qualiopi header

Ablauf Zertifizierungsverfahren
(Managementsysteme)

Kontakt

Der Zertifizierungsablauf beinhaltet ein zweistufiges Erstaudit, Überwachungsaudits im ersten und zweiten Jahr und im dritten Jahr, unmittelbar vor Ablauf der Zertifizierung, ein Re-Zertifizierungsaudit. Die bestehende Zertifizierung wird somit jährlich überwacht.

Wurden dem Kunden bereits andere Zertifizierungen gewährt, so können diese berücksichtigt werden. Hierbei müssen ausreichende, nachprüfbare Informationen gesammelt werden, um Anpassungen des Auditprogramms zu rechtfertigen und diese entsprechend aufzuzeichnen.

Die Ziele des Audits werden von SOCOTEC Certification Deutschland ermittelt. Nach Rücksprache mit dem Kunden werden der Auditumfang und die Auditkriterien einschließlich aller Änderungen festgelegt.

In den Zielen des Audits wird beschrieben, was mit Hilfe des Audits erreicht werden soll.

Sie enthalten die Feststellung der Konformität des Managementsystems des Kunden oder von Teilen dieses Managementsystems mit den Auditkriterien sowie die Bewertung der Fähigkeit des Managementsystems, anwendbare gesetzliche, behördliche und vertragliche Anforderungen zu erfüllen.

Darüber hinaus erfolgt eine Bewertung der Wirksamkeit des Managementsystems in Bezug auf die dauerhafte Erfüllung der dafür festgelegten Ziele; und falls anwendbar, die Benennung der Bereiche für mögliche Verbesserungen des Managementsystems.

Der Auditumfang muss den Umfang und die Grenzen des Audits beschreiben, wie z. B. Standorte, Organisationseinheiten, zu auditierende Aktivitäten und Prozesse.

Falls ein Erst- oder Re-Zertifizierungsprozess mehr als ein Audit umfasst (z. B. wenn mehrere Standorte abgedeckt werden müssen), ist es möglich, dass der Umfang eines einzelnen dieser Audits nicht den gesamten Geltungsbereich des Zertifikats abdeckt, für die Gesamtheit der Audits wird jedoch erwartet, dass sie dem im Zertifizierungsdokument angegebenen Geltungsbereich entsprechen.

Die Auditkriterien sind als Referenz zu verwenden, in Bezug auf die die Konformität bestimmt wird. Sie müssen die Anforderungen eines festgelegten normativen Dokuments zu Managementsystemen und die festgelegten Prozesse und Dokumentation des vom Kunden entwickelten Managementsystems enthalten.

Spezielle Anforderungen für die Norm DIN EN ISO/IEC 27001

SOCOTEC Certification Deutschland fordert keine besondere Art der Umsetzung des IMS oder ein bestimmtes Format für Dokumentation und Aufzeichnungen. Die Zertifizierungsverfahren konzentrieren sich darauf, dass das ISMS des Kunden die Anforderungen der ISO/IEC 27001und die Ziele des Kunden erfüllt.

Das ISMS des Kunden, das unter den festgelegten Geltungsbereich fällt, wird gegen alle anwendbaren Zertifizierungsanforderungen geprüft. SOCOTEC Certification Deutschland bestätigt, dass die Anforderungen nach ISO/IEC 27001 erfüllt sind.

SOCOTEC Certification Deutschland stellt sicher, dass die Risikobewertung des Kunden seine Aktivitäten berücksichtigt und auf die Grenzen seiner Aktivitäten im Sinne vom Umfang der Zertifizierung erstreckt.

SOCOTEC Certification Deutschland stellt sicher, dass Schnittstellen zu Diensten oder Aktivitäten, die nicht vollständig im Rahmen des ISMS liegen in der Risikobewertung des Kunden enthalten sind.
Ein Beispiel für eine solche Situation ist das Teilen von Einrichtungen (z. B. IT-Systeme, Datenbanken und Telekommunikationssysteme oder das Outsourcing eines Unternehmens Funktion) mit anderen Organisationen.

SOCOTEC Certification Deutschland kann eine kombinierte Dokumentation akzeptieren (z. B. für Informationssicherheit, Qualität, Gesundheit und Sicherheit und Umwelt), solange das ISMS eindeutig identifiziert werden kann und die entsprechenden Schnittstellen zu den anderen Systemen definiert sind.

Das ISMS-Audit kann mit Audits anderer Managementsysteme kombiniert werden, sofern die Prüfung alle Voraussetzungen für die Zertifizierung des ISMS erfüllt und die Qualität der Prüfung durch die Kombination der Prüfungen nicht beeinträchtigt wird.

Antragstellung

Der Antragsteller stellt bei SOCOTEC Certification Deutschland einen entsprechenden Antrag.

SOCOTEC Certification Deutschland bestätigt schriftlich die Anfrage und sendet dem Antragsteller den Antragsbogen zu.

Hierdurch ist sichergestellt, dass sowohl SOCOTEC Certification Deutschland als auch der Antragsteller Informationen zu den nachfolgenden Punkten erhält:

  • die Informationen über die antragstellende Organisation und deren Managementsystem ausreichend zur Erstellung eines Angebotes sind;

  • die Anforderungen an die Zertifizierung klar definiert und dokumentiert sind und der antragstellenden Organisation bereitgestellt wurden;

  • alle bekannten Differenzen im Verständnis zwischen der Zertifizierungsstelle und der antragstellenden Organisation geklärt werden

  • die Zertifizierungsstelle über die Kompetenz und die Fähigkeit verfügt, die Zertifizierungs- tätigkeiten durchzuführen;

  • der Geltungsbereich der angestrebten Zertifizierung, der/die Standort(e) der Tätigkeiten der antragstellenden Organisation, die zur Ausführung der Audits erforderliche Zeit sowie alle andere Aspekte, die die Zertifizierungstätigkeit beeinflussen, berücksichtigt werden (Sprache, Sicherheitsbedingungen, Gefährdungen der Unparteilichkeit usw.);

  • Aufzeichnungen zur Begründung der Entscheidung, ein Audit durchzuführen, aufrechtzuerhalten sind.

