Consentement aux cookies
Nous utilisons des cookies pour personnaliser le contenu et les publicités, proposer des fonctionnalités relatives aux réseaux sociaux et analyser le trafic. Cela n’est effectué qu’avec votre consentement explicite. En cliquant sur "TOUT ACCEPTER", vous acceptez le traitement et le partage de vos données avec nos partenaires à des fins de réseaux sociaux, de publicité et d’analyse, y compris vers des pays tiers Vous pouvez modifier ou retirer vos consentements à tout moment dans les paramètres de confidentialité.
Paramètres de cookies

Politiques et procédures de certification

Politique d'impartialité

Les activités d'évaluation de la conformité doivent être menées de manière impartiale. DEKRA Certification, Inc. (« DEKRA ») reste responsable de l'impartialité de ses activités d'évaluation de la conformité et ne permettra aucune pression commerciale, financière ou autre susceptible de compromettre cette impartialité.
La direction générale de DEKRA Certification, Inc. s'engage à faire preuve d'impartialité dans l'exécution des activités relevant de la certification du système de management. DEKRA gère les conflits d'intérêts et garantit l'objectivité de ses activités de certification du système de management.
DEKRA maintient l'engagement de sa direction à l'impartialité dans ses activités de certification des systèmes de management. DEKRA applique une politique qui souligne l'importance de l'impartialité dans la réalisation de ses activités de certification des systèmes de management, gère les conflits d'intérêts et garantit l'objectivité de ses activités de certification des systèmes de management.
DEKRA Certification, Inc. ne certifiera pas un autre organisme de certification (« OC ») pour sa certification de système de gestion de la qualité. DEKRA ne sollicitera pas la certification de système de gestion de la qualité auprès d'un autre OC.
Ni DEKRA, ni aucune partie de la même entité juridique, ni aucune entité sous le contrôle organisationnel de DEKRA, n'offrira ou ne fournira de services de conseil en matière de systèmes de gestion. Cela n'exclut pas la possibilité d'un échange d'informations (par exemple, explication des résultats ou clarification des exigences) entre DEKRA et ses clients.
La réalisation d'audits internes par DEKRA auprès de ses clients certifiés constitue une menace importante pour l'impartialité. Par conséquent, DEKRA et toute partie de la même entité juridique et toute entité sous le contrôle organisationnel de DEKRA ne proposeront ni ne fourniront d'audits internes à leurs clients certifiés. Une mesure reconnue pour atténuer cette menace consiste à ce que DEKRA ne certifie pas un système de management pour lequel elle a réalisé des audits internes pendant au moins deux ans après la fin des audits internes.
DEKRA ne sous-traitera pas les audits à un organisme de conseil en systèmes de gestion, car cela constituerait une menace inacceptable pour l'impartialité de DEKRA. Cette disposition ne s'applique pas aux personnes engagées en tant qu'auditeurs.
Les activités de DEKRA ne seront pas commercialisées ni proposées en lien avec les activités d'un organisme fournissant des services de conseil en matière de systèmes de management. DEKRA prendra les mesures nécessaires pour corriger tout lien ou déclaration inapproprié émanant d'un organisme de conseil affirmant ou laissant entendre que la certification serait plus simple, plus facile, plus rapide ou moins coûteuse si DEKRA était sollicitée.
DEKRA, ainsi que tous les auditeurs travaillant pour le compte de DEKRA, ne doivent pas déclarer ou laisser entendre que la certification serait plus simple, plus facile, plus rapide ou moins coûteuse si l'on faisait appel à un organisme de conseil spécifique.
Afin d'éviter tout conflit d'intérêts, le personnel ayant fourni des services de conseil en matière de systèmes de management, y compris ceux occupant des fonctions de direction, ne sera pas utilisé par DEKRA pour participer à un audit ou à d'autres activités de certification s'il a été impliqué dans des services de conseil en matière de systèmes de management auprès du client. Une mesure reconnue pour atténuer ce risque consiste à ne pas faire appel à ce personnel pendant au moins deux ans après la fin de la mission de conseil.
Lorsqu'un client a bénéficié de services de conseil en matière de systèmes de gestion auprès d'un organisme ayant une relation avec DEKRA (y compris la société mère DEKRA et toute autre entité DEKRA dans le monde), cela constitue une menace importante pour l'impartialité. Une mesure reconnue pour atténuer cette menace consiste à ce que DEKRA ne certifie pas le système de gestion pendant au moins deux ans après la fin des services de conseil.
DEKRA prendra les mesures nécessaires pour répondre à toute menace à son impartialité résultant des actions d'autres personnes, organismes ou organisations.
Tout le personnel DEKRA, interne ou externe, ou les comités susceptibles d'influencer les activités de certification doivent agir en toute impartialité et ne doivent pas permettre que des pressions commerciales, financières ou autres compromettent leur impartialité.
DEKRA exige de son personnel, interne et externe, qu'il signale toute situation dont il a connaissance et qui pourrait le placer, lui-même ou DEKRA, dans une situation de conflit d'intérêts. DEKRA enregistrera et utilisera ces informations afin d'identifier les menaces pour l'impartialité que pourraient représenter les activités de ce personnel ou des organisations qui l'emploient, et ne fera appel à ce personnel, interne ou externe, que s'il peut démontrer l'absence de conflit d'intérêts.

Impartialité SEP

Les dossiers relatifs à l'examen des conflits d'intérêts et au plan doivent être conservés.
Il y a conflit d'intérêts si, au cours des trois dernières années, un membre du personnel de DEKRA ou d'une entité liée a fourni au client l'un des services suivants qui ne relèvent pas de la vérification :
  • Fourniture de services de conseil ou d'autres services liés à l'élaboration, à la mise en œuvre ou à la maintenance du modèle démontrant la performance énergétique ;
  • Fournir des services de conseil ou d'assistance liés à l'élaboration, à la mise en œuvre ou à la tenue à jour du registre des mesures d'amélioration de la performance énergétique mises en œuvre ;
  • Fournir des services de conseil pour le développement ou la mise en œuvre du système de gestion de l'énergie ou l'amélioration de la performance énergétique ;
  • Réaliser un audit interne du SMÉ de l'organisation ;
  • Réaliser un audit énergétique dans le cadre et les limites du système de management de l'énergie (EnMS) ; ou
  • Remplir la fiche d'évaluation SEP 50001 pour le client
Pour les sites multiples, DEKRA ne préparera pas les rapports SEP sur l'amélioration de la performance énergétique pour les sites non échantillonnés lors de l'audit.
Il incombe à la direction générale de DEKRA de garantir l'impartialité des activités de DEKRA.
Les contrats signés avec les auditeurs agréés serviront de registre des conflits d'intérêts des auditeurs sous contrat avec DEKRA.

Impartialité dans le domaine aérospatial

DEKRA et toute partie de la même entité juridique ne doivent pas proposer de services de conseil en matière de systèmes de gestion dans le cadre de leur organisation, ni offrir ou fournir des services de conseil en matière de systèmes de gestion de la qualité ou de systèmes de gestion de la qualité de l'assurance qualité, ni réaliser des audits internes pour leurs clients.
Plus d'un pré-audit sera considéré comme une prestation de conseil.

TL9000 Impartialité

Les organismes de certification ou les organismes liés à un organisme de certification qui ont fourni des services de conseil en matière de systèmes de gestion et/ou une formation privée rémunérée à un client particulier ne peuvent pas fournir de services de certification à ce client ni lui fournir d'auditeurs pendant une période de deux ans après la fourniture des services.

Impartialité des dispositifs médicaux

(MD9 5.2) DEKRA et ses auditeurs doivent être impartiaux et libres de toute mission ou influence susceptible d'affecter leur objectivité, et ne doivent notamment pas :
  • impliqué dans la conception, la fabrication, la construction, la commercialisation, l'installation, l'entretien ou la fourniture du dispositif médical
  • impliqué dans la conception, la mise en place, la mise en œuvre ou la maintenance du système de gestion de la qualité faisant l'objet de l'audit
  • un représentant autorisé de l'organisation cliente, ni représenter les parties engagées dans ces activités
Les situations suivantes sont des exemples où l'impartialité est compromise au regard des critères définis ci-dessus :
  • l'auditeur ayant un intérêt financier dans l'organisation cliente faisant l'objet de l'audit (par exemple, détenant des actions dans l'organisation)
  • l'auditeur étant actuellement employé par un fabricant de dispositifs médicaux
  • l'auditeur étant un membre du personnel d'un institut de recherche ou médical ou un consultant ayant un contrat commercial ou un intérêt équivalent avec le ou les fabricants de dispositifs médicaux similaires

Impartialité du SMSI

DEKRA peut exercer les fonctions suivantes liées au SMSI sans que celles-ci soient considérées comme des activités de conseil ou présentant un conflit d'intérêts potentiel :
  • organiser et participer en tant que conférencier à des cours de formation, à condition que, lorsque ces cours portent sur la gestion de la sécurité de l'information, les systèmes de gestion connexes ou l'audit, DEKRA se limite à fournir des informations et des conseils généraux accessibles au public, c'est-à-dire qu'elle ne fournit pas de conseils spécifiques à l'entreprise qui contreviennent aux exigences du point b) ci-dessous ;
  • mettre à disposition ou publier sur demande les informations décrivant l'interprétation par l'organisme de certification des exigences des normes d'audit de certification (voir ISO 27006:2015 9.1.3.6) ;
  • activités préalables à l'audit, visant uniquement à déterminer l'état de préparation à l'audit de certification ; toutefois, ces activités ne doivent pas donner lieu à la formulation de recommandations ou de conseils qui seraient contraires à la présente clause, et DEKRA doit être en mesure de confirmer que ces activités ne contreviennent pas aux présentes exigences et qu'elles ne sont pas utilisées pour justifier une réduction de la durée finale de l'audit de certification ;
  • réaliser des audits de deuxième et troisième parties conformément à des normes ou réglementations autres que celles relevant du champ d'application de l'accréditation ;
  • apporter une valeur ajoutée lors des audits de certification et des visites de surveillance, par exemple en identifiant les possibilités d'amélioration qui apparaissent au cours de l'audit, sans recommander de solutions spécifiques.
DEKRA ne fournira pas d'examens internes de la sécurité des informations du SMSI du client soumis à certification. En outre, DEKRA sera indépendante de l'organisme ou des organismes (y compris toute personne physique) qui fournissent l'audit interne du SMSI.

Santé et sécurité au travail Impartialité

DEKRA ne propose ni ne fournit de services spécifiques dans le domaine de la santé et de la sécurité au travail considérés comme des services de conseil en SMST aux clients certifiés ou en cours de certification SMST par DEKRA. Ces services comprennent, sans s'y limiter :
  • assumer le rôle de coordinateur en matière de santé et de sécurité au travail,
  • rapports de sécurité,
  • réaliser des évaluations des risques,
  • réaliser des inspections et des audits internes en matière de santé et de sécurité au travail,
  • communication avec les autorités réglementaires au nom du client,
  • aide à la mise en place d'un système de gestion de la santé et de la sécurité au travail au sein d'une organisation, et
  • enquête sur les accidents et incidents.
La certification du système de gestion est proposée par DEKRA Certification, Inc., qui opère indépendamment de toute activité de conseil et de formation utilisant la marque DEKRA.

Utilisation des documents et marques de certification

Le client s'engage à ne pas :
  • utiliser le label de certification DEKRA sur un produit, sur l'emballage d'un produit ou de toute autre manière pouvant être interprétée comme indiquant la conformité du produit. Le label de certification et le texte qui l'accompagne ne doivent laisser aucune ambiguïté quant à l'objet de la certification DEKRA.
  • publier son statut de certification avant que DEKRA ne délivre un certificat
  • faire ou permettre toute déclaration trompeuse concernant sa certification.
  • utiliser ou permettre l'utilisation d'un document de certification ou d'une partie de celui-ci de manière trompeuse. après le retrait de sa certification, cesser d'utiliser tout support publicitaire faisant référence à la certification par DEKRA.
  • retarder la modification de tout support publicitaire si la portée de la certification change.
  • faire ou permettre toute déclaration trompeuse concernant sa certification.
  • utiliser ou permettre l'utilisation d'un document de certification ou d'une partie de celui-ci de manière trompeuse.
  • autoriser la mention de la certification de son système de management de manière à laisser entendre que DEKRA certifie un produit, un processus ou un service.
  • impliquer que la certification s'applique à des activités et à des sites qui ne relèvent pas du champ d'application de la certification.
  • utiliser sa certification d'une manière qui pourrait nuire à la réputation de DEKRA et/ou du système de certification et entraîner une perte de confiance du public.
  • apposer une marque DEKRA sur un rapport d'essai, d'étalonnage, d'inspection ou un certificat de laboratoire.
Si le client fait une déclaration concernant un système de gestion certifié par DEKRA sur l'emballage du produit ou dans les informations qui l'accompagnent, cette déclaration ne doit pas impliquer que cela certifie le produit, le processus ou le service. La déclaration doit identifier : i) le client certifié (par exemple, la marque ou le nom) ; ii) le type de système de gestion (par exemple, qualité, environnement) et la norme applicable ; et iii) l'organisme de certification (DEKRA).
L'emballage du produit est considéré comme pouvant être retiré sans que le produit ne se désagrège ou ne soit endommagé. Les informations qui l'accompagnent sont considérées comme disponibles séparément ou facilement détachables. Les étiquettes de type ou les plaques d'identification sont considérées comme faisant partie du produit.
Les certificats peuvent être reproduits en couleur ou en noir et blanc, mais doivent contenir toutes les informations figurant sur le certificat, sans modification.
Le client peut annoncer l'obtention de sa certification, avec ou sans logos, sur son papier à en-tête et dans ses publications/publicités, conformément aux dispositions suivantes :
  • Le nom de l'entreprise et la ou les divisions/sites et emplacements auxquels la certification s'applique doivent être indiqués. Le client ne peut pas laisser entendre que toutes les divisions/sites sont certifiés, sauf si une certification multisite couvrant toutes les divisions/sites a été accordée.
  • Le client doit indiquer la norme appropriée à laquelle sa certification s'applique (par exemple ISO 9001, ISO 14001, TL 9000, AS9100, etc.).
  • Le champ d'application de la certification conformément à l'accord de certification du client et le certificat doivent être mentionnés. Les clients ne doivent pas laisser entendre que tous les processus ou services d'une division ou d'un site particulier sont certifiés, sauf si tous ont été certifiés. Exemple : une division ou un site peut avoir un « processus de fabrication » et un « processus de service ». La certification peut ne couvrir qu'un seul des deux processus ; par conséquent, un client ne peut pas prétendre que cette division ou ce site est certifié sans mentionner également le « champ d'application ».
  • Les logos DEKRA ne peuvent pas être utilisés dans les contrats conclus par le Client avec des tiers.
Le client doit obtenir une autorisation écrite pour utiliser le nom DEKRA à des fins autres que celles mentionnées ci-dessus. Un exemple de l'utilisation prévue doit également être soumis à DEKRA avec la demande.

Processus d'audit

Audit de certification initiale

Généralités
L'audit initial de certification d'un système de management doit être réalisé en deux étapes : l'étape 1 et l'étape 2.

Étape 1

La planification garantit que les objectifs de la phase 1 peuvent être atteints et que le client reste informé de toutes les activités « sur site » pendant la phase 1. La phase 1 ne nécessite pas de plan d'audit formel.
Les objectifs de la phase 1 sont les suivants :
  • examiner les informations documentées du système de gestion du client ;
  • évaluer les conditions spécifiques du site du client et mener des discussions avec le personnel du client afin de déterminer si celui-ci est prêt pour la phase 2 ;
  • examiner le statut du client et sa compréhension des exigences de la norme, en particulier en ce qui concerne l'identification des performances clés ou des aspects significatifs, des processus, des objectifs et du fonctionnement du système de management ;
  • obtenir les informations nécessaires concernant la portée du système de management, y compris le(s) site(s) du client, les processus et équipements utilisés, les niveaux de contrôle établis (en particulier dans le cas de clients multisites) et les exigences légales et réglementaires applicables.
  • examiner la répartition des ressources pour la phase 2 et convenir des détails de la phase 2 avec le client ;
  • fournir une orientation pour la phase 2 de la planification en acquérant une compréhension suffisante du système de management du client et des opérations du site dans le contexte de la norme relative au système de management ou d'un autre document normatif ;
  • évaluer si les audits internes et les revues de direction sont planifiés et réalisés, et si le niveau de mise en œuvre du système de management confirme que le client est prêt pour la phase 2.
  • confirmer le niveau d'intégration si le client détient plusieurs normes intégrées.
Les conclusions documentées concernant la réalisation des objectifs de la phase 1 et l'état de préparation pour la phase 2 doivent être communiquées au client, y compris l'identification de tout domaine préoccupant qui pourrait être classé comme non-conformité au cours de la phase 2.
La sortie de la phase 1 ne doit pas nécessairement satisfaire à toutes les exigences d'un rapport.
Pour déterminer l'intervalle entre les étapes 1 et 2, il convient de tenir compte des besoins du client afin de résoudre les points préoccupants identifiés lors de l'étape 1. DEKRA peut également être amenée à revoir ses dispositions pour l'étape 2. Si des changements importants susceptibles d'avoir une incidence sur le système de management surviennent, DEKRA examinera la nécessité de répéter tout ou partie de l'étape 1. Le client doit être informé que les résultats de la phase 1 peuvent entraîner le report ou l'annulation de la phase 2.
EnMS Étape 1
Toutes les autorisations nécessaires de l'administrateur du SEP doivent être obtenues avant l'audit de la phase 1.
L'audit de phase 1 peut être réalisé sur site ou à distance.
L'audit de phase 1 doit inclure les éléments suivants :
  • confirmation de la portée et des limites du SMEn pour la certification ;
  • examen d'une description graphique ou narrative des installations, équipements, systèmes et processus de l'organisation pour le champ d'application et les limites identifiés ;
  • confirmation du nombre de personnes effectivement impliquées dans le système de management de l'énergie, des sources d'énergie, des utilisations significatives d'énergie et de la consommation annuelle d'énergie, afin de confirmer la durée de l'audit ;
  • examen des résultats documentés du processus de planification énergétique ;
  • examen d'une liste des possibilités d'amélioration de la performance énergétique identifiées ainsi que des objectifs, cibles et plans d'action correspondants.
Si le SEP est inclus, l'audit de phase 1 doit être réalisé afin de :
  • recueillir les informations nécessaires concernant la portée et les limites ;
  • Vérifier la conformité du client aux exigences de la norme ANSI/MSE 50028-1 ;
  • Vérifier les types d'énergie pour s'assurer qu'aucun n'a été omis.
  • vérifier que les données ne datent pas de plus de 11 mois ;
  • • veiller à ce que le registre SEP des mesures d'amélioration de la performance énergétique mises en œuvre soit disponible et que le SEnPI soit disponible et respecte les exigences minimales en matière de valeur p, de valeur du test F et de valeur R2, telles que définies dans le protocole SEP M&V ;
  • vérifier le statut du client concernant les autorisations SEP PA, le cas échéant ; et,
  • Évaluer si les audits internes et les revues de direction incluent les exigences du SEP et s'ils sont planifiés et réalisés.
Les résultats des exigences de la phase 1 du SEP ci-dessus doivent inclure :
  • confirmation que les autorisations préalables SEP PA ont été reçues, le cas échéant ;
  • La confirmation du registre SEP des mesures d'amélioration de la performance énergétique mises en œuvre pour la comparaison ascendante a été remplie ; et,
  • examen du plan ou de la disposition d'un site ou description graphique ou narrative de l'installation.
Composantes minimales d'un audit SEP de niveau 1 :
  • les résultats du dernier audit interne du système de gestion de l'énergie conformément aux exigences des normes ISO 50001 et ANSI/MSE 50028 ;
  • un résumé de la dernière revue de direction ;
  • le niveau de performance énergétique spécifique et le pourcentage d'amélioration de la performance énergétique revendiqués ;
  • la méthode de modélisation issue du protocole de mesure et de vérification SEP spécifique au secteur concerné utilisé pour établir la déclaration d'amélioration de la performance énergétique ou lors de l'audit de phase 1 pour un modèle nécessitant une approbation préalable est examinée ou discutée ;
  • une discussion sur toute valeur non par défaut issue du protocole de mesure et de vérification SEP spécifique au secteur, le cas échéant ;
  • une liste des améliorations de la performance énergétique liées à la déclaration de performance énergétique est disponible ;
  • une liste des systèmes, processus ou équipements relevant du champ d'application du SMEn ;
  • un plan ou un schéma d'implantation de l'installation ou une description graphique ou narrative de celle-ci.
Les conclusions de la phase 1 seront classées en deux catégories :
  • prêt, et
  • pas prêt.
Si la conclusion du rapport est que le client n'est « pas prêt » pour l'audit de phase 2, le client doit soumettre les documents ou dossiers requis pour obtenir une conclusion « prêt ». La date à laquelle la conclusion « prêt » est obtenue doit être documentée. Une fois la conclusion « prêt » obtenue à l'issue de l'audit de phase 1, le client et DEKRA prennent les dispositions nécessaires pour l'audit de phase 2.
Dispositif médical (ISO 13485) Étape 1
(MD9 9.2.3.1) Dans le cas de dispositifs médicaux à haut risque (par exemple, GHTF C et D), l'audit de phase 1 doit être effectué sur site.
Aérospatiale Étape 1
Avant l'audit de phase 1, le chef de l'équipe d'audit doit être confirmé et les membres potentiels de l'équipe d'audit doivent être identifiés.
L'audit de phase 1 doit :
  • être effectuées par le responsable de l'équipe d'audit désigné pour l'audit initial, avec l'aide de l'équipe d'audit si nécessaire ; et
  • inclure une visite sur place.
Pour les organisations disposant de plusieurs sites et d'un SMQ unique, l'audit de phase 1 doit également inclure une évaluation de la fonction centrale identifiée ayant l'autorité pour l'administration, le contrôle, l'audit, la revue et la maintenance du SMQ. En outre, un nombre pertinent de sites représentatifs, y compris tous les sites utilisant des technologies différentes et exerçant des activités dissemblables, doit être inclus. Cela permettra à l'équipe d'audit de disposer d'informations suffisantes pour identifier la complexité, les risques et l'ampleur des activités couvertes par le SMQ soumis à certification, les différences entre les sites et la mesure dans laquelle chaque site produit ou fournit des produits/services substantiellement identiques selon les mêmes procédures et méthodes.
L'audit de phase 1 comprend une visite des installations du site. Cela permettra à l'équipe d'audit de mieux comprendre les processus, les équipements, les zones, les produits et l'état de préparation de l'organisation en vue de l'audit de phase 2.
Au cours de l'audit de phase 1, l'équipe d'audit doit recueillir suffisamment d'informations pour permettre à DEKRA :
  • confirmer le programme d'audit ;
  • examiner la nécessité de faire appel à des experts techniques et/ou à des auditeurs supplémentaires afin de constituer une équipe d'audit compétente ;
  • examiner le pourcentage des revenus provenant des activités liées à l'aéronautique, à l'espace et à la défense, par rapport au revenu total de l'organisation (tel que déclaré par celle-ci lors de l'examen de la demande) ;
  • confirmer le nombre d'employés associés à l'industrie aéronautique, spatiale et de défense (c'est-à-dire à temps plein, à temps partiel, temporaires) et leur pourcentage par rapport à l'effectif total (tel que déclaré par l'organisation lors de la phase d'examen de la demande) ;
  • examiner les principaux clients (par exemple, les cinq premiers) dans les domaines de l'aviation, de l'espace et/ou de la défense (tels que déclarés par l'organisation lors de la phase d'examen des candidatures) ;
  • confirmer les autres clients exigeant la conformité aux normes de la série 9100, ainsi que les exigences spécifiques du client en matière de SMQ (le cas échéant) ;
  • confirmer le nombre d'équipes et les horaires spécifiques à la production, à la maintenance et/ou à l'entretien
  • déterminer les zones réglementées/les informations exclusives/la confidentialité ;
  • déterminer la présence des clients au sein de l'organisation [c'est-à-dire les représentants résidents, les réunions régulières, les raisons de leur présence] ;
  • déterminer toute activité d'audit supplémentaire, si nécessaire, pour satisfaire aux exigences de la certification initiale ; et
  • planifier les activités d'audit de la phase 2.
Le responsable de l'équipe d'audit doit demander à l'organisation de fournir les informations documentées et la documentation nécessaires à l'examen, notamment les éléments suivants :
  • exigences jugées non applicables dans le cadre du champ d'application, y compris la justification par l'organisme (voir les normes de la série 9100, clause 4.3) ;
  • Informations documentées relatives au SMQ (par exemple, manuel qualité) ;
  • Preuves des données de performance pour chaque client clé, y compris la conformité des produits ou services et les tendances en matière de respect des délais de livraison, ainsi que toute réclamation ; les données doivent être suffisantes pour permettre au responsable de l'équipe d'audit de se prononcer sur les performances et les tendances.
  • mesures et tendances en matière de conformité des produits et de performances OTD ;
  • la preuve que les exigences des normes applicables de la série 9100 sont satisfaites par les informations documentées établies par l'organisation pour le SMQ (voir les normes de la série 9100, clause 4.4) ;
  • Preuves de la satisfaction des clients et résumés des réclamations, y compris la vérification des rapports des clients, des fiches d'évaluation et des statuts spéciaux ou équivalents.
  • évaluation de la structure de certification (c'est-à-dire site unique, sites multiples, campus, plusieurs sites, organisation complexe) admissibilité pour la détermination de la durée de l'audit et de l'échantillonnage (voir 9104/1) ;
  • niveau d'intégration du SMQ
  • restrictions/contrôles à l'exportation (le cas échéant) [par exemple, International Traffic in Arms Regulations (ITAR), Export Administration Regulation (EAR)] ; inspection déléguée par le client et/ou expédition directe/livraison directe autorisée (le cas échéant) ;
Le responsable de l'équipe d'audit doit utiliser les résultats de l'examen de l'organisation et les informations supplémentaires obtenues lors de la visite du site pour vérifier les éléments suivants et les présenter lors de la réunion de clôture de la phase 1 :
  • élaborer un plan pour l'audit de phase 2, qui inclut toutes les exigences supplémentaires en matière de SMQ imposées par les clients de l'organisation dans les domaines de l'aviation, de l'espace et de la défense ;
  • vérifier le champ d'application proposé pour la certification et son applicabilité au programme IAQG et, si nécessaire, communiquer à l'organisation les raisons pour lesquelles le champ d'application proposé doit être modifié ;
  • vérifier les informations utilisées pour le calcul du jour d'audit et recommander/réviser, si nécessaire ;
  • réviser le calendrier de l'audit de phase 2 et mettre à jour le plan d'audit en conséquence ;
  • ajuster la composition de l'équipe d'audit pour l'audit de phase 2, y compris l'ajout de tout expert technique ou traducteur nécessaire ;
  • vérifier les informations utilisées pour déterminer la structure de certification ; et
  • identifier toute modification nécessaire au contrat et communiquer ces révisions à l'organisation et à DEKRA.
  • DEKRA examinera l'état d'avancement des points préoccupants afin de déterminer si tout est prêt pour l'audit de phase 2.
Après l'audit de phase 1, la composition de l'équipe chargée de l'audit de phase 2 sera revue sur la base des informations reçues et observées au cours de l'audit de phase 1, puis les membres de l'équipe seront définitivement désignés.
Le formulaire de structure de certification doit être transmis au sous-comité de surveillance de la certification OPMT de l'IAQG pour examen, avant l'audit de phase 2, si le client est considéré comme ayant une structure complexe.
ISMS Étape 1
DEKRA exigera que le client prenne toutes les mesures nécessaires pour permettre l'accès aux rapports d'audit interne et aux rapports d'examens indépendants de la sécurité de l'information.
Au moins les informations suivantes doivent être fournies par le client au cours de la phase 1 de l'audit de certification :
  • informations générales concernant le SMSI et les activités qu'il couvre ;
  • une copie de la documentation ISMS requise spécifiée dans la norme ISO/IEC 27001 et, le cas échéant, la documentation associée.
À ce stade de l'audit, DEKRA doit obtenir la documentation relative à la conception du SMSI couvrant la documentation requise dans la norme ISO/IEC 27001.
DEKRA doit acquérir une compréhension suffisante de la conception du SMSI dans le contexte de l'organisation du client, de l'évaluation et du traitement des risques (y compris les contrôles déterminés), de la politique et des objectifs en matière de sécurité de l'information et, en particulier, de l'état de préparation du client à l'audit. Cela permet de planifier la phase 2.
Les résultats de la phase 1 doivent être consignés dans un rapport écrit. DEKRA examine le rapport d'audit de la phase 1 avant de décider de passer à la phase 2 et de sélectionner les membres de l'équipe d'audit de la phase 2 disposant des compétences nécessaires.
DEKRA informera le client des autres types d'informations et de documents qui pourraient être nécessaires pour un examen approfondi au cours de la phase 2.
Système de management de la santé et de la sécurité au travail (OHSMS) - Niveau
L'audit sera utilisé pour garantir que le nombre exact de membres du personnel, tel que défini à la section 9.1.4 Exigences sectorielles – SST (ISO 45001) du présent MSM, est pris en compte pour les audits SST.

