Certifikace ISO není jednorázová akce, ale strukturovaný proces, který obvykle trvá několik měsíců. Následující kroky platí pro nejrozšířenější normy – ISO 9001 (kvalita), ISO 14001 (životní prostředí) i ISO 27001 (bezpečnost informací). Každá organizace je jiná, ale samotný postup certifikace je vždy obdobný.
Chci pomoci se zavedením ISO 9001
Krok 1 – Definování rozsahu a hranic systému
Prvním krokem je rozhodnutí, co bude certifikací pokryto. Rozsah systému managementu určuje, které procesy, pracoviště, produkty nebo služby budou zahrnuty. Rozsah může pokrývat celou organizaci nebo jen její část – například konkrétní závod, divizi nebo produktovou řadu.
Správně definovaný rozsah je klíčový. Příliš úzký rozsah může snížit důvěryhodnost certifikátu u zákazníků; příliš široký rozsah prodlouží implementaci a zvýší náklady. V této fázi je vhodné konzultovat s certifikačním orgánem, zda zamýšlený rozsah odpovídá požadavkům normy.
Krok 2 – Gap analýza a plán implementace
Gap analýza (analýza mezer) porovnává aktuální stav organizace s požadavky normy. Výsledkem je přehled toho, co již organizace splňuje a co je třeba doplnit nebo upravit. Typicky se zjistí, že organizace již řadu požadavků de facto plní, jen je nemá formálně zdokumentováno.
Na základě gap analýzy vzniká plán implementace s konkrétními úkoly, odpovědnostmi a termíny. Plán by měl realisticky zohledňovat kapacity organizace – překotná implementace vede ke spoustě formální dokumentace bez skutečného dopadu na procesy.
Krok 3 – Dokumentace a zavedení do praxe
V této fázi organizace vytváří nebo aktualizuje potřebnou dokumentaci: politiku a cíle kvality, popis procesů, pracovní instrukce, formuláře pro záznamy apod. Důležité je, aby dokumentace odrážela skutečnou praxi – ne jak by věci měly ideálně fungovat, ale jak skutečně fungují.
Paralelně probíhá zavedení do praxe – zaměstnanci jsou školeni, nové procesy jsou spuštěny a systém začíná reálně fungovat. Tato fáze trvá obvykle 2–6 měsíců, během nichž se sbírají záznamy a systém se dolaďuje. Certifikační orgány požadují, aby systém fungoval určitou dobu před auditem – zpravidla alespoň 3 měsíce.
Krok 4 – Interní audit a přezkoumání vedením
Před certifikačním auditem musí organizace provést interní audit – vlastní prověření toho, zda systém funguje v souladu s požadavky normy a s vlastními procesy. Interní audit musí provést nezávislá osoba (nesmí auditovat svou vlastní práci) s dostatečnou kompetencí.
Výsledky interního auditu jsou vstupem pro přezkoumání vedením – formální setkání vrcholového vedení, na kterém se vyhodnocuje výkonnost systému, plnění cílů, spokojenost zákazníků a přijímají se rozhodnutí o zlepšeních. Záznamy z obou těchto aktivit jsou povinné a auditor je vždy prověřuje.
Krok 5 – Certifikační audit Stage 1 a Stage 2
Co se děje při Stage 1 (dokumentační audit)
Stage 1 audit je obvykle prováděn na místě nebo vzdáleně. Auditor prověřuje dokumentaci a připravenost organizace na Stage 2 audit. Kontroluje, zda organizace chápe požadavky normy, zda má definovaný rozsah, politiku kvality, cíle a zda jsou provedeny interní audit a přezkoumání vedením.
Výsledkem Stage 1 je zpráva s případnými zjištěními a doporučeními. Zjištění ze Stage 1 nejsou automaticky neshodami – jde spíše o upozornění na oblasti, kterým by měla organizace věnovat pozornost před Stage 2 auditem. Mezi Stage 1 a Stage 2 by měl být dostatečný časový prostor pro přípravu, zpravidla 2–8 týdnů.
Co se děje při Stage 2 (hlavní audit na místě)
Stage 2 je hlavní certifikační audit prováděný vždy na místě v organizaci. Auditor(i) prověřují, zda systém managementu skutečně funguje v praxi – nestačí mít dokumentaci, procesy musí být zavedeny, sledovány a zlepšovány. Auditoři hovoří se zaměstnanci, prohlíží záznamy, sledují procesy a porovnávají realitu s dokumentací.
Po Stage 2 mohou být identifikovány neshody (závažné nebo drobné) a příležitosti ke zlepšení. Závažná neshoda brání vydání certifikátu a musí být odstraněna a ověřena auditorem. Drobné neshody zpravidla nevyžadují opakovaný audit, ale organizace musí předložit plán nápravných opatření. Pokud nejsou zjištěny závažné neshody, certifikační orgán vydá certifikát – obvykle do 2–4 týdnů po auditu.
Krok 6 – Dozorové audity a recertifikace
Certifikát ISO má platnost 3 roky. Během tohoto období probíhají každoroční dozorové audity (surveillance audits), které ověřují, že systém stále funguje a je udržován. Dozorový audit je kratší než certifikační – zaměřuje se na klíčové procesy, výsledky interních auditů, plnění cílů a nápravná opatření.
Po třech letech se provádí recertifikace – komplexní přezkoumání celého systému, podobné původní certifikaci. Organizace, která systém skutečně udržuje a zlepšuje, by s recertifikací neměla mít problémy. Naopak organizace, které si pořídily certifikát „do šuplíku“, mají při recertifikaci potíže.
Jak dlouho trvá certifikace – SME vs. větší firma
Délka procesu závisí na velikosti organizace, složitosti procesů a aktuálním stavu systému managementu. Pro malé firmy (do 50 zaměstnanců) s relativně jednoduchými procesy trvá celý proces od rozhodnutí po získání certifikátu obvykle 3–6 měsíců. Pro střední a větší organizace (100+ zaměstnanců, více lokalit, komplexní procesy) je reálný odhad 6–18 měsíců.
Klíčovým faktorem je dostupnost interních zdrojů – zda má organizace někoho, kdo se implementaci může věnovat na plný úvazek, nebo zda ji řeší externista při zachování běžné práce. Využití zkušeného poradce může proces výrazně zkrátit a snížit riziko neúspěchu u auditu.
FAQ
Mohu si vybrat libovolný certifikační orgán?
Ano, s výhradou, že certifikační orgán musí být akreditován pro danou normu. V České republice akreditaci uděluje Český institut pro akreditaci (ČIA). Při výběru certifikačního orgánu zvažte cenu, reputaci, zkušenosti v oboru a to, zda zákazníci nebo partneři preferují konkrétní certifikační orgán.
Může jeden certifikát pokrýt více norem najednou?
Ano. Integrovaný systém managementu (IMS) kombinuje požadavky více norem – nejčastěji ISO 9001 + ISO 14001, případně i ISO 45001. Díky společné vysoké struktuře (HLS) mají tyto normy shodné kapitoly, což výrazně snižuje duplicitu dokumentace i náklady na audit.
Co se stane, když u auditu neuspějeme?
Neúspěch u certifikačního auditu není konec světa. Pokud jsou zjištěny závažné neshody, organizace dostane čas na jejich odstranění a provedení opakovaného auditu. Důležité je zjištění přijmout konstruktivně a využít ho jako příležitost ke skutečnému zlepšení systému – to je ostatně cílem celé certifikace.