For Oc 067 - SGCN

entidad mexicana de acreditación, a.c.
LISTA DE EVALUACIÓN DE ORGANISMOS DE CERTIFICACIÓN

Nombre del OC:
Fecha: Referencia:
Nombre del Evaluador Líder:
Nombre del evaluador:
Nombre del experto:
REQUISITOS TÉCNICOS PARA CONTINUIDAD DE NEGOCIOS (ISO/IEC TS 17021-6)
ISO/IEC TS Puntos de revisión C NC N/A Descripción de evidencia revisada.
17021-
6:2014
4. Requisitos genéricos de competencia
El organismo de certificación debe definir los
requisitos de competencia para cada función de
certificación como se hace referencia en la Tabla
A.1 de la Norma ISO/IEC 17021:2011. Al definir
estos requisitos de competencia, el organismo de
certificación debe tener en cuenta todos los
requisitos especificados en la Norma ISO/IEC
17021:2011, así como aquellos especificados en los
capítulos 5 y 6 de esta Especificación Técnica.
5. Requisitos de competencia para los auditores del SGCN y del personal que revisa los informes de auditoría y toma
decisiones de certificación
5.1 Generalidades
Todo el personal que participa en la auditoría del
SGCN y el personal que revisa los informes de
auditoría y toma decisiones de certificación debe
tener un nivel de competencia que incluye las
competencias genéricas descritas en la Norma
ISO/IEC 17021:2011, así como el conocimiento de
un SGCN descrito en los apartados 5.2 a 5.11.
5.2 Terminología de Gestión de la continuidad del Negocio (GCN)
El equipo auditor, quienes revisan los informes de
auditoría y quienes toman las decisiones de
certificación deben tener conocimientos de GCN,
términos de riesgos, definiciones y conceptos.
5.3 Contexto de una organización
certificación deben tener conocimiento acerca del
contexto en el que opera una organización.
5.4 Leyes, reglamentos y otros requisitos aplicables
certificación deben tener conocimiento para
determinar si una organización ha identificado y
evaluado su cumplimiento con los requisitos legales
y otros requisitos aplicables.
5.5 Relaciones dentro del proceso de gestión de la continuidad del negocio
certificación deben tener conocimiento de las
interrelaciones entre los elementos de GCN.
5.6 Análisis de impacto al negocio y evaluación del riesgo
certificación deben tener conocimiento sobre
análisis de impacto al negocio (AIN), incluyendo:
C: cumple, NC: No cumple, N/A: No aplica Página 1 de 17 FOR-OC-067-00

17021-
6:2014
— metodologías y técnicas;
— identificación de actividades para la entrega de
productos y servicios;
— evaluación de impactos en el tiempo, e identificar
cuando éstos se vuelven inaceptables;
— establecimiento de plazos priorizados para la
reanudación;
— identificación de dependencias y recursos de
apoyo.

certificación deben tener conocimiento de
valoración y gestión de riesgos, incluyendo:
— metodologías y técnicas;
— identificación, análisis y evaluación de riesgos
relacionados con los incidentes disruptivos;
— eficacia de los controles existentes;
— identificación de los tratamientos apropiados del
riesgo.
5.7 Estrategias de continuidad del negocio
certificación deben tener conocimientos de
estrategias y metodologías para reducir el impacto
y la probabilidad de incidentes disruptivos,
incluyendo:
— desarrollo de estrategias;
— medidas de preparación;
— selección de estrategias alternativas;
— análisis de costo / beneficio de las estrategias de
continuidad;
— enfoques de coordinación con las partes
interesadas externas;
— respuesta a incidentes;
— comunicaciones;
— mando y control;
— coordinación de las organizaciones de respuesta
ante emergencia;
— recuperación y restauración.
5.8 Gestión de incidentes
certificación deben tener conocimiento de medidas
de gestión de incidentes para determinar si una
organización ha identificado respuestas apropiadas
a los incidentes disruptivos, incluidas las
necesidades de alerta y comunicación.
Ellos deben tener conocimiento para evaluar la
eficacia de una organización para probar su
capacidad de gestión de incidentes.
5.9 Planes de continuidad del negocio
certificación deben tener conocimiento de planes de
continuidad del negocio, su establecimiento,

