Anda di halaman 1dari 40

SNI ISO/IEC 17021:2008

Standar Nasional Indonesia



















Penilaian kesesuaian Persyaratan lembaga
audit dan sertifikasi sistem manajemen
























ICS 03.120.20 Badan Standardisasi Nasional

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n























































SNI ISO/IEC 17021:2008

i
Daftar isi



Daftar isi ...................................................................................................................................i
Kata Pengantar......................................................................................................................iii
Pendahuluan..........................................................................................................................iv
1. Ruang Lingkup............................................................................................................... 1
2. Acuan Normatif .............................................................................................................. 1
3. Istilah dan Definisi.......................................................................................................... 1
4. Prinsip............................................................................................................................ 2
4.1. Umum......................................................................................................................... 2
4.2. Ketidakberpihakan..................................................................................................... 3
4.3 Kompetensi ................................................................................................................ 3
4.4 Tanggung J awab....................................................................................................... 3
4.5 Keterbukaan............................................................................................................... 4
4.6 Kerahasiaan............................................................................................................... 4
4.7 Cepat-tanggap terhadap keluhan.............................................................................. 4
5. Persyaratan umum......................................................................................................... 4
5.1. Materi Kontrak dan hukum...................................................................................... 4
5.2. Manajemen ketidakberpihakan.................................................................................. 5
5.3. Pertanggunggugatan dan keuangan......................................................................... 7
6. Persyaratan Struktural ................................................................................................... 7
6.1. Struktur organisasi dan manajemen puncak............................................................. 7
6.2. Komite pengamanan ketidakberpihakan................................................................... 8
7. Persyaratan Sumberdaya.............................................................................................. 8
7.1. Kompetensi manajemen dan personel...................................................................... 8
7.2. Personel yang terlibat dalam kegiatan sertifikasi...................................................... 9
7.3. Penggunaan auditor eksternal dan tenaga ahli teknis eksternal individual.......... 10
7.4. Rekaman personel................................................................................................... 10
7.5. Subkontrak (Outsourcing)........................................................................................ 11
8. Persyaratan Informasi.................................................................................................. 11
8.1. Informasi yang dapat diakses publik....................................................................... 11
8.2. Dokumen sertifikasi.................................................................................................. 12
8.3. Direktori pelanggan tersertifikasi ............................................................................. 12

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n
























































ii
8.4. Acuan sertifikasi dan penggunaan tanda................................................................ 13
8.5. Kerahasiaan............................................................................................................. 13
8.6. Pertukaran informasi antara lembaga sertifikasi dan pelanggannya...................... 14
9. Peryaratan proses ........................................................................................................ 15
9.1. Persyaratan umum................................................................................................... 15
9.2. Audit dan sertifikasi awal ......................................................................................... 17
9.3. Kegiatan survailen................................................................................................... 20
9.4. Sertifikasi ulang........................................................................................................ 21
9.5. Audit khusus............................................................................................................. 22
9.6. Pembekuan, pencabutan, atau pengurangan ruang lingkup sertifikasi.................. 23
9.7. Banding.................................................................................................................... 23
9.8. Keluhan.................................................................................................................... 24
9.9. Rekaman pemohon dan pelanggan........................................................................ 25
10. Persyaratan sistem manajemen untuk lembaga sertifikasi..................................... 26
10.1. Pilihan................................................................................................................... 26
10.2. Pilihan 1 : Persyaratan sistem manajemen berdasarkan SNI 19-9001.............. 26
10.3. Pilihan 2 : Persyaratan sistem manajemen umum............................................. 27
Bibliografi ............................................................................................................................. 30







H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n























































SNI ISO/IEC 17021:2008

iii
Kata pengantar



SNI ISO/IEC 17021:2008 Penilaian Kesesuaian - Persyaratan Lembaga Audit dan
Sertifikasi Sistem Manajemen ini merupakan adopsi identik dari ISO/IEC 17021:2006
Conformity assessment Requirements for bodies providing audit and certification of
management systems.

Standar ini dirumuskan oleh Panitia Teknis PK 03-01 Lembaga Penilaian Kesesuaian, dan
telah dikonsensuskan pada tanggal 11 J uli 2008 di J akarta.

Apabila terdapat keragu-raguan dalam memahami dokumen ini, agar mengacu kepada
dokumen ISO/IEC 17021:2006 yang asli dalam Bahasa Inggris.

Standar ini membatalkan dan menggantikan Pedoman BSN 301:1999 dan Pedoman BSN
701:2000

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n
























































iv
Pendahuluan



Sertifikasi sistem manajemen seperti sistem manajemen mutu atau sistem manajemen
lingkungan suatu organisasi, merupakan salah satu cara untuk memberi jaminan bahwa
organisasi telah menerapkan sistem untuk manajemen aspek yang relevan dari kegiatan
organisasi yang selaras dengan kebijakannya.

Standar ini menjelaskan persyaratan untuk lembaga sertifikasi. Pemenuhan atas
persyaratan ini dimaksudkan untuk menjamin bahwa lembaga sertifikasi memberi
sertifikasi sistem manajemen secara kompeten, konsisten dan netral, sehingga
memfasilitasi pengakuan sebagai lembaga dan keberterimaan sertifikasi yang
diterbitkannya secara nasional dan internasional. Standar ini berperan sebagai dasar
untuk memfasilitasi pengakuan seritifikasi sistem manajemen dalam rangka kepentingan
perdagangan internasional.

Sertifikasi sistem manajemen menunjukkan bahwa sistem manajemen dari organisasi :
a) sesuai dengan persyaratan yang ditentukan,
b) mampu mencapai kebijakan dan sasaran yang ditetapkan secara konsisten, dan
c) diimplementasikan secara efektif

Oleh karena itu, penilaian kesesuaian seperti sertifikasi sistem manajemen memberikan
nilai pada organisasi dan pelanggannya, serta pihak yang berkepentingan.

Dalam Standar ini, butir 4 menjabarkan prinsip dasar sertifikasi yang dapat dipercaya.
Prinsip ini membantu pembaca untuk memahami sifat dasar sertifikasi dan merupakan
hal penting untuk memahami butir 5 hingga 10. Prinsip ini merupakan dasar seluruh
persyaratan dalam Standar ini, namun bukan merupakan persyaratan yang dapat diaudit.
Butir 10 menjabarkan dua alternatif cara dalam mendukung dan menunjukkan pencapaian
persyaratan Standar ini secara konsisten melalui penetapan sistem manajeman oleh
lembaga sertifikasi.

Standar ini dimaksudkan untuk digunakan oleh lembaga yang melaksanakan audit dan
sertifikasi sistem manajemen. Standar ini memuat persyaratan umum untuk lembaga
sertifikasi yang melaksanakan audit dan sertifikasi dibidang sistem manajemen mutu,
lingkungan dan sistem manajemen lainnya. Lembaga demikian dinamakan sebagai
lembaga sertifikasi. Penamaan tersebut tidak menghalangi penggunaan Standar ini
oleh lembaga lain yang ditunjuk untuk melaksanakan kegiatan yang tercakup dalam
ruang lingkup dokumen ini.

Kegiatan sertifikasi mencakup audit sistem manajemen suatu organisasi. Bentuk
pengesahan kesesuaian sistem manajemen suatu organisasi terhadap Standar sistem
manajemen yang spesifik atau persyaratan normatif lain pada umumnya adalah suatu
dokumen sertifikasi atau sertifikat.

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n























































SNI ISO/IEC 17021:2008
1 dari 30
Penilaian Kesesuaian
Persyaratan Lembaga Audit dan Sertifikasi Sistem manajemen



1. Ruang lingkup

Standar ini memuat prinsip dan persyaratan kompetensi, konsistensi dan
ketidakberpihakan audit dan sertifikasi seluruh tipe sistem manajemen (misalnya sistem
manajemen mutu atau sistem manajemen lingkungan) dan untuk lembaga yang
melaksanakan kegiatan-kegiatan ini. Lembaga sertifikasi yang beroperasi sesuai Standar
ini tidak perlu menawarkan seluruh tipe sertifikasi sistem manajemen.

Sertifikasi sistem manajemen (di dalam Standar ini dinamakan sertifikasi) merupakan
suatu kegiatan penilaian kesesuaian pihak ketiga (lihat PSN 303:2006 butir 5.5). Oleh
karena itu, lembaga yang melaksanakan kegiatan ini adalah lembaga penilaian
kesesuaian pihak ketiga (dalam Standar ini disebut lembaga sertifikasi ).

CATATAN 1 Sertifikasi suatu sistem manajemen kadang-kadang disebut juga registrasi, dan
lembaga sertifikasinya disebut registrar

CATATAN 2 Suatu lembaga sertifikasi bisa lembaga non-pemerintah atau lembaga pemerintah
(dengan atau tanpa wewenang regulasi).

CATATAN 3 Standar ini dapat digunakan sebagai dokumen kriteria untuk akreditasi atau peer
assessment atau proses audit lain.


2. Acuan Normatif

Dokumen acuan berikut sangat diperlukan untuk penerapan dokumen ini. Untuk acuan
yang bertanggal, hanya edisi yang dikutip yang berlaku. Untuk dokumen acuan yang tidak
bertanggal berlaku edisi terakhir (termasuk seluruh perubahan).

(ISO 9000:2005), Sistem manajemen mutu Prinsip dan kosakata
SNI 19-19011-2005, Panduan audit sistem manajemen mutu dan/atau lingkungan
1)

(PSN 303 2005), Penilaian Kesesuaian Kosakata dan Prinsip Umum

3. Istilah dan Definisi

Untuk tujuan dokumen ini, istilah dan definisi yang diberikan dalam SNI 19-9000,
PSN 303 - 2005, dan istilah serta definisi berikut berlaku.

3.1
Pelanggan tersertifikasi
Organisasi yang sistem manajemennya telah disertifikasi

1) acuan dalam dokumen ini yang relevan dengan panduan SNI 19-19011-2005, berlaku untuk pengauditan
semua tipe sistem manajemen lainnya.

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n
























































2 dari 30
3.2
Ketidakberpihakan
objektivitas yang aktual dan dipersepsikan.

CATATAN 1 Objektivitas berarti tidak ada atau dapat teratasinya konflik kepentingan yang
membawa pengaruh buruk terhadap kegiatan lembaga sertifikasi.

CATATAN 2 Istilah lain yang bermakna dalam penyampaian unsur ketidak-berpihakan adalah :
objektivitas, kemandirian, bebas dari konflik kepentingan, bebas dari bias, tidak ada prasangka,
kenetralan, keterbukaan, berpikiran terbuka, tidak berat sebelah, tidak terpengaruh,
keseimbangan.

3.3
Konsultasi sistem manajemen
Partisipasi dalam perancangan, penerapan atau pemeliharaan suatu sistem manajemen
Contoh :
a) penyiapan atau pembuatan manual atau prosedur, dan
b) memberikan saran khusus, instruksi atau solusi tertentu terhadap pengembangan dan
penerapan sistem manajemen.

CATATAN Penyusunan pelatihan dan keikutsertaan sebagai pelatih dalam pelatihan audit atau
sistem manajemen tidak dianggap konsultasi, sepanjang kursus tersebut berkaitan dengan sistem
manajemen atau audit yang memberikan informasi bersifat umum dan dapat diperoleh secara
bebas oleh publik, sebagai contoh pelatih tidak boleh memberikan solusi spesifik bagi perusahaan.


4. Prinsip

4.1. Umum

4.1.1. Prinsip ini merupakan dasar kinerja spesifik dan persyaratan deskriptif Standar ini.
Standar ini tidak memberikan persyaratan spesifik untuk seluruh situasi yang mungkin
terjadi. Prinsip ini sebaiknya diterapkan sebagai panduan dalam pengambilan keputusan
yang mungkin diperlukan pada situasi yang tidak diantisipasi. Prinsip bukan merupakan
persyaratan.

4.1.2. Tujuan sertifikasi adalah memberikan keyakinan kepada semua pihak bahwa
suatu sistem manajemen memenuhi persyaratan yang telah ditetapkan. Nilai dari
sertifikasi adalah tingkat keyakinan publik dan kepercayaan yang dihasilkan dari
asesmen oleh pihak ketiga yang kompeten dan tidak berpihak (netral). Pihak yang
memiliki kepentingan dalam sertifikasi mencakup, namun tidak terbatas pada :
a) pelanggan lembaga sertifikasi;
b) pelanggan organisasi yang sistem manajemennya telah disertifikasi;
c) lembaga pemerintah yang berwenang;
d) organisasi non-pemerintah dan;
e) konsumen dan anggota masyarakat lainnya.

