Czy jednostka certyfikująca ISO może przeprowadzić audyt wewnętrzny?

W niedawnej ankiecie przeprowadzonej na LinkedIn przez Certiget zapytaliśmy: czy jednostka certyfikująca ISO może przeprowadzić audyt wewnętrzny u swojego klienta? Wyniki ankiety wskazały rozbieżności w opiniach. 

• 68% poprawnie zaznaczyło opcję „Żadna odpowiedź”, co wskazuje na świadomość zasad wynikających z normy ISO 17021.
• 32% uczestników wybrało inne opcje, takie jak „Tak, zgodnie z normą ISO 9001” czy „Tak, gdy audyt jest niezależny”.

To pokazało, że istnieje potrzeba wyjaśnienia tego zagadnienia.

Dlaczego "Tak, zgodnie z normą ISO 9001" nie jest poprawną odpowiedzią?

Norma ISO 9001 dotyczy systemów zarządzania jakością i określa wymagania dla organizacji dążących do zapewnienia wysokiej jakości swoich produktów i usług. Nie reguluje jednak zasad bezstronności jednostek certyfikujących ani kwestii dotyczących przeprowadzania audytów wewnętrznych przez te jednostki u swoich klientów.

To norma ISO 17021 precyzuje wymagania wobec jednostek certyfikujących, zwłaszcza w zakresie bezstronności. Przeprowadzanie audytów wewnętrznych przez jednostkę certyfikującą u swojego klienta jest uznawane za poważne zagrożenie dla bezstronności. W punkcie 5.2.6 tej normy jasno stwierdzono, że jednostki certyfikujące nie powinny oferować ani prowadzić audytów wewnętrznych u swoich certyfikowanych klientów.

Bezstronność jest istotna w procesie certyfikacji, ponieważ gwarantuje obiektywną i niezależną ocenę organizacji. Dlatego odpowiedź opierająca się na normie ISO 9001 jest nieprawidłowa w kontekście wymagań bezstronności określonych w normie ISO 17021.

Czy "Tak, gdy audyt jest niezależny" może być poprawną odpowiedzią?

Choć może się wydawać, że niezależny audyt wewnętrzny nie narusza zasad bezstronności, norma ISO 17021 wprowadza w tym zakresie jasne ograniczenia. Nawet jeśli audyt jest prowadzony przez inny zespół audytorów lub w innej lokalizacji, bezstronność jednostki certyfikującej może być nadal zagrożona.

Stanowiska ekspertów w tej sprawie

Aby rozwiać wszelkie wątpliwości, Certiget zwrócił się o opinie do ekspertów z wiodących jednostek certyfikujących:

• Aneta Sawicka, Assurance Sales Manager, BSI Group Polska
• Alicja Dąbrowska, Dyrektorka Działu Certyfikacji Systemów Zarządzania, CeCert
• Krzysztof Binkowski, Technical Manager, DNV Polska

Eksperci zgodnie podkreślili, że zgodnie z normą ISO 17021, jednostka certyfikująca nie powinna przeprowadzać audytów wewnętrznych u swoich klientów. Takie działanie stanowi znaczące zagrożenie dla bezstronności i może podważyć wiarygodność procesu certyfikacji.

Aneta Sawicka z BSI Group Polska zaznaczyła, że jednostka certyfikująca musi zarządzać swoją bezstronnością zgodnie z punktem 5.2 normy ISO 17021. Oznacza to, że zarówno jednostka certyfikująca, jak i jakakolwiek część tej samej osoby prawnej oraz żaden podmiot będący pod jej nadzorem, nie mogą świadczyć usług audytu wewnętrznego u swoich certyfikowanych klientów. Okres karencji wynoszący dwa lata jest konieczny, aby zachować obiektywizm.

Alicja Dąbrowska z CeCert podkreśliła, że bezstronność jednostki certyfikującej jest także przedmiotem weryfikacji przez jednostki akredytujące. Jednostka certyfikująca nie może pozostawać w żadnej wcześniejszej relacji z certyfikowaną organizacją, która mogłaby wpłynąć na decyzję certyfikacyjną. Norma jednoznacznie zabrania prowadzenia audytów wewnętrznych u swoich klientów, aby zapewnić niezależność i obiektywizm procesu certyfikacji.

