TÜRK STANDARDI TS EN ISO/IEC 17021-1 Ağustos 2015 TS EN ISO/IEC 17021: 2011 in yerine ICS 03.120.20 Uygunluk değerlendirmesi - Yönetim sistemlerinin tetkikini ve belgelendirilmesini sağlayan kuruluşlar için şartlar - Bölüm 1: Şartlar Conformity assessment- Requirements for bodies providing audit and certification of management systems- Part 1: Requirements (ISO/IEC 17021-1: 2015) Évaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management - Partie 1: Exigences (ISO/IEC 17021-1: 2015) Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren - Teil 1: Anforderungen (ISO/IEC 17021-1:2015) TÜRK STANDARDLARI ENSTİTÜSÜ Necatibey Caddesi No.112 Bakanlıklar/ANKARA
ICS 03.120.20 TÜRK STANDARDI TS -08 Milli ön söz Bu standard; kaynağı standardı olan TS Türk Standardının Mühendislik Hizmetleri İhtisas Kurulu na bağlı TK29 Yönetim Sistemleri Teknik Komitesi marifetiyle hazırlanan Türkçe tercümesidir. Bu standard yayınlandığında TS EN ISO/IEC 17021-1: 2011 in yerine geçer. CEN resmi dillerinde yayınlanan diğer standard metinleri ile aynı haklara sahiptir. Bu standardda kullanılan bazı kelime ve/veya ifadeler patent haklarına konu olabilir. Böyle bir patent hakkının belirlenmesi durumunda TSE sorumlu tutulamaz. - Bu standard da atıf yapılan standardların milli karşılıkları aşağıda verilmiştir. EN,ISO,IEC No Adı (İngilizce) TS No Adı (Türkçe) ISO 9000 Quality management systems Fundamentals and vocabulary TS EN ISO 9000 Kalite yönetim sistemleri Temel şartlar ve terimler ISO/ IEC 17000 Conformity assessment Vocabulary and general principles TS EN ISO IEC 17000 Uygunluk değerlendirmesi Terimler, tarifler ve genel prensipler TS standardı, standardı ile birebir aynı olup, Avrupa Standardizasyon Komitesi nin (CEN, Avenue Marnix 17 B-1000 Brussels) izniyle basılmıştır. Avrupa Standardlarının herhangi bir şekilde ve herhangi bir yolla tüm kullanım hakları Avrupa Standardizasyon Komitesi (CEN) ve üye ülkelerine aittir. TSE kanalıyla CEN den yazılı izin alınmaksızın çoğaltılamaz.
AVRUPA STANDARDI EUROPEAN STANDARD NORME EUROPÉENNE EUROPÄISCHE NORM ICS 03.120.20 TS -08 EN ISO/IEC 17021: 2011 in yerini alır. Uygunluk değerlendirmesi - Yönetim sistemlerinin tetkikini ve belgelendirmesini sağlayan kuruluşlar için şartlar - Bölüm 1: Şartlar Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 1: Requirements (ISO/IEC 17021-1: 2015) Évaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management - Partie 1: Exigences (ISO/IEC 17021-1: 2015) Konformitätsbewertung - Anforderungen an Stellen, die Managementsysteme auditieren und zertifizieren - Teil 1: Anforderungen (ISO/IEC 17021-1:2015) Bu Avrupa Standardı CEN tarafından 6 Haziran 2015 tarihinde kabul edilmiştir. CEN üyeleri, bu Avrupa Standardına hiçbir değişiklik yapmaksızın ulusal standard statüsü veren koşulları öngören CEN/CENELEC İç Yönetmelikleri ne uymak zorundadırlar. Bu tür ulusal standardlarla ilgili güncel listeler ve bibliyografik atıflar, CEN-CENELEC Yönetim Merkezi ne veya herhangi bir CEN üyesine başvurarak elde edilebilir. Bu Avrupa Standardı, üç resmi dilde (İngilizce, Fransızca, Almanca) yayınlanmıştır. Başka herhangi bir dile tercümesi, CEN üyesinin sorumluluğundadır ve resmi sürümleri ile aynı statüde olduğu CEN-CENELEC Yönetim Merkezi ne bildirilir. CEN üyeleri sırasıyla, Almanya, Avusturya, Belçika, Bulgaristan, Büyük Britanya, Çek Cumhuriyeti, Danimarka, Estonya, Finlandiya, Fransa, Hırvatistan, Hollanda, İrlanda, İspanya, İsveç, İsviçre, İtalya, İzlanda, Kıbrıs, Letonya, Litvanya, Lüksemburg, Macaristan, Malta, Makedonya, Norveç, Polonya, Portekiz, Romanya, Slovakya, Slovenya, Türkiye ve Yunanistan ın milli standard kuruluşlarıdır. Yönetim merkezi: Avenue Marnix 17, B- 1000 Brussels 2015 CEN/CENLEC Dünya genelinde herhangi bir şekilde ve herhangi bir yolla tüm kullanım hakları CEN ulusal üyelerine aittir. Ref. No. E
ICS 03.120.20 TS -08 İçindekiler Sayfa Önsöz... 3 2
ICS 03.120.20 TS -08 Önsöz Bu standard (), ISO/CASCO Uygunluk değerlendirmesi ve CEN/CENELEC/TC 1 Uygunluk değerlendirmesi yapan kuruluşlar için kriterler Teknik Komitesi işbirliğiyle hazırlanmıştır. Bu Avrupa Standardına en geç Ocak 2016 tarihine kadar aynı metni yayınlayarak veya onay duyurusu yayınlayarak ulusal standard statüsü verilmeli ve çelişen ulusal standardlar en geç Ocak 2016 tarihine kadar yürürlükten kaldırılmalıdır. Bu standardın bazı unsurlarının patent haklarına konu olabileceğine dikkat edilmelidir. Böyle herhangi bir patent hakkının belirlenmesi durumunda CEN [ve/veya CENELEC] sorumlu tutulamaz. Bu standardın EN ISO/IEC 17021: 2011 in yerine geçer. Bu doküman, Avrupa Komisyonu ile Avrupa Serbest Ticaret Birliği tarafından CEN e verilen görev kapsamında hazırlanmıştır. CEN/CENELEC İç Yönetmeliklerine göre, bu Avrupa Standardının ulusal standart olarak uygulamaya alınmasından sorumlu ulusal standart kuruluşlarının ülkeleri sırasıyla; Almanya, Avusturya, Belçika, Bulgaristan, Büyük Britanya, Çek Cumhuriyeti, Danimarka, Estonya, Finlandiya, Fransa, Hırvatistan, Hollanda, İrlanda, İspanya, İsveç, İsviçre, İtalya, İzlanda, Kıbrıs, Letonya, Litvanya, Lüksemburg, Macaristan, Malta, Makedonya, Norveç, Polonya, Portekiz, Romanya, Slovakya, Slovenya, Türkiye ve Yunanistan dır. Onay bilgisi ISO/IEC 17021-1: 2015 standardının metni, CEN tarafından olarak hiçbir değişiklik yapılmaksızın kabul edilmiştir. 3
ULUSLARARASI STANDARD INTERNATIONAL STANDARD ISO/IEC 17021-1 İlk Baskı 2015-06-15 Uygunluk değerlendirmesi - Yönetim sistemlerinin tetkikini ve belgelendirmesini sağlayan kuruluşlar için şartlar - Bölüm 1: Şartlar Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 1: Requirements Évaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management - Partie 1: Exigences Referans Numarası ISO/IEC 17021-1: 2015 (E) ISO/IEC 2015
ISO/ IEC 17021-1: 2015 (E) TELİF HAKKI KORUMALI DOKÜMAN ISO 2015 Tüm hakları saklıdır. Aksi belirtilmedikçe, bu yayının herhangi bir bölümü herhangi bir şekilde ya da fotokopi ve mikrofilm dahil aşağıda adresi verilen ISO dan yazılı izin alınmaksızın ya da dokümanı talep edenin ülkesindeki ISO üyesinin yazılı izni olmaksızın elektronik veya mekanik herhangi bir yolla çoğaltılamaz ya da kullanılamaz. ISO Telif Ofisi Case postale 56 CH-1211 Geneva 20 Tel. + 41 22 749 01 11 Faks + 41 22 749 09 47 e-posta: copyright@iso.org Web www.iso.org İsviçre de basılmıştır. ISO 2015 Tüm hakları saklıdır. ii