17021-
6:2014
desarrollo, mantenimiento, propósito, formatos,
estructura y detalles de procedimiento.
5.10 Ejercicios de continuidad del negocio
planificación e implementación de ejercicios tipo,
procesos, técnicas y criterios para evaluar la
capacidad de una organización para cumplir con
sus prioridades y objetivos de recuperación.
5.11 Evaluación del desempeño del SGCN
evaluación del desempeño del SGCN, incluyendo
métricas de desempeño e indicadores , para
determinar si el desempeño del SGCN de una
organización cumple los objetivos y metas
establecidos por sus directivos.
6. Requisitos de competencia para el personal que realiza la revisión de solicitudes para determinar la competencia
requerida del equipo auditor, seleccionar a los miembros del equipo auditor y determinar el tiempo de auditoría
6.1 Generalidades
El grupo o individuo que participa en otras funciones
de certificación debe tener competencia que incluya
la competencia genérica descrita en la Norma
ISO/IEC 17021:2011, y el conocimiento del SGCN
descrito en los siguientes apartados 6.2 y 6.3.
6.2 Terminología de GCN
El grupo o individuo que participa en otras funciones
de certificación debe tener conocimiento de
términos de GCN.
6.3 Contexto de una organización
El grupo o individuo que participa en otras
funciones de certificación debe tener
conocimiento del contexto en el que opera la
organización.
6.4 Relaciones dentro del proceso de gestión de la continuidad del negocio
El grupo o individuo que participa en otras
funciones de certificación debe tener
conocimiento de las interrelaciones entre los
elementos de GCN.
ANEXO A Conocimiento para la auditoría y certificación de un SGCN
ANEXO TÉCNICO – REQUISITOS ESPECÍFICOS DEL ESQUEMA
ISO Puntos de revisión C NC N/A Descripción de evidencia revisada.

22301:2012
4. Contexto de la organización
4.1 Comprensión de la organización y su contexto
La organización debe determinar los problemas
externos e internos que son relevantes para su
4.1 propósito y que afectan su
capacidad de alcanzar el (los) resultado (s) previsto
(s) de su BCMS.

22301:2012
Estos problemas se tendrán en cuenta al

establecer, implementar y mantener el SGC de la
organización.
La organización debe identificar y documentar lo
siguiente:
a) las actividades, funciones, servicios, productos,
asociaciones, cadenas de suministro, relaciones
con la organización
las partes interesadas, y el impacto potencial
relacionado con un incidente disruptivo;
b) vínculos entre la política de continuidad del
negocio y los objetivos de la organización y otras
políticas, incluidos
su estrategia general de gestión de riesgos; y
c) el apetito de riesgo de la organización.
Al establecer el contexto, la organización debe

1) articula sus objetivos, incluidos los relacionados
con la continuidad del negocio,
2) definir los factores externos e internos que crean
la incertidumbre que genera riesgo,
3) establecer los criterios de riesgo teniendo en
cuenta el apetito de riesgo, y
4) definir el propósito del BCMS.
4.2 Comprender las necesidades y expectativas de las partes interesadas
4.2.1 General
Al establecer su BCMS, la organización debe
determinar
a) las partes interesadas que son relevantes para el
BCMS, y
b) los requisitos de estas partes interesadas (es
decir, sus necesidades y expectativas, ya sean
establecidas, generalmente
implicado u obligatorio).
4.2.2 Requisitos legales y regulatorios
La organización debe establecer, implementar y
mantener un procedimiento (s) para identificar,
tener acceso y evaluar
los requisitos legales y reglamentarios aplicables
que la organización suscribe relacionados con la
continuidad
de sus operaciones, productos y servicios, así como
los intereses de las partes interesadas pertinentes.
La organización deberá garantizar que estos
requisitos legales, reglamentarios y de otro tipo
aplicables a los que se
las suscripciones de la organización se toman en
cuenta al establecer, implementar y mantener su
BCMS.
La organización debe documentar esta información
y mantenerla actualizada. Nuevo o variaciones a
legal, regulatorio
y otros requisitos deberán ser comunicados a los
empleados afectados y otras partes interesadas.
4.3 Determinación del alcance del sistema de gestión de la continuidad del negocio
4.3.1 General

