1. Amaç & Purpose
Bu prosedürün amacı; yönetim sistemi belgelendirme sürecinde başvuruların alınması, değerlendirilmesi, denetim sonucunun değerlendirilmesi, belge almaya hak kazanan kuruluşların belgelerinin düzenlenmesi ve teslim edilmesi, belgenin kullanılması, belgenin sürdürülmesi, belgenin askıya alınması ve geri çekilmesi aşamalarında uygulanacak yöntemleri belirlemektir. & The purpose of this procedure; The management system is to determine the methods to be applied in the stages of receiving and evaluating applications in the certification process, evaluating the audit result, organizing and delivering the documents that are entitled to receive documents, using the document, maintaining the document, suspending and withdrawing the document
2. Tanımlar & Definitions
Belgelendirme Komitesi & Certification Committee: Belgelendirme Müdürü ve ilgili denetim sürecinde görev almamış, çıkar çatışması bulunmayan, belgelendirilen kuruluşun EA kodu konusunda yeterlilik sahibi bir veya daha fazla Denetçi/ Baş denetçi /Teknik Uzman’dan oluşan komitedir. IQM Belgelendirme adına sistem belgeleri ile ilgili raporları ve evrakları değerlendirerek belgelendirme ile ilgili tüm kararları almaya yetkilidir. & It is the committee consisting of one or more Auditors / Chief Auditors / Technical Experts who do not take part in the Certification Manager and related audit process, have no conflict of interest, and are competent in the EA code of the certified organization. On behalf of IQM Certification, it is authorized to take all decisions regarding certification by evaluating system documents and reports.
Tetkik Ekibi & Audit Team: Belgelendirme faaliyetleri ile ilgili olarak, kuruluşların yönetim sistemini, ilgili standartlara göre inceleyip değerlendirmek üzere atanmış, IQM Belgelendirme denetim görevlileri arasından seçilen, IQM Belgelendirme çalışma esaslarına uygun olarak görev yapan ve geçici olarak teşkil edilen ekiptir. Denetim ekibindeki görevlilerin sayısı, kuruluşun büyüklüğüne, ürün, proses çeşitliliğine ve ilgili standarda göre değişebilir. Gerek görülen durumlarda, sektör ile ilgili bir teknik uzman, denetim ekibi içinde yer alabilir. & It is a team that is appointed to examine and evaluate the management system of the organizations in accordance with the relevant standards, and that is selected temporarily from the IQM Certification audit officers, and who are assigned in accordance with the IQM Certification working principles. The number of officers in the audit team may vary depending on the size of the organization, product, process diversity, and related standard. When deemed necessary, a technical specialist related to the sector may be included in the audit team.
Uygunsuzluk & Non-conformance: Yönetim Sistemi şartlarından bir tanesinin veya daha fazlasının eksikliği veya uygulanamaması veya sürdürülememesi veya mevcut objektif kanıtlara göre kuruluşun sağlayacağı kalite konusunda önemli oranda şüphe doğuran bir durum. & A situation where one or more of the Management System requirements are lacking or not being implemented or maintained, or a matter of considerable doubt about the quality the organization will provide based on available objective evidence.
❖Majör (Büyük) Uygunsuzluk & Major (Major) Nonconformity: Yönetim sisteminin istenen sonuçlara erişim kabiliyetini etkileyen uygunsuzluk. Aşağıdaki durumlarda uygunsuzluklar büyük olarak sınıflandırılabilir. & Non-conformity affecting the management system's ability to access desired results Non-compliances can be classified as large in the following situations;
❖Mevcut etkin proses kontrolü üzerinde (veya ürün/proseslerin belli şartları karşılamalarında) önemli bir şüphe varsa & If there is significant doubt over the current effective process control (or if the product / processes meet certain conditions),
Aynı bir standart şartı veya aynı hususla ilgili belli sayıda küçük uygunsuzluğun tespit edilmesi ve bunun sistematik bir hatayı işaret etmesi & Identification of a certain number of minor non-compliances related to the same standard requirement or the same issue and this indicates a systematic error.
Minör (Küçük) Uygunsuzluk & Minor (Minor) Nonconformity: Yönetim sisteminin istenen sonuçlara erişim kabiliyetini etkilemeyen uygunsuzluk & Nonconformity that does not affect the management system's ability to access desired results.
Gözlemler & Observations: Denetim ekibinin bir sonraki denetime de yardımcı olması amacıyla belgelendirmeye esas Yönetim Sistemi ile ilgili olumlu veya olumsuz yazılı görüşlerdir & Positive or negative written opinions about the Management System, which is the basis for certification, to assist the audit team in the next audit.
Birleşik Tetkik & Combined Audit: Bir müşterinin iki veya daha fazla yönetim standardlarının şartlarına göre birlikte tetkik edildiği tetkiktir. & An audit in which a customer is examined together according to the conditions of two or more management standards.
Entegre Tetkik & Integrated audit: Bir müşterinin iki veya daha çok yönetim sistemi standardları şartlarının tek bir yönetim sistemi içine entegre edilmiş uygulamasının, bir standarddan daha fazlasına göre yaptığı tetkiktir. & An audit of a client's implementation of two or more management system standards requirements integrated into a single management system compared to more than one standard.
Ortak Tetkik & Joint audit: Tek bir müşterinin tetkikinin, iki veya daha fazla belgelendirme kuruluşunun birlikte yaptığı tetkiktir. & The audit of a single customer is a joint audit of two or more certification bodies.
3. İlgili Dokümanlar & Related Documents
FR.01 Belgelendirme Başvuru Formu & Certification Application Form
FR.02 Başvuru Gözden Geçirme Formu & Application Review Form
FR.03 Belgelendirme Teklif Sözleşmesi & Certification Offer Aggrement
FR.13 Sistem Sertifikası & System Certificate
FR.14 Firma Bilgilendirme Formu & Company Information Form
FR.19 Belgeli Müşteri Değişiklik Kontrol Formu & Certified Customer Change Control Form
LS.13 Belgeli Firmalar Listesi & Certified Organizations List
TL.03 Tetkik Sürelerinin Belirlenmesi Talimatı & Audit Times Determination Instruction
4. Uygulama & Application
4.1. İlk Belgelendirme Başvurusu ve Değerlendirmesi & Initial Certification Application and Review
4.1.1. Genel & General
IQM Belgelendirme, belgelendirme hizmetlerini, akreditasyon kapsamı, personel kaynakları ve teknik imkanları yeterli olduğu takdirde; “Mesleki Mali Mesuliyet Sigorta Poliçesinde” belirtilen “Coğrafi Kapsam” larda gerçekleştirebilir. & If IQM Certification, certification services, accreditation scope, personnel resources and technical facilities are sufficient; It can realize in the "Geographical Scopes" specified in the "Professional Financial Liability Insurance Policy".
4.1.2. Başvuruların Alınması & Receiving Application
Belgelendirme başvuruları, FR.01 Belgelendirme Başvuru Formu ve ekleri (FR.01.Ek-1 Belgelendirme Başvuru Formu Eki & Firma Teknik Bilgileri, FR.01.Ek-2 Belgelendirme Başvuru Formu Eki & BGYS – KVYS - HYS, FR.01.Ek-3 Belgelendirme Başvuru Formu Eki & Şubeli Firmalar) ile şahsen veya elektronik ortamda (faks, e-mail veya www.iqm.com.tr web sitesi üzerinden alınır. & Certification applications are received personally or electronically (via fax, e-mail or www.iqm.com.tr website) with the FR.01 Certification Application Form and its attachments (FR.01.October-1 Certification Application Form October & Company Technical Information, FR.01.October-2 Certification Application Form October & ISMS – PMS - SMS, FR.01.October-3 Certification Application Form October & Affiliated Companies).
ISO 27701 belgelendirme talepleri tek başına kabul edilmez. Mevcut durumda IQM Belgelendirmeden ISO 27001 belgesine sahip veya ISO 27001 ile birlikte ISO 27701 için başvuran firmaların başvuruları kabul edilir. & ISO 27701 certification requests are not accepted alone. Currently, applications from companies that have an ISO 27001 certificate without IQM Certification or that have applied for ISO 27701 together with ISO 27001 are accepted.
4.1.3. Başvuru Değerlendirme & Review of Applications
Gelen tüm başvurular öncelikle Planlama Sorumlusu tarafından ön incelemeye alınır. Bu inceleme başvuru formunun eksiksiz doldurulmuş olması ve talep edilen ticari ve diğer evrakların kontrolüdür. Bu aşamada eksiklik söz konusu ise kuruluşun başvuru bilgilerinin ve/veya evraklarının tamamlanması sağlanır. Planlama sorumlusu tarafından yapılan incelemeler Belgelendirme Müdürü tarafından incelenerek onay verilir. Planlama sorumlusu ve belgelendirme müdürünün teknik yeterliliğinin olmadığı özel durumlarda dışarıdan teknik görüş alınır. & All incoming applications are initially examined by the Planning Officer. This examination is a complete application form and control of the commercial and other documents requested. If there is a deficiency at this stage, the application information and / or documents of the organization are completed. The examinations made by the planning supervisor are examined and approved by the Certification Manager. In special cases where the planning supervisor and certification manager do not have technical competence, external technical opinions are sought.
22000, 27001, 27701, 20000-1 ve 22301 başvuruları Planlama Sorumlusu ve teknik görüş alınarak gerçekleştirilir. & 22000, 27001, 27701, 20000-1 and 22301 applications are carried out by the Planning Officer and technical opinion
❖Belgelendirme başvurularının kabul edilmesi için, yönetim sistem(ler)inin asgari olarak 2 ay uygulanmış olması gerekmektedir. Planlama Sorumlusu, ilgili kuruluşun başvurusunu, yönetim sistem(ler)inin uygulama süresi ve aşağıdakileri sağlamak üzere gözden geçirir ve uygunsa belgelendirme müdürü onaylar: & In order for certification applications to be accepted, the management system(s) must have been applied for at least 2 months. The Planning Officer reviews the application of the relevant organization to ensure the implementation period of the management system(s) and the following, and the certification manager approves it, if appropriate:
❖Başvuran kuruluş ve yönetim sistemi hakkındaki bilgilerin, Tetkikin gerçekleştirilmesi için yeterli olması, & The information about the applicant organization and the management system is sufficient to conduct the audit,
❖Belgelendirme şartlarının açık bir şekilde tarif edilmesi, dokümante edilmesi ve başvuran kuruluşa verilmiş olması, & The certification requirements must be clearly described, documented and provided to the applicant organization,
❖Belgelendirme kuruluşu IQM ile başvuran kuruluş arasında bulunan anlayış farklarının çözümlenmesi, & Deciphering the differences in understanding between the IQM of the State Certification body and the applicant organization,
❖IQM’ in belgelendirme hizmeti verebilmesi için yeterlilik ve kabiliyete sahip olması Akredite belgelendirme taleplerinde kuruluşun EA kodu (ISO 9001, ISO 14001 ve ISO 45001 için), kategorisi (ISO 22000, ISO 27001, ISO 27701, ISO 22301, 20000-1) başvuru yapılan kapsamında, Tetkikçi ve teknik uzman kapasitesi gibi, & IQM entry for’ s competence and ability to provide certification services □ requests of the organization's code EA accredited certification (ISO 9001, ISO 14001 and ISO 45001), category (ISO 22000, ISO 27001, ISO 27701, ISO 22301, ISO 20000-1) under the capacity of auditors and technical experts, such as collected
❖ İstenen belgelendirme kapsamı, başvuran kuruluşun faaliyet sahası ve sayısı, Tetkiklerin yapılması için gerekli olan zaman ve belgelendirme faaliyetlerini etkileyen diğer hususlar göz önünde bulundurulmalıdır (dil, güvenlik şartları, tarafsızlığa olan tehditler gibi). & The scope of certification requested, the scope and number of activities of the applicant organization, the time required for conducting the audits and other issues affecting the certification activities should be taken into account (such as language, security conditions, threats to impartiality).
❖Tetkikleri üstlenme kararları için gerekçelendirme kayıtlarının tutulması. & Keeping justification records for decisions to undertake internal audits.
Başvuru formlarında firmadan alınan bilgiler doğrultusunda FR.02.Ek-1 Tetkik Süresi Hesaplama Formu ve FR.02.Ek-2 Şubeli Firma Planlama Formu ile hesaplama yapılarak FR.02 Başvuru İnceleme Formu ile tetkik zaman ve süreleri kayıt altına alınır. & In accordance with the information received from the company in the application forms, calculations are made with the FR.02.Annex-1 Audit Time Calculation Form and the FR.02.Annex-2 Branched Firm Planning Form, and the audit times and durations are recorded with the FR.02 Application Review Form.
4.1.4. Kapsamının Belirlenmesi & Determining the Scope
Kapsam;
❖Açık, anlaşılır ve ürün/hizmeti tanımlayacak şekilde olmalı ve ayrıca ilgili NACE kodlarını (Ref.TÜRKAK R40.01) yansıtacak ifadeler taşımalıdır. Kapsam ne çok genel ne de çok özel olmalıdır. Firmanın pratikte yaptığı işi yansıtmalıdır. & It should be clear, understandable and to describe the product / service, and it should also contain statements that reflect the relevant NACE codes (Ref.TÜRKAK R40.01). The scope should be neither very general nor very specific. It should reflect the firm's work in practice.
❖Denetlenebilir olmalıdır & It must be auditable.
❖Belgelendirme, iş karakteristiği, organizasyonun kendisi, lokasyonu, varlıkları ve kullandığı teknoloji bağlamında kuruluşun BGYS’ nin denetiminin kapsamında ve sınırlamaları dahilinde olmalıdır. & Certification should be within the scope and limitations of the organization's ISMS in terms of business characteristics, organization itself, location, assets and technology used.
❖Kuruluşun bilgi güvenliği risk değerlendirmesinin ve risk karşısındaki davranışının ISO/IEC 27001’in BGYS standardının kapsamını içeren aktivitelerle uyumlu olmalıdır. Buna ilişkin ifadelerin BGYS ve uygulanabilirlik beyannamesinde açıkça yansıtılmalıdır. & The information security risk assessment of the organization and its behavior against risk should comply with activities that include the scope of the ISMS standard of ISO / IEC 27001. Statements related to this should be clearly reflected in ISMS and applicability declaration.
❖ISO 22301 İSYS kapsamları DD.07 Planlama dökümanında tanımlanan kategoriler dikkate alınır. & ISO 22301 BCMS scopes The categories defined in the DD.07 Planning document are taken into account.
❖ISO 20000-1 HYS kapsamları için DD.07 DD.07 Planlama dökümanında tanımlanan kategoriler dikkate alınır. & For ISO 20000-1 HYS scopes, the categories defined in DD.07 DD.07 Planning document are taken into consideration
❖Belgelendirme prosesi süresince teyit edilmelidir & It must be confirmed during the certification process.
❖Kuruluşun ilk başvuruda kapsamın doğru tanımlanmasına dikkat edilmelidir. & Attention should be paid to the correct definition of the scope at the first application of the organization.
❖❖Kuruluşun ihtiyacını karşılamalıdır & It must meet the needs of the organization.
❖Denetim kaynakları kapsamı içermelidir & Audit resources should include scope.
