iso iec 17021 acreditacion

8/9/2019 Iso Iec 17021 Acreditacion

1/39

Criterios Generales de Acreditacin de Entidades de Certificacin que llevan

a cabo la Certificacin de Sistemas de Gestin segn norma UNE-EN

ISO/IEC 17021

CGA-ENAC-CSG Rev. 7 Marzo 2014

1/7

INTRODUCCIN

La Norma UNE-EN ISO/IEC 17021 establece los requisitos generales relativos a la competencia tcnica de lasEntidades de Certificacin (en adelante, EC) que realizan certificacin de Sistemas de Gestin.

En algunos casos es preciso aclarar o precisar el contenido o interpretacin de algunos apartados de la normacuando sta va a ser usada en un proceso de acreditacin con el fin de asegurar la coherencia en la evaluacin.

La primera parte de este documento y los anexos I, II, III y VIII establecen dichas aclaraciones y precisiones quedeben ser consideradas por las EC como criterios a cumplir en caso de solicitar la acreditacin de ENAC y quepor lo tanto sern evaluados durante los procesos de acreditacin.

Los criterios aqu expuestos podrn ser complementados por otros de carcter especfico para sistemas degestin concretos cuando as se entienda necesario.

Se ha mantenido la numeracin de la norma, incluyendo una C delante de la referencia numrica del apartadode la norma al que corresponde para facilitar su identificacin.

Los anexos IV, V, VI y VII por su parte incorporan la traduccin de los documentos de IAF de obligadocumplimiento, MD:1, MD:2, MD:4 y MD:11, sobre certificacin de organizaciones con mltiplesemplazamientos, sobre la transferencia de certificaciones, sobre el uso de tcnicas de auditora asistida porordenador y sobre auditoras de sistemas de gestin integrados.

El trmino debe se utiliza en todo este documento para indicar aquellas disposiciones que, reflejando los

requisitos de la ISO/IEC 17021 son obligatorios. El trmino debera se utiliza para indicar directrices queaunque no sean obligatorias son proporcionadas por ENAC/EA/IAF como un medio reconocido de cumplir los

requisitos.

Este documento (excepto los anexos del IV al VII, que son traduccin de documentos elaborados por IAF) seha elaborado en colaboracin con las partes interesadas en el proceso de acreditacin de entidades decertificacin de sistemas de gestin que participan en el Comit Tcnico Asesor de Certificacin de ENAC.

INDICE UNE-EN ISO/IEC 170211

PRLOGO

PRLOGO DE LA VERSIN EN ESPAOL

INTRODUCCIN

1. OBJETO Y CAMPO DE APLICACIN

2. NORMAS PARA CONSULTA

3. TRMINOS Y DEFINICIONES

4. PRINCIPIOS4.1. Generalidades4.2. Imparcialidad4.3. Competencia

1Se presenta el ndice completo de la norma, indicndose los puntos donde se incluyen los comentarios de ENAC a dicha

norma.


2/39



ISO/IEC 17021


2/7

4.4. Responsabilidad4.5. Transparencia

4.6.

Confidencialidad4.7. Receptividad y respuesta oportuna a las quejas

5. REQUISITOS GENERALES5.1. Asuntos legales y contractuales

Comentarios de ENAC al apartado5.1.25.2. Gestin de imparcialidad

Comentarios de ENAC a los apartados5.2.1; 5.2.2;5.2.7; 5.2.8;5.2.10; 5.2.11 y5.2.125.3. Responsabilidad legal y financiamiento

6. REQUISITOS RELATIVOS A LA ESTRUCTURA6.1. Estructura de la organizacin y alta direccin

6.2.

Comit para la preservacin de la imparcialidadComentarios de ENAC al apartado6.2 yAnexo I

7. REQUISITOS RELATIVOS A LOS RECURSOS7.1. Competencia de la direccin y del personal

Comentarios de ENAC al apartado 7.1.27.2. Personal que interviene en las actividades de certificacin7.3. Empleo de auditores externos y expertos tcnicos externos individuales7.4. Registros relativos al personal7.5. Contratacin externa

8. REQUISITOS RELATIVOS A LA INFORMACIN

8.1.

Informacin accesible al pblicoComentarios de ENAC al apartado8.1.3.8.2. Documentos de certificacin8.3. Lista de clientes certificados

Comentarios de ENAC al apartado8.38.4. Referencia a la certificacin y utilizacin de marcas

Comentarios de ENAC (Anexo II)8.5. Confidencialidad8.6. Intercambio de informacin entre el organismo de certificacin y sus clientes

9. REQUISITOS RELATIVOS A LOS PROCESOS9.1. Requisitos generales

Comentarios de ENAC a los apartados9.1.7, 9.1.12 y 9.1.159.2. Auditora inicial y certificacinComentarios de ENAC a los apartados9.2.1, 9.2.3.1.1 e), 9.2.5.1 c) yd)

9.3. Actividades de vigilancia9.4. Renovacin de la certificacin9.5. Auditoras especiales9.6. Suspender, retirar o reducir el alcance de la certificacin9.7. Apelaciones9.8. Quejas

Comentarios de ENAC (Anexo III)9.9. Registros relativos a solicitantes y clientes

Comentarios de ENAC a los apartados9.9.1 y9.9.4


3/39



ISO/IEC 17021


3/7

ANEXOS AL CGA-ENAC-CSG

ANEXO I: COMIT DE PARTES.ANEXO II: REGLAS PARA EL USO DE LAS MARCAS DE CERTIFICACIN DE SISTEMAS DE GESTIN.ANEXO III: TRATAMIENTO DE QUEJAS SOBRE EL PRODUCTO O EL SERVICIO DE UNA ORGANIZACIN CUYO

SISTEMA DE GESTIN ESTA CERTIFICADO.ANEXO IV: DOCUMENTO OBLIGATORIO DE IAF PARA LA CERTIFICACIN DE ORGANIZACIONES CON

MULTIPLES EMPLAZAMIENTOS BASADO EN MUESTREO.ANEXO V: DOCUMENTO OBLIGATORIO DE IAF PARA LA TRANSFERENCIA DE CERTIFICACIONES DE

SISTEMAS DE GESTIN ACREDITADASANEXO VI: DOCUMENTO OBLIGATORIO DE IAF PARA EL USO DE TCNICAS DE AUDITORA ASISTIDAS POR

ORDENADOR (TAAO)ANEXO VII DOCUMENTO OBLIGATORIO DE IAF PARA LA APLICACIN DE LA ISO/IEC 17021 PARA

AUDITORAS DE SISTEMAS DE GESTIN INTEGRADOS

ANEXO VIII OBJETO DE LA CERTIFICACIN DE SISTEMAS DE GESTIN (CERTIFICACIN DE ORGANIZACIONES)

5. REQUISITOS GENERALES

5.1 Asuntos legales y contractuales

C 5.1.2 El acuerdo de certificacin a que hace referencia esta clusula es el contrato o similar quefirman la EC y su cliente en el que se establecen los trminos de prestacin del servicio decertificacin. Dicho contrato no puede firmarse hasta que la entidad haya completado lasactividades establecidas en 9.2.2.1

2y 9.2.2.2.

5.2. Gestin de imparcialidad

C 5.2.1 Dicha declaracin debe incluir las acciones concretas tomadas por la direccin de la EC paraidentificar y evitar los posibles conflictos de inters e identificar aquellas empresas queestn afectadas por las clusulas 5.2.3 y las consultoras afectadas por 5.2.7 indicando que laEC no podr ofrecer servicios de certificacin a las organizaciones que hayan recibidoconsultora de dichas empresas3. Esta declaracin debe haber sido elaborada comoconsecuencia del anlisis realizado en cumplimiento de la clusula 5.2.2 y, por tanto, debehaber sido aprobada expresamente por el comit descrito en 6.2.

C 5.2.2 El anlisis establecido en 5.2.2 deber incluir cualquier empresa con las que la EC estrelacionada, al menos, por alguno de los vnculos establecidos en la nota a la clusula 5.2.2e identificar de manera expresa aquellas empresas que estn afectadas por las clusulas

5.2.3.

En relacin con los vnculos de la EC con organizaciones que ofrecen servicios de consultoraen los sistemas de gestin que la EC certifica (en adelante consultora), el anlisis debeidentificar aquellas con las que la EC tiene vnculos de cualquier tipo y decidir el nivel deamenaza que dichos vnculos representan para la imparcialidad e identificando aquellas queestn afectadas por la Clusula 5.2.7.

Independientemente de lo anterior, en C.5.2.7 se establecen situaciones que, a juicio deENAC, representan una amenaza inaceptable a la imparcialidad.

2En relacin con 9.2.2.1 a) no se espera en esta fase que la entidad disponga de la documentacin del sistema de gestin

del solicitante.3Dicha referencia puede ser a una lista que mantenga la EC y que estar a disposicin de quien la solicite


4/39



ISO/IEC 17021


4/7

El anlisis identificar en especial a aquellas empresas con las que la EC tiene vnculos detipo operativo ya sea porque le suministran auditores o porque mantiene acuerdos de

cualquier tipo que representen un incentivo a la empresa para la presentacin de nuevosclientes a la EC. El anlisis identificar las empresas afectadas, el tipo de vnculo quemantiene con la EC y el nivel de amenaza que dicho vnculo representa.

Por ltimo el anlisis incluir los aspectos establecidos en 5.3.2 con especial atencin a lasamenazas a la imparcialidad que puedan provenir de la estructura y actividades comercialesde la propia EC.

Como resultado de este anlisis la EC:

establecer las medidas adecuadas para eliminar las amenazas detectadasidentificando, en su caso, a las personas responsables de asegurar que se aplican

dichas medidas, que debern disponer de la autoridad necesaria para aplicarlas demanera eficaz.

identificar aqullas que suponen una amenaza inaceptabley a las que, por tanto, lesafecta la clusula 5.2.7.