22301:2012
La organización debe determinar los límites y la
aplicabilidad del BCMS para establecer su alcance.
Al determinar este alcance, la organización debe
considerar
- los problemas externos e internos mencionados en
4.1, y
- los requisitos a los que se hace referencia en 4.2.
El alcance debe estar disponible como información
documentada.
4.3.2 Alcance del BCMS
La organización debe:
a) establecer las partes de la organización que se
incluirán en el BCMS,
b) establecer requisitos de BCMS, teniendo en
cuenta la misión de la organización, los objetivos,
internos y externos
obligaciones (incluidas las relacionadas con las
partes interesadas) y las responsabilidades legales
y reglamentarias,
c) identificar productos y servicios y todas las
actividades relacionadas dentro del alcance del
BCMS,
d) tener en cuenta las necesidades e intereses de
las partes interesadas, tales como clientes,
inversores, accionistas,
cadena de suministro, aportes y necesidades,
expectativas e intereses públicos y / o comunitarios
(según corresponda), y
e) definir el alcance del BCMS en términos de y de
acuerdo con el tamaño, la naturaleza y la
complejidad del
organización.
Al definir el alcance, la organización debe
documentar y explicar las exclusiones; tales
exclusiones deberán
no afectará la capacidad y responsabilidad de la
organización para proporcionar continuidad de
negocios y operaciones que se reúnan
los requisitos de BCMS, según lo determinado por
el análisis de impacto comercial o evaluación de
riesgos y legal aplicable
o requisitos regulatorios.
4.4 Sistema de gestión de la continuidad del negocio
La organización debe establecer, implementar,
mantener y mejorar continuamente un SGC,
incluidos los procesos
necesarios y sus interacciones, de acuerdo con los
requisitos de esta Norma Internacional.
5. Liderazgo
5.1 Liderazgo y compromiso
Las personas en la alta dirección y otras funciones
de gestión relevantes en toda la organización
deberán demostrar liderazgo con respecto al
BCMS.
5.2 Compromiso de gestión
La alta gerencia deberá demostrar liderazgo y
compromiso con respecto al BCMS mediante

22301:2012
- garantizar que se establezcan políticas y objetivos
para el sistema de gestión de la continuidad del
negocio y
son compatibles con la dirección estratégica de la
organización,
- garantizar la integración de los requisitos del
sistema de gestión de la continuidad del negocio en
los
Procesos de negocios,
- asegurando que los recursos necesarios para el
sistema de gestión de la continuidad del negocio
estén disponibles,
- comunicando la importancia de una gestión de
continuidad de negocio efectiva y de conformidad
con el BCMS
requisitos,
- asegurando que el BCMS logra su (s) resultado (s)
previsto (s),
- Dirigir y apoyar a las personas para que
contribuyan a la efectividad del BCMS.
- promoviendo la mejora continua, y
- apoyar otras funciones de gestión relevantes para
demostrar su liderazgo y compromiso a medida que
se aplica
a sus áreas de responsabilidad.
La alta dirección deberá proporcionar evidencia de

su compromiso con el establecimiento,
implementación, operación,
monitoreo, revisión, mantenimiento y mejora del
BCMS por
- establecer una política de continuidad del negocio,
- garantizar que se establezcan los objetivos y
planes del BCMS,
- establecer roles, responsabilidades y
competencias para la gestión de la continuidad del
negocio, y
- designando a una o más personas para que sean
responsables del BCMS con la autoridad
competente y
competencias para ser responsable de la
implementación y mantenimiento del BCMS.
NOTA 2 Estas personas pueden tener otras
responsabilidades dentro de la organización.
La alta dirección se asegurará de que se asignen las
responsabilidades y autoridades para los roles
relevantes y
comunicado dentro de la organización por
- definir los criterios para aceptar los riesgos y los
niveles aceptables de riesgo,
- participar activamente en el ejercicio y las pruebas,
- garantizar que se realizan auditorías internas del
BCMS,
- realizar revisiones de gestión del BCMS, y
- demostrando su compromiso con la mejora
continua.
5.3 Política

