ISO IEC - 17021 1 2015 (E) .En - Es

Traducido del inglés al español - www.onlinedoctranslator.
com
ISO/CEI
INTERNACIONAL 17021-1
ESTÁNDAR
Primera
edición
2015-06-15
Evaluación de la conformidad -
Requisitos para cuerpos
Proporcionar auditoría y certificación
de sistemas de gestión.
Parte 1:
Requisitos
Evaluación de la conformidad — Exigencias para los organismos que
proceden a la auditoría y para la certificación de los sistemas de
gestión —
Parte 1: Exigencias
Número de
referenciaISO/CEI 17021-
1:2015(E)
©ISO/CEI 2015
ISO/CEI 17021-1:2015(E)Impreso / visto por: [ santos.santillan@sgs.com ] @ 2021-07-30
DERECHOS DE AUTORDOCUMENTO PROTEGIDO

© ISO/IEC 2015, publicado en Suiza
Todos los derechos reservados. A menos que se especifique lo contrario, ninguna parte de esta publicación puede reproducirse
ni utilizarse de ninguna forma ni por ningún medio, ya sea electrónico o mecánico, incluidas las fotocopias o la publicación en
Internet o en una intranet, sin autorización previa por escrito. El permiso se puede solicitar a ISO en la dirección que se indica a
continuación o al organismo miembro de ISO en el país del solicitante.
oficina de derechos de autor ISO
cap. de Blandonnet 8 • CP 401
CH-1214 Vernier, Ginebra,Suiza Tel. +41
22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO/IEC 2015 – Todos los

derechos reservados
ISO/CEI 17021-1:2015(E)
Contenido Página
Prólogov ................................................................................................................................................................................
Introducciónvi ....................................................................................................................................................................
1 Alcance1 ..................................................................................................................................................................
2 Normativoreferencias1 .....................................................................................................................................
3 Condicionesy definiciones1 .............................................................................................................................
4 Principios4 .............................................................................................................................................................
4.1 generales4 ...................................................................................................................................................................
4.2 Imparcialidad4 ..........................................................................................................................................................
4.3 Competencia5 ............................................................................................................................................................
4.4 Responsabilidad5.....................................................................................................................................................
4.5 Apertura5 ....................................................................................................................................................................
4.6 Confidencialidad6 ....................................................................................................................................................
4.7 Capacidad de respuesta aquejas6 .....................................................................................................................
4.8 basado en el riesgoacercamiento6 ...................................................................................................................
5 Generalrequisitos6 ..............................................................................................................................................
5.1 legales y contractualesasuntos6 ........................................................................................................................
5.1.1 Legalresponsabilidad6.........................................................................................................................
5.1.2 Certificaciónacuerdo7 ..........................................................................................................................
5.1.3 Responsabilidad de la certificacióndecisiones7 .......................................................................
5.2 Administración deimparcialidad7 ....................................................................................................................
5.3 Responsabilidad yfinanciación9 ........................................................................................................................
6 Estructuralrequisitos9 .......................................................................................................................................
6.1 Estructura organizativa y topgerencia9 ........................................................................................................
6.2 Operacionalcontrol9 ...............................................................................................................................................
7 Recursorequisitos10 ..........................................................................................................................................
7.1 Competenciadel personal10................................................................................................................................
7.1.1 Generalconsideraciones10.................................................................................................................
7.1.2 Determinaciónde criterios de competencia10 ..........................................................................
7.1.3 Evaluaciónprocesos10 .........................................................................................................................
7.1.4 Otroconsideraciones10 .......................................................................................................................
7.2 Personal involucrado en la certificaciónactividades10...........................................................................
7.3 Uso de auditores externos individuales y técnicos externosexpertos11 ........................................
7.4 Personalregistros12................................................................................................................................................
7.5 Subcontratación12 ..................................................................................................................................................
8 Informaciónrequisitos12 ..................................................................................................................................
8.1 Información pública12 ..........................................................................................................................................
8.2 Certificacióndocumentos13 ................................................................................................................................
8.3 Referencia a la certificación yuso de marcas14 ..........................................................................................
8.4 Confidencialidad15 .................................................................................................................................................
8.5 Intercambio de información entre un organismo de certificación ysus clientes15 ...................
8.5.1 Información sobre la actividad de certificación yrequisitos15..........................................
8.5.2 Aviso de cambios por una certificacióncuerpo16 ....................................................................
8.5.3 Aviso de cambios por un certificadocliente16 ..........................................................................
9 Procesorequisitos16 ...........................................................................................................................................
9.1 Precertificaciónactividades16 ............................................................................................................................
9.1.1 Aplicación16 .............................................................................................................................................
9.1.2 Solicitudreseña16 ..................................................................................................................................
9.1.3 Auditoríaprograma17 ..........................................................................................................................
9.1.4 Determinación de auditoríatiempo18 ..........................................................................................
9.1.5 Multi-sitiomuestreo18 .........................................................................................................................
9.1.6 Múltiples sistemas de gestiónnormas19......................................................................................
© ISO/IEC 2015 – Todos los iii

derechos reservados
ISO/CEI 17021-1:2015(E)
9.2 Planificaciónauditorías19.....................................................................................................................................
9.2.1 Determinar los objetivos, el alcance y lacriterio19 .................................................................
9.2.2 Selección del equipo de auditoría yasignaciones19 ................................................................
9.2.3 Auditoríaplan21 ......................................................................................................................................
9.3 Inicialcertificación22 ..............................................................................................................................................
9.3.1 Certificación inicialauditoría22........................................................................................................
9.4 Conductibleauditorías23 ......................................................................................................................................
9.4.1 generales23 ...............................................................................................................................................
9.4.2 Realización de la aperturareunión23 ............................................................................................
9.4.3 Comunicación durantela auditoría24 ............................................................................................
9.4.4 Obtención y verificacióninformación24 .......................................................................................
9.4.5 Auditoría de identificación y registrohallazgos25 ...................................................................
9.4.6 Preparando auditoriaconclusiones25 ...........................................................................................
9.4.7 Realización del cierrereunión25......................................................................................................
9.4.8 Auditoríainforme26 ..............................................................................................................................
9.4.9 Análisis de causas deno conformidades27..................................................................................
9.4.10 Efectividad de las correcciones y correctivosacciones27.....................................................
9.5 Certificacióndecisión27 .........................................................................................................................................
9.5.1 generales27 ...............................................................................................................................................
9.5.2 Acciones previas a realizar unadecisión28 .................................................................................
9.5.3 Información para otorgamiento inicialcertificación28..........................................................
9.5.4 Información para la concesiónrecertificación28 ......................................................................
9.6 mantenimientocertificación28 ...........................................................................................................................
9.6.1 generales28 ...............................................................................................................................................
9.6.2 Vigilanciaactividades29 .......................................................................................................................
9.6.3 Recertificación30 ....................................................................................................................................
9.6.4 Especialauditorías31 ............................................................................................................................
9.6.5 Suspender, retirar o reducir el alcance decertificación31 ...................................................
9.7 Apelaciones31 ...........................................................................................................................................................
9.8 Quejas32.......................................................................................................................................................................
9.9 Clienteregistros33 ...................................................................................................................................................
10 Requisitos del sistema de gestión paraorganismos de certificación34 ..........................................
10.1 Opciones34 .................................................................................................................................................................
10.2 Opción A: Dirección generalrequisitos del sistema34 .............................................................................
10.2.1 generales34...............................................................................................................................................
10.2.2 Sistema de gestiónmanual34 ............................................................................................................
10.2.3 Controlde documentos34 ...................................................................................................................
10.2.4 Controlde registros35 ..........................................................................................................................
10.2.5 Gestiónreseña35 .....................................................................................................................................
10.2.6 Internoauditorías36 ..............................................................................................................................
10.2.7 Correctivoacciones36 ...........................................................................................................................
10.3 Opción B: Requisitos del sistema de gestión de acuerdo con ISO900136 ......................................
10.3.1 generales36...............................................................................................................................................
10.3.2 Alcance37 ...................................................................................................................................................
10.3.3 Clientefoco37 ...........................................................................................................................................
10.3.4 Gestiónreseña37 .....................................................................................................................................
Anexo A (normativo) Conocimientos requeridosy habilidades38 .................................................................
Anexo B (informativo) Posible evaluaciónmétodos41 .......................................................................................
Anexo C (informativo) Ejemplo de un flujo de proceso para determinar y mantener la competencia 43
Anexo D (informativo) Personal deseadocomportamiento45.........................................................................
Anexo E (informativo) Auditoría y certificaciónproceso46 ..............................................................................
Bibliografía48 .....................................................................................................................................................................
iv © ISO/IEC 2015 – Todos los

derechos reservados
ISO/CEI 17021-1:2015(E)
Prefacio
ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional)
forman el sistema especializado para la normalización mundial. Los organismos nacionales que son
miembros de ISO o IEC participan en el desarrollo de Normas Internacionales a través de comités
técnicos establecidos por la organización respectiva para tratar campos particulares de actividad
técnica. Los comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones
internacionales, gubernamentales y no gubernamentales, en coordinación con ISO e IEC, también
participan en el trabajo. En el campo de la evaluación de la conformidad, ISO e IEC desarrollan
documentos conjuntos ISO/IEC bajo la dirección del Comité de Evaluación de la Conformidad de ISO
(ISO/CASCO).
Los procedimientos utilizados para desarrollar este documento y los destinados a su posterior
mantenimiento se describen en las Directivas ISO/IEC, Parte 1. En particular, se deben tener en cuenta
los diferentes criterios de aprobación necesarios para los diferentes tipos de documentos. Este
documento fue redactado de acuerdo con las reglas editoriales de las Directivas ISO/IEC, Parte 2
(verwww.iso.org/directivas).
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan ser
objeto de derechos de patente. ISO e IEC no serán responsables de identificar ninguno o todos los
derechos de patente. Los detalles de cualquier derecho de patente identificado durante el desarrollo del
documento estarán en la Introducción y/o en la lista ISO de declaraciones de patentes recibidas
(verwww.iso.org/patents).
Cualquier nombre comercial utilizado en este documento es información proporcionada para la
comodidad de los usuarios y no constituye un respaldo.
Para obtener una explicación sobre el significado de los términos y expresiones específicos de ISO
relacionados con la evaluación de la conformidad, así como información sobre la adhesión de ISO a los
principios de la OMC en los obstáculos técnicos al comercio (TBT), consulte la siguiente URL:Prólogo -
Información complementaria
ISO/IEC 17021-1 fue preparado por la ISOComité de Evaluación de la Conformidad(CASCO). Se distribuyó
para votación a los organismos nacionales de ISO e IEC, y fue aprobado por ambas organizaciones.
Esta primera edición de ISO/IEC 17021-1 cancela y reemplaza a ISO/IEC 17021:2011, que ha sido
revisada técnicamente.
ISO/IEC 17021 consta de las siguientes partes, bajo el título general Evaluación de la conformidad.
Requisitos para los organismos que proporcionan auditoría y certificación de sistemas de gestión:
— Parte 1: Requisitos
— Parte 2: Requisitos de competencia para la auditoría y certificación de sistemas de gestión ambiental
[Especificación técnica]
— Parte 3: Requisitos de competencia para la auditoría y certificación de sistemas de gestión de la calidad
[Especificación técnica]
— Parte 4: Requisitos de competencia para la auditoría y certificación de sistemas de gestión de
sostenibilidad de eventos[Especificación técnica]
— Parte 5: Requisitos de competencia para la auditoría y certificación de sistemas de gestión de
activos[Especificación técnica]
— Parte 6: Requisitos de competencia para la auditoría y certificación de los sistemas de gestión de la
continuidad del negocio[Especificación técnica]
— Parte 7: Requisitos de competencia para la auditoría y certificación de los sistemas de gestión de la
seguridad vial[Especificación técnica]
v © ISO/IEC 2015 – Todos los

derechos reservados
ISO/CEI 17021-1:2015(E)
Introducción
La certificación de un sistema de gestión, como el sistema de gestión ambiental, el sistema de gestión de
la calidad o el sistema de gestión de la seguridad de la información de una organización, es un medio
para garantizar que la organización ha implementado un sistema para la gestión de los aspectos
relevantes de sus actividades, productos y servicios, de acuerdo con la política de la organización y los
requisitos de la norma internacional del sistema de gestión respectivo.
Esta parte de ISO/IEC 17021 especifica los requisitos para los organismos que brindan auditoría y
certificación de sistemas de gestión. Proporciona requisitos genéricos para dichos organismos que
realizan auditorías y certificaciones en el campo de la calidad, el medio ambiente y otros tipos de
sistemas de gestión. Dichos organismos se conocen como organismos de certificación. El cumplimiento
de estos requisitos tiene como objetivo garantizar que los organismos de certificación operen la
certificación del sistema de gestión de manera competente, consistente e imparcial, facilitando así el
reconocimiento de dichos organismos y la aceptación de sus certificaciones a nivel nacional e
internacional. Esta parte de ISO/IEC 17021 sirve como base para facilitar el reconocimiento de la
certificación de sistemas de gestión en interés del comercio internacional.
La certificación de un sistema de gestión proporciona una demostración independiente de que el sistema
de gestión de la organización:
a) se ajusta a los requisitos especificados;
b) es capaz de lograr consistentemente su política y objetivos declarados;
c) se implementa de manera efectiva.
La evaluación de la conformidad, como la certificación de un sistema de gestión, proporciona valor a la
organización, sus clientes y partes interesadas.
Cláusula 4 describe los principios en los que se basa la certificación creíble. Estos principios ayudan al
usuario a comprender la naturaleza esencial de la certificación y son un preludio necesario
paraCláusulas 5 para10. Estos principios sustentan los requisitos de esta parte de la norma ISO/IEC
17021, pero tales principios no son requisitos auditables por derecho propio.Cláusula 10 describe dos
formas alternativas de respaldar y demostrar el logro constante de los requisitos de esta parte de la
norma ISO/IEC 17021 mediante el establecimiento de un sistema de gestión por parte del organismo de
certificación.
Las actividades de certificación son las actividades individuales que conforman todo el proceso de
certificación, desde la revisión de la solicitud hasta la terminación de la certificación.Anexo E
proporciona una ilustración de la forma en que muchas de estas actividades pueden interactuar.
Las actividades de certificación implican la auditoría del sistema de gestión de una organización. La
forma de certificación de la conformidad del sistema de gestión de una organización con un estándar de
sistema de gestión específico u otros requisitos normativos suele ser un documento de certificación o un
certificado.
Esta parte de ISO/IEC 17021 es aplicable a la auditoría y certificación de cualquier tipo de sistema de
gestión. Se reconoce que algunos de los requisitos, en particular los relacionados con la competencia del
auditor, pueden complementarse con criterios adicionales para cumplir las expectativas de las partes
interesadas.
En esta parte de la Norma ISO/IEC 17021, se utilizan las siguientes formas verbales:
— “deberá” indica un requisito;
— “debería” indica una recomendación;
— “may” indica un permiso;
— “can” indica una posibilidad o una capacidad.
© ISO/IEC 2015 – Todos los vi

derechos reservados
ISO/CEI 17021-1:2015(E)
Se pueden encontrar más detalles en las Directivas ISO/IEC, Parte 2.
vii © ISO/IEC 2015 – Todos los

derechos reservados
ISO/CEI 17021-1:2015(E) ISO/CEI 17021-1:2015(E)
Evaluación de la conformidad. Requisitos para los

organismos que proporcionan auditoría y certificación de
sistemas de gestión.
Parte 1:
Requisitos
1 Alcance
Esta parte de ISO/IEC 17021 contiene principios y requisitos para la competencia, consistencia e
imparcialidad de los organismos que brindan auditoría y certificación de todo tipo de sistemas de
gestión.
Los organismos de certificación que operan en esta parte de ISO/IEC 17021 no necesitan ofrecer todos
los tipos de certificación de sistemas de gestión.
La certificación de sistemas de gestión es una actividad de evaluación de la conformidad de terceros (ver
ISO/IEC 17000:2004, 5.5) y los organismos que realizan esta actividad son, por lo tanto, organismos de
evaluación de la conformidad de terceros.
NOTA 1 Los ejemplos de sistemas de gestión incluyen sistemas de gestión ambiental, sistemas de gestión de
calidad y sistemas de gestión de seguridad de la información.
NOTA 2 En esta parte de la Norma ISO/IEC 17021, la certificación de sistemas de gestión se denomina
"certificación" y los organismos de evaluación de la conformidad de terceros se denominan "organismos de
certificación".
NOTA3A El organismo de certificación puede ser no gubernamental o gubernamental, con o sin autoridad
reguladora.
NOTA 4 Esta parte de la Norma ISO/IEC 17021 se puede utilizar como un documento de criterios para la
acreditación, la evaluación por pares u otros procesos de auditoría.
2 Normativoreferencias
Los siguientes documentos, en todo o en parte, están referenciados normativamente en este documento
y son indispensables para su aplicación. Para las referencias con fecha, sólo se aplica la edición citada.
Para las referencias sin fecha, se aplica la última edición del documento de referencia (incluidas las
modificaciones).
ISO 9000, Sistemas de gestión de la calidad — Fundamentos y vocabulario
ISO/IEC 17000, Evaluación de la conformidad — Vocabulario y principios generales
3 Términos y definiciones
A los efectos de este documento, se aplican los términos y definiciones proporcionados en ISO 9000,
ISO/IEC 17000 y los siguientes.
3.1
cliente certificado
organización cuyo sistema de gestión ha sido certificado
3.2
© ISO/IEC 2015 – Todos los 1
derechos reservados
ESTÁNDAR
INTERNACIONAL
imparcialidad
presencia de objetividad
Nota 1 a la entrada: Objetividad significa que no existen conflictos de interés o que se resuelven de manera que no
influyan negativamente en las actividades subsiguientes del organismo de certificación.
2 © ISO/IEC 2015 – Todos los

derechos reservados
ISO/CEI 17021-1:2015(E) ISO/CEI 17021-1:2015(E)
Nota 2 a la entrada: Otros términos que son útiles para transmitir el elemento de imparcialidad incluyen
"independencia", "ausencia de conflicto de intereses", "ausencia de parcialidad", "ausencia de prejuicio",
"neutralidad", "justicia", " mentalidad abierta”, “ecuanimidad”, “desapego”, “equilibrio”.
3.3
consultoría en sistemas de gestión
participación en el establecimiento, implementación o mantenimiento de un sistema de gestión
EJEMPLO1Preparando o producir manuales o procedimientos.
EJEMPLO 2 Dar consejos, instrucciones o soluciones específicas para el desarrollo e implementación de un sistema
de gestión.
Nota 1 a la entrada: Organizar la formación y participar como formador no se considera consultoría, siempre que,
cuando el curso se relacione con sistemas de gestión o auditoría, se limite a la provisión de información genérica;
es decir, el formador no debe proporcionar soluciones específicas para el cliente.
Nota 2 a la entrada: No se considera consultoría la provisión de información genérica, pero no soluciones

