Eidgenössisches Departement für Wirtschaft, Bildung und Forschung WBF Staatssekretariat für Wirtschaft SECO Schweizerische Akkreditierungsstelle SAS Checkliste zur Norm ISO/IEC 17021-1:2015 für die Akkreditierung von Zertifizierungsstellen für Managementsysteme Dokument Nr. 506.dw Ident-Nummer.Aktion: Akkred.-Nummer: SCESm Begutachtete Stelle: Kontaktperson der Stelle: Begutachtete Standorte (bei Stellen mit mehreren Standorten): Datum der Begutachtung: Leitende/r Begutachter/in: Fachexpert/in: Fachexpert/in: 506dw, 2015-10, Rev. 10 506d.docx 1/86
Inhaltsverzeichnis A Allgemeines... 3 B Definitionen und Erläuterungen für die Checkliste... 3 C Rechtliche Identifizierbarkeit... 5 5. Allgemeine Anforderungen... 6 5.1 Rechts- und Vertragsfragen... 6 5.2 Handhabung der Unparteilichkeit... 7 5.3 Haftung und Finanzierung... 10 6. Strukturelle Anforderungen... 11 6.1 Organisationsstruktur und oberste Leitung... 11 6.2 Operative Führung ()... 12 7 Anforderungen an Ressourcen... 13 7.1 Kompetenz des Personals... 13 7.2 Personal, das in die Zertifizierungstätigkeiten einbezogen ist... 15 7.3 Einsatz einzelner externer Auditoren und externer Fachexperten... 17 7.4 Aufzeichnungen über Personal... 17 7.5 Ausgliederung (Unterauftragsvergabe)... 18 8. Anforderungen an Informationen... 20 8.1 Öffentliche Informationen... 20 8.2 Zertifizierungsdokumente... 21 8.3 Verweis auf Zertifizierung und Nutzung von Zeichen... 22 8.4 Vertraulichkeit... 25 8.5 Informationsaustausch zwischen der Zertifizierungsstelle und ihren Kunden... 27 9. Anforderungen an Prozesse... 30 9.1 Tätigkeiten vor der Zertifizierung... 30 9.2 Planung der Audits... 38 9.3 Erstzertifizierung... 45 9.4 Durchführung von Audits... 49 9.5 Zertifizierungsentscheidung... 60 9.6 Aufrechterhaltung der Zertifizierung... 64 9.7 Einsprüche... 72 9.8 Beschwerden... 73 9.9 Aufzeichnungen zu Kunden... 75 10. Anforderungen an das Managementsystem der Zertifizierungsstellen... 78 10.1 Alternativen... 78 10.2 Alternative A: Allgemeine Managementsystem-Anforderungen... 78 10.3 Alternative B: Managementsystem in Übereinstimmung mit ISO 9001... 85 506dw, 2015-10, Rev. 10 506d.docx 2/86
A Allgemeines Diese Checkliste basiert auf der internationalen Norm ISO/IEC 17021-1:2015 für die Akkreditierung von und den für diesen Bereich relevanten Dokumenten der European Co-operation for Accreditation (EA) bzw. des International Accreditation Forum (IAF). Sie kann bei Bedarf durch fachspezifische Fragen ergänzt werden. Die Checkliste hat die Struktur und Kapitelnummerierung der Norm ISO/IEC 17021-1:2015 übernommen. Sie bildet die Norm ISO/IEC 17021-1:2015 und die relevanten Dokumente der EA und des IAF nicht vollständig ab und entbindet den Anwender deshalb nicht von der Konsultation der Norm und der relevanten Vorgabedokumente. Massgebend ist im Zweifelsfall immer der Text der Norm bzw. des entsprechen-den EA- oder IAF-Dokumentes. Die Terminologie wurde grösstenteils übernommen. Die zur Akkreditierung angemeldeten Stellen haben zu jeder Frage dieser Checkliste die entsprechenden Referenzen (z.b. Kapitel im Management-Handbuch oder Direktiven) und notwendigen Erläuterungen anzugeben, damit die Begutachtung gut vorbereitet werden kann. Nicht anwendbare Forderungen sind in der Spalte "Referenzen/Erläuterungen" als "N.Z." (nicht zutreffend) zu kennzeichnen und entsprechend zu begründen. Die ausgefüllte Checkliste ist dem zuständigen Leitenden Begutachter gemäss den Angaben im SAS- Dokument 741 "Regelungen für die Akkreditierung " spätestens vier Wochen vor der Begutachtung zuzustellen. B Definitionen und Erläuterungen für die Checkliste Vgl. auch ISO/IEC 17000:2004 "Konformitätsbewertung - Begriffe und allgemeine Grundlagen" und ISO/IEC 17021-1:2015 Kapitel 3) Abkürzungen, Begriffe Definitionen AkkBV Antragsteller oder Kunde Dokumente, Aufzeichnungen EA IAF IAF MD1 IAF MD2 IAF MD5 IAF MD9 Verordnung über das schweizerische Akkreditierungssystem und die Bezeichnung von Prüf-, Konformitätsbewertungs-, Anmelde- und Zulassungsstellen (Akkreditierungs- und Bezeichnungsverordnung, 946.512) Unternehmen, welches eine Zertifizierung beantragt In der Regel können die Dokumente und Aufzeichnungen in schriftlicher oder elektronischer Form verwaltet werden. Bei der elektronischen Form müssen die Zugänglichkeit, die Zugriffsrechte und die Sicherung geregelt sein. European Co-operation for Accreditation International Accreditation Forum IAF Mandatory Document for the Certification of Multiple Sites based on Sampling IAF Mandatory Document for the Transfer of Accredited Certification of Management Systems IAF Mandatory Document - Determination of Audit Time of Quality and Environmental Management Systems IAF Mandatory Document - Application of ISO/IEC 17021 in the Field of Medical Device Quality Management Systems (ISO 13485) 506dw, 2015-10, Rev. 10 506d.docx 3/86
Abkürzungen, Begriffe Definitionen IAF MD11 J MLA MS N NC IAF Mandatory Document for the Application of ISO/IEC 17021 for Audits of Integrated Management Systems Ja, trifft zu / ist vorhanden Multilateral Arrangement Management-System Nein, trifft nicht zu / ist nicht vorhanden Nichtkonformität (Non-conformity) Neue oder geänderte Anforderung im Vergleich zur Vorgängerversion ISO/IEC 17021:2011 506dw, 2015-10, Rev. 10 506d.docx 4/86
C Rechtliche Identifizierbarkeit Fragen Referenz / Bemerkungen C.1 Name und Adresse des Unternehmens C.2 Eintrag im Handelsregister (in welchem?) Auszug beilegen, der nicht älter als 6 Monate ist) [AkkBV, Art. 4] C.3 Tätigkeitsgebiet C.4 Name und Adresse der Zertifizierungsstelle C.5 Arbeitsgebiet der Zertifizierungsstelle (allgemein) C.6 Arbeitsgebiet, für welches die Akkreditierung beantragt ist C.7 In welchen Ländern sollen die Zertifizierungsdienstleistungen angeboten werden? C.8 An welchen anderen Unternehmungen ist ihr Unternehmen finanziell beteiligt? In welchem Umfang (in %)? C.9 Welche andere(n) Unternehmung(en) sind an ihrem Unternehmen finanziell beteiligt? In welchem Umfang (in %)? 506dw, 2015-10, Rev. 10 506d.docx 5/86
