NORMA MEXICANA IMNC ——— | SONEC 17021-1:2015 NMX-EC-17021-1-IMNC-2018 = a s > 2 s 3 = s > Evaluaci6én de la conformidad — Requisitos para los organismos que realizan la auditoria y la certificacion de sistemas de gestion — Parte 1: Requisitos = 3 = 2 Conformity assessment — Requirements for bodies providing audit and certification of management systems ~ Part 1: = Requirements =» > 3 2 = = ‘SINEG-20170822130756089 108 03.120.20 Cancela y reemplaza a la NMX-EC-17021-IMNC-2012 de Normalizacion y eee ee Certificacion, A.C. ! 2 = 2 sNMX-EC-17021-14MNC Derechos Reservados © IMNC 2076 Reservados los derechos de reproduccién. Salvo prescrincién diferente, no pod reproducirse ni utlizarse ninguna parte de esia publicacion bajo ninguna forma y por ningin procedimiento, electrénico o mecanico, fotocopias y microfilms. Derechos reservados @ IMNC © ‘Manuel Maria Contreras 133, 6° piso, Col. Cuauhtémoc Estados Unidos Mexicanos, Cludad de México, eédigo postal 06500 Estados Unidos Mexicanos Teléfono: +5255 5546 4546 Fax: +52 55 6546 4546 ext. 6150 Pagina en internet: http:/Awww-imne.org.mx Impraso en los Estados Unidos Mexicanos ‘SINEG-20170822130756089 ICS 03.120.20 ‘Derechos reservados ©IMNG 2016 @ « ¢ ow ow Dna an aISONEC 17021-1:2015 Evaluacién de la conformidad — Requisitos para los organismos que realizan la auditoria y la certificacion de sistemas de gestion — Parte 1: Requisitos NMX-EC-17021-1-IMNC-2016 Prefacio En Ia elaboracién de la presente Norma Mexicana participaron las siguientes organizacione: ADS Mexicana S.A. de C.V. Centro de Normalizacién y Certiicacién de Produstos A.C. Cortifcaciones MHR de México S.A. de C.V. Comision Federal de Electricidad — Gerencia de Protecci6n Ambiental — Laboratorio de Pruebas de Equipos y Materiales Enlidad latinoamericana de Consulloria Educative S.C. entidad mexicana de acrecitacion A.C. Fundacién intemacional para el Desarrolio de Gobiernos Confiables, A.C, Instituto Mexicano de Contr! de Calidad, A.C. Instituto Mexicano de Normalizacian y Cerlficacién, A.C. Koynos Asociados KWT Consulting, S.A. de C.V. — Nonmalizacién y Gortiicacién Electronica $.C. — Servicios CONDUMEX S.A. de C.V. — Centro de Investigacion y Desarrollo Carso "CIDEC” a — Transformacin Empresarial en Manutactura y Negocios a — Universidad Tecnalégica de Puebla S — Universidad Tecnologica de San Juan del Rio 3 a 3s cE) = SINEC.20170822130756089, 108 03,120.20 eres reservados © MING 2076 i A A A eet KTHDHHHRECHOHS ISIE ee ridISO/IEC 1702: Contenido Prétogo Prélogo de la norma internacional Prélogo de la version en espajiol Introd UecOM svn 1 Objetive y campo de aplicacién..... 2 Referencias normativas . 3 Términos y definiciones. 4 Principios.. 44 Generalidades 42 — Imparcialidad. 43 Competencia 4a 45 48 4.7 Receptividad y respuesta oportuna a las quejas. 4.8 — Enfoque basado en el riesgo... si 5 Requisitos Generales 5.1 Temas legales y contractualos. 52 Gestién de la imparcialidad.. 5.3 Responsabllldad legal y finanelacién. sn 6 —_Requisitos relativos a la estructura.. 10 6.1 Estructura de la organizacién y alta direc: 62 Control de operaciones. i 7 Requisitos relativos a los recursos. 7.1 Competencia del personal... 72 Personal involucrado en las actividades de cerlificacién. 7.3 Empleo de auditores externos y expertos técnicos exter 7-4 Registros relatives al personal. 7.5 — Contratacién externa.. 8 —_Requisitos relatives a la informacion. 8.4 Informacion publica... 82 Documentos de certifica 8.3 Referencia ala certificacién y 8.4 Confidencialidad., 8.5 _Intercambio de informacion entre el organismo de certificacién y sus cliontes.. 9 Requisitos relativos a los procosos.... 9.1 Actividades provias a la certificacion.nssann 9.2 Planificacion de auditOrias jnsunnnmnnmesnn 9.3 Cortificacién inicial.. 9.4 — Realizacién de auditori 9.5 Decisién de certificacion 96 97 98 9.9 Registros relativos a los cliente 10 Requisitos relativos al sistema de gestién de los organismos de certificacién AWA OPCIONES onsen ‘SINEC-20170872130756089 Ics 03.120.20 wv Derechos reservados SIMNC 2016a ee we bw ww bbw & & eae wo ISONEC 17024-1:2015 10.2 —Opci6n A: Requisitos generales de un sistema de gestién... 37 103 Opcién B: Requisitos del sistema de gestién de acuerdo con la norma NMX-CC-9001-IMNC...40 11 Concordancia con normas internacionales: Anexo A (informative) Conocimientos y habilidades requerides ws. Anexo B (informative) Métodos posibles de evaluacién Anexo C (informative) Elemplo de un diagrama de proceso para determinar y mantener la ‘compotonci Anexo D (informative) Comportamiontos personales deseados ‘Anexo E (informativo) Proceso de auditoria y certificacién 12 Bibliografta ‘SINEC-20170822130756089 He 03.120.20 DDarochos reservades © IMNG 2076 vPrdélogo EI Instituto Mexicano de Normaiizacién y Certicacién, A. C. (IMNC) es una asociacién civil, que cuenta con el Registro No. 002 como Organise Nacional de Normal zacién (ON), para elaborar, revisar, acualizar, expedir y cancelar normas mexicanas, con fundamento en los Arliculos 39 fraccion IV, 65 y 66 de ia Ley Federal sobre Metrologia y Normalizacién, 68 y 69 del reglamento ¢e la Ley Federal sobre Metrologia y Normalizacién y 21 fraccién IX del Regiamento interior de la Secretaria de Econom/a, en el campa de Sistemas de Calidad (en general) ‘como se indica en el oficio niimero 1246 de fecha 1 de marzo de 1994. Se llama la atencién sobre la posibilidad de que algunos de los elementos de esta Norma Mexicana puedan estar sujetos a derechos de patente. El IMNC no asume responsabilidad por la identificacién de cualquiera o todos los derechos de patente, ni olorga licencias de uso sobre d chos derechos de palente. Esta Norma Mexicana NMX-EC-17021-1-IMNC-2016 ha sido etaborada por el Comité Técnico de Normalizacién Nacional de Sistemas de Calidad (en general) en el INNC/CTNN 9. Esta Norma Mexicana fue emnitida por e! Instituto Mexicaro de Normalizacién y Certificacion, A. C.;y su declaratoria de vigencia ha sido publicada por la Direccién Generel de Normas de la Secretaria de Economia, en el Diario Oficial de la Federacién el: 04 de octubre de 2017 ‘SINEC-20170822120756089 163 03.120.20 vi Derochos resarvades © ININC 2016a a a | wd ia) a pene Me Se aa SRN NA A TY 0 A OO ( a a ow ww & © @& ism) re axa) ISONEC 17021-1:2015 2016 Prélogo de la norma internacional SO (Organizacién Internacional de Normatizacién) ¢ IEC (Comisi6n Electrotécnica Internacional) forman el sistema especializado para la normalizacion mundial. Los organismos nacionales miembros de ISO @ IEC participan en ol desarrollo de tas Normas Internacionales por medio de comilés técnicos establecidos: por la organizacién respectiva, para atender campos particulares de la actividad técnica. Los comités técnicos de ISO e IEC colaboran ‘en campos de interés mutuo. Otras organizaciones intemacionales, publicas y privadas, en coordinacion con ISO © JEC, también partcipan en el trabajo. En el campo de la evaluacién de la conformidad. el Comité de ISO para la evaluacién de la conformidad (CASCO) es responsable del desarrollo de Normas y Gulas Internacionales. En la parte 1 de las Ditectivas ISOMEC se describen los procodimientos utiizados para desarrollar esta norma y Para su mantenimiento posterior. En particular deberd tomarse nota de los diferentes criterios de aprobacion ecesarios para los distintos tipos de documentos ISO. Esta norma se redacté de acuerdo a las regias editoriales de parte 2 de las Directivas ISO/IEC wwwiso.oraidirectives. Se llama la atencién sobre la posibilidad de que algunos de los elementos de este documento puedan estar sujetos 8 derechos de patents, ISO no asume la responsabilidad por la identficacién de cualquiera 0 todos los derechos de patente, Los detalles sobre cualquier derecho de patente identificado durante el desarrollo de esta norma se indican en la intraducelon yio en la lista ISO de declaraciones de patente recibidas. www iso.oralpatents Cualquier nombre comercial utilizado en esta norma es informacién a fa atencién de los usuarios y no canstituyen luna recomendacién, Para obtener una explicacién sobre el significado de fos términos especifioas de ISO y expresiones relacionadas ‘con la evaluacién de la conformidad, asi como informacién de la adhesion de ISO a los principios de la OMC. (Organizacion Mundial ciel Comercio) rospecto a loc obstdculos téenicos el comercio (TT), ver la siguiente diteccién: Foreword ~ Supplementary information Lanorma ISONEC 17021-1 ha sido preparada por el Comité de ISO para la evaluacién de la conformidad (CACO). El proyecto fue sometido a votacién de los organismos nacionales de ISO y de IEC y fue aprobado por las dos ‘organizaciones. Esta primora edicion de la norma ISO/IEC 17021-1 anuia y sustituye a la norma ISO/IEC 17021:2011 que ha sido revisada técnicamente. La norma ISO/IEC 17021 consiste en las siguientes partes, balo el titulo general Evaluaciéin de la conformicad, Requisitos para los organismos que realizan la auditoria y la certificacisn de sistemas de gestion: — Parte 4: Requisitos — Farle 2: Requisitos de competencia para la auditria y la cerlficacién de sistemas de gestién ambiental FEspecificacidn Técnica) — Parte 3: Requisitos de competencia para la auditor y la certificacién de sistemas de gestion de la calidad [Especificacién Técnica} — Parte 4: Requisitos de competencia para la auciiorla y la cerificacién de sistemas de gestion de la sostenibilidad de eventos [Especificacién Técnica} — Parte 5: Reguisitos de competoncia para ia audtoria y la certfcacién de sistemas de gestion activos [Especificacién Técnica} — Parte 6: Requisitos de competencia para la audi de negocios [Especificacién Técnica} jay la certficacion de sistemas de gostion de la continuidad SINEC-20170822130756089 Ics 03.120.20 Derechos rasenvades © IMNC 2076 vil— Parte 7: Requisitos de competencia para la auditorfa y la certificacién de sistemas de gestion de la seguridad vial [Especiticacion Técnica] ‘SINEC-20170822130756089, Ie 03.120.20 Derechos reserves © INN 2016ISONEC 17021 NMX-EC-17021-1-IMNC-2016 Prélogo de la versién en espafiol Esta Norma Internacional ha sido traducida por el Grupo de Trabajo Spanish Translation Task Force (STTF) del Comité Técnico ISO/CASCO, Comité para fa evaluacién de la conformidad, en el que participan representantes de los organismos nacionales de normalizacién y representantes del sector empresarial de los siguientes paises: = Argentina, Bolvia, Chile, Colombia, Costa Rica, Cuba Ecuador, Espa, Estados Unidos de América, Honduras, = Mexico, Panama, Peru, Republica Dominicana y Uruguay. a Iquamenie, en ef ctado Grupo de Trabalo participa representantes de COPANT (Comision Panamericana de Nonmas técnieas)¢ INLAC (Ietivto Latmoamercano dela Calidad). 