DOKUMENT IAF. Závazný dokument IAF

Transkript

1 DOKUMENT IAF Závazný dokument IAF pro audit a certifikaci systému managementu organizace s více pracovišti (pokud není vhodné použít vzorkování pracovišť) IAF Mandatory Document for the Audit and Certification of a Management Systém operated by a Multi-Site Organization (where application of site sampling is not appropriate) IAF MD 19:2016 Vydání 1 Překlad ČIA - září 2016

2

3 1 IAF MD 19:2016 / Vydání 1 Tento dokument je českou verzí dokumentu IAF MD 19:2016 z března Překlad byl zajištěn Českým institutem pro akreditaci, o.p.s. This document is the Czech version of the document IAF MD 19:2016 March It was translated by The Czech Accreditation Institute.

4 IAF MD 19:2016 / Vydání 1 2 International Accreditation Forum, Inc., IAF podporuje obchod a práci regulátorů prostřednictvím programu celosvětového vzájemného uznávání mezi akreditačními orgány (Accredation Bodies - AB), který umožňuje, aby výsledky vydávané orgány posuzování shody (Conformity Assessment Bodies - CAB) akreditovanými členy IAF byly akceptovány po celém světě. Akreditace snižuje riziko pro podniky a jejich zákazníky ujištěním, že akreditované orgány posuzování shody (Conformity Assessment Bodies CAB) jsou způsobilé provádět činnost v rozsahu své akreditace. Požaduje se, aby akreditační orgány (Accreditation Bodies AB), které jsou členy IAF, a jimi akreditované orgány posuzování shody, dodržovaly příslušné mezinárodní normy a závazné dokumenty IAF z důvodu shodné aplikace těchto norem. Akreditační orgány členové Multilaterální dohody IAF o vzájemném uznávání (Multilateral Recognition Arrangement MLA) provádějí pravidelná vzájemná hodnocení s cílem zajistit důvěryhodnost svých akreditačních programů. Struktura a rozsah IAF MLA jsou uvedeny v dokumentu IAF PR 4 Struktura IAF MLA a schválených normativních dokumentech. IAF MLA je strukturována do pěti úrovní: úroveň 1 uvádí závazná kritéria pro všechny akreditační orgány, ISO/IEC Kombinace činnosti (činností) úrovně 2 a odpovídající úrovně 3 normativního dokumentu (dokumentů) se nazývá hlavním rozsahem MLA, a kombinace úrovně 4 (pokud je použitelná) a úrovně 5 příslušných normativních dokumentů se nazývá dílčím rozsahem MLA. Hlavní rozsah MLA zahrnuje činnosti, např. certifikaci produktů a související závazné dokumenty, např. ISO/IEC Výstupy provedené orgány posuzujícími shodu na úrovni hlavního rozsahu jsou považovány za rovnocenně spolehlivé. Dílčí rozsah MLA zahrnuje požadavky posuzování shody, např. ISO 9001 a specifické požadavky pro jednotlivá schémata, pokud jsou použitelné, např. ISO/TS Potvrzení vydávaná orgány posuzujícími shodu na úrovni dílčího rozsahu se považují za rovnocenná. MLA IAF poskytuje důvěru, potřebnou pro to, aby trh akceptoval výsledky posuzování shody. Potvrzení vydaná v rozsahu IAF MLA orgánem akreditovaným signatářem MLA IAF, mohou být uznávána po celém světě, což usnadňuje mezinárodní obchod. 1. vydání Vypracoval: Technický výbor IAF Schválili: členové IAF Datum: 12. ledna 2016 Datum vydání: 31. března 2016 Datum platnosti: 31. března Kontaktní osoba pro dotazy: Elva Nilsen, tajemník IAF Kontakt: Tel.: +1 (613) secretary@iaf.nu 1 Na základě Rezoluce IAF byl termín zavedení prodloužen do 31. března 2018.

