Intisari ISO/IEC 17021:2006 Penilaian kesesuaian - Persyaratan lembaga audit dan sertifikasi sistem manajemen



3.   Istilah dan Definisi
3.1
Pelanggan tersertifikasi
Organisasi yang sistem manajemennya telah disertifikasi
3.2
Ketidakberpihakan
objektivitas yang aktual dan dipersepsikan.
CATATAN 1 Objektivitas berarti tidak ada atau dapat teratasinya konflik kepentingan yang
membawa pengaruh buruk terhadap kegiatan lembaga sertifikasi.
CATATAN 2 Istilah lain yang bermakna dalam penyampaian unsur ketidak-berpihakan adalah : objektivitas, kemandirian, bebas dari konflik kepentingan, bebas dari bias, tidak ada prasangka, kenetralan, keterbukaan, berpikiran terbuka, tidak berat sebelah, tidak terpengaruh, keseimbangan.
3.3
Konsultasi sistem manajemen
Partisipasi dalam perancangan, penerapan atau pemeliharaan suatu sistem manajemen Contoh :
a)    penyiapan atau pembuatan manual atau prosedur, dan
b)    memberikan saran khusus, instruksi atau solusi tertentu terhadap pengembangan dan penerapan sistem manajemen.
CATATAN Penyusunan pelatihan dan keikutsertaan sebagai pelatih dalam pelatihan audit atau sistem manajemen tidak dianggap konsultasi, sepanjang kursus tersebut berkaitan dengan sistem manajemen atau audit yang memberikan informasi bersifat umum dan dapat diperoleh secara bebas oleh publik, sebagai contoh pelatih tidak boleh memberikan solusi spesifik bagi perusahaan.
4. Prinsip 4.1. Umum
4.1.1. Prinsip ini merupakan dasar kinerja spesifik dan persyaratan deskriptif Standar ini. Standar ini tidak memberikan persyaratan spesifik untuk seluruh situasi yang mungkin terjadi. Prinsip ini sebaiknya diterapkan sebagai panduan dalam pengambilan keputusan yang mungkin diperlukan pada situasi yang tidak diantisipasi. Prinsip bukan merupakan persyaratan.
4.1.2. Tujuan sertifikasi adalah memberikan keyakinan kepada semua pihak bahwa suatu sistem manajemen memenuhi persyaratan yang telah ditetapkan. Nilai dari sertifikasi adalah tingkat keyakinan publik dan kepercayaan yang dihasilkan dari asesmen oleh pihak ketiga yang kompeten dan tidak berpihak (netral). Pihak yang memiliki kepentingan dalam sertifikasi mencakup, namun tidak terbatas pada :
a)    pelanggan lembaga sertifikasi;
b)    pelanggan organisasi yang sistem manajemennya telah disertifikasi;
c)    lembaga pemerintah yang berwenang;
d)    organisasi non-pemerintah dan;
e)    konsumen dan anggota masyarakat lainnya.
 
4.1.3. Prinsip yang menumbuhkan keyakinan mencakup - ketidakberpihakan,
- kompetensi,
- tanggung jawab,

- keterbukaan,
- kerahasiaan, dan
- cepat tanggap terhadap keluhan.
4.2. Ketidakberpihakan
4.2.1 Tidak berpihak dan dipersepsikan tidak berpihak diperlukan oleh lembaga sertifikasi untuk menghasilkan jasa sertifikasi yang memberikan kepercayaan.
4.2.2 Diketahui bahwa sumber pendapatan lembaga sertifikasi berasal dari pembayaran sertifikasi pelanggannya, dan hal ini merupakan suatu ancaman potensial terhadap ketidakberpihakan.
4.2.3 Untuk mendapatkan dan memelihara kepercayaan, penting bahwa keputusan lembaga sertifikasi didasarkan pada bukti objektif dari kesesuaian (atau ketidaksesuaian) yang diperoleh, dan keputusannya tidak dipengaruhi oleh kepentingan lain atau oleh pihak lain.
4.2.4 Ancaman terhadap ketidakberpihakan mencakup hal berikut ini :
a)    Ancaman swa-kepentingan (self-interest threats): ancaman yang timbul dari seseorang atau lembaga yang bertindak untuk kepentingannya sendiri. Kepentingan yang terkait dengan sertifikasi yang merupakan ancaman pada ketidakberpihakan adalah swa-kepentingan terhadap keuangan.
b)    Ancaman swa-kajian (self-review threats) : ancaman yang timbul dari seseorang atau lembaga yang melakukan kajian terhadap pekerjaannya sendiri. Audit sistem pelanggan oleh seseorang dari lembaga sertifikasi yang telah memberikan konsultasi sistem manajemen menjadi ancaman dalam swa-kajian.
c)   Ancaman karena keakraban (atau kepercayaan) (familiarity (or trust) threats) : ancaman yang timbul dari seseorang atau lembaga yang terlalu akrab atau terlalu percaya dengan personel tertentu dibanding dengan pencarian bukti audit.
d)    Ancaman intimidasi (Intimidation threats) : ancaman yang dirasakan oleh seseorang atau lembaga yang merasa dipaksa secara terbuka atau rahasia, seperti ancaman akan diganti atau dilaporkan kepada penyelia.
4.3                 Kompetensi
Kompetensi personel yang didukung oleh sistem manajemen lembaga sertifikasi diperlukan untuk menghasilkan jasa sertifikasi yang memberikan keyakinan. Kompetensi adalah kemampuan yang ditunjukkan untuk menggunakan pengetahuan dan keterampilan.
4.4 Tanggung Jawab
4.4.1 Organisasi pelanggan, memiliki tanggung jawab untuk memenuhi persyaratan sertifikasi dan bukan lembaga sertifikasi.
4.4.2 Lembaga sertifikasi memiliki tanggung jawab untuk mengaudit bukti objektif yang
memadai sebagai dasar pengambilan keputusan sertifikasi. Berdasarkan kesimpulan

audit, lembaga sertifikasi membuat suatu keputusan untuk memberikan sertifikasi jika terdapat bukti kesesuaian yang memadai atau tidak memberikan sertifikasi jika tidak terdapat bukti kesesuaian yang memadai.
CATATAN Setiap audit didasarkan pada pengambilan contoh di dalam sistem manajemen organisasi, oleh karena itu bukan jaminan bahwa persyaratan telah terpenuhi 100%.
4.5       Keterbukaan
4.5.1 Suatu lembaga sertifikasi perlu menyediakan akses kepada publik atau memaparkan informasi yang sesuai dan tepat waktu mengenai proses audit dan proses sertifikasinya, serta status sertifikasi suatu organisasi (misalnya, pemberian, perluasan, pemeliharaan, pembaruan, pembekuan, pengurangan lingkup, atau pencabutan sertifikasi), untuk memperoleh keyakinan atas integritas dan kredibilitas sertifikasi. Keterbukaan merupakan prinsip dalam mengakses atau memaparkan informasi yang sesuai.
4.5.2 Untuk mendapatkan atau memelihara keyakinan dalam sertifikasi, suatu lembaga sertifikasi seharusnya menyediakan akses yang sesuai atau memaparkan informasi yang tidak bersifat rahasia mengenai kesimpulan audit spesifik (misalnya, audit untuk menanggapi keluhan) kepada pihak tertentu yang berkepentingan.
4.6       Kerahasiaan
Untuk mendapatkan akses khusus terhadap informasi yang diperlukan oleh lembaga sertifikasi dalam mengaudit kesesuaian terhadap persyaratan sertifikasi secara memadai, lembaga sertifikasi harus menjaga kerahasiaan seluruh informasi kepemilikan pelanggan.
4.7      Cepat-tanggap terhadap keluhan
Pihak yang berkepentingan terhadap sertifikasi berharap keluhan diselidiki dan jika keluhan benar, sebaiknya pihak tersebut memperoleh kepastian bahwa keluhan ditangani dengan benar dan diselesaikan secara layak. Cepat tanggap yang efektif terhadap keluhan merupakan sarana perlindungan yang efektif bagi lembaga sertifikasi, pelanggannya dan pengguna sertifikasi lainnya terhadap kesalahan, kelalaian atau perilaku yang tidak wajar. Kepercayaan dalam kegiatan sertifikasi akan terpelihara apabila keluhan diproses secara benar.
CATATAN Keseimbangan antara prinsip keterbukaan dan kerahasiaan, termasuk cepat
tanggap terhadap keluhan, penting untuk menunjukkan integritas dan kredibilitas kepada seluruh pengguna sertifikasi.
5. Persyaratan umum
5.1. Materi Kontrak dan hukum
5.1.1. Tanggung jawab hukum
Lembaga sertifikasi harus berupa badan hukum, atau bagian tertentu dari badan hukum, sehingga lembaga sertifikasi memiliki tanggung jawab secara hukum atas seluruh kegiatan sertifikasinya. Lembaga sertifikasi pemerintah dipertimbangkan sebagai badan hukum berdasarkan status pemerintahnya.

5.1.2. Perjanjian sertifikasi
Lembaga sertifikasi harus memiliki perjanjian yang berkekuatan hukum untuk menyediakan kegiatan sertifikasi kepada pelanggannya. Sebagai tambahan bila lembaga sertifikasi memiliki beberapa kantor atau pelanggan memiliki beberapa lokasi, lembaga sertifikasi tersebut harus menjamin adanya perjanjian berkekuatan hukum antara lembaga sertifikasi yang memberikan jasa sertifikasi dan menerbitkan sertifikat dengan seluruh lokasi yang tercakup dalam lingkup sertifikasi.
5.1.3. Tanggung jawab keputusan sertifikasi
Lembaga sertifikasi harus bertanggung jawab untuk dan harus mempertahankan kewenangannya atas keputusan yang berkaitan dengan sertifikasi mencakup pemberian, pemeliharaan, pembaruan, perluasan, pengurangan, pembekuan dan pencabutan sertifikasi.
5.2. Manajemen ketidakberpihakan
5.2.1. Manajemen puncak lembaga sertifikasi harus memiliki komitmen terhadap ketidakberpihakan dalam kegiatan sertifikasi sistem manajemen.Lembaga sertifikasi harus membuat pernyataan yang dapat diakses publik yang menunjukkan ketidakberpihakannya dalam melaksanakan kegiatan sertifikasi sistem manajemen, mengelola konflik kepentingan, dan menjamin objektivitas kegiatan sertifikasi sistem manajemen.
5.2.2. Lembaga sertifikasi harus mengidentifikasi, menganalis dan mendokumentasikan kemungkinan konflik kepentingan yang timbul dari penyediaan sertifikasi termasuk setiap konflik yang timbul dari hubungan kerjanya. Memiliki hubungan kerja bukan berarti lembaga sertifikasi memiliki konflik kepentingan. Namun demikian jika ada hubungan yang menciptakan ancaman tersebut, informasi ini harus tersedia bagi komite yang ditentukan dalam butir 6.2. Peragaan tersebut harus mencakup semua sumber konflik kepentingan potensial yang teridentifikasi apakah konflik kepentingan tersebut timbul dari dalam lembaga sertifiksi atau dari kegiatan personel, lembaga atau organisasi lain.
CATATAN   Hubungan yang mengancam ketidakberpihakan lembaga sertifikasi dapat
disebabkan oleh,kepemilikan, penentu kebijakan/aturan, manajemen, personel, sumberdaya bersama, keuangan, kontrak, pemasaran dan pembayaran komisi penjualan atau insentif lainnya dari pelanggan baru, dan sebagainya.
5.2.3. Bila hubungan menunjukkan suatu ancaman yang tidak dapat diterima terhadap ketidakberpihakan (seperti anak perusahaan yang sahamnya dimiliki sepenuhnya oleh lembaga sertifikasi yang meminta sertifikasi ke perusahaan induknya) maka sertifikasi tidak boleh diberikan.
CATATAN        Lihat Catatan 5.2.2.
5.2.4. Suatu lembaga sertifikasi tidak boleh mensertifikasi lembaga sertifikasi lain untuk kegiatan sertifikasi sistem manajemennya.
CATATAN        Lihat Catatan 5.2.2.