3 Esta traducci6n es parte del resultado del trabajo que el Grupo ISO/CASCO viene desarrollando desde su creacion = lene ato 200? para iogra a unfcaccn dea erminabgia en lengua espariola en el émbito de a evaluacion do id la conformidad, s 3 2 SINEC-20170822130756089 Ics 03,120.20 Derechos raservados © ING 2016 beIntroduccion La certiicacion de un sistema de gestion, tal como un sistema de gestion ambiental, de la calidad, o de seguridad do ia informacion de una organizacion, es una de las frmas de asegurar que la organizacién ha implementado un sistoma para la gestion de los aspecios pertinentes de sus actividades, productos y servicios, en linea con la politica de la organizacion y con los requsitos de la Norma Mexicana de sistemas de gestion respectiva Esta parte de la NMX-EC-17021-1-IMNC-2016 especifiza los requisilos para los organismos que realizan auditoria y certificacién de sistemas de gesiidn. Presenta requisitos genéricos para tales organismos que llevan a cabo auditorias y certificaciones en el campo de sistemas de gestiOn de la calidad, ambiental y otros tipos de sistemas. de gestién. Dichos organismos se conocen como organismes de certficacién. El cumplimiento de estos requisitos tiene por finalidad asegurar que los organismos de cerfficacién realicen la certificacion de los sistemas de gestion de manera competente, coherente e imparcial, faciltando asi el reconocimionto de dichos organismos y 'a aceptacién de sus certiicaciones en el ambito naciona e internacional. Esta parte de la NMX-EC-17021-1-IMINC- 2016 sirve como base para faciitar el reconocimiento de la certifcacién de los sistemas de gestion para los intereses del comercio internacional, La certificacion de un sistema de gestion proporciona ura demostracién independiente de que el sistema de gestién de la organizacion: a) Es conforme con los requisitos especificados; b)_ Es capaz de lograr coherentemente su politica y otjelivos deciarados; y ©) Est implementado de manera eficaz. Por lo tanto, la evaluacién de la conformicad, como es al caso de la certificacién de un sistema de gestién, aporta valor a la organizacién, a sus clientes y a sus partes intoresadas. El capitulo 4 describe los prncipios en os que se basa una certficacion crefble, Estos principios ayudan al usuario ‘a comprender la naturaleza esencial dela certiicacin y son una inlroduccion necesaria para los Gaprtulos 5 10. Estos principios sustentan todos los requisites de esla parte de la NMX-EC-17021-1-IMNC-2016, pero no son requisitos ausitables por sf mismos. El Capitulo 10 describe dos maneras allemativas para apoyar y domostrat el cumplimiento coherente de los requisitos de esta parte de ta NMX-EC-17021-1-IMNC-2016 mediante el establecimiento de un sistema de gestion por el organismo de certficacién. Las actividades de certificacién son las actividades indlviduales que conforman el proceso entero de certficacion desde la revisidn de la solictud hasta la terminacién de a cerificacién. En el Anexo E se ilustra la forma en la que pueden intoractuar muchas de estas actividades. Las actividades de certficacién involucran la aucitoria del sisterna de gestion de una organizacién, La forma de atestacién de la conformidad de un sistema de gestion de una organizacion con una norma especifica de sistemas de gestién u otros requisitos normativos gensralmente es un documento de certificacién o un cartificado, Esta parte de la NMX-EC-17021-1-IMNC-2016 es aplicable a la auditoria y cartificacion de todo tipo de sistema de gestién. Se reconoce que algunos requisites, en especial aguellos relacionados con fa competencia de fos aucitores, se pueden complementar con criterios adiconales @ fin de salisfacer las expectativas de las partes interesadas| En esta parte de la NMX-EC-17021-1-IMNC-2016 se emplean las siguientes formas verbales: — “debe indica un requisito; —— “deer” indica una recomendacién: ‘SINEC-20170822130756089, les 03.120.20 x Derechos resenvadas © IMNC 2016 « € € (PB) oePeo HHHKCTCT HHH TH ECHGGDYS eee ww wd ISOMEC 17021-1:2015 — “puede” indica un permiso, una posibilidad o capacidad; En las Directivas de ISO/IEC, Parte 2, se pueden encontrar detalles adicionales, ‘SINEC-20170822130756089 Derechos reservados © IMNC 2076 Ies 03,120.20PH POOP OODDD YD DOWDTUVOPR HDHD we SIN TEXTOaoe dO WP HKHOPHHTHTHHHT HTH HKDE ISONEC 17021-1:2015 NMX-EC-17021-1-IMNC-2016 Evaluacion de la conformidad — Requisitos para los orgal que realizan la auditoria y la certificacién de sistemas de gestion — Parte 1: Requisitos 1 Objetivo y campo de aplicacién Esta parte de la NMX-EC-17021-1-IMNC-2016 contione principios y requisitos relatives a ia competencia, coherencia @ imparcialidad de los organismas que realizan auditoria y certificacién de todo tipo de sistemas de gestién, No es necesario que los organismos de certificacién que operan de acuerdo con esta parte de la NMX-EC-17021- 1-IMNC-2016 ofrezcan todos los tipos de certficacién de sistemas de gestion. La certifcacién de sistemas la NMX-EC-17000-IMNC-2007 de gestién es una actividad de evaluacién de la conformidad de tercera parle (ver el apartado 5.5 de ylos organisms que realizan esta actividad son, por lo tanto, organismos de evaluacién de la conformidad de tercera parle, NOTA1 _ Ejemplos de sistemas de gestién incuyen sistemas de gestion ambiental, sistemas de gestion de la calidad y sistemas de gestion de seguridad de la informacion, NOTA2 En esta parte de la NMX-EC-17021-1-IMNC-2016, ta catticacion de sistemas de gestion se denomina “certiicaci’” y los organismos que reaiizan la evaluacién de la conformidad de tercera parte se denominan “organisms de ccoruicacion” NOTAS Un organismo de ceriicacion puede ser guberamental o no gubemamental, con 0 sin auloridad de reglamentacion. NOTA4 _ Esta parte de la NVX-EC-17021-1-IMNC-2016 puede uiltzarse como documento de riterios para la acrecitacion, la evaluacién entre pares u otros procesos de audioria. 2 Referencias normativas Las normas mexicanas que a continuacién se hace referencia, son indispensables para la aplicacién de esta Norma Mexicana, Para las referencias fechadas, solo se aplica la edicién citada. Para las referencias sin fecha se aplica la ultima edicién de la norma {incluyendo cualquier modificacién de ésta) NMX-CC-9000-IMNC-2015, Sistemas de gesiién de la calidad — Fundamentos y vocabulatio. Declaratoria de Vigencia publicada en el Diario Oficial de la Federacién el 17 de marzo de 2016 NMX-EC-17000-IMNC-2007, Evaluacién de la conformidad — Vocabulario y principios generales. Declaratoria de vigencia publicada en el Diario Oficial de la Federacién el 14 de enero de 2008, 3. Términos y definiciones Para los fines de esta Norma Mexicana, se aplican Ios términos y definiciones incluidos en las NMX-CC-9000- IMNC-2015 y NMX-EC-17000-IMNC-2007 ademas de los siguientes: at cliente certificado organizacion cuyo sistema de gestién ha sido certiicado ‘SINEC-20170822130756089 Ics 03.120.20 Derechos reservados ©IMNC 2015 1NMX-EC-17021-1-IMNC-2016 2015 32 imparcialidad presencia de objetividad NOTA — ala entrada Objetvidad significa que no existen canfictos de intereses o que éstos se resuelven sin afectar de forma adversa a ies actividades subsiguientes del organismo de cerificacion NOTA2 —alaentrada Ottos tenminos que sirven para transmit el elemento de imporcialidad eon: independencia, ausoncia de canficlos de intereses, ausencia de seegos, carencia de prejucios, neuiralidad,justicla, acttue abierta, ecuanimidad,acttud desinteresada, equilio. 33 consultoria de sistema de gestion parlicipacién on el establecimient, la implementacién oe! mantenimiento de un sistema de gestion EJEMPLO 1 —_Preparar o elaborar manuales o procedimionos, EJEMPLO 2 —Asesorar, dar instrucclones 0 soluciones especiicas para el desarrollo ¢ implementacién de un sistema de gestion, NOTA1 —_Organizar actividades de formacin y participar como insinictor no se considera consultorta slempre que, cuando ‘estos cursos se refieran a sistemas de gestién 0 audtorias, s¢limiten a proporcionar informacion genérica: es decir, que el instructor no deberia proporcionar soluciones especiioas para el chente, NOTA2 _ Nose considera consultoria el suministro de informacion genérica sin soluciones espectfcas para el clente diigidas ‘alla mejora de process o sistemas. Esta Informacion puede Incl ‘oxplicar el signiticade y la intoncion de los eneros de certicacion; “= identiicar oportunidades de mejora; — explicar las teorias, metodologias, técnicas o herramientas asociadas; — compaitir informacion no confidencial sobre las mejores précicas relacionadas; — otros aspectos de gestién que no estén cubierios por el sistema de gestion auditado, 34 auditoria de certificacion auditoria realizada por una organizacién auditora independiente del cliente y de las partes que confian on la certificacion, con el fin de cerifcar el sistema de gestién del cliente NOTA1 _ En las definiciones siguientes, el término “aucitcri" se utliza para simplficar cudndo se hace referencia @ Ie autora de certiicacion de torcera parte, NOTA2 Las aucitorias de cerificacién incluyen las auciterias inicsl, de seguimiento, de renovacién de la catificacién y también pueden inclu auditoras especiales. NOTAS Las auuilorias do cortifcacion tas llevan a cabc generaimente los equipos auditores de 40s organismos que proporcionan la cariicacién de conformidad con los requistos de las normas de sistomas de gestion. NOTA4 — Cusndo dos 0 mas organizacones audiloras colaboran on la audiloria do un mismo efonto, ésta se denomina conjunta’ NOTAS Cuando un clionte es auditado con raspacto alos requisilos de dos © mas normas de sistemas de gestin a la vez, la auditoria se denomina ‘auditoria combinada’ SINEC-20170822130756089 Ics 03.120.20 2 Derechos reservados © IMNG 2016 = = = = = = € s = « & « = = « « = € = =poOHHDHHTOOD ede bbb oveoues 3 a a a ISONEC 17021-1:2015 NMX-EC-17021-1-IMNC-2016 NOTAS Cuando un ellente ha intagrado la apicacién do los roquistos de dos o mas normas do sistomas do gostisn on un Unico sistema de gestién y es audtado con respecto a mas de una norma, la auditoria se lenomina “aucitoria integrada’ 35 cliente ‘organizacién cuyo sistema de gestién se audita con fines de certiicacién 36 auditor persona que lleva a cabo una auditoria a7 competencia capacidad para aplicar conocimientos y habilidades para lograr los resultados previstos 38 guia persona designada por el cliente para asistr al equipo auditor 39 ‘observador persona que acompatia al equipo auditor, pero que no audita 3.40 rea técnica 4area caracterizada por los elementos comunes de los procesos pertinentes a un tipo especifico de sistema de ‘gestion y @ sus resultados pravistos NOTA1 — Verla nota del apartado 7.1.2 att no conformidad incumplimiento de un requisito 3.42 no conformidad mayor zo conformided (3.11) que afecta a |a capacitad del sistema de gestion para lograr los resultados previstos NOTA’ Las no conformidades pueden ser clasificadas como mayores en ls siguicnies cicunstancias: Si existe una duda signifeativa de que se haya implementado un control eficaz de proceso, o de que los productos © servicios cumplan los requisitos especificados; — una cantidad de no conformidades menores asociadas al mismo requisito © cuestion podria demostrar una desviacién sistomatica y por tanto, consituye una no conformidad mayor. 