ICS 03.120.20 TS -08 İçindekiler Sayfa Ön söz... iv Giriş... v 1 Kapsam... 1 2 Atıf yapılan standard ve/veya dokümanlar... 1 3 Terimler ve tarifler... 1 4 Prensipler... 4 4.1 Genel... 4 4.2 Tarafsızlık... 5 4.3 Yeterlilik... 5 4.4 Sorumluluk... 5 4.5 Şeffaflık... 5 4.6 Gizlilik... 6 4.7 Şikâyetlere duyarlılık... 6 4.8 Risk temelli yaklaşım... 6 5 Genel şartlar... 6 5.1 Yasal ve sözleşmeyle ilgili hususlar... 6 5.2 Tarafsızlığın yönetilmesi... 7 5.3 Yükümlülük ve finansman... 8 6 Yapısal şartlar... 8 6.1 Organizasyon yapısı ve üst yönetim... 8 6.2 Operasyonel kontrol... 9 7 Kaynak şartları... 9 7.1 Personelin yeterliliği... 9 7.2 Belgelendirme faaliyetlerinde görev alan personel... 10 7.3 Kuruluş dışı bireysel tetkikçi ve bireysel teknik uzman kullanımı... 11 7.4 Personel kayıtları... 11 7.5 Dışarıdan temin... 11 8 Bilgi şartları... 12 8.1 Kamuya açık bilgi... 12 8.2 Belgelendirme dokümanları... 12 8.3 Belgelendirmeye atıflar ve markaların kullanımı... 13 8.4 Gizlilik... 14 8.5 Belgelendirme kuruluşu ve müşterileri arasındaki bilgi alışverişi... 14 9 Proses şartları... 15 9.1 Belgelendirme öncesi faaliyetler... 15 9.1.3.1 Tam belgelendirme döngüsü için bir tetkik programı, müşterinin yönetim sistemlerinin, belgelendirme için seçilen standard/standardlar veya zorunlu hüküm içeren doküman/dokümanların şartlarını karşıladığını açık bir şekilde göstermek için yapılan tetkik faaliyet/faaliyetlerini tanımlamak için geliştirilmelidir. Belgelendirme döngüsü için olan tetkik programı, bütün yönetim sistemi şartlarını kapsamalıdır.... 16 9.2 Tetkiklerin planlanması... 17 9.3 İlk belgelendirme... 20 9.4 Tetkikin gerçekleştirilmesi... 21 9.5 Belgelendirme kararı... 25 9.6 Belgenin devamı... 26 9.7 İtirazlar... 28 9.8 Şikayetler... 29 9.9 Müşteri kayıtları... 30 10 Belgelendirme kuruluşları için yönetim sistemi şartları... 30 10.1 Seçenekler... 30 10.2 Seçenek A: Genel yönetim sistem şartları... 30 10.3 Seçenek B: ISO 9001 standardına göre yönetim sistemi şartları... 32 Ek A (Zorunlu hükümler) Gerekli bilgi ve beceriler... 34 A.1 Genel... 34 A.2 Yönetim sistemleri tetkikçileri için yeterlilik şartları... 34 A.4 Tetkik ekip üyelerinin seçilmesi ve tetkik ekibinin gerekli yeterliliğinin belirlenmesi için yapılan başvurunun gözden geçirilmesi için yeterlilik şartları... 36 Ek B (Bilgi için) Olası değerlendirme yöntemleri... 37 B.1 Genel... 37 iii
ICS 03.120.20 tst -08 B.2 Kayıtların gözden geçirilmesi... 37 B.3 Geri bildirim... 37 B.4 Görüşmeler... 37 B.5 Gözlemler... 38 B.6 Sınavlar... 38 Ek C (Bilgi için) Yeterliliğin belirlenmesi ve sürdürülmesi için bir proses akış örneği... 39 Ek D (Bilgi için) İstenen kişisel davranışlar... 41 Ek E (Bilgi için) Tetkik ve belgelendirme prosesi... 42 Kaynaklar... 44 iv
ICS 03.120.20 TS -08 Ön söz ISO (Uluslararası Standardizasyon Kuruluşu) ve IEC (Uluslararası Elektroteknik Komisyonu) dünya çapında standardizasyona yönelik özel sistemi oluşturmaktadır. ISO veya IEC üyesi ulusal kuruluşlar, ilgili kuruluş tarafından belirli teknik faaliyet alanları ile ilgilenmek amacıyla oluşturulan teknik komiteler marifetiyle uluslararası standardların hazırlanmasında yer alırlar. ISO ve IEC teknik komiteleri, karşılıklı menfaat alanlarında işbirliği yaparlar. ISO ve IEC ile işbirliği içindeki resmi ya da sivil uluslararası kuruluşlar da, çalışmalarda yer alabilir. Uygunluk değerlendirme alanında, ISO Komitesi uygunluk değerlendirmesine ilişkin (CASCO) Uluslararası Standardların hazırlanmasından sorumludur. Bu dokümanı geliştirmek için kullanılan ve daha ileri geliştirilmesi için amaçlanan faaliyetler, ISO/IEC Direktifleri, Bölüm 1 de açıklanmıştır. Özellikle ISO standardlarının farklı tipleri için ihtiyaç duyulan farklı onay kriterleri belirtilmelidir. Bu standard ISO/IEC direktifleri, Bölüm 2 nin yazı kurallarına uygun olarak hazırlanmıştır (bk. www.iso.org/directives). Bu dokümanın bazı kısımlarının patent haklarına konu olabileceğine dikkat edilmelidir. Böyle herhangi bir patent hakkının belirlenmesi durumunda ISO sorumlu tutulamaz. Standardın geliştirilmesi süresince belirtilen herhangi patent haklarının detayları Giriş te ve/veya ISO patent beyannamesi listesinde olacaktır (bk. www.iso.org/patents ). Bu dokümanda kullanılan herhangi bir ticari ünvan kullanıcılara kolaylık için verilen bilgilerdir ve onaylandığı anlamı taşımaz. Uygunluk değerlendirmesi ile ilgili ISO özel terimlerini ve ifadelerinin anlamı hakkında açıklama ve Ticarette Teknik Engeller (TBT) konusundaki WTO prensiplerine bağlı ISO'lar hakkında bilgi için bk. URL Önsöz Tamamlayıcı bilgiler ISO/IEC 17021-1, Uygunluk Değerlendirmesine ilişkin ISO Komitesi (CASCO) tarafından hazırlanmıştır. Bu standard oylama için ISO ve IEC üye ülke kuruluşlarına gönderilmiş ve her iki tarafça onaylanmıştır. Bu birinci baskısı, teknik olarak revize edilmiş olan ISO/IEC 17021-1, ISO/IEC 17021:2011 i iptal eder ve yerini alır. ISO/IEC 17021, Uygunluk değerlendirmesi - Yönetim sistemlerinin tetkikini ve belgelendirmesini sağlayan kuruluşlar için şartlar genel başlığı altında aşağıdaki bölümlerden oluşur: - Bölüm 1: Şartlar - Bölüm 2: Çevre yönetim sistemlerinin tetkiki ve belgelendirmesi için yeterlilik şartları [Teknik Şartnamesi] - Bölüm 3: Kalite yönetim sistemlerinin tetkiki ve belgelendirilmesi için yeterlilik şartları [Teknik Şartnamesi] - Bölüm 4: Etkinlik sürdürülebilirliği yönetim sistemlerinin tetkiki belgelendirilmesi için yeterlilik şartları [Teknik Şartnamesi] - Bölüm 5: Varlık yönetim sistemlerinin tetkiki ve belgelendirilmesi için yeterlilik şartları [Teknik Şartnamesi] - Bölüm 6: İş sürekliliği yönetim sistemlerinin tetkiki ve belgelendirilmesi için yeterlilik şartları [Teknik Şartnamesi] - Bölüm 7: Trafik güvenliği yönetim sistemlerinin tetkiki ve belgelendirilmesi için yeterlilik şartları [Teknik Şartnamesi] iv