5.2.5. Lembaga sertifikasi dan setiap bagian dari badan hukum yang sama tidak boleh menawarkan atau menyediakan konsultasi sistem manajemen. Hal ini juga berlaku untuk bagian pemerintahan yang diidentifikasi sebagai lembaga sertifikasi.
5.2.6. Lembaga sertifikasi dan setiap bagian dari badan hukum yang sama tidak boleh menawarkan atau menyediakan audit internal kepada pelanggan yang disertifikasinya. Lembaga sertifikasi tidak boleh mensertifikasi sistem manajemen dimana lembaga sertifikasi melakukan audit internal terhadap pelanggan dalam selang waktu dua tahun terakhir. Hal ini juga berlaku pada bagian pemerintahan yang diidentifikasi sebagai lembaga sertifikasi.
CATATAN        Lihat Catatan 5.2.2
5.2.7. Lembaga sertifikasi tidak boleh mensertifikasi sistem manajemen pada pelanggan yang telah menerima konsultasi sistem manajemen atau audit internal, dimana hubungan antara organisasi konsultan dengan lembaga sertifikasi menunjukkan ancaman yang mempengaruhi ketidakberpihakan lembaga sertifikasi.
CATATAN 1               Diperbolehkan untuk menetapkan dua tahun sebagai periode minimal dari akhir
konsultasi sistem manajemen untuk mengurangi ancaman yang mempengaruhi terhadap ketidakberpihakan.
CATATAN 2 Lihat Catatan 5.2.2
5.2.8. Lembaga sertifikasi tidak boleh memberikan jasa audit kepada organisasi konsultan sistem manajemen karena merupakan suatu ancaman yang mempengaruhi ketidakberpihakan lembaga sertifikasi (lihat 7.5). Hal ini tidak berlaku bagi individu yang dikontrak sebagai auditor sebagaimana tercakup dalam butir 7.3
5.2.9. Kegiatan lembaga sertifikasi tidak boleh dipasarkan atau diberi kesempatan yang terkait dengan kegiatan organisasi konsultan sistem manajemen. Lembaga sertifikasi harus mengambil tindakan untuk memperbaiki klaim yang tidak sesuai dari setiap organisasi konsultan yang menyatakan atau menunjukkan bahwa sertifikasi akan lebih sederhana, lebih mudah, lebih cepat atau lebih murah jika lembaga sertifikasi tersebut digunakan. Lembaga sertifikasi tidak boleh menyatakan atau menunjukkan bahwa sertifikasi akan lebih sederhana, lebih mudah, lebih cepat atau lebih murah jika organisasi konsultan tertentu digunakan.
5.2.10. Untuk menjamin bahwa tidak ada konflik kepentingan, personel yang telah memberikan konsultasi sistem manajemen termasuk mereka yang bertindak dalam kapasitas manajerial, tidak boleh digunakan oleh lembaga sertifikasi untuk mengambil bagian dalam audit atau kegiatan sertifikasi lainnya, jika mereka telah terlibat dalam konsultasi sistem manajemen terhadap pelanggan yang sedang ditangani dalam dua tahun setelah berakhirnya konsultasi tersebut.
5.2.11. Lembaga sertifikasi harus mengambil tindakan untuk menanggapi setiap ancaman terhadap ketidakberpihakan yang timbul dari tindakan personel, lembaga, atau organisasi lain.
5.2.12. Seluruh personel lembaga sertifikasi, baik internal maupun eksternal, atau komite
yang dapat mempengaruhi kegiatan sertifikasi harus bertindak secara tidak berpihak dan

tidak diizinkan memberi tekanan komersial, keuangan atau tekanan lainnya yang mengkompromikan ketidakberpihakan.
5.2.13. Lembaga sertifikasi harus mensyaratkan personel, baik internal maupun eksternal, untuk mengungkapkan seluruh situasi yang mungkin menimbulkan konflik kepentingan pada personel atau lembaga sertifikasi tersebut. Lembaga sertifikasi harus menggunakan informasi ini sebagai masukan untuk mengidentifikasi ancaman terhadap ketidakberpihakan yang timbul akibat kegiatan personel atau organisasi yang mempekerjakan mereka dan tidak boleh menggunakan personel internal atau eksternal tersebut, kecuali mereka dapat menunjukkan bahwa tidak ada konflik kepentingan.
5.3. Pertanggunggugatan dan keuangan
5.3.1. Lembaga sertifikasi harus mampu menunjukkan telah mengevaluasi resiko yang timbul dari kegiatan sertifikasinya dan memiliki pengaturan yang cukup (seperti asuransi atau cadangan) untuk menanggung pertanggunggugatan yang timbul dari operasinya dalam setiap bidang kegiatan dan wilayah geografi dimana lembaga sertifikasi beroperasi.
5.3.2. Lembaga sertifikasi harus mengevaluasi keuangan dan sumber pendapatannya, serta melaporkan kepada komite sebagaimana ditetapkan dalam butir 6.2 bahwa sejak awal dan selama berlangsungnya kegiatan tidak ada tekanan komersial, keuangan atau tekanan lainnya yang mengkompromikan ketidakberpihakan.
6.                                Persyaratan Struktural
6.1. Struktur organisasi dan manajemen puncak
6.1.1 Lembaga sertifikasi harus mendokumentasikan struktur organisasinya, yang menunjukkan tugas, tanggung jawab dan kewenangan manajemen dan personel sertifikasi serta setiap komite. Apabila lembaga sertifikasi merupakan bagian dari suatu badan hukum, struktur tersebut harus mencakup jalur kewenangan dan hubungan dengan bagian lainnya dalam badan hukum yang sama.
6.1.2 Lembaga sertifikasi harus mengidentifikasi manajemen puncak (dewan, kelompok personel, atau personel) yang memiliki kewenangan dan tanggung jawab menyeluruh untuk setiap hal berikut :
a)   pengembangan kebijakan yang berkaitan dengan operasi lembaga;
b)  pengawasan penerapan kebijakan dan prosedur;
c)   pengawasan keuangan lembaga;
d)  pengembangan jasa dan skema sertifikasi sistem manajemen;
e)  kinerja audit dan sertifikasi, dan daya tanggap terhadap keluhan;
f)   keputusan sertifikasi;
g)  pendelegasian wewenang kepada komite atau individu, jika dipersyaratkan, untuk melaksanakan kegiatan tertentu atas nama lembaga sertifikasi;
h)  pengaturan kontrak;
i)    penyediaan sumberdaya yang memadai untuk kegiatan sertifikasi.
6.1.3 Lembaga sertifikasi harus memiliki aturan resmi untuk penunjukan, kerangka acuan kerja dan operasi setiap komite yang terlibat dalam kegiatan sertifikasi.

6.2. Komite pengamanan ketidakberpihakan
6.2.1 Struktur lembaga sertifikasi harus mengamankan ketidakberpihakan kegiatannya dan membentuk komite untuk:
a)      membantu pengembangan kebijakan yang berkaitan dengan ketidakberpihakan kegiatan sertifikasinya,
b)      melakukan antisipasi terhadap setiap kecenderungan lembaga sertifikasi yang mengizinkan pertimbangan komersial atau pertimbangan lainnya, yang mencegah konsistensi tujuan melayani kegiatan sertifikasi.
c)      memberikan saran mengenai hal-hal yang mempengaruhi kepercayaan sertifikasi, termasuk keterbukaan dan persepsi publik, dan
d)      melakukan kajian, minimal setahun sekali, mengenai ketidakberpihakan dalam proses audit, sertifikasi dan pengambilan keputusan lembaga sertifikasi.
Tugas atau kewajiban lainnya dapat diberikan kepada komite sepanjang tugas atau kewajiban tambahan ini tidak mengkompromikan peran pentingnya dalam menjamin ketidakberpihakan.
6.2.2 Komposisi, kerangka acuan kerja, kewajiban, kewenangan, dan kompetensi anggota serta tanggung jawab komite harus secara formal didokumentasikan dan disahkan oleh manajemen puncak lembaga sertifikasi untuk menjamin
a)      Keterwakilan pihak yang berkepentingan secara seimbang seperti tidak adanya kepentingan tunggal yang mendominasi (personel internal atau eksternal lembaga sertifikasi dipertimbangkan sebagai satu kepentingan tunggal dan tidak mendominasi),
b)      akses terhadap seluruh informasi yang diperlukan agar komite mampu memenuhi fungsinya (juga lihat butir 5.2.2 dan 5.2.3), dan
c)      bahwa jika manajemen puncak lembaga sertifikasi tidak menghargai saran komite, maka komite berhak melakukan tindakan sendiri (seperti, menginformasikan kepada pihak yang berwenang, badan akreditasi, dan pemangku kepentingan). Dalam melakukan tindakan tersebut, komite harus mentaati persyaratan kerahasiaan pada butir 8.5 yang berkaitan dengan pelanggan dan lembaga sertifikasi.
6.2.3 Meskipun komite tidak dapat mewakili setiap kepentingan, lembaga sertifikasi sebaiknya mengidentifikasi dan mengundang pihak utama yang berkepentingan. Pihak tersebut dapat mencakup: pelanggan lembaga sertifikasi, pelanggan organisasi yang sistem manajemennya disertifikasi, perwakilan asosiasi industri dan perdagangan, perwakilan lembaga regulasi pemerintah atau layanan pemerintah lain, atau perwakilan lembaga swadaya masyarakat, termasuk organisasi konsumen.
7. Persyaratan Sumberdaya
7.1. Kompetensi manajemen dan personel
7.1.1 Lembaga sertifikasi harus memiliki proses untuk menjamin bahwa personel memiliki pengetahuan yang sesuai dengan tipe sistem manajemen dan wilayah geografi lembaga sertifikasi tersebut beroperasi.