4.1.3. Prinsip yang menumbuhkan keyakinan mencakup
- ketidakberpihakan,
- kompetensi,
- tanggung jawab,

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n























































SNI ISO/IEC 17021:2008
3 dari 30
- keterbukaan,
- kerahasiaan, dan
- cepat tanggap terhadap keluhan.

4.2. Ketidakberpihakan

4.2.1 Tidak berpihak dan dipersepsikan tidak berpihak diperlukan oleh lembaga
sertifikasi untuk menghasilkan jasa sertifikasi yang memberikan kepercayaan.

4.2.2 Diketahui bahwa sumber pendapatan lembaga sertifikasi berasal dari pembayaran
sertifikasi pelanggannya, dan hal ini merupakan suatu ancaman potensial terhadap
ketidakberpihakan.

4.2.3 Untuk mendapatkan dan memelihara kepercayaan, penting bahwa keputusan
lembaga sertifikasi didasarkan pada bukti objektif dari kesesuaian (atau ketidaksesuaian)
yang diperoleh, dan keputusannya tidak dipengaruhi oleh kepentingan lain atau oleh pihak
lain.

4.2.4 Ancaman terhadap ketidakberpihakan mencakup hal berikut ini :
a) Ancaman swa-kepentingan (self-interest threats): ancaman yang timbul dari seseorang
atau lembaga yang bertindak untuk kepentingannya sendiri. Kepentingan yang terkait
dengan sertifikasi yang merupakan ancaman pada ketidakberpihakan adalah swa-
kepentingan terhadap keuangan.

b) Ancaman swa-kajian (self-review threats) : ancaman yang timbul dari seseorang atau
lembaga yang melakukan kajian terhadap pekerjaannya sendiri. Audit sistem
pelanggan oleh seseorang dari lembaga sertifikasi yang telah memberikan konsultasi
sistem manajemen menjadi ancaman dalam swa-kajian.

c) Ancaman karena keakraban (atau kepercayaan) (familiarity (or trust) threats) :
ancaman yang timbul dari seseorang atau lembaga yang terlalu akrab atau terlalu
percaya dengan personel tertentu dibanding dengan pencarian bukti audit.

d) Ancaman intimidasi (Intimidation threats) : ancaman yang dirasakan oleh seseorang
atau lembaga yang merasa dipaksa secara terbuka atau rahasia, seperti ancaman
akan diganti atau dilaporkan kepada penyelia.

4.3 Kompetensi

Kompetensi personel yang didukung oleh sistem manajemen lembaga sertifikasi
diperlukan untuk menghasilkan jasa sertifikasi yang memberikan keyakinan. Kompetensi
adalah kemampuan yang ditunjukkan untuk menggunakan pengetahuan dan
keterampilan.

4.4 Tanggung Jawab

4.4.1 Organisasi pelanggan, memiliki tanggung jawab untuk memenuhi persyaratan
sertifikasi dan bukan lembaga sertifikasi.

4.4.2 Lembaga sertifikasi memiliki tanggung jawab untuk mengaudit bukti objektif yang
memadai sebagai dasar pengambilan keputusan sertifikasi. Berdasarkan kesimpulan

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n
























































4 dari 30
audit, lembaga sertifikasi membuat suatu keputusan untuk memberikan sertifikasi jika
terdapat bukti kesesuaian yang memadai atau tidak memberikan sertifikasi jika tidak
terdapat bukti kesesuaian yang memadai.

CATATAN Setiap audit didasarkan pada pengambilan contoh di dalam sistem manajemen
organisasi, oleh karena itu bukan jaminan bahwa persyaratan telah terpenuhi 100%.

4.5 Keterbukaan

4.5.1 Suatu lembaga sertifikasi perlu menyediakan akses kepada publik atau
memaparkan informasi yang sesuai dan tepat waktu mengenai proses audit dan proses
sertifikasinya, serta status sertifikasi suatu organisasi (misalnya, pemberian, perluasan,
pemeliharaan, pembaruan, pembekuan, pengurangan lingkup, atau pencabutan
sertifikasi), untuk memperoleh keyakinan atas integritas dan kredibilitas sertifikasi.
Keterbukaan merupakan prinsip dalam mengakses atau memaparkan informasi yang
sesuai.

4.5.2 Untuk mendapatkan atau memelihara keyakinan dalam sertifikasi, suatu lembaga
sertifikasi seharusnya menyediakan akses yang sesuai atau memaparkan informasi yang
tidak bersifat rahasia mengenai kesimpulan audit spesifik (misalnya, audit untuk
menanggapi keluhan) kepada pihak tertentu yang berkepentingan.

4.6 Kerahasiaan
Untuk mendapatkan akses khusus terhadap informasi yang diperlukan oleh lembaga
sertifikasi dalam mengaudit kesesuaian terhadap persyaratan sertifikasi secara memadai,
lembaga sertifikasi harus menjaga kerahasiaan seluruh informasi kepemilikan pelanggan.

4.7 Cepat-tanggap terhadap keluhan
Pihak yang berkepentingan terhadap sertifikasi berharap keluhan diselidiki dan jika
keluhan benar, sebaiknya pihak tersebut memperoleh kepastian bahwa keluhan ditangani
dengan benar dan diselesaikan secara layak. Cepat tanggap yang efektif terhadap
keluhan merupakan sarana perlindungan yang efektif bagi lembaga sertifikasi,
pelanggannya dan pengguna sertifikasi lainnya terhadap kesalahan, kelalaian atau
perilaku yang tidak wajar. Kepercayaan dalam kegiatan sertifikasi akan terpelihara apabila
keluhan diproses secara benar.

CATATAN Keseimbangan antara prinsip keterbukaan dan kerahasiaan, termasuk cepat
tanggap terhadap keluhan, penting untuk menunjukkan integritas dan kredibilitas kepada seluruh
pengguna sertifikasi.


5. Persyaratan umum

5.1. Materi Kontrak dan hukum

5.1.1. Tanggung jawab hukum
Lembaga sertifikasi harus berupa badan hukum, atau bagian tertentu dari badan hukum,
sehingga lembaga sertifikasi memiliki tanggung jawab secara hukum atas seluruh
kegiatan sertifikasinya. Lembaga sertifikasi pemerintah dipertimbangkan sebagai badan
hukum berdasarkan status pemerintahnya.

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n























































SNI ISO/IEC 17021:2008
5 dari 30

5.1.2. Perjanjian sertifikasi
Lembaga sertifikasi harus memiliki perjanjian yang berkekuatan hukum untuk
menyediakan kegiatan sertifikasi kepada pelanggannya. Sebagai tambahan bila lembaga
sertifikasi memiliki beberapa kantor atau pelanggan memiliki beberapa lokasi, lembaga
sertifikasi tersebut harus menjamin adanya perjanjian berkekuatan hukum antara lembaga
sertifikasi yang memberikan jasa sertifikasi dan menerbitkan sertifikat dengan seluruh
lokasi yang tercakup dalam lingkup sertifikasi.

5.1.3. Tanggung jawab keputusan sertifikasi
Lembaga sertifikasi harus bertanggung jawab untuk dan harus mempertahankan
kewenangannya atas keputusan yang berkaitan dengan sertifikasi mencakup pemberian,
pemeliharaan, pembaruan, perluasan, pengurangan, pembekuan dan pencabutan
sertifikasi.

5.2. Manajemen ketidakberpihakan

5.2.1. Manajemen puncak lembaga sertifikasi harus memiliki komitmen terhadap
ketidakberpihakan dalam kegiatan sertifikasi sistem manajemen.Lembaga sertifikasi harus
membuat pernyataan yang dapat diakses publik yang menunjukkan ketidakberpihakannya
dalam melaksanakan kegiatan sertifikasi sistem manajemen, mengelola konflik
kepentingan, dan menjamin objektivitas kegiatan sertifikasi sistem manajemen.

5.2.2. Lembaga sertifikasi harus mengidentifikasi, menganalis dan mendokumentasikan
kemungkinan konflik kepentingan yang timbul dari penyediaan sertifikasi termasuk setiap
konflik yang timbul dari hubungan kerjanya. Memiliki hubungan kerja bukan berarti
lembaga sertifikasi memiliki konflik kepentingan. Namun demikian jika ada hubungan yang
menciptakan ancaman tersebut, informasi ini harus tersedia bagi komite yang ditentukan
dalam butir 6.2. Peragaan tersebut harus mencakup semua sumber konflik kepentingan
potensial yang teridentifikasi apakah konflik kepentingan tersebut timbul dari dalam
lembaga sertifiksi atau dari kegiatan personel, lembaga atau organisasi lain.

CATATAN Hubungan yang mengancam ketidakberpihakan lembaga sertifikasi dapat
disebabkan oleh,kepemilikan, penentu kebijakan/aturan, manajemen, personel, sumberdaya
bersama, keuangan, kontrak, pemasaran dan pembayaran komisi penjualan atau insentif lainnya
dari pelanggan baru, dan sebagainya.

5.2.3. Bila hubungan menunjukkan suatu ancaman yang tidak dapat diterima terhadap
ketidakberpihakan (seperti anak perusahaan yang sahamnya dimiliki sepenuhnya oleh
lembaga sertifikasi yang meminta sertifikasi ke perusahaan induknya) maka sertifikasi
tidak boleh diberikan.

CATATAN Lihat Catatan 5.2.2.

5.2.4. Suatu lembaga sertifikasi tidak boleh mensertifikasi lembaga sertifikasi lain untuk
kegiatan sertifikasi sistem manajemennya.

CATATAN Lihat Catatan 5.2.2.

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n
























































6 dari 30
5.2.5. Lembaga sertifikasi dan setiap bagian dari badan hukum yang sama tidak boleh
menawarkan atau menyediakan konsultasi sistem manajemen. Hal ini juga berlaku untuk
bagian pemerintahan yang diidentifikasi sebagai lembaga sertifikasi.

5.2.6. Lembaga sertifikasi dan setiap bagian dari badan hukum yang sama tidak boleh
menawarkan atau menyediakan audit internal kepada pelanggan yang disertifikasinya.
Lembaga sertifikasi tidak boleh mensertifikasi sistem manajemen dimana lembaga
sertifikasi melakukan audit internal terhadap pelanggan dalam selang waktu dua tahun
terakhir. Hal ini juga berlaku pada bagian pemerintahan yang diidentifikasi sebagai
lembaga sertifikasi.

CATATAN Lihat Catatan 5.2.2

5.2.7. Lembaga sertifikasi tidak boleh mensertifikasi sistem manajemen pada pelanggan
yang telah menerima konsultasi sistem manajemen atau audit internal, dimana hubungan
antara organisasi konsultan dengan lembaga sertifikasi menunjukkan ancaman yang
mempengaruhi ketidakberpihakan lembaga sertifikasi.

CATATAN 1 Diperbolehkan untuk menetapkan dua tahun sebagai periode minimal dari akhir
konsultasi sistem manajemen untuk mengurangi ancaman yang mempengaruhi terhadap
ketidakberpihakan.

CATATAN 2 Lihat Catatan 5.2.2

5.2.8. Lembaga sertifikasi tidak boleh memberikan jasa audit kepada organisasi
konsultan sistem manajemen karena merupakan suatu ancaman yang mempengaruhi
ketidakberpihakan lembaga sertifikasi (lihat 7.5). Hal ini tidak berlaku bagi individu yang
dikontrak sebagai auditor sebagaimana tercakup dalam butir 7.3

5.2.9. Kegiatan lembaga sertifikasi tidak boleh dipasarkan atau diberi kesempatan yang
terkait dengan kegiatan organisasi konsultan sistem manajemen. Lembaga sertifikasi
harus mengambil tindakan untuk memperbaiki klaim yang tidak sesuai dari setiap
organisasi konsultan yang menyatakan atau menunjukkan bahwa sertifikasi akan lebih
sederhana, lebih mudah, lebih cepat atau lebih murah jika lembaga sertifikasi tersebut
digunakan. Lembaga sertifikasi tidak boleh menyatakan atau menunjukkan bahwa
sertifikasi akan lebih sederhana, lebih mudah, lebih cepat atau lebih murah jika organisasi
konsultan tertentu digunakan.

5.2.10. Untuk menjamin bahwa tidak ada konflik kepentingan, personel yang telah
memberikan konsultasi sistem manajemen termasuk mereka yang bertindak dalam
kapasitas manajerial, tidak boleh digunakan oleh lembaga sertifikasi untuk mengambil
bagian dalam audit atau kegiatan sertifikasi lainnya, jika mereka telah terlibat dalam
konsultasi sistem manajemen terhadap pelanggan yang sedang ditangani dalam dua
tahun setelah berakhirnya konsultasi tersebut.