ICS 03.120.20 TS -08 Giriş Bir kuruluşun; çevre yönetim sistemi, kalite yönetim sistemi veya bilgi güvenliği yönetim sistemi gibi bir yönetim sistemi belgesine sahip olması; o kuruluşun, faaliyetlerinin, ürünlerinin ve hizmetlerinin ilgili yönlerinin yönetimine yönelik, politikası ve ilgili yönetim sistemleri standardlarına uygun, bir sistem uygulamakta olduğunun güvencesini vermesinin bir yoludur. Bu standard, yönetim sistemlerinin belgelendirmesini ve tetkikini sağlayan kuruluşlara yönelik şartları belirler. Bu standard, kalite, çevre ve diğer yönetim sistemleri alanlarında tetkik ve belgelendirme yapan kuruluşlar için genel şartları verir. Bu kuruluşlar belgelendirme kuruluşları diye adlandırılır. Bu şartlara uygunluğun izlenmesi, belgelendirme kuruluşlarının, yönetim sistem belgelendirmesini yetkin, tutarlı ve tarafsız şekilde yapıldığının güvence altına alınması ve böylelikle, bu kuruluşların tanınması ile belgelendirme faaliyetlerinin ulusal ve uluslararası seviyede kabul edilmesini sağlar. Bu standard, uluslararası ticarette yönetim sistemi belgelendirmesinin tanınmasını kolaylaştırmaya yönelik bir unsur olarak hizmet vermektedir. Yönetim sisteminin belgelendirmesi, belgelendirilen kuruluşun yönetim sisteminin aşağıdaki hususları karşıladığını bağımsız bir şekilde gösterilmesini sağlar: a) Belirtilmiş şartlara uygunluğu, b) Kuruluşun beyan etmiş olduğu politikası ve hedeflerini tutarlı bir şekilde gerçekleştirebilir olduğu, c) Etkin bir şekilde uygulanması. Yönetim sisteminin belgelendirmesi gibi uygunluk değerlendirme faaliyetleri, belgelendirilen kuruluşa, müşterilerine ve ilgili taraflara değer katar. Madde 4, güvenilir belgelendirmenin esas aldığı prensipleri tanımlar. Bu prensipler uygulayıcının belgelendirmenin temel esasını anlamasına yardımcı olur ve Madde 5 ila Madde 10 un uygulaması için bir başlangıç oluşturur. Bu prensipler bu standarddaki bütün şartlara temel teşkil eder, ancak bunlar tetkik edilebilir şartlar değildir. Madde 10, belgelendirme kuruluşu tarafından bir yönetim sistemi oluşturulması suretiyle, bu standarddaki şartların tutarlı bir şekilde yerine getirilmesi için destek olmanın ve göstermenin alternatif iki yolunu açıklar. Belgelendirme faaliyetleri, gözden geçirme faaliyetlerinden belgelendirmenin gerçekleşmesine kadar olan faaliyetleri kapsayan bütün belgelendirme süreçlerinden oluşan bağımsız çalışmalardır. Ek E, birçok faaliyetin birbiriyle nasıl etkileşimde olduğunu göstermektedir. Belgelendirme faaliyeti kuruluşun yönetim sisteminin tetkikini içerir. Bir kuruluşun yönetim sisteminin, belirli bir yönetim sistem standardına veya diğer hüküm ifade eden şartlara göre uygunluğunun beyan şekli, bir belgelendirme dokümanı veya bir sertifikadır. Bu standard, yönetim sistemlerinden herhangi birinin tetkik edilmesine ve belgelendirilmesine uygulanabilir. Bu standardın bazı şartlarının, özellikle tetkikçinin yetkinliği ile ilgili olanların, ilgili tarafların beklentilerini karşılamak için ek kriterler ile desteklenmesini gerektiği fark edilmiştir. Bu standardda aşağıda belirtilen fiil şekilleri kullanılmaktadır: - -meli/malı bir şartı belirtir, - esastır kuvvetli bir tavsiyeyi belirtir, - izin verilir, bir müsaadeyi belirtir, - -abilir, -ebilir bir olabilirliği, yapabilirlik/yapılabilirliği belirtir. Daha fazla detay ISO/IEC Direktifleri, Bölüm 2 de bulunabilir. v
ICS 03.120.20 TS -08 ULUSLARARASI STANDARD ISO/IEC 17021-1: 2015 (E) Uygunluk değerlendirmesi - Yönetim sistemlerinin tetkikini ve belgelendirmesini sağlayan kuruluşlar için şartlar- Bölüm 1: Şartlar 1 Kapsam Bu standard, yönetim sistemlerinin bütün tiplerinin tetkikini ve belgelendirmesini sağlayan kuruluşların, yeterliliği, tutarlılığı ile tarafsızlığı için prensip ve şartları kapsar. Bu standarda uygun olarak çalışan belgelendirme kuruluşlarının, yönetim sistemlerinin bütün tiplerinde belgelendirme yapması gerekmez. Yönetim sistemlerinin belgelendirmesi, üçüncü taraf uygunluk değerlendirme faaliyeti (bk. ISO/IEC 17000:2004, Madde 5.5) olup, bu faaliyeti yerine getiren kuruluşlar da dolayısı ile üçüncü taraf uygunluk değerlendirmesi kuruluşlarıdır. Not 1 - Çevre yönetim sistemleri, kalite yönetim sistemleri ve bilgi güvenliği yönetim sistemleri, yönetim sistemleri ile ilgili örneklerdir. Not 2 - Bu standardda, yönetim sistemleri belgelendirmesi yerine belgelendirme, üçüncü taraf uygunluk değerlendirme kuruluşu yerine belgelendirme kuruluşu ifadesi kullanılmıştır. Not 3 - Belgelendirme kuruluşu, özel kuruluş veya kamu kuruluşu (düzenleme yetkisine sahip olan veya olmayan) olabilir. Not 4 - Bu standard, akreditasyon veya emsal tetkiki veya diğer tetkik prosesleri için kriter dokümanı olarak kullanılabilir. 2 Atıf yapılan standard ve/veya dokümanlar Aşağıda atıf yapılan dokümanlar, bu dokümanın uygulanması için mecburidir. Tarihi belirtilmiş atıflar için sadece atıf yapılan baskı uygulanır. Tarihi belirtilmemiş atıflar için, atıf yapılan dokümanın en son baskısı (tüm değişiklikleri içeren) uygulanır. ISO 9000: 2005, Quality management systems Fundamentals and vocabulary (Kalite yönetim sistemleri Temel şartlar ve terimler) ISO/ IEC 17000:2004, Conformity assessment Vocabulary and general principles (Uygunluk değerlendirmesi Terimler, tarifler ve genel prensipler) 3 Terimler ve tarifler Bu standardın amaçları bakımından TS EN ISO 9000 ve TS EN ISO/IEC 17000 de verilenler ile aşağıdaki terimler ve tarifler uygulanır. 3.1 Belgelendirilmiş müşteri Yönetim sistemi belgelendirilmiş olan kuruluş. 3.2 Tarafsızlık Objektifliğin varlığı. Not 1 - Objektiflik, belgelendirme kuruluşunun sonraki faaliyetlerini olumsuz şekilde etkilenmemesi için çıkar çatışmasının olmaması veya çözümlendiği anlamına gelir. 1
ICS 03.120.20 TS -08 Not 2 - Tarafsızlık unsurunu bildirmek için faydalı diğer kelimelerden bazıları da bağımsızlık, çıkar çatışmasının olmaması, kayırmacılık olmayan, ön yargıdan uzaklık, tarafsızlık, adaletli, açık fikirlilik, aynı şekilde ele alma, yansızlık ve dengeli olmak tır. 3.3 Yönetim sistemi danışmanlığı Yönetim sisteminin kurulması, uygulanması veya devamlılığının sağlanmasına katılım. Örnek 1 El kitapları veya prosedürlerin hazırlanması veya oluşturulması. Örnek 2 Bir yönetim sisteminin geliştirilmesi ve uygulanması esnasında özel tavsiyeler, talimatlar veya çözümlerin verilmesi. Not 1 Eğitimin yönetim sistemleriyle veya tetkikle ilgili olması ve kursta verilen bilgilerin genel bilgilerle sınırlı olması şartıyla, bir başka deyişle, eğitmenin müşteriye özgü çözümler sağlamaması kaydıyla, eğitimin düzenlenmesi ve eğitmen olarak katılım sağlanması, danışmanlık olarak değerlendirilmez. Not 2 Proseslerin veya sistemin gelişmesi için müşteriye özgü çözümler sağlamaması kaydıyla verilen genel bilgiler danışmanlık sayılmaz. Bu bilgiler aşağıdakileri içerebilir: - Belgelendirme kriterinin anlamının ve amacının açıklanması, - Geliştirme imkânlarının belirlenmesi, - İlgili teoriler, yöntemler, teknikler ve araçların açıklanması, - İlgili iyi uygulama örneklerinden gizli olmayan bilgilerin paylaşımı, - Tetkik edilen yönetim sistemlerinde yer almayan diğer yönetim hususları. 