Postup a příklady certifikace systémů managementu

20.2.3.1

Postup a příklady certifikace systémů managementu

Ing. Monika Becková

Pojmem certifikace podnikatelská veřejnost označuje, jak už bylo zmiňováno dříve, celý proces vedoucí k získání certifikátu, ať už systému nebo výrobku, tj. včetně vlastní přípravy, auditu a samotného obdržení certifikátu osvědčujícího shodu se zavedenými požadavky podle některé normy (směrnice). Na dozorové audity se zpravidla v první fázi zcela zapomíná. Ve skutečnosti jde o nepřesné použití tohoto označení. Podle normy ČSN EN ISO/IEC 17021:2007 "Posuzování shody - Požadavky na orgány provádějící audit a certifikaci systémů managementu“ slouží nestranná certifikace jako jeden ze zásadních prostředků pro poskytnutí záruky, že organizace uplatňuje určitý systém řízení. Již v úvodu této normy je doslova řečeno, že certifikace systému managementu (organizace) poskytuje nezávislé ověření, že tento systém "... je:

 NahoruNezávislé ověření

1. ve shodě se specifikovanými požadavky,

2. schopen trvale dosahovat stanovenou politiku a cíle,

3. efektivně uplatňován“ .

Jednotlivé kroky vedoucí k získání takovéto záruky - certifikátu - jsou zhruba následující:

• rozhodnutí vedení firmy o nutnosti (vhodnosti) certifikace,

• zvážení postupu k přípravě a získání certifikátu,

• posuzování (a certifikace) nezávislým certifikačním orgánem,

• (udržování certifikátu v platnosti prostřednictvím dohledu certifikačního orgánu).

Co představují jednotlivé kroky již bylo zmíněno ve zkratce v úvodní kapitole, budeme se jim tedy nyní věnovat podrobněji se zahrnutím konkrétních situací.

1) Rozhodnutí o nutnosti certifikace na základě předchozí analýzy situace

 NahoruRozhodnutí o nutnosti certifikace

Upřesněme si několik typických důvodů, které byly nastíněny v předchozích kapitolách a které dnes vedou firmy k podstoupení celého toho poměrně složitého a nákladného procesu, směřujícího k získání certifikátu:

• potřeba uspořádat strukturu organizace, ujasnit si cíle, strategii, odpovědnosti, pravomoci, předejít potenciálním problémům, jako je opakování nekvalitních výrobků, opakovaná ztráta zákazníka atd. Tato fáze zákonitě přichází např. při přerodu malé rodinné firmy typu fyzické osoby na právnickou osobu ("s. r. o.“ apod.), kdy s větším počtem zaměstnanců, zákazníků, větším objemem zakázek nestačí jeden člověk (obvykle majitel) sám již vše řídit a o všem rozhodovat. Základní podmínkou úspěchu je v takovém případě chuť a odvaha majitele přenést odpovědnost na podřízené pracovníky;

• snaha zvýšit prestiž firmy v oborech, kde většina konkurentů certifikát jakosti či jiný má;

• potřeba vyhovět zákazníkovi, obvykle větší firmě, která si klade certifikaci systému managementu jako podmínku pro uzavření obchodního vztahu;

• požadavek zadavatele v případě výběrového řízení na veřejnou zakázku (týká se zejména stavebních firem, ale i řady dalších oborů).

 Nahoru2) Zvážení postupu k získání certifikátu

Před zahájením vlastního postupu přípravy si vedení firmy musí umět včas odpovědět na tři základní otázky. Další postup je potom závislý na odpovědích na ně, resp. konkrétních možnostech firmy:

• Kolik máme na přípravu času?

• Kolik můžeme do přípravy finančně investovat?

• Jakého pracovníka s potřebnou kvalifikací máme pro přípravu projektu k dispozici?

• Jaká je průměrná úroveň znalostí a schopností našich zaměstnanců?

Následující jednoduché příklady vycházejí z této jednoduché analýzy. Vycházíme přitom z obecně popsaného postupu přípravy ve čl. 20/2.1 "Příprava k certifikaci“.