5. Allgemeine Anforderungen 5.1 Rechts- und Vertragsfragen 5.1.1 Rechtliche Verantwortlichkeit Ist die Zertifizierungsstelle eine juristische Person oder Teil einer juristischen Person, welche die Verantwortung für alle Zertifizierungstätigkeiten trägt? 5.1.2 Zertifizierungsvereinbarung Hat die Zertifizierungsstelle eine Vereinbarung mit jedem ihrer Kunden? Sind alle Filialen oder Standorte des Kunden darin eingeschlossen? Ist diese Vereinbarung rechtlich durchsetzbar? Ist dies auch gewährleistet, wenn die Zertifizierungsstelle von mehreren Standorten (im In- und Ausland) aus tätig ist? ANMERKUNG: Eine Vereinbarung kann durch mehrere Vereinbarungen erreicht werden, welche miteinander verknüpft oder auf andere Weise miteinander verbunden sind. 5.1.3 Verantwortlichkeit für Zertifizierungsentscheidungen Ist die Zertifizierungsstelle ausschliesslich verantwortlich für ihre Entscheide in Bezug auf die Erteilung, Verweigerung, Aufrechterhaltung, Erweiterung, Einschränkung, Erneuerung, Aussetzung (inkl. die nachfolgende Wiederherstellung) und Zurückziehung der Zertifizierung? 506dw, 2015-10, Rev. 10 506d.docx 6/86
5.2 Handhabung der Unparteilichkeit 5.2.1 5.2.2 5.2.3 Unternimmt die Zertifizierungsstelle ihre Zertifizierungsaktivitäten auf unparteiliche Art und Weise? Ist die Zertifizierungsstelle verantwortlich für die Unparteilichkeit der Zertifizierungstätigkeiten? Verhindert sie jede kommerzielle, finanzielle oder anderweitige Beeinträchtigung der Unparteilichkeit? Existiert eine grundsätzliche Regelung der obersten Leitung der Zertifizierungsstelle, in welcher sie die Wichtigkeit der Unparteilichkeit, die korrekte Bewältigung von Interessenskonflikten sowie die Sicherstellung der Objektivität bei der Ausübung der Zertifizierungstätigkeiten beschreibt? Verfügt die Zertifizierungsstelle über einen Prozess, um die Risiken im Zusammenhang mit Interessenkonflikten in ihren Zertifizierungsaktivitäten laufend zu identifizieren, analysieren, beurteilen, behandeln, überwachen und dokumentieren? Werden Unparteilichkeitsrisiken von der Zertifizierungsstelle dokumentiert und kann sie aufzeigen, wie die Risiken eliminiert oder minimiert und Restrisiken festgehalten werden? Werden dabei alle identifizierten potentiellen Risiken erfasst, unabhängig davon ob sie aus der Zertifizierungsstelle selber oder aus Tätigkeiten anderer Personen, Gremien oder Organisationen hervorgehen? Verzichtet die Zertifizierungsstelle auf die Zertifizierung, wenn eine Beziehung eine nicht akzeptierbare Bedrohung der Unparteilichkeit mit sich bringt? 506dw, 2015-10, Rev. 10 506d.docx 7/86
Überprüft die oberste Leitung die Restrisiken um zu bestimmen, ob sie akzeptabel sind? Beinhaltet der Risikobeurteilungsprozess die Identifizierung von und die Rücksprache mit den geeigneten interessierten Parteien, um über Angelegenheiten zu beraten, welche die Unparteilichkeit beeinträchtigen? Wird dabei auch den Aspekten der Offenheit und öffentlichen Wahrnehmung Rechnung getragen? Ist gewährleistet, dass in der Beratung keine Einzelinteressen überwiegen? ANMERKUNG: ISO/IEC 17021-1 enthält zu diesem Punkt 3 Anmerkungen. 5.2.4 Ist ausgeschlossen, dass eine Zertifizierungsstelle das Qualitäts- Managementsystem einer anderen Zertifizierungsstelle zertifiziert? ANMERKUNG: Diees schliesst die Möglichkeit des Informationsaustausches (wie z.b. Erklärungen zu Feststellungen oder Präzisierungen zu Anforderungen) zwischen der Zertifizierungsstelle und ihrem Kunden nicht aus 5.2.5 5.2.6/ 5.2.7 Ist es ausgeschlossen, dass die Zertifizierungsstelle oder Teile derselben juristischen Person oder jede andere Stelle unter der Kontrolle der Zertifizierungsstelle Beratung anbietet? Ist ausgeschlossen, dass die Zertifizierungsstelle oder Teile davon oder jede andere Stelle unter der Kontrolle der Zertifizierungsstelle Managementsysteme von Kunden zertifiziert, bei denen innerhalb der letzten 2 Jahre interne Audits durchgeführt (5.2.6) oder Beratungsleistungen (5.2.7) erbracht wurden? 506dw, 2015-10, Rev. 10 506d.docx 8/86
5.2.8 Ist ausgeschlossen, dass die Zertifizierungsstelle die Durchführung von Audits an Managementsystem-Beratungsfirmen unterbeauftragt? 5.2.9 Ist ausgeschlossen, dass die Zertifizierungsstelle mit einem Beratungsunternehmen zusammenarbeitet oder ein solches empfiehlt? Ergreift die Zertifizierungsstelle korrigierende Massnahmen, wenn ein Beratungsunternehmen unsachgemässe Hinweise oder Aussagen macht, welche darauf schliessen lassen, dass eine Zertifizierung mit dieser Zertifizierungsstelle einfacher, schneller oder billiger zu erreichen ist? Gilt dies auch, wenn das Beratungsunternehmen dem Kunden Vorteile im Hinblick auf eine Zertifizierung vorgibt, wenn der Kunde mit ihm zusammenarbeitet? 5.2.10 Wie stellt die Zertifizierungsstelle sicher, dass ihre Angestellten (inkl. jene in leitender Funktion) nicht an einem Audit oder anderen Zertifizierungstätigkeiten eingesetzt werden, falls sie innerhalb der letzten 2 Jahre für diesen Kunden MS-Beratung geleistet haben? 5.2.11 Ergreift die Zertifizierungsstelle Massnahmen, wenn andere Personen, Gremien oder Organisationen durch ihre Tätigkeiten die Unparteilichkeit der Zertifizierungs-stelle gefährden? 5.2.12 Ist geregelt, dass das gesamte interne und externe Personal der Zertifizierungsstelle und ihre Gremien unparteilich handeln müssen und keinen kommerziellen, finanziellen oder anderen Druck zulassen dürfen, welcher die Unparteilichkeit gefährdet? 506dw, 2015-10, Rev. 10 506d.docx 9/86
5.2.13 Verlangen diese Regeln, dass das (interne und externe) Personal Interessenkonflikte offen legt? Sind diese Regeln bindend? Werden solche Fälle aufgezeichnet und zur Beurteilung der Gefährdung der Unparteilichkeit herangezogen? Werden die betroffenen Personen für alle Zertifizierungstätigkeiten gesperrt, bis sie nachgewiesen haben, dass die Unparteilichkeit nicht gefährdet ist? 5.3 Haftung und Finanzierung 5.3.1 Hat die Zertifizierungsstelle eine Bewertung der möglichen Risiken aus ihrer Zertifizierungstätigkeit vorgenommen? Verfügt sie über geeignete Massnahmen zur Abdeckung der Risiken (z.b. eine Haftpflichtversicherung oder Rückstellungen)? Sind alle Zertifizierungsbereiche und die relevanten geografischen Regionen eingeschlossen? 5.3.2 Hat die Zertifizierungsstelle ihre Finanzen und Einnahmequellen ermittelt? Kann die Zertifizierungsstelle nachweisen, dass sie von Anfang an und fortlaufend eine kommerzielle, finanzielle oder anderweitige Gefährdung der Unparteilichkeit verhindert? 506dw, 2015-10, Rev. 10 506d.docx 10/86