❖Firma için varsa dış kaynaklı proses, hariç tutulan proses dikkate alınmalıdır. & Stages to be checked for scope (Kapsam kontrolünün yapılması gereken aşamalar) & (Stages where scope control should be performed);
❖Başvuru aşamasında, firma ile görüşülerek, web sitesi vs. incelenerek & At the application stage, by contacting the company, website etc. Examined
❖Belgelendirme denetimi açılış ve kapanış toplantılarında & Certification audit at opening and closing meetings
❖Belgelendirme denetimi esnasında & During the certification audit
❖Karar süreçlerinde (belgelendirme, sürdürme, yenileme, askı-iptal, kapsam genişletme & Decision processes (certification, maintenance, renewal, suspension-cancellation, extension),
Gözetim ve belge yenileme denetimlerinde & In surveillance and document renewal audits
Kapsam kontrolü müracaat aşamasında Planlama Sorumlusu ve Belgelendirme Müdürü tarafından yapılır. & Scope control is done at the application stage by the Planning Officer and the Certification Manager.
4.1.5. Teklif ve Sözleşme & Offer and Contract
Başvurunun, Planlama Sorumlusu tarafından yapılan gözden geçirme ve Belgelendirme Müdürü tarafından gerçekleştirilen onay sonucunda, FR.02 Başvuru İnceleme Formu Planlama Sorumlusu’ na verilir. Planlama Sorumlusu FR.02’yi baz alarak FR.03 Belgelendirme Teklif Sözleşmesini hazırlar. Sözleşme Genel Müdür tarafından imzalanır ve iki nüsha olarak kuruluşa gönderilir ve ıslak imzalı olarak kuruluşun dosyasında bir kopya bırakılır. Teklif ve sözleşme kabul edildikten sonra resmi süreç başlamış olur. & FR.02 Application Review Form is given to the Planning Responsible as a result of the application's review and approval by the Certification Manager. Planning Officer prepares FR.03 Certification Offer And Contract based on FR.02. The contract is signed by the General Manager and sent to the organization in two copies and a copy is left in the file of the organization with a wet signature. Once the proposal and contract are accepted, the official process begins.
Sözleşme onay tarihi itibari ile Aşama1 (saha) 6 ay içinde kuruluş tarafından kabul edilmez veya Aşama1 den (saha veya masa başı) itibaren 6 ay içinde belgelendirme denetimi kuruluş tarafından kabul edilmeyerek ertelenir ise kuruluşun başvurusu / sözleşmesi iptal edilir. Başvurusu düşen kuruluşun müracaat etmesi durumunda, yeni müracaat olarak değerlendirilir. & As of the date of contract approval, Stage1 (field) is not accepted by the organization within 6 months or if the certification audit is not deferred by the organization within 6 months from Stage1 (field or desk), the application / contract of the organization is canceled. If the application whose application has been filed, the application is considered as a new application.
4.1.6. Tetkik Programı
İlk belgelendirme tetkik programı, belgelendirme kararını takip eden birinci yılda yapılan ilk tetkik, ikinci yılında yapılan gözetim tetkikini içeren iki aşamayı ve bunların peşinden üçüncü yıl içerisinde belgenin süresi dolmadan bir yeniden belgelendirme tetkikini içermelidir. İlk üç yıllık belgelendirme döngüsü Belgelendirme kararı ile başlar. Peşinden gelen döngüler, yeniden belgelendirme kararı ile başlar. & The first certification audit program should include two stages, the first audit conducted in the first year after the certification decision, the audit conducted in the second year, and then the re-certification audit before the expiration of the document in the third year. The first three-year certification cycle begins with the certification decision. The cycles that follow begin with the decision to re-certify.
ISO 45001 Belgelendirmelerinde, etkin uygulamayı tetkik etmek adına, ilk belgelendirme çevriminde en azından normal çalışma saatleri içerisindeki vardiyalardan bir tanesi ve bu saatler dışındaki vardiyalardan bir tanesi tetkik edilir. Müteakip çevrimlerin gözetim tetkikleri esnasında, kuruluşun İSGYS alanında tanınan olgunluk seviyesine dayalı olarak IQM, ikinci vardiyayı tetkik etmeye karar verebilir. 8 saatlik tetkik zamanı içerisinde her iki vardiyayı da kapsamak için, mümkün olan her durumda tetkikin başlangıç zamanı düzenlenebilir. Diğer vardiyalarda tetkik gerçekleştirmemenin gerekçesi, bunu yapmamanın riskini dikkate alarak kayıt altına alınır. & In the ISO 45001 Certifications, at least one of the shifts during normal working hours and one of the shifts outside of these hours are examined in the first certification cycle in order to examine the effective application. During the supervision audits of subsequent cycles, based on the recognized level of maturity of the organization in the field of OHSMS, IQM may decide to conduct a second shift audit. in order to cover both shifts within the 8-hour audit time, the start time of the audit can be arranged in any case possible. The justification for not conducting an audit in other shifts is recorded taking into account the risk of not doing so.
Tam bir Belgelendirme çevrimi için bir tetkik programı, müşterinin istediği yönetim sisteminin doğrultusunda hazırlanır. Tetkik programı; iki aşamalı bir başlangıç denetimi (1.Aşama başlangıç tetkiki, 2. Aşama başlangıç tetkiki) olmak üzere, birinci ve ikinci yıllarda gözetim tetkiklerini ve belgenin geçerliliğini doldurmadan oncesi üçüncü yılda yeniden belgelendirme tetkikini kapsar. & An audit program for a full Certification cycle is prepared in accordance with the management system requested by the client.
The audit program includes a two-stage initial audit (1.Stage 2 initial examination. Stage initial examination), which covers the supervision examinations in the first and second years and the recertification examination in the thirteenth year before the validity of the document is completed.
Tetkik Programı “FR.20 Tetkik Programı” ile kayıt altına alınır. Firma sözleşmesinin imzalanması ile planlama sorumlusu tarafından ilk bilgiler doğrultusunda hazırlanır ve görevlendirilen tetkik ekibine iletilir. Her yıl görevlendirilen tetkik ekibi tarafından ilgili veriler işlenerek planlama sorumlusuna geri gönderilerek tam bir belgelendirme çevriminin özetini içerecek şekilde takip edilir. & The Audit Program is recorded with the “FR.20 Audit Program”. With the signing of the firm contract, it is prepared by the planning officer in line with the initial information and conveyed to the assigned audit team. The relevant data is processed by the audit team assigned each year and sent back to the planning officer and followed up to include a summary of the full certification cycle.
Bir tetkik programının revizyonu ya da geliştirilmesi sırasında dikkat edilmesi gereken hususlar aşağıda verilmiştir. & The following are the considerations that should be taken into account during the revision or development of an audit program.
Müşteri yönetim sisteminin kapsamı ve karmaşıklığı, & Scope and complexity of a customer management system,
Ürün ve prosesler (hizmetler dahil), & All products and processes (including services),
Müşteri kuruluşunun büyüklüğü, & The size of the customer organization,
Tetkik edilecek sahalar, & The sites to be examined,
Müşteri kuruluşunun lisanı, sözlü ve yazılı dilleri, & The language of the customer organization, oral and written languages,
Sektör ya da düzenleyici kuruluşların şartları, & Requirements of the Private sector or regulatory bodies,
Müşteri ve onların müşterilerinin ihtiyaç ve beklentilerini, & The needs and expectations of each customer and their customers,
Vardiya sayısı ve zamanlaması, & Number and timing of shifts,
Her bir tetkik faaliyeti için gerekli tetkik süresi, & The required audit period for each audit activity,
Tetkik ekibinin her üyesinin yeterliliği, & Qualification of each member of the Internal Audit team,
Geçici sahaların tetkik ihtiyacı, & The need for inspection of temporary sites,
Diğer önceki tetkiklerin veya aşama 1 tetkik sonuçları, & Results of other previous audits or stage 1 audits,
Diğer gözetim faaliyetlerinin sonuçları, & Results of other surveillance activities,
Yönetim sisteminin etkinliğini ölçme düzeyi, & The level of measuring the effectiveness of the Quality Management system,
Örnekleme uygunluğu, & Sampling compliance,
Müşteri şikayetleri, & Customer complaints,
Müşteri ile ilgili belgelendirme kuruluşu tarafından alınan şikayetler, & Complaints received by the certification body regarding the customer,
Birleşik, entegre ya da ortak tetkikler, & Combined, integrated or joint audits,
Müşteri kuruluşunun ürünleri, prosesleri ya da yönetim sistemi değişiklikleri, & Changes to the customer organization's products, processes, or management system,
Belgelendirme şartlarındaki değişiklikler, & Changes in certification requirements,
Yasal düzenlemelerindeki değişiklikler, & Changes in the legal regulations of the company,
Akreditasyon şartlarındaki değişiklikler, & Changes in accreditation requirements,
Risk ve karmaşıklık, & Risk and complexity,
Örgütsel performans verileri [örn. kusur düzeyleri, anahtar performans göstergeleri (KPI), veri, vb.], & Organizational performance data [eg. defect levels, key performance indicators (KPIs), data, etc.],
İlgili tarafların görüşleri, & Opinions of interested parties,
Bir önceki tetkikler sırasında kazanılan bilgi. & This is the information gained during the previous examinations.
4.2. Gözetim ve Yeniden Belgelendirme Başvuruları ve Değerlendirilmesi & Applications for Surveillance and Recertification and their Evaluation
Gözetim tetkikleri yılda bir gerçekleştirilmesi gereken, yeniden belgelendirme tetkikleri ise ilk belgelendirmeyi takip eden 2 gözetim tetkikinin ardından 3 yıllık tetkik çevriminin tamamlanması ile gerçekleştirilecek olan tetkiklerdir. İlk belge yayın tarihi üzerinden 1 yıl tamamlanmadan gözetim denetimi gerçekleştirilmelidir. Geçerlilik tarihine 2 ay kala belgeli müşteriler ile iletişime geçilir. Belge tarihleri ve geçerlilik tarihleri belirtilerek en geç tetkik edilmeleri gereken tarih “FR.14 Firma Bilgilendirme Formu” ile yazışma gerçekleştirilir. Her iki tetkik türünde de firmadaki değişiklikler “FR.19 Belgeli Müşteri Değişiklik Kontrol Formu” ile teyit edilir. & Surveillance audits are required to be carried out annually, and re-certification audits are audits that will be carried out after the completion of the 3-year audit cycle after 2 surveillance audits following the initial certification. Surveillance audit should be carried out before the completion of 1 year from the first document publication date. Certificated customers are contacted 2 months before the validity date. By specifying the document dates and validity dates, correspondence is made with the "FR.14 Firm Information Form", the date that should be inspected at the latest. In both types of audits, changes in the company are confirmed with the "FR.19 Certified Customer Change Control Form".
Gözetim tetkiklerinde belgeli firmada herhangi bir değişiklik olmaması durumunda ilk belgelendirme esnasında hesaplanan planlama bilgileri doğrultusunda tetkikler gerçekleştirilir. Ancak belgeli firmalar tarafından değişiklik bildirilmesi durumunda FR.02.Ek-1 Tetkik Süresi Planlama Formu ve FR.02.Ek-4 Şubeli Firma Planlama Formu ile tekrar hesaplama yapılır veya tetkik kriterlerindeki değişiklikler belirlenir. & If there is no change in the certified company during the surveillance audits, the audits are carried out in line with the planning information calculated during the initial certification. However, in case of notification of a change by the certified companies, a recalculation is made with the FR.02.Annex-1 Audit Time Planning Form and the FR.02.Annex-4 Branched Firm Planning Form or the changes in the audit criteria are determined.
Yeniden belgelendirme tetkiklerinde ise başvuru formları tekrar alınır ve ilk belgelendirme aşamasındaki gibi hesaplama yapılır. Hesaplama sonucuna göre FR.03 Belgelendirme Teklif Sözleşmesi hazırlanarak firmaya iletilir. Sözleşmenin onaylanmasının ardından ilk belgelendirmede olduğu gibi 3 yıllık çevrim başlatılır. & In re-certification audits, the application forms are taken again and the calculation is made as in the first certification phase. According to the calculation result, FR.03 Certification Offer Contract is prepared and sent to the company. After the approval of the contract, the 3-year cycle is started as in the first certification.
4.3. Özel Durumlarla İlgili Tetkikler & Investigations Related to Special Cases
Yapılan değişiklikler kapsamında;& Within the scope of the changes made;
Kuruluşun yönetim sisteminde veya organizasyonunda önemli değişiklikleri olması, (Yeniden yapılanma, yönetim sistemi ve proseslerdeki büyük değişiklikler, şirketlerin birleşmesi, Adres değişikliği vb.) gibi durumlarda gerektiğinde gözetim tetkiki kadar tetkik gerçekleştirilir ve eski belge iptal edilerek yeni belge düzenlenir.& In cases where there are significant changes in the management system or organization of the organization (restructuring, major changes in the management system and processes, mergers of companies, change of address, etc.), an audit equal to the surveillance audit is carried out and the old document is canceled and a new document is issued.
Kuruluş tarafından belgenin veya logonun haksız kullanılması gibi IQM Belgelendirme Kurallarına aykırı uygulamaların olması durumunda IQM Belgelendirme ’nin özel tetkik yapma hakkı vardır. Bu tetkikin kapsam ve kriterleri ISO/IEC 27001 için Sistem Belgelendirme Müdürü ve atanan Baş Tetkikçi tarafından gözden geçirilerek belirlenir. Bu duruma bağlı olarak gerçekleştirilen tetkik; tam, kısmi veya sadece bir proses / bölüm içerebilir. & IQM Certification has the right to conduct a special inspection in case of practices contrary to the IQM Certification Rules, such as unfair use of the document or logo by the organization. The scope and criteria of this audit are determined by reviewing by the System Certification Manager and the appointed Lead Auditor for ISO/IEC 27001. The examination carried out depending on this situation; It can contain full, partial or only one process / partition.
Özel tetkikte tamamen spesifik bir konu / proses tetkik edilecekse, baş tetkikçinin yönlendirmesi ile ilgili maddelere ve bölümlere o işle ilgili yeterli kalifikasyona sahip tetkikçi /teknik uzman tarafından tetkik gerçekleştirilir.& If a completely specific subject / process is to be audited in the private audit, the audit is carried out by the auditor / technical expert who has sufficient qualifications for that job, with the direction of the lead auditor, to the relevant items and departments.
4.3.1. Özel Tetkiklerin Planlanması & Planning Special Audits
Belgelendirilen kuruluş bünyesinde, aşağıdaki durumlarda, kısa süreli tetkikler gerçekleştirilebilir: & Within the certified body, short-term audits may be carried out in the following cases:
Yasal, ticari veya kuruluşun statüsü veya mülkiyeti, & Legal, commercial or entity status or ownership,
Kuruluş ve yönetim (kilit yönetici, karar alma ve teknik kadro gibi), & Organization and management (such as key manager, decision-making and technical staff),
İletişim adresi ve sahalar, & Contact address and fields,
Belgelendirilmiş yönetim sistemi altındaki işlemlerin kapsamı, & The scope of transactions under the documented management system,
Yönetim sistemi ve proseslerdeki büyük değişiklikler. & Major changes in management system and processes.