específicas del cliente para la mejora de procesos o sistemas. Dicha información puede incluir:
— explicar el significado y la intención de los criterios de certificación;
— identificar oportunidades de mejora;
— explicar teorías, metodologías, técnicas o herramientas asociadas;
— compartir información no confidencial sobre mejores prácticas relacionadas;
— otros aspectos de gestión que no están cubiertos por el sistema de gestión auditado.
3.4
auditoría de certificación
auditoría realizada por una organización auditora independiente del cliente y de las partes que confían en la
certificación, con el fin de certificar el sistema de gestión del cliente
Nota 1 a la entrada: En las definiciones que siguen, el término "auditoría" se ha utilizado por simplicidad para
referirse a la auditoría de certificación de terceros.
Nota 2 a la entrada: Las auditorías de certificación incluyen auditorías iniciales, de vigilancia y de recertificación, y
también pueden incluir auditorías especiales.
Nota 3 a la entrada: Las auditorías de certificación generalmente las realizan equipos de auditoría de aquellos
organismos que brindan certificación de conformidad con los requisitos de las normas del sistema de gestión.
Nota 4 a la entrada: Una auditoría conjunta es cuando dos o más organizaciones auditoras cooperan para auditar a un solo
cliente.
Nota 5 a la entrada: Una auditoría combinada es cuando un cliente está siendo auditado en relación con los requisitos de dos
o más estándares de sistemas de gestión juntos.
Nota 6 a la entrada: Una auditoría integrada es cuando un cliente ha integrado la aplicación de los requisitos de dos o más
estándares de sistemas de gestión en un solo sistema de gestión y está siendo auditado contra más de un estándar.
3.5
cliente
organización cuyo sistema de gestión está siendo auditado con fines de certificación
3.6
auditor
persona que realiza una auditoria
3.7
competencia
capacidad de aplicar conocimientos y habilidades para lograr los resultados previstos

derechos reservados
ISO/CEI 17021-1:2015(E)
3.8
guía
persona designada por el cliente para ayudar al equipo de auditoría
3.9
observador
persona que acompaña al equipo auditor pero no audita
3.10
área técnica
área caracterizada por elementos comunes de procesos relevantes para un tipo específico de sistema de
gestión y sus resultados previstos
Nota 1 a la entrada: Ver Nota a7.1.2.
3.11
disconformidad
incumplimiento de un requisito
3.12
disconformidad mayor
disconformidad(3.11) que afecta la capacidad del sistema de gestión para lograr los resultados previstos
Nota 1 a la entrada: Las no conformidades podrían clasificarse como mayores en las siguientes circunstancias:
— si existe una duda significativa de que se está implementando un control de proceso efectivo, o de que los
productos o servicios cumplirán con los requisitos especificados;
— una cantidad de no conformidades menores asociadas con el mismo requisito o problema podría demostrar
una falla sistémica y, por lo tanto, constituir una no conformidad mayor.
3.13
disconformidad menor
disconformidad(3.11) que no afecte la capacidad del sistema de gestión para lograr los resultados
previstos
3.14
experto técnico
persona que proporciona conocimientos o experiencia específicos al equipo de auditoría
Nota 1 a la entrada: El conocimiento o la experiencia específicos son aquellos que se relacionan con la
organización, el proceso o la actividad a auditar.
3.15
esquema de certificación
sistema de evaluación de la conformidad relacionado con los sistemas de gestión a los que se aplican los
mismos requisitos especificados, normas y procedimientos específicos
3.16
tiempo de auditoría
tiempo necesario para planificar y realizar una auditoría completa y eficaz del sistema de gestión de la
organización cliente
3.17
duración de las auditorías de certificación del sistema de gestión
parte del tiempo de auditoría (3.16) dedicado a realizar actividades de auditoría desde la reunión de
apertura hasta la reunión de cierre, inclusive
Nota 1 a la entrada: Las actividades de auditoría normalmente incluyen:
— conducir la reunión de apertura;
— realizar la revisión de documentos mientras se realiza la auditoría;

derechos reservados
ISO/CEI 17021-1:2015(E)
— comunicarse durante la auditoría;
— asignación de roles y responsabilidades de guías y observadores;
— recopilar y verificar información;
— generar hallazgos de auditoría;
— preparación de conclusiones de auditoría;
— realización de la reunión de clausura.
4 Principios
4.1 General
4.1.1 Los principios descritos en esta cláusula proporcionan la base para los subsiguientes requisitos
descriptivos y de desempeño específicos en esta parte de ISO/IEC 17021. Esta parte de ISO/IEC 17021
no proporciona requisitos específicos para todas las situaciones que pueden ocurrir. Estos principios
deben aplicarse como guía para las decisiones que puedan ser necesarias para situaciones imprevistas.
Los principios no son requisitos.
4.1.2 El objetivo general de la certificación es dar confianza a todas las partes de que un sistema de
gestión cumple con los requisitos especificados. El valor de la certificación es el grado de confianza
pública que se establece mediante una evaluación imparcial y competente realizada por un tercero. Las
partes que tienen interés en la certificación incluyen, pero no se limitan a
a) los clientes de los organismos de certificación;
b) los clientes de las organizaciones cuyos sistemas de gestión están certificados;
c) autoridades gubernamentales;
d) organizaciones no gubernamentales;
e) consumidores y otros miembros del público.
4.1.3 Los principios para inspirar confianza incluyen:
— imparcialidad;
— competencia;
— responsabilidad;
— franqueza;
— confidencialidad;
— capacidad de respuesta a las quejas;
— enfoque basado en el riesgo.
NOTAEsto parte de ISO/IEC 17021 establece los principios de certificación enCláusula 4; los principios
correspondientes relacionados con la auditoría se pueden encontrar en la norma ISO 19011:2011, cláusula 4.
4.2 Imparcialidad
4.2.1 Ser imparcial y ser percibido como tal es necesariopara que un organismo de certificación
entregue una certificación que brinde confianza. Es importante que todo el personal interno y externo
sea consciente de la necesidad de imparcialidad.
derechos reservados
ISO/CEI 17021-1:2015(E)
4.2.2 Se reconoce que la fuente de ingresos para una certificaciónorganismo es su cliente el que paga
por la certificación, y que esto es una amenaza potencial a la imparcialidad.
4.2.3 Para obtener y mantener la confianza, es esencial que las decisiones de un organismo de
certificación se basen en pruebas objetivas de conformidad (o no conformidad) obtenidas por el
organismo de certificación, y que sus decisiones no estén influenciadas por otros intereses o por otras
partes.
4.2.4 Las amenazas a la imparcialidad pueden incluir, entre otras, las siguientes.
a) Interés propio: amenazas que surgen de una persona u organismo que actúa en su propio interés.
Una preocupación relacionada con la certificación, como amenaza a la imparcialidad, es el interés
propio financiero.
b) Autorevisión: amenazas que surgen de que una persona u organismo revise el trabajo realizado por
ellos mismos. Auditar los sistemas de gestión de un cliente al que el organismo de certificación
brindó consultoría en sistemas de gestión sería una amenaza de autorrevisión.
c) Familiaridad (o confianza): amenazas que surgen de que una persona u organismo está demasiado
familiarizado o confía demasiado en otra persona en lugar de buscar evidencia de auditoría.
d) Intimidación: amenazas que surgen de una persona o entidad que tiene la percepción de ser
coaccionada abierta o secretamente, como una amenaza de ser reemplazado o informado a un
supervisor.
4.3 Competencia
4.3.1 La competencia del personal del organismo de certificación en todas las funciones involucradas
en las actividades de certificación es necesaria para entregar una certificación que brinde confianza.
4.3.2 La competencia también debe estar respaldada por el sistema de gestión del organismo de
certificación.
4.3.3 Es un tema clave para la gerencia del organismo de certificación tener un proceso implementado
para el establecimiento de criterios de competencia para el personal involucrado en la auditoría y otras
actividades de certificación y para realizar la evaluación contra los criterios.
4.4 Responsabilidad
4.4.1 El cliente certificado, y no el organismo de certificación, tiene la responsabilidadpara lograr

consistentemente los resultados previstos de la implementación del estándar del sistema de gestión y la
conformidad con los requisitos para la certificación.
4.4.2 El organismo de certificación tiene la responsabilidad de evaluar evidencia objetiva suficiente

sobre la cual basar una decisión de certificación. Con base en las conclusiones de la auditoría, toma la
decisión de otorgar la certificación si hay suficiente evidencia de conformidad, o no otorgar la
certificación si no hay suficiente evidencia de conformidad.
NOTACualquiera la auditoría se basa en el muestreo dentro del sistema de gestión de una organización y,
por lo tanto, no es una garantía del 100 % de conformidad con los requisitos.
4.5 Franqueza
4.5.1 Un organismo de certificación debe proporcionar acceso público o divulgación de información

apropiada y oportuna sobre su proceso de auditoría y proceso de certificación, y sobre el estado de la
certificación (es decir, el otorgamiento, mantenimiento de la certificación, ampliación o reducción del
alcance de la certificación, renovación, suspender, restaurar o retirar la certificación) de cualquier
derechos reservados
ISO/CEI 17021-1:2015(E)
organización, con el fin de ganar confianza en la integridad y credibilidad de la certificación. La apertura
es un principio de acceso o divulgación de información adecuada.

derechos reservados
ISO/CEI 17021-1:2015(E)
4.5.2 Para ganar o mantener la confianza en la certificación, un organismo de certificación debe

proporcionar acceso apropiado o divulgación de información no confidencial sobre las conclusiones de
auditorías específicas (por ejemplo, auditorías en respuesta a quejas) a partes interesadas específicas.
4.6 Confidencialidad
Para obtener el acceso privilegiado a la información que necesita el organismo de certificación para
evaluar adecuadamente la conformidad con los requisitos para la certificación, es esencial que el
organismo de certificación no revele ninguna información confidencial.
4.7 Capacidad de respuesta a las quejas

Las partes que confían en la certificación esperan que se investiguen las quejas y, si se determina que
son válidas, deben tener confianza en que estas quejas se abordarán adecuadamente y que el organismo
de certificación hará un esfuerzo razonable para resolverlas. La capacidad de respuesta efectiva a las
quejas es un medio importante de protección para el organismo de certificación, sus clientes y otros
usuarios de la certificación contra errores, omisiones o comportamiento irrazonable. La confianza en las
actividades de certificación se salvaguarda cuando las denuncias se procesan adecuadamente.
NOTAUn Es necesario un equilibrio apropiado entre los principios de apertura y confidencialidad, incluida la
capacidad de respuesta a las quejas, para demostrar integridad y credibilidad a todos los usuarios de la
certificación.
4.8 Enfoque basado en el riesgo

Los organismos de certificación deben tener en cuenta los riesgos asociados con la prestación de una
certificación competente, coherente e imparcial. Los riesgos pueden incluir, entre otros, los asociados
con:
— los objetivos de la auditoría;
— el muestreo utilizado en el proceso de auditoría;
— imparcialidad real y percibida;
— cuestiones legales, reglamentarias y de responsabilidad;
— la organización cliente auditada y su entorno operativo;
— impacto de la auditoría en el cliente y sus actividades;
— salud y seguridad de los equipos auditores;
— percepción de las partes interesadas;
— declaraciones engañosas del cliente certificado;
— uso de marcas.
5 Requerimientos generales
5.1 Asuntos legales y contractuales
5.1.1 Responsabilidad legal

El organismo de certificación deberá ser una entidad legal, o una parte definida de una entidad legal que
pueda ser legalmente responsable de todas sus actividades de certificación. Se considera que un
organismo de certificación gubernamental es una entidad legal sobre la base de su estatus
gubernamental.

derechos reservados
ISO/CEI 17021-1:2015(E)
5.1.2 Acuerdo de certificación

El organismo de certificación deberá tener un acuerdo legalmente exigible con cada cliente para la
prestación de actividades de certificación de acuerdo con los requisitos pertinentes de esta parte de la
norma ISO/IEC 17021. Además, cuando haya múltiples oficinas de un organismo de certificación o
múltiples sitios de un cliente, el organismo de certificación se asegurará de que exista un acuerdo
legalmente exigible entre el organismo de certificación que otorga la certificación y el cliente que cubra
todos los sitios dentro del alcance de la certificación.
NOTAUn acuerdo se puede lograr a través de múltiples acuerdos que hacen referencia o se vinculan de otro modo a
uno otro.
5.1.3 Responsabilidad por las decisiones de certificación

El organismo de certificación será responsable de sus decisiones relacionadas con la certificación, y
conservará su autoridad, incluidas la concesión, la denegación, el mantenimiento de la certificación, la
ampliación o reducción del alcance de la certificación, la renovación, la suspensión o el restablecimiento
después de la suspensión o el retiro de la certificación. .
5.2 Gestión de la imparcialidad
5.2.1 Las actividades de evaluación de la conformidad se llevarán a cabo de manera imparcial. El

organismo de certificación será responsable de la imparcialidad de sus actividades de evaluación de la
conformidad y no permitirá que presiones comerciales, financieras o de otro tipo comprometan la
imparcialidad.
5.2.2 El organismo de certificación deberá tener el compromiso de la alta dirección con la

imparcialidad en las actividades de certificación del sistema de gestión. El organismo de certificación
deberá tener una política que comprenda la importancia de la imparcialidad en la realización de sus
actividades de certificación de sistemas de gestión, gestione los conflictos de intereses y garantice la
objetividad de sus actividades de certificación de sistemas de gestión.
5.2.3 El organismo de certificación deberá contar con un proceso para identificar, analizar, evaluar, tratar,
monitorear y documentar los riesgos relacionados con los conflictos de intereses que surjan de la provisión
de la certificación, incluidos los conflictos que surjande sus relaciones de manera continua. Cuando existan
amenazas a la imparcialidad, el organismo de certificación deberá documentar y demostrar cómo
elimina o minimiza tales amenazas y documenta cualquier riesgo residual. La demostración deberá
cubrir todas las amenazas potenciales que se identifiquen, ya sea que surjan dentro del organismo de
certificación o de las actividades de otras personas, organismos u organizaciones. Cuando una relación
representa una amenaza inaceptable para la imparcialidad (como una subsidiaria de propiedad total del
organismo de certificación que solicita la certificación de su matriz), entonces no se debe proporcionar
la certificación.
La alta dirección deberá revisar cualquier riesgo residual para determinar si se encuentra dentro del nivel
de riesgo aceptable.
El proceso de evaluación de riesgos deberá incluir la identificación y consulta con las partes interesadas
apropiadas para asesorar sobre asuntos que afecten la imparcialidad, incluida la apertura y la
percepción pública. La consulta con las partes interesadas apropiadas se equilibrará sin que predomine
un solo interés.
NOTA 1 Las fuentes de amenazas a la imparcialidad del organismo de certificación pueden basarse en la propiedad,
el gobierno, la gestión, el personal, los recursos compartidos, las finanzas, los contratos, la capacitación, la
comercialización y el pago de una comisión de ventas u otro incentivo para la referencia de nuevos clientes, etc. .
NOTA 2 Las partes interesadas pueden incluir personal y clientes del organismo de certificación, clientes de
organizaciones cuyos sistemas de gestión están certificados, representantes de asociaciones comerciales de la
industria, representantes de organismos reguladores gubernamentales u otros servicios gubernamentales, o
representantes de organizaciones no gubernamentales, incluidas las organizaciones de consumidores.

derechos reservados
ISO/CEI 17021-1:2015(E)
NOTA 3 Una forma de cumplir con el requisito de consulta de esta cláusula es mediante el uso de un comité de
estas partes interesadas.
5.2.4 Un organismo de certificación no certificará a otroorganismo de certificación de su sistema de

gestión de la calidad.

derechos reservados
ISO/CEI 17021-1:2015(E)
5.2.5 El organismo de certificación y cualquier parte de la misma entidad legaly cualquier entidad bajo
el control organizacional del organismo de certificación [ver9.5.1.2, inciso b)] no ofrecerá ni brindará
consultoría en sistemas de gestión. Esto también se aplica a la parte del gobierno identificada como el
organismo de certificación.
NOTAEsto no excluye la posibilidad de intercambio de información (por ejemplo, explicación de hallazgos o

aclaración de requisitos) entre el organismo de certificación y sus clientes.
5.2.6 La realización de auditorías internas por parte del organismo de certificación y cualquier parte
de la misma entidad legal a sus clientes certificados es una amenaza significativa a la imparcialidad. Por
lo tanto, el organismo de certificación y cualquier parte de la misma entidad legal y cualquier entidad
bajo el control organizacional del organismo de certificación [ver 9.5.1.2, inciso b)] no ofrecerá ni
proporcionará auditorías internas a sus clientes certificados. Una mitigación reconocida de esta
amenaza es que el organismo de certificación no debe certificar un sistema de gestión en el que
proporcionó auditorías internas durante un mínimo de dos años después de la finalización de las
auditorías internas.
NOTAVer Nota 1 a5.2.3.
5.2.7 Cuando un cliente ha recibido consultoría en sistemas de gestión de un organismo que tiene una
relación con un organismo de certificación, se trata de una amenaza significativa a la imparcialidad. Una
mitigación reconocida de esta amenaza es que el organismo de certificación no certificará el sistema de
gestión durante un mínimo de dos años después de la finalización de la consultoría.
NOTAVer Nota 1 a5.2.3.
5.2.8 El organismo de certificación no subcontratará las auditorías a una organización de consultoría

de sistemas de gestión, ya que esto representa una amenaza inaceptable para la imparcialidad del
organismo de certificación (ver7.5). Esto no se aplica a las personas contratadas como auditores
cubiertas en 7.3.
5.2.9 Las actividades del organismo de certificación no deben comercializarse ni ofrecerse como
vinculadas con las actividades de una organización que brinda consultoría en sistemas de gestión. El
organismo de certificación deberá tomar medidas para corregir los enlaces o declaraciones inapropiados
de cualquier organización de consultoría que afirme o sugiera que la certificación sería más simple, más
fácil, más rápida o menos costosa si se utilizara el organismo de certificación. Un organismo de
certificación no debe afirmar ni dar a entender que la certificación sería más simple, más fácil, más
rápida o menos costosa si se utilizara una organización de consultoría específica.
5.2.10 En ordenPara garantizar que no haya conflicto de intereses, el organismo de certificación no

utilizará al personal que haya brindado consultoría en sistemas de gestión, incluidos aquellos que actúen
en calidad de gerentes, para participar en una auditoría u otras actividades de certificación si han estado
involucrados en consultoría de sistemas de gestión hacia el cliente. Una mitigación reconocida de esta
amenaza es que no se utilizará personal durante un mínimo de dos años después de la finalización de la
consultoría.
5.2.11 El organismo de certificación deberá tomar medidas para responder a cualquier amenaza a su
imparcialidad que surja de las acciones de otras personas, organismos u organizaciones.
5.2.12 Todo el personal del organismo de certificación, ya sea interno o externo, o los comités, que
puedan influir en las actividades de certificación, deberán actuar con imparcialidad y no deberán
permitir que las presiones comerciales, financieras o de otro tipo comprometan la imparcialidad.
5.2.13 Los organismos de certificación deberán exigir al personal, interno y externo, que revele
cualquier situación conocida por ellos que pueda presentarles a ellos o al organismo de certificación un
conflicto de intereses. Los organismos de certificación deberán registrar y utilizar esta información
como entrada para identificar las amenazas a la imparcialidad planteadas por las actividades de dicho
personal o por las organizaciones que los emplean, y no utilizarán dicho personal, interno o externo, a
derechos reservados
ISO/CEI 17021-1:2015(E)
menos que puedan demostrar que no existe ningún conflicto. de interés.

