Tentang Audit Sertifikasi berdasar ISO/IEC 17021:2006
9. Persyaratan proses
9.1. Persyaratan umum
9.1.1. Program audit harus mencakup dua tahap audit awal, audit survailen pada tahun pertama dan kedua, dan audit sertifikasi ulang di tahun ketiga sebelum berakhirnya sertifikasi. Siklus sertifikasi tiga tahunan dihitung sejak keputusan sertifikasi atau sertifikasi ulang. Penentuan program audit dan penyesuaiannya harus mempertimbangkan ukuran organisasi pelanggan, lingkup dan kompleksitas sistem manajemennya, produk dan proses, serta tingkat efektivitas sistem manajemen yang ditunjukkan dan hasil audit sebelumnya. Ketika suatu lembaga sertifikasi akan mempertimbangkan kembali sertifikasi atau audit yang telah diberikan kepada pelanggan, lembaga sertifikasi harus mengumpulkan informasi yang cukup dan dapat diverifikasi untuk menjastifikasi dan merekam setiap penyesuaian program audit.
9.1.2 Lembaga sertifikasi harus menjamin bahwa rencana audit untuk setiap audit
ditetapkan sebagai dasar perjanjian tentang pelaksanaan dan penjadwalan kegiatan audit.
Rencana audit harus didasarkan pada persyaratan terdokumentasi dari lembaga sertifikasi dan disusun sesuai dengan panduan yang relevan dalam SNI 19-19011.
9.1.3 Lembaga sertifikasi harus memiliki suatu proses seleksi dan penunjukan tim audit, termasuk pemimpin tim audit, dengan mempertimbangkan kompetensi yang dibutuhkan untuk mencapai sasaran audit. Proses ini harus didasarkan pada persyaratan yang terdokumentasi, yang disusun sesuai dengan panduan yang relevan dalam SNI 19-19011.
9.1.4 Lembaga sertifikasi harus mendokumentasikan prosedur penentuan waktu audit. Untuk setiap pelanggan, lembaga sertifikasi harus menentukan waktu yang diperlukan untuk merencanakan dan menyelesaikan audit sistem manajemen pelanggan secara lengkap dan efektif. Waktu audit ditentukan oleh lembaga sertifikasi dan jastifikasi penentuan waktu audit harus direkam.
Dalam menentukan waktu audit, lembaga sertifikasi harus mempertimbangkan, antara lain aspek berikut ini:
a) persyaratan Standar sistem manajemen yang sesuai;
b) ukuran dan kompleksitas;
c) konteks teknologi dan peraturan perundang-undangan;
d) setiap subkontrak dari tiap kegiatan yang termasuk di dalam lingkup sistem manajemen;
e) hasil setiap audit sebelumnya;
f) jumlah lokasi dan multilokasi yang dipertimbangkan.
9.1.5 Apabila pengambilan contoh multilokasi digunakan untuk mengaudit sistem manajemen pelanggan yang memiliki kegiatan yang sama di berbagai lokasi, lembaga sertifikasi harus mengembangkan suatu progam pengambilan contoh untuk memastikan audit sistem manajemen dengan benar. Alasan untuk rencana pengambilan contoh harus didokumentasikan untuk setiap pelanggan.
9.1.6 Tugas yang diberikan kepada tim audit harus ditetapkan dan diketahui oleh organisasi pelanggan, dan harus mensyaratkan tim audit untuk
a) menguji dan memverifikasi struktur, kebijakan, proses, prosedur, rekaman, dan dokumen terkait dari organisasi pelanggan sesuai dengan sistem manajemen,
b) menentukan bahwa hal tersebut di atas memenuhi seluruh persyaratan yang sesuai dengan lingkup sertifikasi yang dimaksudkan,
c) menentukan bahwa prosedur ditetapkan, diterapkan dan dipelihara secara efektif sehingga memberi kepercayaan dalam sistem manajemen pelanggan, dan
d) mengkomunikasikan kepada pelanggan atas setiap tindakannya yang tidak konsisten antara kebijakan, sasaran dan target pelanggan (sesuai dengan harapan Standar sistem manajemen atau dokumen normatif lainnya) dengan hasil yang dicapai.