Lembaga sertifikasi harus menetapkan kompetensi yang diperlukan untuk setiap bidang teknis (sesuai dengan skema sertifikasi spesifik), dan untuk setiap fungsi dalam kegiatan sertifikasi.
Lembaga sertifikasi harus menentukan cara memperagakan kompetensi sebelum melaksanakan fungsi spesifik.
7.1.2 Dalam menentukan persyaratan kompetensi personel yang melaksanakan sertifikasi, lembaga sertifikasi harus menentukan fungsi yang dilaksanakan oleh manajemen dan personel administratif, disamping mereka yang melaksanakan kegiatan audit dan sertifikasi secara langsung.
7.1.3 Lembaga sertifikasi harus memiliki akses kepada tenaga ahli teknis yang diperlukan untuk memberi saran mengenai hal yang terkait dengan sertifikasi dalam bidang teknis, tipe sistem manajemen dan wilayah geografi lembaga sertifikasi tersebut beroperasi. Saran demikian dapat diberikan oleh personel eksternal atau oleh personel lembaga sertifikasi.
7.2. Personel yang terlibat dalam kegiatan sertifikasi
7.2.1 Lembaga sertifikasi harus memiliki, sebagai bagian dari organisasinya, personel yang memiliki kompetensi yang cukup untuk mengelola tipe dan lingkup program audit serta pekerjaan sertifikasi lainnya yang dilakukan.
7.2.2 Lembaga sertifikasi harus mempekerjakan atau memiliki akses kepada auditor dalam jumlah yang cukup termasuk ketua tim audit dan tenaga ahli teknis yang mencakup seluruh kegiatannya untuk menangani volume pekerjaan audit yang dilakukan.
7.2.3 Lembaga sertifikasi harus menetapkan secara jelas kewajiban, tanggung jawab dan wewenang untuk setiap personelnya.
7.2.4 Lembaga sertifikasi harus menetapkan proses seleksi, pelatihan, wewenang auditor dan seleksi tenaga ahli teknis yang digunakan dalam kegiatan sertifikasi. Evaluasi kompetensi awal seorang auditor harus mencakup peragaan atribut personel yang dapat digunakan, dan kemampuannya dalam menerapkan pengetahuan dan keterampilan yang dibutuhkan selama audit, sebagaimana ditetapkan oleh evaluator yang kompeten yang mengamati auditor dalam melaksanakan audit.
7.2.5 Lembaga sertifikasi harus memiliki proses untuk mencapai dan memperagakan audit secara efektif, termasuk penggunaan auditor dan ketua tim audit yang memiliki keterampilan dan pengetahuan audit umum dan keterampilan serta pengetahuan yang tepat untuk mengaudit bidang teknis yang spesifik. Proses ini harus ditetapkan dalam persyaratan terdokumentasi yang disusun sesuai dengan panduan yang relevan dalam SN I 19-19011.
7.2.6 Lembaga sertifikasi harus menjamin bahwa auditor (dan, bila diperlukan, tenaga ahli teknis) memiliki pengetahuan mengenai proses audit, persyaratan sertifikasi dan persyaratan lainnya yang relevan. Lembaga sertifikasi harus memberikan akses kepada auditor dan tenaga ahli teknis terhadap seperangkat prosedur terdokumentasi mutakhir yang mencakup instruksi audit dan seluruh informasi yang relevan dengan kegiatan sertifikasi.

7.2.7 Lembaga sertifikasi harus menggunakan auditor dan tenaga ahli teknis yang memiliki kompetensi tertentu sesuai bidang kegiatan sertifikasi.
CATATAN     Penugasan auditor dan tenaga ahli teknis dalam tim untuk audit spesifik dijabarkan
pada butir 9.1.3.
7.2.8 Lembaga sertifikasi harus mengidentifikasi kebutuhan pelatihan dan harus memberikan kesempatan atau menyediakan akses pada pelatihan spesifik untuk menjamin auditor, tenaga ahli, dan personel lainnya yang terlibat dalam kegiatan sertifikasi kompeten untuk melaksanakan fungsinya .
7.2.9 Kelompok atau individu yang mengambil keputusan dalam          pemberian,
pemeliharaan, pembaruan, perluasan, pengurangan, pembekuan atau pencabutan sertifikasi harus memahami Standar dan persyaratan sertifikasi yang berlaku dan telah memperagakan kompetensinya untuk mengevaluasi proses audit dan rekomendasi terkait dari tim audit.
7.2.10 Lembaga sertifikasi harus menjamin kinerja yang memuaskan seluruh personel yang terlibat dalam kegiatan audit dan sertifikasi. Lembaga sertifikasi harus mempunyai prosedur yang terdokumentasi dan kriteria untuk memantau dan mengukur kinerja seluruh personel yang terlibat berdasarkan frekuensi penugasan dan tingkat resiko yang terkait dengan kegiatan mereka. Untuk mengidentifikasi kebutuhan pelatihan, lembaga sertifikasi harus mengkaji ulang kompetensi personel dari segi kinerjanya.
7.2.11 Prosedur pemantauan auditor yang terdokumentasi harus mencakup kombinasi observasi lapangan, tinjauan laporan audit dan umpan balik dari pelanggan atau pasar, dan harus ditetapkan dalam persyaratan terdokumentasi sesuai dengan pedoman yang relevan dalam SNI 19-19011. Pemantauan ini harus didesain sedemikian rupa untuk meminimalkan gangguan proses sertifikasi, terutama dari sudut pandang pelanggan.
7.2.12 Lembaga sertifikasi secara periodik harus mengamati kinerja dari setiap auditor di lapangan. Frekuensi observasi di lapangan harus berdasarkan kebutuhan yang ditentukan dari seluruh informasi pemantauan yang tersedia.
7.3. Penggunaan auditor eksternal dan tenaga ahli teknis eksternal individual Lembaga sertifikasi harus mensyaratkan auditor dan tenaga ahli teknis eksternal untuk membuat perjanjian tertulis yang memuat komitmen mereka untuk mematuhi kebijakan dan prosedur yang berlaku sebagaimana ditetapkan oleh lembaga sertifikasi.
Perjanjian tersebut harus mencakup aspek yang berkaitan dengan kerahasiaan, bebas dari kepentingan komersial, dan tekanan lainnya, serta harus mensyaratkan auditor dan tenaga ahli teknis eksternal untuk memberitahukan                                                                              lembaga sertifikasi setiap
hubungannya saat ini dan sebelumnya dengan organisasi yang akan mereka audit.
CATATAN Penggunaan auditor dan tenaga ahli teknis individual berdasarkan perjanjian
tersebut di atas bukan merupakan subkontrak sebagaimana dijelaskan dalam butir 7.5.
7.4. Rekaman personel
Lembaga sertifikasi harus memelihara rekaman personel yang mutakhir mencakup
kualifikasi,                       pelatihan, pengalaman, afiliasi, status profesional, kompetensi dan setiap
jasa konsultasi yang relevan yang telah diberikan. Rekaman personel termasuk rekaman

untuk personel manajemen dan personel administratif, dan personel yang melakukan kegiatan sertifikasi.
7.5. Subkontrak (Outsourcing)
7.5.1. Lembaga sertifikasi harus mempunyai proses penentuan dilakukannya subkontrak (kegiatan menyerahkan kepada organisasi lain untuk melakukan sebagian kegiatan sertifikasi atas nama lembaga sertifikasi). Lembaga sertifikasi harus memiliki perjanjian yang berkekuatan hukum mencakup pengaturan, termasuk kerahasiaan dan konflik kepentingan, dengan seluruh lembaga yang disubkontrakkan.
CATATAN 1      Hal ini mencakup sukontrak kepada lembaga sertifikasi lain. Penggunaan auditor
dan tenaga ahli teknis berdasarkan kontrak dijelaskan dalam butir 7.3.
CATATAN 2 Untuk tujuan Standar ini, istilah “outsourcing” dan “subkontrak” dianggap sama.
7.5.2. Keputusan untuk pemberian, pemeliharaan, pembaruan, perluasan, pengurangan, pembekuan atau pencabutan sertifikat tidak boleh disubkontrakkan.
7.5.3. Lembaga sertifikasi
a)      harus bertanggung jawab atas seluruh kegiatan yang disubkontrakkan kepada lembaga lain,
b)      harus menjamin bahwa lembaga yang disubkontrak dan individu yang dipekerjakannya memenuhi persyaratan lembaga sertifikasi dan ketentuan yang berlaku dari Standar ini, termasuk kompetensi, ketidakberpihakan dan kerahasiaan, dan
c)      harus menjamin bahwa lembaga yang disubkontrak dan individu yang dipekerjakannya, tidak terlibat secara langsung maupun melalui perusahaan lain dengan organisasi yang diaudit sehingga menyebabkan ketidakberpihakan dapat dikompromikan.
7.5.4. Lembaga sertifikasi harus mempunyai prosedur terdokumentasi untuk mengkualifikasi dan memantau seluruh lembaga yang disubkontrak untuk kegiatan sertifikasi dan menjamin bahwa rekaman kompetensi auditor dan tenaga ahli teknis dipelihara.
8. Persyaratan Informasi
8.1. Informasi yang dapat diakses publik
8.1.1 Lembaga sertifikasi harus memelihara dan membuat akses publik terhadap informasi yang menjelaskan proses audit, proses sertifikasi untuk pemberian, pemeliharaan, perluasan, pembaruan, pengurangan, pembekuan atau pencabutan sertifikasi, dan kegiatan sertifikasi, tipe sistem manajemen dan wilayah geografi dimana lembaga tersebut beroperasi atau menyediakan informasi tersebut berdasarkan permintaan.
8.1.2 Informasi yang disediakan oleh lembaga sertifikasi kepada setiap pelanggan atau pasar termasuk iklan harus akurat dan tidak menyesatkan.

