Jakość – Normalizacja – Certyfikacja
Dodatek lobbingowy do RZECZPOSPOLITEJ.
9 listopada 2007 r.

Poprawa wiarygodności certyfikacji systemów zarządzania

Karol Hauptmann, dyrektor Polskiego Centrum Akredytacji

Nowe podejście w rozwoju znormalizowanych systemów zarządzania w ostatnich latach znalazło odzwierciedlenie w normie ISO/IEC 17021 „Ocena zgodności. Wymagania dla jednostek prowadzących auditowanie i certyfikację systemów zarządzania” w postaci 6 zasad, z których wyprowadzono wymagania dla jednostki certyfikującej. Te zasady to bezstronność, kompetencje, odpowiedzialność, otwartość, zachowanie poufności i reagowanie na skargi.

Od 28 czerwca 2007 r. powyższa norma jest normą PN-EN ISO/IEC 17021:2007. W dniu 15.09.2008 r. wszystkie akredytowane jednostki będą musiały posiadać wdrożony system zarządzania zgodny z tą normą.

Wymagania wyraźnie wzrastają. Skutki wzrostu wymagań wobec jednostek będą wpływać także na relacje między nimi a certyfikowanymi organizacjami. Konsekwentne stosowanie sześciu zasad w działalności jednostek powinno korzystnie wpłynąć na jakość świadczonych usług certyfikacyjnych i podnieść postrzeganą przez rynek wartość certyfikacji, tak pożądaną dla organizacji, które świadomie wykorzystują narzędzia certyfikowanych systemów zarządzania do osiągania swoich celów biznesowych.

Konsekwencje zmian w systemie zarządzania jednostki

Zasadzie bezstronności nadano najwyższą rangę. W jednostce będzie Komitet chroniący bezstronność o szerokich uprawnieniach. Organizacje certyfikowane będą miały tam swojego przedstawiciela reprezentującego ich interesy. W ten sposób uzyskują one większy wpływ na bezstronność ocen jednostki i, pośrednio, wpływ na wiarygodność certyfikacji. Organizacje ubiegające się o certyfikację będą musiały podawać we wniosku do jednostki więcej szczegółowych informacji o sobie, w tym informacje o korzystaniu z konsultacji przy opracowaniu i utrzymaniu systemu zarządzania. To zapobiegnie potencjalnemu konfliktowi interesów. Da to szansę na to, że auditorzy w wyniku bezstronnej oceny pozostawią w organizacji większą wartość dodaną przez rzetelne określenie silnych i słabych stron organizacji. Jednocześnie zmniejszone zostanie ryzyko, że certyfikacja będzie udzielona organizacjom, które na to nie zasługują, co powinno przyczynić się do ograniczenia funkcjonowania na rynku dostawców naruszających zasady uczciwej konkurencji poprzez legitymowanie się certyfikatami o wątpliwej wartości.

Z zasady odpowiedzialności wynika pojęcie umocowanej prawnie umowy o przeprowadzenie certyfikacji i kontraktu określającego wzajemne zobowiązania certyfikowanej organizacji i jednostki certyfikującej. Z tej zasady wynika obowiązek wykazania przez jednostkę posiadania rezerw lub ubezpieczenia dla pokrycia zobowiązań wynikających z jej niewłaściwych decyzji. Organizacje certyfikowane uzyskują pewniejsze gwarancje, że ewentualne spory będą rozstrzygane w oparciu o niekwestionowane dokumenty prawne.

Wiarygodność certyfikatu to prosta konsekwencja kompetencji jednostki certyfikującej, a przede wszystkim jej pracowników. Zwiększenie wymagań w tym zakresie w normie PN-EN ISO/IEC 17021, poprzez obowiązek określania kryteriów kompetencyjnych dla wszystkich stanowisk w jednostce, włącznie z personelem pomocniczym, oznaczać powinno profesjonalną i etyczną obsługę na każdym etapie procesu certyfikacji lub nadzoru.