22301:2012
La alta dirección debe establecer una política de
continuidad del negocio que
a) es apropiado para el propósito de la organización,
b) proporciona un marco para establecer objetivos
de continuidad del negocio,
c) incluye un compromiso para satisfacer los
requisitos aplicables,
d) incluye un compromiso con la mejora continua del
BCMS.
La política del BCMS deberá
- estar disponible como información documentada,
- ser comunicado dentro de la organización,
- estar disponible para las partes interesadas, según
corresponda,
- ser revisado para la idoneidad continua a
intervalos definidos y cuando se producen cambios
significativos
La organización debe retener información
documentada sobre la política de continuidad del
negocio.
5.4 Roles, responsabilidades y autoridades organizacionales
La alta dirección se asegurará de que se asignen las
responsabilidades y autoridades para los roles
relevantes y
comunicado dentro de la organización.
La alta gerencia debe asignar la responsabilidad y
autoridad para
a) garantizar que el sistema de gestión cumpla con
los requisitos de esta Norma Internacional, y
b) informar sobre el desempeño del BCMS a la alta
gerencia.
6. Planificación
6.1 Acciones para abordar riesgos y oportunidades
Al planificar para el BCMS, la organización debe
considerar los problemas mencionados en 4.1 y los
requisitos
referido en 4.2 y determinar los riesgos y
oportunidades que necesitan ser dirigidos a
- asegurarse de que el sistema de gestión pueda
lograr el (los) resultado (s) previsto (s),
- prevenir o reducir los efectos no deseados,
- lograr una mejora continua.
La organización planificará
a) acciones para abordar estos riesgos y
oportunidades,
b) cómo
1) integrar e implementar las acciones en sus
procesos de BCMS (ver 8.1),
2) evaluar la efectividad de estas acciones (ver 9.1).
6.2 Objetivos de continuidad del negocio y planes para alcanzarlos
La alta dirección debe garantizar que los objetivos
de continuidad del negocio se establezcan y se
comuniquen para
funciones y niveles relevantes dentro de la
organización.
Los objetivos de continuidad del negocio deberán
a) ser coherente con la política de continuidad del
negocio,

22301:2012
b) tener en cuenta el nivel mínimo de productos y
servicios aceptable para la organización
lograr sus objetivos,
c) ser medible,
d) tener en cuenta los requisitos aplicables, y
e) ser monitoreado y actualizado según
corresponda.
La organización debe retener información
documentada sobre los objetivos de continuidad del
negocio.
Para lograr sus objetivos de continuidad del
negocio, la organización debe determinar
- quién será responsable,
- ¿Qué se hará?
- qué recursos se requerirán,
- cuando se completará, y
- cómo se evaluarán los resultados
7. Soporte
7.1 Recursos
La organización debe determinar y proporcionar los
recursos necesarios para el establecimiento,
implementación,
mantenimiento y mejora continua del BCMS.
7.2 Competencia
La organización deberá
a) determinar la competencia necesaria de la (s)
persona (s) que realiza el trabajo bajo su control que
afecta su desempeño,
b) asegurarse de que estas personas sean
competentes sobre la base de una educación,
capacitación y experiencia apropiadas,
c) cuando corresponda, tomar medidas para
adquirir la competencia necesaria y evaluar la
eficacia de
las acciones tomadas, y
d) retener la información documentada apropiada
como evidencia de competencia.
7.3 Conciencia
Las personas que trabajan bajo el control de la
organización deben conocer
a) la política de continuidad del negocio,
b) su contribución a la efectividad del BCMS,
incluidos los beneficios de una mejor continuidad
del negocio
rendimiento de gestión,
c) las implicaciones de no cumplir con los requisitos
de BCMS, y
d) su propio rol durante los incidentes disruptivos.
7.4 Comunicación
La organización debe determinar la necesidad de
comunicaciones internas y externas relevantes
para el BCMS, incluyendo
a) sobre lo que comunicará
b) cuándo comunicarse,
c) con quien comunicarse.
mantener el (los) procedimiento (s) para