8.1.3 Lembaga sertifikasi harus memberikan informasi yang dapat diakses publik mengenai sertifikasi yang diberikan, dibekukan atau dicabut.
8.1.4 Berdasarkan permintaan setiap pihak, lembaga sertifikasi harus menyediakan cara untuk mengkonfirmasi keabsahan dari sertifikasi yang diberikan.
CATATAN 1 Jika informasi keseluruhan dibagi menjadi beberapa sumber (misal. dalam bentuk cetakan atau bentuk elektronik atau kombinasi keduanya), dapat diterapkan suatu sistem yang menjamin kemamputelusuran dan tidak menimbulkan kerancuan diantara sumber-sumber tersebut (misal, sistem penomoran yang unik atau hyperlink di internet).
CATATAN 2 Dalam kasus tertentu, akses informasi dapat dibatasi atas permintaan pelanggan (misalnya untuk alasan keamanan)
8.2. Dokumen sertifikasi
8.2.1 Lembaga sertifikasi harus memberikan dokumen sertifikasi kepada pelanggan tersertifikasi dengan cara yang dipilihnya.
8.2.2 Tanggal efektif pada dokumen sertifikasi tidak boleh ditetapkan sebelum tanggal keputusan sertifikasi.
8.2.3 Dokumen sertifikasi harus mencantumkan hal berikut ini:
a)      nama dan lokasi geografi tiap pelanggan yang sistem manajemennya disertifikasi (atau lokasi geografis kantor pusat dan setiap lokasi dalam lingkup sertifikasi multilokasi;
b)      tanggal pemberian, perluasan atau pembaruan sertifikasi;
c)      tanggal kadaluarsa atau batas waktu sertifikasi ulang sesuai dengan siklus sertifikasi ulang;
d)      kode identifikasi tertentu;
e)      standar dan/atau dokumen normatif lainnya, mencakup nomor penerbitan dan/atau revisi, yang digunakan untuk audit pelanggan tersertifikasi;
f)       lingkup sertifikasi berkenaan dengan produk (termasuk jasa), proses, dan lainnya selama berlaku pada setiap lokasi;
g)      nama, alamat dan tanda sertifikasi dari lembaga sertifikasi, tanda lainnya (misal, simbol akreditasi) dapat digunakan dengan syarat tidak menyesatkan atau membingungkan;
h)      setiap informasi lainnya yang disyaratkan Standar dan/atau dokumen normatif lainnya yang digunakan untuk sertifikasi;
i)       dalam hal penerbitan dokumen sertifikasi yang direvisi, diperlukan cara untuk membedakan dokumen yang telah direvisi dengan dokumen yang tidak berlaku.
8.3. Direktori pelanggan tersertifikasi
Lembaga sertifikasi harus memelihara dan membuat akses publik atau menyediakan berdasarkan permintaan, dengan cara yang dipilih suatu direktori sertifikasi yang sah minimal memuat nama, dokumen normatif yang sesuai, lingkup dan lokasi geografis (misal, kota dan negara) untuk setiap pelanggan yang disertifikasi (atau lokasi geografi dari kantor pusat dan seluruh tapak dalam lingkup sertifikasi multilokasi)
CATATAN      Direktori adalah hak milik lembaga sertifikasi.

8.4. Acuan sertifikasi dan penggunaan tanda
8.4.1. Lembaga sertifikasi harus memiliki suatu kebijakan yang mengatur setiap tanda yang telah diberikan hak penggunaannya kepada pelanggan yang telah disertifikasi. Kebijakan tersebut harus menjamin antara lain ketertelusuran ke lembaga sertifikasi. Sebaiknya tidak ada kerancuan dalam penggunaan tanda atau teks yang menyertainya, misalnya kerancuan tanda atau teks tentang kegiatan yang disertifikasi dengan logo lembaga sertifikasi yang memberikan sertifikasi. Tanda ini tidak boleh digunakan pada produk atau kemasan produk yang terlihat oleh konsumen atau dengan cara lain yang dapat diinterpretasikan sebagai kesesuaian produk.
CATATAN      ISO/IEC 17030 memberikan persyaratan untuk penggunaan tanda pihak-ketiga.
8.4.2. Lembaga sertifikasi tidak boleh mengizinkan tandanya dipakai pada laporan uji laboratorioum, kalibrasi atau inspeksi, karena dalam konteks ini laporan tersebut dianggap sebagai produk.
8.4.3. Lembaga sertifikasi harus mensyaratkan bahwa organisasi pelanggan untuk
a)    memenuhi persyaratan lembaga sertifikasi pada saat membuat acuan status sertifikasinya dalam media komunikasi seperti internet, brosur atau iklan, atau dokumen lainnya,
b)    tidak membuat atau mengijinkan pernyataan yang menyesatkan berkenaan dengan sertifikasinya,
c)    tidak menggunakan atau mengizinkan penggunaan dokumen sertifikasi atau bagiannya dalam cara yang menyesatkan,
d)    menghentikan penggunaan seluruh materi periklanan yang memuat acuan sertifikasi, sebagaimana ditentukan oleh lembaga sertifikasi (lihat butir 9.6.3 dan 9.6.6) bila terjadi pembekuan atau pencabutan sertifikasi,
e)    merubah seluruh materi periklanan pada saat lingkup sertifikasi dikurangi,
f)     tidak mengizinkan penggunaan acuan sertifikasi sistem manajemen yang dapat menyiratkan bahwa lembaga sertifikasi tersebut memberikan sertifikasi produk (termasuk jasa) atau proses
g)    tidak menyiratkan bahwa sertifikasi berlaku untuk kegiatan diluar lingkup sertifikasi, dan
h)    tidak menggunakan sertifikasinya yang dapat membawa lembaga sertifikasi dan/atau sistem sertifikasi kehilangan reputasi dan kepercayaan publik.
8.4.4. Lembaga sertifikasi harus menguji pengendalian kepemilikan secara tepat dan harus mengambil tindakan berkenaan dengan acuan status sertifikasi yang tidak benar atau penggunaan dokumen sertifikasi, tanda atau laporan audit yang menyesatkan.
CATATAN            Tindakan demikian dapat mencakup permintaan koreksi dan tindakan korektif,
pembekuan, pencabutan sertifikasi, publikasi pelanggaran dan, jika perlu, tindakan hukum.
8.5. Kerahasiaan
8.5.1 Lembaga sertifikasi harus memiliki kebijakan dan pengaturan, melalui perjanjian
yang berkekuatan hukum, untuk mengamankan kerahasiaan informasi yang diperoleh

atau dibuat selama pelaksanaan kegiatan sertifikasi pada seluruh tingkatan strukturnya, termasuk komite dan lembaga eksternal atau individu yang bertindak atas namanya.
8.5.2 Lembaga sertifikasi harus menginformasikan pelanggan terlebih dahulu mengenai informasi yang menjadi wilayah publik. Seluruh informasi harus dianggap rahasia kecuali informasi yang disediakan pelanggan untuk publik.
8.5.3 Kecuali disyaratkan dalam Standar ini, informasi mengenai pelanggan atau individu tertentu tidak boleh dipaparkan kepada pihak ketiga tanpa persetujuan tertulis dari pelanggan atau individu yang berkepentingan.
Jika berdasarkan hukum lembaga sertifikasi diminta untuk memberikan informasi yang bersifat rahasia kepada pihak ketiga, pelanggan atau individu yang berkepentingan harus diberitahukan terlebih dahulu mengenai informasi yang diberikan kecuali yang diatur oleh hukum.
8.5.4 Informasi tentang pelanggan dari sumber selain pelanggan (misalnya dari pihak yang memberikan keluhan, regulator) harus diperlakukan sebagai rahasia, konsisten dengan kebijakan lembaga sertifikasi.
8.5.5 Personel, termasuk setiap anggota komite, kontraktor, personel lembaga eksternal atau individu yang bertindak atas nama lembaga sertifikasi, harus menjaga kerahasiaan seluruh informasi yang diperoleh atau dibuat selama pelaksanaan kegiatan sertifikasi.
8.5.6 Lembaga sertifikasi harus menyediakan dan menggunakan perlengkapan serta fasilitas yang menjamin keamanan penanganan informasi yang bersifat rahasia (misalnya dokumen, rekaman).
8.5.7 Bila informasi yang bersifat rahasia diberikan kepada lembaga lain (misal lembaga akreditasi, kelompok perjanjian dalam skema peer asesmen), lembaga sertifikasi harus menginformasikan pelanggannya mengenai tindakan ini.
8.6. Pertukaran informasi antara lembaga sertifikasi dan pelanggannya
8.6.1. Informasi kegiatan dan persyaratan sertifikasi
Lembaga sertifikasi harus menyampaikan kepada pelanggannya hal berikut yang mutakhir:
a)      deskripsi rinci mengenai kegiatan sertifikasi awal dan kelanjutannya, termasuk permohonan, audit awal, audit survailen, dan proses untuk pemberian, pemeliharaan, pengurangan, perluasan, pembekuan, pencabutan sertifikasi dan sertifikasi ulang;
b)      persyaratan normatif untuk sertifikasi;
c)      informasi mengenai biaya permohonan, sertifikasi awal dan kelanjutannya;
d)      persyaratan lembaga sertifikasi untuk calon pelanggan
1)   untuk memenuhi persyaratan sertifikasi,
2)   membuat seluruh pengaturan yang diperlukan untuk melaksanakan audit, termasuk ketentuan untuk menguji dokumentasi dan akses ke seluruh proses dan bidang, rekaman dan personel untuk tujuan sertifikasi awal, survailen, sertifikasi ulang dan penyelesaian keluhan, dan
3)   membuat ketentuan, bila sesuai, untuk mengakomodasi kehadiran pengamat (misalnya, auditor akreditasi atau calon auditor);

e)    dokumen yang menjelaskan hak dan kewajiban pelanggan yang disertifikasi, termasuk persyaratan, untuk membuat acuan sertifikasi guna keperluan komunikasi yang selaras dengan persyaratan pada butir 8.4;
f)     informasi tentang prosedur penanganan keluhan dan banding.
8.6.2. Pemberitahuan perubahan oleh lembaga sertifikasi
Lembaga sertifikasi harus memberikan kepada pelanggan yang disertifikasi setiap perubahan persyaratan sertifikasi. Lembaga sertifikasi harus memverifikasi bahwa setiap pelanggan yang disertifikasi memenuhi persyaratan baru tersebut.
CATATAN           Pengaturan kontrak dengan pelanggan yang disertifikasi menjadi penting untuk
menjamin pelaksanaan persyaratan ini.
Model perjanjian lisensi untuk penggunaan sertifikasi, termasuk aspek yang terkait dengan pemberitahuan perubahan, sejauh dapat diterapkan, ada pada Lampiran E dari PSN 304-2006 (ISO/IEC Guide 28:2004).
8.6.3. Pemberitahuan perubahan oleh pelanggan
Lembaga sertifikasi harus memiliki pengaturan yang berkekuatan hukum untuk menjamin bahwa pelanggan yang disertifikasi menginformasikan kepada lembaga sertifikasi, tanpa menunda, mengenai hal-hal yang dapat mempengaruhi kemampuan sistem manajemen untuk memenuhi persyaratan Standar sertifikasi yang digunakan. Hal ini mencakup, misal, perubahan yang berkaitan dengan
a)    hukum, komersial, status organisasi atau kepemilikan,
b)    organisasi dan manajemen (misal, manajerial penentu, pengambil keputusan atau staf teknis,
c)    alamat penghubung dan lokasi,
d)    lingkup operasi sistem manajemen yang disertifikasi, dan
e)    perubahan utama pada sistem manajemen dan proses,
CATATAN Suatu model perjanjian lisensi untuk penggunaan sertifikasi, termasuk aspek‑
aspek yang terkait dengan pemberitahuan perubahan, sepanjang dapat diterapkan, terdapat dalam Lampiran E PSN 304-2006 (ISO/IEC Guide 28:2004).
9. Persyaratan proses 9.1. Persyaratan umum
9.1.1. Program audit harus mencakup dua tahap audit awal, audit survailen pada tahun pertama dan kedua, dan audit sertifikasi ulang di tahun ketiga sebelum berakhirnya sertifikasi. Siklus sertifikasi tiga tahunan dihitung sejak keputusan sertifikasi atau sertifikasi ulang. Penentuan program audit dan penyesuaiannya harus mempertimbangkan ukuran organisasi pelanggan, lingkup dan kompleksitas sistem manajemennya, produk dan proses, serta tingkat efektivitas sistem manajemen yang ditunjukkan dan hasil audit sebelumnya. Ketika suatu lembaga sertifikasi akan mempertimbangkan kembali sertifikasi atau audit yang telah diberikan kepada pelanggan, lembaga sertifikasi harus mengumpulkan informasi yang cukup dan dapat diverifikasi untuk menjastifikasi dan merekam setiap penyesuaian program audit.
9.1.2 Lembaga sertifikasi harus menjamin bahwa rencana audit untuk setiap audit
ditetapkan sebagai dasar perjanjian tentang pelaksanaan dan penjadwalan kegiatan audit.

