Zakres systemu zarządzania na certyfikacie ISO – jak go określić?

Wprowadzenie

Zakres systemu zarządzania to istotny element certyfikatu ISO, określający, jakie obszary organizacji objęte są wdrożonym i certyfikowanym systemem zarządzania. Wskazuje on do jakich procesów, usług lub produktów odnosi się dany certyfikat, czyli system zarządzania, oraz jakie wymagania normy są stosowane. Odpowiednie określenie zakresu jest niezbędne dla prawidłowego przebiegu audytu certyfikacyjnego i późniejszego utrzymania systemu zarządzania. W teorii brzmi prosto, ale w rzeczywistości wymaga to starannego przemyślenia i analizy.

Jak poprawnie skonstruować zakres systemu zarządzania?

Zakres systemu zarządzania powinien być precyzyjny. Powinien jasno określać:

• Jakich działań dotyczy system zarządzania,
• Jakie lokalizacje obejmuje,
• Jakie produkty, usługi lub procesy wchodzą w jego skład,
• W przypadku ISO 27001 – odniesienie do Deklaracji Stosowania (Statement of Applicability, SoA), która wskazuje wybrane środki kontroli bezpieczeństwa zgodnie z Załącznikiem A normy ISO 27001. 

Zakres powinien być zgodny z rzeczywistością, aby uniknąć problemów podczas audytu certyfikacyjnego.

Po raz pierwszy wstępną treść zakresu klient przekazuje jednostce w formularzu wyceny. Może się zdarzyć, że jednostka poprosi o doprecyzowanie szczegółów, aby upewnić się, że obie strony rozumieją zakres w ten sam sposób. Następnie treść ta jest szczegółowo omawiana podczas pierwszego etapu audytu. W niektórych przypadkach, np. gdy zakres obejmuje wyłączenia lub ograniczenia, audytor może potrzebować skonsultowania się z innymi osobami w jednostce, aby potwierdzić możliwość ubiegania się o certyfikat w danym zakresie. Na zakończenie audytu audytor weryfikuje zakres w swoim imieniu, potwierdzając jego zgodność z rzeczywistymi ustaleniami, a następnie przekazuje go do dalszego procesu decyzyjnego w jednostce certyfikującej.

Co, jeśli audytor zakwestionuje zakres systemu zarządzania?

Podczas audytu certyfikacyjnego audytor może zakwestionować zaproponowany zakres, jeśli uzna, że:

• Nie obejmuje on kluczowych procesów organizacji,
• Jest zbyt szeroki w stosunku do faktycznie realizowanych działań,
• Zawiera usługi, produkty lub procesy, które nie zostały objęte wdrożonym systemem.

W takim przypadku organizacja może:

1. Zmodyfikować zakres, eliminując lub dodając elementy zgodnie z sugestiami audytora.
2. Wykazać, że zakres jest zgodny z rzeczywistością, np. poprzez przedstawienie dodatkowych dowodów (procedur, zapisów, polityk).
3. Podjąć dodatkowe działania, np. wdrożyć brakujące procesy lub uzupełnić dokumentację.

Warto już na etapie przygotowania do audytu skonsultować zakres z jednostką certyfikującą, aby uniknąć potencjalnych problemów.

Przykłady z życia zakresów certyfikacji wydanych przez jednostki certyfikujące

Firma: Schüco International KG – ISO 9001 (System Zarządzania Jakością)
„Projektowanie, rozwój i sprzedaż systemów aluminiowych i PVC-U do budownictwa oraz produkcja systemów PVC-U i aluminium”
Jednostka certyfikująca: DQS GmbH
Źródło: https://www.schueco.com/pl/firma/zrownowazony-rozwoj/certyfikaty/systemy-zarzadzania 

Firma: PW Krystian – ISO 14001 (System Zarządzania Środowiskowego)
„Projektowanie, produkcja i sprzedaż odzieży zawodowej i ochronnej, dystrybucja środków ochrony indywidualnej oraz środków czystości”
Jednostka certyfikująca: TÜV Rheinland
Źródło: https://www.krystian.com.pl/pw-krystian-z-certyfikatem-srodowiskowym-iso-14001/ 

Firma: Asseco Poland – ISO 22301 (System Zarządzania Ciągłością Działania)
„System Zarządzania Ciągłością Działania w zakresie:

• budowania, wdrażania i świadczenia usług informatycznych,
• zarządzania projektami informatycznymi,
• projektowania, budowania, wdrażania, administrowania i serwisowania oraz integracji rozwiązań informatycznych, realizowanych przez Pion Utrzymania Systemów.”
  Jednostka certyfikująca: Alcumus ISOQAR
  Źródło: https://pl.asseco.com/dokumenty 

