Anda di halaman 1dari 29

Intisari ISO/IEC 17021:2006 Penilaian kesesuaian - Persyaratan

lembaga audit dan sertifikasi sistem manajemen


3. Istilah dan Definisi

3.1
Pelanggan tersertifikasi
Organisasi yang sistem manajemennya telah disertifikasi
3.2
Ketidakberpihakan
objektivitas yang aktual dan dipersepsikan.
CATATAN 1 Objektivitas berarti tidak ada atau dapat teratasinya konflik kepentingan yang
membawa pengaruh buruk terhadap kegiatan lembaga sertifikasi.
CATATAN 2 Istilah lain yang bermakna dalam penyampaian unsur ketidak-berpihakan adalah : objektivitas,
kemandirian, bebas dari konflik kepentingan, bebas dari bias, tidak ada prasangka, kenetralan,
keterbukaan, berpikiran terbuka, tidak berat sebelah , tidak terpengaruh, keseimbangan.

3.3
Konsultasi sistem manajemen
Partisipasi dalam perancangan, penerapan atau pemeliharaan suatu sistem manajemen Contoh :
a) penyiapan atau pembuatan manual atau prosedur, dan
b) memberikan saran khusus, instruksi atau solusi tertentu terhadap pengembangan dan penerapan
sistem manajemen.
CATATAN Penyusunan pelatihan dan keikutsertaan sebagai pelatih dalam pelatihan audit atau sistem
manajemen tidak dianggap konsultasi, sepanjang kursus tersebut berkaitan dengan sistem manajemen atau
audit yang memberikan informasi bersifat umum dan dapat diperoleh secara bebas oleh publik, sebagai
contoh pelatih tidak boleh memberikan solusi spesifik bagi perusahaan.

4. Prinsip 4.1. Umum


4.1.1. Prinsip ini merupakan dasar kinerja spesifik dan persyaratan deskriptif Standar ini. Standar
ini tidak memberikan persyaratan spesifik untuk seluruh situasi yang mungkin terjadi. Prinsip ini
sebaiknya diterapkan sebagai panduan dalam pengambilan keputusan yang mungkin diperlukan
pada situasi yang tidak diantisipasi. Prinsip bukan merupakan persyaratan.

4.1.2. Tujuan sertifikasi adalah memberikan keyakinan kepada semua pihak bahwa suatu
sistem manajemen memenuhi persyaratan yang telah ditetapkan. Nilai dari sertifikasi
adalah tingkat keyakinan publik dan kepercayaan yang dihasilkan dari asesmen oleh pihak
ketiga yang kompeten dan tidak berpihak (netral). Pihak yang memiliki kepentingan dalam
sertifikasi mencakup, namun tidak terbatas pada :
a) pelanggan lembaga sertifikasi;
b) pelanggan organisasi yang sistem manajemennya telah disertifikasi;
c) lembaga pemerintah yang berwenang;
d) organisasi non-pemerintah dan;
e) konsumen dan anggota masyarakat lainnya.
4.1.3. Prinsip yang menumbuhkan keyakinan mencakup - ketidakberpihakan,
- kompetensi,
- tanggung jawab,

a)
b)

c)
d)

- keterbukaan,
- kerahasiaan, dan
- cepat tanggap terhadap keluhan.
4.2. Ketidakberpihakan
4.2.1 Tidak berpihak dan dipersepsikan tidak berpihak diperlukan oleh lembaga sertifikasi
untuk menghasilkan jasa sertifikasi yang memberikan kepercayaan.
4.2.2 Diketahui bahwa sumber pendapatan lembaga sertifikasi berasal dari pembayaran sertifikasi
pelanggannya, dan hal ini merupakan suatu ancaman potensial terhadap ketidakberpihakan.
4.2.3 Untuk mendapatkan dan memelihara kepercayaan, penting bahwa keputusan lembaga
sertifikasi didasarkan pada bukti objektif dari kesesuaian (atau ketidaksesuaian) yang diperoleh,
dan keputusannya tidak dipengaruhi oleh kepentingan lain atau oleh pihak lain.
4.2.4 Ancaman terhadap ketidakberpihakan mencakup hal berikut ini :
Ancaman swa-kepentingan (self-interest threats): ancaman yang timbul dari seseorang atau lembaga
yang bertindak untuk kepentingannya sendiri. Kepentingan yang terkait dengan sertifikasi yang
merupakan ancaman pada ketidakberpihakan adalah swa-kepentingan terhadap keuangan.
Ancaman swa-kajian (self-review threats) : ancaman yang timbul dari seseorang atau lembaga yang
melakukan kajian terhadap pekerjaannya sendiri. Audit sistem pelanggan oleh seseorang
dari lembaga sertifikasi yang telah memberikan konsultasi sistem manajemen menjadi ancaman
dalam swa-kajian.
Ancaman karena keakraban (atau kepercayaan) (familiarity (or trust) threats) :ancaman yang
timbul dari seseorang atau lembaga yang terlalu akrab atau terlalu percaya dengan personel
tertentu dibanding dengan pencarian bukti audit.
Ancaman intimidasi (Intimidation threats) : ancaman yang dirasakan oleh seseorang atau lembaga
yang merasa dipaksa secara terbuka atau rahasia, seperti ancaman akan diganti atau dilaporkan
kepada penyelia.
4.3
Kompetensi
Kompetensi personel yang didukung oleh sistem manajemen lembaga sertifikasi diperlukan
untuk menghasilkan jasa sertifikasi yang memberikan keyakinan. Kompetensi adalah
kemampuan yang ditunjukkan untuk menggunakan pengetahuan dan keterampilan.
4.4 Tanggung Jawab
4.4.1 Organisasi pelanggan, memiliki tanggung jawab untuk memenuhi persyaratan sertifikasi
dan bukan lembaga sertifikasi.
4.4.2 Lembaga sertifikasi memiliki tanggung jawab untuk mengaudit bukti objektif yang
memadai sebagai dasar pengambilan keputusan sertifikasi. Berdasarkan kesimpulan

audit, lembaga sertifikasi membuat suatu keputusan untuk memberikan sertifikasi jika terdapat
bukti kesesuaian yang memadai atau tidak memberikan sertifikasi jika tidak terdapat bukti
kesesuaian yang memadai.
CATATAN Setiap audit didasarkan pada pengambilan contoh di dalam sistem manajemen organisasi,
oleh karena itu bukan jaminan bahwa persyaratan telah terpenuhi 100%.

4.5
Keterbukaan
4.5.1 Suatu lembaga sertifikasi perlu menyediakan akses kepada publik
atau memaparkan informasi yang sesuai dan tepat waktu mengenai proses audit dan proses
sertifikasinya, serta status sertifikasi suatu organisasi (misalnya, pemberian,
perluasan, pemeliharaan, pembaruan, pembekuan, pengurangan lingkup, atau
pencabutan sertifikasi), untuk memperoleh keyakinan atas integritas dan kredibilitas
sertifikasi. Keterbukaan merupakan prinsip dalam mengakses atau memaparkan informasi
yang sesuai.
4.5.2 Untuk mendapatkan atau memelihara keyakinan dalam sertifikasi, suatu lembaga sertifikasi
seharusnya menyediakan akses yang sesuai atau memaparkan informasi yang tidak bersifat
rahasia mengenai kesimpulan audit spesifik (misalnya, audit untuk menanggapi keluhan)
kepada pihak tertentu yang berkepentingan.
4.6
Kerahasiaan
Untuk mendapatkan akses khusus terhadap informasi yang diperlukan oleh lembaga sertifikasi
dalam mengaudit kesesuaian terhadap persyaratan sertifikasi secara memadai, lembaga sertifikasi
harus menjaga kerahasiaan seluruh informasi kepemilikan pelanggan.
4.7
Cepat-tanggap terhadap keluhan
Pihak yang berkepentingan terhadap sertifikasi berharap keluhan diselidiki dan jika keluhan
benar, sebaiknya pihak tersebut memperoleh kepastian bahwa keluhan ditangani dengan benar
dan diselesaikan secara layak. Cepat tanggap yang efektif terhadap keluhan merupakan
sarana perlindungan yang efektif bagi lembaga sertifikasi, pelanggannya dan pengguna
sertifikasi lainnya terhadap kesalahan, kelalaian atau perilaku yang tidak wajar. Kepercayaan
dalam kegiatan sertifikasi akan terpelihara apabila keluhan diproses secara benar.
CATATAN Keseimbangan antara prinsip keterbukaan dan kerahasiaan, termasuk cepat
tanggap terhadap keluhan, penting untuk menunjukkan integritas dan kredibilitas kepada seluruh pengguna
sertifikasi.

5. Persyaratan umum
5.1. Materi Kontrak dan hukum
5.1.1. Tanggung jawab hukum
Lembaga sertifikasi harus berupa badan hukum, atau bagian tertentu dari badan hukum, sehingga
lembaga sertifikasi memiliki tanggung jawab secara hukum atas seluruh kegiatan
sertifikasinya. Lembaga sertifikasi pemerintah dipertimbangkan sebagai badan hukum
berdasarkan status pemerintahnya.

5.1.2. Perjanjian sertifikasi


Lembaga sertifikasi harus memiliki perjanjian yang berkekuatan hukum
untuk menyediakan kegiatan sertifikasi kepada pelanggannya. Sebagai tambahan bila
lembaga sertifikasi memiliki beberapa kantor atau pelanggan memiliki beberapa lokasi,
lembaga sertifikasi tersebut harus menjamin adanya perjanjian berkekuatan hukum antara
lembaga sertifikasi yang memberikan jasa sertifikasi dan menerbitkan sertifikat dengan
seluruh lokasi yang tercakup dalam lingkup sertifikasi.
5.1.3. Tanggung jawab keputusan sertifikasi
Lembaga sertifikasi harus bertanggung jawab untuk dan harus
mempertahankan kewenangannya atas keputusan yang berkaitan dengan sertifikasi mencakup
pemberian, pemeliharaan, pembaruan, perluasan, pengurangan, pembekuan dan
pencabutan sertifikasi.
5.2. Manajemen ketidakberpihakan
5.2.1. Manajemen puncak lembaga sertifikasi harus memiliki komitmen
terhadap ketidakberpihakan dalam kegiatan sertifikasi sistem manajemen.Lembagasertifikasi
harus membuat pernyataan yang dapat diakses publik yang menunjukkan
ketidakberpihakannya dalam melaksanakan kegiatan sertifikasi sistem
manajemen, mengelola konflik kepentingan, dan menjamin objektivitas kegiatan
sertifikasi sistem manajemen.
5.2.2. Lembaga sertifikasi harus mengidentifikasi, menganalis dan mendokumentasikan
kemungkinan konflik kepentingan yang timbul dari penyediaansertifikasi termasuk setiap konflik
yang timbul dari hubungan kerjanya. Memiliki hubungan kerja bukan berarti lembaga sertifikasi
memiliki konflik kepentingan.Namun demikian jika ada hubungan yang menciptakan ancaman
tersebut, informasi ini harus tersedia bagi komite yang ditentukan dalam butir 6.2. Peragaan
tersebut harus mencakup semua sumber konflik kepentingan potensial yang teridentifikasi
apakah konflik kepentingan tersebut timbul dari dalam lembaga sertifiksi atau dari kegiatan
personel, lembaga atau organisasi lain.
CATATAN Hubungan yang mengancam ketidakberpihakan lembaga sertifikasi dapat
disebabkan oleh,kepemilikan, penentu kebijakan/aturan, manajemen, personel, sumberdaya bersama,
keuangan, kontrak, pemasaran dan pembayaran komisi penjualan atau insentif lainnya dari pelanggan
baru, dan sebagainya.

