SYSTEMZERTIFIZIERUNGEN

Transkript

1 . ZERTIFIZIERUNGSSTELLE Leoben Parkstraße 11 A 8700 Leoben 0043 (0) office@systemcert.at PROZESSBESCHREIBUNG zur Durchführung von Rev. 18 / Stand: Mai 2015 SystemCERT Anmerkung zum Dokument: Wenn im Text männliche Schreibweisen verwendet werden, so ist bei Entsprechung auch die weibliche Form inkludiert. Dieses Dokument wurde entsprechend den Vorgaben zur Lenkung von Dokumenten erstellt, geprüft und freigegeben. Andreas Tiefengraber Andreas Tiefengraber DI Franz Gruber erstellt: überarbeitet: geprüft/freigegeben: Datum: Datum: Datum:

2

3 PROZESSBESCHREIBUNG DURCHFÜHRUNG VON Inhaltsverzeichnis 1 Ziel und Zweck Begriffe und Abkürzungen Zertifizierungs-Prozess Dokumentation/Aufzeichnungen Anlagen / Mitgeltende Dokumente Seite 3 von 10

4

5 PROZESSBESCHREIBUNG 1 Ziel und Zweck Diese Prozessbeschreibung ist die Ausführungsgrundlage für die Zertifizierung von Managementsystemen nach unterschiedlichen Auditkriterien. Der Ablauf berücksichtigt im Speziellen die Forderungen der ISO sowie der ISO 17021, welche die normative Basis für diese Durchführung darstellt. Mit dieser Vorgabe soll ein einheitlicher Standard beim Auditieren sichergestellt werden. 2 Begriffe und Abkürzungen Grundsätzlich werden die Begriffe und Abkürzungen gemäß ISO/IEC und ISO verwendet. Die hier angeführten Begriffe dienen der besseren Lesbarkeit der Prozessbeschreibung. Auditkriterium Auditteam Auditumfang Auditaufwand Scope ist das Referenzdokument anhand dessen die Konformität eines Managementsystems im Zuge der Zertifizierung festgestellt wird. Dies kann sowohl eine internationale/nationale/europäische Norm als auch ein Leitfaden einer anerkannten Stelle (z.b. SCC Sektorkomitee) sein. kann aus mehreren Personen bestehen. Dazu zählen Auditteamleiter (Lead-Auditor), Auditor, Sachkundiger und auszubildender Auditor (Beobachter). Die Qualifikationsanforderung muss durch die Gesamtheit der Beteiligten gegeben sein und nicht durch jede einzelne Person im Team. berücksichtigt die zu zertifizierenden Teile einer Organisation/eines Managementsystems (Prozesse, Unternehmen, Organisationseinheiten). definiert den zeitlichen Rahmen, in dem ein Zertifizierungsaudit durchgeführt werden muss. Er ist in der Regel definiert durch Vorgaben der Akkreditierungsstelle (Leitfäden) oder sonstige regulative Dokumente (SCC-Dokumente). ist die Bezeichnung für die Branchenzuordnung von Organisationen. Nach dieser Zuordnung werden die Berechtigungen für den Zertifizierungsrahmen und die Qualifikationen des Auditteams festgelegt. Internes Audit kann nur durchgeführt werden, wenn ein Zertifizierungsaudit in den nächsten 3 Jahren nicht angedacht ist. Kurz-Audit Vor-Audit Nach-Audit Zertifizierungsaudit (Stufe 1) Zertifizierungsaudit (Stufe 2) kombinierte Audits Erstzertifizierungsaudit Wird auf Wunsch des Kunden durchgeführt. In komprimierten Darstellungen und Bewertungen (durch Stichproben) gibt das Kurz-Audit einen Überblick über Auf Wunsch des Kunden kann ein Voraudit in der zu zertifizierenden Organisation durchgeführt werden. Es dient der Vorbeurteilung von QMHB und Unternehmen sowie der Abklärung offener Fragen zur Darlegung des QM-Systems. Ev. erkannte Schwachstellen lassen sich bis zum Zertifizierungsaudit beheben. Wird dann durchgeführt, wenn im Zuge von Audits Abweichungen vorgefunden wurden, welche nicht umgehend behoben werden können, aber für den Abschluss der Zertifizierung unabdingbar sind. Das Nachaudit wird spätestens 6 Monate nach der Erstinspektion durchgeführt; es werden die durchgeführten Verbesserungsaktivitäten geprüft. dient grundsätzlich zur formalen Überprüfung des Managementsystems und zum Kennenlernen der Organisation. Die Stufe 1 hat bei Zertifizierungsaudits grundsätzlich vor Ort (in der Organisation) statt zu finden. Hier ist die Umsetzung des Managementsystems gemäß ISO/IEC 17021, ISO und den jeweiligen spezifischen Leitfäden zu begutachten. Dabei ist besonders auf die Maßnahmenliste der Stufe 1 Rücksicht zu nehmen. Werden kombinierte Audits durchgeführt (ISO 9001 / ISO ,-3,-4 / EN / SCC SCP / OHSAS / ISO / ISO 29990), ist jedes Managementsystem gesondert zu auditieren, wobei Synergieeffekte aus den unterschiedlichen Managementsystemen genutzt werden können. Es ist nicht zulässig, dass beispielsweise mit einer Zertifizierung einer Organisation nach ISO 9001 und ISO eine Zertifizierung nach EN ohne einer Auditierung zusätzlich ausgesprochen wird. ist das Audit für eine erstmalige Zertifizierung einer Organisation. Das Zertifikat ist 3 Jahre gültig, sofern keine Abweichungen in den Folgejahren entstehen. Überwachungsaudit ist die jährliche Überwachung durch die Zertifizierungsstelle. Auditaufwand = mindestens 1/3 der Erstzertifizierung. Seite 5 von 10