9.1.7 Lembaga sertifikasi harus menyediakan nama dan bila diminta, menyediakan informasi latar belakang dari setiap anggota tim audit dengan waktu yang cukup bagi organisasi pelanggan untuk mengajukan keberatan atas auditor atau tenaga ahli yang ditunjuk dan bagi lembaga sertifikasi untuk menyusun ulang anggota tim dalam rangka menanggapi keberatan yang sah.
9.1.8 Rencana audit harus dikomunikasikan dan tanggal audit harus disetujui sebelumnya bersama dengan organisasi pelanggan.
9.1.9 Lembaga sertifikasi harus memiliki suatu proses untuk melaksanakan audit lapangan sebagaimana ditetapkan dalam persyaratan terdokumentasi sesuai dengan panduan yang relevan dalam SNI 19-19011.
CATATAN 1 Selain mengunjungi lokasi fisik (misal, pabrik), audit lapangan dapat mencakup
akses jarak jauh melalui situs elektronik yang memuat informasi yang relevan untuk keperluan audit sistem manajemen.
CATATAN 2 istilah auditi sebagaimana digunakan dalam SNI 19-19011 berarti organisasi yang sedang diaudit.
9.1.10 Lembaga sertifikasi harus memberikan laporan tertulis untuk setiap audit. Laporan tersebut harus didasarkan pada panduan yang sesuai yang terdapat dalam SNI 19- 1901 1.Tim audit dapat mengidentifikasi peluang untuk perbaikan namun tidak boleh merekomendasikan penyelesaian tertentu. Kepemilikan laporan audit harus dipelihara oleh lembaga sertifikasi.
9.1.11 Lembaga sertifikasi harus mensyaratkan pelanggan untuk menganalisis penyebab dan menjelaskan koreksi spesifik dan tindakan korektif yang dilakukan atau direncanakan untuk dilakukan, untuk mengeliminasi ketidaksesuaian yang terdeteksi dalam waktu yang ditentukan.
9.1.12 Lembaga sertifikasi harus mengkaji koreksi dan tindakan korektif yang diajukan oleh pelanggan untuk menentukan keberterimaannya .
9.1.13 Organisasi yang diaudit harus diinformasikan jika ada audit lengkap tambahan, audit terbatas tambahan, atau bukti terdokumentasi (untuk dikonfirmasikan dalam audit survailen mendatang) untuk memverifikasi koreksi dan tindakan korektif yang efektif.
9.1.14 Lembaga sertifikasi harus menjamin bahwa personel atau komite yang membuat keputusan sertifikasi atau sertifikasi ulang berbeda dengan yang melakukan audit.
9.1.15 Lembaga sertifikasi harus mengkonfirmasikan sebelum membuat keputusan, mengenai
a) informasi yang cukup, diberikan oleh tim audit berkaitan dengan persyaratan sertifikasi dan lingkup sertifikasi;
b) lembaga sertifikasi telah mengkaji, menerima, dan memverifikasi efektivitas koreksi dan tindakan korektif untuk seluruh ketidaksesuaian yang mewakili
1) kegagalan untuk memenuhi satu atau lebih persyaratan Standar sistem manajemen, atau
2) Situasi yang menimbulkan keraguan yang signifikan terhadap kemampuan sistem manajemen pelanggan untuk mencapai output yang diinginkan.
c) lembaga sertifikasi telah mengkaji dan menerima koreksi dan tindakan korektif yang direncanakan pelanggan untuk seluruh ketidaksesuaian lainnya.
9.2. Audit dan sertifikasi awal
9.2.1. Permohonan
Lembaga sertifikasi harus mensyaratkan wakil yang berwenang dari organisasi pemohon untuk memberikan informasi yang diperlukan untuk menetapkan hal berikut :
a) ruang lingkup sertifikasi yang diinginkan;
b) fitur umum dari organisasi pemohon, mencakup nama dan alamat dari lokasi fisik, aspek signifikan dari proses dan operasinya, dan setiap kewajiban hukum lainnya yang sesuai;
c) informasi umum sesuai bidang sertifikasi yang dimohon, berkenaan dengan
organisasi pemohon seperti aktivitas, sumberdaya manusia dan teknis, fungsi dan jika ada, hubungan dengan organisasi yang lebih besar ;
d) informasi mengenai seluruh proses yang disubkontrakkan digunakan oleh organisasi dan akan mempengaruhi kesesuaian terhadap persyaratan;
e) Standar atau persyaratan lain keperluan sertifikasi organisasi pemohon;
f) informasi mengenai penggunaan konsultasi yang berkaitan dengan sistem manajemen.