Şikayetleri araştırmak & Investigating complaints
Askıya alınan müşterilerin askıdan indirilmesi (gerekli durumlarda) & Unsuspended customers (where required)
Tetkikler sırasında takip tetkiklerine karar verilmesi durumunda & In case follow-up examinations are decided during the examinations
4.3.2. Kapsam Genişletme Tetkiki & Scope Extension Inspection
Kapsam genişletme tetkiki, kuruluşun talep ettiği yeni kapsam doğrultusunda, üzerinde uzlaşılan duruma göre, ilgili kuruluşta bir gözetim tetkiki veya kapsam değişikliğinden etkilenebilecek tüm maddeleri ile ilgili tetkik yapılacak şekilde gerçekleştirilir.& Scope expansion audit is carried out in line with the new scope requested by the organization, and according to the agreed situation, a surveillance audit is conducted in the relevant organization or an audit is carried out on all items that may be affected by the scope change.
4.3.3. Adres Değişikliği Tetkiki & Address Change Inspection
Adres değişikliği tetkiki, referans standardın veya hüküm ifade eden dokümanın adres değişikliğinden etkilenebilecek tüm maddeleri ile ilgili tetkik yapılacak şekilde gerçekleştirilir. & Address change inspection is carried out in such a way that all items of the reference standard or the relevant document that may be affected by the address change are examined.
4.3.4. Takip Tetkiki & Follow-up Inspection
Takip tetkiki, tetkiklerde takip gerektiren uygunsuzluklar tespit edilmesi durumunda, tespit edilen uygunsuzlukların giderilmiş ve buna ilişkin düzeltici faaliyetlerin etkin olduğunun belirlenmesi amacıyla gerçekleştirilir. & Follow-up audit is carried out in order to determine that the detected nonconformities have been eliminated and corrective actions are effective in case nonconformities that require follow-up are detected during the audits.
Takip tetkikleri, kuruluş tarafından, düzeltici faaliyet(ler)in tamamlandığının yazılı olarak bildirimi dikkate alınarak planlanır. Düzeltici faaliyet(ler)in tamamlanma süresi (3) üç ayı geçtiği takdirde, kuruluşun tüm sistemi yeniden değerlendirilecek şekilde planlama yapılır. & Follow-up audits are planned by the organization taking into account the written notification of the completion of the corrective action(s). If the completion time (3) of the corrective action(s) exceeds three months, planning is made so that the entire system of the organization is re-evaluated.
Takip tetkikleri, belgelendirilecek/belgelendirilmiş kuruluş tarafından, düzeltici faaliyetlerin kapatılması için belirlenen süre sonunda kabul edilmemesi durumunda, makul ve mücbir sebepler söz konusu ise Belgelendirme Müdürü kararı ile en çok üç (3) ay ve bir (1) defa ertelenebilir.& If the follow-up audits are not accepted by the certified/certified body at the end of the period determined for the closure of the corrective actions, if there are reasonable and force majeure reasons, they can be postponed for a maximum of three (3) months and one (1) time with the decision of the Certification Manager.
4.3.5. Şikâyet Üzerine Yapılan Tetkikler & Investigation on the Complaint
Şikâyet üzerine yapılan Tetkikler, şikâyete konu olan uygunsuzlukların tespit edilmesi, tespit edilen uygunsuzlukların giderilmiş ve buna ilişkin düzeltici faaliyetlerin etkin olduğunun belirlenmesi amacıyla gerçekleştirilir.& Inspections made upon the complaint are carried out in order to determine the nonconformities that are the subject of the complaint, to determine that the detected nonconformities have been resolved and that the corrective actions related to this are effective.
Kuruluş statüsünde gerçekleşen değişikliklerde öncelikli olarak Belgelendirme Müdürü tarafından değerlendirme yapılır. Yönetimde yer alan kilit kadroda değişiklik mevcut ise tetkik gerçekleştirilir. Ancak sadece yasal statü değişikliği gerçekleştirilmiş ise Tetkik gerçekleştirilmez. & Evaluation is made primarily by the Certification Manager for the changes in the institution status. If there is a change in the key staff in the management, the audit is carried out. However, if only a legal status change has been made, the Audit is not carried out.
4.3.6 Yönetim sistemleri standartları ile ilgili revizyon durumlarında geçiş Tetkiklerinin planlanması & Planning of transition audits in case of revision of management systems standards
Sistem ile ilgili değişiklikler için gerçekleştirilecek tetkik, referans standardın veya hüküm ifade eden dokümanın sistem ile ilgili değişikliğinden etkilenebilecek tüm maddeleri ile ilgili Tetkik yapılacak şekilde gerçekleştirilir. İlgili yönetim sistemi standartlarında ciddi değişiklikler olduğu durumlarda geçiş tetkikleri ilk belgelendirme olarak seçilebilir. Bu durum Yönetim Gözden Geçirme veya diğer ek toplantılarda belgelendirme müdürü, yönetim temsilcisi ve yönetimin katılımı ile kararlaştırılır.& The audit to be carried out for the changes related to the system is carried out in a way that the audit is carried out on all the articles of the reference standard or the relevant document that may be affected by the change related to the system. In cases where there are significant changes in the relevant management system standards, transition audits can be selected as the first certification. This situation is decided with the participation of the certification manager, management representative and management at the Management Review or other additional meetings.
4.4. Tetkiklerin Planlanması & Planning of Audits
4.4.1. Genel & General
IQM bünyesinde gerçekleştirilecek tetkikler, Planlama Sorumlusu tarafından; aşağıdaki kriterler dikkate alınarak planlanır. & The audits to be carried out within the framework of IQM are planned by the Planning Officer taking into account the following criteria.
Başvurular, & Application
Gözetim ve yeniden belgelendirme tetkikleri ile diğer kısa süreli tetkikler, & Surveillance and re-certification audits and other short-term audits,
Firma sektör kodları & Company sector codes
Tetkikçi ve teknik uzmanların durumları & The situations of an auditor and technical specialists
Kuruluşların talepleri & Requests of Organizations
27001 başvuruları için firma teknolojik alanları & Company technology fields for 27001 applications
4.4.2. Tetkik Ekiplerinin Belirlenmesi & Determination of Audit Teams
Tetkik ekibi belirlenirken dikkate alınacak hususlar aşağıda verilmiştir: & The matters to be taken into account when determining the audit team are given below:
Tetkik yapılacak kuruluşun sektör kodları & Sector codes of the institution to be audited
Tetkik hedeflerine ulaşmak için gerekli tetkik ekibinin genel yetkinliğine & The overall competence of the audit team necessary to achieve audit objectives.
Belgelendirme şartlarına (yürürlükteki herhangi bir yasal, düzenleyici veya sözleşme şartları da dahil olmak üzere) & Certification requirements (including any applicable legal, regulatory or contractual terms)
Tetkik hedefleri, kapsamı, kriterleri ve tahmini süresi,& Audit objectives, scope, criteria and estimated duration
Tetkikin birleştirilmiş, entegre, ortak tetkik olma durumu, & The status of the audit as a consolidated, integrated, joint audit,
Tetkik ekibinin Tetkik yapılan faaliyetten/kuruluştan bağımsızlığı ve çıkar çatışması,& The independence of the audit team from the activity/organization being audited and the conflict of interest,
Tetkikin yapıldığı dil ve denetlenenin sosyal ve kültürel özellikleri. & The language of the audit and the social and cultural characteristics of the auditee.
Tüm Tetkik tiplerinde, görevlendirilecek Tetkik ekibi oluşturulurken, Tetkik ekibinden en az bir Tetkikçi, kuruluşun faaliyet alanı ile ilgili; sektör kodunda atanmış olmalıdır. Bunun sağlanamadığı durumlarda ekipte, kuruluşun faaliyet alanı ile ilgili sektör kodunda atanmış Teknik Uzman(lar) görevlendirilir. & In all types of Auditors, when establishing the Audit team to be assigned, at least one Auditor from the Audit team is related to the field of activity of the organization; must be assigned in the sector code. In cases where this cannot be achieved, Technical Expert(s) assigned in the sector code related to the field of activity of the organization is assigned to the team.
Tetkik yapılacak kuruluşta, son (2) iki yıl içinde eğitim veren, danışmanlık yapan veya çıkar çatışması söz konusu olan Baş Tetkikçi, Tetkikçi veya Teknik Uzman, söz konusu kuruluşta Tetkik için görevlendirilemez. & A Lead Auditor, Auditor or Technical Expert who has provided training, consultancy or a conflict of interest in the last (2) two years in the organization to be audited cannot be assigned for the Audit in that organization.
Takip Tetkikleri için Tetkik ekibi belirlenirken, uygulanabildiği durumlarda bir önceki Tetkik ekibinden en az bir kişinin takip Tetkiki ekibinde bulunması sağlanır. & When determining the Audit team for Follow-up Audits, it is ensured that at least one person from the previous Audit team is in the follow-up Audit team, where applicable.
Tetkiklerde görev alan personellerin görev ve yetkileri aşağıdaki şekilde özetlenebilir. & The duties and authorities of the personnel involved in the audits can be summarized as follows.
Baş tetkikçi, tetkik sırasında, & During the audit, the lead auditor,
Periyodik olarak tetkikin ilerlemesi ve müşterinin herhangi bir endişesi durumunda iletişim kurarak tetkik ekibi üyelerinin arasındaki ihtiyaç duyulan iş durumuna göre yeniden düzenlemeler yapar.& It periodically communicates the progress of the audit and in case of any concerns of the client, and makes rearrangements according to the work situation needed among the members of the audit team.
Ulaşılamayan tetkik hedefleri ya da acil ve önemli bir risk (örneğin güvenlik) varlığını gösteren mevcut tetkik kanıtlarının ortaya çıkması durumunda, baş tetkikçi uygun eylemi belirleyerek müşteriye ve mümkünse, IQM’ ye rapor eder. Bu tür eylem, tetkik hedeflerinin ya da tetkik kapsamının değiştirilmesi ya da feshedilmesi, tetkik planının değiştirilmesi veya yeniden teyit edilmesini içerebilir. Baş tetkikçiyi, alınan eylem sonucunu da IQM’ ye rapor eder. & In the event of unachievable audit objectives or existing audit evidence showing the presence of an urgent and significant risk (e.g. security), the lead auditor determines the appropriate action and reports to the client and, if possible, to IQM. Such action may include changing or terminating audit objectives or audit scope, changing or reconfirming the audit plan. The lead investigator also reports the result of the action taken to IQM.
Sahada yapılan tetkik faaliyetlerinin ilerlemesinde ortaya çıkan tetkik kapsamına yönelik herhangi bir değişikliği müşteri ile gözden geçirir ve bunu IQM’ ye rapor eder. & It reviews any change in the scope of the audit that arises in the progress of the audit activities carried out in the field with the client and reports this to IQM.
Tetkikçi; & Auditor;
Baş tetkikçi tarafından belirlenen tetkik planı doğrultusunda tetkiki gerçekleştirir. & Performs the audit in line with the audit plan determined by the lead auditor.
Tespit ve bulgularını değerlendirme toplantılarında diğer ekip üyeleri ile paylaşır. & Shares its findings and findings with other team members at evaluation meetings.
Tetkik hedeflerinin yerine getirilmesini etkileyecek hususları baş tetkikçiye raporlar. & Reports matters that will affect the achievement of audit objectives to the lead auditor.
Tetnik Uzman; & Technical Specialist;
İlgili sektör kodunda baş tetkikçi ve tetkikçiye destek vermek. & To support the lead auditor and auditor in the relevant sector code.
Gözlemciler, Rehberler ve Çevirmen/Tercüman & Observers, Guides and Translator/Interpreter
Gözlemciler & Observers
Gözlemciler, müşteri kuruluşunun üyeleri, danışmanları, akreditasyon kuruluşunun tanık personeli, düzenleyiciler ya da başka gerekli kişiler olabilir. Tetkik planı içersinde gösterilir ve firma onayı alınır. & Observers may be members of the client body, consultants, witness staff of the accreditation body, regulators or other necessary persons. It is shown in the audit plan and company approval is obtained.
Bir tetkik faaliyeti sırasında gözlemcilerin varlığı ve gerekçesi, tetkik yapılmadan önce IQM ve müşteri tarafından kabul edilmelidir. & The presence and rationale of observers during an audit activity must be agreed with IQM and the client before the audit is conducted.
Tetkik ekibi, gözlemcilerin tetkik proseslerine müdahale etmemesini ya da tetkik sonuçlarını etkilememesini temin eder. & The audit team ensures that observers do not interfere with audit processes or affect audit results.
Rehberler & Guides
Rehber/rehberler tetkikin kolaylaştırılması için tetkik ekibine dahil edilir. Açılış toplantısında tanımlanır ve kayıt altına alınır. & Guide(s) are included in the audit team to facilitate the audit. It is defined and recorded at the opening meeting.
Tetkik ekibi, rehberlerin tetkik proseslerine müdahale etmemesini ya da tetkik sonuçlarını etkilememesini temin eder. & The audit team ensures that the guides do not interfere with audit processes or affect audit results.
Rehberin sorumlulukları şunlardır: & The responsibilities of the guide are:
Görüşmeler için zamanlama yapması ve temas kurması,& Scheduling and contacting for interviews,
Saha veya kuruluşun belirli bölümlerine ziyaretler düzenlemesi, & Organizing visits to certain parts of the field or organization,
Tetkik ekibi üyeleri tarafından muhatap alınan, saha güvenliği ve emniyet prosedürleri ile ilgili bilinen kuralları garanti etmesi, & Ensuring known rules regarding site safety and security procedures addressed by audit team members,
Müşteri adına tetkik tanığı olması, & Being an audit witness on behalf of the client,
Bir tetkikçi tarafından talep edildiği takdirde açıklama veya bilgi sağlaması. & Providing clarification or information when requested by an auditor.
Çevirmen/Tercüman & Translator/Translator
Çevirmen/Tercüman farklı bir lisanla tetkik yapılacağı zaman tetkik ekibine dâhil edilir. & The Translator/Translator is included in the audit team when the audit will be conducted in a different language.
Tetkik planı içersinde gösterilir ve firma onayı alınır. & It is shown in the audit plan and company approval is obtained.
Açılış toplantısında tanımlanır ve kayıt altına alınır. & It is defined and recorded at the opening meeting.
Tetkik ekibi, Çevirmen/Tercümanların tetkik Proseslerine müdahale etmemesini ya da tetkik sonuçlarını etkilememesini temin eder. & The audit team ensures that the Translator/Translators do not interfere with the audit Processes or affect the audit results.
Sorulan soruları verilecek cevapları özyapısına uygun olarak tercüme eder. & Translates the answers to the questions asked in accordance with his/her characteristics.
Çevirmenlerin ve tercümanların kullanımı, ek tetkik süresi gerektirebilir. Bunun kararına Baş tetkikçi verir. & The use of translators and interpreters may require additional study time. The Chief Inspector makes the decision.
4.5. Tetkik Öncesi Hazırlık & Pre-Audit Preparation
4.5.1. Tetkik Planının Hazırlanması & Preparation of the Audit Plan
Tetkik Planı, görevlendirilen Baş tetkikçi tarafından, tetkik ekibinde yer alan tetkikçi ve teknik uzmanların, uzmanlık alanları ile ilişkili ürün/hizmet/proses veya standart maddelerini denetlemelerini sağlayacak şekilde oluşturulur. & The Audit Plan is created by the assigned Lead auditor in a way that will enable the auditors and technical experts in the audit team to audit the product/service/process or standard items related to their fields of expertise.
