Procedury certyfikacji
Przebieg procesu certyfikacji przedstawia schemat
1 etap – działania przed certyfikacją
2 etap- planowanie auditów
3 etap- certyfikacja
4 etap- decyzja dotycząca certyfikacji
5 etap- utrzymanie certyfikacji
1 ETAP – DZIAŁANIA PRZED CERTYFIKACJĄ
Przegląd wniosku
Wymaga się aby organizacja zainteresowana procesem certyfikacji w Jednostce Certyfikującej “PNG” wypełniła wniosek ( formularz PS-9.0,1-1). Formularz elektroniczny wniosku znajduje się na stronie internetowej Jednostki – www.certyfikacja.co
Upoważniona osoba dokonuje oceny wniosku w celu upewnienia się, czy:
Ø informacje dotyczące Organizacji i jej systemu zarządzania są wystarczające do przeprowadzenia auditu?
Ø w całej organizacji jest wdrożony pojedynczy system zarządzania ?
Ø można zastosować próbkowanie, które oddziały podlegają próbkowaniu?
Ø wymagania certyfikacyjne są wyraźnie zdefiniowane i udokumentowane oraz zostały dostarczone wnioskującej Organizacji?
Ø wszystkie znane różnice w rozumieniu zagadnień pomiędzy jednostką certyfikującą a Organizacją zostały rozwiązane?
Ø Jednostka ma kompetencje i możliwości przeprowadzenia działalności certyfikacyjnej?
Ø występują kwestie związane z sezonowością ? ( dotyczy ISO 22000)
Ø wzięto pod uwagę zakres certyfikacji, o którą ubiega się wnioskodawca, lokalizację działalności wnioskującej Organizacji, czas potrzebny do przeprowadzenia auditu, oraz inne ( język, warunki bezpieczeństwa, zagrożenie dla bezstronności)
Ø uznano zasadność wyłączeń ?
Ø została zachowana bezstronność?
Jeżeli w wyniku przeglądu wniosku na powyższe pytania odpowiedź jest pozytywna upoważniona osoba akceptuje wniosek. W przypadku odrzucenia wniosku sporządza się pismo informacyjne dla Klienta.
Jednostka Certyfikująca “PNG” uznaje certyfikaty wydane przez inne akredytowane jednostki
certyfikujące. W takim przypadku Organizacja zobowiązana jest dostarczyć
upoważnienie dla wydającej jednostki certyfikującej do przekazania informacji wnioskowanych przez jednostkę certyfikującą „PNG” Sp. z o.o. ( jako akceptującą) dotyczących procesu certyfikacji organizacji.
Przejęcie jest możliwe wyłącznie pod warunkiem zamknięcia wcześniejszych niezgodności ( jeżeli wystąpiły) oraz dochowania obowiązujących terminów wymaganych w procesie certyfikacji. Jeżeli podczas przeglądu przed przeniesieniem nie zidentyfikowano żadnych dodatkowych nierozwiązanych lub potencjalnych problemów, certyfikacja będzie udzielona podczas procesu podejmowania decyzji. W przypadku nie dotrzymania powyższych warunków przejęcie następuje w trybie pełnego cyklu certyfikacyjnego.
Po uzyskaniu pozytywnej oceny wniosku uruchamiany jest Program Auditów w którym dokumentowane są istotne elementy procesu certyfikacji, w tym również zmiany
Kalkulacja, ustalanie czasu auditu, wybór oddziałów, audit zintegrowany
Upoważniona osoba uruchamia etap kalkulacja w oparciu o:
· wypełniony wniosek, przesłany przez Klienta
· dodatkowe informacje uzyskane od Klienta ( jeżeli występuje taka konieczność)
· instrukcję -Ustalanie danych do zakresu auditu. Kalkulowanie ceny usługi certyfikacyjnej
Upoważniona osoba uruchamia krok „oferta” a po jej akceptacji przez Klienta uruchamia etap „umowa” . Umowa jest przekazywana Klientowi do zatwierdzenia.
2 ETAP- PLANOWANIE AUDITÓW
Ustalany jest z Organizacją termin przeprowadzenia auditu.
Klient otrzymuje Powiadomieniu o audicie. Organizacja ma prawo w uzasadnionych wypadkach nie wyrazić zgody na zaproponowanego auditora/eksperta.
W Powiadomieniu o audicie zobowiązuję się Klienta do przesłania auditorowi wiodącemu-
dokumentacji potrzebnej do przeprowadzenia auditu. Auditor wiodący dokonuje oceny otrzymanej dokumentacji pod kątem spełnienia wymagań normy do certyfikacji. W przypadku uwag, braków kontaktuje się bezpośrednio z Klientem w celu przekazania wyników oceny dokumentacji i ustalenia terminu uzupełnienia dokumentacji.
3 ETAP- CERTYFIKACJA
Przeprowadzenie 1 etapu auditu
Cele pierwszego etapu auditu certyfikacyjnego (ISO 9001, 14001):
Ø auditowania dokumentacji systemu zarzadzania Klienta,
Ø oceny lokalizacji Klienta i specyficznych lokalizacji warunków oraz przeprowadzenia rozmów z personelem Klienta w celu określenia gotowości do drugiego etapu auditu,
Ø przeprowadzenia przeglądu statusu Klienta i zrozumienie przez niego wymagań normy, zwłaszcza w odniesieniu do procesów, celów i działania systemu zarządzania,
Ø zebrania niezbednych informacji dotyczacych zakresu systemu zarzadzania, procesów i lokalizacji Klienta oraz zwiazanych z nimi statutowych i prawnych aspektów oraz zgodności (np. aspektów jakościowych, prawnych działalności Klienta, związane z nimi ryzyko, itp )
Ø przeprowadzenie przeglądu przydziału zasobów do drugiego etapu auditu i uzgodnienia z Klientem szczegółów drugiego etapu,
Ø skoncentrowanie się na zaplanowaniu 2 etapu poprzez osiągnięcie wystarczającego zrozumienia systemu zarzadzania Klienta ,
Ø oceny, czy są planowane i realizowane audity wewnętrzne i przeglądy zarządzania oraz czy poziom wdrożenia systemu zarzadzania uzasadnia gotowość Klienta do drugiego etapu auditu.
