activităţile de recertificare sunt încheiate cu succes înainte de data de expirare a certificării în vigoare, data de expirare a noii certificări poate fi data de expirare a certificării în vigoare. Data de eliberare a noului certificat poate fi data în care se ia decizia de recertificare sau după aceasta data.

9.6.3.2.4Dacă organismul de certificare nu a finalizat auditul de recertificare sau nu a fost în

măsură să verifice implementarea corecţiilor şi acţiunilor corective pentru neconformităţile majore (a se vedea 9.5.2.1) înainte de data de expirare a certificării, atunci recertificarea nu este recomandată şi validitatea certificatului



Denumire OEC


implementarea?



nu este extinsă. Clientul trebuie să fie informat şi consecinţele trebuie explicate acestuia.

9.6.3.2.5După expirarea certificării, organismul de certificare poate restabili certificarea în termen de 6 luni cu condiţia ca activităţile de recertificare să fie efectuate complet, în caz contrar se va efectua cel puţin etapa 2. Data efectivă pe certificat trebuie să fie data în care se ia decizia de recertificare sau o dată ulterioară, şi data deexpirare trebuie să se bazeze pe ciclul de certificare anterior.

9.6.4Audituri speciale9.6.4.1Extindere de domeniu

Ca răspuns la o solicitare pentru extinderea domeniului unei certificări deja acordate, organismul de certificare trebuie să întreprindă o analiză a solicitării şi să determine orice activităţi de audit necesare pentru a decide dacă poate fi acordată sau nu extinderea. Aceasta poate fi efectuată odată cu un audit de supraveghere.

9.6.4.2Audituri neprogramate

Poate fi necesar pentru organismul de certificare să efectueze audituri la clienţii certificaţi anunţate cu puţin timp înainte sau neanunţate, pentru a investiga reclamaţiile sau ca răspuns la modificări sau ca audituri de urmărire la clienţii suspendaţi. În astfel de cazuri:

a) organismul de certificare trebuie să descrie şi să facă cunoscute în avans clienţilor certificaţi (de exemplu în documentele descrise la 8.5.1) condiţiile în care aceste audituri neprogramate vor fi efectuate;

b) organismul de certificare trebuie să exercite o grijă suplimentară în desemnarea echipei de audit datorită imposibilităţii clientului de a obiecta asupra membrilor echipei de audit.

9.6.5Suspendarea, retragerea sau restrângerea domeniului de certificare

9.6.5.1Organismul de certificare trebuie să aibă o politica şi procedură documentată (proceduri documentate) pentru suspendarea, retragerea sau restrângerea domeniului certificării, şi trebuie să specifice acţiunile ulterioare ale organismului de certificare.



Denumire OEC


implementarea?



9.6.5.2Organismul de certificare trebuie să suspende certificarea în cazurile când, de exemplu:

sistemul de management al clientului certificat are eşecuri repetate şi serioase în ceea ce priveşte îndeplinirea cerinţelor certificării, inclusiv a cerinţelor eficacităţii sistemului de management;

clientul certificat nu permite efectuarea auditurilor de supraveghere şi recertificare la frecvenţa stabilită;

clientul certificat cere în mod voluntar să fie suspendat.9.6.5.3Pe durata suspendării, certificarea sistemului de management al clientului este temporar

invalidă.9.6.5.4Organismul de certificare trebuie să ridice suspendarea certificării dacă problemele care

au avut ca rezultat suspendarea au fost rezolvate. Eşecul rezolvării problemelor care au avut ca rezultat suspendarea într-un timp stabilit de organismul de certificare trebuie să conducă la retragerea sau reducerea domeniului certificării.

NOTA - In cele mai multe cazuri suspendarea nu trebuie să depăşească 6 luni.9.6.5.5Organismul de certificare trebuie să restrângă domeniul de certificare al clientului

excluzând părţile care nu îndeplinesc cerinţele atunci când clientul certificat a eşuat repetat şi serios în a îndeplini cerinţele certificării pentru acele parţi ale domeniului certificat. Orice asemenea restrângere trebuie să fie în acord cu cerinţele standardului utilizat pentru certificare.