Rencana audit harus didasarkan pada persyaratan terdokumentasi dari lembaga sertifikasi dan disusun sesuai dengan panduan yang relevan dalam SNI 19-19011.
9.1.3 Lembaga sertifikasi harus memiliki suatu proses seleksi dan penunjukan tim audit, termasuk pemimpin tim audit, dengan mempertimbangkan kompetensi yang dibutuhkan untuk mencapai sasaran audit. Proses ini harus didasarkan pada persyaratan yang terdokumentasi, yang disusun sesuai dengan panduan yang relevan dalam SNI 19-19011.
9.1.4 Lembaga sertifikasi harus mendokumentasikan prosedur penentuan waktu audit. Untuk setiap pelanggan, lembaga sertifikasi harus menentukan waktu yang diperlukan untuk merencanakan dan menyelesaikan audit sistem manajemen pelanggan secara lengkap dan efektif. Waktu audit ditentukan oleh lembaga sertifikasi dan jastifikasi penentuan waktu audit harus direkam.
Dalam menentukan waktu audit, lembaga sertifikasi harus mempertimbangkan, antara lain aspek berikut ini:
a)    persyaratan Standar sistem manajemen yang sesuai;
b)    ukuran dan kompleksitas;
c)    konteks teknologi dan peraturan perundang-undangan;
d)    setiap subkontrak dari tiap kegiatan yang termasuk di dalam lingkup sistem manajemen;
e)    hasil setiap audit sebelumnya;
f)     jumlah lokasi dan multilokasi yang dipertimbangkan.
9.1.5 Apabila pengambilan contoh multilokasi digunakan untuk mengaudit sistem manajemen pelanggan yang memiliki kegiatan yang sama di berbagai lokasi, lembaga sertifikasi harus mengembangkan suatu progam pengambilan contoh untuk memastikan audit sistem manajemen dengan benar. Alasan untuk rencana pengambilan contoh harus didokumentasikan untuk setiap pelanggan.
9.1.6 Tugas yang diberikan kepada tim audit harus ditetapkan dan diketahui oleh organisasi pelanggan, dan harus mensyaratkan tim audit untuk
a)      menguji dan memverifikasi struktur, kebijakan, proses, prosedur, rekaman, dan dokumen terkait dari organisasi pelanggan sesuai dengan sistem manajemen,
b)      menentukan bahwa hal tersebut di atas memenuhi seluruh persyaratan yang sesuai dengan lingkup sertifikasi yang dimaksudkan,
c)      menentukan bahwa prosedur ditetapkan, diterapkan dan dipelihara secara efektif sehingga memberi kepercayaan dalam sistem manajemen pelanggan, dan
d)      mengkomunikasikan kepada pelanggan atas setiap tindakannya yang tidak konsisten antara kebijakan, sasaran dan target pelanggan (sesuai dengan harapan Standar sistem manajemen atau dokumen normatif lainnya) dengan hasil yang dicapai.
9.1.7 Lembaga sertifikasi harus menyediakan nama dan bila diminta, menyediakan informasi latar belakang dari setiap anggota tim audit dengan waktu yang cukup bagi organisasi pelanggan untuk mengajukan keberatan atas auditor atau tenaga ahli yang ditunjuk dan bagi lembaga sertifikasi untuk menyusun ulang anggota tim dalam rangka menanggapi keberatan yang sah.
9.1.8 Rencana audit harus dikomunikasikan dan tanggal audit harus disetujui sebelumnya bersama dengan organisasi pelanggan.

9.1.9 Lembaga sertifikasi harus memiliki suatu proses untuk melaksanakan audit lapangan sebagaimana ditetapkan dalam persyaratan terdokumentasi sesuai dengan panduan yang relevan dalam SNI 19-19011.
CATATAN 1        Selain mengunjungi lokasi fisik (misal, pabrik), audit lapangan dapat mencakup
akses jarak jauh melalui situs elektronik yang memuat informasi yang relevan untuk keperluan audit sistem manajemen.
CATATAN 2 istilah auditi sebagaimana digunakan dalam SNI 19-19011 berarti organisasi yang sedang diaudit.
9.1.10 Lembaga sertifikasi harus memberikan laporan tertulis untuk setiap audit. Laporan tersebut harus didasarkan pada panduan yang sesuai yang terdapat dalam SNI 19- 1901 1.Tim audit dapat mengidentifikasi peluang untuk perbaikan namun tidak boleh merekomendasikan penyelesaian tertentu. Kepemilikan laporan audit harus dipelihara oleh lembaga sertifikasi.
9.1.11 Lembaga sertifikasi harus mensyaratkan pelanggan untuk menganalisis penyebab dan menjelaskan koreksi spesifik dan tindakan korektif yang dilakukan atau direncanakan untuk dilakukan, untuk mengeliminasi ketidaksesuaian yang terdeteksi dalam waktu yang ditentukan.
9.1.12 Lembaga sertifikasi harus mengkaji koreksi dan tindakan korektif yang diajukan oleh pelanggan untuk menentukan keberterimaannya .
9.1.13 Organisasi yang diaudit harus diinformasikan jika ada audit lengkap tambahan, audit terbatas tambahan, atau bukti terdokumentasi (untuk dikonfirmasikan dalam audit survailen mendatang) untuk memverifikasi koreksi dan tindakan korektif yang efektif.
9.1.14 Lembaga sertifikasi harus menjamin bahwa personel atau komite yang membuat keputusan sertifikasi atau sertifikasi ulang berbeda dengan yang melakukan audit.
9.1.15 Lembaga sertifikasi harus mengkonfirmasikan sebelum membuat keputusan, mengenai
a) informasi yang cukup, diberikan oleh tim audit berkaitan dengan persyaratan sertifikasi dan lingkup sertifikasi;
b) lembaga sertifikasi telah mengkaji, menerima, dan memverifikasi efektivitas koreksi dan tindakan korektif untuk seluruh ketidaksesuaian yang mewakili
1)   kegagalan untuk memenuhi satu atau lebih persyaratan Standar sistem manajemen, atau
2)   Situasi yang menimbulkan keraguan yang signifikan terhadap kemampuan sistem manajemen pelanggan untuk mencapai output yang diinginkan.
c) lembaga sertifikasi telah mengkaji dan menerima koreksi dan tindakan korektif yang direncanakan pelanggan untuk seluruh ketidaksesuaian lainnya.
9.2. Audit dan sertifikasi awal
9.2.1. Permohonan
Lembaga sertifikasi harus mensyaratkan wakil yang berwenang dari organisasi pemohon untuk memberikan informasi yang diperlukan untuk menetapkan hal berikut :
a) ruang lingkup sertifikasi yang diinginkan;

b)    fitur umum dari organisasi pemohon, mencakup nama dan alamat dari lokasi fisik, aspek signifikan dari proses dan operasinya, dan setiap kewajiban hukum lainnya yang sesuai;
c)    informasi umum   sesuai bidang sertifikasi yang dimohon, berkenaan dengan
organisasi pemohon seperti aktivitas, sumberdaya manusia dan teknis, fungsi dan jika ada, hubungan dengan organisasi yang lebih besar ;
d)    informasi mengenai seluruh proses yang disubkontrakkan digunakan oleh organisasi dan akan mempengaruhi kesesuaian terhadap persyaratan;
e)    Standar atau persyaratan lain keperluan sertifikasi organisasi pemohon;
f)     informasi mengenai penggunaan konsultasi yang berkaitan dengan sistem manajemen.
9.2.2 Kajian permohonan
9.2.2.1 Sebelum melakukan audit, lembaga sertifikasi harus melaksanakan kajian terhadap permohonan dan informasi tambahan untuk sertifikasi guna menjamin bahwa :
a)    informasi mengenai organisasi pemohon dan sistem manajemennya telah cukup untuk pelaksanaan audit;
b)    persyaratan untuk sertifikasi telah ditetapkan dan didokumentasikan dengan jelas, serta telah disediakan bagi organisasi pemohon;
c)    setiap perbedaan pemahaman antara lembaga sertifikasi dan organisasi pemohon telah terselesaikan;
d)    lembaga sertifikasi memiliki kompetensi dan kemampuan untuk melaksanakan kegiatan sertifikasi;
e)    lingkup sertifikasi, lokasi operasi dari organisasi pemohon, waktu yang diperlukan untuk audit secara lengkap dan setiap kegiatan lainnya yang mempengaruhi kegiatan sertifikasi telah diperhitungkan (bahasa, kondisi keamanan, ancaman terhadap ketidakberpihakan, dll);
f)     rekaman jastifikasi keputusan untuk melakukan audit dipelihara.
9.2.2.2 Berdasarkan kajian ini, lembaga sertifikasi harus menetapkan kompetensi yang dibutuhkan untuk dicakup dalam tim audit dan keputusan sertifikasi.
9.2.2.3 Tim audit harus ditunjuk dan terdiri atas auditor (dan tenaga ahli teknis bila diperlukan), yang diantara mereka memiliki kompetensi secara menyeluruh yang telah diidentifikasi oleh lembaga sertifikasi seperti pada butir 9.2.2.2 untuk sertifikasi organisasi pemohon.
Seleksi tim harus dilaksanakan dengan mengacu pada kompetensi auditor dan tenaga ahli teknis yang ditetapkan pada butir 7.2.5, dan dapat mencakup sumber daya manusia internal maupun eksternal.
9.2.2.4 Individu-individu yang akan melaksanakan keputusan sertifikasi harus ditunjuk untuk menjamin tersedianya kompetensi yang memadai (lihat butir 7.2.9 dan 9.2.2.2)
9.2.3 Audit Sertifikasi Awal
Audit sertifikasi awal sistem manajemen harus dilaksanakan dalam dua tahap: tahap 1 dan tahap 2.