5.2.3. Bila hubungan menunjukkan suatu ancaman yang tidak dapat diterima terhadap
ketidakberpihakan (seperti anak perusahaan yang sahamnya dimiliki sepenuhnya oleh lembaga
sertifikasi yang meminta sertifikasi ke perusahaan induknya) maka sertifikasi tidak boleh
diberikan.
CATATAN

Lihat Catatan 5.2.2.

5.2.4. Suatu lembaga sertifikasi tidak boleh mensertifikasi lembaga sertifikasi lain untuk kegiatan
sertifikasi sistem manajemennya.
CATATAN

Lihat Catatan 5.2.2.

5.2.5. Lembaga sertifikasi dan setiap bagian dari badan hukum yang sama tidak
boleh menawarkan atau menyediakan konsultasi sistem manajemen. Hal ini juga berlaku
untuk bagian pemerintahan yang diidentifikasi sebagai lembaga sertifikasi.
5.2.6. Lembaga sertifikasi dan setiap bagian dari badan hukum yang sama tidak
boleh menawarkan atau menyediakan audit internal kepada pelanggan yang
disertifikasinya. Lembaga sertifikasi tidak boleh mensertifikasi sistem manajemen dimana
lembaga sertifikasi melakukan audit internal terhadap pelanggan dalam selang waktu dua
tahun terakhir. Hal ini juga berlaku pada bagian pemerintahan yang diidentifikasi
sebagai lembaga sertifikasi.
CATATAN

Lihat Catatan 5.2.2

5.2.7. Lembaga sertifikasi tidak boleh mensertifikasi sistem manajemen pada pelanggan yang
telah menerima konsultasi sistem manajemen atau audit internal, dimana hubungan antara
organisasi konsultan dengan lembaga sertifikasi menunjukkan ancaman yang mempengaruhi
ketidakberpihakan lembaga sertifikasi.
CATATAN 1
Diperbolehkan untuk menetapkan dua tahun sebagai periode minimal dari akhir
konsultasi sistem manajemen untuk mengurangi ancaman yang mempengaruhi
terhadap ketidakberpihakan.
CATATAN 2 Lihat Catatan 5.2.2

5.2.8. Lembaga sertifikasi tidak boleh memberikan jasa audit kepadaorganisasi konsultan
sistem manajemen karena merupakan suatu ancaman yangmempengaruhi ketidakberpihakan
lembaga sertifikasi (lihat 7.5). Hal ini tidak berlaku bagi individu yang dikontrak sebagai
auditor sebagaimana tercakup dalam butir 7.3
5.2.9. Kegiatan lembaga sertifikasi tidak boleh dipasarkan atau diberi kesempatan yang terkait
dengan kegiatan organisasi konsultan sistem manajemen. Lembaga sertifikasi harus
mengambil tindakan untuk memperbaiki klaim yang tidak sesuai dari setiap organisasi
konsultan yang menyatakan atau menunjukkan bahwa sertifikasi akan lebih sederhana, lebih
mudah, lebih cepat atau lebih murah jika lembaga sertifikasi tersebut digunakan. Lembaga
sertifikasi tidak boleh menyatakan atau menunjukkan bahwa sertifikasi akan lebih sederhana,
lebih mudah, lebih cepat atau lebih murah jika organisasi konsultan tertentu digunakan.
5.2.10. Untuk menjamin bahwa tidak ada konflik kepentingan, personel yang
telah memberikan konsultasi sistem manajemen termasuk mereka yang bertindak
dalam kapasitas manajerial, tidak boleh digunakan oleh lembaga sertifikasi untuk
mengambil bagian dalam audit atau kegiatan sertifikasi lainnya, jika mereka telah terlibat
dalam konsultasi sistem manajemen terhadap pelanggan yang sedang ditangani dalam
dua tahun setelah berakhirnya konsultasi tersebut.
5.2.11. Lembaga sertifikasi harus mengambil tindakan untuk menanggapi setiap ancaman terhadap
ketidakberpihakan yang timbul dari tindakan personel, lembaga, atau organisasi lain.
5.2.12. Seluruh personel lembaga sertifikasi, baik internal maupun eksternal, atau komite
yang dapat mempengaruhi kegiatan sertifikasi harus bertindak secara tidak berpihak dan

a)

g)
h)
i)

tidak diizinkan memberi tekanan komersial, keuangan atau tekanan lainnya


yang mengkompromikan ketidakberpihakan.
5.2.13. Lembaga sertifikasi harus mensyaratkan personel, baik internal maupun eksternal, untuk
mengungkapkan seluruh situasi yang mungkin menimbulkan konflik kepentingan pada personel
atau lembaga sertifikasi tersebut. Lembaga sertifikasi harus menggunakan i n f o r ma s i i n i s e ba gai
m as uk an u n t u k me n g i d e n t i f i k a s i a n c a m a n t e r h a d a p ketidakberpihakan yang timbul
akibat kegiatan personel atau organisasi yang mempekerjakan mereka dan tidak boleh
menggunakan personel internal atau eksternal tersebut, kecuali mereka dapat menunjukkan
bahwa tidak ada konflik kepentingan.
5.3. Pertanggunggugatan dan keuangan
5.3.1. Lembaga sertifikasi harus mampu menunjukkan telah mengevaluasi resiko yang timbul dari
kegiatan sertifikasinya dan memiliki pengaturan yang cukup (seperti asuransi atau cadangan)
untuk menanggung pertanggunggugatan yang timbul dari operasinya dalam setiap bidang
kegiatan dan wilayah geografi dimana lembaga sertifikasi beroperasi.
5.3.2. Lembaga sertifikasi harus mengevaluasi keuangan dan sumberpendapatannya, serta
melaporkan kepada komite sebagaimana ditetapkan dalam butir 6.2 bahwa sejak awal dan
selama berlangsungnya kegiatan tidak ada tekanankomersial, keuangan atau tekanan lainnya
yang mengkompromikan ketidakberpihakan.
6.
Persyaratan Struktural
6.1. Struktur organisasi dan manajemen puncak
6.1.1 Lembaga
sertifikasi
harus
mendokumentasikan
struktur
organisasinya,
yang menunjukkan tugas, tanggung jawab dan kewenangan manajemen dan
personel sertifikasi serta setiap komite. Apabila lembaga sertifikasi merupakan bagian dari
suatu badan hukum, struktur tersebut harus mencakup jalur kewenangan dan hubungan
dengan bagian lainnya dalam badan hukum yang sama.
6.1.2 Lembaga sertifikasi harus mengidentifikasi manajemen puncak (dewan, kelompok personel,
atau personel) yang memiliki kewenangan dan tanggung jawab menyeluruh untuk setiap hal
berikut :
pengembangan kebijakan yang berkaitan dengan operasi lembaga;
b) pengawasan penerapan kebijakan dan prosedur;
c) pengawasan keuangan lembaga;
d) pengembangan jasa dan skema sertifikasi sistem manajemen;
e) kinerja audit dan sertifikasi, dan daya tanggap terhadap keluhan;
f) keputusan sertifikasi;
pendelegasian wewenang kepada komite atau individu, jika dipersyaratkan, untuk melaksanakan
kegiatan tertentu atas nama lembaga sertifikasi;
pengaturan kontrak;
penyediaan sumberdaya yang memadai untuk kegiatan sertifikasi.
6.1.3 Lembaga sertifikasi harus memiliki aturan resmi untuk penunjukan, kerangka acuan
kerja dan operasi setiap komite yang terlibat dalam kegiatan sertifikasi.

a)
b)
c)
d)

a)
b)
c)

6.2. Komite pengamanan ketidakberpihakan


6.2.1 Struktur lembaga sertifikasi harus mengamankan ketidakberpihakan kegiatannya dan
membentuk komite untuk:
membantu pengembangan kebijakan yang berkaitan dengan ketidakberpihakan kegiatan
sertifikasinya,
melakukan antisipasi terhadap setiap kecenderungan lembaga sertifikasi yang mengizinkan
pertimbangan komersial atau pertimbangan lainnya, yang mencegah konsistensi tujuan melayani
kegiatan sertifikasi.
memberikan saran mengenai hal-hal yang mempengaruhi kepercayaan sertifikasi, termasuk
keterbukaan dan persepsi publik, dan
melakukan kajian, minimal setahun sekali, mengenai ketidakberpihakan dalam proses audit,
sertifikasi dan pengambilan keputusan lembaga sertifikasi.
Tugas atau kewajiban lainnya dapat diberikan kepada komite sepanjang tugas atau kewajiban
tambahan ini tidak mengkompromikan peran pentingnya dalam menjamin ketidakberpihakan.
6.2.2 Komposisi, kerangka acuan kerja, kewajiban, kewenangan, dan kompetensi anggota
serta tanggung jawab komite harus secara formal didokumentasikan dan disahkan oleh
manajemen puncak lembaga sertifikasi untuk menjamin
Keterwakilan pihak yang berkepentingan secara seimbang seperti tidak adanya kepentingan
tunggal yang mendominasi (personel internal atau eksternal lembaga sertifikasi
dipertimbangkan sebagai satu kepentingan tunggal dan tidak mendominasi),
akses terhadap seluruh informasi yang diperlukan agar komite mampu memenuhi fungsinya (juga
lihat butir 5.2.2 dan 5.2.3), dan
bahwa jika manajemen puncak lembaga sertifikasi tidak menghargai saran komite, maka komite
berhak melakukan tindakan sendiri (seperti, menginformasikan kepada pihak yang berwenang,
badan akreditasi, dan pemangku kepentingan). Dalam melakukan tindakan tersebut, komite
harus mentaati persyaratan kerahasiaan pada butir 8.5 yang berkaitan dengan pelanggan dan
lembaga sertifikasi.
6.2.3 Meskipun komite tidak dapat mewakili setiap kepentingan, lembaga sertifikasi sebaiknya
mengidentifikasi dan mengundang pihak utama yang berkepentingan. Pihak tersebut dapat
mencakup: pelanggan lembaga sertifikasi, pelanggan organisasi yang sistem manajemennya
disertifikasi, perwakilan asosiasi industri dan perdagangan, perwakilan lembaga regulasi
pemerintah atau layanan pemerintah lain, atau perwakilan lembaga swadaya masyarakat,
termasuk organisasi konsumen.
7. Persyaratan Sumberdaya
7.1. Kompetensi manajemen dan personel
7.1.1 Lembaga sertifikasi harus memiliki proses untuk menjamin bahwa personel
memiliki pengetahuan yang sesuai dengan tipe sistem manajemen dan wilayah geografi
lembaga sertifikasi tersebut beroperasi.