El Comit especificado en la clusula 6.2 debe aprobar formalmente el anlisis realizado, lasrelaciones y organizaciones identificadas, el nivel de amenaza establecido y las medidastomadas para eliminarlo en cada caso. Para ello debe poder tener acceso a toda lainformacin utilizada por la EC para su realizacin.

La EC mantendr un registro actualizado de todas las empresas que estn afectadas por las

clusulas 5.2.3 y las consultoras afectadas por 5.2.7.

C 5.2.7 A efectos de esta clusula se entiende que las siguientes relaciones, entre una EC y unaorganizacin o empresa que ofrezcan servicios de consultora en los sistemas de gestin quela EC certifica representan una amenaza inaceptable a la imparcialidad de la EC:

1. Que la EC sea propietaria de manera total o parcial de organizaciones o empresas queofrezcan servicios de consultora en los sistemas de gestin que la EC certifica.

2. Que la EC sea propiedad total o parcialmente de personas, organizaciones o empresasque ofrezcan servicios de consultora en los sistemas de gestin que la EC certifica.

3. Que ambas pertenezcan a un grupo empresarial (independientemente de las relaciones

de propiedad que las vinculen) que se ofrece al mercado como una nica empresa o sepresenten al mercado (en publicidad, ofertas, pginas web, etc.) de manera conjunta obajo una misma marca o imagen corporativa con el fin de evitar que el cliente de la ECpudiera percibir una falta de imparcialidad y que existe alguna ventaja en el usoconjunto de ambas organizaciones (vase clusula 4.2).

El que una EC sea propietaria o propiedad de manera indirecta, a travs de otras empresaso personas, de una organizacin o empresa que ofrezcan servicios de consultora o el queambas organizaciones compartan dueos comunes pueden, en algunos casos, representaruna amenaza inaceptable a la imparcialidad. La EC debe analizar estas situaciones dentrodel anlisis realizado en cumplimiento de la clusula 5.2.2 y, por tanto, debe haber sidoaprobada expresamente por el comit descrito en 6.2.

C 5.2.8 Esta clusula prohbe explcitamente que las EC contraten la realizacin de auditoras a unaentidad legal que realice actividades de consultora en sistemas de gestin, esto implica queni la relacin contractual ni, en su caso, la ulterior contraprestacin econmica, pueden ser


5/39



ISO/IEC 17021


5/7

establecidas con la empresa de consultora. Esto es aplicable aunque el contrato se limite ala cesin de personal por parte de la empresa de consultora a la EC. No obstante, y de

acuerdo con lo establecido en la clusula 7.3, esto no es aplicable en el caso de que la ECcontrate a un individuo, lo que implica que es directamente con dicho individuo con el quela EC establece la relacin contractual y al que se le abona la contraprestacin econmica.

C 5.2.10 Por extensin la EC no podr designar como auditor a ninguna persona que trabaje para laempresa que, en su caso, haya realizado la auditora interna al cliente de la EC en los dosaos anteriores a la auditora de certificacin.

C 5.2.11 Esta clusula es aplicable incluso cuando la persona, organismo o institucin no mantienevnculos con la EC.

C 5.2.12 Cuando la EC haga uso de auditores que son a su vez consultores deber asegurar que stos

no se hallan en ningn momento en un conflicto de intereses. (p.e: deben evitarsesituaciones tales como las auditora y consultora cruzadas en las que personal de A aud itaa empresas asesoradas por B y viceversa).

6. REQUISITOS RELATIVOS A LA ESTRUCTURA

6.2 Comit para la preservacin de la imparcialidad

C 6.2 La composicin y funcionamiento del comit debe ajustarse a lo establecido en el Anexo I.

7. REQUISITOS RELATIVOS A LOS RECURSOS

7.1.2 Determinacin de los criterios de competencia

C 7.1.2 Tendrn la consideracin de requisitos de acreditacin aquellos documentos de ISOaprobados por la Asamblea General IAF como documentos normativos para ser aplicados enconjunto con ISO 170214. Estos documentos, sern de aplicacin directamente, en lasfechas establecidas por IAF, sin necesidad de que sean incorporados en algn documento deENAC.

8. REQUISITOS RELATIVOS A LA INFORMACIN

8.1. Informacin accesible al pblico

C 8.1.3 La EC proporcionar informacin relativa a los certificados retirados por un plazo mnimo deun ao desde la fecha de retirada.

8.3 Lista de clientes certificados

C.8.3 Dicha lista o referencia a ella debe estar accesible al pblico (de acuerdo a 8.1.3 y 9.6.3) porlos mismos medios que los utilizados por la EC para hacer pblicos la informacin requeridaen 8.1.1 (p.e.: su pgina web). En el caso de que la lista no est accesible directamente, laEC dispondr de un sistema que garantice que cualquier solicitud de la lista y su envo esadecuadamente registrada.

4A la fecha de aprobacin de la Rev. 7 del CGA-ENAC-CSG, han sido aprobadas las normas ISO/IEC TS 17021-2e ISO/IEC TS 17021-3


6/39



ISO/IEC 17021


6/7

9. REQUISITOS RELATIVOS A LOS PROCESOS

9.1. Requisitos generales

C 9.1.7 La EC informar a sus clientes del derecho que asiste a su cliente de solicitar dichainformacin.

C 9.1.12 Esta revisin es posterior a la realizada por el equipo auditor (vase C 9.2.5.1d) y debeincluir tambin la revisin de cualquier apelacin presentada por el cliente a las NoConformidades (vase 9.7).

C 9.1.15 Con el fin de que una EC sea capaz de responder a cualquier consulta de un usuario de lacertificacin, sobre si una actividad o emplazamiento concreto est o no est incorporadoen el alcance del Sistema de Gestin certificado, la EC deben definir y documentar qu

proceso va a seguir para llegar a una conclusin informada (responsables, flujos deinformacin, competencias de las personas que intervienen en este proceso, registros queavalan la decisin tomada, etc.).

9.2. Auditora inicial y certificacin

C.9.2.1 El trmino Solicitud se entiende aqu de manera general e incluye la solicitud de ofertas depotenciales clientes. Por ello antes de emitir una oferta econmica la EC debe disponer de lainformacin establecida en 9.2.1 y haber realizado las actividades descritas en 9.2.2.15 y9.2.2.2. Las ofertas incluirn como mnimo:

El tiempo estimado para la realizacin de la auditora calculado de acuerdo a loestablecido en 9.1.4

Las razones por las que considera que dispone de la competencia tcnicasuficiente como para aceptar esa solicitud concreta. (vase 9.2.2.1 d)).

Una declaracin de que tanto el tiempo de auditora como otros detalles delproceso podran modificarse tras la etapa 1 si se confirmase que los datosmanejados durante la preparacin de la oferta no hubiesen sido exactos.

ENAC evaluar en sus auditoras la veracidad de la informacin transmitida a losclientes.

En el caso de elaborar pre-ofertas o presupuestos estimados que no cumplan lo anterior la

entidad las identificar como tales y dejar claro que no suponen una oferta formal decertificacin acreditada.

C 9.2.3.1.1 e) Como parte de las actividades a llevar a cabo en dicha revisin, el equipo auditor deberevaluar si existen discrepancias entre la informacin proporcionada a la EC y utilizadapara la revisin de la solicitud (vase 9.2.2) y la obtenida en la auditora de la etapa 1que pongan en cuestin las conclusiones de dicha revisin. La EC dispondr deprocedimientos que describan como actuar en estos casos.

C 9.2.5.1 c) La EC dispondr de procedimientos que describan las acciones a tomar en el caso de que elequipo auditor informe de discrepancias entre la informacin recibida en la fase de solicitudy la obtenida del proceso de evaluacin. Dichas acciones pueden incluir la realizacin deactividades de evaluacin extraordinarias, modificacin del alcance de certificacin, etc.

5Vase Nota 2


7/39



ISO/IEC 17021


7/7

C 9.2.5.1 d) Para poder hacer dicha recomendacin el equipo auditor debe valorar, las correcciones yacciones correctivas presentadas, en su caso, por el cliente para juzgar si, a su juicio, se han

resuelto las No conformidades detectadas. No obstante, si durante el desarrollo delproceso, no existiese disponibilidad del equipo auditor por causas extraordinarias, lavaloracin podr ser efectuada por personal de la EC competente distinto al equipo auditor(vase C 9.1.15).

9.9 Registros relativos a solicitantes y clientes

C 9.9.1 El trmino solicitud debe entenderse aqu a la luz de lo indicado en C.9.2.1 y, por lo tanto,debe mantenerse registro de las Ofertas (y de la documentacin estudiada por la entidadpara su elaboracin) emitidas por la entidad.

C 9.9.4 La entidad debe mantener los registros mencionados en C 9.9.1 durante el plazo de validez

de la oferta, salvo que antes de expirado dicho plazo el cliente la haya aceptado o rechazadoformalmente. En caso de que la oferta no incluya un plazo de validez se debern mantenerlos registros durante un ao a contar desde su emisin.

El presente documento se distribuye como copia no controlada. Puede consultar su revisin en la pgina webde ENAC, en el apartado documentos o internamente en red.


8/39



ISO/IEC 17021


Anexo I

1/3

COMIT DE PARTES

0.

OBJETO

El presente anexo tiene como objeto establecer criterios a seguir por las entidades de certificacin de sistemasde gestin acreditadas por ENAC en el establecimiento y funcionamiento del comit requerido por la clusula6.2 de la norma UNE-EN ISO/IEC 17021 (que denominaremos en adelante Comit de Partes).