Tetkik Planı hazırlanırken aşağıdaki kriterler göz önünde bulundurulur; & While preparing the Inspection Plan, the following criteria are taken into account;
Kuruluşun büyüklüğü ve karmaşıklığı,& The size and complexity of the organization,
Teknolojik ve yasal şartlar, & Technological and legal conditions,
İlgili yönetim sistemi kapsamında bulunan aktivitelerden herhangi birinin dışarı taşere edilmesi durumu, & The case of outsourcing any of the activities within the scope of the relevant management system,
Daha önceki Tetkik sonuçları, & Previous Audit results,
Tetkikçilerin kod/kategori yeterlilikleri & Code/category competencies of auditors
Çoklu sahaların göz önüne alınması, & Consideration of multiple sites,
HACCP planı sayısı (GGYS için).& Number of HACCP plans (for GGYS).
Teknolojik alanlar & Technological fields
Tetkik Planı, her bir tetkikçinin bağımsız olarak, günlük asgari 8 saatlik Tetkik gerçekleştirmesini esas alacak şekilde oluşturulur. & The Audit Plan is created on the basis that each auditor independently performs a minimum of 8 hours of Audit per day.
Tetkik Planı oluşturulurken, yemek için verilen ara ve kuruluşun sahaları arasında harcanan ulaşım zamanları, tetkik süresine dahil edilmez. & While the Inspection Plan is being created, the break for meals and the transportation times spent between the establishment's sites are not included in the inspection period.
ISO 27001 planlarında, tetkik esnasında değerlendirme alınan bilgi güvenlik kontrollerini içerecek tetkik planı hazırlanır. & In ISO 27001 plans, an audit plan is prepared that will include the information security controls evaluated during the audit.
Türkak R.40.05 Ek A, Ek B ve Ek D’de tanımlanan kritik kodlardaki ve IAF MD 5’de bahsi geçen ISO 9001 için yüksek risk, ISO 14001 ve ISO 45001 için yüksek ve orta karmaşıklıktaki kapsamlardaki tetkiklerde Aşama 1’in bir kısmını müşterinin yerinde (sahada) yapılır. Diğer kodlar için müşteri kuruluşun başvuru dökümanlarında değerlendirme yaparak Aşama 1’in müşterinin yerinde (sahada) yapılıp yapılmayacağını belirlenir. Aşama 1 hem de Aşama 2’ye yetkin tetkik ekibi (ilgili kapsamda atanmış) görevlendirilmektedir. & Türkak R.40.05 In the critical codes defined in Annex A, Annex B and Annex D and mentioned in IAF MD 5, for ISO 9001, high risk, ISO 14001 and ISO 45001 for high and medium complexity scopes, part of Stage 1 is part of the client's audits. done on site. For other codes, it is determined whether Phase 1 will be carried out at the customer's site (in the field) by evaluating the application documents of the customer organization. Competent audit team (assigned in the relevant scope) is assigned to both Stage 1 and Stage 2.
4.5.2. Tetkik Öncesi Kuruluşların ve Tetkik Ekibinin Bilgilendirilmesi & Informing the Organizations and the Audit Team Before the Audit
Tetkikler öncesinde tetkik gerçekleştirilecek kuruluşa, yukarıda ilgili başlıklar altında belirlenen şekilde, Tetkik ekibinde görev alacak tetkikçiler ve teknik uzmanların adlarının yer aldığı tetkik planı iletilir. Bu şekilde, tetkik tarihleri üzerinde müşteri kuruluş ile önceden mutabakat sağlanır. Bildirimler FR.14 Firma Bilgilendirme Formu ile gerçekleştirilir. & Before the audits, the audit plan including the names of the auditors and technical experts who will take part in the audit team, as determined under the relevant headings above, is sent to the institution to be audited. In this way, a prior agreement is reached with the client organization on the audit dates. Notifications are made with the FR.14 Company Information Form.
IQM, müşteriye herhangi bir tetkikçi (Baş Tetkikçi, Tetkikçi, dış Tetkikçi) veya teknik uzmanın görevlendirilmesi ile ilgili itirazlarına ve geçerli bir itiraz olduğu durumlarda, ekibin yeniden düzenlemesine yetecek kadar süre önceden, istendiği takdirde Tetkik ekibinin üyeleri için gerekli geçmiş bilgilerini de sağlar. Kuruluş, makul sebeplerle tetkik ekibi üyelerinde değişiklik talebinde bulunursa Planlama Sorumlusu tarafından, yazılı gerekçe sunmaları istenir. Bu uygulama tüm tetkikler için geçerlidir. Makul sebeplere örnek olarak, çıkar çatışması durumları (bir Tetkik ekibi üyesinin kuruluşun eski çalışanı olması veya kuruluşa danışmanlık hizmeti vermiş olması gibi) veya daha önceki ahlaki olmayan davranışlar gösterilebilir. & IQM will also provide the client with necessary background information for members of the Audit team, if requested, in advance of any objections to the appointment of any auditor (Lead Auditor, Auditor, external Auditor) or technical expert, and sufficient time for the team to reorganize if there is a valid objection. If the organization requests a change in the audit team members for reasonable reasons, the Planning Officer is asked to provide a written justification. This application is valid for all examinations. Examples of reasonable reasons include situations of conflict of interest (such as when an Audit team member is a former employee of the organization or has served as a consultant to the organization) or previous unethical behavior.
Tetkik ekibine bildirim “FR.06 Tetkik Ekibi Görevlendirme Formu” ile yapılır. Bu kayıt ile aynı zamanda Tetkik ekip üyelerinden firma özelinde tarafsızlık teyidi alınır. “Tetkik Planı” baş Tetkikçiye iletilerek hazırlaması talep edilir. Tetkik planının hazırlanmasının ardından tetkik ekip bilgileri ve tetkik planı firmaya ön yazı ile iletilerek tetkik tarih, ekip ve plan detaylarının teyidi istenir. Tetkik bildirimi firmaya genel olarak olası itirazlara zaman tanıyacak şekilde tetkikten 2-7 gün önceden yapılır. Tüm aşamalarda faaliyetler tanımlanan şekilde gerçekleştirilir.& Notification to the audit team is made with the “FR.06 Audit Team Assignment Form”. With this record, confirmation of impartiality is also obtained from the members of the Inspection team, specific to the company. The “Inspection Plan” is forwarded to the lead Inspector and requested to prepare it. After the audit plan is prepared, the audit team information and the audit plan are sent to the company with a cover letter, and confirmation of the audit date, team and plan details is requested. The audit notification is made 2-7 days before the audit in a way to give the company time for possible objections in general. At all stages, activities are carried out as defined.
Firma ve tetkik ekibi tarafından ilk tetkik kabulünün ardından planlama sorumlusu tarafından FR.09 Aşama 1 Tetkik Rapor Seti ve FR.10 Tetkik Rapor Seti tetkik ekibine iletilir. Bu setler tetkikler sırasında kullanılan tüm kayıtları (tetkik planı, tetkik katılım, uygunsuzluk tabloları ve rapor) içermektedir. & After the first audit acceptance by the firm and the audit team, the FR.09 Stage 1 Audit Report Set and FR.10 Audit Report Set are transmitted to the audit team by the planning officer. These sets contain all records (audit plan, audit attendance, nonconformity tables and report) used during audits.
Türkak’ın tanıklık edeceği denetimlerde Türkak R.40.05 madde 6.8’de belirtilen dökümanların Türkak tarafından atanmış denetçiye iletilebilmesi için aşama 1 ve 2 denetimi arasına en az 10 gün süre verilecektir. Mücbir sebeplerin oluşması halinde Türkak R.40.05 madde 6.8’de belirtilen dökümanlar bölüm bölüm Türkak tarafından atanmış denetim ekibine iletilecektir. & At the audits to be witnessed by Türkak, at least 10 days will be allowed between the stage 1 and 2 audits so that the documents specified in item 6.8 of Türkak R.40.05 can be forwarded to the auditor appointed by Türkak. In case of force majeure, the documents specified in article 6.8 of Türkak R.40.05 will be delivered to the audit team assigned by Türkak in parts.
4.6. Tetkiklerin Gerçekleştirilmesi & Conducting Audits
Tetkik sürelerinin belirlenmesi talimatı ve çok şubeli kuruluşlar Tetkik talimatına uygun olarak Tetkik süreleri belirlenir. & Inspection periods are determined in accordance with the instruction to determine the inspection periods and the inspection instruction of multi-branch organizations.
Tetkiklerin Gerçekleştirilmesinde Genel Hususlar & General Considerations in Conducting Audits
Tetkikler, Tetkik Planına göre yürütülür. Tetkik aşağıdaki aşamalardan oluşur.& Audits are conducted in accordance with the Audit Plan. The examination consists of the following stages.
Açılış toplantısı, & Opening meeting,
Tetkikin gerçekleştirilmesi, & Conducting the audit
Tetkik ekibi ara değerlendirme toplantısı, & Interim evaluation meeting of the audit team,
Tetkik ekibi son değerlendirme toplantısı,& Audit team final evaluation meeting,
Kapanış toplantısı & Closing meeting
4.6.1. Açılış toplantısı & Opening Meeting
Tetkik ekibi, kuruluş üst yönetimi, Yönetim Temsilcisi ve ilgili bölümlerin sorumluları katılır. & The audit team, the organization's senior management, the Management Representative and the responsibles of the relevant departments participate.
Açılış toplantısı; Baş Tetkikçi tarafından, Tetkik Katılım Formunda yer alan gündem maddeleri doğrultusunda gerçekleştirilir.
Denetlenen kuruluş tarafından talep edildiği takdirde, Baş Tetkikçi tarafından, Tetkik Planında değişiklik yapılabilir. & Opening meeting; It is carried out by the Lead Auditor in line with the agenda items in the Audit Participation Form. The Audit Plan may be amended by the Lead Auditor if requested by the auditee.
Açılış toplantısında, sertifika üzerinde yer alacak bilgilerin teyidi için, belgelendirme kapsamı gözden geçirilir. & At the opening meeting, the scope of certification is reviewed to confirm the information on the certificate.
Açılış toplantısının sonunda, tetkik ekibi üyeleri ve katılımcılar tarafından, Tetkik Katılım kısmında ilgili bölümleri doldurularak imzalanır. & At the end of the opening meeting, it is signed by the members of the audit team and the participants by filling in the relevant sections in the Audit Participation section.
4.6.2. Tetkikin gerçekleştirilmesi & Conducting the audit
Yönetim sistem(ler)inin başvuru yapılan standarda veya hüküm ifade eden dokümana, kapsama ve oluşturulan dokümantasyona göre kabul edilebilir bir şekilde uygulanıp uygulanmadığının teyidi için karşılıklı görüşmeler, dokümanların ve kayıtların örnekleme metoduyla incelenmesi, ilgili alanlarda çalışmaların ve şartların gözlemlenmesi suretiyle yapılır. & In order to confirm whether the management system(s) is applied in an acceptable way according to the applied standard or the document, the scope and the documentation created, it is done by examining the documents and records by sampling method, observing the studies and conditions in the relevant fields.
Tetkik, Tetkik ekibi tarafından, Tetkik Planına uygun olarak gerçekleştirir. & The Audit is conducted by the Audit team in accordance with the Audit Plan.
Yönetim sistemi dokümanları ve ilgili raporlar kullanılarak, sistemin ilgili standart gereklerine uygun olarak kurulmuş, dokümante edilmiş ve etkin olarak uygulanmakta olduğu incelenir. & By using the management system documents and related reports, it is examined whether the system has been established, documented and effectively implemented in accordance with the relevant standard requirements.
Tetkiki gerçekleştirmenin güçlüğü anlaşılırsa Baş Tetkikçi, bunun nedenlerini kuruluş Yönetim Temsilcisine bildirir, Tetkiki durdurarak tutanak düzenler ve Tetkiki sonlandırır. Daha sonra oluşturulan tutanak, Belgelendirme Müdürüne iletir.
Tetkikin gerçekleştirilmesi aşamasında, kuruluşun logo kullanımı da gözlemlenir. & If the difficulty of performing the Audit is understood, the Lead Auditor notifies the reasons for this to the Organization Management Representative, suspends the Audit, draws up a report and terminates the Audit. Then, the report created is forwarded to the Certification Manager. During the realization of the audit, the use of the logo of the organization is also observed.
Tetkik ekibi üyeleri tarafından, Tetkik süresince yapılan inceleme ve gözlemlere ilişkin pozitif ve negatif bulgu ve gözlemler, ilgili raporlara kaydedilir. & Positive and negative findings and observations related to the examinations and observations made by the members of the audit team during the audit are recorded in the relevant reports.
Tetkik ekibi tarafından tetkikler sırasında bilgi toplama yöntemleri aşağıdaki konuları içerir, ancak bu yöntemler aşağıdakilerle sınırlı değildir: & Methods of gathering information during audits by the audit team include, but are not limited to, the following:
Görüşmeler;& Interviews;
Prosesler ve faaliyetlerin gözlemlenmesi,& Observing processes and activities,
Dokümantasyon ve kayıtların gözden geçirilmesi & Review of documentation and records
ISO 45001 tetkikleri için tetkik ekibi aşağıda belirtilen personel ile görüşme yapar: & For ISO 45001 audits, the audit team interviews the following personnel:
İş sağlığı ve güvenliği ile ilgili yasal sorumluluğu olan yöneticiler, & Managers with legal responsibility for occupational health and safety,
İş sağlığı ve güvenliği ile ilgili sorumluluğu olan çalışan temsilci(ler)i, & Employee representative(s) who are responsible for occupational health and safety,
Doktor ve hemşire gibi çalışanların sağlığını izlemekten sorumlu personel. Görüşmelerin uzaktan yapılması durumunda gerekçeler kaydedilir, & Personnel responsible for monitoring the health of workers such as doctors and nurses. In case the interviews are held remotely, the reasons are recorded,
Yöneticiler, daimi ve geçici çalışanlar. & Managers, permanent and temporary employees.
Görüşme için göz önünde bulundurulması gereken diğer personel: & Other personnel to be considered for the interview:
o İş sağlığı ve güvenliği risklerinin önlenmesi ile ilgili faaliyetleri yürüten yönetici ve çalışanlar, & Other personnel to be considered for the interview:
o Yüklenicilerin yöneticileri ve çalışanları.& Contractors' managers and employees.
Tetkiklerin gerçekleştirilmesi; kuruluş yönetim sisteminin başvuru yapılan standarda, kapsama ve oluşturulan dokümantasyona göre kabul edilebilir bir şekilde uygulanıp uygulanmadığının teyidi için karşılıklı görüşmeler, dokümanların ve kayıtların örnekleme metoduyla incelenmesi, ilgili bölümlerde çalışmaların ve şartların standart rehberliğinde gözlemlenmesi suretiyle yapılır. & Conducting audits; In order to confirm whether the organization's management system is applied in an acceptable way according to the applied standard, scope and documentation, mutual interviews are made by examining the documents and records by sampling method, observing the studies and conditions in the relevant sections under the guidance of the standard.
