Certyfikacja akredytowana

Nie wszystkie standardy będące w portfolio QSCert’u wprowadziliśmy na nasz lokalny rynek, dlatego też nie przedstawiamy tych usług certyfikacyjnych w głównym portfolio. Ta decyzja z naszej stromy była bardzo świadoma i podyktowana głównie sprawą już ukształtowanego rynku certyfikacyjnego (jak w przypadku bezpieczeństwa żywności – FSSC 22000, ISO 22000), czy też znikomego zainteresowania pozostałymi certyfikacjami (ISO 3834, CSA Star (Cloud Computing), eIDAS). Jest to także zrozumiałe gdy weźmiemy pod uwagę koszty i czas wdrożenia nowego produktu. Pozostają jednak one w naszym portfolio. W przypadku zainteresowania ze strony klienta będą one realizowane w międzynarodowym zespole. Informacje akredytacyjne w tym zakresie dostępne są na stronie internetowej QSCert . Kwestie wyceny kosztów certyfikacji wypracowujemy wspólnie na bazie wytycznych w tym zakresie.

Certyfikacja nieakredytowana

Mamy tutaj kilka możliwych opcji. Pierwsza grupa – dotyczy ona certyfikacji systemów zarządzania nie mających aktywnych wytycznych akredytacyjnych, jednakże mających zdefiniowane wymagania w ramach kryterium audytu – EN 15224, EN 14065, ISO 29990, ISO 29991, ISO 21001, ISO 17100, ISO 37301, itd. Chociaż część z wymienionych standardów w niektórych krajach może mieć już zdefiniowaną ścieżkę akredytacyjną – np. ISO 29990, ISO 29991 (Niemcy), EN 15224 (Holandia), itd., to są one połączone ze specyficznymi uregulowaniami lokalnymi, które odwołują się do nich. Może to być także silna pozycja lokalnych organizacji, która współpracowała w wypracowaniu wytycznych akredytacyjnych mających jednak wciąż wymiar krajowy – np. wspomniana EN 15224 dla placówek ochrony zdrowia. Dobrze byłoby aby w ramach porozumienia MLA przenosić te ścieżki akredytacyjne między krajami, aby upowszechniać dobre praktyki rozpowszechniane przez systemy zarządzania. Póki co większość w/w standardów trudno nazwać je jako uznane, międzynarodowe certyfikacje niezależnie od tego, że standardy wydane są przez takie międzynarodowe organizacje jak ISO, CEN/CENELEC. Miejmy nadzieję, że część z nich szybko przejdzie do grupy certyfikacji akredytowanych.

Kolejna grupa standardów nie ma wytycznych akredytacyjnych, i raczej nie należy tego oczekiwać z racji ich niszowego charakteru: ISO 21001, ISO17100, 18587, 18788 . Taka certyfikacja oparta jest o akredytację ogólną, tj. ISO/IEC 17021-1. Wtedy należy odnosić się do definiowania czasu audytu jak dla systemu zarządzania jakością. Jednostki akredytacyjne powinny w ramach audytów nadzoru także weryfikować aktywność w obszarze certyfikacji takich standardów. Zarówno w pierwszej jak i w drugiej grupie odwołanie do akredytacji ogólnej powinno skutkować wykorzystaniem tych samych zasad przy określaniu czasu audytu. Niestety praktyka jest inna, co powoduje wątpliwość takiej oceny i czyni ją mało wartościową w oczach zewnętrznych odbiorców. Certyfikaty takie nie mają oznaczenia graficznego IAF MLA.

Ostatnią grupą standardów, które mają już zdefiniowane ścieżki akredytacyjne j.n.:

ISO/IEC TS 17021-4:2013 Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 4: Competence requirements for auditing and certification of event sustainability management systems (ISO 20121);

ISO/IEC TS 17021-5:2014 Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 5: Competence requirements for auditing and certification of asset management systems (ISO 550001);

ISO/IEC TS 17021-7:2014 Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 7: Competence requirements for auditing and certification of road traffic safety management systems (ISO 39001);

ISO/IEC TS 17021-8:2019 Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 8: Competence requirements for auditing and certification of management systems for sustainable development in communities (ISO 37101);

ISO/IEC TS 17021-11:2018 Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 11: Competence requirements for auditing and certification of facility management (FM) management systems (ISO 41001);

ISO/IEC TS 17021-12:2020 Conformity assessment — Requirements for bodies providing audit and certification of management systems — Part 12: Competence requirements for auditing and certification of collaborative business relationship management systems (ISO 44001);

ISO/IEC TS 27006-2:2021 Requirements for bodies providing audit and certification of information security management systems — Part 2: Privacy information management systems (ISO/IEC 27701), 

i są to wymagania dla jednostek certyfikacyjnych dla poniższych standardów mogących mieć w niedalekiej przyszłości swój boom. Przyjdzie więc wtedy przenieść je do certyfikacji akredytowanych, czego wszystkim zainteresowanym życzę. Ostatni standard wkrótce opiszemy w naszym portfolio, gdyż od 2018 roku świadczymy także usługi notyfikowanego IOD’a, utrzymujemy kompetencje DPO, czy też posiadamy przeszliśmy szkolenia oraz studia podyplomowe w zakresie ochrony danych osobowych. Będziemy też chcieli być gotowi do certyfikacji podmiotów w ramach rozporządzenia RODO. Kontekstowo warto skorzystać przynajmniej z części z nich, gdyż może to dać organizacjom trochę wskazówek jak zorganizować tematy związane z zarządzaniem aktywami, relacjami, infrastrukturą, etc.