1. CRITERIOS PARTICULARES DE ACREDITACIN

1.1.

Composicin del Comit de Partes

El Comit deber contar con una representacin equilibrada de representantes de, al menos, los siguientesintereses:

1) clientes de la EC;2) clientes de las organizaciones cuyos sistemas de gestin se han certificado;

Por otra parte en aquellos sistemas de gestin en los que la certificacin se realice en el camporeglamentario o voluntario regulado el comit debera contar con representantes especficos de lasdistintas Administraciones afectadas

6. Por ello la entidad deber poner a disposicin de dichas

Administraciones la posibilidad de incorporarse al Comit de Partes (se deben mantener registros quedemuestren dicho ofrecimiento).

La propia EC puede incorporarse como otro inters (vase a este respecto 6.2.2 a).

Los representantes de estos intereses deben ser tales que se cubran todos los sistemas de gestin quecertifica la entidad.

En esquemas especficos el propietario del esquema puede establecer la presencia en el comit de otrosrepresentantes o intereses7.

Un comit se entender que est equilibrado si ninguno de los intereses representados puede predominary todos los intereses tienen el mismo peso en la toma de decisiones del comit (vase clusula defuncionamiento ms adelante) y se garantiza la equidad en las discusiones (p.e: manteniendo un nmero

similar de representantes entre los diferentes intereses).

En la identificacin de los intereses la EC debera analizar no solamente la organizacin a la que perteneceel representante sino, tambin, la funcin que ste desempea en dicha organizacin.

Se enumeran a continuacin posibles organizaciones o instituciones que se entiende que representan losintereses antes indicados:

6Son esquemas en el campo voluntario regulado aquellos en los que los requisitos que se evalan son de cumplimiento

voluntario para las empresas pero en los que la actividad que desarrollan los certificadores est regulada y existe un deberlegal de supervisin de stos por parte de la Administracin.7Ante el establecimiento de esquemas de acreditacin de nuevos sistemas de gestin ENAC podr establecer la necesidad

de que estn representados intereses concretos para ese sistema de gestin.


9/39



ISO/IEC 17021


Anexo I

2/3

1)

Clientes de la EC: Organizaciones certificadas por la EC, asociaciones empresariales o de otro tipo quetengan inters en que sus asociados sean certificados. Se debe disponer de representacin de cadasistema de gestin (un nico representante puede representar a varios sistemas de gestin).

2) Clientes de las organizaciones cuyos sistemas de gestin se han certificado: Organizaciones concretasque usan los servicios de las empresas certificadas, asociaciones empresariales o de otro tipo quetengan inters en que la certificacin mantenga un alto nivel de exigencia (grandes compradores,empresas u organizaciones que requieran a sus proveedores el establecimiento de sistemas degestin, etc), propietarios de los esquemas (cuando representen a intereses de los compradores),organizaciones gubernamentales dedicadas a la promocin de la implantacin de sistemas de gestino que subvencionan su implantacin o certificacin, Departamentos de la Administracin que aceptano reconocen, para sus fines, la certificacin acreditada, Asociaciones de consumidores, Administracin(Central, Autonmica o Local) en materia de consumo.

3) Administracin: Departamentos de la Administracin con responsabilidades en la actividad de que setrate bien sean reguladores o encargados de la inspeccin y control del cumplimiento, organizacionesgubernamentales dedicadas a la promocin de la implantacin de sistemas de gestin o quesubvencionan su implantacin o certificacin.

4) Entidad de certificacin: Personal que trabaje para la EC (se incluir en este grupo a todas las personasque hayan mantenido o mantengan relaciones con la entidad como las identificadas en la clusula5.2.2. de ISO 17021).

La entidad documentar la composicin del comit y mantendr registros que demuestren que:

a)

Ha identificado a las organizaciones o personas que actuarn en representacin de cada uno delos intereses y ha justificado las razones que le permiten ejercer dicha representacin.

b) Ha invitado formalmente a dichas organizaciones o personas a incorporarse al comitindicndoles claramente el inters que representara as como sus deberes, derechos yresponsabilidades.

c) Cuando una persona asiste en funcin de su pertenencia a determinada organizacin la entidaddebe demostrar que esa persona acta en nombre y representacin de dicha organizacin.

1.2.

Funcionamiento

La entidad establecer las normas de funcionamiento del comit que incluirn como mnimo:

a)

Normas de decisin (consenso, mayoras, etc.) que garanticen el equilibrio entre intereses.b) Criterios para el establecimiento del qurum, es decir, el nmero requerido de asistentes a una sesin

para que sea posible adoptar una decisin vlida, de manera que se garantice el equilibrio entreintereses.

c) Normas para la delegacin del voto8.

d) El proceso de sustitucin de representantes y de entrada de otros nuevos intereses de forma que segarantice el equilibrio entre intereses.

e) Frecuencia de reuniones.f) Registros y actas a mantener de las reuniones, las decisiones y seguimiento de stas.

8En ningn caso los representantes de los grupos de inters 2 y 3 pueden delegar en el grupo 1


10/39



ISO/IEC 17021


Anexo I

3/3

1.3. Deberes y responsabilidades

Para poder asumir sus responsabilidades cada uno de los miembros de comit debe conocerlas y estarinformado de sus derechos y obligaciones. Por ello la entidad se asegurar de que cada vez que seincorpora un nuevo miembro se le informa al menos de lo siguiente:

De qu manera entiende la entidad el principio de imparcialidad (clusula 4.2 de ISO 17021) queincluya las medidas adoptadas por la direccin de acuerdo a 5.2.2 para gestionar los conflictos deinters.

Las responsabilidades establecidas por la norma para el comit y su aplicacin concreta a la

entidad.

Los derechos de informacin as como sus obligaciones en materia de confidencialidad.

La entidad definir, de acuerdo con el comit, la informacin que ste debe recibir para que pueda asumiradecuadamente las responsabilidades establecidas en la clusula 6.2.1 a), b) y c).

En relacin con 6.2.1 d) la entidad dispondr de un procedimiento, aprobado por el comit, en el que seestablezca la sistemtica, metodologa, responsabilidades, registros a mantener e informe final de larevisin establecida en esta clusula. Dicho procedimiento debe garantizar que la revisin es aprobadapor el comit y que ste tiene acceso a toda la informacin que ha servido de base para realizar la revisin(registros asociados a los procesos de auditora, certificacin y decisin) y, en su caso, a las personas querealizan actividades en la EC con influencia en la preservacin y gestin de la imparcialidad, as como acualquier informacin relativa a la imparcialidad proveniente del mercado (reclamaciones) o de lasevaluaciones de ENAC (informes de auditora, reclamaciones).

Independientemente de lo anterior la entidad definir la informacin que debe ser entregada al comitpara que pueda asumir adecuadamente sus responsabilidades. En el caso de que el comit considere quela informacin que se le proporciona no le permite asumir sus responsabilidades podr ponerlo enconocimiento de ENAC.


11/39



ISO/IEC 17021


Anexo II

1/3

REGLAS PARA EL USO DE LAS MARCAS DE CERTIFICACIN DE SISTEMAS DE GESTIN

INDICEPGINA

1. OBJETO Y CAMPO DE APLICACION...................................................................................................... 12. DOCUMENTACION DE REFERENCIA .................................................................................................... 13. DEFINICIONES ..................................................................................................................................... 14. GENERAL ............................................................................................................................................ 25. DESCRIPCIN ...................................................................................................................................... 2

1.

OBJETO Y CAMPO DE APLICACION

El presente anexo tiene como objeto establecer reglas claras que regulen el uso que de las marcas decertificacin de sistemas gestin hacen las empresas que disponen de un certificado acreditado por ENAC.

El presente anexo es aplicable a las entidades de Certificacin de Sistemas de Gestin acreditadas por ENAC enrelacin con las marcas de certificacin de sistemas de gestin utilizadas por los poseedores de un certificadoemitido, dentro de su alcance de acreditacin

9.

Este anexo no ser de aplicacin en el caso de certificados emitidos bajo otras acreditaciones diferentes a las deENAC.

2.

DOCUMENTACION DE REFERENCIA

UNE EN ISO/IEC 17021 Requisitos para los organismos que realizan la auditora y la certificacin de sistemas de

gestin

CGA-ENAC-CSG Criterios generales de acreditacin de Entidades de Certificacin que llevan a cabo la certificacinde sistemas de Gestin segn norma UNE EN/ISO IEC 17021

CEA-ENAC-01 Criterios para la utilizacin de la marca ENAC o referencia a la condicin de acreditado.

NOTA: Los documentos se aplicarn en la ltima versin existente.

3.

DEFINICIONES

Embalaje primario: Todo embalaje diseado para contener el producto o constituir una unidad de ventadestinada al consumidor o usuario final, ya recubra al producto por entero o solo parcialmente pero de talforma que no pueda modificarse el contenido sin abrir o modificar dicho embalaje.

9Este documento es aplicable tanto si se usa la Marca de Certificacin Acreditada (MCA) como si no. En el primer caso

sern aplicables adems las condiciones establecidas para su uso en el documento CEA-ENAC-01.


12/39



ISO/IEC 17021


Anexo II

2/3

Embalaje secundario :Todo embalaje diseado para constituir una agrupacin de embalajes primarios y que seutiliza nicamente con el fin de proteger a stos y facilitar su manipulacin o su transporte.

Marca de Certificacin: Smbolo propiedad de la EC y usado por las organizaciones certificadas para hacerpblica dicha condicin.

Marca de Certificacin Acreditada (MCA): Conjunto formado por la Marca de Certificacin y la leyendaAcreditado por ENAC tal y como se recoge en el CEA-ENAC-01.

4.