Krzysztof Binkowski z DNV Polska potwierdził, że zgodnie z punktem 5.2.6 normy ISO 17021, przeprowadzanie audytów wewnętrznych przez jednostkę certyfikującą u jej klientów jest niedopuszczalne. Takie działanie stanowi znaczące zagrożenie dla bezstronności i jest sprzeczne z międzynarodowymi standardami.

Odstęp czasowy jako kluczowy element normy

Aby zminimalizować ryzyko naruszenia bezstronności, norma ISO 17021 wprowadza minimalny odstęp czasowy. Jeżeli jednostka certyfikująca przeprowadzała audyt wewnętrzny u klienta, nie powinna prowadzić procesu certyfikacji przez co najmniej dwa lata od zakończenia audytu. Ten okres karencji ma na celu zapewnienie obiektywności i niezależności decyzji certyfikacyjnych.

Ciekawostka: Pytanie o korzystanie z usług firm doradczych

Kiedy organizacje przystępują do certyfikacji ISO, często współpracują z firmami doradczymi, które pomagają im przygotować się do audytów i skutecznie wdrożyć wymagania normy. W związku z tym, jednostka certyfikująca podczas zbierania danych do oferty często zadaje pytanie o to, czy organizacja korzystała z doradztwa. Jeśli kiedykolwiek zastanawiałeś się, dlaczego to pytanie się pojawia, to nie wynika ono z ciekawości jednostki certyfikującej. Ma to znaczenie dla zapewnienia bezstronności i zapobiegania potencjalnym konfliktom interesów.

Nie unikaj odpowiedzi na to pytanie – konsekwencje mogą być dotkliwe, a jednostka może nawet odmówić certyfikacji, jeśli zidentyfikuje potencjalny konflikt interesów. Dzięki transparentności w tym zakresie proces certyfikacji ISO pozostaje rzetelny, a organizacja może cieszyć się pełnym zaufaniem do uzyskanego certyfikatu ISO.

Jednostki certyfikujące a wyzwanie bezstronności

W przypadku globalnych jednostek certyfikujących, bezstronność wymaga szczególnej uwagi. Ze względu na rozbudowaną strukturę organizacyjną i działalność w wielu krajach, istnieje ryzyko, że różne oddziały mogą nieświadomie naruszyć zasady bezstronności. Jeśli jednostki certyfikacyjne nie prowadzą skutecznego monitorowania i koordynacji usług na poziomie całej organizacji, może to prowadzić do sytuacji, w której jeden oddział przeprowadza audyt wewnętrzny, podczas gdy inny realizuje proces certyfikacji dla tego samego klienta, co stwarza potencjalny konflikt interesów.

Dlatego globalne jednostki certyfikujące muszą posiadać szczegółowe procedury monitorowania swoich działań w różnych krajach i oddziałach, aby upewnić się, że procesy te są odpowiednio zarządzane i koordynowane, minimalizując ryzyko naruszenia bezstronności.

W mniejszych jednostkach certyfikujących bezstronność jest równie istotna, choć wyzwania mogą być inne ze względu na ograniczoną liczbę pracowników i zasięg geograficzny. Ryzyko naruszenia bezstronności nadal istnieje, zwłaszcza gdy jednostka oferuje dodatkowe usługi. W takich sytuacjach brak wyraźnego oddzielenia funkcji certyfikacyjnych od innych usług może prowadzić do stronniczości i podważyć zaufanie do wydanych certyfikatów.

Aby temu zapobiec, mniejsze jednostki certyfikujące muszą posiadać jasne wytyczne dotyczące zarządzania konfliktem interesów i zapewnienia, że żadne działania związane z konsultingiem czy audytami wewnętrznymi nie będą prowadzone dla organizacji, którym jednostka wydaje certyfikaty.

Podsumowanie

Norma ISO 17021 jednoznacznie stwierdza, że jednostka certyfikująca nie może jednocześnie prowadzić certyfikacji i audytów wewnętrznych u swoich klientów. Takie działanie stanowi zagrożenie dla bezstronności i może podważyć wiarygodność procesu certyfikacji. Nawet niezależne audyty czy działania podejmowane w różnych lokalizacjach nie zwalniają z tego ograniczenia. Dwuletni okres karencji dodatkowo wzmacnia te zasady, zapewniając, że decyzje certyfikacyjne są podejmowane na podstawie obiektywnych przesłanek.

