Herziening ISO/IEC 17021 Versie 2006 Versie 2011 Conformiteitsbeoordeling Eisen voor instellingen die audits en certificatie van managementsystemen uitvoeren. Aanpassingen en overgangsmodaliteiten Brussel 17 januari 2012 1
Waarom deze herziening? - Om - onder de vorm van eisen - de pertinente elementen te integreren van de norm ISO 19011 toepasbaar voor alle derde partij audits van management systemen» Beheer van de competentie van de CI met inbegrip van de competentie van de auditteams» Het audit proces - Om de kennis en het beheer van de competenties te verbeteren opmerking: De vereisten zijn algemeen: de link wordt gemaakt met de specifieke documenten (ISO/TS 22003 of ISO 27006) Bijkomende specifieke sectoriele documenten zijn in ontwikkeling of worden in het vooruitzicht gesteld 2
Algemeenheden De norm is gepubliceerd op 1 februari 2011 met de referentie ISO/CEI 17021:2011 en met behoud van de titel van de voorgaande norm: Conformiteitsbeoordeling Eisen voor instellingen die audits en certificatie van managementsystemen uitvoeren. Een systematische herziening is voorzien binnen 1 jaar waarbij ook alle opmerkingen over het gebruik van de 2006 versie in rekening zouden worden gebracht. 3
Wat wordt gewijzigd? Sammenvatting 1 Toepassingsdomein Significante wijzigingen 2 Normatieve referenties 3 Termen en definities Kleine wijzigingen 4 Principes 5 Algemene eisen 6 Structurele eisen 7 Eisen met betrekking tot de middelen 8 Eisen met betrekking tot informatie 9 Eisen met betrekking tot het proces 10 Eisen voor het managmentsysteem van de CI s 4
Wat wordt gewijzigd: bijlagen Competentie en performantie van het personeel van de CI (Hoofdstuk 7) audit en certificatieproc es (Hoofdst. 9) Samenvatting Bijlage A (normatief) Vereiste kennis en vaardigheden Bijlage B (informatief) Mogelijke evaluatiemethoden Bijlage C (informatief) Voorbeeld van een processtroom voor het vaststellen en handhaven van de competentie Bijlage D (informatief) Gewenste persoonlijke gedragskenmerken Bijlage E (informatief) Derde partij audit en certificatieproces Bijlage F (informatief) Punten van overweging voor het auditprogramma, de reikwijdte van de audit of het auditplan Bibliografie 5
Wijzigingen Alle normatieve verwijzingen naar ISO 19011 werden geschrapt artikel 2 Normatieve referenties: Referentie en voetnoot artikel 7: 7.2.5, 7.2.11 artikel 9: 9.1.2, 9.1.3, 9.1.9, 9.1.10 artikel 10: 10.2.5 6
Wijzigingen De geschrapte verwijzingen naar de ISO 19011 werden vervangen door specifieke bepalingen met betrekking tot de competentie en de derde partij certificatieaudits 7
Wijzigingen: artikel 3 artikel 3 : Termen en definities toevoeging van 7 nieuwe definities 3.4 certificatieaudit door een derde partij 3.5 klant 3.6 auditor 3.7 competentie 3.8 begeleider 3.9 waarnemer 3.10 technisch domein 8
Wijzigingen artikel 3: detail artikel 3 : Termen en definities Belangrijke nieuwe definitie: 3.10 technisch gebied (domein) gebied (domein) dat wordt gekenmerkt door gemeenschappelijke kenmerken van processen die relevant zijn voor een specifiek type managementsysteem Sleutelelement voor de vaststelling van de competentiecriteria (7.1.2) 9
Wijzigingen: artikel 4 artikel 4: Principes 4.3 schrapping van de tweede zin die niet meer strookte met de nieuwe definitie van de competentie (in 3.7: het vermogen om kennis en vaardigheden toe te passen om de beoogde resultaten te bereiken ) 10
