O que informa o IAF ID 3: 2011

Por: Keli de Lima – BRQuality

 

Este é o documento que os Organismos Certificadores usarão para orientar a Análise de Risco das empresas certificadas e que a partir do resulto definirão sobre a manutenção da certificação, conforme as orientações de cada certificadora, as quais seguem as orientações do GFSI que determina como exceção a possibilidade de estender o certificado por até 6 meses, de acordo com o resultado da análise de risco. Lembrando que, esta possibilidade só será aceita para situações onde a realização da auditoria presencial é realmente impossível de ocorrer e que, de alguma forma, a impossibilidade seja comprovada.

Relacionamos abaixo algumas informações importantes do IAF ID 3: 2011, no entanto, é importante que as empresas façam contato com as certificadoras, pois, as orientções podem variar de acordo com cada norma, exemplo, a FSSC, estipulou alguns requisitos extras, a serem avaliados na Análise de Risco, complementando o que a IAF ID 3: 2011 estabelece e os OCs de uma forma geral, possuem um documento elaborado por eles, para conduzir essa análise de risco, assim, entre em contato para saber como proceder e se você terá ou não que agendar a análise de risco com sua certificadora.

Evento ou circunstância extraordinária que afeta uma organização certificada

Um evento extraordinário que afete uma organização certificada ou um CAB pode temporariamente impedir que o OAC realize auditorias planejadas no local. Quando tal situação ocorre, ABs e CABs, operando sob padrões ou documentos regulamentares reconhecidos, precisam estabelecer (em consulta com organizações certificadas) um planejado de ação. O OAC deve avaliar os riscos de continuar a certificação e estabelecer uma documentação política e processo, descrevendo as etapas a serem tomadas no caso de uma organização certificada afetada por um evento extraordinário. A política e o processo estabelecidos pelo OAC devem definir métodos para avaliar a situação atual e o futuro esperado da organização certificada e definir métodos alternativos possíveis de curto prazo para avaliar a organização e verificar a continuidade da eficácia de seus sistemas de gestão. Permitir que o CAB avalie o risco de continuar a certificação e compreenda as situação atual e futura esperada da organização, o CAB deve reunir os informações da organização certificada antes de decidir sobre um curso apropriado da ação. As informações coletadas pelo OAC devem incluir o seguinte, como apropriado:

 

  1. Quando a organização poderá funcionar normalmente?
  2. Quando a organização poderá enviar produtos ou executar o serviço definido dentro do escopo atual da certificação?
  3. A organização precisará usar fabricação e / ou distribuição alternativas? Nesse caso, estão atualmente cobertos pela certificação atual ou precisam ser avaliados?
  4. O estoque existente ainda atende às especificações do cliente ou a organização deverá entrar em contato com seus clientes sobre possíveis concessões?
  5. Se a organização certificada possuí um procedimento para gerenciamento de desastres/crises/plano de emergência, a organização consegue comprovar que implementou um plano de recuperação e foi eficaz?
  6. Alguns dos processos e / ou serviços executados ou produtos enviados serão subcontratados para outras organizações? Se sim, como serão as atividades das outras organizações serão controladas pela organização certificada?
  7. Até que ponto a operação do sistema de gerenciamento foi afetada?
  8. A organização certificada realizou uma avaliação de impacto?
  9. Identificação de locais alternativos de amostragem, conforme apropriado.

 

Se o risco de continuar a certificação for baixo e, com base nas informações coletadas, o  OAC pode considerar métodos alternativos de avaliação de curto prazo para verificar a eficácia contínua do sistema da organização. Isso pode incluir solicitação de documentação relevante (por exemplo, atas da reunião de revisão pela gerência, registros de ações, resultados de auditorias internas, relatórios de teste / inspeção etc.) a serem revisados pela CAB para determinar a adequação contínua da certificação (a curto prazo). No mínimo, o processo deve abordar os seguintes itens:

 

  • Comunicação pró-ativa entre a organização certificada afetada e os CAB.
  • Etapas que o CAB tomará para avaliar a organização afetada e como o plano será comunicado.
  • Especificar o tempo máximo que um método alternativo de avaliação a curto prazo poderia
  • ser utilizado antes da suspensão ou retirada da certificação
  • Critérios para renovar a supervisão normal, incluindo o método e o cronograma de qualquer
  • atividade de restabelecimento e avaliações.
  • Possíveis alterações nos planos de supervisão da organização, caso a caso e de acordo com os procedimentos do CAB.
  • Garantir que qualquer desvio dos requisitos de acreditação e procedimentos do CAB sejam justificado e documentado, e foi alcançado um acordo com a AB sobre os planos para solucionar os desvios temporários dos requisitos.
  • Restabelecimento de atividades de recertificação de acordo com o CAB quando o acesso ao local afetado for restabelecido.

 

Se não for possível estabelecer contato com a organização, o OAC deve seguir os procedimentos normais para suspensão e retirada da certificação.

Ao desenvolver métodos alternativos de avaliação de curto prazo, o OAC deve levar em consideração as seguintes limitações:

 

a) Primeira auditoria de vigilância: normalmente, a primeira auditoria de vigilância após a certificação inicial deve estar dentro de 12 meses do último dia da auditoria inicial do estágio 2 (ISO / IEC 17021: 2011, 9.3.2.2). Contudo, desde que tenham sido coletadas evidências suficientes como acima, para fornecer confiança de que o sistema de gerenciamento certificado é eficaz pode ser considerado adiar a primeira vigilância por um período não normalmente superior a 6 meses (18 meses a partir da data da certificação inicial). Caso contrário, o certificado deve ser suspenso ou o escopo reduzido.

 

b) Auditorias de vigilância subsequentes: pode haver circunstâncias específicas pelas quais um OAC pode justificar o ajuste da data de uma auditoria de vigilância subsequente. Se uma organização precisar desligar completamente por um período limitado de tempo (menos de 6 meses), seria razoável que um OAC adie uma auditoria que estava programada para ocorrer durante o desligamento até a organização retomar as operações. A organização deve informar o CAB quando as operações forem retomadas, para que ele possa conduzir a auditoria imediatamente.

 

c) Auditorias de recertificação: normalmente, a auditoria de recertificação deve ser concluída e a decisão pela recertificação tomada antes do vencimento do certificado vigente para evitar perda de certificação (ISO / IEC 17021: 2011, 9.1.1.2). Contudo, desde que provas suficientes tenham sido coletados como acima, para garantir que o sistema de gerenciamento certificado é eficaz, pode-se estender a certificação por um período normalmente não superior a 6 meses após o prazo de validade original. A recertificação deve ser realizada dentro deste prazo estendido. Caso contrário, uma nova auditoria inicial deve ser realizada. O vencimento da certificação renovada deve se basear no ciclo de recertificação original.

 

d) Informações para a AB: todos os desvios do programa de certificação estabelecido devem ser justificados, documentado e disponibilizado aos ABs mediante solicitação.

 

Referência:

IAF Informative Document For Management of Extraordinary Events or Circumstances Affecting ABs, CABs and Certified Organizations Issue 1 (IAF ID 3: 2011)