6 PROZESSBESCHREIBUNG Re-Zertifizierungsaudit (Wiederholungsaudit) Übernahmeaudit Aussetzung Entzug / Einschränkung Zurückziehung ist das Audit zur Verlängerung des Zertifikates für weitere 3 Jahre. Auditaufwand = mindestens 2/3 der Erstzertifizierung. Wenn ein von einer anderen akkreditierten Zertifizierungsstelle zertifiziertes Unternehmen die Zertifizierungsstelle wechselt, und die Zertifizierung von der neuen Zertifizierungsstelle im Rahmen eines Audits anerkannt wird. Die zertifizierte Organisation kann bei der Zertifizierungsstelle schriftlich um Aussetzung der Zertifizierung ansuchen. Die Aussetzung kann für 6 Monate erfolgen, in diesem Zeitraum darf die Organisation keine Werbung betreiben, dass sie über ein zertifiziertes Managementsystem (Qualität, Umwelt, Sicherheit, Schweißtechnik) verfügt. Hinweise auf der Homepage sind umgehend zu entfernen. Die Aussetzung kann auch durch den Auditteamleiter beantragt werden, wenn die Wirksamkeit des Managementsystems aufgrund der Auditfeststellungen nicht gegeben ist oder die Fristen für die Überwachungs- und Wiederholungsaudits durch die zertifizierte Organisation nicht eingehalten werden. Während der Zeit der Aussetzung wird der Hinweis auf die Zertifizierung der Organisation von der Homepage der Zertifizierungsstelle entfernt. Nach der Zeit der Aussetzung ist erneut ein Re-Zertifizierungsaudit (Stufe 2-Audit) durchzuführen. Bei maßgeblichen Abweichungen (Nichtkonformitäten, die in einem Abweichungsprotokoll festgeschrieben wurden und mit einem Behebungstermin versehen sind), die nicht innerhalb des Behebungstermins, jedoch spätestens nach 6 Monaten behoben werden können, ist der zertifizierten Organisation das Zertifikat zu entziehen oder, wenn möglich, der Geltungsbereich einzuschränken. Beim Entzug des Zertifikates (Entzug der Zertifizierung) müssen alle gültigen Zertifikate an die Zertifizierungsstelle zurückgesendet werden und die Verwendung des Zertifizierungszeichens sowie die Bewerbung als zertifizierte Organisation ist vollständig zu unterlassen (Homepage, Folder, Programme, usw.). Die Einhaltung dieser Maßnahme wird durch die Zertifizierungsstelle überprüft (Einsichtnahme in Homepage). Bei einer Einschränkung sind diejenigen Teile des QMS, die die Anforderungen nicht erfüllen, aus dem Geltungsbereich zu streichen. Der Kunde wird über diese Vorgehensweise bei der Angebotslegung durch den Hinweis auf die Geschäftsbedingungen informiert. Im Falle einer Zurückziehung müssen alle Zertifikate an die Zertifizierungsstelle zurückgesendet werden und die Verwendung des Zertifizierungszeichens ist in dieser Zeit untersagt. Die Organisation wird ebenfalls aus der Liste der zertifizierten Organisation (Homepage) gestrichen. Seite 6 von 10