3.13 no conformidad menor 1no conformidad (3.11) que no afecta la capacidad del sistema de gestién para lograr los resultados previstos 344 experto técnico persona que proporciona conocimiento 0 experiencia especiticos al equipo auctor NOTA1 — Conocimiento o pericla espectfices son aquellos que se relacionan con la oryanizacién, ol proceso o la actividad que se va a audtar ‘SINEC-20170822130756089 ICS 03.120.20 Derechos reservados © IMINC 2046 3NMX-EC-17021-1-IMNC-2016 ISOMNEC 17021-1:2015 ie 3.15 ‘esquema de certificacién sistema de evaluacion de la conformidad relacionado con sistemas de gestién a los que se aplican los mismas requisitos especificados, reglas y procedimientos especificos 3.46 tiempo de la auditoria tiempo requerido para planificar y realizar una auditoria completa y eficaz del sistema de gestién de la organizacion del clenta 3.47 ‘duracion de tas auditorias de certificacion de sistemas de gestion parte del tlempo de ia audiioria (3.16) empleado en actividades de auditoria, desde la reunién de apertura hasta la reunion de cierre, inclusive NOTA Las actividades de aueitotia incluyen normalmente: = Heyara cabo la reunion de apertura — lovara cabo la revisién de documentos mientras se reales la auditoria — comunicarse durante la auditoria; asignar roles y responsabilidades a gulas y observadores: — recopiar y verifier informacir — gonerer hallazgos de austtoria — _proparar conclusiones de la auditria; — evar acabe ia reunién de cere 4 Principios 44 Generalidades 4.4.4. Los principios deseritos en este capitulo proporciona la baso para cl desompeno espectfico y los roquisitos descritos mas adelante en esta parte de la NMX-EC-17021-1-IMNC-2016. Esta parte do la NVX-EC-17021-1- IMNC-2016 no proporciona requisites especificos para todas las situaciones que puedan ocurrir. Estos principios eberian aplicarse como orientacién para tomar decisiones ante situaciones imorevistas. Los principios no son requisites. 4.1.2 La certificaci6n tiene por objetiva general proporcionar confianza a todas las partes de que un sistema de gestion cumple los requisitos espectficados. El valor de la certficacin reside en el grado de confianza y fe piica que se establece con una evaluacién imparcial y competente por una tercera parte. Las parles que tienen interés en la certficacion incluyen, pero no se limitan a a) los clientes de los organismos de certificacion; b) los clientes de las organizaciones cuyos sistemas de gestion estan certficados; ©) las autoridades gudernamentales 4d) las organizaciones no gubernamentales; y ‘SINEC-20170822130756089 Ics 03.120.20 4 DDerecnos reservados © IMNC 2016 € € = ) 1% lnm nm ® ) ) \eEngh OOH ADA DD ® aa wae we a awe we we w ) eee Oso = 2 3 = a ISONEC 17021-1:2015 NMX-EC-17021-1-IMNC-2016 ©) 05 consumidores y otros miembros del pablico er general 44.3. Los principios para inspirar confianzas incluyert imparcialidad; — _competencia: — responsabilidad; transparencia; — confidencialidad receptividad y respuesta oportuna a las quelas; y ei — enfoque basado en riesgo. NOTA Enel capitulo 4 de esta parte de la NMX-E0-17921-1-IMNC-2016 se fan los principios de certifcacion, mientras que en el capitulo 4 de ia NMX-CC-18011-IMNC-2012, se pueden hallar Ios principios cortespondientes relacionados con la auditor, 42 Imparcialidad 42.1 Ser imparcial, y ser percibido como imparcial, es necesario para que un organismo de cerificacién proporcione una certificacién que inspire confianza, Es importante que todo el personal interno y externo sea conscionte de la necesidad de imparcialidad 422 Se reconoce que la fuente de ingresos de un organismo de certificacién proviene del pago que le hace su cliente por la certificacién, y ello constituye una amenaza potencial a la imparcialidad, 42.3. Con el fin de obtener confianza y mantener, es esencial que las decisiones de un organismo de cerifcacién estén basadas en evidencia objetiva de conformidad (0 de no confonmidad) obtenidas por él, y que ‘sus decisiones no estén influidas por olros intereses u otras partes. 4.24 Las amenazas a la imparcialidad pueden inclut, pero no estan limitadas a, las siguientes, entre otras. a) Los intereses personales: amenazas que surgen cuando una persona 0 un organismo acta por su propio interés. Una de las preocupaciones relativas con la certficacién, como una amenaza a la imparcialidad, son los intereses financieros personales. b) La autorevisién: amenazas que surgen cuando una persona o un organismo revisa el trabajo hecho por si mismo. La auditoria de los sistemas de gestion de un cliente, al cual el organismo de cerlficacién ha proporcionado servicics de consulloria relatives a sistemas de gestién, constiturfa una amenaza de este tipo. ©) La famiiaridad (0 confianza): amenazas que surgen cuando una persona o un organismo tiene una relacién de ‘excesiva famiiaridad 0 confianza con otra persona y por eso no busca evidencias de auditoria, 4) La intimidacion: amenazas que surgen cuando una persona 0 un organismo tiene la percepcién de suftir ‘oaccién abierta o encubierta, por ejemplo, la amenaza de ser reemplazado 0 ser denunciado a un supervisor. ‘SINEC.20170822130756089 1es.03.120.20 ‘Derechos reservados © MING 2076 5NMX-EG-17021-1-IMNC-2016 4.3 Competencia 4.3.1_La competencia del personal del organismo de certiicacién, en todas las funciones que constituyen las actividades de certficacion, es necesaria para proporcionar una certificacion que proporcione confianza, 43.2 La competencia también necesita estar apoyada en el sistema de gestion del organismo de certificacién. 43.3 Una cuestién clave para la gestién del organism de certificacién es tener un proceso implementado para el establocimiento de criterios de competencia para el personal involucrado en la auditoria y en ofras actividades de certfcacién, y realizar evaluaciones frente a dichos crterios. 4.4 Responsabilidad 44.4. Elcliente y no el arganismo de ceriifeacién, es responsable de lograr de forma coherente los resultados previstos de la Implementacién de la norma de sistema de gestién y de la conformidad con los requisitos de la certifcacion, 44.2 Elorganismo de cerificacién es responsable de evaluar evidencia objetiva suficiente para fundamentar su decision sobre la certiicacion. Con base en las conclusiones de la auditoria, toma una decisién de otorgar la ceerlifieacién si hay suficiente evidencia de conformided, © de no otorgarla si no hay suficiente evidencia de ‘conformidad. NOTA Toda ausitorla ee basa en un musstreo dentro dil sistema de gestion de una organizacién, y por ello, no es una ‘garantla de la conformidad al 100 % con los requisites. 4.5 Transparencia 4.5.1 Un organismo de certificacion necesita proporcionar acceso pilblico 0 divulgar la informacién apropiada y ‘oporluna sobre sus procesos de auditoria y certiicacién, y sobre el estado de la certificacion (es decir, si se otorga, se mantiene la certificacién, se amplia o reduce el alcance, se renueva, se suspende o restablece, o se retira la certificacién) de cualquier organizacién, con el fin de inspirar confianza en le integridad y la crediblidad de la cerificacién. La transparencia es un principio de acceso, o divulgacién de, la informacién apropiada. Para lograr o mantener la confianza en la certificacién, un organismo de certficacin deberia permitir ef acceso apropiado, o divulgar a las partes interesadas especticas, inormacién no confidencial sobre las conclusiones de auditorfas especificas (por ejemplo, auditorfas en respuesta a quejas), 4.6 Confidencialidad Con el fin de obtener acceso privilegiado a la informacion necesaria para que el organismo de cerlificacién eval adecuadamente la conformidad con los requisitos para lacertificacién, es esencial que el organismo de certficacién no divulgue ninguna informiacién confidencial 4.7 Receptividad y respuesta oportuna a las quejas Las partes que confian en la cerlificacién esperan que las quejas sean investigadas, y si son validas, deberian confiar en que seran tratadas adecuadamente y que el o-ganismo de cerificacién hard un esfuerzo razonable para resolverlas. La receptividad y respuesta eficaz a las quejas es un medio importante para proteger al organismo de ceriifcacion, a sus clientes y 2 olros usuarios de la cerificacion contra errores, omisiones 0 comportamientos no razonables. La conflanza en las actividades de certifcaciin esta salvaguardada cuando las quejas se tratan apropiagamente. NOTA Es necesario un equllbrio apropiado entre fos principlos de trensparencia y confidoncialidad, incluyendo a receptvidad y respuesta oportuna a las quejas, con ot fin de demostrar integridad y credibtidad a todos los usuarios de ta ceriicacin, SINEC-20170822130756089, Ics 03,120.20 6 ‘Derechos reservados DINING 2018 DHOHnanannnn HRRHDRDDH® @ ane mh wh ®waew = a * > 2 = & @ © Ww & @ ISO/IEC 1702 -IMNC-2016 4.8 Enfoque basado en el riesgo Los organismos de certiicacién necesitan tener en cuenta los riesgos asociados a prestar servicios de certiicacion ‘competent, coherente e impartial. Entre los riesgos se pueden incluir, pero no limitarse @, aquellos asosiados — los objetivos de la auditoria; — el muestreo usado en el proceso de auditoria; — la imparcialidad real y percibida; — los asuntos legales, reglamentarios y de responsabilidad ante terceros; la organizacion ctionte que se est aucitando y su entorno de operaciones; — elimpacto de la auditoria en el cliente y sus actividades; — la salud y seguridad de los equipos auditores; — la percepcién de las partes interesadas; —_ las dectaraciones engafiosas por parte del cliente certficado; — eluso de marcas 5 Requisitos Generales 5.1 Temas legales y contractuales SAA El organismo de certiicacion debe ser una entidad legal, 0 uns parte definida de una entidad legal, que pueda ser Considerada legalmente responsable de todas sus actividades de certificacién. Se considera que un organisma de certificacién gubernamental es una entidad legal basardose en su estatus gubernamental, 5.1.2 Acuerdo de certificacién El organismo de certificacién debe tener un acuerdo legalmente ejecutable con cada cliente para proporcionar actividades de cerificacién de acuerdo con los requisites pertinentes de esta parte de ta NMX-EC-17021-1-IMNC- 2016. Ademas, cuando existan mittiples oficinas de un organismo de certificacién o mutiples sedes de un cliente, tl organismo de certificacion debe asegurarse de que exista un acuerdo legalmente ojecutable, entre el organismo de certficacién que otorga la certiicacién y el clierse, que cubra todas las sedes dentro del alcance de la certifcacion, NOTA Un acuerdo puede lograrse mediante multiples acuordos que hacen referencia 0 tienen vinculos entre si 5.1.3 Responsabilidad por 1S decisiones de certificacion El organismo de certificacién debe ser responsable de, y conservar la autoridad de sus decisiones concemientes 2 la certificacién, incluyendo las de otorgar, negar. mantener la carificacién, ampliar o reducir el alcance de la certificacién, renovar, suspender o restaurar la cattificazién después de una suspension, o retirarta SINEC-20170822130756089 les 03.120.20 Derechos rasrvaces © ING 2015, 7NMX-EC-17021-1-IMNC-2016 2015 5.2. Gestién de la imparcialidad 5.2.1 Se deben realizar las actividades de evaluacién de la conformidad de manera imparcial. El organismo de cerlificacién debe ser responsable de la imparcialidad de sus actividades de evaluacién de la conformidad y no debe permitr presiones comerciales, financieras u otras que comprometan la imparcialidad. 52.2. El organismo de cerlificacién debe tener el compromiso de la alta direccién con la imparcialidad en sus actividades de cerliicacién de sistemas de gestion. El organismo de certificacién debe tener una politica por medio de la cual comprende la importancia de la Imparcialidall en la realizacién de sus actividades de ceriificacién de sistemas de gestion, gestiona los conilictos de intereses y asegura la objetividad de sus actividades de certificacién de sistemas de gestion. 