Zasada otwartości, choć w pewnej opozycji do zasady poufności, pozwala organizacjom dokonać świadomego wyboru jednostki certyfikującej, jako partnera biznesowego, w oparciu o publicznie dostępną informację. Te informacje mają budować zaufanie do bezstronności jednostki (deklaracja kierownictwa), do jej profesjonalizmu (opis procesów certyfikacji i auditowania) oraz do przejrzystości i kompetencji w ocenach i decyzjach (procesy postępowania ze skargami i odwołaniami, wykazy ważnych, zawieszonych i cofniętych certyfikatów, zasady kalkulowania czasu ocen). Organizacje certyfikowane będą zobowiązane przez jednostki certyfikujące do stworzenia warunków obserwacji auditorów jednostki przez obserwatorów, oceniających w praktyce kompetencje auditorskie oraz do informowania o istotnych zmianach w ich systemie zarządzania. Temu służyć ma umocowany prawnie kontrakt.

Procesom postępowania ze skargami i odwołaniami od decyzji jednostki, jako kolejnej zasadzie budującej zaufanie, został nadany rygor udokumentowania i publicznego dostępu. Organizacje mają prawo oczekiwać obiektywności procesu rozpatrywania skarg lub odwołań, powiadamiania ich o skargach dotyczących działalności certyfikowanej oraz ustalania z nimi postanowień dotyczących upublicznienia informacji o skardze i podjętych w jej wyniku działaniach. Organizacje muszą także liczyć się z intensyfikacją nadzoru nad działaniami podejmowanymi przez nie w wyniku skarg.

Przedstawione zmiany w wymaganiach nie zawsze są wymaganiami całkowicie nowymi, ale kładą nacisk na te wszystkie elementy systemu, które świadczą o działalności jednostki jako „strony trzeciej”, działającej na rzecz nie tylko jej bezpośrednich klientów, ale także konsumentów i władz publicznych.

Konsekwencje zmian w procesie certyfikacji

Kluczową zmianą jest wprowadzenie dwuetapowego auditu certyfikacyjnego. Ogólnym celem I etapu jest określenie przez jednostkę certyfikującą gotowości organizacji do realizacji II etapu poprzez potwierdzenie zgodności z wymaganiami dokumentacji systemu organizacji, rozumienia wymagań oraz oceny stopnia wdrożenia systemu i określenia zasobów do wykonania II etapu auditu. II etap to ocena wdrożenia i skuteczności systemu zarządzania. Między I i II etapem auditu powinien być odstęp czasowy umożliwiający organizacji podjęcie działań korygujących. Tylko w zupełnie wyjątkowych przypadkach jednostka może podjąć decyzję o wykonaniu etapu II auditu bezpośrednio po etapie I.

Organizacje certyfikowane będą musiały poddać się 1. auditowi w nadzorze nie później niż w 12 miesięcy od daty ostatniego dnia II etapu auditu certyfikacyjnego. W trzyletnim cyklu certyfikacji musi nastąpić audit ponownej certyfikacji (nie przedłużenia!), a decyzja o ponownej certyfikacji ma być podjęta przed upływem ważności certyfikatu. Jednostki muszą bardziej konsekwentnie prowadzić nadzór. Da to większe gwarancje, że klienci spełniają wymagania certyfikacyjne. Kolejne zmiany dotyczą przygotowania oceny. Upoważniony przedstawiciel organizacji wnioskującej o certyfikację musi dostarczyć niezbędne informacje pozwalające jednostce na podjęcie decyzji o przeprowadzeniu auditu w sposób rzetelny i niezagrażający bezstronności.

Norma dopuszcza wykorzystanie dla potrzeb auditu elektronicznych środków komunikacji. Możliwość wykorzystania tej techniki zależy od organizacji auditowanej, chociaż to jednostka powinna ustalić zasady wzajemnego współdziałania w tej dziedzinie.

Zgodność rozwiązań systemowych i specyfikacji technicznych wyrobu czy usługi z aktualnym prawem musi być weryfikowana. Wyniki auditu lub etapu auditu musi poznać organizacja auditowana. W odniesieniu do I etapu auditu certyfikacyjnego jednostka może nie przekazywać formalnego raportu, jeśli w dostępnym publicznie opisie procesu auditu zostało to określone. Nowością w normie PN-EN ISO/IEC 17021 jest rekomendacja zespołu auditorskiego w sprawie udzielenia certyfikatu. Decyzję nadal pozostawiono jednostce certyfikującej.