Auf Grundlage des Antragsbogens wird der Antragssteller einem Scope / Sektor zugeordnet und geprüft, ob dieser von SOCOTEC Certification Deutschland abgedeckt wird. Auf Basis der Angaben in dem Antragsbogen wird von kompetenten Mitarbeitern der SOCOTEC Certification Deutschland der Scope in der Verfahrensdokumentation festgelegt.
Bei Unklarheiten der Zuordnung wird Rücksprache mit der Leitung der Zertifizierungsstelle genommen. Ist dies erfolgt, erhält der Antragsteller ein individuelles Angebot abhängig von der Mitarbeiterzahl, von der Anzahl der Standorte / Filialen und gegebenenfalls weiteren Faktoren gemäß der zu auditierenden Norm (z.B. ISO/IEC 27001, IT-Sicherheitskatalog etc.).

Falls die Antragsprüfung ergibt, dass der Antragsteller nicht zertifiziert werden kann, wird der Antragsteller schriftlich hiervon unterrichtet.

Der Auftrag kommt erst nach der Rücksendung des unterschriebenen Angebots zu Stande.
Mit jedem angenommenen Auftrag wird ein Formular zur Verfahrensprüfung angelegt.

Transfer von Zertifikaten

Sollte die Auswertung des Antragsbogens ergeben, dass der Kunde bereits über ein Zertifikat einer akkreditierten Zertifizierungsstelle verfügt, muss eine kompetente Person mit der Bewertung der Zertifizierung des voraussichtlichen Kunden beauftragt werden. Die Bewertung, für den Fall eines Transfers eines Zertifikates, wird im Kalkulationsblatt dokumentiert und beinhaltet folgende Punkte:

  • Gründe für das Beantragen einer Übertragung

  • Dass der Standort bzw. die Standorte, die die Übertragung wünschen, eine akkreditierte Zertifizierung besitzen, die gültig ist im Hinblick auf Echtheit, Dauer der Gültigkeit sowie Gültigkeitsbereich der Tätigkeiten, die von der Zertifizierung des Managementsystems abgedeckt werden.

  • Bestätigung, dass die zertifizierten Tätigkeiten des Kunden in den akkreditierten Bereich der anerkennenden Zertifizierungsstelle fallen, einschl. Status offener Nichtkonformitäten

  • Eine Prüfung der letzten Auditberichte zur Zertifizierung bzw. Re-Zertifizierung, darauffolgende Überwachungsberichte sowie jedwede offene Nichtkonformitäten, die daraus resultieren, sowie jede zur Verfügung stehende sachbezogene Dokumentation.

Wenn die letzten Auditberichte zur Zertifizierung, Re-Zertifizierung oder zur darauffolgenden Überwachung nicht zur Verfügung gestellt werden oder wenn das Überwachungsaudit überfällig ist, dann ist die Organisation wie ein neuer Kunde zu behandeln;

 

Auditplan / Auditprogramm

Für das Auditprogramm (NICHT den Auditplan) gilt, dass es:

  • Alle Managementsystemanforderungen abdeckt
  • Jeweils einen gesamten Zertifizierungszyklus abdeckt.

Dies beinhaltet:

  • Zertifizierungszyklus 0: Stufe 1 + Stufe 2 Audit bis zur Zertifizierungsentscheidung

  • Zertifizierungszyklus 1: Zertifizierungsentscheidung bis zur Re-Zertifizierungsentscheidung

  • Zertifizierungszyklus 2: Re-Zertifizierungsentscheidung bis zur nächsten Re-Zertifizierungsentscheidung

Für jedes durchzuführende Audit wird ein Auditplan erstellt. Dieser ist die Grundlage für die Vorbereitung und Durchführung des Audits, inklusive der zeitlichen Planung. Die Gestaltung des Auditplans erfolgt auf Grundlage der ISO 19011 in der jeweils gültigen Fassung. Der Auditplan muss den Zielen und dem Auditumfang angemessen sein und wird dem Kunden vor Durchführung des Audits übermittelt, um die Daten entsprechend abzustimmen.

Ebenso werden netzwerkgestützte Prüfungsmethoden im Auditplan für das Audit festlegen.

Dies sind, soweit zutreffend, netzwerkunterstützte Audittechniken wie z. B. Telekonferenzen, Web- Treffen, interaktive Web-basierte Kommunikation und Fernelektronischer Zugriff auf die Dokumentation oder Prozesse. Der Schwerpunkt solcher Techniken ist es, die Wirksamkeit und Effizienz des Audits zu verbessern und die Integrität des Auditprozesses zu unterstützen.

Der Auditplan muss mindestens beinhalten:

  • Auditziele
  • die Auditkriterien und die Referenzdokumente
  • Auditumfang, einschließlich Bezeichnung der zu auditierenden Organisations- und Funktionseinheiten oder –prozesse
  • Daten und Standorte, an denen Vor-Ort-Auditaktivitäten durchzuführen sind, einschließlich des Besuchs von temporären Standorten, soweit zutreffend
  • Berücksichtigung von Schichtarbeit, wenn zutreffend
  • Erwartete Zeiten und Dauern der Vor-Ort-Aktivitäten
  • Funktionen und Verantwortlichkeiten aller Mitglieder des Auditteams und Begleitpersonen

Die Planung der Audits erfolgt quartalsweise, mindestens ein Quartal vorher. Die Audittermine werden durch die ausgewählten Auditoren oder von SOCOTEC Certification Deutschland vorgeschlagen. Der Kunde wird über den Terminvorschlag informiert und gebeten, diesen zu bestätigen. Änderungswünsche werden mit dem jeweiligen Auditor abgestimmt.

Ein kompetenter, qualifizierter Mitarbeiter der SOCOTEC Certification Deutschland erarbeitet den Auditplan für den vereinbarten Termin. SOCOTEC Certification Deutschland oder der Auditor übersenden den Auditplan rechtzeitig zum Audit, um dem Kunden die Möglichkeit zu geben, darauf reagieren zu können.

 Auditteam

Für jedes durchzuführende Audit wird ein Auditteam, inklusive des Auditleiters, bestellt.
Hierbei werden die für die Durchführung des Audits erforderlichen Kompetenzen ausreichend berücksichtigt.

