ایزو 17021 چیست و چرا برای گواهی‌دهندگان حیاتی است؟

دیدگاه‌ خود را بنویسید / استانداردهای ایزو, فرآیند اخذ گواهینامه / از

ایزو/آی‌اِی‌سی 17021-1 چارچوب مرجع برای نهادهای صدور گواهینامه سیستم‌های مدیریتی است. این استاندارد تعیین می‌کند یک مرجع صدور باید چگونه «بی‌طرف»، «توانمند» و «سازگار» عمل کند تا نتیجه ممیزی و گواهی قابل‌اعتماد باشد. به بیان ساده، اگر یک مرجع صدور می‌خواهد ISO 9001، ISO 14001، ISO 45001 یا سایر سیستم‌های مدیریتی را گواهی کند، باید خودش با 17021-1 انطباق داشته باشد.

استاندارد تأکید می‌کند که صدور گواهی سیستم‌های مدیریتی یک فعالیت ارزیابی انطباق شخص ثالث است؛ بنابراین نهاد صادرکننده باید قواعد استقلال، بی‌طرفی و صلاحیت را رعایت کند. 17021-1 در این نقش «اصل مادر» است و برای همه انواع سیستم‌های مدیریتی کاربرد دارد؛ نهادهای صدور لازم نیست همه انواع گواهی‌ها را ارائه کنند، اما برای هر حوزه‌ای که فعال‌اند باید الزامات این استاندارد را برآورده سازند.

سری ایزو 17021؛ فقط «-1» نیست

خود 17021 یک «سری» است. بخش -1 الزامات عمومی را می‌دهد. در کنار آن، اسناد بخشی/فنی مکمل منتشر می‌شود که شایستگی ممیزان را برای حوزه‌های خاص دقیق‌تر می‌کند. نمونه‌ها:

  • ISO/IEC TS 17021-10:2018 برای ممیزی سیستم‌های ایمنی و سلامت شغلی (OH&S) زیر چتر ISO 45001، صلاحیت‌های اضافه‌تری برای تیم ممیزی تعریف می‌کند.
  • ISO/IEC TS 17021-15:2023 برای کیفیت در سازمان‌های سلامت، الزامات تکمیلی صلاحیت را مشخص می‌کند.

این منطق در سایر حوزه‌ها هم برقرار است: ایزو 17021-1 «قاب چتر» است و اسناد بخشی، مهارت‌های لازم ممیزان و تصمیم‌گیران را برای همان حوزه‌ها ریزتر می‌کنند. نسخه‌های ملی/اروپایی این استاندارد نیز منتشر می‌شوند که معادل محتوایی دارند، مانند EN ISO/IEC 17021-1.

ایزو 17021

رابطه ایزو 17021-1 با اکوسیستم اعتباربخشی و IAF

اعتبار گواهی‌ها در جهان از طریق زنجیره سه‌سطحی تضمین می‌شود:
1. ISO استاندارد می‌نویسد، اما گواهی صادر نمی‌کند.
2. نهاد اعتباربخشی (AB) صلاحیت نهادهای صدور (CB) را ارزیابی و «اعتبار» می‌دهد.
3. نهاد صدور (CB) سازمان‌ها را ممیزی و گواهی صادر می‌کند.
برای پذیرش بین‌المللی، AB باید امضاکننده موافقت‌نامه چندجانبه IAF (MLA) باشد و CB نیز تحت همان اعتبار عمل کند. در ایران، مرکز ملی تأیید صلاحیت ایران (NACI) برنامه‌های اعتباربخشی مختلف از جمله برای نهادهای صدور را اجرا می‌کند.

IAF فهرست امضاکنندگان MLA و دامنه‌های ذی‌ربط را منتشر می‌کند. در این فهرست، دامنه «گواهی سیستم‌های مدیریتی – ISO/IEC 17021(-1)» به‌عنوان حوزه اصلی برای ABها دیده می‌شود. این ساختار باعث می‌شود گواهی‌های صادرشده تحت ایزو 17021-1، وقتی زنجیره اعتبار کامل است، در بازارها و مناقصات پذیرفتنی باشند.