6. Strukturelle Anforderungen 6.1 Organisationsstruktur und oberste Leitung 6.1.1 Ist die Organisationsstruktur der Zertifizierungsstelle dokumentiert? Sind Rechte, Pflichten und Befugnisse der Leitung, des übrigen Zertifizierungspersonals und aller Gremien festgehalten? Falls die Zertifizierungsstelle Teil einer juristischen Person ist, zeigt die Organisationsstruktur die übergeordnete Weisungsstruktur und die Beziehung zu anderen Teilen derselben Organisation? 6.1.2 Sind die Zertifizierungsaktivitäten so strukturiert und gelenkt, dass die Unparteilichkeit gewährleistet ist? 6.1.3 Hat die Zertifizierungsstelle die übergeordnete Verantwortung (Gremium, Personengruppe, Einzelperson) festgelegt für: a) die Entwicklung von grundsätzlichen Regelungen (Policies) sowie die Einführung von Prozessen und Verfahren in Bezug auf die Tätigkeiten der Zertifizierungsstelle? b) die Überwachung der Umsetzung derselben? c) die Sicherstellung der Unparteilichkeit d) die Überwachung der finanziellen Situation der Stelle? e) die Entwicklung von Dienstleistungen und Programmen für die Zertifizierung von MS? f) die Durchführung von Audits und Zertifizierungen sowie den Umgang mit Beschwerden? g) die Entscheidung über die Zertifizierung? 506dw, 2015-10, Rev. 10 506d.docx 11/86
h) die Delegation von Befugnissen an Gremien oder Einzelpersonen für die Durchführung von bestimmten Tätigkeiten in eigener Verantwortung? i) vertragliche Vereinbarungen? j) die Bereitstellung ausreichender Ressourcen für die Zertifizierungstätigkeiten? 6.1.4 Hat die Zertifizierungsstelle formelle Regelungen betreffend die Einsetzung, die Aufgabenzuteilung und die Arbeitsweise für alle Ausschüsse, die in die Zertifizierungstätigkeiten involviert sind? 6.2 Operative Führung () 6.2.1 6.2.2 Verfügt die Zertifizierungsstelle über einen Prozess zur wirksamen Lenkung von Zertifizierungstätigkeiten, die durch Geschäftsstellen, Partner, Franchisenehmer etc. erbracht werden, unabhängig von ihrem rechtlichen Status, ihrer Beziehung oder ihrem geografischen Standort? Berücksichtigt die Zertifizierungsstelle dabei die Risiken welche diese Tätigkeiten in Bezug auf die Kompetenz, die Konsistenz (Widerspruchsfreiheit) und die Unparteilichkeit der Zertifizierungsstelle beinhalten? Wählt die Zertifizierungsstelle die geeignete Ebene und Methode zur Lenkung der durchgeführten Tätigkeiten inkl. deren Prozesse, technischen Bereiche der Zertifizierungstätigkeiten, Kompetenz des Personals, Führungsverantwortung, Berichterstattung und Fernzugriff auf Tätigkeiten und Aufzeichnungen? 506dw, 2015-10, Rev. 10 506d.docx 12/86
7 Anforderungen an Ressourcen 7.1 Kompetenz des Personals 7.1.1 Allgemeine Überlegungen Verfügt die Zertifizierungsstelle über Prozesse, welche sicherstellen, dass das Personal über geeignetes Wissen und Fertigkeiten aufweist für die verschiedenen Arten von MS (z.b. UMS, QMS, ISMS) und die geografischen Gebiete, in denen die Zertifizierungsstelle tätig ist? 7.1.2 Ermittlung der Kompetenzkriterien Verfügt die Zertifizierungsstelle über einen Prozess zur Ermittlung der Kompetenzkriterien für das am Management und an der Durchführung von Audits und Zertifizierungen beteiligte Personal? Werden die Kompetenzkriterien in Bezug auf die Anforderungen der einzelnen Typen von MS-Normen oder technischen Spezifikation, für jeden technischen Bereich und für alle Funktionen im Zertifizierungsprozess festgelegt? ANMERKUNG: Siehe Anmerkung zum Begriff "technischer Bereich" in der ISO/IEC 172021. Entstehen als Ergebnis dieses Prozesses dokumentierte Kriterien über notwendiges Wissen und Fertigkeiten für die wirksame Durchführung von Audits und Zertifizierungsaufgaben zur Erreichung der beabsichtigten Resultate? (vgl. ISO/IEC 17021-1, Anhang A oder allfällige zusätzliche Kompetenzkriterien in den spezifischen Normen wie z.b. ISO/IEC TS 17021-2 und -3 oder ISO/TS 22003). 506dw, 2015-10, Rev. 10 506d.docx 13/86
7.1.3 Bewertungsprozess Verfügt die Zertifizierungsstelle über dokumentierte Prozesse für eine erste Beurteilung und die laufende Überwachung der Kompetenz und der Leistungsfähigkeit des gesamten Personals, das am Management und an der Durchführung von Audits und Zertifizierungen beteiligten ist? Ist die Zertifizierungsstelle in der Lage nachzuweisen, dass seine Bewertungsmethoden wirksam sind? Wird als Ergebnis dieser Prozesse jenes Personal identifiziert, welches die notwendige Kompetenz für die verschiedenen Funktionen in den Audits und im Zertifizierungsprozess aufweist? Ist dabei sichergestellt, dass eine Person die ihr zugewiesene Funktion erst wahrnimmt, wenn sie die dafür notwendige Kompetenz nachgewiesen hat? ANMERKUNG: Siehe auch ISO/IEC 17021-1:2015, Anhang B (Mögliche Bewertungsmethoden für die Kompetenz) und Anhang C (Beispiel eines Prozesses zur Bestimmung und Aufrechterhaltung der Kompetenz). 7.1.4 Weitere Überlegungen Hat die Zertifizierungsstelle Zugang zum notwendigen (externen oder internen) technischen Fachwissen zur Beurteilung von Fragen, welche im direkten Zusammenhang stehen mit den Zertifizierungstätigkeiten in allen technischen Bereichen, allen Arten von MS und allen geografischen Gebieten, in denen die Zertifizierungsstelle tätig ist? 506dw, 2015-10, Rev. 10 506d.docx 14/86
7.2 Personal, das in die Zertifizierungstätigkeiten einbezogen ist 7.2.1 Beschäftigt die Zertifizierungsstelle Personal, das ausreichend kompetent ist für die Handhabung von Art und Umfang der Auditprogramme sowie die Durchführung weiterer Zertifizierungsaufgaben? 7.2.2 Sind die Tätigkeiten der Zertifizierungsstelle durch eine genügende Anzahl und ausreichend kompetente Auditoren, Auditteamleiter und Fachexperten abgedeckt? 7.2.3 Sind Pflichten, Verantwortlichkeiten und Befugnisse für alle betroffenen Personen der Zertifizierungsstelle definiert? 7.2.4 Verfügt die Zertifizierungsstelle über Prozesse zur Auswahl, Schulung, formellen Autorisierung von Auditoren und zur Auswahl von Fachexperten? Basiert die erste Kompetenzbewertung auf einer kompetenten Bewertung der persönlichen Eigenschaften und der Fähigkeit, eigenes Fachwissen anwenden zu können? ANMERKUNG: Vgl. ISO/IEC 17021-1:2015, Anhang D und die Anmerkung zu diesem Punk in der Norm. 7.2.5 Erfüllt das Auditpersonal der Zertifizierungsstelle die relevanten Anforderungen bezüglich Audittechnik und der Durchführung von Audits in den einzelnen technischen Gebieten? 7.2.6 Sind Auditabläufe, -instruktionen und Zertifizierungsanforderungen dokumentiert, aktuell, den Auditoren (und wo nötig den technischen Experten) bekannt und zugänglich? 506dw, 2015-10, Rev. 10 506d.docx 15/86
