Beschlüsse des SK-M Managementsysteme

Transkript

1 Seite: 1/9 Anmerkung zu dieser Revision: Änderungen zur Version 1.7 dieser Beschlussliste sind gelb markiert. Zur vorhergehenden Version 1.8 wurde im Beschluss 4/2017 lediglich eine formale Anpassung vorgenommen, die für das Verständnis des Beschlusses erforderlich war und keine inhaltliche Anpassung darstellt. Die Änderung ist im Beschluss 4/2017 grün markiert. Eine erneute Bestätigung der Beschlussliste durch den Akkreditierungsbeirat ist daher nicht erforderlich. Die Liste beinhaltet alle akkreditierungsrelevanten Beschlüsse des SK-M seit Sofern Beschlüsse von neueren Normen oder Regelungen abgelöst werden, werden sie aus der Liste gelöscht. Beschlüsse sind Anforderungen, wenn diese nicht eingehalten / umgesetzt werden, besteht eine Nicht-Konformität (Abweichung), die ggf. zum Verlust der Akkreditierung führen kann. Datum der Bestätigung durch den Akkreditierungsbeirat: /2011 (vom ) Multi-Site Verfahren nach DAkkS 71 SD (entspricht IAF MD1:2007) können nicht angewendet werden, wenn nationale Gesetze dem entgegenstehen. Aus diesem Grund ist die Anwendung bei einem Verbund von Apotheken nicht zulässig. Die DAkkS informiert darüber die Bundesapothekenkammer.

2 Seite: 2/9 3/2013 (vom Anpassung vom ) Rezertifizierungen DIN EN ISO/IEC 17021:2011, Abs Abs. 9.4 ff: Hinweis: Dieser Beschluss wird mit Ablauf der Übergangsfrist zur ISO/IEC :2015 ab von Beschluss 2/2017 abgelöst. Diese Regelung gilt für alle Managementsystem Zertifizierungen (QMS, UMS, OHSAS, EnMS, ISMS, EN 9100, SCC, FSMS, etc.). Über diese Regelung hinausgehende Anforderungen an Zertifizierungsprogramme (z.b. EN 9100ff) gelten zusätzlich. 1.) Grundsatz: Rezertifizierungsverfahren sind so durchzuführen, dass eine lückenlose Anschlusszertifizierung ermöglicht wird. Das Audit zur Rezertifizierung muss vor dem Ablaufdatum durchgeführt sein. Eine lückenlose Anschlusszertifizierung ist auch dann möglich, wenn die Zertifizierungsentscheidung bis max. 3 Monate vor dem Ablaufdatum getroffen wird. 2.) In Ausnahmefällen kann die Entscheidung zur Rezertifizierung bis maximal drei Monate nach dem Ablaufdatum erfolgen. Während dieser Zeit ist der Status der betreffenden Organisation nicht zertifiziert mit entsprechenden informationstechnischen Konsequenzen. Das Folgezertifikat beginnt immer mit dem Tag der Zertifizierungsentscheidung, ein Zurückdatieren des Zertifikates ist nicht zulässig. Das Ablaufdatum des Folgezertifikates entspricht dem bisherigen 3-Jahres-Zeitintervall (Ablauftag Alt-Zertifikat + 3 Jahre). 3.) Verspätet: Kann das Audit erst nach dem Ablaufdatum durchgeführt werden, ist das Verfahren nach den Regeln einer Erstzertifizierung durchzuführen. Dieser Beschluss wird mit Ablauf der Übergangsfrist zur ISO/IEC :2015 am ungültig. 10/2013 (vom ) Allgemein: Die DAkkS informiert über das Medium DAkkS-Homepage vor Anwendung über Neuerungen/Änderungen im DAkkS-Regelwerk. Die Zertifizierungsstellen sind verpflichtet sich aktiv zu informieren. 12/2014 Vom Eine Referenzierung zusätzlicher Normen, normativer Dokumente, privater Standards auf einem akkreditierten Zertifikat für Managementsysteme (ISO 9001, ISO 14001, BS OHSAS 18001, ISO 50001, etc.) ist nicht zulässig. Übergangsfrist: Dieser Beschluss gilt ab sofort für alle Erst-Zertifizierungen, betroffene Zertifikate sind zur nächsten anstehenden Jahresüberwachung auszutauschen.