Lembaga sertifikasi harus menetapkan kompetensi yang diperlukan untuk setiap bidang teknis
(sesuai dengan skema sertifikasi spesifik), dan untuk setiap fungsi dalam kegiatan sertifikasi.
Lembaga sertifikasi harus menentukan cara memperagakan kompetensi
sebelum melaksanakan fungsi spesifik.
7.1.2 Dalam menentukan persyaratan kompetensi personel yang melaksanakan sertifikasi,
lembaga sertifikasi harus menentukan fungsi yang dilaksanakan oleh manajemen dan
personel administratif, disamping mereka yang melaksanakan kegiatan audit dan sertifikasi
secara langsung.
7.1.3 Lembaga sertifikasi harus memiliki akses kepada tenaga ahli teknis yang diperlukan
untuk memberi saran mengenai hal yang terkait dengan sertifikasi dalam bidang teknis, tipe
sistem manajemen dan wilayah geografi lembaga sertifikasi tersebut beroperasi. Saran demikian
dapat diberikan oleh personel eksternal atau oleh personel lembaga sertifikasi.
7.2. Personel yang terlibat dalam kegiatan sertifikasi
7.2.1 Lembaga sertifikasi harus memiliki, sebagai bagian dari organisasinya, personel yang
memiliki kompetensi yang cukup untuk mengelola tipe dan lingkupprogram audit serta pekerjaan
sertifikasi lainnya yang dilakukan.
7.2.2 Lembaga sertifikasi harus mempekerjakan atau memiliki akses kepada auditor dalam
jumlah yang cukup termasuk ketua tim audit dan tenaga ahli teknis yang mencakup seluruh
kegiatannya untuk menangani volume pekerjaan audit yang dilakukan.
7.2.3 Lembaga sertifikasi harus menetapkan secara jelas kewajiban, tanggung jawab dan
wewenang untuk setiap personelnya.
7.2.4 Lembaga sertifikasi harus menetapkan proses seleksi, pelatihan, wewenang auditor dan
seleksi tenaga ahli teknis yang digunakan dalam kegiatan sertifikasi. Evaluasi kompetensi awal
seorang auditor harus mencakup peragaan atribut personel yang dapat digunakan, dan
kemampuannya dalam menerapkan pengetahuan dan keterampilan yang dibutuhkan selama audit,
sebagaimana ditetapkan oleh evaluator yang kompeten yang mengamati auditor dalam
melaksanakan audit.
7.2.5 Lembaga sertifikasi harus memiliki proses untuk mencapai dan memperagakan audit
secara efektif, termasuk penggunaan auditor dan ketua tim audit yang memiliki keterampilan
dan pengetahuan audit umum dan keterampilan serta pengetahuan yang tepat untuk mengaudit
bidang teknis yang spesifik. Proses ini harus ditetapkan dalam persyaratan terdokumentasi yang
disusun sesuai dengan panduan yang relevan dalam SN I 19-19011.
7.2.6 Lembaga sertifikasi harus menjamin bahwa auditor (dan, bila diperlukan, tenaga ahli
teknis) memiliki pengetahuan mengenai proses audit, persyaratan sertifikasi dan persyaratan
lainnya yang relevan. Lembaga sertifikasi harus memberikan akses kepada auditor dan tenaga
ahli teknis terhadap seperangkat prosedur terdokumentasi mutakhir yang mencakup instruksi
audit dan seluruh informasi yang relevan dengan kegiatan sertifikasi.

7.2.7 Lembaga sertifikasi harus menggunakan auditor dan tenaga ahli teknis yang memiliki
kompetensi tertentu sesuai bidang kegiatan sertifikasi.
CATATAN Penugasan auditor dan tenaga ahli teknis dalam tim untuk audit spesifik dijabarkan
pada butir 9.1.3.

7.2.8 Lembaga
sertifikasi
harus
mengidentifikasi
kebutuhan
pelatihan
dan
harus memberikan kesempatan atau menyediakan akses pada pelatihan spesifik
untuk menjamin auditor, tenaga ahli, dan personel lainnya yang terlibat dalam
kegiatan sertifikasi kompeten untuk melaksanakan fungsinya .
7.2.9 Kelompok atau individu yang mengambil keputusan dalam
pemberian,
pemeliharaan, pembaruan, perluasan, pengurangan, pembekuan atau pencabutan sertifikasi
harus memahami Standar dan persyaratan sertifikasi yang berlaku dan telah memperagakan
kompetensinya untuk mengevaluasi proses audit dan rekomendasi terkait dari tim audit.
7.2.10 Lembaga sertifikasi harus menjamin kinerja yang memuaskan seluruh personel yang
terlibat dalam kegiatan audit dan sertifikasi. Lembaga sertifikasi harusmempunyai prosedur yang
terdokumentasi dan kriteria untuk memantau dan mengukur kinerja seluruh personel yang terlibat
berdasarkan frekuensi penugasan dan tingkat resiko yang terkait dengan kegiatan mereka. Untuk
mengidentifikasi kebutuhan pelatihan, lembaga sertifikasi harus mengkaji ulang kompetensi
personeldari segi kinerjanya.
7.2.11 Prosedur pemantauan auditor yang terdokumentasi harus mencakupkombinasi observasi
lapangan, tinjauan laporan audit dan umpan balik daripelanggan atau pasar, dan harus
ditetapkan dalam persyaratan terdokumentasi sesuai dengan pedoman yang relevan dalam SNI
19-19011. Pemantauan ini harus didesain sedemikian rupa untuk meminimalkan gangguan
proses sertifikasi, terutama dari sudut pandang pelanggan.
7.2.12 Lembaga sertifikasi secara periodik harus mengamati kinerja dari setiap auditor di lapangan.
Frekuensi observasi di lapangan harus berdasarkan kebutuhan yang ditentukan dari seluruh
informasi pemantauan yang tersedia.
7.3. Penggunaan auditor eksternal dan tenaga ahli teknis eksternal individual Lembaga
sertifikasi harus mensyaratkan auditor dan tenaga ahli teknis eksternal untuk membuat perjanjian
tertulis yang memuat komitmen mereka untuk mematuhi kebijakan dan prosedur yang berlaku
sebagaimana ditetapkan oleh lembaga sertifikasi.
Perjanjian tersebut harus mencakup aspek yang berkaitan dengan kerahasiaan, bebas dari
kepentingan komersial, dan tekanan lainnya, serta harus mensyaratkan auditor dan tenaga ahli
teknis eksternal untuk
memberitahukan
lembaga sertifikasi
setiap
hubungannya saat ini dan sebelumnya dengan organisasi yang akan mereka audit.
CATATAN Penggunaan auditor dan tenaga ahli teknis individual berdasarkan perjanjian
tersebut di atas bukan merupakan subkontrak sebagaimana dijelaskan dalam butir 7.5.

7.4. Rekaman personel


Lembaga sertifikasi harus memelihara rekaman personel yang mutakhir mencakup
kualifikasi,
pelatihan, pengalaman, afiliasi, status profesional, kompetensi dan setiap
jasa konsultasi yang relevan yang telah diberikan. Rekaman personel termasuk rekaman

untuk personel manajemen dan personel administratif, dan personel yang melakukan kegiatan
sertifikasi.
7.5. Subkontrak (Outsourcing)
7.5.1. Lembaga sertifikasi harus mempunyai proses penentuan dilakukannya subkontrak (kegiatan
menyerahkan kepada organisasi lain untuk melakukan sebagian kegiatan sertifikasi atas nama
lembaga sertifikasi). Lembaga sertifikasi harus memiliki perjanjian yang berkekuatan hukum
mencakup pengaturan, termasuk kerahasiaan dan konflik kepentingan, dengan seluruh
lembaga yang disubkontrakkan.
CATATAN 1
Hal ini mencakup sukontrak kepada lembaga sertifikasi lain. Penggunaan auditor
dan tenaga ahli teknis berdasarkan kontrak dijelaskan dalam butir 7.3.
CATATAN 2 Untuk tujuan Standar ini, istilah outsourcing dan subkontrak dianggap sama.

a)
b)
c)

7.5.2. Keputusan untuk pemberian, pemeliharaan, pembaruan, perluasan,


pengurangan, pembekuan atau pencabutan sertifikat tidak boleh disubkontrakkan.
7.5.3. Lembaga sertifikasi
harus bertanggung jawab atas seluruh kegiatan yang disubkontrakkan kepada lembaga lain,
har us
me nj a mi n
b a h wa
le mb a g a
ya n g
d is u bk o nt r ak d a n i ndi vi du
yang dipekerjakannya memenuhi persyaratan lembaga sertifikasi danketentuan yang berlaku
dari Standar ini, termasuk kompetensi, ketidakberpihakan dan kerahasiaan, dan
har us
me nj a mi n b a h wa
l e mb a g a
ya n g d is ub ko n tr a k d a n i n div i du
yang dipekerjakannya, tidak terlibat secara langsung maupun melaluiperusahaan lain dengan
organisasi yang diaudit sehingga menyebabkan ketidakberpihakan dapat dikompromikan.
7.5.4. Lembaga
sertifikasi
harus
mempunyai
prosedur
terdokumentasi
untuk mengkualifikasi dan memantau seluruh lembaga yang disubkontrak untuk
kegiatan sertifikasi dan menjamin bahwa rekaman kompetensi auditor dan tenaga ahli
teknis dipelihara.
8. Persyaratan Informasi
8.1. Informasi yang dapat diakses publik
8.1.1 Lembaga sertifikasi harus memelihara dan membuat akses publik terhadap informasi
yang menjelaskan proses audit, proses sertifikasi untuk pemberian, pemeliharaan,
perluasan, pembaruan, pengurangan, pembekuan atau pencabutan sertifikasi, dan kegiatan
sertifikasi, tipe sistem manajemen dan wilayah geografi dimana lembaga tersebut beroperasi
atau menyediakan informasi tersebut berdasarkan permintaan.
8.1.2 Informasi yang disediakan oleh lembaga sertifikasi kepada setiap pelanggan atau pasar
termasuk iklan harus akurat dan tidak menyesatkan.