7.2.7 Ermittelt die Zertifizierungsstelle regelmässig den Schulungsbedarf ihres Personals? Gewährleistet sie den Zugang zur erforderlichen Aus- und Weiterbildung? 7.2.8 Sind auf der Stufe der Entscheidung die notwendigen Kenntnisse über die anzuwendende Norm und die Zertifizierungsanforderungen vorhanden? Ist die Kompetenz für die Beurteilung der Auditprozesse und der damit zusammenhängenden Empfehlungen des Auditteams nachweisbar vorhanden? 7.2.9 Gibt es dokumentierte Verfahren und Kriterien zur Überwachung und Messung der Leistung aller in die Audit- und Zertifizierungstätigkeiten einbezogenen Personen? Werden dabei die Einsatzhäufigkeit und die mit den ausgeübten Tätigkeiten verbundenen Risiken einbezogen? Wird die Kompetenz des Personals im Hinblick auf dessen Leistung bewertet und aufgezeichnet, um Schulungsbedürfnisse zu identifizieren? 7.2.10 Wird jeder Auditor für jede Art von MS überwacht, für die er als kompetent erachtet wird? Umfasst der dokumentierte Überwachungsprozess eine Überprüfung vor Ort, Auditberichte sowie Rückinformationen vom Markt und den Kunden? Erfolgt die Überwachung derart, dass der normale Zertifizierungsprozesses möglichst wenig gestört wird (insbesondere aus der Sicht des Kunden)? 506dw, 2015-10, Rev. 10 506d.docx 16/86
7.2.11 Findet die Bewertung der Leistung eines jeden Auditors vor Ort regelmässig statt? - In welcher Häufigkeit? - Ist sie dokumentiert? - Auf welchen Informationen basiert sie? 7.3 Einsatz einzelner externer Auditoren und externer Fachexperten Verlangt die Zertifizierungsstelle von ihren externen Auditoren und externen technischen Experten eine schriftliche Vereinbarung, mit welcher diese sich zur Einhaltung der festgelegten Regeln und Verfahren sowie zu Aspekten der Vertraulichkeit und Unabhängigkeit verpflichten? Verpflichten sich die externen Auditoren und technischen Experten mit dieser Vereinbarung, die Zertifizierungsstelle über alle bestehenden oder früheren Beziehungen mit Kunden, für die sie eingesetzt werden sollen, zu informieren? ANMERKUNG: Einzelpersonen oder Angestellte einer anderen Organisation, die persönlich unter Vertrag mit der Zertifizierungsstelle stehen, gelten nicht als Ausgliederung im Sinne von Punkt 7.5. 7.4 Aufzeichnungen über Personal Verfügt die Zertifizierungsstelle über aktuelle Aufzeichnungen über ihr Personal inklusive relevante Qualifikationen, Schulungen, Erfahrungen, Zugehörigkeiten, Berufsstand und Kompetenz? Werden auch über das Leitungsund Verwaltungspersonal Aufzeichnungen geführt? 506dw, 2015-10, Rev. 10 506d.docx 17/86
7.5 Ausgliederung (Unterauftragsvergabe) 7.5.1 Verfügt die Zertifizierungsstelle über einen Prozess mit den Bedingungen für die Ausgliederung von Zertifizierungstätigkeiten? Hat die Zertifizierungsstelle mit jedem Unterauftragnehmer eine rechtlich durchsetzbare Vereinbarung, welche Aspekte der Vertraulichkeit, Unparteilichkeit sowie Interessenkonflikte mit einschliesst? ANMERKUNG: Einzelpersonen oder Angestellte einer anderen Organisation, die persönlich unter Vertrag mit der Zertifizierungsstelle stehen, gelten nicht als Ausgliederung im Sinne von Punkt 7.5. 7.5.2 Wird die Entscheidung für die Erteilung, Verweigerung, Aufrechterhaltung der Zertifizierung, die Erweiterung oder Einschränkung des Geltungsbereichs der Zertifizierung, die Erneuerung, Suspendierung oder Wiederherstellung oder der Entzug der Zertifizierung nicht ausgegliedert? 7.5.3 Übernimmt die Zertifizierungsstelle die volle Verantwortung für alle ausgegliederten Tätigkeiten? Ist sichergestellt, dass der Unterauftragnehmer und dessen Personal die Anforderungen der Zertifizierungsstelle und der anwendbaren Punkte der ISO/IEC 17021-1 einschliesslich Kompetenz, Unparteilichkeit und Vertraulichkeit erfüllen? Stellt die Zertifizierungsstelle sicher, dass der Unterauftragnehmer und dessen Personal weder direkt noch indirekt mit der zu auditierenden Organisation in Beziehung stehen, wenn dadurch die Unparteilichkeit gefährdet werden könnte? 506dw, 2015-10, Rev. 10 506d.docx 18/86
7.5.4 Verfügt die Zertifizierungsstelle über einen Prozess für die Zulassung und Überwachung aller für Zertifizierungstätigkeiten eingesetzten Unterauftragnehmer? Stellt die Zertifizierungsstelle sicher, dass der Unterauftragnehmer Aufzeichnungen zur Kompetenz seiner für die Zertifizierungstätigkeiten eingesetzten Personen führt? ANMERKUNG: Vgl. 2 Anmerkungen in der ISO/IEC 17021-1 zu diesem Punkt. 506dw, 2015-10, Rev. 10 506d.docx 19/86
8. Anforderungen an Informationen 8.1 Öffentliche Informationen 17021 Fragen J N Referenz / Bemerkungen 8.1.1 Führt die Zertifizierungsstelle Informationen über: a) die Audit-Prozesse? b) die Prozesse zur Erteilung, Verweigerung, Aufrechterhaltung, Erneuerung, Suspendierung, Wiederherstellung oder zum Entzug der Zertifizierung sowie über die Erweiterung oder die Reduzierung des Geltungsbereiches der Zertifizierung? c) alle Typen von MS und Zertifizierungsschemen, die sie anbietet? d) die Verwendung des Namens der Zertifizierungsstelle und des Zertifizierungszeichens/-logos? e) die Prozesse zur Behandlung von Anfragen für Informationen, Einsprachen und Beschwerden? f) die Politik zur Unparteilichkeit? Macht die Zertifizierungsstelle diese Informationen ohne Anfrage in allen geografischen Gebieten, in denen sie tätig ist, öffentlich zugänglich? 8.1.2 Erteilt die Zertifizierungsstelle auf Anfrage Auskünfte über: a) die geografischen Gebiete, in denen sie tätig ist? b) den Satus einer bestimmten Zertifizierung? c) den Namen, die verwendeten normativen Dokumente, Geltungsbereich und geografischen Standort (Ort und Land) eines zertifizierten Kunden? ANMERKUNGEN: In Ausnahmefällen können auf Wunsch des Kunden (z.b. aus 506dw, 2015-10, Rev. 10 506d.docx 20/86