9.2.2 Kajian permohonan
9.2.2.1 Sebelum melakukan audit, lembaga sertifikasi harus melaksanakan kajian terhadap permohonan dan informasi tambahan untuk sertifikasi guna menjamin bahwa :
a) informasi mengenai organisasi pemohon dan sistem manajemennya telah cukup untuk pelaksanaan audit;
b) persyaratan untuk sertifikasi telah ditetapkan dan didokumentasikan dengan jelas, serta telah disediakan bagi organisasi pemohon;
c) setiap perbedaan pemahaman antara lembaga sertifikasi dan organisasi pemohon telah terselesaikan;
d) lembaga sertifikasi memiliki kompetensi dan kemampuan untuk melaksanakan kegiatan sertifikasi;
e) lingkup sertifikasi, lokasi operasi dari organisasi pemohon, waktu yang diperlukan untuk audit secara lengkap dan setiap kegiatan lainnya yang mempengaruhi kegiatan sertifikasi telah diperhitungkan (bahasa, kondisi keamanan, ancaman terhadap ketidakberpihakan, dll);
f) rekaman jastifikasi keputusan untuk melakukan audit dipelihara.
9.2.2.2 Berdasarkan kajian ini, lembaga sertifikasi harus menetapkan kompetensi yang dibutuhkan untuk dicakup dalam tim audit dan keputusan sertifikasi.
9.2.2.3 Tim audit harus ditunjuk dan terdiri atas auditor (dan tenaga ahli teknis bila diperlukan), yang diantara mereka memiliki kompetensi secara menyeluruh yang telah diidentifikasi oleh lembaga sertifikasi seperti pada butir 9.2.2.2 untuk sertifikasi organisasi pemohon.
Seleksi tim harus dilaksanakan dengan mengacu pada kompetensi auditor dan tenaga ahli teknis yang ditetapkan pada butir 7.2.5, dan dapat mencakup sumber daya manusia internal maupun eksternal.
9.2.2.4 Individu-individu yang akan melaksanakan keputusan sertifikasi harus ditunjuk untuk menjamin tersedianya kompetensi yang memadai (lihat butir 7.2.9 dan 9.2.2.2)
9.2.3 Audit Sertifikasi Awal
Audit sertifikasi awal sistem manajemen harus dilaksanakan dalam dua tahap: tahap 1 dan tahap 2.
9.2.3.1 Audit tahap 1
9.2.3.1.1 Tahap 1 audit harus dilaksanakan untuk:
a) mengaudit dokumentasi sistem manajemen pelanggan;
b) mengevaluasi lokasi dan kondisi lapangan pelanggan yang spesifik dan melakukan diskusi dengan personel pelanggan untuk menentukan kesiapan untuk audit tahap 2;
c) mengkaji status dan pemahaman pelanggan berkenaan dengan persyaratan Standar, terutama yang berkaitan dengan identifikasi kinerja utama atau aspek yang signifikan, proses, sasaran, dan operasi sistem manajemen;
d) mengumpulkan informasi penting berkenaan dengan lingkup sistem manajemen, proses dan lokasi pelanggan, dan aspek peraturan perundang-undangan dan pemenuhannya (sebagai contoh aspek hukum, lingkungan, dan mutu dari operasi pelanggan, keterkaitan resiko, dsb);
e) mengkaji alokasi sumber daya untuk audit tahap 2 dan persetujuan pelanggan berkenaan dengan rincian audit tahap 2;
f) memfokuskan perencanaan audit tahap 2 dengan mendapatkan pemahaman yang cukup tentang sistem manajemen pelanggan dan operasional di lapangan dalam konteks aspek signifikan yang mungkin;
g) mengevaluasi rencana dan pelaksanaan internal audit dan kaji ulang manajemen, dan level implementasi dari substansi sistem manajemen menunjukkan bahwa pelanggan siap untuk audit tahap 2.