Étape 2

L'objectif de la phase 2 est d'évaluer la mise en œuvre, y compris l'efficacité, du système de gestion du client. La phase 2 se déroulera sur le(s) site(s) du client. Elle comprendra au minimum l'audit des éléments suivants :
  • informations et preuves relatives à la conformité à toutes les exigences de la norme applicable au système de management ou d'autres documents normatifs ;
  • surveillance, mesure, rapport et examen des performances par rapport aux objectifs et cibles clés (conformément aux attentes de la norme applicable en matière de système de gestion ou d'autres documents normatifs) ;
  • la capacité du système de gestion du client et ses performances en matière de respect des exigences légales, réglementaires et contractuelles applicables ;
  • contrôle opérationnel des processus du client ;
  • audit interne et revue de direction ; et
  • responsabilité de la gestion des polices du client.
L'équipe d'audit analysera toutes les informations et les preuves d'audit recueillies au cours des étapes 1 et 2 afin d'examiner les résultats de l'audit et de convenir des conclusions de l'audit.
Organisations multisites
La fonction centrale doit être auditée lors de la certification initiale.
À l'issue de l'audit, l'équipe d'audit doit consigner les processus qui ont été audités sur chaque site visité. Ces informations seront utilisées pour modifier le programme d'audit et les plans d'audit pour les audits de surveillance ultérieurs.
EnMS Étape 2
Au cours de l'audit de phase 2, DEKRA recueille les preuves d'audit nécessaires pour déterminer si une amélioration de la performance énergétique a été démontrée avant de prendre une décision de certification.
La confirmation de l'amélioration de la performance énergétique est requise pour l'octroi de la certification initiale. Des exemples illustrant comment une organisation peut démontrer l'amélioration de sa performance énergétique sont fournis dans l'annexe C de la norme ISO 50003.
DEKRA recueillera des informations comprenant la vérification des données et des calculs utilisés pour établir la déclaration de performance énergétique.
DEKRA évaluera l'amélioration des performances du SEnPI conformément aux exigences du protocole SEP M&V, en tenant compte des éléments suivants :
  • définition du champ d'application et des limites,
  • année de référence et période de réalisation désignées,
  • la méthode de modélisation issue du protocole SEP M&V,
  • amélioration de la performance énergétique, et
  • la comparaison ascendante et le registre SEP correspondant des mesures d'amélioration de la performance énergétique mises en œuvre.
Les étapes de vérification de l'amélioration de la performance SEnPI et les activités requises du vérificateur de performance SEP sont les suivantes :
  • Examen énergétique – vérifier que les données énergétiques et connexes ainsi que les autres variables utilisées dans l'analyse sont appropriées et représentatives. Les données mesurées utilisées dans l'analyse doivent provenir de compteurs étalonnés.
  • Modèles énergétiques – vérifier que les modèles énergétiques ont été élaborés conformément aux exigences du protocole de mesure et de vérification spécifique au secteur concerné et que :
    • les variables utilisées dans les modèles peuvent raisonnablement être considérées comme des facteurs importants de la consommation d'énergie modélisée,
    • les variables non utilisées dans les modèles qui pourraient raisonnablement être considérées comme des facteurs importants de la consommation d'énergie ont été examinées en vue de leur inclusion dans les modèles,
    • les coefficients utilisés dans le modèle satisfont au test de validité spécifié dans le protocole de mesure et de vérification, et les coefficients utilisés dans les modèles sont raisonnables.
  • Conditions – vérifier que les conditions de l'installation et de son fonctionnement au cours de l'année de référence sont conformes à celles qui existaient au cours de l'année de référence. Si ce n'est pas le cas, vérifier que les modifications apportées aux modèles de performance énergétique tiennent compte de manière appropriée et adéquate de tout changement dans les conditions qui invalident le modèle de référence historique.
  • Référence énergétique – vérifier que l'année de référence sélectionnée satisfait aux exigences du protocole de mesure et de vérification SEP spécifique au secteur concerné.
  • Indicateurs de performance énergétique – vérifier que les indicateurs de performance énergétique pour l'année de référence et les années de reporting sont correctement calculés à partir de données vérifiables, conformément au protocole de mesure et de vérification SEP spécifique au secteur applicable, et qu'ils reflètent fidèlement la performance énergétique pour le périmètre défini du système de management de l'énergie.
    • Vérifiez que l'amélioration de la performance énergétique a été calculée conformément au protocole de mesure et de vérification SEP spécifique au secteur concerné.
    • « Vérification ascendante de la cohérence » des projets et autres améliorations de la performance énergétique conformément au protocole de mesure et de vérification SEP spécifique au secteur applicable afin de valider que le niveau d'amélioration de la performance énergétique a été atteint en examinant les preuves d'amélioration apportées par la modernisation des installations, des équipements, des processus et des systèmes, ainsi que de la maintenance et de l'exploitation.
L'audit de certification et de recertification de la phase 2 peut être suspendu pour une période maximale de 30 jours si, au cours de l'évaluation, il est déterminé que l'organisation a besoin d'approbations SEP PA qui n'ont pas été obtenues. La suspension doit permettre à l'organisation de demander et d'obtenir les approbations SEP PA nécessaires.
Si le client n'atteint pas l'amélioration minimale de la performance énergétique requise par le protocole de mesure et de vérification spécifique au secteur lors de l'audit de phase 2, DEKRA peut autoriser une action corrective à réaliser dans un délai de 30 jours afin de fournir les informations actualisées démontrant la réalisation de l'amélioration de la performance énergétique déclarée. Le délai pour la mise en œuvre de l'action corrective ne doit pas dépasser 30 jours (1 mois). La mesure corrective et le calendrier doivent être approuvés par le vérificateur de performance SEP et l'auditeur principal SEP. Si les informations actualisées ne sont pas fournies dans les 30 jours, un audit de phase 1 et de phase 2 ou un audit de recertification est nécessaire.
Aérospatiale Étape 2
Au cours des activités sur site de l'audit de phase 2, les éléments du SMQ et les processus associés de l'organisation doivent être audités afin de vérifier leur conformité, y compris leur efficacité. Les résultats détaillés de l'audit, y compris les références aux processus audités, à la documentation des processus et aux enregistrements associés, doivent être consignés.
Au cours de la réunion d'ouverture, le chef de l'équipe d'audit doit réaffirmer à l'organisation les problèmes identifiés lors de l'audit de phase 1.
Après la réunion d'ouverture, le responsable de l'équipe d'audit décide s'il convient d'effectuer une visite des installations afin d'examiner les changements importants intervenus dans le champ d'application ou les installations depuis la dernière visite, et de réviser la planification, si nécessaire, en raison de changements organisationnels intervenus depuis l'audit de phase 1 (par exemple, changements de personnel, réorganisation des services/unités opérationnelles, nouvelles plaintes de clients) ou de toute objection de l'organisation ayant une incidence sur l'audit.
Niveau 2 du SMIS
Sur la base des conclusions documentées dans le rapport d'audit de la phase 1, DEKRA élabore un plan d'audit pour la réalisation de la phase 2. Outre l'évaluation de la mise en œuvre effective du SMSI, la phase 2 a pour objectif de confirmer que le client respecte ses propres politiques, objectifs et procédures.
Pour confirmer cela, l'audit doit se concentrer sur les éléments suivants du client :
  1. leadership et engagement de la direction générale en matière de politique de sécurité de l'information et d'objectifs de sécurité de l'information ;
  2. exigences en matière de documentation énumérées dans la norme ISO/IEC 27001 ;
  3. évaluation des risques liés à la sécurité de l'information et que les évaluations produisent des résultats cohérents, valides et comparables si elles sont répétées ;
  4. détermination des objectifs de contrôle et des contrôles sur la base de l'évaluation des risques liés à la sécurité de l'information et des processus de traitement des risques ;
  5. la performance en matière de sécurité de l'information et l'efficacité du SMSI, en évaluant par rapport aux objectifs de sécurité de l'information ;
  6. correspondance entre les contrôles déterminés, la déclaration d'applicabilité et les résultats du processus d'évaluation des risques liés à la sécurité de l'information et de traitement des risques, d'une part, et la politique et les objectifs en matière de sécurité de l'information, d'autre part ;
  7. mise en œuvre des contrôles (voir 27006 Annexe D), en tenant compte du contexte externe et interne et des risques associés, du suivi, de la mesure et de l'analyse par l'organisation des processus et contrôles de sécurité de l'information, afin de déterminer si les contrôles sont mis en œuvre et efficaces et s'ils répondent aux objectifs déclarés en matière de sécurité de l'information ;
  8. programmes, processus, procédures, enregistrements, audits internes et examens de l'efficacité du SMSI afin de garantir leur traçabilité jusqu'aux décisions de la direction et à la politique et aux objectifs en matière de sécurité de l'information.

Réalisation d'audits

Généralités

DEKRA applique la procédure ci-dessous pour réaliser les audits sur site. Cette procédure comprend une réunion d'ouverture au début de l'audit et une réunion de clôture à la fin de l'audit. Lorsque tout ou partie de l'audit est réalisé par des moyens électroniques ou lorsque le site à auditer est virtuel, DEKRA doit s'assurer que ces activités sont menées par du personnel disposant des compétences appropriées. Les preuves obtenues au cours d'un tel audit doivent être suffisantes pour permettre à l'auditeur de prendre une décision éclairée sur la conformité de l'exigence en question. Les audits « sur site » peuvent inclure l'accès à distance à un ou plusieurs sites électroniques contenant des informations pertinentes pour l'audit du système de management. L'utilisation de moyens électroniques pour la réalisation des audits peut également être envisagée.
Veuillez noter que la gestion de l'audit, la rédaction des rapports d'audit et l'approbation finale de toutes les conclusions relèvent de la responsabilité de l'auditeur principal ; les auditeurs associés ne sont pas chargés de communiquer avec les clients.

Tenue de la réunion d'ouverture

Une réunion d'ouverture officielle doit être organisée avec la direction du client et, le cas échéant, les responsables des fonctions ou des processus à auditer. L'objectif de la réunion d'ouverture, généralement menée par le chef de l'équipe d'audit, est de fournir une brève explication sur la manière dont les activités d'audit seront menées. Le niveau de détail doit être adapté à la connaissance du client en matière de processus d'audit et tiendra compte des éléments suivants :
  • Présentation des participants, y compris une description de leurs rôles ;
  • confirmation de la portée de la certification ;
  • confirmation du plan d'audit (y compris le type et l'étendue de l'audit, les objectifs et les critères), toute modification et autres dispositions pertinentes convenues avec le client, telles que la date et l'heure de la réunion de clôture, les réunions intermédiaires entre l'équipe d'audit et la direction du client ;
  • confirmation des canaux de communication officiels entre l'équipe d'audit et le client ;
  • confirmation que les ressources et les installations nécessaires à l'équipe d'audit sont disponibles ;
  • confirmation des questions relatives à la confidentialité ;
  • confirmation des procédures pertinentes en matière de sécurité au travail, d'urgence et de sécurité pour l'équipe d'audit ;
  • confirmation de la disponibilité, des rôles et de l'identité des guides et des observateurs ;
  • la méthode de rapport, y compris toute notation des conclusions de l'audit ;
  • informations sur les conditions dans lesquelles l'audit peut être interrompu prématurément ;
  • confirmation que le responsable de l'équipe d'audit et l'équipe d'audit représentant DEKRA sont responsables de l'audit et doivent contrôler l'exécution du plan d'audit, y compris les activités d'audit et les pistes d'audit ;
  • confirmation du statut des conclusions de l'examen ou de l'audit précédent, le cas échéant ;
  • méthodes et procédures à utiliser pour réaliser l'audit sur la base d'un échantillonnage ;
  • confirmation de la langue à utiliser pendant l'audit ;
  • Discussion des résultats attendus sur la base des communiqués conjoints ISO/IAF. Les auditeurs doivent se référer aux documents suivants afin de se familiariser avec le sujet et d'être en mesure de fournir des explications lors de l'audit :
  • confirmation que, pendant l'audit, le client sera tenu informé de l'avancement de l'audit et de toute préoccupation ; et
  • Possibilité pour le client de poser des questions.
Réunions d'ouverture SEP – exigences supplémentaires
  • Notez l'objectif de l'audit : « DEKRA doit vérifier la performance énergétique SEnPI et évaluer le système de gestion de l'énergie et la performance énergétique conformément aux exigences de la norme ANSI MSE 50028 afin de garantir que les déclarations relatives à la performance énergétique et au système de gestion de l'énergie d'un site sont complètes, cohérentes, transparentes et, lors de la certification ou de la recertification, qu'elles correspondent à un modèle SEnPI valide. »
  • Rappelez aux participants qu'une déclaration relative à un système de performance énergétique et de gestion de l'énergie est une affirmation concernant les aspects suivants de la performance :
    • améliorations de la performance énergétique des installations, et
    • Conformité aux normes ISO 50001 et ANSI/MSE 50028.
  • Discutez de la manière dont la performance énergétique doit être démontrée et vérifiée :
    • Conformité aux exigences du système de gestion telles que définies dans les normes ISO 50001 et ANSI/MSE 50028.
    • Satisfaction des exigences en matière d'amélioration de la performance énergétique telles que définies dans le protocole de mesure et de vérification SEP spécifique au secteur concerné.
  • Clarification des rôles des membres de l'équipe d'audit, y compris le vérificateur de performance SEP, l'auditeur principal SEP, le membre de l'équipe SEP et tout autre membre de l'équipe.
  • La réunion d'ouverture des audits de surveillance doit préciser que l'objectif de l'audit est de confirmer que la performance énergétique est démontrée et vérifiée séparément, comme indiqué ci-dessous :
    • Conformité aux exigences du système de gestion telles que définies dans les normes ISO 50001 et ANSI/MSE 50028.
Réunions d'ouverture dans le domaine aérospatial – exigences supplémentaires
DEKRA veillera à ce que ses clients aient désigné un administrateur de la base de données OASIS chargé de gérer les coordonnées de l'organisation dans la base de données, les utilisateurs associés à l'organisation, l'accès externe aux résultats d'audit de l'organisation dans la base de données et les commentaires sur la base de données OASIS.
Dans le cas d'une structure de certification multi-sites :
  • l'AEA organisera des réunions d'ouverture spécifiques au site ; ou
  • Une réunion d'ouverture centrale doit être organisée avec les représentants de tous les sites, soit physiquement, soit par des moyens électroniques/de téléconférence (par exemple, Net-Meeting, Webex, Meet-me).
L'auditeur principal doit informer l'organisation de la nécessité de nommer un administrateur de la base de données OASIS, qui sera chargé de conserver les données suivantes dans la base de données :
  • nom, adresse et emplacements de l'organisation figurant sur la certification (l'accord préalable de DEKRA est requis avant toute modification de ces données) ;
  • le(s) nom(s) et adresse(s) électronique(s) du ou des administrateurs de la base de données OASIS de l'organisation ; et
  • la personne à contacter au sein de l'organisation, son numéro de téléphone, son numéro de fax, son adresse électronique et le site web, le cas échéant.
Les exigences suivantes doivent également être rappelées lors de chaque réunion d'ouverture, afin d'expliquer que chaque audit sur site (à l'exception des audits de suivi des non-conformités et des audits spéciaux) doit inclure les éléments suivants :
  • un examen des modifications apportées au SMQ depuis le dernier audit (y compris la structure de certification) ;
  • un examen des exigences des nouveaux clients dans les secteurs de l'aéronautique, de l'espace et de la défense depuis le dernier audit ;
  • un examen des informations relatives à la satisfaction des clients, des mesures correctives demandées et des réponses associées ;
  • une entrevue avec la haute direction ;
  • un audit des processus de l'organisation, y compris leur performance et leur efficacité telles qu'identifiées dans le plan d'audit ;
  • un audit de l'amélioration continue du SMQ ;
  • un audit des mesures de suivi des audits précédents ; et
  • un audit du processus d'achat.
À la fin de la réunion d'ouverture, le chef de l'équipe d'audit doit :
  • décider d'organiser une visite des installations afin d'examiner les changements importants apportés à la portée ou aux installations depuis la dernière visite ; et
  • réviser la planification, si nécessaire, en raison de changements organisationnels survenus depuis l'audit de phase 1 (par exemple, changements de personnel, réorganisation des services/unités opérationnelles, nouvelles plaintes de clients) ou de toute objection de la part de l'organisation ayant une incidence sur l'audit.
Au cours d'une réunion d'ouverture de la phase 2, le chef de l'équipe d'audit doit également reconfirmer avec l'organisation les problèmes identifiés lors de l'audit de phase 1.

Communication pendant l'audit

Au cours de l'audit, l'équipe d'audit évalue régulièrement l'avancement de l'audit et échange des informations. Le responsable de l'équipe d'audit réattribue les tâches entre les membres de l'équipe d'audit si nécessaire et communique régulièrement l'avancement de l'audit et toute préoccupation au client.
Lorsque les éléments probants disponibles indiquent que les objectifs de l'audit sont irréalisables ou suggèrent l'existence d'un risque immédiat et significatif (par exemple en matière de sécurité), le responsable de l'équipe d'audit en informe le client et, si possible, DEKRA afin de déterminer les mesures appropriées à prendre. Ces mesures peuvent inclure la reconfirmation ou la modification du plan d'audit, la modification des objectifs ou de la portée de l'audit, ou la résiliation de l'audit. Le responsable de l'équipe d'audit rendra compte des mesures prises à DEKRA.
Le responsable de l'équipe d'audit examinera avec le client toute modification à apporter à la portée de l'audit qui apparaîtra au fur et à mesure de l'avancement des activités d'audit sur site et en informera DEKRA.

Audit sur site (obtention et vérification d'informations)