3.4 Belgelendirme tetkiki Müşterinin yönetim sistemini belgelendirmek amacıyla, müşteriden ve belgelendirmeye bel bağlayan taraflardan bağımsız bir tetkik kuruluşu tarafından gerçekleştirilen tetkik. Not 1 Takip eden terim ve tariflerde geçen tetkik ifadesi basitleştirmek amacı ile üçüncü taraf belgelendirme tetkiki ifadesi yerine kullanılmıştır. Not 2 Belgelendirme tetkikleri; gözetim, takip ve yeniden belgelendirme tetkikleri ile özel tetkikleri içerir. Not 3 Belgelendirme tetkikleri tipik olarak yönetim sistemi standard şartlarını yerine getiren kuruluşlara uygunluk sertifikası düzenleyen belgelendirme kuruluşlarının tetkik ekipleri tarafından yürütülür. Not 4 Ortak tetkik, tek bir müşterinin tetkikinin, iki veya daha fazla belgelendirme kuruluşunun birlikte yaptığı tetkiktir. Not 5 Birleşik tetkik, bir müşterinin iki veya daha fazla yönetim standardlarının şartlarına göre birlikte tetkik edildiği tetkiktir. Not 6 Entegre tetkik, bir müşterinin iki veya daha çok yönetim sistemi standardları şartlarının tek bir yönetim sistemi içine entegre edilmiş uygulamasının, bir standarddan daha fazlasına göre yaptığı tetkiktir. 3.5 Müşteri Belgelendirme amacıyla yönetim sistemi tetkik edilen kuruluş. 3.6 Tetkikçi Tetkiki gerçekleştiren kişi. 2
ICS 03.120.20 TS -08 3.7 Yeterlilik İstenen sonuçlara ulaşmak için bilgi ve becerileri uygulama kabiliyeti. 3.8 Rehber Tetkik ekibine yardımcı olmak amacıyla müşteri tarafından görevlendirilen kişi. 3.9 Gözlemci Tetkik ekibine eşlik eden, ancak tetkik yapmayan kişi. 3.10 Teknik alan Belirli bir tip yönetim sistemi ile ilgili proseslerin müşterekliği ve amaçlanan kullanım ile nitelenen alan. Not 1 Madde 7.1.2 deki nota bakınız. 3.11 Uygunsuzluk Bir şartın karşılanmaması. 3.12 Majör uygunsuzluk Yönetim sisteminin amaçlanan sonuçlarına ulaşması yeteneğini etkileyen uygunsuzluk (bk. Madde 3.11). Not 1 Uygunsuzluk aşağıdaki durumlarda majör olarak sınıflandırılabilir: - Etkin proses kontrol yapıldığına dair veya ürün ve hizmetlerin belirlenen özelliklere uygunluğuna dair önemli şüphe varsa; - Bir şart veya konu ile sistematik bir eksiklik olabileceğini gösteren ve böylelikle bir majör uygunsuzluk oluşturan çok sayıda minör uygunsuzluk. 3.13 Minör uygunsuzluk Yönetim sisteminin amaçlanan sonuçlarına ulaşması yeteneğini etkilemeyen uygunsuzluk (bk. Madde 3.11). 3.14 Teknik uzman Tetkik ekibine özel bilgi veya tecrübe katkısı veren kişi. Not 1 Özel bilgi veya tecrübe, tetkik edilecek kuruluş, proses veya faaliyetle ilgili olan bilgi veya tecrübedir. 3.15 Belgelendirme planı Aynı belirlenen şartlar, belirlenmiş kurallar ve prosedürlerin uygulandığı, yönetim sistemlerinin uygunluk değerlendirme sistemi. 3.16 Tetkik süresi Müşteri kuruluşun yönetim sisteminin tetkikinin planlanması ile tam ve etkin bir şekilde gerçekleşmesi için gerekli süre. 3
ICS 03.120.20 TS -08 3.17 Yönetim sistemi belgelendirme tetkikinin süresi Tetkik süresinin (bk. Madde 3.16), açılış toplantısından kapanış toplantısına kadar tüm tetkik faaliyetleri için harcanan süre. Not 1 Tetkik faaliyetleri normal olarak aşağıdakileri kapsar: - Açılış toplantısının gerçekleştirmek, - Tetkik gerçekleştirilirken dokümanları gözden geçirmek, - Tetkik esnasında iletişimde bulunmak, - Rehberlere ve gözlemcilere rol ve sorumluluklar vermek, - Bilgi toplamak ve doğrulamak, - Tetkik bulguları oluşturmak, - Tetkik sonuçlarını hazırlamak, - Kapanış toplantısını gerçekleştirmek. 4 Prensipler 4.1 Genel 4.1.1 Bu maddede anlatılan prensipler, ISO/IEC 17021 standard serisinin bu bölümünün bu maddesinde verilen belirli performans ve tamamlayıcı şartlar için temel oluşturur. ISO/IEC 17021 standard serisinin bu bölümünde, oluşabilecek bütün durumlara özgü şartlar verilmemiştir. Bu prensipler, önceden tahmin edilemeyen durumlara yönelik alınabilecek kararlar için kılavuzluk bilgileri olarak uygulanmalıdır. Prensipler şart niteliğinde değildir. 4.1.2 Belgelendirmenin temel amacı, bir yönetim sisteminin belirlenmiş şartları karşıladığına dair bütün taraflara güvence vermektir. Belgelendirmenin değeri, üçüncü bir tarafça yapılan tetkikin tarafsızlığı ve yeterliliği ile oluşan kamu güvencesi ve güvenin derecesidir. Belgelendirme ile ilgili taraflar aşağıdakileri kapsar, ancak bunlarla sınırlı değildir: a) Belgelendirme kuruluşlarının müşterileri, b) Yönetim sistemleri belgelendirilmiş kuruluşlarının müşterileri, c) Kamu kurumları, d) Kamu niteliğinde olmayan kuruluşlar, e) Müşteriler ve diğer taraflar. 4.1.3 Güven telkin eden prensipler aşağıdakileri kapsamaktadır: a) Tarafsızlık, b) Yeterlilik, c) Sorumluluk, d) Şeffaflık, e) Gizlilik, f) Şikayetlere duyarlılık, g) Risk temelli yaklaşım. Not Bu standardın Madde 4 ünde, belgelendirme için prensipleri anlatılmıştır. Benzer şekilde tetkikle ilgili prensipler ISO 19011: 2011, Madde 4 te bulunabilir. 4
ICS 03.120.20 TS -08 4.2 Tarafsızlık 4.2.1 Tarafsız olmak ve tarafsız olarak algılanmak, belgelendirme kuruluşunun yaptığı belgelendirme hizmetinin güven vermesi için gereklidir. Kuruluşun tüm çalışanlarının, tarafsızlığın gerekliliğinin farkında olması önemlidir. 4.2.2 Belgelendirme kuruluşunun gelir kaynağının, müşterisinin belgelendirme karşılığında ödediği ücret olduğu bilinmekte olup bu durum tarafsızlık için potansiyel bir tehdittir. 4.2.3 Güvenin oluşmasında ve sürekliliğinin sağlanmasında, belgelendirme kuruluşunun kararlarının, tespit edilen uygunluğun (veya uygunsuzluğun) objektif delillere dayandırılması ve bu kararların diğer çıkar sahiplerince veya diğer taraflarca etkilenmemesi önemlidir. 4.2.4 Tarafsızlığı tehdit eden unsurlar aşağıdakileri içerebilir ancak bunlarla sınırlı değildir: a) Kendi çıkarı: Kendi çıkarları doğrultusunda hareket eden kişi veya kuruluştan kaynaklanan tehditler. Belgelendirme ile ilgili olarak bir endişe, kendi mali çıkarlarının tarafsızlığına bir tehdit oluşturmasıdır. b) Kendi kendini değerlendirme: Kişi veya kuruluşun, yapmış oldukları işin kendileri tarafından değerlendirmesinden kaynaklanan tehditler. Belgelendirme kuruluşunun yönetim sistemi danışmanlığı verdiği müşterisinin yönetim sistemini tetkik etmesi, kendi kendini değerlendirme tehdididir. c) Yakınlık (veya güven): Kişi veya kuruluşun, kuruluşa çok yakın olması veya tetkik delilini aramak yerine bir kişiye aşırı güvenmesinden kaynaklanan tehditler. d) Gözünü korkutma: Kişi veya kuruluşun açıkça veya gizli bir şekilde tehdit edildiğini (yer değiştirme veya amirlerine rapor etme tehdidi gibi) algılamasından kaynaklanan tehditler. 