7 3 Zertifizierungs-Prozess Input Tätigkeit Output V D I Bemerkung o Anfrage durch einen Kunden o Leitfäden des BMWFW o NACE Tabelle o FO Anfrage-Angebot o Kompetenz-DB o KSV-Daten (bei Bedarf) o Prüfung der Unparteilichkeit o ggf. gültiges Systemzertifikat einer akkr. Zertifizierungsstelle Anfrage entgegennehmen SCOPE ermitteln Machbarkeit prüfen o FO Anfrage-Angebot Kundendaten (Mitarbeiteranzahl, Standorte, Produkt, ) Auditart bestehende Zertifikate o zugeordneter SCOPE o Kapazität der AuditorInnen (Unparteilichkeit) o Bonität der Organisation o SCOPE-Zulassung/Anforderung PROZESSBESCHREIBUNG GF O K Die Veranlassung kann durch einen neuen Kunden oder aufgrund einer bereits erfolgten Zertifizierung (Re-Zertifizierung, Überwachung) im Zuge des Programms erfolgen. Die Daten können entweder im entsprechenden Formular oder anderwärtig dokumentiert werden. GF O --- Ist die SCOPE-Zuordnung mittels Leitfäden des BMWFW nicht möglich, so ist die internationale NACE-Tabelle heranzuziehen. GF O --- Die Machbarkeit beinhaltet die Ressourcen des ev. Auditteams, die Zulassung für den jeweiligen SCOPE und die Bonitätsprüfung des Kunden. Weiters werden Gefährdungspotenziale hinsichtlich der Unparteilichkeit ermittelt, falls gegeben dokumentiert und Gegenmaßnahmen eingeleitet. Mit der Unterfertigung des Angebotes wird die positive Prüfung der Machbarkeit und damit die Begründung der Entscheidung ein Audit durchzuführen dokumentiert. Bei Übernahmeaudits gelten die Regelungen des IAF MD 02. Grundsätzlich werden Übernahmen durch SystemCERT nur im Rahmen eines Re-Audits durchgeführt. Wird von dieser Regelung abgewichen, so ist dies zu begründen. Im Vorfeld findet zusätzlich eine Dokumentenprüfung statt. o FO Anfrage-Angebot o Leitfäden IAF MD 05 (Duration) IAF MD 02 (Transfer) IAF MD 01 (Multisite) IAF MD 11 (Integrated Systems) o Anzahl der Manntage o Angebotsvorlage Angebot erstellen o unterfertigtes Angebot o Angebotsliste aktualisiert GF O K Das Angebot wird auf Basis von firmenspezifischen Daten erstellt (Vorgaben des Kunden). Dazu werden die in den Leitfäden erläuterten Berechnungsanleitungen zur Auditdauerbestimmung angewendet. Das unterfertigte Angebot wird per Mail an die Organisation versendet; auf Wunsch auch per Post. Der Auditaufwand wird mit Hilfe der Leitfäden LF 08, IAF MD 05 (Auditdauer allg.), IAF MD 01 (Multi Site) sowie IAF MD 11 (IMS, combined Audit) ermittelt. Bei mehreren Standorten wird grundsätzlich versucht, innerhalb eines Zertifizierungszyklus (E-Re-Audit bzw. Re-Re- Audit) alle Standorte mindestens 1mal zu auditieren. o Angebotsliste Angebote nachfragen o Angebotsliste ergänzt o ENDE bei Ablehnung o Unterfertigtes Angebot o FO Beauftragung (unterfertigt) o Kundendaten o Kompetenz-DB o aufrechte Berufung o FO Beauftragung (AuditorIn) o freier Dienstvertrag Beauftragung an Kunden Kundenordner anlegen Auditteam festlegen und beauftragen o FO Beauftragung (Antrag auf Zertifizierung) O O --- Dieser Prozessschritt kann zu einer Anpassung des 1. Angebotes führen. O O --- Für die Beauftragung durch den Kunden kann noch ein Kundengespräch im Vorfeld notwendig sein. o Kundenordner O O GF Der Kundenordner ist standardisiert aufgebaut und enthält alle fürs Audit notwendigen Unterlagen. o Beauftragung zum Audit, inkl. Unparteilichkeitserklärung o FO Auditplan o FO Dokumentenprüfung (bei relevanten Regelwerken und nur bei Erstzertifizierungen) GF O AT Auf Basis der Einträge in der Kompetenz-DB und der erforderlichen Scope-Zuordnung wird das Auditteam zusammengestellt und beauftragt (Voraussetzung ist eine aufrechte Berufung). Liegt keine Gewerbeberechtigung vor, ist ein freier Dienstvertrag auszustellen und eine Anmeldung über die LV erforderlich. Seite 7 von 10