Au cours de l'audit, les informations pertinentes pour les objectifs, la portée et les critères de l'audit (y compris les informations relatives aux interfaces entre les fonctions, les activités et les processus) doivent être obtenues par un échantillonnage approprié et vérifiées afin de constituer des éléments probants.
Les méthodes utilisées pour obtenir des informations comprendront, sans s'y limiter :
  • entretiens ;
  • observation des processus et des activités ; et
  • examen de la documentation et des dossiers.
Pour les audits SEP
Les informations pertinentes pour la performance SEnPI doivent être vérifiées.
Les méthodes de collecte d'informations doivent inclure la vérification des données et des calculs utilisés pour établir la déclaration de performance énergétique.
Pour les audits aérospatiaux
L'audit doit être réalisé à l'aide de différentes méthodes d'audit. L'équipe d'audit doit suivre les pistes d'audit pertinentes afin de faciliter la détermination de la conformité et de l'efficacité du SMQ.
Des outils d'audit peuvent être développés (par exemple, des fiches de contrôle, des questionnaires) afin d'aider les auditeurs à recueillir des preuves objectives au cours du processus d'audit.
En outre, les organisations peuvent refuser aux auditeurs l'accès à des informations exclusives ou classifiées, et/ou à certaines zones en raison de la sensibilité concurrentielle ou des réglementations en matière de sécurité nationale invoquées dans les contrats avec les clients. L'auditeur principal doit exiger de l'organisation qu'elle fournisse des informations et, si des activités, programmes, spécifications et/ou zones ne sont pas accessibles en raison de leur nature restrictive ou confidentielle.
Toute information considérée comme confidentielle par les clients et/ou les autorités de l'organisation, ou par l'organisation elle-même, ne doit pas être communiquée, sauf autorisation de l'organisation auditée.
L'équipe d'audit doit suivre les pistes d'audit basées sur les processus en suivant les produits réels, les commandes des clients et les documents connexes.
Lorsque des processus spéciaux (voir 9100/9110 clause 8.5.1.2) sont inclus dans le plan d'audit, l'équipe d'audit doit évaluer la validation des processus, ainsi que la surveillance, la mesure et le contrôle de ces processus, y compris les éléments suivants :
  • Les informations documentées conservées relatives à chaque processus spécial audité, y compris les dispositions établies et une comparaison entre les résultats réels et prévus.
  • L'équipe d'audit doit identifier et sélectionner un échantillon de processus spéciaux, y compris ceux définis par le client. Pour les processus spéciaux sélectionnés, l'équipe d'audit doit vérifier les équipements de surveillance et de mesure utilisés (par exemple, étalonnage, précision) et la méthode d'enregistrement des résultats. Si nécessaire, la traçabilité entre le processus (par exemple, identification du lot ou de la charge) et le produit ou service obtenu doit être vérifiée.
  • Dans le cas de processus spéciaux externalisés, l'équipe d'audit doit vérifier que le processus de contrôle du fournisseur externe de l'organisation traite ces éléments de manière appropriée. En outre, l'équipe d'audit doit examiner l'utilisation des sources désignées par le client, si nécessaire.
Les processus spéciaux sont gérés par du personnel qualifié, conformément aux exigences de l'organisation et/ou du client, et par le contrôle des caractéristiques physiques ou chimiques du processus [par exemple, la température, la durée (durée du processus), la pression, la composition chimique du produit ou du matériau de traitement (solution de traitement de surface)].
Si un ou plusieurs audits ont été réalisés par un client ou par un tiers indépendant spécialisé, l'équipe d'audit peut prendre en compte l'audit effectué par ces organisations. Cela peut inclure les résultats de l'audit, un échantillonnage des conclusions et la vérification de toute non-conformité signalée afin de déterminer une résolution adéquate (c'est-à-dire qu'il n'y ait pas de récidive).
S'il y a plus d'un audit de surveillance au cours d'une année (par exemple, tous les six mois), certaines activités (par exemple, les entretiens avec la direction) peuvent être réparties sur plusieurs audits.
Chaque audit sur site, à l'exception des audits de suivi des non-conformités et des audits spéciaux, doit inclure les éléments suivants, selon le cas :
  • un examen des modifications apportées au SMQ depuis le dernier audit (y compris la structure de certification) ;
  • un examen des exigences des nouveaux clients dans les domaines de l'aviation, de l'espace et de la défense depuis le dernier audit ;
  • un examen des informations relatives à la satisfaction des clients, des mesures correctives demandées et des réponses associées
  • une interview avec la direction générale
  • un audit des processus de l'organisation, y compris leur performance et leur efficacité telles qu'identifiées dans le plan d'audit ;
  • un audit de l'amélioration continue du SMQ ;
  • un audit des mesures de suivi des audits précédents ; et
  • un audit du processus d'achat.
Pour les audits TL 9000
Lorsqu'il est sur site, l'auditeur principal est tenu de :
  • Se conformer à la version la plus récente de la norme ISO/IEC 17021-1 Évaluation de la conformité - Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management.
  • Confirmer les informations CB préalables à l'audit Les données du dossier sont toujours à jour.
  • Examiner l'efficacité des processus du système de mesures correctives afin d'inclure l'échantillonnage des mesures correctives en retard et des mesures correctives qui ne sont pas considérées comme en retard mais qui sont toujours en cours après neuf mois.
  • Lorsque vous examinez les exigences en matière de documentation, assurez-vous que les pratiques actuelles sont reflétées dans la procédure documentée et qu'elles sont conformes à la version applicable de TL 9000.
  • Examinez un échantillon des conclusions des audits TL 9000 réalisés auprès des clients et des résultats en matière de satisfaction client depuis le dernier audit CB.
  • Suivi de l'évolution de toute plainte officielle pertinente enregistrée auprès de l'organisme de certification à l'encontre de l'organisation.
  • Examiner les causes profondes des rappels de produits pertinents afin d'identifier les processus sur lesquels il convient de se concentrer davantage dans le cadre de l'audit.
  • Utilisez l'approche d'audit de processus pour les mesures TL 9000 afin d'inclure la collecte, la validation et la soumission conformément à la section 7 ci-dessous.
  • Pour les processus audités, l'examen des processus doit inclure une évaluation de l'efficacité de ce processus.
  • Vérifiez que l'organisation dispose d'un système documenté qui couvre :
    • Collecte des mesures : la plupart, voire la totalité, des sections 3.5.2 du Manuel des mesures.
    • Les sous-sections a), c) à j) et la partie relative à la collecte/soumission de la section b) peuvent être vérifiées avant de se rendre sur place.
    • Validation des mesures, conformément à la section 3.5.2 du Manuel des mesures. L'organisme de certification doit effectuer un audit aussi approfondi que nécessaire pour garantir la mise en œuvre effective des exigences TL 9000 (voir point 8 ci-dessous).
    • Rapports sur les mesures, conformément à la section 5.4.1.C.1 du manuel des exigences et aux sections 3.2, sous-sections a) et b) du manuel des mesures.
  • Veillez à ce que les mesures TL 9000 soient utilisées en interne par l'organisation conformément à la section 3.1 « Exigences relatives à l'utilisation des mesures » du Manuel des mesures. Cela comprend les revues par la direction, la définition d'objectifs stratégiques/de qualité pour l'amélioration continue, les revues des résultats/tendances et les plans d'actions correctives pour tout écart par rapport aux objectifs stratégiques/de qualité définis par l'organisation, conformément aux sections 5.4.1.C.1, 5.6, 8.5.2 et du manuel des mesures, sections 3.1 premier tiret, 3.5.2 sous-sections i) et j).
  • Si des mesures sont identifiées comme « EXEMPTÉES », tel que défini dans le Manuel des mesures, sections 3.2 b) et 4.2.8 b), la justification documentée de l'exemption doit être examinée et acceptée, si elle est valable, par l'auditeur de l'OC. L'auditeur de l'OC doit s'assurer que cette documentation est disponible pour examen à la demande des clients de l'organisation. La ou les exemptions revendiquées doivent également être notées dans le profil d'enregistrement de l'organisation.
  • Vérifiez que les mesures sont utilisées dans les relations client/organisation, conformément à la section 3.1 du Manuel des mesures.
  • Vérifiez que les informations nécessaires sont communiquées par l'organisation à ses fournisseurs conformément à la section 3.5.2 n) et o) du Manuel de mesure.
  • Vérifiez que les mesures sont communiquées à l'administrateur TL 9000 [UTD] en totale conformité avec les sections 3.1, troisième tiret, 3.2, sous-sections a) et b), 3.5.2, sous-sections b) à h), et 3.5.2 k) du Manuel de mesure. Cela inclut la vérification des accusés de réception des données pour :
    • Désignation « approuvé »
    • Désignations « EXEMPT »
    • Toute remarque ou avis figurant sur les accusés de réception des données et
    • Probations
  • Vérifiez les points suivants :
    • Toutes les exemptions demandées sont documentées et valides.
    • Tous les éléments indiqués comme « EXEMPT » sur le reçu de soumission des données sont en totale conformité avec le manuel de mesure et le point 3 ci-dessus.
    • Il existe un accusé de réception des données pour chaque catégorie de produits répertoriée dans le champ d'application de l'organisation, et chacun correspond aux options d'enregistrement de l'organisation (matériel, logiciel et/ou services) en fonction de la catégorie de produits.
  • Si les performances actuelles présentent un écart indésirable par rapport aux objectifs stratégiques/de qualité définis par l'organisation pour les mesures TL 9000, l'auditeur CB doit vérifier que des mesures correctives ont été/sont prises, qu'elles sont documentées et que leur progression est suivie, conformément aux sections 3.1 a), 3.5.2, sous-sections i) et j), et 3.5.5 c), et du manuel des exigences, section 8.5.2.
  • Vérifiez que les mesures collectées sont conformes au champ d'application de l'enregistrement, à l'option d'enregistrement [HSV] et à la catégorie de produit, conformément aux sections 3.2, sous-sections a) et b), et 3.5.2 c) du Manuel des mesures. Cela peut être fait avant les activités sur site.
  • Examiner les données réelles soumises, en vérifiant la bonne application des règles de comptage pour les mesures requises. Ce contrôle vise à vérifier la cohérence des données sur une période minimale d'un an, sauf si l'organisation et/ou le nouveau produit ont été certifiés depuis moins d'un an, auquel cas les données doivent être examinées pour une période au moins égale à la durée de la certification de l'organisation et/ou du nouveau produit.
  • Pour l'audit d'enregistrement initial, les données soumises pour la pré-certification (minimum 3 mois consécutifs) doivent être vérifiées. Cela doit être fait afin de satisfaire à l'exigence 3.3.1, premier tiret, du Manuel des mesures et conformément aux sections 3.5.2, sous-sections a) et b).
  • Lorsqu'une organisation met à niveau son enregistrement vers une nouvelle version du manuel de mesures dans le cadre de son audit de surveillance ou de recertification, les données soumises pour le mois le plus récent doivent au moins utiliser la nouvelle version du manuel. Les auditeurs CB vérifieront que toutes les modifications apportées aux règles de comptage ont été correctement mises en œuvre pour les mesures requises.
  • Bien que la taille de l'échantillon pour l'exigence ci-dessus soit laissée à la discrétion de l'organisme d'audit, il est attendu que la profondeur de l'évaluation des mesures échantillonnées garantisse l'exactitude et l'exhaustivité du calcul, des règles de comptage, des mécanismes de rapport et de la validation des mesures.
  • Vérifiez que les informations d'enregistrement (par exemple, le champ d'application, la catégorie de produit et les emplacements) contenues dans le système de gestion des enregistrements (« RMS ») sont à jour et exactes lors de chaque évaluation, afin de faciliter la vérification des sections 3.4.1 et 3.5.2 c) du manuel de mesures. Cette vérification peut être effectuée avant le début des activités sur site.
  • Vérifiez que les catégories de produits choisies par l'organisation sont correctes pour ses produits, conformément à la section 3.5.2 c) du Manuel de mesures. Cela peut être fait avant les activités sur site.
Pour les audits ISMS
Les procédures DEKRA ne présupposent pas une manière particulière de mise en œuvre d'un SMSI ni un format particulier pour la documentation et les enregistrements. Les procédures de certification visent à établir que le SMSI d'un client satisfait aux exigences spécifiées dans la norme ISO/IEC 27001 ainsi qu'aux politiques et objectifs du client.
DEKRA doit disposer de procédures documentées pour :
  • l'audit de certification initiale du SMSI d'un client, conformément aux dispositions de la norme ISO/IEC 17021-1 ;
  • audits de surveillance et de recertification du SMSI d'un client conformément à la norme ISO/IEC 17021-1, sur une base périodique, afin de vérifier la conformité continue aux exigences pertinentes et de vérifier et consigner que le client prend des mesures correctives en temps opportun pour corriger toutes les non-conformités.
DEKRA, représentée par l'équipe d'audit, doit :
  • exiger du client qu'il démontre que l'évaluation des risques liés à la sécurité de l'information est pertinente et adéquate pour le fonctionnement du SMSI dans le cadre de son champ d'application ;
  • déterminer si les procédures mises en place par le client pour identifier, examiner et évaluer les risques liés à la sécurité de l'information, ainsi que les résultats de leur mise en œuvre, sont conformes à la politique, aux objectifs et aux cibles du client.
  • DEKRA doit également vérifier si les procédures utilisées pour l'évaluation des risques sont fiables et correctement mises en œuvre.
Extrait de l'annexe D du document 27006, Examen des contrôles
La mise en œuvre des contrôles jugés nécessaires par le client pour le SMSI (conformément à la déclaration d'applicabilité) doit être examinée au cours de la phase 2 de l'audit initial et lors des activités de surveillance ou de recertification.
Les preuves d'audit recueillies par DEKRA doivent être suffisantes pour permettre de conclure à l'efficacité des contrôles. Les performances attendues d'un contrôle peuvent, par exemple, être spécifiées dans les procédures ou les politiques du client.
Les preuves d'audit de la meilleure qualité sont celles qui sont recueillies par l'auditeur lors de ses observations (par exemple, une porte verrouillée est bien verrouillée, les personnes signent bien les accords de confidentialité, le registre des actifs existe et contient bien les actifs observés, les paramètres du système sont adéquats, etc.). Les preuves peuvent être recueillies en examinant les résultats de l'exécution d'un contrôle (par exemple, les impressions des droits d'accès accordés aux personnes signées par le responsable habilité, les registres des incidents résolus, les autorisations de traitement signées par le responsable habilité, les procès-verbaux des réunions de direction (ou autres), etc.). Les preuves peuvent être le résultat de tests directs (ou de la répétition) des contrôles par l'auditeur, par exemple des tentatives d'exécution de tâches dites interdites par les contrôles, la détermination de l'installation et de la mise à jour des logiciels de protection contre les codes malveillants sur les machines, les droits d'accès accordés (après vérification auprès des autorités), etc. Les preuves peuvent être recueillies en interrogeant les personnes travaillant sous le contrôle de l'organisation/les sous-traitants sur les processus et les contrôles et en déterminant si ceux-ci sont factuellement corrects.
Le tableau D.1 de la norme ISO 27006:2015 fournit des indications pour l'examen de la mise en œuvre des contrôles énumérés dans l'annexe A de la norme ISO/IEC 27001:2013 et pour la collecte d'éléments probants lors de l'audit initial et des audits ultérieurs. Ce tableau n'a pas pour but de fournir des indications pour l'examen de contrôles autres que ceux figurant dans l'annexe A de la norme ISO/IEC 27001:2013.
« Contrôle organisationnel » et « contrôle technique » : une croix dans la colonne correspondante indique si le contrôle est organisationnel ou technique. Certains contrôles étant à la fois organisationnels et techniques, ils peuvent être mentionnés dans les deux colonnes. Les preuves de la mise en œuvre des contrôles organisationnels peuvent être recueillies en examinant les registres de performance des contrôles, en menant des entretiens, en effectuant des observations et des inspections physiques. Les preuves de la performance des contrôles techniques peuvent souvent être recueillies par le biais de tests du système (voir ci-dessous) ou à l'aide d'outils d'audit/de reporting spécialisés.
« Test du système » désigne l'examen direct des systèmes d'information (par exemple, l'examen des paramètres ou de la configuration du système). Les questions de l'auditeur peuvent être répondues à partir de la console du système ou par l'évaluation des résultats des outils de test. Si le client utilise un outil informatique connu de l'auditeur, celui-ci peut être utilisé pour faciliter l'audit, ou les résultats d'une évaluation effectuée par le client (ou ses sous-traitants) peuvent être examinés. Le tableau contient deux catégories pour l'examen des contrôles techniques : a) « possible » : les tests du système sont possibles pour évaluer la mise en œuvre des contrôles, mais peuvent ne pas être nécessaires dans le cadre d'un audit SMSI ; b) « recommandé » : les tests du système sont généralement nécessaires dans le cadre d'un audit SMSI.
« Inspection visuelle » signifie que ces contrôles nécessitent généralement une inspection visuelle sur place afin d'évaluer leur efficacité. Cela signifie qu'il ne suffit pas d'examiner la documentation correspondante sur papier ou lors d'entretiens ; l'auditeur doit vérifier le contrôle à l'endroit où il est mis en œuvre.
« La colonne « Directives pour l'examen d'audit » fournit des domaines d'intervention possibles pour l'évaluation du contrôle, à titre d'indications supplémentaires à l'intention de l'auditeur. »
Pour les audits OHSMS
L'équipe d'audit doit interroger les membres du personnel suivants :
  • la direction ayant la responsabilité légale de la santé et de la sécurité au travail,
  • représentant(s) des employés chargé(s) de la santé et de la sécurité au travail,
  • personnel chargé de surveiller la santé des employés, par exemple les médecins et les infirmières. Les raisons justifiant la conduite d'entretiens à distance doivent être consignées,
  • dirigeants et employés permanents et temporaires.
Les autres personnes à prendre en considération pour les entretiens sont les responsables et les employés chargés des activités liées à la prévention des risques pour la santé et la sécurité au travail, ainsi que la direction et les employés des sous-traitants.

Identification et enregistrement des constatations d'audit

Les conclusions de l'audit résumant la conformité et détaillant les non-conformités doivent être identifiées, classées et consignées afin de permettre une décision éclairée quant à la certification ou au maintien de celle-ci.
Les possibilités d'amélioration peuvent être identifiées et consignées, sauf si cela est interdit par les exigences d'un système de certification de la gestion. Les constatations d'audit qui constituent des non-conformités ne seront toutefois pas consignées comme possibilités d'amélioration.
Une constatation de non-conformité doit être consignée par rapport à une exigence spécifique et comporter une description claire de la non-conformité, en identifiant de manière détaillée les preuves objectives sur lesquelles elle repose.
Toutes les non-conformités consignées par les auditeurs DEKRA doivent contenir :
  • une identification des critères applicables,
  • une déclaration claire concernant la conclusion, et
  • des preuves objectives et vérifiables.
Les non-conformités peuvent être consignées par les auditeurs ou d'autres membres du personnel DEKRA à l'encontre du système du client à l'issue de toute activité d'audit et à tout moment pendant la durée de l'audit, ou à la suite de l'examen des plans d'actions correctives et de leur mise en œuvre. Les non-conformités ne doivent pas nécessairement résulter d'un audit de processus et peuvent également découler de discussions informelles et d'examens menés par l'auditeur. Les non-conformités peuvent apparaître pendant que l'auditeur planifie l'audit, lors de la réunion d'ouverture, à tout moment de l'audit, lors de la réunion de clôture ou dans le cadre de toute activité de suivi. DEKRA peut également signaler des non-conformités à un client à tout moment du cycle de certification ; les non-conformités ne doivent pas nécessairement être liées à des événements d'audit.
Les non-conformités doivent être discutées avec le client afin de s'assurer que les preuves sont exactes et que les non-conformités sont bien comprises. L'auditeur s'abstiendra toutefois de suggérer la cause des non-conformités ou leur solution.
Le responsable de l'équipe d'audit tentera de résoudre tout désaccord entre l'équipe d'audit et le client concernant les éléments probants ou les constatations de l'audit, et les points non résolus doivent être consignés.
Si, lors de la réunion de clôture, il n'est pas possible de résoudre les divergences d'opinion ou si le client continue de contester les conclusions, celles-ci peuvent être consignées dans la section « Demandes » du rapport d'audit afin d'être examinées et arbitrées par le bureau DEKRA.
Pour les normes relatives à plusieurs systèmes de management (audits intégrés), chaque constatation doit être traçable jusqu'à la ou les normes/spécifications applicables au système de management. L'auditeur principal doit tenir compte de l'impact qu'une non-conformité constatée pour l'une des normes/spécifications du système de management a sur la conformité aux autres normes/spécifications du système de management.

Résultats de l'audit EnMS

Lors de la classification des non-conformités pour la norme ISO 50001, la définition de la non-conformité majeure pour les EnMS sera utilisée par l'auditeur.

Constatations de l'audit aérospatial

Le formulaire NCR doit être utilisé pour enregistrer les non-conformités ; chaque NCR ne doit contenir qu'une seule non-conformité. Lorsque des non-conformités sont identifiées, l'équipe d'audit doit les classer comme « majeures » ou « mineures », selon les définitions fournies dans la présente norme. La nécessité d'une maîtrise immédiate doit être identifiée par l'équipe d'audit.
La NCR peut être émise à l'encontre des clauses standard 4.4.1.c et/ou 4.4.4.g de la série 9100, si la non-conformité est liée au fonctionnement et au contrôle efficaces du processus.
Les NCR identifiées à l'encontre des clauses standard 4.4.1.c et/ou 4.4.1.g de la série 9100, résultant de plusieurs PEAR, peuvent être regroupées en une seule NCR.
Pour la surveillance, la recertification ou les audits spéciaux, le responsable de l'équipe d'audit doit indiquer dans le rapport d'audit si les non-conformités constatées doivent entraîner la suspension ou le retrait du certificat. Si l'organisation ne démontre pas qu'elle a pris des mesures correctives efficaces pour remédier aux non-conformités répétées, la certification doit être suspendue.
La récurrence d'une non-conformité identique ou similaire constatée lors d'audits consécutifs sur un site/emplacement particulier doit être considérée comme une non-conformité majeure par rapport au processus d'action corrective.
Une évaluation trop indulgente des non-conformités et/ou leur identification comme simple observation ou opportunité d'amélioration ne profite ni à l'organisation, ni à ses clients, ni à DEKRA. De plus, cela risque d'entraîner une baisse de la priorité accordée à la correction et/ou à la mise en place de mesures correctives, voire l'absence totale de mesures, ce qui pourrait aggraver et/ou perpétuer les conditions non conformes.

Constatations de l'audit MDQMS (ISO 13485) :

(MD9 9.1.9.6) Voici quelques exemples de non-conformités :
  • non-respect des exigences applicables aux systèmes de gestion de la qualité (par exemple, absence de système de traitement des plaintes ou de formation)
  • non-respect des exigences applicables aux systèmes de gestion de la qualité
  • non-mise en œuvre de mesures correctives et préventives appropriées lorsqu'une enquête sur les données post-commercialisation révèle un défaut systématique du produit
  • produits mis sur le marché et présentant un risque indu pour les patients et/ou les utilisateurs lorsque le dispositif est utilisé conformément à l'étiquetage du produit
  • l'existence de produits qui ne sont manifestement pas conformes aux spécifications du client et/ou aux exigences réglementaires
  • non-conformités répétées lors d'audits précédents.

Résultats de l'audit TL9000 :

DEKRA doit maintenir un processus documenté afin de garantir que les constatations formulées lors des audits sont consignées conformément à la définition des constatations figurant à la section 1 du Code de bonnes pratiques. Ce processus doit inclure une évaluation de la quantité et du type de constatations formulées lors des audits : majeures, mineures et possibilités d'amélioration. Le processus doit inclure une enquête et, si nécessaire, une amélioration des performances des auditeurs individuels qui classifient systématiquement de manière erronée les constatations d'audit.
REMARQUE: consultez la section « Guidance for Monitoring Auditor Performance » (Directives pour le contrôle des performances des auditeurs) sur le site Web tl9000.org pour obtenir des informations supplémentaires sur les facteurs à prendre en compte dans ces évaluations et d'autres directives.

Constatations de l'audit OHSMS (ISO 45001)

DEKRA doit détailler les mesures à prendre en cas de non-conformité aux exigences réglementaires applicables. Ces procédures doivent inclure l'obligation de communiquer immédiatement toute non-conformité à l'organisme audité.

Préparation des conclusions d'audit

Sous la responsabilité du chef de l'équipe d'audit et avant la réunion de clôture, l'équipe d'audit doit :
  • examiner les conclusions de l'audit et toute autre information pertinente obtenue au cours de l'audit, par rapport aux objectifs et aux critères de l'audit, et classer les non-conformités ;
  • convenir des conclusions de l'audit, en tenant compte de l'incertitude inhérente au processus d'audit ;
  • convenir des mesures de suivi nécessaires ;
  • confirmer la pertinence du programme d'audit ou identifier toute modification nécessaire pour les audits futurs (par exemple, portée de la certification, durée ou dates de l'audit, fréquence de la surveillance, compétence de l'équipe d'audit).

Conclusions de l'audit SEP

La décision du vérificateur de performance SEP concernant le niveau atteint sera le niveau de performance publié.
Les tentatives de résolution des différends doivent être effectuées par le vérificateur de performance SEP et soutenues par l'auditeur principal SEP si nécessaire.
Toute divergence d'opinion doit être consignée et signalée à l'administrateur du SEP.
Lors de la préparation des conclusions d'audit pour la certification ou la recertification, l'équipe SEP doit confirmer le niveau de réalisation (voir ANSI/MSE 50028).
Pour les audits ANSI/MSE 50028-1 (SEP 50001) - La contribution du lead auditeur pour le SEP consiste à conclure sur la conformité à la norme ANSI/MSE 50028-1 et à confirmer, avec le SEP PV, que l'amélioration vérifiée de la performance énergétique est supérieure à 0,0 % conformément au protocole SEP M&V. Le responsable principal de l'audit SEP doit tenter de résoudre tout différend, avec l'aide du PV SEP si nécessaire. Tout différend doit être consigné.

Tenue de la réunion de clôture

Une réunion de clôture officielle, dont la présence doit être consignée, doit être organisée avec la direction du client et, le cas échéant, les responsables des fonctions ou des processus audités.
La réunion de clôture, généralement menée par le responsable de l'équipe d'audit, a pour objectif de présenter les conclusions de l'audit, y compris la recommandation relative à la certification.
Toute non-conformité doit être présentée de manière compréhensible et le délai de réponse doit être convenu.
« Compris » ne signifie pas nécessairement que les non-conformités ont été acceptées par le client.
La réunion de clôture comprendra également les éléments suivants, dont le niveau de détail sera adapté au degré de familiarité du client avec le processus d'audit :
  • informer le client que les éléments probants obtenus lors de l'audit sont basés sur un échantillon des informations, introduisant ainsi un élément d'incertitude ;
  • la méthode et le calendrier de présentation des rapports, y compris toute classification des conclusions de l'audit ;
  • Processus DEKRA pour le traitement des non-conformités, y compris toute conséquence relative au statut de certification du client ;
  • le délai imparti au client pour présenter un plan de correction et des mesures correctives pour toute non-conformité identifiée lors de l'audit ; e) les activités post-audit de DEKRA ; et
  • informations sur les procédures de traitement des plaintes et des recours.
Le client doit avoir la possibilité de poser des questions.
Toute divergence d'opinion entre l'équipe d'audit et le client concernant les résultats ou les conclusions de l'audit doit être discutée et résolue dans la mesure du possible. Toute divergence d'opinion qui n'est pas résolue doit être consignée et transmise à DEKRA.

Réunion de clôture du SEP :

La réunion de clôture est dirigée par l'auditeur principal SEP. La réunion de clôture comprend des informations sur le parcours et les performances obtenues s'il s'agit d'un audit de certification ou de recertification, ainsi que sur les mesures de suivi qui ont été convenues.

Réunion de clôture sur l'aérospatiale

Lors de la réunion de clôture, le responsable de l'équipe d'audit doit, au minimum, fournir à l'organisation toutes les NCR applicables et les PEAR associées à ces NCR documentées conformément à la norme 9101. Le responsable de l'équipe d'audit doit présenter le rapport d'audit complet à l'organisation dans les deux semaines suivant la réunion de clôture, en utilisant le rapport d'audit et les formulaires associés définis dans la norme 9101.
Pour la surveillance et les audits spéciaux, le responsable de l'équipe d'audit doit informer l'organisme si les non-conformités enregistrées compromettent un certificat existant. En cas de suspension de la certification, une ligne de conduite appropriée doit être convenue entre l'organisme et DEKRA. En cas de désaccord sur la ligne de conduite à adopter, la procédure d'appel de DEKRA doit être engagée.

Réunion de clôture OHS (45001)

Le représentant de l'organisation sera invité à convoyer à la réunion de clôture les responsables légaux de la santé et de la sécurité au travail, les personnes chargées de surveiller la santé des employés et le ou les représentants des employés responsables de la santé et de la sécurité au travail. Toute absence devra être justifiée.

Rapport d'audit

DEKRA fournira au client un rapport écrit pour chaque audit. L'équipe d'audit peut identifier des possibilités d'amélioration, mais ne recommandera pas de solutions spécifiques. La propriété du rapport d'audit reste la propriété de DEKRA.
La sortie de la phase 1 ne doit pas nécessairement satisfaire à toutes les exigences d'un rapport.
Le responsable de l'équipe d'audit doit s'assurer que le rapport d'audit est préparé et doit être responsable de son contenu. Le rapport d'audit fournira un compte rendu précis, concis et clair de l'audit afin de permettre une décision de certification éclairée et comprendra ou fera référence aux éléments suivants :
  • identification de l'organisme de certification ;
  • le nom et l'adresse du client et de son représentant ;
  • le type d'audit (par exemple, audit initial, audit de surveillance, audit de recertification ou audit spécial) ;
  • les critères d'audit ;
  • les objectifs de l'audit ;
  • l'étendue de l'audit, en particulier l'identification des unités organisationnelles ou fonctionnelles ou des processus audités et le moment de l'audit ;
  • tout écart par rapport au plan d'audit et les raisons qui le justifient ;
  • tout problème important ayant une incidence sur le programme d'audit ;
  • identification du responsable de l'équipe d'audit, des membres de l'équipe d'audit et de toute personne accompagnatrice ;
  • les dates et lieux où les activités d'audit (sur site ou hors site, permanents ou temporaires) ont été menées ;
  • les constatations de l'audit (voir 9.4.5), les références aux éléments probants et aux conclusions, conformément aux exigences du type d'audit ;
  • les changements significatifs, le cas échéant, qui ont affecté le système de gestion du client depuis le dernier audit ;
  • tout problème non résolu, s'il y en a ;
  • le cas échéant, si l'audit est combiné, conjoint ou intégré ;
  • une déclaration indiquant que l'audit est basé sur un processus d'échantillonnage des informations disponibles ;
  • recommandation de l'équipe d'audit ;
  • une déclaration attestant que le client audité contrôle efficacement l'utilisation des documents et marques de certification, le cas échéant ;
  • vérification de l'efficacité des mesures correctives prises concernant les non-conformités précédemment identifiées, le cas échéant ;
  • une déclaration sur la conformité et l'efficacité du système de gestion, accompagnée d'un résumé des éléments probants relatifs à :
    • la capacité du système de gestion à satisfaire aux exigences applicables et à atteindre les résultats attendus ;
    • le processus d'audit interne et d'examen de la gestion ;
  • une conclusion sur la pertinence de l'étendue de la certification ;
  • confirmation que les objectifs de l'audit ont été atteints.
Si la norme IAF MD4:2018 a été utilisée, les rapports d'audit doivent indiquer dans quelle mesure la norme IAF MD4:2018 a été utilisée dans la réalisation de l'audit et comment elle a contribué à l'efficacité et à l'efficience de l'audit.

Rapports EnMS

Le rapport d'audit pour la norme ISO 50001 doit inclure :
  • portée et limites du SMEn faisant l'objet de l'audit ;
  • déclaration attestant de l'amélioration continue du système de management de l'énergie et de l'amélioration de la performance énergétique, accompagnée des éléments probants issus de l'audit à l'appui de ces déclarations.
Le rapport d'audit pour le SEP doit également aborder les décisions suivantes :
  • confirmation que la performance énergétique a été vérifiée,
  • la déclaration relative à la performance énergétique, telle que vérifiée,
  • confirmation que le modèle répond aux exigences du protocole de mesure et de vérification spécifique au secteur et au niveau de certification.
DEKRA doit également remplir le rapport SEP sur l'amélioration de la performance énergétique et le soumettre à l'administrateur SEP.