اصول کلیدی ایزو 17021-1

بی‌طرفی و مدیریت تضاد منافع
نهاد صدور باید ساختاری داشته باشد که فشارهای تجاری یا مشاوره‌ای بر نتایج ممیزی اثر نگذارد. کمیته بی‌طرفی، تحلیل ریسک تضاد منافع، و جداسازی خدمات مشاوره‌ای از صدور از راهکارهای الزامی است. این اصل سنگ بنای اعتماد به گواهی‌هاست.

شایستگی
از انتخاب تیم تا تصمیم صدور، افراد دخیل باید شایستگی اثبات‌شده داشته باشند. شایستگی «جمعی» تیم اهمیت دارد؛ همه افراد لازم نیست همه مهارت‌ها را داشته باشند، اما تیم در مجموع باید دانش استاندارد، صنعت، قوانین و فنون ممیزی را پوشش دهد. اسناد بخشی مانند TS 17021-10 و TS 17021-15 همین شایستگی را برای حوزه‌های خاص دقیق‌تر می‌کنند.

سازگاری و شفافیت فرایند
نهاد صدور باید روش‌های از پیش تعریف‌شده برای برنامه‌ریزی، اجرا، گزارش‌دهی، تصمیم‌گیری، و نگهداری سوابق داشته باشد؛ نتایج ممیزی باید بازتولیدپذیر و قابل توجیه باشند. الزامات گزارش‌دهی، ردیابی تصمیم‌ها و امکان رسیدگی به شکایات و تجدیدنظر بخشی از این شفافیت است.

چرخه ممیزی و صدور زیر ایزو 17021-1

فرایند معمول با درخواست سازمان آغاز می‌شود، سپس مرور مستندات، برنامه‌ریزی، مرحله 1 (آمادگی و کفایت مستندات)، مرحله 2 (ممیزی استقرار و اثربخشی)، تصمیم صدور، و ممیزی‌های مراقبتی دوره‌ای. در انتهای چرخه سه‌ساله، ممیزی تمدید انجام می‌شود. زمان ممیزی و ترکیب تیم دو پارامتر کلیدی‌اند که باید بر مبنای معیارهای یکنواخت تعیین شوند.

برای جلوگیری از تفاوت‌های تفسیر، IAF مدارک اجباری (MD) منتشر می‌کند که اجرای یکنواخت بندهای 17021-1 را تضمین کند. به‌ویژه:

  • IAF MD 5:2023 روش محاسبه زمان ممیزی برای ISO 9001، ISO 14001 و ISO 45001 را استاندارد می‌کند؛ نقطه شروع «تعداد کارکنان» است اما پیچیدگی فرایند، ریسک، سایت‌های پیمانکاری و عملکرد سیستم هم وارد محاسبات می‌شوند.
  • IAF ID 14:2022 راهنمای تعیین زمان ممیزی یکپارچه برای سازمان‌های چندسایته است تا اختلاف روش‌ها کاهش یابد.

در حوزه‌های خاص مثل امنیت اطلاعات، اسناد «سطح 4» نیز مطرح‌اند. نمونه مهم، ISO/IEC 27006-1:2024 که الزامات اضافی برای نهادهای صدور ISO/IEC 27001 را مشخص می‌کند و زمان‌های ممیزی و ممیزی از راه دور را به‌روز کرده است؛ مراجع اعتباربخشی مهلت‌هایی برای انتقال تعیین می‌کنند.

تعیین زمان ممیزی؛ فراتر از شمارش سرها

اشتباه رایج، تعیین زمان صرفاً بر مبنای تعداد کارکنان است. ایزو 17021-1 و IAF MD 5 تصریح می‌کنند که عوامل اثرگذار شامل پیچیدگی فرآیند، ریسک، برون‌سپاری، عملکرد گذشته سیستم، نتایج شکایات، تعداد سایت‌ها، فصل‌های اوج تولید و میزان تغییرات هستند. بدیهی است دو شرکت 300 نفره با ریسک متفاوت، زمان ممیزی یکسانی ندارند. این رویکرد، اثربخشی ممیزی را به‌جای «گذر از چک‌لیست» محور قرار می‌دهد.