Untuk kebanyakan sistem manajemen, direkomendasikan paling sedikit audit tahap 1 dilaksanakan di tempat pelanggan untuk mencapai sasaran yang telah ditetapkan di atas.
9.2.3.1.2 Temuan audit tahap 1 harus didokumentasikan dan dikomunikasikan kepada pelanggan, termasuk identifikasi area yang menjadi perhatian yang dapat diklasifikasikan sebagai ketidaksesuaian selama audit tahap 2.
9.2.3.1.3 Dalam menentukan interval antara audit tahap 1 dan audit tahap 2, pertimbangan harus diberikan untuk kebutuhan pelanggan guna menyelesaikan area yang menjadi perhatian yang teridentifikasi selama audit tahap 1. Lembaga sertifikasi juga dapat merevisi pengaturan yang diperlukan untuk audit tahap 2.
9.2.3.2 Audit Tahap 2
Tujuan dari audit tahap 2 adalah untuk mengevaluasi implementasi, termasuk efektifitas sistem manajemen pelanggan. Audit tahap 2 harus dilaksanakan di lokasi pelanggan. Audit harus mencakup minimal hal-hal berikut :
a) informasi dan bukti tentang kesesuaian untuk seluruh persyaratan Standar sistem manajemen yang berlaku atau dokumen normatif lainnya;
b) pemantauan, pengukuran, pelaporan, dan pengkajian kinerja dibandingkan dengan sasaran dan target kinerja yang utama (sesuai dengan harapan dalam Standar sistem manajemen atau dokumen normatif lainnya yang berlaku.)
c) sistem manajemen dan unjuk kerja pelanggan terkait pemenuhan legal
d) pengendalian operasional proses-proses pelanggan
e) internal audit dan kaji ulang manajemen
f) Tanggung jawab manajemen untuk kebijakan pelanggan
g) Hubungan antara persyaratan normatif, kebijakan, sasaran dan target kinerja (sesuai dengan harapan dalam Standar sistem manajemen atau dokumen normatif lainnya yang berlaku), setiap persyaratan legal yang berlaku, tanggung jawab, kompetensi personel, operasional, prosedur, data kinerja dan temuan internal audit dan kesimpulan.
9.2.4 Kesimpulan audit untuk sertifikasi awal
Tim audit harus menganalisis seluruh informasi dan bukti audit yang diperoleh selama audit tahap 1 dan tahap 2 untuk mengkaji temuan-temuan audit dan menyetujui kesimpulan audit.
9.2.5 Informasi untuk pemberian sertifikasi awal
9.2.5.1 Informasi yang disediakan oleh tim audit kepada lembaga sertifikasi untuk keputusan sertifikasi harus mencakup, minimal :
a. laporan audit,
b. keterangan pada ketidaksesuaian, dan jika tersedia, koreksi dan tindakan korektif yang dilakukan oleh pelanggan,
c. konfirmasi tentang informasi yang disediakan untuk lembaga sertifikasi yang digunakan dalam pengkajian permohonan (lihat butir 9.2.2) dan
d. rekomendasi diberikan atau tidak diberikannya sertifikasi, serta setiap kondisi atau observasi.
9.2.5.2 Lembaga sertifikasi harus membuat keputusan sertifikasi berdasarkan pada evaluasi temuan audit dan kesimpulan audit serta informasi sesuai lainnya (sebagai contoh informasi publik, keterangan pada laporan audit dari pelanggan)
9.3. Kegiatan survailen
9.3.1 Umum
9.3.1.1 Lembaga sertifikasi harus mengembangkan kegiatan survailen sehingga keterwakilan area dan fungsi yang dicakup dalam lingkup sistem manajemen dipantau secara reguler, dan memperhitungkan perubahan yang ada pada pelanggan yang disertifikasi dan sistem manajemennya.
