IAF MD 4:2008 International Accreditation Forum, Inc. Dokument obowiązkowy IAF Dokument obowiązkowy IAF dotyczący stosowania wspomaganych komputerowo technik auditowania ( CAAT ) w akredytowanej certyfikacji systemów zarządzania (IAF MD 4:2008)
IAF MD 4:2008 International Accreditation Forum, Inc. (IAF) wprowadza i utrzymuje programy akredytacji jednostek świadczących usługi w zakresie oceny zgodności. Taka akredytacja ułatwia handel i zmniejsza zapotrzebowanie na wielokrotną certyfikację. Akredytacja zmniejsza ryzyko przedsiębiorstw i ich klientów, zapewniając, że akredytowane jednostki oceniające zgodność (CAB) są kompetentne do realizacji usług, jakich podejmują się w zakresie posiadanej akredytacji. Od jednostek akredytujących (AB), będących członkami IAF, i od akredytowanych przez nie CAB wymaga się prowadzenia działalności zgodnie z odpowiednimi normami międzynarodowymi i dokumentami obowiązkowymi IAF w celu spójnego stosowania tych norm. Jednostki akredytujące, będące członkami Porozumienia o Wielostronnym Uznawaniu (MLA), regularnie oceniają się wzajemnie w celu zapewnienia równoważności programów akredytacji. Porozumienia IAF MLA funkcjonują na dwóch poziomach: MLA dotyczące akredytacji CAB w odniesieniu do takich norm jak ISO/IEC 17020 dla jednostek inspekcyjnych, ISO/IEC 17021 dla jednostek certyfikujących systemy zarządzania, ISO/IEC 17024 dla jednostek certyfikujących osoby oraz ISO/IEC Guide 65 1 dla jednostek certyfikujących wyroby, jest uznawane za MLA ramowe. To MLA ramowe daje zaufanie, że akredytowane CAB są w tym samym stopniu wiarygodne w świadczeniu usług w zakresie oceny zgodności. MLA dotyczące akredytacji CAB, której zakres akredytacji obejmuje również specyficzną normę lub program oceny zgodności, daje zaufanie do równoważności certyfikacji. Porozumienie IAF MLA daje zaufanie niezbędne do akceptacji certyfikacji przez rynek. Organizacja lub osoba, certyfikowana w odniesieniu do specyficznej normy lub programu, akredytowanego przez AB, będącą sygnatariuszem IAF MLA, może być uznawana na świecie, co ułatwia handel międzynarodowy. Przygotowane przez: Komitet Techniczny IAF Zatwierdzone przez: Członkowie IAF Data: 21.04.2008 r. Data wydania: 15.05.2008 r. Data wdrożenia: 15.09.2008 r. Osoba do kontaktu: John Owen, Sekretarz IAF Tel. +612 9481 7343; Email: secretary@iaf.nu Wprowadzenie do tłumaczenia: Oryginał publikacji: IAF Mandatory Document for the use of computer Assisted Auditing Techniques ( CAAT ) for Accredited Certification of Management Systems, Issue 1 of 15 May 2008 Tłumaczenie: Polskie Centrum Akredytacji, 14.11.2008 r., www.pca.gov.pl Tekst tłumaczenia nie może być kopiowany w celu sprzedaży. Wersją oficjalną (rozstrzygającą) jest wersja w języku angielskim. Tekst tłumaczenia uzupełniono odsyłaczami zawierającymi przypisy PCA, dodatkowo objaśniające pewne partie tłumaczenia. Wszędzie, gdzie w niniejszym tekście przywołano normę ISO/IEC 17021:2006 PCA przyjmuje, że stanowi to również odwołanie do normy PN-EN ISO/IEC 17021:2007 identycznej z ww. normą. 1 Przypis PCA: identyczny z PN-EN 45011:2000
IAF MD4:2008 International Accreditation Forum, Inc. Strona 3/6 Wprowadzenie do dokumentów obowiązkowych IAF Słów powinien, należy 2 użyto w niniejszym dokumencie do wskazania tych postanowień, które, odzwierciedlając wymagania stosownej normy, są obowiązkowe. Słów zaleca się 3 użyto w niniejszym dokumencie do wskazania uznanych sposobów spełniania wymagań normy; jednostka certyfikująca może spełniać te wymagania w równoważny sposób, jeżeli potrafi to wykazać jednostce akredytującej (AB). 2 Przypis PCA: w oryginalnej, angielskiej wersji dokumentu występuje słowo shall 3 Przypis PCA: w oryginalnej, angielskiej wersji dokumentu występuje słowo should
IAF MD4:2008 International Accreditation Forum, Inc. Strona 4/6 Dokument obowiązkowy IAF dotyczący stosowania wspomaganych komputerowo technik auditowania ( CAAT ) w akredytowanej certyfikacji systemów zarządzania Niniejszy dokument jest obowiązkowy dla spójnego stosowania normy ISO/IEC 17021:2006 w przypadku częściowego wykorzystania w metodykach auditowania wspomaganych komputerowano technik auditowania. Stosowanie CAAT nie jest obowiązkowe, lecz jeżeli jednostka certyfikująca i jej klient podejmą decyzję o stosowaniu CAAT, konieczne jest, aby postępowali zgodnie z ustaleniami niniejszego dokumentu oraz potrafili wykazać zgodność jednostce akredytującej. 