GENERAL

Las reglas de uso aqu descritas deben ser seguidas por todos los poseedores de certificados de sistemas de gestinemitidos bajo acreditacin ENAC.

Los requisitos establecidos en este documento son de carcter general y podran ser particularizados parasistemas de gestin concretos, en cuyo caso ENAC hara pblicas dichas particularidades.

Las entidades de certificacin debern disponer de procedimientos que regulen el uso de sus marcas y en los quese recojan las reglas contenidas en el presente documento. Dichos procedimientos debern ser comunicados a losclientes certificados y tener carcter contractual.

Los procedimientos de control de marcas de la EC deben asegurar un control eficaz de su uso. El incumplimientosistemtico por parte de los clientes de las entidades acreditadas de las reglas aqu expuestas puede dar lugar a la

apertura de sanciones a la EC por parte de ENAC.

5.

DESCRIPCIN

A continuacin se indican las reglas establecidas por ENAC para la utilizacin de las marcas de certificacin.

5.1.

La marca de certificacin deber aparecer siempre asociada con el nombre de la empresacertificada (el que figura en su certificado) de manera que forme con aqul un solo conjuntogrfico.

5.2.

En material de papelera (papel de cartas, facturas, saludas, etc) se podr usar la marca de

certificacin, incluso si no todas las actividades de la empresa estn certificadas, con lassiguientes limitaciones:

5.2.1.

La EC deber establecer reglas claras para restringir el uso de la marca en el caso de quesolamente una pequea parte de las actividades de la empresa estn certificadas o en elcaso de que solamente lo estn algunas localizaciones, sedes o departamentos de laempresa.

5.2.2.

En el caso de ofertas, si no todas las actividades ofertadas caen dentro del alcance decertificacin deber indicarse, mediante una marca, leyenda o cualquier otro medio, quactividades estn amparadas por la certificacin.

5.2.3.

En el caso de catlogos de productos o servicios, si no todas las actividades estnamparados por la certificacin, deber hacerse clara distincin entre unas y otras.


13/39



ISO/IEC 17021


Anexo II

3/3

5.3.

En material publicitario de cualquier ndole (anuncios de prensa y TV; material promocional talcomo calendarios, agendas, etc., anuncios en vallas publicitarias, autobuses; en vehculosrotulados, etc) se seguirn las siguientes reglas:

5.3.1.

Se cumplir en todos los casos la regla 5.1 anterior.

5.3.2.

El anuncio debe hacer mencin a la empresa certificada (tal y como aparece en sucertificado). No podr utilizarse la marca de certificacin en anuncios donde soloaparezcan los productos o marcas comerciales de la empresa sin que se mencione a sta.

5.3.3. Solamente se podr utilizar la marca de certificacin asociada al alcance (actividades ysedes) certificadas. Esto implica que las empresas que no dispongan de todas susactividades y sedes certificadas no podrn hacer uso de la marca de certificacin a no serque aclaren este hecho en el propio anuncio o que anuncien solamente las actividadescertificadas.

5.4.

Sobre productos no se puede utilizar en ningn caso. Tampoco podr situarse, en el caso deempresas de servicio, sobre el producto objeto del servicio (p.e.: no podr usarlo el mantenedordel ascensor sobre ste o la empresa de limpieza sobre el producto o instalacin limpiada). Lasempresas cuyo producto es un documento (certificado, plano, informe, acta de inspeccin, etc.)tales como evaluadores de la conformidad, ingenieras, consultoras, auditoras, laboratorios,inspectores, etc. no podrn incluirlo en dichos documentos.

5.5.

Sobre embalajes

5.5.1.

La marca de certificacin no podr utilizarse en ningn caso sobre embalajes primarios.

5.5.2. La marca de certificacin podr situarse sobre embalajes secundarios siempre que secumpla la regla 5.1 y que el alcance certificado ampare el sistema de gestin de lafabricacin del producto embalado.

5.6. Las empresas certificadas podrn hacer referencia a su condicin de certificado usando la frase(empresa) dispone de un sistema de gestin (de la calidad medioambiental, etc) certificado deacuerdo a la norma (norma) por (entidad de certificacin) en lugar de hacer uso de la marca decertificacin. Dicha frase podr usarse en todos los casos anteriores, con las mismas restriccionesque la marca de certificacin. Adems se permite su uso en embalajes primarios, con las mismasrestricciones que las indicadas en el punto5.5.2 para embalajes secundarios.


14/39



ISO/IEC 17021


Anexo III

1/2

TRATAMIENTO DE QUEJAS SOBRE EL PRODUCTO O EL SERVICIO DE UNA ORGANIZACIN CUYO SISTEMA DEGESTIN ESTA CERTIFICADO

1. OBJETO Y CAMPO DE APLICACIN

Este documento se refiere nicamente a quejas recibidas por las entidades de certificacin de sistemas degestin acreditadas por ENAC en relacin con los productos, procesos o servicios amparados por el sistemacertificado.

El presente documento no es de aplicacin a quejas recibidas por la entidad, provenientes de sus clientes,contra el servicio prestado por sta. A lo largo del documento, por tanto, el trmino queja no incluye stas.

Tampoco es aplicable a posibles denuncias sobre incumplimientos legales de las organizaciones certificadas.

2.

PROCEDIMIENTO

Cualquier queja que provenga del usuario final y que haga referencia a su falta de satisfaccin con lasactividades desarrolladas por un cliente certificado debern ser tratadas puntualmente por parte delcertificador ya que no solo ponen en entredicho el valor de su certificacin sino la de todo el sistema deevaluacin de conformidad.

La EC dispondr de procedimientos que aseguren que cuando recibe una queja acta de acuerdo a loestablecido en el presente documento y mantiene registros que as lo atestiguan.

1) Anlisis de la queja: La entidad debe analizar la queja para determinar si puede gestionarla. En

dicho anlisis deber tener en cuenta:

a. Que la empresa contra la que se recibe la queja dispone de un certificado en vigor.b. Que la actividad que ha originado la queja est cubierta por el sistema de gestin y el alcance

certificado.c. Que el reclamante se ha dirigido en primera instancia a la organizacin certificada. En caso

negativo, la EC debera indicrselo al reclamante para que lo haga. La EC no debera actuarante las organizaciones certificadas por quejas que no han sido puestas en conocimiento destas previamente.

2) Una vez admitida la queja la EC debe investigar especficamente los hechos y el comportamiento dela organizacin certificada en relacin con la conformidad con los requisitos de la norma de

referencia. Para ello deber recabar

10

informacin de la organizacin certificada sobre eltratamiento de la queja y las conclusiones obtenidas, incluyendo la respuesta suministrada por laorganizacin certificada al reclamante. Dicha informacin deber incluir:

a) Identificacin completa de la queja recibida.b) Investigacin e identificacin de las causas que han dado lugar a la queja.c) Decisin sobre, a juicio de la organizacin, la procedencia o no de la queja y comunicacin al

reclamante.d) Investigacin e identificacin, en su caso, de las no conformidades contra el sistema de gestin

que han dado lugar a la queja.e) Acciones de remedio tomadas hacia el reclamante.f) Acciones correctivas tomadas, en su caso, para evitar la recurrencia y su eficacia.

10 La EC puede, en funcin de la gravedad de la queja, actuar de inmediato o investigar la queja en las auditoras de

seguimiento


15/39



ISO/IEC 17021


Anexo III

2/2

3)

A la vista de la informacin aportada por la organizacin certificada, la EC deber investigar si elcomportamiento de sta, tanto en el tratamiento de la queja como en las actividades que dieronlugar a la queja, ha sido, o no, conforme con el sistema de gestin certificado y, en su caso, si lasacciones correctivas propuestas son adecuadas. Esta investigacin puede incluir, entre otrasactividades, visitas a la organizacin por lo que el contrato con el cliente debe contemplar ladisposicin de este para permitir y facilitar dichas investigaciones.

Como resultado de sus investigaciones la EC debe pronunciarse sobre la eficacia del sistema y suconformidad con la norma del sistema de gestin certificado y sus decisiones quedan limitadas a laconcesin, suspensin, retirada o recorte de la certificacin.

Las EC no necesariamente deben pronunciarse sobre cumplimientos o incumplimientoscontractuales o legales de cada caso concreto. Por ello el hecho de que la queja est siendoinvestigada en otras instancias (tribunales, autoridades de consumo, etc) no ser en general motivosuficiente para que la entidad paralice o retrase su tratamiento.

4) El resultado de la investigacin debe ser puesto en conocimiento de la organizacin certificada y, ensu caso, del reclamante. Si el resultado de la investigacin pone de manifiesto que la organizacinha actuado sin respetar su sistema de gestin certificado, que este no es conforme con losrequisitos de la norma o que es ineficaz para lograr los objetivos previstos, la EC deber tomar lasmedidas adecuadas que podrn consistir en:

a) Advertencia a la organizacin sobre los hechos detectados y sus eventuales consecuencias.b) Incremento en la frecuencia o duracin de las auditoras para revisar en detalle los aspectos

dbiles del sistema certificado.

c)

Aplicacin de los procedimientos de sanciones de la entidad (suspensin, retirada o reduccindel alcance certificado)

En todos los casos durante la siguiente visita de seguimiento se deber investigar especficamenteel estado del cierre de las no conformidades, internas y externas, que se hubieran derivado de lainvestigacin de la queja as como la eficacia continuada de las acciones tomadas al respecto.

En la decisin de las acciones a tomar se deber tener en cuenta la gravedad de los hechosdetectados as como el historial de quejas similares.

5) La EC informar al Comit de Partes de las quejas recibidas y de las acciones ms relevantestomadas por la entidad como consecuencia de stas. Asimismo le informar de que tiene a su

disposicin la informacin relativa a las quejas concretas y la gestin realizada por la entidad paracada una de ellas.