9.3.1.2 Kegiatan survailen harus mencakup audit lapangan dengan mengaudit pemenuhan persyaratan spesifik sistem manajemen pelanggan tersertifikasi, berkaitan dengan Standar yang sertifikasinya diberikan. Kegiatan survailen lainnya dapat mencakup :
a. pertanyaan dari lembaga sertifikasi kepada pelanggan tersertifikasi terhadap aspek-aspek sertifikasi
b. pengkajian setiap pernyataan pelanggan berkenaan dengan operasionalnya (sebagai contoh bahan promosi, website)
c. permintaan kepada pelanggan untuk menyediakan dokumen dan rekaman (pada kertas atau media elektronik) dan
d. hal lainnya terkait pemantauan kinerja pelanggan tersertifikasi
9.3.2 Audit Survailen
9.3.2.1 Audit survailen adalah audit lapangan, tetapi bukan audit sistem secara
menyeluruh, dan harus direncanakan bersama dengan kegiatan survailen lainnya
sehingga lembaga sertifikasi dapat memelihara kepercayaan bahwa sistem manajemen yang disertifikasi tetap memenuhi persyaratan diantara audit sertifikasi ulang. Program audit survailen harus mencakup, minimal :
a. internal audit dan kaji ulang manajemen,
b. tinjauan tindakan yang diambil terhadap ketidaksesuaian yang diidentifikasi selama audit sebelumnya,
c. penanganan keluhan,
d. efektifitas sistem manajemen untuk pencapaian sasaran pelanggan tersertifikasi,
e. kemajuan dari aktifitas yang direncanakan untuk peningkatan berkelanjutan,
f. keberlanjutan pengendalian operasional,
g. tinjauan setiap perubahan, dan
h. penggunaan logo dan/atau referensi sertifikasi lainnya.
9.3.2.2 Audit survailen harus dilaksanakan minimal satu kali setahun. Waktu audit survailen pertama tidak boleh lebih dari 12 bulan sejak hari terakhir audit tahap 2 sertifikasi awal.
9.3.3 Pemeliharaan sertifikasi
Lembaga sertifikasi harus memelihara sertifikasi didasarkan atas peragaan bahwa pelanggan tetap konsisten terhadap persyaratan Standar sistem manajemen. Pemeliharan sertifikasi pelanggan dapat didasarkan pada kesimpulan positif oleh ketua tim audit tanpa dilakukan kajian independen lebih lanjut, dengan ketentuan bahwa :
a. untuk setiap ketidaksesuaian atau situasi lain yang dapat menyebabkan pembekuan atau pencabutan sertifikasi, lembaga sertifikasi harus memiliki sistem yang mensyaratkan ketua tim audit untuk melaporkan kepada lembaga sertifikasi keperluan melakukan suatu tinjauan oleh personel yang kompeten (lihat butir 7.2.9), yang berbeda dengan personel yang melaksanakan audit, untuk menentukan apakah sertifikasi dapat dipelihara, dan
b. personel kompeten dari lembaga sertifikasi memantau kegiatan survailennya, termasuk pemantauan pelaporan yang dilakukan auditor-auditornya, untuk mengkonirmasikan bahwa kegiatan sertifikasi dioperasikan secara efektif.
9.4. Sertifikasi ulang
9.4.1. Perencanaan audit sertifikasi ulang
9.4.1.1 Audit sertifikasi ulang harus direncanakan dan dilaksanakan untuk mengevaluasi pemenuhan terhadap seluruh persyaratan Standar sistem manajemen atau dokumen normatif lain secara berkelanjutan. Tujuan audit sertifikasi ulang adalah untuk mengkonfirmasi keberlanjutan kesesuaian dan efektifitas sistem manajemen secara keseluruhan, serta relevansi dan kemampuan organisasi terhadap lingkup sertifikasi.
9.4.1.2 Audit sertifikasi ulang harus mempertimbangkan kinerja sistem manajemen selama periode sertifikasi dan mencakup tinjauan atas laporan survailen sebelumnya.
9.4.1.3 Kegiatan audit sertifikasi ulang mungkin membutuhkan audit tahap 1 bila terdapat perubahan signifikan pada sistem manajemen, pelanggan, atau konteks sistem manajemen yang sedang dioperasikan (sebagai contoh perubahan terhadap peraturan perundang-undangan).