Dodatkowo dla auditu 1 etapu certyfikacyjnego ISO 27001 celem powinno być uzyskanie wystarczającej wiedzy na temat zaprojektowania SZBI w kontekście organizacji klienta, szacowania i postępowania z ryzykiem (w tym określonych zabezpieczeń), polityki i celów bezpieczeństwa informacji, a w szczególności przygotowania organizacji klienta do przeprowadzenia audytu. To pozwoli na planowanie etapu 2.
Cele pierwszego etapu auditu certyfikacyjnego (ISO 22000) , przegląd stopnia w jakim:
Ø zakresie opracowano i wdrożono dokumenty systemu FSMS,
Ø organizacja rozpoznała programy PRP, które są właściwe do prowadzonej działalności ( np. w aspekcie wymagań prawnych, klientów i programów certyfikacji),
Ø FSMS uwzględnia odpowiednie procesy i metody do identyfikowania i oceny zagrożeń bezpieczeństwa żywności w organizacji, a następnie wyboru i kategoryzacji środków nadzoru ( kombinacje),
Ø respektowane są przepisy prawne dotyczące bezpieczeństwa żywności
w odpowiednim sektorze organizacji ( dostępność stosownych upoważnień),
Ø FSMS jest zaprojektowany tak, aby była realizowana polityka organizacji w zakresie bezpieczeństwa żywności,
Ø program wdrożenia FSMS uzasadnia przejście do drugiego etapu auditu,
Ø walidacja środków nadzoru, działań i programy doskonalenia są zgodne z wymaganiami standardów FSMS,
Ø dokumenty i dyspozycje FSMS mają na celu zapewnienie komunikacji wewnętrznej oraz z odpowiednimi dostawcami, klientami i zainteresowanymi stronami, są wdrożone,
Ø konieczny jest przegląd dodatkowych potrzeb dokumentacyjnych i/lub rodzaju potrzebnej wiedzy, jaką nalezy uzyskać z wyprzedzeniem
Jeżeli Organizacja posiada zintegrowany system zarządzania zgodny z więcej niż jedną normą możliwy jest wspólny audit w/g tych norm odniesienia.
Dopuszcza się wykonywanie obu etapów bezpośrednio po sobie, z uwzględnieniem faktu, że zostały osiągnięte cele etapu 1.
Auditor wiodący opracowuje plan auditu i przesyła go do Klienta i pozostałych auditorów.
Auditor przygotowuje raport z etapu 1 auditu.
Auditor wiodący planując odstęp pomiędzy pierwszym a drugim etapem auditu musi uwzględnić konieczność rozwiązania przez Organizacją kwestii zidentyfikowanych podczas pierwszego etapu auditu i w razie konieczności rewizję przygotowania Jednostki Certyfikującej do drugiego etapu.
Przed auditem certyfikacyjnym Organizacja powinna skutecznie podjąć działania korygujące w stosunku do ujawnionych przez auditora(ów) niezgodności.
Odstęp czasu pomiędzy pierwszym i drugim etapem auditu nie może być dłuższy niż 6 miesięcy. W przypadku przekroczenia tego okresu, etap pierwszy należy powtórzyć
Przeprowadzenie 2 etapu auditu
Celem drugiego etapu auditu (ISO 9001, ISO 22000, ISO 14001) jest ocena wdrożenia , w tym skuteczności systemu zarządzania Klienta.
Powinien on obejmować co najmniej:
Ø informacje i dowody zgodności ze wszystkimi wymaganiami stosownej normy dotyczącej systemu zarządzania lub innego dokumentu normatywnego,
Ø monitorowanie, pomiary, raportowanie i przeglądanie osiągnięć w odniesieniu do kluczowych celów i zadań, ( zgodnych z oczekiwaniami w stosownej normie dotyczącej systemu zarządzania lub innym dokumencie normatywnym),
Ø system zarządzania Klienta i sposób jego działania pod względem zgodności z prawem,
Ø kontrolę operacyjną procesów Klienta,
Ø audity wewnętrzne i przeglądy zarządzania,
Ø odpowiedzialność kierownictwa za ustanowioną politykę,
Ø powiązania pomiędzy wymaganiami normatywnymi, polityką, celami i zadaniami dotyczącymi osiągnięć (spójnymi z oczekiwaniami w stosownej normie dotyczącej systemu zarządzania lub innym dokumencie normatywnym), wszystkimi mającymi zastosowanie wymaganiami prawnymi, odpowiedzialnością, kompetencjami personelu, działaniami, procedurami, danymi dotyczącymi osiągnięć oraz ustaleniami i wnioskami z auditów wewnętrznych
Celem drugiego etapu auditu ISO 27001 jest ocena skuteczności wdrożenia systemu zarządzania bezpieczeństwem informacji, poprzez potwierdzenie, że organizacja przestrzega własnej polityki, swoich celów oraz procedur.
Audit u Klienta powinien się koncentrować na:
a) przywództwie i zaangażowaniu wykazywanym przez najwyższe kierownictwo w zakresie polityki bezpieczeństwa oraz celów bezpieczeństwa informacji;
b) wymaganiach dotyczących dokumentacji, wymienionych w ISO/IEC 27001;
c) oszacowaniu ryzyka w bezpieczeństwie informacji oraz, że przy powtórzeniu, szacowania te dają spójne, ważne i porównywalne wyniki;
d) określeniu celów stosowania zabezpieczeń oraz zabezpieczeń, w oparciu o procesy szacowania ryzyka w bezpieczeństwie informacji i postępowania z ryzykiem;
e) wynikach działań dotyczących bezpieczeństwa informacji oraz skuteczności SZBI, ocenianych na zgodność z celami bezpieczeństwa informacji
f) powiązaniach pomiędzy określonymi zabezpieczeniami, Deklaracją Stosowania, wynikami procesów szacowania ryzyka i postępowania z ryzykiem w bezpieczeństwie informacji oraz polityką i celami bezpieczeństwa informacji;
g) wdrożeniu zabezpieczeń, biorąc pod uwagę zewnętrzny i wewnętrzny kontekst oraz związane z tym ryzyka, realizowane przez organizację monitorowanie, pomiary i analizę procesów i środków zabezpieczeń informacji, w celu określenia, czy zabezpieczenia są wdrożone i skuteczne w osiąganiu określonych celów bezpieczeństwa informacji;
h) programach, procesach, procedurach, zapisach, audytach wewnętrznych i przeglądach skuteczności SZBI w celu upewnienia się, że wynikają z decyzji kierownictwa, polityki oraz celów bezpieczeństwa informacji
Auditor wiodący opracowuje plan i przesyła go do Klienta oraz pozostałych auditorów.