Ať tak či onak, s poradcem či bez něj, vyplatí se zamyslet se nad následujícími postřehy:

Nejčastější omyly v oblasti poradenství a certifikace

 NahoruOmyly

V oblasti poradenství a certifikace se opakovaně setkáváme s několika typickými omyly, polopravdami a nesprávnými předpoklady, které vedou k mnohdy nereálným očekáváním majitelů firem a v konečném důsledku k jejich rozčarování z výsledku. S cílem zamezit budoucí nespokojenost, ale i varovat před někdy neprofesionálním počínáním některých poradců, s jejichž negativními důsledky se v praxi setkáváme, uvádíme několik takových poznatků:

1. Systém řízení je váš, nikoli poradenské firmy. Proto neočekávejte, že pokud bude systém zaveden takřka úplně bez vaší účasti, že bude funkční nebo dokonce přínosný pro řízení vaší firmy.

2. Vybudovat efektivní systém managementu nějakou dobu trvá. Neočekávejte, že se smysluplný výsledek projeví po 2 nebo 3 týdnech "zavádění“. Zavedení systému řízení podle některé ze systémových norem znamená určitou změnu, zásah do dosavadního chodu a tato změna se musí "usadit“ a po čase případně upravit podle dosavadních zkušeností. Jde o živý systém, který musí reagovat na potřeby firmy a vyvíjet se současně s měnícími se vnějšími a vnitřními podmínkami. Certifikací tedy proces nekončí.

3. Znalost norem a principů, na kterých je založen model "ISO“ a podobné, včetně odborné znalosti příslušného odvětví podnikání, vyžaduje dostatek zkušeností, stejně jako praxi a analyticko-systémový způsob myšlení. To všechno není možné získat ihned. Neočekávejte, že poradce, který nemá žádnou nebo skoro žádnou praxi, bude dostatečně zkušený a schopný praktických řešení.

4. Pravidlo "nejsme tak bohatí, abychom si mohli kupovat levné věci,“ platí i zde. Kvalita, odbornost a zkušenosti se nezískají zadarmo. Nečekejte, že za minimum nákladů a dva týdny zavádění získáte na svou stranu skutečného odborníka a profesionála. V lepším případě četl normu ISO.

5. Certifikační auditor bude klást otázky vám, nikoli poradci, právě proto, že jde o váš systém řízení, vaši firmu. Bez vaší účasti a orientace v problematice to nepůjde.

6. Ne vše, co se dozvíte od nezkušeného poradce, je pravda. Norma ISO 9001 opravdu nepožaduje registr právních požadavků formou dvacetistránkového seznamu ani jednatel nemusí sám sebe jmenovat do funkce PVJ.

 NahoruJaký má vlastně certifikace smysl?

 NahoruSmysl certifikace

V některých oblastech je tato otázka zcela irelevantní. Máme na mysli ty oblasti, kde je certifikace (ať už výrobků, nebo systémů řízení výroby) povinná, daná právními požadavky. Že certifikace má smysl v oblasti volné sféry, tedy nepovinná (někdy označovaná jako komerční), je zřejmé z výše uvedených důvodů vedoucích firmy k certifikaci. Koneckonců, nikdo zatím nevymyslel lepší metodu, jak získat věrohodný důkaz o splnění oprávněně očekávaných požadavků zákazníků v oblasti jakosti, ochrany oprávněného zájmu (ŽP, BOZP apod.).

Jaká je situace v oblasti komerční certifikace na trhu v ČR, můžeme zjistit z nejrůznějších registrů a seznamů certifikovaných firem jednotlivých certifikačních orgánu. Podle informací dostupných např. prostřednictvím internetu je v současnosti v ČR kolem 8000 organizací certifikovaných podle jednotlivých norem pro systémy managementu. Ne všechny certifikační orgány dávají tyto údaje z obavy před konkurencí k dispozici, navíc tato zcela jednoduchá statistika nebere v úvahu počty podnikatelských subjektů v jednotlivých oborech, aby bylo možno určit procentuální podíl, ale pro určitou představu o situaci v ČR to stačí.

Pro zajímavost je v tabulce uvedena vždy i oblast norem (specifikací), jejichž požadavky lze v příslušném oboru uplatnit (implementovat) a podle kterých lze certifikovat, resp. které jsou určeny pro posuzování a certifikaci třetí stranou, tedy certifikačním orgánem. Ze stejného důvodu zde není např. zmíněna norma ISO 9004, neboť není určena k certifikaci, stejně jako např. model EFQM či EMAS.