22301:2012
- comunicación interna entre las partes interesadas
y los empleados dentro de la organización,
- comunicación externa con clientes, entidades
asociadas, comunidad local y otras partes
interesadas,
incluyendo los medios,
- recibir, documentar y responder a la
comunicación de las partes interesadas,
- adaptar e integrar un sistema de asesoramiento
nacional o regional de amenazas, o equivalente,
en la planificación y
uso operacional, si corresponde,
- garantizar la disponibilidad de los medios de
comunicación durante un incidente perturbador,
- facilitar una comunicación estructurada con las
autoridades competentes y garantizar la
interoperabilidad de
organizaciones y personal de respuesta múltiple,
cuando corresponda, y
- funcionamiento y prueba de las capacidades de
comunicación destinadas a ser utilizadas durante
la interrupción de la normalidad
comunicaciones.
7.5 Información documentada
7.5.1 General
El BCMS de la organización incluirá
- información documentada requerida por este
estándar internacional, y
- información documentada determinada por la
organización como necesaria para la efectividad
del BCMS.
NOTA La extensión de la información
documentada para un BCMS puede diferir de una
organización a otra debido a
- el tamaño de la organización y su tipo de
actividades, procesos, productos y servicios,
- la complejidad de los procesos y sus
interacciones, y
- la competencia de las personas.
7.5.2 Creación y actualización
Al crear y actualizar información documentada, la
organización debe garantizar que
a) identificación y descripción (por ejemplo, un
título, fecha, autor o número de referencia),
b) formato (por ejemplo, idioma, versión de
software, gráficos) y medios (por ejemplo, papel,
electrónico), y revisión y
aprobación de idoneidad y adecuación.
7.5.3 Control de información documentada
La información documentada requerida por el
BCMS y por esta Norma Internacional se
controlará para garantizar
a) está disponible y es adecuado para su uso,
donde y cuando sea necesario,
b) está adecuadamente protegido (por ejemplo, por
pérdida de confidencialidad, uso inapropiado o
pérdida de integridad).

22301:2012
Para el control de la información documentada, la
organización debe abordar las siguientes
actividades, según corresponda
- distribución, acceso, recuperación y uso,
- almacenamiento y conservación, incluida la
conservación de la legibilidad,
- control de cambios (por ejemplo, control de
versiones),
- retención y disposición,
- recuperación y uso,
- preservación de la legibilidad (es decir, lo
suficientemente clara para leer), y
- prevención del uso involuntario de información
obsoleta.
La información documentada de origen externo
determinada por la organización es necesaria para
la planificación y
la operación del BCMS se identificará, según
corresponda, y se controlará.
Al establecer el control de la información
documentada, la organización deberá garantizar
que exista una protección adecuada
para la información documentada (por ejemplo,
protección contra compromiso, modificación o
eliminación no autorizada).
NOTA El acceso implica una decisión sobre el
permiso para ver la información documentada o el
permiso
y autoridad para ver y cambiar la información
documentada, etc.
8. Operación
8.1 Planificación y control operacional
La organización deberá planificar, implementar y
controlar los procesos necesarios para cumplir con
los requisitos, e implementar las acciones
determinadas en 6.1, por
a) establecer criterios para los procesos,

b) implementar el control de los procesos de
acuerdo con los criterios, y
c) mantener la información documentada en la
medida necesaria para tener la confianza de que
los procesos tienen llevado a cabo según lo
planeado.
La organización debe controlar los cambios

planificados y revisar las consecuencias de los
cambios involuntarios, tomando
acción para mitigar cualquier efecto adverso,
según sea necesario.
La organización debe garantizar que los procesos
subcontratados estén controlados.
8.2 Análisis de impacto empresarial y evaluación de riesgos
8.2.1 General
mantener un proceso formal y documentado para
negocios análisis de impacto y evaluación de
riesgos que