Drugi etap auditu odbywa się na miejscu w siedzibie Klienta z możliwością uwzględnienia technik zdalnego auditowania
Audit rozpoczyna zespół auditujący spotkaniem otwierającym.
Celem spotkania otwierającego jest:
– przedstawienie Jednostki Certyfikującej “PNG”,
– przedstawienie członków zespołu auditującego,
– omówienie zakresu, celu i kryteriów auditu,
– potwierdzenie planu auditu,
– zadeklarowanie poufności uzyskanych informacji podczas auditu,
– krótka prezentacja tego, jak będą wykonywane działania auditowe,
– metodę raportowania, łącznie ze stopniowaniem niezgodności,
– potwierdzenie kanałów komunikowania się pomiędzy zespołem a auditowanym ( zaleca się aby zespół auditujący okresowo wymieniał informacje, oceniał postęp auditu, możliwość zadawania pytań przez auditowanego),
– potwierdzenie dostępności , roli i tożsamości przewodników i obserwatorów,
– informowanie o warunkach, w jakich może nastąpić przerwanie auditu,
– potwierdzenie języka, w jakich będzie przeprowadzany audit,
– potwierdzenie właściwych procedur bezpieczeństwa pracy, procedur awaryjnych i ochrony
dla zespołu auditującego,
– potwierdzenie statusu ustaleń z poprzedniego przeglądu lub auditu, jeśli ma to zastosowanie.
Audit przeprowadzany jest zgodnie z planem, auditorzy dokumentują jego przebieg w notatkach. Auditorzy zbierają informację poprzez: rozmowy, obserwację działań oraz przegląd dokumentów.
Zespół auditujący powinien przeanalizować wszystkie informacje i dowody z auditu zebrane podczas pierwszego i drugiego etapu auditu w celu dokonania przeglądu ustaleń z auditu i uzgodnienia wniosków z auditu.
Niezgodności mogą być duże i małe.
Niezgodność duża występuje gdy następuje :
– niespełnienie jednego lub więcej wymagań normy dotyczącej systemu zarządzania, lub
– sytuacja budząca poważne wątpliwości co do zdolności systemu zarządzania Klienta do
osiągnięcia jego zamierzonych wyników.
Niezgodność mała dotyczy sytuacji innych niż dla niezgodności dużej.
Niezgodności duże muszą zostać usunięte, a do niezgodności małych muszą być przejrzane i zaakceptowane planowane przez klienta korekcje i działania korygujące aby auditor wiodący mógł złożyć wniosek o udzielenie certyfikacji.
W przypadku stwierdzenia niezgodności auditor wiodący uzgadnia z odpowiedzialnymi przedstawicielami organizacji i spisuje protokół niezgodności. Protokół niezgodności powinien być spisany najpóźniej na spotkaniu zamykającym. Osoby odpowiedzialne ze strony klienta, powinny sformułować i ustalić takie działania korekcyjne, które skutecznie usuną niezgodność. Także osoby te powinny wykryć przyczynę niezgodności i podjąć działanie korygujące, które zabezpieczy przed ponownym wystąpieniem niezgodności.
Auditor wiodący decyduje o zaszeregowaniu niezgodności z punktu widzenia działań korygujących i końcowego ich rozliczenia. Mogą być zastosowane następujące rozwiązania:
· audit poprawkowy lub
· dostarczenie planowanych przez klienta korekcji i działań korygujących oraz dowodu
usunięcia niezgodności ( dokumentacja, zdjęcie itp.) ( do 28 dni roboczych od zakończenia auditu) lub
· dostarczenie planowanych przez klienta korekcji i działań korygujących( do 7 dni roboczych od zakończenia auditu)
Audit kończy się spotkaniem zamykającym prowadzonym przez auditora wiodącego, którego celem jest:
Ø poinformowanie o wnioskach zespołu auditującego dotyczących oceny zgodności z kryteriami auditu,
Ø potwierdzenie zakresu certyfikacji
Ø przedstawienie pozytywnych aspektów ocenionego systemu zarządzania,
Ø prezentacja stwierdzonych niezgodności, spostrzeżeń i obserwacji,
Ø przedstawienie wniosków dotyczących rekomendacji
Ø ustalenie terminu działań korekcyjnych i korygujących ( jeżeli wystąpiły niezgodności)
Auditor wiodący informuje również Organizację o jej prawie do wniesienia uwag do Raportu z auditu 2 etapu w terminie do 7 dni od daty jego otrzymania. Brak uwag w w/w terminie oznacza akceptację treści Raportu z auditu.
4 ETAP- DECYZJA DOTYCZĄCA CERTYFIKACJI
Po pozytywnej weryfikacji dokumentacji auditowej raport z auditu niezwłocznie przesyłany jest do Klienta. Organizacja ma prawo na wniesienie swoich uwag odnośnie raportu.
Rada Ekspertów podczas spotkań przeprowadza wyrywkowy monitoring poprawności procesu certyfikacji głównie pod kątem zachowania zasad bezstronności, poprzez ocenę losowej próbki dokumentacji certyfikowanych Organizacji.
Upoważniona osoba do podejmowania decyzji certyfikacyjnej przed podjęciem decyzji przeprowadza kontrolę procesu certyfikacji, oceniając:
· raport z auditu,
· protokoły niezgodności z potwierdzeniem ich usunięcia lub akceptacji działań,
· notatki auditorów,
· wszelkie informacje dotyczące rozpatrywanej Organizacji
Pozytywna decyzja certyfikacyjna nie może być podjęta jeżeli nie zostaną usunięte wszystkie zidentyfikowane podczas auditu niezgodności duże..