Bei der Entscheidung über die Größe und Zusammensetzung des Auditteams, werden folgende Aspekte berücksichtigt:

  • die Ziele und der Umfang des Audits, die Auditkriterien und die geschätzte Dauer des Audits
  • die benötigte Kompetenz des gesamten Auditteams, um die Auditziele zu erreichen
  • ob es sich bei dem Audit um ein kombiniertes, integriertes oder gemeinsames Audit handelt
  • Zertifizierungsanforderungen (einschließlich jeglicher, anwendbarer, gesetzlicher, behördlicher oder vertraglicher Anforderungen)
  • Sprache und Kultur
  • ob die Mitglieder des Auditteams das Managementsystem des Kunden zuvor bereits auditiert haben

Die erforderlichen Kenntnisse und Fähigkeiten des Auditteam-Leiters und der Auditoren können durch Fachexperten, Übersetzer und Dolmetscher ergänzt werden, die unter der Anleitung eines Auditors arbeiten. Falls Übersetzer oder Dolmetscher eingesetzt werden, müssen sie so ausgewählt werden, dass sie keinen unangemessenen Einfluss auf das Audit haben.

Die Kriterien für die Auswahl von Fachexperten werden von Fall zu Fall dem Bedarf des Auditteams und dem Auditumfang entsprechend ermittelt.

Auditoren, die sich noch in der Ausbildung befinden, dürfen als Teilnehmer in das Auditteam aufgenommen werden, sofern ein Auditor mit der Bewertung beauftragt wird. Der mit der Bewertung Beauftragte, muss über die zur Übernahme der Pflichten notwendige Kompetenz verfügen und trägt die Endverantwortung für die Aktivitäten und Ergebnisse der Auditoren in Ausbildung.

Der Auditteam-Leiter überträgt, in Absprache mit dem Auditteam, jedem Teammitglied Verantwortung für die Auditierung bestimmter Prozesse, Funktionen, Standorte, Bereiche oder Aktivitäten.
Bei dieser Übertragung werden die erforderlichen Kompetenzen und der wirksame und effiziente Einsatz des Auditteams sowie die unterschiedlichen Funktionen und Verantwortlichkeiten der Auditoren, der Auditoren in Ausbildung und der Fachexperten berücksichtigt. Im Verlauf des Audits dürfen Veränderungen an den Arbeitsaufträgen vorgenommen werden, um sicherzustellen, dass die Auditziele erreicht werden.

Die Mitglieder des Auditteams werden dem Kunden mitgeteilt. Der Kunde erhält Gelegenheit, einzelne Mitglieder des Teams oder die Gesamtheit des Auditteams abzulehnen. Bei Ablehnung wird ein anderer Auditor durch SOCOTEC Certification Deutschland vorgeschlagen.

Auditzeit

Für jedes durchzuführende Audit wird die notwendige Auditzeit ermittelt, die zur Durchführung eines vollständigen und wirksamen Audits des Managementsystems des Kunden benötigt wird. Die ermittelte Auditzeit und Begründungen für Abweichungen werden aufgezeichnet.

Bei der Ermittlung werden folgende Aspekte berücksichtigt:

  • Anforderungen der Norm bezüglich des Managementsystems
  • Größe und Komplexität
  • Kontext bezüglich Technologie und Regelungen
  • Ergebnisse vorheriger Audits
  • Anzahl der Orte sowie Aspekte bezüglich mehrerer Standorte
  • Die mit den Produkten, Prozessen oder Aktivitäten der Organisation verbundenen Risiken
  • Falls maßgeblich, ob unterschiedliche Managementsysteme kombiniert oder integriert wurden
  • Jede Ausgliederung von Aktivitäten, die der Anwendungsbereich des Systems beinhaltet

Die Zeit, die von einzelnen Teammitgliedern aufgewendet wird, die nicht als Auditor eingesetzt sind (d. h. Fachexperten, Übersetzer, Dolmetscher, Beobachter und Auditoren in Ausbildung), darf nicht zur Auditzeit gezählt werden.

Die Einsetzung von Übersetzern/Dolmetschern kann eine Verlängerung der Auditzeit erfordern.

  • IAF-MD1 : Zertifizierung von Organisationen mit mehreren Standorten 
  • IAF-MD5 : Ermittlung der Auditzeiten für Managementsysteme
  • IAF-MD9 : Festlegung der Auditzeiten bei der Auditierung von Managementsystemen nach DIN EN ISO 13485
  • IAF-MD11 : Verpflichtendes Dokument zur Anwendung der ISO/IEC 17021 für Audits integrierter Managementsysteme
  • IAF MD 22 : Application of ISO/IEC 17021-1 for the Vertification of Occupational Health and Safety Management Systems (OH&SMS)
  • 71 SD 6 025 : Kompetenzanforderungen für Auditoren und Zertifizierungspersonal im Bereich Qualitätsmanagementsysteme ISO 9001 (QMS) und Umweltmanagementsysteme ISO 14001 (UMS) –wird von der SOCOTEC CERTIFICATION DEUTSCHLAND-Certification weiter als Basis eingesetzt

Aufgaben

Die Aufgaben des Auditteams müssen eindeutig definiert sein. Sie sind dem Kunden bekannt zu machen. Hierzu verfügt die Zertifizierungsstelle über Dokumente, die dem Kunden vor Durchführung des Audits zur Verfügung gestellt werden.

SOCOTEC Certification Deutschland stellt den Interessenten und Kunden Informationen zum Ablauf der Zertifizierung zur Verfügung. Diese können auch online unter www.socotec-certification-international.de eingesehen werden.

Ausführliche Beschreibung der Zertifizierungsstätigkeit, einschließlich Antragstellung und Durchführung sowie Erteilung, Aufrechterhaltung, Einschränkung und Entziehung der Zertifizierung. Informationen zu den normativen Grundlagen. Information zu Einspruchs- und Beschwerdemöglichkeiten.

Der Vertrag/Antrag beinhaltet sämtliche Regelungen zu den Pflichten und Rechten des Kunden, der Nutzung von Zertifizierungszeichen und den sonstigen Aspekten der Zertifizierung.

Mitteilung der Zertifizierungsstelle über Änderungen

Sofern sich Änderungen in den Anforderungen an die Zertifizierung ergeben, werden diese rechtzeitig den Kunden bekannt gegeben. Die Einhaltung der neuen Anforderungen wird überwacht.

Mitteilung des Kunden über Änderungen

Sofern sich wesentliche Änderungen hinsichtlich des Managementsystems oder der Zertifizierung ergeben, ist der Kunde vertraglich verpflichtet, dies der Zertifizierungsstelle der SOCOTEC Certification Deutschland anzuzeigen.

SOCOTEC Certification Deutschland prüft die Informationen des Kunden dahingehend, ob sich daraus Veränderungen ergeben, die sich auf die Zertifizierung und das ausgestellte Zertifikat auswirken. Die Zertifizierungsstelle entscheidet, ob weitere Maßnahmen, wie ein weiteres Audit, die Dokumentenprüfung, Einschränkung oder Entzug des Zertifikates, erforderlich sind.