4.3 Yeterlilik 4.3.1 Belgelendirme kuruluşu, belgelendirme faaliyetlerinin bütün fonksiyonlarında görev alan personel yeterliliklerini gösteren sertifikaya sahip olmalıdır. 4.3.2 Yeterliliğin, belgelendirme kuruluşunun yönetim sistemi ile de desteklenmesi gereklidir. 4.3.3 Belgelendirme kuruluşunun yönetimi için tetkik ve diğer belgelendirme faaliyetlerinde görev alan personelin yeterlilik kriterlerinin oluşması için kurulmuş bir prosese sahip olması ve bu kriterlere göre değerlendirme yapması ana konudur. 4.4 Sorumluluk 4.4.1 Yönetim sistem standardlarına uygun bir yönetim sisteminin oluşturulması, sürekliliğinin sağlanması ve belgelendirme şartlarına uygunluğun sağlanması sorumluluğu, belgelendirme kuruluşuna değil belgelendirilecek kuruluşa aittir. 4.4.2 Belgelendirme kararına esas teşkil etmek üzere, yeterli objektif delili değerlendirmek, belgelendirme kuruluşunun sorumluluğundadır. Belgelendirme kuruluşu, tetkik sonucuna dayanarak, uygunluk için yeterli delil varsa belgelendirme yapmaya veya uygunluk için yeterli delil yoksa belgelendirme yapmamaya karar verir. Not - Her tetkik, kuruluşun yönetim sisteminden örneklemeye dayanır ve dolayısı ile şartlara %100 uygunluğu garanti etmez. 4.5 Şeffaflık 4.5.1 Belgelendirme kuruluşu, belgelendirme faaliyetlerinde doğruluk ve kredibilitelerine olan güveni sağlamak için tetkik prosesleri ve belgelendirme prosesleri ile ilgili ve müşterisi her bir kuruluşun, belgelendirme durumu (örneğin, belge verilmesi, belgenin devamı, belgelendirme kapsamının genişletilmesi veya daraltılması, belgenin yenilenmesi, belgenin askıya alması, belgenin geri çekilmesi veya iptal edilmesi gibi) ile ilgili bilgilere, kamunun erişimini sağlamalı veya açıklamalıdır. Şeffaflık, uygun bilgiye erişim veya bu bilginin açıklanması prensibidir. 5
ICS 03.120.20 TS -08 4.5.2 Belgelendirme kuruluşu, belgelendirmeye olan güveni sağlamak ve sürdürmek için belirli tetkiklerin (örneğin, şikayetlere ilişkin yapılan tetkikler gibi) sonuçları hakkında gizlilik içermeyen bilgileri ilgili tarafların erişimine açmalı veya bu bilgileri açıklamalıdır. 4.6 Gizlilik Belgelendirme kuruluşunun; belgelendirme şartlarına uygunluğu, yeterli şekilde değerlendirmesi için ihtiyaç duyulan bilgiye ayrıcalıklı olarak ulaşılmasının sağlanması gerekir. Bununla birlikte, belgelendirme kuruluşunun müşteri hakkındaki her türlü hususi bilgiyi saklaması esastır. 4.7 Şikâyetlere duyarlılık Belgelendirmeye güvenen taraflar, belgelendirme kuruluşu tarafından, şikâyetlerin araştırılmasını bekler. Bu şikâyetlerin doğru olduğu anlaşılırsa, belgelendirme kuruluşu, bu şikâyetleri uygun şekilde ele alacağına ve şikâyetin çözümü için makul bir çaba göstereceğine dair güvence verilmelidir. Şikâyetlere duyarlılık; belgelendirme kuruluşu, müşterileri ve belgelendirmenin diğer taraflarını, hatalara, eksikliklere ve makul olmayan davranışlara yönelik korumanın önemli bir aracıdır. Belgelendirme faaliyetlerine olan güven, şikâyetlerin uygun şekilde ele alınması ile korunur. Not Şeffaflık ile gizlilik arasında uygun bir dengenin sağlanması, şikâyetlere duyarlılıkla birlikte, belgelendirmenin doğruluğu ve kredibilitesinin tüm kullanıcılarına göstermek için gereklidir. 4.8 Risk temelli yaklaşım Belgelendirme kuruluşları, yeterli, tutarlı ve tarafsız belgelendirmeyi sağlamakla ilgili riskleri dikkate almalıdır. Riskler aşağıdakileri içerir ancak bunlarla sınırlı değildir: - Tetkikin amaçları, - Tetkik esnasında kullanılan örnekleme, - Gerçek ve algılanan tarafsızlık, - Yasal düzenleyici ve yükümlülük konuları, - Tetkik edilen müşteri kuruluş ve çalışma şartları, - Tetkikin müşteri ve faaliyetlerine etkisi, - Tetkik ekibinin sağlık ve güvenliği, - İlgili tarafların kabulleri, - Belgelendirilmiş müşterinin yanıltıcı ifadeleri, - Markaların kullanımı. 5 Genel şartlar 5.1 Yasal ve sözleşmeyle ilgili hususlar 5.1.1 Yasal sorumluluk Belgelendirme kuruluşu, tüzel kişilik olmalı veya belgelendirme faaliyetlerinin tamamı için sorumlu olacak şekilde tüzel bir kişiliğin tanımlanmış bir parçası olmalıdır. Kamu kuruluşu olan bir belgelendirme kuruluşunun, resmî statüsünden dolayı tüzel kişilik olduğu kabul edilir. 5.1.2 Belgelendirme anlaşması Belgelendirme kuruluşu, bu standardın ilgili şartlarına göre yürütülecek belgelendirme faaliyetleri için her bir müşterisi ile yasal olarak uygulanabilir bir anlaşmaya sahip olmalıdır. İlave olarak, belgelendirme kuruluşunun birden fazla şubesinin olduğu veya belgelendirilen müşterinin birden fazla işyeri olduğunda, belgelendirme kuruluşu, belgelendirmeyi yapan ve belgeyi veren belgelendirme kuruluşu ile belgelendirme kapsamının içine giren bütün sahalar arasında yasal olarak uygulanabilir bir anlaşmanın olmasını sağlamalıdır. Not Birbirine atıfta bulunan veya bir diğerine bağlı birçok anlaşma ile bir anlaşmaya varılabilir. 5.1.3 Belgelendirme kararları için sorumluluk Belgelendirme kuruluşu, belgeyi verme veya vermeme, belgelendirme kapsamını genişletme veya daraltma, belgeyi yenileme, askıya alma ve askıya almayı takiben geri çekme veya belgenin geri alınmasını içeren belgelendirme ile ilgili kararlardan sorumlu olmalı ve yetkiyi kendinde tutmalıdır. 6