3 Seite: 3/9 13/2014 Vom Die Freigabe eines Überwachungsaudits für OHSAS erfolgt gemäß den Anforderungen der DIN EN ISO 17021:2011 Abs d.h. im Falle von Audits bei denen keine Nicht-Konformitäten festgestellt wurden, kann die Freigabe und Bestätigung der Zertifizierung nach einem vereinfachten Verfahren durchgeführt werden, d.h. eine fachliche Gegenprüfung durch einen unabhängigen OHSAS qualifizierten Prüfer ist dann nicht mehr erforderlich. Alle weiteren Bedingungen der DIN ISO 17021:2011 sind einzuhalten. 14/2014 Vom Im Rahmen der EnMS-Auditorenqualifikation können Audits im Rahmen der SpaEfV anerkannt werden, sofern diese den für 2014 vorgesehenen Prüfumfang vollständig erfassen. Mindestens zwei Audits zu einem vollständigen Energiemanagement ISO sind dann noch vor der Auditorenzulassung nachzuweisen, die weiteren Anforderungen der DAkkS im Dokument 71 SD gelten unverändert. Dieser Beschluss tritt mit Umstellung der Akkreditierungen auf die Grundlage ISO :2015 auf ISO außer Kraft. 01/2015 Vom Ein Verbund mehrerer einzelner voneinander unabhängiger und eigenverantwortlich agierender Organisationen (z.b. Arztpraxen, Apotheken, sonst. Kleinbetriebe), die sich einer externen Organisation bedienen, um ein Managementsystem zu entwickeln, einzuführen und aufrechtzuerhalten, stellt keine Organisation mit mehreren Standorten im Sinne von IAF MD1:2007 dar und kann deshalb auch nicht gemäß Stichprobenverfahren auditiert, zertifiziert und überwacht werden. Es handelt sich in diesem Fall nicht um eine Organisation mit einem Netzwerk an lokalen Geschäftsstellen oder Zweigstellen, sondern vielmehr um einen Verbund mehrerer selbstständiger Organisationen, die jeweils einzeln zertifiziert und entsprechend (jährlich) überwacht werden müssen.

4 Seite: 4/9 2/2015 Vom Energieaudits DIN : Führt eine Zertifizierungsstelle in einem Unternehmen ein Energieaudit nach DIN EN (bzw. ISO 50002) durch, so ist eine Zertifizierung gem. (DIN EN) ISO und (DIN EN) ISO in diesem Unternehmen durch dieselbe Zertifizierungsstelle ausgeschlossen. Als Unternehmen gilt die kleinste rechtlich selbständige Einheit [i.d.r. GmbH, GmbH & Co. KG, etc.], d.h. andere Unternehmen eines Unternehmensverbundes sind von dieser Regelung nicht betroffen. Ebenso ausgenommen sind Unternehmen nach einer Umfirmierung. Die Testierung eines Energieaudits DIN EN gemäß der Verordnung über Systeme zur Verbesserung der Energieeffizienz im Zusammenhang mit der Entlastung von der Energie- und der Stromsteuer in Sonderfällen SpaEfV gehört zu den Aufgabengebieten einer für Energiemanagementsysteme akkreditierten Zertifizierungsstelle. Davon ausgeschlossen ist die Durchführung des Energieaudits beim zu testierenden Unternehmen. 3/2015 Vom Einhaltung der Unparteilichkeit bei Durchführung von SpaEfV-Testierungen durch DAkkS-akkreditierte Zertifizierungsstellen für Energiemanagementsysteme (ISO 50001) Im Rahmen von Testierungen nach SpaEfV muss zwischen der Zertifizierungsstelle und dem beauftragenden Unternehmen ein unmittelbares Vertragsverhältnis bestehen. Die Auftragsabwicklung über Beratungsunternehmen ist aus Gründen der Unparteilichkeit / Unabhängigkeit unzulässig.

5 Seite: 5/9 4/2015 Vom Reduzierung der Auditzeiten bei EnMS-Audits DIN EN ISO in Sonderfällen Abweichend von der DAkkS-Regel für Zertifizierungsstellen Energiemanagementsysteme 71 SD 6 022, Abs können Anpassungen der Auditzeit bei Multi-Site Zertifizierungen DIN EN ISO unter folgenden Bedingungen vorgenommen werden: - Die einzelnen Standorte weisen nur einen sehr geringen Anteil an der verbrauchten Gesamtenergie der Organisation auf (z.b. Bäckereien, Fleischereien, Kiosk-Betriebe und Betriebe mit Filialstrukturen). - Für die Standort-Audits ist ein Mindest-Zeitumfang von 2 Std. vor Ort ausreichend. - Die Auditzeit in der Zentrale wird um 20% erhöht. Dieser Beschluss tritt mit Umstellung der Akkreditierungen auf die Grundlage ISO :2015 auf ISO außer Kraft. 1/2016 Vom Auswahl und Durchführung von Witnessaudits für ISO 9001 und ISO 14001: Grundlage für die Auswahl und Durchführung von Witnessaudits für DIN EN ISO 9001 und DIN EN ISO ist ab das IAF-Dokument Witnessing Activities for the Accreditation of Management Systems Certification Bodies IAF MD 17, Ausgabe 1, Version 2. Unter Berücksichtigung der Anforderungen aus IAF MD 17 erstellt der für die jeweilige Zertifizierungsstelle zuständige DAkkS-Kundenbetreuer eine Witnessplanung / Überwachungsmatrix für die jeweils aktuelle Akkreditierungsperiode. Übergangsfrist: Anwendung ab