8.1.3 Lembaga sertifikasi harus memberikan informasi yang dapat diakses publik mengenai
sertifikasi yang diberikan, dibekukan atau dicabut.
8.1.4 Berdasarkan permintaan setiap pihak, lembaga sertifikasi harus menyediakan cara untuk
mengkonfirmasi keabsahan dari sertifikasi yang diberikan.
CATATAN 1 Jika informasi keseluruhan dibagi menjadi beberapa sumber (misal. dalam bentuk cetakan
atau bentuk elektronik atau kombinasi keduanya), dapat diterapkan suatu sistem yang menjamin
kemamputelusuran dan tidak menimbulkan kerancuan diantara sumber-sumber tersebut (misal, sistem
penomoran yang unik atau hyperlink di internet).
CATATAN 2 Dalam kasus tertentu, akses informasi dapat dibatasi atas permintaan pelanggan (misalnya
untuk alasan keamanan)

a)
b)

g)

8.2. Dokumen sertifikasi


8.2.1 Lembaga sertifikasi harus memberikan dokumen sertifikasi kepada
pelanggan tersertifikasi dengan cara yang dipilihnya.
8.2.2 Tanggal efektif pada dokumen sertifikasi tidak boleh ditetapkan sebelum tanggal keputusan
sertifikasi.
8.2.3 Dokumen sertifikasi harus mencantumkan hal berikut ini:
nama dan lokasi geografi tiap pelanggan yang sistem manajemennya disertifikasi (atau lokasi
geografis kantor pusat dan setiap lokasi dalam lingkup sertifikasi multilokasi;
tanggal pemberian, perluasan atau pembaruan sertifikasi;
c) tanggal kadaluarsa atau batas waktu sertifikasi ulang sesuai dengan siklus sertifikasi ulang;
d) kode identifikasi tertentu;
e) standar dan/atau dokumen normatif lainnya, mencakup nomor penerbitan dan/atau revisi,
yang digunakan untuk audit pelanggan tersertifikasi;
f) lingkup sertifikasi berkenaan dengan produk (termasuk jasa), proses, dan lainnya selama
berlaku pada setiap lokasi;
nama, alamat dan tanda sertifikasi dari lembaga sertifikasi, tanda lainnya (misal, simbol
akreditasi) dapat digunakan dengan syarat tidak menyesatkan atau membingungkan;
h) setiap informasi lainnya yang disyaratkan Standar dan/atau dokumen normatif lainnya yang
digunakan untuk sertifikasi;
i) dalam hal penerbitan dokumen sertifikasi yang direvisi, diperlukan cara
untuk membedakan dokumen yang telah direvisi dengan dokumen yang tidak berlaku.
8.3. Direktori pelanggan tersertifikasi
Lembaga
sertifikasi
harus
memelihara
dan
membuat
akses
publik
atau
menyediakan berdasarkan permintaan, dengan cara yang dipilih suatu direktori sertifikasi yang
sah minimal memuat nama, dokumen normatif yang sesuai, lingkup dan lokasi
geografis (misal, kota dan negara) untuk setiap pelanggan yang disertifikasi (atau lokasi
geografi dari kantor pusat dan seluruh tapak dalam lingkup sertifikasi multilokasi)
CATATAN

Direktori adalah hak milik lembaga sertifikasi.

8.4. Acuan sertifikasi dan penggunaan tanda


8.4.1. Lembaga sertifikasi harus memiliki suatu kebijakan yang mengatur setiap tanda yang
telah diberikan hak penggunaannya kepada pelanggan yang telah disertifikasi. Kebijakan
tersebut harus menjamin antara lain ketertelusuran ke lembaga sertifikasi. Sebaiknya tidak ada
kerancuan dalam penggunaan tanda atau teks yang menyertainya, misalnya kerancuan tanda
atau teks tentang kegiatan yang disertifikasi dengan logo lembaga sertifikasi yang memberikan
sertifikasi. Tanda ini tidak boleh digunakan pada produk atau kemasan produk yang terlihat oleh
konsumen atau dengan cara lain yang dapat diinterpretasikan sebagai kesesuaian produk.
CATATAN

a)
b)
c)
d)
e)
f)
g)
h)

ISO/IEC 17030 memberikan persyaratan untuk penggunaan tanda pihak-ketiga.

8.4.2. Lembaga sertifikasi tidak boleh mengizinkan tandanya dipakai pada laporan
uji laboratorioum, kalibrasi atau inspeksi, karena dalam konteks ini laporan tersebut dianggap
sebagai produk.
8.4.3. Lembaga sertifikasi harus mensyaratkan bahwa organisasi pelanggan untuk
memenuhi persyaratan lembaga sertifikasi pada saat membuat acuan status sertifikasinya
dalam media komunikasi seperti internet, brosur atau iklan, atau dokumen lainnya,
tidak membuat atau mengijinkan pernyataan yang menyesatkan berkenaan dengan sertifikasinya,
tidak menggunakan atau mengizinkan penggunaan dokumen sertifikasi atau bagiannya
dalam cara yang menyesatkan,
menghentikan penggunaan seluruh materi periklanan yang memuat acuan sertifikasi, sebagaimana
ditentukan oleh lembaga sertifikasi (lihat butir 9.6.3 dan 9.6.6) bila terjadi pembekuan atau
pencabutan sertifikasi,
merubah seluruh materi periklanan pada saat lingkup sertifikasi dikurangi,
tidak mengizinkan penggunaan acuan sertifikasi sistem manajemen yang dapat menyiratkan
bahwa lembaga sertifikasi tersebut memberikan sertifikasi produk (termasuk jasa) atau proses
tidak menyiratkan bahwa sertifikasi berlaku untuk kegiatan diluar lingkup sertifikasi, dan
tidak menggunakan sertifikasinya yang dapat membawa lembaga sertifikasi dan/atau sistem
sertifikasi kehilangan reputasi dan kepercayaan publik.
8.4.4. Lembaga sertifikasi harus menguji pengendalian kepemilikan secara tepat dan harus
mengambil tindakan berkenaan dengan acuan status sertifikasi yang tidak benar atau
penggunaan dokumen sertifikasi, tanda atau laporan audit yang menyesatkan.
CATATAN
Tindakan demikian dapat mencakup permintaan koreksi dan tindakan korektif,
pembekuan, pencabutan sertifikasi, publikasi pelanggaran dan, jika perlu, tindakan hukum.

8.5. Kerahasiaan
8.5.1 Lembaga sertifikasi harus memiliki kebijakan dan pengaturan, melalui perjanjian
yang berkekuatan hukum, untuk mengamankan kerahasiaan informasi yang diperoleh

atau dibuat selama pelaksanaan kegiatan sertifikasi pada seluruh tingkatan strukturnya, termasuk
komite dan lembaga eksternal atau individu yang bertindak atas namanya.
8.5.2 Lembaga sertifikasi harus menginformasikan pelanggan terlebih dahulu mengenai
informasi yang menjadi wilayah publik. Seluruh informasi harus dianggap rahasia kecuali
informasi yang disediakan pelanggan untuk publik.
8.5.3 Kecuali disyaratkan dalam Standar ini, informasi mengenai pelanggan atau individu
tertentu tidak boleh dipaparkan kepada pihak ketiga tanpa persetujuan tertulis dari pelanggan atau
individu yang berkepentingan.
Jika berdasarkan hukum lembaga sertifikasi diminta untuk memberikan informasi yang bersifat
rahasia kepada pihak ketiga, pelanggan atau individu yang berkepentingan harus diberitahukan
terlebih dahulu mengenai informasi yang diberikan kecuali yang diatur oleh hukum.
8.5.4 Informasi tentang pelanggan dari sumber selain pelanggan (misalnya dari pihak yang
memberikan keluhan, regulator) harus diperlakukan sebagai rahasia, konsisten dengan
kebijakan lembaga sertifikasi.
8.5.5 Personel, termasuk setiap anggota komite, kontraktor, personel lembaga eksternal atau
individu yang bertindak atas nama lembaga sertifikasi, harus menjaga kerahasiaan seluruh
informasi yang diperoleh atau dibuat selama pelaksanaan kegiatan sertifikasi.
8.5.6 Lembaga sertifikasi harus menyediakan dan menggunakan perlengkapan serta fasilitas
yang menjamin keamanan penanganan informasi yang bersifat rahasia (misalnya dokumen,
rekaman).
8.5.7 Bila informasi yang bersifat rahasia diberikan kepada lembaga lain (misal lembaga akreditasi,
kelompok perjanjian dalam skema peer asesmen), lembaga sertifikasi harus menginformasikan
pelanggannya mengenai tindakan ini.
8.6. Pertukaran informasi antara lembaga sertifikasi dan pelanggannya
8.6.1. Informasi kegiatan dan persyaratan sertifikasi
Lembaga sertifikasi harus menyampaikan kepada pelanggannya hal berikut yang mutakhir:
a) deskripsi rinci mengenai kegiatan sertifikasi awal dan kelanjutannya, termasuk permohonan,
audit awal, audit survailen, dan proses untuk pemberian, pemeliharaan, pengurangan, perluasan,
pembekuan, pencabutan sertifikasi dan sertifikasi ulang;
b) persyaratan normatif untuk sertifikasi;
c) informasi mengenai biaya permohonan, sertifikasi awal dan kelanjutannya;
d) persyaratan lembaga sertifikasi untuk calon pelanggan
1) untuk memenuhi persyaratan sertifikasi,
2) membuat seluruh pengaturan yang diperlukan untuk melaksanakan audit, termasuk ketentuan
untuk menguji dokumentasi dan akses ke seluruh proses dan bidang, rekaman dan personel untuk
tujuan sertifikasi awal, survailen, sertifikasi ulang dan penyelesaian keluhan, dan
3) membuat ketentuan, bila sesuai, untuk mengakomodasi kehadiran pengamat (misalnya, auditor
akreditasi atau calon auditor);

e) dokumen yang menjelaskan hak dan kewajiban pelanggan yang disertifikasi, termasuk persyaratan,
untuk membuat acuan sertifikasi guna keperluan komunikasi yang selaras dengan persyaratan
pada butir 8.4;
f) informasi tentang prosedur penanganan keluhan dan banding.
8.6.2. Pemberitahuan perubahan oleh lembaga sertifikasi
Lembaga sertifikasi harus memberikan kepada pelanggan yang disertifikasi setiap perubahan
persyaratan sertifikasi. Lembaga sertifikasi harus memverifikasi bahwa setiap pelanggan yang
disertifikasi memenuhi persyaratan baru tersebut.
CATATAN
Pengaturan kontrak dengan pelanggan yang disertifikasi menjadi penting untuk
menjamin pelaksanaan persyaratan ini.
Model perjanjian lisensi untuk penggunaan sertifikasi, termasuk aspek yang terkait
dengan pemberitahuan perubahan, sejauh dapat diterapkan, ada pada Lampiran E dari PSN 3042006 (ISO/IEC Guide 28:2004).

a)
b)
c)
d)
e)

8.6.3. Pemberitahuan perubahan oleh pelanggan


Lembaga sertifikasi harus memiliki pengaturan yang berkekuatan hukum untuk menjamin bahwa
pelanggan yang disertifikasi menginformasikan kepada lembaga sertifikasi, tanpa menunda,
mengenai hal-hal yang dapat mempengaruhi kemampuan sistem manajemen untuk memenuhi
persyaratan Standar sertifikasi yang digunakan. Hal ini mencakup, misal, perubahan yang berkaitan
dengan
hukum, komersial, status organisasi atau kepemilikan,
organisasi dan manajemen (misal, manajerial penentu, pengambil keputusan atau staf teknis,
alamat penghubung dan lokasi,
lingkup operasi sistem manajemen yang disertifikasi, dan
perubahan utama pada sistem manajemen dan proses,
CATATAN Suatu model perjanjian lisensi untuk penggunaan sertifikasi, termasuk aspek aspek yang terkait dengan pemberitahuan perubahan, sepanjang dapat diterapkan, terdapat dalam Lampiran E
PSN 304-2006 (ISO/IEC Guide 28:2004).