Vysvětlivky:

Jaké systémy lze certifikovat v příslušných oborech, je tedy zřejmé z následujících vysvětlivek k tabulce:

• ČSN EN ISO 9001:2001: Systémy managementu jakosti - Požadavky,

• ČSN EN ISO 14001:2005 : Systémy environmentálního managementu - Požadavky,

• OHSAS 18001:1999: Systémy managementu bezpečnosti práce a ochrany zdraví při práci - Specifikace,

• SCC - standard používaný pro hodnocení a certifikaci systémů řízení bezpečnosti (Safety Checklist for Contractors),

• SJ PK - systém jakosti pozemních komunikací (způsobilost pro provádění stavebních a silničních prací v oboru pozemních komunikací v rozsahu podmínek stanovených metodickým pokynem MD ČR čj. 23614/96-230),

• ISO/TS 16949:2002: Systémy managementu jakosti - Zvláštní požadavky na používání ISO 9001:2000 v organizacích zajišťujících sériovou výrobu a výrobu náhradních dílů v automobilovém průmyslu,

• ČSN EN ISO 13485:2003: Zdravotnické prostředky - Systémy managementu jakosti - Požadavky pro účely předpisů,

• CFCS 1004:2005 - Spotřebitelský řetězec lesních produktů - Požadavky (C-o-C),

• ČSN ISO/IEC 27001:2006: Informační technologie - Bezpečnostní techniky - Systémy managementu bezpečnosti informací - Požadavky,

• ČSN EN ISO 22000:2006: Systémy managementu bezpečnosti potravin - Požadavky na organizaci v potravinovém řetězci,

• HACCP - Systém kritických bodů (Hazard Analysis and Critical Control Points).

Přiřazení jednotlivých norem k určitým oborům tabulky není samozřejmě dogma, kterého je nutno se držet. Vychází ze zkušeností na trhu ČR s jednotlivými druhy certifikace. Normy ISO 9001, ISO 14001 a specifikace OHSAS 18001 jsou aplikovatelné v jakémkoli oboru, ať jde o výrobu, či poskytování služeb. Stejně tak systém managementu bezpečnosti informací se teoreticky může aplikovat v jakékoli firmě, která pracuje s informacemi (což je samozřejmě v podstatě jakákoli organizace), ale neočekává se nárůst zájmu o tuto certifikaci u firem, jejichž předmětem podnikání není primárně zpracovávání informací či nakládání s citlivými údaji. Naproti tomu jsou zcela specifické požadavky aplikovatelné na jednu nebo pouze několik specifických oblastí výroby (např. výroba zdravotnických prostředků, svařování apod.).

Z tabulky je také vidět, že největší počet certifikovaných organizací je (zřejmě z důvodů nutnosti organizací splnit požadavky jak zadavatelů veřejných zakázek, tak velkých firem, které zadávají práci zase jen certifikovaným dodavatelům) v následujících třech oborech:

1. stavebnictví (celkem 2146 subjektů),

2. malo- a velkoobchod (celkem 1654 subjektů),

3. architektonické a inženýrské činnosti (celkem 1193 subjektů).

3) Popis procesu posuzování a certifikace

 NahoruPopis procesu posuzování

Certifikační činnosti zahrnují:

• audit systému managementu

• vlastní certifikaci, tj. potvrzení shody systému managementu organizace formou udělení certifikátu.

Obecný popis vlastního postupu posuzování a certifikace je uveden v předchozích odstavcích (viz postupový diagram procesu certifikace). V dalším textu se zaměříme spíše na příklady konkrétních situací, které mohou nastat během auditu anebo jsou spojené s udělením certifikátu, se zaměřením na jednotlivé fáze (etapy) posuzování a certifikace.

 NahoruCertifikační orgány

Certifikační orgány, které tuto službu poskytují, jsou obvykle dnes již vesměs akreditovány některým z národních akreditačních orgánů. Rozdíl bývá pouze v tom, zda jde o akreditační orgán ČR (Český institut pro akreditaci, o. p. s.), nebo o jiný, zahraniční akreditační orgán (takové mají v ČR zpravidla dceřinou společnost, která vystupuje jako zdánlivě samostatný certifikační orgán, někdy také skutečně se samostatnou akreditací v ČR, o udělení certifikátu - o samotné certifikaci žadatele - rozhoduje certifikační orgán v zahraničí, tedy matka, to mívá často vliv jednak na cenu celé certifikace, jednak na nemalé administrativní průtahy spojené s vystavením certifikátu).