16/39



ISO/IEC 17021


Anexo IV

1/10

DOCUMENTO OBLIGATORIO DE IAF PARA LA CERTIFICACIN DE ORGANIZACIONES CON MULTIPLESEMPLAZAMIENTOS BASADO EN MUESTREO.

Este es un documento obligatorio que permite la aplicacin coherente de la clusula 9.1.5. de la norma ISO/IEC

17021:2006 y est basado en las directrices proporcionadas previamente en el Anexo 3 del documento

GD2:2005 del IAF: y en las directrices G.3.3.5-G.5.3.13 del IAF GD6:2006. Todas las clusulas de la ISO/IEC

17021:2006 continan siendo de aplicacin y este documento no sustituye a ninguno de los requisitos de la

norma. Este documento obligatorio no es exclusivo para sistemas de gestin de la calidad (SGC) ni para

sistemas de gestin ambiental (SGA) y se puede utilizar para otros sistemas de gestin. Sin embargo las normas

aplicables a la acreditacin de esos otros sistemas de gestin pueden proporcionar requisitos especficos para

mltiples emplazamientos o excluir el uso del muestreo (por ejemplo ISO/IEC 27001, ISO/TS 22003).

0. INTRODUCCIN .................................................................................................................................. 1

1. DEFINICIONES ..................................................................................................................................... 21.1. Organizacin ..................................................................................................................................... 21.2. Emplazamiento ................................................................................................................................. 21.3. Emplazamiento temporal ................................................................................................................. 21.4. Emplazamientos adicionales ............................................................................................................. 21.5. Organizacin con mltiples emplazamientos .................................................................................... 2

2. APLICACIN ........................................................................................................................................ 32.1. Emplazamiento ................................................................................................................................. 32.2. Emplazamiento temporal ................................................................................................................. 32.3. Organizacin con mltiples emplazamientos .................................................................................... 3

3. CRITERIOS QUE HA DE CUMPLIR LA ORGANIZACIN PARA SER OBJETO DE MUESTREO. .................... 4

4. CRITERIOS QUE HA DE CUMPLIR LA ORGANIZACIN .......................................................................... 54.1. Revisin del contrato ........................................................................................................................ 54.2. Auditora .......................................................................................................................................... 64.3. No conformidades ............................................................................................................................ 64.4. Certificados ...................................................................................................................................... 7

5. MUESTREO ......................................................................................................................................... 85.1. Metodologa ..................................................................................................................................... 85.2. Tamao de la muestra ...................................................................................................................... 95.3. Duracin de la auditora ..................................................................................................................10

5.4. Emplazamientos adicionales ............................................................................................................10

0.

INTRODUCCIN

0.1.

El objeto de este documento es establecer los criterios para la auditora y, cuando sea necesario,la certificacin de sistemas de gestin en empresas con una red de emplazamientos, de maneraque se asegure, por una parte la confianza necesaria en la conformidad del sistema de gestin dela norma de referencia en todas las sedes enumeradas y por otra parte que dicha auditora seaeconmica y operativamente factible.

0.2.

Como regla general, la auditora inicial del sistema y posteriores seguimientos y recertificacin

debera realizarse en todos los emplazamientos cubiertos por el certificado. Sin embargo, cuandolas actividades de la organizacin sujeta a certificacin se realizan en diferentes emplazamientosde manera similar estando todos ellos bajo el control y autoridad de dicha organizacin, elcertificador puede establecer procedimientos de muestreo sobre los emplazamientos tanto para


17/39


18/39



ISO/IEC 17021


Anexo IV

3/10

2. APLICACIN

2.1.

Emplazamiento

2.1.1. Un emplazamiento podra incluir toda la extensin en la cual se realizan las actividadesbajo el control de una organizacin en una localizacin dada (fija o no) incluyendocualquier almacenamiento relacionado o asociado con materias primas, sub-productos,productos intermedios, productos finales y residuos, y cualquier equipo o infraestructuraimplicada en estas actividades. Alternativamente, cuando as lo exija la ley, aplicarn lasdefiniciones establecidas en autorizaciones administrativas nacionales o locales.

2.1.2.

Cuando no es posible definir una localizacin (por ejemplo en el caso de servicios), lacobertura de la certificacin debera tener en cuenta no slo las actividades llevadas acabo en sus oficinas sino tambin all donde se suministre el servicio. Donde seaaplicable, la EC puede decidir si la auditora de certificacin se va a llevar a cabo slo alldonde laorganizacin proporciona sus servicios. En estos casos todas las relaciones conla sede central debern ser identificadas y auditadas.

2.2.

Emplazamiento temporal

2.2.1. Los emplazamientos temporales que estn cubiertos por el sistema de gestin de laorganizacin pueden estar sujetos a una auditora basada en el muestreo paraproporcionar evidencias del funcionamiento y eficacia del sistema de gestin. Podran sinembargo ser incluidos en el alcance de una certificacin de mltiples emplazamientos sise establecen acuerdos entre la EC y su cliente. Cuando se incluyan en el alcance, estos

emplazamientos debern ser identificados como temporales.

2.3.

Organizacin con mltiples emplazamientos

2.3.1. Una organizacin con mltiples emplazamientos no tiene porque ser una nica entidadlegal, pero todos los emplazamientos deben tener un vnculo legal o contractual con lasede central y estar sujetos a un sistema de gestin comn establecido y sometido a

seguimiento continuo y auditoras internas por la sede central. Esto significa que la

sede central puede exigir que los emplazamientos implementen las accionescorrectivas que sean necesarias en cualquier emplazamiento. Cuando sea aplicable, ellodeber estar recogido en el vnculo legal o contractual entre la sede central y cada uno

de los emplazamientos.

Ejemplos de organizaciones con mltiples emplazamientos son:

Empresas que operan con franquicias Empresas de fabricacin que disponen de una red de oficinas comerciales (el presente documento

aplicara a dicha red) Empresas de servicio con mltiples emplazamientos que ofrezcan un servicio similar. Empresas con mltiples delegaciones.


19/39



ISO/IEC 17021


Anexo IV

4/10

3.

CRITERIOS QUE HA DE CUMPLIR LA ORGANIZACIN PARA SER OBJETO DE MUESTREO.

3.1 Los procesos en todos los emplazamientos deben ser bsicamente del mismo tipo y deben serejecutados por los mismos mtodos y procedimientos. Si alguno de los emplazamientosconsiderados realizan menos procesos que otros (pero siempre siendo similares), podranincluirse en la certificacin de mltiples emplazamientos teniendo en cuenta que losemplazamientos que llevan a cabo la totalidad de los procesos o que llevan cabo los procesoscrticos, sean sometidos a auditora completa.

3.2 Las organizaciones que operan a travs de procesos conectados en diferentes localizaciones, sonasimismo susceptibles de muestreo siempre que cumplan con todo el resto de requisitos de estedocumento. Cuando en algn emplazamiento los procesos, no siendo similares, estn claramenteconectados, el plan de muestreo para la organizacin deber incluir por lo menos un ejemplo decada uno de procesos llevados a cabo por la organizacin (ej. fabricacin de componenteselectrnicos en un emplazamiento, mientras que el ensamblaje de los componentes por lamisma compaa, se lleva a cabo en varias otras localizaciones).

Nota: si bien ser posible el muestreo de emplazamientos para el proceso de ensamblaje, no cabemuestreo en el proceso de fabricacin ya que slo se realiza en un solo emplazamiento.

3.3 El sistema de gestin de la organizacin deber estar bajo un plan centralizado de control yadministracin y sometido a una revisin por la direccin central. Todos los emplazamientospertinentes (incluidas la funcin de administracin central) estarn sujetos al programa deauditora interna y habrn sido auditadas, de acuerdo con el programa, antes de que la ECempiece la auditora.

3.4 Deber demostrarse que la sede central ha establecido un sistema de gestin conforme con lanorma sujeta a auditora y que toda la organizacin cumple los requisitos de la norma. Estoincluir consideraciones relativas a la legislacin aplicable en cada caso.

3.5 La organizacin debera demostrar su capacidad para recopilar y analizar los datos (incluyendo,pero no limitndose, a los puntos enunciados a continuacin) de todos los emplazamientosincluyendo la sede central y tambin demostrar su autoridad y capacidad para iniciar, si as serequiere, cambios en la organizacin:

- Documentacin del sistema y cambios del sistema;- Revisin por la direccin;

-

Reclamaciones;- Evaluacin de las acciones correctivas;- Planificacin de auditoras internas y evaluacin de los resultados;- Cambios en los aspectos y los impactos asociados para los sistemas de gestin ambiental

(SGA) y- Distintos requisitos legales

3.6 No todas las organizaciones que cumplen la definicin de organizacin con mltiplesemplazamientos sern adecuadas para el muestreo.

3.7 No todas las normas de sistemas de gestin son adecuados para la certificacin de mltiplesemplazamientos. Por ejemplo, el muestreo en mltiples emplazamientos podra ser inadecuado

cuando la auditora a factores variables a nivel local, es un requisito de la norma. Algunosesquemas disponen de sus propias reglas especficas que debern ser prioritarios a lo recogidoen este documento, por ejemplo aquellas relacionadas con el sector de automocin (TS 16949) yesquemas aeroespaciales (series AS 9100).