Rapports sur l'aérospatiale

Pour les audits impliquant une décision de certification aérospatiale, DEKRA est responsable de la saisie des données requises dans la base de données OASIS dans les 30 jours suivant la date de délivrance du certificat. Pour tous les autres audits, DEKRA doit soumettre les données requises dans la base de données OASIS dans les 90 jours suivant la date de la visite sur site. Cette saisie dans la base de données peut être effectuée soit directement par DEKRA, soit par l'intermédiaire du SMS, conformément aux dispositions définies par le secteur IAQG ou la NAIA.
À l'issue de l'audit de phase 1, le rapport d'audit de phase 1 doit être rédigé et publié. À l'issue de chaque certification, surveillance, recertification et audit spécial, les résultats de l'audit doivent être consignés et publiés, y compris les formulaires standard. Le rapport d'audit supplémentaire doit être utilisé pour consigner les résultats de chaque site, si le rapport d'audit ne comprend pas les détails de l'audit de chaque site.
Les exigences jugées non applicables dans le cadre défini, justifiées par l'organisation et acceptées par l'équipe d'audit, doivent être consignées dans le rapport d'audit, le rapport sur la matrice des processus du SMQ et le rapport d'audit.
Le contenu du rapport d'audit, y compris les conclusions, doit donner une image fidèle et indépendante de l'état de conformité et de l'efficacité du SMQ afin de donner confiance aux clients ou clients potentiels, leur permettant ainsi de tirer des conclusions appropriées dans le cadre de leurs processus de sélection et de surveillance des fournisseurs.
Pour les audits combinés et intégrés, des rapports distincts doivent être établis (c'est-à-dire un pour chaque audit réalisé pour chaque norme). Le cas échéant, les processus communs aux différentes normes peuvent être consignés dans le même rapport PEAR et dans le rapport sur la matrice des processus du SMQ. Chaque rapport d'audit combiné et intégré doit être lié à tous les autres rapports de l'audit associé.
L'équipe d'audit doit remplir le rapport sur la matrice des processus du SMQ afin d'indiquer quels processus et quelles clauses de la norme 9100 ont été audités, y compris un résumé des preuves objectives relatives à chacune des clauses 4, 5, 6, 7, 9 et 10 de la norme 9100.
Si des preuves objectives relatives aux clauses 4, 5, 6, 7, 9 et 10 sont consignées dans le(s) PEAR, il n'est pas nécessaire de répéter ces informations dans le rapport sur la matrice des processus du SMQ. Il convient de mentionner le(s) PEAR applicable(s) dans le champ « Preuves objectives » du rapport sur la matrice des processus du SMQ correspondant.
Le rapport sur la matrice des processus du SMQ a plusieurs applications, il peut être :
  • préremplis avant l'activité sur site et facilement modifiables/révisables, le cas échéant, lors de chaque visite ;
  • utilisé après l'audit de phase 1, pour la préparation du plan d'audit pour l'audit initial de phase 2 ;
  • utilisé après l'audit de certification/recertification, pour préparer le plan d'audit pour les audits de surveillance du cycle de certification ;
  • utilisé pour aider à présenter de manière visible les références croisées entre les exigences de la norme AQMS et les processus de l'organisation.
L'équipe d'audit doit consigner les mesures, les objectifs et les valeurs des indicateurs clés de performance liés à chaque processus opérationnel audité (voir la clause 8 des normes de la série 9100) dans le PEAR, en tenant compte de la confidentialité des informations.
D'un commun accord entre l'organisation et DEKRA, d'autres processus peuvent être consignés dans un PEAR.
L'équipe d'audit doit émettre une NCR (non-conformité) par rapport à la clause standard de la série 9100 correspondante, lorsque le processus ne produit pas les résultats escomptés et que les mesures appropriées ne sont pas prises.
L'enregistrement des informations relatives aux processus peut être regroupé dans un seul rapport PEAR et QMS Process Matrix Report pour plusieurs sites, plusieurs campus ou des organisations complexes, à condition que le processus soit commun à tous les sites/structures. Les informations enregistrées doivent refléter chaque site inclus dans le rapport PEAR et QMS Process Matrix Report. Le niveau d'efficacité du processus doit refléter la valeur la plus basse des différents sites évalués.
L'équipe d'audit doit consigner dans le PEAR un résumé des pistes d'audit et des éléments probants liés à chaque processus de réalisation du produit audité (voir clause 8 des normes de la série 9100).
L'équipe d'audit doit émettre une non-conformité par rapport à la clause standard pertinente de la série 9100 lorsque les activités prévues d'un processus ne sont pas réalisées ou ne sont pas entièrement réalisées.
La population du PEAR peut commencer pendant l'audit de phase 1 afin d'enregistrer les informations examinées.
L'équipe d'audit doit évaluer l'efficacité de chaque processus de réalisation du produit audité (voir clause 8 des normes de la série 9100) en tenant compte des éléments suivants :
  • réalisation du processus - mesure dans laquelle les activités prévues sont réalisées ; et
  • résultats du processus - mesure dans laquelle les résultats prévus sont atteints.
Afin de déterminer le niveau d'efficacité du processus audité, l'équipe d'audit doit évaluer les éléments probants issus du PEAR et sélectionner la valeur correspondante, sur la base des descriptions fournies dans la matrice d'évaluation des processus (voir AS9101, tableau 3).
Le niveau d'efficacité du processus dérivé de l'évaluation doit être consigné dans le PEAR documenté dans le rapport sur la matrice des processus du SMQ.
Un niveau d'efficacité « 5 » ne peut être attribué que si le processus audité produit les résultats escomptés et que les activités prévues sont pleinement réalisées sans qu'aucune non-conformité ne soit identifiée.

Rapports TL9000

Le rapport d'audit doit clairement documenter les parties du système de gestion de la qualité qui ont été auditées lors de chaque visite de surveillance.
Le responsable de l'équipe d'audit doit fournir les conclusions documentées à la fin de chaque audit. Un rapport écrit sera fourni à l'organisation dans les 30 jours suivant la fin de chaque audit, ou dans les 30 jours suivant la fin d'un audit multi-sites. Le rapport comprendra les conclusions documentées, les conclusions générales de l'audit, les pistes d'audit significatives et les recommandations.
DEKRA est tenue de contrôler les rapports d'audit afin de garantir leur conformité avec les exigences d'audit ISO/IEC 17021-1 et d'inclure la preuve que les éléments figurant dans le présent document ont été traités et documentés dans le rapport d'audit, même si l'élément n'est pas applicable.

Rapports ISMS

Outre les exigences en matière de rapport énoncées dans la norme ISO/IEC 17021-1, 9.4.8, le rapport d'audit doit fournir les informations suivantes ou une référence à celles-ci :
  • un compte rendu de l'audit comprenant un résumé de l'examen des documents ;
  • un compte rendu de l'audit de certification de l'analyse des risques liés à la sécurité de l'information du client ;
  • écarts par rapport au plan d'audit (par exemple, temps consacré à certaines activités prévues) ;
  • le périmètre du SMSI.

Rapports OHSMS

DEKRA veille à ce que ses rapports d'audit contiennent une déclaration sur la conformité et l'efficacité du SMST de l'organisation, ainsi qu'un résumé des éléments probants relatifs à la capacité du SMST à satisfaire à ses obligations de conformité.
Le rapport d'audit doit être suffisamment détaillé pour faciliter et étayer la décision de certification. Il doit contenir :
  • suivi des pistes d'audit significatives et utilisation de méthodologies d'audit (voir 9.1.3.2) ;
  • observations faites, tant positives (par exemple, caractéristiques remarquables) que négatives (par exemple, non-conformités potentielles) ;
  • commentaires sur la conformité du SMSI du client aux exigences de certification, avec une déclaration claire des non-conformités, une référence à la version de la déclaration d'applicabilité et, le cas échéant, toute comparaison utile avec les résultats des audits de certification précédents du client.
Les questionnaires remplis, les listes de contrôle, les observations, les registres ou les notes de l'auditeur peuvent faire partie intégrante du rapport d'audit. Si ces méthodes sont utilisées, ces documents doivent être soumis à DEKRA comme preuves à l'appui de la décision de certification. Les informations relatives aux échantillons évalués lors de l'audit doivent être incluses dans le rapport d'audit ou dans d'autres documents de certification.
Le rapport doit examiner l'adéquation de l'organisation interne et des procédures adoptées par le client pour garantir la fiabilité du SMSI.
Outre les exigences en matière de rapport énoncées dans la norme ISO/IEC 17021-1, 9.4.8, le rapport doit couvrir :
  • un résumé des observations les plus importantes, positives comme négatives, concernant la mise en œuvre et l'efficacité des exigences du SMSI et des contrôles IS ;
  • la recommandation de l'équipe d'audit quant à l'opportunité de certifier ou non le SMSI du client, accompagnée d'informations justifiant cette recommandation.

Traitement des rapports

Les rapports sont soumis au bureau DEKRA par l'auditeur principal dans les 15 jours suivant l'audit.
Le dossier du rapport d'audit comprend :
  • Le rapport d'audit lui-même (peut être utilisé comme rapport de synthèse ou rapport de site)
  • Programme d'audit
  • Plan d'audit
  • Les plans d'actions correctives sont inclus dans le rapport d'audit par le client.
Si des non-conformités majeures sont constatées, le service clientèle fixera un délai de 90 jours à compter de la clôture de l'audit.
Le service clientèle note la date provisoire du prochain événement et la confirme en l'enregistrant dans la base de données DEKRA. Le service clientèle peut également choisir une autre date si nécessaire, ou si cela est requis par le secteur ou le client.
Si le rapport correspond à une étape 2 ou à une recertification, le service clientèle ajoute le rapport au dossier de révision de la certification.
Chaque rapport est examiné afin de détecter toute modification susceptible d'affecter la certification en cours d'un client. Le contenu du rapport est examiné afin de détecter les non-conformités ouvertes, les modifications apportées à la portée du client, au nombre d'employés, aux sites et/ou aux équipes. Le responsable du service clientèle détermine si l'organisation doit conserver sa certification. Toute modification doit être traitée conformément à cette procédure.
Raisons possibles pour une révision : changement organisationnel important, modification du périmètre, hors du calendrier du cycle d'audit, factures impayées, crainte d'une annulation, changement de nom, etc.
Le service à la clientèle examine le certificat, les rapports et les renseignements sur le compte du client afin de déterminer s'il y a lieu d'apporter des modifications au plan de gestion, au certificat ou à celui-ci, ou encore de l'annuler. Si aucun changement n'est nécessaire, le calendrier habituel est maintenu.
De temps à autre, des modifications peuvent être apportées au plan de gestion. Ces modifications peuvent concerner la fréquence des audits, le nombre d'audits, la structure d'échantillonnage, les décisions relatives à la gestion des comptes, la politique d'annulation, etc. Pour les questions complexes, le chargé de clientèle peut demander l'aide d'un gestionnaire de compte, qui examinera les modifications proposées avant de les approuver.
Si des modifications sont nécessaires, le service clientèle peut émettre un nouveau devis ou ajouter un avenant au devis actuel (si la modification est de nature financière).
Le service clientèle consigne dans le dossier client et dans la base de données les modifications apportées.
DEKRA peut exiger des activités d'audit supplémentaires, mais exigera dans tous les cas un examen de certification afin de confirmer la modification de la portée ou du statut du certificat, sauf en cas de suspension ou d'annulation demandée par le client.
Le responsable de la certification peut décider que le certificat doit être annulé. Le directeur général doit être associé à cette décision. Si le certificat est annulé, DEKRA résilie le contrat commercial conformément aux dispositions du contrat-cadre de services pour la certification du système de management et du contrat de certification.

Analyse des causes des non-conformités

DEKRA exige du client qu'il analyse la cause et décrive les mesures correctives spécifiques prises ou prévues pour éliminer les non-conformités détectées, dans un délai défini.

Pour SEP

Si un client ne satisfait pas aux exigences de la norme ANSI/MSE 50028, une mesure corrective doit être soumise et les modalités d'approbation de cette soumission doivent être convenues entre le client, l'auditeur principal SEP et le vérificateur de performance SEP.
Un client ne peut pas soumettre de données pour modifier le niveau de réalisation SEP vérifié après l'audit de certification ou de recertification.

Efficacité des corrections et des mesures correctives

L'auditeur principal examinera les corrections, les causes identifiées et les mesures correctives soumises par le client afin de déterminer si celles-ci sont acceptables.
Lors des audits suivants, l'auditeur principal vérifie l'efficacité des corrections et mesures correctives précédemment mises en œuvre.
Les preuves obtenues pour étayer la résolution des non-conformités doivent être consignées par l'auditeur principal.
Le client doit être informé du résultat de l'examen et de la vérification. Le client doit être informé si un audit complet supplémentaire, un audit limité supplémentaire ou des preuves documentées (à confirmer lors d'audits futurs) seront nécessaires pour vérifier l'efficacité des mesures correctives et des actions correctives. La vérification de l'efficacité des mesures correctives et des actions correctives peut être effectuée sur la base d'un examen des informations documentées fournies par le client ou, si nécessaire, par une vérification sur place. Cette activité est généralement effectuée par un membre de l'équipe d'audit.
L'analyse des causes doit respecter les directives de l'ANAB Heads Up 362, y compris la détermination de la cause profonde réelle. Les approbations par les auditeurs des causes profondes soumises par les clients seront examinées lors de la revue technique et peuvent être rejetées par le bureau DEKRA, ce qui entraînera des non-conformités supplémentaires pour le client et un retard ou une expiration éventuelle des certificats.
Cette procédure définit les contrôles requis pour le suivi et la clôture des non-conformités client générées dans le cadre de toutes les normes.
Aucune non-conformité n'est constatée lors de l'audit de certification de niveau 1.
En cas de non-conformités majeures lors des audits de certification ou de recertification, la certification ou la recertification ne peut être recommandée tant que toutes les non-conformités majeures n'ont pas été entièrement résolues.

Non-conformités dans le domaine aérospatial

Le NCR doit être utilisé pour documenter la vérification de la mesure corrective. L'évaluation et la clôture du plan d'action corrective et des mesures correctives associées relatives à une non-conformité ne doivent pas être effectuées pendant l'audit au cours duquel la non-conformité a été émise.
Les activités de vérification doivent être menées conformément aux instructions du responsable de l'équipe d'audit. La vérification doit être effectuée sur place si la vérification de la mesure corrective ne peut être effectuée sur la base d'un examen de la documentation et des preuves objectives fournies par l'organisation. Une NCR complétée doit être téléchargée dans la base de données OASIS après vérification.
Pour les audits combinés et intégrés, lorsqu'une non-conformité a été constatée dans un processus commun, un seul NCR doit être émis en référence aux exigences de chaque norme AQMS. Les NCR émis sur des processus communs doivent être référencés dans les deux rapports.
Aucun certificat conforme aux normes AQMS ou à toute combinaison de normes AQMS nécessitant une décision de certification ne sera délivré, à moins que toutes les non-conformités majeures et mineures aient été maîtrisées, corrigées de manière satisfaisante avec une analyse des causes profondes, et que les mesures correctives aient été mises en œuvre, examinées, acceptées et vérifiées par l'organisme de certification. Cette exigence s'applique également à la délivrance d'un certificat après le transfert d'un autre organisme de certification.
DEKRA engagera la procédure de suspension de la certification du client lorsqu'une organisation ne parvient pas à démontrer que la conformité à la norme applicable a été rétablie dans les 60 jours suivant la publication d'un rapport de non-conformité (NCR). Voir la section 9.6.5 pour le traitement des suspensions dans le secteur aérospatial.

Non-conformités TL 9000

Toutes les non-conformités majeures doivent être résolues avant la délivrance du certificat TL 9000. Toutes les non-conformités sont traitées conformément aux procédures opérationnelles standard de l'organisme de certification.
Les CB doivent disposer d'un processus documenté pour clôturer les non-conformités majeures et mineures identifiées lors d'un audit TL 9000. Le processus de clôture des non-conformités doit inclure :
  • Un plan d'action corrective (PAC) pour chaque non-conformité doit être reçu par l'organisme de certification dans les 30 jours suivant la réception du rapport d'audit par l'organisation. Ce PAC doit inclure des mesures de maîtrise/correction, une analyse des causes profondes et une date limite de mise en œuvre. Les organismes de certification sont tenus de répondre au PAC proposé dans les meilleurs délais. La résolution par l'organisation d'une non-conformité majeure nécessite des preuves acceptables de la mise en œuvre du PAC dans le délai spécifié par l'OC, qui ne doit pas dépasser 90 jours à compter de la réception du rapport d'audit par l'organisation. La résolution par l'organisation d'une non-conformité mineure nécessite des preuves acceptables de la mise en œuvre du PAC au plus tard lors du prochain audit prévu. Les exceptions à ces délais de résolution doivent être approuvées par l'OC, pleinement justifiées par l'organisation et documentées. Une visite de suivi dans le délai de 90 jours sera requise pour les non-conformités majeures afin de vérifier la mise en œuvre effective des mesures correctives, sauf justification et documentation contraires.
  • Une certification TL 9000 ne sera délivrée qu'après : (a) la résolution complète de toutes les non-conformités majeures ; et (b) la résolution complète des non-conformités mineures ou la définition de plans d'actions correctives conformes aux exigences de délai ci-dessus.
  • Une organisation certifiée ne peut obtenir le renouvellement de sa certification si elle présente des non-conformités mineures en souffrance issues de l'audit précédent ou des non-conformités majeures non résolues à la date d'expiration du certificat. Le non-respect du délai imparti pour la résolution d'une non-conformité majeure après un audit de surveillance entraîne le retrait du certificat TL 9000. Le certificat peut être rétabli une fois la non-conformité résolue.

Non-conformités multisites

Lorsque des non-conformités sont constatées sur un site individuel, que ce soit lors d'un audit interne de l'organisation ou lors d'un audit réalisé par DEKRA, une enquête doit être menée afin de déterminer si les autres sites peuvent être concernés. Par conséquent, DEKRA exigera de l'organisation qu'elle examine les non-conformités afin de déterminer si elles indiquent une déficience globale du système applicable à d'autres sites. Si tel est le cas, des mesures correctives doivent être mises en œuvre et vérifiées tant au niveau de la fonction centrale que des sites individuels concernés. Si tel n'est pas le cas, l'organisation doit être en mesure de démontrer à DEKRA la justification de la limitation de ses mesures correctives de suivi.
DEKRA exigera des preuves de ces mesures et recommandera à DEKRA d'augmenter la fréquence d'échantillonnage et/ou la taille des échantillons jusqu'à ce qu'elle soit convaincue que le contrôle est rétabli.
Au moment de la prise de décision, si un site présente une non-conformité majeure, la certification doit être refusée à l'ensemble de l'organisation multisite des sites répertoriés jusqu'à ce que des mesures correctives satisfaisantes aient été prises. Il n'est pas admissible que, pour surmonter l'obstacle posé par l'existence d'une non-conformité sur un seul site, l'organisation cherche à exclure le site « problématique » du champ d'application pendant le processus de certification.

Délais pour les mesures correctives

Dates limites ISO
Pour toutes les non-conformités, dans les 15 jours suivant l'audit, les clients soumettent des plans d'actions correctives au service clientèle DEKRA.
Pour les non-conformités majeures, dans les 90 jours suivant l'audit, les clients soumettent à DEKRA Client Services la preuve de la mise en œuvre des mesures correctives. Une prolongation de ce délai peut être accordée par Client Services.
Pour les non-conformités mineures, lors du prochain audit, les clients soumettent au responsable d'audit DEKRA la preuve que les mesures correctives ont été mises en œuvre.
Dates limites dans le domaine aérospatial
Après avoir émis une non-conformité, le responsable de l'équipe d'audit doit :
  • exiger de l'organisation qu'elle analyse la cause profonde et rende compte des mesures correctives spécifiques prises ou prévues pour éliminer les non-conformités détectées dans le rapport sur les non-conformités ; et
  • convenir avec l'organisation des corrections, des mesures correctives et des plans d'action corrective dans un délai maximal de 30 jours civils à compter de la fin de l'audit sur site.
Lorsque la nature de la non-conformité nécessite une action immédiate de maîtrise, le responsable de l'équipe d'audit doit exiger de l'organisme qu'il :
  • décrire les mesures immédiates (« corriger immédiatement ») prises pour maîtriser la situation/les conditions non conformes et contrôler tout produit non conforme identifié. Les corrections doivent toujours être consignées ; et
  • communiquer dans les 7 jours calendaires suivant l'audit les mesures de confinement spécifiques, y compris les corrections, et parvenir à un accord sur ces mesures avec le responsable de l'équipe d'audit dans les 14 jours calendaires suivants.
Les mesures de confinement et les corrections peuvent également être examinées lors de l'audit.
DEKRA veillera à ce que la notification du client soit traitée, le cas échéant, dans le cadre du processus de confinement et de mesures correctives de l'organisme certifié.

Signalement des non-conformités

L'auditeur doit noter toute non-conformité constatée lors de l'audit. Les non-conformités feront l'objet d'un examen technique par DEKRA et pourront être modifiées ou supprimées sur la base d'une justification écrite.
Le bureau DEKRA déterminera si une visite corrective sur site est nécessaire. Dans le cas contraire, un audit correctif hors site sera effectué.
  • 0-3 non-conformités : sans frais
  • 1 heure (tarif horaire pour 1/8 journée) : chaque non-conformité après 3.

Plans d'actions correctives

Les clients doivent soumettre leurs plans d'actions correctives à l'auditeur dans les délais convenus. L'examen des plans d'actions correctives doit porter sur les points suivants :
  • analyse des causes profondes ;
  • correction ;
  • plan d'action corrective.
L'auditeur examine et approuve les plans d'actions correctives avant leur soumission au bureau DEKRA. Des commentaires supplémentaires peuvent être demandés à l'auditeur afin de faciliter l'examen.
Si aucun plan n'est approuvé, les communications se poursuivront entre le service clientèle, l'auditeur et le client jusqu'à ce qu'une solution soit trouvée. Des informations supplémentaires ou un plan révisé peuvent être exigés.
Si l'auditeur n'est pas d'accord avec la décision du service clientèle, il doit faire appel directement auprès du directeur technique. Le directeur technique examine l'appel et rend une décision définitive.
Le service clientèle ou l'auditeur doit noter l'approbation du plan d'action corrective dans la section appropriée de la page « Non-conformités » du rapport d'audit.

Mise en œuvre des mesures correctives

Pour les mesures correctives découlant de non-conformités majeures nécessitant un audit sur site pour être clôturées, les preuves de mise en œuvre peuvent être examinées et approuvées par l'auditeur sur site, et la non-conformité peut alors être clôturée.
Les preuves de mise en œuvre pour les non-conformités mineures peuvent être examinées et approuvées par l'auditeur sur place lors de l'événement suivant, et la non-conformité peut alors être clôturée.
La clôture pour non-conformité doit mentionner les preuves fournies par le client concernant les mesures correctives mises en œuvre et noter les preuves examinées.
Le service clientèle doit examiner en interne et approuver la mise en œuvre des mesures correctives pour les non-conformités majeures et clôturer la non-conformité. Des commentaires supplémentaires peuvent être demandés au directeur technique ou à un expert technique senior afin de faciliter l'examen.
Lorsque la non-conformité est clôturée, le service clientèle en informe le client et envoie une copie à l'auditeur. Le service clientèle ou l'auditeur note l'approbation de la mise en œuvre de la mesure corrective dans la colonne appropriée de la section « Non-conformités » du rapport d'audit DEKRA.
Le service clientèle peut facturer au client les heures consacrées à l'examen et à la clôture des mesures correctives convenues au préalable.

Vérification de l'efficacité

L'auditeur vérifie l'efficacité des mesures correctives approuvées et mises en œuvre lors du prochain audit.
L'auditeur doit noter la vérification de l'efficacité des mesures correctives dans la section appropriée de la page « Non-conformités » du rapport d'audit. Il n'est pas prévu d'ajouter du temps supplémentaire à l'événement d'audit pour vérifier l'efficacité des mesures correctives.

Examen lors de la certification/recertification

Le responsable de la certification doit examiner les non-conformités, tant actuelles que clôturées/vérifiées, issues du dernier rapport de (re)certification avant de rendre une décision concernant la certification initiale ou le maintien de la certification.
Si une étape du processus d'examen des mesures correctives n'est pas approuvée, la communication doit se poursuivre entre le responsable de la certification, le service clientèle et l'auditeur jusqu'à ce qu'une solution soit trouvée. Des informations supplémentaires ou des activités d'audit supplémentaires peuvent être nécessaires.
Pour les NC mineurs émis lors de la certification ou de la recertification, le responsable de la certification doit uniquement approuver les activités du plan d'action corrective pour émettre une décision de certification.

Décision relative à la certification

Généralités

DEKRA veille à ce que les personnes ou comités chargés de prendre les décisions relatives à l'octroi ou au refus de la certification, à l'extension ou à la réduction de la portée de la certification, à la suspension ou au rétablissement de la certification, au retrait de la certification ou au renouvellement de la certification soient différents de ceux qui ont effectué les audits. La ou les personnes désignées pour prendre la décision de certification doivent posséder les compétences appropriées.
La ou les personnes désignées par DEKRA pour prendre une décision de certification doivent être employées par DEKRA ou par une entité sous le contrôle organisationnel de DEKRA, ou avoir conclu un accord juridiquement contraignant avec DEKRA ou une telle entité. Le contrôle organisationnel de DEKRA doit être l'un des suivants : a) la propriété totale ou majoritaire d'une autre entité par DEKRA ; b) la participation majoritaire de DEKRA au conseil d'administration d'une autre entité ; c) une autorité documentée de DEKRA sur une autre entité dans un réseau d'entités juridiques (au sein duquel DEKRA réside), liées par la propriété ou le contrôle du conseil d'administration.
Les personnes employées par ou sous contrat avec des entités sous contrôle organisationnel rempliront les mêmes exigences de la norme ISO 17021-1 que les personnes employées par ou sous contrat avec DEKRA.
Les décisions relatives à l'octroi, au maintien, à la prolongation, à la réduction, à la suspension et au retrait des certificats sont prises par un responsable de certification impartial, informé et qualifié. Afin de garantir que le responsable de certification dispose de toutes les informations nécessaires, les documents relatifs à l'audit, tels que le rapport et toutes les mesures correctives qui en découlent, seront mis à sa disposition. Afin de garantir la qualification du responsable de certification, le directeur technique mettra à disposition une liste des responsables de certification qualifiés sur la base des exigences de la norme et d'une formation spécifique DEKRA.
Il peut parfois arriver que des décisions de certification doivent être prises rapidement en raison de l'expiration imminente d'un certificat. Dans ce cas, l'impartialité du processus de décision de certification peut être compromise. Pour atténuer ce risque, lorsqu'une décision de certification doit être prise rapidement, elle doit être enregistrée dans le Centre de résolution DEKRA sous forme de ticket, par l'une des parties. Une fois enregistrée, la décision de certification et la délivrance du certificat seront directement gérées par la direction générale dans les meilleurs délais, dans le respect de l'impartialité. Les données relatives à toutes les demandes de décision de certification accélérée doivent être régulièrement examinées et analysées afin de déterminer la cause profonde des retards dans le processus.
Les certificats sont délivrés de manière uniforme et contrôlée afin de garantir que chaque certificat contient les informations nécessaires pour identifier le client et le champ d'application du système certifié, et que les marques d'accréditation sont applicables et convenues.
Tous les rapports d'audit et certificats sont conservés dans nos dossiers afin d'assurer la traçabilité des activités d'audit et des décisions de certification.
DEKRA enregistrera chaque décision de certification, y compris toute information supplémentaire ou clarification demandée à l'équipe d'audit ou à d'autres sources.
Consultez la procédure DEKRA P-002 « Client Scope or Cert Changes » (Champ d'application du client ou modifications de certification) pour connaître le déroulement du processus ainsi que les entrées et sorties.