Upoważniona osoba do podejmowania decyzji certyfikacyjnej w przypadku wątpliwości może wystąpić do Rady Ekspertów o wydanie opinii w przedmiotowej sprawie.
Upoważniona osoba do podejmowania decyzji certyfikacyjnej decyduje o :
5.2.9a – udzieleniu certyfikacji, lub
5.2.9b- utrzymaniu certyfikacji, lub
5.2.9c – ponowne udzielenie certyfikacji, lub
Jeżeli Upoważniona osoba do podejmowania decyzji certyfikacyjnej nie udziela certyfikacji, to wystawia się Raport dla Klienta z uzasadnieniem odmowy i niezwłocznie przekazuje się Raport Klientowi.
Wydanie Certyfikatu. Certyfikat zatwierdza Dyrektor Jednostki DJ.
Okres ważności certyfikacji określa się na trzy lata ( 36 miesięcy) od dnia podjęcia decyzji.
Nie dopuszcza się wydawania certyfikatów, na których przywołane są jednocześnie nieakredytowane i akredytowane obszary działalności jednostki.
5 ETAP UTRZYMANIE CERTYFIKACJI
Audity nadzoru
Audity nadzoru odbywają się w siedzibie Organizacji. Audit nadzoru jest jednoetapowy.
Audity w nadzorze są przeprowadzone minimum raz w roku, z zastrzeżeniem, iż data pierwszego auditu nadzoru po audicie certyfikującym ustalana jest w terminie nie późniejszym niż 12 miesięcy od daty podjęcia decyzji o certyfikacji i dostosowana do sezonu, czasu trwania działań. Pozostałe audity nadzoru będą przeprowadzane przed upływem 12 lub 24 miesięcy ± 3 miesiące od daty podjęcia decyzji o certyfikacji i dostosowane do sezonu, czasu trwania działań.
Celem auditu nadzoru jest upewnienie się, że Organizacja nadal spełnia wymagania stawiane przy certyfikacji. JC “PNG” planuje działania w nadzorze tak, aby zapewnić regularne monitorowanie reprezentatywnych obszarów i funkcji objętych zakresem systemu zarządzania a także uwzględnić zmiany w systemie zarządzania certyfikowanej Organizacji.
W przypadku auditów nadzoru przed planowanym terminem Kierownik DCS kieruje do:
Ø Klienta wniosek elektroniczny w celu nowelizacji danych lub potwierdzenia braku zmian lub
Ø Pismo o podaniu znowelizowanych danych lub potwierdzenie braku zmian
Organizacja, przebieg i dokumentacja auditu nadzoru jest analogiczna jak dla drugiego etapu auditu certyfikacyjnego. Audity w nadzorze są auditami na miejscu, ale niekoniecznie są auditami całego systemu powinny być jednak planowane łącznie z inną działalnością w nadzorze tak aby JC “PNG” mogła utrzymać zaufanie, że certyfikowany system zarządzania nadal spełnia wymagania w czasie pomiędzy auditami dla ponownej certyfikacji.
Audity w nadzorze (ISO 9001, ISO 14001, ISO 22000) obejmują co najmniej:
Ø audity wewnętrzne i przeglądy zarządzania,
Ø przegląd działań podjętych w odniesieniu do niezgodności zidentyfikowanych podczas poprzedniego auditu,
Ø postępowanie ze skargami,
Ø skuteczność systemu zarządzania pod względem osiągania celów ogólnych przez Organizację,
Ø postęp planowanej działalności mającej na celu stałe doskonalenie,
Ø ciągłą kontrolę operacyjną,
Ø przegląd wszelkich zmian,
Ø stosowanie znaków i/lub powoływanie się na certyfikację
Celem auditu nadzoru (ISO 27001) jest zweryfikowanie, czy zaaprobowany SZBI jest nadal wdrożony, rozważenie wpływu jaki na ten system mają zmiany zainicjowane zmieniającymi się działaniami u klienta i potwierdzenie ciągłej zgodności z wymaganiami certyfikacji. Programy audytów nadzoru ISMS powinny obejmować co najmniej:
a) elementy utrzymania systemu, takie jak szacowanie ryzyka w bezpieczeństwie informacji i utrzymanie zabezpieczeń, wewnętrzny audyt SZBI, przegląd zarządzania oraz działania korygujące;
b) komunikację ze stronami zewnętrznymi,
c) zmiany w udokumentowanych systemach;
d) obszary przeznaczone do zmian;
e) skuteczność SZBI w odniesieniu do realizacji celów polityki bezpieczeństwa informacji organizacji klienta;
f) funkcjonowanie procedur okresowej oceny i przeglądu zgodności z powiązanymi przepisami prawa i regulacjami dotyczącymi bezpieczeństwa informacji;
g) zmiany w określonych zabezpieczeniach i wynikające z nich zmiany w Deklaracji Stosowania;
h wdrożenie i skuteczność zabezpieczeń zgodnie z programem audytów
Przy wystąpieniu niezgodności auditorzy postępują tak, jak podczas auditu certyfikacyjnego z tą różnicą, że każdy proces nadzoru czyli audit łącznie z działaniami korygującymi dotyczącymi stwierdzonych niezgodności oraz zwolnienie procesu w Jednostce Certyfikującej musi być zakończony nie później niż trzy miesiące po dacie auditu nadzoru. Przekroczenie tego terminu skutkuje zawieszeniem certyfikacji.
Zawieszenie certyfikatu następuje także w przypadku, gdy audit nadzoru nie zostanie wykonany w wymaganym terminie. Decyzję zawieszenia certyfikatu podejmuje Dyrektor Jednostki, powiadamiając o tym pisemnie Organizację.
W celu cofnięcia zawieszenia certyfikatu można wykonać audit nadzoru w ciągu kolejnych trzech miesięcy. Jeśli taki audit nie zostanie wykonany, certyfikat zostaje decyzją Dyrektora Jednostki cofnięty.