4.6.3. Tetkik ekibi ara değerlendirme toplantıları & Audit team midterm meetings
Tetkik süresince elde edilen bulgular gözden geçirilir ve gerek görüldüğü durumlarda tetkik ekibi içinde görev dağılımı yapılabilir. & Findings obtained during the audit are reviewed, and when necessary, assignments can be made within the audit team.
Tetkik esnasında toplanan veriler çerçevesinde, ihtiyaç duyulduğu takdirde, Baş Tetkikçi tarafından, Tetkik Planında değişiklik yapılabilir. & Based on the data collected during the audit, the Lead Auditor may make changes to the Audit Plan, if needed.
4.6.4. Tetkik ekibi son değerlendirme toplantısı & Audit team final assessment meeting
Tetkik sonucunda elde edilen bulgular gözden geçirilir. İlgili standart(lar)ın veya hüküm ifade eden doküman(lar)ın şartlarından ve kuruluşun sistem dokümanlarından sapmalar tespit edilirse uygunsuzluklar, Uygunsuzluk Bildirim Formunda minör veya majör şeklinde tanımlanarak, Baş Tetkikçi/Tetkikçi tarafından imzalanır. & The findings obtained as a result of the examination are reviewed. If deviations are detected from the requirements of the relevant standard(s) or the relevant document(s) and the system documents of the organization, the nonconformities are defined as minor or major in the Nonconformity Notification Form and signed by the Lead Auditor/Auditor.
Baş Tetkikçi, Yönetim Temsilcisini davet ederek, bulunan uygunsuzlukları açıklar ve belirlenen uygunsuzlukların kabul edildiğinin teyidi amacıyla, Uygunsuzluk Formlarının imzalanmasını ister. İmzalanan Uygunsuzluk Formlarının aslı, tespit edilen uygunsuzluklarla ilgili olarak kuruluşun yapmayı planladıkları faaliyetleri ve tamamlama sürelerini belirterek, 15 gün içinde Tetkikçi / IQM’ ye gönderilmek üzere Yönetim Temsilcisine iletilir. & The Lead Auditor invites the Management Representative, explains the nonconformities found and requests that the Nonconformity Forms be signed to confirm the acceptance of the identified nonconformities. The original of the signed Nonconformity Forms are forwarded to the Management Representative to be sent to the Auditor / IQM within 15 days, stating the activities planned by the organization and the completion times regarding the detected nonconformities.
Baş Tetkikçi tarafından, Uygunsuzluk Formlarının bir kopyası, daha sonra IQM’ e ulaştırmak üzere alınır. & A copy of the Non-Conformance Forms is received by the Lead Auditor for later delivery to IQM.
Kuruluşun Uygunsuzluk Formlarını imzadan imtina etmesi durumunda Baş Tetkikçi, bir tutanak hazırlayarak kendi imzası ile Uygunsuzluk Formlarını, Belgelendirme Müdürüne iletir. & In case the organization refrains from signing the Nonconformity Forms, the Lead Auditor prepares a report and submits the Nonconformity Forms to the Certification Manager with his/her signature.
4.6.5. Kapanış toplantısı & Closing Meeting
Tetkik sonunda, Tetkik ekibi ile kuruluş üst yönetimi, Yönetim Temsilcisi ve ilgili bölümlerin sorumluları ile yapılır.
Kapanış toplantısı; Baş Tetkikçi tarafından, Tetkik Katılım Formunda yer alan gündem doğrultusunda gerçekleştirilir.
Toplantıda Baş Tetkikçi, yapılan tetkikin olumlu ve/veya olumsuz sonuçlarını, varsa uygunsuzlukları anlaşılacak şekilde sunar. Tetkik uygulamaları hakkında bilgi verir. & At the end of the audit, it is done with the Audit team, the top management of the organization, the Management Representative and the responsibles of the relevant departments.
Closing meeting; It is conducted by the Lead Auditor in line with the agenda contained in the Audit Participation Form.
At the meeting, the Chief Auditor presents the positive and/or negative results of the audit and any nonconformities, if any, in a way that can be understood. Provides information about audit applications.
Kapanış toplantısında, Baş tetkikçi tarafından;& At the closing meeting, by the Chief Inspector;
Uygunsuzluk tespit edilmediği takdirde- Belgelendirme Komitesine belgelendirme veya yeniden belgelendirme yönünde olumlu görüş bildirileceği, & Uygunsuzluk tespit edilmediği takdirde- Belgelendirme Komitesine belgelendirme veya yeniden belgelendirme yönünde olumlu görüş bildirileceği,
Uygunsuzluk tespit edilmesi durumunda; minör uygunsuzluklar için aksiyon faaliyetlerinin gönderilmesi, majör uygunsuzluklarda ise kapama kanıtlarının iletilmesinden sonra Belgelendirme Komitesine, belgelendirme veya yeniden belgelendirme yönünde olumlu görüş bildirileceği (ISO 22000 ve ISO 27001 için minör uygunsuzluklarda da kapama kanıtları talep edilir) & In case of nonconformity; After sending action activities for minor nonconformities and submitting closure evidence for major nonconformities, a positive opinion will be given to the Certification Committee for certification or recertification (for ISO 22000 and ISO 27001, closure proofs are also requested for minor nonconformities)
Takip Tetkiki gerektiği belirlenmişse takip Tetkiki gerçekleştirileceği ve ancak tespit edilen uygunsuzluklara yönelik düzeltici faaliyetlerin gerçekleştirilmesinden sonra Belgelendirme Komitesine, belgelendirme veya yeniden belgelendirme yönünde olumlu görüş bildirileceği ifade edilir. & If it is determined that a Follow-up Inspection is required, it is stated that a follow-up inspection will be carried out and a positive opinion will be given to the Certification Committee in the direction of certification or re-certification only after the corrective actions are taken against the detected nonconformities.
Kapanış toplantısında, sertifika üzerinde yer alacak bilgilerin tekrar teyidi için, belgelendirme kapsamı gözden geçirilir.
Gözetim Tetkiklerinde, aşağıdaki şartların oluşması söz konusu olursa, belgelendirmenin askıya alınması yönünde, öneride bulunulacağı ifade edilir:& At the closing meeting, the scope of certification is reviewed for reconfirmation of the information to be included on the certificate. In the Surveillance Audits, it is stated that if the following conditions occur, a proposal will be made to suspend the certification:
Tüm yönetim sistemini etkileyen standart şartlarının yerine getirilmediğinin tespit edilmesi & Detection of non-fulfillment of the standard requirements affecting the entire management system.
Önceki tetkiklerde tespit edilen majör uygunsuzlukların etkin şekilde giderilmediğinin tespit edilmesi & Detection of non-fulfillment of the standard requirements affecting the entire management system.
Yasal şartların yerine getirilmediğinin tespiti,& Detection of non-fulfillment of legal requirements,
Belgelendirme kurallarına uyulmaması,& Failure to comply with certification rules,
Askıya alınmış kuruluşların takip Tetkik(ler)inde, belirlenen uygunsuzluklar kapatılmış ise belgelendirmenin geçerliliğinin devamı, kapatılmamış ise belgelendirmenin geri çekilmesi yönünde, öneride bulunulacağı ifade edilir.& In the follow-up Inspection(s) of the suspended institutions, it is stated that if the identified nonconformities are closed, a recommendation will be made to continue the validity of the certification, and to withdraw the certification if it has not been closed.
Kapanış toplantısının sonunda, Tetkik ekibi üyeleri ve katılımcılar tarafından, “Tetkik Katılım Formunun” ilgili bölümleri doldurularak imzalanır. & At the end of the closing meeting, the relevant sections of the “Audit Participation Form” are filled and signed by the members of the Audit team and the participants.
Toplantının sonunda, Baş Tetkikçi tarafından, tetkik ekibinin değerlendirilmesi için ilgili formlar, Yönetim Temsilcisine iletilir ve değerlendirme için doldurulmaları talep edilir. At the end of the meeting, the relevant forms are sent to the Management Representative by the Lead Auditor for the assessment of the audit team and they are requested to be filled for assessment.
ISO 45001 tetkiklerinde Müşteri temsilcisinden, iş sağlığı ve güvenliğinden yasal olarak sorumlu yöneticileri, çalışanların sağlığını izlemekten sorumlu personeli ve iş sağlığı ve güvenliğinden sorumlu çalışan temsilci(ler)ini kapanış toplantısına katılmak üzere davet etmesi istenir. Toplantıda bulunulmazsa gerekçe kaydedilir. Kapanış toplantısında tetkikin olumlu ve olumsuz sonuçları, varsa uygunsuzluklar ve takip tetkiki ile ilgili açıklama ve kapanış toplantı için soru formunda belirtilen konular görüşülür. & In ISO 45001 audits, the customer representative is requested to invite the managers legally responsible for occupational health and safety, the personnel responsible for monitoring the health of the employees, and the employee representative(s) responsible for the occupational health and safety to attend the closing meeting. If not present at the meeting, the reason is recorded. At the closing meeting, the positive and negative results of the audit, any nonconformities and the explanation regarding the follow-up audit and the issues specified in the questionnaire for the closing meeting are discussed.
4.6.6. Aşama 1 Tetkiklerinin Gerçekleştirilmesi & Performing Stage 1 Audits
Aşama 1’in temel olarak amacı, kuruluşun Aşama 2’ye hazır olup olmadığının tespit edilmesidir.& The main purpose of Stage 1 is to determine whether the organization is ready for Stage 2.
Aşama 1’in amacı aşağıdakileri gerçekleştirmektir: & The purpose of Phase 1 is to:
Müşteri kuruluşun yönetim sisteminde dokümante edilmiş bilgiyi gözden geçirmek, & Reviewing documented information in the client organization's management system,
Müşteri kuruluşun mahallini ve sahaya özgü koşulları değerlendirmek ve Aşama 2’ye hazırlığın belirlenmesindeki müşteri kuruluşun personeli ile görüşmeler yapmak, & Assessing the client organization's locale and site-specific conditions and negotiating with client organization personnel in determining preparation for Phase 2,
Müşteri kuruluşun statüsünün gözden geçirilmesi ve özellikle temel performansın veya önemli hususların, proseslerin, hedeflerin ve yönetim sisteminin çalışmasının tanımlanmasıyla ilgili standart şartlarını anlamak, & Understanding the standard requirements for reviewing the client organization's status and particularly identifying key performance or key issues, processes, objectives, and operation of the management system.
Aşağıdakiler dahil yönetim sisteminin kapsamı ile ilgili gerekli bilgileri elde etmek: & Obtaining necessary information regarding the scope of the management system, including:
o Müşterinin saha/ları, & Customer's site(s),
o Prosesler ve kullanılan teçhizat, & Processes and equipment used,
o Oluşturulan kontrol seviyeleri (Özellikle birden fazla sahası olan müşterilerde), & Established control levels (especially for customers with more than one site),
o Uygulanabilir durumsal ve düzenleyici şartlar, & Applicable situational and regulatory conditions,
Aşama 2’ye yönelik kaynak tahsisinin gözden geçirmek ve Aşama 2’nin ayrıntıları üzerinde müşteri kuruluş ile anlaşmaya varmak, & Reviewing the resource allocation for Phase 2 and agreeing with the client organization on the details of Phase 2,
Yönetim sistemi standardı veya diğer hüküm ifade eden dokümanlar bağlamında, müşterinin yönetim sisteminin ve saha operasyonlarının yeterli bir şekilde anlaşılmasının sağlanmasıyla, Aşama 2’nin planlanmasına odaklanmak, & Focusing on the planning of Phase 2, providing an adequate understanding of the client's management system and field operations in the context of the management system standard or other governing documents;
İç Tetkiklerin ve yönetimin gözden geçirmesinin planlanıp planlanmadığı ve gerçekleştirilip gerçekleştirilmediğinin değerlendirilmesi ve uygulanan yönetim sisteminin uygulama seviyesi ile müşteri kuruluşun Aşama 2 için hazır olup olmadığını değerlendirmek. & Evaluating whether internal audits and management reviews are planned and carried out, and assessing the level of implementation of the implemented management system and the client organization's readiness for Phase 2.
Planlama aşamasında değerlendirilen bilgileri teyit etmek,& Confirming the information evaluated during the planning phase,
Yasal şartlar ve düzenleyici kuruluşların gerekliliklerinin firmada uygulamalarının değerlendirilmesi & Evaluation of the legal requirements and the requirements of regulatory agencies in the company.
GGYS için yukarıdaki hususlara ek olarak TS ISO/IEC 22003 9.2.3.1.2 maddesindeki hususlar dikkate alınır.& For FSMS, in addition to the above issues, the issues in TS ISO/IEC 22003 9.2.3.1.2 are taken into account.
BGYS için yukarıdaki hususlara ek olarak TS ISO/IEC 27006 9.3 Maddesindeki hususlar dikkate alınır. Buna bağlı olarak TS ISO/IEC 27701 standardında tetkik talep eden firmaların öncelikli olarak TS ISO/IEC 27001 belgelenmiş olmaları beklenir. Bu talebi olan firmaların TS ISO/IEC 27701 ve 27702‘ de tanımlanmış olan gereksinimleri karşılamaları gerekir.& For ISMS, in addition to the above issues, the issues in Article 9.3 of TS ISO/IEC 27006 are taken into consideration. Accordingly, companies requesting audits in the TS ISO/IEC 27701 standard are primarily expected to be certified to TS ISO/IEC 27001. Companies with this request must meet the requirements defined in TS ISO / IEC 27701 and 27702.
BGYS aşama 1 tetkikleri aşağıdakileri içerecek şekilde gerçekleştirilir.& ISMS stage 1 audits are carried out to include the following.
Aşama 1’in Baş Tetkikçi tarafından dokümantasyon gereksinimleri; Aşama 1 tetkiki öncesinde gerçekleştirilen doküman analizine detaylandırmak üzere; BGYS politikası ve kontrol edilmiş dokümante ifadeleri, BGYS kapsamı, BGYS destekleyici prosedürler ve kontroller, Risk değerlendirme metodolijisinin tanımı, risk değerlendirme raporu, risk işleme planı ihtiyaç duyulan prosedür ve kontrollerin etkinliğinin nasıl ölçüleceğini tanımlama, bu standart tarafından gerek duyulan kayıtlar, uygulanabilirlik bildirgesini içerir. Aşama 1’in amacı; Risk değerlendirmesine dayanan, uygulanabilir kontrollerin uygulanarak, belirlenen bilgi güvenliği hedeflerine ulaşılması amaçlanan yönetim sistemi etkinliğinin belirlenmesi, müşteri kuruluşun BGYS politika ve amaçları bağlamında ve özellikle tetkik için hazırlık durumu kapsamında BGYS’ sinin anlaşılması ve Aşama 2’ye hazır olma durumunun belirlenmesi için gerçekleştirilen tetkiktir.& Documentation requirements by the Lead Auditor of Phase 1; To elaborate on the document analysis performed before the Stage 1 audit; ISMS policy and checked document statements, ISMS scope, ISMS supporting procedures and controls, Definition of risk assessment methodology, risk assessment report, risk processing plan, procedures and controls needed to define how the effectiveness of controls will be measured, records required by this standard, and includes the applicability statement. The purpose of Stage 1 is; It is an audit performed to determine the effectiveness of the management system aimed at achieving the determined information security objectives by applying the applicable controls based on risk assessment, to understand the ISMS in the context of the customer organization's ISMS policy and objectives and especially within the scope of the preparedness for the audit, and to determine the state of readiness for Stage 2.