Wijzigingen: artikel 7 artikel 7 : eisen m.b.t. de middelen Toevoeging van 2 nieuwe eisen 7.1.2 Bepaling van de competentiecriteria met referentie naar Bijlage A (normatief) 7.1.3 Evaluatieproces met referentie naar Bijlage B (informatief) Herziening van paragraaf 7.2.4 Schrapping van applicable personal attributes Toevoeging van een nota met referentie naar de gewenste persoonlijke gedragskenmerken beschreven in Bijlage D (informatief) 11
Wijzigingen artikel 7.1.2.: detail 7.1.2. Bepaling van de competentiecriteria met referentie naar Bijlage A (normatief) De certificatie-instelling moet over een gedocumenteerd proces beschikken voor het bepalen van de competentiecriteria voor personeel dat betrokken is bij het beheer en de uitvoering van audits en certificering Competentiecriteria moeten worden bepaald voor: - elk type management systeem standaard - ieder technisch domein - voor elke functie in het certificeringsproces Bijlage A geeft de kennis en vaardigheden die een certificatieinstelling moet vastleggen voor specifieke functies 12
13
Wijzigingen artikel 7.1.2: detail 7.1.2. Bepaling van de competentiecriteria De term 'technisch domein' kan verschillen afhankelijk van de managementsysteemstandaard die wordt beschouwd. Voor elk management systeem is de term gerelateerd aan producten en processen in het kader van de reikwijdte van de managementsysteemstandaard. De technische domeinen kunnen worden gedefinieerd door een specifieke certificeringsregeling (bv. ISO / TS 22003) of kunnen worden bepaald door de certificatieinstelling. Technische domeinen: - moeten worden bepaald door de CI; - kunnen verschillen per CI; 14
Wijzigingen artikel 7.1.3.: detail 7.1.3 Evaluatieproces met referentie naar Bijlage B (informatief) De certificatie-instelling beschikt over gedocumenteerde processen voor de eerste competentie-evaluatie en permanente bewaking van competentie en de prestaties van alle personeel dat betrokken is bij het beheer en de uitvoering van audits en certificering met toepassing van de vastgestelde competentiecriteria. De certificatie-instelling moet aantonen dat zijn evaluatiemethoden doeltreffend zijn. Een aantal van de evaluatiemethoden die gebruikt kunnen worden om kennis en vaardigheden te evalueren worden beschreven in bijlage B. De Informatieve bijlage C geeft een voorbeeld van een proces flow voor het bepalen en onderhouden van competenties met behulp van de methoden in bijlage B (opm: bijlage C: specifieke sectoren = technisch domeinen) 15
Wijzigingen: artikel 7.2.4. : detail 7.2.4. vastgelegde processen voor het selecteren, opleiden en formeel autoriseren van auditoren en voor selectie van technische deskundigen Nota: Tijdens de selectie en opleiding kan gewenst persoonlijke gedrag worden beschouwd. Dit zijn kenmerken die van invloed zijn om een persoon in staat te stellen om specifieke taken uit te voeren. De kennis van gedragskenmerken van de individuele personen laat een certificatie-instelling toe om hun sterke kanten te benutten en om en om de impact van hun zwakke punten te minimaliseren. Gewenste gedragskenmerken die belangrijk zijn voor personeel dat betrokken is bij certificatie-activiteiten zijn beschreven in bijlage D. 16
Wijzigingen: artikel 9 artikel 9: eisen m.b.t. het proces 9.1 Algemene eisen 9.2 Beoordeling en initiële certificatie 17
Ingrijpende wijzigingen in 9.1 In het hoofdstuk 9.1. algemene eisen, heeft elke clausule nu een titel. Talrijke eisen die voortkomen uit de ISO 19011 werden toegevoegd. De clausule 9.1.9 onderging de grootste wijzigingen. 9.1.1 1 nieuwe eis 9.1.2 6 nieuwe eisen 9.1.3 4 nieuwe eisen 9.1.4 1 nieuwe eis 9.1.9 16 nieuwe eisen 9.1.10 1 nieuwe eis 9.1.11 1 nieuwe eis 18
