Jakość – Normalizacja – Certyfikacja
Dodatek promocyjno-reklamowy do RZECZPOSPOLITEJ.
20 czerwca 2007 r.

Wymagania nowej normy ISO/IEC 17021:2006
dla jednostek certyfikujących systemy zarządzania

Nowa jakość usług certyfikacyjnych?

Wypowiedź Karola Hauptmanna,
dyrektora Polskiego Centrum Akredytacji

Certyfikacja systemów zarządzania prowadzona przez jednostki certyfikujące w oparciu o wymagania międzynarodowych norm stanowi podstawę uznawania certyfikacji za istotny element wsparcia międzynarodowej wymiany handlowej.

Warunkiem niezbędnym dla osiągnięcia tego celu jest porównywalny stopień wiarygodności certyfikatów wydawanych przez różne jednostki certyfikujące. Niestety, wraz ze wzrostem liczby jednostek i liczby wydawanych certyfikatów dla systemów zarządzania organizacji nie wzrasta, w powszechnym przekonaniu, jakość wyrobów i usług wytwarzanych przez dostawców z certyfikowanymi systemami zarządzania. Europejskim jednostkom akredytującym, w tym Polskiemu Centrum Akredytacji, mimo regularnych, okresowych ocen procesów certyfikacji w ramach nadzoru nad działalnością jednostek akredytowanych, nie udało się dostatecznie zapobiec temu niekorzystnemu postrzeganiu certyfikacji systemów zarządzania.

Jednostki certyfikujące w 2006 r. otrzymały nowe narzędzie pozwalające przeprojektować i wdrożyć u siebie system zarządzania odpowiadający aktualnemu podejściu w tej dziedzinie. Ukazała się nowa norma ISO/IEC 17021:2006 „Ocena zgodności – Wymagania dla jednostek prowadzących auditowanie i certyfikację systemów zarządzania”. Zastąpiła ona dotąd stosowaną normę europejską EN 45012 : 1998 i przewodniki ISO/IEC nr 62 i nr 66. Nowa norma będzie także stosowana jako kryterium w procesach akredytacji, nadzoru i ponownej oceny jednostek certyfikujących systemy zarządzania.

W postanowieniach normy ISO/IEC 17021 zawarto nie tylko sprawdzone rozwiązania z dotychczasowych dokumentów normatywnych, ale wprowadzono szereg zasadniczych zmian i uzupełnień wynikających z kilkuletnej praktyki ich stosowania. Kierunki tych zmian wytyczają zasady bezstronności, kompetencji, odpowiedzialności, otwartości, poufności i reakcji na skargi, z których wyprowadzono wszystkie wymagania. Wprowadzenie zasad do tej normy, zasad nieauditowalnych, to odzwierciedlenie nowego podejścia, w którym określa się cele do osiągnięcia. Wspomniane zasady są takim celami dla działalności jednostek certyfikujących systemy zarządzania i powinny być stosowane jako wytyczne do podejmowania decyzji w sytuacjach nieprzewidywalnych. Zasady te są na tyle uniwersalne, że mogą mieć zastosowanie do każdego rodzaju działalności w zakresie oceny zgodności prowadzonej przez jednostki tzw. strony trzeciej, niezależnej od wytwórcy oraz odbiorcy wyrobów i usług.

Czy konieczność dostosowania systemów zarządzania i programów certyfikacji jednostek certyfikujących do zasad certyfikacji i wynikających z nich wymagań jest szansą na wzrost wartości „certyfikatów ISO 9001”, a pośrednio szansą na lepszą jakość wyrobów i usług wspieraną certyfikowanymi systemami zarządzania? Odpowiedź na to pytanie może dać prześledzenie najistotniejszych zmian i uzupełnień, które wprowadzono do normy EN ISO/IEC 17021.

Aby certyfikacja systemów zarządzania cieszyła się zaufaniem wszystkich zainteresowanych stron, jednostka certyfikująca przede wszystkim powinna być bezstronna w swoich działaniach i decyzjach. Pojęcie bezstronności zostało poszerzone, a zagrożenia dla bezstronności wyspecyfikowane.

