La UNI CEI EN ISO/IEC 17021 è la norma internazionale che definisce i Requisiti per gli organismi che forniscono audit e certificazione di sistemi di gestione in genere come, ad esempio, per la qualità, l'ambiente e la salute e sicurezza dei lavoratori. Sostituisce la UNI CEI EN 45012 e la ISO/IEC guide 66.
Lo scopo è assicurare a tutte le parti interessate che i sistemi di gestione certificati soddisfano i requisiti definiti dalla norma di riferimento. In sostanza garantire la credibilità delle certificazioni.
La prima edizione della norma è del 2006. Nel 2011 è stata emessa una nuova revisione che vede, tra le principali modifiche, l'inserimento dei requisiti per la conduzione e la documentazione degli audit di terza parte, che prima erano affidati alla linea guida ISO 19011; alcuni degli argomenti contenuti in quella linea guida, sono stati quindi compresi, in forma di requisito per gli audit di certificazione, nella ISO 17021. Nella nuova revisione del 2011 sono stati inoltre specificati riferimenti (in forma sia di requisito sia di informazioni) per la selezione e qualificazione delle risorse umane degli organismi di certificazione in base alla loro competenza, esperienza, formazione e addestramento.
Principi ispiratori
Imparzialità
L'imparzialità viene definita come "presenza reale e percepita di obiettività"; la norma pone quindi l'accento anche sulla necessità di dimostrare l'imparzialità e di chiarire gli eventuali dubbi che possono nascere su di essa.
È interessante notare che la norma dichiara apertamente che il fatto che il reddito dell'organismo di certificazione proviene dai clienti che ne richiedono la certificazione costituisce una potenziale minaccia alla sua imparzialità.
L'organismo di certificazione non deve avere conflitti di interesse: per esempio non deve svolgere attività di consulenza, direttamente o tramite società controllate (sarebbe controllore e controllato nello stesso tempo). Allo stesso modo deve garantire che il personale che lavora per proprio conto sia libero da conflitti di interesse.
La norma pone grande attenzione al requisito dell'imparzialità, tanto che l'organismo di certificazione deve avere un comitato per la salvaguardia dell'imparzialità, costituito da rappresentanti delle diverse parti interessate alla certificazione, con ampi poteri di indirizzo sulle attività dell'organismo.
Competenza
Gli auditors e tutto il personale coinvolto nel processo di certificazione devono avere competenze sufficienti a raggiungere gli obiettivi dell'audit e a gestire correttamente il processo di certificazione.
Le risorse, prevalentemente umane, dell'organismo sono oggetto di specifici requisiti di gestione e riesame all'interno del sistema qualità che l'organismo deve possedere.
In forma di addendum alla ISO/IEC 17021, le norme ISO/IEC TS 17021-2 (2012) e ISO/IEC TS 17021-3 (2013) costituiscono specifiche tecniche (TS) relative ai requisiti di competenza per le attività di audit e la certificazione dei sistemi di gestione rispettivamente ambientale e per la qualità. Altre norme della serie ISO/IEC TS 17021-x definiscono (e definiranno), i requisiti relativi ad altri sistemi di gestione; sono già state emanate la ISO/IEC TS 17021-4 (2013) per i sistemi di gestione degli eventi sostenibili e la ISO/IEC TS 17024-5 (2014) per i sistemi di gestione degli asset.
Responsabilità
L'organismo di certificazione ha la responsabilità di raccogliere informazione sufficienti a garantire che la decisione in merito alla concessione (o alla non concessione) della certificazione sia basata su evidenze oggettive.
La norma prevede che l'organismo di certificazione gestisca queste decisioni in maniera formalizzata, all'interno di un sistema qualità dell'organismo stesso.
Trasparenza
L'organismo di certificazione deve rendere pubbliche le proprie procedure per la gestione del processo di certificazione. L'OdC deve dare pubblico accesso alla informazioni non confidenziali relative a specifici audit (per esempio quelli eseguiti a fronte di uno specifico reclamo).
Riservatezza
L'organismo di certificazione deve mantenere riservate le informazioni raccolte presso i propri clienti durante il processo di certificazione. In caso di affidamento all'esterno di alcune parti del processo di audit il requisito di riservatezza deve essere esteso a tutto il personale coinvolto. Normalmente tutto il personale che lavora per l'organismo di certificazione è tenuto un impegno di riservatezza al fine di garantire il soddisfacimento del requisito.
Risposta ai reclami
L'organismo di certificazione deve gestire i reclami presentati dai clienti (o da altre parti interessate) delle organizzazioni che ha certificato. La procedura deve distinguere tra la riserva (ricorso) e il reclamo vero e proprio.
Processo di Certificazione
La norma prevede che la certificazione venga rilasciata in seguito ad un processo di audit, riesame, delibera e controllo delle organizzazioni certificate definito e gestito secondo requisiti minimi. Le principali attività sono:
- audit iniziale, diviso in due fasi (stage);
- decisione (o delibera) della certificazione da parte dell'organismo;
- audit di sorveglianza (il primo audit di sorveglianza deve avvenire entro un anno dal termine dell'audit di stage 2, in seguito con frequenza annuale);
- audit di rinnovo della certificazione e nuova decisione dell'organismo (entro tre anni dalla precedente decisione di concessione o di rinnovo dalla certificazione).
Esistono poi particolari tipi di audit come:
- audit di estensione della certificazione (a nuove attività, nuovi siti, ecc.) può essere un audit a sé stante o essere eseguito in concomitanza a un audit di sorveglianza o rinnovo precedentemente pianificato.
- audit senza preavviso (traduzione dall'inglese short notice audit) normalmente eseguito a seguito di reclami nei confronti dell'organizzazione certificata
In caso il sistema di gestione dell'organizzazione non dimostri di mantenere la propria conformità, l'organismo di certificazione deve procedere con sospensione o revoca della certificazione
L'organismo di certificazione deve avere, e rendere accessibili al pubblico, procedure per ricorsi e gestione dei reclami.
Gestione dell'organismo di certificazione
La norma indica requisiti del sistema di gestione dell'organismo di certificazione, che deve operare secondo i principi della qualità, formalizzando il sistema in modo conforme a ISO 9001 o in maniera sostanzialmente simile.
Voci correlate
Collegamenti esterni