Ponowna certyfikacja systemów zarządzania
Przed upływem ważności certyfikatu , najlepiej 3 miesiące przed tą datą Organizacja powinna wypełnić i przesłać wniosek o ponowną certyfikację.
Audit ponownej certyfikacji przeprowadzany jest nie późniejszym niż przed upływem ważności certyfikacji z uwagi na to, że Jednostka Certyfikująca “PNG” musi zaplanować audit dla ponownej certyfikacji w taki sposób, żeby Organizacja miała odpowiedni czas na usunięcie ewentualnych niezgodności przed upływem daty ważności certyfikacji.
Organizacja, przebieg i dokumentacja auditu ponownej certyfikacji jest analogiczna jak dla drugiego etapu auditu certyfikacyjnego.
Audit poprzedzony jest przeglądem dokumentacji systemu. Audit ponownej certyfikacji
przeprowadzany jest na miejscu. Dyrektor Jednostki może podjąć decyzję o konieczności
przeprowadzenia auditu w dwóch etapach (np. przy bardzo znaczących zmianach w auditowanej Organizacji lub jej systemie zarządzania lub np. zmian legislacyjnych, w przypadku przejęcia firm na etapie ponownej certyfikacji ).
Celem auditu ponownej certyfikacji jest potwierdzenie stałej zgodności i skuteczności systemu zarządzania jako całości oraz jego stałej odpowiedniości i przydatności do zakresu certyfikacji. Audit ponownej certyfikacji ma na celu przedłużenie ważności certyfikacji na kolejne trzy lata.
Audit ponownej certyfikacji powinien uwzględniać skuteczność systemu zarządzania w okresie objętym certyfikacją oraz obejmować przegląd raportów z poprzednich auditów w nadzorze.
Audit ponownej certyfikacji obejmuje i w szczególności uwzględnia:
Ø skuteczność systemu zarządzania jako całości w świetle zmian wewnętrznych i zewnętrznych oraz jego stałą odpowiedniość i przydatność do zakresu certyfikacji,
Ø wykazanie zaangażowania w utrzymaniu skuteczności i doskonaleniu systemu zarządzania w celu poprawy ogólnego sposobu działania,
Ø ustalenie, czy funkcjonowanie certyfikowanego systemu zarządzania przyczynia się do realizacji polityki i celów ogólnych Organizacji.
Przy wystąpieniu niezgodności auditorzy postępują tak, jak podczas auditu certyfikacyjnego z tą różnicą, że każdy proces ponownej certyfikacji, czyli audit łącznie z działaniami korygującymi dotyczącymi stwierdzonych niezgodności oraz zwolnienie procesu w Jednostce Certyfikującej musi być zamknięty przed końcem ważności certyfikacji.
Przekroczenie tego terminu skutkuje nie przedłużeniem ważności certyfikacji. Organizacja może ubiegać się o ponowną certyfikację, a nowy certyfikat obowiązuje od dnia podjęcia decyzji o przyznaniu nowego certyfikatu po przeprowadzonym audicie certyfikacyjnym.
Decyzję o nie przedłużeniu ważności certyfikacji podejmuje Dyrektor Jednostki, powiadamiając o tym pisemnie Organizację.
Na decyzję odnośnie odnowienia certyfikacji wpływają następujące czynniki:
wyniki auditu ponownej certyfikacji, wyniki przeglądu systemu w okresie certyfikacji,
skargi otrzymywane od użytkowników certyfikacji.
Po wygaśnięciu certyfikacji można wznowić certyfikację w ciągu sześciu miesięcy pod warunkiem zakończenia niewykonanych działań dotyczących ponownej certyfikacji, w przeciwnym razie należy przeprowadzić co najmniej drugi etap. Data wejścia w życie decyzji wskazana na certyfikacie powinna być datą podjęcia decyzji w sprawie ponownej certyfikacji, lub datą po podjęciu tej decyzji, a data ważności certyfikacji powinna być określona na podstawie wcześniejszego cyklu certyfikacji.
Audity specjalne
Rozszerzanie zakresu certyfikacji
Jednostka Certyfikująca “PNG” na wniosek Organizacji dotyczący rozszerzenia zakresu udzielonej certyfikacji przeprowadza tzw. audit specjalny. Zakres oceny dokumentacji i auditu jest odpowiedni do proponowanego rozszerzenia zakresu. Audit specjalny może być powiązany z auditem nadzoru. Audit specjalny nie ma wpływu na czas ważności certyfikacji. Organizacja, przebieg i dokumentacja auditu specjalnego jest analogiczna jak dla drugiego etapu auditu certyfikacyjnego.
Audity z krótkim terminem powiadamiania
Audity z krótkim terminem powiadamiania są przeprowadzane w celu zbadania skarg lub w odpowiedzi na zmiany przedstawiane przez Organizację bądź w ramach postępowania z Organizacjami zawieszonymi. Decyzja o konieczności przeprowadzenia tego auditu zależy od oceny Dyrektora Jednostki. Jednostka Certyfikująca zobowiązana jest do przesłania Organizacji informacji o warunkach, na których wizyty z krótkim terminem powiadomienia mają być przeprowadzane..
Organizacja nie ma w takich przypadkach możliwości zgłoszenia zastrzeżeń do składu zespołu auditorów.
Certyfikacja grupowa QMS, EMS, ISMS
W przypadku systemu zarządzania w programie QMS, EMS, ISMS funkcjonującego w wielu
oddziałach konieczne jest ustalenie, czy dozwolone jest próbkowanie.
Nie można zastosować metody próbkowania w Organizacjach wielooddziałowych , w
których w całej organizacji wdrożonych jest wiele systemów zarządzania, w ich przypadku,
każdy oddział powinien być traktowany jak organizacja jednooddziałowa.
Próbkowania nie można zastosować gdy:
ü wszystkie oddziały realizują istotnie różne procesy/działania,
ü Klient sobie tego życzy,
ü istnieje program sektorowy lub wymaganie prawne, zgodnie z którym każdy oddział powinien być systematycznie auditowany
ü oddziały zatrudniają powyżej 50 osób,
ü organizacja prowadzi działania w wielu oddziałach tymczasowych, nawet jeżeli nie są one wymienione w zakresie certyfikowanego systemu.
