Skip to content 
Certyfikacja akredytowana
Nie wszystkie standardy będące w portfolio QSCert’u wprowadziliśmy na nasz lokalny rynek, dlatego też nie przedstawiamy tych usług certyfikacyjnych w głównym portfolio. Ta decyzja z naszej stromy była bardzo świadoma i podyktowana głównie sprawą już ukształtowanego rynku certyfikacyjnego (jak w przypadku bezpieczeństwa żywności – FSSC 22000, ISO 22000), czy też znikomego zainteresowania pozostałymi certyfikacjami (ISO 3834, CSA Star (Cloud Computing), eIDAS) w Polsce. Jest to także zrozumiałe gdy weźmiemy pod uwagę koszty i czas wdrożenia nowego produktu. Pozostają jednak one w naszym portfolio. W przypadku zainteresowania ze strony klienta będą one realizowane w międzynarodowym zespole. Informacje akredytacyjne w tym zakresie dostępne są na stronie internetowej QSCert . Kwestie wyceny kosztów certyfikacji wypracowujemy wspólnie z naszą centralą QSCert na bazie wytycznych w tym zakresie.
Certyfikacja nieakredytowana
Mamy tutaj kilka możliwych opcji. Pierwsza grupa – dotyczy ona certyfikacji systemów zarządzania nie mających aktywnych wytycznych akredytacyjnych, jednakże mających zdefiniowane wymagania w ramach kryterium audytu – EN 15224, ISO 29990, ISO 29991, ISO 21001, ISO 7100 itd. Chociaż część z wymienionych standardów w niektórych krajach może mieć już zdefiniowaną ścieżkę akredytacyjną – np. ISO 29990, ISO 29991 (Niemcy), EN 15224 (Holandia), itd., to są one połączone ze specyficznymi uregulowaniami lokalnymi, które odwołują się do nich. Może to być także silna pozycja lokalnych organizacji, która współpracowała w wypracowaniu wytycznych akredytacyjnych mających jednak wciąż wymiar krajowy – np. wspomniana EN 15224 dla placówek ochrony zdrowia. Dobrze byłoby aby w ramach porozumienia MLA przenosić te ścieżki akredytacyjne między krajami, aby upowszechniać dobre praktyki rozpowszechniane przez systemy zarządzania. Póki co większość w/w standardów trudno nazwać je jako uznane, międzynarodowe certyfikacje niezależnie od tego, że standardy wydane są przez takie międzynarodowe organizacje jak ISO, CEN/CENELEC. Miejmy nadzieję, że część z nich szybko przejdzie do grupy certyfikacji akredytowanych.
Kolejna grupa standardów nie ma wytycznych akredytacyjnych, i raczej nie należy tego oczekiwać z racji ich niszowego charakteru: ISO 21001, ISO 17100, ISO 18587, ISO 18788 . Taka certyfikacja oparta jest o akredytację ogólną, tj. ISO/IEC 17021-1. Wtedy należy odnosić się do definiowania czasu audytu jak dla systemu zarządzania jakością. Jednostki akredytacyjne powinny w ramach audytów nadzoru także weryfikować aktywność w obszarze certyfikacji takich standardów. Zarówno w pierwszej jak i w drugiej grupie odwołanie do akredytacji ogólnej powinno skutkować wykorzystaniem tych samych zasad przy określaniu czasu audytu. Niestety praktyka jest inna, co powoduje wątpliwość takiej oceny i czyni ją mało wartościową w oczach zewnętrznych odbiorców. Certyfikaty takie nie mają oznaczenia graficznego IAF MLA.
Ostatnią grupą standardów, które mają już zdefiniowane ścieżki akredytacyjne j.n.:
ISO/IEC TS 17021-4:2013 Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 4: Competence requirements for auditing and certification of event sustainability management systems (ISO 20121);
ISO/IEC TS 17021-5:2014 Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 5: Competence requirements for auditing and certification of asset management systems (ISO 550001);
ISO/IEC TS 17021-7:2014 Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 7: Competence requirements for auditing and certification of road traffic safety management systems (ISO 39001);
ISO/IEC TS 17021-8:2019 Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 8: Competence requirements for auditing and certification of management systems for sustainable development in communities (ISO 37101);
ISO/IEC TS 17021-11:2018 Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 11: Competence requirements for auditing and certification of facility management (FM) management systems (ISO 41001);
ISO/IEC TS 17021-12:2020 Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 12: Competence requirements for auditing and certification of collaborative business relationship management systems (ISO 44001);
ISO/IEC TS 17021-13:2021 Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 13: Competence requirements for auditing and certification of compliance management systems;
ISO/IEC TS 27006-2:2021 Requirements for bodies providing audit and certification of information security management systems — Part 2: Privacy information management systems (ISO/IEC 27701),
i są to wymagania dla jednostek certyfikacyjnych dla poniższych standardów mogących mieć w niedalekiej przyszłości swój boom. Przyjdzie więc wtedy przenieść je do certyfikacji akredytowanych, czego wszystkim zainteresowanym życzę. Ostatni standard wkrótce opiszemy w naszym portfolio, gdyż od 2018 roku świadczymy także usługi notyfikowanego IOD’a, utrzymujemy kompetencje DPO, czy też posiadamy przeszliśmy szkolenia oraz studia podyplomowe w zakresie ochrony danych osobowych. Będziemy też chcieli być gotowi do certyfikacji podmiotów w ramach rozporządzenia RODO. Kontekstowo warto skorzystać przynajmniej z części z nich, gdyż może to dać organizacjom trochę wskazówek jak zorganizować tematy związane z zarządzaniem aktywami, relacjami, infrastrukturą, etc.