8 Input Tätigkeit Output V D I Bemerkung o FO Auditbericht, inkl. Audit-Checkliste und FO Abweichungsprotokoll o FO Angaben zur Zertifikatsausstellung o FO Beauftragung (AuditorIn) o Auditteam o Angebot (Auditdaten) o o Auditkriterium o Leitfäden des BMWA o Richtlinie für Auditoren o Dokumente der Organisation o Dokumente des Kunden o FO Auditplan o Angebot o Dokumente des Kunden o Auditkriterium o FO Dokumentenprüfung o Auditplan o FO Auditplan (Stufe 2) o FO Auditbericht, inkl. AuCL o FO Abweichungsprotokoll o FO Angaben zur Zertifikatsausstellung o FO Auditbericht, inkl. AuCL Audittermin festlegen Dokumente der Organisation anfordern und an Auditteam weiterleiten Dokumentenprüfung Auditplan erstellen und an die Organisation senden Dokumente und Rahmenbedingungen prüfen (Stufe 1) Audit durchführen (Stufe 2) Auditbericht erstellen und an Zertifizierungsstelle weiterleiten o Terminvereinbarung o Eintrag SYS-DB o Dokumente des Kunden o FO Dokumentenprüfung O O, AT K AT PROZESSBESCHREIBUNG Die Terminvereinbarung erfolgt zwischen der Zertifizierungsstelle, dem Kunden und den beauftragten Auditoren (siehe RL für Auditteammitglieder von System- und Produktzertifizierungen). O O (ATL) AT, K Die anzufordernde Dokumentation beinhaltet mindestens das Managementhandbuch und ggf. weitere zur Auditplanung nötige Dokumente. Bei Übernahmeaudits zusätzlich die Zertifikate und letzten Auditberichte. ATL ATL K Sollten bei der Dokumentenprüfung Mängel aufscheinen, ist dies der Organisation mitzuteilen. Die Behebung der Mängel muss vor dem Audit nachgewiesen sein. o Auditplan ATL ATL K, O Der Auditplan ist zeitgerecht (14 Tage vor dem Audit) an die Organisation zu übermitteln. Ein Einspruch durch den Kunden kann zu einer Änderung des Auditplans führen. o FO Auditbericht 9001, 29990, (Stufe 1) o FO Abweichungsprotokoll o Auditplan (Stufe 2) o FO Auditbericht, inkl. AuCL o FO Abweichungsprotokolle o FO Angaben zur Zertifikatsausstellung o FO Auditbericht, inkl. AuCL ATL AT K, O Das Ergebnis des Stufe 1 Audits wird direkt im Abschlussgespräch kommuniziert und schriftlich, mittels des FO Auditbericht 9001,14001 (Stufe 1) dem Kunden ausgehändigt. Bei Abweichungen wird mit dem Kunden eine Maßnahmenliste FO Abweichungsprotokoll erstellt, die bis zum Audit Stufe 2 umzusetzen sind. Die nachgewiesenen Behebungen der Auditabweichungen aus dem Stufe 1 Audit sind im Abweichungsprotokoll schriftlich zu vermerken. Der Auditplan für die Stufe 2 ist bei Bedarf und bei Verzögerungen in der Behebung der Abweichungen anzupassen. Das Stufe 2 Audit kann erst stattfinden, wenn alle Abweichungen aus dem Stufe 1 Audit nachweislich behoben sind. ATL AT K, O Während des Audits müssen Aufzeichnungen geführt werden; die Art und Weise obliegt dem Auditor. Abweichungen werden vom Auditteamleiter protokolliert, eine Frist zur Behebung wird vereinbart und dokumentiert (Abweichungsprotokoll). Das Audit ist erst nach nachweislicher Behebung aller Abweichungen als abgeschlossen zu betrachten. Nach dem Audit ist mit dem Kunden das Formular zur Zertifikatsausstellung zu besprechen (genauer Firmenwortlaut, Geltungsbereich, Logo erwünscht). ATL ATL AT Der Auditbericht ist in der vorgegebenen Form O ausgefüllt an die Zertifizierungsstelle zu übermitteln. Eine ggf. händisch geführte Auditcheckliste mit den Auditnachweisen ist der Zertifizierungsstelle zu übermitteln. Der Auditbericht soll vom Auditteamleiter spätestens 4 Tage nach Audit an die Zertifizierungsstelle übermittelt werden. Spätestens 10 Werktage nach dem Audit sollte der Bericht (inkl. Zertifikat) an die auditierte Organisation übermittelt werden. Seite 8 von 10