0. WPROWADZENIE 0.1. Technologie stosowane w informatyce i komunikacji stają się coraz bardziej skomplikowane, więc ważne jest, aby jednostki certyfikujące potrafiły stosować wspomagane komputerowo techniki auditowania w celu poprawy skuteczności i efektywności auditu oraz wspierania i utrzymania spójności procesu auditowania. UWAGA: Wytyczne dotyczące stosowania wspomaganych komputerowo technik auditowania można znaleźć na stronach internetowych ISO/IAF Auditing Practices Group www.iso.org/tc176/iso9001auditingpracticesgroup 0.2. Do takich wspomaganych komputerowo technik auditowania ( CAAT ) mogą należeć, na przykład: Telekonferencje, Spotkania internetowe, Komunikacja interaktywna przy zastosowaniu sieci Internet, Zdalny dostęp elektroniczny do dokumentacji i/lub procesów systemu zarządzania. 0.3. Celami skutecznego stosowania CAAT są: a) zapewnienie metodyki, która jest wystarczająco elastyczna i nie ma w swojej naturze charakteru nakazowego, dla zaspokojenia potrzeb przemysłu, poprzez umożliwienie organizacjom klientów oraz odpowiednim dla nich jednostkom certyfikującym stosowanie CAAT w celu ulepszenia konwencjonalnego procesu auditowania, oraz b) zapewnienie, że są wdrożone adekwatne zabezpieczenia wraz z wystarczającym nadzorem jednostki akredytującej dla uniknięcia nadużyć oraz zapobieżenia nadmiernym naciskom handlowym, które mogłyby naruszyć integralność procesu certyfikacji. 1. WYMAGANIA 1.1. Poufność Zgodnie z normą ISO/IEC 17021, punkt 8.5.1, bezpieczeństwo i poufność informacji elektronicznej lub przekazywanej drogą elektroniczną są szczególnie ważne, gdy jednostka certyfikująca stosuje CAAT. Zaleca się, aby, przed zastosowaniem CAAT, jednostka certyfikująca uzgodniła ze swoim klientem możliwe do zaakceptowania przez obie strony środki dotyczące bezpieczeństwa informacji.
IAF MD4:2008 International Accreditation Forum, Inc. Strona 5/6 1.2. Wymagania procesu 1.2.1 Oprócz elementów obowiązkowych zawartych w normie ISO/IEC 17021, punkt 9.1.2, plan auditu powinien identyfikować wspomagane elektronicznie techniki auditowania, które będą użyte. 1.2.2 Oprócz elementów obowiązkowych zawartych w normie ISO/IEC 17021, punkt 9.1.3, w przypadku użycia CAAT, należy zwrócić szczególną uwagę na zdolność auditorów do rozumienia oraz do wykorzystania technologii informatycznych stosowanych przez organizację klienta w zarządzaniu procesami systemu zarządzania. 1.2.3 Oprócz elementów obowiązkowych zawartych w normie ISO/IEC 17021, punkt 9.1.4, jeżeli jednostka certyfikująca stosuje CAAT, to można to uwzględnić jako część łącznego czasu auditora na miejscu. Jeżeli działania w ramach auditowania zdalnego stanowią więcej niż 30 % planowanego czasu auditora na miejscu, jednostka certyfikująca powinna uzasadnić plan auditu oraz uzyskać specjalną zgodę jednostki akredytującej przed jego zastosowaniem. UWAGI: 1) Zakłada się, że ta specjalna zgoda będzie początkowo udzielana w indywidualnych przypadkach, lecz nie wyklucza to generalnej zgody na stosowanie 30 % redukcji czasu, udzielonej przez jednostkę akredytującą jednostce certyfikującej, jeżeli jednostka certyfikująca wykazała, że jej proces jest wiarygodny. 2) Czas auditora na miejscu oznacza czas przydzielony do oceny poszczególnych oddziałów. Audity elektroniczne prowadzone w innych odległych oddziałach są traktowane jak audity zdalne nawet wtedy, gdy audit elektroniczny jest fizycznie prowadzony z innego oddziału organizacji klienta. 1.2.4 Oprócz elementów obowiązkowych zawartych w normie ISO/IEC 17021, punkt 9.1.10, raporty z auditu powinny wskazywać zakres, w jakim zastosowano CAAT do przeprowadzenia auditu oraz wkład jaki wnosi w skuteczność i efektywność auditu. 1.2.5 Oprócz elementów obowiązkowych zawartych w normie ISO/IEC 17021, punkt 9.2.2.1 (a), w przypadku zgłaszania przez jednostkę certyfikującą propozycji zastosowania CAAT jako części auditu, przegląd wniosku powinien obejmować weryfikację, czy organizacja klienta ma niezbędną infrastrukturę umożliwiającą takie podejście. 1.2.6 Oprócz elementów obowiązkowych zawartych w normie ISO/IEC 17021, punkt 9.3.2.2, niezależnie od zastosowania CAAT, co najmniej raz w roku należy przeprowadzić wizytę w organizacji. 1.2.7 Oprócz elementów obowiązkowych zawartych w normie ISO/IEC 17021, punkt 9.9.2, zapisy powinny wskazywać zakres, w jakim zastosowano CAAT do przeprowadzenia auditu i certyfikacji. Koniec Dokumentu obowiązkowego IAF dotyczącego stosowania wspomaganych komputerowo technik auditowania w akredytowanej certyfikacji systemów zarządzania
IAF MD4:2008 International Accreditation Forum, Inc. Strona 6/6 Dodatkowe informacje Dodatkowe informacje dotyczące niniejszego dokumentu lub innych dokumentów IAF można uzyskać kontaktując się z członkami IAF lub Sekretariatem IAF. Szczegółowe informacje dotyczące członków IAF można znaleźć na stronach internetowych IAF - http://www.iaf.nu Sekretariat IAF John Owen, Sekretarz IAF, Tel. +612 9481 7343 Email <secretary@iaf.nu>