5 3 IAF MD 19:2016 / Vydání 1 OBSAH 0 ÚVOD ROZSAH TERMÍNY A DEFINICE ZDŮVODNĚNÍ NAVRHOVANÉHO PŘÍSTUPU METODOLOGIE AUDITU A CERTIFIKACE VÝPOČET DOBY AUDITU CERTIFIKAČNÍ DOKUMENTY... 10

6 IAF MD 19:2016 / Vydání 1 4 ÚVOD K ZÁVAZNÝM DOKUMENTŮM IAF Termín má se v tomto dokumentu používá pro označení uznávaného způsobu splnění požadavků normy. Orgán posuzování shody (CAB) může tyto požadavky plnit i ekvivalentním způsobem za předpokladu, že je schopen toto akreditačnímu orgánu (AB) prokázat. Termín musí se v tomto dokumentu používá v těch ustanoveních, která jsou, ve vztahu k požadavkům příslušné normy, závazná.

7 5 IAF MD 19:2016 / Vydání 1 ZÁVAZNÝ DOKUMENT IAF PRO AUDIT A CERTIFIKACI SYSTÉMU MANAGEMENTU ORGANIZACE S VÍCE PRACOVIŠTI (POKUD NENÍ VHODNÉ POUŽÍT VZORKOVÁNÍ PRACOVIŠŤ) 0 ÚVOD Tento dokument je určený pro audit, a pokud je-li to vhodné, pro certifikaci systémů managementu organizací s více pracovišti v rámci certifikačních schémat neumožňujících vzorkování pracovišť. Cílem je zajistit, aby výsledky auditu poskytly adekvátní důvěru, že systém managementu je zaveden v souladu s požadavky příslušných norem na všech uvedených pracovištích a že audit je prakticky proveditelný z ekonomického i provozního hlediska. 1. ROZSAH Tento dokument je závazný pro certifikační orgány (Certification Bodies - CBs), které certifikují systémy managementu s využitím článku (článků) 8.2 a 9 ISO/IEC :2015, ve všech situacích týkajících se auditu a certifikace systémů managementu provozovaných organizacemi s více pracovišti, kde není vhodné použít vzorkování pracovišť. Všechna ustanovení ISO/EC nadále platí a tento dokument nenahrazuje žádný z požadavků této normy. Ovšem příslušné standardy mohou uvádět specifické požadavky pro audit a certifikaci více pracovišť (např. ISO/IEC 27006, ISO/TS 22003). 2. TERMÍNY A DEFINICE 2.1 Organizace Osoba nebo skupina osob mající své vlastní funkce s odpovědnostmi, pravomocemi a vztahy za účelem dosažení svých cílů. (Zdroj: Definice 3.1 Přílohy SL Směrnic ISO) 2.2 Stálé pracoviště Pracoviště (fyzické či virtuální), kde organizace klienta provádí práci nebo poskytuje službu kontinuálním způsobem. (Zdroj: ISO/IEC TS17023:2013) 2.3 Dočasné pracoviště Pracoviště (fyzické nebo virtuální), kde organizace klienta provádí specifické práce nebo poskytuje službu po omezenou dobu, a které není určeno k tomu, aby se stalo stálým pracovištěm. (Zdroj: ISO/IEC TS17023:2013) 2.4 Organizace s více pracovišti Organizace s jediným systémem managementu skládajícím se z identifikovaného centrálního útvaru (nemusí být nezbytně hlavní sídlo organizace), kde jsou plánovány a řízeny určité činnosti, a z několika pracovišť (stálých, dočasných nebo virtuálních), na kterých se tyto činnosti úplně nebo částečně vykonávají. 2.5 Centrální útvar Útvar, který je odpovědný za centrální řízení systému managementu.