9. Persyaratan proses 9.1. Persyaratan umum


9.1.1. Program audit harus mencakup dua tahap audit awal, audit survailenpada
tahun pertama dan kedua, dan audit sertifikasi ulang di tahun ketigasebelum berakhirnya
sertifikasi. Siklus sertifikasi tiga tahunan dihitung sejak keputusan sertifikasi
atau s e r t i f i k a s i u l a n g . P e n e n t u a n p r o g r a m a u d i t d a n p e n y e s u a i a n n y a
h a r u s mempertimbangkan ukuran organisasi pelanggan, lingkup dan kompleksitas
sistem manajemennya, produk dan proses, serta tingkat efektivitas sistem manajemen
yang ditunjukkan dan hasil audit sebelumnya. Ketika suatu lembaga sertifikasi
akan mempertimbangkan kembali sertifikasi atau audit yang telah diberikan kepada
pelanggan, lembaga sertifikasi harus mengumpulkan informasi yang cukup dan dapat
diverifikasiuntuk menjastifikasi dan merekam setiap penyesuaian program audit.
9.1.2 Lembaga sertifikasi harus menjamin bahwa rencana audit untuk setiap audit
ditetapkan sebagai dasar perjanjian tentang pelaksanaan dan penjadwalan kegiatan audit.

d)

Rencana audit harus didasarkan pada persyaratan terdokumentasi dari lembaga sertifikasi
dan disusun sesuai dengan panduan yang relevan dalam SNI 19-19011.
9.1.3 Lembaga sertifikasi harus memiliki suatu proses seleksi dan penunjukan tim audit, termasuk
pemimpin tim audit, dengan mempertimbangkan kompetensi yang dibutuhkan untuk mencapai
sasaran audit. Proses ini harus didasarkan pada persyaratan yang terdokumentasi, yang
disusun sesuai dengan panduan yang relevan dalam SNI 19-19011.
9.1.4 Lembaga sertifikasi harus mendokumentasikan prosedur penentuan waktu audit. Untuk
setiap pelanggan, lembaga sertifikasi harus menentukan waktu yang diperlukan untuk
merencanakan dan menyelesaikan audit sistem manajemen pelanggan secara lengkap dan
efektif. Waktu audit ditentukan oleh lembaga sertifikasi dan jastifikasi penentuan waktu audit
harus direkam.
Dalam menentukan waktu audit, lembaga sertifikasi harus mempertimbangkan, antara lain aspek
berikut ini:
a) persyaratan Standar sistem manajemen yang sesuai;
b) ukuran dan kompleksitas;
c) konteks teknologi dan peraturan perundang-undangan;
d) setiap subkontrak dari tiap kegiatan yang termasuk di dalam lingkupsistem manajemen;
e) hasil setiap audit sebelumnya;
f) jumlah lokasi dan multilokasi yang dipertimbangkan.
9.1.5 Apabila pengambilan contoh multilokasi digunakan untuk mengauditsistem manajemen
pelanggan yang memiliki kegiatan yang sama di berbagailokasi, lembaga sertifikasi harus
mengembangkan suatu progam pengambilan contoh untuk memastikan audit sistem manajemen
dengan benar. Alasan untuk rencana pengambilan contoh harus didokumentasikan untuk setiap
pelanggan.
9.1.6 Tugas yang diberikan kepada tim audit harus ditetapkan dan diketahui oleh organisasi
pelanggan, dan harus mensyaratkan tim audit untuk
a) menguji dan memverifikasi struktur, kebijakan, proses, prosedur, rekaman, dan dokumen
terkait dari organisasi pelanggan sesuai dengan sistem manajemen,
b) menentukan bahwa hal tersebut di atas memenuhi seluruh persyaratan yang sesuai dengan
lingkup sertifikasi yang dimaksudkan,
c) menentukan bahwa prosedur ditetapkan, diterapkan dan dipelihara secara efektif sehingga
memberi kepercayaan dalam sistem manajemen pelanggan, dan
mengkomunikasikan kepada pelanggan atas setiap tindakannya yang tidak konsisten antara
kebijakan, sasaran dan target pelanggan (sesuai dengan harapan Standar sistem manajemen
atau dokumen normatif lainnya) dengan hasil yang dicapai.
9.1.7 Lembaga sertifikasi harus menyediakan nama dan bila diminta, menyediakan informasi
latar belakang dari setiap anggota tim audit dengan waktu yang cukup bagi organisasi
pelanggan untuk mengajukan keberatan atas auditor atau tenaga ahli yang ditunjuk dan bagi
lembaga sertifikasi untuk menyusun ulang anggota tim dalam rangka menanggapi keberatan yang
sah.
9.1.8 Rencana audit harus dikomunikasikan dan tanggal audit harus
disetujui sebelumnya bersama dengan organisasi pelanggan.

9.1.9 Lembaga sertifikasi harus memiliki suatu proses untuk melaksanakan audit lapangan
sebagaimana ditetapkan dalam persyaratan terdokumentasi sesuai dengan panduan yang
relevan dalam SNI 19-19011.
CATATAN 1
Selain mengunjungi lokasi fisik (misal, pabrik), audit lapangan dapat mencakup
akses jarak jauh melalui situs elektronik yang memuat informasi yang relevan untuk keperluan audit sistem
manajemen.
CATATAN 2 istilah auditi sebagaimana digunakan dalam SNI 19-19011 berarti organisasi yang sedang
diaudit.

9.1.10 Lembaga sertifikasi harus memberikan laporan tertulis untuk setiap audit. Laporan tersebut
harus didasarkan pada panduan yang sesuai yang terdapat dalam SNI 19- 1901 1.Tim audit
dapat mengidentifikasi peluang untuk perbaikan namun tidak boleh merekomendasikan
penyelesaian tertentu. Kepemilikan laporan audit harus dipelihara oleh lembaga sertifikasi.
9.1.11 Lembaga sertifikasi harus mensyaratkan pelanggan untuk menganalisis penyebab dan
menjelaskan koreksi spesifik dan tindakan korektif yang dilakukan atau direncanakan
untuk dilakukan, untuk mengeliminasi ketidaksesuaian yang terdeteksi dalam waktu yang
ditentukan.
9.1.12 Lembaga sertifikasi harus mengkaji koreksi dan tindakan korektif yang diajukan oleh
pelanggan untuk menentukan keberterimaannya .
9.1.13 Organisasi yang diaudit harus diinformasikan jika ada audit lengkap tambahan, audit
terbatas tambahan, atau bukti terdokumentasi (untuk dikonfirmasikan dalam audit survailen
mendatang) untuk memverifikasi koreksi dan tindakan korektif yang efektif.
9.1.14 Lembaga sertifikasi harus menjamin bahwa personel atau komite yang membuat keputusan
sertifikasi atau sertifikasi ulang berbeda dengan yang melakukan audit.
9.1.15 Lembaga sertifikasi harus mengkonfirmasikan sebelum membuat keputusan, mengenai
a) informasi yang cukup, diberikan oleh tim audit berkaitan dengan persyaratan sertifikasi dan
lingkup sertifikasi;
b) lembaga sertifikasi telah mengkaji, menerima, dan memverifikasi efektivitas koreksi dan tindakan
korektif untuk seluruh ketidaksesuaian yang mewakili
1) kegagalan untuk memenuhi satu atau lebih persyaratan Standar sistem manajemen, atau
2) Situasi yang menimbulkan keraguan yang signifikan terhadap kemampuan sistem manajemen
pelanggan untuk mencapai output yang diinginkan.
c) lembaga sertifikasi telah mengkaji dan menerima koreksi dan tindakan korektif yang direncanakan
pelanggan untuk seluruh ketidaksesuaian lainnya.
9.2. Audit dan sertifikasi awal
9.2.1. Permohonan
Lembaga sertifikasi harus mensyaratkan wakil yang berwenang dari organisasi pemohon untuk
memberikan informasi yang diperlukan untuk menetapkan hal berikut :
a) ruang lingkup sertifikasi yang diinginkan;

b) fitur umum dari organisasi pemohon, mencakup nama dan alamat dari lokasi fisik, aspek
signifikan dari proses dan operasinya, dan setiap kewajiban hukum lainnya yang sesuai;
c) informasi umum sesuai bidang sertifikasi yang dimohon, berkenaan dengan
organisasi pemohon seperti aktivitas, sumberdaya manusia dan teknis, fungsi dan jika ada,
hubungan dengan organisasi yang lebih besar ;
d) informasi mengenai seluruh proses yang disubkontrakkan digunakan oleh organisasi dan akan
mempengaruhi kesesuaian terhadap persyaratan;
e) Standar atau persyaratan lain keperluan sertifikasi organisasi pemohon;
f) informasi mengenai penggunaan konsultasi yang berkaitan dengan sistem manajemen.
9.2.2 Kajian permohonan
9.2.2.1 Sebelum melakukan audit, lembaga sertifikasi harus melaksanakan kajian terhadap
permohonan dan informasi tambahan untuk sertifikasi guna menjamin bahwa :
a) informasi mengenai organisasi pemohon dan sistem manajemennya telah cukup untuk pelaksanaan
audit;
b) persyaratan untuk sertifikasi telah ditetapkan dan didokumentasikan dengan jelas, serta telah
disediakan bagi organisasi pemohon;
c) setiap perbedaan pemahaman antara lembaga sertifikasi dan organisasipemohon telah
terselesaikan;
d) lembaga sertifikasi memiliki kompetensi dan kemampuan untukmelaksanakan kegiatan
sertifikasi;
e) lingkup sertifikasi, lokasi operasi dari organisasi pemohon, waktu yangdiperlukan untuk audit
secara lengkap dan setiap kegiatan lainnya yang mempengaruhi kegiatan sertifikasi telah
diperhitungkan (bahasa, kondisi keamanan, ancaman terhadap ketidakberpihakan, dll);
f) rekaman jastifikasi keputusan untuk melakukan audit dipelihara.
9.2.2.2 Berdasarkan kajian ini, lembaga sertifikasi harus menetapkan kompetensi yang dibutuhkan
untuk dicakup dalam tim audit dan keputusan sertifikasi.
9.2.2.3 Tim audit harus ditunjuk dan terdiri atas auditor (dan tenaga ahli teknis
bila diperlukan), yang diantara mereka memiliki kompetensi secara menyeluruh yang
telah diidentifikasi oleh lembaga sertifikasi seperti pada butir 9.2.2.2 untuk sertifikasi organisasi
pemohon.
Seleksi tim harus dilaksanakan dengan mengacu pada kompetensi auditor dan tenaga ahli
teknis yang ditetapkan pada butir 7.2.5, dan dapat mencakup sumber daya manusia internal
maupun eksternal.
9.2.2.4 Individu-individu yang akan melaksanakan keputusan sertifikasi harus ditunjuk untuk
menjamin tersedianya kompetensi yang memadai (lihat butir 7.2.9 dan 9.2.2.2)
9.2.3 Audit Sertifikasi Awal
Audit sertifikasi awal sistem manajemen harus dilaksanakan dalam dua tahap:tahap 1 dan
tahap 2.