Die damit verbundenen Maßnahmen sind einzuleiten. Der Kunde wird über die notwendigen Maßnahmen informiert.

Erstzertifizierungs-Audit

Das Erstzertifizierungsaudit eines Managementsystems muss in zwei Stufen durchgeführt werden. Hierbei unterscheidet man zwischen Stufe 1 und Stufe 2.

Unterlagenprüfung

Der Kunde stellt vor jeder Erstzertifizierung und jeder Re-Zertifizierung das Handbuch seines Qualitätsmanagementsystems, für die DIN EN ISO 9001:2015 die geforderten dokumentierten Informationen in geeigneter Form der Zertifizierungsstelle zur Verfügung. Diese Unterlagen werden durch den Auditleiter bzw. ein von ihm beauftragten Auditor begutachtet und bewertet, um die Auditreife des Systems zu beurteilen. Ist dies auf Grund des gewählten Dokumentationssystems (z.B. Verwendung einer speziellen Software) nicht möglich, muss die Auditzeit entsprechend verlängert werden, um diese Bewertung vor Ort durchführen zu können. Die Ergebnisse der Unterlagenprüfung sind mit Hilfe der Formblätter zu dokumentieren. Das Ergebnis der Unterlagenprüfung wird dem Kunden schriftlich zur Verfügung gestellt. Wird die Dokumentenprüfung im Rahmen des Vorort-Audits durchgeführt erfolgt der Nachweis mit den gleichen, entsprechenden Unterlagen.

Audit der Stufe 1

Das Audit der Stufe 1 ist durchzuführen, um die Managementsystem-Dokumentation des Kunden zu auditieren, den Standort und die standortspezifischen Bedingungen des Kunden zu beurteilen sowie Diskussionen mit dem Personal der Organisation des Kunden zu führen, um die Bereitschaft für das Audit Stufe 2 zu ermitteln, den Status des Kunden zu bewerten sowie das Verständnis bezüglich der Anforderungen der Norm, insbesondere im Hinblick auf die Identifizierung von Schlüsselleistungen bzw. bedeutsamen Aspekten, Prozessen, Zielen und das Betreiben des Managementsystems, notwendige Informationen zu sammeln bezüglich des Geltungsbereichs des Managementsystems, der Prozesse und des/der Standortes (e) des Kunden sowie zugehörige gesetzliche und behördliche Aspekte und deren Einhaltung (z. B. Qualitäts-, Umwelt-, rechtliche, arbeitsschutzrechtliche Aspekte der Tätigkeiten des Kunden, damit verbundene Risiken usw.), die Zuteilung der Ressourcen für Audits der Stufe 2 zu bewerten sowie die Einzelheiten der Audits der Stufe 2 mit dem Kunden abzustimmen, einen Schwerpunkt für die Planung des Audits der Stufe 2 zu schaffen, indem ausreichendes Verständnis des Managementsystems des Kunden sowie zu den Standorttätigkeiten zusammen mit möglichen signifikanten Aspekten erlangt werden, zu beurteilen, ob die internen Audits und Managementbewertungen geplant und durchgeführt werden und dass der Grad der Umsetzung des Managementsystems belegt, dass der Kunde für das Audit der Stufe 2 bereit ist.

 Audit der Stufe 2

Der Zweck des Audits der Stufe 2 ist es, die Umsetzung einschließlich der Wirksamkeit des Managementsystems des Kunden zu beurteilen. Das Audit der Stufe 2 muss an dem/den Standort/en der des Kunden stattfinden. Es muss mindestens das Folgende umfassen:

  • Informationen und Nachweise über die Konformität mit allen Anforderungen der anwendbaren Managementsystemnorm und anderen normativen Dokumenten;

  • Überwachung der Leistung, Messung, Berichterstellung und Überprüfung nach Schlüsselleistungs- Ziele und -Vorgaben (übereinstimmend mit den Erwartungen in der anzuwendenden Managementsystem-Norm oder anderen normativen Dokumenten);

  • das Managementsystem des Kunden und dessen Leistungsfähigkeit in Bezug auf Einhaltung der gesetzlichen Bestimmungen;

  • Betriebssteuerung/-lenkung der Prozesse des Kunden; internes Auditieren und Managementbewertung;

  • Verantwortlichkeit der Leitung für die grundsätzlichen Regelungen des Kunden; Verantwortlichkeit der Leitung für die grundsätzlichen Regelungen des Kunden;

  • Verbindungen zwischen normativen Anforderungen, Politik, Leistungszielen und –vorgaben (übereinstimmend mit den Erwartungen in der anzuwendenden Managementsystem-Norm oder anderen normativen Dokumenten), alle anwendbaren gesetzlichen Anforderungen,

  • Verantwortlichkeiten, Kompetenz des Personals, Tätigkeiten/Arbeitsweise, Verfahren, Leistungsdaten und Feststellungen sowie Schlussfolgerungen aus internen Audits.

Zusätzlich werden bei der Prüfung eines ISMS-Audits folgende Elemente geprüft:

  • Top-Management-Führung und Engagement für Informationssicherheitspolitik und Informationen, Sicherheitsziele;

  • Unterlagen gemäß ISO/IEC 27001

  • Bewertung der mit der Informationssicherheit verbundenen Risiken und dass die Bewertungen einheitliche, gültige und vergleichbare Ergebnisse beinhaltet (bei Wiederholungsaudits),

  • Festlegung von Kontrollzielen und Kontrollen auf der Grundlage der Informationssicherheitsrisikobewertung und Risikoprozessverfahren;

  • Informationssicherheit und die Wirksamkeit des ISMS, die Bewertung der Informationssicherheitsziele;

  • Konformität zwischen den ermittelten Kontrollen, der Geltungsdauer und den Ergebnissen der Risikobewertung sowie die Informationssicherheit -politik und -ziele

  • Umsetzung der Kontrollen unter Berücksichtigung des externen und internen Kontextes und den damit verbundene Risiken, die Überwachung, Messung und Analyse der Informationssicherheit durch die Organisation, Prozesse und Kontrollen, um festzustellen, ob Kontrollen implementiert und wirksam sind um die definierten Informationssicherheitsziele zu erreichen

  • Programme, Prozesse, Verfahren, Aufzeichnungen, interne Audits und Reviews der ISMS-Effektivität um sicherzustellen, dass diese auf Top-Management-Entscheidungen und die Informationssicherheitspolitik nachvollziehbar sind.

