IAF MD 2 - Zertifikatsübertragungen
Übertragungen von Zertifizierungen akkreditierter Managementsysteme (also bspw. ISO 9001 oder ISO/IEC 27001) zwischen Zertifizierungsstellen können durch verschiedenste Szenarien möglich sein und sollen der Aufrechterhaltung der Integrität akkreditierter Managementsystemzertifizierungen dienen. Folgende Gründe können zu einer Übertragung führen:
- Wechsel der Zertifizierungsstelle im Rahmen einer Rezertifizierung
- Wechsel der Zertifizierungsstellen im Rahmen eines Überwachungsaudit
- Wechsel der Zertifizierungsstelle aufgrund des Verlustes der Akkreditierung der Zertifizierungsstelle, welche das Zertifikat ausgestellt hat
Für die Übertragung der Zertifikate gibt es Mindestanforderungen, welche im Rahmen dieses Überleitungsprozesses einzuhalten sind. Die entsprechenden Vorgaben sind dem IAF MD 2-Dokument zu entnehmen.
Allgemeine Anforderungen
Nachfolgend wird zusammengefasst, welche allgemeinen Anforderungen berücksichtigt werden müssen:
- Formell heißt es: „Nur Zertifizierungen, die durch eine Akkreditierung eines IAF oder lokalen Unterzeichners, der Level 3 und wo notwendig Level 4 und 5 Ebenen, erfasst werden, sollen übertragungsberechtigt sein.“ Dies bedeutet: Zertifizierungsstellen, die bspw. nicht für die ISO/IEC 27001 akkreditiert sind, dürfen Zertifikate nach ISO/IEC 27001 auch nicht übernehmen.
- Es können nur Zertifikate übertragen werden, die aktiv und damit nicht ausgesetzt oder ausgelaufen sind.
- Sofern eine Zertifizierungsstelle Ihre Akkreditierung verliert, muss die Übertragung innerhalb von sechs Monaten oder nach Ablauf der Zertifizierung abgeschlossen sein, je nachdem, welcher Zeitpunkt früher eintritt.
Ablauf Übertragung eines Zertifikates
Im Folgenden differenzieren wir zwischen abgebender Zertifizierungsstelle (CERT-Alt) und aufnehmender Zertifizierungsstelle (CERT-Neu). Abseits fachlicher Vorgaben muss CERT-Neu eine Bewertung des Verfahrens / des Zertifikates vornehmen. Diese Bewertung umfasst mindestens eine Dokumentenprüfung des Managementsystems. Ergänzt werden kann dies um eine Begehung der Standorte, die sich im Geltungsbereich befinden, sowie auch eine Wirksamkeitsprüfung der umgesetzten Maßnahmen, sofern die Wirksamkeit aus der Dokumentenprüfung heraus nicht nachvollziehbar ist oder bei offensichtlich größeren Fehlern. Die Bewertung muss mindestens folgende Aspekte umfassen und deren Feststellungen müssen vollständig dokumentiert werden:
- Bestätigung, dass die Zertifizierung des Kunden in den akkreditierten Bereich der ausstellenden und übernehmenden Zertifizierungsstelle fallen,
- Gründe für das Beantragen einer Übertragung,
- dass der Standort bzw. die Standorte, die die Übertragung wünschen, eine gültige akkreditierte Zertifizierung besitzen,
- die Auditberichte der Erstzertifizierung oder der letzten Rezertifizierung sowie der letzte Überwachungsbericht und
- der Status aller ausstehenden Nichtkonformitäten, die sich aus den vorangegangenen Audits ergeben können, sowie alle anderen relevanten Dokumentationen zum Zertifizierungsprozess.
Wenn die Auditberichte nicht zur Verfügung gestellt werden, oder das Überwachungs- oder Rezertifizierungsaudit nicht wie von der bisherigen Zertifizierungsstelle durch das Auditprogramm gefordert, abgeschlossen wurde, dann muss die übernehmende Zertifizierungsstelle ein erneutes Erstzertifizierungsaudit für die betroffenen Managementsysteme durchführen.
Das IAF MD 2-Dokument führt im Kapitel 2.2.4 auf, welche Kriterien im Einzelnen zu bewerten sind.
Wann ist eine Übertragung nicht möglich?
Es kann mehrere Gründe geben, warum Zertifikate nicht übertragen werden dürfen/können. Hauptgründe betreffen zumeist nicht die formalen Aspekte, sondern dass die Bewertungsprüfung nicht erfolgreich vorgenommen werden kann.
Wichtig ist in diesem Zusammenhang auch die Zusammenarbeit zwischen CERT-Alt und CERT-Neu. Auf Verlangen muss CERT-Alt CERT-Neu die notwendigen Dokumente und Informationen zur Verfügung stellen, um die Bewertung vornehmen zu können. Wenn es CERT-neu nicht möglich war eine Kommunikation mit der ausstellenden Zertifizierungsstelle herzustellen, müssen die Gründe aufgezeichnet und alle erforderlichen Anstrengungen unternommen werden, um die erforderlichen Informationen aus anderen Quellen zu erhalten (bspw. direkt über das Mandat).
Wie geht es nach der Übertragung weiter?
Wenn bei der Bewertung keine Probleme identifiziert wurden, basiert der Zertifizierungszyklus auf dem vorherigen Zertifizierungszyklus und die übernehmende Zertifizierungsstelle übernimmt das Auditprogramm für die restliche Zeit des Zertifizierungszyklus.
Als akkreditierte Zertifizierungsstelle kann die RSM Certification GmbH, bestehende Zertifikate u. a. für die ISO/IEC 27001 sowie ISO 9001 (EAC-Code: 33 und 35) übernehmen.
Dieser Eintrag trägt kein Anspruch auf Vollständigkeit aller einzelnen Anforderungen des IAF MD 2:2023. Vielmehr versteht er sich als Zusammenfassung der zentralen Anforderungen – insbesondere aus Kundensicht.