Kierownictwo jednostki będzie musiało publicznie zadeklarować, że rozumie znaczenie bezstronności, zarządza potencjalnymi konfliktami interesów i zapewnia obiektywność ocen. Na straży bezstronności ma stanąć niezależny komitet reprezentujący interesy kluczowych stron zainteresowanych certyfikacją, który co najmniej raz w roku będzie dokonywał przeglądu przestrzegania zasady bezstronności w procesach auditowania i certyfikacji. Będzie on miał prawo informowania władz lub jednostek akredytujących w przypadkach nieuwzględniania przez kierownictwo jednostki jego uwag dotyczących bezstronności.

Znaczną uwagę poświęcono zagrożeniom płynącym z powiązań jednostki certyfikującej z konsultacjami prowadzonymi przez organizacje konsultujące i osoby fizyczne. Sprecyzowano pojęcie konsultacji i zastąpiono pojęcie jednostek związanych pojęciem powiązań, z których mogą pochodzić zagrożenia bezstronności. Dopuszczono prowadzenie konsultacji przez auditorów kontraktowych jednostki pod warunkiem wprowadzenia do systemu zarządzania rozwiązań pozwalających zarządzać potencjalnym konfliktem interesów. Zapobiegać konfliktowi interesów mają m.in. wymaganie prowadzenia dla każdego pracownika jednostki i auditora zewnętrznego zapisów dotyczących świadczenia usług konsultacyjnych oraz wymaganie podania przez klienta jednostki we wniosku o certyfikację informacji o korzystaniu z konsultacji w odniesieniu do systemu zarządzania.

Nieuczciwej konkurencji cenowej przeciwstawiają się wymagania zachowywania zapisów dokumentujących proces obliczania czasu auditu oraz uzasadnienie dla zastosowanej metody obliczeń. Wytyczne dotyczące obliczania czasu pracy auditorów obowiązujące dotychczas pozostają w mocy.

W zakresie wymagań dotyczących kompetencji personelu jednostki nacisk położono na analizę potrzeb i ustalenie kryteriów dla każdego programu certyfikacji oraz na kryteria związane z wiedzą techniczną o wyrobach lub procesach realizowanych w ramach systemu zarządzania organizacji auditowanej przez jednostkę. To będzie wymagało weryfikacji kryteriów stosowanych przy kwalifikacji auditorów do ocen systemów zarządzania w różnych dziedzinach gospodarki i usług.

Kolejne istotne zmiany dotyczą procesu certyfikacji. Zidentyfikowano cztery rodzaje auditów: audit certyfikacyjny, audit w nadzorze, audit ponownej oceny oraz audity specjalne: dla rozszerzenia zakresu certyfikacji i audit z tzw. krótkim terminem powiadamiania organizacji. Nowością jest obligatoryjność dwuetapowego auditu certyfikacyjnego. Wyniki pierwszego etapu muszą być udokumentowane, ale niekoniecznie w formalnym raporcie i przekazane klientowi jednostki. Odstęp pomiędzy pierwszym i drugim etapem auditu będzie zależał od czasu potrzebnego klientowi na rozwiązanie kwestii wskazanych w ustaleniach pierwszego etapu, jako potencjalne niezgodności w etapie drugim. Etap drugi ma potwierdzić wdrożenie, w tym skuteczność, systemu zarządzania organizacji i stanowić jedną z podstaw do decyzji certyfikacyjnych. Wydawany przez jednostkę certyfikat ma być ważny trzy lata od daty podjęcia decyzji o certyfikacji. Na certyfikacie ma pojawić się także data upływu jego ważności. Pierwszy audit w nadzorze powinien być przeprowadzony przed upływem 12 miesięcy od ostatniego dnia drugiego etapu auditu certyfikacyjnego. Ta jednoznaczność wymagań ma na celu wzmocnienie nadzoru nad certyfikowanym systemem zarządzania, zwiększenie odpowiedzialności jednostki za rzetelne i regularne zbieranie dowodów zgodności z wymaganiami i przeciwdziałanie niewłaściwemu wykorzystaniu certyfikatów.