5.2.3 Elorganismo de certificacién debe contar con un proceso para Identificar, analizar, evaluar, tratar, seguir y documentar de forma regular los riesgos relacionados con confiictos de interases que surjan de la prestacién de sorvicios de corfcacién, incluyendo cualquier conflicto proveniente de sus relaciones. Si existen amenazas para la imparcialidad, el organismo de cerificacién debe documentar y demostrar cémo elimina 0 minimiza dichas ‘amenazas, y documentar cualquier riesgo residual. La demostracién debe abarcar todas las amenazas potenciales identificadas, ya sea que surjan dentro del organismo de cettiicacion o de las actividades de otras personas, corganismos u organizaciones. Cuando una relacién represente una amenaza inaceptable para la imparcielidad (por elemplo, cuando una subsidiaria en propiedad absoluta del organismo de certficacidn solicia la certificacion de su casa mattiz), no se debe proporcionar la certificacién Laalta direccién debe examinar cualquier riesgo residual para delerminar si se encuentra dentro del nivel de riesgo aceptable. E! proceso de evaluacién de riesgos debe inclulr la identficacién y consulta con las partes interesadas apropiadas acerca de los temas que afecten la imparcialidad, incluida Ie ransparencia y la percepcién pablica. La consulta de partes interesadas apropiadas debe ser equllibrada y no debe predominar un interés individual NOTA1 Las fuentes de amensza a la imparcialidad del orcanismo de cerificacién pueden basarse en factores tales como la propiodad, la gobernanza, la gestion, ol personal, os recursos comparidos, la situacion fnanclera, los conratos, la formact6n, ‘el marketing y el pago de comisiones sobre ventas, u olro incentive concemienle 2 nuevos chienles, etc NOTA2 _ Enlre las partes interesadas se pueden encontrar: personal y clientes de! organismo de cerlifeacion, cientes de forganizaciones cuyos sistemas de gestin estén cerificados, representantes de asociaciones comerciales industrales, representantes de organismos regiamentatios gubernamentsles u ottos servicios qubemamentales, 0 representantes. de organizaciones no gubemamertales, Incuidas les organizacionss de consumicores. NOTA3 Una manera de cumpiir el requisito de consulta deste apartade es mediante uso de un comité de dichas partes Interasadas. 5.2.4 Un organismo de certificacién no debe certiicar el sistema de gestion de la calidad de otro organismo de certificacion. 5.2.5 El organismo de cortiicacion y cualquier parte de la misma ontidad logal, bajo control organizacional dol organismo de cerificacién (ver el apartado 9.5.1.2 b), no debe ofrecer ni proporcionar consuttoria en materia de sistemas de gestién. Esto también se aplica a aquella parte del gobiemo identificada como el organismo de certificacion. NOTA Esto no excluye la posibidad de intercambiar informacion (por ejernplo, explicacién de los hallazgos o aclaracién {de requistos) entre el organismo de certiicacion y sus clientes. 5.2.6 _Larealizacién de auditorias internas por parte del organismo de certficacién y cualquier parte de ta misma tontidad legal a sus clientes certificados representa una amenaza signiicaliva para la imparcialidad. Por tanto, ni el ‘organismo de certficacién ni ninguna parte de la msma entidad legal, ni ninguna entidad bajo el control ‘organizacional de! organismo de certificacién (ver el apartado 9.5.1.2 b) deben offecer o praporcionar auditorias inferas a sus clientes cerlficados. Una forma reconocida de mitigar esta amenaza es que el organismo de ‘SINEG-20170822130756089, Ics 03,120.20 8 Derechos reservados ©IMNC 2016 « HHGCHHKA HAHA DH ®ow 2 a s s 3 a a a ead ISONEC 17021 NMX-EC-17021-1-IMNC-2016 certifcacién no debe certiicar un sistema de gestién 2! cual ha proporcionado auditorias internas, hasta pasados dos aftos después de la finalizacién de las auditorias internas. NOTA Verla Nota 1 del apartado 5.2.3. 5.2.7 Cuando un cliente ha recibido'consultorfa en sistemas de gestién por parte de un organismo que tenga relacién con un organismo de cortificacion, ésia es una amenaza significative a la imparcialidad. Una forma reconocida de mitigar esta amenaza es que el organismo de certificacion no debe certificar el sistema de gestion hasta pasados dos afos después de la finalizaciGn de la consultoria, como minimo. NOTA Verla Nota 1 del apartado 5.2.3. 6.2.8 Elorganismo de certficacion no debe contratar externamente las auditorias a una organizacién consultora ‘en materia de sistemas de gestion, ya que ello constituye una amenaza inaceptable a la imparcialidad del ‘organismo de certificacion (ver el apartado 7.5). Esto no se aplica a las personas que se contratan como auditores, ‘comprendidas en el apartado 7.3. 5.2.9 Las actividades del organismo de certficacién no se deben comercializar ni ofertar como vinculadas con Jas actividades de un organismo que proporcione consultoria en materia de sistemas de gestion. El organismo de ccerificacién debe tomar acciones para corregir las declaraciones 0 relaciones inapropiadas de una organizacién cconsultora, que indiquen o sugieran que la cerlficaciin seria més simple, fcil, répida o menos onerosa si se recurriera al organismo de cerficacién. Un organismo de certificacién no debe deciarar o sugerir que la certificacion seria mas simple, faci, rpida o menos onerosa si se recurriera a una determinada organizacién consultora, 5.2.10 Para asegurarse de que no exista conficto d2 inlereses, el personal, incluldo el que posee capacidad directiva, que haya realizado consultoria en sistemas de gestion, no debe utllzarse por el organismo de certificacion para tomar parte en auditorias 0 on otras actividades do certificacién, si han tomado parte on actividades de consultoria de sistemas de gestion para el cliente en cusstion. Una forma reconocida para mitigar esta amenaza ‘85 que no se debe utilizar a ose personal hasta pasados dos afios después de la finalizacién de dicha consultoria, ‘como minimo. 5.2.11 El organismo de certtficacion debe tomar medias para responder a cualquier amenaza a su imparcialidad {ue provenga de las acciones de otras personas, organismos u organizaciones 5.2.2 Todo el personal del organismo de certificacién, ya sea intemo 0 externo, 0 los comités, que puedan inflir tn las actividades de certificacién, deben actuar de manera imparcial y no deben permitir que las presiones comerciales, financieras u otras comprometan su imparcialidad 5.2.43 Los organismos de certificacion deben solicter a su personal, tanto interno como externo, que revelen Ccualquior situacién de la que tengan conocimiento, que se pudiera presentar a dichas personas o al organismo de cortiicacién como un conflicio de intereses. Los organismos de certiicacién deben registrar y ullizar dicha informacién como entradas para identificar las amenzzas a la Imparcialidad que resultan de las actividades de dicho personal o de las organizaciones que los emplean, y no deben recurrir a dicho personal, ya sea interno © lexlemo, salvo que puedan demostrar que no hay conticto de intereses, 5.3 Responsabilidad legal y financiacién 5.3.4 El organismo de certifcacion debe poder demostrar que ha evaluado los riesgos resultantes de sus actividades de cerlificacién y que ha tomado previsiones adecuadas (por ejemplo, un seguro 0 reservas) para cubrir las responsabilidades legalss resultantes de sus operaciones en cada uno de sus campos de actividad y areas ‘goograficas en las que trabaja. SINEC-20170822130756089 Ics 03.120.20 DDorectas reservados © IMC 2078 9NMX-EC-17021-1IMNC-2016 ISONEC 17021-1:2015 5.3.2 El organismo de ceriificacién debe evaluar sus frranzas y sus fuentes de ingresos, y debe demostrar que las presiones comerciales, financieras u otras no ccmprometen su imparcialidad, tanto inicialmente como continuamente 6 Req fos relativos a la estructura 6.1 Estructura de la organizacién y alta direccion 6.1.1 El organismo de cerificacién debe documentar la estructura de su organizacién, los deberes, las responsabilidades y la autoridad de la direccién y demas personal de certificacién involucrado y de cualquier comilé. Cuando el organismo de certificacién es una pare definida de una entidad legal, la estructura debe incluir la autoridad jerdrquica y la relacién con las olras partes de la misma entidad legal. 6.1.2 Las actividades de certficacién deben estar estructuradas y gestionadas de manera que se salvaguarde la lmparcialidad. 6.1.3 El organismo de certificacién debe identifcar a la alta direccién (comité directive, grupo de personas o persona) que tiene la autoridad y responsabilidad total por cada uno de los puntos siguientes: 8) ol desarrollo de polticas y establecimiento de procesos y procedimientos relatos @ sus operaciones: b) la supervisin de laimplementacién de las poitcas, procesos y procesimientos; ©) el aseguramiento de la imparcalidad; 4) Ia cupervicion de tae finanzae del organieme; €) el desarrollo de servicios y esquemas de cerlficacién de sistemas de gestio 4} larealizacién de auditorias y ceriffcacién, y la recestividad y respuesta oportuna a las quejas; 4) las decisiones relativas a la certificacién; h) la delegacién de autoridad en comités 0 personas, segtn el caso, para llevar a cabo actividades definidas en su nombre; 1) los acuerdos contractuales; |) la provisién de recursos apropiados para las actividades de certifcacion, 6.1.4. Elorganismo de certificacion debe tener reglas fermales para la designacién, las términas de referencia y ‘el funcionamiento de todos los comités involucrados en las actividades de certiicacién 6.2 Control de operaciones 6.2.1 El organismo de cerlficacién debe contar con un proceso para el control eficaz de las actividades de cerificacién entregadas por las oficinas regionales, socios, agentes, franquicias, etc., independientemente de su estalus legal, relacién 0 ubicacion geagraifica. EI organismo de certificacion debe considerar el riesgo que estas actividades representan para la competencia, coherence e imparcialidad del organismo de certificacién. 