derechos reservados
ISO/CEI 17021-1:2015(E)
5.3 Responsabilidad y financiación
5.3.1 El organismo de certificación deberá ser capaz de demostrar que ha evaluado los riesgos
derivados de sus actividades de certificación y que cuenta con los acuerdos adecuados (por ejemplo,
seguros o reservas) para cubrir las responsabilidades derivadas de sus operaciones en cada uno de sus
campos de actividad y las áreas geográficas en las que se encuentra. que opera.
5.3.2 El organismo de certificación deberá evaluar sus finanzas y fuentes de ingresos y demostrar que
inicialmente, y de manera continua, las presiones comerciales, financieras o de otro tipo no
comprometen su imparcialidad.
6 Requisitos estructurales
6.1 Estructura organizativa y alta dirección
6.1.1 El organismo de certificación deberá documentar su estructura organizacional, deberes,

responsabilidades y autoridades de la gerencia y otro personal involucrado en la certificación y
cualquier comité. Cuando el organismo de certificación es una parte definida de una entidad legal, la
estructura debe incluir la línea de autoridad y la relación con otras partes dentro de la misma entidad
legal.
6.1.2 Las actividades de certificación se estructurarán y gestionarán de forma que se salvaguarde la

imparcialidad.
6.1.3 El organismo de certificación deberá identificar a la alta dirección (junta, grupo de personas o
persona) que tenga autoridad y responsabilidad general para cada uno de los siguientes:
a) desarrollo de políticas y establecimiento de procesos y procedimientos relacionados con sus

operaciones;
b) supervisión de la implementación de las políticas, procesos y procedimientos;
c) asegurar la imparcialidad;
d) supervisión de sus finanzas;
e) desarrollo de servicios y esquemas de certificación de sistemas de gestión;
f) realización de auditorías y certificación, y capacidad de respuesta a las quejas;
g) decisiones sobre certificación;
h) delegación de autoridad a comités o individuos, según sea necesario, para emprender actividades
definidas en su nombre;
i) acuerdos contractuales;
j) provisión de recursos adecuados para las actividades de certificación.
6.1.4 El organismo de certificación deberá tener reglas formales para el nombramiento, términos de
referencia y operación de cualquier comité que participe en las actividades de certificación.
6.2 Control operacional
6.2.1 El organismo de certificación deberá contar con un proceso para el control efectivo de las
actividades de certificación entregadas por sucursales, sociedades, agentes, franquiciados, etc.,
independientemente de su estatus legal, relación o ubicación geográfica. El organismo de certificación
deberá considerar el riesgo que estas actividades representan para la competencia, consistencia e
derechos reservados
ISO/CEI 17021-1:2015(E)
imparcialidad del organismo de certificación.

derechos reservados
ISO/CEI 17021-1:2015(E)
6.2.2 El organismo de certificación deberá considerar el nivel y el método apropiados de control de las
actividades realizadas, incluidos sus procesos, las áreas técnicas de las operaciones de los organismos de
certificación, la competencia del personal, las líneas de control de gestión, la presentación de informes y
el acceso remoto a las operaciones, incluidos los registros.
7 Requerimientos de recursos
7.1 Competencia del personal
7.1.1 Consideraciones Generales

El organismo de certificación deberá contar con procesos para garantizar que el personal tenga los
conocimientos y las habilidades adecuadosrelevante para los tipos de sistemas de gestión (por ejemplo,
sistemas de gestión ambiental, sistemas de gestión de calidad, sistemas de gestión de seguridad de la
información) y áreas geográficas en las que opera.
7.1.2 Determinación de los criterios de competencia

El organismo de certificación deberá contar con un proceso para determinar los criterios de
competencia del personal involucrado en la gestión y realización de auditorías y otras actividades de
certificación. Los criterios de competencia se determinarán con respecto a los requisitos de cada tipo de
norma o especificación del sistema de gestión, para cada área técnica y para cada función en el proceso
de certificación. El resultado del proceso serán los criterios documentados de los conocimientos y
habilidades requeridos necesarios para realizar de manera efectiva las tareas de auditoría y certificación
que deben cumplirse para lograr los resultados previstos.Anexo A especifica los conocimientos y
habilidades que un organismo de certificación debe definir para funciones específicas. Cuando se hayan
establecido criterios de competencia específicos adicionales para un estándar o esquema de certificación
específico (p. ej., ISO/IEC TS 17021-2, ISO/IEC TS 17021-3 o ISO/TS 22003), se aplicarán estos.
NOTA El término "área técnica" se aplica de manera diferente según el estándar del sistema de gestión que se esté
aplicando. considerado. Para cualquier sistema de gestión, el término está relacionado con productos, procesos y
servicios en el contexto del alcance de la norma del sistema de gestión. El área técnica puede estar definida por un
esquema de certificación específico (por ejemplo, ISO/TS 22003) o puede ser determinada por el organismo de
certificación. Se utiliza para abarcar una serie de otros términos como "ámbitos", "categorías", "sectores", etc., que
se utilizan tradicionalmente en diferentes disciplinas de sistemas de gestión.
7.1.3 Procesos de evaluación

El organismo de certificación deberá contar con procesos documentados para la evaluación inicial de la
competencia y el seguimiento continuo de la competencia y el desempeño de todo el personal
involucrado en la gestión y ejecución de las auditorías y otras actividades de certificación, aplicando los
criterios de competencia determinados. El organismo de certificación deberá demostrar que sus
métodos de evaluación son efectivos. El resultado de estos procesos deberá ser la identificación del
personal que haya demostrado el nivel de competencia requerido para las diferentes funciones del
proceso de auditoría y certificación. La competencia deberá demostrarse antes de que la persona asuma
la responsabilidad del desempeño de sus actividades dentro del organismo de certificación.
NOTA 1 Una serie de métodos de evaluación que se pueden utilizar para evaluar la competencia se describen
enAnexo B. NOTA 2Anexo C muestra un ejemplo de un flujo de proceso para determinar y mantener la
competencia.
7.1.4 Otras Consideraciones

El organismo de certificación tendrá acceso a la experiencia técnica necesaria para el asesoramiento
sobre asuntos directamente relacionados con las actividades de certificación para todas las áreas
técnicas, tipos de sistemas de gestión y áreas geográficas en las que opera el organismo de certificación.
Dicho asesoramiento puede ser proporcionado externamente o por el personal del organismo de
derechos reservados
ISO/CEI 17021-1:2015(E)
certificación.
7.2 Personal involucrado en las actividades de certificación
7.2.1 El organismo de certificación deberá contar con suficiente personal competente para
administrar y respaldar el tipo y la gama de programas de auditoría y otros trabajos de certificación
realizados.

derechos reservados
ISO/CEI 17021-1:2015(E)
7.2.2 El organismo de certificación deberá emplear, o tener acceso a, un número suficiente de

auditores, incluidos los líderes del equipo de auditoría y expertos técnicos para cubrir todas sus
actividades y manejar el volumen del trabajo de auditoría realizado.
7.2.3 El organismo de certificación deberá dejar en claro a cada persona interesada sus deberes,
responsabilidades y autoridades.
7.2.4 El organismo de certificación deberá contar con procesos para seleccionar, capacitar, autorizar
formalmente a los auditores y para seleccionar y familiarizar a los expertos técnicos utilizados en la
actividad de certificación. La evaluación de competencia inicial de un auditor deberá incluir la capacidad
de aplicar los conocimientos y habilidades requeridos durante las auditorías, según lo determine un
evaluador competente que observe al auditor realizando una auditoría.
NOTA Durante el proceso de selección y capacitación descrito anteriormente, se puede considerar el

comportamiento personal deseado. Estas son características que afectan la capacidad de un individuo para realizar
funciones específicas. Por lo tanto, el conocimiento sobre el comportamiento de las personas permite que un
organismo de certificación aproveche sus fortalezas y minimice el impacto de sus debilidades. El comportamiento
personal deseado que es importante para el personal involucrado en las actividades de certificación se describe
enAnexo D.
7.2.5 El organismo de certificación deberá contar con un proceso para lograr y demostrarauditoría,
incluido el uso de auditores y líderes de equipos de auditoría que posean habilidades y conocimientos
genéricos de auditoría, así como habilidades y conocimientos apropiados para auditar en áreas técnicas
específicas.
7.2.6 El organismo de certificación deberá asegurarse de que los auditores (y, cuando sea necesario,
los expertos técnicos) conozcan sus procesos de auditoría, los requisitos de certificación y otros
requisitos pertinentes. El organismo de certificación deberá brindar a los auditores y expertos técnicos
acceso a un conjunto actualizado de procedimientos documentados que proporcionen instrucciones de
auditoría y toda la información relevante sobre las actividades de certificación.
7.2.7 El organismo de certificación deberá identificar las necesidades de capacitación y deberá ofrecer
o brindar acceso a capacitación específica para garantizar que sus auditores, expertos técnicos y otro
personal involucrado en las actividades de certificación sean competentes para las funciones que
desempeñan.
7.2.8 El grupo o individuo que tome la decisión de otorgar, denegar, mantener, renovar, suspender,
restaurar o retirar la certificación, o de ampliar o reducir el alcance de la certificación, deberá
comprender la norma aplicable y los requisitos de certificación, y deberá haber demostrado
competencia para evaluar los resultados de los procesos de auditoría, incluidas las recomendaciones
relacionadas del equipo de auditoría.
7.2.9 El organismo de certificación deberá asegurar el desempeño satisfactorio de todo el personal

involucrado en la auditoría y otras actividades de certificación. Deberá existir un proceso documentado
para monitorear la competencia y el desempeño de todas las personas involucradas, basado en la
frecuencia de su uso y el nivel de riesgo vinculado a sus actividades. En particular, el organismo de
certificación deberá revisar y registrar la competencia de su personal a la luz de su desempeño para
identificar las necesidades de capacitación.
7.2.10 El organismo de certificación deberá monitorear a cada auditor considerando cada tipo de
sistema de gestión para el cual el auditor se considera competente. El proceso de seguimiento
documentado para los auditores incluirá una combinación de evaluación in situ, revisión de los informes
de auditoría y comentarios de los clientes o del mercado. Este seguimiento se diseñará de forma que se
minimicen las perturbaciones de los procesos normales de certificación, especialmente desde el punto
de vista del cliente.
7.2.11 El organismo de certificación deberá evaluar periódicamente el desempeño de cada auditor en

derechos reservados
ISO/CEI 17021-1:2015(E)
el sitio. La frecuencia de las evaluaciones in situ se basará en la necesidad determinada a partir de toda
la información de seguimiento disponible.
7.3 Uso de auditores externos individuales y expertos técnicos externos

El organismo de certificación requerirá que los auditores externos y los expertos técnicos externos
tengan un acuerdo por escrito mediante el cual se comprometan a cumplir con las políticas aplicables e
implementar los procesos definidos por el organismo de certificación. El acuerdo deberá abordar los
aspectos relativos a la confidencialidad y

derechos reservados
ISO/CEI 17021-1:2015(E)
imparcialidad y exigirá a los auditores externos y a los expertos técnicos externos que notifiquen al
organismo de certificación cualquier relación anterior o existente con cualquier organización a la que
puedan ser asignados para auditar.
NOTA El uso de una persona o empleado de otra organización contratado individualmente para actuar como
auditor externo o experto técnico no constituye subcontratación.
7.4 Registros de personal

El organismo de certificación deberá mantener actualizados los registros del personal, incluidas las
calificaciones, la capacitación, la experiencia, las afiliaciones, el estado profesional y la competencia
pertinentes. Esto incluye al personal de gestión y administrativo además de aquellos que realizan
actividades de certificación.
7.5 Subcontratación
7.5.1 El organismo de certificación deberá contar con un proceso en el que describa las condiciones
bajo las cuales puede tener lugar la subcontratación (que es subcontratar a otra organización para
proporcionar parte de las actividades de certificación en nombre del organismo de certificación). El
organismo de certificación deberá tener un acuerdo legalmente exigible que cubra los arreglos, incluida
la confidencialidad y los conflictos de intereses, con cada organismo que proporcione servicios
subcontratados.
7.5.2 Las decisiones para otorgar, denegar, mantener la certificación, ampliar o reducir el alcance de la
certificación, renovar, suspender o restaurar, o retirar la certificación no se subcontratarán.
7.5.3 El organismo de certificación deberá:
a) asumir la responsabilidad de todas las actividades subcontratadas a otro organismo;

b) garantizar que el organismo que proporciona servicios subcontratados y las personas que utiliza
cumplan con los requisitos del organismo de certificación y también con las disposiciones aplicables
de esta parte de ISO/IEC 17021, incluidas la competencia, la imparcialidad y la confidencialidad;
c) asegurar que el organismo que presta los servicios subcontratados, y las personas que utiliza, no
estén involucrados, ya sea directamente o a través de cualquier otro empleador, con una
organización a ser auditada, de tal manera que la imparcialidad pueda verse comprometida.
7.5.4 El organismo de certificación deberá contar con un proceso para la aprobación y supervisión de
todos los organismos que brindan servicios subcontratados utilizados para las actividades de
certificación, y deberá garantizar que se mantengan registros de la competencia de todo el personal
involucrado en las actividades de certificación.
NOTA 1 Para7.5.1 para7.5.4, cuando el organismo de certificación contrate a personas o empleados de otras
organizaciones para proporcionar recursos o experiencia adicionales, estos individuos no constituyen
subcontratación, siempre que sean contratados individualmente para operar bajo el sistema de gestión del
organismo de certificación (ver7.3).
NOTA 2 Para7.5.1 para7.5.4, los términos “outsourcing” y “subcontratación” se consideran sinónimos.
8 Requisitos de información
8.1 Información pública
8.1.1 El organismo de certificación deberá mantener (a través de publicaciones, medios electrónicos u

otros medios) y hacer pública, sin previa solicitud, en todas las áreas geográficas en las que opera,
información sobre

derechos reservados
ISO/CEI 17021-1:2015(E)
a) procesos de auditoría;
b) procesos para otorgar, rechazar, mantener, renovar, suspender, restaurar o retirar la certificación o
expandir o reducir el alcance de la certificación;

derechos reservados
ISO/CEI 17021-1:2015(E)
c) tipos de sistemas de gestión y esquemas de certificación en los que opera;

d) el uso del nombre del organismo de certificación y la marca o logotipo de certificación;
e) procesos de atención de solicitudes de información, quejas y recursos;f)
política sobre la imparcialidad.
8.1.2 El organismo de certificación deberá proporcionar, previa solicitud, información sobre:
a) áreas geográficas en las que opera;

b) el estado de una certificación dada;
c) el nombre, documento normativo relacionado, alcance y ubicación geográfica (ciudad y país) para
un cliente certificado específico.
NOTA1 en casos excepcionales, el acceso a cierta información puede ser limitado a petición del cliente (por
ejemplo, por razones de seguridad).
NOTA2El organismo de certificación también puede hacer que la información en8.1.2 público por cualquier
medio que elija sin solicitud, por ejemplo, en su sitio web de Internet.
8.1.3 La información proporcionada por el organismo de certificación a cualquier cliente o al

mercado, incluida la publicidad, deberá ser precisa y no engañosa.
8.2 Documentos de certificación
8.2.1 El organismo de certificación deberá proporcionar, por cualquier medio que elija, los
documentos de certificación al cliente certificado.
8.2.2 Los documentos de certificación deberán identificar lo siguiente:

a) el nombre y la ubicación geográfica de cada cliente certificado (o la ubicación geográfica de la sede
y cualquier sitio dentro del alcance de una certificación multisitio);
b) la fecha efectiva de concesión, ampliación o reducción del alcance de la certificación, o renovación
de la certificación, que no deberá ser anterior a la fecha de la decisión de certificación pertinente;
Nota la El organismo de certificación puede mantener la fecha de certificación original en el certificado
cuando un certificado caduca por un período de tiempo siempre que:
— se indican claramente las fechas de inicio y vencimiento del ciclo de certificación actual;
— se indicará la fecha de vencimiento del último ciclo de certificación junto con la fecha de la auditoría de
recertificación.
c) la fecha de vencimiento o la fecha de vencimiento de la recertificación consistente con el ciclo de

recertificación;
d) un código de identificación único;
e) el estándar del sistema de gestión y/u otro documento normativo, incluida la indicación del estado
de emisión (por ejemplo, fecha o número de revisión) utilizado para la auditoría del cliente
certificado;
f) el alcance de la certificación con respecto al tipo de actividades, productos y servicios aplicables en
cada sitio sin ser engañoso o ambiguo;
g) el nombre, la dirección y la marca de certificación del organismo de certificación; se pueden usar
otras marcas (por ejemplo, el símbolo de acreditación, el logotipo del cliente) siempre que no sean
engañosas o ambiguas;
derechos reservados
ISO/CEI 17021-1:2015(E)
h) cualquier otra información requerida por la norma y/u otro documento normativo utilizado para la
certificación;

derechos reservados
ISO/CEI 17021-1:2015(E)
i) en el caso de emitir cualquier documento de certificación revisado, un medio para distinguir los
documentos revisados de cualquier documento obsoleto anterior.
8.3 Referencia a la certificación y uso de marcas
8.3.1 Un organismo de certificación deberá tener reglas que rijan cualquier marca de certificación de
sistema de gestión que autorice a usar a los clientes certificados. Estas reglas garantizarán, entre otras
cosas, la trazabilidad hasta el organismo de certificación. No debe haber ambigüedad, ni en la marca ni
en el texto que la acompaña, en cuanto a lo que se ha certificado y qué organismo de certificación ha
otorgado la certificación. Esta marca no se utilizará en un producto ni en el embalaje del producto ni de
ninguna otra manera que pueda interpretarse como una indicación de la conformidad del producto.
NOTAISO/IEC 17030 proporciona información adicional para el uso de marcas de terceros.
8.3.2 Un organismo de certificación no debe permitir que sus marcas sean aplicadas por clientes
certificados a los informes o certificados de prueba, calibración o inspección de laboratorio.
8.3.3 Un organismo de certificación deberá tener reglas que rijan el uso de cualquier declaración en el
empaque del producto o en la información adjunta de que el cliente certificado tiene un sistema de
gestión certificado. Se considera embalaje del producto aquel que puede ser retirado sin que el producto
se desintegre o se dañe. La información adjunta se considera disponible por separado o fácilmente
separable. Las etiquetas de tipo o las placas de identificación se consideran parte del producto. La
declaración no implicará en modo alguno que el producto, proceso o servicio está certificado por este
medio. La declaración deberá incluir una referencia a:
— identificación (por ejemplo, marca o nombre) del cliente certificado;
— el tipo de sistema de gestión (por ejemplo, calidad, medio ambiente) y la norma aplicable;
— el organismo de certificación que emite el certificado.
8.3.4 El organismo de certificación deberá, a través de arreglos legalmente exigibles, exigir que el cliente
certificado:
a) cumple con los requisitos del organismo de certificación al hacer referencia a su estado de
certificación en medios de comunicación como Internet, folletos o publicidad u otros documentos;
b) no hace ni permite ninguna declaración engañosa con respecto a su certificación;
c) no utiliza ni permite el uso de un documento de certificación o cualquier parte del mismo de manera
engañosa;
d) al retirar su certificación, descontinúa el uso de todo material publicitario que contenga una
referencia a la certificación, según lo indique el organismo de certificación (ver 9.6.5);
e) modifica toda la materia publicitaria cuando se ha reducido el alcance de la certificación;
f) no permite que la referencia a la certificación de su sistema de gestión se utilice de tal manera que
implique que el organismo de certificación certifica un producto (incluido el servicio) o un proceso;
g) no implica que la certificación se aplica a actividades y sitios que están fuera del alcance de la
certificación;
h) no utiliza su certificación de tal manera que desacredite al organismo de certificación y/o al sistema
de certificación y pierda la confianza del público.
8.3.5 El organismo de certificación ejercerá un control adecuado de la propiedad y tomará medidas

para tratar las referencias incorrectas al estado de la certificación o el uso engañoso de documentos de
certificación, marcas o informes de auditoría.