Požadavky kladené na certifikační orgány v průběhu akreditace jsou v podstatě obdobné i díky tomu, že ČIA je signatářem mezinárodních dohod o akreditaci (EA, MLA, IAF). Z toho vyplývá, že všechny (akreditované) certifikační orgány by měly dodržovat stejný postup posuzování a certifikace a ověřovat shodu se stejnými požadavky kriteriálních norem principiálně stejným způsobem.

Následující odstavce si kladou za cíl podat ucelenou informaci o vlastním postupu certifikačních orgánů při certifikaci systémů managementu obecně s tím záměrem, aby manažeři firem usilujících o certifikaci mohli porovnat tento postup s postupem, jehož byli případně účastni, nebo se na něj mohli před certifikací "své“ firmy připravit.

Zopakujme si, že celý proces posuzování (bývá označován pojmem audit) se řídí v principu požadavky normy ISO 19011 a zahrnuje tyto fáze:

• žádost o certifikaci organizace (zpracovává žadatel o certifikaci - firma - na formulářích certifikačního orgánu),

• příprava certifikačního orgánu na posuzování (úloha certifikačního orgánu, zahrnuje i posouzení dokumentace žadatele),

• posuzování na místě (audit na pracovištích ve firmě)

• vyjasnění případných neshod,

• certifikace (závěrečné formality, udělení certifikátu).

A. Žádost o certifikaci

Je to formální vyjádření snahy získat certifikát shody firmy - žadatele o certifikaci. Obsah bývá zpravidla obdobný, liší se pouze formou a následným způsobem uzavření smluvního vztahu. Formuláře žádostí spojených většinou s podrobnějším dotazníkem má většina certifikačních orgánů na internetu nebo na vyžádání v sekretariátu.

B. Příprava certifikačního orgánu na posuzování

Tato etapa zahrnuje následující kroky:

• přiřazení konkrétních auditorů a technických expertů pro posuzování podle jejich znalostí a odbornosti (tzv. "odborné způsobilosti“), určení vedoucího týmu auditorů; to znamená rozhodnutí, kdo bude konkrétně audit provádět,

• zpracování plánu posuzování na místě (tzv. plán auditu obsahuje jména zúčastněných osob jednak z řad auditorů, jednak z řad posuzované organizace - žadatele o certifikaci, dále časovou a věcnou náplň auditu, autorizaci - datum a podpis zpracovatele plánu, kterým je vedoucí auditor, a obvykle i prostor pro formální vyjádření souhlasu žadatele o certifikaci s plánem,

• předání (zaslání) návrhu plánu žadateli o certifikaci k vyjádření (ten má mít dostatek času k vyjádření souhlasu či případného nesouhlasu s plánem auditu; minimálně 1 týden až 14 dní před zahájením auditu na místě),

• posouzení referenčních podkladů pro audit (pod tímto pojmem rozumíme kriteriální normu, tedy normu, podle níž má být posouzena shoda a poté udělen certifikát; dále zejména dokumentaci žadatele - certifikační orgány chtějí obvykle zaslat příručku, organizační schéma, případně další dokumenty od žadatele o certifikaci pro prvotní posouzení v kanceláři certifikačního orgánu),

• někdy tato etapa končí zhotovením tzv. zprávy z posouzení dokumentace.

Poznámka: Jestliže má auditovaný námitky k jakémukoliv ustanovení v plánu auditu, pak tyto námitky mají být ihned oznámeny certifikačnímu orgánu. Případné námitky mají být vyřešeny ještě před provedením auditu a auditovaná organizace má mít právo se k složení auditního týmu a časovému uspořádání auditu vyjádřit ještě před zahájením auditu! Znamená to, že konečný plán auditu získá konečnou formu až na základě jeho projednání s účastníky.

C. Posuzování na místě

Tato etapa (nazývaná audit) zahrnuje následující kroky:

• zahájení auditu (úvodní jednání, kdy se vzájemně představí členové týmu auditorů a zástupci posuzované organizace - žadatele…