9.79.7.1Organismul de certificare trebuie să aibă un proces documentat de primire, evaluare şi

luare a deciziei privind apelurile.9.7.2Organismul de certificare trebuie să fie responsabil pentru toate deciziile la toate nivelurile

procesului de tratare a apelurilor. Organismul de certificare trebuie să asigure că persoanele angajate in procesul de tratare a apelurilor sunt diferite de cele care au efectuat auditurile şi de cele care au luat deciziile referitoare la certificare.

9.7.3Depunerea apelurilor, investigarea acestora şi decizia referitoare la apeluri nu trebuie să aibă ca rezultat nicio acţiune discriminatorie împotriva apelantului.

9.7.4Procesul de tratare a apelurilor trebuie să includă cel puţin următoarele elemente şi metode:



Denumire OEC


implementarea?



a) o descriere a procesului pentru primirea, validarea şi investigarea apelului, şi pentru a decide ce acţiuni este necesar să fie întreprinse ca răspuns la acesta, luând în considerare rezultatele anterioare ale apelurilor similare;

b) urmărirea şi înregistrarea apelurilor, inclusiv acţiuni întreprinse pentru rezolvarea lor;

c) asigurarea că au fost întreprinse toate corecţiile şi acţiunile corective adecvate9.7.5La primirea apelului organismul de certificare trebuie să fie responsabil în colectarea şi

verificarea tuturor informaţiilor necesare pentru validarea apelului.9.7.6Organismul de certificare trebuie să confirme primirea apelului şi trebuie să furnizeze

apelantului rapoarte de progres şi rezultatul apelului. 9.7.7Decizia care va fi comunicată apelantului trebuie luată de, sau analizată şi aprobată de,

persoana (persoane) neimplicată(e) anterior în subiectul apelului.9.7.8Organismul de certificare trebuie să notifice oficial despre finalizarea procesului de tratare

a apelului.9.8Reclamaţii9.8.1Organismul de certificare trebuie să fie responsabil pentru toate deciziile la toate nivelurile

procesului de tratare a reclamaţiilor.9.8.2Depunerea reclamaţiilor, investigarea acestora şi decizia referitoare la reclamaţii nu

trebuie să aibă ca rezultat nicio acţiune discriminatorie împotriva reclamantului.

9.8.3La primirea unei reclamaţii, organismul de certificare trebuie să confirme dacă reclamaţia se referă la activităţile certificate de care este responsabil şi, dacă este aşa, trebuie să se ocupe de aceasta. Dacă reclamaţia se referă la un client certificat, examinarea reclamaţiei trebuie să ia în considerare eficacitatea sistemului de management certificat.

9.8.4Orice reclamaţie despre un client certificat trebuie de asemenea să fie adusă la cunoştinţa clientului certificat respectiv, de către organismul de certificare, într-un timp adecvat.

9.8.5Organismul de certificare trebuie să aibă un proces documentat de primire, evaluare şi luare a deciziilor referitoare la reclamaţii. Acest proces trebuie să fie supus cerinţelor de confidenţialitate, în măsura în care se referă la reclamant şi la subiectul reclamaţiei.

9.8.6Procesul de tratare a reclamaţiilor trebuie să includă cel puţin următoarele elemente şi metode:



Denumire OEC


implementarea?



a) o descriere a procesului pentru primirea, validarea şi investigarea reclamaţiei şi pentru a decide ce acţiuni ar trebui luate ca răspuns la aceasta;

b) urmărirea şi înregistrarea reclamaţiilor, inclusiv acţiunile întreprinse pentru rezolvarea lor;

c) asigurarea ca sunt întreprinse orice corecţii şi acţiuni corective adecvate.

NOTA - ISO 10002 furnizează îndrumări pentru tratarea reclamaţiilor.9.8.7La primirea reclamaţiei organismul de certificare trebuie să fie responsabil în colectarea şi

verificarea tuturor informaţiilor necesare pentru validarea reclamaţiei.9.8.8Ori de câte ori este posibil, organismul de certificare trebuie să confirme primirea

reclamaţiei şi trebuie să furnizeze reclamantului rapoarte referitoare la stadiul tratării acesteia şi la rezultat.

9.8.9Decizia care va fi comunicată reclamantului trebuie luată de, sau analizată şi aprobată de, persoana (persoanele) neimplicata(e) anterior în subiectul reclamaţiei.

9.8.10Ori de cate ori este posibil, organismul de certificare trebuie să notifice oficial reclamantul despre finalizarea procesului de tratare a reclamaţie

9.8.11Organismul de certificare trebuie să stabilească împreună cu clientul certificat şi reclamantul dacă, şi dacă da în ce măsură, subiectul reclamaţiei şi rezolvarea sa trebuie făcute publice.