9.4.1.4 Pada kasus multi lokasi atau sertifikasi untuk multi Standar sistem manajemen, perencanaan audit harus menjamin kecukupan cakupan audit lapangan untuk memberi keyakinan dalam sertifikasi.
9.4.2. Audit sertifikasi ulang
9.4.2.1 Audit sertifikasi ulang harus mencakup audit lapangan yang dilakukan untuk hal-hal sebagai berikut :
a. efektifitas sistem manajemen secara menyeluruh terkait dengan perubahan internal dan eksternal serta kesinambungan relevansi dan penerapannya terhadap lingkup sertifikasi;
b. menunjukkan komitmen untuk memelihara efektivitas dan peningkatan sistem manajemen untuk mencapai kinerja secara keseluruhan;
c. pengoperasian sistem manajemen yang disertifikasi berkontribusi atau tidak terhadap pencapaian kebijakan dan sasaran organisasi.
9.4.2.2 Bila selama audit sertifikasi ulang, teridentifikasi ketidaksesuaian atau kurangnya bukti kesesuaian, lembaga sertifikasi harus memberikan batas waktu untuk koreksi dan tindakan korektif untuk diimplementasikan sebelum habisnya masa berlaku sertifikat.
9.4.3. Informasi untuk pemberian sertifikasi ulang
Lembaga sertifikasi harus membuat keputusan untuk pembaharuan sertifikasi berdasarkan pada hasil audit sertifikasi ulang, begitupun dengan hasil tinjauan sistem selama periode sertifikasi dan keluhan yang diterima dari pengguna sertifikasi
9.5. Audit khusus
9.5.1 Perluasan ruang lingkup
Lembaga sertifikasi harus merespon permohonan untuk perluasan ruang lingkup sertifikasi yang telah diberikan, melakukan suatu kajian terhadap permohonan dan menentukan kegiatan audit yang penting untuk memutuskan perluasan diberikan atau tidak. Hal ini dapat dilakukan bersamaan dengan audit survailen.
9.5.2 Audit tidak terjadwal (short-notice)
Dapat dimungkinkan suatu lembaga sertifikasi melakukan audit tidak terjadwal terhadap pelanggan yang disertifikasinya untuk menginvestigasi keluhan (lihat butir 9.8), atau berkaitan dengan perubahan-perubahan (lihat 8.6.3), atau sebagai tindak lanjut dari pelanggan yang dibekukan (lihat butir 9.6). Dalam kasus yang demikian :
a. lembaga sertifikasi harus menjelaskan dan memberitahu terlebih dahulu kepada pelanggan yang disertifikasinya (sebagai contoh, dalam dokumen sebagaimana dijelaskan dalam butir 8.6.1) mengenai persyaratan kunjungan tiba tiba yang dilakukan,
b. lembaga sertifikasi harus memberi perhatian lebih dalam penugasan tim audit karena kurangnya peluang bagi pelanggan untuk berfokus pada anggota tim audit.
9.6. Pembekuan, pencabutan, atau pengurangan ruang lingkup sertifikasi
9.6.1 Lembaga sertifikasi harus memiliki kebijakan dan prosedur terdokumentasi untuk pembekuan, pencabutan, atau pengurangan ruang lingkup sertifikasi, dan harus menspesifikasikan tindakan-tindakan penting yang dilakukan oleh lembaga sertifikasi.
9.6.2 Lembaga sertifikasi harus membekukan sertifikasi pada kasus, sebagai contoh :
- sistem manajemen pelanggan yang disertifikasi gagal secara total dan serius dalam memenuhi persyaratan sertifikasi, termasuk persyaratan efektivitas system manajemen,
- pelanggan yang disertifikasi tidak memperbolehkan audit survailen atau sertifikasi ulang dilaksanakan pada frekwensi yang dipersyaratkan, atau
- pelanggan yang disertifikasi telah meminta pembekuan secara sukarela
9.6.3 Dalam kondisi pembekuan, sertifikasi sistem manajemen pelanggan untuk sementara tidak berlaku. Lembaga sertifikasi harus memiliki perjanjian yang mengikat dengan pelanggannya untuk menjamin bahwa dalam kasus pembekuan, pelanggan dilarang menggunakan sertifikasinya untuk keperluan promosi lebih lanjut. Lembaga sertifikasi harus membuat status pembekuan sertifikasi yang dapat diakses publik (lihat 8.1.3) dan harus melakukan tindakan lain yang sesuai.