Wprowadzono także alternatywę dotyczącą wdrożonego w jednostce certyfikującej systemu zarządzania. System ten ma wspierać i wykazywać spełnienie wymagań normy EN ISO/IEC 17021 i być zgodny z wymaganiami normy ISO 9001 albo z ogólnymi wymaganiami dla systemu zarządzania. Wybór należy do jednostki, przy czym specyfika działania jednostek certyfikujących została uwzględniona w normie EN ISO/IEC 17021.

Wracając do pytania postawionego na początku artykułu można powiedzieć, że wszystkie zmiany idą w kierunku poszerzenia odpowiedzialności jednostki certyfikującej za jakość świadczonych usług. Norma EN ISO/IEC 17021 będzie dobrym narzędziem do poprawy stanu przestrzegania wymienionych sześciu zasad prowadzenia rzetelnej i obiektywnej certyfikacji systemów zarządzania dla jednostki akredytacyjnej, jaką jest Polskie Centrum Akredytacji. Otwartość jednostki i koncentracja na potrzebach wszystkich stron wykorzystujących bezpośrednio i pośrednio certyfikację systemów zarządzania w swoich działaniach, poparta kompetencjami bezstronnego personelu daje szansę, że zaufanie do certyfikacji wzrośnie. Polskie Centrum Akredytacji będzie konsekwentnie wspierało ten proces poprzez weryfikacje przestrzegania wymagań w procesach akredytacji i nadzoru nad jednostkami certyfikującymi systemy zarządzania. n

01-382 Warszawa, ul. Szczotkarska 42
tel. 022 355-70-00, fax 022 355-70-18
www.pca.gov.pl

Jakość – Normalizacja – Certyfikacja
Dodatek promocyjno-reklamowy do RZECZPOSPOLITEJ.
20 czerwca 2007 r.

po polsku

The requirements of the new ISO/IEC 17021:2006 standard for the units which certify management systems

New quality of certified services?

The statement of Karol Hauptmann, the manager of Polish Accreditation Centre

Certification of management systems carried out by certifying units on the basis if the requirements of international standards are the foundation for stating certification as an essential element of supporting international goods exchange.

The condition which is necessary to achieve the aim is the comparable level of reliability of certificates issues by different certifying units. Unfortunately, together with the increase in the amount of units and the amount of certificates issued for organization management systems, the quality of products and services produced by the suppliers with the certified management systems does not increase, in popular belief. European accrediting units, including Polish Accreditation, despite regular, periodical evaluations of certification processes in terms of the supervision over the accredited units, did not finally manage to prevent from the unbeneficial perceiving of management systems certification.

Certifying units obtained in 2006 a new tool which allows re-projecting and implementing into their structure the management system which suits the current approach in the domain. A new standard has appeared ISO/IEC 17021:2006 „Conformity evaluation – The requirements for the units which carry out audits and certification of the management systems”. It replaced the standard applied up to this time EN 45012:1998 and guides ISO/IEC no 62 and no 66. A new standard shall also be used as a criterion in the processes of accreditation, supervision and subsequent evaluation of the management system certifying units.

In the provisions of ISO/IEC 17021 standard, not only the checked solutions from the hitherto prevailing normative documents were included, but also a wide range of fundamental changes and supplements resulting from the long-term practice of their application, were introduced. The directions of the changes indicate the rules of impartiality, competence, responsibility, openness, confidentiality and reaction to complaints, which all the requirements have been taken from. The introduction of rules to the standard, non-auditable rules, is the reflection of the new approach in which the goals to be achieved are determined. The mentioned rules are the goals for the units certifying management system activity and shall be applied as guidelines for undertaking decisions in the unpredictable situations. The rules are universal enough so that they can be applied for every type of activity in terms of the evaluation of conformity carried out by the units of the so-called third party, independently from the producer and receiver of products and services.

Is the necessity of adjusting the management systems and certification programs of certifying units for the certification rules and resulting from it requirements a chance for the increase of ” ISO 9001 certificates” importance, and indirectly a chance for a better quality of products and services supported with the certified management systems? The answer to the question can be obtained by means of tracing the most essential changes and supplements which were introduced to EN ISO/IEC 17021 standard.