Program auditu powinien uwzględniać demonstrowany poziom skuteczności systemu zarządzania w organizacji i wyniki poprzednich auditów. Jest to szczególnie istotne przy auditach ponownej oceny i ma być swoistą nagrodą za dobre i skuteczne działania organizacji.

Norma PN-EN ISO/IEC 17021, chociaż dotyczy jednostek certyfikujących, niesie za sobą konsekwencje także dla organizacji certyfikowanych. Pozytywne – dla organizacji rzetelnych i dbających o dobry wizerunek solidnych dostawców wyrobów i usług spełniających oczekiwania ich odbiorców, negatywne – dla organizacji, w których system zarządzania ma działać tylko na pokaz dla jednostki certyfikującej.

PCA przygotowało proces utrzymania akredytacji przez jednostki certyfikujące w oparciu o wymagania normy PN-EN ISO/IEC 17021 i będzie wnikliwie oceniać ich działalność, realizując tym samym cel strategiczny – dbałość o wysoki poziom kompetencji akredytowanych jednostek, oraz wspierać budowę zaufania do systemu oceny zgodności wyrobów i usług dostarczanych przez organizacje posiadające certyfikaty systemów zarządzania. n

01-382 Warszawa, ul. Szczotkarska 42
tel. 022 355-70-00, fax 022 355-70-18
www.pca.gov.pl

Jakość – Normalizacja – Certyfikacja
Dodatek lobbingowy do RZECZPOSPOLITEJ.
9 listopada 2007 r.

Higher credibility of management system certification

Karol Hauptmann, director of Polish Centre for Accreditation (PCA)

The new approach towards standardized management systems, evident in the last few years, has been reflected in the ISO/IEC 17021 norm, titled „Conformity assessment – Requirements for bodies providing audit and certification of management systems.” The six principles contained therein: impartiality, qualifications, responsibility, openness, confidentiality, and responsiveness to complaints, have served as a basis to determine standards to be met by certification bodies.

On 28 June, 2007, the above-mentioned norm became the PN-EN ISO/IEC 17021:2007 norm. By 15 September, 2008, all accredited certification bodies are required to have implemented a management system that meets the standards stipulated in the norm.

The demands on certification bodies are clearly growing. This will also have an impact on relations between certification bodies and organizations undergoing certification. Consistent application of the six principles should have a positive effect on certification services and on the public perception of the value of certification, which is desirable for organizations that use their certified management systems to achieve their business goals.

The consequences of changes in certification bodies’ management systems

The norm gives highest importance to the principle of impartiality. Every certification body will have in its structure a powerful Committee with the main task of protecting impartiality. The Committee will include representatives of organizations to be certified who will support their organizations’ interests. Thus, the organizations will be more involved in assuring impartiality of the certification body and, indirectly, in assuring credibility of the certification process. Organizations seeking to be certified will have to provide in their application to the certifying body more detailed information about themselves, to include information on consultations that they have obtained in the process of preparing and implementing their management system. This will preclude potential conflicts of interest. Consequently, auditors, thanks to their impartiality, will provide more added value by thoroughly determining the organizations’ strengths and weaknesses. Simultaneously, there will be a lower risk of certification being granted to organizations who do not deserve it, which will in turn limit the number of suppliers in the market who breach the principles of fair competition by presenting certificates of questionable value.

The principle of responsibility results in a notion of a lawful contract for certification services that stipulates mutual obligations of the organization to be certified and of the certification body. This principle leads to the requirement that the certification body have financial reserves or insurance to cover potential liability resulting from wrong decisions. Certification bodies will obtain stronger guarantees that potential disagreements will be resolved on the basis of unquestionable legal documents.

Credibility of a certificate is directly linked to qualifications of the certification body and, most of all, of its employees. The high standards defined in the PN-EN ISO/IEC 17021 norm, such as the obligation to define competence criteria for all positions in the certification body, to include supporting personnel, should result in professional and ethical service on all levels of the certification and monitoring processes.