5.2.11. Lembaga sertifikasi harus mengambil tindakan untuk menanggapi setiap ancaman
terhadap ketidakberpihakan yang timbul dari tindakan personel, lembaga, atau organisasi
lain.

5.2.12. Seluruh personel lembaga sertifikasi, baik internal maupun eksternal, atau komite
yang dapat mempengaruhi kegiatan sertifikasi harus bertindak secara tidak berpihak dan

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n























































SNI ISO/IEC 17021:2008
7 dari 30
tidak diizinkan memberi tekanan komersial, keuangan atau tekanan lainnya yang
mengkompromikan ketidakberpihakan.

5.2.13. Lembaga sertifikasi harus mensyaratkan personel, baik internal maupun eksternal,
untuk mengungkapkan seluruh situasi yang mungkin menimbulkan konflik kepentingan
pada personel atau lembaga sertifikasi tersebut. Lembaga sertifikasi harus menggunakan
informasi ini sebagai masukan untuk mengidentifikasi ancaman terhadap
ketidakberpihakan yang timbul akibat kegiatan personel atau organisasi yang
mempekerjakan mereka dan tidak boleh menggunakan personel internal atau eksternal
tersebut, kecuali mereka dapat menunjukkan bahwa tidak ada konflik kepentingan.

5.3. Pertanggunggugatan dan keuangan

5.3.1. Lembaga sertifikasi harus mampu menunjukkan telah mengevaluasi resiko yang
timbul dari kegiatan sertifikasinya dan memiliki pengaturan yang cukup (seperti asuransi
atau cadangan) untuk menanggung pertanggunggugatan yang timbul dari operasinya
dalam setiap bidang kegiatan dan wilayah geografi dimana lembaga sertifikasi beroperasi.

5.3.2. Lembaga sertifikasi harus mengevaluasi keuangan dan sumber pendapatannya,
serta melaporkan kepada komite sebagaimana ditetapkan dalam butir 6.2 bahwa sejak
awal dan selama berlangsungnya kegiatan tidak ada tekanan komersial, keuangan atau
tekanan lainnya yang mengkompromikan ketidakberpihakan.

6. Persyaratan Struktural

6.1. Struktur organisasi dan manajemen puncak

6.1.1 Lembaga sertifikasi harus mendokumentasikan struktur organisasinya, yang
menunjukkan tugas, tanggung jawab dan kewenangan manajemen dan personel
sertifikasi serta setiap komite. Apabila lembaga sertifikasi merupakan bagian dari suatu
badan hukum, struktur tersebut harus mencakup jalur kewenangan dan hubungan dengan
bagian lainnya dalam badan hukum yang sama.

6.1.2 Lembaga sertifikasi harus mengidentifikasi manajemen puncak (dewan, kelompok
personel, atau personel) yang memiliki kewenangan dan tanggung jawab menyeluruh
untuk setiap hal berikut :
a) pengembangan kebijakan yang berkaitan dengan operasi lembaga;
b) pengawasan penerapan kebijakan dan prosedur;
c) pengawasan keuangan lembaga;
d) pengembangan jasa dan skema sertifikasi sistem manajemen;
e) kinerja audit dan sertifikasi, dan daya tanggap terhadap keluhan;
f) keputusan sertifikasi;
g) pendelegasian wewenang kepada komite atau individu, jika dipersyaratkan, untuk
melaksanakan kegiatan tertentu atas nama lembaga sertifikasi;
h) pengaturan kontrak;
i) penyediaan sumberdaya yang memadai untuk kegiatan sertifikasi.

6.1.3 Lembaga sertifikasi harus memiliki aturan resmi untuk penunjukan, kerangka
acuan kerja dan operasi setiap komite yang terlibat dalam kegiatan sertifikasi.

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n
























































8 dari 30

6.2. Komite pengamanan ketidakberpihakan

6.2.1 Struktur lembaga sertifikasi harus mengamankan ketidakberpihakan kegiatannya
dan membentuk komite untuk:
a) membantu pengembangan kebijakan yang berkaitan dengan ketidakberpihakan
kegiatan sertifikasinya,
b) melakukan antisipasi terhadap setiap kecenderungan lembaga sertifikasi yang
mengizinkan pertimbangan komersial atau pertimbangan lainnya, yang mencegah
konsistensi tujuan melayani kegiatan sertifikasi.
c) memberikan saran mengenai hal-hal yang mempengaruhi kepercayaan sertifikasi,
termasuk keterbukaan dan persepsi publik, dan
d) melakukan kajian, minimal setahun sekali, mengenai ketidakberpihakan dalam proses
audit, sertifikasi dan pengambilan keputusan lembaga sertifikasi.

Tugas atau kewajiban lainnya dapat diberikan kepada komite sepanjang tugas atau
kewajiban tambahan ini tidak mengkompromikan peran pentingnya dalam menjamin
ketidakberpihakan.

6.2.2 Komposisi, kerangka acuan kerja, kewajiban, kewenangan, dan kompetensi
anggota serta tanggung jawab komite harus secara formal didokumentasikan dan
disahkan oleh manajemen puncak lembaga sertifikasi untuk menjamin
a) Keterwakilan pihak yang berkepentingan secara seimbang seperti tidak adanya
kepentingan tunggal yang mendominasi (personel internal atau eksternal lembaga
sertifikasi dipertimbangkan sebagai satu kepentingan tunggal dan tidak
mendominasi),
b) akses terhadap seluruh informasi yang diperlukan agar komite mampu memenuhi
fungsinya (juga lihat butir 5.2.2 dan 5.2.3), dan
c) bahwa jika manajemen puncak lembaga sertifikasi tidak menghargai saran komite,
maka komite berhak melakukan tindakan sendiri (seperti, menginformasikan kepada
pihak yang berwenang, badan akreditasi, dan pemangku kepentingan). Dalam
melakukan tindakan tersebut, komite harus mentaati persyaratan kerahasiaan pada
butir 8.5 yang berkaitan dengan pelanggan dan lembaga sertifikasi.

6.2.3 Meskipun komite tidak dapat mewakili setiap kepentingan, lembaga sertifikasi
sebaiknya mengidentifikasi dan mengundang pihak utama yang berkepentingan. Pihak
tersebut dapat mencakup: pelanggan lembaga sertifikasi, pelanggan organisasi yang
sistem manajemennya disertifikasi, perwakilan asosiasi industri dan perdagangan,
perwakilan lembaga regulasi pemerintah atau layanan pemerintah lain, atau perwakilan
lembaga swadaya masyarakat, termasuk organisasi konsumen.

7. Persyaratan Sumberdaya

7.1. Kompetensi manajemen dan personel

7.1.1 Lembaga sertifikasi harus memiliki proses untuk menjamin bahwa personel memiliki
pengetahuan yang sesuai dengan tipe sistem manajemen dan wilayah geografi lembaga
sertifikasi tersebut beroperasi.

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n























































SNI ISO/IEC 17021:2008
9 dari 30
Lembaga sertifikasi harus menetapkan kompetensi yang diperlukan untuk setiap bidang
teknis (sesuai dengan skema sertifikasi spesifik), dan untuk setiap fungsi dalam kegiatan
sertifikasi.

Lembaga sertifikasi harus menentukan cara memperagakan kompetensi sebelum
melaksanakan fungsi spesifik.

7.1.2 Dalam menentukan persyaratan kompetensi personel yang melaksanakan
sertifikasi, lembaga sertifikasi harus menentukan fungsi yang dilaksanakan oleh
manajemen dan personel administratif, disamping mereka yang melaksanakan kegiatan
audit dan sertifikasi secara langsung.

7.1.3 Lembaga sertifikasi harus memiliki akses kepada tenaga ahli teknis yang
diperlukan untuk memberi saran mengenai hal yang terkait dengan sertifikasi dalam
bidang teknis, tipe sistem manajemen dan wilayah geografi lembaga sertifikasi tersebut
beroperasi. Saran demikian dapat diberikan oleh personel eksternal atau oleh personel
lembaga sertifikasi.

7.2. Personel yang terlibat dalam kegiatan sertifikasi

7.2.1 Lembaga sertifikasi harus memiliki, sebagai bagian dari organisasinya, personel
yang memiliki kompetensi yang cukup untuk mengelola tipe dan lingkup program audit
serta pekerjaan sertifikasi lainnya yang dilakukan.

7.2.2 Lembaga sertifikasi harus mempekerjakan atau memiliki akses kepada auditor
dalam jumlah yang cukup termasuk ketua tim audit dan tenaga ahli teknis yang
mencakup seluruh kegiatannya untuk menangani volume pekerjaan audit yang dilakukan.

7.2.3 Lembaga sertifikasi harus menetapkan secara jelas kewajiban, tanggung jawab
dan wewenang untuk setiap personelnya.

7.2.4 Lembaga sertifikasi harus menetapkan proses seleksi, pelatihan, wewenang
auditor dan seleksi tenaga ahli teknis yang digunakan dalam kegiatan sertifikasi. Evaluasi
kompetensi awal seorang auditor harus mencakup peragaan atribut personel yang dapat
digunakan, dan kemampuannya dalam menerapkan pengetahuan dan keterampilan yang
dibutuhkan selama audit, sebagaimana ditetapkan oleh evaluator yang kompeten yang
mengamati auditor dalam melaksanakan audit.

7.2.5 Lembaga sertifikasi harus memiliki proses untuk mencapai dan memperagakan
audit secara efektif, termasuk penggunaan auditor dan ketua tim audit yang memiliki
keterampilan dan pengetahuan audit umum dan keterampilan serta pengetahuan yang
tepat untuk mengaudit bidang teknis yang spesifik. Proses ini harus ditetapkan dalam
persyaratan terdokumentasi yang disusun sesuai dengan panduan yang relevan dalam
SNI 19-19011.

7.2.6 Lembaga sertifikasi harus menjamin bahwa auditor (dan, bila diperlukan, tenaga
ahli teknis) memiliki pengetahuan mengenai proses audit, persyaratan sertifikasi dan
persyaratan lainnya yang relevan. Lembaga sertifikasi harus memberikan akses kepada
auditor dan tenaga ahli teknis terhadap seperangkat prosedur terdokumentasi mutakhir
yang mencakup instruksi audit dan seluruh informasi yang relevan dengan kegiatan
sertifikasi.

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n
























































10 dari 30

7.2.7 Lembaga sertifikasi harus menggunakan auditor dan tenaga ahli teknis yang
memiliki kompetensi tertentu sesuai bidang kegiatan sertifikasi.

CATATAN Penugasan auditor dan tenaga ahli teknis dalam tim untuk audit spesifik dijabarkan
pada butir 9.1.3.

7.2.8 Lembaga sertifikasi harus mengidentifikasi kebutuhan pelatihan dan harus
memberikan kesempatan atau menyediakan akses pada pelatihan spesifik untuk
menjamin auditor, tenaga ahli, dan personel lainnya yang terlibat dalam kegiatan
sertifikasi kompeten untuk melaksanakan fungsinya .

7.2.9 Kelompok atau individu yang mengambil keputusan dalam pemberian,
pemeliharaan, pembaruan, perluasan, pengurangan, pembekuan atau pencabutan
sertifikasi harus memahami Standar dan persyaratan sertifikasi yang berlaku dan telah
memperagakan kompetensinya untuk mengevaluasi proses audit dan rekomendasi terkait
dari tim audit.

7.2.10 Lembaga sertifikasi harus menjamin kinerja yang memuaskan seluruh personel
yang terlibat dalam kegiatan audit dan sertifikasi. Lembaga sertifikasi harus mempunyai
prosedur yang terdokumentasi dan kriteria untuk memantau dan mengukur kinerja seluruh
personel yang terlibat berdasarkan frekuensi penugasan dan tingkat resiko yang terkait
dengan kegiatan mereka. Untuk mengidentifikasi kebutuhan pelatihan, lembaga sertifikasi
harus mengkaji ulang kompetensi personel dari segi kinerjanya.

7.2.11 Prosedur pemantauan auditor yang terdokumentasi harus mencakup kombinasi
observasi lapangan, tinjauan laporan audit dan umpan balik dari pelanggan atau pasar,
dan harus ditetapkan dalam persyaratan terdokumentasi sesuai dengan pedoman yang
relevan dalam SNI 19-19011. Pemantauan ini harus didesain sedemikian rupa untuk
meminimalkan gangguan proses sertifikasi, terutama dari sudut pandang pelanggan.