Firma: IBM – ISO 27001 (System Zarządzania Bezpieczeństwem Informacji)
„Projektowanie, rozwój i wsparcie infrastruktury zarządzania systemami informatycznymi i usługami chmurowymi, obejmujące IBM Cloud. Pełny zakres obejmuje: projektowanie, rozwój i wsparcie infrastruktury zarządzania systemami informatycznymi (IMS) oraz usługami chmurowymi (IaaS), w tym IBM Cloud Bare Metal, IBM Cloud Virtual Servers, SAP-Certified Cloud Infrastructure, IBM Cloud Hardware Security Module (HSM), IBM Cloud Load Balancer, IBM Cloud Direct Link '1.0' (Connect, Dedicated Hosting, Exchange), Hardware Firewall, Gateway Appliance, IPSec VPN, Fortigate Security Appliance, IBM Cloud Block Storage, IBM Cloud File Storage, IBM Cloud Backup oraz IBM Cloud Object Storage (IaaS). Zakres ten został określony w Consolidated Statement of Applicability V1.26 dated 5/8/2023.”
Jednostka certyfikująca: Bureau Veritas
Źródło: https://www.ibm.com/support/pages/ibm-iso-27001-certifications-cloud 

Możliwość zmiany zakresu certyfikacji w trakcie ważności certyfikatu

Zmiana zakresu certyfikacji w trakcie ważności certyfikatu jest możliwa, jednak wymaga przeprowadzenia dodatkowych działań audytowych. W zależności od charakteru zmian mogą one wpłynąć na wydłużenie lub skrócenie audytu, mogą spowodować konieczność wykonania audytu specjalnego. Zmiana zakresu może dotyczyć zarówno jego rozszerzenia o nowe procesy, usługi czy lokalizacje, jak i jego ograniczenia.

Najlepszym momentem na wprowadzenie zmian w zakresie jest cykliczny audyt nadzorczy lub recertyfikacyjny, gdyż pozwala to na ograniczenie  dodatkowych kosztów związanych z wydłużeniem czasu trwania audytu.  Organizacja powinna skontaktować się z jednostką certyfikującą, aby omówić zakres zmian i uzyskać informacje dotyczące wymagań oraz procesu ich wdrożenia.

Najczęściej zadawane pytania (FAQ) dotyczące zakresu certyfikacji ISO

1. Co to jest zakres certyfikacji ISO?

Zakres certyfikacji ISO określa konkretne obszary, procesy, produkty lub usługi organizacji, które są objęte systemem zarządzania zgodnym z daną normą ISO. Precyzyjne zdefiniowanie zakresu jest kluczowe dla skutecznego wdrożenia i utrzymania systemu zarządzania.

2. Jak określić odpowiedni zakres dla mojej organizacji?

Aby określić właściwy zakres, należy:

• Zidentyfikować kluczowe procesy, produkty i usługi organizacji.
• Określić lokalizacje, w których te procesy są realizowane.
• Uwzględnić wymagania klientów oraz obowiązujące przepisy prawne.
• Skonsultować się z jednostką certyfikującą lub ekspertem ds. ISO w celu weryfikacji poprawności zakresu.

3. Czy mogę zmienić zakres certyfikacji po jego ustaleniu?

Tak, możliwa jest zmiana zakresu certyfikacji w trakcie ważności certyfikatu. Wymaga to jednak przeprowadzenia dodatkowych działań audytowych. Najlepszym momentem na wprowadzenie zmian jest cykliczny audyt nadzorczy lub recertyfikacyjny, co pozwala na ograniczenie dodatkowych kosztów..

4. Co się stanie, jeśli audytor zakwestionuje proponowany zakres?

Jeśli audytor uzna, że zakres nie obejmuje kluczowych procesów lub jest zbyt szeroki w stosunku do faktycznie realizowanych działań, organizacja może:

• Zmodyfikować zakres zgodnie z sugestiami audytora.
• Przedstawić dodatkowe dowody potwierdzające zgodność zakresu z rzeczywistością.
• Wdrożyć brakujące procesy lub uzupełnić dokumentację.

5. Jakie są najczęstsze błędy przy definiowaniu zakresu certyfikacji?

Do najczęstszych błędów należą:

• Zbyt wąski zakres, pomijający istotne procesy lub usługi.
• Zbyt szeroki zakres, obejmujący obszary nieistotne lub niezarządzane przez organizację.
• Brak precyzji w opisie zakresu, co prowadzi do niejasności podczas audytu.
• Niedostosowanie zakresu do rzeczywistych działań i procesów organizacji.

6. Czy zakres certyfikacji musi obejmować wszystkie procesy w organizacji?

Nie, zakres certyfikacji nie musi obejmować wszystkich procesów w organizacji. Ważne jest jednak, aby kluczowe procesy wpływające na jakość produktów lub usług były uwzględnione. Wyłączenia powinny być jasno uzasadnione i nie mogą wpływać na zdolność organizacji do spełnienia wymagań normy.

7. Jakie są korzyści z precyzyjnego określenia zakresu certyfikacji?

Precyzyjne określenie zakresu certyfikacji pozwala na:

• Skoncentrowanie się na kluczowych obszarach działalności podczas audytu.
• Uniknięcie nieporozumień z jednostką certyfikującą.
• Optymalizację kosztów i czasu audytu.
• Zwiększenie wiarygodności certyfikatu w oczach klientów i partnerów biznesowych.