22301:2012
a) establece el contexto de la evaluación, define
los criterios y evalúa el impacto potencial de una
incidente disruptivo
b) tiene en cuenta los requisitos legales y de otro
tipo que la organización suscribe,
c) incluye el análisis sistemático, la priorización de
los tratamientos de riesgo y sus costos
relacionados,
d) define el resultado requerido del análisis de
impacto comercial y la evaluación de riesgos, y
e) especifica los requisitos para que esta
información se mantenga actualizada y
confidencial.
8.2.2 Análisis de impacto empresarial
mantener un proceso de evaluación formal y
documentado para
determinar prioridades, objetivos y metas de
continuidad y recuperación. Este proceso incluirá
la evaluación del
impactos de actividades disruptivas que respaldan
los productos y servicios de la organización.
El análisis de impacto comercial incluirá lo
siguiente:
a) identificar actividades que respalden la provisión
de productos y servicios;
b) evaluar los impactos a lo largo del tiempo de no
realizar estas actividades;
c) establecer plazos prioritarios para reanudar
estas actividades en un nivel mínimo aceptable
especificado, tomando
en consideración el tiempo dentro del cual los
impactos de no reanudarlos serían inaceptables; y
d) identificar dependencias y recursos de apoyo
para estas actividades, incluidos los proveedores,
subcontratar
socios y otras partes interesadas relevantes.
8.2.3 Evaluación de riesgos
mantener un proceso formal de evaluación de
riesgos documentado que identifica
sistemáticamente, analiza y evalúa el riesgo de
incidentes disruptivos para la organización.
La organización debe:
a) identificar los riesgos de interrupción de las
actividades priorizadas de la organización y los
procesos, sistemas, información,
personas, activos, socios externos y otros recursos
que los respaldan,
b) analizar sistemáticamente el riesgo,
c) evaluar qué riesgos relacionados con la
interrupción requieren tratamiento, y
d) identificar tratamientos acordes con los objetivos
de continuidad del negocio y de acuerdo con el
apetito de riesgo de la organización.
8.3 Estrategia de continuidad del negocio
8.3.1 Determinación y selección

22301:2012
La determinación y selección de la estrategia se
basará en los resultados del análisis de impacto
comercial y Evaluación de riesgos.
La organización debe determinar una estrategia de
continuidad del negocio apropiada para
a) proteger las actividades priorizadas,
b) estabilizar, continuar, reanudar y recuperar
actividades priorizadas y sus dependencias y
apoyo recursos, y
c) mitigar, responder y gestionar los impactos.
La determinación de la estrategia incluirá la
aprobación de los plazos prioritarios para la
reanudación de las actividades.
La organización debe realizar evaluaciones de las
capacidades de continuidad del negocio de los
proveedores.
8.3.2 Establecimiento de requisitos de recursos
La organización debe determinar los recursos
necesarios para implementar las estrategias
seleccionadas. Los tipos de
los recursos considerados incluirán, entre otros,
una personas,
b) información y datos,
c) edificios, ambiente de trabajo y servicios
asociados,
d) instalaciones, equipos y consumibles,
e) sistemas de tecnología de la información y la
comunicación (TIC),
f) transporte,
g) finanzas, y
h) socios y proveedores.
8.3.3 Protección y mitigación
Para los riesgos identificados que requieren
tratamiento, la organización debe considerar
medidas proactivas que
a) reducir la probabilidad de interrupción,
b) acortar el período de interrupción, y
c) limitar el impacto de la interrupción en los
productos y servicios clave de la organización.
La organización debe elegir e implementar los
tratamientos de riesgo adecuados de acuerdo con
su apetito por el riesgo.
8.4 Establecer e implementar procedimientos de continuidad del negocio
8.4.1 General
mantener procedimientos de continuidad del
negocio para administrar un proceso disruptivo.
incidente y continuar sus actividades en base a los
objetivos de recuperación identificados en el
análisis de impacto comercial.
La organización deberá documentar los
procedimientos (incluidos los arreglos necesarios)
para garantizar la continuidad de
actividades y manejo de un incidente disruptivo.
Los procedimientos deberán
a) establecer un protocolo de comunicación interno
y externo apropiado,