derechos reservados
ISO/CEI 17021-1:2015(E)
NOTATal la acción podría incluir solicitudes de corrección y acción correctiva, suspensión, retiro de
certificación, publicación de la transgresión y, si es necesario, acción legal.

derechos reservados
ISO/CEI 17021-1:2015(E)
8.4 Confidencialidad
8.4.1 El organismo de certificación será responsable, mediante acuerdos legalmente exigibles, de la

gestión de toda la información obtenida o creada durante el desempeño de las actividades de
certificación en todos los niveles de su estructura, incluidos los comités y organismos externos o
personas que actúen en su nombre.
8.4.2 El organismo de certificación deberá informar al cliente, con antelación, de la información que
pretende colocar en el dominio público. Toda otra información, excepto la información que el cliente
ponga a disposición del público, se considerará confidencial.
8.4.3 Salvo lo requerido en esta parte de la norma ISO/IEC 17021, la información sobre un cliente o
individuo certificado en particular no se debe divulgar a un tercero sin el consentimiento por escrito del
cliente o individuo certificado en cuestión.
8.4.4 Cuando el organismo de certificación esté obligado por ley o autorizado por acuerdos
contractuales (como con el organismo de acreditación) a divulgar información confidencial, el cliente o
la persona en cuestión deberá, a menos que lo prohíba la ley, ser notificado de la información
proporcionada.
8.4.5 La información sobre el cliente procedente de fuentes distintas al cliente (p. ej., reclamante,
reguladores) se tratará como confidencial, de conformidad con la política del organismo de certificación.
8.4.6 El personal, incluidos los miembros del comité, los contratistas, el personal de organismos
externos o las personas que actúen en nombre del organismo de certificación, deberán mantener la
confidencialidad de toda la información obtenida o creada durante el desempeño de las actividades del
organismo de certificación, salvo que lo exija la ley.
8.4.7 El organismo de certificación deberá contar con procesos y, cuando corresponda, equipos e
instalaciones que garanticen el manejo seguro de la información confidencial.
8.5 Intercambio de información entre un organismo de certificación y sus clientes
8.5.1 Información sobre la actividad de certificación y requisitos
El organismo de certificación deberá proporcionar información y actualizar a los clientes sobre lo

siguiente:
a) una descripción detallada de la actividad de certificación inicial y continua, incluida la solicitud, las
auditorías iniciales, las auditorías de seguimiento y el proceso para otorgar, denegar, mantener la
certificación, ampliar o reducir el alcance de la certificación, renovar, suspender o restaurar, o
retirar Certificación;
b) los requisitos normativos para la certificación;
c) información sobre las tarifas de solicitud, certificación inicial y certificación continua;
d) los requisitos del organismo de certificación para que los clientes:
1) cumplir con los requisitos de certificación;
2) hacer todos los arreglos necesarios para la realización de las auditorías, incluida la disposición
para el examen de la documentación y el acceso a todos los procesos y áreas, registros y
personal para fines de certificación inicial, vigilancia, recertificación y resolución de quejas;
3) tomar disposiciones, cuando corresponda, para acomodar la presencia de observadores (por
ejemplo, evaluadores de acreditación o auditores en formación);

derechos reservados
ISO/CEI 17021-1:2015(E)
e) documentos que describan los derechos y deberes de los clientes certificados, incluidos los
requisitos, cuando se haga referencia a su certificación en comunicaciones de cualquier tipo de
conformidad con los requisitos en 8.3;
f) información sobre los procesos para el manejo de quejas y apelaciones.

derechos reservados
ISO/CEI 17021-1:2015(E)
8.5.2 Aviso de cambios por parte de un organismo de certificación

El organismo de certificación deberá dar a sus clientes certificados la debida notificación de cualquier
cambio en sus requisitos para la certificación. El organismo de certificación deberá verificar que cada
cliente certificado cumpla con los nuevos requisitos.
8.5.3 Aviso de cambios por parte de un cliente certificado

El organismo de certificación deberá contar con arreglos legalmente exigibles para garantizar que el
cliente certificado informe al organismo de certificación, sin demora, de los asuntos que puedan afectar
la capacidad del sistema de gestión para continuar cumpliendo con los requisitos del estándar utilizado
para la certificación. Estos incluyen, por ejemplo, cambios relacionados con:
a) la situación jurídica, comercial, organizativa o de propiedad;
b) organización y gestión (por ejemplo, personal clave de gestión, toma de decisiones o técnico);
c) dirección y sitios de contacto;
d) alcance de las operaciones bajo el sistema de gestión certificado;
e) cambios importantes en el sistema de gestión y los
procesos. El organismo de certificación deberá tomar las
medidas apropiadas.
9 Requisitos del proceso
9.1 Actividades de precertificación
9.1.1 Solicitud
El organismo de certificación deberá solicitar a un representante autorizado de la organización
solicitante que proporcione la información necesaria que le permita establecer lo siguiente:
a) el alcance deseado de la certificación;
b) detalles relevantes de la organización solicitante según lo requiera el esquema de certificación
específico, incluido su nombre y la(s) dirección(es) de su(s) sitio(s), sus procesos y operaciones,
recursos humanos y técnicos, funciones, relaciones y cualquier obligación legal relevante;
c) identificación de procesos subcontratados utilizados por la organización que afectarán la
conformidad con los requisitos;
d) las normas u otros requisitos para los cuales la organización solicitante busca la certificación;
e) si se ha prestado asesoramiento relacionado con el sistema de gestión a certificar y, en caso
afirmativo, quién lo ha hecho.
9.1.2 Revisión de la aplicación
9.1.2.1 El organismo de certificación deberállevar a cabo una revisión de la solicitud y la información

complementaria para la certificación para asegurarse de que:
a) la información sobre la organización solicitante y su sistema de gestión es suficiente para

desarrollar un programa de auditoría (ver 9.1.3);
b) se resuelve cualquier diferencia conocida de entendimiento entre el organismo de certificación y la
organización solicitante;

derechos reservados
ISO/CEI 17021-1:2015(E)
c) el organismo de certificación tiene la competencia y la capacidad para realizar la actividad de certificación;

derechos reservados
ISO/CEI 17021-1:2015(E)
d) se tienen en cuenta el alcance de la certificación buscada, el lugar o lugares de las operaciones de la

organización solicitante, el tiempo requerido para completar las auditorías y cualquier otro punto
que influya en la actividad de certificación (idioma, condiciones de seguridad, amenazas a la
imparcialidad, etc.).
9.1.2.2 Luego de la revisión de la solicitud, el organismo de certificación deberá aceptar o rechazar

una solicitud de certificación. Cuando el organismo de certificación rechaza una solicitud de certificación
como resultado de la revisión de la solicitud, las razones para rechazar una solicitud deben
documentarse y aclararse al cliente.
9.1.2.3 Con base en esta revisión, el organismo de certificación deberá determinar las competencias
que necesita incluir en su equipo de auditoría y para la decisión de certificación.
9.1.3 Programa de auditoría
9.1.3.1 Se debe desarrollar un programa de auditoría para el ciclo de certificación completo para
identificar claramente la actividad o actividades de auditoría requeridas para demostrar que el sistema
de gestión del cliente cumple con los requisitos para la certificación según la(s) norma(s)
seleccionada(s) u otro(s) documento(s) normativo(s). El programa de auditoría para el ciclo de
certificación deberá cubrir los requisitos completos del sistema de gestión.
9.1.3.2 El programa de auditoría para la certificación inicial deberá incluir una auditoría inicial de dos
etapas, auditorías de vigilancia en el primer y segundo año después de la decisión de certificación y una
auditoría de recertificación en el tercer año antes del vencimiento de la certificación. El primer ciclo de
certificación de tres años comienza con la decisión de certificación. Los ciclos subsiguientes comienzan
con la decisión de recertificación (ver9.6.3.2.3) La determinación del programa de auditoría y cualquier
ajuste posterior deberá considerar el tamaño del cliente, el alcance y la complejidad de su sistema de
gestión, productos y procesos, así como el nivel demostrado de eficacia del sistema de gestión y los
resultados de cualquier auditoría anterior.
NOTA1 Anexo E proporciona un diagrama de flujo de un proceso típico de auditoría y certificación.
NOTA2El La siguiente lista contiene elementos adicionales que se pueden considerar al desarrollar o revisar un
programa de auditoría, es posible que también deban abordarse al determinar el alcance de la auditoría y
desarrollar el plan de auditoría:
— quejas recibidas por el organismo de certificación sobre el cliente;
— auditoría combinada, integrada o conjunta
— cambios en los requisitos de certificación;
— cambios en los requisitos legales;
— cambios en los requisitos de acreditación;
— datos de rendimiento de la organización (por ejemplo, niveles de defectos, datos de indicadores clave de
rendimiento);
— preocupaciones de las partes interesadas pertinentes.
NOTA3Si especificado por el esquema de certificación específico de la industria, el ciclo de certificación puede
ser diferente de tres años.
9.1.3.3 Las auditorías de vigilancia se realizarán al menos una vez por año calendario, excepto en los
años de recertificación. La fecha de la primera auditoría de seguimiento posterior a la certificación inicial
no deberá ser superior a 12 meses a partir de la fecha de decisión de la certificación.
NOTA puede ser necesario ajustar la frecuencia de las auditorías de vigilancia para adaptarse a factores
como las temporadas o la certificación de sistemas de gestión de duración limitada (por ejemplo, un sitio de
construcción temporal).
derechos reservados
ISO/CEI 17021-1:2015(E)
9.1.3.4 Cuando el organismo de certificación tenga en cuenta la certificación ya otorgada al cliente y

las auditorías realizadas por otro organismo de certificación, deberá obtener y conservar evidencia
suficiente, como informes y documentación sobre acciones correctivas, de cualquier no conformidad. La
documentación deberá sustentar

derechos reservados
ISO/CEI 17021-1:2015(E)
el cumplimiento de los requisitos de esta parte de la norma ISO/IEC 17021. El organismo de certificación
debe, con base en la información obtenida, justificar y registrar cualquier ajuste al programa de
auditoría existente y hacer un seguimiento de la implementación de acciones correctivas relacionadas
con no conformidades anteriores.
9.1.3.5 Cuando el cliente opera por turnos, las actividades que tienen lugar durante el trabajo por
turnos se deben considerar al desarrollar el programa de auditoría y los planes de auditoría.
9.1.4 Determinación del tiempo de auditoría
9.1.4.1 El organismo de certificación deberá tener procedimientos documentados para determinar el

tiempo de auditoría. Para cada cliente, el organismo de certificación deberá determinar el tiempo
necesario para planificar y realizar una auditoría completa y eficaz del sistema de gestión del cliente.
9.1.4.2 Al determinar el tiempo de la auditoría, el organismo de certificación deberá considerar, entre

otras cosas, los siguientes aspectos:
a) los requisitos de la norma del sistema de gestión pertinente;

b) complejidad del cliente y su sistema de gestión;
c) contexto tecnológico y regulatorio;
d) cualquier externalización de cualquiera de las actividades incluidas en el alcance del sistema de gestión;
e) los resultados de cualquier auditoría anterior;
f) tamaño y número de sitios, sus ubicaciones geográficas y consideraciones de sitios múltiples;
g) los riesgos asociados con los productos, procesos o actividades de la organización;
h) ya sea que las auditorías sean combinadas, conjuntas o integradas.
NOTA 1 El tiempo dedicado a viajar hacia y desde los sitios auditados no se incluye en el cálculo de la duración de
los días de auditoría del sistema de gestión.
NOTA 2 El organismo de certificación puede utilizar las directrices establecidas en ISO/IEC TS 17023 para
determinar la duración de la auditoría del sistema de gestión al documentar estos procedimientos.
Cuando se hayan establecido criterios específicos para un esquema de certificación específico, por
ejemplo, ISO/TS 22003 o ISO/IEC 27006, se aplicarán estos.
9.1.4.3 Se hará constar la duración de la auditoría del sistema de gestión y su justificación.
9.1.4.4 El tiempo dedicado por cualquier miembro del equipo que no esté asignado como auditor (es
decir, expertos técnicos, traductores, intérpretes, observadores y auditores en formación) no contará en
la duración establecida anteriormente de la auditoría del sistema de gestión.
Nota la el uso de traductores e intérpretes puede requerir tiempo adicional.
9.1.5 Muestreo multisitio

Cuando se utilice el muestreo en múltiples sitios para la auditoría del sistema de gestión de un cliente
que cubra la misma actividad en varias ubicaciones geográficas, el organismo de certificación deberá
desarrollar un programa de muestreo para garantizar una auditoría adecuada del sistema de gestión. La
justificación del plan de muestreo debe documentarse para cada cliente. El muestreo no está permitido
para algunos esquemas de certificación específicos, y cuando se hayan establecido criterios específicos
para un esquema de certificación específico, por ejemplo, ISO/TS 22003, estos se aplicarán.
NOTADónde hay múltiples sitios que no cubren la misma actividad el muestreo no es apropiado.

derechos reservados
ISO/CEI 17021-1:2015(E)
9.1.6 Múltiples estándares de sistemas de gestión

Cuando el organismo de certificación proporciona la certificación de múltiples estándares de sistemas de
gestión, la planificación de la auditoría debe garantizar una auditoría in situ adecuada para brindar
confianza en la certificación.
9.2 Planificación de auditorías
9.2.1 Determinación de los objetivos, el alcance y los criterios de la auditoría
9.2.1.1 Los objetivos de la auditoría serán determinados por el organismo de certificación. El alcance
y los criterios de la auditoría, incluidos los cambios, deben ser establecidos por el organismo de
certificación después de discutirlo con el cliente.
9.2.1.2 Los objetivos de la auditoría deben describir lo que se logrará mediante la auditoría e incluir
lo siguiente:
a) determinación de la conformidad del sistema de gestión del cliente, o partes del mismo, con los
criterios de auditoría;
b) determinación de la capacidad del sistema de gestión para garantizar que el cliente cumpla con los
requisitos legales, reglamentarios y contractuales aplicables;
NO HAY TÉ La auditoría de certificación del sistema de gestión no es una auditoría de cumplimiento
legal.
c) determinación de la eficacia del sistema de gestión para garantizar que el cliente pueda esperar
razonablemente alcanzar sus objetivos especificados;
d) en su caso, identificación de áreas de mejora potencial del sistema de gestión.
9.2.1.3 El alcance de la auditoría deberá describir el alcance y los límites de la auditoría, tales como
sitios, organizaciónunidades, actividades y procesos a auditar. Cuando el proceso inicial o de
recertificación consiste en más de una auditoría (por ejemplo, que cubre diferentes sitios), el alcance de
una auditoría individual puede no cubrir el alcance total de la certificación, pero la totalidad de las
auditorías debe ser consistente con el alcance en el documento de certificación. .
9.2.1.4 Los criterios de auditoría se utilizarán como referencia para determinar la conformidad y
deberán incluir:
— los requisitos de un documento normativo definido sobre sistemas de gestión;