20/39



ISO/IEC 17021


Anexo IV

5/10

3.8 Las EC deberan tener procedimientos documentados para restringir la aplicacin de muestreo,cuando dicho muestreo no sea apropiado para conseguir la confianza suficiente en la eficacia delsistema de gestin que se est siendo evaluado. El organismo de certificacin debera definirestas restricciones en relacin con:

Sectores o actividades (por ejemplo basadas en la evaluacin de riesgos o la complejidadasociada con ese sector o actividad);

Tamao de los emplazamientos susceptibles de muestreo;

Variaciones en la implantacin local del sistema de gestin tales como la necesidadfrecuente de preparar planes de gestin dentro del sistema para responder a actividadesdiferentes o requisitos legales o contractuales diferentes.

Utilizacin de emplazamientos temporales que operan bajo el sistema de gestin de laorganizacin y no estn incluidos dentro del alcance de certificacin.

4.

CRITERIOS QUE HA DE CUMPLIR LA ORGANIZACIN

La EC deber proporcionar informacin a su cliente tanto sobre los requisitos establecidos en este documentocomo en las normas del sistema de gestin aplicables antes de iniciar el proceso de auditora y no deberainiciarlo si alguno de ellos no se cumple. Antes de iniciar el proceso de auditora, la EC deber informar a laorganizacin que el certificado no ser emitido si durante la auditora inicial se encuentran no conformidades.

4.1.

Revisin del contrato

4.1.1.

Los procedimientos de la EC deberan asegurar que la revisin del contrato inicialidentifica la complejidad y escala de actividades cubiertas por el sistema de gestinsujeto a certificacin y cualquier diferencia en los emplazamientos como las bases parapoder determinar el nivel de muestreo.

4.1.2. La EC deber identificar la sede central de la organizacin con la cual tiene un acuerdolegal de obligado cumplimiento para proporcionar las actividades de certificacin.

4.1.3.

La EC deber comprobar en cada caso concreto, hasta que punto los distintosemplazamientos de una organizacin realizan sustancialmente el mismo tipo deprocesos, con los mismos mtodos y procedimientos. Ver clusula 3.1 paraemplazamientos que llevan a cabo procesos similares pero en menor nmero que en

otros emplazamientos y la clusula 3.2 para emplazamientos que implican procesosconectados. Solamente despus de un examen positivo llevado a cabo por la EC quegarantice que todos los emplazamientos propuestos cumplen con los requisitos, seaplicar el procedimiento de muestreo para cada emplazamiento individual.

4.1.4.

Si la organizacin no est preparada para incluir en la certificacin a la vez todos losemplazamientos, la EC deber exigir a la organizacin que le informe con antelacinsobre los emplazamientos que quiere incluir en la certificacin y cules quedarnexcluidos.


21/39



ISO/IEC 17021


Anexo IV

6/10

4.2. Auditora

4.2.1.

La EC deber tener procedimientos documentados que describan cmo lleva a cabo lasauditoras bajo este enfoque. Estos procedimientos debern establecer cmo la EC seasegura que el solicitante tiene un sistema de gestin nico, que est operativo en todoslos emplazamientos y que se cumplen todos los requisitos de la clusula 3 del presentedocumento. Este requisito aplica igualmente a un sistema de gestin donde se utilicendocumentos electrnicos, control de procesos u otros procesos electrnicos. La ECdeber justificar y registrar las razones para desarrollar su enfoque de certificacin demltiples emplazamientos.

4.2.2.

Si en el proceso de auditora o de seguimiento de la red est implicado ms de un equipoauditor, la EC debera designar un nico auditor jefe cuya responsabilidad sea consolidartodos los hallazgos de todos los equipos auditores y elaborar un informe nico desntesis.

4.3.

No conformidades

4.3.1.

Cuando se encuentran no conformidades, de las definidas en la ISO/IEC 17021 clusula9.1.15 (b) en un emplazamiento en particular, bien en las auditoras internas del cliente obien en las auditoras de la EC, se debera investigar si los dems emplazamientos estnafectados. Por lo tanto, la EC debera requerir a su cliente que revise todas las noconformidades para determinar si indican o no una deficiencia generalizada del sistemade gestin aplicable a todos los emplazamientos. Si es as, se deberan tomar accionescorrectivas y revisar su eficacia tanto en la sede central como en cada uno de losemplazamientos afectados. Si no es as, la organizacin debera ser capaz de demostrar a

la EC la justificacin para slo haber tomado acciones correctivas de manera limitada.

4.3.2.

La EC deber exigir evidencia de todo lo anterior y deber incrementar la frecuencia demuestreo y/o el tamao de la muestra hasta que se demuestre que el control se harestablecido.

4.3.3.

En el proceso de toma de decisiones, si se ha identificado alguna no conformidad de lasdefinidas en la ISO/IEC 17021 clusula 9.1.15 (b) en cualquier emplazamiento, lacertificacin ser denegada a toda la red de emplazamientos hasta que no se cierre dichano conformidad.

4.3.4.

No ser admisible, que con el fin de resolver una no-conformidad, el cliente excluya del

alcance los emplazamientos que hayan sido problemticos durante el proceso decertificacin. Tal exclusin slo puede ser acordada con anterioridad. (ver clusula 4.1.4.)


22/39



ISO/IEC 17021


Anexo IV

7/10

4.4. Certificados

4.4.1.

Se puede emitir un certificado que cubra mltiples emplazamientos siempre que cadaemplazamiento incluido en el alcance de la certificacin haya sido o bien auditadoindividualmente por la entidad o auditado utilizando el mtodo de muestreo definidoen este documento.

4.4.2.

La EC debe proporcionar los documentos de certificacin a disposicin del clientecertificado por el medio que elija. Estos documentos cumplirn en todos los aspectos conla ISO/IEC 17021.

4.4.3.

Estos documentos deben incluir el nombre y la direccin de la sede central de laorganizacin y deber existir una lista con todos los emplazamientos a los que afecta elcertificado. El alcance u otra referencia del mismo, debe dejar claro que las actividadescertificadas se realizan en los emplazamientos mencionados en la red. Si el alcance de lacertificacin de alguno de los emplazamientos es una parte del alcance general de laorganizacin, este hecho deber quedar claramente establecido en el certificado.Cuando se incluyen emplazamientos temporales en el alcance de certificacin, esosemplazamientos debern estar identificados como temporales en los documentos decertificacin.

4.4.4. Se podr emitir un documento de certificacin a la organizacin para cadaemplazamiento cubierto por la certificacin, con la condicin de que contenga el mismoalcance o parte del mismo alcance, y de que incluya una clara referencia al certificadoprincipal

Nota:En dicho documento debe indicarse explcitamente:1) que es la organizacin cliente (vase anexo VIII), la que est certificada2) que las actividades realizadas por un emplazamiento identificado estn

cubiertas por dicha certificacin,3) actividades, de las incluidas en el alcance del certificado principal, que son

aplicables al emplazamiento identificado4) el nmero u otra identificacin del certificado principal y un cdigo que permita

trazar entre ambos (el documento de certificacin para el emplazamientoconcreto y el certificado principal),

5) una declaracin que afirme que existencia y la validez del certificado delemplazamiento concreto estn supeditados a la existencia y validez delcertificado principal),

Bajo ninguna circunstancia este documento puede ser emitido a nombre del emplazamiento nisugerir que es este el que est certificado.

4.4.5.

Se deber retirar el certificado en su totalidad, si la oficina principal o alguno de losemplazamientos no cumplen los requisitos necesarios para el mantenimiento de lacertificacin.

4.4.6.

La EC deber mantener actualizada la lista de los emplazamientos cubiertos por elcertificado. Para ello deber exigir a su cliente que le mantenga informado sobre el cierrede cualquiera de los emplazamientos. Si no se produce dicha informacin, la EC deber

considerar este hecho como mal uso del certificado y actuar de acuerdo con susprocedimientos.


23/39



ISO/IEC 17021


Anexo IV

8/10

4.4.7. Como consecuencia de un seguimiento, reevaluacin o una ampliacin pueden aadirseal certificado ya existente emplazamientos adicionales. La EC deber tenerprocedimientos documentados para la inclusin de nuevos emplazamientos.

5. MUESTREO

5.1.

Metodologa

5.1.1. La muestra debera ser parcialmente selectiva y parcialmente no selectiva, y deberaresultar en una variedad representativa de diferentes emplazamientos a seleccionar, sinexcluir el elemento aleatorio de esta seleccin.

5.1.2.

Por lo menos un 25% de la muestra debera seleccionarse aleatoriamente.

5.1.3.

Una vez seleccionados los emplazamientos segn los criterios a continuacin, el restodebera ser seleccionado de tal manera que se maximicen las diferencias entre losdiferentes emplazamientos seleccionados durante el perodo de validez del certificado.

5.1.4.

Los criterios de seleccin de los emplazamientos pueden tener en cuenta, entre otros,los siguientes aspectos:

a) los resultados de auditoras internas y revisiones por la direccin o evaluacionesprevias de certificacin;

b) Registro de las reclamaciones y otros aspectos relevantes sobre acciones correctivasy preventivas;

c) variaciones significativas en el tamao de los emplazamientos;

d) variaciones en el diseo de los turnos y procedimientos de trabajo;

e) Complejidad en el sistema de gestin y los procesos llevados a cabo en losemplazamientos;

f) Modificaciones desde la ltima auditora de certificacin;

g) Madurez del sistema de gestin y conocimiento de la organizacin;

h) Temas medioambientales y la amplitud de los aspectos e impactos asociados, parasistemas de gestin ambiental;

i) Diferencias culturales, en el lenguaje y en los requisitos legales, y

j) Dispersin geogrfica;

5.1.5.

Esta seleccin no tiene por qu hacerse al principio del proceso de auditora, inclusopodra realizarse una vez completada la auditora de la sede central. En cualquier caso, lasede central, deber estar informada de los emplazamientos que van a participar en elmuestreo. La comunicacin de los emplazamientos seleccionados puede hacerse conrelativa poca antelacin al inicio de las evaluaciones si bien, con antelacin suficientecomo para poder preparar la auditora.