6.2.2 El organismo de certificacién debe considerar el nivel apropiado y el método de control de las actividades realizadas, incluides sus procesos, areas técnicas de operaciones de Ios organismos de certificacion, competencia del personal, lineas de control de la direccién, informe y acceso remoto a operaciones, incluidos los registros. SINEC-20170822130756089 Ics 03.120.20 10 ‘Derechos reservados © IMNG 2016 HHRHDHDKHHRDHRHAHHHRRKRADRHRADRHADRA € = € = =a waeae eee s 3 3 = a s EC] s = 2 = eee ae ws eae ISONEC 17021. NMX-EC-17021-11MNC-2016 7 Requisitos relativos a los recursos 7.1 Competencia del personal 74.4 Consideraciones generales El organismo de certificacion debe tener procesos que le aseguren que el personal tiene el conocimiento y tas habilidades apropiadas pertinentes a ios tipos de sistemas do gestion (por ejemplo, sistema de gestion ambiental, sistema de gestiGn de la calidad, sistema de geslién de la seguridad de la informacion) y las areas geograficas en las que opera, 74.2 Determinacién de los criterios de competencia El organismo de certificacién debe disponer de un proceso para daterminar los criterios de competencia de los miembros del personal involucrado en la gestion y realzacién de las auditorias y otras actividades de certificacién Los criterios de competencia deben determinarse en funcién de los requisitos de cada tipo de norma o especificacion de sistema de gestién, para cada Area técnica y para cada funcién en el proceso de certificacién, El resultado del proceso deben ser criterios documentados respecto al conocimiento y las habilidades requeridos, necesarios para el desemperio eficaz de las tareas de auditoria y de cerrficacién, que se deben cumplir para lograr los resultados previstos. El Anexo A especifica el conocimiento y las habilidades que un organismo de cerlificacion debe definir para desempefiar funciones especificas. Cuando se hayan establecido crterios de competencia especificos adicionales para una norma o un esquems de certiicacion especiiico (por ejemplo, NMX-EC-17021-2- IMNC-2014, NMX-EC-17021-3-IMINC-2015 0 NMX-F-CC-22003-NORMEX-IMNC-2008), estos crterios deben aplicarse, NOTA El té1mino "érea técnica” so aplica de manors diferente dependiondo de la norma de sistema de gestién en unsideravér, Para cualquier sisioma de gestion, of tarmin su reacional von productas, procesos y ServiGls ef El COMERS ‘ol alcanee de la norma de sistema de gest, El area Kéenica se pueden define mediante un esquema de catiieacion ‘espeuitico (por ejemplo, NNDCF-CC-22003-NORMEX-INNC-2008); 0 lo puede determinar el organismo de certficacién. Se usa para abarcar offos tsrminos tales como ‘alcances", “categories, "sectores’, etc, ue se usan tradicionalmente en diferentes isciplinas ce sistemas de gestion, 74.3. Procesos de evaluacion El organismo de certificacién debe disponer de procesos documentados para la evaluacién inicial de las ‘competencias. y para el seguimiento continuo de la campetencia y el desemperto de todo el personal involucrado fen la gestion y realzacion de las auditorias y otres actividades de certificacién, aplicando ios crterios de competencia determinados. E! organismo de certificacién debe demostrar que sus métodos de evaluacién son eficaces. E resultado de estos procesos debe ser la identificacién del personal que haya demostrado el nivel de competencia requerido para las diferentes funciones del proceso de auditoria y de cerliicacion. La competencia se debe demostrar antes de que la persona asuma la responsabilidad por el desemperio de sus actividades dentro del organismo de certificacion NOTA Enel Anexo 8 se descrben vaios métodios de evakuacion que pueden emplearse para evaluar la competencia NOTA2 Enel Anexo C se presenta un efemplo de un fio de proceso para determinary mantener la competencia 71.4 Otras consideraciones 1 organisimo de certticacién debe tener acceso a los expertos técnicos necesarios que le asesoren en asuntos directamente relacionados con las actividades de certiicacion para todas las areas técnicas,tipas de sistemas de gestion y areas geograficas en las que opera el organismo de certficacién. Dicha asesoria puede recibirse ‘externamente 0 por parte del personal del organismo ce certificacion. ‘SINEC-20170822130756089 ICS 03.120.20 Derechos reservados © ININC 2076 1NMX-EC-17021-1-IMNC-2016 ISONEC 17021-1:2015 7.2 Personal involucrado en las actividades de certificacion 7.24 El organismo de cerlficacién debe contar con personal competente suficiente para gestionar y apoyar el {ipo y la gama de programas de auditoria y otros trabajos de cerlficacién efectuados. 7.22. Elorganismo de cerificacién debe emplear, o tener acceso a un nimero suficiente de auditores, incluidos lideres del equipo auditor, y a expertos técnicos para cubrir la totalidad de sus actividades y gestionar ¢! volumen de trabajo de auditoria efectuado. 7.2.3 El organismo de certficacién debe explicar claramente a cada persona involucrada cudles son sus deberes, Tesponsabilidades y autoridad. 7.2.4 Elorganismo de ceriicacion debe fener procesos definidos para seleccionar, formar, autorizar formalmente y seleccionar a los aucitores y para seleccionar y familiarizar a los expertos técnicos que se emplean en la actividad de certiicacién. La evaluacién inicial de las competencias de un auditor debe incluir la capacidad para aplicar el conocimiento y las habilidades requeridas durante las autltorias, determinadas por un evaluador competente que observe al aucitor en la realizacién de una auditoria NOTA Durante el proceso de seleccién y formacién descrto anteriormente, se pueden toner on cuenta los comportamientos personales deseados. Estas son caracierislicas que influyen en la capacidad de una persona para realzar functones especificas. Por tanto, el hecho de conocer los ccmportamientos de ias personas permite a un organismo de Certifcacién aprovechar sus fortalezas y reducir al minimo el impacto de sus deblidades. En el Anaxo D se describen los Comportamientos personales deseados que son importantes para el personal involucrado en las actividades de certificacion. 7.2.5 _El organismo de certificacion debe tener un proceso para lograr y demostrar que lleva a cabo auditorias de forma eficaz, incluyendo el empleo de auditores y lideres ce equipo auditor que tengan habilidades y conocimientos genéricos do auditoria, act como habilidadoc y conocimiontos apropiados para realizar auditoriag en ércas téenioas especificas 7.2.6 El organismo de certiticacién debe asegurarse de que los audiores (y, cuando sea necesario, los expertos téchicos) sean conocedores de sus procesos de audiloria, los requisites de certificacién, y otros requisitos pertinentes. El organismo de certificaciin debe permitira los auditores y a los expertas \écnicos tener acceso aun ‘conjunto de procedimientos documentados actualizados que contengan jas instrucciones para la auditoria y toda la informacién pertinente sobre las actividades de certificacien. 7.2.7 Elorganismo de certficacién debe identiicar las necosidades de formacién y ofrecer o proporcionar acceso a una formacién especifica, para asegurarse de que sus auditores, expertos técnicos, y demas personal involucrado en las actividades de certificacién sean compstentes para las funciones que desempefian. 72.8 El grupo o la persona que toma la decision de otorgar, rechazar, mantener, renovar, suspender, restaurar © retirar la certificacion 0 ampliar 0 reducir el alcance de la certficacion, debe comprender la norma aplicable y los requisitos de certficacién, y debe haber demostrado competencia para evaluar los resultados de los process de auditoria incluidas las recomendaciones relacionadas del equipo auditor. 7.2.9 Elorganismo de certiicaciin debe asegurarse del desemperfio satisfactorio de todo el personal invalucrado cn las actividades de auditoria y otras actividades de certficacién. Debe tener un proceso documentado para realizar e| seguimiento de la competencia y desemperio de todas las personas Involucradas, con base en [a ‘frecuencia de sus intervenciones y en el nivel de riesgo vinculado a sus actividades. En particular, el organismo de certificacién debe revisar y registrar la competencia de si personal segin su desempefio, con el fin de identiicar las necesidades de formacién, 7.2.10 El organismo de cattiicacion debe realizar | sequimionto de cada auditor considerando cada tipo de sistema de gestion para el que se considera competente el auditor. EI proceso de sguimiento documentado para auditores debe incluir una combinacién de evaluacién in situ, revision de los informes de auditoria y SINEC-20170822130756089 Ics 03,120.20 2 Derechos reservados @ WING 2016 LRRRHH MH HH = = = = = < = = = = = = =weeded ounds = s 3 a 2 - a @ & a a 2 2 3 ISONEC 17021. NMX-EC-17021-14IMNC-2016 retroalimentacién de los clientes 0 del mercado. Este seguimiento debe disefiarse de tal modo que haya alteracién, minima de los procesos normales de certficacion, espacialmente, desde el punto de vista del cliente. 7.2.11 EI organismo de certiicacién debe evaluar periédicamente el desempefio de cada auditor in situ. La frecuencia de las evaluaciones in situ se debe basar en la necesidad delerminada a partir de toda la informacion de soguimiento disponible. 7.3. Empleo de auditores externos y expertos técnicos externos individuales El organisma de certfcacién debe requerir a los audores externas y expertos técnicos extemos que tengan un acuerdo por escrito por el cual se camprometen a cumnplir las politicas aplicables y a implementar los procesos definides por el organismo de cerlficacién, El acuerdo debe tratar los aspectos relacionados con la confidencialidad y la imparcialidad y debe requerir que los audilores exiernos y expertos técnicos externos notifiquen al organismo de certiicacion cualquier relacién exstente o previa con cualquier organizacién que se les pueda asignar para auditar. NOTA —_El empico de un Indviduo 0 empleado de otra organizacién contratado individualmente para servir como auctor cexiemo 0 técrico experto no constituye un coniratacién externa, 7.4 Registros relatives al personal Elorganismo de certficacién debe mantener registros actualizados del personal, incluyendo todas las calificaciones pertinentes, formacién, experiencia, afliaciones, estatus profesional y competencia. Esto incluye al personal de direccion y administrative ademas de aquelios que reaizan las actividades de certticacion. 7.5 Contratacién externa 7.5.1 Elorganismo de certificacién debe tener un prozeso que describa las condiciones bajo las que pueda tener lugar una coniratacién externa (que consiste en subcontratar a otra organizacion para que proporcione parte de las actividades de certificacién en nombre del organismo de certifcacién). El organismo de certificacién debe tener un acuerdo ejecutable legalmente que cubra los acuerdos, incluyendo la confidencialidad y los confictos do intereses, con cada organismo que proporciona servicios contratados extemnamente 7.5.2 Las decisiones de otorgar, rechazar, manterer la certificacién, ampliar o reducir el alcance de la ccertfcacién, renovar, suspender 0 restautar, o retirar la cettificacién no deben contratarse externamente. 7.5.3 Elorganismo de certificacion debe: a) _ ser responsable de todas las actividades contratadas externamente a otro organismo; b) asegurarse de que el organismo que proporciona servicios contratados externamente, y las personas que éste utiliza, son conformes con los requisites del organismo de certificacion y también las disposiciones aplicables de esta parte de la NMX-EC-17021-1-IMNC-2016, incluyendo la competencia, la imparcialidad y la confidencialidad, y: ) _asegurarse de que el organis mo que proporciona servicios contratados extemnamente, y las personas que utiliza, no estan involucradas directamente 0 por nedio de otro empieador con la organizacion que va a ser auditada, de manera que pueda comprometer la imparcialidad. 