Jak upewnić się, że jednostka certyfikująca przestrzega międzynarodowych norm?

Aby zweryfikować, czy jednostka certyfikująca działa zgodnie z międzynarodowymi standardami, firmy mogą:

• Sprawdzić akredytację – Upewnij się, że jednostka posiada akredytację od uznanej instytucji akredytującej, co potwierdza zgodność z normą ISO 17021.
• Skorzystać z Katalogu Jednostek Certyfikujących ISO na Świecie – Certiget oferuje obszerny katalog, który zawiera zweryfikowane informacje o jednostkach certyfikujących, w tym akredytacje, zakres usług oraz opinie klientów.
• Przeanalizować opinie i oceny innych firm – Doświadczenia innych przedsiębiorstw mogą dostarczyć cennych informacji na temat profesjonalizmu i bezstronności jednostki certyfikującej.

Certiget, jako platforma wspierająca rzetelność w procesach certyfikacyjnych, umożliwia firmom dokonanie świadomego wyboru jednostki certyfikującej. Dzięki naszemu katalogowi użytkownicy mają dostęp do aktualnych i zweryfikowanych informacji, co ułatwia zebranie, porównanie ofert jednostek certyfikujących i wybór tej, która najlepiej odpowiada potrzebom firmy.

Pełne wypowiedzi ekspertów

Aneta Sawicka, Assurance Sales Manager, BSI Group Polska:

"Jak wynika z normy EN ISO/IEC 17021-1:2015 'Ocena zgodności – Wymagania dla jednostek prowadzących audity i certyfikację systemów zarządzania – Część 1: Wymagania', jednostka certyfikująca musi zarządzać swoją bezstronnością (punkt 5.2). Co to oznacza w praktyce? Jednostka certyfikująca, jak również jakakolwiek część tej samej osoby prawnej oraz żaden podmiot będący pod nadzorem jednostki certyfikującej, nie może świadczyć usługi audytu wewnętrznego u swojego certyfikowanego klienta. Zasada obowiązująca przyjmuje okres karencji 2 lat od zakończenia audytu wewnętrznego, co oznacza, że jeżeli jednostka certyfikująca wykonała audyt wewnętrzny w danej organizacji, nie powinna certyfikować jej systemu zarządzania przez okres 2 lat od zakończenia audytów wewnętrznych (EN ISO/IEC 17021-1:2015 punkt 5.2.6)."

Alicja Dąbrowska, Dyrektorka Działu Certyfikacji Systemów Zarządzania, CeCert:

"Podstawowym założeniem oceny prowadzonej przez jednostki certyfikujące jest jej bezstronność. Ta z kolei jest zachowana, jeśli jednostka nie pozostaje w żadnej wcześniejszej relacji z certyfikowaną organizacją i nie podlega jej wpływom, aby decyzja certyfikacyjna była obiektywna i niezależna. Bezstronność jednostki certyfikującej jest też przedmiotem badania przez ciało ją akredytujące. Zgodnie z zapisem punktu 5.2.6 normy PN-EN ISO/IEC 17021-1:2015, prowadzenie przez jednostkę certyfikującą audytów wewnętrznych u jej certyfikowanych klientów jest znaczącym zagrożeniem dla bezstronności jednostki. Jednostki nie powinny oferować ani prowadzić takich audytów. U klientów, u których jednostka certyfikująca prowadziła takie audyty, nie powinna prowadzić procesów certyfikacji przez minimum dwa lata od zakończenia realizowanych audytów wewnętrznych."

Krzysztof Binkowski, Technical Manager, DNV Polska:

"Zgodnie z wymaganiem normy ISO 17021-1:2015 punkt 5.2.6, przeprowadzanie przez jednostkę certyfikującą audytów wewnętrznych u jej certyfikowanych klientów stanowi znaczące zagrożenie dla bezstronności. Dlatego jednostka certyfikująca ani żadna jej część nie powinna oferować ani prowadzić audytów wewnętrznych u swoich certyfikowanych klientów."

Źródła informacji:

Norma ISO/IEC 17021-1:2015

“Ocena zgodności -- Wymagania dla jednostek prowadzących audyt i certyfikację systemów zarządzania -- Część 1: Wymagania.”

Opinie ekspertów z:

• BSI Group Polska
• CeCert
• DNV Polska