6 Seite: 6/9 1/2017 Neufassung von 2/2016 ( ) IAF Resolution Beschluss über nicht-akkreditierte Zertifikate im Geltungsbereich der Akkreditierung einer Zertifizierungsstelle für Managementsysteme Auf Empfehlung des Technischen Komitees hat die Vollversammlung des IAF den Beschluss gefasst, dass eine Akkreditierungsstelle über rechtlich durchsetzbare Vereinbarungen mit den von ihr akkreditierten Zertifizierungsstellen verfügen muss, die verhindern, dass die Zertifizierungsstelle nicht-akkreditierte Zertifikate in den Geltungsbereichen (Scopes) erteilt, für die sie akkreditiert ist. Geltungsbereiche / Scopes sind Zertifizierungsbereiche (z.b. QMS ISO 9001, UMS ISO 14001, OHSAS 18001, LSMS ISO 22000, EnMS ISO 50001, ISMS ISO 27001, Med.-Produkte Hersteller ISO 13485, etc.) mit den jeweiligen IAF-Branchen, Technischen Bereichen, Produktkategorien gemäß der DAkkS-Urkundenanlage. Mit diesem Beschluss sind die Voraussetzungen hinsichtlich einer rechtlich durchsetzbaren Vereinbarung zwischen der DAkkS und einer akkreditierten Zertifizierungsstelle für Managementsysteme gegeben. IAF Resolution in Ergänzung zur vorgenannten IAF-Resolution Die Generalversammlung des IAF beschloss auf Empfehlung des Technischen Komitees, dass ein Zertifizierungsdokument für ein Managementsystem (Zertifikat) nur dann als akkreditiert betrachtet werden kann, wenn ein Akkreditierungssymbol und / oder der Akkreditierungsstatus der Zertifizierungsstelle einschließlich der Identifizierung der Akkreditierungsstelle ausgewiesen ist. Hierzu legte die IAF-Generalversammlung fest, dass eine Zertifizierungsstelle: 1) die Zertifizierungsdokumente bis zur Re-Zertifizierung bzw. spätestens zum ein Akkreditierungssymbol und / oder den Akkreditierungsstatus der Zertifizierungsstelle einschließlich der Identifizierung der Akkreditierungsstelle enthalten müssen; 2) im Falle einer Erstakkreditierung, die für einen Standard oder Scope nach dem 6. November 2016 erteilt wurde, innerhalb eines Jahres nach der Akkreditierungsentscheidung frühere, nicht akkreditierte Zertifizierungsdokumente entsprechend anpassen muss; 3) diesen Beschluss auf alle Standards für Managementsysteme anwenden muss.

7 Seite: 7/9 2/2017 Rezertifizierungen nach Abs und gemäß ISO/IEC :2015 Falls eine Rezertifizierung nicht bis zum Ablaufdatum des Zertifikates abgeschlossen ist, können Audits, die Verifizierung der Korrekturmaßnahmen und die unabhängige Zertifizierungsentscheidung unter folgenden Bedingungen innerhalb eines Zeitraums von 6 Monaten nach dem Ablaufdatum abgeschlossen werden: a. der Angebots-, Auftrags- und Vertragsprüfungsprozess sowie die Abstimmung der Auditplanung müssen nachweislich vor dem Ablauftermin des alten Zertifikates abgeschlossen sein, b. das neue Zertifikat beginnt mit dem Tag der Entscheidung zur Rezertifizierung und dem Ablauftermin des bisherigen Zertifikatszyklus (d.h. Ablauftermin altes Zertifikat + 3 Jahre), c. der Zeitraum zwischen Ende altes Zertifikat und Beginn neues Zertifikat in dem keine gültige Zertifizierung bestand, ist auf dem neuen Zertifikat auszuweisen, d. die Zertifizierungsstelle muss die Organisation frühzeitig auf die Konsequenzen des Status Nicht-Zertifiziert hinweisen, e. die Einhaltung der vorgenannten Bedingungen müssen von der Zertifizierungsstelle gemäß ISO/IEC :2015 Abs. 9.9 nachgewiesen werden. Falls eine Rezertifizierung nicht innerhalb eines Zeitraumes von 6 Monaten nach dem Ablaufdatum des Zertifikates abgeschlossen werden kann, ist der Rezertifizierungsprozess beendet und eine neue Zertifizierung kann nur unter den Bedingungen einer Erst-Zertifizierung erfolgen. 3/2017 IAF MD 5 - Verbindliches Dokument Ermittlung von Auditzeiten für die Auditierung von Qualitätsmanagement- (QMS) und Umweltmanagementsystemen (UMS) (siehe DAkkS 71 SD Deutsche Übersetzung): Eine Einstufung eines QMS-Zertifizierungsverfahrens in eine niedrige Risikokategorie bedingt nach Anhang A IAF MD 1 eine von Tabelle QMS 1 abweichende geringere Auditzeit. Diese und andere Aufwandsreduzierungen dürfen jedoch die maximale Reduzierung von 30% des Ausgangswertes der Tabelle QMS 1 nicht überschreiten. Darüber hinaus gilt der IAF MD5 Grundsatz, dass verlängernde durch verkürzende Faktoren ausgeglichen werden können.