7.2.12 Lembaga sertifikasi secara periodik harus mengamati kinerja dari setiap auditor di
lapangan. Frekuensi observasi di lapangan harus berdasarkan kebutuhan yang ditentukan
dari seluruh informasi pemantauan yang tersedia.

7.3. Penggunaan auditor eksternal dan tenaga ahli teknis eksternal individual
Lembaga sertifikasi harus mensyaratkan auditor dan tenaga ahli teknis eksternal untuk
membuat perjanjian tertulis yang memuat komitmen mereka untuk mematuhi kebijakan
dan prosedur yang berlaku sebagaimana ditetapkan oleh lembaga sertifikasi.
Perjanjian tersebut harus mencakup aspek yang berkaitan dengan kerahasiaan, bebas
dari kepentingan komersial, dan tekanan lainnya, serta harus mensyaratkan auditor dan
tenaga ahli teknis eksternal untuk memberitahukan lembaga sertifikasi setiap
hubungannya saat ini dan sebelumnya dengan organisasi yang akan mereka audit.

CATATAN Penggunaan auditor dan tenaga ahli teknis individual berdasarkan perjanjian
tersebut di atas bukan merupakan subkontrak sebagaimana dijelaskan dalam butir 7.5.

7.4. Rekaman personel
Lembaga sertifikasi harus memelihara rekaman personel yang mutakhir mencakup
kualifikasi, pelatihan, pengalaman, afiliasi, status profesional, kompetensi dan setiap
jasa konsultasi yang relevan yang telah diberikan. Rekaman personel termasuk rekaman

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n























































SNI ISO/IEC 17021:2008
11 dari 30
untuk personel manajemen dan personel administratif, dan personel yang melakukan
kegiatan sertifikasi.

7.5. Subkontrak (Outsourcing)

7.5.1. Lembaga sertifikasi harus mempunyai proses penentuan dilakukannya subkontrak
(kegiatan menyerahkan kepada organisasi lain untuk melakukan sebagian kegiatan
sertifikasi atas nama lembaga sertifikasi). Lembaga sertifikasi harus memiliki perjanjian
yang berkekuatan hukum mencakup pengaturan, termasuk kerahasiaan dan konflik
kepentingan, dengan seluruh lembaga yang disubkontrakkan.

CATATAN 1 Hal ini mencakup sukontrak kepada lembaga sertifikasi lain. Penggunaan auditor
dan tenaga ahli teknis berdasarkan kontrak dijelaskan dalam butir 7.3.

CATATAN 2 Untuk tujuan Standar ini, istilah outsourcing dan subkontrak dianggap sama.

7.5.2. Keputusan untuk pemberian, pemeliharaan, pembaruan, perluasan, pengurangan,
pembekuan atau pencabutan sertifikat tidak boleh disubkontrakkan.

7.5.3. Lembaga sertifikasi
a) harus bertanggung jawab atas seluruh kegiatan yang disubkontrakkan kepada
lembaga lain,
b) harus menjamin bahwa lembaga yang disubkontrak dan individu yang
dipekerjakannya memenuhi persyaratan lembaga sertifikasi dan ketentuan yang
berlaku dari Standar ini, termasuk kompetensi, ketidakberpihakan dan kerahasiaan,
dan
c) harus menjamin bahwa lembaga yang disubkontrak dan individu yang
dipekerjakannya, tidak terlibat secara langsung maupun melalui perusahaan lain
dengan organisasi yang diaudit sehingga menyebabkan ketidakberpihakan dapat
dikompromikan.

7.5.4. Lembaga sertifikasi harus mempunyai prosedur terdokumentasi untuk
mengkualifikasi dan memantau seluruh lembaga yang disubkontrak untuk kegiatan
sertifikasi dan menjamin bahwa rekaman kompetensi auditor dan tenaga ahli teknis
dipelihara.

8. Persyaratan Informasi

8.1. Informasi yang dapat diakses publik

8.1.1 Lembaga sertifikasi harus memelihara dan membuat akses publik terhadap
informasi yang menjelaskan proses audit, proses sertifikasi untuk pemberian,
pemeliharaan, perluasan, pembaruan, pengurangan, pembekuan atau pencabutan
sertifikasi, dan kegiatan sertifikasi, tipe sistem manajemen dan wilayah geografi dimana
lembaga tersebut beroperasi atau menyediakan informasi tersebut berdasarkan
permintaan.

8.1.2 Informasi yang disediakan oleh lembaga sertifikasi kepada setiap pelanggan atau
pasar termasuk iklan harus akurat dan tidak menyesatkan.

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n
























































12 dari 30
8.1.3 Lembaga sertifikasi harus memberikan informasi yang dapat diakses publik
mengenai sertifikasi yang diberikan, dibekukan atau dicabut.

8.1.4 Berdasarkan permintaan setiap pihak, lembaga sertifikasi harus menyediakan cara
untuk mengkonfirmasi keabsahan dari sertifikasi yang diberikan.

CATATAN 1 J ika informasi keseluruhan dibagi menjadi beberapa sumber (misal. dalam bentuk
cetakan atau bentuk elektronik atau kombinasi keduanya), dapat diterapkan suatu sistem yang
menjamin kemamputelusuran dan tidak menimbulkan kerancuan diantara sumber-sumber tersebut
(misal, sistem penomoran yang unik atau hyperlink di internet).

CATATAN 2 Dalam kasus tertentu, akses informasi dapat dibatasi atas permintaan pelanggan
(misalnya untuk alasan keamanan)

8.2. Dokumen sertifikasi

8.2.1 Lembaga sertifikasi harus memberikan dokumen sertifikasi kepada pelanggan
tersertifikasi dengan cara yang dipilihnya.

8.2.2 Tanggal efektif pada dokumen sertifikasi tidak boleh ditetapkan sebelum tanggal
keputusan sertifikasi.

8.2.3 Dokumen sertifikasi harus mencantumkan hal berikut ini:
a) nama dan lokasi geografi tiap pelanggan yang sistem manajemennya disertifikasi
(atau lokasi geografis kantor pusat dan setiap lokasi dalam lingkup sertifikasi
multilokasi;
b) tanggal pemberian, perluasan atau pembaruan sertifikasi;
c) tanggal kadaluarsa atau batas waktu sertifikasi ulang sesuai dengan siklus sertifikasi
ulang;
d) kode identifikasi tertentu;
e) standar dan/atau dokumen normatif lainnya, mencakup nomor penerbitan dan/atau
revisi, yang digunakan untuk audit pelanggan tersertifikasi;
f) lingkup sertifikasi berkenaan dengan produk (termasuk jasa), proses, dan lainnya
selama berlaku pada setiap lokasi;
g) nama, alamat dan tanda sertifikasi dari lembaga sertifikasi, tanda lainnya (misal,
simbol akreditasi) dapat digunakan dengan syarat tidak menyesatkan atau
membingungkan;
h) setiap informasi lainnya yang disyaratkan Standar dan/atau dokumen normatif lainnya
yang digunakan untuk sertifikasi;
i) dalam hal penerbitan dokumen sertifikasi yang direvisi, diperlukan cara untuk
membedakan dokumen yang telah direvisi dengan dokumen yang tidak berlaku.

8.3. Direktori pelanggan tersertifikasi

Lembaga sertifikasi harus memelihara dan membuat akses publik atau menyediakan
berdasarkan permintaan, dengan cara yang dipilih suatu direktori sertifikasi yang sah
minimal memuat nama, dokumen normatif yang sesuai, lingkup dan lokasi geografis
(misal, kota dan negara) untuk setiap pelanggan yang disertifikasi (atau lokasi geografi
dari kantor pusat dan seluruh tapak dalam lingkup sertifikasi multilokasi)

CATATAN Direktori adalah hak milik lembaga sertifikasi.

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n























































SNI ISO/IEC 17021:2008
13 dari 30

8.4. Acuan sertifikasi dan penggunaan tanda

8.4.1. Lembaga sertifikasi harus memiliki suatu kebijakan yang mengatur setiap tanda
yang telah diberikan hak penggunaannya kepada pelanggan yang telah disertifikasi.
Kebijakan tersebut harus menjamin antara lain ketertelusuran ke lembaga sertifikasi.
Sebaiknya tidak ada kerancuan dalam penggunaan tanda atau teks yang menyertainya,
misalnya kerancuan tanda atau teks tentang kegiatan yang disertifikasi dengan logo
lembaga sertifikasi yang memberikan sertifikasi. Tanda ini tidak boleh digunakan pada
produk atau kemasan produk yang terlihat oleh konsumen atau dengan cara lain yang
dapat diinterpretasikan sebagai kesesuaian produk.

CATATAN ISO/IEC 17030 memberikan persyaratan untuk penggunaan tanda pihak-ketiga.

8.4.2. Lembaga sertifikasi tidak boleh mengizinkan tandanya dipakai pada laporan uji
laboratorioum, kalibrasi atau inspeksi, karena dalam konteks ini laporan tersebut dianggap
sebagai produk.

8.4.3. Lembaga sertifikasi harus mensyaratkan bahwa organisasi pelanggan untuk
a) memenuhi persyaratan lembaga sertifikasi pada saat membuat acuan status
sertifikasinya dalam media komunikasi seperti internet, brosur atau iklan, atau
dokumen lainnya,
b) tidak membuat atau mengijinkan pernyataan yang menyesatkan berkenaan dengan
sertifikasinya,
c) tidak menggunakan atau mengizinkan penggunaan dokumen sertifikasi atau
bagiannya dalam cara yang menyesatkan,
d) menghentikan penggunaan seluruh materi periklanan yang memuat acuan sertifikasi,
sebagaimana ditentukan oleh lembaga sertifikasi (lihat butir 9.6.3 dan 9.6.6) bila
terjadi pembekuan atau pencabutan sertifikasi,
e) merubah seluruh materi periklanan pada saat lingkup sertifikasi dikurangi,
f) tidak mengizinkan penggunaan acuan sertifikasi sistem manajemen yang dapat
menyiratkan bahwa lembaga sertifikasi tersebut memberikan sertifikasi produk
(termasuk jasa) atau proses
g) tidak menyiratkan bahwa sertifikasi berlaku untuk kegiatan diluar lingkup sertifikasi,
dan
h) tidak menggunakan sertifikasinya yang dapat membawa lembaga sertifikasi dan/atau
sistem sertifikasi kehilangan reputasi dan kepercayaan publik.

8.4.4. Lembaga sertifikasi harus menguji pengendalian kepemilikan secara tepat dan
harus mengambil tindakan berkenaan dengan acuan status sertifikasi yang tidak benar
atau penggunaan dokumen sertifikasi, tanda atau laporan audit yang menyesatkan.

CATATAN Tindakan demikian dapat mencakup permintaan koreksi dan tindakan korektif,
pembekuan, pencabutan sertifikasi, publikasi pelanggaran dan, jika perlu, tindakan hukum.


8.5. Kerahasiaan

8.5.1 Lembaga sertifikasi harus memiliki kebijakan dan pengaturan, melalui perjanjian
yang berkekuatan hukum, untuk mengamankan kerahasiaan informasi yang diperoleh

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n
























































14 dari 30
atau dibuat selama pelaksanaan kegiatan sertifikasi pada seluruh tingkatan strukturnya,
termasuk komite dan lembaga eksternal atau individu yang bertindak atas namanya.

8.5.2 Lembaga sertifikasi harus menginformasikan pelanggan terlebih dahulu
mengenai informasi yang menjadi wilayah publik. Seluruh informasi harus dianggap
rahasia kecuali informasi yang disediakan pelanggan untuk publik.

8.5.3 Kecuali disyaratkan dalam Standar ini, informasi mengenai pelanggan atau
individu tertentu tidak boleh dipaparkan kepada pihak ketiga tanpa persetujuan tertulis dari
pelanggan atau individu yang berkepentingan.

J ika berdasarkan hukum lembaga sertifikasi diminta untuk memberikan informasi yang
bersifat rahasia kepada pihak ketiga, pelanggan atau individu yang berkepentingan harus
diberitahukan terlebih dahulu mengenai informasi yang diberikan kecuali yang diatur oleh
hukum.

8.5.4 Informasi tentang pelanggan dari sumber selain pelanggan (misalnya dari pihak
yang memberikan keluhan, regulator) harus diperlakukan sebagai rahasia, konsisten
dengan kebijakan lembaga sertifikasi.