8 IAF MD 19:2016 / Vydání 1 6 Poznámka: Vrcholové vedení organizace uplatňuje pravomoc a řídí všechna pracoviště prostřednictvím centrálního útvaru. 2.6 Virtuální pracoviště On-line prostředí umožňující osobám z různých fyzických umístění realizovat procesy. Poznámka 1: Příklad takovéhoto virtuálního pracoviště je projektová a developerská společnost, kde všichni zaměstnanci pracují se vzdáleným přístupem na cloudovém prostředí. Poznámka 2: Pracoviště nemůže být považováno za virtuální pracoviště tam, kde procesy musejí být prováděny ve fyzickém prostředí, např. skladování, výroba, fyzikální zkušební laboratoře, instalace nebo opravy fyzických produktů. Poznámka 3: Virtuální pracoviště se pro účel výpočtu doby auditu považuje za jediné pracoviště. 2.7 Primární proces Proces přímo se týkající produktů nebo činností, kde jakékoliv selhání má přímý vliv na shodu týkající se cíle aplikovatelných normativních dokumentů. Poznámka: Takového procesy jsou někdy uváděny jako klíčové procesy nebo procesy vytvářející hodnotu, obvykle upravené v Příloze SL v článku Sekundární proces Podpůrný proces, který nemá přímý vliv na shodu týkající se cíle aplikovatelných normativních dokumentů. 3. ZDŮVODNĚNÍ NAVRHOVANÉHO PŘÍSTUPU Tento dokument upravuje auditování (pro účely certifikace třetích stran) organizace provádějící činnosti, které jsou plánované, kontrolované a realizované několika pracovišti bez ohledu na to, zdali jsou tato pracoviště stálá, dočasná nebo virtuální. Jakékoliv pracoviště může úplně či částečně provádět činnosti upravené rozsahem systému managementu. Ovšem tento dokument upravuje situaci, kde není vhodné použít vzorkování pracovišť během fáze plánování a provádění auditu. Pro to může existovat mnoho důvodu, například: - všechna pracoviště provádějí významně rozdílné činnosti; - klient požaduje audit všech pracovišť; - existuje sektorové schéma nebo zákonný požadavek stanovující, že každé pracoviště má být z povahy systému auditováno. Jakékoliv právní aspekty týkající se systému managementu organizace přesahující jedinou právnickou osobu nebo vícero právnických osob jsou obecně irelevantní pro auditování systému managementu a nejsou obsahem stávajícího dokumentu, pokud není stanoveno jinak.

9 7 IAF MD 19:2016 / Vydání 1 Jedná se o systém managementu organizace, jenž musí být auditován a certifikován; dále dle definice, audit systému managementu je založen pouze na omezeném vzorku dostupných informací. Pokud bychom vzali příklad auditu QMS výrobní organizace se 4 různými výrobními linkami všechny čtyři linky musí být auditovány bez ohledu na skutečnost, zdali se nachází na jediném pracovišti nebo na místech vzdálených stovky kilometrů, logistika auditu musí odpovídat zeměpisným vzdálenostem, doba auditování na místě se nemá významně lišit. Zodpovědností certifikačního orgánu je se před provedením auditu důkladně seznámit s tím, kde a jak organizace vykonává různé činnosti zahrnuté do systému managementu, aby mohl naplánovat a vykonat účinné a efektivní audity. Mezi klíčová kritéria zajišťující efektivní plánování a implementaci programu auditu patří: - získání informací během fáze plánování o tom, jaké prvky/procesy/činnosti systému managementu se provádějí na jednotlivých pracovištích; - stanovení kritických faktorů, které mají být posouzeny pro účinný a efektivní audit v závislosti na typu auditovaného systému managementu; - výběr členů auditního týmu/se zohledněním výše uvedeného; - přidělení dostatečné doby pro auditování na místě. 4. METODOLOGIE AUDITU A CERTIFIKACE 4.1 Obecné Kromě metodologií stanovených níže platí všechny odpovídající požadavky ISO/IEC Způsobilost pro certifikaci Organizace musí stanovit osobu pověřenou centrální funkcí se zodpovědností za systém managementu Osoba s centrální funkcí musí mít organizační pravomoc ke stanovení, zřízení a udržování systému managementu Systém managementu organizace musí být předmětem centralizovaného přezkoumání managementem Všechna pracoviště musí být předmětem programu interního auditu organizace Osoba s centrální funkcí musí být odpovědná za zajištění toho, že data jsou sbírána a analyzována ze všech pracovišť a musí být schopná prokázat svoji pravomoc a schopnost zahájit organizační změnu dle požadavků, kromě jiného týkajících se: (i) systémové dokumentace a systémové změny; (ii) přezkoumání managementu; (iii) stížností; (iv) vyhodnocení nápravných opatření;