ICS 03.120.20 TS -08 5.2 Tarafsızlığın yönetilmesi 5.2.1 Uygunluk değerlendirme faaliyetleri tarafsız bir şekilde gerçekleştirilmelidir. Belgelendirme kuruluşu, uygunluk değerlendirme faaliyetlerinin tarafsızlığından sorumlu olmalı ve tarafsızlığını tehlikeye atacak, ticari, finansal ve diğer baskılara izin vermemelidir. 5.2.2 Belgelendirme kuruluşunun üst yönetimi, yönetim sistemi belgelendirme faaliyetlerinde tarafsızlık taahhüdünde bulunmalıdır. Belgelendirme kuruluşu, kuruluş içinde yönetim sistemi belgelendirme faaliyetlerinin yapılmasında, tarafsızlığın öneminin anlaşıldığını, çıkar çatışmasının yönetildiğini ve yönetim sistemi belgelendirme faaliyetlerinin objektifliğinin güvenceye alındığının sağlandığını belirten bir politikaya sahip olmalıdır. 5.2.3 Belgelendirme kuruluşunun; devam eden kendi ilişkilerinden kaynaklananlar da dâhil olmak üzere, belgelendirmenin yapılmasından kaynaklanan, çıkar çatışması ihtimallerinin tanımlanması, analiz edilmesi, değerlendirilmesi, ele alınması, izlenmesi ve dokümante edilmesi için bir prosesi olmalıdır. Tarafsızlığa bir tehdit olması durumunda, belgelendirme kuruluşu bu tehditlerin nasıl bertaraf edileceği veya en aza indirileceğini dokümante etmeli ve göstermeli, bununla birlikte kalan herhangi bir riski de dokümante etmelidir. Bu gösterim ister belgelendirme kuruluşundan kaynaklansın ister diğer kişi, kuruluş veya yapılardan kaynaklansın, bütün potansiyel tehditleri kapsamalıdır. Bir ilişki, tarafsızlığa kabul edilemez bir tehdit ortaya çıkarırsa (tamamı belgelendirme kuruluşuna ait olan bir bağlı kuruluş, belgelendirme kuruluşundan belgelendirme isterse), belgelendirme yapılmamalıdır. Üst yönetim; kalan riski, kabul edilebilir risk seviyesinde olup olmadığının tespiti için gözden geçirmelidir. Risk değerlendirme prosesi, uygun ilgili taraflara danışılarak, şeffaflık ve umumi algı dahil tarafsızlığı etkileyen hususların tanımlanmasını kapsamalıdır. Uygun ilgili taraflarla danışma, tek bir tarafın baskın olmayacağı şekilde dengeli olmalıdır. Not 1 Belgelendirme kuruluşunun tarafsızlığına tehditlerin kaynakları; mülkiyet, yönetişim, yönetim, personel, paylaşılan kaynaklar, finans, sözleşmeler, eğitim, pazarlama ve satış komisyonunun ödenmesi veya yeni müşteri yönlendirmesi gibi diğer sebeplerle yapılan ödemeler olabilir. Not 2 İlgili taraflar; belgelendirme kuruluşunun personeli ve müşterilerini, yönetim sistemleri belgelendirilen kuruluşun müşterilerini, sanayi ticaret birliklerinin temsilcilerini, düzenleyici kamu kuruluşları veya diğer kamu temsilcilerini ya da tüketici kuruluşları dahil sivil toplum kuruluş temsilcilerini kapsayabilir. Not 3 Bu maddedeki ilgili taraflara danışma şartı, örneğin ilgili taraflardan oluşan bir komitenin oluşturulması ile sağlanabilir. 5.2.4 Belgelendirme kuruluşu, diğer bir belgelendirme kuruluşunun kalite yönetim sistemini belgelendirmemelidir. 5.2.5 Belgelendirme kuruluşu, tüzel kişiliğinin bir parçası ve organizasyonel olarak kontrolü altında olan bir birime (bk. Madde 9.5.1.2 b) ) yönetim sistemi danışmanlığı sunmamalı veya sağlamamalıdır. Bu husus, aynı zamanda kamu kuruluşu olan belgelendirme kuruluşları için de geçerlidir. Not Bu durum, belgelendirme kuruluşu ile müşterisi arasında bilgi (örneğin, bulguların izahı veya şartların açıklanması) alış verişini imkansız hale getirmez. 5.2.6 Belgelendirme kuruluşu ve tüzel kişiliğin herhangi bir biriminin, belgelendirmiş olduğu müşterisine iç tetkik gerçekleştirmesi tarafsızlığa önemli bir tehdittir. Belgelendirme kuruluşu, tüzel kişiliğinin bir parçası ve kurumsal olarak kontrolü altında olan bir birim (bk. Madde 9.5.1.2 b) ), belgelendirilmiş kuruluşuna iç tetkikler sunmamalı veya sağlamamalıdır. Bu tehdidi kabul edilebilir bir seviyeye indirmenin bilinen bir yolu, belgelendirme kuruluşunun, iç tetkikini yapmış olduğu bir yönetim sistemini, iç tetkikinin bitimini takip eden iki yıl içerisinde belgelendirmemesidir. Not Madde 5.2.3, Not 1 e bakınız. 7
ICS 03.120.20 TS -08 5.2.7 Bir müşteri, belgelendirme kuruluşu ile ilişkili bir kuruluştan yönetim sistemi danışmanlığı hizmeti alırsa, bu tarafsızlığa önemli bir tehdittir. Bu tehdidi kabul edilebilir bir seviyeye indirmenin bilinen bir yolu, belgelendirme kuruluşunun, danışmanlık yapmış olduğu bir yönetim sistemini, danışmanlığın bitimini takip eden iki yıl içerisinde belgelendirmemesidir. Not Madde 5.2.3, Not 1 e bakınız. 5.2.8 Belgelendirme kuruluşu, tarafsızlığına yönelik kabul edilemez bir tehdit olacağı için yönetim sistemi danışmanlık kuruluşuna kendi adına tetkik yaptırmamalıdır (bk. Madde 7.5). Bu durum, Madde 7.3 te yer alan bireysel tetkikçiler gibi sözleşme yapılan kişilere uygulanmaz. 5.2.9 Belgelendirme kuruluşunun faaliyetleri, yönetim sistemi danışmanlığı yapan bir kuruluşun faaliyetleriyle bağlantılı olarak pazarlanmamalı veya önerilmemelidir. Belgelendirme kuruluşu; danışman kuruluş tarafından ifade veya ima edilen, belgelendirme kuruluşu olarak kullanıldığında, belgelendirmenin daha basit, kolay, hızlı veya daha ucuz olması yönündeki uygunsuz bağları ve beyanları düzeltmek için gerekli önlemleri almalıdır. Bir belgelendirme kuruluşu, belirli bir danışmanlık kuruluşu kullanıldığında, belgelendirmenin, daha basit, kolay, hızlı veya daha ucuz olacağını ifade veya ima etmemelidir. 5.2.10 Çıkar çatışmasının olmamasını güvence altına almak için yönetimde yer alanlar dâhil olmak üzere yönetim sistem danışmanlığı sağlayan personel, müşterinin yönetim sistemi danışmanlığında yer almış ise, belgelendirme kuruluşu tarafından ilgili kuruluşun tetkik veya diğer belgelendirme faaliyetlerinde görevlendirilmemelidir. Bu tehdidi kabul edilebilir bir seviyeye indirmenin bilinen bir yolu, personelin yapmış olduğu danışmanlık bittikten sonra en az iki yıl belgelendirme faaliyetlerinde yer almamasıdır. 5.2.11 Belgelendirme kuruluşu, diğer kişilerin veya kuruluşların faaliyetlerinden kaynaklanan tarafsızlığına yönelik tehditlere karşılık verecek faaliyetleri yürütmelidir. 5.2.12 Belgelendirme kuruluşunun, belgelendirme faaliyetlerini etkileyebilecek bütün iç ve dış kaynaklı personel ve komiteler, tarafsız davranmalı ve tarafsızlığı tehlikeye atacak ticari, mali ve diğer baskılara izin vermemelidir. 5.2.13 Belgelendirme kuruluşları, iç ve dış kaynaklı personelinden kendilerini veya belgelendirme kuruluşunu çıkar çatışmasına sokabilecek herhangi bir durumdan haberdar olduklarında, bu durumu kendilerine bildirmelerini istemelidir. Belgelendirme kuruluşları kullandıkları bu tip personel veya kuruluşların faaliyetlerinden kaynaklanan tarafsızlığa yönelik tehditleri tanımlayan bilgiyi girdi olarak kayıt altına almalı ve kullanmalı ve çıkar çatışması olmadığı kanıtlanmadıkça, bu tip iç veya dış kaynaklı personeli kullanmamalıdır. 5.3 Yükümlülük ve finansman 5.3.1 Belgelendirme kuruluşu, belgelendirme faaliyetlerinden kaynaklanan önemli riskleri değerlendirdiğini ve faaliyet gösterdiği her bir konulardaki işlemler ile faaliyet gösterdiği coğrafi alanlardan kaynaklanan sorumluluklarını kapsayan uygun düzenlemeleri (örneğin, sigorta veya ihtiyatlar gibi) yaptığını gösterebilmelidir. 5.3.2 Belgelendirme kuruluşu finansman durumunu ve gelir kaynaklarını değerlendirmeli, başlangıçta ve devam eden süreçte; ticari, finansal veya diğer baskıların tarafsızlığını tehlikeye sokmadığını göstermelidir. 6 Yapısal şartlar 6.1 Organizasyon yapısı ve üst yönetim 6.1.1 Belgelendirme kuruluşu; organizasyon yapısı ile birlikte yönetimin, belgelendirmede görev alan diğer personelin ve bütün komitelerin görevlerini, yetkilerini ve sorumluluklarını dokümante etmelidir. Belgelendirme kuruluşu bir tüzel kişiliğin parçası olarak tanımlandığında, organizasyon yapısı aynı tüzel kişilik içerisindeki diğer kısımlar ile ilişkiyi ve yetki hiyerarşisini içermelidir. 6.1.2 Belgelendirme faaliyetleri, tarafsızlığı muhafaza edecek şekilde yapılandırılmalı ve yönetilmelidir. 8