— los procesos definidos y la documentación del sistema de gestión desarrollado por el cliente.
9.2.2 Selección y asignaciones del equipo de auditoría
9.2.2.1 General
9.2.2.1.1 El organismo de certificación deberá tener un proceso para seleccionar y designar el equipo
de auditoría, incluido el líder del equipo de auditoría y los expertos técnicos, según sea necesario,
teniendo en cuenta la competencia necesaria para lograr los objetivos de la auditoría y los requisitos de
imparcialidad. Si solo hay un auditor, el auditor deberá tener la competencia para desempeñar las
funciones de un líder del equipo de auditoría aplicable para esa auditoría. El equipo de auditoría deberá
tener la totalidad de las competencias identificadas por el organismo de certificación como se establece
en 9.1.2.3 para la auditoría.
9.2.2.1.2 Al decidir el tamaño y la composición del equipo auditor, se considerará lo siguiente:

derechos reservados
ISO/CEI 17021-1:2015(E)
a) objetivos de auditoría, alcance, criterios y tiempo estimado de auditoría;
b) si la auditoría es combinada, conjunta o integrada;
c) la competencia globaldel equipo de auditoría necesarios para lograr los objetivos de la auditoría (ver
Cuadro A.1);

derechos reservados
ISO/CEI 17021-1:2015(E)
d) requisitos de certificación (incluidos los requisitos legales, reglamentarios o contractuales

aplicables);
e) lenguaje y cultura.
NOTA Se espera que el líder del equipo de una auditoría integrada o combinada tenga un conocimiento profundo
de al menos uno de los estándares y un conocimiento de los otros estándares utilizados para esa auditoría en
particular.
9.2.2.1.3 Los conocimientos y habilidades necesarios del líder del equipo de auditoría y de los auditores
pueden complementarsepor expertos técnicos, traductores e intérpretes que actuarán bajo la dirección
de un auditor. Cuando se utilicen traductores o intérpretes, se seleccionarán de manera que no influyan
indebidamente en la auditoría.
NOTA Los criterios para la selección de expertos técnicos se determinan caso por caso según las necesidades del
equipo auditor y el alcance de la auditoría.
9.2.2.1.4 Los auditores en formación pueden participar en la auditoría, siempre que se designe a un
auditor como evaluador. El evaluador deberá ser competente para asumir las funciones y tener la
responsabilidad final de las actividades y hallazgos del auditor en formación.
9.2.2.1.5 El líder del equipo de auditoría, en consulta con el equipo de auditoría, deberá asignar a cada
miembro del equipo la responsabilidad de auditar procesos, funciones, sitios, áreas o actividades
específicos. Tales asignaciones tendrán en cuenta la necesidad de competencia y el uso eficaz y eficiente
del equipo de auditoría, así como las diferentes funciones y responsabilidades de los auditores, los
auditores en formación y los expertos técnicos. Se pueden realizar cambios en las asignaciones de
trabajo a medida que avanza la auditoría para garantizar el logro de los objetivos de la auditoría.
9.2.2.2 Observadores, expertos técnicos y guías.
9.2.2.2.1 observadores
La presencia y justificación de observadores durante una actividad de auditoría deberá ser acordada por
el organismo de certificación y el cliente antes de la realización de la auditoría. El equipo de auditoría se
asegurará de que los observadores no influyan o interfieran indebidamente en el proceso de auditoría o
en el resultado de la auditoría.
NOTALos observadores pueden ser miembros de la organización del cliente, consultores, organismo de
acreditación de testigos personal, reguladores u otras personas justificadas.
9.2.2.2.2 Expertos técnicos

El organismo de certificación y el cliente deben acordar el papel de los expertos técnicos durante una
actividad de auditoría antes de realizar la auditoría. Un experto técnico no actuará como auditor en el
equipo auditor. Los expertos técnicos irán acompañados de un auditor.
NOTA Los expertos técnicos pueden brindar asesoramiento al equipo de auditoría para la preparación, planificación o
auditoría.
9.2.2.2.3 Guías
Cada auditor deberá ir acompañado de una guía, a menos que el líder del equipo de auditoría y el cliente
acuerden lo contrario. Se asigna(n) guía(s) al equipo auditor para facilitar la auditoría. El equipo de
auditoría se asegurará de que las guías no influyan ni interfieran en el proceso de auditoría ni en el
resultado de la misma.
NOTA 1 Las responsabilidades de un guía pueden incluir:
a) establecer contactos y programar las entrevistas;

derechos reservados
ISO/CEI 17021-1:2015(E)
b) organizar visitas a partes específicas del sitio o de la organización;
c) asegurarse de que los miembros del equipo de auditoría conozcan y respeten las normas relativas a la seguridad
del sitio y los procedimientos de protección;
d) presenciar la auditoría en nombre del cliente;

derechos reservados
ISO/CEI 17021-1:2015(E)
e) proporcionar aclaraciones o información solicitada por un
auditor. NOTA2Dónde apropiado, el auditado también puede
actuar como guía.
9.2.3 Plan de auditoría
9.2.3.1 General
El organismo de certificación debe asegurarse de que se establezca un plan de auditoría antes de cada
auditoría identificada en la auditoría.programa para proporcionar la base para el acuerdo con respecto a la
realización y programación de las actividades de auditoría.
NOTA No se espera que un organismo de certificación desarrolle un plan de auditoría para cada auditoría en
el momento en que se desarrolle el programa de auditoría.
9.2.3.2 Preparación del plan de auditoría

El plan de auditoría deberá ser apropiado para los objetivos y el alcance de la auditoría. El plan de
auditoría deberá incluir o hacer referencia al menos a lo siguiente:
a) los objetivos de la auditoría;
b) los criterios de auditoría;
c) el alcance de la auditoría, incluida la identificación de las unidades o procesos organizativos y
funcionales que se auditarán;
d) las fechas y sitios donde se llevarán a cabo las actividades de auditoría in situ, incluidas las visitas a
los sitios temporales y las actividades de auditoría remota, cuando corresponda;
e) la duración prevista de las actividades de auditoría in situ;
f) las funciones y responsabilidades de los miembros del equipo de auditoría y las personas que los
acompañan, como observadores o intérpretes.
Nota la la información del plan de auditoría puede estar contenida en más de un documento.
9.2.3.3 Comunicación de las tareas del equipo de auditoría
Las tareas encomendadas al equipo auditor se definirán y requerirán que el equipo auditor:
a) examinar y verificar la estructura, las políticas, los procesos, los procedimientos, los registros y los
documentos relacionados del cliente relevantes para el estándar del sistema de gestión;
b) determinar que estos cumplan con todos los requisitos relevantes para el alcance previsto de la
certificación;
c) determinar que los procesos y procedimientos se establezcan, implementen y mantengan de
manera efectiva, para proporcionar una base de confianza en el sistema de gestión del cliente;
d) comunicar al cliente, para su actuación, cualquier incoherencia entre la política, los objetivos y las
metas del cliente.
9.2.3.4 Comunicación del plan de auditoría

Se comunicará el plan de auditoría y se acordarán las fechas de la auditoría, por adelantado, con el cliente.
9.2.3.5 Comunicación relativa a los miembros del equipo de auditoría

El organismo de certificación deberá proporcionar el nombre de cada miembro del equipo de auditoría y,
derechos reservados
ISO/CEI 17021-1:2015(E)
cuando así se le solicite, facilitar los antecedentes de cada uno de ellos, con tiempo suficiente para que el
cliente pueda oponerse a la

derechos reservados
ISO/CEI 17021-1:2015(E)
designación de cualquier miembro del equipo de auditoría en particular y para que el organismo de
certificación reconstituya el equipo en respuesta a cualquier objeción válida.
9.3 Certificación inicial
9.3.1 Auditoría de certificación inicial
9.3.1.1 General
La certificación inicialLa auditoría de un sistema de gestión debe realizarse en dos etapas: etapa 1 y etapa 2.
9.3.1.2 Nivel 1
9.3.1.2.1 La planificación debe garantizar que se puedan cumplir los objetivos de la etapa 1 y se debe
informar al cliente de cualquier actividad “en el sitio” durante la etapa 1.
NOTAEscenario 1 no requiere un plan de auditoría formal (ver9.2.3).
9.3.1.2.2 Los objetivos de la etapa 1 son:
a) revisar la información documentada del sistema de gestión del cliente;

b) evaluar las condiciones específicas del sitio del cliente y llevar a cabo discusiones con el personal del
cliente para determinar la preparación para la etapa 2;
c) revisar el estado y la comprensión del cliente con respecto a los requisitos de la norma, en particular
con respecto a la identificación de desempeño clave o aspectos significativos, procesos, objetivos y
operación del sistema de gestión;
d) obtener la información necesaria sobre el alcance del sistema de gestión, incluyendo:
— el(los) sitio(s) del cliente;
— procesos y equipos utilizados;
— niveles de controles establecidos (particularmente en el caso de clientes multisitio);
— requisitos legales y reglamentarios aplicables;
e) revisar la asignación de recursos para la etapa 2 y acordar los detalles de la etapa 2 con el cliente;
f) proporcionar un enfoque para la etapa 2 de planificación al obtener una comprensión suficiente del
sistema de gestión del cliente y las operaciones del sitio en el contexto del estándar del sistema de
gestión u otro documento normativo;
g) evaluar si las auditorías internas y la gestiónse están planificando y realizando revisiones, y que el
nivel de implementación del sistema de gestión corrobora que el cliente está listo para la etapa 2.
NOTASi al menos parte de la etapa 1 se lleva a cabo en las instalaciones del cliente, esto puede ayudar a lograr
los objetivos establecidos anteriormente.
9.3.1.2.3 Las conclusiones documentadas con respecto al cumplimiento de los objetivos de la etapa 1 y
la preparación para la etapa 2 se comunicarán al cliente, incluida la identificación de cualquier área de
preocupación que pueda clasificarse como no conformidad durante la etapa 2.
NOTAEl escenario 1 salida no necesita cumplir con todos los requisitos de un informe (ver9.4.8).
9.3.1.2.4 Al determinar el intervalo entre la etapa 1 y la etapa 2, se deben considerar las necesidades
del cliente para resolver las áreas de preocupación identificadas durante la etapa 1. El organismo de
certificación también puede
derechos reservados
ISO/CEI 17021-1:2015(E)
necesita revisar sus arreglos para el escenario2. Si se producen cambios significativos que afectarían al
sistema de gestión, el organismo de certificación deberá considerar la necesidad de repetir toda o parte
de la etapa 1. Se deberá informar al cliente que los resultados de la etapa 1 pueden dar lugar a la
postergación o cancelación de la etapa 2. .
9.3.1.3 Etapa 2
El propósito de la etapa 2 es evaluar la implementación, incluida la efectividad, del sistema de gestión
del cliente. La etapa 2 tendrá lugar en el(los) sitio(s) del cliente. Incluirá la auditoría de al menos lo
siguiente:
a) información y evidencia sobre la conformidad con todos los requisitos del estándar del sistema de
gestión aplicable u otros documentos normativos;
b) monitorear, medir, informar y revisar el desempeño con respecto a objetivos y metas de desempeño
clave (de acuerdo con las expectativas en el estándar del sistema de gestión aplicable u otro
documento normativo);
c) la capacidad del sistema de gestión del cliente y su rendimiento con respecto al cumplimiento de
los requisitos legales, reglamentarios y contractuales aplicables;
d) control operativo de los procesos del cliente;
e) auditoría interna y revisión de la gestión;
f) responsabilidad de la dirección de las pólizas del cliente.
9.3.1.4 Conclusiones de la auditoría de certificación inicial

El equipo de auditoría analizará toda la información y evidencia de auditoría recopilada durante la etapa
1 y la etapa 2 para revisar los hallazgos de la auditoría y acordar las conclusiones de la auditoría.
9.4 Realización de auditorías
9.4.1 General
El organismo de certificación deberá contar con un proceso para realizar auditorías in situ. Este proceso
incluirá una reunión de apertura al comienzo de la auditoría y una reunión de cierre al final de la
auditoría.
Cuando alguna parte de la auditoría se realice por medios electrónicos o cuando el sitio a auditar sea
virtual, el organismo de certificación se asegurará de que dichas actividades sean realizadas por
personal con la competencia adecuada. La evidencia obtenida durante dicha auditoría deberá ser
suficiente para permitir que el auditor tome una decisión informada sobre la conformidad del requisito
en cuestión.
NOTA Las auditorías “in situ” pueden incluir acceso remoto a sitios electrónicos que contienen información que es
relevante para la auditoría del sistema de gestión. También se puede considerar el uso de medios
electrónicos para realizar auditorías.
9.4.2 Realización de la reunión de apertura.

Se realizará una reunión formal de apertura con la dirección del cliente y, en su caso, con los
responsables de las funciones o procesos a auditar. El propósito de la reunión de apertura, generalmente
dirigida por el líder del equipo de auditoría, es brindar una breve explicación de cómo se llevarán a cabo
las actividades de auditoría. El grado de detalle deberá ser consistente con la familiaridad del cliente con
el proceso de auditoría y deberá considerar lo siguiente:
a) presentación de los participantes, incluido un resumen de sus funciones;
b) confirmación del alcance de la certificación;
derechos reservados
ISO/CEI 17021-1:2015(E)
c) confirmación del plan de auditoría (incluido el tipo y alcance de la auditoría, objetivos y criterios),
cualquier cambio y otros arreglos relevantes con el cliente, como la fecha y hora de la reunión de
cierre, reuniones intermedias entre el equipo de auditoría y la administración del cliente ;
d) confirmación de canales formales de comunicación entre el equipo de auditoría y el cliente;
e) confirmación de que los recursos y las instalaciones que necesita el equipo de
auditoría están disponibles;f)confirmación de cuestiones relativas a la confidencialidad;
g) confirmación de los procedimientos relevantes de seguridad, emergencia y seguridad en el trabajo para el
equipo de auditoría;
h) confirmación de la disponibilidad, roles e identidades de cualquier guía y observador;
i) el método de presentación de informes, incluida la calificación de los resultados de la auditoría;
j) información sobre las condiciones bajo las cuales la auditoría puede terminar prematuramente;
k) confirmación de que el líder del equipo de auditoría y el equipo de auditoría que representa al
organismo de certificación es responsable de la auditoría y debe tener el control de la ejecución del
plan de auditoría, incluidas las actividades de auditoría y los registros de auditoría;
l) confirmación del estado de los hallazgos de la revisión o auditoría anterior, si corresponde;
m) métodos y procedimientos que se utilizarán para realizar la auditoría basada en el muestreo;
n) confirmación del idioma que se utilizará durante la auditoría;
o) confirmación de que, durante la auditoría, se mantendrá informado al cliente sobre el progreso de la
auditoría y cualquier inquietud;
p) oportunidad para que el cliente haga preguntas.
9.4.3 Comunicación durante la auditoría
9.4.3.1 Durante la auditoría, el equipo de auditoría evaluará periódicamente el progreso de la

auditoría e intercambiará información. El líder del equipo de auditoría reasignará el trabajo según sea
necesario entre los miembros del equipo de auditoría y comunicará periódicamente el progreso de la
auditoría y cualquier inquietud al cliente.
9.4.3.2 Cuando la evidencia de auditoría disponible indique que los objetivos de la auditoría son
inalcanzables o sugiera la presencia de un riesgo inmediato y significativo (por ejemplo, seguridad), el
líder del equipo de auditoría debe informar esto al cliente y, si es posible, al organismo de certificación
para determinar la acción apropiada. . Dicha acción puede incluir la reconfirmación o modificación del
plan de auditoría, cambios en los objetivos de la auditoría o el alcance de la auditoría, o la finalización de
la auditoría. El líder del equipo de auditoría deberá informar el resultado de la acción tomada al
9.4.3.3 El líder del equipo auditor deberárevise con el cliente cualquier necesidad de cambios en el
alcance de la auditoría que se haga evidente a medida que avanzan las actividades de auditoría en el
sitio e informe esto al organismo de certificación.
9.4.4 Obtención y verificación de información.
9.4.4.1 Durante la auditoría, la información relevante para los objetivos, el alcance y los criterios de la
auditoría (incluida la información relacionada con las interfaces entre funciones, actividades y procesos)
se obtendrá mediante un muestreo apropiado y se verificará para que se convierta en evidencia de
auditoría.

derechos reservados
ISO/CEI 17021-1:2015(E)
9.4.4.2 Los métodos para obtener información incluirán, pero no se limitarán a:
a) entrevistas;
b) observación de procesos y actividades;

derechos reservados
ISO/CEI 17021-1:2015(E)
c) revisión de documentación y registros.
9.4.5 Identificar y registrar los resultados de la auditoría
9.4.5.1 Los hallazgos de la auditoría que resumen la conformidad y detallan la no conformidad deben
identificarse, clasificarsey registrado para permitir que se tome una decisión de certificación informada o
que se mantenga la certificación.
9.4.5.2 Las oportunidades de mejora pueden identificarse y registrarse, a menos que lo prohíban los
requisitos de un esquema de certificación del sistema de gestión. Sin embargo, los hallazgos de la
auditoría, que son no conformidades, no se registrarán como oportunidades de mejora.
9.4.5.3 Un hallazgo de disconformidad debe registrarse contra un requisito específico y debe contener
una declaración clara de la disconformidad, identificando en detalle la evidencia objetiva en la que se
basa la disconformidad. Las no conformidades se discutirán con el cliente para garantizar que la
evidencia sea precisa y que se entiendan las no conformidades. Sin embargo, el auditor se abstendrá de
sugerir la causa de las no conformidades o su solución.
9.4.5.4 El líder del equipo de auditoría intentará resolver cualquier opinión divergente entre el equipo
de auditoría y el cliente con respecto a la evidencia o los hallazgos de la auditoría, y se registrarán los
puntos no resueltos.
9.4.6 Preparación de conclusiones de auditoría
Bajo la responsabilidad del líder del equipo de auditoría y antes de la reunión de cierre, el equipo de
auditoría deberá:
a) revisar los hallazgos de la auditoría, y cualquier otra información apropiada obtenida durante la
auditoría, contra los objetivos y criterios de auditoría y clasificar las no conformidades;
b) acordar las conclusiones de la auditoría, teniendo en cuenta la incertidumbre inherente al proceso de
auditoría;
c) acordar cualquier acción de seguimiento necesaria;
d) confirmar la idoneidad del programa de auditoría o identificar cualquier modificación necesaria
para futuras auditorías (p. ej., alcance de la certificación, fecha o hora de la auditoría, frecuencia de
vigilancia, competencia del equipo de auditoría).
9.4.7 Realización de la reunión de clausura
9.4.7.1 Se realizará una reunión formal de cierre, en la que se hará constar la asistencia, con la
dirección del cliente y, en su caso, con los responsables de las funciones o procesos auditados. El
propósito de la reunión de cierre, generalmente dirigida por el líder del equipo de auditoría, es
presentar las conclusiones de la auditoría, incluida la recomendación sobre la certificación. Las no
conformidades se presentarán de manera que sean entendidas y se acordará el tiempo de respuesta.
NOTA“Entendido” no significa necesariamente que las no conformidades hayan sido aceptadas por el cliente.
9.4.7.2 La reunión de cierre también deberá incluir los siguientes elementos donde el grado de detalle
deberá ser consistente con la familiaridad del cliente con el proceso de auditoría:
a) informar al cliente que la evidencia de auditoría obtenida se basó en una muestra de la información;
introduciendo así un elemento de incertidumbre;
b) el método y el plazo de presentación de informes, incluida la calificación de los resultados de la
auditoría;
c) el proceso del organismo de certificación para manejar las no conformidades, incluidas las
derechos reservados
ISO/CEI 17021-1:2015(E)
consecuencias relacionadas con el estado de la certificación del cliente;
d) el plazo para que el cliente presente un plan de corrección y acción correctiva para cualquier no
conformidad identificada durante la auditoría;