17021 Fragen J N Referenz / Bemerkungen Sicherheitsgründen) bestimmte Auskünfte eingeschränkt werden. Die Zertifizierungsstelle kann die in diesem Punkt verlangten Auskünfte auch ohne Vorliegen einer Anfrage auf eine von ihr gewählte Art öffentlich zugänglich machen (z.b. auf ihrer Webseite) 8.1.3 Sind die Informationen der Zertifizierungsstelle zutreffend und nicht irreführend? 8.2 Zertifizierungsdokumente 8.2.1 Stellt die Zertifizierungsstelle den zertifizierten Kunden Zertifizierungsdokumente bereit? ANMERKUNG: Die Zertifizierungsstelle kann die Art, wie sie dies macht, frei wählen. 8.2.2 Sind im Zertifizierungsdokument / in den Zertifizierungsdokumenten folgende Angaben enthalten: a) Name und geografischer Ort des zertifizierten Kunden (oder geografischer Ort des Hauptsitzes und aller Standorte innerhalb des Geltungsbereichs einer Multi- Standort-Zertifizierung)? b) Datum der Erteilung, Erweiterung, Reduzierung oder Erneuerung des Geltungsbereiches der Zertifizierung bzw. der Erneuerung der Zertifizierung, welche nicht vor dem Datum des Zertifizierungsentscheides beginnen darf? ANMERKUNG: Die Zertifizierungsstelle darf bei einem Unterbruch der Zertifizierung das Datum der Erstzertifizierung auf den Zertifikaten aufführen, unter der Bedingung, dass Beginn- und Ablaufdatum des aktuellen Zertifizierungszyklus angegeben werden und das Ablaufdatum des letzten Zertifizierungszyklus zusammen mit dem Datum des Re-Zertifizierungsaudits aufgeführt werden. 506dw, 2015-10, Rev. 10 506d.docx 21/86
c) Ablaufdatum oder Fälligkeitsdatum der Erneuerung in Übereinstimmung mit dem Zertifizierungszyklus? d) eine eindeutige Identifikationsnummer? e) die Norm oder normative Grundlage inklusive Ausgabeoder Revisions-Nummer, welche für die Auditierung verwendet wurde? f) eine eindeutige und nicht irreführende Beschreibung des Geltungsbereiches der Zertifizierung bezüglich Art der Tätigkeiten, Produkte oder Dienstleistungen (je nachdem, was zutrifft), für jeden Standort? g) Name, Adresse und Zertifizierungszeichen der Zertifizierungsstelle? Werden andere Zeichen wie z.b. das Akkreditierungszeichen, die IAF MLA Mark oder das Logo des Kunden weder irreführend noch mehrdeutig verwendet? h) alle weiteren Informationen, die von der Norm und/oder den normativen Dokumenten verlangt werden, die für die Zertifizierung verwendet wurden? i) im Falle von revidierten Zertifizierungsdokumenten eine klare Unterscheidungsmöglichkeit zu Vorgängerversionen? 8.3 Verweis auf Zertifizierung und Nutzung von Zeichen 8.3.1 Hat die Zertifizierungsstelle Regeln zur Verwendung von Zertifizierungszeichen durch die zertifizierten Kunden festgelegt? 506dw, 2015-10, Rev. 10 506d.docx 22/86
Gewährleisten die Regeln unter anderem die Rückverfolgbarkeit auf die Zertifizierungsstelle? Ist das verwendete Zeichen oder der Begleittext eindeutig bezüglich des Gegenstandes der Zertifizierung und welche Zertifizierungsstelle die Zertifizierung erteilt hat? Ist ausgeschlossen, dass das Zertifizierungszeichen auf Produkten und deren Verpackungen oder auf eine andere Art verwendet wird, welche als Hindeutung auf eine Produktkonformität interpretiert werden könnte? 8.3.2 Verbietet die Zertifizierungsstelle ihren Kunden, das Zertifizierungszeichen auf Laborprüfberichten, Kalibrierscheinen oder Inspektionsberichten anzuwenden? 8.3.3 Verfügt die Zertifizierungsstelle über Regeln, welche festlegen, wie ein zertifizierter Kunde auf seinen Produktverpackungen (aber nicht auf den Produkten) durch die Verwendung jeder Art von Aussagen und weiterer Hinweise (aber nicht die Verwendung des Zertifizierungszeichens) auf sein zertifiziertes MS hinweisen kann? ANMERKUNGEN: Eine Produktverpackung ist das, was vom Produkt entfernt werden kann, ohne dass das Produkt dabei zerlegt oder beschädigt wird. Als 'weitere Hinweise' werden separate oder einfach abzulösende Informationen betrachtet. Typenschilder oder Identifizierungs- Kennzeichnungen gelten als Teile eines Produktes. Ist gewährleistet, dass ein Hinweis in keiner Art auf eine Zertifizierung eines Produktes, eines Prozesses oder einer Dienstleistung schliessen lässt? 506dw, 2015-10, Rev. 10 506d.docx 23/86
Wird verlangt, dass die Hinweise die folgenden Verweise beinhalten: - Identifikation des zertifizierten Kunden (Logo oder Name)? - Art des MS (z.b. QMS, UMS) und der anwendbaren Norm (z.b. ISO 9001, ISO 14001)? - Zertifizierungsstelle, welche die Zertifizierung erteilt hat? 8.3.4 Fordert die Zertifizierungsstelle von ihrem Kunden mittels einer rechtlich durchsetzbaren Vereinbarung, a) dass er die Anforderungen der Zertifizierungsstelle einhält, wenn er Bezug nimmt auf den Status seiner Zertifizierung, z. B. im Internet, auf Broschüren und Werbematerial oder anderen Dokumenten? b) keine irreführenden Angaben bezüglich seiner Zertifizierung zu machen oder zu gestatten? c) Zertifizierungsdokumente oder Teile davon nicht irreführend zu verwenden oder eine solche Verwendung zu gestatten? d) bei Entzug seiner Zertifizierung entsprechend den Anforderungen seiner Zertifizierungsstelle die Verwendung aller Werbematerialen zu beenden, welche Hinweise auf die Zertifizierung enthalten? e) alle Werbematerialien zu ändern, wenn der Geltungsbereich der Zertifizierung eingeschränkt wurde? f) keinen Verweis auf die Zertifizierung seines Managementsystems zuzulassen, der stillschweigend andeuten könnte, dass die Zertifizierungsstelle ein Produkt oder eine Dienstleistung zertifiziert? 506dw, 2015-10, Rev. 10 506d.docx 24/86
g) nicht stillschweigend anzudeuten, dass die Zertifizierung für Tätigkeiten und Standorte gilt, welche ausserhalb des Geltungsbereichs der Zertifizierung liegen? h) die Zertifizierung nicht in einer Art und Weise zu verwenden, welche die Zertifizierungsstelle oder das Zertifizierungssystem in Misskredit bringen könnte? 8.3.5 Überwacht die Zertifizierungsstelle ordnungsgemäss die Eigentümerschaft der erteilten Zertifizierung? Ergreift sie Massnahmen bei fehlerhaften Verweisen auf den Status der Zertifizierung oder bei irreführender Verwendung der Zertifizierungsdokumente, - zeichen oder Auditberichte? ANMERKUNG: Solche Massnahmen können die Forderung von Korrekturen und Korrekturmassnahmen, die Suspendierung oder den Entzug der Zertifizierung sowie die Publikation von Verstössen und soweit notwendig rechtliche Massnahmen beinhalten. 8.4 Vertraulichkeit 8.4.1 Ist die Zertifizierungsstelle durch eine rechtlich durchsetzbare Vereinbarung zur vertraulichen Handhabung aller Daten verpflichtet, welche bei der Ausführung von Zertifizierungstätigkeiten auf allen Stufen der Zertifizierungsstelle (inkl. alle Gremien, externen Stellen und selbstständig tätigen Personen) erhalten oder erstellt werden? 8.4.2 Wird der Kunde im Voraus über alle Informationen in Kenntnis gesetzt, welche die Zertifizierungsstelle öffentlich zugänglich machen will? 506dw, 2015-10, Rev. 10 506d.docx 25/86