ICS 03.120.20 TS -08 6.1.3 Belgelendirme kuruluşu, aşağıdakilerin her biri için tam yetkiye ve sorumluluğa sahip üst yönetimi (kurul, kişi veya kişiler) tanımlamalıdır: a) Kuruluşun çalışmasıyla ilgili politikaların geliştirilmesi, ilgili proses ve prosedürlerin oluşturulması, b) Politikalar, proses ve prosedürlerin uygulanmasının yönetimi, c) Tarafsızlığın güvence altına alınması, d) Kuruluşun finansal idaresi, e) Yönetim sistem belgelendirme hizmetleri ve planlarının geliştirilmesi, f) Tetkiklerin ve belgelendirmenin performansı ile şikayetlere duyarlılığı, g) Belgelendirme ile ilgili kararları, h) Belgelendirme kuruluşu adına belirlenmiş olan faaliyetleri yerine getirmek için gerektiğinde, kişilere veya komitelere yetki devri, i) Sözleşmeye dayalı anlaşmalar, j) Belgelendirme faaliyetleri için uygun kaynakların sağlanması. 6.1.4 Belgelendirme kuruluşu, belgelendirme faaliyetlerine katılan komitelerin atanması, iş tanımı ve çalışma şartları için geçerli kurallara sahip olmalıdır. 6.2 Operasyonel kontrol 6.2.1 Belgelendirme kuruluşu; şubeleri, ortakları, temsilcileri, isim hakkını kullanma hakkına sahip kuruluşlar vb. (bu kuruluşların yasal durumuna, ilişkisine ve coğrafi konumuna bakılmaksızın) tarafından yapılan belgelendirme faaliyetlerinin etkili bir şekilde kontrol edilmesi için bir prosese sahip olmalıdır. 6.2.2 Belgelendirme kuruluşu; gerçekleştirdiği faaliyetlerin (prosesleri, belgelendirme kuruluşlarının faaliyetlerinin teknik alanları, personelin yeterliliği, yönetim kontrolünün sınırları ve kayıtlar dahil faaliyetlere uzaktan erişim dahil), kontrolü için uygun seviye ve yöntem belirlemelidir. 7 Kaynak şartları 7.1 Personelin yeterliliği 7.1.1 Genel hususlar Belgelendirme kuruluşu; personelinin, yönetim sistemleri tipi (örneğin, çevre yönetim sistemleri, kalite yönetim sistemleri, bilgi güvenliği yönetim sistemleri) ve faaliyet gösterdiği coğrafi alanla ilgili uygun bilgiye sahip olmalarını güvence altına alacak proseslerine sahip olmalıdır. 7.1.2 Yeterlilik kriterlerinin belirlenmesi Belgelendirme kuruluşu; yönetim, tetkiklerin performansı ve belgelendirme ile ilgili diğer faaliyetlerde görev alan personelin yeterlilik kriterlerini belirleyen dokümante edilmiş bir prosese sahip olmalıdır. Yeterlilik kriterleri, her bir yönetim sistem standardı veya şartnamesinin şartlarını dikkate alınarak, her standardın veya şartnamenin her bir teknik alanı ve belgelendirme prosesinde yer alan her fonksiyonu için belirlenmiş olmalıdır. Prosesin çıktısı, istenen sonuçlara erişilebilmesi amacıyla, tetkik ve belgelendirme görevlerinin etkin bir şekilde yerine getirilmesi için karşılanması gereken bilgi ve becerileri de kapsayan dokümante edilmiş kriterler olmalıdır. Belgelendirme kuruluşunun belirli fonksiyonlar için tanımlaması gereken bilgi ve beceriler Ek A da verilmiştir. Belirli bir standard belgelendirme planı (örneğin, ISO/IEC 17021-2, ISO/IEC 17021-3 veya ISO/TS 22003 gibi) için ilave özel yeterlilik kriterleri belirlenmişse, bunlar uygulanmalıdır. Not Teknik alan ifadesi, ilgili yönetim sistem standardına göre faklı uygulanabilir. Bu ifade herhangi bir yönetim sistemi için yönetim sistemi standardı kapsamında bulunan ürünler, prosesler ve hizmetlerle ile ilgilidir. Teknik alanlar, belirli bir belgelendirme planı (örneğin, ISO/TS 22003) için ya da belgelendirme kuruluşu tarafından tespit edilmiş olabilir. Teknik alan, farklı yönetim sistemi disiplinlerinde geleneksel olarak kullanılan, kapsam, kategoriler, sektörler gibi pek çok terimi kapsamak üzere kullanılır. 7.1.3 Değerlendirme prosesi Belgelendirme kuruluşu, belirlenen yeterlilik kriterlerini uygulayarak, yönetim, tetkiklerin performansı ve belgelendirme ile ilgili diğer faaliyetlerde görev alan personelin yeterliliklerini ve performanslarını, ilk yeterlilik değerlendirmesi ve devam eden süreçte izlemek için dokümante edilen proseslere sahip olmalıdır. 9
ICS 03.120.20 TS -08 Belgelendirme kuruluşu, değerlendirme yöntemlerinin etkin olduğunu göstermelidir. Bu proseslerin çıktısı, tetkik ve belgelendirmenin farklı fonksiyonları için gerekli yetkinlik seviyesini gösteren personeli tanımlamalıdır. Yeterlilik, bir personelin belgelendirme kuruluşu bünyesinde sorumluluk alacak faaliyetlere başlamasından önce gösterilmelidir. Not 1 Bilgi ve becerilerin değerlendirilmesi amacıyla pek çok değerlendirme yöntemi kullanılabilir, bunlar, Ek B'de açıklanmıştır. Not 2 Ek C de, yeterliliğin belirlenmesi ve devamlılığının sağlanması için örnek proses akışı verilmektedir. 7.1.4 Diğer değerlendirmeler Belgelendirme kuruluşu, çalışmakta olduğu teknik alanlar, yönetim sistemi tipleri ve coğrafi alanlarla ilgili doğrudan tavsiye alabileceği gerekli görülen teknik uzmanlığa erişebilir olmalıdır. Bu tip tavsiyeler dışarıdan veya belgelendirme kuruluşu personelinden alınabilir. 7.2 Belgelendirme faaliyetlerinde görev alan personel 7.2.1 Belgelendirme kuruluşu, tetkik programları ve belgelendirme ile ilgili yapılan diğer işlemleri yönetmek ve desteklemek için yeterli sayıda ve yeterlilikte personele sahip olmalıdır. 7.2.2 Belgelendirme kuruluşu, belgelendirme faaliyetlerini kapsayan ve yapılan tetkik işini gerçekleştirebilecek yeterli sayıda, tetkik ekip liderleri dâhil, tetkikçiyi ve teknik uzmanları istihdam etmeli veya bunlara erişebilir olmalıdır. 7.2.3 Belgelendirme kuruluşu, her bir personelinin görev, yetki ve sorumluluklarını açıklığa kavuşturmalıdır. 