8.5.5 Personel, termasuk setiap anggota komite, kontraktor, personel lembaga eksternal
atau individu yang bertindak atas nama lembaga sertifikasi, harus menjaga kerahasiaan
seluruh informasi yang diperoleh atau dibuat selama pelaksanaan kegiatan sertifikasi.

8.5.6 Lembaga sertifikasi harus menyediakan dan menggunakan perlengkapan serta
fasilitas yang menjamin keamanan penanganan informasi yang bersifat rahasia (misalnya
dokumen, rekaman).

8.5.7 Bila informasi yang bersifat rahasia diberikan kepada lembaga lain (misal lembaga
akreditasi, kelompok perjanjian dalam skema peer asesmen), lembaga sertifikasi harus
menginformasikan pelanggannya mengenai tindakan ini.

8.6. Pertukaran informasi antara lembaga sertifikasi dan pelanggannya

8.6.1. Informasi kegiatan dan persyaratan sertifikasi
Lembaga sertifikasi harus menyampaikan kepada pelanggannya hal berikut yang
mutakhir:
a) deskripsi rinci mengenai kegiatan sertifikasi awal dan kelanjutannya, termasuk
permohonan, audit awal, audit survailen, dan proses untuk pemberian, pemeliharaan,
pengurangan, perluasan, pembekuan, pencabutan sertifikasi dan sertifikasi ulang;
b) persyaratan normatif untuk sertifikasi;
c) informasi mengenai biaya permohonan, sertifikasi awal dan kelanjutannya;
d) persyaratan lembaga sertifikasi untuk calon pelanggan
1) untuk memenuhi persyaratan sertifikasi,
2) membuat seluruh pengaturan yang diperlukan untuk melaksanakan audit,
termasuk ketentuan untuk menguji dokumentasi dan akses ke seluruh proses dan
bidang, rekaman dan personel untuk tujuan sertifikasi awal, survailen, sertifikasi
ulang dan penyelesaian keluhan, dan
3) membuat ketentuan, bila sesuai, untuk mengakomodasi kehadiran pengamat
(misalnya, auditor akreditasi atau calon auditor);

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n























































SNI ISO/IEC 17021:2008
15 dari 30
e) dokumen yang menjelaskan hak dan kewajiban pelanggan yang disertifikasi, termasuk
persyaratan, untuk membuat acuan sertifikasi guna keperluan komunikasi yang
selaras dengan persyaratan pada butir 8.4;
f) informasi tentang prosedur penanganan keluhan dan banding.

8.6.2. Pemberitahuan perubahan oleh lembaga sertifikasi
Lembaga sertifikasi harus memberikan kepada pelanggan yang disertifikasi setiap
perubahan persyaratan sertifikasi. Lembaga sertifikasi harus memverifikasi bahwa setiap
pelanggan yang disertifikasi memenuhi persyaratan baru tersebut.

CATATAN Pengaturan kontrak dengan pelanggan yang disertifikasi menjadi penting untuk
menjamin pelaksanaan persyaratan ini.
Model perjanjian lisensi untuk penggunaan sertifikasi, termasuk aspek yang terkait dengan
pemberitahuan perubahan, sejauh dapat diterapkan, ada pada Lampiran E dari PSN 304-2006
(ISO/IEC Guide 28:2004).

8.6.3. Pemberitahuan perubahan oleh pelanggan
Lembaga sertifikasi harus memiliki pengaturan yang berkekuatan hukum untuk menjamin
bahwa pelanggan yang disertifikasi menginformasikan kepada lembaga sertifikasi, tanpa
menunda, mengenai hal-hal yang dapat mempengaruhi kemampuan sistem manajemen
untuk memenuhi persyaratan Standar sertifikasi yang digunakan. Hal ini mencakup, misal,
perubahan yang berkaitan dengan
a) hukum, komersial, status organisasi atau kepemilikan,
b) organisasi dan manajemen (misal, manajerial penentu, pengambil keputusan atau
staf teknis,
c) alamat penghubung dan lokasi,
d) lingkup operasi sistem manajemen yang disertifikasi, dan
e) perubahan utama pada sistem manajemen dan proses,

CATATAN Suatu model perjanjian lisensi untuk penggunaan sertifikasi, termasuk aspek-
aspek yang terkait dengan pemberitahuan perubahan, sepanjang dapat diterapkan, terdapat dalam
Lampiran E PSN 304-2006 (ISO/IEC Guide 28:2004).

9. Persyaratan proses

9.1. Persyaratan umum

9.1.1. Program audit harus mencakup dua tahap audit awal, audit survailen pada tahun
pertama dan kedua, dan audit sertifikasi ulang di tahun ketiga sebelum berakhirnya
sertifikasi. Siklus sertifikasi tiga tahunan dihitung sejak keputusan sertifikasi atau
sertifikasi ulang. Penentuan program audit dan penyesuaiannya harus
mempertimbangkan ukuran organisasi pelanggan, lingkup dan kompleksitas sistem
manajemennya, produk dan proses, serta tingkat efektivitas sistem manajemen yang
ditunjukkan dan hasil audit sebelumnya. Ketika suatu lembaga sertifikasi akan
mempertimbangkan kembali sertifikasi atau audit yang telah diberikan kepada pelanggan,
lembaga sertifikasi harus mengumpulkan informasi yang cukup dan dapat diverifikasi
untuk menjastifikasi dan merekam setiap penyesuaian program audit.

9.1.2 Lembaga sertifikasi harus menjamin bahwa rencana audit untuk setiap audit
ditetapkan sebagai dasar perjanjian tentang pelaksanaan dan penjadwalan kegiatan audit.

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n
























































16 dari 30
Rencana audit harus didasarkan pada persyaratan terdokumentasi dari lembaga
sertifikasi dan disusun sesuai dengan panduan yang relevan dalam SNI 19-19011.

9.1.3 Lembaga sertifikasi harus memiliki suatu proses seleksi dan penunjukan tim audit,
termasuk pemimpin tim audit, dengan mempertimbangkan kompetensi yang dibutuhkan
untuk mencapai sasaran audit. Proses ini harus didasarkan pada persyaratan yang
terdokumentasi, yang disusun sesuai dengan panduan yang relevan dalam SNI 19-19011.

9.1.4 Lembaga sertifikasi harus mendokumentasikan prosedur penentuan waktu audit.
Untuk setiap pelanggan, lembaga sertifikasi harus menentukan waktu yang diperlukan
untuk merencanakan dan menyelesaikan audit sistem manajemen pelanggan secara
lengkap dan efektif. Waktu audit ditentukan oleh lembaga sertifikasi dan jastifikasi
penentuan waktu audit harus direkam.

Dalam menentukan waktu audit, lembaga sertifikasi harus mempertimbangkan, antara lain
aspek berikut ini:
a) persyaratan Standar sistem manajemen yang sesuai;
b) ukuran dan kompleksitas;
c) konteks teknologi dan peraturan perundang-undangan;
d) setiap subkontrak dari tiap kegiatan yang termasuk di dalam lingkup sistem
manajemen;
e) hasil setiap audit sebelumnya;
f) jumlah lokasi dan multilokasi yang dipertimbangkan.

9.1.5 Apabila pengambilan contoh multilokasi digunakan untuk mengaudit sistem
manajemen pelanggan yang memiliki kegiatan yang sama di berbagai lokasi, lembaga
sertifikasi harus mengembangkan suatu progam pengambilan contoh untuk memastikan
audit sistem manajemen dengan benar. Alasan untuk rencana pengambilan contoh harus
didokumentasikan untuk setiap pelanggan.

9.1.6 Tugas yang diberikan kepada tim audit harus ditetapkan dan diketahui oleh
organisasi pelanggan, dan harus mensyaratkan tim audit untuk
a) menguji dan memverifikasi struktur, kebijakan, proses, prosedur, rekaman, dan
dokumen terkait dari organisasi pelanggan sesuai dengan sistem manajemen,
b) menentukan bahwa hal tersebut di atas memenuhi seluruh persyaratan yang sesuai
dengan lingkup sertifikasi yang dimaksudkan,
c) menentukan bahwa prosedur ditetapkan, diterapkan dan dipelihara secara efektif
sehingga memberi kepercayaan dalam sistem manajemen pelanggan, dan
d) mengkomunikasikan kepada pelanggan atas setiap tindakannya yang tidak konsisten
antara kebijakan, sasaran dan target pelanggan (sesuai dengan harapan Standar
sistem manajemen atau dokumen normatif lainnya) dengan hasil yang dicapai.

9.1.7 Lembaga sertifikasi harus menyediakan nama dan bila diminta, menyediakan
informasi latar belakang dari setiap anggota tim audit dengan waktu yang cukup bagi
organisasi pelanggan untuk mengajukan keberatan atas auditor atau tenaga ahli yang
ditunjuk dan bagi lembaga sertifikasi untuk menyusun ulang anggota tim dalam rangka
menanggapi keberatan yang sah.

9.1.8 Rencana audit harus dikomunikasikan dan tanggal audit harus disetujui
sebelumnya bersama dengan organisasi pelanggan.

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n























































SNI ISO/IEC 17021:2008
17 dari 30
9.1.9 Lembaga sertifikasi harus memiliki suatu proses untuk melaksanakan audit
lapangan sebagaimana ditetapkan dalam persyaratan terdokumentasi sesuai dengan
panduan yang relevan dalam SNI 19-19011.

CATATAN 1 Selain mengunjungi lokasi fisik (misal, pabrik), audit lapangan dapat mencakup
akses jarak jauh melalui situs elektronik yang memuat informasi yang relevan untuk keperluan audit
sistem manajemen.

CATATAN 2 istilah auditi sebagaimana digunakan dalam SNI 19-19011 berarti organisasi yang
sedang diaudit.

9.1.10 Lembaga sertifikasi harus memberikan laporan tertulis untuk setiap audit. Laporan
tersebut harus didasarkan pada panduan yang sesuai yang terdapat dalam SNI 19-
19011.Tim audit dapat mengidentifikasi peluang untuk perbaikan namun tidak boleh
merekomendasikan penyelesaian tertentu. Kepemilikan laporan audit harus dipelihara
oleh lembaga sertifikasi.

9.1.11 Lembaga sertifikasi harus mensyaratkan pelanggan untuk menganalisis penyebab
dan menjelaskan koreksi spesifik dan tindakan korektif yang dilakukan atau
direncanakan untuk dilakukan, untuk mengeliminasi ketidaksesuaian yang terdeteksi
dalam waktu yang ditentukan.

9.1.12 Lembaga sertifikasi harus mengkaji koreksi dan tindakan korektif yang diajukan
oleh pelanggan untuk menentukan keberterimaannya .

9.1.13 Organisasi yang diaudit harus diinformasikan jika ada audit lengkap tambahan,
audit terbatas tambahan, atau bukti terdokumentasi (untuk dikonfirmasikan dalam audit
survailen mendatang) untuk memverifikasi koreksi dan tindakan korektif yang efektif.

9.1.14 Lembaga sertifikasi harus menjamin bahwa personel atau komite yang membuat
keputusan sertifikasi atau sertifikasi ulang berbeda dengan yang melakukan audit.

9.1.15 Lembaga sertifikasi harus mengkonfirmasikan sebelum membuat keputusan,
mengenai
a) informasi yang cukup, diberikan oleh tim audit berkaitan dengan persyaratan
sertifikasi dan lingkup sertifikasi;
b) lembaga sertifikasi telah mengkaji, menerima, dan memverifikasi efektivitas koreksi
dan tindakan korektif untuk seluruh ketidaksesuaian yang mewakili
1) kegagalan untuk memenuhi satu atau lebih persyaratan Standar sistem
manajemen, atau
2) Situasi yang menimbulkan keraguan yang signifikan terhadap kemampuan sistem
manajemen pelanggan untuk mencapai output yang diinginkan.
c) lembaga sertifikasi telah mengkaji dan menerima koreksi dan tindakan korektif yang
direncanakan pelanggan untuk seluruh ketidaksesuaian lainnya.