ISO 27001 tetkikinin raporu tetkike katılmamış bir başka denetçi kontrol edilmelidir. Tetkik raporu kontrol eden tetkike katılmamış Baş Tetkikçi tarafından yeterli kabul edilmezse tetkike başka bir Baş Tetkikçi atanmalı ve tetkike o devam etmelidir. Eğer Raporu kontrol eden Baş Tetkikçi rapora onay verdiyse Aşama 2 aynı tetkikçi ile devam edebilir. & The report of the ISO 27001 audit should be checked by another auditor who did not participate in the audit. If the audit report is not deemed sufficient by the Lead Auditor who did not participate in the audit, another Lead Auditor should be assigned to the audit and he/she should continue the audit. If the Lead Auditor who checked the report has approved the report, Stage 2 may continue with the same auditor.
ISO 45001 için Yönetim sisteminin, müşterinin yürürlükteki yasal, düzenleyici ve sözleşmeye bağlı gerekliliklerini karşılama yeteneğinin belirlenmesi için, aşağıda verilen yaklaşım uygulanır: & For ISO 45001, the following approach is applied to determine the ability of the Management system to meet the customer's applicable legal, regulatory and contractual requirements:
Bir İSGYS’ nin ISO 45001:2018’ in şartları kapsamında belgelendirilmesi yasalara uygunluğun bir garantisi değildir (resmi kontroller veya diğer türden kontroller ve/veya yasalara uygunluk tetkikleri veya diğer belgelendirme veya doğrulama şekilleri de dâhil, diğer kontrol araçları da bir garanti teşkil etmez). Buna karşılık, ISO 45001:2018 belgelendirmesinin, söz konusu yasalara uygunluğun sağlanması ve muhafaza edilmesi açısından etkin bir araç olduğu kanıtlanmıştır.& Certification of an OHSMS under the requirements of ISO 45001:2018 is not a guarantee of compliance with the law (official controls or other types of controls and/or other means of control, including compliance audits or other forms of certification or verification, do not constitute a guarantee) . In contrast, ISO 45001:2018 certification has proven to be an effective tool for ensuring and maintaining compliance with those laws.
Akredite İSGYS belgelendirmesinin kuruluşun yasalara uygunluk da dâhil, politika taahhütlerini yerine getirmesini sağlamak için açıkça etkin bir İSGYS’ ye sahip olduğunun değerlendirildiğini ve onaylandığını göstereceği kabul edilir.& Accredited OHSMS certification is considered to demonstrate that the organization has clearly been evaluated and validated as having an effective OHSMS to ensure that it fulfills its policy commitments, including legal compliance.
Geçerli yasal şartlar açısından devam eden veya potansiyel nitelikteki uygunsuzluklar, kuruluş içerisinde yönetimin gözden geçirmesinde bir eksiğe işaret edebilir ve İSGYS’ nin ve ISO 45001:2018 standardına uygunluğun dikkatli şekilde gözden geçirilmesi gerekir.& Ongoing or potential non-compliance with applicable legal requirements may indicate a lack of management review within the organization and careful review of the OHSMS and compliance with the ISO 45001:2018 standard is required.
Aşama 1’in, müşterinin sahasına gitmeden gerçekleştirildiği durumlarda, “Tetkik Planı” oluşturulmasına gerek yoktur. Bu Tetkiklerde, kuruluş dokümanları ve kuruluştan elde edilen diğer bilgiler, görevlendirilen Baş Tetkikçi tarafından incelenir. Baş Tetkikçi gerektiğinde, tetkik yapılacak olan kuruluşla irtibata geçerek, anlaşılmayan hususlar ile ilgili detay bilgi talep edebilir.
Aşama 1, ister kuruluşun sahasında, isterse kuruluşun sahasına gitmeden yapılsın, Aşama 2’de uygunsuzluk olarak sınıflandırılabilecek alanların belirtilmesini de içeren Aşama 1 Tetkik bulguları için, Aşama 1 Tetkik Raporu oluşturulur ve müşteriye iletilir. & In cases where Phase 1 is performed without visiting the customer's site, there is no need to create an "Inspection Plan". In these Audits, organizational documents and other information obtained from the organization are reviewed by the appointed Lead Auditor. When necessary, the Lead Auditor may contact the institution to be audited and request detailed information on matters that are not understood.
For Stage 1 Audit findings, including identifying areas that may be classified as non-conformities in Stage 2, whether Stage 1 is at the organization's site or without going to the organization's site, a Stage 1 Audit Report is generated and forwarded to the client.
Aşama 1 sırasında bulunan uygunsuzluklar ile ilgili olarak gerçekleştirilecek düzeltici faaliyetler, Aşama 2 öncesinde tamamlanmalıdır. Düzeltici faaliyetlerin gerçekleştirildiği doğrulanmadan Aşama 2 yapılmaz. Minör uygunsuzluklar için aksiyon planı yeterli görülür ve aşama 2 tetkikinde yerinde uygunluğu kontrol edilir. Majör uygunsuzluklar için uygunluğu gösteren kanıtlar aşama 2 tetkiki öncesinde talep edilir.
Aşama 1 tetkikinin ardından, aşama 1 tetkik bulgularının ve diğer gerekli bulguların incelendiği teknik değerlendirme gerçekleştirilir. Bu değerlendirme Teknik Dosya Sorumluları tarafından gerçekleştirilir. Olumlu kararın ardından aşama 2 tetkiki planlanabilir.& Corrective actions to be taken regarding nonconformities found during Stage 1 should be completed prior to Stage 2. Stage 2 is not undertaken until corrective actions have been verified. The action plan is considered sufficient for minor nonconformities and its compliance is checked on site in the stage 2 audit. Evidence of compliance for major nonconformities is requested prior to the stage 2 audit.
Following the phase 1 audit, a technical assessment is conducted, where phase 1 audit findings and other necessary findings are reviewed. This evaluation is carried out by the Technical File Officers. After a positive decision, a stage 2 audit can be scheduled.
4.6.7. Aşama 2 Tetkiklerinin Gerçekleştirilmesi & Performing Stage 2 Audits
Aşama 2’nin amacı, müşteri kuruluşun yönetim sisteminin etkinliği dâhil, uygulamayı değerlendirmektir. Aşama 2, örnekleme planı doğrultusunda, müşteri kuruluşun bütün sahalarında yapılır. Aşama 2 en azından aşağıdaki hususları içermektedir: & The purpose of Phase 2 is to evaluate implementation, including the effectiveness of the client organization's management system. Stage 2 is done at all sites of the client organization, in accordance with the sampling plan. Stage 2 includes at least the following:
Uygulanabilir yönetim sistem standardı veya diğer hüküm ifade eden dokümanların şartlarına uygunluk hakkındaki bilgi ve kanıt, & Information and evidence of compliance with the requirements of the applicable management system standard or other applicable document;
Temel performans hedefleri ve amaçlarına yönelik (Uygulanabilir yönetim sistem standardı veya diğer hüküm ifade eden dokümanlardaki beklentilerle tutarlı) performansın izlenmesi, ölçülmesi, kayıt altına alınması ve gözden geçirilmesi, & Monitoring, measuring, recording and reviewing performance against key performance targets and objectives (consistent with expectations in the applicable management system standard or other relevant documents).
Müşteri kuruluşun yönetim sistemi kabiliyeti ve uygulanabilir statüsel, düzenleyici ve yapısal şartların karşılanması ile ilgili performansı, & The client organization's management system capability and performance in meeting applicable statutory, regulatory and structural requirements;
Müşteri kuruluşun proseslerinin operasyonel kontrolü, & Operational control of the client organization's processes,
İç Tetkik ve yönetimin gözden geçirmesi, & Internal Audit and management review,
Müşteri kuruluş politikaları için yönetimin sorumluluğu. & Management's responsibility for client organization policies.
Hüküm ifade eden şartlar, politika, performans hedefleri ve amaçları arasındaki bağlantılar (uygulanabilir yönetim sistem standardı veya diğer hüküm ifade eden dokümanlarındaki beklentilerle tutarlı) uygulanabilir her türlü yasal şartlar, sorumluluklar, personelin yeterliliği, operasyonlar, prosedürler, performans verileri ve iç denetim bulguları ile sonuçlarından her hangi birisi.& Links between the governing requirements, policy, performance goals and objectives (consistent with the expectations in the applicable management system standard or other enforceable documents) with any applicable legal requirements, responsibilities, competence of personnel, operations, procedures, performance data, and internal audit findings. any of the consequences.
ISO 27001 tetkiklerinde aşağıdaki hususlara odaklanılmaktadır. & ISO 27001 audits focus on the following issues.
Bilgi güvenliğiyle ilgili risklerin değerlendirilmesi ve bu değerlendirmelerin sonucunda tekrarlanan risklerin sonuçları, tutarlı, geçerli ve karşılaştırılabilir sonuçlar üretmesi, & Evaluation of risks related to information security and the results of repeated risks as a result of these assessments, producing consistent, valid and comparable results,
ISO/IEC 27001 de listelenen dokümantasyon gereklilikleri,& Documentation requirements listed in ISO/IEC 27001,
Risk değerlendirme ve risk yaklaşımı proseslerine göre kontrol hedeflerinin ve kontrol noktalarının seçilmesi,& Selecting control targets and control points according to risk assessment and risk approach processes,
BGYS’nin etkinliğinin gözden geçirilmesi ve bilgi güvenliği kontrollerinin etkinliğinin ölçümleri, & Reviewing the effectiveness of ISMS and measuring the effectiveness of information security controls,
Üst yönetim, liderlik, bilgi güvenliği amaçları ve bilgi güvenliği politikasına bağlılığı, & Commitment to senior management, leadership, information security objectives and information security policy,
Seçilen ve uygulanan kontroller arasındaki ilişki, uygulanabilirlik bildirgesi, risk değerlendirmenin ve risk işleme proseslerinin sonuçları ve BGYS politika ile amaçlarının aralarındaki ilişki, & The relationship between the controls selected and implemented, the statement of feasibility, the results of the risk assessment and risk treatment processes, and the relationship between the ISMS policy and objectives,
Kontrol amaçlarının ve risk değerlendirme ve risk işleme proseslerine dayanan kontrollerin seçimi,& Selection of control objectives and controls based on risk assessment and risk treatment processes,
Prosesinin sonuçları ve BGYS politikası ve amaçlarının aralarındaki ilişki, Kontrollerin uygulanıp uygulanmadığına ve belirtilen amaçları sağlayacak şekilde etkin olup olmadığını belirlemek için, kuruluş tarafından yapılan kontrollerin etkinlik ölçümleri,& The relationship between the results of its process and the ISMS policy and objectives. Effectiveness measurements of controls made by the organization to determine whether controls are being implemented and are effective in meeting stated objectives.
Programların, süreçlerin, prosedürlerin, kayıtların, iç denetimlerin ve BGYS etkinliğinin gözden geçirmelerinin yönetim kararlarına ve BGYS politika ve amaçları açısından izlenebilirliğini sağlamak için bu hususların kullanılması.& Using these considerations to ensure that programs, processes, procedures, records, internal audits, and reviews of ISMS effectiveness are traceable to management decisions and ISMS policy and objectives.
Dış ve iç bağlamı ve ilgili riskleri göz önüne alarak, tetkiklerin uygulanması, organizasyonun bilgi güvenliği süreçleri ve kontrollerinin izlenmesi, ölçümü ve analizi, kontrollerin uygulanıp etkinleşmediğini ve bunların belirtilen bilgi güvenlik hedeflerini karşıladığını belirlenmesi;& Taking into account the external and internal context and associated risks, implementing audits, monitoring, measuring and analyzing the organization's information security processes and controls, determining whether controls are in place and meeting stated information security objectives;
Tetkik ekibi; & audit team;
Müşterinin BGYS kapsamı dahilinde bilgi güvenliği ile ilgili risklerin değerlendirilmesi ve BGYS operasyonları için uygun ve yeterli olduğunu göstermelerini şart koşmaktadır, & Requires the customer to demonstrate that it is appropriate and sufficient for the assessment of risks related to information security within the scope of ISMS and for ISMS operations,
Müşteri kuruluşun varlıklara yönelik bilgi güvenliği ile ilgili tehditlerin, açıklıkların ve etkilerin tespit edilmesi, incelenmesi ve değerlendirilmesi için prosedürlerin ve bunların uygulama sonuçlarının müşteri kuruluşun politikası, hedefleri ve amaçları ile tutarlı olup olmadığını ortaya koymaktadır, & Demonstrates whether procedures for detecting, examining and evaluating threats, vulnerabilities, and impacts on information security of client organization's assets, and their implementation results, are consistent with the client organization's policy, goals and objectives,
Risk değerlendirmesinde kullanılan prosedürlerin doğru ve düzgün bir şekilde uygulandığını kontrol etmektedir. & It checks that the procedures used in risk assessment are applied correctly and properly.
Aşama 2, ilgili standartlar, hüküm ifade eden dokümanlar ve sistem dokümanlarına uygunluğu tespit etmek amacı ile referans standartların veya hüküm ifade eden dokümanların tüm maddelerinin ve kuruluşun belgelendirilmesi amacıyla başvurduğu kapsamdaki tüm faaliyetlerin uygulamalarının incelendiği bir tetkiktir.& Stage 2 is an audit in which all the articles of the reference standards or the ruling documents and the practices of all activities within the scope of the organization applied for certification are examined in order to determine the compliance with the relevant standards, ruling documents and system documents.
Aşama 2 sonrasında yukarıda incelenmesi öngörülen konularla ilgili Tetkik bulgularını ve varsa tespit edilen uygunsuzlukları içeren, Tetkik Raporu oluşturulur ve müşteriye iletilir. & After Stage 2, the Inspection Report containing the Inspection findings related to the issues foreseen to be examined above and the non-conformities detected, if any, is generated and forwarded to the customer.
Aşama 2’ de tespit edilen uygunsuzluklarla ilgili olarak gerçekleştirilecek düzeltici faaliyetler, kuruluş tarafından, en geç 2 (iki) hafta içerisinde tespit edilerek IQM’ye bildirilmelidir. & Corrective actions to be taken regarding the nonconformities detected in Stage 2 should be determined by the organization within 2 (two) weeks at the latest and reported to IQM.
Minör uygunsuzluklar en çok (1) bir ay, majör uygunsuzluklar da en çok (2) iki ay içerisinde tamamlanmalıdır. Baş tetkikçi insiyatifi ile uygunsuzluk kapama süresi 6 aya kadar uzatılabilir. Bu durumda uzatma gerekçesi belirtilmelidir.& Minor non-compliances must be completed within a maximum of (1) one month, and major non-compliances within a maximum of (2) two months. With the initiative of the lead auditor, the nonconformity closing period can be extended up to 6 months. In this case, the reason for the extension should be stated.
Tetkik sırasında baş Tetkikçinin kararı ile uygunsuzluk kapamalarının doğrulanması için takip tetkiki gerekip gerekmediği uygunsuzluk formu ile belirtilir ve kapanış toplantısında firmaya bildirilir.& During the audit, with the decision of the lead Auditor, whether a follow-up audit is required for the verification of nonconformity closures is indicated with the nonconformity form and the company is notified at the closing meeting.