9.9Înregistrări referitoare la client9.9.1Organismul de certificare trebuie să menţină înregistrările referitoare la audit şi alte

activităţi de certificare pentru toţi clienţii, inclusiv toate organizaţiile solicitante şi toate organizaţiile auditate, certificate ori a căror certificare a fost suspendată sau retrasă.

9.9.2Înregistrările referitoare la clienţii certificaţi trebuie să includă următoarele:a) informaţii referitoare la solicitare şi rapoartele auditurilor iniţial, de

supraveghere şi de recertificare;b) acordul de certificare;c) justificarea metodologiei folosite pentru eşantionare;

NOTĂ - Metodologia de eşantionare include eşantionarea utilizată pentru evaluarea unui sistem de management specific şi/sau pentru selectarea locaţiilor în contextul unui audit în locaţii multiple.

d) justificarea determinării timpului alocat pentru auditori (a se vedea 9.1.4);e) verificarea corecţiilor şi acţiunilor corective;f) înregistrarea reclamaţiilor şi apelurilor, şi orice corecţie sau acţiuni



Denumire OEC


implementarea?



corective ulterioare;g) deliberările şi deciziile comitetului, dacă este aplicabil;h) documentarea deciziilor de certificare;i) documentele de certificare inclusiv domeniul de certificare cu referire la

produs, proces sau serviciu, după caz;j) înregistrările asociate, necesare pentru demonstrarea credibilităţii

certificării, cum ar fi dovezi ale competenţei auditorilor şi experţilor tehnici.

k) programele de audit.

9.9.3Organismul de certificare trebuie să păstreze în siguranţă înregistrările solicitanţilor şi clienţilor pentru a asigura că informaţiile sunt păstrate confidenţial. Înregistrările trebuie transportate, transmise sau transferate astfel încât să se asigure menţinerea confidenţialităţii.

9.9.4Organismul de certificare trebuie să aibă o politică documentată şi proceduri documentate referitoare la păstrarea înregistrărilor. Înregistrările clienţilor certificaţi şi clienţii certificaţi anterior trebuie păstrate pe durata ciclului aflat în derulare plus un ciclu complet de certificare.

NOTĂ - În unele jurisdicţii, legea stipulează ca înregistrările să fie menţinute pentru o perioada mai mare de timp

10Cerinţele sistemului de management pentru organismele de certificare10.1 Opţiuni

Organismul de certificare trebuie să stabilească, să documenteze, să implementeze şi să menţină un sistem de management capabil să susţină şi să demonstreze îndeplinirea consecventă a cerinţelor acestei părţi a ISO/IEC 17021. Suplimentar faţă de îndeplinirea cerinţelor de la articolul 5 până la articolul 9, organismul de certificare trebuie să implementze un sistem de management în concordanţă cu:

a) cerinţele sistemului general de management (a se vedea 10.2); saub) cerinţele sistemului de management în conformitate cu ISO 9001 (a se

vedea 10.3)10.2Opţiunea A: Cerinţele sistemului general de management 10.2.1Generalităţi

Organismul de certificare trebuie să stabilească, să documenteze, să implementeze şi să menţină un sistem de management capabil să susţină şi să demonstreze



Denumire OEC


implementarea?



îndeplinirea consecventă a cerinţelor acestei părţi a ISO/IEC 17021.Managementul de la cel mai înalt nivel al organismului de certificare trebuie să stabilească

şi să documenteze politici şi obiective pentru activităţile sale. Managementul de la cel mai înalt nivel trebuie să furnizeze dovezi ale angajamentului său pentru dezvoltarea şi implementarea sistemului de management în conformitate cu cerinţele acestei părţi a ISO/IEC 17021.

Managementul de la cel mai înalt nivel trebuie să se asigure că politicile sunt înţelese, implementate şi menţinute la toate nivelurile de organizare ale organismului de certificare.

Managementul de la cel mai înalt nivel al organismului de certificare trebuie să atribuie responsabilitate şi autoritate pentru:a) asigurarea că procesele şi procedurile necesare pentru sistemul de

management sunt stabilite, implementate şi menţinute,b) raportarea către managementul de la cel mai înalt nivel referitoare la

performanţa sistemului de management şi orice necesitate de îmbunătăţire.