Wijzigingen 9.1: detail 9.1 Algemene eisen 9.1.1 Auditprogramma 9.1.2 Auditplan 9.1.3 Selectie en aanstelling auditeams 9.1.4 Vaststelling van de auditduur 9.1.5 Multi-site certificering 9.1.6 Mededeling taken van het team 9.1.7 Informatie over de leden van het auditteam 9.1.8 Meedelen auditplan 9.1.9 Uitvoering van on-site audits 9.1.10 Auditrapport 9.1.11 Analyse van de oorzaken van non-conformiteiten 9.1.12 Effectiviteit van de correcties en de corrigerende acties 9.1.13 Opvolging van de correcties en de corrigerende acties 9.1.14 Certificatiebeslissing 9.1.15 Onderbouwing beslissing 19
Wijzigingen 9.1.1: detail 9.1.1 Auditprogramma Er moet een auditprogramma worden ontwikkeld dat duidelijk de vereiste auditactiviteiten identificeert die nodig zijn om aan te tonen dat het managementsysteem van de klant voldoet aan de eisen om te worden gecertificeerd volgens de gekozen norm(en) of andere normatieve document(en). Bijlage E bevat een stroomschema van een gebruikelijke door een derde partij uitgevoerd audit- en certificatieproces. Bijlage F geeft een opsomming van aanvullende aandachtspunten die in overweging kunnen worden genomen bij het ontwikkelen of herzien van een auditprogramma. 20
Wijzigingen 9.1.2: detail 9.1.2 Auditplan 9.1.2.2. Het vaststellen van doelstellingen, toepassingsgebied en criteria van de audit: - Auditdoelstellingen: door CI; audit teopassingsgebeid (incl wijzigingen) en audit criteria (incl. wijzigingen): door CI na discussie met de klant. - Waar het initiële- of hercertificatieproces uit meer dan één audit bestaat (die bijv. betrekking hebben op verschillende locaties), behoeft de reikwijdte van één afzonderlijke audit niet de volledige reikwijdte van de certificatie te omvatten, maar het geheel van de audits moet consistent zijn met de reikwijdte volgens het certificatiedocument. - de audit criteria moeten naast de eisen van een gedefinieerd normatief document inzake managementsystemen ook de gedefinieerde processen en documentatie van het door de klant ontwikkelde managementsysteem omvatten. 21
Wijzigingen 9.1.3: detail 9.1.3 Selectie en aanstelling auditeams 9.1.3.2. Bij besluiten over de omvang en samenstelling van het auditteam, dient rekening te worden gehouden met de volgende aspecten: b) of de audit een gecombineerde, geïntegreerde of gezamenlijke audit is;... d) certificatie-eisen (inclusief van toepassing zijnde wet- en regelgeving of contractuele eisen);. f) of de leden van het auditteam al eerder een audit op het managementsysteem van de klant hebben uitgevoerd 9.1.3.4. Auditoren-in-opleiding mogen als deelnemers aan het auditteam worden toegevoegd, mits een auditor als evaluator wordt benoemd. De evaluator moet beschikken over de competentie om de taken van de auditor-in-opleiding over te nemen en eindverantwoordelijk te nemen voor diens activiteiten en bevindingen. 22
Wijzigingen: 9.1.4: detail 9.1.4 Vaststelling van de auditduur 9.1.4.1. Bij de bepaling van de audittijd moet de certificatie-instelling onder andere rekening houden met volgende aspecten:.. g) de risico's in verband met de producten, processen of activiteiten van de organisatie; h) of het gaat om gecombineerde, gezamenlijke of geïntegreerde audits. Indien specifieke criteria zijn vastgesteld voor een specifiek certificatieschema, bijv. ISO/TS 22003 of ISO/IEC 27006, dan dienen deze te worden toegepast 9.1.4.2. De tijd die wordt besteed door teamleden die niet zijn aangesteld als auditoren (bijv. technische deskundigen, vertalers, tolken, waarnemers en auditoren-in-opleiding) mag niet worden meegeteld in de bovengenoemde vastgestelde audittijd. Opm.: Het inzetten van vertalers en tolken kan extra audittijd vergen. 23