a)
b)

e)

a)

g)

9.2.3.1 Audit tahap 1


9.2.3.1.1 Tahap 1 audit harus dilaksanakan untuk:
mengaudit dokumentasi sistem manajemen pelanggan;
mengevaluasi lokasi dan kondisi lapangan pelanggan yang spesifik dan melakukan diskusi
dengan personel pelanggan untuk menentukan kesiapan untuk audit tahap 2;
c) mengkaji status dan pemahaman pelanggan berkenaan dengan persyaratan
Standar, terutama yang berkaitan dengan identifikasi kinerja utama atau aspek yang
signifikan, proses, sasaran, dan operasi sistem manajemen;
d) mengumpulkan informasi penting berkenaan dengan lingkup sistem manajemen, proses
dan lokasi pelanggan, dan aspek peraturan perundang-undangan
dan pemenuhannya (sebagai contoh aspek hukum, lingkungan, dan mutu dari
operasi pelanggan, keterkaitan resiko, dsb);
mengkaji alokasi sumber daya untuk audit tahap 2 dan persetujuan pelanggan berkenaan
dengan rincian audit tahap 2;
f) memfokuskan perencanaan audit tahap 2 dengan mendapatkan pemahaman yang cukup
tentang sistem manajemen pelanggan dan operasional di lapangan dalam konteks aspek
signifikan yang mungkin;
g) mengevaluasi rencana dan pelaksanaan internal audit dan kaji ulang manajemen, dan level
implementasi dari substansi sistem manajemen menunjukkan bahwa pelanggan siap untuk audit
tahap 2.
Untuk kebanyakan sistem manajemen, direkomendasikan paling sedikit audit tahap
1 dilaksanakan di tempat pelanggan untuk mencapai sasaran yang telah ditetapkan di atas.
9.2.3.1.2 Temuan audit tahap 1 harus didokumentasikan dan dikomunikasikankepada pelanggan,
termasuk identifikasi area yang menjadi perhatian yang dapat diklasifikasikan sebagai
ketidaksesuaian selama audit tahap 2.
9.2.3.1.3 Dalam menentukan interval antara audit tahap 1 dan audit tahap
2, pertimbangan harus diberikan untuk kebutuhan pelanggan guna menyelesaikan area yang menjadi
perhatian yang teridentifikasi selama audit tahap 1. Lembaga sertifikasi juga dapat merevisi
pengaturan yang diperlukan untuk audit tahap 2.
9.2.3.2 Audit Tahap 2
Tujuan dari audit tahap 2 adalah untuk mengevaluasi implementasi, termasuk efektifitas sistem
manajemen pelanggan. Audit tahap 2 harus dilaksanakan di lokasi pelanggan. Audit harus
mencakup minimal hal-hal berikut :
informasi dan bukti tentang kesesuaian untuk seluruh persyaratan Standar sistem manajemen
yang berlaku atau dokumen normatif lainnya;
b) pemantauan, pengukuran, pelaporan, dan pengkajian kinerja dibandingkan
dengan sasaran dan target kinerja yang utama (sesuai dengan harapan dalam
Standar sistem manajemen atau dokumen normatif lainnya yang berlaku.)
c) sistem manajemen dan unjuk kerja pelanggan terkait pemenuhan legal
d) pengendalian operasional proses-proses pelanggan
e) internal audit dan kaji ulang manajemen
f) Tanggung jawab manajemen untuk kebijakan pelanggan
Hubungan antara persyaratan normatif, kebijakan, sasaran dan target kinerja (sesuai dengan
harapan dalam Standar sistem manajemen atau dokumen normatif lainnya yang berlaku), setiap
persyaratan legal yang berlaku, tanggung jawab, kompetensi personel, operasional, prosedur,
data kinerja dan temuan internal audit dan kesimpulan.
9.2.4 Kesimpulan audit untuk sertifikasi awal
Tim audit harus menganalisis seluruh informasi dan bukti audit yang diperoleh selama audit
tahap 1 dan tahap 2 untuk mengkaji temuan-temuan audit dan menyetujui kesimpulan
audit.
9.2.5 Informasi untuk pemberian sertifikasi awal
9.2.5.1 Informasi yang disediakan oleh tim audit kepada lembaga sertifikasi untuk keputusan
sertifikasi harus mencakup, minimal :

a. lapora n a udi t,
b. keterangan pada ketidaksesuaian, dan jika tersedia, koreksi dan tindakan korektif yang
dilakukan oleh pelanggan,
c. konfirmasi tentang informasi yang disediakan untuk lembaga sertifikasi yang digunakan
dalam pengkajian permohonan (lihat butir 9.2.2) dan
d. rekomendasi diberikan atau tidak diberikannya sertifikasi, serta setiap kondisi atau observasi.
9.2.5.2 Lembaga sertifikasi harus membuat keputusan sertifikasi berdasarkan pada evaluasi
temuan audit dan kesimpulan audit serta informasi sesuai lainnya (sebagai contoh informasi
publik, keterangan pada laporan audit dari pelanggan)
9.3. Kegiatan survailen 9.3.1 Umum
9.3.1.1 Lembaga
sertifikasi
harus
mengembangkan
kegiatan
survailen
sehingga keterwakilan area dan fungsi yang dicakup dalam lingkup sistem manajemen
dipantau secara reguler, dan memperhitungkan perubahan yang ada pada pelanggan
yang disertifikasi dan sistem manajemennya.
9.3.1.2 Kegiatan
survailen
harus
mencakup audit
lapangan dengan
mengaudit pemenuhan persyaratan spesifik sistem manajemen pelanggan tersertifikasi,
berkaitan dengan Standar yang sertifikasinya diberikan. Kegiatan survailen lainnya
dapat mencakup :
a. pertanyaan dari lembaga sertifikasi kepada pelanggan tersertifikasi terhadap aspek-aspek
sertifikasi
b. pengkajian setiap pernyataan pelanggan berkenaan dengan operasionalnya (sebagai contoh
bahan promosi, website)
c. permintaan kepada pelanggan untuk menyediakan dokumen dan rekaman (pada kertas
atau media elektronik) dan
d. hal lainnya terkait pemantauan kinerja pelanggan tersertifikasi
9.3.2 Audit Survailen
9.3.2.1 Audit survailen adalah audit lapangan, tetapi bukan audit sistem secara
menyeluruh, dan harus direncanakan bersama dengan kegiatan survailen lainnya
sehingga lembaga sertifikasi dapat memelihara kepercayaan bahwa sistem manajemen

a.

b.

yang disertifikasi tetap memenuhi persyaratan diantara audit sertifikasi ulang. Program audit
survailen harus mencakup, minimal :
a. internal audit dan kaji ulang manajemen,
b. tinjauan tindakan yang diambil terhadap ketidaksesuaian yang diidentifikasi selama audit
sebelumnya,
c. penanganan keluhan,
d. efektifitas sistem manajemen untuk pencapaian sasaran pelanggan tersertifikasi,
e. kemajuan dari aktifitas yang direncanakan untuk peningkatan berkelanjutan,
f. keberlanjutan pengendalian operasional,
g. tinjauan setiap perubahan, dan
h. penggunaan logo dan/atau referensi sertifikasi lainnya .
9.3.2.2 Audit survailen harus dilaksanakan minimal satu kali setahun. Waktu audit survailen
pertama tidak boleh lebih dari 12 bulan sejak hari terakhir audit tahap 2 sertifikasi awal.
9.3.3 Pemeliharaan sertifikasi
Lembaga
sertifikasi
harus
memelihara
sertifikasi
didasarkan
atas
peragaan
bahwa pelanggan
tetap
konsisten
terhadap
persyaratan
Standar
sistem
manajemen. Pemeliharan sertifikasi pelanggan dapat didasarkan pada kesimpulan positif oleh
ketua tim audit tanpa dilakukan kajian independen lebih lanjut, dengan ketentuan bahwa :
untuk setiap ketidaksesuaian atau situasi lain yang dapat menyebabkan pembekuan atau
pencabutan sertifikasi, lembaga sertifikasi harus memiliki sistem yang mensyaratkan ketua
tim audit untuk melaporkan kepada lembaga sertifikasi keperluan melakukan suatu tinjauan oleh
personel yang kompeten (lihat butir 7.2.9), yang berbeda dengan personel yang melaksanakan
audit, untuk menentukan apakah sertifikasi dapat dipelihara, dan
personel kompeten dari lembaga sertifikasi memantau kegiatan survailennya, termasuk
pemantauan pelaporan yang dilakukan auditor-auditornya, untuk mengkonirmasikan bahwa
kegiatan sertifikasi dioperasikan secara efektif.
9.4. Sertifikasi ulang
9.4.1. Perencanaan audit sertifikasi ulang
9.4.1.1 Audit
sertifikasi
ulang
harus
direncanakan
dan
dilaksanakan
untuk
mengevaluasi pemenuhan terhadap seluruh persyaratan Standar sistem manajemen atau
dokumen normatif lain secara berkelanjutan. Tujuan audit sertifikasi ulang adalah
untuk mengkonfirmasi keberlanjutan kesesuaian dan efektifitas sistem manajemen
secara keseluruhan, serta relevansi dan kemampuan organisasi terhadap lingkup sertifikasi.
9.4.1.2 Audit sertifikasi ulang harus mempertimbangkan kinerja sistem manajemen selama periode
sertifikasi dan mencakup tinjauan atas laporan survailen sebelumnya.
9.4.1.3 Kegiatan audit sertifikasi ulang mungkin membutuhkan audit tahap 1 bila
terdapat perubahan signifikan pada sistem manajemen , pelanggan , atau konteks
sistem manajemen yang sedang dioperasikan (sebagai contoh perubahan terhadap
peraturan perundang-undangan).

a.
b.
c.

a.
b.