9.2. Audit dan sertifikasi awal

9.2.1. Permohonan
Lembaga sertifikasi harus mensyaratkan wakil yang berwenang dari organisasi pemohon
untuk memberikan informasi yang diperlukan untuk menetapkan hal berikut :
a) ruang lingkup sertifikasi yang diinginkan;

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n
























































18 dari 30
b) fitur umum dari organisasi pemohon, mencakup nama dan alamat dari lokasi fisik,
aspek signifikan dari proses dan operasinya, dan setiap kewajiban hukum lainnya
yang sesuai;
c) informasi umum sesuai bidang sertifikasi yang dimohon, berkenaan dengan
organisasi pemohon seperti aktivitas, sumberdaya manusia dan teknis, fungsi dan jika
ada, hubungan dengan organisasi yang lebih besar ;
d) informasi mengenai seluruh proses yang disubkontrakkan digunakan oleh organisasi
dan akan mempengaruhi kesesuaian terhadap persyaratan;
e) Standar atau persyaratan lain keperluan sertifikasi organisasi pemohon;
f) informasi mengenai penggunaan konsultasi yang berkaitan dengan sistem
manajemen.

9.2.2 Kajian permohonan

9.2.2.1 Sebelum melakukan audit, lembaga sertifikasi harus melaksanakan kajian
terhadap permohonan dan informasi tambahan untuk sertifikasi guna menjamin bahwa :
a) informasi mengenai organisasi pemohon dan sistem manajemennya telah cukup untuk
pelaksanaan audit;
b) persyaratan untuk sertifikasi telah ditetapkan dan didokumentasikan dengan jelas,
serta telah disediakan bagi organisasi pemohon;
c) setiap perbedaan pemahaman antara lembaga sertifikasi dan organisasi pemohon
telah terselesaikan;
d) lembaga sertifikasi memiliki kompetensi dan kemampuan untuk melaksanakan
kegiatan sertifikasi;
e) lingkup sertifikasi, lokasi operasi dari organisasi pemohon, waktu yang diperlukan
untuk audit secara lengkap dan setiap kegiatan lainnya yang mempengaruhi kegiatan
sertifikasi telah diperhitungkan (bahasa, kondisi keamanan, ancaman terhadap
ketidakberpihakan, dll);
f) rekaman jastifikasi keputusan untuk melakukan audit dipelihara.

9.2.2.2 Berdasarkan kajian ini, lembaga sertifikasi harus menetapkan kompetensi yang
dibutuhkan untuk dicakup dalam tim audit dan keputusan sertifikasi.

9.2.2.3 Tim audit harus ditunjuk dan terdiri atas auditor (dan tenaga ahli teknis bila
diperlukan), yang diantara mereka memiliki kompetensi secara menyeluruh yang telah
diidentifikasi oleh lembaga sertifikasi seperti pada butir 9.2.2.2 untuk sertifikasi organisasi
pemohon.
Seleksi tim harus dilaksanakan dengan mengacu pada kompetensi auditor dan tenaga
ahli teknis yang ditetapkan pada butir 7.2.5, dan dapat mencakup sumber daya manusia
internal maupun eksternal.

9.2.2.4 Individu-individu yang akan melaksanakan keputusan sertifikasi harus ditunjuk
untuk menjamin tersedianya kompetensi yang memadai (lihat butir 7.2.9 dan 9.2.2.2)

9.2.3 Audit Sertifikasi Awal
Audit sertifikasi awal sistem manajemen harus dilaksanakan dalam dua tahap: tahap 1
dan tahap 2.

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n























































SNI ISO/IEC 17021:2008
19 dari 30

9.2.3.1 Audit tahap 1

9.2.3.1.1 Tahap 1 audit harus dilaksanakan untuk:
a) mengaudit dokumentasi sistem manajemen pelanggan;
b) mengevaluasi lokasi dan kondisi lapangan pelanggan yang spesifik dan melakukan
diskusi dengan personel pelanggan untuk menentukan kesiapan untuk audit tahap 2;
c) mengkaji status dan pemahaman pelanggan berkenaan dengan persyaratan Standar,
terutama yang berkaitan dengan identifikasi kinerja utama atau aspek yang signifikan,
proses, sasaran, dan operasi sistem manajemen;
d) mengumpulkan informasi penting berkenaan dengan lingkup sistem manajemen,
proses dan lokasi pelanggan, dan aspek peraturan perundang-undangan dan
pemenuhannya (sebagai contoh aspek hukum, lingkungan, dan mutu dari operasi
pelanggan, keterkaitan resiko, dsb);
e) mengkaji alokasi sumber daya untuk audit tahap 2 dan persetujuan pelanggan
berkenaan dengan rincian audit tahap 2;
f) memfokuskan perencanaan audit tahap 2 dengan mendapatkan pemahaman yang
cukup tentang sistem manajemen pelanggan dan operasional di lapangan dalam
konteks aspek signifikan yang mungkin;
g) mengevaluasi rencana dan pelaksanaan internal audit dan kaji ulang manajemen, dan
level implementasi dari substansi sistem manajemen menunjukkan bahwa pelanggan
siap untuk audit tahap 2.

Untuk kebanyakan sistem manajemen, direkomendasikan paling sedikit audit tahap 1
dilaksanakan di tempat pelanggan untuk mencapai sasaran yang telah ditetapkan di atas.

9.2.3.1.2 Temuan audit tahap 1 harus didokumentasikan dan dikomunikasikan kepada
pelanggan, termasuk identifikasi area yang menjadi perhatian yang dapat diklasifikasikan
sebagai ketidaksesuaian selama audit tahap 2.

9.2.3.1.3 Dalam menentukan interval antara audit tahap 1 dan audit tahap 2,
pertimbangan harus diberikan untuk kebutuhan pelanggan guna menyelesaikan area yang
menjadi perhatian yang teridentifikasi selama audit tahap 1. Lembaga sertifikasi juga
dapat merevisi pengaturan yang diperlukan untuk audit tahap 2.

9.2.3.2 Audit Tahap 2
Tujuan dari audit tahap 2 adalah untuk mengevaluasi implementasi, termasuk efektifitas
sistem manajemen pelanggan. Audit tahap 2 harus dilaksanakan di lokasi pelanggan.
Audit harus mencakup minimal hal-hal berikut :
a) informasi dan bukti tentang kesesuaian untuk seluruh persyaratan Standar sistem
manajemen yang berlaku atau dokumen normatif lainnya;
b) pemantauan, pengukuran, pelaporan, dan pengkajian kinerja dibandingkan dengan
sasaran dan target kinerja yang utama (sesuai dengan harapan dalam Standar
sistem manajemen atau dokumen normatif lainnya yang berlaku.)
c) sistem manajemen dan unjuk kerja pelanggan terkait pemenuhan legal
d) pengendalian operasional proses-proses pelanggan
e) internal audit dan kaji ulang manajemen
f) Tanggung jawab manajemen untuk kebijakan pelanggan
g) Hubungan antara persyaratan normatif, kebijakan, sasaran dan target kinerja (sesuai
dengan harapan dalam Standar sistem manajemen atau dokumen normatif lainnya

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n
























































20 dari 30
yang berlaku), setiap persyaratan legal yang berlaku, tanggung jawab, kompetensi
personel, operasional, prosedur, data kinerja dan temuan internal audit dan
kesimpulan.

9.2.4 Kesimpulan audit untuk sertifikasi awal
Tim audit harus menganalisis seluruh informasi dan bukti audit yang diperoleh selama
audit tahap 1 dan tahap 2 untuk mengkaji temuan-temuan audit dan menyetujui
kesimpulan audit.

9.2.5 Informasi untuk pemberian sertifikasi awal

9.2.5.1 Informasi yang disediakan oleh tim audit kepada lembaga sertifikasi untuk
keputusan sertifikasi harus mencakup, minimal :
a. laporan audit,
b. keterangan pada ketidaksesuaian, dan jika tersedia, koreksi dan tindakan korektif
yang dilakukan oleh pelanggan,
c. konfirmasi tentang informasi yang disediakan untuk lembaga sertifikasi yang
digunakan dalam pengkajian permohonan (lihat butir 9.2.2) dan
d. rekomendasi diberikan atau tidak diberikannya sertifikasi, serta setiap kondisi atau
observasi.

9.2.5.2 Lembaga sertifikasi harus membuat keputusan sertifikasi berdasarkan pada
evaluasi temuan audit dan kesimpulan audit serta informasi sesuai lainnya (sebagai
contoh informasi publik, keterangan pada laporan audit dari pelanggan)

9.3. Kegiatan survailen

9.3.1 Umum

9.3.1.1 Lembaga sertifikasi harus mengembangkan kegiatan survailen sehingga
keterwakilan area dan fungsi yang dicakup dalam lingkup sistem manajemen dipantau
secara reguler, dan memperhitungkan perubahan yang ada pada pelanggan yang
disertifikasi dan sistem manajemennya.

9.3.1.2 Kegiatan survailen harus mencakup audit lapangan dengan mengaudit
pemenuhan persyaratan spesifik sistem manajemen pelanggan tersertifikasi, berkaitan
dengan Standar yang sertifikasinya diberikan. Kegiatan survailen lainnya dapat
mencakup :
a. pertanyaan dari lembaga sertifikasi kepada pelanggan tersertifikasi terhadap aspek-
aspek sertifikasi
b. pengkajian setiap pernyataan pelanggan berkenaan dengan operasionalnya (sebagai
contoh bahan promosi, website)
c. permintaan kepada pelanggan untuk menyediakan dokumen dan rekaman (pada
kertas atau media elektronik) dan
d. hal lainnya terkait pemantauan kinerja pelanggan tersertifikasi

9.3.2 Audit Survailen

9.3.2.1 Audit survailen adalah audit lapangan, tetapi bukan audit sistem secara
menyeluruh, dan harus direncanakan bersama dengan kegiatan survailen lainnya
sehingga lembaga sertifikasi dapat memelihara kepercayaan bahwa sistem manajemen

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n























































SNI ISO/IEC 17021:2008
21 dari 30
yang disertifikasi tetap memenuhi persyaratan diantara audit sertifikasi ulang. Program
audit survailen harus mencakup, minimal :
a. internal audit dan kaji ulang manajemen,
b. tinjauan tindakan yang diambil terhadap ketidaksesuaian yang diidentifikasi selama
audit sebelumnya,
c. penanganan keluhan,
d. efektifitas sistem manajemen untuk pencapaian sasaran pelanggan tersertifikasi,
e. kemajuan dari aktifitas yang direncanakan untuk peningkatan berkelanjutan,
f. keberlanjutan pengendalian operasional,
g. tinjauan setiap perubahan, dan
h. penggunaan logo dan/atau referensi sertifikasi lainnya.

9.3.2.2 Audit survailen harus dilaksanakan minimal satu kali setahun. Waktu audit
survailen pertama tidak boleh lebih dari 12 bulan sejak hari terakhir audit tahap 2
sertifikasi awal.

9.3.3 Pemeliharaan sertifikasi
Lembaga sertifikasi harus memelihara sertifikasi didasarkan atas peragaan bahwa
pelanggan tetap konsisten terhadap persyaratan Standar sistem manajemen.
Pemeliharan sertifikasi pelanggan dapat didasarkan pada kesimpulan positif oleh ketua
tim audit tanpa dilakukan kajian independen lebih lanjut, dengan ketentuan bahwa :
a. untuk setiap ketidaksesuaian atau situasi lain yang dapat menyebabkan pembekuan
atau pencabutan sertifikasi, lembaga sertifikasi harus memiliki sistem yang
mensyaratkan ketua tim audit untuk melaporkan kepada lembaga sertifikasi keperluan
melakukan suatu tinjauan oleh personel yang kompeten (lihat butir 7.2.9), yang
berbeda dengan personel yang melaksanakan audit, untuk menentukan apakah
sertifikasi dapat dipelihara, dan
b. personel kompeten dari lembaga sertifikasi memantau kegiatan survailennya,
termasuk pemantauan pelaporan yang dilakukan auditor-auditornya, untuk
mengkonirmasikan bahwa kegiatan sertifikasi dioperasikan secara efektif.

9.4. Sertifikasi ulang

9.4.1. Perencanaan audit sertifikasi ulang

9.4.1.1 Audit sertifikasi ulang harus direncanakan dan dilaksanakan untuk mengevaluasi
pemenuhan terhadap seluruh persyaratan Standar sistem manajemen atau dokumen
normatif lain secara berkelanjutan. Tujuan audit sertifikasi ulang adalah untuk
mengkonfirmasi keberlanjutan kesesuaian dan efektifitas sistem manajemen secara
keseluruhan, serta relevansi dan kemampuan organisasi terhadap lingkup sertifikasi.

9.4.1.2 Audit sertifikasi ulang harus mempertimbangkan kinerja sistem manajemen selama
periode sertifikasi dan mencakup tinjauan atas laporan survailen sebelumnya.