HINWEIS: Alle anderen Informationen, mit Ausnahme jener, welche der Kunden selber öffentlich zugänglich macht, gelten als vertraulich. 8.4.3 Stellt die Zertifizierungsstelle sicher, dass Informationen über einen zertifizierten Kunden oder einzelne Personen (mit Ausnahme jener gemäss Punkt 8.4.2 vorstehend) nicht an Dritte bekanntgegeben werden, ohne dass der Kunde oder die betroffenen Person ihr schriftliches Einverständnis dafür geben? 8.4.4 Werden der betroffene Kunde oder die betroffene Person informiert, falls die Zertifizierungsstelle durch ein Gesetz verpflichtet oder durch eine vertragliche Vereinbarung (z.b. mit der Akkreditierungsstelle) ermächtigt ist, vertrauliche Informationen öffentlich bekannt zu geben, sofern dies nicht durch ein Gesetz ausdrücklich verboten wird? 8.4.5 Werden Informationen über den Kunden, welche nicht vom Kunden selber stammen (z.b. aus Beschwerden oder von Behörden), in Übereinstimmung mit der Politik der Zertifizierungsstelle vertraulich behandelt? 8.4.6 Ist gewährleistet, dass Personen (inkl. Mitglieder von Komitees, Vertragspartner, Personal externer Stellen oder Einzelpersonen, welche im Auftrag der Zertifizierungsstelle handeln) alle Informationen, welche sie im Rahmen der Zertifizierungstätigkeiten erhalten oder erstellen, vertraulich behandeln soweit keine gegenteilige gesetzliche Regelung besteht? 8.4.7 Verfügt die Zertifizierungsstelle über Prozesse und wo anwendbar 506dw, 2015-10, Rev. 10 506d.docx 26/86
über Ausrüstungen und Einrichtungen zur sicheren Handhabung von vertraulichen Informationen? 8.5 Informationsaustausch zwischen der Zertifizierungsstelle und ihren Kunden 8.5.1 Informationen zu Zertifizierungstätigkeit und Anforderungen Stellt die Zertifizierungsstelle ihren Kunden folgende Informationen bereit und informiert die Kunden über deren Aktualisierung? a) Eine ausführliche Beschreibung der Erst-Zertifizierung und weiteren Zertifizierungstätigkeiten, inkl. Antragstellung, Erstaudit, Überwachungsaudits sowie das Verfahren zur Erteilung, Verweigerung, Aufrechterhaltung der Zertifizierung, zur Erweiterung oder Einschränkung des Geltungsbereiches der Zertifizierung, zur Erneuerung, Suspendierung, Wiederherstellung oder zum Entzug der Zertifizierung; b) Die normativen Anforderungen für die Zertifizierung; c) Informationen zu den Kosten für die Antragsstellung, Erst- Zertifizierung und Fortsetzung der Zertifizierung; d) Die Forderungen der Zertifizierungsstelle an angehende Kunden bezüglich 1) Erfüllung der Zertifizierungsanforderungen; 2) Treffen aller erforderlichen Vorkehrungen zur Durchführung der Audits, einschließlich der Bereitstellung der zu prüfenden Dokumentation sowie den Zugang zu allen 506dw, 2015-10, Rev. 10 506d.docx 27/86
Prozessen und Bereichen, Aufzeichnungen und Personal zum Zwecke der Erstzertifizierung, Überwachung, Re-Zertifizierung und Lösung von Beschwerden; 3) Vorkehrungen betreffend Teilnahme von Beobachtern (z.b. Begutachter der Akkreditierungsstelle oder Auditoren in Ausbildung); e) Dokumente mit der Beschreibung der Rechte und Pflichten von zertifizierten Kunden, einschliesslich Anforderungen zur Verweisung auf die Zertifizierung in jeglicher Art von Kommunikation in Übereinstimmung mit den Anforderungen in 8.3 ; f) Informationen zu Verfahren zur Behandlung von Beschwerden und Einsprüchen. 8.5.2 Mitteilungen einer Zertifizierungsstelle über Änderungen Wird der Kunde von der Zertifizierungsstelle über alle Änderungen der Zertifizierungsanforderungen informiert und überprüft die Zertifizierungsstelle, ob die Kunden die neuen Anforderungen erfüllen? 8.5.3 Mitteilung eines Kunden über Änderungen Verfügt die Zertifizierungsstelle über eine rechtlich durchsetzbare Vereinbarung mit dem Kunden, dass dieser die Zertifizierungsstelle umgehend über Änderungen informiert, welche die Erfüllung der Zertifizierungsanforderungen beinträchtigen könnten, z. B. betreffend 506dw, 2015-10, Rev. 10 506d.docx 28/86
a) der rechtlichen, wirtschaftlichen, organisatorischen oder der Besitzverhältnisse? b) Organisation und Management (z.b. Schlüsselpersonal in leitender Stellung, Entscheidungsoder Fachpersonal)? c) Kontaktadresse und Standorte? d) dem vom zertifizierten Managementsystem umfassten Tätigkeitsfeld? e) wesentlicher Änderungen des Managementsystems und der Prozesse? 506dw, 2015-10, Rev. 10 506d.docx 29/86
9. Anforderungen an Prozesse 9.1 Tätigkeiten vor der Zertifizierung HINWEIS: In der ISO/IEC 127021-1 wurde die Struktur des Kapitels 9 geändert. Die Anforderugnen sind aber bis auf wenige Ausnahmen unveröndert geblieben. 9.1.1 Antrag Fordert die Zertifizierungsstelle von einem bevollmächtigten Vertreter der antragstellenden Organisation die folgenden Informationen? a) den gewünschten Geltungsbereich der Zertifizierung; b) Einzelheiten zur antragstellenden Organisation, einschliesslich deren Name und Adresse ihres/r physischen Standorte(s), ihre Prozesse und Tätigkeiten, personelle und technische Ressourcen, Funktionen, Beziehungen und alle massgeblichen rechtlichen Verpflichtungen? c) Informationen bezüglich aller ausgegliederten Prozesse, die von der Organisation genutzt werden und die Konformität mit den Anforderungen beeinträchtigen? d) die Normen oder andere Anforderungen, nach denen die Organisation eine Zertifizierung anstrebt? e) Informationen zur Nutzung von Beratungsleistungen bezüglich des zu zertifizierenden Managementsystems, inkl. Angabe des Beraters? 9.1.2 Antragsprüfung 9.1.2.1 Führt die Zertifizierungsstelle eine Prüfung des Antrages und weiterer 506dw, 2015-10, Rev. 10 506d.docx 30/86