9.2.3.1 Audit tahap 1
9.2.3.1.1 Tahap 1 audit harus dilaksanakan untuk:
a)   mengaudit dokumentasi sistem manajemen pelanggan;
b)   mengevaluasi lokasi dan kondisi lapangan pelanggan yang spesifik dan melakukan diskusi dengan personel pelanggan untuk menentukan kesiapan untuk audit tahap 2;
c)   mengkaji status dan pemahaman pelanggan berkenaan dengan persyaratan Standar, terutama yang berkaitan dengan identifikasi kinerja utama atau aspek yang signifikan, proses, sasaran, dan operasi sistem manajemen;
d)   mengumpulkan informasi penting berkenaan dengan lingkup sistem manajemen, proses dan lokasi pelanggan, dan aspek peraturan perundang-undangan dan pemenuhannya (sebagai contoh aspek hukum, lingkungan, dan mutu dari operasi pelanggan, keterkaitan resiko, dsb);
e)   mengkaji alokasi sumber daya untuk audit tahap 2 dan persetujuan pelanggan berkenaan dengan rincian audit tahap 2;
f)   memfokuskan perencanaan audit tahap 2 dengan mendapatkan pemahaman yang cukup tentang sistem manajemen pelanggan dan operasional di lapangan dalam konteks aspek signifikan yang mungkin;
g)   mengevaluasi rencana dan pelaksanaan internal audit dan kaji ulang manajemen, dan level implementasi dari substansi sistem manajemen menunjukkan bahwa pelanggan siap untuk audit tahap 2.
Untuk kebanyakan sistem manajemen, direkomendasikan paling sedikit audit tahap 1 dilaksanakan di tempat pelanggan untuk mencapai sasaran yang telah ditetapkan di atas.
9.2.3.1.2 Temuan audit tahap 1 harus didokumentasikan dan dikomunikasikan kepada pelanggan, termasuk identifikasi area yang menjadi perhatian yang dapat diklasifikasikan sebagai ketidaksesuaian selama audit tahap 2.
9.2.3.1.3 Dalam menentukan interval antara audit tahap 1 dan audit tahap 2, pertimbangan harus diberikan untuk kebutuhan pelanggan guna menyelesaikan area yang menjadi perhatian yang teridentifikasi selama audit tahap 1. Lembaga sertifikasi juga dapat merevisi pengaturan yang diperlukan untuk audit tahap 2.
9.2.3.2 Audit Tahap 2
Tujuan dari audit tahap 2 adalah untuk mengevaluasi implementasi, termasuk efektifitas sistem manajemen pelanggan. Audit tahap 2 harus dilaksanakan di lokasi pelanggan. Audit harus mencakup minimal hal-hal berikut :
a)    informasi dan bukti tentang kesesuaian untuk seluruh persyaratan Standar sistem manajemen yang berlaku atau dokumen normatif lainnya;
b)    pemantauan, pengukuran, pelaporan, dan pengkajian kinerja dibandingkan dengan sasaran dan target kinerja yang utama (sesuai dengan harapan dalam Standar sistem manajemen atau dokumen normatif lainnya yang berlaku.)
c)    sistem manajemen dan unjuk kerja pelanggan terkait pemenuhan legal
d)    pengendalian operasional proses-proses pelanggan
e)    internal audit dan kaji ulang manajemen
f)     Tanggung jawab manajemen untuk kebijakan pelanggan
g)    Hubungan antara  persyaratan normatif, kebijakan, sasaran dan target kinerja (sesuai dengan harapan dalam Standar sistem manajemen atau dokumen normatif lainnya yang berlaku), setiap persyaratan legal yang berlaku, tanggung jawab, kompetensi personel, operasional, prosedur, data kinerja dan temuan internal audit dan kesimpulan.
9.2.4 Kesimpulan audit untuk sertifikasi awal
Tim audit harus menganalisis seluruh informasi dan bukti audit yang diperoleh selama audit tahap 1 dan tahap 2 untuk mengkaji temuan-temuan audit dan menyetujui kesimpulan audit.
9.2.5 Informasi untuk pemberian sertifikasi awal
9.2.5.1 Informasi yang disediakan oleh tim audit kepada lembaga sertifikasi untuk keputusan sertifikasi harus mencakup, minimal :
a.    laporan audit,
b.    keterangan pada ketidaksesuaian, dan jika tersedia, koreksi dan tindakan korektif yang dilakukan oleh pelanggan,
c.    konfirmasi tentang informasi yang disediakan untuk lembaga sertifikasi yang digunakan dalam pengkajian permohonan (lihat butir 9.2.2) dan
d.    rekomendasi diberikan atau tidak diberikannya sertifikasi, serta setiap kondisi atau observasi.
9.2.5.2 Lembaga sertifikasi harus membuat keputusan sertifikasi berdasarkan pada evaluasi temuan audit dan kesimpulan audit serta informasi sesuai lainnya (sebagai contoh informasi publik, keterangan pada laporan audit dari pelanggan)
9.3. Kegiatan survailen 9.3.1 Umum
9.3.1.1 Lembaga sertifikasi harus mengembangkan kegiatan survailen sehingga keterwakilan area dan fungsi yang dicakup dalam lingkup sistem manajemen dipantau secara reguler, dan memperhitungkan perubahan yang ada pada pelanggan yang disertifikasi dan sistem manajemennya.
9.3.1.2 Kegiatan survailen harus mencakup audit lapangan dengan mengaudit pemenuhan persyaratan spesifik sistem manajemen pelanggan tersertifikasi, berkaitan dengan Standar yang sertifikasinya diberikan. Kegiatan survailen lainnya dapat mencakup :
a.      pertanyaan dari lembaga sertifikasi kepada pelanggan tersertifikasi terhadap aspek-aspek sertifikasi
b.      pengkajian setiap pernyataan pelanggan berkenaan dengan operasionalnya (sebagai contoh bahan promosi, website)
c.      permintaan kepada pelanggan untuk menyediakan dokumen dan rekaman (pada kertas atau media elektronik) dan
d.      hal lainnya terkait pemantauan kinerja pelanggan tersertifikasi
9.3.2 Audit Survailen
9.3.2.1 Audit survailen adalah audit lapangan, tetapi bukan audit sistem secara
menyeluruh, dan harus direncanakan bersama dengan kegiatan survailen lainnya
sehingga lembaga sertifikasi dapat memelihara kepercayaan bahwa sistem manajemen

yang disertifikasi tetap memenuhi persyaratan diantara audit sertifikasi ulang. Program audit survailen harus mencakup, minimal :
a.    internal audit dan kaji ulang manajemen,
b.    tinjauan tindakan yang diambil terhadap ketidaksesuaian yang diidentifikasi selama audit sebelumnya,
c.    penanganan keluhan,
d.    efektifitas sistem manajemen untuk pencapaian sasaran pelanggan tersertifikasi,
e.    kemajuan dari aktifitas yang direncanakan untuk peningkatan berkelanjutan,
f.     keberlanjutan pengendalian operasional,
g.    tinjauan setiap perubahan, dan
h.    penggunaan logo dan/atau referensi sertifikasi lainnya.
9.3.2.2 Audit survailen harus dilaksanakan minimal satu kali setahun. Waktu audit survailen pertama tidak boleh lebih dari 12 bulan sejak hari terakhir audit tahap 2 sertifikasi awal.
9.3.3 Pemeliharaan sertifikasi
Lembaga sertifikasi harus memelihara sertifikasi didasarkan atas peragaan bahwa pelanggan tetap konsisten terhadap persyaratan Standar sistem manajemen. Pemeliharan sertifikasi pelanggan dapat didasarkan pada kesimpulan positif oleh ketua tim audit tanpa dilakukan kajian independen lebih lanjut, dengan ketentuan bahwa :
a.      untuk setiap ketidaksesuaian atau situasi lain yang dapat menyebabkan pembekuan atau pencabutan sertifikasi, lembaga sertifikasi harus memiliki sistem yang mensyaratkan ketua tim audit untuk melaporkan kepada lembaga sertifikasi keperluan melakukan suatu tinjauan oleh personel yang kompeten (lihat butir 7.2.9), yang berbeda dengan personel yang melaksanakan audit, untuk menentukan apakah sertifikasi dapat dipelihara, dan
b.      personel kompeten dari lembaga sertifikasi memantau kegiatan survailennya, termasuk pemantauan pelaporan yang dilakukan auditor-auditornya, untuk mengkonirmasikan bahwa kegiatan sertifikasi dioperasikan secara efektif.
9.4. Sertifikasi ulang
9.4.1. Perencanaan audit sertifikasi ulang
9.4.1.1 Audit sertifikasi ulang harus direncanakan dan dilaksanakan untuk mengevaluasi pemenuhan terhadap seluruh persyaratan Standar sistem manajemen atau dokumen normatif lain secara berkelanjutan. Tujuan audit sertifikasi ulang adalah untuk mengkonfirmasi keberlanjutan kesesuaian dan efektifitas sistem manajemen secara keseluruhan, serta relevansi dan kemampuan organisasi terhadap lingkup sertifikasi.
9.4.1.2 Audit sertifikasi ulang harus mempertimbangkan kinerja sistem manajemen selama periode sertifikasi dan mencakup tinjauan atas laporan survailen sebelumnya.
9.4.1.3 Kegiatan audit sertifikasi ulang mungkin membutuhkan audit tahap 1 bila terdapat perubahan signifikan pada sistem manajemen, pelanggan, atau konteks sistem manajemen yang sedang dioperasikan (sebagai contoh perubahan terhadap peraturan perundang-undangan).