7.5.4 El organismo de certificacion debe tener un proceso para la aprobacién y el seguimiento de todos los ‘organismos que proporcionan servicios contratados extemnamente ulilizados en las actividades de certiicacion, y debe asegurar que se mantienen los registros de la competencia de todo el personal involucrado en actividades e certticacion, NOTA1 _ Para los apartados 7.5.1 27.5.4, cuando el organismo de certficacion involuera a individuos o empleados de otras, organizaciones para que proporcionen recursos © pericia aliconsles, estos individuos no constituyen contratacon extema, ‘SINEC-20170822130756089 Ics 03.120.20 Derechos eservadas © IMNC 2078 13NMX-EC-17021-1-IMNC-2016 ISONEC 17021-1:2015 ee SEE siempre y cuando se les contrateindividualmente para que rabejen dentro dol sistema de gostién del organismo de coriffcacién (or el apariado 7.3), NOTA2 Para los apartados 7.5.1 a 7.54 los létminos “contratacion extema” y subcontratacion’ se consideran sinonimos, 8 Requisitos relativos a la informacion 8.1 Informaci6n publica 8.1.1 El organismo de certificacién debe mantener (por medio de publicaciones, medias electrénicos u otros) y hacer piblico, sin que le sea solicitada, en todas las areas geograficas en las que opera, informacion relacionada a) los procesos de auditoria b) los procesos para otorgar, rechazar, mantener, renovar, suspender, restaurar o retirar la certiffcacion o ampliar © reducir el alcance de la certificacion; ©) los tipos de sistemas de gestion y esquemas de cerfficacién en los que opera; 4) el uso del nombre y marca o logo de certificacién dl organismo de certificacién, ©) los provesos para gestionar solicitudes de informacién, quejas y apelaciones; 1) la politica de imparcialidad, 8.1.2 El organismo de certiicacién debe proporcionar, cuando se le solicit, Informacion acerca de: a) las reas geograticas en las que opera; b) el estatus de una certificacién determinada, ©) el nombre, documento normativo relacionado, alcance y ubicacién geourdfica (ciudad y pais) de un ciente certficado especifico. NOTA1 En casos excepcionales, se puede liar ol acceto a cierta informacion a peticién del cllente (por elemplo, por razones de seguridad) NOTA2 _ & organisino de cortifcacién también puede hacer publica, sin soliciud, la Informacién del apartado 6.1.2 por cualquier medio que escoja, por ejemplo, en su sitio web de intemat. 8.1.3 La informacién que el organismo de certificaciin oroporciona a cualquier cliente o al mercado, inclulda la publicidad, debe ser exacia y no engafiosa, 82 Documentos de certificacion 8.2.1 El organismo de certificacion debe proporcionar las documentos de cerlificactén al cliente certificado por el medio que elja 8.2.2 Los documentos de certificacién deben identificar lo siguiente: a) el nombre y la ubicacién geogrética de cada cliente certficado (0 la ubicacién geografica de la sede principal y de cualquier sitio dentro de! alcance de una certificacion muttisitio); b) le fecha efectiva de otorgamiento, ampliacién o reduccién del alcance de la certificacién o renovacién de ta cerifieacién, fa cual no debe ser anterior a la fecha de la decisién de cerlificacién perlinente; ‘SINEC-20170822130750089, es 03.120.20 4 erect reservados © IMNG 2016wow we Pewee ee w & @ we & Cee T SE Dw @ eae @ w NMX-EC-17021-1-IMNC-2016 NOTA _Elorganismo de certficacién puede mantener la‘echa de certficacién original en el certficade cuando un cetficado ‘empire durante un period da tiempo, siempre y cuando: — se indique claramente la fecha de inicio y expiracion del ciclo de certficacién actual; — se indique la fecha de expiracién del tltimo ciclo de ceriifica renovacion de la cerlificacién. in, junto.con la fecha de ta auditoria de ©) ta fecha de expiracién 0 Ia fecha de renovacion, coherentes con el ciclo de renovacién de la certificacién; 4) un cédigo tinico de identiicacién; e) la norma de sistema de gestién y/u otro documents normativo, que incluya la indicacién del estado de emisién (Por ejemplo, la fecha 0 nimero de la actualizacién) empleada para la aucitoria del cliente certificado; 1) elalcance de la certificacicin en relacién con el tipo de actividades, productos y servicios, segin el caso, en cada sitio sin generar engatio o ambigiedad; 4g) el nombre. direocién y marca de certficacién del crganismo de certificacién; se pueden emplear otras marcas (Por ejemplo, el simbolo de acreditacién, el logo dei cliente) siempre y cuando no sean engahiosas ni ambiguas: 1h) cualquier otra informacién requerida por a norma yiu otros documentos normativos utiizados para la certificacisn: y j) un medio para distinguir los docurnentos revisados de documentos previos obsoletos, en caso de emitir ‘cualquier documento de cerfificacién revisado. 8.3 Referencia a la certificacién y utilizacién de marcas 8.3.1 Un organismo de certificacién debe tener regias que rijan la marca de certificacién de sistema de gestion ‘ue los clientes certficados estan autorizados @ utiizar. Estas reglas deben, entre otras cosas, asegurar la ‘razabilidad al organismo de cerlificacién. No debe haber ambigledad en la marca o el texto que la acompafia, con respecto a qué ha sido certificado y qué organismo de cerfficacién ha otorgado la cerlficacién. Esta marca no debe ser utiizada sobre un producto o un embalaje de producto ni de ninguna otra manera que se pueda interpretar ‘como una indicacién de la conformidad de dicho producto. NOTA La NMX-EC-170304VINC-2005 presenta informacion adicional para el uso de marcas de tercora parte. 83.2 Un organismo de ceriificacién no debe permilirque sus marcas se utlicen por sus clientes certificados en informes ri certiicados de ensayo de laboratorio, de calibracién ni de inspeccidn, 8.3.3 _Un organismo de certficacion debe tener regies que rijan el uso de cualquier declaracién en el embaiaje dol producto 0 on la informacion adjunta, de que el clionte corlficado tiene un sistema de gestién certificado, Se considera embalaje del producto aquel que se puede retirar sin que se desintegre ni dafe el producto. La informacién que acompafa ol producto se considera disponible de forma separada, o separable facilmente, Las etiquetas 0 placas de identficacién se consideran como partes del producto. La declaracién de ninguna manera debe dar a entender que el producto, proceso 0 servicic esta certficado por este medio, La declaracién debe incluir referencia a: identificacién (por ejemplo, marca o nombre) del ciente certificado; — el tipa de sistema de gestin (por ejemplo, de la calidad, ambiental) y la norma aplicable; y; — el organismo de certificacién que emite el certiicado, ‘SINEC-20170822130756089 Ies 03.120.20 Derechos reservados © INC 2078 15NMX-EC-17021-1-IMNG-2016 ISONEC 17021-1:2015 8.3.4 Mediante acuerdos ejecutables legalmente, el organismo de certificacion debe exigir al cliente certficado que: 2) cumpla los requisitos del organismo de certiicacion al referirse al estado de su certfcacién en los medios de ‘comunicacién, tales como internet, foletos o publicidad, u otros documentos; b) no haga ni permita que se haga ninguna deciaracién engafiosa concerniente a su certificacién; ©) no utlice ni permita la utilizacién de manera engaficsa de ningiin documento de certificacién, en su totalidad en parte; d) cose, en caso de retirar su certiicacién, toda publicidad que se refiera a la certificacién, como fo indique el organismo de certificacion (ver el apartado 9.6.5); ) modifique toda su publicidad en caso de reduccién del alcance de Ia certificacion: 1) no permita que se haga referencia a le certificacién de su sistema de gestion para dar a entender que el ‘organismo de certificacién certifica un producto (Inchiyendo un servicio) 0 un proceso: 9) no implique que ta certificaci6n se aplica a actividades y sitios por fuera del alcance de la certificacién; y 1h) no utlice su certficacin de forma que desprestigie «| organismo de certiicacion ylo al sistema de certficacién y plerda la confianza del publico. 8.3.5 El organismo de certficacién debe ejercer un conirol apropiado sobre los derechos de propiedad y actuar para tratar las referencias incorrectas al estado de la certificacién 0 uso engafioso de Ios documentos de certffcacién, marcas o informes de auditor NOTA Una accién como ésta podria inclu la solictud de una correccién y accién correcta, suspender, retirar el cerificado, publicacion de la infracci6n y, si os necesario, acciones logates, 84 Confidencialidad 8.4.1 Por medio de acuerdos legalmente ejecutables, el organismo de cattificacién debe ser responsable de la gestién de toda le informacién obtenida o creada en el desempefio de sus actividades de certficacien en tados los niveles de su estructura, Incluidos los comités y los organismos o personas externas que actdan en su nombre, 8.4.2 El organismo de certifcacién debe informar al cliente, con antelacién, cual es la informacién que tiene Intencién de hacer publica. Toda otra informacién, a excepcién de la que el cliente hace accesible al pablico, debe ser considerada confidencial 8.4.3 Salvo lo exigido en esta parte de la NMX-EC-17021-1-ININC-2016, no se debe revelar a un tercero la informacién relativa a un cliente © a una persona parlict lar, sin el consentimianto escrito del cliente certificado 0 de la persona involucrada 8.4.4 Cuando un organismo de cerificacion es obligado por la ley 0 autorizado por acuerdos contractuales (tales como los celebrados con el organismo de acreditacion) ¢ divulgar informacin confidencial, el cliente o la persona involuerada debe ser notificada sobre la informacion proporcionada, salvo que esté prohibido por ley. 8.4.5 La informaci6n relativa al cliente oblenida de fuentes distintas al cliente (por ejemplo, de una quoja, de autoridades reglamentarias) debe ser tratada como Infarmaci6n confidencial, de conformidad con la politica del ‘organismo de certifieacién. 8.4.8 El personal, incluidos los miembros de los comités, los contratistas, el personal de organismos externos 0 personas extemas que acttian en nombre del organismo de certficacién, deben preservar la confidencialidad de SINEC-20170822130756089 Ics 03.120.20 16 Derechos rsorvados © INC 2016 | PHRDHHHHHHAHANHHHRHRDHKHHHRHOHRAHHRHDHH MS aeae ww a w ww = 3 a we & ww eee & ww & a wo @ s toda a informacion obtenida o generada en el curso de las actividades del arganismo de certificacién, salvo cuando ea requerido por ley, 8.4.7 El organismo de certilicacién debe tenor procesos, y cuando sea aplicable, equips e instalaciones que lo Permian asegurar el tratamiento seguro de la informacién confidencial. 8.5 Intercambio de informacién entre el organismo de certificacién y sus clientes 8.5.1 Informacién relativa a la actividad y a los requisitos de certificacion El organismo de certficacion debe proporcionar a sus clientes y mantener actualizada la informacion siguiente: a) una descripcién detallada de la actividad de certticacion inicial y de mantenimiento, incluyendo la solicitud, las auditorias iniciales, las auditorias de seguimienlo, y el proceso para otorgar, rechazar, mantener I certficacion, ampliar 0 reducir el alcance de le certficacion, renovar, suspender o restaurar o retirar la certificacion; b) tos requisitos normativos para la certificacion; ©) la informacion relativa a las tarifas de la soliciud, do la cortificacién inicial y del mantenimiento de la cortiiacion; 4d) os requisitos det organismo de certfieacion con raspecto a que los clientes: 1) cumplan los requisites de ia certificacion; 2) tomen las medidas necesarias para llevar @ cabo las auditorias, incluidas las medidas para examinar la documentacion y el acceso a todos los procesos y dreas, registros y personal para los fines de la cerlificacién jal, de seguimiento, de la renovacién de la certifcacién y de la resolucién de las quejas; 3) tomen, cuando coresponda, medidas para dar cabida @ la presencia de observadores (por ejemplo, los evaluadores de acreditacion 0 auditores en formacién); ) los documentos que describen los derechos y obligaciones de los clientes cortificados, incluidos los requisites, cuando hagan referencia a su cerlficaoién en toda comunicacién, de acuerdo con los requisitos del apartado 83; 4) la informacién relativa a los procesos para el tratamiento de quejes y apelaciones. 