Minör uygunsuzluklar için aksiyon planı yeterli görülür ve bir sonraki tetkikinde yerinde uygunluğu kontrol edilir. Majör uygunsuzluklar için uygunluğu gösteren kanıtlar talep edilir. & The action plan is considered sufficient for minor nonconformities and its suitability is checked in the next inspection. Evidence of compliance is requested for major nonconformities.
4.6.8. Gözetim Tetkiklerinin Gerçekleştirilmesi & Performing Surveillance Audits
Gözetim faaliyetleri, belgelendirilmiş müşteri kuruluşun yönetim sisteminin, belgelendirmeye referans standardın belirlenmiş şartlarını sağlamasının, sahada Tetkikini içermektedir. Diğer gözetim faaliyetleri aşağıdakileri içerir: & Surveillance activities include on-site Inspection of the certified client organization's management system to ensure that it meets the specified requirements of the certification reference standard. Other surveillance activities include:
Belgelendirme hususlarında, IQM’in belgelendirilmiş müşteri kuruluşa yönelttiği sorular, & Questions directed by IQM to the certified client organization regarding certification,
Belgelendirilmiş müşteri kuruluşun faaliyetlerinde belgelendirme ile ilgili ifadeler (Örneğin, promosyon malzemeleri, internet sayfası), & Statements related to certification in the activities of the certified client organization (For example, promotional materials, website),
Belgelendirilmiş müşteri kuruluştan dokümante edilmiş bilgi verme istekleri (kâğıt veya elektronik ortamda), & Documented information requests from the certified client organization (in paper or electronic form),
Belgelendirilmiş müşterinin performansının izlenmesi için diğer araçlar. & Other tools for monitoring the certified client's performance.
Gözetim Tetkiklerinde, tüm sistemin tetkiki zorunlu değildir. Belgelendirilmiş yönetim sistemlerinin, yeniden belgelendirme Tetkikine kadar şartları yerine getirdiğine dair güveni sağlamak için, diğer gözetim faaliyetlerinin yanı sıra gerçekleştirilir. Gözetim Tetkiki en azından aşağıdakileri içerir: & In Surveillance Audits, it is not mandatory to audit the entire system. It is performed alongside other oversight activities to provide confidence that the documented management systems meet the requirements until the recertification Audit. The Surveillance Inspection includes at a minimum:
İç Tetkikleri ve yönetimin gözden geçirmesini, & Internal Audits and management review,
Bir önceki Tetkik esnasında tanımlanan uygunsuzluklar için yapılan faaliyetlerin gözden geçirilmesini, & Reviewing the actions taken for nonconformities identified during the previous Audit,
Şikâyetlerin ele alınmasını, & Handling complaints,
Belgelendirilmiş müşteri kuruluşun amaçlarının gerçekleştirmesi ve ilgili yönetim sistem/lerinin amaçları bakımından yönetim sisteminin etkinliğini, & The effectiveness of the management system in terms of achieving the objectives of the certified client organization and the objectives of the relevant management system(s),
Sürekli iyileştirmeyi amaçlayan planlanmış faaliyetlerin gelişimini, & Development of planned activities aimed at continuous improvement,
Operasyonel kontrolün sürdürüldüğünü, & Maintaining operational control,
Değişikliklerin gözden geçirilmesini, & Reviewing changes.
Marka/Logoya ve/veya belgelendirmeye yapılan diğer atıfları.& Other references to the Brand/Logo and/or certification.
ISO 27001 gözetim tetkikleri de yönetim sisteminin tümünü veya bölümlerini içerebilir. Soru listelerinde her bir gözetim tetkiki için incelenecek maddeler işaretlenmiştir. Gözetim tetkiklerinde aşağıdaki konular özellikle dikkate alınmaktadır. & ISO 27001 surveillance audits may also include all or parts of the management system. Items to be examined for each surveillance audit are marked in the question lists. The following issues are particularly taken into account in surveillance audits.
BGYS İç tetkiki, bilgi güvenliği risk değerlendirme, yönetimin gözden geçirmesi ve önleyici ve düzeltici faaliyet olan sistem devamlılığı bileşenleri,& System continuity components, which are ISMS internal audit, information security risk assessment, management review and preventive and corrective action,
BGYS standardı ISO/IEC 27001 ve belgelendirme için gerekli olan diğer dokümanlar tarafından gerekli olan harici taraflardan alınan iletişim,& Communication from external parties required by the ISMS standard ISO/IEC 27001 and other documents required for certification,
Dokümante edilmiş sistemdeki değişiklikler, & Changes in the documented system,
Değişime konu olan alanlar,& Areas subject to change,
ISO/IEC 27001’in seçilen bileşenleri, & Selected components of ISO/IEC 27001,
Uygun şekilde seçilen diğer alanlar & Other fields selected as appropriate
BGYS’nin müşteri kuruluşun bilgi güvenliği politikalarının hedeflerine ulaşabilmesi hususunda etkinliği, & The effectiveness of ISMS in achieving the objectives of the information security policies of the customer organization,
Periyodik değerlendirme için prosedürlerin işleyişleri ve bağlı bilgi güvenliği yasa ve düzenlemelerine uygunluğunun gözden geçirilmesi,& Reviewing the operation of procedures and compliance with related information security laws and regulations for periodic evaluation,
Belirlenen kontrollerdeki değişiklikler ve buna bağlı olarak SoA’daki değişiklikler, & Changes in identified controls and accordingly changes in SoA,
Tetkik programına göre uygulama ve kontrollerin etkinliği. & Efficiency of implementation and controls according to the audit program.
Her gözetim Tetkikinde incelenmesi gereken standart maddeleri “Tetkik soru listelerinde” işaretlenmiştir. Ancak işaretli maddelerin dışında bir önceki Tetkikte tespit edilen uygunsuzluklara ait standart maddelerinin de incelenmesi ve Tetkik raporunun ilgili bölümünde bulguların belirtilmesi gerekmektedir. & The standard items that should be examined in each surveillance Audit are marked in the “Audiment question lists”. However, apart from the marked items, the standard items regarding the nonconformities identified in the previous Inspection should also be examined and the findings should be stated in the relevant section of the Inspection report.
Gözetim Tetkikinde, incelenmesi öngörülen konularla ilgili Tetkik bulgularını ve -varsa- tespit edilen uygunsuzlukları içeren, Tetkik Raporu oluşturulur ve müşteriye iletilir. & In the Surveillance Inspection, the Inspection Report containing the Inspection findings related to the subjects foreseen to be examined and the non-conformities detected, if any, is created and forwarded to the customer.
Uygunsuzluklar için kapama süreleri aşama 2 Tetkik uygulamalarındaki gibidir. & Closing times for nonconformities are the same as in Stage 2 Inspection applications.
4.6.9. Yeniden Belgelendirme Tetkiklerinin Gerçekleştirilmesi & Performing Recertification Audits
Yeniden belgelendirme Tetkiki, ilgili standartlar veya diğer hüküm ifade eden dokümanın şartlarının yerine getirilmesinin devamını değerlendirmek için gerçekleştirilir. Yeniden belgelendirme Tetkikinin amacı, yönetim sisteminin uygunluğunun ve etkililiğinin bir bütün olarak devam ettirildiğinin ve belgelendirme kapsamı için, ilginin ve uygulanabilirliğin sürdürüldüğünün teyit edilmesidir. & The recertification audit is conducted to evaluate the continued fulfillment of the requirements of the relevant standards or other prevailing document. The purpose of the recertification audit is to confirm that the suitability and effectiveness of the management system as a whole is maintained and that the relevance and applicability for the scope of certification is maintained.
Yeniden belgelendirme Tetkikleri, yönetim sistemi standartlarının veya hüküm ifade eden dokümanın tüm maddeleri ile ilgili Tetkik yapılacak şekilde gerçekleştirilir. & Re-certification Audits are carried out in such a way that an Audit is carried out on all items of the management system standards or the relevant document.
Yeniden belgelendirme Tetkiki, belgelendirme periyodu boyunca, yönetim sisteminin performansının gözden geçirilmesini de sağlamalı ve önceki gözetim Tetkiki raporlarının gözden geçirilmesini kapsamalıdır. & The recertification Audit should also provide for a review of the management system's performance throughout the certification period and should include a review of previous surveillance Audit reports.
Yeniden belgelendirme Tetkiki, aşağıdaki şartları ele alan bir saha Tetkikini içerecek şekilde gerçekleştirilir: & The recertification Inspection is conducted to include a field Inspection that addresses the following requirements:
İç ve dış kaynaklı değişiklikler ve bunların belgelendirme kapsamına etkisi ve uygulanabilirliği ışığında bir bütün olarak yönetim sisteminin etkinliğini, & The effectiveness of the management system as a whole in the light of internal and external changes and their impact and applicability on the scope of certification,
Toplam performansı arttırmak için yönetim sisteminin etkinliğini ve iyileştirilmesini sürdürmeye yönelik gösterilen taahhüdünü, & Commitment to maintain the effectiveness and improvement of the management system in order to increase overall performance,
Belgelendirilmiş yönetim sisteminin çalışmasının müşteri kuruluşun politikası ve hedeflerinin gerçekleştirilmesine katkı sağlayıp sağlamadığını. & Whether the operation of the documented management system contributes to the achievement of the client organization's policy and objectives.
Yeniden belgelendirme Tetkikinde, yukarıda incelenmesi öngörülen konularla ilgili Tetkik bulgularını ve -varsa- tespit edilen uygunsuzlukları içeren, Tetkik Raporu oluşturulur ve müşteriye iletilir. & In the re-certification audit, the Audit Report containing the Audit findings related to the issues foreseen to be examined above and the non-conformities detected, if any, is generated and forwarded to the customer.
IQM, yeniden belgelendirme Tetkiki esnasında, uygunsuzluk örnekleri olduğunda veya uygunluk delillerinde eksiklik belirlendiğinde, uygulanacak olan düzeltme ve düzeltici faaliyetler için zaman sınırlamasını, belgelendirme geçerlilik süresini göz önünde bulundurarak belirtir. & During the recertification audit, IQM specifies the time limit for the corrective and corrective actions to be applied, taking into account the validity period of the certification, when there are instances of nonconformity or deficiencies in evidence of conformity are identified.
Yeniden belgelendirme Tetkiklerinde, Tetkik sonucunda elde edilen bulgular ve uygunsuzlukların giderilmesine yönelik düzeltici faaliyetlerin takibi, ilk belgelendirme Tetkikinde olduğu gibi gerçekleştirilir. & In the re-certification audits, the findings obtained as a result of the audit and the follow-up of the corrective actions to eliminate the nonconformities are carried out as in the first certification audit.
4.6.10. Tetkiklerin Sona Erdirilmesi
Aşağıda belirtilen koşullarda, baş denetçinin sorumluluğunda ve hazırlar IQM Belgelendirmenin bilgisi dahilinde tetkik durdurulabilir. & Under the conditions stated below, the audit may be stopped under the responsibility of the lead auditor and the knowledge of the IQM Certification.
• Tetkik koşulları, denetim ekibinin sağlığını olumsuz etkiliyor veya tehlike oluşturuyorsa & If the audit conditions affect the health of the audit team or pose a danger
• Sistemin uygulamasında denetimin devamını engeleyen ciddi problemler tespit edilir ve takip denetiminin kaçınılmaz olduğu tespit edilirse; baş denetci, kuruluşa denetimi durdurmayı teklif etmelidir. Bu koşullar istisnai durum olup en son çare olarak başvurulmalıdır. Böyle durumlarda denetimin yenilenmesi gerekmektedir. & In the implementation of the system, if serious problems that prevent the continuation of the inspection are detected and it is determined that the follow-up inspection is inevitable; the lead auditor should offer the organization to stop the audit. These conditions are exceptional and should be used as a last resort. In such cases, the audit needs to be renewed.
• Tespit edilen uygunsuzluğa bağlı olarak, yasal, çevre, kalite ve emniyet açısından başka riskler ortaya çıkıyorsa & Other risks arise in terms of legal, environmental, quality and safety due to detected non-compliance
• Denetlenecek bölümdeki personele, ilgili bölüm yada akreditasyon kapsamındaki faaliyetlere ilişkin kayıtlara ulaşmada ciddi problemlerle karşılaşılıyorsa & If there are serious problems in accessing the personnel in the department to be audited, the records of the relevant department or activities within the scope of accreditation,
• Denetim ekibine maddi çıkar sağlayıcı tekliflerde bulunuluyorsa & If material interest proposals are made to the audit team
• Denetimi gerçekleştirmek için hiçbir şekilde muhattap bulunmaması & There is no addressee to conduct the audit.
• Doğal afetler ve Büyük çaplı iş kazaları...vb durumunda & In case of natural disasters and large-scale work accidents ... etc.
Belirtilen koşulların ortaya çıkması durumunda baş denetçi objektif delilere dayanarak raporunu hazırlar IQM Belgelendirme ’ye sunar. & In case the specified conditions arise, the lead auditor prepares her report based on objective evidence and submits it to IQM Certification.
4.7. Raporlama ve Tetkik Sonrası İşlemler & Reporting and Post-Inspection Processes
Baş Tetkikçi, Tetkik bulgularını gözden geçirmek ve Tetkik sonuçlarına karar vermek için Aşama 1 ve Aşama 2 Tetkiklerinde elde edilen tüm bilgi ve tetkik kanıtlarını analiz ederek, Tetkik Raporunu hazırlar.& The Lead Auditor prepares the Audit Report by analyzing all the information and audit evidence obtained in the Stage 1 and Stage 2 Audits to review the Audit findings and decide on the Audit results.
Kullanılan FR.09 Aşama 1 Tetkik Rapor Seti ve FR.10 Tetkik Rapor Seti aşağıdaki kayıtlar bulunmaktadır. Tetkik planlanması ve gerçekleştirilmesi aşamalarında aynı kaydın ilgili bölümleri doldurulur.& The following records are used in the FR.09 Stage 1 Inspection Report Set and FR.10 Inspection Report Set. The relevant sections of the same record are filled in during the audit planning and execution stages.
Rapor bölümü & Report section
Açılış ve kapanış toplantısı bölümü & Opening and closing meeting section
Tetkik plan bölümü & Audit plan section
Tetkik uygunsuzlukları bölümü & Audit nonconformities section
Tetkik raporlarının numarası, “Müşteri No” dur. & The number of the audit reports is “Customer Number”.
Tetkik Raporu ve ekleri, Baş tetkikçi tarafından eksiksiz olarak hazırlanır ve Planlama Sorumlusuna iletilir. & The Audit Report and its annexes are fully prepared by the Chief Auditor and forwarded to the Planning Officer.
Bu aşamada Baş Tetkikçi, müşteri tarafından gönderilen düzeltme ve düzeltici faaliyetleri kabul edilebilirlikleri açısından gözden geçirir. & At this stage, the Lead Auditor reviews the correction and corrective actions submitted by the client for their acceptability.
Baş Tetkikçi, müşterinin saptanmış uygunsuzlukları ortadan kaldırmak için belirlenmiş bir zamanda yapılan belirli düzeltme ve düzeltici faaliyetlerin sebebini analiz ve tarif ettiğini ve bunların uygunluğunu kontrol eder. & The Lead Auditor checks that the client analyzes and describes the reason for certain corrective and corrective actions taken at a specified time to eliminate identified nonconformities and their compliance.
