Welche Aktivitäten sollten in die R2-Scope-Erklärung aufgenommen (und NICHT aufgenommen) werden?

F. Anforderung 1.(b)(1) besagt, dass das R2-Zertifikat eine „genaue Angabe des Tätigkeitsbereichs …“ enthalten muss. Welche Anleitung sollte befolgt werden, um diesen Tätigkeitsbereich festzulegen?

Abschnitt 11.0 des R2v3 Code of Practices (COP) enthält spezifische Anforderungen dafür, wie der Geltungsbereich auf dem R2v3-Zertifikat dargestellt werden muss. Für jeden anwendbaren R2v3-Prozessanforderungsanhang definiert die COP spezifische Begriffe, die in den Geltungsbereich aufgenommen werden müssen. Zusätzlich zu diesen Bedingungen muss die R2-Einrichtung auch die Arten von Geräten, Komponenten und Materialien definieren, die in Bezug auf jeden der zertifizierbaren Prozesse verwaltet werden, und diese Informationen auf dem R2v3-Zertifikat vermerken lassen.

F. Kann eine R2-Einrichtung ihren eigenen Geltungsbereich schreiben?

Gemäß Core 1.(b)(1) muss eine R2-Einrichtung eine genaue Erklärung ihres Betriebsumfangs dokumentieren und auf ihrem R2-Zertifikat veröffentlichen lassen. Die korrekte Identifizierung des Tätigkeitsbereichs ist ein wichtiger Teil des Zertifizierungsprozesses, da er der Zertifizierungsstelle (CB) die R2-Prozesse und -Aktivitäten signalisiert, die von der R2-Zertifizierung abgedeckt werden. Infolgedessen hilft der anfängliche Umfang, wie er von der R2-Einrichtung definiert wurde, der Zertifizierungsstelle dabei, festzustellen, welche der R2v3-Prozessanforderungen für den Betrieb der Einrichtung gelten und in den R2-Auditplan aufgenommen werden müssen.

Der Umfang der Tätigkeiten kann sich basierend auf dem, was der Auditor beobachtet und durch den Auditprozess verifizieren kann, ändern. Aufgegebene Prozesse, geplante zukünftige Aktivitäten und andere Aktivitäten, die für einen Wirtschaftsprüfer nicht nachgewiesen werden können, können nicht in den Anwendungsbereich aufgenommen werden. Infolgedessen wird die endgültige Scope-Erklärung, wie sie auf dem R2-Zertifikat dokumentiert ist, von der Zertifizierungsstelle basierend auf den R2-Prozessen und -Aktivitäten definiert, die durch das Audit bewertet wurden.

Weitere Informationen darüber, was die Scope-Erklärung beinhalten kann und was nicht, finden Sie in Abschnitt 11 des R2-Verhaltenskodex (Version 2).

F: Sind die Tätigkeiten nachgelagerter Anbieter (DSV) im Geltungsbereich der Zertifizierung enthalten?

Nein, der Zertifizierungsbereich des R2-Betriebs deckt nur die Prozesse und Aktivitäten ab, die vorhanden sind direkt von der R2-Fazilität selbst verwaltet. In einigen Fällen kann dies Vorgänge umfassen, die sich außerhalb der Einrichtung befinden, wie z. B. Sammelstellen oder Lager, aber nur dort, wo sich diese Vorgänge befinden von der R2-Einrichtung kontrolliert.
Alle R2-Prozesse, die von einem DSV durchgeführt werden, würden von der R2-Einrichtung durch ihren nachgelagerten Lieferantenqualifizierungsprozess gemäß Anhang A verifiziert. Der DSV-Qualifizierungsprozess der R2-Einrichtung und die Aufzeichnungen zu jeder DSV-Verifizierung werden durch das R2-Audit überprüft und bewertet um die Konformität mit den anwendbaren Anforderungen von Anhang A zu bestätigen, aber diese nachgelagerten Vorgänge wären nicht im Geltungsbereich der R2-Anlage definiert.

F: Wie weit erstreckt sich der Umfang der R2-Einrichtung für eine kleinere R2-Abteilung, die innerhalb einer größeren Muttergesellschaft arbeitet? Was ist, wenn sie sich eine Einrichtung teilen?

Der R2v3-Standard definiert den Geltungsbereich als „den Umfang der R2-Zertifizierung, der alle Prozesse abdeckt“ und muss „alle zertifizierbaren Aktivitäten in der Einrichtung“ umfassen. Bei der Entwicklung des Erstzertifizierungsumfangs muss der R2-Betrieb Folgendes berücksichtigen:

• • Verwaltung aller elektronischen Geräte, Komponenten und Materialien; und
  • Alle Prozesse oder Aktivitäten im Zusammenhang mit der Erfassung, Verarbeitung oder sonstigen Verwaltung der elektronischen Elemente.

Nicht-R2-Aktivitäten, die in der R2-Einrichtung durchgeführt werden können, aber diese Nicht-R2-Aktivitäten „kommen nicht für eine R2-Zertifizierung in Frage“ und sind daher nicht im Umfang der Zertifizierung enthalten.

F: Können wir geplante oder zukünftige Operationen in unseren aktuellen R2-Umfang aufnehmen?

Nein. Ein R2v3-Audit bewertet und zertifiziert die aktive Operationen einer R2-Fazilität durch Beobachtung der R2-Prozesse und -Aktivitäten sowie Überprüfung der zugehörigen Dokumentation und Aufzeichnungen, die diese Vorgänge unterstützen. Zukünftig geplante Vorgänge, die nicht prüffähig und nicht verifizierbar sind, dürfen nicht in den Anwendungsbereich der Einrichtung aufgenommen werden.