8 Seite: 8/9 4/2017 Hinweise zum Anhang B (normativ) Audit Time der ISO/IEC 27006:2015 Eine Organisation umfasst alle Mitarbeiter, Einheiten, etc., die direkten und indirekten Einfluss auf das Informationssicherheits-Managementsystem (ISMS) * haben, einschließlich der Entscheider und separater Einheiten, die ihr eigenes IT-System pflegen, wie z. B. Labore, etc. Die Summe dieser Personen soll gemäß ISO/IEC zur Berechnung der effektiven Anzahl der Mitarbeiter herangezogen werden. Erläuterung zum Beschluss: Ein Teil einer legal entity oder mehrerer einzeln voneinander unabhängiger und eigenverantwortlich agierender Organisationsteile (z.b. IT-Abteilungen, Projektteams, sonst. technische Einheiten), die innerhalb einer Organisation einen Service erbringen, um ein Informationssicherheits-Managementsystem zu entwickeln, einzuführen und aufrechtzuerhalten, stellt keine Organisation im Sinne von ISO/IEC 27000:2016, ISO/IEC 27001:2014 und/oder ISO/IEC 27006:2015 dar und kann deshalb auch nicht mittels eines ISO/IEC Verfahrens auditiert, zertifiziert und überwacht werden. Es handelt sich in diesem Fall nicht um eine selbstständige Organisation mit einem strategischen auf dem Markt agierenden Business, sondern vielmehr um einen unselbständigen serviceorientierten Teil einer Organisation. *) Der Begriff Business wurde zum besseren Verständnis ersetzt durch Informationssicherheits-Managementsystem (ISMS). 5/2017 Anwendung ISO/IEC :2015 Abs Akkreditierung für ISO/IEC einer Stelle schließt eine ISO 9001-Zertifizierung aus. Eine Zertifizierungsstelle für Managementsysteme: - darf kein Qualitätsmanagementsystem nach einer anderen Zertifizierungsstelle zertifizieren, - darf ein Managementsystem einer anderen Zertifizierungsstelle, für andere Aufgabengebiete (z.b. ISO 14001, OHSAS 18001, ISO 27001, etc.) für alle diesbezüglichen Leistungen (Training, Inspektion, Zertifizierung von Management Systemen, Produkten, Personen, etc.) zertifizieren.

9 Seite: 9/9 6/2017 Anwendung ISO/IEC :2015 Abs Temporäre Standorte auf einem Zertifikat Die ISO/IEC :2015 verlangt, dass Zertifizierungsdokumente (Zertifikat mit/ohne Anlagen) den Namen und Angaben zum geographischen Standort einer zertifizierten Organisation bzw. bei Multi-Standort Zertifizierungen die Angaben zum Hauptsitz und allen Standorten des Geltungsbereiches einer Zertifizierung beinhalten müssen. Gemäß einer Klarstellung von ISO besteht keine Notwendigkeit, dass auch temporäre Standorte in den Zertifizierungsdokumenten angegeben sein müssen. Dies betrifft auch Zertifizierungsverfahren für ISO und OHSAS Für temporäre Standorte gilt die Definition gemäß Abs. 1.5 des IAF MD 5:2015 (DAkkS 71 SD 6 021). Temporäre Standorte müssen gemäß Abs. 9 des IAF MD 5:2015 im Auditprogramm eines jeden Zertifizierungszyklus anhand von Stichprobenaudits berücksichtigt und dokumentiert werden. 7/2017 Anwendung ISO/IEC :2015 Abs Intervalle für interne Audits einer Zertifizierungsstelle Die ISO/IEC :2015 verlangt, dass eine Zertifizierungsstelle interne Audits in Abstand von max. 12 Monaten durchführt. Sofern die Zertifizierungsstelle nachweisen kann, dass das Management System stabil ist und die QM- Maßnahmen fortlaufend effektiv umgesetzt werden, kann das zeitliche Intervall für Audits in Abteilungen, Standorten, Zertifizierungsbereichen, Dienstleistungen, etc. ausgedehnt werden.