9.6.4 Kegagalan untuk menyelesaikan masalah pokok dari pembekuan dalam jangka waktu yang ditetapkan, maka lembaga sertifikasi harus mencabut atau mengurangi ruang lingkup sertifikasi.
CATATAN Pada kebanyakan kasus pembekuan tidak melebihi 6 bulan.
9.6.5 Lembaga sertifikasi harus mengurangi ruang lingkup sertifikasi pelanggan untuk bagian-bagian yang tidak memenuhi persyaratan, bila pelanggan gagal secara total memenuhi persyaratan sertifikasi untuk bagian-bagian dari ruang lingkup sertifikasi tersebut. Setiap pengurangan harus selaras dengan persyaratan Standar yang digunakan untuk sertifikasi.
9.6.6 Lembaga sertifikasi harus memiliki perjanjian mengikat dengan pelanggan yang disertifikasinya berkaitan dengan persyaratan pencabutan (lihat butir 8.4.3.d) yang menjamin selama pencabutan sertifikasi, pelanggan tidak melanjutkan penggunaan sertifikasi pada materi periklanan yang memuat referensi status sertifikasinya.
9.6.7 Berdasarkan permintaan pihak tertentu, lembaga sertifikasi harus menyatakan dengan benar status sertifikasi sistem manajemen pelanggan yang dibekukan, dicabut, atau dikurangi.
9.7. Banding
9.7.1 Lembaga sertifikasi harus memiliki proses terdokumentasi untuk menerima, mengevaluasi, dan membuat keputusan terhadap banding.
9.7.2 Penjelasan proses penanganan banding harus tersedia untuk publik
9.7.3 Lembaga sertifikasi harus bertanggung jawab atas seluruh keputusan di semua tingkat proses penanganan banding. Lembaga sertifikasi harus menjamin bahwa personel yang terlibat dalam proses penanganan banding berbeda dengan personel yang melaksanakan audit dan membuat keputusan sertifikasi.
9.7.4 Pengajuan, investigasi, dan keputusan banding harus tidak menghasilkan tindakan diskriminasi terhadap pemohon banding.
9.7.5 Proses penanganan banding harus mencakup minimal elemen dan metoda berikut:
a. garis besar proses untuk penerimaan, validasi, dan investigasi banding, dan untuk memutuskan tindakan yang akan diambil, dengan mempertim bang kan hasil banding sebelumnya yang serupa;
b. memindai (tracking) dan merekam banding, termasuk tindakan yang diambil untuk penyelesaian;
c. menjamin bahwa koreksi dan tindakan korektif yang sesuai telah dilakukan.
9.7.6 Lembaga sertifikasi harus memberitahu diterimanya permohonan banding dan harus menyampaikan laporan kemajuan serta hasil (outcome) kepada pemohon banding.
9.7.7 Keputusan untuk dikomunikasikan kepada pemohon banding harus dibuat oleh atau dikaji dan disetujui oleh satu atau lebih individu yang tidak terlibat sebelumnya dalam subyek banding.
9.7.8 Lembaga sertifikasi harus memberikan pernyataan resmi kepada pemohon banding pada akhir proses penanganan banding.
9.8. Keluhan
9.8.1 Penjelasan proses penanganan keluhan harus dapat diakses publik.
9.8.2 Selama penerimaan keluhan, lembaga sertifikasi harus mengkonfirmasikan
keterkaitan keluhan tersebut dengan kegiatan sertifikasi yang menjadi tanggung jawabnya, bila terkait, harus diselesaikan. Jika keluhan terkait dengan sistem manajemen pelanggan yang disertifikasi, maka pemeriksaan keluhan harus mempertimbangkan efektifitas sistem manajemen yang disertifikasi
9.8.3 Setiap keluhan tentang pelanggan yang disertifikasi harus diteruskan oleh lembaga sertifikasi kepada pelanggan yang disertifikasinya pada waktu yang tepat.