Certyfikacja wg wytycznych
Dotyczyć to może certyfikacji np. ISO 10005, ISO/IEC 27017 / ISO/IEC 27018, ISO 30415 itp. Czy warto certyfikować systemy oparte o niszowe standardy, a raczej wytyczne – dobre praktyki. Mimo, że wytyczne te były przedmiotem ich obróbki także przez nasz zespół (ISO 10005) jesteśmy traktujemy je jako „paracertyfikację”, albowiem jej uznawalność rynkowa może być znikoma, a czasami tylko bilateralna. Są to bardziej normy zorientowane na wsparcie w wypracowaniu w organizacji możliwych, różnych rozwiązań organizacyjnych, jednakże bez schematu i metodyki. Te standardy starzeją się szybciej niż wymagania, dlatego odnoszenie się do nich powinno mieć tylko wymiar interpretacyjny dla norm związanych. Jest to o tyle ważne, że w przypadku normy ISO/IEC 27017 istnieje dedykowany standard odnoszący się do Cloud Computing, a jest nim akredytowany CSA STAR.
Jedynym uzasadnieniem certyfikacji niszowej jest sytuacja, w której regulator definiuje wymaganie poprzez odwołanie do danej normy, jak np. na Słowacji – ISO 10005 w zakresie zarządzania projektami dla branży budowlanej. W przeciwnym przypadku zaleca się wykorzystanie tych standardów jedynie w procesie wdrożenia standardów podstawowych – np. ISO 9001, i odradza stosować jako kryterium do certyfikacji. Każda rozumna osoba, świadomy klient zignoruje taki certyfikat, uzna nas za mało wiarygodną, a może nawet za podejrzaną organizację. Tak firma może trafić na „czarną listę”, jak to ma miejsce w Skandynawii. Ponadto standardy te są nieprzenaszalne między jednostkami certyfikacyjnymi, gdyż w tym przypadku nie zachodzi żadna standaryzacja w zakresie prowadzenia takiej certyfikacji. Certyfikat taki nie ma oznaczenia jakiejkolwiek akredytacji, jak również brak na nim logotypu IAF MLA. A tam gdzie certyfikat nie ma logotypu IAF MLA, a ma logotyp akredytacji oznacza, że jego uznawalność może mieć miejsce tylko w ramach tej akredytacji, a w układzie międzynarodowym już NIE.
Ostatnimi czasy pojawiły się jednak wytyczne, które łatwo przystają do różnych programów i inicjatyw społecznych, jak np. ISO 34015:2021 Human resource management — Diversity and inclusion. Dlatego przy odpowiednim przygotowaniu stają się one wymaganiem do oceny działań organizacji w zakresie dostosowania środowiska pracy do wytycznych ujętych w standardzie.
To czego nie robimy w certyfikacji
Wynika to ze strategii QSCert’u opartej na wnikliwej analizie rynku usług certyfikacyjnych, oraz kosztów obsługi kompetencji związanych z takimi standardami. I tak – nie certyfikujemy ISO 13485, albowiem uznajemy, że odpowiedzialność za wyrób medyczny producenta wymaga aby te certyfikacje były nadzorowane wprost przez akredytację krajową. Na chwilę obecną jeszcze nie weryfikujemy także raportów emisji GHG oraz EMAS (Wspólnotowy System Eko-Zarządzania i Audytu (opisany w Rozporządzeniu nr 1221/2009 WE)), chociaż w ramach centrali QSCert są już pod tym kątem prowadzone działania i wkrótce napiszemy o tym na naszej stronie.
Mam nadzieję, że swoją otwartością przyczyniamy się do budowania świadomości certyfikacyjnej beneficjentów tej usługi, albowiem po ponad 20 latach uczestnictwa w standaryzacji systemów zarządzania w Polsce od strony kuchni certyfikacyjnej widzimy, że wiedza w tym zakresie nie jest dobrze przyswojona przez rynek. Nie warto wydawać pieniądze na to co nie ma uznania zewnętrznego jeżeli myślimy o certyfikacji pod kątem marketingowym. Tam gdzie nie znajdziemy uznania zewnętrznego warto wykorzystać wytyczne jako element wewnętrznej motywacji, budowania kultury systemowej.
Uczciwość względem klienta jest naszym wyróżnikiem. Klient nie jest dla nas dojną krową lecz partnerem biznesowym, dlatego transparentność i rzetelność usług, które świadczymy tworzy długoterminową relację biznesową. Dlatego też to co opisujemy ma dać klientowi poczucie dobrze wydanych pieniędzy przy podejmowaniu decyzji dotyczących certyfikacji, czy też budowania sprawnych, zoptymalizowanych organizacji.
Zapraszamy do współpracy i kontaktu
Zespół Centre of Excellence – QSCert
“Jedyną stałą rzeczą w życiu jest zmiana”
Peter F. Drucker