24/39



ISO/IEC 17021


Anexo IV

9/10

5.2. Tamao de la muestra

5.2.1.

La EC deber tener un procedimiento documentado para determinar la muestra a tomardurante la auditora de los emplazamientos, teniendo en cuenta todos los factoresdescritos en este documento.

5.2.2.

La EC deber mantener registros de cada aplicacin del muestreo de mltiplesemplazamientos, para justificar que acta de acuerdo con este documento.

5.2.3.

El siguiente es un clculo basado en un ejemplo de actividad de riesgo bajo-medioconmenos de cincuenta empleados en cada emplazamiento. El nmero mnimo deemplazamientos que deben visitarse por auditora se calcular de la siguiente manera:

Auditora inicial: El tamao de la muestra (y) ser la raz cuadrada del nmero deemplazamientos (x) redondeado al entero inmediato superior (y = x).

Auditora de seguimiento: El tamao de la muestra anual ser la raz cuadrada delnmero de emplazamientos reducido al 60%, redondeado al entero inmediatosuperior (y = 0,6x ).

Re-certificacin: El tamao de la muestra debera ser el mismo que en una auditorainicial. No obstante cuando el sistema de gestin haya demostrado resultar eficaz enun perodo de tres aos, el tamao de la muestra podra ser reducido al 80%redondeado al entero inmediato superior (y = 0,8x ).

5.2.4.

La EC debera definir los niveles de riesgo de las actividades a certificar segn lomencionado anteriormente.

5.2.5.

La sede central deber auditarse en cada una de las certificaciones iniciales y re-certificaciones y por lo menos anualmente como parte del seguimiento.

5.2.6. El tamao o la frecuencia de la muestra debe ser revisado al alza cuando as lo aconsejeel anlisis de riesgo realizado por la entidad sobre las actividades cubiertas por el sistemade gestin objeto de la certificacin, tomando en consideracin factores tales como:

a) tamao de los emplazamientos y el nmero de empleados (ej. ms de 50empleados en un emplazamiento);

b) complejidad o el nivel de riesgo de la actividad y del sistema de gestin;

c) variaciones en los procedimientos de trabajo (ej. trabajo por turnos);

d) variaciones en las actividades desarrolladas;

e) significancia y extensin de los aspectos e impactos asociados para los sistemasde gestin ambiental (SGA);

f) registro de las reclamaciones u otros aspectos relevantes sobre accionescorrectoras o preventivas;

g) posible componente multinacional de la organizacin;

h) resultados de auditoras internas y revisin por la direccin.

5.2.7 En el caso de organizaciones con un sistema jerrquico de niveles (sede central /oficias

nacionales / oficinas regionales/ delegaciones locales), los criterios de muestreodefinidos anteriormente son aplicables a cada uno de los niveles.


25/39



ISO/IEC 17021


Anexo IV

10/10

Por ejemplo:

1 oficina central: Visitada en cada ciclo de auditara(inicial o seguimiento o recertificacin)

4 Oficinas nacionales: Muestra = 2: mnimo 1 al azar27 Oficinas regionales: Muestra = 6: mnimo 2 al azar1700 Delegaciones locales: Muestra = 42: mnimo 11 al azar

5.3. Duracin de la auditora

5.3.1.

El tiempo empleado para cada emplazamiento es un elemento importante a considerar yla EC tiene que ser capaz de justificar el tiempo empleado en trminos de su polticaglobal de establecimiento del tiempo de auditora.

5.3.2.

El nmero de das/auditor por emplazamiento, incluyendo la sede central, deberacalcularse para cada emplazamiento utilizando el documento para el clculo del tiempode auditora que IAF haya publicado ms recientemente.

5.3.3.

Se pueden aplicar reducciones teniendo en cuenta aquellas clusulas que no seanaplicables o bien a la sede central o bien a los emplazamientos. Se debern registrar lasrazones que justifiquen estas reducciones.

Nota: Aquellos emplazamientos que realicen la mayora de los procesos o aquellos mscrticos, no estarn sujetos a tales reducciones.

5.3.4. El tiempo total empleado en una auditora inicial y en los seguimientos (entendido como

la suma total del tiempo empleado en cada emplazamiento ms la sede central) nodebera nunca ser menor que el que se habra resultado para el tamao y la complejidadde la organizacin si todo el trabajo se llevara a cabo en un nico emplazamiento (estoes con todos los empleados de la organizacin en el mismo emplazamiento).

5.4.

Emplazamientos adicionales

5.4.1.

Para ser aadido en la red certificada, cada nuevo grupo de emplazamientos debera serconsiderado como independiente para la determinacin del tamao de la muestra.Despus de incluirlo en el certificado, el nuevo grupo de emplazamientos se acumula alos previos para el clculo del muestreo para las prximas auditoras de seguimientos ore-certificaciones.


26/39



ISO/IEC 17021


Anexo V

1/4

DOCUMENTO OBLIGATORIO DE IAF PARA LA TRANSFERENCIA DE CERTIFICACIONES DE SISTEMAS DE GESTIN

ACREDITADAS

Este es un documento obligatorio que permite la aplicacin coherente de aplicacin de la clusula 9.1.1. de la

Norma ISO/IEC 17021:2006 y est basado en las anteriores directrices del Anexo 4 del documento IAF GD2: 2005

y las del Anexo 2 de IAF GD6:2006. Todas las clusulas de la ISO/IEC 17021:2006 continan siendo de aplicacin y

este documento no elimina ninguno de los requisitos en la norma. Este documento obligatorio no es exclusivo

para sistema de gestin de la calidad (SGC) y sistemas de gestin ambiental (SGA) y podra utilizarse para otros

sistemas de gestin.

0. INTRODUCCIN ................................................................................................................................... 1

1. DEFINICIN ......................................................................................................................................... 1

1.1. Transferencia de certificacin............................................................................................................ 1

2. REQUISITOS MNIMOS ........................................................................................................................ 22.1. Acreditacin ...................................................................................................................................... 22.2. Revisin antes de la transferencia ..................................................................................................... 22.3. Certificacin ...................................................................................................................................... 2

0.

INTRODUCCIN

0.1. Este anexo proporciona directrices para la transferencia de los certificados de sistemas de gestinentre las entidades de certificacin. Estos criterios tambin son aplicables en el caso de

adquisiciones entre entidades de certificacin acreditadas por un firmante del MLA de IAF.

0.2.

El objetivo de este documento es asegurar el mantenimiento de la integridad de las certificacionesde sistemas de gestin emitidas por una EC si van a ser transferidos posteriormente a otra EC.

0.3.

Se establecen unos requisitos mnimos para la transferencia de los certificados. Las entidades decertificacin pueden adoptar procedimientos o acciones de transferencia ms exigentes que locontenido en este documento con tal de que no se limite de manera indebida la libertad de unaorganizacin para elegir EC.

1. DEFINICIN

1.1.

Transferencia de certificacin

La transferencia de una certificacin se define como el reconocimiento de un certificado de sistema degestin existente y vlido concedido por una EC acreditada (de aqu en adelante denominada como la ECemisora), por otra EC acreditada (de aqu en adelante denominada la EC receptora) con el fin de emitir supropia certificacin.

Nota: En esta definicin no se incluye el caso de certificacin mltiple (un mismo sistema certificado por msde una EC). El IAF no fomenta este tipo de certificacin.


27/39



ISO/IEC 17021


Anexo V

2/4

2.

REQUISITOS MNIMOS

2.1. Acreditacin

Solamente debern ser objeto de transferencia los certificados que estn cubiertos por una acreditacin deun firmante del MLA de IAF. Las organizaciones que posean un certificado que no est cubierto por aquellasacreditaciones debern ser tratados como clientes nuevos.

2.2.

Revisin antes de la transferencia

Una persona competente de la EC receptora deber llevar a cabo una revisin de la situacin de lacertificacin del posible cliente. La revisin deber llevarse a cabo por medio de una revisin documental y,

normalmente, debera incluir una visita al potencial cliente. En caso excepcional de no llevarse a cabo lavisita, las razones para ello debern estar plenamente justificadas y documentadas. En cualquier caso, sedeber llevar a cabo la visita si no se puede establecer contacto al respecto con la EC emisora. La revisindebera cubrir los siguientes aspectos y sus hallazgos debern estar completamente documentados:

a) Confirmacin de que las actividades certificadas del cliente entran dentro del alcance acreditado de la ECreceptora.

b) Las razones para solicitar la transferencia.

c) Que el emplazamiento/s objeto del transfer estn cubiertos por un certificado acreditado y vlido, entrminos de autenticidad, duracin, alcance de las actividades cubiertas por el sistema de gestin. Si esposible, tanto la validez del certificado como el estado de las no conformidades abiertas deberan ser

verificados con la EC emisora, a menos que sta haya abandonado sus actividades. Si no fuera posibleponerse en contacto con la EC emisora, la EC receptora deber registrar las razones.

d) Un estudio de los ltimos informes de certificacin inicial o recertificacin, as como de los consiguientesinformes de seguimiento y cualquier no conformidad pendiente que haya surgido de cualquiera de ellos.Este estudio tambin debe incluir cualquier otra documentacin relevante disponible relativa al procesode certificacin, por ejemplo, notas de auditora, listas de comprobacin. Si los ltimos informes deauditora de certificacin inicial, recertificacin o seguimiento no estn disponibles o si el plazo para laauditora de seguimiento ha vencido, entonces la organizacin deber ser tratada como un nuevo cliente.

e) Quejas recibidas y acciones llevadas a cabo.

f) La etapa del ciclo actual de certificacin. Ver prrafo 2.3.4 de este documento y

g)

Cualquier compromiso actual de la organizacin con organismos oficiales relacionados con elcumplimiento legal.