Tetkik bulgularının kayıt altına alınması için aşağıdaki kayıtlar kullanılır.& The following records are used to record the audit findings.
LS.07 Tetkik Soru Listesi ISO 9001 & ISO 14001 & ISO 22000 & LS.07 Examination Question List 9001 & 14001 & 22000
LS.07 Ek-1 Tetkik Soru Listesi ISO 22301 & LS.07 Annex-1 Examination Question List ISO 22301
LS.08 ISO 27001 & ISO 27701&& ISO 20000-1 Tetkik Soru Listesi & LS.08 ISO 27001 & ISO 27701 & ISO 20000-1 Audit Question List
Tetkik ekip üyeleri tarafından tetkiklerde kullanılan dokümanlar baş tetkikçiye iletilir. Baş tetkikçi tarafından nihai rapor oluşturularak tetkikten en geç 10 gün sonra Planlama Sorumlusuna iletilir. & Documents used in audits by audit team members are forwarded to the lead auditor. The final report is prepared by the lead auditor and delivered to the Planning Officer at the latest 10 days after the audit.
4.8. Değerlendirme ve Karar & Evaluation and Decision
Belgenin verilmesi, belgelendirme kapsamının genişletilmesi veya daraltılması, belgenin yenilenmesi, askıya alınması, geri çekilmesi, iptal edilmesi kararları belgelendirme komitesi tarafından verilir. & Decisions for issuing the certificate, expanding or narrowing the scope of certification, renewing, suspending, withdrawing, and canceling the certificate are made by the certification committee.
Tetkik ekibinin hazırladığı rapor son karar olmayıp, Belgelendirme Komitesine görüş niteliğindedir. & The report prepared by the audit team is not the final decision, but is an opinion to the Certification Committee.
Tetkikler sonrasında, tespit edilmiş olan majör uygunsuzlukların tamamen kapatıldığı, minör uygunsuzluk aksiyonlarının da yeterli olduğu garanti altına alınmadan, karar için Belgelendirme Komitesine öneride bulunulmaz. Uygunsuzlukların tamamen kapatıldığının teyit edilmesinden sonra aşağıdaki evraklar komiteye sunulur. & After the audits, no recommendation is made to the Certification Committee for a decision, unless it is ensured that the major non-compliances are completely closed and the minor non-compliance actions are sufficient. After confirming that the nonconformities are completely closed, the following documents are submitted to the committee.
Planlamaya ait evraklar & Planning documents
Müşteri kuruluş resmi evrakları / dokümanları & Customer organization official documents / documents
Tetkik raporları (aşama 1 ve aşama 2) & Audit reports (stage 1 and stage 2)
Tetkik Planları & Audit Plans
Açılış / Kapanış Toplantı Tutanakları & Opening / Closing Meeting Minutes
Varsa- Uygunsuzluk Bildirim Formları & If Any - Non-Conformance Notification Forms
Varsa- Düzeltme/düzeltici faaliyetlere ilişkin kayıtlar & If any - Records of correction/corrective actions
Belgelendirme kararı için gerekli kayıtların Belgelendirme Komitesine sunulması, Planlama Sorumlusu tarafından yapılır.
Belgelendirme kararı değerlendirmesinde aşağıdakiler teyit edilir. & The submission of the necessary records for the certification decision to the Certification Committee is made by the Planning Officer. In the certification decision evaluation, the following is confirmed.
Tetkik ekibi tarafından sağlanan bilgilerin, belgelendirme şartları ve belgelendirme kapsamı açısından yeterliliği,& The adequacy of the information provided by the audit team in terms of certification requirements and scope of certification,
Aşağıdakileri gösteren tüm uygunsuzluklar için, Tetkik ekibinin düzeltme ve düzeltici faaliyetleri gözden geçirdiği, kabul ettiği ve doğruladığı:& The audit team reviews, accepts, and validates corrective and corrective actions for all nonconformities that demonstrate:
o Yönetim sistem standardının bir veya daha çok şartının yerine getirilemediği, & One or more conditions of the management system standard cannot be fulfilled,
o Müşterinin yönetim sistemi ile ilgili hedeflenen çıktılara ulaşmak yeteneğine dair önemli şüphelerin oluştuğu durumlar.& Situations where there are significant doubts about the client's ability to achieve the intended outputs of the management system.
Diğer uygunsuzluklar için müşterinin planlanan düzeltme ve düzeltici faaliyetlerini gözden geçirdiği ve kabul ettiği.& Reviewing and accepting the client's planned correction and corrective actions for other nonconformities.
Belgelendirme Komitesi, FR.12 Belgelendirme Karar Tutanağı ile ilgili kuruluşun dosyasında yapılan gözden geçirme ve değerlendirme sonucunda karar alır.& The Certification Committee takes a decision as a result of the review and evaluation made in the FR.12 Certification Decision Report and the file of the relevant institution.
Belgelendirme Komitesi, belgelendirme kararını; Tetkik bulgularının, sonuçlarının ve diğer ilgili bilgilerin (kamu bilgileri, müşterinin Tetkik raporu hakkındaki yorumları) değerlendirilmesini temel alarak verir. & Certification Committee, certification decision; Based on evaluation of audit findings, results, and other relevant information (public information, client's comments on the Audit report).
Belgelendirme Komitesi, yeniden belgelendirme hakkındaki kararları, yeniden belgelendirme tetkiki sonuçlarına, belgelendirme periyodu boyunca sistemin gözden geçirilmesine ve belgelendirme kullanıcılarından gelen şikâyetlere dayanarak vermektedir.
Belgelendirme Komitesinde yapılan gözden geçirme ve değerlendirme sonucunda, muallakta kalan, detaylı bilgi gerektiren durumlarda, raporu hazırlayan Baş tetkikçiden bilgi talep edilebilir. Bu durumlarda kuruluşa ait karar, sonraya bırakılır. Belgelendirme Müdürü, Baş tetkikçi ile iletişim kurarak gerekli bilgilere ulaşılmasını sağlar.& The Certification Committee makes decisions on recertification based on the results of the recertification audit, the review of the system during the certification period, and complaints from certification users. As a result of the review and evaluation made by the Certification Committee, in cases that remain pending and require detailed information, information can be requested from the Chief Auditor who prepared the report. In these cases, the decision of the organization is left for later. The Certification Manager communicates with the Lead Auditor to obtain the necessary information.
Tetkikin gerçekleştirilemediği durumlarda alınan karar, Belgelendirme Müdürü tarafından, Belgelendirme Karar Formu Eki ile alınır. Tetkik gerçekleştirilmeyen durumlara örnek; bazı adres değişiklikleri, unvan değişiklikleri, kapsam daraltılmasıdır.
Belgelendirme Komitesinin belge verilmesine ilişkin olumsuz kararı veya Sertifikanın kullanımına engel bir durum tespiti sonrası, Belgelendirme Müdürü ilgili kuruluştan, söz konusu sebepleri ortadan kaldırması ve takip Tetkiki talebinde bulunması için, yazılı olarak başvurması istenir. & In cases where the audit cannot be performed, the decision taken is taken by the Certification Manager with the Attachment of the Certification Decision Form. An example of the cases where the audit is not carried out; some address changes, title changes, scope narrowing. After the Certification Committee's negative decision regarding the issuance of the certificate or a situation finding that prevents the use of the Certificate, the Certification Manager is requested to apply in writing to the relevant institution to eliminate the said reasons and to request a follow-up Inspection.
4.9. Belgenin Düzenlenmesi & Editing the Certification
Yapılan denetimler sonucu, yönetim sisteminin ilgili standart şartlarına uygunluğunun tespiti ve IQM Belgelendirme Komitesinin olumlu kararı ile belge almaya hak kazanır. As a result of the audits, it is entitled to receive a certificate by determining the compliance of the management system with the relevant standard conditions and by the positive decision of the IQM Certification Committee.
Planlama Sorumlusu, belge almaya hak kazanan kuruluşun belgelerinin hazırlanmasını organize eder. Planlama sorumlusu tarafından kontrol edilerek Genel Müdür tarafından imzalanır. & The Planning Officer organizes the preparation of the documents of the organization that is entitled to receive documents. Checked by the planning manager and signed by the General Manager.
Belge düzenlenen kuruluşlar, LS.13 Belgeli Firmalar Listesi'ne kaydedilir. & Organizations whose documents are issued are registered in the LS.13 Certified Companies List.
4.10. Belgenin Kullanılması & Using the Certificate
IQM Belgelendirme yönetim sistem belgeleri, gözetim denetimlerinin olumlu sonuçlanması şartı ile (3) üç yıl süre ile geçerlidir. IQM Belgelendirme, politikasına bağlı olarak belgeleri 1 yıllık olarak vermektedir & IQM Certification management system documents are valid for three years provided that the surveillance audits are concluded positively (3). IQM Certification provides documents for 1 year depending on its policy.
Belgelerin, kullanımına ilişkin kurallar, “FR.04 Belgelendirme Kuralları Dokümanında” belirtilmiştir. Kuruluş, yapılan sözleşme ile bu dokümanda belirtilen kurallara uyacağını taahhüt etmektedir. Kuruluşlar, sistem belgelerini sadece “FR.04 Belgelendirme Kuralları” belirtilen kurallar çerçevesinde kullanabilirler. Belge, belgede adı geçen kuruluşun mülkiyetinde olup, hiçbir şekilde başka bir kurum ya da tüzel kişiliğe devredilemez. Belgelerin üçüncü şahıslarca haksız yere kullanımından doğan sorumluluk kuruluşa aittir. & The rules regarding the use of the documents are specified in the “FR.04 Certification Rules Document”. The organization undertakes to abide by the rules specified in this document with the signed contract. Organizations can only use system documents within the framework of the rules specified in "FR.04 Certification Rules Document". The document is the property of the institution mentioned in the document and cannot be transferred to another institution or legal entity in any way. The responsibility arising from the unfair use of documents by third parties belongs to the organization.
Aynı zamanda belgenin askıya alınması, iptal edilmesi ve pasiflik durumları da FR.04 Belgelendirme Kuralları Dokümanında tanımlanmıştır. & At the same time, the suspension, cancellation and passivity of the certificate are also defined in the FR.04 Certification Rules Document.
4.11. Belgelendirme Şartlarındaki Değişikliklerin Duyurulması & Announcement Of Changes In Certıfıcatıon Condıtıons
IQM Belgelendirme, belgelendirilmiş müşterilerine, belgelendirme şartlarında olan her bir değişikliğinin uygulanma gerekliği dikkate alınarak 2 ay içinde her bir belgelendirilmiş müşterilere e-mail, posta, web sitesi vb. yollarla duyurur. Duyuru kayıtları kayıtların kontrolü prosedürüne uygun saklanır. & IQM Certification is certified to its certified customers by e-mail, mail, web, etc. within 2 months, taking into account the need to apply every change in certification requirements. announces in ways. Announcement records are kept according to the control procedure of the records.
4.12. Transfer Sertifikanın Kabul Edilmesi & Acceptance of Transfer Certificate
Akredite belgelerin transferi sadece IAF MLA (karşılıklı tanınma anlaşması) üyesi bir akreditasyon altında olması durumunda gerçekleştirilir. Aksi durumda başvuru ilk belgelendirme başvurusu olarak ele alınır. Transfer denetimler için IAF MD 2 ' de verilen kurallar geçerlidir. & Transfer of accredited documents is only possible if the member of the IAF MLA (mutual recognition agreement) is under accreditation. Otherwise, the application is considered as the first certification application. Rules given in IAF MD 2 are valid for transfer inspections.
Belgelerde, “İlk Yayın Tarihi” olarak, belgelendirme karar tarihi yazılır. Belgelendirme kararının gün sonuna kaldığı istisna durumlarda “İlk Yayın Tarihi” olarak, belgelendirme kararının alındığı tarihten bir sonraki günün tarihi yazılır. Belgenin kapsam ve adres değişikliği ya da transfer sebebiyle yeniden yayınlanması gereken durumlarda, “İlk Yayın Tarihi” olarak, önceki belgenin yayın tarihi baz alınır. Yayın tarihi ise IQM Belgelendirmenin, kapsam ve adres değişikliği ya da transferi onayladığı tarihtir. Her durumda belgenin geçerlilik süresi için, “İlk Yayın Tarihi” temel alınır. & In the documents, the date of the certification decision is written as the “First Issue Date”. In exceptional cases where the certification decision is at the end of the day, the date of the day after the certification decision is written as the "Initial Publication Date". In cases where the document needs to be republished due to a change in scope and address or transfer, the date of publication of the previous document is taken as the "First Publication Date". The issue date is the date on which IQM Certification approves the scope and address change or transfer. In all cases, the validity period of the document is based on the “First Issue Date”.
Revizyon Bilgileri & Revision Information |
||
Rev. No & Rev. No |
Revizyon Tarihi & |
Revizyon Açıklaması & Revision Description |
00 |
07.04.2016 |
İlk Yayın. & First broadcast. |
01 |
24.04.2017 |
05/09 syf uygunsuzluk kapatma süresi 1 ay olarak değiştirildi. Müşteri Talebi ile askı gerekçesi eklenmiştir.& 05/09 pg. Closing period of non-compliance has been changed to 1 month. The reason for suspension has been added with the Customer Request. |
02 |
02.01.2018 |
Uygunsuzluk kapama süreleri tanımlamaları kaldırıldı.& Non-conformance closing time definitions have been removed. |
03 |
14.02.2020 |
R.40.05 refere edildi.& R.40.05 is referenced. |
04 |
01.06.2021 |
Denetim planlama ve gerçekleştirme aşamaları eklendi. Kamuya açık bilgiler çıkarıldı. Genel düzenlemeler yapıldı. & Audit planning and realization stages have been added. Publicly available information has been removed. General arrangements were made. |
05 |
15.02.2022 |
4.1.2 maddesin de form isimleri tam adı ile yazılmıştır. & In article 4.1.2, the form names are written with the full name. |
06 |
22.03.2022 |
Türkak R.40.05 madde 6.8 ilgili açıklama eklendi.& Türkak R.40.05 article 6.8 related explanation has been added. |
07 |
31.03.2022 |
ISO 22301 gereklilikleri eklendi.& Added ISO 22301 requirements. |
08 |
15.07.2022 |
4.12 Sertifikanın Kabul Edilmesi bölümü eklendi. & 4.12 Certificate Acceptance section added. |
09 |
23.01.2023 |
Türkak R.40.05 madde 6.8 ilgili mücbir durumlara ilişkin açıklama eklendi.& Türkak R.40.05 article 6.8 related explanation has been added. 4.5.1 maddesine Aşama 1 denetiminin Türkak R.40.05 göre sahada yada ofiste gerçekleşmesi durumu tanımlanmıştır. & According to Türkak R.40.05, Stage 1 auditing is carried out in the field or in the office is defined in Article 4.5.1. |
10 |
03.07.2023 |
ISO 20000-1 eklendi. ISO 27006 amd geçişi ile ilgili madde eklendi. & ISO 20000-1 added. Added clause on ISO 27006 amd transition. |
11 | 10.01.2024 | 4.5.1 maddesine ekleme yapıldı. & Addition to article 4.5.1. |