derechos reservados
ISO/CEI 17021-1:2015(E)
e) las actividades posteriores a la auditoría del organismo de certificación;

f) información sobre los procesos de tramitación de quejas y apelaciones.
9.4.7.3 El cliente tendrá la oportunidad de hacer preguntas. Cualquier opinión divergente con
respecto a los hallazgos o conclusiones de la auditoría entre el equipo de auditoría y el cliente deberá ser
discutida y resuelta cuando sea posible. Cualquier opinión divergente que no se resuelva se registrará y
remitirá al organismo de certificación.
9.4.8 Informe de auditoría
9.4.8.1 El organismo de certificación deberá proporcionar un informe escrito para cada auditoría al
cliente. El equipo de auditoría puede identificar oportunidades de mejora, pero no recomendará
soluciones específicas. El organismo de certificación debe mantener la propiedad del informe de
auditoría.
9.4.8.2 El líder del equipo de auditoría se asegurará de que se prepare el informe de auditoría y será
responsable de su contenido. El informe de auditoría deberá proporcionar un registro preciso, conciso y
claro de la auditoría para permitir que se tome una decisión de certificación informada y deberá incluir o
hacer referencia a lo siguiente:
a) identificación del organismo de certificación;
b) el nombre y la dirección del cliente y del representante del cliente;
c) el tipo de auditoría (por ejemplo, auditoría inicial, de vigilancia o de recertificación o auditorías especiales);
d) los criterios de auditoría;
e) los objetivos de la auditoría;
f) el alcance de la auditoría, particularmente la identificación de las unidades organizacionales o
funcionales o los procesos auditados y el momento de la auditoría;
g) cualquier desviación del plan de auditoría y sus razones;
h) cualquier problema significativo que impacte en el programa de auditoría;
i) identificación del líder del equipo de auditoría, los miembros del equipo de auditoría y cualquier
acompañante;
j) las fechas y lugares donde se realizaron las actividades de auditoría (en el sitio o fuera del sitio,
sitios permanentes o temporales);
k) resultados de la auditoría (ver 9.4.5), referencia a evidencia y conclusiones, consistentes con los
requerimientos del tipo de auditoría;
l) cambios significativos, si los hubiere, que afecten el sistema de gestión del cliente desde que tuvo lugar la última
auditoría;
m) cualquier problema sin resolver, si se identifica;
n) en su caso, si la auditoría es combinada, conjunta o integrada;
o) una declaración de descargo de responsabilidad que indique que la auditoría se basa en un proceso
de muestreo de la información disponible;
p) recomendación del equipo auditor
q) el cliente auditado está controlando efectivamente el uso de los documentos y marcas de certificación, si
corresponde;

derechos reservados
ISO/CEI 17021-1:2015(E)
r) verificación de la efectividad de las acciones correctivas tomadas con respecto a las no
conformidades previamente identificadas, si corresponde.
9.4.8.3 El informe también contendrá:

derechos reservados
ISO/CEI 17021-1:2015(E)
a) una declaración sobre la conformidad y la eficacia del sistema de gestión junto con un resumen de
la evidencia relativa a:
— la capacidad del sistema de gestión para cumplir con los requisitos aplicables y los resultados
esperados;
— el proceso de auditoría interna y revisión de la gestión;
b) una conclusión sobre la idoneidad del alcance de la certificación;
c) confirmación de que se han cumplido los objetivos de la auditoría.
9.4.9 Análisis de causas de no conformidades

El organismo de certificación deberá exigir al cliente que analice la causa y describa la corrección
específica y las acciones correctivas tomadas, o planeadas para tomar, para eliminar las no
conformidades detectadas, dentro de un tiempo definido.
9.4.10 Efectividad de las correcciones y acciones correctivas

El organismo de certificación deberá revisar las correcciones, las causas identificadas y las acciones
correctivas enviadas por el cliente para determinar si son aceptables. El organismo de certificación
deberá verificar la efectividad de cualquier corrección y las acciones correctivas tomadas. Se registrarán
las evidencias obtenidas para sustentar la resolución de las no conformidades. El cliente será informado
del resultado de la revisión y verificación. Se informará al cliente si se necesitará una auditoría completa
adicional, una auditoría limitada adicional o evidencia documentada (que se confirmará durante
auditorías futuras) para verificar la corrección efectiva y las acciones correctivas.
NOTAVerificación de la efectividad de la corrección y la acción correctiva puede llevarse a cabo en base a
una revisión de la información documentada proporcionada por el cliente, o cuando sea necesario, a través de la
verificación en el sitio. Por lo general, esta actividad la realiza un miembro del equipo de auditoría.
9.5 Decisión de certificación
9.5.1 General
9.5.1.1 El organismo de certificación deberá asegurarse de que las personas o comités que toman las
decisiones para otorgar o denegar la certificación, ampliar o reducir el alcance de la certificación,
suspender o restaurar la certificación, retirar la certificación o renovar la certificación sean diferentes de
quienes realizaron las auditorías. La(s) persona(s) designada(s) para llevar a cabo la decisión de
certificación deberá tener la competencia adecuada.
9.5.1.2 Las personas)[excluyendo a los miembros de los comités (ver 6.1.4)] asignado por el
organismo de certificación para tomar una decisión de certificación deberá ser empleado por el
organismo de certificación o una entidad bajo el control organizacional del organismo de certificación, o
deberá estar bajo un acuerdo legalmente exigible con este. El control organizativo de un organismo de
certificación debe ser uno de los siguientes:
a) propiedad total o mayoritaria de otra entidad por parte del organismo de certificación;
b) participación mayoritaria del organismo de certificación en el directorio de otra entidad;
c) una autoridad documentada por el organismo de certificación sobre otra entidad en una red de
entidades legales (en la que reside el organismo de certificación), vinculadas por propiedad o
control de la junta directiva.
NOTA Para los organismos de certificación gubernamentales, se puede considerar que otras partes del mismo
gobierno están “vinculadas por propiedad” al organismo de certificación.
9.5.1.3 Las personas empleadas o bajo contrato con entidades bajo control organizacional deben
derechos reservados
ISO/CEI 17021-1:2015(E)
cumplir los mismos requisitos de esta parte de ISO/IEC 17021 que las personas empleadas o bajo
contrato con el organismo de certificación.

derechos reservados
ISO/CEI 17021-1:2015(E)
9.5.1.4 El organismo de certificación deberá registrar cada decisión de certificación, incluida

cualquier información o aclaración adicional solicitada al equipo auditor u otras fuentes.
9.5.2 Acciones previas a tomar una decisión

El organismo de certificación deberá tener un proceso para realizar una revisión efectiva antes de tomar
una decisión para otorgar la certificación, ampliar o reducir el alcance de la certificación, renovar,
suspender o restaurar, o retirar la certificación, incluyendo, que
a) la información proporcionada por el equipo de auditoría es insuficiente con respecto a los
requisitos de certificación y el alcance de la certificación;
b) para cualquier no conformidad mayor, ha revisado, aceptado y verificado la corrección y las
acciones correctivas;
c) para cualquier no conformidad menor, ha revisado y aceptado el plan del cliente para la corrección
y la acción correctiva.
9.5.3 Información para otorgar la certificación inicial
9.5.3.1 La información proporcionada por el equipo de auditoría al organismo de certificación para la

decisión de certificación deberá incluir, como mínimo:
a) el informe de auditoría;
b) comentarios sobre las no conformidades y, en su caso, las correcciones y acciones correctivas
realizadas por el cliente;
c) confirmación de la información proporcionada al organismo de certificación utilizada en la revisión
de la solicitud (ver 9.1.2);
d) confirmación de que se han logrado los objetivos de la auditoría;
e) son una recomendación para otorgar o no la certificación, junto con cualquier condición u observación.
9.5.3.2 Si el organismo de certificación no puede verificar la implementación de correcciones y

acciones correctivas de cualquier disconformidad mayor dentro de los 6 meses posteriores al último día
de la etapa 2, el organismo de certificación deberá realizar otra etapa 2 antes de recomendar la
certificación.
9.5.3.3 Cuando se prevé una transferencia de certificación de un organismo de certificacióna otro, el

organismo de certificación que acepta deberá tener un proceso para obtener información suficiente para
tomar una decisión sobre la certificación.
NOTA Los esquemas de certificación pueden tener reglas específicas con respecto a la transferencia de la certificación.
9.5.4 Información para otorgar la recertificación

El organismo de certificación deberá tomar decisiones sobre la renovación de la certificación con base
en los resultados de la auditoría de recertificación, así como los resultados de la revisión del sistema
durante el período de certificación y las quejas recibidas de los usuarios de la certificación.
9.6 Mantenimiento de la certificación
9.6.1 General
El organismo de certificación deberá mantener la certificación basada en la demostración de que el
cliente continúa satisfaciendo los requisitos del estándar del sistema de gestión. Puede mantener la
certificación de un cliente

derechos reservados
ISO/CEI 17021-1:2015(E)
sobre la base de una conclusión positiva del líder del equipo de auditoría sin una revisión y decisión
independientes adicionales, siempre que:
a) para cualquier no conformidad mayor u otra situación que pueda conducir a la suspensión o retiro
de la certificación, el organismo de certificación tiene un sistema que requiere que el líder del
equipo de auditoría informe al organismo de certificación la necesidad de iniciar una revisión por
parte del personal competente (ver7.2.8), distintos de quienes realizaron la auditoría, para
determinar si se puede mantener la certificación;
b) El personal competente del organismo de certificación supervisa sus actividades de vigilancia,
incluido el seguimiento de los informes de sus auditores, para confirmar que la actividad de
certificación está funcionando de manera eficaz.
9.6.2 Actividades de vigilancia
9.6.2.1 General
9.6.2.1.1 El organismo de certificación deberá desarrollar sus actividades de vigilancia de modo que
las áreas y funciones representativas cubiertas por el alcance del sistema de gestión sean monitoreadas
de manera regular y tome en cuenta los cambios en su cliente certificado y su sistema de gestión.
9.6.2.1.2 Las actividades de vigilancia deben incluir la auditoría in situ del cumplimiento de los
requisitos especificados del sistema de gestión del cliente certificado con respecto al estándar al que se
otorga la certificación. Otras actividades de vigilancia pueden incluir:
a) consultas del organismo de certificación al cliente certificado sobre aspectos de la certificación;

b) revisar las declaraciones de cualquier cliente certificado con respecto a sus operaciones (por
ejemplo, material promocional, sitio web);
c) solicitudes al cliente certificado para proporcionar información documentada (en papel o medios
electrónicos);
d) otros medios de monitorear el desempeño del cliente certificado.
9.6.2.2 Auditoria de vigilancia

Las auditorías de vigilancia son auditorías in situ, pero no son necesariamente auditorías del sistema
completo, y deben planificarse junto con otras actividades de vigilancia para que el organismo de
certificación pueda mantener la confianza de que el sistema de gestión certificado del cliente continúa
cumpliendo con los requisitos entre las auditorías de recertificación. Cada vigilancia para el estándar de
sistema de gestión pertinente deberá incluir:
a) auditorías internas y revisión de la gestión;
b) una revisión de las acciones tomadas sobre las no conformidades identificadas durante la auditoría
anterior;
c) manejo de quejas;
d) eficacia del sistema de gestión con respecto al logro de los objetivos del cliente certificado y los
resultados esperados del (los) sistema (s) de gestión respectivo (s);
e) progreso de las actividades planificadas encaminadas a la
mejora continua;f) continua control operacional;
g) revisión de cualquier cambio;
h) uso de marcas y/o cualquier otra referencia a la certificación.

derechos reservados
ISO/CEI 17021-1:2015(E)
9.6.3 Recertificación
9.6.3.1 Planificación de la auditoría de recertificación
9.6.3.1.1 El propósito de la auditoría de recertificación es confirmar la conformidad y eficacia

continuasdel sistema de gestión como un todo, y su continua relevancia y aplicabilidad para el alcance de
la certificación. Se debe planificar y realizar una auditoría de recertificación para evaluar el
cumplimiento continuo de todos los requisitos del estándar del sistema de gestión pertinente u otro
documento normativo. Esto se planificará y llevará a cabo a su debido tiempo para permitir la
renovación oportuna antes de la fecha de vencimiento del certificado.
9.6.3.1.2 La actividad de recertificación deberá incluir la revisión de los informes de auditoría de

vigilancia anteriores y considerar el desempeño del sistema de gestión durante el ciclo de certificación
más reciente.
9.6.3.1.3 Es posible que las actividades de auditoría de recertificación deban tener una etapa 1 en
situaciones en las que se hayan producido cambios significativos en el sistema de gestión, la
organización o el contexto en el que opera el sistema de gestión (por ejemplo, cambios en la legislación).
NOTATal pueden ocurrir cambios en cualquier momento durante el ciclo de certificación y es posible que el
organismo de certificación deba realizar una auditoría especial (ver9.6.4), que podría o no ser una auditoría en
dos etapas.
9.6.3.2 Auditoría de recertificación
9.6.3.2.1 La auditoría de recertificación deberá incluir una auditoría in situ que aborde lo siguiente:
a) la efectividad del sistema de gestión en su totalidad a la luz de los cambios internos y externos y su
continua relevancia y aplicabilidad al alcance de la certificación;
b) compromiso demostrado para mantener la eficacia y la mejora del sistema de gestión con el fin de
mejorar el rendimiento general;
c) la eficacia del sistema de gestión con respecto al logro de los objetivos del cliente certificado y los
resultados esperados del (los) sistema (s) de gestión respectivo (s).
9.6.3.2.2 Para cualquier no conformidad mayor, el organismo de certificación deberá definir los plazos
para la corrección y las acciones correctivas. Estas acciones deberán implementarse y verificarse antes
de la expiración de la certificación.
9.6.3.2.3 Cuando las actividades de recertificación se completan con éxito antes de la fecha de
vencimiento de la certificación existente, la fecha de vencimiento de la nueva certificación puede basarse
en la fecha de vencimiento de la certificación existente. La fecha de emisión de un nuevo certificado será
en o después de la decisión de recertificación.
9.6.3.2.4 Si el organismo de certificación no ha completado la auditoría de recertificación o el

organismo de certificación no puede verificar la implementación de correcciones y acciones correctivas
para cualquier disconformidad mayor (ver 9.5.2.1) antes de la fecha de vencimiento de la certificación,
entonces no se recomienda la recertificación. y la vigencia de la certificación no podrá prorrogarse. Se
informará al cliente y se explicarán las consecuencias.
9.6.3.2.5 Después de la expiración de la certificación, el organismo de certificación puede restablecer

la certificación dentro de los 6 meses, siempre que se completen las actividades de recertificación
pendientes; de lo contrario, se llevará a cabo al menos una etapa 2. La fecha de vigencia del certificado
será en o después de la decisión de recertificación y la fecha de vencimiento se basará en el ciclo de
certificación anterior.

derechos reservados
ISO/CEI 17021-1:2015(E)
9.6.4 Auditorías especiales
9.6.4.1 Alcance en expansión

El organismo de certificación deberá, en respuesta a una solicitud para ampliar el alcance de una
certificación ya otorgada, realizar una revisión de la solicitud y determinar las actividades de auditoría
necesarias para decidir si se puede otorgar o no la extensión. Esto puede llevarse a cabo junto con una
auditoría de vigilancia.
9.6.4.2 Auditorías a corto plazo

Puede ser necesario que el organismo de certificación realice auditorías de clientes certificados con poca
antelación o sin previo aviso para investigar quejas, o en respuesta a cambios, o como seguimiento de
clientes suspendidos. En esos casos:
a) el organismo de certificación deberá describir y dar a conocer por adelantado a los clientes
certificados (por ejemplo, en documentos como se describe en 8.5.1) las condiciones en las que se
realizarán dichas auditorías;
b) el organismo de certificación deberá ejercer un cuidado adicional en la asignación del equipo de
auditoría debido a la falta de oportunidad para que el cliente objete a los miembros del equipo de
auditoría.
9.6.5 Suspender, retirar o reducir el alcance de la certificación
9.6.5.1 El organismo de certificación deberá tener una política y procedimientos documentados para
la suspensión, retiro o reducción del alcance de la certificación, y deberá especificar las acciones
posteriores del organismo de certificación.
9.6.5.2 El organismo de certificación suspenderá la certificación en los casos en que, por ejemplo:
— el sistema de gestión certificado del cliente ha fallado persistente o gravemente en cumplir con los
requisitos de certificación, incluidos los requisitos para la eficacia del sistema de gestión;
— el cliente certificado no permite que se realicen auditorías de vigilancia o recertificación con la
frecuencia requerida;
— el cliente certificado ha solicitado voluntariamente una suspensión.
9.6.5.3 Bajo suspensión, la certificación del sistema de gestión del cliente no es válida temporalmente.
9.6.5.4 El organismo de certificación deberá restablecer la certificación suspendida si se ha resuelto el

problema que dio lugar a la suspensión. La falta de resolución de las cuestiones que hayan dado lugar a
la suspensión en el tiempo establecido por el organismo de certificación dará lugar a la retirada o
reducción del alcance de la certificación.
NOTA En la mayoría de los casos, la suspensión no excedería los seis meses.
9.6.5.5 El organismo de certificación deberá reducir el alcance de la certificación para excluir las
partes que no cumplan con los requisitos, cuando el cliente certificado haya fallado grave o
persistentemente en cumplir con los requisitos de certificación para esas partes del alcance de la
certificación. Cualquier reducción de este tipo deberá estar en línea con los requisitos de la norma
utilizada para la certificación.
9.7 Apelaciones
9.7.1 El organismo de certificación deberá tener un proceso documentado para recibir, evaluar y
tomar decisiones sobre apelaciones.
derechos reservados
ISO/CEI 17021-1:2015(E)
9.7.2 El organismo de certificación será responsable de todas las decisiones en todos los niveles del
proceso de manejo de apelaciones. El organismo de certificación deberá asegurarse de que las personas
involucradas en el proceso de manejo de apelaciones sean diferentes de las que realizaron las auditorías
y tomaron las decisiones de certificación.
9.7.3 La presentación, investigación y decisión de las apelaciones no dará lugar a ninguna acción
discriminatoria contra el apelante.
9.7.4 El proceso de manejo de apelaciones incluirá al menos los siguientes elementos y métodos:
a) un resumen del proceso para recibir, validar e investigar la apelación, y para decidir qué acciones
deben tomarse en respuesta a ella, teniendo en cuenta los resultados de apelaciones similares
anteriores;
b) rastrear y registrar las apelaciones, incluidas las acciones emprendidas para resolverlas;
c) asegurando que se tomen las correcciones y acciones correctivas apropiadas.
9.7.5 El organismo de certificación que reciba la apelación será responsable de recopilar y verificar
toda la información necesaria para validar la apelación.
9.7.6 El organismo de certificación acusará recibo de la apelación y proporcionará al apelante

informes de progreso y el resultado de la apelación.
9.7.7 La decisión a ser comunicada ael apelante deberá ser realizado o revisado y aprobado por
individuos que no hayan estado involucrados previamente en el tema de la apelación.
9.7.8 El organismo de certificación deberá dar aviso formal al apelante de la finalización del proceso
de manejo de apelaciones.
9.8 Quejas
9.8.1 El organismo de certificación será responsable de todas las decisiones en todos los niveles del
proceso de manejo de quejas.
9.8.2 La presentación, investigación y decisión de las denuncias no dará lugar a ninguna acción
discriminatoria contra el denunciante.
9.8.3 Al recibir una queja, el organismo de certificación deberá confirmar si la queja se relaciona con
las actividades de certificación de las que es responsable y, de ser así, deberá tratarla. Si la queja se
relaciona con un cliente certificado, el examen de la queja deberá considerar la efectividad del sistema
de gestión certificado.
9.8.4 Cualquier queja válida sobre un cliente certificado también deberá ser remitida por el
organismo de certificación al cliente certificado en cuestión en el momento adecuado.
9.8.5 El organismo de certificación deberá tener un proceso documentado para recibir, evaluar y
tomar decisiones sobre las quejas. Este proceso estará sujeto a requisitos de confidencialidad, en lo que
se refiere al denunciante y al objeto de la denuncia.
9.8.6 El proceso de tramitación de quejas deberá incluir al menos los siguientes elementos y métodos:
a) un resumen del proceso para recibir, validar, investigar la queja y decidir qué acciones deben
tomarse en respuesta a ella;
b) rastrear y registrar quejas, incluidas las acciones emprendidas en respuesta a ellas;
derechos reservados
ISO/CEI 17021-1:2015(E)
c) asegurando que se tomen las correcciones y acciones correctivas apropiadas.