Décisions relatives à la certification SEP

L'administrateur du SEP doit être informé par DEKRA des décisions de certification et des niveaux d'amélioration de la performance énergétique de l'organisation cliente concernée.
Avant de rendre une décision positive, DEKRA doit confirmer que toutes les exigences suivantes sont satisfaites :
  • Le certificat ISO 50001 est valide
  • Les exigences de transition du GTESS sont respectées, le cas échéant.
  • Le client a mis en œuvre les interprétations GTESS, le cas échéant.
  • Le ou les sites échantillonnés disposent d'un ou de plusieurs modèles de performance énergétique valides au moment de la certification initiale et de la recertification.
  • L'amélioration de la performance énergétique (SEnPI Performance) est vérifiée.
  • Le modèle est conforme aux exigences du protocole de certification SEP et du protocole SEP M&V.
Pour les audits multi-sites, le SEP PV doit :
  • Remplissez un rapport SEP sur l'amélioration de la performance énergétique pour chaque site de l'échantillon.
  • Vérifiez qu'un rapport SEP sur l'amélioration de la performance énergétique a été rempli par le SEP PV certifié de l'organisation pour chaque site compris dans le champ d'application et les limites.

Décisions relatives à la certification aérospatiale

Aucun certificat conforme aux normes AQMS ou à toute combinaison de normes AQMS nécessitant une décision de certification ne sera délivré, à moins que toutes les non-conformités majeures et mineures aient été maîtrisées, corrigées de manière satisfaisante avec une analyse des causes profondes, et que les mesures correctives aient été mises en œuvre, examinées, acceptées et vérifiées par l'organisme de certification. Cette exigence s'applique également à la délivrance d'un certificat après le transfert d'un autre organisme de certification. La décision de certification pour les clients AQMS doit inclure une vérification du téléchargement du certificat OASIS. Sur la base d'une décision de certification positive, le responsable de la certification vérifie que les données de certification sont correctes dans OASIS, puis publie le certificat dans OASIS.

Décisions relatives à la certification ISMS

DEKRA ne certifie pas un SMSI à moins qu'il n'ait fait l'objet d'au moins un examen par la direction et un audit interne du SMSI couvrant le champ d'application de la certification.
La décision de certification doit être fondée, outre sur les exigences de la norme ISO/IEC 17021-1, sur la recommandation de certification formulée par l'équipe d'audit dans son rapport d'audit de certification.
Les personnes ou comités chargés de prendre la décision d'octroyer la certification ne doivent normalement pas infirmer une recommandation négative de l'équipe d'audit. Si une telle situation se présente, DEKRA doit documenter et justifier les motifs de la décision d'infirmer la recommandation.
La certification ne sera pas accordée au client tant qu'il n'y aura pas suffisamment de preuves démontrant que les dispositions relatives aux revues de direction et aux audits internes du SMSI ont été mises en œuvre, sont efficaces et seront maintenues.

Décisions relatives à la certification OHSMS :

DEKRA ne certifie pas les SMST à moins que :
  • La conformité légale totale est attendue vis-à-vis des exigences des parties prenantes et des parties intéressées du Client. La valeur perçue d'une certification accréditée dans le domaine de la santé et de la sécurité au travail est étroitement liée à la satisfaction obtenue des parties intéressées en matière de conformité légale.
  • Le client doit être en mesure de démontrer qu'il s'est conformé aux exigences légales en matière de SST qui lui sont applicables, au moyen de sa propre évaluation de conformité, avant que l'organisme de certification ne délivre la certification.
  • Lorsque le client n'est pas en conformité avec la législation, il doit être en mesure de démontrer qu'il a mis en place un plan de mise en œuvre visant à atteindre la conformité totale dans un délai déterminé, étayé par un accord écrit avec l'autorité de réglementation, dans la mesure du possible pour les différentes conditions nationales. La mise en œuvre réussie de ce plan doit être considérée comme une priorité dans le cadre du SMST.
  • À titre exceptionnel, DEKRA peut tout de même accorder la certification, mais elle doit chercher des preuves objectives pour confirmer que le SMST de l'organisation :
    • est en mesure d'atteindre la conformité requise grâce à la mise en œuvre intégrale du plan de mise en œuvre susmentionné dans les délais impartis et
    • a pris en compte tous les dangers et risques pour la santé et la sécurité au travail des travailleurs et autres personnes exposées, et qu'il n'existe aucune activité, aucun processus ou aucune situation pouvant entraîner ou entraînera des blessures graves et/ou des problèmes de santé, et
    • Au cours de la période de transition, les mesures nécessaires ont été mises en place pour garantir la réduction et le contrôle des risques liés à la santé et à la sécurité au travail.

Mesures à prendre avant de prendre une décision

DEKRA applique le processus ci-dessous (examen technique et traitement de la certification) afin de mener un examen efficace avant de prendre une décision concernant l'octroi, l'extension ou la réduction de la portée de la certification, le renouvellement, la suspension ou le rétablissement, ou le retrait de la certification, y compris a) que les informations fournies par l'équipe d'audit sont suffisantes au regard des exigences de certification et de la portée de la certification ; b) pour toute non-conformité majeure, elle a examiné, accepté et vérifié la correction et les mesures correctives ; et c) pour toute non-conformité mineure, elle a examiné et accepté le plan de correction et les mesures correctives du client.

Informations relatives à l'octroi de la certification

Les informations fournies par l'équipe d'audit à DEKRA pour la décision de certification comprendront au minimum :
  • le rapport d'audit ;
  • le programme d'audit,
  • le plan d'audit ;
  • commentaires sur les non-conformités et, le cas échéant, les mesures correctives prises par le client ;
  • confirmation des informations fournies à l'organisme de certification utilisées dans l'examen de la demande ;
  • confirmation que les objectifs de l'audit ont été atteints ; et
  • une recommandation quant à l'octroi ou non de la certification, accompagnée des conditions ou observations éventuelles.
Si DEKRA n'est pas en mesure de vérifier la mise en œuvre des corrections et des mesures correctives apportées à toute non-conformité majeure dans les 6 mois suivant le dernier jour de la phase 2, DEKRA procédera à une nouvelle phase 2 avant de recommander la certification.

Traitement des dossiers de certification

Le service clientèle reçoit un rapport déclenchant la révision et la délivrance d'un certificat : étape 2 de la certification, recertification, transfert ou extension du champ d'application. (Si des non-conformités mineures ont été signalées, le rapport doit contenir l'approbation du plan d'action de l'organisme de certification. En cas de non-conformités majeures, le traitement est suspendu jusqu'à ce que la mise en œuvre des mesures correctives soit vérifiée par le bureau).

Examen technique

Les réviseurs techniques et certains responsables de la certification et/ou évaluateurs OP sont qualifiés pour effectuer la révision technique. La révision technique est la première étape du processus de décision de certification.
Tous les rapports de certification de niveau 2 sont envoyés pour examen technique et comprennent les rapports de niveau 1 dans le dossier. Tous les rapports de recertification et tous les rapports de transfert sont envoyés pour examen technique.
Pour les audits de surveillance AQMS, 100 % des rapports d'audit doivent être examinés.
Tous les autres rapports d'audit de surveillance sont officiellement examinés par le service clientèle afin de formuler des recommandations, des demandes et des non-conformités à l'intention des auditeurs.
La revue technique vérifie la conformité des rapports de certification par rapport aux exigences actuelles de :
  • ISO 17021-1
  • Documents obligatoires de l'IAF
  • Règles de l'ANAB et manuel d'accréditation
  • Toutes les règles spécifiques à un secteur (par exemple, TL9000, ESD, série AS9104, EnMS/SEP)
Les réviseurs techniques doivent avoir accès à ces normes et règles et être formés de manière appropriée.
La liste de contrôle pour la décision relative à l'examen technique et à la certification est un outil utilisé pour aider les examinateurs techniques à vérifier si les éléments et les documents requis sont inclus dans les dossiers des clients.
Les réviseurs techniques peuvent traiter les informations incorrectes contenues dans le rapport, y compris les constatations non conformes aux exigences d'accréditation, en les corrigeant en interne ou en renvoyant directement le dossier de certification au responsable du processus de certification ou à l'auditeur, accompagné d'instructions.
Un réviseur technique ne peut pas réviser son propre travail.

Décision relative à la certification

Le responsable de la certification est chargé de prendre la décision finale d'accorder ou de refuser la certification et ne doit pas être la même personne que le réviseur technique. Dans ce cas, la révision technique et la décision de certification peuvent se dérouler simultanément.
Le réviseur technique transmet les documents du rapport révisés et signés au responsable de la certification pour décision.
La décision de certification doit porter sur l'exhaustivité et la conformité de tous les rapports et événements du cycle de certification par rapport aux exigences suivantes :
  • ISO 17021-1
  • Documents obligatoires de l'IAF
  • Manuel d'accréditation ANAB
  • Règles d'accréditation de l'ANAB
  • Règles spécifiques à un secteur
Les responsables de la certification doivent avoir accès à ces normes et règles et les connaître parfaitement.
La liste de contrôle pour la décision relative à l'examen technique et à la certification est un outil utilisé pour aider les responsables de la certification à vérifier si les éléments et les dossiers requis figurent dans les dossiers du client et si les problèmes soulevés lors de l'examen technique ont été correctement résolus/corrigés.
Veillez à ce que tous les certificats AQMS reflètent la norme AS9104/1. Pour les certifications AQMS, un organisme certifié ne peut bénéficier d'une nouvelle période de certification de trois ans s'il n'a pas fait l'objet d'une recertification.
Les responsables de la certification peuvent traiter les informations incorrectes figurant dans le dossier de certification, y compris les modifications apportées au certificat lui-même ou les constatations non conformes aux exigences d'accréditation, en les corrigeant en interne ou en contactant le réviseur technique, le service clientèle et l'auditeur pour obtenir des commentaires supplémentaires.

Publication de certificats

Tous les certificats sont fournis en version électronique (PDF), sauf si le client demande une copie papier. L'administrateur OASIS est chargé de publier les certificats des clients AQMS conformément aux exigences du secteur. L'administrateur TL est chargé de publier les certificats des clients TL conformément aux exigences du secteur. Dès réception du dossier de certification complet et du certificat électronique final, l'administrateur de chaque secteur publie le certificat dans la base de données spécifique à son secteur. OASIS est mis à jour par le responsable AS Cert.
Le service clientèle veillera à ce que les clients reçoivent une copie PDF de tous les certificats délivrés. L'e-mail comprendra également un lien vers le site web du label DEKRA.
Si le client répond à l'e-mail contenant le certificat en indiquant les modifications demandées qui ont une incidence sur la portée de la certification, un nouvel examen/une nouvelle approbation/une nouvelle décision de certification sera nécessaire.
DEKRA prendra les décisions relatives au renouvellement de la certification sur la base des résultats de l'audit de recertification, ainsi que des résultats de l'examen du système au cours de la période de certification et des plaintes reçues des utilisateurs de la certification.

TL 9000

Tous les certificats TL-9000 doivent être publiés sur le site TIA Business Performance Community (TIA-BPC) dans les 7 semaines suivant la modification du certificat. Une fois la certification TL-9000 recommandée, le client se rend sur le site TIA Business Performance Community (TIA-BPC) et imprime un profil TL ID à partir du site.
DEKRA fournira à QuEST un rapport trimestriel récapitulatif des statistiques d'audit TL 9000. DEKRA rendra compte des statistiques suivantes :
  • Nombre d'audits de surveillance TL 9000 réalisés
  • Nombre d'audits d'enregistrement TL 9000 réalisés
  • Nombre d'enregistrements TL 9000 délivrés
  • Nombre total de non-conformités majeures signalées
  • Nombre total de non-conformités mineures signalées
  • Nombre total d'opportunités d'amélioration
  • Nombre de jours d'audit effectués pour l'enregistrement
  • Nombre de jours d'audit consacrés à la surveillance
  • Nombre minimum de jours requis pour l'inscription
  • Nombre minimum de jours requis pour la surveillance
Ces informations doivent être transmises dans les 7 semaines suivant la fin de chaque trimestre civil.

Aérospatiale

Pour les clients AS, le responsable de la certification aérospatiale procède à la mise à jour OASIS lors de la délivrance du certificat.
La base de données Oasis est mise à jour dans les 30 jours suivant chaque décision relative à un certificat et dans les 90 jours suivant tous les autres événements d'audit.
L'ANAB exige une mise à jour trimestrielle des certificats délivrés par DEKRA avec le logo ANAB. Pour plus d'informations, veuillez vous reporter à la section « Heads Up – 81 ».

EnMS

Voir la section 9.1.5 pour les décisions de certification relatives aux SMEn multisites pour lesquels des non-conformités ont été signalées.
Pour les audits EnMS, DEKRA communiquera à l'administrateur SEP les résultats de l'audit SEP afin de garantir la transparence en matière d'octroi, de prolongation, de maintien, de renouvellement, de suspension, de réduction ou de retrait de la certification.
La vérification repose sur des preuves recueillies dans le cadre d'un examen objectif des déclarations de performance énergétique de l'organisation. Des informations actualisées sur l'état d'avancement de la vérification doivent être accessibles ou communiquées de manière appropriée aux utilisateurs visés, au client ou à la partie responsable.

SEP

Les informations relatives à la décision de certification doivent également inclure la déclaration de performance et la voie suivie.
  • Clôture et facturation
  • Le service clientèle classe les documents spécifiques aux clients et, pour la recertification, transfère les documents du cycle de certification précédent dans un dossier dédié.
  • Le service clientèle met à jour la base de données et classe le dossier de certification.
  • Le service clientèle prépare la facture pour les frais de certification (y compris les frais de révision du certificat, la base de données OASIS et/ou les frais annuels ANAB).
Le transfert de certification est défini comme la reconnaissance d'une certification de système de management existante et valide, délivrée par un organisme de certification accrédité (ci-après dénommé « l'organisme de certification émetteur »), par un autre organisme de certification accrédité (ci-après dénommé « l'organisme de certification acceptant ») dans le but de délivrer sa propre certification.
Les exigences énumérées ci-dessous s'appliquent à DEKRA en tant qu'organisme de certification émetteur ou organisme de certification acceptant.
Lorsque les programmes spécifiques à un secteur d'activité qui autorisent les transferts comportent des exigences différentes ou supplémentaires par rapport à celles énoncées dans l'IAF MD 2, l'IAF MD 2 s'applique intégralement et ne peut être remplacé. Les exigences sectorielles supplémentaires par rapport à l'IAF MD 2 s'appliquent. Certains programmes spécifiques à un secteur d'activité peuvent ne pas autoriser les transferts.
Les certificats accrédités sont identifiés par le symbole d'accréditation AB d'un signataire de l'IAF MLA figurant sur les documents de certification. Les documents de certification qui ne comportent pas le symbole d'accréditation d'un signataire de l'IAF MLA ne sont pas accrédités.
Seules les certifications couvertes par une accréditation d'un signataire de l'IAF ou d'un MLA régional au niveau 3 et, le cas échéant, aux niveaux 4 et 5, peuvent faire l'objet d'un transfert.
Conformément à la norme AR17, en raison du nombre de programmes accrédités, des nombreux marchés sur lesquels opèrent les organismes de certification accrédités par l'ANAB et de la demande des organismes de certification souhaitant disposer d'options pour les certifications accréditées par l'ANAB, les certifications suivantes peuvent être transférées vers une certification accréditée par l'ANAB, à condition que les exigences de la norme IAF MD 2 et de la norme AR17 soient respectées :
  • Toutes les certifications accréditées par l'ANAB peuvent être transférées.
  • Toutes les certifications accréditées par un système de gestion signataire de l'accord de reconnaissance mutuelle (ARM) de l'IAF au niveau 3 sont éligibles, même si l'organisme d'accréditation n'est pas signataire de l'ARM au niveau 4 ou 5. Par conséquent, toute certification accréditée par un organisme d'accréditation signataire de l'ARM de l'IAF est éligible pour être transférée vers une certification accréditée par l'ANAB.
Les organisations détenant des certifications qui ne sont pas couvertes par ces accréditations seront traitées comme de nouveaux clients.
Seule une certification accréditée valide peut être transférée. Une certification dont la suspension est connue ne peut être acceptée comme transfert. Dans les cas où la certification a été délivrée par un organisme de certification qui a cessé ses activités ou dont l'accréditation a expiré, a été suspendue ou retirée, le transfert doit être effectué dans un délai de six mois ou à l'expiration de la certification, la date la plus proche étant retenue. Dans ce cas, l'organisme de certification acceptant le transfert informe l'organisme d'accréditation sous l'accréditation duquel il a l'intention de délivrer la certification avant le transfert.

Coopération entre les banques centrales

La coopération entre l'OC émettrice et l'OC acceptante est essentielle au bon déroulement du processus de transfert et à l'intégrité de la certification. Sur demande, l'OC émettrice fournit à l'OC transférante tous les documents et informations requis par la décision MD 2. Lorsqu'il n'a pas été possible de communiquer avec l'OC émettrice, l'OC acceptante consigne les raisons de cette impossibilité et met tout en œuvre pour obtenir les informations nécessaires auprès d'autres sources.
Si la documentation est fournie par l'organisme certifié, l'OC acceptant doit confirmer auprès de l'OC émetteur que tous les documents sont complets et que la certification est valide et éligible au transfert.
Le client qui transfère doit autoriser l'organisme de certification émetteur à fournir les informations demandées par l'organisme de certification acceptant. L'organisme de certification émetteur ne doit pas suspendre ou retirer la certification de l'organisation à la suite de la notification du transfert de l'organisme de certification acceptant si le client continue de satisfaire aux exigences de certification.
Lorsque des circonstances atténuantes (par exemple, non-conformité, défaut de paiement, non-respect du calendrier des audits requis ou demande du client) nécessitent la suspension ou le retrait, l'OC émettrice doit suivre sa procédure de suspension ou de retrait.
DEKRA validera la certification en contactant l'OC qui l'a délivrée, sauf si celui-ci a cessé ses activités. DEKRA conservera la preuve de cette communication (par exemple, une note dans le dossier indiquant le nom de la personne avec laquelle DEKRA a communiqué, la date et le résultat de la communication ou la réponse par e-mail).
Si aucune réponse n'est reçue dans un délai raisonnable et suffisant (dans les sept jours), DEKRA considère cela comme une réponse affirmative et poursuit la procédure.
La CB acceptante et/ou le client transférant doivent contacter l'AB qui accrédite la CB émettrice lorsque la CB émettrice :
  • n'a pas fourni les informations demandées à la CB acceptante, ou
  • suspend ou retire la certification du client transférant sans motif valable

Examen préalable au transfert

Une personne ou un groupe compétent de DEKRA doit procéder à un examen de la certification du client transférant. La personne ou le groupe chargé de la visite préalable au transfert doit posséder les mêmes compétences que celles requises pour une équipe d'audit adaptée à la portée de la certification faisant l'objet de l'examen.
Cet examen doit être effectué au moyen d'un examen de la documentation et, si nécessaire, par exemple en cas de non-conformités majeures, il doit inclure une visite préalable au transfert chez le client qui transfère la certification afin de confirmer la validité de celle-ci. Cette visite préalable au transfert n'est pas un audit. Les raisons pour lesquelles une visite n'est pas effectuée doivent être pleinement justifiées et documentées.
Si l'examen préalable au transfert (examen des documents et/ou visite préalable au transfert) identifie des problèmes empêchant la réalisation du transfert, DEKRA traitera le client transférant comme un nouveau client. La justification de cette mesure sera expliquée au client transférant et sera documentée par DEKRA, qui conservera les enregistrements correspondants.
L'examen porte au minimum sur les aspects suivants et ses conclusions, et l'examen et ses conclusions sont consignés de manière exhaustive :
  • confirmation que la certification du client relève du champ d'application accrédité de l'organisme de certification qui l'a délivrée et qui l'accepte
  • confirmation que le champ d'activité agréé de la BC émettrice relève du champ d'activité de l'organisme d'accréditation dans le cadre de l'accord MLA
  • les raisons pour lesquelles vous demandez un transfert
  • que le ou les sites souhaitant transférer la certification détiennent une certification accréditée valide
  • les rapports d'audit de certification initiale ou les rapports d'audit de certification les plus récents, ainsi que le dernier rapport de surveillance ; l'état de toutes les non-conformités en suspens qui pourraient en découler et toute autre documentation pertinente disponible concernant le processus de certification. Si ces rapports d'audit ne sont pas mis à disposition ou si l'audit de surveillance ou l'audit de recertification n'a pas été réalisé conformément au programme d'audit de l'OC qui a délivré la certification, l'organisme sera alors traité comme un nouveau client.
  • plaintes reçues et mesures prises
  • les considérations pertinentes pour l'établissement d'un plan d'audit et d'un programme d'audit. Le programme d'audit établi par l'organisme de certification émetteur doit être examiné s'il est disponible. Si l'examen préalable au transfert ne révèle aucun problème, le cycle de certification est basé sur le cycle de certification précédent et DEKRA établit le programme d'audit pour le reste du cycle de certification.
  • tout engagement actuel du client cédant auprès d'organismes de réglementation compétents dans le domaine couvert par la certification en matière de conformité légale

Processus d'examen préalable au transfert

Lorsqu'un transfert de certification d'un autre organisme de certification vers DEKRA est envisagé, DEKRA maintient ce processus afin d'obtenir suffisamment d'informations pour prendre une décision concernant la certification et informer le client transférant du processus. Veuillez noter que les programmes de certification peuvent avoir des règles spécifiques concernant le transfert de certification.
Ce processus décrit les étapes de révision et de transfert d'une certification pour un client précédemment certifié par un autre organisme de certification signataire de l'accord de reconnaissance mutuelle (ARM) de l'IAF. DEKRA doit établir sa propre confiance sur la base de preuves objectives démontrant que le système de management répond à toutes les exigences pour l'obtention d'un certificat DEKRA.
Afin de garantir que toutes les exigences de la norme IAF MD2 et de la règle 17 de l'ANAB sont respectées lors du transfert de nouveaux clients, DEKRA applique le processus de contrôle préalable au transfert suivant.
Toutes les évaluations préalables au transfert doivent être effectuées via le portail Web interne afin d'enregistrer la date officielle de la décision et les commentaires éventuels.
Une fois le devis signé, le service commercial envoie le dossier d'information suivant au responsable de l'examen préalable au transfert :
  • Date de la visite préalable au transfert sur place, ou justification et documentation pour examen des documents uniquement.
  • (MD 2.2.4.i) confirmation que la certification du client relève du champ d'application de l'accréditation de l'organisme de certification et de DEKRA
  • (MD 2.2.4.ii) confirmation que le champ d'accréditation de la BC émettrice relève du champ d'application de l'accord de reconnaissance mutuelle de son AB
  • (MD 2.2.4.iii) Raisons pour lesquelles le client souhaite être transféré.
  • (MD 2.2.4.iv) Le plan et le programme d'audit de l'organisme de certification émetteur, s'ils sont disponibles.
  • (MD 2.2.4.v) Les rapports d'audit de certification initiale ou de recertification les plus récents, ainsi que les derniers rapports de surveillance.
  • (MD 2.2.4.v) Le statut de toutes les non-conformités en suspens qui peuvent en découler
  • (MD 2.2.4.vi) plaintes reçues concernant le client et mesures prises
  • (MD 2.2.4.vii) considérations pertinentes pour établir un programme et un plan d'audit. Le programme d'audit établi par l'OC émettrice doit être examiné, s'il est disponible.
  • (MD 2.2.41.viii) tout engagement actuel du client auprès d'organismes de réglementation compétents dans le domaine couvert par la certification en matière de conformité légale
Informations supplémentaires sur l'aérospatiale :
  • (9104/1 8.8.d) Date de l'audit spécial visant à confirmer la validité de la certification.
  • (9104/1 8.8.c) Si le certificat expire dans les 12 prochains mois, dates prévues pour les audits requis des phases 1 et 2.
Le réviseur préalable au transfert vérifie que :
  • Toutes les pièces requises pour le colis de pré-transfert ci-dessus sont présentes.
  • Une visite préalable au transfert doit être programmée chez le client avant le transfert. Sauf justification fournie par le responsable chargé de l'examen préalable au transfert et consignée dans le dossier du client.
  • (MD 2.4) Si aucune communication n'a été reçue de la CB émettrice :
  • (MD2 2.1.2) Il faut verser au dossier des preuves démontrant que le certificat existant du client n'est pas suspendu ou sous le coup d'une suspension.
  • Tous les rapports remontant à la dernière décision de certification ou de recertification sont présents. Dans le cas contraire, le client doit être traité comme un nouveau client.
Si l'événement actuel du client est une surveillance, l'audit de surveillance n'est pas en retard. Les audits de surveillance peuvent être effectués à tout moment au cours de l'année civile. Si l'audit de surveillance est en retard, le client doit être traité comme un nouveau client.
Le ou les sites souhaitant procéder au transfert sont titulaires d'un certificat accrédité valide en termes d'authenticité, de durée et de champ d'activité.
  • (MD2 2.1.1) L'accréditation de la CB émettrice est délivrée par un signataire de l'accord de reconnaissance mutuelle (ARM) de l'IAF (marque AB ou marque IAF sur le certificat). Si l'accréditation n'est pas délivrée par un signataire de l'ARM, le client doit être traité comme un nouveau client.
  • (MD2 2.1.3) Si la CB émettrice a cessé ses activités ou si son accréditation a expiré, a été suspendue ou retirée, le transfert doit avoir lieu dans les six mois ou à l'expiration de la certification, selon la date la plus proche.
  • (AS9104/1 8.8.a, 8.8.b) S'il s'agit d'un transfert aérospatial, l'organisme de certification émetteur doit également être accrédité selon le programme ICOP de la série 9104 (à vérifier dans OASIS) et ne doit faire l'objet d'aucune mesure corrective en cours (à vérifier dans OASIS).
  • (MD2 2.2.41.i) Les activités certifiées du client relèvent du champ d'application accrédité de DEKRA.
Veuillez noter que, pour les clients du secteur aérospatial, le certificat ne peut être transféré qu'après l'audit de prise en charge (c'est-à-dire l'audit spécial pour les transferts en phase de surveillance, les phases 1 et 2 pour les transferts dans les 12 mois suivant l'expiration) et la décision de certification positive. Après une décision de certification positive de DEKRA, téléchargez la preuve de la prise en charge réussie sur OASIS.
Le réviseur préalable au transfert décidera de toute exigence particulière en matière d'audit pour les secteurs non aérospatiaux et consignera dans le dossier du client la décision d'exiger ou non une visite chez le client, accompagnée de la justification appropriée.
Un audit spécial est toujours requis pour les audits aérospatiaux, sauf si le transfert intervient dans les 12 mois précédant l'expiration, auquel cas les étapes 1 et 2 sont requises.
Le réviseur pré-transfert place les documents finaux révisés accompagnés d'une note dans le dossier « Client Post » ou dans un autre dossier partagé désigné afin que le personnel chargé de la planification puisse les ajouter au dossier principal du client et attribuer un numéro de certificat.
En cas de désaccord entre le responsable de l'examen préalable au transfert et le service commercial, le directeur général peut trancher. Une note concernant le désaccord et la décision prise doit également être ajoutée au dossier de transfert.