8.5.2 Notificacién de cambios realizados por un arganismo de certificacién El organismo de certificacién debe notificar debidamente a sus clientes certiicados cualquier cambio en sus requisites de certiicacién. El organismo de certificacén debe verificar que cada cliente certificado cumple fos nuevos requisites. 8.5.3. Notificacién de cambios realizados por un cliente certificado. El organismo de certficacién debe tener acuerdos legalmente ejecutables para asegurarse de que el cliente Cortificado le informe, sin demora, de las cuestiones que puedan afectar ala capacidad del sistema de gestién para continuar cumpliendo los requisitos de la norma utiizada para la cerlificacion, Estos incluyen, por ejemplo, los cambios relatives a: 2) la condicién legal, comercial, de organizaci6n o de propiedad; ) la organizacién y la gestién (por ejemplo, directives clave, personal que toma decisiones o personal técnico}; ‘SINEC-20170872130756089 ICS 03.120.20 ‘Derechos reservados © INC 2076 7NMX-EC-17021-1-IMNC-2016 2015 ©} la direccién y lugar de contacto; d) elalcance de las operaciones cubierias por el sistena de gestién certiicado; €) los cambios importantes en al sistema de gestion yen los procesos. El organismo de certificacion debe emprender a jones cuando sea apropiado. 9 Requisitos relativos a los procesos 9.1 Actividades previas a la certificacion 94.4 Solicitud El organismo de certificacién debe exigira un representante autorizado de la organizacién solicitante proporcionar la informacion necesaria que le permita establecer lo siguiente: 8) el alcance deseado de la certificacion; b) los detalles pertinentes de ta organizacién solicitanle, tal y como se requiera por el esquema de certifcacién specifica, inciuido el nombre, y las direcciones de sus ubicaciones fisicas, sus procesos y operaciones, recursos humanos y técnicos, funciones, relaciones y cualquier obligacion legal perlinente; ©) Ja identificacion de procesos contratados externamente utlizados por la organizacion que afectaran a la conformidad con los requisiios; y ) las normas u otros requisitos para los cuales Ia orgenizacién solicitante pide la certificacién; ©) _sise ha prestado consuitoria relacionada con el sistema de gestion que se va a certiicar, yen caso afitmativo, quién la proporcioné, 9.4.2 Revi nde la itud 9.1.21 El organismo de certiicacion debe llevar a cabo una revision de la solicitud y de la informacion ‘complementatia de la certificacién, a fin de asegurarse de que: a) a informacién relativa a la organizacién solicitante ya su sistoma de gestion es suficionte para desarrollar un programa de auditoria (ver el apartado 9.1.3); b) se ha resuelto cualquier diferencia de entendimiento conocida, entre el organismo de certificacién y la organizacién solicitante; ©) el organismo de certificacién tiene la competenda y la capacidad para llevar 2 cabo Is actividad de certificacién; 4d) _ se tienen en cuenta el alcance de la certficacién solcitada, las ubicaciones donde la organizacién solicitante lleva a cabo sus operaciones, el tiempo requerido fara completar las auditorias y cualquier otro asunto que ‘tenga influencia sobre la actividad de certiicacién (idioma, condiciones de seguridad, amenazas a la imparcialidad, etc.). SINEC-20170822130756089, Ics 03.120.20 8 Devechos reservados © INING 2016 HROnnanne m a m4 i DPOrgQggongR DhaDHH = = = = «Obed HED w woe ew ow wo & i eee w s aeaw w ISONEC 17021 NMX-EC-17021-1-IMNC-2016 9.4.22 Después de la revisién de la solicitud, el orcanismo de certficacién debe aceptar o rechazar la solicitud de certificacion. Cuando el organismo de certificacién rechaza una solicitud de certficacién como resultado de ta revisién de la solicitud, debe documentar las razones de su rechazo e indicarias claramente al cliente, 9.423 Conbase en esta revision, el organismo de certificacién debe determinar las compelencias que necesita para su equipo auditor y para tomar la decision de la cerlficacién. 9.1.3 Programa de auditoria 9.1.3.1 Se debe desarrollar un programa de auditoria para el ciclo completo de certticacién, a fin de identificar ‘claramente las actividades de auditoria que se requieren para demostrar que el sistema de gestidn del cliente ‘cumple los requisitos de certificacién, segtin las normas u otros documentos normativos elegidos. El programa de auditoria para el ciclo de certficacién debe abarcar todos los requisitos del sistema de gestion, 94.32 El programa de auditoria para la certifi auditorias de seguimiento en el’primer y segundo afio después de fa decision de certifcacion, y una auditoria de renovacién de la certificacién en el tercer afio, antes de la caducidad de ia certficacidn. El ciclo de certificacié ttes afios comienza oon la decisién de certificacién. Los ciclos posteriores comienzan con la decision de renovacién de la cerlificacidn (ver el apartado 9.6.3.2.3). La determinacién del programa de aucitoria y cualquier modificacion subsiguiente deben tener en cuenta el tamafio de Ia organizacién cliente, el alcance y la complejidad de su sistema de gestién, los productos y procesos, asi como el rivel demostrado de eficacia del sistema de gestién y los, resullados de auditorias pravias. NOTA1 — Enel Anexo E se presenta un clagrama de fluo de una audioria y do un proceso de certicaci6n tpicas. NOTA2 _ Enla siguiente lista aparecen elementos adicionales que pueden tonorso an cuenta cuando 9e desarrolla 0 actualiza Lun prmgrama de audtina Fe prsinia que también nacesitey tratarsa al detarminar 8 sleance de la auditaria y dozatraliar ol plan d auditoria: — las quejas recbidas por ef organismo de ceriicacién sobre e! cliente: — la auditoria combinada, integrada o conjunta — los cambios en los requisites dela cetiicacion: los cambics en los requistos lagales; — los cambios en los requisitos de acreditacion; — los datos det desemperto de a organizacion (por ejemps,niveles de defectos, datos de indicadores clave de desemperio}: las preocupaciones de las partos intoresadas pertinentes. NOTA3 Silo espoctfica el esquema de cerifcacion de laindustria, el ciclo de certitcacion puede ser diferente de 3 afi. 9.1.3.3 Las auditorias de seguimiento deben realizarse al menos una vez al afio, excepto en los afios de renovacién de la certiicacién. La fecha de la primera auditoria de seguimiento después de la certificaci6n inicial no debe realizarse transcurridos més de 12 meses desde la fecha en que se tom6 la decisién sobre la certificacién. NOTA Puede ser necesario ajustar la periodicidad de las auditorias de seguimiento para ajustarse a factores talos como [a estacionalidad 0 a certficacion de sistemas de gestion de duracién limitads (por ejemplo, en un sitio de construcekin temporal 9.1.3.4 Cuando el organismo de certificaci6n tiene en cuenta una certficacién ya otorgada al cliente, y para las auditorias realizadas por otro organismo de certificacién, debe obtener y conservar evidencia suficiente, tal como informes y documentacion sobre acciones correctivas, ante cualquier no conformidad. La documentacion debe ‘poyar el cumplimionto de los requisitos de esta pate de la NMX-EC-17021-1-IMNC-2016. Con base en la SINEC-20170822130756089 es 03.120.20 Derechos reservados @ IMNG 2016 19NMX-EC~17021-1-IMNC-2016 ISO/IEC 17021-1:2015 informacién obtenida, el organismo de cerficacién debe justificar y registrar cualquier ajuste al programa de auditoria existente y hacer sequimiento a la implementacion realizada de las acciones correctivas correspondientes alas no conformidades previes. 9.4.3.5 Cuando el cliente trabaje con tumos, las actividades que acurran durante el tvabajo de los turnos se eben considerar cuando se desarrolle e! programa de auditoria y los planes de auditoria 9.1.4 Determinacién del tiompo de auditoria 9.1.4.1 El organismo de certficacién debe tener procadimientos documentados para determinar el ternpo de auditoria, Para cada cliente, el organismo de cettificacién debe determinar el tiempo necesario para planificar y realizar una auditoria completa y eficaz del sistema de gestion del cliente. 9.1.4.2 Al determinar el tiempo de auditoria, ef organismo de certificacién debe considerar, entre ottos, los siguientes aspectos: 8) los requisitos de la norma de sistema de gestién perinente; b) la complejidad dot clionto y de su sistema de gestion, ©) el contexto tecnologico y reglamentario; d) cualquier contratacién extema de cualquier actividad incluida en el alcance del sistema de geslién; 2) _ los resultados de las auditorias previas; f) el tamaho y némero de sitios, su ubicacién geogréfica, y consideraciones mulisitio; 9) 108 riesgos asociados a los productos, a los procesos 0 a las actividades de la organizacion; h) _silas auditorfas son combinadas, conjuntas o intogradas, NOTA1 El tiompo empleado en el desplazamiento hacia y desde los silos auditados no se incluye en el célculo de la duracion de fos dias de auditria del sistoma de gestion. NOTA2 Cuando se documentan estos procedimienios, ol organismo de certficacién puede usar las directrices establecidas ‘en o] NUX-EC-17025-INNC-2016 para detorminar la duracion de la audiorie de sistema de gestion, ‘Cuando se hayan establecido cxitorios ospecificos para un esquema de certifcacién especiico, por ejemplo NMX-F-CC-22003- NORMEX-IMNC-2008 o ISOIIEC 27006, se deben aplicar estos citerios. 9.4.4.3 Se debe registrar la duracién de la audilorfa de sistema de gestion, y su justificacién. 9.1.4.4 _ El tiempo empleado por cualquier miembro del equipo que no esté asignado como auditor (por ejemplo, experts técnioos, traductores, intérpretes, observadores y auditores en formacién) no se debe contar en fa duracién establecida ya indicada anteriormente, de la auditoria de! sistema de gestion. NOTA Emplear traductores intérpretes puede requerir un tempo de aucitoria adicional 9.1.5 Muestreo multisitio Cuando se utiliza un muestreo mulistio para la auditoria de! sistema de gestién de un cliente, que cubra la misma actividad en varias ubicaciones geogréficas, el organismo de certificacién debe desarrollar un programa de muestreo para asegurar una audlior‘a apropiada del sistema de gestién. Se debe documentar la justificacion del plan de muestreo para cada cliente. No se permite muesteo para algunos esquemas de certificacion especificos, SSINEC-20170822130756089 Ics 03,120.20 20 ‘Derechos reservados © INNG 2016 LHRDRADH OD Ln m4 \HRRHRKRHTHOHH OD Ho BYavtconns = 3 = 3 s 3 = s o gow 3 eared ISO/IEC 17021. y.cuando se han estabiecido enterios especificos para in esquema de certificacién especifico, por ejemplo, |ISOMTS 22003, se deben aplicar estos crterios. NOTA —_Elmuesteo noes apropiaso cuando exsten miiples sitios que no cubren la misma actividad 9.1.6 Sistemas de gestién miltiples Cuando el organismo de cerificacién esté levando a cabo certicacién con base en multiples normas de sistema de gestién, i planificacién de la auditoria debe asegurar una auditoria in sity adecuada 2 fin de proporcionar cconflanza en la certficacién, 9.2. Planificacién de auditorias 9.21 Determinacién de objetivos, alcance y critetios de la auditoria 9.244 Elorganismo de cerificacién debe determinar los objetivos de la auditoria. El organismo de certficacion, después de consullar con el cliente, debe eslablecer sl alcance de la audiloria y sus cxiterios, incluido cualquior cambio. 