Informationen durch, um Folgendes sicherzustellen? a) Die Informationen über die antragstellende Organisation und deren MS sind ausreichend, um ein Auditprogramm zu entwickeln; b) Alle bekannten Verständnisfragen zwischen der Zertifizierungsstelle und der antragstellenden Organisation sind geklärt; c) Die Zertifizierungsstelle verfügt über die notwendige Kompetenz und die Fähigkeit, die Zertifizierungstätigkeiten durchzuführen; d) Der Geltungsbereich der angestrebten Zertifizierung, die Standorte der Tätigkeiten der antragstellenden Organisation, die zur Durchführung der Audits erforderliche Zeit sowie alle anderen Aspekte, welche die Zertifizierungstätigkeit beeinflussen (Sprache, Sicherheitsbedingungen, Gefährdung der Unparteilichkeit etc.), werden berücksichtigt. 9.1.2.2 Wird ein Antrag basierend auf dieser Antragsprüfung von der Zertifizierungsstelle formell angenommen oder abgelehnt? Falls die Zertifizierungsstelle einen Antrag ablehnt, begründet sie dies gegenüber dem Kunden? 9.1.2.3 Wird auf der Antragsprüfung basierend die Kompetenz des Auditteams und für die Zertifizierungsentscheidung festgelegt? 9.1.3 Auditprogramm 9.1.3.1 Wird für jeden vollen Zertifizierungszyklus ein Auditprogramm entwickelt, welches die Audittätigkeiten bezeichnet, die notwendig sind zum Nachweis, dass das MS des Kunden die Zertifizierungsanforderungen entsprechend den 506dw, 2015-10, Rev. 10 506d.docx 31/86
festgelegten Normen oder anderen normativen Dokumenten erfüllt? 9.1.3.2 Deckt das Auditprogramm für den Zertifizierungszyklus alle MS- Anforderungen ab? Umfasst das Auditprogramm für den ersten Zertifizierungszyklus: - ein zweistufiges Erstaudit? - ein jährliches Überwachungsaudit im ersten und zweiten Jahr nach der Zertifizierungsentscheidung? - ein Re-Zertifizierungsaudit im dritten Jahr vor Ablauf der Zertifizierung? HINWEIS: Der erste dreijährige Zertifizierungszyklus beginnt mit der Zertifizierungsentscheidung. Die folgenden Zertifizierungszyklen beginnen mit der Entscheidung zur Re-Zertifizierung (vgl. 9.6.3.2.3). Werden bei der Bestimmung des Auditprogrammes und dessen nachfolgenden Anpassungen die Grösse des Kunden, der Geltungsbereich und die Komplexität seines MS, Produkte und Prozesse sowie der Grad der Wirksamkeit des MS und die Resultate der früheren Audits einbezogen? ANMERKUNG 1: Annex E der ISO/IEC 17021-1:2015 enthält ein Flussdiagramm eines typischen Audit- und Zertifizierungsprozesses. ANMERKUNG 2: Die folgende Liste enthalt zusätzliche Elemente, die bei der Erstellung oder Überarbeitung eines Auditprogramms berücksichtigt werden können: Reklamationen, die die Zertifizierungsstelle über den Kunden erhalten hat; kombinierte, integrierte oder verbunden Audits; 506dw, 2015-10, Rev. 10 506d.docx 32/86
Änderungen der Zertifizierungsanforderungen; Änderungen der gesetzlichen Anforderungen; organisatorische Leistungsdaten (z.b. Fehlerraten, Schlüsselindikatoren etc.); Anliegen wichtiger interessierter Kreise. ANMERKUNG 3: Wenn von industriespezifischen Zertifizierungsschemen verlangt, kann der Zertifizierungszyklus von den vorgegebenen 3 Jahren abweichen. 9.1.3.3 Werden Überwachungsaudits mindestens einmal pro Kalenderjahr durchgeführt, ausgenommen im Jahr der Re-Zertifizierung? Liegt das Datum des ersten Überwachungsaudits, das der Erstzertifizierung folgt, nicht mehr als 12 Monate nach dem Zertifizierungsentscheid? 9.1.3.4 Wenn die Zertifizierungsstelle dem Kunden bereits erteilte Zertifizierungen und von einer anderen Zertifizierungsstelle durchgeführte Audits berücksichtigt, stellt sie sicher, dass sie ausreichende Nachweise erhält und aufbewahrt wie z.b. Berichte und Dokumentationen zu Korrekturmassnahmen aller Nichtkonformitäten? Unterstützt diese Dokumentation die Erfüllung der Anforderungen in diesem Teil der ISO/IEC 17021-1:2015? Werden von der Zertifizierungsstelle, basierend auf den erhaltenen Informationen, alle Änderungen am bestehenden Auditprogramm gerechtfertigt und aufgezeichnet sowie die Umsetzung der Korrekturmassnahmen verfolgt? 9.1.3.5 Berücksichtigt die Zertifizierungsstelle bei Kunden, die Schichtarbeit betreiben, die entsprechenden 506dw, 2015-10, Rev. 10 506d.docx 33/86
Tätigkeiten bei der Entwicklung ihrer Auditprogramme und -pläne? IAF MD2 Transfer of Accredited Certification of Management Systems: Falls die Zertifizierungsstelle Zertifizierungen von anderen Zertifizierungsstellen übernimmt, werden die folgenden Anforderungen gemäss IAF MD2 eingehalten: a) Verfügt die Zertifizierungsstelle, welche die Zertifizierung erteilt hat, über eine Akkreditierung unter einem MLA mit der EA oder mit der IAF? b) Stellt die übernehmende Zertifizierungsstelle sicher, dass die zu übernehmende Zertifizierung gültig ist und in ihrem eigenen Geltungsbereich der Akkreditierung liegt? ANMERKUNG: Suspendierte Zertifizierungen (oder Zertifizierungen mit angedrohter Suspendierung) dürfen nicht übernommen werden. c) Unterzieht die übernehmende Zertifizierungsstelle die zu übernehmende Zertifizierung vor der Übernahme einer Prüfung, bestehend aus einer Beurteilung der Unterlagen der abgebenden Zertifizierungsstelle sowie einem Besuch beim zukünftigen Kunden vor Ort? d) Werden im Rahmen dieser Prüfung auch Aufzeichnungen der abgebenden Zertifizierungsstelle, wie die letzten Auditberichte, eingegangene Beschwerden und die ergriffenen Massnahmen sowie allfällige gesetzliche Aspekte mitberücksichtigt? e) Werden im Rahmen dieser Prüfung allfällige Nichtkonformitäten mit der abgebenden Zertifizierungsstelle besprochen? 506dw, 2015-10, Rev. 10 506d.docx 34/86
f) Sind die Übernahmen sowie deren Verifizierungen dokumentiert? 9.1.4 Ermittlung der Auditdauer 9.1.4.1 Hat die Zertifizierungsstelle dokumentierte Verfahren zur Ermittlung der Auditzeit? Ermittelt die Zertifizierungsstelle für jeden Kunden die Zeit, die benötigt wird, um ein vollständiges und wirksames Audit des MS des Kunden durchzuführen? ANMERKUNG: Definition der Begriffe "Auditzeit" und "Auditdauer" siehe Norm ISO/IEC 17021-1:2015, 3.16, 3.17) 9.1.4.2 Werden bei der Ermittlung der Auditzeit nebst anderen Faktoren die folgenden Aspekte berücksichtigt: a) die Anforderungen der massgeblichen MS-Norm? b) Komplexität des Kunden und dessen MS? c) Technischer und behördlicher Kontext? d) jede Ausgliederung von Aktivitäten, die im Anwendungsbereich des Managementsystems liegen? e) die Ergebnisse aller früheren Audits? f) Anzahl und Grösse der Standorte, deren geografischen Standort sowie Überlegungen zu Mehrfachstandorten? g) Die mit den Produkten, Prozessen oder Tätigkeiten der Organisation verbundenen Risiken? h) Handelt es sich um kombinierte, verbundene oder integrierte Audits? 506dw, 2015-10, Rev. 10 506d.docx 35/86