22301:2012
b) ser específico con respecto a los pasos
inmediatos que se deben tomar durante una
interrupción,
c) ser flexible para responder a amenazas no
anticipadas y condiciones cambiantes internas y
externas,
d) enfocarse en el impacto de los eventos que
podrían interrumpir las operaciones,
e) ser desarrollado en base a supuestos
establecidos y un análisis de interdependencias, y
f) ser eficaz para minimizar las consecuencias
mediante la implementación de estrategias de
mitigación apropiadas.
ANEXO I
Requisito 7 de la norma ISO/IEC 17021-1:2015

Tabla resumen del personal evaluado (Debe ser llenado por el evaluador o experto):
Nombre del
auditor, auditor
líder, experto
técnico, etc.
Puesto / Función
Perfil de puesto
establecido por el OC
Formación del
auditor, auditor líder
o experto técnico
Experiencia o
antigüedad del
auditor, auditor líder
o experto técnico
Sector IAF/NACE
(Muestreado)
Prácticas de gestión Describir
de negocios evidencias
presentada
(Cumple Si o No)
Principios, prácticas Describir
y técnicas de evidencias
auditoría presentada
(Cumple Si o No)
En la norma evaluada Describir
evidencias
presentada
(Cumple Si o No)
En los procesos del Describir
OC evidencias
presentada
(Cumple Si o No)
Productos, procesos Describir
y organización del evidencias
cliente presentada
(Cumple Si o No)

Notas / Reportes / Describir
Informes evidencias
(Comunicación) presentada
(Cumple Si o No)
Terminología, Describir
principios, prácticas evidencias
y técnicas del presentada
esquema (17021-2, (Cumple Si o No)
17021-3,
ISO 50003, etc.)
Cumplimiento con Describir
MD10 evidencias
presentada
(Cumple Si o No)
Última supervisión Describir
evidencias
presentada y fecha
de la última(s)
supervisión(es)
(Cumple Si o No)
Contrato Describir
evidencias
presentada
Fecha de firma
(Cumple Si o No)
Confidencialidad Describir
evidencias
presentada
Fecha de firma
(Cumple Si o No)
Ética Describir
evidencias
presentada
Fecha de firma
(Cumple Si o No)
Imparcialidad Describir
evidencias
presentada
Fecha de firma
(Cumple Si o No)
Conflicto de interés Describir
evidencias
presentada
Fecha de firma
(Cumple Si o No)
Conclusión (Cumple Si o No)
Requisito 9 de la norma ISO/IEC 17021-1:2015

Tabla resumen de expedientes evaluados (Debe ser llenado por el evaluador o experto):
No. de
Identificación del
expediente
Solicitud de
certificación
(Código del
formato)
La solicitud fue
por una

transferencia
de certificado
MD2
Cotización de
certificación
(Código del
formato)
No. de Sitio(s)
MD1
Cuenta con
Sistema de
Gestión
Integrado
MD11
No. de
Personas del
Cliente
No. de
Días/auditor
asignado
MD5
No. de Turnos
Alcance
Sector IAF
Código NACE
ANALISIS DE
COMPETENCIA
y CAPACIDAD
DEL OC
¿Por quien fue
revisada la
competencia y
capacidad del
OC?
COTIZACIÓN
(Código del
formato)
CONTRATO
(Código del
formato)
PROGRAMA
a 3 años
(Código del
formato)
ASIGNACIÓN Y
NOTIFICACIÓN
(Código del
formato)
AUDITOR(es) y
Expertos
Técnicos
notificados
PLAN DE
AUDITORÍA
(Código del
formato)
REUNIÓN DE
APERTURA
(Código del
formato)