9.2.1.2 Los objetivos dela aualtoria deben describ qué se va lograr con la auditoria, y deben incluirio siguiente ) la determinacién de la conformidad del sistema de gestién del cliente, o de partes de dicho sistema, con los criterios de auditoria; b) la determinacién de la capacidad del sistema de gestién para asegurar que la organizacién cliente cumple los requisitos logales, reglamentarios y contractualas aplicables; NOTA Une auditoria de certiftcaciin de un sistema de gestion no es una auditorla de cumpliiento legal ©) la determinacién de la eficacia del sisteria de gestion, para asegurar que el cliente puede tener expectativas razonables can relacién al cumpiimiento de los objetivos especificados; 4d) cuando corresponda, Ia Kdentificacién de las areas de mejora potencial del sistema de gestion. 9.2.4.3. Elalcance de la auditoria debe desoribir a extensién y os limites de la aucltoria, tal como las ubicaciones {isicas. las unidades organizacionales, las actividades y los provesos @ auditar. Cuando e! proceso inicial o de renovacién de la certiicacién consista en mas de una aucitoria (por ejemplo, cuando cubra diferentes ubicaciones), el alcance de una auditoria individual puede no cubrir por completo el alcance de la certficacién, pero la totalidad de las auditorias debe ser coherente con el alcance del documento de certificacién. 9.2.1.6 Los criterios de auditoria deben usarse comc referencia para la determinaciin de la conformidad y deben incluir — los requisttos de un documento normative defnido sobre sistemas de gestion; y — fos procesos definidos y la documentacion del sistema de gestion desarrollada por el cliente. 9.2.2 Seleccién del equipo auditor y asignacién de tareas 9221 Generalidades 9.2.2.4.1 EI organismo de certificacién debe tener un proceso de ssleccién y de designacién del equipo auditor, incluido el lider del equipo auditor y los expertos técnic2s, segin se requieran, teniendo en cuenta la competencia necesaria para lograr los objetivos de la auditoria y Ics requisitos de imparcialidad, Si solo hay un auditor, éste debe tener las competencias para realizar les tareas de un lider de equipo auditor aplicables a la auditoria en SSINEC-20170822130756089 Ics 03.120.20 Derechas reservados © IMNC 2016 24NMX-EC-17021-1-IMNC-2016 ISOMNEC 17021-1:2015 ‘cuestién. El equipo auditor debe contar con todas las competencias identificadas por el organismo de certificacién, como se establecen en el apartado 9.1.2.3 para la auditeria, 9.22.1.2 Al decidir el tamaio y la composicién del equipo auditor, se debe tener en cuenta lo siguiente: a) los objetivos, alcance y criterios de la auditoria, y el tiempo estimado de fa misma; b) sila auditoria es una auditoria combinada, integrads o conjunta; c) la competencia global del equipo auditor necesaria para lograr los objetivos de la auditoria (ver la Tabla At); ) los requisites de la cerlificacién (Incluldos todos los requisitos logales, reglamentarios 0 contractuales aplicables); 8) elidioma y ta cuitura. NOTA Se espera que el aucitor lider de una auitoria combinada o integrada tenga conocimiento profundo de una de las ‘nommas como minim, y que tenga conosimiento de las demés normas usadas para esa auditoria en particular. 9.2.2.1.8 Los conocimientos y las habilidades necesarias del lider del equipo auditor y de los auditores se pueden complementar con expertos técnicos, traductores ¢ intérpretes que deben actuar bajo la direccign de un auditor. Cuando se empleen traductores o intérpretes, se soleccionaran de manera que no influyan indebidamente en la auditoria, NOTA Los ciilerios de seleccién de los expertos técnicos se daterminan caso por caso de acuerdo con las necesidades dol equipo auditory el alcance de la auditoria. 9.2214 Los auditores en formacién pueden particpar en la auditoria, siempre que se designe un auditor como evaluador. El evaluador debe tener la competencia para asumir las tareas y tener la responsabilidad final de las actividades y los hallazgos del auditor en formacién. 9221.5 El lider del equipo auditor, en consulta con el equipo auditor, debe asignar a cada miembto del ‘equipo la responsabilidad de auditar process, funciones, sitios, areas o aclividades especificas. Esta asignacién debe tener en cuenta la necesidad de competencias, ol empleo eficaz y eficiente del equipo auditor, asf como los diferentes roles y responsabilidades de las auditores, los auditores en formaci6n y los expertos técnicos. Se pueden hacer cambios en la asignacién de tareas a medida que avance la auditorfa, para asegurar el logro de los objetivos de la auditoria, 9.222 Observadores, expertos técnicos y guias, 9.2224 Observadores. La presencia y la justificacion de observadores durants una actividad de auditoria deben acordarse entre ol corganismo de certiicacién y ol cliente antes de la realizacién de la auditoria. El equipo auditor debe asegurarse de que los observadores no influyen ni inlerfieren de manera indebida en el proceso de aucitoria o en el resultado de a misma, NNOTA Las observadores puoden ser miembros de la organizacion cliente, consultores, personal de un organismo de acredliacién que lleva 2 cabo una tesificacion, auioridades regiamentarias 0 cualquier otra persona cuya presencia esté justficada. 92.2.2.2 Expertos técnicos Elrol de expartos técnicos durante una actividad de auditoria debe acordarse entre el organismo de certficacién y 1 cliente antes de la realizacién de la auditoria. El expertotécnico no debe actuar como auditor en el equipo auditor. Los exnerios técnicos deben estar acompafiados por un auditor. SINEC-20170822130756089 Ics 03.120.20 2 DDerocos reservados © INNG 2016 KHRHRDRDDRHROHODHRHRADRDAD HH | « =webbed wt ww wroeue ) @ wow -IMNC-2016 NOTA Los expertos lécnicos pueden preporcionar asesoria al equipa aucitor para la preparacion de la auditor, su planiicacion 0 ejecucion. 92223 Guias Cada auditor debe estar acompajiado de un guia,’ menos que se acuerde de otra manera entre el lider del equipo auditor y el cliente. Los guias se asignan al equipo auditor para faciltar la audtoria. El equipo auditor debe asegurarse de que los gu‘as no influyan ni interfieran con el praceso de auditoria ni con los resultados de le misma, NOTA1 Las msponsabilldades de un gula pueden incur 4) establecer los contactos y horarios para las entrevistas; by acordarias visitas a partes especicas del sto 0 de la organizacion; ©) asegurarse de que los miembros de! equipo aucitor conozcan y respeten las regias concemientes a los rocedimientos de proteccion y seguridad del sitio: 1) alestiguar la auditoria en nombre del cliente; ©) proporcionar aclaraciones 0 informacion cuando lo solicte el auditor. NOTA2 — Cuando resulte apropiado, o! uditado puede actuar como quia. 9.23. Plan de auditoria 9.2.3.1 Gonoralidades El organismo de certificacién debe asegurarse de que se establezca un plan de auditoria previo a cada auditoria identificada en el programa de aucitoria, que proporciove las bases para llegar a un acuerdo sobre la realizacién y la programacién de las actividades de auditoria NOTA No se espera que el organismo de cerificacion cesarrolle un plan de auditorla para cada auditorfa en el momento que se desarrole programa de auditoria, 9.232 Preparacién del plan de auditoria El plan de auditorie debe ser aprapiado para los objetivos y al alcance de la auitorfa, El plan de auditoria debe, al menos, incluir o hacer referencia a lo siguiente: 2) los abjetivos de fa auditoria; ») los criterios de la auditoria; ©) elalcance dela aucitoria, incluida la identiicacién de las unidades organizacionales y funcionales a las procesos por auditar, 4) las fechas y ls sitios en los que se van a realizar les actividades de auditorfa in situ, incluidas las visitas a los sitios temporales y actividades de auditorfa remota, cuando corresponda; @) fa duracion prevista para las actividades de auditoria in situ; y f) los roles y las responsabilidades de los miembros ie! equipo auditor y de las personas que los acompafian, tales como observadores e intérpretes. NOTA La informacién dol plan de audtoria puede estar sontenida en mas de un documento, ‘SINEC.20170822130756089 Ie 03.120.20 ‘Derechos reservados © IMINC 2078 23NMX-EC-17021-1-IMNC-2016 ISOMIEC 17021-1:2015 9.2.33 Comunicar in de las tareas del equipo auditor ‘Se deben definir las tareas asignadas al equipo auditor y se debe requerir al equipo auditor que: a) examine y verifique la estructura, las politicas, los process, los procedimientos, los registros y los documentos relacionados con el cliente pertinentes a la norma de sistema de gestion; ) datermine que estos cumplen todos los requisites pertinentes al alcance previsto de la certificacion; ©) determine que los pracesos y procedimientos se hayan establecido, implementado y mantenido eficazmente para dar confianza en el sistema de gestion del cliente; ¢) comunique al cliente cualquier incoherencia entre su politica, sus objetives y metas, para que actie en 9.2.3.4 Comunicacién del plan de auditoria ‘Se debe comunicar el plan de auditoria y se deben acordar, con antelacion, las fechas de la auditoria con el cliente, 9.2.3.8 Comunicacién relativa a los miembros del equipo auditor El organismo de cerificacién debe proporcionar el nombre y, cuando se solicile, poner a disposicién los antecedentes de cada miembro del equipo auditor, con tiempo suficiente para permilir que el cliente pueda abjetar la designacién de un miembro en particular del equipo auditor, y que el organismo de certificacién reconstituya el ‘equipo en respuesta a cualquier objecién justificada. 9.3. Certificacion 9.3.1 Auditoria inical de certificacién 93.44 Generalidades La auditoria nical de certticacién de un sistema de gosttin debe realizarse on dos etapas: etapa 1 y etapa 2. 93.1.2 Etapat 9.3.1.2.1En la pianificacion se debe asegurar que se puedan cumplir los objetivos de la etapa 1, y de que se informe al cliente de todas las actividades in situ durantela etapa NOTA La etapa 1 no requiere un plan de ausoria formal ver 92.3) 9.3.1.2.2Los objetivos de la etapa 1 son: a) revisar la informacion documentada del sistema de gestion del cliente: b) evaluar las condiciones especificas del sitio del cliente e intercambiar informacidn con el personel del cliente con ol fin de determinar el estado de preparacion para la etapa ©) revisar el estado del cliente y su grado de comprensién de los requisites de la norma, en particular en lo que concieme a la identificacién de! desempefio clave o de aspectos, procesos, objetivos y funcionamiento significativos del sistema de gestion; )_recopilar a informacién necesaria comespondiente al alcance del sistema de gestién, que incluye: las ubicaciones del cliente: ‘SINEC-20170822130756089, 1c 03.120.20 24 ‘Derechos resevads. © IKNG 2016 RHHRDBHDRHRD DT MH © S RHQ HHO «= = «=