10 IAF MD 19:2016 / Vydání 1 8 (v) plánování interního auditu a vyhodnocení výsledků; (vi) zákonných a regulatorních požadavků týkajících se aplikovatelného standardu (standardů). 4.3 Přezkoumání žádosti a program auditu CB musí obdržet relevantní informace týkající se organizace pro: - stanovení rozsahu zavedeného systému managementu a požadovaného rozsahu certifikace; - pochopení právních a smluvních ujednání propojujících různá pracoviště zavádějící systém managementu; - pochopení toho co se děje kde, tj. stanovení rozhraní mezi různými pracovišti a činnostmi a stanovení všech duplicitních činností na různých pracovištích; - zohlednění dalších relevantních faktorů (viz rovněž IAF MD5, ISO/IEC TS 17023); - určení doby auditu a stanovení požadované způsobilosti auditního týmu (auditních týmů); - stanovení auditního programu Při stanovení auditního programu musí certifikační orgán vyhradit dostatečný dodatečný čas pro činnosti, které nejsou součástí vypočtené doby auditu, jako například čas na cestování, komunikaci mezi členy auditního týmu, úvodní i závěrečná jednání na místě, jednání po ukončení auditu, vzhledem ke konkrétní struktuře organizace, která má být auditována. Poznámka: Lze použít techniky auditu na dálku, pokud je audit na dálku vhodný pro povahu procesů, které jsou předmětem auditu (viz ISO/IEC ) Certifikační orgán musí zvážit potřebu provést 1. stupeň na více než jednom pracovišti, za účelem získání informací vyžadovaných článkem ISO/IEC Certifikační orgán, ve spolupráci s organizací, musí identifikovat všechny procesy systému managementu zavedené na jednotlivých pracovištích (na základě rozsahu certifikace) včetně primárních procesů, procesy hodnocení výkonu a zlepšování a sekundární procesy. V každém certifikačním cyklu program auditu musí: i. během každého auditu zahrnout všechny primární procesy prováděné na jednotlivých pracovištích; ii. zahrnout všechny procesy hodnocení výkonu a zlepšování během každého počátečního i recertifikačního auditu a nejméně ještě jednou v každém certifikačním cyklu během dozorového auditu; iii. zahrnout sekundární procesy následujícím způsobem: a. Auditovat sekundární procesy v každém počátečním a recertifikačním auditu, ale podobné sekundární procesy vykonávané na různých pracovištích lze kontrolovat na základě vzorkování;