NOTAS DE
AUDITORÍA
(Código del
formato)
HALLAZGOS
(Registrar el
número de no
conformidades
mayores,
menores y
comentarios)
INFORME DE
AUDITORÍA
(Código del
formato)
REUNIÓN DE
CIERRE
(Código del
formato)
INFORME DE
SEGUIMIENTO
(Si aplica)
DICTAMEN
(Código del
formato)
Personal que
tomó la
decisión
Realizado por:
CERTIFICADO
(Código del
formato)
Periodo de
validez del
certificado
¿Concuerda
alcance del
certificado con
la información
revisada?
Cumple el uso
de logo ema e
IAF (si aplica)
CONCLUSIÓN (Cumple Si o No)
OBSERVACIONES:

Documentos que se adjuntan al informe SI NO N/A Comentarios de porque no se adjunta
Notas del experto / listas técnicas

Evaluación del código de ética
IMSS
SAT
Lista de asistencia
______________________________ ______________________________ ______________________________

Nombre del evaluador líder Nombre del evaluador Nombre del Experto Técnico
FIRMA FIRMA FIRMA
Fecha:___________ Fecha:___________ Fecha:___________

For Oc 067 - SGCN

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

For Oc 067 - SGCN

Cargado por

Copyright:

Formatos disponibles

entidad mexicana de acreditación, a.c.

LISTA DE EVALUACIÓN DE ORGANISMOS DE CERTIFICACIÓN

C: cumple, NC: No cumple, N/A: No aplica Página 1 de 17 FOR-OC-067-00

El equipo auditor, quienes revisan los informes de

C: cumple, NC: No cumple, N/A: No aplica Página 2 de 17 FOR-OC-067-00

ANEXO TÉCNICO – REQUISITOS ESPECÍFICOS DEL ESQUEMA

ISO Puntos de revisión C NC N/A Descripción de evidencia revisada.

C: cumple, NC: No cumple, N/A: No aplica Página 3 de 17 FOR-OC-067-00

Estos problemas se tendrán en cuenta al

Al establecer el contexto, la organización debe

C: cumple, NC: No cumple, N/A: No aplica Página 4 de 17 FOR-OC-067-00

C: cumple, NC: No cumple, N/A: No aplica Página 5 de 17 FOR-OC-067-00

La alta dirección deberá proporcionar evidencia de

C: cumple, NC: No cumple, N/A: No aplica Página 6 de 17 FOR-OC-067-00

C: cumple, NC: No cumple, N/A: No aplica Página 7 de 17 FOR-OC-067-00

C: cumple, NC: No cumple, N/A: No aplica Página 8 de 17 FOR-OC-067-00

C: cumple, NC: No cumple, N/A: No aplica Página 9 de 17 FOR-OC-067-00

a) establecer criterios para los procesos,

La organización debe controlar los cambios

C: cumple, NC: No cumple, N/A: No aplica Página 10 de 17 FOR-OC-067-00

C: cumple, NC: No cumple, N/A: No aplica Página 11 de 17 FOR-OC-067-00

C: cumple, NC: No cumple, N/A: No aplica Página 12 de 17 FOR-OC-067-00

Requisito 7 de la norma ISO/IEC 17021-1:2015

C: cumple, NC: No cumple, N/A: No aplica Página 13 de 17 FOR-OC-067-00

Requisito 9 de la norma ISO/IEC 17021-1:2015

C: cumple, NC: No cumple, N/A: No aplica Página 14 de 17 FOR-OC-067-00

C: cumple, NC: No cumple, N/A: No aplica Página 15 de 17 FOR-OC-067-00

C: cumple, NC: No cumple, N/A: No aplica Página 16 de 17 FOR-OC-067-00

Notas del experto / listas técnicas

______________________________ ______________________________ ______________________________

C: cumple, NC: No cumple, N/A: No aplica Página 17 de 17 FOR-OC-067-00

También podría gustarte

__