شایستگی تیم ممیزی و تصمیم‌گیران

تیم باید ترکیبی از ممیزان، سرممیز و در صورت نیاز کارشناس فنی داشته باشد. دانش استاندارد مرجع، تکنیک‌های ممیزی، قوانین و مقررات، دانش صنعت، و مهارت‌های مصاحبه و نمونه‌برداری از پیش‌نیازهاست. برای برخی حوزه‌ها، اسناد بخشی صلاحیت‌های دقیق‌تری می‌دهند: مثلاً در OH&S، آشنایی عمیق با ارزیابی ریسک HSE و الزامات کنترلی کارگاهی ضروری است؛ در سلامت، آشنایی با فرآیندهای کلینیکی و ایمنی بیمار مطرح می‌شود. تصمیم‌گیر صدور باید مستقل از تیم ممیزی باشد و اختیار بازگرداندن پرونده برای اقدامات اصلاحی را داشته باشد.

بی‌طرفی؛ از شعار تا سازوکار

بی‌طرفی با یک منشور اخلاقی حل نمی‌شود. ایزو 17021-1 می‌خواهد ریسک‌های سیستماتیک تضاد منافع شناسایی و کنترل شوند:

  • جداسازی ساختاری واحدهای تجاری که ممکن است خدمات مشاوره ارائه دهند از واحد صدور.
  • کمیته بی‌طرفی با ذی‌نفعان متنوع که عملکرد نهاد صدور را نظارت و ریسک‌ها را بازبینی می‌کند.
  • ممیزی داخلی دوره‌ای روی تصمیم‌های صدور و نگهداری شواهد مستقل.
  • قواعد پذیرش مشتری که در موقعیت‌های پرریسک، کار را رد یا محدود کند.

رسیدگی به شکایات و تجدیدنظر

برای حفظ اعتماد بازار، نهاد صدور باید فرایند شفاف برای دریافت، بررسی و پاسخ‌گویی به شکایات داشته باشد و مسیر تجدیدنظر علیه تصمیم‌های صدور را مستقل از زنجیره ممیزی مدیریت کند. نتایج و اقدامات اصلاحی باید ثبت و در برنامه حسابرسی داخلی بازخور داده شود. این چرخه «یادگیری سازمانی» را در نهاد صدور فعال می‌کند.

نقش NACI و پیامدهای عملی در ایران

اگر یک شرکت ایرانی به ISO 9001 یا ISO 45001 نیاز دارد، برای پذیرش بین‌المللی بهتر است گواهی خود را از نهادهای صدور تحت اعتبار NACI یا سایر ABهای عضو MLA دریافت کند. NACI برنامه‌های اعتباربخشی برای صدور، بازرسی، آزمایشگاه و… دارد و حضور در زنجیره IAF/ILAC/APAC پذیرش متقابل نتایج را تسهیل می‌کند. هنگام ارزیابی اعتبار گواهی یک پیمانکار، بررسی کنید CB در فهرست AB مربوطه ثبت و دامنه اعتبارش شامل استاندارد مورد نظر باشد.

خطاهای رایج بازار و راه‌حل‌ها

یکی از خطاهای پرتکرار، استفاده از «لوگوی ISO» روی خود گواهینامه است؛ ISO هیچ گواهی صادر نمی‌کند و لوگوی آن نباید روی گواهی باشد. خطای دیگر، صدور گواهی با نام CBهایی است که در فهرست AB مربوطه یافت نمی‌شوند یا دامنه اعتبارشان شامل استاندارد مورد نظر نیست. راه‌حل عملی، اجرای سه تطبیق است: اعتبار گواهی در سایت CB، اعتبار CB نزد AB، و عضویت AB در IAF MLA.

تغییرات و هم‌ترازی با اسناد مکمل

اکوسیستم اسناد مکمل مرتب به‌روزرسانی می‌شود. نمونه تازه، تغییرات ISO/IEC 27006-1:2024 برای نهادهای صدور ISMS است که الزامات ممیزی از راه دور و محاسبه زمان ممیزی را به‌روزرسانی کرده و مهلت‌های انتقال نیز توسط ABها اعلام شده است. چنین تغییراتی اجرای یکنواخت ایزو 17021-1 را در حوزه‌های تخصصی تقویت می‌کند.