Wijzigingen: 9.1.9: detail 9.1.9 uitvoering van on-site audits 9.1.9.2. Het houden van de openingsbijeenkomst De uitleg moet de volgende aspecten bevatten, waarbij de mate van detaillering afhangt van de bekendheid van de klant met het auditproces: k) bevestiging dat de auditteamleider en het auditteam die de certificatieinstelling vertegenwoordigen, verantwoordelijk zijn voor de audit en de leiding hebben over het auditplan, inclusief de auditactiviteiten en het auditpad; 9.1.9.3.2 Indien het beschikbare bewijsmateriaal van de audit aangeeft dat de auditdoelstellingen niet haalbaar zijn, of duidt op de aanwezigheid van een direct en significant risico (bijv. voor de veiligheid), dan moet de teamleider dit aan de klant, en zo mogelijk aan de certificatie-instelling melden om passende actie te bepalen. Bij dergelijke actie kan het gaan om herbevestiging of aanpassing van het auditplan, wijziging van de doelstellingen of de reikwijdte van de audit, of beëindiging van de audit. De auditteamleider moet het resultaat van de genomen actie aan de certificatie-instelling melden. 24
Wijzigingen: 9.1.9: detail 9.1.9 uitvoering van on-site audits 9.1.9.4.1. Waarnemers De aanwezigheid en rechtvaardiging van waarnemers tijdens een auditactiviteit moet voorafgaand aan de uitvoering van de audit worden overeengekomen tussen de certificatie-instelling en de klant. Het auditteam moet ervoor zorgen dat waarnemers het auditproces of het resultaat van de audit niet beïnvloeden of verstoren. Opm: Waarnemers kunnen functionarissen van de organisatie van de klant zijn, adviseurs, medewerkers van een accreditatie-instelling die van de audit getuige zijn, regelgevende instanties, of andere gerechtvaardigde personen. 9.1.9.4.2 Begeleiders Elke auditor moet worden vergezeld door een begeleider, tenzij door de auditteamleider en de klant anders wordt overeengekomen. 25
Wijzigingen: 9.1.9: detail 9.1.9 Uitvoering van on-site audits 9.1.9.6.1. Auditbevindingen die de conformiteit resumeren en die de afwijkingen nauwkeurig omschrijven,, moeten worden geregistreerd en gerapporteerd om een gedocumenteerde certificatiebeslissing mogelijk te maken of om de certificatie te behouden. 9.1.9.6.2. Mogelijkheden tot verbetering kunnen worden geïdentificeerd en geregistreerd, tenzij dit verboden is door de eisen van een managementsysteemcertificatieschema. Auditbevindingen die in overeenstemming met 9.1.15 b) en c) afwijkingen vormen, mogen echter niet als mogelijkheden tot verbetering worden geregistreerd. 9.1.9.6.3. Afwijkingen moeten met de klant worden besproken om er zeker van te zijn dat het bewijs accuraat is en dat de afwijkingen begrepen zijn. De auditor moet zich er echter van onthouden de oorzaak van of oplossing voor een afwijking aan te geven. 9.1.9.6.4. De auditteamleider moet proberen meningsverschillen tussen het auditteam en de klant betreffende auditbewijsmateriaal of - bevindingen op te lossen, en onopgeloste punten moeten worden geregistreerd. 26