derechos reservados
ISO/CEI 17021-1:2015(E)
NOTAISO 10002 proporciona orientación para el manejo de quejas.
9.8.7 El organismo de certificación que reciba la denuncia será responsable de recopilar y verificar
toda la información necesaria para validar la denuncia.
9.8.8 Siempre que sea posible, el organismo de certificación acusará recibo de la denuncia y
proporcionará al denunciante informes de progreso y el resultado de la denuncia.
9.8.9 La decisiónque se comunicará al denunciante deberá ser realizado o revisado y aprobado por
personas que no hayan estado involucradas previamente en el tema de la denuncia.
9.8.10 Siempre que sea posible, el organismo de certificación deberá dar aviso formal del final del
proceso de manejo de quejas al reclamante.
9.8.11 El organismo de certificación deberá determinar, junto con el cliente certificado y el

denunciante, si y, en caso afirmativo, en qué medida, el objeto de la denuncia y su resolución deben
hacerse públicos.
9.9 Registros de clientes
9.9.1 El organismo de certificación deberá mantener registros sobre la auditoría y otras actividades de
certificación para todos los clientes, incluidas todas las organizaciones que presentaron solicitudes y
todas las organizaciones auditadas, certificadas o con la certificación suspendida o retirada.
9.9.2 Los registros de los clientes certificados incluirán lo siguiente:
a) información de la solicitud e informes de auditoría inicial, de seguimiento y de recertificación;

b) acuerdo de certificación;
c) justificación de la metodología utilizada para el muestreo de sitios, según corresponda;
NOTAMetodología de muestreo incluye el muestreo empleado para auditar el sistema de gestión específico
y/o para seleccionar sitios en el contexto de la auditoría de sitios múltiples.
d) justificación para la determinación del tiempo del auditor (ver 9.1.4);

e) verificación de corrección y acciones correctivas;
f) registros de quejas y apelaciones, y cualquier corrección o acción correctiva posterior;
g) deliberaciones y decisiones del comité, si corresponde;
h) documentación de las decisiones de certificación;
i) documentos de certificación, incluido el alcance de la certificación con respecto al producto,
proceso o servicio, según corresponda;
j) registros relacionados necesarios para establecer la credibilidad de la certificación, tales como
evidencia de la competencia de los auditores y expertos técnicos;
k) programas de auditoría.
9.9.3 El organismo de certificación deberá mantener seguros los registros de los solicitantes y clientes
para garantizar que la información se mantenga confidencial. Los registros se transportarán,
transmitirán o transferirán de manera que se garantice el mantenimiento de la confidencialidad.

derechos reservados
ISO/CEI 17021-1:2015(E)
9.9.4 El organismo de certificación deberá tener una política documentada y procedimientos

documentados sobre la retención de registros. Los registros de clientes certificados y clientes
previamente certificados se conservarán durante el ciclo actual más un ciclo de certificación completo.
NOTA En algunas jurisdicciones, la ley estipula que los registros deben conservarse durante un período de tiempo más largo.
10 Requisitos del sistema de gestión para los organismos de certificación
10.1 Opciones
El organismo de certificación debe establecer, documentar, implementar y mantener un sistema de
gestión que sea capaz de respaldar y demostrar el logro consistente de los requisitos de esta parte de
ISO/IEC 17021. Además de cumplir con los requisitos deCláusulas 5 para9, el organismo de certificación
deberá implementar un sistema de gestión de acuerdo con:
a) requisitos generales del sistema de gestión (ver 10.2); o
b) requisitos del sistema de gestión de acuerdo con ISO 9001 (ver 10.3).
10.2 Opción A: Requisitos generales del sistema de gestión
10.2.1 General
El organismo de certificación debe establecer, documentar, implementar y mantener un sistema de
gestión que sea capaz de respaldar y demostrar el logro constante de los requisitos de esta parte de la
norma ISO/IEC 17021.
La alta dirección del organismo de certificación deberá establecer y documentar políticas y objetivos
para sus actividades. La alta dirección deberá proporcionar evidencia de su compromiso con el
desarrollo e implementación del sistema de gestión de acuerdo con los requisitos de esta parte de
ISO/IEC 17021. La alta dirección deberá asegurarse de que las políticas se comprendan, implementen y
mantengan en todos los niveles de la organización del organismo de certificación.
La alta dirección del organismo de certificación deberá asignar responsabilidad y autoridad para:
a) garantizar que se establezcan, implementen y mantengan los procesos y procedimientos necesarios
para el sistema de gestión;
b) informar a la alta dirección sobre el rendimiento del sistema de gestión y cualquier necesidad de
mejora.
10.2.2 manual de sistema de gestion

Todos los requisitos aplicables de esta parte de la Norma ISO/IEC 17021 deben abordarse en un manual
o en documentos asociados. El organismo de certificación se asegurará de que el manual y los
documentos asociados pertinentes sean accesibles para todo el personal pertinente.
10.2.3 Control de documentos

El organismo de certificación deberá establecer procedimientos para controlar los documentos (internos
y externos) relacionados con el cumplimiento de esta parte de la norma ISO/IEC 17021. Los
procedimientos deberán definir los controles necesarios para:
a) aprobar la adecuación de los documentos antes de su emisión;
b) revisar y actualizar cuando sea necesario y volver a aprobar los documentos;
c) asegurarse de que se identifiquen los cambios y el estado de revisión actual de los documentos;
d) asegurar que las versiones relevantes de los documentos aplicables estén disponibles en los puntos de uso;
derechos reservados
ISO/CEI 17021-1:2015(E)
e) asegurarse de que los documentos permanezcan legibles y fácilmente identificables;

f) velar por que se identifiquen los documentos de origen externo y se controle su distribución;
g) prevenir el uso no intencionado de documentos obsoletos, y aplicarles una identificación adecuada
si se conservan para cualquier propósito.
NOTADocumentación puede ser en cualquier forma o tipo de medio.
10.2.4 Control de registros

El organismo de certificación deberá establecer procedimientos para definir los controles necesarios
para la identificación, almacenamiento, protección, recuperación, tiempo de retención y disposición de
sus registros relacionados con el cumplimiento de esta parte de la norma ISO/IEC 17021.
El organismo de certificación deberá establecer procedimientos para conservar registros durante un
período consistente con sus obligaciones contractuales y legales. El acceso a estos registros deberá ser
consistente con los arreglos de confidencialidad.
NOTAPara requisitos para los registros de clientes certificados, véase también9.9.
10.2.5 Revisión de gestión
10.2.5.1 General
La alta dirección del organismo de certificación debe establecer procedimientos para revisar su sistema
de gestión a intervalos planificados para garantizar su idoneidad, adecuación y eficacia continuas,
incluidas las políticas y los objetivos declarados relacionados con el cumplimiento de esta parte de la
norma ISO/IEC 17021. Estas revisiones se deben realizar al menos una vez al año.
10.2.5.2 Revisar entradas
La entrada a la revisión por la dirección deberá incluir información relacionada con:

a) resultados de auditorías internas y externas;
b) retroalimentación de clientes y partes interesadas;
c) salvaguardar la imparcialidad;
d) el estado de las acciones correctivas;
e) el estado de las acciones para abordar los riesgos;
f) acciones de seguimiento de revisiones de gestión anteriores;
g) el cumplimiento de objetivos;
h) cambios que pudieran afectar el sistema de gestión;
i) apelaciones y quejas.
10.2.5.3 Revisar los resultados
Los resultados de la revisión por la dirección incluirán decisiones y acciones relacionadas con
a) mejora de la eficacia del sistema de gestión y sus procesos;
b) mejora de los servicios de certificación relacionados con el cumplimiento de esta parte de la norma
ISO/IEC 17021;
c) necesidades de recursos;

derechos reservados
ISO/CEI 17021-1:2015(E)
d) revisiones de la política y los objetivos de la organización.
10.2.6 Auditorías internas
10.2.6.1 El organismo de certificación debe establecer procedimientos para auditorías internas para
verificar que cumple con los requisitos de esta parte de ISO/IEC 17021 y que el sistema de gestión se
implementa y mantiene de manera efectiva.
NOTA ISO 19011 proporciona pautas para realizar auditorías internas.
10.2.6.2 Se debe planificar un programa de auditoría, teniendo en cuentala importancia de los procesos
y áreas a auditar, así como los resultados de auditorías anteriores.
10.2.6.3 Las auditorías internas se realizarán al menos una vez cada 12 meses. La frecuencia de las
auditorías internas puede reducirse si el organismo de certificación puede demostrar que su sistema de
gestión continúa implementándose de manera efectiva de acuerdo con esta parte de la norma ISO/IEC
17021 y tiene una estabilidad comprobada.
10.2.6.4 El organismo de certificación se asegurará de que:

a) las auditorías internas son realizadas por personal competente con conocimientos en certificación,
auditoría y los requisitos de esta parte de ISO/IEC 17021;
b) los auditores no auditan su propio trabajo;
c) el personal responsable del área auditada es informado del resultado de la auditoría;
d) cualquier acción resultante de las auditorías internas se toma de manera oportuna y adecuada;
e) se identifican las oportunidades de mejora.
10.2.7 Acciones correctivas

El organismo de certificación deberá establecer procedimientos para la identificación y gestión de las no
conformidades en sus operaciones. El organismo de certificación también deberá, cuando sea necesario,
tomar acciones para eliminar las causas de las no conformidades a fin de evitar que se repitan. Las
acciones correctivas serán apropiadas al impacto de los problemas encontrados. Los procedimientos
definirán los requisitos para:
a) identificar no conformidades (por ejemplo, de quejas válidas y auditorías internas);
b) determinar las causas de la no conformidad;
c) corrección de no conformidades;
d) evaluar la necesidad de acciones para asegurar que las no conformidades no se repitan;
e) determinar e implementar en forma oportuna, las acciones
necesarias;f) grabación los resultados de las acciones tomadas;
g)revisar la efectividad de las acciones correctivas.
10.3 Opción B: Requisitos del sistema de gestión de acuerdo con ISO 9001
10.3.1 General
El organismo de certificación debe establecer y mantener un sistema de gestión, de acuerdo con los
requisitos de la norma ISO 9001, que sea capaz de respaldar y demostrar el cumplimiento constante de
los requisitos de esta parte de la norma ISO/IEC 17021, ampliados por10.3.2 para10.3.4.
derechos reservados
ISO/CEI 17021-1:2015(E)
10.3.2 Alcance
Para la aplicación de los requisitos de la norma ISO 9001, el alcance del sistema de gestión deberá incluir
los requisitos de diseño y desarrollo de sus servicios de certificación.
10.3.3 Enfoque en el cliente

Para la aplicación de los requisitos de ISO 9001, al desarrollar su sistema de gestión, el organismo de
certificación deberá considerar la credibilidad de la certificación y deberá abordar las necesidades de
todas las partes (como se establece en4.1.2) que confían en sus servicios de auditoría y certificación, no
solo en sus clientes.
10.3.4 Revisión de gestión

Para la aplicación de los requisitos de la norma ISO 9001, el organismo de certificación deberá incluir
como entrada para la revisión de la gestión, información sobre las apelaciones y quejas relevantes de los
usuarios de las actividades de certificación y una revisión de la imparcialidad.

derechos reservados
ISO/CEI 17021-1:2015(E)
Anexo A
(normativo)
Conocimientos y habilidades requeridos
A.1 General
Cuadro A.1 especifica el conocimiento y las habilidades que un organismo de certificación debe definir
para funciones de certificación específicas. “X” indica que el organismo de certificación deberá definir los
criterios y la profundidad de los conocimientos y habilidades. Los requisitos de conocimientos y
habilidades especificados enCuadro A.1 se explican con más detalle en el texto que sigue a la tabla y
están referenciados por el número entre paréntesis.
Tabla A.1 — Tabla de conocimientos y habilidades

Funciones de
certificación
Llevar a cabo la revisión
Conocimientos y habilidades de la solicitud para
determinar la Revisar informes de
Auditoría y
competencia requerida auditoría y tomar
dirección del
del equipo de auditoría, decisiones de
equipo de auditoría
para seleccionar a los certificación
miembros del equipo de
auditoría y para
determinar el tiempo de
auditoría.
Conocimientos de gestión X (ver A.2.1)
empresarial.prácticas
Conocimientode principios, X (ver A.3.1) X (ver A.2.2)
prácticas y técnicas de auditoría
Conocimiento de los X (ver A.4.1) X (ver A.3.2) X (ver A.2.3)
estándares/documentos
normativos específicos del sistema
de gestión.
Conocimiento de los procesos del X (ver A.4.2) X (ver A.3.3) X (ver A.2.4)
Conocimiento del sector de negocio X (ver A.4.3) X(verA.3.4) X (ver A.2.5)
del cliente.
Conocimiento de los productos, X (ver A.4.4) X (ver A.2.6)
procesos y organización del cliente
Habilidades lingüísticas apropiadas X (ver A.2.7)
para todos los niveles dentro de la
organización del cliente
Habilidades para tomar notas y X (ver A.2.8)
redactar informes
Habilidades de presentación X (ver A.2.9)
Habilidades de entrevista X (verA.2.10)
Habilidades de gestión de auditoría X (verA.2.11)
NOTA El riesgo y la complejidad son otras consideraciones al decidir el nivel de experiencia necesario para cualquiera de estas
funciones.
derechos reservados
ISO/CEI 17021-1:2015(E)
A.2 Requisitos de competencia para los auditores de sistemas de gestión
A.2.1 Conocimiento de las prácticas de gestión empresarial.

Conocimiento de los tipos generales de organización, tamaño, gobernanza, estructura y prácticas en el
lugar de trabajo, sistemas de información y datos, sistemas de documentación y tecnología de la
información.

derechos reservados
ISO/CEI 17021-1:2015(E)
A.2.2 Conocimiento de los principios, prácticas y técnicas de auditoría.

Conocimiento de los principios, prácticas y técnicas genéricos de auditoría de sistemas de gestión, como
se especifica en esta norma, suficiente para realizar auditorías de certificación y evaluar los procesos de
auditoría interna.
A.2.3 Conocimiento de estándares/documentos normativos específicos del sistema de

gestión.
El conocimiento del estándar del sistema de gestión u otros documentos normativos que se especifican
para la certificación es suficiente para determinar si se ha implementado de manera efectiva y cumple
con los requisitos.
A.2.4 Conocimiento de los procesos del organismo de certificación.

Conocimiento de los procesos de un organismo de certificación suficiente para desempeñarse de
acuerdo con los procedimientos y procesos del organismo de certificación.
A.2.5 Conocimiento del sector de negocio del cliente.

Conocimiento de la terminología, las prácticas y los procesos comunes al sector comercial de un cliente
suficiente para comprender las expectativas del sector en el contexto del estándar del sistema de gestión
u otro documento normativo.
NOTA Se entiende por sector empresarial las actividades económicas (por ejemplo, servicios aeroespaciales,
químicos, financieros).
A.2.6 Conocimiento de los productos, procesos y organización del cliente.

Conocimiento relacionado con los tipos de productos o procesos de un cliente suficiente para
comprender cómo puede operar dicha organización y cómo la organización puede aplicar los requisitos
del estándar del sistema de gestión u otro documento normativo relevante.
A.2.7 Habilidades lingüísticas apropiadas para todos los niveles dentro de la

organización del cliente
Capaz de comunicarse efectivamente con personas en cualquier nivel de una organización utilizando
términos, expresiones y discursos apropiados.
A.2.8 Habilidades para tomar notas y redactar informes

Capaz de leer y escribir con suficiente velocidad, precisión y comprensión para registrar, tomar notas y
comunicar de manera efectiva los hallazgos y conclusiones de la auditoría.
A.2.9 Habilidades de presentación

Capaz de presentar hallazgos y conclusiones de auditoría para que sean fácilmente comprensibles. Para
el líder del equipo, presentar en un foro público (p. ej., una reunión de clausura) los hallazgos,
conclusiones y recomendaciones de la auditoría apropiados para la audiencia.
A.2.10 Habilidades de entrevista

Capaz de entrevistar para obtener información relevante haciendo preguntas abiertas y bien
formuladas y escuchando para comprender y evaluar las respuestas.
A.2.11 Habilidades de gestión de auditoría

Capaz de realizar y gestionar una auditoría para lograr los objetivos de auditoría dentro del plazo
acordado. Para el líder del equipo, capaz de facilitar reuniones para el intercambio efectivo de
información y capaz de realizar asignaciones o reasignaciones cuando sea necesario.

derechos reservados
ISO/CEI 17021-1:2015(E)
A.3 Requisitos de competencia para el personal que revisa los informes de

auditoría y toma decisiones de certificación
Las funciones de este personal podrán ser cumplidas por una o más personas.
A.3.1 Conocimiento de los principios, prácticas y técnicas de auditoría.