9.4.1.4 Pada kasus multi lokasi atau sertifikasi untuk multi Standar sistem manajemen, perencanaan audit harus menjamin kecukupan cakupan audit lapangan untuk memberi keyakinan dalam sertifikasi.
9.4.2. Audit sertifikasi ulang
9.4.2.1 Audit sertifikasi ulang harus mencakup audit lapangan yang dilakukan untuk hal-hal sebagai berikut :
a.      efektifitas sistem manajemen secara menyeluruh terkait dengan perubahan internal dan eksternal serta kesinambungan relevansi dan penerapannya terhadap lingkup sertifikasi;
b.      menunjukkan komitmen untuk memelihara efektivitas dan peningkatan sistem manajemen untuk mencapai kinerja secara keseluruhan;
c.      pengoperasian sistem manajemen yang disertifikasi berkontribusi atau tidak terhadap pencapaian kebijakan dan sasaran organisasi.
9.4.2.2 Bila selama audit sertifikasi ulang, teridentifikasi ketidaksesuaian atau kurangnya bukti kesesuaian, lembaga sertifikasi harus memberikan batas waktu untuk koreksi dan tindakan korektif untuk diimplementasikan sebelum habisnya masa berlaku sertifikat.
9.4.3. Informasi untuk pemberian sertifikasi ulang
Lembaga sertifikasi harus membuat keputusan untuk pembaharuan sertifikasi berdasarkan pada hasil audit sertifikasi ulang, begitupun dengan hasil tinjauan sistem selama periode sertifikasi dan keluhan yang diterima dari pengguna sertifikasi
9.5. Audit khusus
9.5.1 Perluasan ruang lingkup
Lembaga sertifikasi harus merespon permohonan untuk perluasan ruang lingkup sertifikasi yang telah diberikan, melakukan suatu kajian terhadap permohonan dan menentukan kegiatan audit yang penting untuk memutuskan perluasan diberikan atau tidak. Hal ini dapat dilakukan bersamaan dengan audit survailen.
9.5.2 Audit tidak terjadwal (short-notice)
Dapat dimungkinkan suatu lembaga sertifikasi melakukan audit tidak terjadwal terhadap pelanggan yang disertifikasinya untuk menginvestigasi keluhan (lihat butir 9.8), atau berkaitan dengan perubahan-perubahan (lihat 8.6.3), atau sebagai tindak lanjut dari pelanggan yang dibekukan (lihat butir 9.6). Dalam kasus yang demikian :
a.      lembaga sertifikasi harus menjelaskan dan memberitahu terlebih dahulu kepada pelanggan yang disertifikasinya (sebagai contoh, dalam dokumen sebagaimana dijelaskan dalam butir 8.6.1) mengenai persyaratan kunjungan tiba tiba yang dilakukan,
b.      lembaga sertifikasi harus memberi perhatian lebih dalam penugasan tim audit karena kurangnya peluang bagi pelanggan untuk berfokus pada anggota tim audit.

9.6. Pembekuan, pencabutan, atau pengurangan ruang lingkup sertifikasi
9.6.1 Lembaga sertifikasi harus memiliki kebijakan dan prosedur terdokumentasi untuk pembekuan, pencabutan, atau pengurangan ruang lingkup sertifikasi, dan harus menspesifikasikan tindakan-tindakan penting yang dilakukan oleh lembaga sertifikasi.
9.6.2 Lembaga sertifikasi harus membekukan sertifikasi pada kasus, sebagai contoh :
- sistem manajemen pelanggan yang disertifikasi gagal secara total dan serius dalam memenuhi persyaratan sertifikasi, termasuk persyaratan efektivitas system manajemen,
- pelanggan yang disertifikasi tidak memperbolehkan audit survailen atau sertifikasi ulang dilaksanakan pada frekwensi yang dipersyaratkan, atau
- pelanggan yang disertifikasi telah meminta pembekuan secara sukarela
9.6.3 Dalam kondisi pembekuan, sertifikasi sistem manajemen pelanggan untuk sementara tidak berlaku. Lembaga sertifikasi harus memiliki perjanjian yang mengikat dengan pelanggannya untuk menjamin bahwa dalam kasus pembekuan, pelanggan dilarang menggunakan sertifikasinya untuk keperluan promosi lebih lanjut. Lembaga sertifikasi harus membuat status pembekuan sertifikasi yang dapat diakses publik (lihat 8.1.3) dan harus melakukan tindakan lain yang sesuai.
9.6.4 Kegagalan untuk menyelesaikan masalah pokok dari pembekuan dalam jangka waktu yang ditetapkan, maka lembaga sertifikasi harus mencabut atau mengurangi ruang lingkup sertifikasi.
CATATAN      Pada kebanyakan kasus pembekuan tidak melebihi 6 bulan.
9.6.5 Lembaga sertifikasi harus mengurangi ruang lingkup sertifikasi pelanggan untuk bagian-bagian yang tidak memenuhi persyaratan, bila pelanggan gagal secara total memenuhi persyaratan sertifikasi untuk bagian-bagian dari ruang lingkup sertifikasi tersebut. Setiap pengurangan harus selaras dengan persyaratan Standar yang digunakan untuk sertifikasi.
9.6.6 Lembaga sertifikasi harus memiliki perjanjian mengikat dengan pelanggan yang disertifikasinya berkaitan dengan persyaratan pencabutan (lihat butir 8.4.3.d) yang menjamin selama pencabutan sertifikasi, pelanggan tidak melanjutkan penggunaan sertifikasi pada materi periklanan yang memuat referensi status sertifikasinya.
9.6.7 Berdasarkan permintaan pihak tertentu, lembaga sertifikasi harus menyatakan dengan benar status sertifikasi sistem manajemen pelanggan yang dibekukan, dicabut, atau dikurangi.
9.7. Banding
9.7.1 Lembaga sertifikasi harus memiliki proses terdokumentasi untuk menerima, mengevaluasi, dan membuat keputusan terhadap banding.
9.7.2 Penjelasan proses penanganan banding harus tersedia untuk publik

9.7.3 Lembaga sertifikasi harus bertanggung jawab atas seluruh keputusan di semua tingkat proses penanganan banding. Lembaga sertifikasi harus menjamin bahwa personel yang terlibat dalam proses penanganan banding berbeda dengan personel yang melaksanakan audit dan membuat keputusan sertifikasi.
9.7.4 Pengajuan, investigasi, dan keputusan banding harus tidak menghasilkan tindakan diskriminasi terhadap pemohon banding.
9.7.5 Proses penanganan banding harus mencakup minimal elemen dan metoda berikut:
a.      garis besar proses untuk penerimaan, validasi, dan investigasi banding, dan untuk memutuskan tindakan yang akan diambil, dengan mempertim bang kan hasil banding sebelumnya yang serupa;
b.      memindai (tracking) dan merekam banding, termasuk tindakan yang diambil untuk penyelesaian;
c.      menjamin bahwa koreksi dan tindakan korektif yang sesuai telah dilakukan.
9.7.6 Lembaga sertifikasi harus memberitahu diterimanya permohonan banding dan harus menyampaikan laporan kemajuan serta hasil (outcome) kepada pemohon banding.
9.7.7 Keputusan untuk dikomunikasikan kepada pemohon banding harus dibuat oleh atau dikaji dan disetujui oleh satu atau lebih individu yang tidak terlibat sebelumnya dalam subyek banding.
9.7.8 Lembaga sertifikasi harus memberikan pernyataan resmi kepada pemohon banding pada akhir proses penanganan banding.
9.8. Keluhan
9.8.1 Penjelasan proses penanganan keluhan harus dapat diakses publik.
9.8.2 Selama penerimaan keluhan, lembaga sertifikasi     harus mengkonfirmasikan
keterkaitan keluhan tersebut dengan kegiatan sertifikasi yang menjadi tanggung jawabnya, bila terkait, harus diselesaikan. Jika keluhan terkait dengan sistem manajemen pelanggan yang disertifikasi, maka pemeriksaan keluhan harus mempertimbangkan efektifitas sistem manajemen yang disertifikasi
9.8.3 Setiap keluhan tentang pelanggan yang disertifikasi harus diteruskan oleh lembaga sertifikasi kepada pelanggan yang disertifikasinya pada waktu yang tepat.
9.8.4 Lembaga sertifikasi harus memiliki proses terdokumentasi untuk menerima, mengevaluasi, dan membuat keputusan terhadap keluhan. Proses ini harus mempersyaratkan kerahasiaan, yang berkaitan dengan pihak yeng mengajukan keluhan dan isi dari keluhan.
9.8.5 Proses penanganan keluhan harus mencakup minimal elemen dan metoda berikut :
a.      garis besar proses untuk menerima, memvalidasi, menginvestigasi keluhan, dan untuk memutuskan apa tindakan yang harus diambil untuk meresponnya;
b.      memindai (tracking) dan merekam keluhan, termasuk tindakan yang harus diambil sebagai respon terhadap hal tersebut;
c.      menjamin bahwa koreksi dan tindakan korektif yang sesuai telah dilakukan

CATATAN        ISO 10002 menyediakan panduan untuk penanganan keluhan
9.8.6 Lembaga sertifikasi yang menerima keluhan harus bertanggung jawab untuk mendapatkan dan memverifikasi seluruh informasi penting untuk memvalidasi keluhan.
9.8.7 Jika dimungkinkan, lembaga sertifikasi harus memberitahu diterimanya permohonan keluhan dan harus memberikan laporan kemajuan dan hasilnya kepada pemohon keluhan.
9.8.8 Keputusan untuk dikomunikasikan kepada pemohon keluhan harus dibuat, dikaji dan disetujui oleh satu atau lebih individu yang tidak terlibat dengan keluhan sebelumnya.
9.8.9 Apabila dimungkinkan, lembaga sertifikasi harus memberikan pernyataan resmi pada akhir proses penanganan keluhan kepada pihak yang mengajukan keluhan.
9.8.10 Lembaga sertifikasi harus menentukan bersama-sama dengan pelanggannya dan pihak yang mengajukan keluhan, apakah cakupan permasalahan keluhan dan penyelesaiannya harus dipublikasikan.
9.9. Rekaman pemohon dan pelanggan
9.9.1 Lembaga sertifikasi harus memelihara rekaman audit dan kegiatan sertifikasi lainnya untuk seluruh pelanggan termasuk seluruh organisasi yang mengajukan permohonan dan seluruh organisasi yang diaudit, disertifikasi atau yang sertifikasinya dibekukan atau dicabut.
9.9.2 Rekaman pelanggan yang disertifikasi harus mencakup hal-hal berikut :
a.     informasi permohonan dan laporan audit awal, survailen, dan sertifikasi ulang;
b.    perjanjian sertifikasi;
c.     justifikasi metodologi yang digunakan untuk pengambilan contoh;
d.    justifikasi untuk penentuan waktu auditor (lihat butir 9.1.4);
e.    verifikasi koreksi dan tindakan korektif;
f.     rekaman keluhan dan banding, dan koreksi dan tindakan korektifnya;
g.    pertimbangan dan keputusan komite, jika ada;
h.    dokumentasi keputusan sertifikasi;
i.      dokumen sertifikasi, termasuk ruang lingkup sertifikasi berkenaan dengan produk, proses, atau jasa bila ada;
j.      rekaman terkait penting untuk menetapkan kredibilitas sertifikasi seperti bukti kompetensi auditor dan tenaga ahli.
CATATAN Metodologi pengambilan contoh termasuk pengambilan contoh untuk menilai
sistem manajemen spesifik dan atau untuk memilih lokasi dalam hal asesmen multi lokasi
9.9.3 Lembaga sertifikasi harus menyimpan rekaman pemohon dan pelanggan untuk menjamin bahwa informasi disimpan secara rahasia. Rekaman harus ditransportasikan, ditransmisikan atau ditransfer dengan cara yang menjamin bahwa kerahasiaan terpelihara.