Certyfikacja wg wytycznych

Dotyczyć to może certyfikacji np. ISO 10005, ISO/IEC 27017, itp. Czy warto certyfikować systemy oparte o niszowe standardy, a raczej wytyczne – dobre praktyki. Mimo, że wytyczne te były przedmiotem ich obróbki także przez nasz zespół (SO 10005) jesteśmy przeciwnikiem takich paracertyfikacji. Są to bardziej normy zorientowane na wsparcie w wypracowaniu w organizacji możliwych, różnych rozwiązań organizacyjnych, jednakże bez schematu i metodyki. Te standardy starzeją się szybciej niż wymagania, dlatego odnoszenie się do nich powinno mieć tylko wymiar interpretacyjny dla norm związanych. Jest to o tylko ważne, że w przypadku normy ISO/IEC 27017 istnieje dedykowany standard odnoszący się do Cloud Computing, a jest nim akredytowany CSA STAR.

Jedynym uzasadnieniem certyfikacji niszowej jest sytuacja, w której regulator definiuje wymaganie poprzez odwołanie do danej normy, jak np. na Słowacji – ISO 10005 w zakresie zarządzania projektami dla branży budowlanej. W przeciwnym przypadku zaleca się wykorzystanie tych standardów jedynie w procesie wdrożenia standardów podstawowych – np. ISO 9001, i odradza stosować jako kryterium do certyfikacji. Każda rozumna osoba, świadomy klient zignoruje taki certyfikat, uzna nas za mało wiarygodną, a może nawet podejrzaną organizację. Ponadto standardy te są nieprzenaszalne między jednostkami certyfikacyjnymi, gdyż w tym przypadku nie zachodzi żadna standaryzacja w zakresie prowadzenia takiej certyfikacji. Certyfikat taki nie ma oznaczenia jakiejkolwiek akredytacji, jak również brak na nim logotypu IAF MLA.

To czego nie robimy w certyfikacji

Wynika to ze strategii QSCert’u opartej na wnikliwej analizie rynku usług certyfikacyjnych, oraz kosztów obsługi kompetencji związanych z takimi standardami. I tak – nie certyfikujemy ISO 13485, albowiem uznajemy, że odpowiedzialność za wyrób medyczny producenta wymaga aby te certyfikacje były nadzorowane wprost przez akredytację krajową. Nie weryfikujemy także raportów emisji GHG oraz  EMAS (Wspólnotowy System Eko-Zarządzania i Audytu (opisany w Rozporządzeniu nr 1221/2009 WE)), zostawiając je tym co na tym zęby zjedli, niezależnie od tego jak negatywnie postrzegamy handel emisjami. Z punktu widzenia finansowego EMAS ma uzasadnienie tylko tam gdzie jest takie wymaganie prawne, bo w przeciwnym razie jest to zbyt duży koszt, a raportowanie można obsłużyć w ramach dobrze wdrożonego systemu ISO 14001.

Mam nadzieję,  że swoją otwartością przyczyniamy się do budowania świadomości certyfikacyjnej beneficjentów tej usługi, albowiem po ponad 20 latach standaryzacji systemów zarządzania w Polsce od strony kuchni certyfikacyjnej wiedza w tym zakresie nie jest dobrze przyswojona. Nie warto wydawać pieniądze na to nie ma uznania zewnętrznego jeżeli myślimy o certyfikacji. Tam gdzie nie znajdziemy uznania zewnętrznego warto wykorzystać wytyczne jako element wewnętrznej motywacji, budowania kultury systemowej.

Uczciwość względem klienta jest naszym wyróżnikiem. Klient nie jest dla nas dojną krową lecz partnerem biznesowym, dlatego transparentność i rzetelność usług, które świadczymy tworzy długoterminową relację biznesową. Dlatego też to co opisujemy ma dać klientowi poczucie dobrze wydanych pieniędzy przy podejmowaniu decyzji dotyczących certyfikacji, czy też budowania sprawnych, zoptymalizowanych organizacji.

Zapraszamy do współpracy i kontaktu
Zespół Centre of Excellence – QSCert

“Jedyną stałą rzeczą w życiu jet zmiana”

Peter F. Drucker

Przewiń do góry