9.4.1.4 Pada kasus multi lokasi atau sertifikasi untuk multi Standar sistem manajemen,
perencanaan audit harus menjamin kecukupan cakupan audit lapangan untuk memberi keyakinan
dalam sertifikasi.
9.4.2. Audit sertifikasi ulang
9.4.2.1 Audit sertifikasi ulang harus mencakup audit lapangan yang dilakukan untuk hal- hal
sebagai berikut :
efektifitas sistem manajemen secara menyeluruh terkait dengan perubahan internal dan eksternal
serta kesinambungan relevansi dan penerapannya terhadap lingkup sertifikasi;
menunjukkan komitmen untuk memelihara efektivitas dan peningkatan sistem manajemen
untuk mencapai kinerja secara keseluruhan;
pengoperasian sistem manajemen yang disertifikasi berkontribusi atau tidak terhadap pencapaian
kebijakan dan sasaran organisasi.
9.4.2.2 Bila selama audit sertifikasi ulang, teridentifikasi ketidaksesuaian atau kurangnya bukti
kesesuaian, lembaga sertifikasi harus memberikan batas waktu untuk koreksi dan tindakan
korektif untuk diimplementasikan sebelum habisnya masa berlaku sertifikat.
9.4.3. Informasi untuk pemberian sertifikasi ulang
Lembaga sertifikasi harus membuat keputusan
untuk pembaharuansertifikasi berdasarkan pada hasil audit sertifikasi ulang, begitupun
dengan hasiltinjauan sistem selama periode sertifikasi dan keluhan yang diterima dari
penggunasertifikasi
9.5. Audit khusus
9.5.1 Perluasan ruang lingkup
Lembaga sertifikasi harus merespon permohonan untuk perluasan ruang lingkup sertifikasi
yang telah diberikan, melakukan suatu kajian terhadap permohonan dan menentukan
kegiatan audit yang penting untuk memutuskan perluasan diberikan atau tidak. Hal ini dapat
dilakukan bersamaan dengan audit survailen.
9.5.2 Audit tidak terjadwal (short-notice)
Dapat dimungkinkan suatu lembaga sertifikasi melakukan audit tidak terjadwal terhadap pelanggan
yang disertifikasinya untuk menginvestigasi keluhan (lihat butir 9.8), atau berkaitan dengan
perubahan-perubahan (lihat 8.6.3), atau sebagai tindak lanjut dari pelanggan yang dibekukan
(lihat butir 9.6). Dalam kasus yang demikian :
lembaga sertifikasi harus menjelaskan dan memberitahu terlebih dahulu kepada pelanggan yang
disertifikasinya (sebagai contoh, dalam dokumen sebagaimana dijelaskan dalam butir 8.6.1)
mengenai persyaratan kunjungan tiba tiba yang dilakukan,
lembaga sertifikasi harus memberi perhatian lebih dalam penugasan tim audit karena kurangnya
peluang bagi pelanggan untuk berfokus pada anggota tim audit.

9.6. Pembekuan, pencabutan, atau pengurangan ruang lingkup sertifikasi


9.6.1 Lembaga sertifikasi harus memiliki kebijakan dan prosedur terdokumentasi
untuk pembekuan, pencabutan, atau pengurangan ruang lingkup sertifikasi, dan
harus menspesifikasikan tindakan-tindakan penting yang dilakukan oleh lembaga sertifikasi.
9.6.2 Lembaga sertifikasi harus membekukan sertifikasi pada kasus, sebagai contoh :
- sistem manajemen pelanggan yang disertifikasi gagal secara total dan serius
dalam memenuhi persyaratan sertifikasi , termasuk persyaratan efektivitas
system manajemen,
- pelanggan yang disertifikasi tidak memperbolehkan audit survailen atau sertifikasi ulang
dilaksanakan pada frekwensi yang dipersyaratkan, atau
- pelanggan yang disertifikasi telah meminta pembekuan secara sukarela
9.6.3 Dalam kondisi pembekuan, sertifikasi sistem manajemen pelanggan untuk sementara
tidak berlaku. Lembaga sertifikasi harus memiliki perjanjian yang mengikat dengan
pelanggannya untuk menjamin bahwa dalam kasus pembekuan, pelanggan dilarang
menggunakan sertifikasinya untuk keperluanpromosi lebih lanjut. Lembaga sertifikasi harus
membuat status pembekuan sertifikasi yang dapat diakses publik (lihat 8.1.3) dan harus
melakukan tindakan lain yang sesuai.
9.6.4 Kegagalan untuk menyelesaikan masalah pokok dari pembekuan dalam jangka waktu
yang ditetapkan, maka lembaga sertifikasi harus mencabut atau mengurangi ruang lingkup
sertifikasi.
CATATAN

Pada kebanyakan kasus pembekuan tidak melebihi 6 bulan.

9.6.5 Lembaga sertifikasi harus mengurangi ruang lingkup sertifikasi pelanggan untuk bagianbagian yang tidak memenuhi persyaratan, bila pelanggan gagal secara total memenuhi
persyaratan sertifikasi untuk bagian-bagian dari ruang lingkup sertifikasi tersebut. Setiap
pengurangan harus selaras dengan persyaratan Standar yang digunakan untuk sertifikasi.
9.6.6 Lembaga sertifikasi harus memiliki perjanjian mengikat dengan pelanggan
yang disertifikasinya berkaitan dengan persyaratan pencabutan (lihat butir 8.4.3.d)
yang menjamin selama pencabutan sertifikasi, pelanggan tidak melanjutkan
penggunaan sertifikasi pada materi periklanan yang memuat referensi status sertifikasinya.
9.6.7 Berdasarkan permintaan pihak tertentu, lembaga sertifikasi harus menyatakan dengan
benar status sertifikasi sistem manajemen pelanggan yang dibekukan, dicabut, atau dikurangi.
9.7. Banding
9.7.1 Lembaga sertifikasi harus memiliki proses terdokumentasi untuk
menerima, mengevaluasi, dan membuat keputusan terhadap banding.
9.7.2 Penjelasan proses penanganan banding harus tersedia untuk publik

a.
b.
c.

a.
b.
c.

9.7.3 Lembaga sertifikasi harus bertanggung jawab atas seluruh keputusan di semua tingkat
proses penanganan banding. Lembaga sertifikasi harus menjamin bahwa personel yang terlibat
dalam proses penanganan banding berbeda dengan personel yang melaksanakan audit dan
membuat keputusan sertifikasi.
9.7.4 Pengajuan, investigasi, dan keputusan banding harus tidak menghasilkan tindakan diskriminasi
terhadap pemohon banding.
9.7.5 Proses penanganan banding harus mencakup minimal elemen dan metoda berikut:
garis besar proses untuk penerimaan, validasi, dan investigasi banding, dan untuk memutuskan
tindakan yang akan diambil, dengan mempertim bang kan hasil banding sebelumnya yang serupa;
memindai (tracking) dan merekam banding, termasuk tindakan yang diambil untuk penyelesaian;
menjamin bahwa koreksi dan tindakan korektif yang sesuai telah dilakukan.
9.7.6 Lembaga sertifikasi harus memberitahu diterimanya permohonan banding dan harus
menyampaikan laporan kemajuan serta hasil (outcome) kepada pemohon banding.
9.7.7 Keputusan untuk dikomunikasikan kepada pemohon banding harus dibuat oleh atau dikaji
dan disetujui oleh satu atau lebih individu yang tidak terlibat sebelumnya dalam subyek banding.
9.7.8 Lembaga sertifikasi harus memberikan pernyataan resmi kepada pemohon banding
pada akhir proses penanganan banding.
9.8. Keluhan
9.8.1 Penjelasan proses penanganan keluhan harus dapat diakses publik.
9.8.2 Selama penerimaan keluhan, lembaga sertifikasi
harus mengkonfirmasikan
keterkaitan keluhan tersebut dengan kegiatan sertifikasi yang menjadi tanggung jawabnya,
bila terkait, harus diselesaikan. Jika keluhan terkait dengan sistem manajemen pelanggan yang
disertifikasi, maka pemeriksaan keluhan harus mempertimbangkan efektifitas sistem
manajemen yang disertifikasi
9.8.3 Setiap keluhan tentang pelanggan yang disertifikasi harus diteruskan oleh lembaga sertifikasi
kepada pelanggan yang disertifikasinya pada waktu yang tepat.
9.8.4 Lembaga
sertifikasi
harus
memiliki
proses
terdokumentasi
untuk
menerima, mengevaluasi, dan membuat keputusan terhadap keluhan. Proses ini
harus mempersyaratkan kerahasiaan, yang berkaitan dengan pihak yeng mengajukan
keluhan dan isi dari keluhan.
9.8.5 Proses penanganan keluhan harus mencakup minimal elemen dan metoda berikut :
garis besar proses untuk menerima, memvalidasi, menginvestigasi keluhan, dan untuk
memutuskan apa tindakan yang harus diambil untuk meresponnya;
memindai (tracking) dan merekam keluhan, termasuk tindakan yang harus diambil sebagai respon
terhadap hal tersebut;
menjamin bahwa koreksi dan tindakan korektif yang sesuai telah dilakukan

CATATAN

ISO 10002 menyediakan panduan untuk penanganan keluhan

9.8.6 Lembaga sertifikasi yang menerima keluhan harus bertanggung jawab


untuk mendapatkan dan memverifikasi seluruh informasi penting untuk memvalidasi keluhan.
9.8.7 Jika dimungkinkan, lembaga sertifikasi harus memberitahu diterimanya permohonan keluhan
dan harus memberikan laporan kemajuan dan hasilnya kepada pemohon keluhan.
9.8.8 Keputusan untuk dikomunikasikan kepada pemohon keluhan harus dibuat, dikaji dan
disetujui oleh satu atau lebih individu yang tidak terlibat dengan keluhan sebelumnya.
9.8.9 Apabila dimungkinkan, lembaga sertifikasi harus memberikan pernyataan resmi pada
akhir proses penanganan keluhan kepada pihak yang mengajukan keluhan.
9.8.10 Lembaga sertifikasi harus menentukan bersama-sama dengan pelanggannya dan pihak
yang mengajukan keluhan, apakah cakupan permasalahan keluhan dan penyelesaiannya
harus dipublikasikan.
9.9. Rekaman pemohon dan pelanggan
9.9.1 Lembaga sertifikasi harus memelihara rekaman audit dan kegiatan sertifikasi lainnya
untuk seluruh pelanggan termasuk seluruh organisasi yangmengajukan permohonan dan
seluruh organisasi yang diaudit, disertifikasi atauyang sertifikasinya dibekukan atau dicabut.
9.9.2 Rekaman pelanggan yang disertifikasi harus mencakup hal-hal berikut :
a. informasi permohonan dan laporan audit awal, survailen, dan sertifikasi ulang;
b. perjanjian sertifikasi;
c. justifikasi metodologi yang digunakan untuk pengambilan contoh;
d. justifikasi untuk penentuan waktu auditor (lihat butir 9.1.4);
e. verifikasi koreksi dan tindakan korektif;
f. rekaman keluhan dan banding, dan koreksi dan tindakan korektifnya;
g. pertimbangan dan keputusan komite, jika ada;
h. dokumentasi keputusan sertifikasi;
i. dokumen sertifikasi, termasuk ruang lingkup sertifikasi berkenaan dengan produk, proses, atau
jasa bila ada;
j. rekaman terkait penting untuk menetapkan kredibilitas sertifikasi seperti bukti kompetensi
auditor dan tenaga ahli.
CATATAN Metodologi pengambilan contoh termasuk pengambilan contoh untuk menilai
sistem manajemen spesifik dan atau untuk memilih lokasi dalam hal asesmen multi lokasi

9.9.3 Lembaga sertifikasi harus menyimpan rekaman pemohon dan pelanggan untuk menjamin
bahwa informasi disimpan secara rahasia. Rekaman harus ditransportasikan, ditransmisikan atau
ditransfer dengan cara yang menjamin bahwa kerahasiaan terpelihara.