9.9.4 Lembaga sertifikasi harus memiliki kebijakan dan prosedur terdokumentasi tentang masa retensi rekaman. Rekaman harus disimpan untuk jangka waktu siklus terakhir ditambah satu siklus sertifikasi lengkap.
CATATAN             Dalam beberapa yuridiksi, peraturan perundang-undangan menyatakan bahwa
rekaman harus dipelihara untuk periode waktu yang lebih lama.
10. Persyaratan sistem manajemen untuk lembaga sertifikasi
10.1. Pilihan
Lembaga sertifikasi harus menetapkan dan memelihara sistem manajemen yang mampu mendukung dan menunjukkan untuk mencapai persyaratan Standar ini secara konsisten. Selain itu untuk memenuhi persyaratan klausul 5 sampai 9, lembaga sertifikasi harus menerapkan sistem manajemen berdasarkan :
a.    persyaratan sistem manajemen berdasarkan SNI 19-9001 (lihat 10.2), atau
b.    persyaratan sistem manajemen umum.
10.2. Pilihan 1 : Persyaratan sistem manajemen berdasarkan SNI 19-9001
10.2.1. Umum
Lembaga sertifikasi harus menetapkan dan memelihara sistem manajemen, sesuai persyaratan SNI 19-9001, untuk mendukung dan mencapai persyaratan Standar ini, yang diperkuat oleh klausul 10.2.2 sampai 10.2.5
10.2.2. Ruang lingkup
Untuk penerapan persyaratan SNI 19-9001, ruang lingkup sistem manajemen harus mencakup persyaratan desain dan pengembangan untuk jasa sertifikasinya.
10.2.3. Fokus kepada pelanggan
Untuk penerapan persyaratan SNI 19-9001, pada saat mengembangkan sistem manajemen, lembaga sertifikasi harus mempertimbangkan kredibilitas sertifikasi dan harus memperhatikan kebutuhan seluruh pihak (sebagaimana disebutkan dalam 4.1.2) yang berkaitan dengan jasa audit dan sertifikasi , tidak hanya pada pelanggannya.
10.2.4. Kaji ulang manajemen
Untuk penerapan persyaratan SNI 19-9001, lembaga sertifikasi harus memasukkan sebagai masukan kaji ulang manajemen, informasi yang relevan tentang banding dan keluhan dari pengguna kegiatan sertifikasi.
10.2.5. Desain dan pengembangan
Untuk penerapan persyaratan SNI 19-9001, ketika mengembangkan skema sertifikasi sistem manajemen baru, atau mengadaptasi yang sudah ada untuk situasi khusus, lembaga sertifikasi harus menjamin bahwa panduan yang diberikan dalam SNI 19-19011, yang sesuai dengan situasi pihak ketiga, dimasukkan sebagai masukan desain.

10.3. Pilihan 2 : Persyaratan sistem manajemen umum
10.3.1 Umum
Lembaga sertifikasi harus menetapkan, mendokumentasikan, menerapkan, dan memelihara sistem manajemen yang mampu mendukung dan menunjukkan pencapaian persyaratan Standar ini secara konsisten.
Manajemen puncak lembaga sertifikasi harus menetapkan dan mendokumentasikan kebijakan dan sasaran untuk kegiatannya. Manajemen puncak harus menyediakan bukti komitmen untuk mengembangkan dan menerapkan sistem manajemen berdasarkan persyaratan Standar ini. Manajemen puncak harus menjamin bahwa kebijakannya dimengerti, diterapkan, dan dipelihara pada seluruh tingkatan organisasi lembaga sertifikasi.
Manajemen puncak lembaga sertifikasi harus menunjuk satu anggota manajemen yang diluar tanggung jawab lainnya harus memiliki tanggung jawab dan kewenangan yang mencakup :
a.      menjamin bahwa proses dan prosedur yang diperlukan untuk sistem manajemen ditetapkan, diterapkan, dan dipelihara, dan
b.      melaporkan kepada manajemen puncak mengenai kinerja sistem manajemen dan kebutuhan untuk perbaikannya.
10.3.2 Manual sistem manajemen
Seluruh persyaratan yang terdapat dalam Standar ini harus dibuat dalam manual atau dokumen terkait. Lembaga sertifikasi harus menjamin bahwa manual dan dokumen terkait dapat diakses oleh seluruh personel yang terkait.
10.3.3 Pengendalian dokumen
Lembaga sertifikasi harus menetapkan prosedur untuk mengendalikan dokumen (internal dan eksternal) yang berhubungan dengan pemenuhan Standar ini. Prosedur harus menetapkan pengendalian yang dibutuhkan untuk :
a.    menyetujui kecukupan dokumen sebelum diterbitkan,
b.    meninjau dan memutakhirkan seperlunya dan menyetujui ulang dokumen,
c.    menjamin bahwa setiap perubahan dan status revisi terakhir dokumen teridentifikasi,
d.    menjamin bahwa versi dokumen yang berlaku dan relevan tersedia di tempat penggunaan,
e.    menjamin bahwa dokumen selalu dapat dibaca dan mudah dikenali,
f.     menjamin bahwa dokumen eksternal teridentifikasi dan distribusinya terkendali, dan
g.    mencegah penggunaan dokumen kadaluwarsa yang tidak disengaja dan memberi identifikasi yang sesuai untuk dokumen tersebut jika dokumen itu disimpan untuk maksud tertentu.
CATATAN     Dokumentasi dapat berupa form atau tipe media apapun.
10.3.4 Pengendalian rekaman
Lembaga sertifikasi harus menetapkan prosedur untuk menetapkan pengendalian yang dibutuhkan untuk pengidentifikasian, penyimpanan, perlindungan, pengambilan, waktu retensi dan pemusnahan dari rekaman berkaitan dengan pemenuhan Standar ini. Lembaga sertifikasi harus menetapkan prosedur untuk penyimpanan rekaman dalam periode waktu tertentu sesuai dengan ketentuan kontrak dan legal. Akses terhadap rekaman ini harus konsisten dengan pengaturan kerahasiaan.

CATATAN      Untuk persyaratan rekaman pelanggan tersertifkasi, lihat juga butir 9.9
10.3.5 Kaji ulang manajemen
10.3.5.1 Umum
Manajemen puncak lembaga sertifikasi harus menetapkan prosedur untuk kajian sistem manajemen pada interval waktu yang terencana untuk menjamin kesesuaian, kecukupan dan keefektifannya, termasuk kebijakan dan sasaran yang terkait dengan pemenuhan Standar ini. Kaji ulang ini harus dilaksanakan minimal satu kali dalam setahun.
10.3.5.2 Masukan kaji ulang manajemen
Masukan kaji ulang manajemen harus mencakup informasi yang terkait dengan :
a.    hasil audit internal dan eksternal,
b.    umpan balik dari pelanggan dan pihak terkait dengan pemenuhan Standar ini,
c.    umpan balik dari komite penjaga ketidakberpihakan,
d.    status dari tindakan korektif dan tindakan pencegahan,
e.    tindak lanjut kaji manajemen sebelumnya,
f.     pencapaian sasaran,
g.    perubahan yang dapat mempengaruhi sistem manajemen, dan
h.    banding dan keluhan.
10.3.5.3 Keluaran kaji ulang manajemen
Keluaran dari kaji ulang manajemen harus mencakup keputusan dan tindakan yang terkait dengan
a.    peningkatan efektivitas sistem manajemen dan proses,
b.    peningkatan jasa sertifikasi terkait dengan pemenuhan Standar ini, dan
c.    kebutuhan sumber daya.
10.3.6 Audit internal
10.3.6.1 Lembaga sertifikasi harus menetapkan prosedur audit internal untuk memverifikasi bahwa lembaga sertifikasi memenuhi persyaratan Standar ini dan bahwa sistem manajemen diterapkan dan dipelihara secara efektif.
CATATAN SNI 19-19011 menyediakan panduan pelaksanaan audit internal.
10.3.6.2 Program audit harus direncanakan, dengan mempertimbangkan pentingnya proses dan area yang akan diaudit serta hasil audit sebelumnya
10.3.6.3 Audit internal harus dilaksanakan minimal sekali setiap 12 bulan. Frekuensi audit internal dapat dikurangi jika lembaga sertifikasi dapat menunjukkan bahwa sistem manajemennya dapat tetap diimplementasikan secara efektif berdasarkan Standar ini dan telah dibuktikan kestabilannya.
10.3.6.4 Lembaga sertifikasi harus memastikan bahwa :
a.      audit internal telah dilaksanakan oleh personel yang memiliki pengetahuan sertifikasi, audit, dan persyaratan Standar ini,
b.    auditor tidak mengaudit pekerjaannya sendiri,
c.      personel yang bertanggung jawab pada area yang diaudit diinformasikan hasil dari audit,


d.      setiap tindakan hasil audit internal dilakukan tepat waktu dan dengan cara yang sesuai, dan
e.      setiap peluang untuk perbaikan diidentifikasi.
10.3.7 Tindakan korektif
Lembaga sertifikasi harus menetapkan prosedur untuk mengidentifikasi dan mengelola ketidaksesuaian dalam operasinya. Lembaga sertifikasi juga harus, bila diperlukan, mengambil tindakan untuk menghilangkan penyebab ketidaksesuaian dalam rangka mencegah kejadian yang berulang.
Tindakan perbaikan harus sesuai dengan dampak masalah yang dihadapi. Prosedur harus menjelaskan persyaratan untuk :
a.      mengidentifikasi ketidaksesuaian (misalnya dari keluhan dan audit internal),
b.      menentukan penyebab ketidaksesuaian,
c.      memperbaiki ketidaksesuaian,
d.      mengevaluasi kebutuhan tindakan untuk menjamin bahwa ketidaksesuaian tidak terjadi kembali,
e.      menentukan dan menerapkan secara tepat waktu, tindakan yang diperlukan,
f.       merekam hasil dari tindakan yang telah dilakukan, dan
g.      mengkaji efektivitas tindakan korektif.
10.3.8 Tindakan pencegahan
Lembaga sertifikasi harus menetapkan prosedur tindakan pencegahan untuk menghilangkan penyebab ketidaksesuaian potensial. Tindakan pencegahan yang diambil harus sesuai dengan dampak yang mungkin terjadi dari masalah potensial . Prosedur tindakan pencegahan harus menjelaskan persyaratan untuk
a.    identifikasi ketidaksesuaian potensial dan penyebabnya,
b.    mengevaluasi kebutuhan untuk mencegah terjadinya ketidaksesuaian,
c.    menentukan dan menerapkan tindakan yang diperlukan,
d.    merekam hasil tindakan yang dilakukan, dan
e.    mengkaji efektivitas dari tindakan pencegahan yang dilakukan.
CATATAN      Prosedur tindakan korektif dan tindakan pencegahan tidak harus terpisah.