Bericht zur Erstzertifizierung

Die Informationen, die das Auditteam SOCOTEC Certification Deutschland für die Zertifizierungsentscheidung bereitstellt, müssen mindestens enthalten:

  • die Auditberichte;
  • Anmerkungen zu den Nichtkonformitäten und, wo zutreffend, zu Korrekturmaßnahmen, die vom Kunden ergriffen wurden;
  • Bestätigung der an SOCOTEC Certification Deutschland gelieferten grundliegenden Informationen, die in der Antragsprüfung verwendet wurden (siehe 9.2.2), und
  • eine Empfehlung, ob die Zertifizierung gewährt werden soll oder nicht, zusammen mit Bedingungen bzw. Beobachtungen.

Die Zertifizierungsstelle trifft die Entscheidung über die Zertifizierung auf der Grundlage der Beurteilung der Auditfeststellungen und Schlussfolgerungen sowie weiterer relevanter Informationen (z. B. öffentliche Informationen, Stellungnahmen des Kunden zum Auditbericht).

Durchführung der Audits

Die Zertifizierungsstelle verfügt über einen Prozess zur Durchführung der Vor-Ort-Audits.

Durchführung der Eröffnungsbesprechung

Gemeinsam mit der Leitung des Kunden und, falls angemessen, mit den Personen, die die Verantwortung für die zu auditierenden Funktionen oder Prozesse tragen, wird eine Eröffnungsbesprechung abgehalten, bei der die Teilnahme dokumentiert wird.

Der Zweck der Eröffnungsbesprechung, die in der Regel unter dem Vorsitz des Auditteam-Leiters durchgeführt wird, besteht darin, den Auditplan zu bestätigen, eine kurze Erläuterung der geplanten Audittätigkeiten zu geben, die Kommunikationskanäle zu bestätigen und dem Kunden die Möglichkeit zu geben, Fragen zu stellen.

Die Eröffnungsbesprechung muss folgende Punkte umfassen, ausgenommen jene, mit denen der Kunde bereits vertraut ist:

  • Vorstellung der Teilnehmer einschließlich einer überblicksartigen Beschreibung ihrer Funktionen;
  • Bestätigung des Geltungsbereiches der Zertifizierung
  • Bestätigung des Auditplans, aller Änderungen und sonstiger relevanter Vereinbarungen mit dem Kunden, wie z. B. Datum und Uhrzeit der Abschlussbesprechung und der im Verlauf des Audits stattfindenden Besprechungen zwischen dem Auditteam und der Leitung des Kunden;
  • Bestätigung der formellen Kommunikationskanäle zwischen Auditteam und Kunde;
  • Bestätigung, dass die vom Auditteam benötigten Ressourcen und Einrichtungen zur Verfügung stehen;
  • Bestätigung von Angelegenheiten der Vertraulichkeit;
  • Bestätigung der für das Auditteam maßgeblichen Arbeitssicherheits-, Notfall- und Sicherheitsverfahren;
  • Bestätigung der Verfügbarkeit, Funktionen und Identitäten aller Betreuer und Begleiter;

  • Methode der Berichterstattung einschließlich Einstufung der Auditfeststellungen;

  • Informationen zu den Bedingungen, unter denen das Audit vorzeitig abgebrochen werden kann;

  • Bestätigung, dass der Auditteam-Leiter und das Auditteam, die die Zertifizierungsstelle vertreten, die Verantwortung für das Audit tragen und die Leitungsfunktion für die Umsetzung des Auditplans einschließlich der Auditaktivitäten und des Auditpfades innehaben;

  • Bestätigung des Status in Bezug auf die Ergebnisse der vorangegangenen Überprüfung bzw. des vorangegangenen Audits, falls zutreffend;

  • Methoden und Verfahren, die bei Audits anzuwenden sind, um das Audit auf Basis von Stichproben durchzuführen;

  • Bestätigung bezüglich der im Verlauf des Audits zu gebrauchenden Sprache; und

  • Bestätigung, dass der Kunde während des Audits über dessen Voranschreiten auf dem Laufenden gehalten wird.

  • Möglichkeit des Kunden Fragen zu stellen

Kommunikation während des Audits

Im Verlauf des Audits muss das Auditteam in regelmäßigen Abständen das Voranschreiten des Audits bewerten, um Informationen auszutauschen und die Aufgaben bei Bedarf unter den Mitgliedern des Auditteams neu zu verteilen. Der Auditteam-Leiter muss den Kunden in regelmäßigen Abständen über den Auditfortschritt und aufgetretene Schwierigkeiten informieren.

Falls die verfügbaren Auditnachweise zeigen, dass die Auditziele unerreichbar sind, oder ein unmittelbares und erhebliches Risiko (z. B. in Bezug auf die Sicherheit) bestehen kann, muss der

Auditteam-Leiter dem Kunden und, wenn möglich, der Zertifizierungsstelle darüber Bericht erstatten, um die entsprechenden Maßnahmen festzulegen. Zu diesen Maßnahmen können die erneute

Bestätigung oder die Veränderung des Auditplans, Änderungen an den Zielen oder am Auditumfang oder auch der Abbruch des Audits gehören.

Der Auditteam-Leiter muss der Zertifizierungsstelle über die Ergebnisse der ergriffenen Maßnahmen Bericht erstatten. Dies erfolgt formlos per E-Mail oder telefonisch.

Der Auditteam-Leiter muss gemeinsam mit dem Kunden jeglichen Änderungsbedarf, der sich im Verlauf der Auditaktivitäten vor Ort in Bezug auf den Auditumfang herausstellt, überprüfen und der Zertifizierungsstelle darüber Bericht erstatten. Dies erfolgt formlos per E-Mail oder telefonisch.

Beobachter und Begleiter

Für die Anwesenheit von Beobachtern bei einer Auditaktivität und die dafür geltende Begründung muss vor Durchführung des Audits die Zustimmung von SOCOTEC Certification Deutschland und des Kunden eingeholt werden.

Die Zustimmung muss schriftlich erfolgen und wird bei SOCOTEC Certification Deutschland dokumentiert.

Jeder Auditor muss von einem Begleiter betreut werden, es sei denn, es besteht eine andere Vereinbarung zwischen dem Auditteam-Leiter und dem Kunden. Der Begleiter des Auditteams ist zur Erleichterung des Audits dem Auditteam zugeordnet.