10.2.2Manualul de managementToate cerinţele aplicabile din această parte a ISO/IEC 17021 trebuie tratate într-un manual

sau în documente asociate.Organismul de certificare trebuie să se asigure că manualul şi documentele asociate

relevante sunt accesibile întregului personalul relevant.10.2.3Organismul de certificare trebuie să stabilească proceduri pentru a controla documentele

(interne şi externe) care se referă la îndeplinirea acestei părţi a ISO/IEC 17021. Procedurile trebuie să precizeze controalele necesare pentru ca:a) documentele să fie aprobate ca fiind adecvate înainte de a fi emise;b) documentele să fie analizate şi actualizate, atunci când este necesar, şi

să fie reaprobate;c) să se asigure că sunt identificate modificările şi starea reviziei curente a

documentelor,d) să se asigure că versiunile relevante ale documentelor aplicabile sunt

disponibile în locurile de utilizare,e) să se asigure că documentele rămân lizibile şi uşor de identificat,f) să se asigure că documentele de origine externă sunt identificate şi că

distribuţia acestora este controlată,g) să se prevină utilizarea neintenţionată a documentelor perimate, şi să se

aplice o identifcare adecvată dacă acestea sunt păstrate în orice scop.



Denumire OEC


implementarea?



NOTĂ: documentaţia poate fi în orice formă sau pe orice mediu suport.

10.2.4Controlul înregistrărilorOrganismul de certificare trebuie să stabilească proceduri în care să definească

controalele necesare pentru identificarea, depozitarea, protecţia, regăsirea, perioada de păstrare şi eliminarea înregistrărilor sale referitoare la respectarea acestei părţi a ISO/IEC 17021.

Organismul de certificare trebuie să stabilească proceduri pentru păstrarea înregistrărilor o perioadă de timp consecventă cu obligaţiile sale contractuale şi legale. Accesul la aceste înregistrări trebuie să fie conscvent cu acordurile de confidenţialitate.

NOTĂ - Pentru cerinţele privind înregistrările referitoare la clienţii certificaţi a se vedea de asemenea 9.9.

10.2.5 Analiza efectuată de management10.2.5.1Generalităţi

Managementul de la cel mai înalt nivel al organismului de certificare trebuie să stabilească proceduri pentru analizarea sistemului său de management la intervale de timp planificate pentru a se asigura că este în continuare corespunzător, adecvat şi eficace, inclusiv politicile şi obiectivele declarate referitoare la respectarea acestei părţi a ISO/IEC 17021. Aceste analize trebuie efectuate cel puţin o dată pe an.

10.2.5.2Elemente de intrare ale analizeiElementele de intrare ale analizei efectuate de management trebuie să includă informaţii

referitoare la următoarele:rezultatele auditurilor interne şi externe, feedback de la clienţi şi de la părţile interesate protejarea imparţialităţii,stadiul acţiunilor corective,stadiul acţiunilor de tratare a riscurilor,acţiunile de urmărire din analizele anterioare efectuate de management,îndeplinirea obiectivelor,modificări care ar putea influenţa sistemul de management, apeluri şi reclamaţii.

10.2.5.3Elemente de ieşire ale analizeiElementele de ieşire ale analizei efectuate de management trebuie să includă deciziile şi



Denumire OEC


implementarea?



acţiunile referitoare la:îmbunătăţirea eficacităţii sistemului de management şi a proceselor acestuia,îmbunătăţirea serviciilor de certificare corelate cu respectarea acestei părţi a ISO/IEC a 17021, necesităţi referitoare laresurse,revizuiri ale politicii şi obiectivelor organizaţiei.

10.2.6Audituri Interne 10.2.6.1Organismul de certificare trebuie să stabilească proceduri pentru auditurile interne pentru

a verifica dacă acestea îndeplinesc cerinţele acestei părţi a ISO/IEC 17021 şi dacă sistemul de management este efectiv implementat şi menţinut.

NOTĂ - ISO 19011 furnizează linii directoare pentru efectuarea auditurilor interne.10.2.6.2Trebuie planificat un program de audit luând în considerare importanţa proceselor şi a

zonelor care vor fi auditate, precum şi rezultatele auditurilor anterioare.10.2.6.3Auditurile interne trebuie efectuate cel puţin o dată la 12 luni. Frecvenţa auditurilor interne

poate fi redusă dacă organismul de certificare poate demonstra că sistemul său de management continuă să fie efectiv implementat congorm acestei părţi a ISO/IEC 17021 şi că are stabilitate dovedită.