Décisions relatives à la certification des transferts

DEKRA ne délivrera pas de certification au client cédant avant que :
  • DEKRA a vérifié la mise en œuvre des corrections et des mesures correctives concernant toutes les non-conformités majeures en suspens ; et
  • DEKRA a accepté les plans de correction et les mesures correctives proposés par le client transférant pour toutes les non-conformités mineures en suspens.
  • Le processus normal de décision en matière de certification doit être suivi, y compris le fait que le personnel chargé de la décision de certification doit être différent de celui qui a effectué l'examen préalable au transfert.
Le cycle de certification doit être basé sur le cycle de certification précédent et DEKRA doit établir le programme d'audit pour le reste du cycle de certification. DEKRA peut mentionner la date de certification initiale de l'organisme sur les documents de certification en indiquant que l'organisme a été certifié par un autre organisme de certification avant une certaine date.
Lorsque DEKRA doit traiter le client comme un nouveau client à la suite de l'examen préalable au transfert, le cycle de certification commence par la décision de certification. DEKRA prend la décision de certification avant le lancement de tout audit de surveillance ou de recertification.
Une fois que la CB acceptante a délivré la certification, elle en informe la CB émettrice.

Transferts aérospatiaux (AS9104, 8.8)

Tous les transferts dans le secteur aérospatial nécessitent une décision de certification officielle avant l'acceptation de tout certificat. Le transfert doit être complet et le certificat accepté avant que toute activité d'audit régulière puisse être effectuée pour le client. Par exemple, si un client effectue un transfert au cours d'une année de surveillance, DEKRA doit d'abord effectuer toutes les activités de transfert et émettre une décision de certification positive approuvant le transfert avant d'envoyer un auditeur pour effectuer l'audit de surveillance. Si le transfert a lieu au cours d'une année de recertification, DEKRA enregistrera DEUX décisions de certification dans le portail pour cette année : la décision approuvant le transfert et la décision ultérieure de recertifier le client.
Pour le transfert des certificats AQMS, les documents IAF MD 2 et AR 17 s'appliquent dans leur intégralité, avec les exigences supplémentaires suivantes :
  • Seules les certifications valides délivrées, conformément aux normes de la série 9104 du programme ICOP, par un organisme de certification disposant d'une accréditation valide peuvent faire l'objet d'un transfert.
  • Toutes les communications avec la CB émettrice, y compris les demandes de rapports et de certificats, doivent être effectuées à l'aide de la fonction de retour d'information de la base de données OASIS, afin de conserver des enregistrements complets des transferts dans OASIS.
  • Aucun transfert de certificat entre OC ne doit avoir lieu lorsque l'OC contrôlant le certificat existant a documenté des non-conformités en attente de clôture et d'acceptation des mesures correctives, sauf si l'OC actuel a cessé ses activités ou n'est pas en mesure de clôturer les mesures correctives. En cas de mesures correctives en cours, DEKRA doit veiller à la clôture des mesures correctives avant la délivrance du certificat.
  • Le transfert des certificats existants qui expirent dans les 12 prochains mois nécessite un audit de phase 1 et de phase 2.
DEKRA veillera à ce qu'un audit spécial (sur site) soit réalisé par un organisme de vérification agréé (AEA) avant la délivrance du certificat afin de confirmer la validité de la certification transférée.
Un nouveau certificat ne sera délivré que si toutes les non-conformités mineures et majeures ont été maîtrisées et corrigées de manière satisfaisante, si l'analyse des causes profondes a été effectuée et si les mesures correctives ont été mises en œuvre, examinées, acceptées et vérifiées par l'organisme de certification qui a délivré le certificat. Si la clôture des non-conformités prend plus de 90 jours, le transfert du certificat existant n'est pas autorisé.
La vérification/le contrôle des mesures correctives par l'OC agréé doit être effectué sur site (à l'exception des mesures correctives liées à la documentation du SMQA).

Maintien de la certification

DEKRA maintient une certification client basée sur la démonstration que le client continue de satisfaire aux exigences de la norme relative au système de gestion.
DEKRA peut maintenir la certification d'un client sur la base d'une conclusion positive du responsable de l'équipe d'audit sans autre examen indépendant ni décision, à condition que :
  1. a) pour toute non-conformité majeure ou autre situation susceptible d'entraîner la suspension ou le retrait de la certification, DEKRA dispose d'un système qui exige a) que le responsable de l'équipe d'audit signale à DEKRA la nécessité de faire procéder à un examen par du personnel compétent afin de déterminer si la certification peut être maintenue (mentionné dans la section « Recommandation de certification » du rapport d'audit)
  2. b) le personnel compétent de DEKRA contrôle ses activités de surveillance, y compris le suivi des rapports de ses auditeurs, afin de confirmer que l'activité de certification fonctionne efficacement (personnel du service clientèle formé à ce manuel, aux normes d'accréditation et aux normes de certification des clients).

Activités de surveillance

DEKRA développe ses activités de surveillance de manière à ce que les domaines et fonctions représentatifs couverts par le champ d'application du système de management soient contrôlés régulièrement et à ce que les changements intervenus chez son client certifié et dans son système de management soient pris en compte.
Les activités de surveillance doivent inclure un audit sur site visant à vérifier que le système de gestion du client certifié satisfait aux exigences spécifiées dans la norme pour laquelle la certification a été accordée.
D'autres activités de surveillance peuvent inclure :
  • demandes de DEKRA au client certifié concernant certains aspects de la certification ;
  • examiner les déclarations de tout client certifié concernant ses activités (par exemple, matériel promotionnel, site web) ;
  • demandes adressées au client certifié afin qu'il fournisse des informations documentées (sur papier ou sur support électronique) ; et
  • autres moyens de contrôler les performances du client certifié.
Les audits de surveillance sont des audits sur site, mais ne constituent pas nécessairement des audits complets du système. Ils doivent être planifiés conjointement avec les autres activités de surveillance afin que DEKRA puisse s'assurer que le système de gestion certifié du client continue de répondre aux exigences entre les audits de recertification.
Chaque surveillance relative à la norme de système de gestion applicable doit inclure :
  • audits internes et revue de direction ;
  • un examen des mesures prises pour remédier aux non-conformités identifiées lors de l'audit précédent ;
  • traitement des réclamations ;
  • efficacité du système de gestion en ce qui concerne la réalisation des objectifs du client certifié et les résultats attendus du ou des systèmes de gestion concernés ;
  • avancement des activités prévues visant à l'amélioration continue ;
  • maintien du contrôle opérationnel ;
  • examen de toute modification ; et
  • utilisation des marques et/ou toute autre référence à la certification.

Surveillance multisite

La fonction centrale doit faire l'objet d'un audit au moins une fois par année civile dans le cadre de la surveillance.

Surveillance SEP

Les audits de surveillance doivent être réalisés conformément aux normes ISO 50003 et ISO/IEC 17021-1.
Les exigences de la norme ANSI/MSE 50028-1 doivent être incluses dans les plans d'audit en tant que critères pour les audits de surveillance.
Les audits de surveillance ne nécessitent pas un examen des exigences du protocole de certification SEP ou du protocole SEP M&V, à une exception près. L'exception concerne l'ajout de sites supplémentaires au cours d'un audit de surveillance. Le SEP PV de l'organisation doit remplir les rapports d'amélioration de la performance énergétique SEP pour chaque site ajouté au cours d'un audit de surveillance. Le PV SEP de l'organisation doit soumettre les rapports d'amélioration de la performance énergétique SEP à l'AP SEP. L'auditeur principal pour le SEP doit vérifier les valeurs p, le test F, le R2 et le facteur RF conformément au protocole SEP M&V. Au cours des audits de surveillance, DEKRA doit examiner les preuves d'audit nécessaires afin de déterminer si une amélioration continue de la performance énergétique a été démontrée.
Les audits de surveillance doivent viser à confirmer que le système de gestion et la performance énergétique ont été maintenus de manière efficace, en examinant les processus du système de gestion ainsi que les mesures et les tendances en matière de performance énergétique. Cela doit inclure :
  • copies de la dernière revue de direction,
  • résultats du dernier audit interne, y compris les détails de la mise en œuvre des mesures correctives pour toutes les constatations, et
  • copies de tous les nouveaux documents et de tous les nouveaux systèmes mis en place depuis le dernier audit.
Les mesures et tendances en matière de performance énergétique doivent inclure :
  • modifications apportées au processus de planification énergétique,
  • Indicateurs de performance énergétique EnMS,
  • corrections ou mesures correctives résultant de changements significatifs des indicateurs de performance énergétique,
  • état d'avancement des objectifs énergétiques et des cibles connexes, et
  • examen de la gestion par l'organisation des écarts significatifs.
Les audits de surveillance n'incluent pas l'examen du modèle de mesure et de vérification ni la vérification de la performance SEnPI par un vérificateur de performance SEP.
Aucune modification ne doit être apportée au certificat si l'amélioration de la performance énergétique diffère de la certification initiale pendant la période de surveillance. Les modifications ne peuvent être apportées que pendant la période de recertification.

Surveillance aérospatiale

Toutes les clauses de la norme AQMS applicable (à l'exception des exigences jugées non applicables dans le cadre du champ d'application déterminé) et les processus de l'organisation qui font partie du SMQ doivent être audités au cours des audits de surveillance au cours d'un cycle de certification. La ou les méthodes d'audit à utiliser (par exemple, audits sur des problèmes, des domaines, des produits ou des sous-processus spécifiques) doivent être basées sur les résultats de l'examen par l'équipe d'audit des données de performance du SMQ, y compris la conformité des produits et l'OTD.
Les conclusions détaillées de l'audit, y compris les références aux processus audités, à la documentation des processus et aux enregistrements associés, doivent être consignées.
L'équipe d'audit doit vérifier l'efficacité des mesures correctives prises pour remédier aux non-conformités (le cas échéant) identifiées lors de l'audit précédent.
S'il y a plus d'un audit de surveillance au cours d'une année (par exemple, tous les six mois), certaines activités (par exemple, les entretiens avec la direction) peuvent être réparties sur plusieurs audits.

Surveillance des dispositifs médicaux (ISO 13485)

(MD9 9.3.2.1) Outre les exigences de la norme 17021-1, le programme de surveillance doit inclure un examen des mesures prises pour signaler les événements indésirables, les avis consultatifs et les rappels.

Surveillance du SMSI

Les procédures d'audit de surveillance doivent être conformes à celles relatives à l'audit de certification du SMSI du client, telles que décrites dans la présente Norme internationale.
La surveillance a pour objectif de vérifier que le SMSI approuvé continue d'être mis en œuvre, d'examiner les implications des modifications apportées à ce système à la suite de changements dans les activités du client et de confirmer le maintien de la conformité aux exigences de certification. Les programmes d'audit de surveillance doivent couvrir au moins les éléments suivants :
  • les éléments de maintenance du système tels que l'évaluation et le contrôle des risques liés à la sécurité de l'information, l'audit interne du SMSI, la revue de direction et les mesures correctives ;
  • communications provenant de parties externes, conformément à la norme ISO/IEC 27001 relative aux systèmes de management de la sécurité de l'information et aux autres documents requis pour la certification ;
  • modifications apportées au système documenté ;
  • zones susceptibles d'être modifiées ;
  • exigences sélectionnées de la norme ISO/IEC 27001 ;
  • autres domaines sélectionnés, le cas échéant.
Au minimum, chaque surveillance effectuée par DEKRA doit porter sur les éléments suivants :
  • l'efficacité du SMSI en ce qui concerne la réalisation des objectifs de la politique de sécurité de l'information du client ;
  • le fonctionnement des procédures d'évaluation et de révision périodiques du respect des lois et règlements applicables en matière de sécurité de l'information ;
  • les modifications apportées aux contrôles déterminés et les modifications qui en résultent pour la SoA ;
  • mise en œuvre et efficacité des contrôles conformément au programme d'audit.
DEKRA doit être en mesure d'adapter son programme de surveillance aux problèmes de sécurité de l'information liés aux risques et aux impacts sur le client et de justifier ce programme.
Les audits de surveillance peuvent être combinés avec des audits d'autres systèmes de gestion. Le rapport doit clairement indiquer les aspects pertinents pour chaque système de gestion.
Au cours des audits de surveillance, DEKRA vérifie les registres des recours et des plaintes déposés auprès de DEKRA et, lorsqu'une non-conformité ou un manquement aux exigences de la certification est constaté, que le client a enquêté sur son propre SMSI et ses procédures et pris les mesures correctives appropriées.
Un rapport de surveillance doit notamment contenir des informations sur la résolution des non-conformités précédemment constatées, la version du rapport d'assurance et les changements importants intervenus depuis l'audit précédent. Les rapports issus de la surveillance doivent au minimum couvrir l'ensemble des exigences ci-dessus.

Octroi de la recertification

L'audit de recertification a pour objectif de confirmer la conformité et l'efficacité continues du système de management dans son ensemble, ainsi que sa pertinence et son applicabilité continues pour le champ d'application de la certification. DEKRA prend ses décisions concernant le renouvellement de la certification sur la base des résultats de l'audit de recertification, ainsi que des résultats de l'examen du système au cours de la période de certification et des plaintes reçues des utilisateurs de la certification.
Les informations requises pour le dossier de recertification sont les mêmes que celles requises pour le dossier de certification initiale.
Un audit de recertification doit être planifié et réalisé afin d'évaluer le maintien de la conformité à toutes les exigences de la norme de système de management applicable ou d'un autre document normatif. Cet audit doit être planifié et réalisé en temps utile afin de permettre le renouvellement du certificat avant sa date d'expiration.
L'auditeur principal doit s'assurer que tous les rapports précédents du cycle de certification en cours sont examinés avant l'audit et utilisés pour modifier les dispositions relatives à l'audit de recertification, si nécessaire.
Les activités d'audit de recertification peuvent nécessiter une étape 1 dans les situations où des changements importants ont été apportés au système de management, à l'organisation ou au contexte dans lequel le système de management fonctionne (par exemple, des changements législatifs).
De tels changements peuvent survenir à tout moment au cours du cycle de certification et DEKRA peut être amenée à réaliser un audit spécial qui peut ou non être un audit en deux étapes.
L'audit de recertification comprendra un audit sur site qui portera sur les points suivants :
  • l'efficacité du système de management dans son ensemble à la lumière des changements internes et externes, ainsi que sa pertinence et son applicabilité continues au champ d'étendue de la certification ;
  • engagement démontré à maintenir l'efficacité et l'amélioration du système de gestion afin d'améliorer la performance globale ;
  • l'efficacité du système de management par rapport à la réalisation des objectifs du client certifié et aux résultats attendus du ou des systèmes de management concernés.
Pour toute non-conformité majeure, DEKRA définira des délais pour la correction et les mesures correctives. Ces mesures doivent être mises en œuvre et vérifiées avant l'expiration de la certification.
Lorsque les activités de recertification sont menées à bien avant la date d'expiration de la certification existante, la date d'expiration de la nouvelle certification peut être basée sur la date d'expiration de la certification existante. La date de délivrance d'un nouveau certificat doit être postérieure ou égale à la date de la décision de recertification.
Si DEKRA n'a pas terminé l'audit de recertification ou si DEKRA n'est pas en mesure de vérifier la mise en œuvre des corrections et des mesures correctives pour toute non-conformité majeure avant la date d'expiration de la certification, la recertification ne sera pas recommandée et la validité de la certification ne sera pas prolongée. Le client doit en être informé et les conséquences doivent lui être expliquées.
À l'expiration de la certification, DEKRA peut rétablir la certification dans un délai de 6 mois à condition que les activités de recertification en suspens soient achevées, sinon au moins une étape 2 doit être effectuée. La date d'entrée en vigueur figurant sur le certificat doit être postérieure à la date de la décision de recertification et la date d'expiration doit être basée sur le cycle de certification précédent.

Recertification multisite

La fonction centrale doit être auditée lors de chaque audit de recertification.

Recertification EnMS

Au cours de l'audit de recertification, DEKRA examine les preuves d'audit nécessaires afin de déterminer si une amélioration continue de la performance énergétique a été démontrée avant de prendre une décision de recertification.
L'audit de recertification doit également tenir compte de tout changement majeur apporté aux installations, équipements, systèmes ou processus.
La confirmation de l'amélioration continue de la performance énergétique est requise pour l'octroi de la recertification. L'amélioration de la performance énergétique peut être influencée par des changements dans les installations, les équipements, les systèmes ou les processus, des changements dans les activités ou d'autres conditions qui entraînent une modification ou la nécessité de modifier la base de référence énergétique.
Les exigences supplémentaires de la norme ANSI/MSE 50028 et des autres documents normatifs de l'ANSI/MSE 50028 doivent être prises en compte dans la décision de recertification.
Pour le renouvellement de la certification, un audit de niveau 1 est requis si le client change la voie de certification SEP choisie ou modifie le modèle SEnPI de telle sorte qu'il nécessite désormais l'approbation de l'administrateur SEP conformément au protocole de mesure et de vérification spécifique au secteur concerné. L'audit de niveau 1 peut être réalisé hors site.
Lors des audits de recertification, si le client certifié n'est pas en mesure de démontrer les améliorations de performance énergétique de la voie de certification SEP choisie, DEKRA examine le statut de la certification ISO 50001 et informe le client que la certification SEP a été suspendue. Le client est invité à présenter une nouvelle demande lorsque cela est approprié.
Le fait qu'un client ou un client certifié ne donne pas suite aux mesures correctives issues d'un audit de certification ou de recertification entraîne une escalade du problème. DEKRA suit alors la procédure standard d'escalade.

Audits de recertification aérospatiale

L'audit de recertification doit être planifié au moins trois mois avant la date d'expiration du certificat actuel. La « portée de la certification » doit être vérifiée avant chaque audit de recertification. Tout changement du statut d'approbation du client doit être examiné par l'équipe d'audit afin de déterminer son impact sur le statut de la certification. Au cours des activités sur site pour la recertification, le SMQ et les processus de l'organisation nécessaires au SMQ doivent être audités pour vérifier leur conformité, y compris la détermination de leur efficacité.
  • Le SMQ de l'organisation, les processus associés et les informations documentées doivent être revus afin de détecter tout changement.
  • Les conclusions détaillées de l'audit, y compris les références aux processus audités et aux informations documentées, doivent être consignées.
  • L'équipe d'audit doit vérifier l'efficacité des mesures correctives prises pour remédier aux non-conformités (le cas échéant) identifiées lors de l'audit précédent.
  • La nomination d'une nouvelle équipe d'audit pourrait justifier un audit complet ou partiel de phase 1, y compris une visite sur place de l'équipe d'audit.

Recertification ISMS

Les procédures d'audit de recertification doivent être conformes à celles relatives à l'audit de certification initiale du SMSI du client, telles que décrites dans la norme ISO 27006.
Le délai accordé pour mettre en œuvre les mesures correctives doit être adapté à la gravité de la non-conformité et au risque associé pour la sécurité de l'information.

Audits spéciaux

Élargissement du champ d'application

DEKRA, en réponse à une demande d'extension de la portée d'une certification déjà accordée, procède à un examen, ou charge l'auditeur principal de procéder à un examen, de la demande et détermine les activités d'audit nécessaires pour décider si l'extension peut être accordée ou non. Cela peut être effectué en conjonction avec un audit de surveillance.
Lorsqu'un client subit un changement au sein de son organisation, une modification du champ d'application peut s'avérer nécessaire. Le processus suivant détaille les responsabilités et les pouvoirs liés à la modification du champ d'application de la certification. Le client ou l'auditeur informe le bureau DEKRA qu'une modification du champ d'application est nécessaire. Le champ d'application peut être réduit ou élargi afin de refléter les processus actuels du client.
L'auditeur principal recommande de poursuivre le processus avec ou sans audit. Lorsque le champ d'application est élargi, l'auditeur principal doit confirmer que toutes les activités d'audit nécessaires ont été réalisées et/ou procéder à une extension du champ d'application sur site. En cas de simple réduction du champ d'application (par exemple, suppression d'un produit de la liste des produits ou erreur orthographique), aucun audit n'est nécessaire.
Le service clientèle évalue la demande de modification, la recommandation du responsable de l'audit et détermine le niveau de suivi nécessaire, puis oriente l'auditeur si nécessaire.
Pour les certificats AS9100, toute extension (mais pas toute réduction) du champ d'application nécessite toujours un audit spécial avant que la modification puisse être traitée par le bureau DEKRA.
Remarque: les corrections de mots mal orthographiés ne nécessitent pas de décision de certification ni le suivi de cette procédure (elles sont considérées comme des corrections typographiques et ne modifient pas le sens des informations figurant sur le certificat).
Si aucun audit n'est nécessaire pour effectuer la modification et que l'auditeur a reçu la demande de modification du périmètre de certification de la part du client, l'auditeur transmet toutes les informations pertinentes au bureau DEKRA. Dès réception de ces informations, le service clientèle prépare un dossier de révision de la certification.
Le responsable de la certification peut approuver ou rejeter la modification du champ d'application en attendant des activités d'audit supplémentaires.

Audits à court terme

Il peut être nécessaire pour DEKRA de réaliser des audits chez des clients certifiés à court terme ou sans préavis afin d'enquêter sur des plaintes, ou en réponse à des changements, ou dans le cadre du suivi de clients dont la certification a été suspendue. Ces audits peuvent être qualifiés d'« audits à court terme » ou d'« audits spéciaux » (pour AS et ISO 45001).
Dans ce cas :
  • DEKRA décrira et communiquera à l'avance aux clients certifiés les conditions dans lesquelles ces audits seront réalisés ;
  • DEKRA fera preuve d'une vigilance particulière lors de la désignation de l'équipe d'audit, étant donné que le client n'a pas la possibilité de s'opposer à la composition de cette équipe.
DEKRA peut exiger la réalisation d'audits spéciaux au cours du cycle de certification dans l'une des situations suivantes :
  • En réponse à une demande d'un client d'un client ou d'une autre partie intéressée lorsqu'un problème grave a été identifié (étayé par des preuves objectives)
  • En réponse à une demande d'un client visant à modifier la portée de l'enregistrement, à changer l'emplacement, à réviser, ajouter ou supprimer des sites.
  • En réponse à une demande de transfert (prise en charge) d'un certificat provenant d'un autre CB
  • Dans le cadre des mesures correctives prises par DEKRA à la suite des non-conformités signalées à DEKRA par AB (exemple : temps passé sur site insuffisant lors du dernier audit chez un client spécifique)
  • En réponse à des informations provenant d'organismes réglementaires ou d'autres parties intéressées lorsqu'un problème grave a été identifié (étayé par des preuves objectives)
  • En réponse à des plaintes, à des changements ou dans le cadre du suivi de clients suspendus (des audits à court terme peuvent être nécessaires)
  • En réponse à une suspension demandée par un client afin d'évaluer la suspension en vue de la décision à prendre (levée de la suspension, maintien de la suspension, escalade vers le retrait).
Un audit inopiné ou à court terme peut également s'avérer nécessaire si DEKRA a des raisons valables de douter de la mise en œuvre des mesures correctives ou du respect des exigences normatives et réglementaires.
Ces audits doivent être coordonnés avec le client avant la date prévue pour l'audit spécial. Les raisons spécifiques et les objectifs spécifiques de l'audit spécial seront communiqués au client.
Si la demande émane du client du client ou d'une autre partie intéressée, le demandeur sera informé à l'avance des dates de l'audit et sera également informé des résultats de l'audit. Le service clientèle/l'auditeur recueillera les informations pertinentes auprès du demandeur afin de justifier l'audit spécial.
La direction de DEKRA examine les informations afin de déterminer si un audit spécial est nécessaire. Si aucun audit spécial n'est requis, le cycle d'audit normal se poursuit.
Le service clientèle établit un devis pour l'audit spécial et le soumet au client. DEKRA décrit et communique à l'avance au client certifié les conditions dans lesquelles l'audit spécial sera réalisé.
Le planificateur doit suivre les directives spécifiées dans la procédure de sélection, d'affectation et de planification de l'équipe d'audit et sélectionner l'équipe d'audit compétente.
Responsable de compte / Auditeur : un plan d'audit doit être préparé et soumis au client avant l'audit spécial prévu. Le plan d'audit doit clairement indiquer la portée de l'audit, les dates, la durée, l'équipe d'audit et l'ordre du jour.
Les audits spéciaux pour les normes ISO peuvent être réalisés par tout auditeur principal qualifié. L'auditeur recommande si l'audit spécial est suffisant ou non et si des mesures supplémentaires sont nécessaires.
DEKRA suivra la procédure établie pour la révision de la certification. Si les résultats de l'audit spécial ne sont pas suffisants, DEKRA suivra la procédure établie pour la suspension et le retrait ou poursuivra le processus de mesures correctives. Les résultats de l'audit spécial seront communiqués au demandeur de l'audit spécial. Le service clientèle mettra à jour toutes les bases de données externes requises, telles que OASIS.