Próbkowanie można zastosować do oddziałów, które realizują bardzo podobne procesy/działania mieszczące się w zakresie organizacji i funkcja centralna jest odpowiedzialna za w gromadzenia i analizowania danych ze wszystkich oddziałów i powinna wykazać swoje uprawnienia i zdolność do inicjowania zmian organizacyjnych między innymi, ale nie wyłącznie w kontekście:
· Dokumentacji systemu i zmian w systemie,
· Przeglądów zarządzania,
· Skarg,
· Oceny działań korygujących,
· Planowania audytów wewnętrznych i oceny ich wyników,
· Wymagań przepisów prawnych i regulacyjnych dot. obowiązującej normy
Metodologia próbkowania w organizacji wieloodziałowej
Co najmniej 25 % próbki było wybrane losowo.
Biorąc pod uwagę wspomniane poniżej postanowienia, zaleca się, aby pozostała część
próbki była wybrana w taki sposób, aby różnice pomiędzy oddziałami, wybranymi
w czasie całego okresu ważności certyfikatu, były możliwie duże.
Przy wyborze oddziałów można uwzględnić, między innymi, następujące aspekty:
� Wyniki auditów wewnętrznych w oddziałach i przeglądów zarządzania lub
dotychczasowych auditów certyfikacyjnych;
� Zapisy dotyczące skarg oraz inne istotne aspekty działań korygujących
i zapobiegawczych;
� Znaczące różnice w wielkościach oddziałów;
� Różnice dotyczące pracy zmianowej i procedur pracy;
� Złożoność systemu zarządzania i procesów realizowanych w oddziałach;
� Zmiany wprowadzone od czasu ostatniego auditu certyfikacyjnego;
� Dojrzałość systemu zarządzania i wiedza o organizacji;
� Kwestie dotyczące środowiska oraz zasięg aspektów środowiskowych i związanych z
nimi wpływów w systemie zarządzania środowiskowego
� Odmienność kulturowa, językowa i wymagań przepisów prawnych; oraz
� Rozproszenie geograficzne oddziałów oraz czy są to oddziały stałe, tymczasowe czy
Wirtualne
Wybór ten nie musi być dokonany na początku procesu auditu. Można go także dokonać
po zakończeniu auditu funkcji centralnej. W każdym przypadku funkcja centralna powinna być poinformowana o oddziałach, które będą wchodziły w skład próbki. Informacje te można
przekazać ze stosunkowo krótkim wyprzedzeniem przed auditem, jednak należy zapewnić wystarczającą ilość czasu na przygotowanie do auditu.
Centrala powinna być auditowana podczas każdej certyfikacji i ponownej oceny oraz
co najmniej raz w roku w nadzorze.
Jeżeli organizacja ma hierarchiczny system oddziałów (np. centrala (główne biuro), biura
krajowe, biura regionalne, filie lokalne), to zdefiniowany powyżej model próbkowania stosuje się w audicie certyfikacji początkowej do każdego z tych poziomów
Jeżeli próbkowanie było możliwe to w przypadku zgłoszenia nowych oddziałów lub nowej
grupy oddziałów do włączenia do już certyfikowanej organizacji wielooddziałowej, Kierownik Działu Certyfikacji Systemów podejmuje decyzję,czy przeprowadzić audit nowego(-ych) oddziału(-ów) czy nie. Po włączeniu nowego(-ych) oddziału(-ów) do certyfikatu należy określić wielkość próbki dla kolejnych auditów w nadzorze lub auditów ponownej certyfikacji.
Metodologia prowadzenia auditu organizacji wielooddziałowych w przypadkach,
gdy zastosowanie próbkowania nie jest właściwe
Podczas auditów certyfikacji początkowej oraz ponownej certyfikacji należy auditować wszystkie oddziały. Audity w nadzorze powinny objąć w ciągu roku kalendarzowego 30% oddziałów, po zaokrągleniu w górę do liczby całkowitej. Każdy audit będzie obejmował funkcję centralną. Do drugiego auditu w nadzorze będą zazwyczaj wybierane inne oddziały niż te wybrane do pierwszego auditu w nadzorze.
W przypadku zgłoszenia nowego oddziału do włączenia do już certyfikowanej organizacji wielooddziałowej, oddział ten powinien zostać poddany auditowi przed włączeniem go do
certyfikatu, a ponadto objęty planowanym nadzorem w programie auditów. Po włączeniu
nowego oddziału do certyfikatu, przy określaniu czasu auditu dla kolejnych auditów w
nadzorze lub auditów ponownej certyfikacji oddział ten powinien zostać uwzględniony
razem z pozostałymi.
Certyfikacja grupowa FSMS
Przykłady organizacji wielooddziałowych to:
- organizacjedziałające na zasadzie franczyzy;
- grupyproducentów (dla kategorii A i B);
- przedsiębiorstwoprodukcyjne posiadające jeden lub więcej zakładów
produkcyjnych oraz sieć biur sprzedaży
- organizacjeusługowe posiadające wiele lokalizacji oferujących podobne usługi;
- organizacjeposiadające wiele oddziałów
W przypadku auditowania organizacji wielooddziałowych w ramach jednej certyfikacji, zastosowanie mają następujące warunki:
- Wszystkie oddziały funkcjonują w ramach jednego, centralnie nadzorowanego
i administrowanego FSMS,
- oddziały są podobne ( podkategoria łańcucha żywnościowego, położenie geograficzne, procesy i technologie, wielkość i złożoność, wymagania prawne i inne, wymagania klientów, zagrożenia dla bezpieczeństwa żywności i środki kontroli),
- funkcja centralna jest częścią organizacji, wyraźnie określoną i niezlecaną organizacji zewnętrznej,
- wszystkie oddziały mają powiązanie prawne lub umowne z funkcją centralną,
- funkcja centralna posiada uprawnienia organizacyjne do definiowania, ustanawiania i utrzymywania FSMS, funkcja centralna jest odpowiedzialna za zapewnienie gromadzenia i analizowania wyników oceny i skarg klientów ze wszystkich oddziałów,
- wszystkie oddziały podlegają programowi auditów wewnętrznych organizacji i zostały poddane auditowi,
- FSMS organizacji podlega centralnemu przeglądowi kierownictwa,
- Funkcja centralna ma uprawnienia do inicjowania ciągłego doskonalenia FSMS,
- Ustalenia z auditu w poszczególnych oddziałach powinny być traktowane jako odnoszące się do całego systemu i zgodnie z tym powinny być wdrażane korekcje
- W przypadku próbkowania oddziałów, organizacja powinna przeprowadzić audit wewnętrzny w każdym oddziale w ciągu roku przed certyfikacją oraz, gdzie ma to zastosowanie, dostępna będzie skuteczność działań korygujących. Po certyfikacji coroczny audit wewnętrzny obejmuje wszystkie oddziały organizacji objęte zakresem certyfikacji i wykaże stałą skuteczność działań korygujących
.