9.4.1.3 Kegiatan audit sertifikasi ulang mungkin membutuhkan audit tahap 1 bila terdapat
perubahan signifikan pada sistem manajemen, pelanggan, atau konteks sistem
manajemen yang sedang dioperasikan (sebagai contoh perubahan terhadap peraturan
perundang-undangan).

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n
























































22 dari 30
9.4.1.4 Pada kasus multi lokasi atau sertifikasi untuk multi Standar sistem manajemen,
perencanaan audit harus menjamin kecukupan cakupan audit lapangan untuk memberi
keyakinan dalam sertifikasi.

9.4.2. Audit sertifikasi ulang

9.4.2.1 Audit sertifikasi ulang harus mencakup audit lapangan yang dilakukan untuk hal-
hal sebagai berikut :
a. efektifitas sistem manajemen secara menyeluruh terkait dengan perubahan internal
dan eksternal serta kesinambungan relevansi dan penerapannya terhadap lingkup
sertifikasi;
b. menunjukkan komitmen untuk memelihara efektivitas dan peningkatan sistem
manajemen untuk mencapai kinerja secara keseluruhan;
c. pengoperasian sistem manajemen yang disertifikasi berkontribusi atau tidak terhadap
pencapaian kebijakan dan sasaran organisasi.

9.4.2.2 Bila selama audit sertifikasi ulang, teridentifikasi ketidaksesuaian atau kurangnya
bukti kesesuaian, lembaga sertifikasi harus memberikan batas waktu untuk koreksi dan
tindakan korektif untuk diimplementasikan sebelum habisnya masa berlaku sertifikat.

9.4.3. Informasi untuk pemberian sertifikasi ulang
Lembaga sertifikasi harus membuat keputusan untuk pembaharuan sertifikasi
berdasarkan pada hasil audit sertifikasi ulang, begitupun dengan hasil tinjauan sistem
selama periode sertifikasi dan keluhan yang diterima dari pengguna sertifikasi

9.5. Audit khusus

9.5.1 Perluasan ruang lingkup
Lembaga sertifikasi harus merespon permohonan untuk perluasan ruang lingkup
sertifikasi yang telah diberikan, melakukan suatu kajian terhadap permohonan dan
menentukan kegiatan audit yang penting untuk memutuskan perluasan diberikan atau
tidak. Hal ini dapat dilakukan bersamaan dengan audit survailen.

9.5.2 Audit tidak terjadwal (short-notice)
Dapat dimungkinkan suatu lembaga sertifikasi melakukan audit tidak terjadwal terhadap
pelanggan yang disertifikasinya untuk menginvestigasi keluhan (lihat butir 9.8), atau
berkaitan dengan perubahan-perubahan (lihat 8.6.3), atau sebagai tindak lanjut dari
pelanggan yang dibekukan (lihat butir 9.6). Dalam kasus yang demikian :
a. lembaga sertifikasi harus menjelaskan dan memberitahu terlebih dahulu kepada
pelanggan yang disertifikasinya (sebagai contoh, dalam dokumen sebagaimana
dijelaskan dalam butir 8.6.1) mengenai persyaratan kunjungan tiba tiba yang
dilakukan,
b. lembaga sertifikasi harus memberi perhatian lebih dalam penugasan tim audit karena
kurangnya peluang bagi pelanggan untuk berfokus pada anggota tim audit.

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n























































SNI ISO/IEC 17021:2008
23 dari 30

9.6. Pembekuan, pencabutan, atau pengurangan ruang lingkup sertifikasi

9.6.1 Lembaga sertifikasi harus memiliki kebijakan dan prosedur terdokumentasi untuk
pembekuan, pencabutan, atau pengurangan ruang lingkup sertifikasi, dan harus
menspesifikasikan tindakan-tindakan penting yang dilakukan oleh lembaga sertifikasi.

9.6.2 Lembaga sertifikasi harus membekukan sertifikasi pada kasus, sebagai contoh :
- sistem manajemen pelanggan yang disertifikasi gagal secara total dan serius dalam
memenuhi persyaratan sertifikasi, termasuk persyaratan efektivitas sistem
manajemen,
- pelanggan yang disertifikasi tidak memperbolehkan audit survailen atau sertifikasi
ulang dilaksanakan pada frekwensi yang dipersyaratkan, atau
- pelanggan yang disertifikasi telah meminta pembekuan secara sukarela

9.6.3 Dalam kondisi pembekuan, sertifikasi sistem manajemen pelanggan untuk
sementara tidak berlaku. Lembaga sertifikasi harus memiliki perjanjian yang mengikat
dengan pelanggannya untuk menjamin bahwa dalam kasus pembekuan, pelanggan
dilarang menggunakan sertifikasinya untuk keperluan promosi lebih lanjut. Lembaga
sertifikasi harus membuat status pembekuan sertifikasi yang dapat diakses publik (lihat
8.1.3) dan harus melakukan tindakan lain yang sesuai.

9.6.4 Kegagalan untuk menyelesaikan masalah pokok dari pembekuan dalam jangka
waktu yang ditetapkan, maka lembaga sertifikasi harus mencabut atau mengurangi ruang
lingkup sertifikasi.

CATATAN Pada kebanyakan kasus pembekuan tidak melebihi 6 bulan.

9.6.5 Lembaga sertifikasi harus mengurangi ruang lingkup sertifikasi pelanggan untuk
bagian-bagian yang tidak memenuhi persyaratan, bila pelanggan gagal secara total
memenuhi persyaratan sertifikasi untuk bagian-bagian dari ruang lingkup sertifikasi
tersebut. Setiap pengurangan harus selaras dengan persyaratan Standar yang digunakan
untuk sertifikasi.

9.6.6 Lembaga sertifikasi harus memiliki perjanjian mengikat dengan pelanggan yang
disertifikasinya berkaitan dengan persyaratan pencabutan (lihat butir 8.4.3.d) yang
menjamin selama pencabutan sertifikasi, pelanggan tidak melanjutkan penggunaan
sertifikasi pada materi periklanan yang memuat referensi status sertifikasinya.

9.6.7 Berdasarkan permintaan pihak tertentu, lembaga sertifikasi harus menyatakan
dengan benar status sertifikasi sistem manajemen pelanggan yang dibekukan, dicabut,
atau dikurangi.

9.7. Banding

9.7.1 Lembaga sertifikasi harus memiliki proses terdokumentasi untuk menerima,
mengevaluasi, dan membuat keputusan terhadap banding.

9.7.2 Penjelasan proses penanganan banding harus tersedia untuk publik

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n
























































24 dari 30
9.7.3 Lembaga sertifikasi harus bertanggung jawab atas seluruh keputusan di semua
tingkat proses penanganan banding. Lembaga sertifikasi harus menjamin bahwa personel
yang terlibat dalam proses penanganan banding berbeda dengan personel yang
melaksanakan audit dan membuat keputusan sertifikasi.

9.7.4 Pengajuan, investigasi, dan keputusan banding harus tidak menghasilkan tindakan
diskriminasi terhadap pemohon banding.

9.7.5 Proses penanganan banding harus mencakup minimal elemen dan metoda
berikut:
a. garis besar proses untuk penerimaan, validasi, dan investigasi banding, dan untuk
memutuskan tindakan yang akan diambil, dengan mempertimbangkan hasil banding
sebelumnya yang serupa;
b. memindai (tracking) dan merekam banding, termasuk tindakan yang diambil untuk
penyelesaian;
c. menjamin bahwa koreksi dan tindakan korektif yang sesuai telah dilakukan.

9.7.6 Lembaga sertifikasi harus memberitahu diterimanya permohonan banding dan
harus menyampaikan laporan kemajuan serta hasil (outcome) kepada pemohon banding.

9.7.7 Keputusan untuk dikomunikasikan kepada pemohon banding harus dibuat oleh
atau dikaji dan disetujui oleh satu atau lebih individu yang tidak terlibat sebelumnya dalam
subyek banding.

9.7.8 Lembaga sertifikasi harus memberikan pernyataan resmi kepada pemohon
banding pada akhir proses penanganan banding.

9.8. Keluhan

9.8.1 Penjelasan proses penanganan keluhan harus dapat diakses publik.

9.8.2 Selama penerimaan keluhan, lembaga sertifikasi harus mengkonfirmasikan
keterkaitan keluhan tersebut dengan kegiatan sertifikasi yang menjadi tanggung
jawabnya, bila terkait, harus diselesaikan. J ika keluhan terkait dengan sistem manajemen
pelanggan yang disertifikasi, maka pemeriksaan keluhan harus mempertimbangkan
efektifitas sistem manajemen yang disertifikasi

9.8.3 Setiap keluhan tentang pelanggan yang disertifikasi harus diteruskan oleh lembaga
sertifikasi kepada pelanggan yang disertifikasinya pada waktu yang tepat.

9.8.4 Lembaga sertifikasi harus memiliki proses terdokumentasi untuk menerima,
mengevaluasi, dan membuat keputusan terhadap keluhan. Proses ini harus
mempersyaratkan kerahasiaan, yang berkaitan dengan pihak yeng mengajukan keluhan
dan isi dari keluhan.

9.8.5 Proses penanganan keluhan harus mencakup minimal elemen dan metoda berikut :
a. garis besar proses untuk menerima, memvalidasi, menginvestigasi keluhan, dan
untuk memutuskan apa tindakan yang harus diambil untuk meresponnya;
b. memindai (tracking) dan merekam keluhan, termasuk tindakan yang harus diambil
sebagai respon terhadap hal tersebut;
c. menjamin bahwa koreksi dan tindakan korektif yang sesuai telah dilakukan

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n























































SNI ISO/IEC 17021:2008
25 dari 30

CATATAN ISO 10002 menyediakan panduan untuk penanganan keluhan

9.8.6 Lembaga sertifikasi yang menerima keluhan harus bertanggung jawab untuk
mendapatkan dan memverifikasi seluruh informasi penting untuk memvalidasi keluhan.

9.8.7 J ika dimungkinkan, lembaga sertifikasi harus memberitahu diterimanya permohonan
keluhan dan harus memberikan laporan kemajuan dan hasilnya kepada pemohon
keluhan.

9.8.8 Keputusan untuk dikomunikasikan kepada pemohon keluhan harus dibuat, dikaji
dan disetujui oleh satu atau lebih individu yang tidak terlibat dengan keluhan sebelumnya.

9.8.9 Apabila dimungkinkan, lembaga sertifikasi harus memberikan pernyataan resmi
pada akhir proses penanganan keluhan kepada pihak yang mengajukan keluhan.

9.8.10 Lembaga sertifikasi harus menentukan bersama-sama dengan pelanggannya dan
pihak yang mengajukan keluhan, apakah cakupan permasalahan keluhan dan
penyelesaiannya harus dipublikasikan.

9.9. Rekaman pemohon dan pelanggan

9.9.1 Lembaga sertifikasi harus memelihara rekaman audit dan kegiatan sertifikasi
lainnya untuk seluruh pelanggan termasuk seluruh organisasi yang mengajukan
permohonan dan seluruh organisasi yang diaudit, disertifikasi atau yang sertifikasinya
dibekukan atau dicabut.

9.9.2 Rekaman pelanggan yang disertifikasi harus mencakup hal-hal berikut :
a. informasi permohonan dan laporan audit awal, survailen, dan sertifikasi ulang;
b. perjanjian sertifikasi;
c. justifikasi metodologi yang digunakan untuk pengambilan contoh;
d. justifikasi untuk penentuan waktu auditor (lihat butir 9.1.4);
e. verifikasi koreksi dan tindakan korektif;
f. rekaman keluhan dan banding, dan koreksi dan tindakan korektifnya;
g. pertimbangan dan keputusan komite, jika ada;
h. dokumentasi keputusan sertifikasi;
i. dokumen sertifikasi, termasuk ruang lingkup sertifikasi berkenaan dengan produk,
proses, atau jasa bila ada;
j. rekaman terkait penting untuk menetapkan kredibilitas sertifikasi seperti bukti
kompetensi auditor dan tenaga ahli.

CATATAN Metodologi pengambilan contoh termasuk pengambilan contoh untuk menilai
sistem manajemen spesifik dan atau untuk memilih lokasi dalam hal asesmen multi lokasi

9.9.3 Lembaga sertifikasi harus menyimpan rekaman pemohon dan pelanggan untuk
menjamin bahwa informasi disimpan secara rahasia. Rekaman harus ditransportasikan,
ditransmisikan atau ditransfer dengan cara yang menjamin bahwa kerahasiaan
terpelihara.

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n
























































26 dari 30
9.9.4 Lembaga sertifikasi harus memiliki kebijakan dan prosedur terdokumentasi tentang
masa retensi rekaman. Rekaman harus disimpan untuk jangka waktu siklus terakhir
ditambah satu siklus sertifikasi lengkap.