11 9 IAF MD 19:2016 / Vydání 1 b. Během dozorových auditů mohou být sekundární procesy kontrolovány na základě vzorkování a v závislosti na výsledcích předcházejících auditů. Toto vzorkování musí být navrženo tak, aby byla zajištěna dostatečná velikost vzorku pro posouzení shody s požadavky systému managementu, a musí zajistit výběr procesů auditovaných v tříletém cyklu dostatečně reprezentující systém managementu Pokud je kdykoliv použit auditní tým o více než jednom členovi, musí být zodpovědností certifikačního orgánu, ve spolupráci s vedoucím týmu, aby stanovil odborné způsobilosti vyžadované pro všechny části auditu a pro jednotlivá pracoviště, a aby pro jednotlivé části auditu přidělil příslušné členy týmu. 4.4 Počáteční audit: 1. stupeň Během 1. stupně musí auditní tým doplnit informace o: - potvrzení programu auditu; - plán 2. stupně, zohledňující procesy/prvky/činnosti, které mají být auditovány na každém pracovišti. Kromě všech primárních procesů implementovaných na jednotlivých pracovištích musí auditní tým vybrat, na jakých pracovištích musí být auditována implementace neprimárních procesů, aby byl zajištěn efektivní a úplný audit systému managementu; a - potvrdit že tým pro audit 2. stupně má požadovanou způsobilost. Poznámka: Zde uváděné neprimární procesy znamenají jak procesy hodnocení výkonu a zlepšování, tak i sekundární procesy. 4.5 Počáteční audit: 2. stupeň Jako výstup počátečního auditu musí auditní tým zdokumentovat, jaké procesy byly auditovány na jednotlivých pracovištích. Tato informace bude použita pro úpravu plánů následujících dozorových auditů. 4.6 Dozorové audity CB musí vyčlenit dostatečnou dobu na pracovišti pro audit všech primárních procesů a rovněž ostatních procesů na jednotlivých pracovištích (viz 4.5). Sekundární procesy lze vzorkovat za předpokladu, že je možné získat významnou velikost vzorku, aby bylo zajištěno hodnocení shody s požadavky systému managementu (viz rovněž požadavky článku ISO/IEC :2015). CB musí zajistit, že výběr procesů auditovaných v tříletém cyklu dostatečně reprezentuje systém managementu Délka auditu vyhrazená pro jednotlivá pracoviště musí záviset na tom, zdali pracoviště vykonává či nevykonává primární procesy. 4.7 Recertifikační audity CB musí auditovat úplný systém managementu podobně jako při počátečním auditu. CB musí vzít v úvahu to, jaké procesy byly auditovány na jednotlivých pracovištích během stávajícího cyklu.

12 IAF MD 19:2016 / Vydání VÝPOČET DOBY AUDITU 5.1 Pro výpočet celkové doby auditu pro systém managementu, bez ohledu na počet pracovišť, musí být použity relevantní standardy ISO, dokumenty IAF (hlavně IAF MD5) a, všechny požadované aplikovatelné požadavky sektorových schémat v kombinaci s požadavky stanovenými v tomto dokumentu. Tato doba auditu nesmí být nikdy kratší než ta, která by byla vypočítána pro velikost a složitost organizace, pokud by všechna práce byla vykonávána na jediném pracovišti (tj. se všemi zaměstnanci firmy na stejném místě). Poznámka: Je nepravděpodobné, že přístup jedna třetina doby auditu pro dozor a dvě třetiny doby auditu pro recertifikaci v organizacích s jediným pracovištěm by byl přiměřený; je nutné uvážit i prodloužení doby nutné pro úvodní i závěrečná jednání na místě, duplicitní procesy, různorodost primárních procesů, které mají být auditované atd., dle požadavků IAF MD 5 pro komplikovanou logistiku. 6. CERTIFIKAČNÍ DOKUMENTY 6.1 Certifikační dokument musí zohledňovat rozsah certifikace a pracoviště/právnické osoby, které certifikační orgán auditoval a certifikoval. Konec Závazného dokumentu IAF pro audit a certifikaci systému managementu organizace s více pracovišti (pokud není vhodné použít vzorkování pracovišť) DALŠÍ INFORMACE Další informace o tomto dokumentu nebo jiných dokumentech IAF je možné získat od kteréhokoli člena IAF nebo na sekretariátu IAF. Kontaktní údaje jednotlivých členů IAF jsou k dispozici na webových stránkách - Sekretariát: Tajemník IAF Tel. ++1 (613) secretary@iaf.nu