Wijzigingen: 9.1.9: detail 9.1.9 uitvoering van on-site audits 9.1.9.7. Auditconclusies opstellen Voorafgaand aan de afsluitende bijeenkomst, moet het auditteam:. d) De geschiktheid van het auditprogramma bevestigen of eventueel vereiste wijzigingen identificeren (bijv. betreffende de reikwijdte, tijdsduur of data van de audit, controlefrequentie, competentie). 9.1.9.8. Het houden van de sluitingsbijeenkomst 9.1.9.8.1.. Het doel van de afsluitende bijeenkomst, die gewoonlijk wordt geleid door de auditteamleider, is om de auditconclusies te presenteren, met inbegrip van de aanbeveling ten aanzien van certificatie. 27
Wijzigingen: 9.1.9: detail 9.1.9 uitvoering van on-site audits 9.1.9.8.2 De afsluitende bijeenkomst moet ook de volgende elementen bevatten, waarbij de mate van detail afhangt van de mate waarin de klant bekend is met het auditproces: a) mededeling aan de klant dat het verzamelde auditbewijsmateriaal is gebaseerd op een steekproef van de informatie; als gevolg waarvan een element van onzekerheid wordt geïntroduceerd; b) de rapportagemethode en termijn voor rapportage, waarbij tevens de auditbevindingen worden geclassificeerd; c) het proces van de certificatie-instelling voor de behandeling van afwijkingen, met inbegrip van gevolgen voor de status van de certificatie van de klant;. e) de post-auditactiviteiten van de certificatie-instelling; f) informatie over de procedures voor het behandelen van klachten en beroepszaken. 9.1.9.8.3 De klant moet de mogelijkheid worden geboden om vragen te stellen. Eventuele onopgeloste meningsverschillen moeten worden geregistreerd en worden voorgelegd aan de certificatie-instelling. 28
Wijzigingen: 9.1.10: detail 9.1.10 Auditrapport 9.1.10.2... Het auditrapport moet een nauwkeurige, beknopte en duidelijke registratie van de audit bieden die een onderbouwde certificatiebeslissing mogelijk maakt, en moet de volgende aspecten bevatten of hiernaar verwijzen: a) identificatie van de certificatie-instelling; b) naam en adres van de klant en de managementvertegenwoordiger van de klant; c) het type audit (bijv. een initiële-, controle- of hercertificatieaudit);. g) identificatie van de auditteamleider, de auditteamleden en eventuele overige personen die hen vergezelden;. i) auditbevindingen, -bewijsmateriaal en -conclusies, in overeenstemming met de eisen van het type audit. 29
Wijzigingen: 9.1.12: detail 9.1.12 Doeltreffendheid van de correcties en de corrigerende acties De certificatie-instelling moet de doeltreffendheid van correcties en corrigerende maatregelen verifiëren. Het verkregen bewijsmateriaal ter ondersteuning dat afwijkingen worden verholpen moet worden geregistreerd... Opmerking: Verificatie van de doeltreffendheid van correcties en corrigerende maatregelen kan worden uitgevoerd door het beoordelen van door de klant geleverde documentatie, of zo nodig door verificatie ter plaatse. 30
Wijziging: 9.2 9.2: beoordeling en initiele certificatie toevoeging van een nieuwe eis 9.2.2.2 onderbouwing / meedelen van de beslissing om een certificatieaanvraag te weigeren 31
Gevolgen Voor de certificatieinstellingen: - Vastleggen/verduidelijken/aanpassen van het proces van het bepalen van de criteria van bekwaamheid (kennis aangevuld met vaardigheden) en van de evaluatie ervan; - Wijziging van de inhoud van de auditplannen; - Aanpassing van de manier van waarop audits worden uitgevoerd; - Wijziging van de inhoud van auditrapporten. Voor de accreditatieinstelling: - Controle van het proces ter onderbouwing van de competentie (criteria én evaluatie) - Nagaan in de praktijk van de toepassing van de nieuwe eisen met betrekking tot het plannen en uitvoeren van de audits. - Doorgedreven verificatie van de auditrapporten 32