For the management systems certification to enjoy the trust of all the interested sides, the certifying units shall first of all be impartial in its actions and decisions. The terms of impartiality have been widened, and the threats for impartiality have been specified.

The management of the unit will have to declare in public, that the meaning of impartiality is understood, that it manages potential interest conflicts and assures the objectiveness of evaluation. The impartiality shall be protected by an independent committee which represents the business of the key parties interested in certification, which at least once a year shall make the review whether the rules of impartiality are met in the process of auditing and certification. It shall have the right to inform authorities or accrediting units in case when the unit management does not regard its remarks concerning impartiality.

Much attention was paid to the threats coming from the connections of the certifying unit with consultations carried out by consulting organizations and physical persons. The term of consultation was specified and the term of units connected with the term of connections, which might threat impartiality, was replaced. It was allowed to carry out consultations by the unit contract auditors under the condition that the management system shall include the solutions which help to manage the potential conflict of business. And so, the ones that shall prevent from the conflict of business, include, inter alia, the requirements of making external notes concerning the provision of consultation services for every unit employee and external auditor as well as the requirement of giving by the unit customer, in his application for certification, information on using consultations with regard to the management system.

The requirements of keeping the entries which document the process of calculating the time of audit as well as justification to the applied calculation method contradict to dishonest price competitiveness. The guidelines concerning the process of calculating the time of auditors’ work which is currently valid still stay in force.

In terms of the requirements concerning competences of the unit personnel, stress was placed on the analysis of needs and stating the criteria for every certification program as well as for criteria connected with technical knowledge on products and processes realized in terms of the management system of the organization audited by the unit. It shall require the verification of the criteria applied with qualification of auditors for the evaluation of management systems in different domains of economy and services.

Another essential changes concern the certification process. Four types of audits have been identified: certifying audit, audit in supervision, audit of repeated evaluation as well as special audits: to widen the scope of certification and audit with the so-called short term of notifying the organization. The obligation of a two-stage certification audit is the newness. The results of the first stage shall be documented but not necessarily in a formal report and handed over to the unit customer. The gap between the first and the second stage of audit shall be dependent from the time needed for the customer to solve the questions indicated in the arrangements of the first stage, as potential inconsistencies in the second stage. The second stage shall confirm the implementation, including the efficiency, of the organization management system and constitute for one of the basis for the certification decision. The certificate issued by the entity shall be valid for three years from the date of making the decision on the certification. The certificate shall also include the information on its expiration date. The first audit in supervision shall be carried out within 12 months from the last day of the second stage of certifying audit. The simplicity of the requirements aims at strengthening the supervision over the certified management system, increasing the entity’s responsibility for reliable and regular collection of evidence of consistency with the requirements and acting against the unsuitable usage of certificates.

And so the alternative was introduced concerning the implemented management system in the certifying unit. The system is supposed to support and show the fact of meeting the requirements of EN ISO/IEC 17021 standard as well as to be consistent with the requirements of ISO 9001 standard or with general requirements for the management system. The choice is up to the unit, while the specificity of action of the certifying units has been taken into account in EN ISO/IEC 17021 standard.

Coming back to the question raised at the beginning of the article, it can be said that all the changes are going towards widening the responsibility of the certifying unit for the quality of services provided. EN ISO/IEC 17021 standard shall be a good tool to improve the state of meeting the listed six rules of carrying reliable and objective management systems’ certification for accreditation unit, which is Polish Accreditation Centre. The openness of the unit as well as the concentration on the demands of all the parties which directly or indirectly use the management systems’ certification in their activities, supported with the competences of impartial personnel, gives the opportunity that trust towards certification shall increase. Polish Accreditation Centre shall consequently support the process by means of verifying if the requirements have been met in the process of accreditation and supervision over the units which certify management systems. n

01-382 Warszawa, ul. Szczotkarska 42
tel. 022 355-70-00, fax 022 355-70-18
www.pca.gov.pl