10.2.6.4Organismul de certificare trebuie să se asigure că: a) auditurile interne sunt efectuate de personal competent bine informat

referitor la certificare, auditare şi cerinţele acestei părţi a ISO/IEC 17021,b) auditorii nu-şi auditează propria activitate,c) personalul responsabil pentru zona auditată este informat despre

rezultatele auditului,d) orice acţiuni rezultate din auditurile interne sunt întreprinse în mod

oportun şicorespunzător, şie) sunt identificate toate oportunităţile de îmbunătăţire.

10.2.7Acţiuni corectiveOrganismul de certificare trebuie să stabilească proceduri pentru identificarea şi

managementul neconformităţilor operaţiunilor sale. Organismul de certificare trebuie de asemenea, atunci când este necesar, să întreprindă acţiuni pentru eliminarea cauzelor neconformităţilor, în scopul de a preveni reapariţia acestora. Acţiunile corective trebuie să fie corespunzătoare impactului problemelor întâlnite. Procedurile trebuie să definească cerinţe pentru:identificarea neconformităţilor (de exemplu din reclamaţii valide şi din audituri interne),determinarea cauzelor neconformităţiilor,corectarea neconformităţilor,



Denumire OEC


implementarea?



evaluarea necesităţii de acţiuni pentru a se asigura că neconformităţile nu reapar,determinarea şi implementarea în timp util a acţiunilor necesare,înregistrarea rezultatelor acţiunilor întreprinse,analizarea eficacităţii acţiunilor corective.

10.3Opţiunea B: Cerinţe sistemului de management în conformitate cu ISO 900110.3.1 Generalităţi

Organismul de certificare trebuie să stabilească şi să menţină un sistem de management în conformitate cu cerinţele ISO 9001, completate de cele specificate de la 10.3.2 la 10.3.4.

10.3.2 Domeniu de aplicarePentru aplicarea cerinţelor ISO 9001, domeniul de aplicare al sistemului de management trebuie să includă cerinţele de proiectare şi dezvoltare pentru serviciile de certificare.

10.3.3 Orientarea către clientPentru aplicarea cerinţelor ISO 9001, atunci când îşi deyvoltă sistemul de management, organismul de certificare trebuie să ia în considerare credibilitatea certificării şi trebuie să ţină seama de nesităţile tuturor părţilor (aşa cum se precizează în 4.1.2) care se bazează pe serviciile sale de audit şi certificare, şi nu doar ale clienţilor săi.

10.3.4 Analiza efectuată de managementPentru aplicarea cerinţelor ISO 9001, organismul de certificare trebuie să includă, ca elemente de intrare ale analizei efectuate de management, informaţiile referitoare la apelurile şi reclamaţiile relevante din partea utilizatorilor activităţilor de certificare şi o analiză a imparţialităţii.

ANEXA A (normativă) Cunoştinţe şi abilităţi necesareNotă: Semnătura evaluatorului nu confirmă corectitudinea totală a documentelor de referință furnizate de OEC.

Manager Tehnic OEC

Numele şi prenumele Semnătură



Denumire OEC

Data

Spațiu destinat RENAR – Raportul analizei documentelor și înregistrărilor efectuată de echipa de evaluare

Dosar nr. / din:

Data finalizării analizei documentelor și înregistrărilor:



Denumire OEC

Sumar neconformități care se va transfera în adresa către OEC.Nr. Crt.

Articol SR EN ISO/CEI 17021-1:2015

Neconformitatea Rezolvarea neconformității

Notă: Prezentul tabel se va transmite OEC însoțit de adresă oficială.

Concluzia analizei documentelor și înregistrărilor:

Procesul de acreditare continuă cu:

evaluarea la sediu

redactarea sintezei evaluării și înaintarea dosarului pentru luarea deciziei (de exemplu: în cazul modificărilor față de condițiile în care a fost acordată acreditarea).

Echipa evaluare:

Numele şi prenumele: Numele şi prenumele: Numele şi prenumele:

Semnătura: Semnătura: Semnătura:

Data: Data: Data:


competenţă matrice... · web viewclientului trebuie să i se ofere ocazia să pună întrebări....

Documents