9.8.4 Lembaga sertifikasi harus memiliki proses terdokumentasi untuk menerima, mengevaluasi, dan membuat keputusan terhadap keluhan. Proses ini harus mempersyaratkan kerahasiaan, yang berkaitan dengan pihak yeng mengajukan keluhan dan isi dari keluhan.
9.8.5 Proses penanganan keluhan harus mencakup minimal elemen dan metoda berikut :
a. garis besar proses untuk menerima, memvalidasi, menginvestigasi keluhan, dan untuk memutuskan apa tindakan yang harus diambil untuk meresponnya;
b. memindai (tracking) dan merekam keluhan, termasuk tindakan yang harus diambil sebagai respon terhadap hal tersebut;
c. menjamin bahwa koreksi dan tindakan korektif yang sesuai telah dilakukan
CATATAN ISO 10002 menyediakan panduan untuk penanganan keluhan
9.8.6 Lembaga sertifikasi yang menerima keluhan harus bertanggung jawab untuk mendapatkan dan memverifikasi seluruh informasi penting untuk memvalidasi keluhan.
9.8.7 Jika dimungkinkan, lembaga sertifikasi harus memberitahu diterimanya permohonan keluhan dan harus memberikan laporan kemajuan dan hasilnya kepada pemohon keluhan.
9.8.8 Keputusan untuk dikomunikasikan kepada pemohon keluhan harus dibuat, dikaji dan disetujui oleh satu atau lebih individu yang tidak terlibat dengan keluhan sebelumnya.
9.8.9 Apabila dimungkinkan, lembaga sertifikasi harus memberikan pernyataan resmi pada akhir proses penanganan keluhan kepada pihak yang mengajukan keluhan.
9.8.10 Lembaga sertifikasi harus menentukan bersama-sama dengan pelanggannya dan pihak yang mengajukan keluhan, apakah cakupan permasalahan keluhan dan penyelesaiannya harus dipublikasikan.
9.9. Rekaman pemohon dan pelanggan
9.9.1 Lembaga sertifikasi harus memelihara rekaman audit dan kegiatan sertifikasi lainnya untuk seluruh pelanggan termasuk seluruh organisasi yang mengajukan permohonan dan seluruh organisasi yang diaudit, disertifikasi atau yang sertifikasinya dibekukan atau dicabut.
9.9.2 Rekaman pelanggan yang disertifikasi harus mencakup hal-hal berikut :
a. informasi permohonan dan laporan audit awal, survailen, dan sertifikasi ulang;
b. perjanjian sertifikasi;
c. justifikasi metodologi yang digunakan untuk pengambilan contoh;
d. justifikasi untuk penentuan waktu auditor (lihat butir 9.1.4);
e. verifikasi koreksi dan tindakan korektif;
f. rekaman keluhan dan banding, dan koreksi dan tindakan korektifnya;
g. pertimbangan dan keputusan komite, jika ada;
h. dokumentasi keputusan sertifikasi;
i. dokumen sertifikasi, termasuk ruang lingkup sertifikasi berkenaan dengan produk, proses, atau jasa bila ada;
j. rekaman terkait penting untuk menetapkan kredibilitas sertifikasi seperti bukti kompetensi auditor dan tenaga ahli.
CATATAN Metodologi pengambilan contoh termasuk pengambilan contoh untuk menilai
sistem manajemen spesifik dan atau untuk memilih lokasi dalam hal asesmen multi lokasi
9.9.3 Lembaga sertifikasi harus menyimpan rekaman pemohon dan pelanggan untuk menjamin bahwa informasi disimpan secara rahasia. Rekaman harus ditransportasikan, ditransmisikan atau ditransfer dengan cara yang menjamin bahwa kerahasiaan terpelihara.
9.9.4 Lembaga sertifikasi harus memiliki kebijakan dan prosedur terdokumentasi tentang masa retensi rekaman. Rekaman harus disimpan untuk jangka waktu siklus terakhir ditambah satu siklus sertifikasi lengkap.
CATATAN Dalam beberapa yuridiksi, peraturan perundang-undangan menyatakan bahwa
rekaman harus dipelihara untuk periode waktu yang lebih lama.