In spite of an apparent conflict with the principle of confidentiality, the principle of openness allows organizations to make an educated selection of the certification body as their business partner, on the basis of publicly available information. Such information should build confidence in impartiality of the certification body (declaration of its management), its professionalism (description of the certification and auditing process), and in transparent and competent assessments and decisions (procedures to handle complaints and appeals; lists of valid, suspended, and withdrawn certificates; methods to calculate work hours and determine grades). Organizations to undergo certification will be obligated by certification bodies to allow monitoring of their auditors by observers, with the purpose of evaluating their practical professional qualifications, and to inform of important changes in their management system. This will be assured by a legal contract between these entities.

The handling of complaints and appeals against decisions by the certification body, which is another confidence-building principle, now has to be documented and accessible to the public. Organizations have the right to a fair complaint and appeal handling process, to be informed of complaints concerning the certified activity, and to participate in decisions to make information of a complaint and the ensuing actions public. Organizations must also be aware that monitoring of their activities will be more intensive as a result of complaints.

The changed requirements presented above are not always completely new. What is new is their focus on all the elements of the system that relate to the certifying body acting as a „third party,” not only for the benefit its customers, but also for the benefit of consumers and public authorities.

The consequences of changes in the certification process

The key change of the certification process is the introduction of a two-stage certification audit. The general objective of the first stage is to determine the level of the organization’s preparedness for the second stage. The certification body achieves this by verifying if the documentation of the organization’s system meets the standards, if the organization understands the requirements of the system, how advanced is the implementation of the system, and what are the assets available for the performance of the second stage of the audit. The second stage consists in assessing the implementation and the effectiveness of the management system. A time interval is required between the two stages of the audit to give the organization undergoing certification a chance to take corrective action. Only as an exception, the certifying body may decide to conduct the second stage of the audit immediately after the first one.

Certified organizations are required to undergo the first monitoring audit no later than twelve months after the last day of the second audit in the certification process. A re-certification audit (not a prolongation audit) must take place in the three-year certification cycle, and the decision to re-certify the organization must be made before the expiry date of the original certificate. Certification bodies must be more consistent in their monitoring activities. This will provide a firmer guarantee that their customers will meet certification standards. Further changes in the norm concern the preparation of an assessment. An authorized representative of an organization applying for certification must provide all the necessary information so that the certifying body can make a decision to conduct a thorough and impartial audit.

The norm allows using electronic means of communication in audits. The decision to use such technologies is made by the organization to be audited but it is the certification body who should set the rules of cooperation in this respect.

It is necessary to verify compliance of systemic solutions and technical specifications of a product or service with current regulations. The results of an audit or an audit stage must be known to the organization undergoing the audit. The certifying body is not required to transfer a formal report of the first stage of a certification audit if the audit process description that is available to the public says so. What is new in the PN-EN ISO/IEC 17021 norm is the recommendation of the team of auditors concerning the granting of a certificate. However, the decision to grant a certificate remains in the scope of responsibilities of the certifying body.

Audit programs should take into consideration the demonstrated effectiveness of the organization’s management system as well as the results of previous audits. This is particularly important in re-certification audits, as it ought to serve as a reward for good and effective actions taken by the organization.

The introduction of the PN-EN ISO/IEC 17021 norm brings consequences to certified organizations, even though the norm concerns certification bodies. Those consequences are positive for solid organizations who put effort in maintaining their image of reliable suppliers of goods and services that meet the expectations of their customers; they are negative for those whose management system is meant to work only for the purpose of passing the certification process.

The PCA has elaborated the process of accreditation of certification bodies on the basis of requirements stipulated in the PN-EN ISO/IEC 17021 norm and, through diligent assessment of their activities, will work towards the strategic goal of maintaining high qualifications of certification bodies. The PCA will also support building confidence in systems to assess conformity of goods and services provided by organizations with certified management systems. n

01-382 Warszawa, ul. Szczotkarska 42
tel. 022 355-70-00, fax 022 355-70-18
www.pca.gov.pl