CATATAN Dalam beberapa yuridiksi, peraturan perundang-undangan menyatakan bahwa
rekaman harus dipelihara untuk periode waktu yang lebih lama.

10. Persyaratan sistem manajemen untuk lembaga sertifikasi

10.1. Pilihan
Lembaga sertifikasi harus menetapkan dan memelihara sistem manajemen yang mampu
mendukung dan menunjukkan untuk mencapai persyaratan Standar ini secara konsisten.
Selain itu untuk memenuhi persyaratan klausul 5 sampai 9, lembaga sertifikasi harus
menerapkan sistem manajemen berdasarkan :
a. persyaratan sistem manajemen berdasarkan SNI 19-9001 (lihat 10.2), atau
b. persyaratan sistem manajemen umum.

10.2. Pilihan 1 : Persyaratan sistem manajemen berdasarkan SNI 19-9001

10.2.1. Umum
Lembaga sertifikasi harus menetapkan dan memelihara sistem manajemen, sesuai
persyaratan SNI 19-9001, untuk mendukung dan mencapai persyaratan Standar ini, yang
diperkuat oleh klausul 10.2.2 sampai 10.2.5

10.2.2. Ruang lingkup
Untuk penerapan persyaratan SNI 19-9001, ruang lingkup sistem manajemen harus
mencakup persyaratan desain dan pengembangan untuk jasa sertifikasinya.

10.2.3. Fokus kepada pelanggan
Untuk penerapan persyaratan SNI 19-9001, pada saat mengembangkan sistem
manajemen, lembaga sertifikasi harus mempertimbangkan kredibilitas sertifikasi dan
harus memperhatikan kebutuhan seluruh pihak (sebagaimana disebutkan dalam 4.1.2)
yang berkaitan dengan jasa audit dan sertifikasi , tidak hanya pada pelanggannya.

10.2.4. Kaji ulang manajemen
Untuk penerapan persyaratan SNI 19-9001, lembaga sertifikasi harus memasukkan
sebagai masukan kaji ulang manajemen, informasi yang relevan tentang banding dan
keluhan dari pengguna kegiatan sertifikasi.

10.2.5. Desain dan pengembangan
Untuk penerapan persyaratan SNI 19-9001, ketika mengembangkan skema sertifikasi
sistem manajemen baru, atau mengadaptasi yang sudah ada untuk situasi khusus,
lembaga sertifikasi harus menjamin bahwa panduan yang diberikan dalam SNI 19-19011,
yang sesuai dengan situasi pihak ketiga, dimasukkan sebagai masukan desain.

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n























































SNI ISO/IEC 17021:2008
27 dari 30

10.3. Pilihan 2 : Persyaratan sistem manajemen umum

10.3.1 Umum
Lembaga sertifikasi harus menetapkan, mendokumentasikan, menerapkan, dan
memelihara sistem manajemen yang mampu mendukung dan menunjukkan pencapaian
persyaratan Standar ini secara konsisten.
Manajemen puncak lembaga sertifikasi harus menetapkan dan mendokumentasikan
kebijakan dan sasaran untuk kegiatannya. Manajemen puncak harus menyediakan bukti
komitmen untuk mengembangkan dan menerapkan sistem manajemen berdasarkan
persyaratan Standar ini. Manajemen puncak harus menjamin bahwa kebijakannya
dimengerti, diterapkan, dan dipelihara pada seluruh tingkatan organisasi lembaga
sertifikasi.
Manajemen puncak lembaga sertifikasi harus menunjuk satu anggota manajemen yang
diluar tanggung jawab lainnya harus memiliki tanggung jawab dan kewenangan yang
mencakup :
a. menjamin bahwa proses dan prosedur yang diperlukan untuk sistem manajemen
ditetapkan, diterapkan, dan dipelihara, dan
b. melaporkan kepada manajemen puncak mengenai kinerja sistem manajemen dan
kebutuhan untuk perbaikannya.

10.3.2 Manual sistem manajemen
Seluruh persyaratan yang terdapat dalam Standar ini harus dibuat dalam manual atau
dokumen terkait. Lembaga sertifikasi harus menjamin bahwa manual dan dokumen terkait
dapat diakses oleh seluruh personel yang terkait.

10.3.3 Pengendalian dokumen
Lembaga sertifikasi harus menetapkan prosedur untuk mengendalikan dokumen (internal
dan eksternal) yang berhubungan dengan pemenuhan Standar ini. Prosedur harus
menetapkan pengendalian yang dibutuhkan untuk :
a. menyetujui kecukupan dokumen sebelum diterbitkan,
b. meninjau dan memutakhirkan seperlunya dan menyetujui ulang dokumen,
c. menjamin bahwa setiap perubahan dan status revisi terakhir dokumen teridentifikasi,
d. menjamin bahwa versi dokumen yang berlaku dan relevan tersedia di tempat
penggunaan,
e. menjamin bahwa dokumen selalu dapat dibaca dan mudah dikenali,
f. menjamin bahwa dokumen eksternal teridentifikasi dan distribusinya terkendali, dan
g. mencegah penggunaan dokumen kadaluwarsa yang tidak disengaja dan memberi
identifikasi yang sesuai untuk dokumen tersebut jika dokumen itu disimpan untuk
maksud tertentu.

CATATAN Dokumentasi dapat berupa form atau tipe media apapun.

10.3.4 Pengendalian rekaman
Lembaga sertifikasi harus menetapkan prosedur untuk menetapkan pengendalian yang
dibutuhkan untuk pengidentifikasian, penyimpanan, perlindungan, pengambilan, waktu
retensi dan pemusnahan dari rekaman berkaitan dengan pemenuhan Standar ini.
Lembaga sertifikasi harus menetapkan prosedur untuk penyimpanan rekaman dalam
periode waktu tertentu sesuai dengan ketentuan kontrak dan legal. Akses terhadap
rekaman ini harus konsisten dengan pengaturan kerahasiaan.

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n
























































28 dari 30
CATATAN Untuk persyaratan rekaman pelanggan tersertifkasi, lihat juga butir 9.9

10.3.5 Kaji ulang manajemen

10.3.5.1 Umum
Manajemen puncak lembaga sertifikasi harus menetapkan prosedur untuk kajian sistem
manajemen pada interval waktu yang terencana untuk menjamin kesesuaian, kecukupan
dan keefektifannya, termasuk kebijakan dan sasaran yang terkait dengan pemenuhan
Standar ini. Kaji ulang ini harus dilaksanakan minimal satu kali dalam setahun.

10.3.5.2 Masukan kaji ulang manajemen
Masukan kaji ulang manajemen harus mencakup informasi yang terkait dengan :
a. hasil audit internal dan eksternal,
b. umpan balik dari pelanggan dan pihak terkait dengan pemenuhan Standar ini,
c. umpan balik dari komite penjaga ketidakberpihakan,
d. status dari tindakan korektif dan tindakan pencegahan,
e. tindak lanjut kaji manajemen sebelumnya,
f. pencapaian sasaran,
g. perubahan yang dapat mempengaruhi sistem manajemen, dan
h. banding dan keluhan.

10.3.5.3 Keluaran kaji ulang manajemen
Keluaran dari kaji ulang manajemen harus mencakup keputusan dan tindakan yang
terkait dengan
a. peningkatan efektivitas sistem manajemen dan proses,
b. peningkatan jasa sertifikasi terkait dengan pemenuhan Standar ini, dan
c. kebutuhan sumber daya.

10.3.6 Audit internal

10.3.6.1 Lembaga sertifikasi harus menetapkan prosedur audit internal untuk
memverifikasi bahwa lembaga sertifikasi memenuhi persyaratan Standar ini dan bahwa
sistem manajemen diterapkan dan dipelihara secara efektif.

CATATAN SNI 19-19011 menyediakan panduan pelaksanaan audit internal.

10.3.6.2 Program audit harus direncanakan, dengan mempertimbangkan pentingnya
proses dan area yang akan diaudit serta hasil audit sebelumnya

10.3.6.3 Audit internal harus dilaksanakan minimal sekali setiap 12 bulan. Frekuensi
audit internal dapat dikurangi jika lembaga sertifikasi dapat menunjukkan bahwa sistem
manajemennya dapat tetap diimplementasikan secara efektif berdasarkan Standar ini dan
telah dibuktikan kestabilannya.

10.3.6.4 Lembaga sertifikasi harus memastikan bahwa :
a. audit internal telah dilaksanakan oleh personel yang memiliki pengetahuan sertifikasi,
audit, dan persyaratan Standar ini,
b. auditor tidak mengaudit pekerjaannya sendiri,
c. personel yang bertanggung jawab pada area yang diaudit diinformasikan hasil dari
audit,

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n























































SNI ISO/IEC 17021:2008
29 dari 30
d. setiap tindakan hasil audit internal dilakukan tepat waktu dan dengan cara yang
sesuai, dan
e. setiap peluang untuk perbaikan diidentifikasi.

10.3.7 Tindakan korektif
Lembaga sertifikasi harus menetapkan prosedur untuk mengidentifikasi dan mengelola
ketidaksesuaian dalam operasinya. Lembaga sertifikasi juga harus, bila diperlukan,
mengambil tindakan untuk menghilangkan penyebab ketidaksesuaian dalam rangka
mencegah kejadian yang berulang.
Tindakan perbaikan harus sesuai dengan dampak masalah yang dihadapi. Prosedur
harus menjelaskan persyaratan untuk :
a. mengidentifikasi ketidaksesuaian (misalnya dari keluhan dan audit internal),
b. menentukan penyebab ketidaksesuaian,
c. memperbaiki ketidaksesuaian,
d. mengevaluasi kebutuhan tindakan untuk menjamin bahwa ketidaksesuaian tidak
terjadi kembali,
e. menentukan dan menerapkan secara tepat waktu, tindakan yang diperlukan,
f. merekam hasil dari tindakan yang telah dilakukan, dan
g. mengkaji efektivitas tindakan korektif.

10.3.8 Tindakan pencegahan
Lembaga sertifikasi harus menetapkan prosedur tindakan pencegahan untuk
menghilangkan penyebab ketidaksesuaian potensial. Tindakan pencegahan yang diambil
harus sesuai dengan dampak yang mungkin terjadi dari masalah potensial . Prosedur
tindakan pencegahan harus menjelaskan persyaratan untuk
a. identifikasi ketidaksesuaian potensial dan penyebabnya,
b. mengevaluasi kebutuhan untuk mencegah terjadinya ketidaksesuaian,
c. menentukan dan menerapkan tindakan yang diperlukan,
d. merekam hasil tindakan yang dilakukan, dan
e. mengkaji efektivitas dari tindakan pencegahan yang dilakukan.

CATATAN Prosedur tindakan korektif dan tindakan pencegahan tidak harus terpisah.

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n
























































30 dari 30
Bibliografi



[1] ISO 9001:2000, Quality management systems Requirements (SNI 19 -
9001:2001, Sistem manajemen mutu Persyaratan)
[2] ISO 10002, Quality management Customer satisfaction Guidelines for
complaints handling in organizations
[3] ISO 14001, Enviromental management systems Requirements with guidance for
use (SNI 19 14001 2005, SO 14001, Sistem manajemen lingkungan
Persyaratan dan panduan penggunaan)
[4] ISO/IEC 17030:2003, Conformity assessment General requirements for third-
party marks of conformity
[5] ISO/IEC Guide 28:2004, Conformity assessment Guidance on a third-party
certification system for products (PSN 304-2006 Penilaian kesesuaian Pedoman
pelaksanaan sertifikasi produk oleh pihak ketiga)

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n























































BADAN STANDARDISASI NASIONAL - BSN
Gedung Manggala Wanabakti Blok IV Lt. 3-4
Jl. Jend. Gatot Subroto, Senayan Jakarta 10270
Telp: 021- 574 7043; Faks: 021- 5747045; e-mail : bsn@bsn.or.id

H
a
k

C
i
p
t
a

B
a
d
a
n

S
t
a
n
d
a
r
d
i
s
a
s
i

N
a
s
i
o
n
a
l
,

C
o
p
y

s
t
a
n
d
a
r

i
n
i

d
i
b
u
a
t

u
n
t
u
k

p
e
n
a
y
a
n
g
a
n

d
i

w
e
b
s
i
t
e

d
a
n

t
i
d
a
k

u
n
t
u
k

d
i
k
o
m
e
r
s
i
a
l
k
a
n