2.3.

Certificacin

2.3.1.

Normalmente, la transferencia solamente debera ser de un certificado vigente vlido,pero en el caso de un certificado emitido por una EC que ha dejado de desarrollar suactividad o a la que le ha sido suspendida o retirada su acreditacin, la EC receptorapodra, a su propio criterio, considerar este certificado para transferirlo. En estos casos,antes de proceder con la transferencia, la EC receptora deber obtener el visto buenoprevio del organismo de acreditacin del que pretenda utilizar la marca. En el caso de

adquisicin de una entidad por otra, la EC receptora debera, cuando fuera posible,cumplir las obligaciones contractuales de la EC emisora.


28/39



ISO/IEC 17021


Anexo V

3/4

2.3.2.

Los certificados de los cuales se sepa que han sido suspendidos o estn en vas de

suspensin o amenazados de ello, no debern ser aceptados para transferirse. Si la ECreceptora no es capaz de comprobar el estado del certificado con la EC emisora, sesolicitar a la organizacin que confirme con la EC emisora, que el certificado no estsuspendido o bajo amenaza de suspensin.

2.3.3. Las no conformidades pendientes deberan cerrarse, si es posible, con la EC emisora antesde la transferencia. De otra manera, debern cerrarse por la EC receptora.

2.3.4.

Si no se identifican ms problemas pendientes o potenciales en la revisin pre-transferencia podra ser emitirse la certificacin siguiendo el proceso normal de toma dedecisin de la entidad. El programa de seguimientos en curso debera basarse en el perfilde la certificacin previa, a menos que, como resultado de la revisin, la EC receptora haya

llevado a cabo una auditora inicial o de recertificacin.

2.3.5. Cuando, despus de la revisin pre-transferencia, exista alguna duda de la adecuacin dela certificacin actual o una tenida previamente, la EC receptora deber, dependiendo dela magnitud de las dudas.

tratar al solicitante como un nuevo cliente, o bien

llevar a cabo una evaluacin concentrada en las reas donde se han identificadoproblemas.

La decisin sobre la accin requerida depender de la naturaleza y magnitud de losproblemas encontrados y deber explicarse a la organizacin. La EC deber documentar la

justificacin de esta decisin, manteniendo los registros correspondientes.

Nota aclaratoria de ENAC.

Estas Directrices, persiguen asegurar el mantenimiento de la integridad de la certificacin ante la eventualidad de

una transferencia de un certificado en aquellos casos en los que una empresa se ve en la necesidad de cambiar

de certificador ya sea porque ste deje de prestar sus servicios, pierda su acreditacin o por razones

empresariales tales como fusiones o compras entre empresas certificadas por dos certificadoras diferentes,

decisiones corporativas en un grupo de empresas que pretenden unificar sus certificados en una nica

certificacin o, en general, porque la empresa est insatisfecha con el servicio recibido .

Las Directrices no deben ser utilizadas por las entidades acreditadas como una herramienta comercial a la hora

de captar nuevos clientes ni, por tanto, ser ofrecidas como otra va a la certificacin.

Es necesario, por tanto remarcar, lo siguiente sobre el uso del Procedimiento de Transferencias:

1. La EC debe disponer de procedimientos y criterios documentados sobre la aplicacin del Procedimiento de

Transferencia de Certificados.

2. La aplicacin del Procedimiento de Transferencia de certificados solamente es posible a peticin del cliente y

tras el estudio caso a caso llevado a cabo por la entidad tal y como se establece en el apartado de Revisin

antes de la transferencia.

3.

La Revisin establecida en la clusula 2.2.1 de este anexo debe aplicarse en todos los casos. El que esta

revisin no incluya una visita al solicitante debe ser una excepcin y estar claramente justificada por la EC,

que debe tener criterios establecidos al respecto. En general, cuando la transferencia se haga sin el

conocimiento de la entidad emisora dicha visita se considerar imprescindible e independiente de cualquiervisita de evaluacin que se determine necesaria segn lo dispuesto en el prrafo 6. En particular, la entidad

receptora deber asegurarse de que: la validez del certificado existente, la ausencia de procesos

sancionadores al solicitante por parte de la entidad emisora, el estado de las no conformidades y su cierre, se


29/39



ISO/IEC 17021


Anexo V

4/4

verifican, cuando sea posible, con la EC emisora. De todo lo anterior debe mantenerse registros suficientes.

4.

El resultado de la revisin anterior debe justificar la decisin tomada por la entidad sobre si aplica la

clusula 2.3.4 o 2.3.5 de este Anexo.

5.

Si, en aplicacin de 2.3.5 del Anexo, la entidad decide tratar al cliente como un cliente nuevo dejan de ser

aplicables los requisitos y las alternativas establecidas en el Anexo de Transferencia.

6.

Si la entidad decide realizar una auditora limitada a algunas reas de la empresa donde se hayan detectado

problemas tambin son aplicables los requisitos y las alternativas del Anexo de Transferencia.

7.

Los documentos de certificacin emitidos de acuerdo con la clusula 2.3.4, debe tener fecha de emisin del

da en que se concede el nuevo certificado y establecer las condiciones de la validez del sistema de la entidad

receptora pero mantener la vigencia establecida en el certificado de origen.

8.

No obstante lo anterior y tal y como establece la clusula 2.3.4 las certificaciones concedidas haciendo uso

del Procedimiento de Transferencia deben, en cualquier caso, mantener el calendario de seguimientos y

reevaluaciones adoptado por el certificador emisor. (por ejemplo, si estaba planeada una visita de

seguimiento del certificado original, un mes despus de concedida la transferencia, esta deber llevarse a

cabo en esa fecha y no al ao de la emisin del certificado transferido). Este hecho debe ser comunicado al

solicitante al inicio del proceso. Sin embargo y tras el acuerdo previo con la organizacin, si se sustituye la

siguiente visita de seguimiento por una realizada en tiempos correspondientes a una de reevaluacin, seria

posible establecer como vigencia del certificado la correspondiente a un ciclo completo de certificacin.

9. Cualquier duda al respecto de la aplicacin de este Procedimiento deber ser tratada con ENAC antes de la

firma del contrato con el potencial cliente.

Las entidades de certificacin debern identificar a ENAC aquellas empresas a las que han certificado aplicando el

Procedimiento de Transferencia y mantendrn registros que avalen la correcta aplicacin de ste, en cada caso.


30/39



ISO/IEC 17021


Anexo VI

1/2

DOCUMENTO OBLIGATORIO DE IAF PARA EL USO DE TCNICAS DE AUDITORA ASISTIDAS POR ORDENADOR(TAAO)

Este es un documento obligatorio que permite la aplicacin coherente de la Norma ISO/IEC 17021:2006 cuando,

como parte de la metodologa de auditora, se utilizan tcnicas con asistencia informtica. No es obligatorio el

uso de las TAAO, pero si una EC y su cliente optan por usarlo, es obligatorio que se realice de acuerdo con este

documento y deben ser capaces de demostrar conformidad al organismo de acreditacin.

0. INTRODUCCIN ................................................................................................................................... 1

1. REQUISITOS ........................................................................................................................................ 11.1 Confidencialidad ............................................................................................................................... 11.2 Requisitos del proceso ...................................................................................................................... 2

0. INTRODUCCIN

0.1 Las tecnologas de informacin y comunicacin son cada vez ms sofisticadas y es importante paralas entidades de certificacin poder usar tcnicas de auditora asistidas por ordenador con el fin demejorar su eficiencia y la eficacia, y para soportar y mantener la integridad del proceso deauditora.

Nota: Se encuentra disponible contenido informativo sobre tcnicas de auditora asistidas porordenador de la pgina Web de ISO/IAF Auditing Practices Group.

www.iso.org/tc176/ISO9001AuditingPracticesGroup

0.2 Tales tcnicas de auditora asistidas por ordenador podran incluir, por ejemplo:o Teleconferencias,o Reuniones va Web,o Comunicaciones interactivas por Web,o Acceso electrnico remoto a la documentacin del sistema de gestin y/o procesos del

sistema de gestin.

0.3 Los objetivos para una aplicacin eficaz de las TAAO son:

a) Proporcionar una metodologa suficientemente flexible y no limitada en su naturaleza conel fin de satisfacer las necesidades de la industria, permitiendo a las organizaciones clientey sus respectivas entidades de certificacin usar las TAAO para mejorar el proceso deauditora convencional, y

b) Asegurar que se han implantado los controles adecuados con suficiente supervisin delorganismo de acreditacin para evitar abusos y prevenir excesivas presiones comercialesque podran comprometer la integridad del proceso de certificacin.

1. REQUISITOS

1.1 Confidencialidad

De acuerdo con la clusula 8.5.1 de ISO/IEC 17021, la seguridad y la confidencialidad de la informacinelectrnica o transmitida electrnicamente es particularmente importante cuando una EC usa las TAAO. LaEC debera acordar con su cliente medidas de seguridad de la informacin antes de usar las TAAO.
http://www.iso.org/tc176/ISO9001AuditingPracticesGrouphttp://www.iso.org/tc176/ISO9001AuditingPracticesGroup


31/39



ISO/IEC 17021


Anexo VI

2/2

1.2 Requisitos del proceso

1.2.1 Adicionalmente a la clusula 9.1.2 de ISO/IEC 17021, el programa de auditora deberaidentificar las tcnicas auditora asistidas por ordenador que se vayan a utilizar.

1.2.2 Adicionalmente a la clusula 9.1.3 de ISO/IEC 17021, si se utilizan TAAO, se debe ponerespecial atencin a la habilidad de

iso iec 17021 acreditacion

Documents