جمع‌بندی

استاندارد ISO/IEC 17021-1 ستون فقرات اعتماد به گواهی‌های سیستم‌های مدیریتی است. وقتی یک نهاد صدور با ایزو 17021-1 منطبق باشد و تحت اعتبار یک AB امضاکننده IAF MLA فعالیت کند، خروجی آن—گواهی صادره—در بازارها و زنجیره تأمین «قابل اتکا» خواهد بود. اجرای دقیق اصول بی‌طرفی، شایستگی و سازگاری، همراه با تبعیت از مدارک اجباری IAF در زمان ممیزی و برنامه‌ریزی تیم، تفاوت ممیزی «صِرف» با ممیزی «مؤثر» را رقم می‌زند.

فهرست کوتاه اقدام برای نهادهای صدور

1. نظام مدیریت بی‌طرفی را بازبینی و کارکرد کمیته بی‌طرفی را مستند کنید.
2. ماتریس شایستگی ممیزان و تصمیم‌گیران را با اسناد بخشی مرتبط (مثل TS 17021-10 و TS 17021-15) هم‌راستا کنید.
3. روش تعیین زمان ممیزی را با IAF MD 5:2023 و راهنمای IAF ID 14:2022 تطبیق دهید.
4. فرایند شکایات و تجدیدنظر را آزمون نفوذی کنید: یک پرونده نمونه تا پاسخ نهایی.
5. وضعیت اعتبار نزد AB و تغییرات اسناد مکمل (مثل 27006-1:2024 برای ISMS) را رصد و برنامه انتقال تدوین کنید.

جدول تطبیقی سطوح اسناد در اکوسیستم ایزو 17021

سطحهدف/نقشنمونه اسنادنکته کلیدی در اجرا
سطح 3الزامات عمومی نهادهای صدورISO/IEC 17021-1:2015بی‌طرفی، شایستگی، سازگاری، شکایات و تجدیدنظر. مبنا برای همه گواهی‌های سیستم‌های مدیریتی. (ISO)
سطح 4الزامات تکمیلی برای حوزه‌های خاصISO/IEC 27006-1:2024 برای ISMSانتقال نسخه‌ها، ممیزی از راه دور، بازتنظیم محاسبه زمان ممیزی. (Accredia)
سطح 5استانداردهای سیستم‌های مدیریتیISO 9001، ISO 14001، ISO 45001مرجع ممیزی؛ نهاد صدور باید فرآیندها را برای این استانداردها پوشش دهد. (ISO)
اسناد اجباری IAFاجرای یکنواخت بندهای 17021-1IAF MD 5:2023، IAF ID 14:2022زمان ممیزی، سازمان‌های چندسایته، ممیزی یکپارچه. (iaf.nu)
اسناد بخشی صلاحیت ممیزانصلاحیت‌های افزوده برای تیمTS 17021-10 (OH&S)، TS 17021-15 (کیفیت در سلامت)ترکیب شایستگی تیم؛ همه اعضا لازم نیست همه توانمندی‌ها را داشته باشند. (ISO)

نکات پایانی برای خریداران گواهی و کارفرمایان مناقصات

از «لوگوی ISO» روی گواهی فریب نخورید؛ ISO گواهی صادر نمی‌کند. مرجع صدور و مرجع اعتباربخشی را چک کنید.
سه تطبیق را همیشه اجرا کنید: رکورد گواهی در سایت CB، اعتبار CB در سایت AB، و عضویت AB در IAF MLA. برای ایران، NACI مرجع ملی است.
در قراردادها شرط کنید که گواهی باید «تحت اعتبار AB امضاکننده IAF MLA» باشد و در صورت تعلیق/ابطال، ظرف ۳ روز کاری اطلاع‌رسانی شود. این شرط ساده ریسک را به‌شدت کاهش می‌دهد.

نیاز به مشاوره دارید؟ با ما تماس بگیرید…

۰۲۱-۴۶۱۳۴۱۵۶

۰۲۱-۴۶۱۳۲۲۹۷

برای امتیاز به این نوشته کلیک کنید!
[کل: 0 میانگین: 0]

دیدگاه‌ خود را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیمایش به بالا