9 PROZESSBESCHREIBUNG Input Tätigkeit Output V D I Bemerkung o FO Zertifizierungsentscheidung o Auditbericht o FO Abweichungsprotokoll o Auditplan o Beauftragung Entscheidung über die Zertifizierung o Zertifizierungsentscheidung GF Interne ATL O Diese findet formal nur nach dem Erstzertifizierungs- und Re-Zertifizierungsaudit statt. Im Zuge der Entscheidung kann auch ein Nachaudit erforderlich sein. Die Zertifizierungsaussprache erfolgt nach der gründlichen Überprüfung der Ergebnisse des Audits sowie der Kontrolle der nachweislichen Umsetzung etwaiger Abweichungen. Grundsätzlich kann diese jeder Auditteamleiter der Zertifizierungsstelle durchführen, sofern er nicht im Zuge des entsprechenden Audits eingesetzt war. o FO Angaben zur Zertifikatsausstellung Zertifikat u. Zertifizierungs-Logo erstellen o FO Auditbericht, Zertifikat 1, Zertifizierungs-Logo 2, Auditbe- inkl. AuCL o Zertifikat richt 1 übermitteln, o Zertifizierungs-Logo inkl. Kundenzufriedenheitsfragebogen o FO Kundenzufriedenheit o FO AuditorInnen- Bewertung o FO Kundenzufriedenheit Beurteilung der Auditoren und der Zertifizierungsstelle o alle im Zuge des Audits erstellten Unterlagen im Kunden- Ablage der Auditunterlageordner o Auditdaten o FO Kundenzufriedenheit o Kundendaten o Auditunterlagen o Auditprogramm Eintrag der aktualisierten Daten in die SYS-DB Aktualisierung der Zertifikatsträger im WEB Aktualisierung des Auditprogramms o Zertifikat o Zertifizierungs-Logo o Versandbestätigung der Post o Auditteam-Bewertung SYS-DB O O K Das Zertifizierungslogo und das Zertifikat werden mit der Registrier-Nr. versehen. Der Kunde hat bei der Erstellung des Zertifikates Einfluss auf: Firmenwortlaut mit Adresse und die Formulierung des Geltungsbereiches. O O K Die Versendung erfolgt per Post 1 und per Mail 2 (inkl. Angabe zur Zeichennutzung lt. AGB). Mit dem Zertifikat wird auch das FO Kundenzufriedenheit versendet. O K GF, AT, O Die Messung der KundInnenzufriedenheit erfolgt mittels Fragebogen, der spätestens mit dem Auditbericht und der Rechnung an die Organisation übermittelt wird. Die Bewertungsergebnisse sind in der SYS-DB zu führen. Ergebnisse der AuditorInnenbewertung durch den Kunden werden den AuditorInnen regelmäßig kommuniziert. GGf. werden Maßnahmen festgelegt und umgesetzt. o Kundenordner O O --- Im Kundenordner werden alle kunden- und auditspezifischen Aufzeichnungen und Dokumente abgelegt. o ExplorerOrdner o SYS-DB o Kompetenz-DB o Liste der zertifizierten Unternehmen o SYS-DB o Auditprogramm O O --- Das durchgeführte Audit wird in der SYS-DB und die eingesetzten AuditorInnen in der Kompetenz-DB eingetragen. O O --- Die Aktualisierung erfolgt in regelmäßigen Abständen nicht unmittelbar nach dem Audit. O O Das Auditprogramm wird fortgeschrieben; ev. notwendige Adaptierungen werden dabei berücksichtigt (Umfang, Kriterien,..). o Legende: GF Geschäftsführung der Zertifizierungsstelle, K Kunde, O Office der Zertifizierungsstelle, AT Auditteam, ATL Auditteamleiter, Z Zertifizierungsstelle, V Verantwortung, D Durchführung, I Information Nachfolgend ist die Liste der zu verwendenden Erkennungsbuchstaben für die Registriernummer/das Zertifizierungslogo ab angeführt. o ÖNORM EN ISO 3834-x: Welding o EN : Train o ÖNORM EN : Product o OHSAS: O o ÖNORM EN ISO 9001: Quality o ÖNORM EN ISO 14001: Umwelt o SCC, SCP, SGM: Safety o ONR : Compliance o ÖNORM ISO 29990: Bildung o ÖNORM EN ISO 50001: Energie Seite 9 von 10