W przypadku kategorii A i B jest dozwolone próbkowanie, przy czym minimalna wielkość próby jest pierwiastkiem kwadratowym z całkowitej liczny oddziałów, zaokrąglając w górę do następnej liczby całkowitej. Próbkę pierwiastkową należy pobrać dla każdej kategorii ryzyka w oparciu o złożoność produkcyjną zakładów ( np. produkcja roślin na otwartym polu, produkcja roślin wieloletnich, produkcja w pomieszczeniach zamkniętych, hodowla zwierząt na otwartych terenach, hodowla zwierząt w pomieszczeniach zamkniętych).
Jest dozwolone próbkowanie w przypadku kategorii F i G i wyłącznie w przypadku obiektów typu ponownego ogrzewania ( np. catering na imprezy, kawiarnie, puby) dla kategorii E wyłącznie w przypadku obiektów o ograniczonym przygotowaniu lub gotowaniu ( np. podgrzewanie, smażenie).W organizacjach liczących 20 oddziałów lub mniej, auditowi powinny być poddane wszystkie oddziały. W przypadku organizacji posiadających więcej niż 20 obiektów minimalna liczba obiektów, z których należy pobrać próbkę, wynosi 20 plus pierwiastek kwadratowy z całkowitej liczby innych obiektów, zaokrąglając w górę do następnej liczby całkowitej. Dotyczy to wszystkich rodzajów auditów.
Stosowanie próbkowania w organizacjach innych niż w kategoriach A,B,F,G,E nie jest
dozwolone
Co najmniej raz w roku powinien być wykonywany audit centrali FSMS przed audytami oddziałów. Co najmniej raz w roku powinny być wykonywane audity w wymaganej liczbie wybranych oddziałów.
Ustalenia z auditu w auditowanych oddziałach powinny być traktowane jako odnoszące się do całego systemu i zgodnie z tym wdrażane korekcje.
Zwiększa się wielkość próbki lub kończy pobieranie próbek w organizacji, jeżeli FSMS podlegający certyfikacji nie wskazuje możliwości osiągnięcia zamierzonych wyników. Próba powinna być częściowo selektywna, a częściowo losowa i skutkować wybraniem reprezentatywnego zakresu różnych lokalizacji, zapewniając, że wszystkie procesy objęte zakresem certyfikacji zostaną poddane audytowi.
Co najmniej 25% próbki wybiera się losowo. Pozostałą część należy dobrać tak, aby różnice pomiędzy wybranymi lokalizacjami w okresie ważności certyfikacji były jak największe. Przy wyborze oddziałów do próbkowania należy uwzględnić:
– wyniki auditów wewnętrznych, przeglądu zarządzania lub poprzednich auditów,
– zapisy reklamacji, wycofań/odwołań/ zwrotów produktów i innych istotnych aspektów
działań naprawczych,
– różnice w charakterystyce miejsca,
– inne istotne zmiany od ostatniego auditu
Jeżeli w jakimkolwiek oddziale wystąpiła duża niezgodność i działania naprawcze były nie
zostały wdrożone i/lub nieterminowe i/lub nieskuteczne, certyfikacja nie powinna być
przyznana ani utrzymana dla całej organizacji wielooddziałowej do czasu skutecznych
działań naprawczych
Zawieszanie, cofanie lub ograniczanie zakresu certyfikacji
Jednostka zawiesza certyfikację i zleca działania wyjaśniające w przypadku :
· gdy certyfikowany system zarządzania Klienta stale lub w poważnym stopniu nie spełnia wymagań certyfikacyjnych, w tym wymagań dotyczących skuteczności systemu zarządzania,
· uniemożliwienia przeprowadzenia działań auditowych w nadzorze lub auditów dla ponownej certyfikacji z wymaganą częstotliwością,
· stwierdzenia przekroczenia praw i zobowiązań określonych w umowie certyfikacyjnej, jeżeli to przekroczenie nie nosiło znamion złej woli,
· niespełnienie w terminie zobowiązań finansowych wobec JC,
· Klient certyfikowany sam dobrowolnie poprosił o zawieszenie
WARUNKI ZAWIESZENIA:
Kara:
Certyfikacja jest czasowo nieważna i zgodnie z umową o certyfikacji Klient musi się powstrzymać od dalszego promowania swojej certyfikacji.
Czas trwania:
Okres czasu zostanie wyznaczony przez JC i nie będzie przekraczać okresu 6 miesięcy. Po wygaśnięciu tego okresu, sankcje, które nie doprowadziły do rozwiązania zaistniałych problemów, spowodują cofnięcie certyfikacji i zerwanie kontraktu między JC a organizacją.
Zniesienie zawieszenia:
Zawieszenia zostaną utrzymane dopóki nie będzie pisemnego potwierdzenia informującego, że niezgodność, z której wyniknęło zawieszenie, została rozwiązana. JC podejmie decyzję o przeprowadzeniu zapowiedzianego lub niezapowiedzianego auditu w celu weryfikacji dowodów.