Audits spéciaux dans le domaine aérospatial

Des audits spéciaux doivent être réalisés, au cours du cycle de certification, dans l'une des situations suivantes :
  • Demande d'une organisation visant à réviser la portée de sa certification existante, la structure de sa certification, le nombre de sites et/ou d'emplacements ; et
  • Transfert d'une certification d'un CB à un autre
Bien que les « audits spéciaux » ne figurent pas dans le programme d'audit, ils peuvent être réalisés après la certification initiale, sur demande expresse. Un audit spécial peut être réalisé à la demande d'un client ou d'une autre partie intéressée, lorsqu'un problème grave (étayé par des preuves objectives) a été identifié.
Les audits spéciaux doivent être coordonnés avec l'organisation avant la visite. L'organisation doit être informée de la raison spécifique et de l'objet de la visite. Les résultats détaillés de l'audit, y compris les références aux processus audités et aux informations documentées, doivent être consignés.
L'utilisation du rapport sur la matrice des processus du SMQ et du PEAR lors d'un audit spécial dépend de la raison pour laquelle l'audit est effectué.

Audits spéciaux OHS (45001)

Indépendamment de l'intervention de l'autorité réglementaire compétente, un audit spécial peut être nécessaire si DEKRA constate qu'un incident grave lié à la santé et à la sécurité au travail, par exemple un accident grave ou une infraction grave à la réglementation, s'est produit, afin de vérifier si le système de gestion n'a pas été compromis et s'il a fonctionné efficacement. DEKRA consigne les résultats de son enquête.
Les informations relatives à des incidents tels qu'un accident grave ou une infraction grave à la réglementation nécessitant l'intervention de l'autorité réglementaire compétente, fournies par le client certifié ou recueillies directement par l'équipe d'audit lors de l'audit spécial, constituent pour DEKRA un motif suffisant pour décider des mesures à prendre, y compris la suspension ou le retrait de la certification, dans les cas où il peut être démontré que le système n'a pas satisfait de manière grave aux exigences de la certification SST. Ces exigences font partie intégrante des accords contractuels conclus entre DEKRA et l'organisation.

Audits à court terme des dispositifs médicaux (ISO 13485)

(MD9 9.5.2) Des audits à court terme peuvent être exigés dans les cas suivants :
  • Des facteurs externes s'appliquent, tels que :
    • Les données de surveillance post-commercialisation dont dispose DEKRA concernant les dispositifs en question indiquent une déficience potentielle significative du système de gestion de la qualité.
    • informations importantes relatives à la sécurité portées à la connaissance de DEKRA
  • Des changements importants surviennent, qui ont été soumis conformément à la réglementation ou portés à la connaissance de DEKRA, et qui pourraient avoir une incidence sur la décision relative à la conformité du client aux exigences réglementaires. Voici quelques exemples de changements qui pourraient être importants et pertinents pour DEKRA lorsqu'elle estime qu'un audit spécial est nécessaire, bien qu'aucun de ces changements ne doive automatiquement déclencher un audit spécial :
    • Système de gestion de la qualité (SGQ) – impact et changements :
      • nouveau propriétaire
      • extension au contrôle de la fabrication et/ou de la conception
      • nouvelle installation, changement de site
      • modification de l'exploitation du site lié à l'activité de fabrication (par exemple, transfert de l'activité de fabrication vers un nouveau site ou centralisation des fonctions de conception et/ou de développement pour plusieurs sites de fabrication)
    • nouveaux processus, changements de processus
      • modifications importantes apportées aux procédés spéciaux (par exemple, passage d'une stérilisation effectuée par un fournisseur à une stérilisation effectuée sur place ou modification de la méthode de stérilisation)
    • Gestion de la qualité, personnel
      • modifications apportées aux pouvoirs définis du représentant de la direction qui ont une incidence sur
  • Efficacité du système de gestion de la qualité ou conformité réglementaire
    • La capacité et l'autorité nécessaires pour garantir que seuls des dispositifs médicaux sûrs et efficaces sont mis sur le marché.
  • Modifications liées au produit :
    • nouveaux produits, catégories
    • ajout d'une nouvelle catégorie de dispositifs au champ d'application de la fabrication dans le système de gestion de la qualité (par exemple, ajout de kits de dialyse stériles à usage unique à un champ d'application existant limité aux équipements d'hémodialyse, ou ajout de l'imagerie par résonance magnétique à un champ d'application existant limité aux équipements à ultrasons)
  • Modifications liées au système de gestion de la qualité et aux produits :
    • changements dans les normes, les réglementations
    • surveillance post-commercialisation, vigilance

Audits spéciaux ISMS

Les activités nécessaires à la réalisation d'audits spéciaux font l'objet de dispositions particulières si un client disposant d'un SMSI certifié apporte des modifications importantes à son système ou si d'autres changements susceptibles d'affecter la base de sa certification interviennent.

Pré-audits

Les évaluations des écarts ou pré-audits (il s'agit de la même activité, ci-après dénommée « pré-audits ») constituent un autre type d'audit spécial DEKRA. Ils sont gérés de la même manière que toute activité d'audit spécial requise. Les pré-audits aérospatiaux sont effectués avant la phase 1 et sont exigés par l'accréditation DEKRA, tandis que d'autres types de pré-audits peuvent ne pas être obligatoires, mais demandés par les clients.
Les auditeurs chargés des pré-audits doivent être compétents et agréés pour la norme du client.
Les auditeurs chargés des pré-audits ne doivent pas nécessairement être compétents dans le domaine technique spécifique du client (code IAF). Par conséquent, la fonction « Membre de l'équipe » dans la base de données DEKRA peut être utilisée pour désigner un pré-auditeur.
Les auditeurs peuvent utiliser le « Modèle de rapport de pré-audit » et consigner les preuves et les personnes interrogées comme dans tous les autres audits. Le Modèle de rapport de pré-audit n'est généralement pas accessible aux auditeurs dans le cloud et doit être envoyé directement à l'auditeur dans le cadre de tout dossier de pré-audit.

Pré-audits aérospatiaux – exigences supplémentaires

Plus d'un pré-audit sera considéré comme une prestation de conseil.

Suspension, retrait ou réduction de la portée de la certification

DEKRA applique la politique et les procédures documentées ci-dessous en matière de suspension, de retrait ou de réduction de la portée de la certification, qui précisent les mesures prises par DEKRA dans la foulée.

Annulation

Les demandes d'annulation doivent émaner du client et peuvent être incluses dans un rapport d'audit. La demande doit être immédiatement transmise au service clientèle.
Le service clientèle envoie une lettre d'annulation de certification au client et la conserve dans le dossier client.
Le service clientèle supprime les dates d'audit futures de la base de données DEKRA, enregistre le compte perdu et la raison, puis marque le client comme inactif dans le(s) système(s) de gestion des relations.
Le service clientèle informe le service comptable et les autres entités DEKRA (telles que le service médical, TS) par e-mail de l'annulation, en mettant en copie les directeurs et le service informatique afin que le client soit supprimé de la liste des clients certifiés sur le site web.

Suspension et retrait

DEKRA suspendra la certification dans les cas suivants :
  • le système de gestion certifié du client n'a pas satisfait de manière persistante ou grave aux exigences de certification, y compris aux exigences relatives à l'efficacité du système de gestion ;
  • le client certifié n'autorise pas la réalisation d'audits de surveillance ou de recertification à la fréquence requise ;
  • le client certifié a volontairement demandé une suspension.
Les raisons spécifiques supplémentaires justifiant une suspension comprennent :
  • Non-conformités majeures pouvant entraîner un produit non conforme
  • Non-clôture d'un NCR majeur dans les délais impartis
  • Non-respect des conditions de l'accord de certification
  • Pour les clients TL 9000, défaut de mise à jour de la base de données QuEST dans les délais requis.
  • Pour les clients AS9100, omission de mettre à jour l'administrateur du site dans la base de données OASIS.
  • Pour les clients ISO 45001, le fait de ne pas démontrer leur engagement continu à respecter la conformité légale (voir la section 9.5 sur la décision de certification pour les exceptions).
En cas de suspension, la certification du système de gestion du client est temporairement invalide.
La suspension menant au retrait est utilisée lorsqu'un client n'a pas respecté les conditions de l'accord de certification. Toute personne peut recommander la suspension ou le retrait d'un certificat. Le responsable de la certification décide s'il existe un motif valable pour la suspension.
Le directeur général, le directeur technique ou la personne désignée rédige une lettre de suspension, l'envoie au client et en transmet une copie au gestionnaire de compte et à l'auditeur. Le service clientèle met à jour les bases de données internes et externes, y compris OASIS et le site web de DEKRA, afin de refléter la suspension de la certification dans un délai de 14 jours civils. (Les normes spécifiques à l'industrie ont des exigences particulières en matière de notification dans les bases de données). Le service clientèle suspend la programmation des audits futurs.
DEKRA rétablira la certification suspendue si le problème ayant entraîné la suspension a été résolu.
Si les problèmes ayant entraîné la suspension ne sont pas résolus dans le délai fixé par DEKRA, la certification sera retirée ou son champ d'application sera réduit.
Le directeur technique décide si le client a pris des mesures suffisantes pour résoudre la cause de la suspension dans un délai raisonnable. Si plus de six mois s'écoulent, le certificat est retiré, sauf en cas d'urgence due à un cas de force majeure. Si des mesures suffisantes sont prises, une lettre positive est envoyée au client, avec copie au responsable de compte et à l'auditeur, et les bases de données requises (QuEST, OASIS) sont mises à jour.

Réduction de la portée

Au lieu d'une suspension, DEKRA peut réduire la portée de la certification du client afin d'exclure les pièces non conformes aux exigences, lorsque le client certifié a manqué de manière persistante ou grave aux exigences de certification pour ces pièces relevant du champ d'application de la certification. Toute réduction de ce type doit être conforme aux exigences de la norme utilisée pour la certification.
Les clients peuvent également demander une réduction. Aucun audit spécial n'est nécessaire pour réduire la portée.

Retrait multisite – exigences supplémentaires

La documentation relative à la certification sera retirée dans son intégralité si l'un des sites ne remplit pas les conditions nécessaires au maintien de la certification.

Pour SEP

DEKRA informera l'administrateur SEP de tout changement dans le statut de certification.

Suspension et retrait dans le secteur aérospatial – exigences supplémentaires

Dans les cas où le retrait de la certification est limité à une norme AQMS spécifique, le certificat doit être réémis pour les autres normes qui n'ont pas été affectées.
DEKRA engagera la procédure de suspension de la certification du client lorsqu'une organisation ne parvient pas à démontrer que la conformité à la norme applicable a été rétablie dans les 60 jours suivant la publication d'un rapport de non-conformité (NCR).
DEKRA veillera à ce que la base de données OASIS soit mise à jour lorsque le ou les certificats standard AQMS d'une organisation sont suspendus ou retirés. Cette mise à jour sera effectuée par DEKRA dans un délai de 14 jours calendaires afin de refléter tout changement dans le statut de certification d'une organisation.

Appels

DEKRA applique la procédure documentée ci-dessous pour recevoir, évaluer et statuer sur les recours.
Le processus de traitement des recours comprend les éléments et méthodes suivants : a) une description du processus de réception, de validation et d'examen des recours, ainsi que de la prise de décision quant aux mesures à prendre en réponse à ceux-ci, en tenant compte des résultats de recours similaires antérieurs ; b) le suivi et l'enregistrement des recours, y compris les mesures prises pour les résoudre ; c) la garantie que toute correction et mesure corrective appropriée sont prises.
DEKRA est responsable de toutes les décisions prises à tous les niveaux du processus de traitement des recours. La direction générale doit veiller à ce que les personnes chargées du traitement des recours soient différentes de celles qui ont effectué les audits et pris les décisions de certification. DEKRA doit être responsable de la collecte et de la vérification de toutes les informations nécessaires à la validation du recours.
La soumission, l'examen et la décision sur les recours ne doivent entraîner aucune mesure discriminatoire à l'encontre du requérant.

Procédure d'appel

  1. Toute personne peut introduire un recours en utilisant le Centre de résolution DEKRA (DRC) . Les recours communiqués directement à un employé DEKRA doivent être enregistrés au nom du requérant, en utilisant l'adresse e-mail de contact du requérant indiquée dans le formulaire en ligne.
  2. DEKRA accusera réception de l'appel et fournira à l'appelant des rapports d'avancement et le résultat de l'appel. Le DRC accuse automatiquement réception de l'appel à l'adresse e-mail de contact de l'appelant.
  3. Tous les appels sont automatiquement attribués au sein du DRC pour enquête au directeur technique ou à son représentant (ci-après dénommé « enquêteur »). Si l'appel concerne une décision de certification prise par le directeur technique ou son représentant, l'appel sera réattribué à un autre directeur.
  4. L'enquêteur suivra l'état d'avancement de l'appel par tout moyen permettant de faire rapport à tout moment à l'appelant ou à l'ANAB.
  5. L'enquêteur recueillera et vérifiera les preuves afin de valider l'appel.
  6. L'enquêteur présentera les preuves à l'appelant sous la forme d'un rapport d'étape envoyé par e-mail, avec copie à tous les directeurs, et sollicitera les commentaires finaux de l'appelant.
  7. L'enquêteur décidera ensuite des mesures à prendre, le cas échéant, en tenant compte des résultats d'appels similaires, et communiquera sa décision à tous les administrateurs, en rappelant que la soumission, l'enquête et la décision relatives aux appels ne peuvent donner lieu à aucune mesure discriminatoire à l'encontre de l'appelant.
  8. Deux administrateurs réunis, ou le directeur général seul, peuvent, dans un délai de trois jours ouvrables, infirmer la décision de l'enquêteur et soumettre l'appel à la discussion et au vote à la majorité de tous les administrateurs qui ne sont pas impliqués dans l'objet de l'appel.
  9. La décision à communiquer à l'appelant doit être prise ou examinée et approuvée par une ou plusieurs personnes qui n'ont pas été impliquées auparavant dans l'objet de l'appel.
    L'enquêteur communiquera la décision finale à l'appelant par courrier électronique. Le courrier électronique rappellera également à l'appelant que l'appel « peut être porté devant l'ANAB en tant que plainte pour examen plus approfondi, conformément à la Charte des droits et responsabilités des clients de l'ANAB en matière de certification ».
  10. Si une mesure corrective DEKRA est indiquée à la suite de l'appel, elle sera traitée conformément à la procédure DEKRA relative aux mesures correctives.
  11. L'enquêteur consignera la résolution de l'appel et toutes les mesures qui en découlent par tout moyen permettant à l'ANAB de procéder à une évaluation.
  12. DEKRA informera officiellement le requérant de la fin de la procédure de traitement des recours.

Pour SEP

DEKRA veillera à ce que le vérificateur de performance SEP chargé du traitement des recours soit une personne différente de celle qui a effectué la vérification associée à la décision de certification.

Pour TL9000

DEKRA doit mettre en place une procédure pour régler les litiges relatifs à l'interprétation de la norme TL 9000.

Réclamations

DEKRA applique la procédure documentée ci-dessous pour recevoir, évaluer et statuer sur les réclamations. Cette procédure doit être soumise à des exigences de confidentialité, car elle concerne le plaignant et l'objet de la réclamation.
Le processus de traitement des plaintes comprend les éléments et méthodes suivants : a) une description du processus de réception, de validation et d'examen des plaintes, ainsi que des mesures à prendre pour y donner suite ; b) le suivi et l'enregistrement des plaintes, y compris les mesures prises pour y donner suite ; et c) la garantie que toute correction et mesure corrective appropriée sont prises.
DEKRA doit être responsable de toutes les décisions prises à tous les niveaux du processus de traitement des réclamations.
Le dépôt, l'examen et la décision concernant les plaintes n'entraîneront aucune mesure discriminatoire à l'encontre du plaignant. DEKRA est chargée de recueillir et de vérifier toutes les informations nécessaires pour valider la plainte.

Procédure de réclamation

  1. Toute personne peut déposer une plainte en utilisant le Centre de résolution DEKRA (DRC) . Les plaintes communiquées directement à un employé, un auditeur ou un autre représentant DEKRA doivent être enregistrées au nom du plaignant réel, en utilisant l'adresse e-mail de contact du plaignant dans le formulaire en ligne.
  2. Dans la mesure du possible, DEKRA accusera réception de la plainte et fournira au plaignant des rapports d'avancement et le résultat de la plainte. Le DRC accuse automatiquement réception de la plainte à l'adresse e-mail de contact du plaignant.
  3. Toutes les plaintes sont automatiquement attribuées au sein du DRC au directeur technique ou à son représentant (ci-après dénommé « enquêteur »). Si la plainte concerne une décision de certification prise par le directeur technique, elle sera réattribuée.
  4. Dès réception d'une plainte, DEKRA vérifie si celle-ci concerne des activités de certification relevant de sa responsabilité et, le cas échéant, la traite. Si la plainte concerne un client certifié, l'examen de la plainte porte également sur l'efficacité du système de management certifié.
  5. Tous les commentaires reçus sont examinés et, si une réponse est demandée, celle-ci est fournie dans les 30 jours civils suivant la réception de la plainte.
  6. Toutes les demandes de mesures correctives doivent recevoir une réponse dans les 30 jours civils suivant la réception de la plainte.
  7. DEKRA est responsable du traitement de toutes les réclamations. Les réclamations qui ne peuvent être résolues par DEKRA sont transmises à l'AB.
  8. L'enquêteur mènera l'enquête, recueillera et vérifiera les preuves afin de valider la plainte et déterminera si celle-ci concerne les activités de DEKRA, celles d'un client certifié ou celles d'une autre personne.
  9. Si la plainte concerne un client ou un individu, ses informations seront traitées de manière confidentielle, conformément aux dispositions relatives à la confidentialité de la norme ISO 17021-1.
  10. L'enquêteur suivra l'état d'avancement de la plainte par tout moyen permettant de fournir à tout moment un rapport complet et non confidentiel au plaignant ou un rapport confidentiel à l'ANAB ou aux organismes de réglementation.
  11. L'enquêteur présentera les preuves non confidentielles au plaignant sous la forme d'un rapport d'étape envoyé par e-mail, avec copie à tous les directeurs, et sollicitera les commentaires finaux du plaignant.
  12. Si des informations confidentielles existent, l'enquêteur présentera toutes les preuves, y compris les informations confidentielles, dans un courriel séparé à tous les administrateurs, en rappelant qu'« aucune information concernant un client certifié ou une personne en particulier ne peut être divulguée à un tiers sans le consentement écrit du client certifié ou de la personne concernée ».
  13. L'enquêteur décidera ensuite des mesures à prendre, le cas échéant, en tenant compte des résultats d'autres plaintes similaires, et communiquera sa décision à tous les administrateurs, en rappelant que « le dépôt, l'enquête et la décision relative à une plainte ne peuvent donner lieu à aucune mesure discriminatoire à l'encontre du plaignant ».
  14. Deux administrateurs réunis, ou le directeur général seul, peuvent, dans un délai de trois jours ouvrables, infirmer la décision de l'enquêteur et soumettre la plainte à la discussion et au vote à la majorité de tous les administrateurs qui ne sont pas impliqués dans l'objet de la plainte.
  15. La décision à communiquer au plaignant doit être prise ou examinée et approuvée par une ou plusieurs personnes qui n'ont pas été impliquées auparavant dans l'objet de la plainte.
  16. L'enquêteur communiquera la décision finale au plaignant par courrier électronique. Le courrier électronique rappellera également au plaignant que la plainte peut être « transmise à l'ANAB pour examen complémentaire, conformément à la Charte des droits et responsabilités des clients de l'ANAB en matière de certification ».
  17. Si DEKRA est tenue par la loi ou autorisée par un accord contractuel (comme avec l'ANAB) à partager des informations, l'organisme compétent doit également être mis en copie de l'e-mail. L'enquêteur enverra également à l'organisme compétent un e-mail séparé contenant toutes les preuves, confidentielles et non confidentielles, ainsi que la décision finale concernant la plainte.
  18. Si une action corrective DEKRA est indiquée à la suite de la réclamation, elle sera traitée conformément à la procédure d'action corrective DEKRA. La procédure invoquée à la suite d'une réclamation doit garantir la mise en place de mesures de confinement, la vérification du rétablissement de la conformité à la norme applicable, la réalisation d'une analyse des causes profondes, la mise en œuvre de mesures correctives visant toutes les causes profondes et la fixation d'une date d'achèvement pour la mise en œuvre de toutes les mesures correctives.
  19. Si DEKRA estime qu'un audit à court terme est nécessaire, celui-ci doit être réalisé dans les 90 jours calendaires suivant la réception de la plainte.
  20. Le cessionnaire consignera la résolution de la plainte et toutes les mesures qui en découlent par tout moyen permettant à l'ANAB de procéder à une évaluation ou aux organismes de réglementation de prendre d'autres mesures, conformément à la loi.
  21. DEKRA informera officiellement le plaignant de la fin du processus de traitement des plaintes. Si un autre organisme est informé, le mandataire informera également, par courrier électronique séparé, la personne ou le client concerné des informations qui ont été communiquées.
DEKRA mettra à la disposition de l'ANAB, sur demande, toutes les plaintes et tous les recours concernant son système de certification accrédité et leur résolution, qui peuvent inclure des corrections et des mesures correctives relatives aux programmes de certification de DEKRA.
Toute réclamation valable concernant un client certifié sera également transmise par DEKRA au client certifié concerné en temps opportun. DEKRA déterminera, en collaboration avec le client certifié et le plaignant, si et, le cas échéant, dans quelle mesure l'objet de la réclamation et sa résolution doivent être rendus publics.

Pour SEP

DEKRA informera l'administrateur du SEP de toute plainte vérifiée concernant ses prestations ou celles de son personnel certifié.

Pour les SMSI

Les réclamations représentent un incident potentiel et une indication d'une éventuelle non-conformité.