Overgangsperiode Op aanbeveling van een task-force van het technisch comité (TC) van IAF, werd een overgangsperiode van 24 maanden na de publicatie overeengekomen door het TC van IAF, de Algemene vergadering van IAF en de joint WG IAF-ILAC-ISO. In een gezamenlijk Communiqué van IAF-ISO wordt aangegeven dat de overgang op 1 februari 2013 voltooid moet zijn. Details vastgelegd in: IAF ID 2: 2011 Information on the Transition of Management System Accreditation to ISO/IEC17021:2011 from ISO/IEC 17021: 2006 33
Overgangsregeling BELAC Er is een nieuwe versie van de checklist BELAC 6-108 (Rev 1) met identificatie van alle nieuwe eisen. In principe is géén bijkomende audit voorzien. De beoordeling van de overgang zal samenvallen met de normale beoordelingen. Eventueel zal het programma van de normale audits worden aangepast om tijdig de evaluatie van de overgang mogelijk te maken. Vanaf 1 april 2012 zullen alle audits volgens ISO 17021:2011 worden uitgevoerd. De CI s moeten voor de audit in detail aangeven hoe ze voldoen aan die nieuwe eisen. 34
Overgangsregeling BELAC Daartoe moeten de CI s de aangevulde auto-evaluatie checklist aan Belac overmaken ten laatste 2 weken voor de audit samen met de volgende ondersteunende documenten: - de door de CI gekozen technische domeinen met de competentiecriteria; - een voorbeeld van een personeelsdossier waarbij de competentie aangetoond is overeenkomstig de eisen van de nieuwe norm. - een voorbeeld van een nieuw auditrapport; - het verslag van de interne audit ter controle van de implementatie van de nieuwe eisen van de norm. 35
Overgangsregeling BELAC Tijdens de audit in de zetel zal de nadruk liggen op - De uitvoering van de interne audit met betrekking tot de wijzigingen (auto-evaluatie checklist); - personeelsdossiers waarmee competentie aangetoond wordt op basis van competentiecriteria (in plaats van alleen het voldoen aan kwalificatie-eisen); - certificatiedossiers waarmee wijzigingen aangetoond worden (o.a. rapportagevereisten). 36
Overgangsregeling BELAC Afwijkingen tegen paragrafen van de ISO/IEC 17021:2011 die geen afwijkingen zouden zijn geweest tegen de voorgaande norm of ISO 19011 zullen gewaardeerd worden als B tekortkoming. De certificatie-instelling heeft tot 1 december 2012 de tijd om corrigerende maatregelen in te voeren. BELAC zal deze maatregelen beoordelen vóór 1 januari 2013 en de accreditatiebesluiten nemen tijdens het bureau van januari 2013. Alle bestaande accreditaties onder ISO/IEC 17021: 2006 worden uiterlijk op 1 februari 2013 ingetrokken. 37
Initiatieven van ISO ISO/IEC TS 17022 Conformity assessment -- Requirements and recommendations for the content of a third-party audit report on management systems. CASCO WG 33. Draft ISO TC 207/CASCO New work item EMS auditor competence ISO TC 176/CASCO New work item QMS auditor competence 38
Belac: Documenten / Auto-evaluatie Belac heeft een aangepaste checklist gemaakt BELAC 6-108-Rev 1. Er is een versie met wijzigingen in grijs die dient te worden gebruikt voor de auto-evaluatie door de CI. Naast de aanpassingen aan de eisen van de ISO 17021 worden daarop nu ook de bijkomende Belac documenten vermeld waaraan bijkomend dient te worden voldaan. Deze documenten werden waar nodig aangepast voor de ISO 17021:2011. Daarnaast werden ook de rapporten aangepast. 39
Beschikbare documentatie Summary of real changes 3 presentaties (based on material provided by Randy Dougherty, US-ANSI): http://www.iso.org/iso/resources/conformity_assessment/ casco_tutorial_iso-iec-17021.htm 40