Das Auditteam muss sicherstellen, dass anwesende Beobachter und Begleiter weder den Auditprozess behindern noch Einfluss auf das Ergebnis des Audits haben.

Sammlung und Überprüfung von Informationen

Während des Audits müssen Informationen, die für die Ziele und den Umfang des Audits sowie für die Auditkriterien von Bedeutung sind (einschließlich Informationen zu den Schnittstellen zwischen Funktionen, Aktivitäten und Prozessen) durch geeignete Stichproben gesammelt und überprüft werden.
Zu den für die Sammlung von Informationen möglichen Verfahren gehören unter anderem Interviews, Beobachtung von Prozessen und Aktivitäten sowie die Durchsicht von Dokumentationen und Aufzeichnungen.

Ermittlung und Aufzeichnung der Auditfeststellungen

Die Auditfeststellungen, die die Konformität zusammenfassen und Nichtkonformitäten in ihren Einzelheiten beschreiben, und die diese Ergebnisse stützenden Auditnachweise werden aufgezeichnet und an SOCOTEC Certification Deutschland berichtet, um eine faktenbasierte Zertifizierungsentscheidung treffen oder die Gültigkeit eines bestehenden Zertifikats verlängern zu können.

Solange eine Norm oder Spezifikation für ein Managementsystem es nicht verbietet, dürfen Verbesserungspotentiale ermittelt und aufgezeichnet werden.
Auditfeststellungen, die Nichtkonformitäten (Abweichungen) sind, dürfen nicht als Verbesserungspotentiale aufgezeichnet werden.

Die Auditfeststellungen werden in Berichtsform an SOCOTEC Certification Deutschland übermittelt. Ergebnisse, die eine Nichtkonformität (Abweichungen) aufzeigen, werden aufgezeichnet und enthalten eine klare Angabe der Nichtkonformität und deren objektive Beschreibung.

Nichtkonformitäten (Abweichungen) werden mit dem Kunden erörtert, um sicherzustellen, dass die dafür gefundenen Nachweise korrekt sind und diese Nichtkonformitäten verstanden werden.
Die Bedingungen für die Behebung von Nichtkonformitäten (Abweichungen) und ihre möglichen Auswirkungen auf den Zertifizierungsstatus sind klarzustellen. Hierzu zählen insbesondere auch die vereinbarten Fristen zur Umsetzung der Korrekturmaßnahmen.

Die Einstufung der Auditfeststellungen ist wie folgt:

  • iO : Das Managementsystem erfüllt oder übertrifft die Anforderungen.

  • Hinweise :Gesichtspunkte für eine Optimierung des Managementsystems in Bezug auf die entsprechende Normforderung. Die Umsetzung durch das auditierte Unternehmen wird empfohlen.

  • 1 - Nicht wesentliche Abweichung : Unvollständige Erfüllung von Normforderungen im Einzelfall, die aber die Wirksamkeit des Managementsystems nicht in Frage stellen.
    Die geplanten Korrekturmaßnahmen sind vor der Entscheidung über die Zertifikatserteilung / -aufrechterhaltung innerhalb von einer festzusetzenden Frist dem Auditleiter mitzuteilen. Sofern die Korrekturmaßnahme angenommen wird, wird deren Umsetzung beim nächsten Audit überprüft.

    Der Plan für Korrekturen und Korrekturmaßnahmen muss innerhalb von 2 Monaten nach dem letzten Audittag eingereicht werden.

  • 0 - Wesentliche Abweichung : Nichterfüllung von Normforderungen; die Ursachen für die aufgezeigten Mängel sind zu analysieren und die festgelegten Korrekturmaßnahmen vor der Entscheidung über die Zertifikatserteilung / -aufrechterhaltung wirksam umzusetzen. Die Bestätigung erfolgt durch geeignete Nachweise. Sofern erforderlich erfolgt ein zusätzliches Audit zur Überprüfung (Ü).

    Falls wesentliche Abweichungen nicht innerhalb von 6 Monaten nach dem letzten Tag der Stufe 2 geschlossen sind, muss SOCOTEC Certification Deutschland vor der Empfehlung der Zertifizierung erneut eine Stufe 2 durchführen.
    (Kpt. 9.5.3.2 der ISO 17021-1:2015)

    Falls wesentliche Abweichungen nicht vor Ablauf des Zertifizierungsdatums geschlossen sind, wird SOCOTEC Certification Deutschland keine Empfehlung für die Re-Zertifizierung aussprechen. Die Gültigkeit der Zertifizierung wird nicht verlängert. Der Kunde wird darüber informiert und die Konsequenzen erläutert.
    (Kpt. 9.6.3.2.4 der ISO 17021-1:2015)

  • Dokumentenprüfung : Nachbegutachtung von Dokumenten (bei „0“ oder „1“)

  • Überprüfung vor Ort : Sofern erforderlich erfolgt zur Überprüfung der Korrekturmaßnahmen ein zusätzliches Audit. Nur bei Abweichungen „0“

Der Auditteam-Leiter ist nachdrücklich angehalten, alle Meinungsverschiedenheiten zwischen Auditteam und Kunden in Bezug auf Auditnachweise oder -feststellungen zu klären, wobei ungelöst bleibende Punkte im Auditbericht aufzuzeichnen sind.

Abschlussbesprechung

Gemeinsam mit der Leitung des Kunden und, falls angemessen, mit den Personen, die die Verantwortung, für die zu auditierenden Funktionen oder Prozesse tragen, wird eine Abschlussbesprechung durchgeführt, bei der die Teilnahme zu dokumentieren ist.

Der Zweck der Abschlussbesprechung, die in der Regel unter dem Vorsitz des Auditteam-Leiters durchzuführen ist, besteht darin, die aus dem Audit gezogenen Schlussfolgerungen einschließlich der Empfehlungen in Bezug auf die Zertifizierung darzulegen.

Alle Nichtkonformitäten werden in einer Art und Weise dargestellt, die sicherstellt, dass sie verstanden werden. Die Einstufung der Feststellung wird erläutert. Es wird ein zeitlicher Rahmen für die daraufhin zu ergreifenden Maßnahmen vereinbart, der auch auf den Abweichungsberichten vermerkt wird.

Es erfolgt ein Hinweis an den Kunden, dass die gesammelten Auditnachweise auf einer Stichprobe basieren und daher eine Unsicherheit beinhalten können. Dieser Hinweis wird auch auf dem Auditbericht wiedergegeben.