Jednostka ogranicza zakres certyfikacji w przypadku:
· gdy część certyfikowanego systemu zarządzania Klienta stale lub w poważnym stopniu nie spełnia wymagań certyfikacyjnych dla tych części zakresu certyfikacji
przy czym ograniczenie musi spełniać wymagania normy zastosowanej do certyfikacji
· na wniosek Klienta,
WARUNKI OGRANICZENIA:
Ograniczenie zakresu certyfikacji jest równoznaczne z cofnięciem certyfikacji w określonej części zakresu.
Jednostka cofa certyfikacji w przypadku:
· nadużycia przez Klienta uprawnień wynikających z posiadania certyfikatu,
· stwierdzenia podczas auditu nadzoru istotnych uchybień niemożliwych do szybkiego usunięcia ( naprawy),
· niespełnienia w ustalonym terminie warunków postawionych przy zawieszeniu ważności certyfikacji, chyba że Klient uzgodnił z JC zmianę terminu,
· organizacja nie dopełniła warunków dotyczących terminowego przeprowadzenia auditu nadzoru,
· organizacja nie poddała się auditowi dodatkowemu lub pozaplanowemu, który był wymagany lub wynik tego auditu jest negatywny
· niespełnienie zobowiązań finansowych wobec JC
· na wniosek Klienta,
· zmiany zakresu.
WARUNKI ANULOWANIA= COFNIĘCIA
Kara:
Po powiadomieniu o cofnięciu certyfikacji, Klient jest zobowiązany do całkowitego zaprzestania jej używania we wszystkich materiałach reklamowych zawierających jakiekolwiek powoływanie się na status i logo organizacji certyfikowanej
Czas trwania:
Organizacja której cofnięto certyfikację nie może ponownie ubiegać się o certyfikację w przez okres 12 miesięcy od daty podjęcia decyzji o cofnięciu.
Zasady współpracy z wnioskodawcami oraz z posiadaczami certyfikatów
Jednostka certyfikująca dąży do zapewnienia sprawnej współpracy z klientami,
z uwzględnieniem zaspokojenia ich potrzeb, przy zachowaniu wszelkich wymagań formalnych systemu certyfikacji.
Sprawną współpracę z klientami zapewnia między innymi to, że wszelkie istotne informacje są przekazywane w formie elektronicznej, telefonicznej lub/i pisemnej i w sposób udokumentowany. Zachowanie poufności jest zapewnione dzięki przekazywaniu informacji tylko osobom upoważnionym przez wnioskodawcę.
W celu sprawniejszej komunikacji z Klientem wprowadzono program „IPsystemy”.
A. Uzgodnienia
Na wstępnym etapie procedury certyfikacji jednostka certyfikująca szczegółowo uzgadnia
z wnioskującym zakres certyfikacji, przyjęcie warunków umowy.
Powoływanie się na certyfikację systemów zarządzania i stosowanie znaków reguluje procedura PS-8.0,1, która jest:
Ø dostępna na stronie internetowej Jednostki oraz,
Ø przyjęta przez klienta po podpisaniu umowy na usługę certyfikacyjną
Nie zezwala się na używanie znaku certyfikacji FSMS na produkcie ani na opakowaniu produktu. Opakowanie produktu, obejmuje wszystkie opakowania produktu, zarówno opakowanie podstawowe (w którym znajduje się produkt), jak i wszelkie opakowania zewnętrzne lub wtórne.
Nie zezwala się na umieszczanie na opakowaniu produktu jakiejkolwiek informacji, że klient posiada certyfikowany FSMS. Dotyczy to wszystkich opakowań produktów, zarówno opakowań podstawowych (zawierających produkt), jak i wszelkich opakowań zewnętrznych lub wtórnych
- Przerwanie procesu certyfikacji
Przerwanie procesu certyfikacji może nastąpić na pisemne życzenie wnioskującego na każdym etapie tego procesu, przy czym jednostka certyfikująca może domagać się poniesienia przez wnioskującego kosztów realizacji procesu do chwili jego przerwania.
Powodem przerwania procesu certyfikacji może też być nie wywiązanie się wnioskującego w ustalonym terminie z uzupełnienia wymaganej dokumentacji lub nie wniesienie ustalonych opłat.
C. Informowanie o zmianach
W przypadku zmian w wymaganiach lub zaistnienia konieczności wprowadzenia zmian w procedurach
związanych z procesem certyfikacji w tej jednostce, powiadamia ona o tym wszystkich
zainteresowanych, wraz z określeniem terminu wprowadzenia tych zmian, w celu umożliwienia podjęcia odpowiednich działań dostosowawczych.
D. Odwołania i skargi
Klienci mają prawo do składania odwołań od decyzji jednostki certyfikującej.
Skargi mogą dotyczyć :
Ødziałań Jednostki Certyfikującej “PNG”,
Ødziałań certyfikowanych organizacji
Procedury zintegrowanego systemu zarządzania jednostki certyfikującej zapewniają bezstronne załatwianie odwołań i skarg, obowiązek terminowego powiadamiania zgłaszającego odwołanie lub skargę o sposobie jej załatwienia oraz o możliwości ewentualnego odwołania się do Rady Ekspertów. Sprawy sporne związane z umową zawartą między posiadaczem certyfikatu a jednostką certyfikującą mogą być rozstrzygane na drodze prawnej przewidzianej dla tego rodzaju umów. - Koszty związane z certyfikacją i opłaty
Koszty związane z całym przeprowadzonym procesem certyfikacji ponosi wnioskodawca niezależnie od wyniku procesu certyfikacji.
Koszt usługi certyfikacyjnej jest kalkulowany dla każdego Klienta indywidualnie.
Podstawowe elementy składowe kalkulacji ceny: koszt przeprowadzenia auditów oraz koszty inne czyli koszt udziału w systemie certyfikacji
Jednostka Certyfikująca informuje Organizację o czasie potrzebnym na przeprowadzenie auditów, informacja ta jest każdorazowo przekazywana w umowie oraz powiadomieniu o planowanym audicie. - Informacje udostępniane na żądanie
Jednostka Certyfikująca udostępnia na żądanie informacje:
Øobszarach geograficznych, w których działa,
Øo statusie danej certyfikacji,
Ø o nazwie, związanym dokumencie normatywnym, zakresie i geograficznej lokalizacji ( miasto i kraj) określonego certyfikowanego klienta