7.2.4 Belgelendirme kuruluşu, belgelendirme faaliyetlerinde görev yapacak tetkikçilerin seçimi, eğitimi ve resmi olarak yetkilendirilmesi ile teknik uzmanların seçimi ve alıştırılması için proseslere sahip olmalıdır. Bir tetkikçinin ilk yeterlilik değerlendirmesi; tetkikçinin, tetkikler esnasında gerekli bilgi ve becerisini, yetkili bir değerlendiricinin gözlemlemesi ile gerçekleşen uygulama yeteneğinin belirlenmesini kapsamalıdır. Not - Yukarıda açıklanan seçim ve eğitim süreci boyunca istenen kişisel davranışlar değerlendirilebilir. Bunlar, belirli fonksiyonları gerçekleştirmek için kişinin yeteneğini etkileyen özellikleridir. Bu nedenle, kişilerin davranışları hakkında bilgi edinmek, belgelendirme kuruluşlarına, personelinin zayıf yönlerinin etkisini en aza indirmek ve kendi güçlü yönlerinin avantajlarından yararlanmak için imkan sağlar. Belgelendirme faaliyetlerinde yer alan personel için önemli kişisel davranışlar Ek D'de tarif edilmiştir. 7.2.5 Belgelendirme kuruluşu, özel teknik alanlarda tetkik için uygun beceri ve bilgi dahil, tetkikçilerin ve tetkik ekibi liderinin genel tetkik becerisi ve bilgisi kullanımını da kapsayan, etkin bir tetkike ulaşılması ve bunun gösterilmesi için bir prosese sahip olmalıdır. 7.2.6 Belgelendirme kuruluşu, tetkikçilerin (ve ihtiyaç duyulduğunda teknik uzmanların) belgelendirme prosesleri, belgelendirme şartları, tetkik prosesleri ve ilgili diğer şartlar hakkında bilgi sahibi olmalarını garanti etmelidir. Belgelendirme kuruluşu, tetkikçilerin ve teknik uzmanların, verilen tetkik talimatları ve belgelendirme faaliyetleri hakkındaki ilgili bütün bilgileri içeren dokümante edilmiş prosedürlerin güncel bir setine erişimini sağlamalıdır. 7.2.7 Belgelendirme kuruluşu; tetkikçileri, teknik uzmanları ve belgelendirme faaliyetlerinde yer alan diğer personelini, yürüttükleri faaliyetlerde yeterli kılmak için eğitim ihtiyaçlarını, belirlemeli ve bu eğitimleri vermeli veya almalarını sağlamalıdır. 7.2.8 Belgelendirme kuruluşu; belgeyi verme, reddetme, sürdürme, yenileme, askıya alma, geri çekme veya iptal etme, belgelendirme kapsamını genişletme veya kapsamını daraltma kararlarında yer alan kişi veya kişilerin, uygulanabilir standard ve belgelendirme şartlarını anlamalı ve tetkik ekibinin ilgili tavsiyeleri dahil tetkik prosesinin sonuçlarını değerlendirmeye yönelik yeterli bilgi ve tecrübeye sahip olduklarını göstermelidir. 7.2.9 Belgelendirme kuruluşu tetkik ve belgelendirme faaliyetlerinde yer alan personelin performansının tatminkâr bir seviyede olmasını güvence altına almalıdır. Faaliyetlerdeki yer alma sıklığı ve faaliyetleriyle bağlantılı risk seviyesine göre, görev alan bütün personelin yeterliliği ve performansını izlemek için dokümante 10
ICS 03.120.20 TS -08 edilmiş prosedürler olmalıdır. Özellikle, belgelendirme kuruluşu, eğitim ihtiyacını belirlemek için personelin yeterliliğini ve performansını gözden geçirmeli ve kayıt altına almalıdır. 7.2.10 Belgelendirme kuruluşu, her bir tetkikçisini yeterli olduğu kabul edilen her bir yönetim sistemini esas alarak izlemelidir. Tetkikçiler için dokümante edilmiş izleme prosesleri; saha gözlemleri, tetkik raporlarının gözden geçirilmesi ile müşteriden ya da piyasadan gelen geri bildirimin bir kombinasyonunu içermelidir. Bu izleme (özellikle müşterinin bakış açısından), normal belgelendirme proseslerinin olumsuz yönde etkilenmesini asgariye indirgeyecek şekilde tasarlanmalıdır. 7.2.11 Belgelendirme kuruluşu, her bir tetkikçisinin performansını sahada periyodik olarak değerlendirmelidir. Saha gözlemlerinin sıklığı, bütün mevcut izleme bilgilerine göre tayin edilen ihtiyaçlara dayanmalıdır. 7.3 Kuruluş dışı bireysel tetkikçi ve bireysel teknik uzman kullanımı Belgelendirme kuruluşu, kuruluş dışı tetkikçiler ve teknik uzmanlarla, belirlemiş olduğu politikalara ve uyguladıkları prosedürlere uyacaklarının taahhüdünü veren yazılı bir anlaşma yapmalıdır. Anlaşma, gizlilik ve tarafsızlıkla ilgili hususları içermeli ve dış kaynaklı tetkikçilerden ve teknik uzmanlardan, tetkik için görevlendirilebilecekleri her bir kuruluşla mevcut veya önceki ilişkisini, belgelendirme kuruluşuna bildirmelerini istemelidir. Not - Böyle bir anlaşma ile bireylerin veya diğer kuruluşların çalışanlarının tetkikçi veya teknik uzman olarak kullanımı taşerona iş verme işlemi değildir. 7.4 Personel kayıtları Belgelendirme kuruluşu, personelin ilgili nitelikleri, eğitimi, tecrübesi, bağlantıları, profesyonel statüsü ve yeterliliğini içeren güncel personel kayıtlarını tutmalıdır. Bu kayıtlar belgelendirme faaliyetlerinde görev alan personel ile birlikte, yönetimi ve idari birimlerde çalışanları da kapsar. 7.5 Dışarıdan temin 7.5.1 Belgelendirme kuruluşu, dışarıdan teminin (belgelendirme kuruluşunun, belgelendirme faaliyetinin bir bölümünü kendi adına yapmak üzere bir taşeron kuruluşa vermesi) hangi şartlar altında yapılabileceğini açıklayan bir prosese sahip olmalıdır. Belgelendirme kuruluşu, kendi adına çalışacak her bir taşeron kuruluşla, gizlilik ve çıkar çatışmaları dâhil olmak üzere, düzenlemeleri içeren yasal olarak bağlayıcı bir anlaşma yapmalıdır. 7.5.2 Belgenin verilmesi, verilmemesi veya devamı, belgelendirme kapsamının genişletilmesi veya daraltılması, belgenin yenilenmesi, askıya alınması veya geri çekilmesi ya da iptal edilmesi kararı taşerona bırakılmamalıdır. 7.5.3 Belgelendirme kuruluşu aşağıdaki hususları sağlamalıdır: a) Bir başka kuruluşa taşeron olarak yaptırılan bütün faaliyetlerin sorumluluğunu üstlenilmesi, b) Taşeronluk hizmetleri veren kuruluşun ve kullandığı kişilerin, yeterlilik, tarafsızlık ve gizlilik dahil, belgelendirme kuruluşunun şartları ve bu standardın uygulanabilir şartlarını karşıladığının güvence altına alınması, c) Taşeronluk hizmetleri veren kuruluşun ve kullandığı kişilerin, doğrudan veya diğer bir işveren eliyle tetkik edilecek kuruluşla, tarafsızlığa gölge düşürecek şekilde bir bağlantılarının olmamasının güvence altına alınması. 7.5.4 Belgelendirme kuruluşu, belgelendirme faaliyetlerinde kullanılan dış kaynaklı hizmet sağlayan bütün kuruluşların onaylanması ve izlenmesi için bir prosese sahip olmalı ve belgelendirme faaliyetlerinde görev alan tüm personelin yeterlilik kayıtlarının tutulmasını güvence altına almalıdır. Not 1 Madde 7.5.1 ila Madde 7.5.4 için belgelendirme kuruluşu ilave kaynak ve tecrübe sağlamak üzere bireylere veya diğer kuruluşların çalışanlarına iş verirse, bu bireyler, belgelendirme kuruluşunun yönetim sistemleri içerisinde kişisel olarak sözleşme imzalaması kaydıyla (bk. Madde 7.3) dışarıya iş verme olarak değerlendirilmez. 11