Der Kunde wird über die nach dem Audit erfolgenden Aktivitäten der SOCOTEC Certification Deutschland informiert. Darüber hinaus erhält er Informationen zu den Prozessen bei der Bearbeitung von Beschwerden und Einsprüchen.

Dem Kunden wird die Möglichkeit eingeräumt, Fragen zu stellen. Alle Meinungsverschiedenheiten zwischen dem Auditteam und dem Kunden in Bezug auf die Auditfeststellungen oder die aus dem Audit gezogenen Schlüsse werden erörtert und wenn möglich ausgeräumt. Alle nicht gelösten Meinungsverschiedenheiten sind aufzuzeichnen und an SOCOTEC Certification Deutschland weiterzuleiten
(Kpt. 9.4.7.2 der ISO 17021-1:2015)

Auditbericht

SOCOTEC Certification Deutschland erstellt für jedes Audit einen schriftlichen Bericht. Das Eigentumsrecht am Auditbericht verbleibt bei SOCOTEC Certification Deutschland.
Der Auditteam-Leiter stellt sicher, dass der Auditbericht erstellt wird, und trägt die Verantwortung für dessen Inhalt. Der Auditbericht gibt eine vollständige, korrekte, präzise und klare Aufzeichnung des Audits wieder, und enthält Folgendes:

  • Bezeichnung der Zertifizierungsstelle
  • Name und Anschrift des Kunden, Name des / der Vertreter/s bzw. Verantwortliche/n für das Qualitätsmanagementsystem und Name der Kontaktperson/en um
    • Das Audit zu vereinbaren
    • Den Auditbericht zuzusenden
    • Die erforderliche Korrespondenz zu führen
  • Art des Audits (z. B. Erst-, Überwachungs- oder Re-Zertifizierungsaudit)
  • Audit Scope, Normen, Richtlinien, usw. deren Anforderungen Gegenstand des Audits waren. Angabe, falls der Auditbericht sich nur auf Teile des Scopes, der Normen und Richtlinien bezieht.
  • Auditsprache, Benennung von Übersetzern, falls in Anspruch genommen
  • Auditkriterien
  • Auditziele
  • Auditumfang und besonders die Angabe der auditierten Organisations- oder Funktionseinheiten oder -prozesse, Auditdatum
  • Bezeichnung des Auditteam-Leiters, der Mitglieder des Auditteams und aller Begleitpersonen
  • Daten und Orte (am Standort und außerhalb), an denen die Auditaktivitäten durchgeführt wurden
  • Auditnachweise, Auditfeststellungen und aus dem Audit gezogene Schlüsse in Übereinstimmung mit den geforderten Elementen des Audits
  • alle ungelösten Probleme, sofern solche festgestellt wurden.

Status relevanter Zertifizierungen

Informationen aus vorangegangenen Audits, mit Datum, Auditart, Auditgesellschaft, Auditorname(n), Auditkriterien und Ergebnis.

Zusätzliche Informationen zur Erfüllung der Anforderungen in der Vergangenheit, falls erforderlich.

Liste der Dokumente, die vor dem Audit in Augenschein genommen wurden, mit Dokumentenbezeichnung und Revisionsstatus sowie das Ergebnis dieser Inaugenscheinnahme.

Der Auditbericht ist spätestens 14 Tage nach dem Audit (bei mehrtägigen Audits gilt der letzte Tag) an die Zertifizierungsstelle zu übergeben. Sollten im Rahmen des Audits kritische Abweichungen aufgetreten sein, auf die der Kunde nicht vereinbarungsgemäß reagiert hat, muss der Auditor mit der Zertifizierungsstelle Kontakt aufnehmen, um die weitere Vorgehensweise festzulegen.

Beschreibung der während des Audits durchgeführten Aktivitäten, insbesondere der auditierten Bereiche bzw. Normelemente.

  • Managementsystem
  • Design und Entwicklung
  • Technische Dokumentation
  • Produktions- und Prozesskontrollen
  • Korrektur- und Vorbeugemaßnahmen
  • Beschaffung und Lieferantenmanagement
  • Aufzeichnungen
  • Kundenbezogene Prozesse
  • Beschwerdemanagement
Subsysteme, Zusammenfassung
  • Inspizierte Bereiche und befragte Personen
  • Auswahl der Prozesse und deren Evaluation
  • Eingesehene Dokumente, sofern nicht in separater Liste
  • Abweichungen

Beschreibung von sicherheitsrelevanten Markteingriffen, Rückrufen soweit vorhanden.

Falls von der auditierten Norm gefordert (z.B. ISO/IEC 27001) einen Bericht über die Zertifizierungsprüfung der Risikobewertung des Kunden.

Beschreibung wesentlicher Änderungen hinsichtlich der hergestellten Produkte, Dienstleistungen oder Veränderungen in Prozessen, der Organisationsstruktur, Besitzverhältnisse, etc.

Beschreibung der Folgemaßnahmen aufgrund Beschwerden oder Abweichungsberichte des Kunden

Aufzeichnung von vorenthaltenen Informationen oder Feststellungen, die die Auditfeststellungen unglaubwürdig erscheinen lassen

Aufzeichnung von Abweichungen

Verifizierung der Umsetzung von Korrekturmaßnahmen aus vorausgegangenen Audits

Beschreibung der Verbesserungspotentiale

Maßnahmen für das Folgeaudit

Inhalt, Ergebnis und Kundenfeedback zum Abschlussgespräch

Aufzeichnung bestehender Meinungsunterschiede zwischen Auditor und Kunde

Abweichungen vom Auditplan / Audit-Scope

Ergebnis

Zusammenfassung und Ergebnis bezüglich der Erfüllung des Managementsystems des Kunden mit den vorgegebenen Auditkriterien.

Zusammenfassung und Ergebnis bezüglich der Effektivität des Managementsystems in Bezug auf die Erfüllung von Qualitäts- und/oder Sicherheitszielen.

Empfehlung des Auditors bzgl.

  • Auflagen, Korrekturmaßnahmen mit Zeitplan
  • der Zertifizierung oder Aufrechterhaltung der bestehenden Zertifizierung

Bestätigung, dass die Auditziele erreicht wurden, falls nicht der Fall entsprechende Begründung.