ANMERKUNG 1: Reisezeiten zu und von Auditorten dürfen nicht in die Ermittlung der Auditdauer einbezogen werden. ANMERKUNG 2: Die Norm ISO/IEC TS 17023 (Hinweise für die Ermittlung der Auditdauer) kann bei der Festlegung dieser Verfahren beigezogen werden. Werden, spezifische Anforderungen für die Ermittlung der Auditdauer angewendet, falls in den Zertifizierungsschemen solche festgelegt sind (vgl. z.b. ISO/TS 22993 oder ISO/IEC 27006)? 9.1.4.3 Werden die Ermittlung der Auditdauer sowie die Rechtfertigung für ihre Festlegung aufgezeichnet? 9.1.4.4 Ist gewährleistet, dass die aufgewendete Zeit der Teammitglieder, die nicht als Auditor eingesetzt sind (z.b. technische Experten, Übersetzer, Dolmetscher, Beobachter, Auditoren in Ausbildung) nicht zur Auditdauer gezählt wird? ANMERKUNG: Der Einsatz von Übersetzern bzw. Dolmetschern kann eine Verlängerung der Auditdauer erfordern. 9.1.5 Stichprobenprüfung für Mehrfachstandorte Hat die Zertifizierungsstelle ein Programm zur Stichprobenprüfung für gleiche Aktivitäten an unterschiedlichen Standorten (Mehrfachstandorte) entwickelt? Werden die Begründungen für die Stichprobenbestimmung für jeden Kunden aufgezeichnet? Berücksichtigt die Zertifizierungsstelle dabei, dass eine Stichprobenprüfung für gewisse Zertifizierungsschemas nicht erlaubt ist? 506dw, 2015-10, Rev. 10 506d.docx 36/86
Wo in den Zertifizierungsschemen spezifische Kriterien für die Stichprobenerhebung festgelegt sind (z.b. in der ISO/TS 22003), wendet die Zertifizierungsstelle diese an? ANMERKUNG: Eine Stichprobenerhebung ist nicht zulässig, wenn in den verschiedenen Standorten nicht die gleichen Aktivitäten ausgeführt werden. IAF MD1 + MD9 Werden für die Festlegung der Stichproben die Vorgaben gemäss IAF MD1 bzw. IAF MD9 berücksichtigt? Werden dabei insbesondere die folgenden Grundsätze eingehalten: a) An allen Standorten werden die gleichen Prozesse und Verfahren angewendet? b) Alle Standorte sind in das zentral verwaltete Managementsystem eingebunden und werden von der Management-Bewertung erfasst? c) Alle Standorte unterstehen dem Hauptsitz der zertifizierten Organisation? d) Das zertifizierte MS lässt explizit ein Stichprobenverfahren bezüglich Standorte zu? e) Die Zertifizierungsstelle informiert ihren Kunden über die Regeln zur Stichprobenerhebung, bevor der Zertifizierungsprozess gestartet wird? f) Die Zertifizierungsstelle prüft im Rahmen der Antragsprüfung, ob die Voraussetzungen für die Anwendung eines Stichprobenverfahrens gegeben sind? g) Die Zertifizierungsdokumente enthalten Name und Adresse des Hauptsitzes der zertifizierten 506dw, 2015-10, Rev. 10 506d.docx 37/86
Organisation sowie eine Liste aller Standorte, die von der Zertifizierung abgedeckt sind? h) Die Erweiterung der Zertifizierung für neue Standorte erfolgt nur im Rahmen einer Überwachung, Re- Zertifizierung oder Geltungsbereichserweiterung (mit Audit vor Ort)? 9.1.6 Mehrere Managementsysteme Wird bei einer Zertifizierung mehrerer Standards/Normen durch die Zertifizierungsstelle sichergestellt, dass in der Planung der Audits genügend Zeit vor Ort vorgesehen wird, um eine glaubwürdige Zertifizierung zu erreichen? 9.2 Planung der Audits 9.2.1 Bestimmung der Auditziele, des Auditumfangs und der Auditkriterien 9.2.1.1 Wurden die Auditziele von der Zertifizierungsstelle bestimmt? Werden der Auditumfang und die Auditkriterien von der Zertifizierungsstelle mit dem Kunden besprochen und anschliessend festgelegt? 9.2.1.2 Beschreiben die Auditziele, was mit dem Audit erreicht werden soll und enthalten sie mindestens: a) Die Ermittlung der Konformität des MS oder Teilen desselben mit den Auditkriterien? b) Die Ermittlung der Fähigkeit des MS sicherzustellen, dass der Kunden die anwendbaren gesetzlichen, behördlichen und vertraglichen Anforderungen einhält? 506dw, 2015-10, Rev. 10 506d.docx 38/86
c) Die Ermittlung der Wirksamkeit des MS um sicherzustellen, dass der Kunde auf vernünftige Weise die festgelegten Ziele erreichen kann? d) Die Identifikation potentielle Verbesserungsmöglichkeiten des MS, soweit anwendbar? 9.2.1.3 Beschreibt der Auditumfang den Bereich und die Grenzen des Audits (wie Standorte, Organisationseinheiten, zu auditierende Tätigkeiten und Prozesse)? ANMERKUNG: Falls das Erst- oder ein Re-Zertifizierungsprozess mehreren Audits vorsieht (z.b. bei Mehrfachstandorten), muss ein einzelnes Audit nicht den ganzen Geltungsbereich der Zertifizierung abdecken, jedoch muss dies über die Summe aller Audits gewährleistet sein. 9.2.1.4 Werden die Auditkriterien als Referenz verwendet, gegenüber welcher die Konformität zu ermitteln ist und umfassen sie: - die Anforderungen eines bestimmten normativen Dokumentes für MS? - den festgelegten Verfahren und die Dokumentation des vom Kunden errichteten MS? 9.2.2 Auswahl und Zuteilung des Auditteams 9.2.2.1 Allgemeines 9.2.2.1.1 Verfügt die Zertifizierungsstelle über einen Prozess zur Auswahl und Bezeichnung des Auditteams, einschliesslich des Telleiters und soweit benötigt die technischen Experten, unter Berücksichtigung der für die Erreichung der Auditziele benötigten Kompetenzen und Anforderungen in Bezug auf die Unparteilichkeit? 506dw, 2015-10, Rev. 10 506d.docx 39/86
Falls ein Audit von einem einzigen Auditor durchgeführt wird, verfügt dieser über die Kompetenz eines Auditteam-Leiters? Deckt das Auditteam alle im Rahmen der Antragsprüfung (vgl. 9.1.2.3) von der Zertifizierungsstelle für das Audit identifizierten Kompetenzen ab? 9.2.2.1.2 Wird bei der Bestimmung der Grösse und der Zusammensetzung des Auditteams den folgenden Faktoren Rechnung getragen: a) Auditziele, -umfang, -kriterien und geschätzte Audit-Zeit? b) Handelt es sich um kombinierte, verbundene oder integrierte Audits? c) Die gesamte Kompetenz des Auditteams, die zur Erreichung der Auditziele notwendig ist? d) Die Anforderungen der Zertifizierungsstelle (inkl. die gesetzlichen, behördlichen und vertraglichen Anforderungen)? e) Sprache und Kultur? ANMERKUNG: Von einem Team-Leiter für ein kombiniertes oder integriertes Auadit wird erwartet, dass er vertiefte Kenntnisse über mindestens eine derzertifizierungsnormen und minimale Kenntnisse über alle anderen Normen hat, die in dem Audit verwendet werden. 9.2.2.1.3 Wenn das notwendige Wissen und die Fähigkeiten des Audtiteams durch technische Experten, Übersetzer und Dolmetscher ergänzt werden, stehen diese Leute unter der Leitung eines Auditors? 506dw, 2015-10, Rev. 10 506d.docx 40/86