9.9.4 Lembaga sertifikasi harus memiliki kebijakan dan prosedur terdokumentasi tentang masa
retensi rekaman. Rekaman harus disimpan untuk jangka waktu siklus terakhir ditambah satu
siklus sertifikasi lengkap.
CATATAN
Dalam beberapa yuridiksi, peraturan perundang-undangan menyatakan bahwa
rekaman harus dipelihara untuk periode waktu yang lebih lama.

10. Persyaratan sistem manajemen untuk lembaga sertifikasi


10.1. Pilihan
Lembaga sertifikasi harus menetapkan dan memelihara sistem manajemen yang
mampu mendukung dan menunjukkan untuk mencapai persyaratan Standar ini secara
konsisten. Selain itu untuk memenuhi persyaratan klausul 5 sampai 9, lembaga sertifikasi
harus menerapkan sistem manajemen berdasarkan :
a. persyaratan sistem manajemen berdasarkan SNI 19-9001 (lihat 10.2), atau
b. persyaratan sistem manajemen umum.
10.2. Pilihan 1 : Persyaratan sistem manajemen berdasarkan SNI 19-9001
10.2.1. Umum
Lembaga sertifikasi harus menetapkan dan memelihara sistem manajemen,
sesuai persyaratan SNI 19-9001, untuk mendukung dan mencapai persyaratan Standar ini,
yang diperkuat oleh klausul 10.2.2 sampai 10.2.5
10.2.2. Ruang lingkup
Untuk penerapan persyaratan SNI 19-9001, ruang lingkup sistem manajemen harus mencakup
persyaratan desain dan pengembangan untuk jasa sertifikasinya.
10.2.3. Fokus kepada pelanggan
Untuk penerapan persyaratan SNI 19-9001, pada saat mengembangkan
sistem manajemen, lembaga sertifikasi harus mempertimbangkan kredibilitas sertifikasi
dan harus memperhatikan kebutuhan seluruh pihak (sebagaimana disebutkan dalam 4.1.2) yang
berkaitan dengan jasa audit dan sertifikasi , tidak hanya pada pelanggannya.
10.2.4. Kaji ulang manajemen
Untuk penerapan persyaratan SNI 19-9001, lembaga sertifikasi harus memasukkan sebagai
masukan kaji ulang manajemen, informasi yang relevan tentang banding dan keluhan dari
pengguna kegiatan sertifikasi.
10.2.5. Desain dan pengembangan
Untuk penerapan persyaratan SNI 19-9001, ketika mengembangkan skema sertifikasi sistem
manajemen baru, atau mengadaptasi yang sudah ada untuk situasi khusus, lembaga
sertifikasi harus menjamin bahwa panduan yang diberikan dalam SNI 19-19011, yang sesuai
dengan situasi pihak ketiga, dimasukkan sebagai masukan desain.

10.3. Pilihan 2 : Persyaratan sistem manajemen umum


10.3.1 Umum
Lembaga sertifikasi harus menetapkan, mendokumentasikan, menerapkan,
dan memelihara sistem manajemen yang mampu mendukung dan menunjukkan pencapaian
persyaratan Standar ini secara konsisten.
Manajemen puncak lembaga sertifikasi harus menetapkan dan mendokumentasikan kebijakan
dan sasaran untuk kegiatannya. Manajemen puncak harus menyediakan bukti komitmen untuk
mengembangkan dan menerapkan sistem manajemen berdasarkan persyaratan Standar ini.
Manajemen puncak harus menjamin bahwa kebijakannya dimengerti, diterapkan, dan
dipelihara pada seluruh tingkatan organisasi lembaga sertifikasi.
Manajemen puncak lembaga sertifikasi harus menunjuk satu anggota manajemen yang diluar
tanggung jawab lainnya harus memiliki tanggung jawab dan kewenangan yang mencakup :
a. menjamin bahwa proses dan prosedur yang diperlukan untuk sistem manajemen ditetapkan,
diterapkan, dan dipelihara, dan
b. melaporkan kepada manajemen puncak mengenai kinerja sistem manajemen dankebutuhan
untuk perbaikannya.
10.3.2 Manual sistem manajemen
Seluruh persyaratan yang terdapat dalam Standar ini harus dibuat dalam manual atau dokumen
terkait. Lembaga sertifikasi harus menjamin bahwa manual dandokumen terkait dapat diakses oleh
seluruh personel yang terkait.
10.3.3 Pengendalian dokumen
Lembaga sertifikasi harus menetapkan prosedur untuk mengendalikan dokumen (internal dan
eksternal) yang berhubungan dengan pemenuhan Standar ini. Prosedur harus menetapkan
pengendalian yang dibutuhkan untuk :
a. menyetujui kecukupan dokumen sebelum diterbitkan,
b. meninjau dan memutakhirkan seperlunya dan menyetujui ulang dokumen,
c. menjamin bahwa setiap perubahan dan status revisi terakhir dokumen teridentifikasi,
d. menjamin bahwa versi dokumen yang berlaku dan relevan tersedia di
tempat penggunaan,
e. menjamin bahwa dokumen selalu dapat dibaca dan mudah dikenali,
f. menjamin bahwa dokumen eksternal teridentifikasi dan distribusinya terkendali, dan
g. mencegah penggunaan dokumen kadaluwarsa yang tidak disengaja dan memberi identifikasi yang
sesuai untuk dokumen tersebut jika dokumen itu disimpan untuk maksud tertentu.
CATATAN

Dokumentasi dapat berupa form atau tipe media apapun.

10.3.4 Pengendalian rekaman


Lembaga sertifikasi harus menetapkan prosedur untuk menetapkan pengendalian
yang dibutuhkan untuk pengidentifikasian, penyimpanan, perlindungan, pengambilan,
waktu retensi dan pemusnahan dari rekaman berkaitan dengan pemenuhan Standar
ini. Lembaga sertifikasi harus menetapkan prosedur untuk penyimpanan rekaman
dalam periode waktu tertentu sesuai dengan ketentuan kontrak dan legal. Akses
terhadap rekaman ini harus konsisten dengan pengaturan kerahasiaan.

CATATAN

Untuk persyaratan rekaman pelanggan tersertifkasi, lihat juga butir 9.9

10.3.5 Kaji ulang manajemen


10.3.5.1 Umum
Manajemen puncak lembaga sertifikasi harus menetapkan prosedur untuk kajian
sistem manajemen pada interval waktu yang terencana untuk menjamin kesesuaian,
kecukupan dan keefektifannya, termasuk kebijakan dan sasaran yang terkait dengan
pemenuhan Standar ini. Kaji ulang ini harus dilaksanakan minimal satu kali dalam setahun.
10.3.5.2 Masukan kaji ulang manajemen
Masukan kaji ulang manajemen harus mencakup informasi yang terkait dengan :
a. hasil audit internal dan eksternal,
b. umpan balik dari pelanggan dan pihak terkait dengan pemenuhan Standar ini,
c. umpan balik dari komite penjaga ketidakberpihakan,
d. status dari tindakan korektif dan tindakan pencegahan,
e. tindak lanjut kaji manajemen sebelumnya,
f. pencapaian sasaran,
g. perubahan yang dapat mempengaruhi sistem manajemen, dan
h. banding dan keluhan.
10.3.5.3 Keluaran kaji ulang manajemen
Keluaran dari kaji ulang manajemen harus mencakup keputusan dan tindakan yang terkait
dengan
a. peningkatan efektivitas sistem manajemen dan proses,
b. peningkatan jasa sertifikasi terkait dengan pemenuhan Standar ini, dan
c. kebut uha n su mber da ya.
10.3.6 Audit internal
10.3.6.1 Lembaga
sertifikasi
harus
menetapkan
prosedur
audit
internal
untuk memverifikasi bahwa lembaga sertifikasi memenuhi persyaratan Standar ini dan
bahwa sistem manajemen diterapkan dan dipelihara secara efektif.
CATATAN SNI 19-19011 menyediakan panduan pelaksanaan audit internal.

10.3.6.2 Program audit harus direncanakan, dengan mempertimbangkan pentingnya proses


dan area yang akan diaudit serta hasil audit sebelumnya
10.3.6.3 Audit internal harus dilaksanakan minimal sekali setiap 12 bulan. Frekuensi audit
internal dapat dikurangi jika lembaga sertifikasi dapat menunjukkan bahwa sistem manajemennya
dapat tetap diimplementasikan secara efektif berdasarkan Standar ini dan telah dibuktikan
kestabilannya.
10.3.6.4 Lembaga sertifikasi harus memastikan bahwa :
a. audit internal telah dilaksanakan oleh personel yang memiliki pengetahuan sertifikasi, audit, dan
persyaratan Standar ini,
b. auditor tidak mengaudit pekerjaannya sendiri,
c. personel yang bertanggung jawab pada area yang diaudit diinformasikan hasil dari audit,

d.

setiap tindakan hasil audit internal dilakukan tepat waktu dan dengan cara yang sesuai, dan
e. setiap peluang untuk perbaikan diidentifikasi.
10.3.7 Tindakan korektif
Lembaga
sertifikasi
harus
menetapkan
prosedur
untuk
mengidentifikasi
dan
mengelola ketidaksesuaian dalam operasinya. Lembaga sertifikasi juga harus, bila diperlukan,
mengambil tindakan untuk menghilangkan penyebab ketidaksesuaian dalam rangka mencegah
kejadian yang berulang.
Tindakan perbaikan harus sesuai dengan dampak masalah yang dihadapi . Prosedur harus
menjelaskan persyaratan untuk :
a. mengidentifikasi ketidaksesuaian (misalnya dari keluhan dan audit internal),
b. menentukan penyebab ketidaksesuaian,
c. memperbaiki ketidaksesuaian,
d. mengevaluasi kebutuhan tindakan untuk menjamin bahwa ketidaksesuaian tidak terjadi
kembali,
e. menentukan dan menerapkan secara tepat waktu, tindakan yang diperlukan,
f. merekam hasil dari tindakan yang telah dilakukan, dan
g. mengkaji efektivitas tindakan korektif.
10.3.8 Tindakan pencegahan
Lembaga
sertifikasi
harus
menetapkan
prosedur
tindakan
pencegahan
untuk menghilangkan penyebab ketidaksesuaian potensial. Tindakan pencegahan yang
diambil harus sesuai dengan dampak yang mungkin terjadi dari masalah potensial .
Prosedur tindakan pencegahan harus menjelaskan persyaratan untuk
a. identifikasi ketidaksesuaian potensial dan penyebabnya,
b. mengevaluasi kebutuhan untuk mencegah terjadinya ketidaksesuaian,
c. menentukan dan menerapkan tindakan yang diperlukan,
d. merekam hasil tindakan yang dilakukan, dan
e. mengkaji efektivitas dari tindakan pencegahan yang dilakukan.
CATATAN

Prosedur tindakan korektif dan tindakan pencegahan tidak harus terpisah.

8988801474123217
173