Unterschrift und Datum

  • Datum des Auditberichts
  • Nennung der Mitglieder des Audit-Teams, Titel und Organisation
  • Unterschrift des Lead-Auditors

Anlagen (zur Unterstützung / Erläuterung des Inhalts des Auditberichts)

  • Auditplan
  • Teilnehmerlisten
  • Nachweise zum Beleg der Abweichungen (falls erforderlich)
  • Vom Auditor verwendete Checklisten
  • Vom Auditor verwendete Checklisten
  • Abweichungen

Abweichungen und Feststellungen

a) Abweichungen

SOCOTEC Certification Deutschland fordert von den Kunden, Ursachen von Abweichungen zu analysieren und geplante Korrekturmaßnahmen zu beschreiben. Diese Korrekturmaßnahmen müssen in einem festgelegten Zeitraum umgesetzt werden. Der Auditor stellt ein Formblatt mit Abweichungen aus, die mindestens die folgenden Punkte beinhalten:

  • Details zur Abweichung
  • Den Bezug zur Norm bzgl. anderen anwendbaren Regeln
  • Die Wichtigkeit / Bedeutung der Abweichung
  • Das Datum zur Einreichung einer Korrekturmaßnahme (Plan)
  • Details und Beweise zum Nachweis der Abweichung
  • Details zu Korrekturmaßnahmen während des Audits

Bei der Wichtigkeit/Bedeutung der Abweichungen wird zwischen wesentlichen und nicht wesentlichen Abweichungen unterschieden.

Bei nicht wesentlichen Abweichungen wurden Normforderungen im Einzelfall unvollständig erfüllt. Die Wirksamkeit des Managementsystems wurde dadurch aber nicht in Frage gestellt. Der zertifizierte Kunde legt die erforderlichen Korrekturmaßnahmen und den Zeitrahmen dafür fest.

Bei wesentlichen Abweichungen wurden Normforderungen nicht erfüllt. Die Ursachen für die Abweichungen sind durch den zertifizierten Kunden zu analysieren und Maßnahmen einzuleiten. Die wirksame Umsetzung muss vor der Zertifizierungsentscheidung bzw. der Zertifizierungsaufrechterhaltung nachgewiesen werden.

Werden die Maßnahmen zu geringfügigen Abweichungen nicht umgesetzt, werden beim nächsten Audit daraus kritische Abweichungen. Der Auditor entscheidet vor Ort, in Abhängigkeit von Anzahl und Art der Abweichungen, über die weitere Vorgehensweise.

Für die Dokumentation der Abweichungen werden Standardformulare bereitgestellt:

Falls die Abweichung bereits während des Audits behoben wird, ist trotzdem ein Abweichungsbericht anzufertigen.

SOCOTEC Certification Deutschland überwacht die Einhaltung der vorgegebenen Zeiten zur Formulierung und Umsetzung der Korrekturmaßnahmen, der Leitende Auditor entscheidet, ob die vorgeschlagenen Korrekturmaßnahmen angemessen und wirksam sind. Der Kunde wird über das Ergebnis der Bewertung von Korrekturmaßnahmen durch den leitenden Auditor informiert.

Der Kunde erhält das Ergebnis in schriftlicher Form. Werden kritische Abweichungen eines Audits der Stufe 2 nicht innerhalb von 6 Monaten geschlossen, ist das Audit zu wiederholen.

b) Feststellungen

Feststellungen sind Gesichtspunkte des Auditors für die Optimierung des Management-systems,die empfohlen werden und deshalb im Auditbericht festgehalten werden. Feststellungen dürfen grundsätzlich keine Punkte beinhalten, die die Nichterfüllung von Normen beinhalten.
Falls Feststellungen festgehalten werden, die eine Nichterfüllung der zu Grunde liegenden Normforderungen beinhalten, so muss ausreichend begründet werden, warum hier keine Abweichung dokumentiert wurde.

Zertifizierungsentscheidung

SOCOTEC Certification Deutschland stellt sicher, dass die mit der Zertifizierung betrauten Personen, andere sind als die, die die Audits durchgeführt haben. Die Zertifizierungsentscheidung wird nur durch fest angestelltes oder durch vertraglich gebundenes Personal getroffen.

Bevor eine Entscheidung über die Zertifizierung getroffen wird, wird bestätigt, dass:

  • die durch das Auditteam bereitgestellten Informationen im Hinblick auf die Zertifizierungs-anforderungen und den Geltungsbereich des Zertifikats ausreichend sind:
    • Auditbericht;
    • Anmerkungen zu Nichtkonformitäten und, wo zutreffend, zu Korrekturen und Korrekturmaßnahmen, die vom Kunden ergriffen wurden;
    • Bestätigung der an SOCOTEC Certification Deutschland gelieferten Informationen, die in der Antragsprüfung verwendet wurden;
    • Bestätigung, dass die Auditziele erreicht worden sind;
    • Empfehlung, ob die Zertifizierung gewährt werden soll oder nicht, zusammen mit Bedingungen bzw. der Auflagenerfüllung.

  • sie die Durchführung zufrieden stellender Korrekturen und Korrekturmaßnahmen für alle diejenigen Nichtkonformitäten bewertet, angenommen und verifiziert hat, die einen der folgenden Punkte darstellen:

    • das Nichteinhalten einer oder mehrerer Anforderungen der Norm für das Managementsystem, oder
    • eine Situation, die erheblichen Zweifel an der Fähigkeit des Managementsystems des Kunden aufwirft, die beabsichtigten Ergebnisse zu erreichen;
  • sie für alle anderen Nichtkonformitäten die geplanten Korrekturen und Korrekturmaßnahmen bewertet und angenommen hat.

Die Zertifizierungsentscheidung wir vom jeweiligen Zertifizierer getroffen. Dieser prüft, inwieweit das Verfahren zur Zertifizierung eingehalten wurde und ob das auditierte Unternehmen die Anforderungen aus der zu Grunde liegenden Norm erfüllt. Hierzu wird insbesondere auch die Zertifizierungsempfehlung des Auditors / Leitenden Auditors herangezogen. Die Personen oder Ausschüsse, die die Entscheidung über die Erteilung der Zertifizierung treffen, sollten normalerweise nicht eine negative Empfehlung des Audit-Teams ignorieren. Sollte eine solche Situation eintreten hat der Zertifizierer seine abweichende Entscheidung zu dokumentieren und zu begründen.

Der Zertifizierer bestätigt sowohl die Zertifizierung auf Grundlage der einschlägigen Norm als auch den Geltungsbereich der Zertifizierung.