Échantillonnage multisite

Une organisation multisite est définie comme une organisation couverte par un système de gestion unique comprenant une fonction centrale identifiée (qui n'est pas nécessairement le siège de l'organisation) où certains processus/activités sont planifiés et contrôlés, et un certain nombre de sites (permanents, temporaires ou virtuels) où ces processus/activités sont réalisés en tout ou en partie.
Une organisation multi-sites n'est pas nécessairement une entité juridique unique (différents sites peuvent appartenir à la même entité juridique ou non). Toute considération juridique concernant le système de management de l'organisation s'étendant sur une seule entité juridique ou plusieurs entités juridiques n'est généralement pas pertinente pour l'audit du système de management et, sauf indication contraire, n'est pas couverte par l'IAF MD1. Tous les sites doivent avoir un lien juridique ou contractuel avec la fonction centrale de l'organisation et être soumis à un système de management commun, qui est défini, établi et soumis à une surveillance continue et à des audits internes par la fonction centrale. Cela signifie que la fonction centrale a le droit d'exiger que les sites mettent en œuvre des mesures correctives lorsque cela est nécessaire dans n'importe quel site. Le cas échéant, cela doit être précisé dans l'accord formel entre la fonction centrale et les sites. L'organisation doit identifier son emplacement central ; c'est là que le contrôle opérationnel et l'autorité de la direction générale de l'organisation s'exercent sur tous les sites. Il n'est pas nécessaire que la fonction centrale soit située sur un seul site. La fonction centrale fait partie de l'organisation et ne doit pas être sous-traitée à une organisation externe. La fonction centrale doit disposer de l'autorité organisationnelle nécessaire pour définir, établir et maintenir un système de gestion unique et doit être soumise à un examen de gestion centralisé. Tous les sites doivent être soumis au programme d'audit interne de l'organisation.
La fonction centrale est chargée de veiller à ce que les données soient collectées et analysées sur tous les sites et doit être en mesure de démontrer son autorité et sa capacité à initier des changements organisationnels. Elle est notamment tenue de :
  1. documentation du système et modifications du système
  2. revue de direction
  3. plaintes
  4. évaluation des mesures correctives
  5. planification de l'audit interne et évaluation des résultats, et
  6. exigences légales et réglementaires relatives à la ou aux normes applicables
Un site peut comprendre l'ensemble des terrains sur lesquels sont menées les activités/processus contrôlés par une organisation à un endroit donné, y compris tout stockage connexe ou associé de matières premières, de sous-produits, de produits intermédiaires, de produits finis et de déchets, ainsi que tout équipement ou infrastructure utilisé dans le cadre des activités/processus, qu'il soit fixe ou non. À défaut, lorsque la législation l'exige, les définitions prévues dans les régimes d'autorisation nationaux ou locaux s'appliquent.
Lorsqu'il n'est pas possible de définir un emplacement (par exemple pour les services), la couverture de la certification doit tenir compte des processus/activités du siège social de l'organisation ainsi que de la prestation de ses services. Le cas échéant, DEKRA peut décider que l'audit de certification ne sera effectué que là où l'organisation fournit ses services. Dans ce cas, toutes les interfaces avec sa fonction centrale doivent être identifiées et auditées.
Les sites temporaires couverts par le système de management de l'organisme doivent faire l'objet d'audits par sondage afin de fournir la preuve du fonctionnement et de l'efficacité du système de management. Ils peuvent toutefois être inclus dans le champ d'application d'une certification multisite et figurer sur le document de certification, sous réserve d'accord entre DEKRA et l'organisme client. Lorsque des sites temporaires figurent sur les documents de certification, ils doivent être identifiés comme tels.
Les sites virtuels sont des lieux où une organisation cliente effectue un travail ou fournit un service à l'aide d'un environnement en ligne permettant à des personnes situées à différents endroits physiques d'exécuter des processus. Un site virtuel ne peut être considéré comme tel lorsque les processus doivent être exécutés dans un environnement physique, par exemple un entrepôt, des laboratoires d'essais physiques, l'installation ou la réparation de produits physiques. Un exemple de site virtuel est une organisation de conception et de développement dont tous les employés effectuent leur travail à distance, dans un environnement cloud. Un site virtuel est considéré comme un site unique aux fins du calcul du temps d'audit.
C'est le système de management de l'organisation qui doit être audité et certifié ; en outre, par définition, un audit de système de management ne repose que sur un échantillon limité des informations disponibles. Il doit toutefois être démontré que le système de management est capable d'atteindre les résultats escomptés pour tous les sites concernés.
Il est donc logique de commencer par examiner l'organisation et la mise en œuvre de son système de gestion, ainsi que le type d'échantillonnage qui pourrait être approprié, le cas échéant.
Dans le cas d'une organisation multisite où chaque site effectue des processus/activités très similaires, il peut être clairement justifié de procéder à un « échantillonnage de sites » approprié (par exemple, une chaîne de magasins franchisés d'un réseau de succursales bancaires). D'autre part, il existe des situations où l'application de l'échantillonnage de sites n'est pas appropriée. Cela peut s'expliquer par plusieurs raisons, notamment :
  1. tous les sites effectuent des processus/activités très différents en rapport avec le champ d'application du système de gestion ;
  2. le client demande que chaque site soit audité ; ou
  3. il existe un programme sectoriel ou une exigence réglementaire stipulant que chaque site doit faire l'objet d'un audit systématique.
Entre ces deux cas extrêmes, il existe de nombreuses organisations multisites dont une partie des sites effectuent des processus/activités similaires, tandis que d'autres sites sont dédiés à des processus très spécifiques qui ne sont pas effectués ailleurs dans l'organisation. Comme pour tout processus d'échantillonnage, un échantillonnage approprié des sites limite l'échantillonnage aux seuls sites qui effectuent des processus/activités très similaires, qui font partie du champ d'application de l'organisation.
Toutes les normes relatives aux systèmes de management ne peuvent pas être prises en considération pour une certification multisite. Par exemple, l'échantillonnage multisite ne serait pas adapté lorsque l'audit de facteurs locaux variables est une exigence de la norme. Des règles spécifiques s'appliquent à certains systèmes, par exemple ceux qui concernent l'aérospatiale (série AS9100) ou l'automobile (IATF 16949), et les exigences de ces systèmes prévalent (elles sont indiquées ci-dessous par système).
DEKRA limite ces prélèvements lorsque les prélèvements sur site ne permettent pas d'obtenir une assurance suffisante quant à l'efficacité du système de management audité. Ces restrictions sont définies par DEKRA en tenant compte :
  1. secteurs concernés par les processus/activités (c'est-à-dire sur la base de l'évaluation des risques ou de la complexité associés à ce secteur ou à cette activité) ;
  2. taille des sites éligibles à un audit multisite ;
  3. les variations dans la mise en œuvre locale du système de gestion afin de tenir compte de différents processus/activités ou de différents systèmes contractuels ou réglementaires ; et
  4. utilisation de sites temporaires qui fonctionnent selon le système de gestion de l'organisation, même s'ils ne sont pas mentionnés dans les documents de certification.
Lorsque l'échantillonnage multisite est utilisé pour l'audit du système de management d'un client couvrant la même activité dans différentes zones géographiques, DEKRA élabore un programme d'échantillonnage afin de garantir un audit adéquat du système de management. La justification du plan d'échantillonnage doit être documentée pour chaque client. L'échantillonnage n'est pas autorisé pour certains programmes de certification spécifiques, et lorsque des critères spécifiques ont été établis pour un programme de certification spécifique, ceux-ci doivent être appliqués. REMARQUE Lorsque plusieurs sites ne couvrent pas la même activité, l'échantillonnage n'est pas approprié.
L'échantillon doit être en partie sélectif, sur la base des facteurs énoncés ci-dessous, et en partie aléatoire, et doit permettre de sélectionner un éventail représentatif de différents sites, de manière à garantir que tous les processus couverts par le champ d'application de la certification seront audités.
  1. Au moins 25 % de l'échantillon doit être sélectionné de manière aléatoire.
  2. Compte tenu des dispositions mentionnées ci-dessous, le reste doit être sélectionné de manière à ce que les différences entre les sites sélectionnés pendant la période de validité du certificat soient aussi grandes que possible. La sélection des sites doit tenir compte, entre autres, des aspects suivants :
    1. résultats des audits internes du site et des revues de direction ou des audits de certification précédents ;
    2. résultats des réclamations et autres aspects pertinents des mesures correctives et préventives ;
    3. variations importantes dans la taille des sites ; variations dans les horaires de travail et les procédures de travail ;
    4. complexité du système de gestion et des processus mis en œuvre sur les sites ;
    5. les modifications apportées depuis le dernier audit de certification ;
    6. questions environnementales et étendue des aspects et impacts associés pour les systèmes de gestion environnementale ;
    7. différences culturelles, linguistiques et réglementaires ;
    8. dispersion géographique ; et
    9. que les sites soient permanents, temporaires ou virtuels.
  3. Cette sélection ne doit pas nécessairement être effectuée au début du processus d'audit. Elle peut être effectuée une fois l'audit de la fonction centrale terminé. Dans tous les cas, la fonction centrale doit être informée des sites qui seront inclus dans l'échantillon. Ce préavis peut être relativement court, mais doit laisser suffisamment de temps pour préparer l'audit.
DEKRA déterminera la taille de l'échantillon en tenant compte de tous les facteurs décrits dans la section 9.1.5 du MSM. DEKRA conservera des enregistrements de chaque application de l'échantillonnage pour chaque organisation multisite, justifiant son fonctionnement conformément à la norme IAF MD 1:2018.
Le nombre minimum de sites à visiter par audit est de :
  • Audit initial : la taille de l'échantillon est égale à la racine carrée du nombre de sites : (y = √x), arrondie au nombre entier supérieur, où y = nombre de sites à échantillonner et x = nombre total de sites.
  • Audit de surveillance : la taille de l'échantillon annuel est égale à la racine carrée du nombre de sites multiplié par 0,6 (y = 0,6√x), arrondie au nombre entier supérieur.
  • Audit de recertification : la taille de l'échantillon doit être la même que pour un audit initial. Toutefois, lorsque le système de management s'est révélé efficace au cours du cycle de certification, la taille de l'échantillon peut être réduite à y = 0,8√x, arrondi au nombre entier supérieur.
La fonction centrale doit être auditée lors de la certification initiale et lors de chaque audit de recertification, ainsi qu'au moins une fois par année civile dans le cadre de la surveillance.
La taille ou la fréquence de l'échantillon doit être augmentée lorsque l'analyse des risques réalisée par DEKRA sur le processus/l'activité couvert(e) par le système de management soumis à certification révèle des circonstances particulières liées à des facteurs tels que :
  1. la taille des sites et le nombre d'employés ;
  2. la complexité ou le niveau de risque du processus/de l'activité et du système de gestion ;
  3. variations dans les pratiques de travail (par exemple, travail posté) ;
  4. variations dans les processus/activités entrepris ;
  5. dossiers des plaintes et autres aspects pertinents des mesures correctives et préventives ;
  6. tout aspect multinational ; et
  7. résultats des audits internes et de la revue de direction.
Lorsque l'organisation dispose d'un système hiérarchique de succursales (par exemple, siège social/bureau central, bureaux nationaux, bureaux régionaux, succursales locales), le modèle d'échantillonnage pour l'audit initial s'applique à chaque niveau.
Exemple :
  • 1 siège social : visité à chaque cycle d'audit (initial, de surveillance ou de recertification)
  • 4 bureaux nationaux : échantillon = 2 avec au moins 1 sélectionné au hasard
  • 27 bureaux régionaux : échantillon = 6 avec au moins 2 choisis au hasard
  • 1700 succursales locales : échantillon = 42 avec un minimum de 11 choisies au hasard
L'échantillon des bureaux régionaux devrait comprendre au moins un bureau régional contrôlé par chaque bureau national. L'échantillon des succursales locales devrait comprendre au moins une succursale locale contrôlée par chaque bureau régional. Il peut en résulter que la taille de l'échantillon à chaque niveau dépasse la taille minimale calculée ci-dessus.
Le processus d'échantillonnage doit faire partie intégrante de la gestion du programme d'audit. À tout moment (c'est-à-dire avant la planification de l'audit de surveillance, ou lorsqu'un site de l'organisation modifie sa structure, ou en cas d'acquisition d'un ou plusieurs nouveaux sites qui seront ajoutés au périmètre de certification), DEKRA doit revoir les forces d'échantillonnage dans le programme d'audit afin de déterminer la nécessité d'ajuster la taille de l'échantillon avant d'auditer l'échantillon en vue de maintenir la certification.
Lors de la demande d'inclusion de nouveaux sites ou d'un nouveau groupe de sites dans une organisation multisite déjà certifiée, DEKRA détermine les activités à réaliser avant d'inclure le ou les nouveaux sites dans le certificat. Cela comprend l'examen de la nécessité ou non d'auditer le ou les nouveaux sites. Après l'inclusion du ou des nouveaux sites dans le certificat, la taille de l'échantillon pour les audits de surveillance ou de recertification futurs est déterminée.
Pour les organisations multisites où l'échantillonnage des sites n'est pas approprié, le programme d'audit doit comprendre un audit initial et un audit de recertification de tous les sites. Dans le cadre des audits de surveillance, 30 % des sites, arrondis au nombre entier supérieur, doivent être couverts au cours d'une année civile. Chaque audit inclut la fonction centrale. Les sites sélectionnés pour le deuxième audit de surveillance sont normalement différents de ceux sélectionnés pour le premier audit de surveillance. Le programme d'audit doit être conçu de manière à garantir que tous les processus couverts par le champ d'application de la certification sont audités au cours de chaque cycle.
Lorsqu'une nouvelle installation souhaite rejoindre une organisation multisite déjà certifiée, où l'échantillonnage n'est pas approprié, l'installation doit faire l'objet d'un audit avant d'être incluse dans le certificat, en plus de la surveillance prévue dans le programme d'audit. Après l'inclusion de la nouvelle installation dans le certificat, celle-ci doit être cumulée avec les précédentes pour déterminer la fréquence des audits de surveillance ou de recertification futurs.
La surveillance et la recertification des organisations multisites pouvant faire l'objet d'un échantillonnage doivent être auditées conformément à la MD1 et le temps d'audit par site doit être calculé conformément à la MD1.
La surveillance des organisations multisites qui ne peuvent pas être échantillonnées conformément à la MD1 repose sur l'audit de 30 % des sites plus la fonction centrale. Les sites sélectionnés pour la deuxième surveillance d'un cycle de certification ne doivent normalement pas inclure les sites échantillonnés dans le cadre du premier audit de surveillance. Le temps d'audit par site doit être calculé conformément à la MD1.
La recertification des organisations multisites qui ne peuvent faire l'objet d'un échantillonnage doit être vérifiée conformément à l'audit initial, c'est-à-dire que tous les sites audités doivent être vérifiés, ainsi que la fonction centrale. La durée de l'audit par site et par fonction centrale doit être calculée conformément à la MD1.
Reportez-vous aux directives du MD1 pour calculer les sites échantillonnés pour chaque type d'audit (à l'exception du SEP, pour lequel les directives sont publiées par l'administrateur du SEP).
Lorsqu'un client souhaite ajouter un groupe de sites à un réseau multisite déjà certifié, DEKRA échantillonne les nouveaux sites en tant que groupe distinct conformément à la norme MD1. La durée pour chaque nouveau site est basée sur le type d'audit (surveillance, recertification) dans le cycle actuel, plus un jour supplémentaire. Le jour supplémentaire peut être effectué sur site ou hors site. Un délai supplémentaire peut être envisagé en fonction des risques perçus.

Échantillonnage multi-sites et groupé GSTC

GSTC 14. Certification des organisations multi-sites Introduction

GSTC 14.1. La section 14 s'appuie sur la norme IAF MD 1:2018, à laquelle s'ajoutent les exigences supplémentaires ou spécifiques du GSTC.
GSTC 14.2. Comme sur le marché en général, il existe dans le secteur du tourisme de grandes entreprises qui exploitent et fournissent des services touristiques sur plusieurs sites différents. Lorsque cela se produit de telle manière que les activités touristiques et leur gestion sont menées de manière similaire sur différents sites, tous sous un seul système de gestion, la certification multi-sites peut s'appliquer.
GSTC 14.3. Une organisation multisite est une organisation dotée d'un siège social dans lequel certaines activités sont exercées ou gérées au sein d'un réseau de sites, et dans lequel ces activités sont exercées en tout ou en partie. Tous les sites ont un lien juridique ou contractuel direct avec le siège social de l'organisation et sont soumis à un système commun de gestion de la durabilité. Une organisation multisite est définie comme une organisation qui :
  • GSTC 14.3.1. Un bureau central identifié où certaines activités sont planifiées, contrôlées ou gérées ; et
  • GSTC 14.3.2. Un réseau de bureaux locaux ou de succursales (sites) où ces activités sont exercées en tout ou en partie.
GSTC 14.4. Une telle organisation n'est pas nécessairement une entité juridique unique, mais tous les sites doivent avoir un lien juridique ou contractuel avec le siège social de l'organisation et être soumis à un système de qualité commun qui est défini, établi et soumis à une surveillance continue par le siège social. Cela signifie que le siège social a le droit de mettre en œuvre des corrections ou des mesures correctives lorsque cela est nécessaire sur n'importe quel site. Cela doit être stipulé dans le contrat entre le siège social et les sites. Exemples d'organisations multisites possibles : a. Organisations opérant sous franchise avec un SMS commun (par exemple, groupes hôteliers) ; b. Entreprises de services touristiques disposant de plusieurs sites offrant un service similaire ; et c. Entreprises touristiques disposant de plusieurs succursales. Éligibilité d'une organisation multisite à la certification
GSTC 14.5. Les exigences de la clause 5 de la norme IAF MD 1:2018 s'appliquent.
GSTC 14.6. Tous les sites concernés (y compris le siège social) doivent être soumis au programme d'audit interne de l'organisation multisite et tous doivent avoir été évalués conformément à ce programme avant que l'organisation ne demande la certification.
GSTC 14.7. Les services touristiques fournis par l'organisation multisite doivent être gérés par la même organisation.
GSTC 14.8. L'organisation multi-sites doit démontrer que son siège social a mis en place un système de gestion de la durabilité conforme à la norme de référence évaluée et que l'ensemble de l'organisation satisfait aux exigences de la norme. Cela doit inclure la prise en compte des réglementations pertinentes.
GSTC 14.9 Facteurs influant sur l'admissibilité d'une « organisation multi-sites » à l'échantillonnage :
GSTC 14.9.1. Le processus de certification multisite ne doit pas être appliqué lorsque l'échantillonnage sur site n'est pas approprié pour obtenir une confiance suffisante dans l'efficacité du système de gestion évalué. Ces considérations doivent inclure :
  • GSTC 14.9.1.1. La portée du système de gestion de la durabilité et, le cas échéant, les sous-portées pour chaque site ; et
  • GSTC 14.9.1.2. La taille des sites éligibles à une évaluation multisite : plus la taille des sites individuels est grande, plus la mise en œuvre du système a tendance à varier d'un site à l'autre ; par conséquent, plus la fréquence d'échantillonnage doit être élevée. De même, des différences extrêmes dans la taille ou la complexité des sites individuels au sein de la population augmentent la tendance à des variations dans la manière dont le système est mis en œuvre. S'il existe des variations importantes dans les équipements opérationnels ou la taille des sites, telles qu'il serait raisonnable de s'attendre à certaines variations dans la cohérence des opérations, les visites effectuées doivent garantir un échantillonnage suffisant de chaque sous-catégorie de type de site. Exigences spécifiques applicables à la certification des organisations multi-sites
GSTC 14.10. Informations requises :
GSTC 14.10.1. Afin d'évaluer correctement si l'organisation se conforme aux exigences d'une organisation multisite, outre les informations habituellement requises pour la demande, l'évaluation doit également porter sur :
  • GSTC 14.10.1.1. Les résultats des audits internes des sites et des revues de direction ou des audits de certification précédents ;
  • GSTC 14.10.1.2. Les enregistrements des plaintes et autres aspects pertinents des mesures correctives et préventives ;
  • GSTC 14.10.1.3. Les variationsimportantes de la taille des sites/services ;
  • GSTC 14.10.1.4. Variations dans les horaires de travail et les procédures de travail ;
  • GSTC 14.10.1.5. Complexité du système de gestion et des processus mis en œuvre sur les sites ;
  • GSTC 14.10.1.6. Modifications apportées depuis le dernier audit de certification ;
  • GSTC 14.10.1.7. Maturité du système de gestion et connaissance de l'organisation ;
  • GSTC 14.10.1.8. Questionsenvironnementales et sociales et étendue des aspects et impacts associés pour les systèmes de gestion de la durabilité ;
  • GSTC 14.10.1.9. Différences de culture, de langue et d'exigences réglementaires ; dispersion géographique ; et
  • GSTC 14.10.1.10. Caractère permanent, temporaire ou virtuel des sites.
GSTC 14.11. Échantillonnage :
  • GSTC 14.11.2. La fréquence d'échantillonnage doit être d'au moins une fois par an.
  • GSTC 14.11.3. DEKRA respecte les exigences obligatoires énoncées dans la norme IAF MD1:2018 pour déterminer l'échantillonnage.
GSTC 14.12. Gestion des non-conformités :
  • GSTC 14.12.1. Les exigences de la clause 7.7 de l'IAF MD 1:2018 doivent être respectées.
  • GSTC 14.12.2. DEKRA surveillera le processus d'examen et de mesures correctives de l'organisation multisite et pourra être amenée à augmenter la fréquence des échantillonnages jusqu'à ce qu'il soit clair que le contrôle est rétabli.
  • GSTC 14.12.3. Lors de la réalisation du processus d'audit, si un site présente une non-conformité majeure, DEKRA ne doit pas :
    • GSTC 14.12.3.1. délivrer de certificat à aucun membre du réseau tant que les mesures correctives satisfaisantes n'ont pas été mises en œuvre (pour la certification initiale et le renouvellement de la certification uniquement) ; et
    • GSTC 14.12.3.2. Exclure un site particulier en raison d'une non-conformité majeure constatée sur ce site (dans le cas d'une surveillance).
GSTC 14.13. Certificats :
  • GSTC 14.13.1. DEKRA délivre un certificat unique indiquant le nom et l'adresse du siège social de l'organisation multi-sites et comprenant une liste des sites auxquels le certificat se rapporte. Si le champ d'application de la certification d'un ou plusieurs sites ne couvre qu'une partie du champ d'application général, cela sera clairement indiqué dans l'annexe.
  • GSTC 14.13.2. La liste des sites doit être tenue à jour. DEKRA exigera de l'organisation multi-sites qu'elle l'informe de tout changement concernant les sites, y compris la fermeture de l'un d'entre eux.
  • GSTC 14.13.3. Des sites supplémentaires peuvent être ajoutés à un certificat existant dans le cadre d'audits de surveillance ou de recertification. Lors de l'ajout d'un nouveau groupe de sites à une organisation multisite déjà certifiée, les nouveaux sites doivent être considérés comme un ensemble indépendant pour la détermination de la taille de l'échantillon. Après avoir ajouté le nouveau groupe au certificat, DEKRA doit ajouter les nouveaux sites au total précédent afin de déterminer la taille de l'échantillon pour les futurs audits de surveillance ou de renouvellement du certificat.
  • GSTC 14.13.4. Le certificat sera suspendu dans son intégralité si le siège social ou l'un des sites ne remplit pas les critères nécessaires au maintien du certificat.

GSTC 15. Introduction à la certification de groupe

GSTC 15.1. Plusieurs entreprises touristiques individuelles peuvent former un groupe afin de mettre en œuvre une norme de référence et demander une certification commune. L'objectif est de partager les coûts de mise en œuvre et de certification. La certification de groupe est une bonne pratique bien établie dans le domaine des normes de durabilité, particulièrement répandue parmi les petites et moyennes entreprises.
GSTC 15.2. La certification de groupe est une pratique qui consiste à organiser des entreprises individuelles en groupes structurés afin de mettre en œuvre une norme de référence d'une manière commune, sous une direction et un engagement communs, et d'atteindre des performances durables efficaces conformément à la norme de référence. La certification de groupe ne doit pas être confondue avec la certification multisite, qui peut s'appliquer à une seule entreprise. Exigences applicables à la certification de groupe
GSTC 15.3. Lorsqu'un système de certification accepte la pratique de la certification de groupe, les conditions suivantes doivent être remplies :
  • GSTC 15.3.1. Les membres du groupe doivent être des organisations individuelles qui offrent des services touristiques similaires ;
  • GSTC 15.3.2. Les membres du groupe doivent exercer leurs activités dans le même pays et dans la même langue.
  • GSTC 15.3.3. Le groupe doit disposer d'un mécanisme pour gérer la mise en œuvre et le maintien de la même norme de référence.
  • GSTC 15.3.4. Le groupe doit mettre en place et maintenir un système de gestion de la durabilité ;
  • GSTC 15.3.5. Le système de gestion de la durabilité doit disposer d'un mécanisme permettant de garantir et d'évaluer systématiquement la conformité et les performances de chaque entreprise du groupe, y compris par le biais d'audits internes.
  • GSTC 15.3.6. Un responsable de groupe doit être désigné pour assurer le fonctionnement du système de gestion de la durabilité. Le responsable de groupe peut être une coopérative regroupant les membres du groupe, une association, un consultant ou un organisme d'audit externe.
  • GSTC 15.3.7. Tous les membres du groupe s'engagent formellement à respecter les règles et la gestion du groupe, ainsi que les exigences de la norme de référence et les obligations de certification.
  • GSTC 15.3.8. Les membres du groupe sont des entités légalement constituées, dotées d'un nom ou d'une marque propres.
GSTC 15.5. L'annexe C présente les exigences applicables au fonctionnement d'une certification de groupe.
GSTC 15.6. DEKRA communique au gestionnaire du groupe les exigences de certification pour la certification de groupe, y compris les présentes exigences et toute exigence supplémentaire spécifique au programme (qu'elles soient fixées par DEKRA ou par le propriétaire de la norme).
GSTC 15.7. Un contrat doit être conclu entre le groupe et DEKRA, comprenant l'engagement du responsable du groupe à respecter la norme de référence et les exigences de certification pour la certification du groupe.
GSTC 15.8. Le responsable du groupe doit rendre compte chaque année à DEKRA, notamment des changements pertinents dans les pratiques de production et de gestion du groupe, et fournir des commentaires et des mesures concernant toute lacune du système. REMARQUE : le rapport annuel peut être rédigé sous forme narrative ou selon un modèle fourni par le programme ou DEKRA. Évaluation du système de gestion de la durabilité (SMS)
GSTC 15.9 DEKRA audite le SMS du groupe afin d'évaluer son fonctionnement et son efficacité et de vérifier si le SMS est conforme à la norme de référence et aux exigences de certification pour la certification du groupe.
GSTC 15.10. DEKRA audite le SMS selon la même norme de référence au moins une fois par an.
GSTC 15.11. L'audit DEKRA du SMS doit inclure une évaluation de la conformité aux exigences énoncées dans le présent document et, en particulier, vérifier que :
  • GSTC 15.11.1. Toutes les procédures internes sont en place ;
  • GSTC 15.11.2. Les membres du groupe connaissent et ont accès à la norme de référence et aux exigences de certification pour la certification de groupe ;
  • GSTC 15.11.3. Une évaluation des risques, adaptée à la nature, à l'ampleur et à la complexité de l'activité touristique, est réalisée par le groupe ;
  • GSTC 15.11.4. Chaque membre du groupe doit faire l'objet d'une inspection interne annuelle ;
  • GSTC 15.11.5. Les nouveaux membres du groupe ne sont acceptés comme certifiés qu'après que les exigences en matière de tenue des registres ont été satisfaites, que l'inspection interne a été effectuée et qu'il n'y a pas de non-conformités majeures en suspens.
  • GSTC 15.11.6. Les cas de non-conformité sont traités par le responsable du groupe ; et
  • GSTC 15.11.7. Des registres adéquats des inspections internes sont tenus à jour.
GSTC 15.12. DEKRA procède à une évaluation des risques de tous les aspects du groupe et de ses membres, ainsi que du SMS, afin d'identifier les risques pour l'intégrité de la certification. L'évaluation des risques sert de base aux activités d'audit et de certification.
GSTC 15.13. L'auditeur doit évaluer la compétence des auditeurs internes du groupe, conformément à la norme ISO 19011:2018.
GSTC 15.14. DEKRA audite un échantillon de membres du groupe afin d'évaluer l'efficacité du système de gestion de la durabilité. La taille de l'échantillon est déterminée sur la base des résultats de l'évaluation des risques. Le nombre minimum de membres du groupe devant être audités chaque année par DEKRA est égal à la racine carrée du nombre total de membres du groupe. Les membres à auditer sont sélectionnés de manière à être représentatifs de l'ensemble du groupe, sur la base d'une sélection combinée aléatoire et fondée sur les risques.
GSTC 15.15. Les résultats de l'audit externe des membres du groupe doivent être comparés aux résultats de l'audit interne du groupe. Sanctions
GSTC 15.16. Les non-conformités relatives à la conformité du groupe doivent être fondées uniquement sur la norme de référence et les exigences de certification pour la certification de groupe.
GSTC 15.18. Le fait pour un responsable de groupe et des auditeurs internes de ne pas détecter des non-conformités entraîne des sanctions. Le fait pour la direction du groupe de ne pas donner suite aux non-conformités et d'appliquer des sanctions appropriées aux membres du groupe entraîne également des sanctions.
GSTC 15.19. Les non-conformités majeures , lorsque le SMS ne fonctionne pas ou lorsqu'il existe un risque direct que les services ne répondent pas aux normes ou que des services non certifiés soient vendus comme certifiés, entraînent la suspension de la certification de l'ensemble du groupe.
GSTC 15.21. DEKRA délivre un certificat unique identifiant le nom et l'adresse de tous les membres du groupe auquel le certificat se rapporte.
GSTC 15.22. La liste des membres du groupe doit être tenue à jour. DEKRA exige que le responsable du groupe informe de tout changement dans la composition du groupe, y compris la cessation d'activité de l'un des membres du groupe.
GSTC 15.23. Le certificat sera retiré dans son intégralité si le responsable du groupe ou l'un des membres du groupe ne remplit pas les critères nécessaires au maintien du certificat.
Les politiques et procédures ne s'appliquent qu'aux normes pour lesquelles DEKRA Certification, Inc. est accréditée.