Conocimiento de los principios, prácticas y técnicas genéricos de auditoría de sistemas de gestión, como
se especifica en esta norma, suficiente para comprender un informe de auditoría de certificación.
A.3.2 Conocimiento de estándares/documentos normativos específicos del sistema de gestión.

El conocimiento del estándar del sistema de gestión u otros documentos normativos que se especifican para la
certificación es suficiente para tomar una decisión sobre la base de un informe de auditoría de certificación.

Conocimiento de los procesos de un organismo de certificación suficiente para determinar si se han
cumplido las expectativas del organismo de certificación sobre la base de la información enviada para
su revisión.

Conocimiento de la terminología, las prácticas y los procesos comunes al sector comercial de un cliente,
suficiente para comprender un informe de auditoría en el contexto del estándar del sistema de gestión u otro
documento normativo.
A.4 Requisitos de competencia para el personal que realiza la revisión de la

solicitud para determinar la competencia requerida del equipo de auditoría,
para seleccionar a los miembros del equipo de auditoría y para determinar el
tiempo de auditoría
Las funciones de este personal podrán ser cumplidas por una o más personas.
A.4.1 Conocimiento de estándares/documentos normativos específicos del sistema de gestión.

Conocimiento de qué estándar de sistema de gestión u otros documentos normativos se especifican para la
certificación.

Conocimiento de los procesos de un organismo de certificación suficiente para asignar miembros competentes
del equipo de auditoría y determinar con precisión el tiempo de auditoría.

Conocimiento de la terminología, las prácticas y los procesos comunes al sector comercial de un cliente,
suficiente para asignar miembros competentes del equipo de auditoría y determinar con precisión el
tiempo de auditoría.
A.4.4 Conocimiento de los productos, procesos y organización del cliente.

Conocimiento relacionado con los tipos de productos o procesos de un cliente suficiente para asignar
miembros competentes del equipo de auditoría y determinar con precisión el tiempo de auditoría.

derechos reservados
ISO/CEI 17021-1:2015(E)
Anexo B
(informativo)
Posibles métodos de evaluación
B.1 General
Este anexo proporciona ejemplos de métodos de evaluación como ayuda para los organismos de
certificación.
Los métodos para evaluar la competencia de los individuos se pueden agrupar en cinco categorías
principales: revisión de registros, retroalimentación, entrevistas, observaciones y exámenes. Estos
pueden subdividirse aún más. La siguiente es una breve descripción de cada método y su utilidad y
limitaciones para evaluar conocimientos y habilidades. Es poco probable que cualquier método por sí
solo confirme la competencia.
Los métodos descritos enCláusulas B.2 paraB.6 puede proporcionar información útil sobre
conocimientos y habilidades; son más efectivos cuando están diseñados para ser utilizados con criterios
de competencia especificados como resultado del proceso de determinación de competencia
especificado en7.1.2 y7.1.3.
Un ejemplo de un flujo de proceso para determinar y mantener la competencia se da enAnexo C.
B.2 Revisión de registros

Algunos registros son indicadores de conocimiento, como un currículum o currículum vitae que muestre
experiencia laboral, experiencia en auditoría, educación y capacitación.
Algunos registros son indicadores de habilidades, como informes de auditoría, registros de experiencia
laboral, experiencia en auditoría, educación y capacitación.
Tales registros por sí solos probablemente no sean evidencia suficiente de competencia.
Otros registros son evidencia directa de la demostración de competencia, como un informe de evaluación
del desempeño de un auditor que realiza una auditoría.
B.3 Realimentación
La retroalimentación directa de empleadores anteriores puede ser un indicador de conocimientos y
habilidades, pero es importante tener en cuenta que a veces los empleadores excluyen específicamente la
información negativa.
Las referencias personales pueden ser un indicador de conocimientos y habilidades. Es poco probable que
un candidato proporcione una referencia personal que proporcione información negativa.
La retroalimentación de los compañeros puede ser un indicador de conocimientos y habilidades. Tal
retroalimentación puede verse influenciada por la relación entre los pares.
La retroalimentación de los clientes puede ser un indicador de conocimientos y habilidades. Para un
auditor, la retroalimentación puede verse influenciada por los resultados de la auditoría.
La retroalimentación por sí sola no es una prueba satisfactoria de competencia.
B.4 Entrevistas
derechos reservados
ISO/CEI 17021-1:2015(E)
Las entrevistas pueden ser útiles para obtener información sobre conocimientos y habilidades.

derechos reservados
ISO/CEI 17021-1:2015(E)
Las entrevistas de empleo pueden ser útiles para ampliar la información de los currículos y la
experiencia laboral anterior con respecto a los conocimientos y habilidades.
Las entrevistas como parte de las revisiones de desempeño pueden proporcionar información específica sobre
conocimientos y habilidades.
Una entrevista de un equipo de auditoría para una revisión posterior a la auditoría puede proporcionar
información útil sobre el conocimiento y las habilidades de un auditor. Brinda la oportunidad de
comprender por qué un auditor tomó decisiones específicas, seleccionó pistas de auditoría específicas,
etc. Esta técnica puede usarse después de una auditoría observada y también puede usarse más adelante
al considerar el informe de auditoría escrito. Esta técnica puede ser particularmente útil para
determinar la competencia relativa a un área técnica específica.
La evidencia directa de demostración de competencia se puede lograr mediante una entrevista
estructurada con registros apropiados contra criterios de competencia especificados.
Las entrevistas se pueden utilizar para evaluar el lenguaje, la comunicación y las habilidades interpersonales.
B.5 Observaciones
Observar a una persona realizando una tarea puede proporcionar evidencia directa de competencia
como aplicación demostrada de conocimientos y habilidades para lograr un resultado deseado. Este
método de evaluación es útil para todas las funciones, personal administrativo y de gestión, así como
para auditores y tomadores de decisiones de certificación. Una limitación de observar a un auditor
realizando una auditoría es el grado de desafío que presenta la auditoría específica.
La observación periódica de una persona es útil para confirmar la competencia continua.
B.6 Exámenes
Los exámenes escritos pueden proporcionar pruebas buenas y bien documentadas de los conocimientos
y, según los métodos, también de las habilidades.
El examen oral puede proporcionar una buena evidencia de conocimiento (dependiendo de la
competencia del examinador) y resultados limitados sobre las habilidades.
Los exámenes prácticos pueden proporcionar un resultado equilibrado en cuanto a conocimientos y
habilidades, según el proceso de examen y la competencia del examinador. Los ejemplos de métodos
incluyen juegos de roles, estudios de casos, simulación de estrés y situaciones en el trabajo.

derechos reservados
ISO/CEI 17021-1:2015(E)
Anexo C
(informativo)
Ejemplo de un flujo de proceso para determinar y

mantener la competencia
El flujo del proceso enFigura C.1 muestra una forma de determinar la competencia del personal
mediante la identificación de las tareas específicas que deben completarse; identificar el conocimiento
específico y la habilidad necesaria para lograr el resultado previsto. El flujo del proceso utiliza los
métodos descritos enAnexo B.

derechos reservados
ISO/CEI 17021-1:2015(E)
Identificar Establec
competencia
funcio no er
Inducción Demostración evaluación de
criterios
nes para (si es de habilidades y
cada
dentro necesario) conocimiento conocimientos
función
del sy
habilidades
organi
smo
Esta Brecha
de
certific
blec
- Conocimiento PDCA
er
- Habilidades
ación - Experiencia
no
Rev sí ¿B
isar ue
n
pa m
rti it
do tt
experto técnico ? sí
nor t a
no e B
e
s
hhh
Treal ¿S tt
academia ati tl
de bellas sf l
artesno Inooortre
rten te Ino
treI rten
In ac
ooorrtrtetee Criterios o
no m imiF no tor v
gramo i FFFFFFm m i basados
io
Fm miiC C ItiI vm miii ?
m iC m en riesgo i
Se ?
cto Identificar la
estableci e
capacidad sí n
r dos
es PDCA actual del d
pe personal actualización o
cífi de habilidades ggg
no
Contratar
co Co sí ¿S prácticas? sí rrr
auditorre e aaa
qu
especialista o
mp cu mmm
eri ete m ooo T
nte pli
mi
er // r
ent
on / a
IIIshhh
mitttaBoel sí
Re los satiIsfact h
o d
em
no
esDtttr ent visi crit ortuygramo
tu gramorr
tpagspag
u D
D ón eri no
aaIInortenorte m u
D os sí os
eveloppp
spá peri b
r ci
? ?
g.r aaagggsss ódi
eal estp tppaaaggg ca e d
ac sss s
de
ad og
oogoF raFFm ssskkkIIyo
Co t o
oyoama o d
em I yoyoyosyoss?? mp
me
ia e
n el
¿ ? ete
de nci
Bre sí
bel g i
cha as
PDC r
a n
ide las
ntifi art A m g
cad es
o
a? De ppp lé
ngr aaa
am y ggg s
o e sss a
s R l
mi
miFFFFm
iFm
mii o
g e
no FFF
CttIve?
? mit
ttB r s
a
m p
Tainíng
gra IIIs
mo hhh
ttt o a
aaa
m ñ
ai mm
ní
ng g
aaa
m
o
mm
eee l -
ra
m
w oppp
aaaggg
w sss
w g
R
ogg
Figura C.1 — Ejemplo de un flujo de proceso para determinar y mantener la competencia
. rraraa
o mm m
ooo
n a
li m
a
n m
e
e
d
o
© ISO/IEC 2015 – Todos los c 45
derechos reservados tr
a
ISO/CEI 17021-1:2015(E)
Anexo D
(informativo)
comportamiento personal deseado
A continuación se describen ejemplos de comportamiento personal que son importantes para el

personal involucrado en actividades de certificación para cualquier tipo de sistema de gestión:
a) ético, es decir, justo, veraz, sincero, honesto y discreto;
b) de mente abierta, es decir, dispuesto a considerar ideas o puntos de vista alternativos;
c) diplomático, es decir, discreto en el trato con la gente;
d) colaborativo, es decir, interactuando efectivamente con otros;
e) observador, es decir, activamente consciente del entorno físico y las actividades;
f) perceptivo, es decir, instintivamente consciente y capaz de comprender situaciones;
g) versátil, es decir, se adapta fácilmente a diferentes situaciones;
h) tenaz, es decir, persistente y enfocado en el logro de objetivos;
i) decisivo, es decir, llega a conclusiones oportunas basadas en razonamiento y análisis lógicos;
j) autosuficiente, es decir, actúa y funciona de forma independiente;
k) profesional, es decir, mostrar una conducta cortés, concienzuda y generalmente profesional en el
lugar de trabajo;
l) moralmente valiente, es decir, dispuesto a actuar de manera responsable y ética, aunque estas
acciones no siempre sean populares y, en ocasiones, puedan dar lugar a desacuerdos o
confrontaciones;
m) organizado, es decir, exhibiendo una gestión eficaz del tiempo, priorización, planificación y eficiencia.
La determinación del comportamiento es situacional y las debilidades solo pueden manifestarse en un
contexto específico. El organismo de certificación debe tomar las medidas apropiadas para cualquier
debilidad identificada que afecte negativamente a la actividad de certificación.

derechos reservados
ISO/CEI 17021-1:2015(E)
Anexo E
(informativo)
Proceso de auditoría y certificación
Figura E.1 representa un flujo de proceso típico. Se pueden realizar otras actividades de auditoría, por
ejemplo, revisión de documentos y auditorías especiales. Para conocer la diferencia entre el ciclo de
auditoría y el ciclo de certificación, consulte9.2 y9.3.

derechos reservados
ISO/CEI 17021-1:2015(E)
Figura E.1 — Flujo de proceso típico para el proceso de auditoría y certificación

derechos reservados
ISO/CEI 17021-1:2015(E)
Bibliografía
[1] ISO 9001, Sistemas de gestión de la calidad — Requisitos

[2] ISO 10002, Gestión de la calidad. Satisfacción del cliente. Directrices para el tratamiento de
quejas en las organizaciones.
[3] ISO 14001, Sistemas de gestión ambiental. Requisitos con orientación para su uso.
[4] ISO/IEC TS 17021-2, Evaluación de la conformidad. Requisitos para los organismos que
brindan auditoría y certificación de sistemas de gestión. Parte 2: Requisitos de competencia para
la auditoría y certificación de sistemas de gestión ambiental.
la auditoría y certificación de sistemas de gestión de la calidad.
la auditoría y certificación de sistemas de gestión de sostenibilidad de eventos.
la auditoría y certificación de sistemas de gestión de activos.
la auditoría y certificación de sistemas de gestión de continuidad del negocio.
la auditoría y certificación de sistemas de gestión de seguridad vial.
[10] ISO/IEC TS 17023, Evaluación de la conformidad. Directrices para determinar la duración.de
auditorías de certificación de sistemas de gestión
[11] ISO/IEC 17030, Evaluación de la conformidad — Generalrequisitos para las marcas de conformidad de
terceros
[12] ISO 19011:2011, Directrices para la auditoría de sistemas de gestión
[13] ISO 20121, Sistemas de gestión de la sostenibilidad de eventos — Requisitos con orientación para su uso
[14] ISO/TS 22003, Sistemas de gestión de la inocuidad de los alimentos. Requisitos para los
organismos que realizan auditorías y certificaciones de sistemas de gestión de la inocuidad de los
alimentos.
[15] ISO 22301 Seguridad social — Sistemas de gestión de la continuidad del negocio --- Requisitos
[16] ISO/IEC 27006, Tecnología de la información — Seguridadtécnicas — Requisitos para los
organismos que proporcionan auditoría y certificación de los sistemas de gestión de la seguridad de
la información
[17] ISO 31000, Gestión de riesgos — Principios y directrices
[18] IEC 31010 Gestión de riesgos. Técnicas de evaluación de riesgos.
[19] ISO 39001, Sistemas de gestión de la seguridad vial (RTS) - Requisitos con orientación para su uso
[20] ISO 50003, Sistemas de gestión de la energía. Requisitos para los organismos que realizan
auditorías y certificaciones de sistemas de gestión de la energía.

derechos reservados
ISO/CEI 17021-1:2015(E)
[21] ISO 55001, Gestión de activos — Sistemas de gestión — Requisitos

derechos reservados
ISO/CEI 17021-1:2015(E)
ICS 03.120.20
Precio basado en 48 páginas
© ISO/IEC 2015 – Todos los derechos reservados

derechos reservados

ISO IEC - 17021 1 2015 (E) .En - Es

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

ISO IEC - 17021 1 2015 (E) .En - Es

Cargado por

Copyright:

Formatos disponibles

Traducido del inglés al español - www.onlinedoctranslator.

DERECHOS DE AUTORDOCUMENTO PROTEGIDO

ii © ISO/IEC 2015 – Todos los

© ISO/IEC 2015 – Todos los iii

iv © ISO/IEC 2015 – Todos los

v © ISO/IEC 2015 – Todos los

© ISO/IEC 2015 – Todos los vi

vii © ISO/IEC 2015 – Todos los

Evaluación de la conformidad. Requisitos para los

2 © ISO/IEC 2015 – Todos los

Nota 2 a la entrada: No se considera consultoría la provisión de información genérica, pero no soluciones

— explicar el significado y la intención de los criterios de certificación;

— identificar oportunidades de mejora;

— explicar teorías, metodologías, técnicas o herramientas asociadas;

— compartir información no confidencial sobre mejores prácticas relacionadas;

© ISO/IEC 2015 – Todos los 3

— conducir la reunión de apertura;

— realizar la revisión de documentos mientras se realiza la auditoría;

© ISO/IEC 2015 – Todos los 3

— comunicarse durante la auditoría;

— asignación de roles y responsabilidades de guías y observadores;

— recopilar y verificar información;

— generar hallazgos de auditoría;

— preparación de conclusiones de auditoría;

— realización de la reunión de clausura.

4.1.3 Los principios para inspirar confianza incluyen:

4.4.1 El cliente certificado, y no el organismo de certificación, tiene la responsabilidadpara lograr

4.4.2 El organismo de certificación tiene la responsabilidad de evaluar evidencia objetiva suficiente

4.5.1 Un organismo de certificación debe proporcionar acceso público o divulgación de información

6 © ISO/IEC 2015 – Todos los

4.5.2 Para ganar o mantener la confianza en la certificación, un organismo de certificación debe

4.7 Capacidad de respuesta a las quejas

4.8 Enfoque basado en el riesgo

5.1 Asuntos legales y contractuales

5.1.1 Responsabilidad legal

© ISO/IEC 2015 – Todos los 7

5.1.2 Acuerdo de certificación

5.1.3 Responsabilidad por las decisiones de certificación

5.2 Gestión de la imparcialidad

5.2.1 Las actividades de evaluación de la conformidad se llevarán a cabo de manera imparcial. El

5.2.2 El organismo de certificación deberá tener el compromiso de la alta dirección con la

8 © ISO/IEC 2015 – Todos los

5.2.4 Un organismo de certificación no certificará a otroorganismo de certificación de su sistema de

© ISO/IEC 2015 – Todos los 9

NOTAEsto no excluye la posibilidad de intercambio de información (por ejemplo, explicación de hallazgos o

5.2.8 El organismo de certificación no subcontratará las auditorías a una organización de consultoría

5.2.10 En ordenPara garantizar que no haya conflicto de intereses, el organismo de certificación no

© ISO/IEC 2015 – Todos los 11

5.3 Responsabilidad y financiación

6.1 Estructura organizativa y alta dirección

6.1.1 El organismo de certificación deberá documentar su estructura organizacional, deberes,

6.1.2 Las actividades de certificación se estructurarán y gestionarán de forma que se salvaguarde la

a) desarrollo de políticas y establecimiento de procesos y procedimientos relacionados con sus

6.2 Control operacional

© ISO/IEC 2015 – Todos los 13

7.1 Competencia del personal

7.1.1 Consideraciones Generales

7.1.2 Determinación de los criterios de competencia

7.1.3 Procesos de evaluación

7.1.4 Otras Consideraciones

7.2 Personal involucrado en las actividades de certificación

© ISO/IEC 2015 – Todos los 11

7.2.2 El organismo de certificación deberá emplear, o tener acceso a, un número suficiente de