10 3.1 Dokumentation/Aufzeichnungen PROZESSBESCHREIBUNG Sämtliche Dokumente und Aufzeichnungen, die im Zuge des Zertifizierungsprozesses entstehen sind im Kundenordner (Papier-und EDV-Version) nachvollziehbar abgelegt. Zu diesen Unterlagen (nach Themen sortiert) gehören: 1. Auditpläne 2. Auditberichte 3. Dokumentenprüfung 4. Auditchecklisten / Abweichungsprotokolle 5. Angebot / Erhebungsbogen / Beauftragung / Rechnung 6. Entscheidung über die Zertifizierung 7. Angaben zur Zertifikatsausstellung 8. Zertifikat 9. Korrespondenz 10. Unternehmensunterlagen (Kunden-Dokumente des Managementsystems - mind. das zum Zeitpunkt des letzten Audits gültige) Des Weiteren sind alle relevanten Daten einschließlich einer durchgeführten AuditorInnenbewertung in der SYS- DB bzw. Kompetenz-DB einzutragen. 4 Anlagen / Mitgeltende Dokumente Die nachfolgend angeführten Dokumente (in der jeweils gültigen Fassung) sind für die Durchführung dieser Prozessbeschreibung bei Bedarf heranzuziehen: Leitfäden des BMWFW, Sonstige Leitfäden (z.b. LF 08, Dokumente des SCC-Sektorkomitees) ISO 19011, ISO/IEC 17021, ISO Normen und Regelwerke (ISO 9001, ISO 14001, OHSAS 18001, ISO , -3, -4, SCP, SCC, SGM der AUVA, EN , EN , ISO 29990, ISO 50001) RL Richtlinie für Auditteammitglieder von System- und Produktzertifizierungen Formulare (FO) die im Rahmen der Managementsystemzertifizierungen anzuwenden sind MD Geschäftsbedingungen Systemzertifizierung IAF MD 05 Audit Duration IAF MD 02 Transfer of Accredited Certification of Management Systems IAF MD 01 Certification on multiple Sites Based on sampling IAF MD 11 Audits of integrated management Systems Seite 10 von 10