×
CORSI DI FORMFAZIONE ISO
AGGIORNAMENTO ISO 27001:2022 Auditor/L.A. AICQ-SICEV
ISO 19011 e ISO17021 - Tecniche di Auditing- AICQ-SICEV
ISO 9001 Internal Auditor Qualita' - AICQ-SICEV
ISO 9001 Auditor/Lead A. Qualita' - AICQ-SICEV
ISO IEC 27001:2022 InfoSecurity Auditor/L.A. AICQ-SICEV
ISO/IEC 27701: Gestire un sistema Privacy
ISO IEC 27001 Foundation APMG
ISO IEC 27001 Practitioner APMG
ISO 22301 Bus. Continuity Auditor/L.A. AICQ-SICEV
ISO/IEC 20000-1: Auditor/L.A. Servizi IT - AICQ-SICEV
Certificazione ISO Integrata Multinorma
ISO/IEC 42001 AI Manag. System Auditor - AICQ-SICEV
CERTIFICAZIONI ISO PER AZIENDE
Certificazione Aziendale ISO 9001
Certificazione Aziendale ISO 27001
Certificazione Aziendale ISO 22301
Certificazione Aziendale ISO 27701
Certificazione Aziendale ISO 27017 e ISO 27018
Certificazione Aziendale ISO 42001
CONSULENZA PER LA COMPLIANCE
Compliance Regolamento (UE) 679/2016 - GDPR
Compliance al Framework del NIST
Compliance alla Direttiva NIS
DPO as a Service

ISO 17021 - VALUTAZIONE DELLA CONFORMITA'

Lo standard ISO/IEC 17021 è la norma internazionale che definisce i Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione Lo scopo è assicurare a tutte le parti interessate che i sistemi di gestione certificati soddisfano i requisiti definiti dalla norma di riferimento. In sostanza garantire la credibilità delle certificazioni. La prima edizione della norma è del 2006. Nel 2011 è stata emessa una nuova revisione che vede, tra le principali modifiche, l'inserimento dei requisiti per la conduzione e la documentazione degli audit di terza parte, che prima erano affidati alla linea guida ISO 19011; alcuni degli argomenti contenuti in quella linea guida, sono stati quindi compresi, in forma di requisito per gli audit di certificazione, nella ISO 17021. Nella nuova revisione del 2011 sono stati inoltre specificati riferimenti (in forma sia di requisito sia di informazioni) per la selezione e qualificazione delle risorse umane degli organismi di certificazione in base alla loro competenza, esperienza, formazione e addestramento.

I CONTENUTI DELLA NORMA:

La norma prevede che la certificazione venga rilasciata in seguito ad un processo di audit, riesame, delibera e controllo delle organizzazioni certificate definito e gestito secondo requisiti minimi. Le principali attività sono:
- audit iniziale, diviso in due fasi (stage);
- decisione (o delibera) della certificazione da parte dell'organismo;
- audit di sorveglianza (il primo audit di sorveglianza deve avvenire entro un anno dal termine dell'audit di stage 2, in seguito con frequenza annuale);
- audit di rinnovo della certificazione e nuova decisione dell'organismo (entro tre anni dalla precedente decisione di concessione o di rinnovo dalla certificazione).
Esistono poi particolari tipi di audit come:
- audit di estensione della certificazione (a nuove attività, nuovi siti, ecc.) può essere un audit a sé stante o essere eseguito in concomitanza a un audit di sorveglianza o rinnovo precedentemente pianificato.
- audit senza preavviso (traduzione dall'inglese short notice audit) normalmente eseguito a seguito di reclami nei confronti dell'organizzazione certificata.
In caso il sistema di gestione dell'organizzazione non dimostri di mantenere la propria conformità, l'organismo di certificazione deve procedere con sospensione o revoca della certificazione.
L'organismo di certificazione deve avere, e rendere accessibili al pubblico, procedure per ricorsi e gestione dei reclami.

Principi Ispiratori:

- Imparzialità:
L'imparzialità viene definita come "presenza reale e percepita di obiettività"; la norma pone quindi l'accento anche sulla necessità di dimostrare l'imparzialità e di chiarire gli eventuali dubbi che possono nascere su di essa. È interessante notare che la norma dichiara apertamente che il fatto che il reddito dell'organismo di certificazione proviene dai clienti che ne richiedono la certificazione costituisce una potenziale minaccia alla sua imparzialità. L'organismo di certificazione non deve avere conflitti di interesse: per esempio non deve svolgere attività di consulenza, direttamente o tramite società controllate (sarebbe controllore e controllato nello stesso tempo). Allo stesso modo deve garantire che il personale che lavora per proprio conto sia libero da conflitti di interesse. La norma pone grande attenzione al requisito dell'imparzialità, tanto che l'organismo di certificazione deve avere un comitato per la salvaguardia dell'imparzialità, costituito da rappresentanti delle diverse parti interessate alla certificazione, con ampi poteri di indirizzo sulle attività dell'organismo.

- Competenza:
Gli auditors e tutto il personale coinvolto nel processo di certificazione devono avere competenze sufficienti a raggiungere gli obiettivi dell'audit e a gestire correttamente il processo di certificazione. Le risorse, prevalentemente umane, dell'organismo sono oggetto di specifici requisiti di gestione e riesame all'interno del sistema qualità che l'organismo deve possedere. In forma di addendum alla ISO/IEC 17021, le norme ISO/IEC TS 17021-2 (2012) e ISO/IEC TS 17021-3 (2013) costituiscono specifiche tecniche (TS) relative ai requisiti di competenza per le attività di audit e la certificazione dei sistemi di gestione rispettivamente ambientale e per la qualità. Altre norme della serie ISO/IEC TS 17021-x definiscono (e definiranno), i requisiti relativi ad altri sistemi di gestione; sono già state emanate la ISO/IEC TS 17021-4 (2013) per i sistemi di gestione degli eventi sostenibili e la ISO/IEC TS 17024-5 (2014) per i sistemi di gestione degli asset.

- Responsabilità:
L'organismo di certificazione ha la responsabilità di raccogliere informazione sufficienti a garantire che la decisione in merito alla concessione (o alla non concessione) della certificazione sia basata su evidenze oggettive. La norma prevede che l'organismo di certificazione gestisca queste decisioni in maniera formalizzata, all'interno di un sistema qualità dell'organismo stesso.

- Trasparenza:
L'organismo di certificazione deve rendere pubbliche le proprie procedure per la gestione del processo di certificazione. L'OdC deve dare pubblico accesso alla informazioni non confidenziali relative a specifici audit (per esempio quelli eseguiti a fronte di uno specifico reclamo).

- Riservatezza:
L'organismo di certificazione deve mantenere riservate le informazioni raccolte presso i propri clienti durante il processo di certificazione. In caso di affidamento all'esterno di alcune parti del processo di audit il requisito di riservatezza deve essere esteso a tutto il personale coinvolto. Normalmente tutto il personale che lavora per l'organismo di certificazione è tenuto un impegno di riservatezza al fine di garantire il soddisfacimento del requisito.

- Risposta ai reclami:
L'organismo di certificazione deve gestire i reclami presentati dai clienti (o da altre parti interessate) delle organizzazioni che ha certificato.

VANTAGGI NELL'APPLICARLA:

La corretta conoscenza della Norma permette la gestione degli Audit di terza parte, ovvero degli audit svolti dagli Organismi di Certificazione.

CONTATTI

TEL: 02.8716.9246
Email: direzione@profice.it

NEWSLETTER

Rimani aggiornato sui corsi registrandoti alla nostra newsletter