ISO 17021 AUDITORIA Y CERTIFICACION DE SISTEMAS DE GESTION

ISO/IEC 17021: Auditoría y certificación de Sistemas de Gestión

En esta oportunidad hablaremos de la serie ISO/IEC 17021: Auditoría y certificación de Sistemas de Gestión. Sigue leyendo para saber más.

En nuestro artículo Auditor Interno ¿Cómo certificarte? te explicamos el proceso para formarte como Auditor Interno. En esta oportunidad te explicaremos los aspectos clave para formarte como auditor líder.

Sin embargo, si aún tienes pocos conocimientos sobre el tema de Auditoría, te invitamos a ver el vídeo introductorio: Cómo ser un Auditor Interno Integral.

Cómo ser un Auditor Interno realmente integral

De qué habla la familia ISO/IEC 17021

La familia de normas ISO/IEC 17021 hablan de la auditoría por organismos de tercera parte para la certificación de Sistemas de Gestión.

Esta es una de las familias de la serie de Evaluación de la Conformidad. Es una norma publicada en 2015, en su última versión y reemplaza la emitida en 2011.

Esta norma se compone de 7 partes. La parte 1 habla de los requisitos para los Organismos que realizan Auditoría y Certificación de Sistemas de Gestión.

Las partes 2 a la 7 hablan de los requisitos de competencia para la auditoría y la certificación de sistemas de gestión, en el siguiente orden:

  • Ambiental
  • Calidad
  • Sostenibilidad de eventos
  • Activos
  • Continuidad del negocio
  • Seguridad vial.

Para qué sirve la norma ISO/IEC 17021

La norma ISO/IEC 17021 sirve para asegurar que los organismos que realizan auditoría y certificación de sistemas de gestión realicen sus actividades de manera competente, coherente e imparcial.

La certificación de sistemas de gestión es una actividades que hace parte de la evaluación de la conformidad de tercera parte. Los organismos que realizan estas actividades pueden ser públicos o privados, gubernamentales o no gubernamentales.

Conceptos básicos

Consultoría de sistema de gestión

Se refiere a la participación en el establecimiento, implementación o mantenimiento de un sistema de gestión.

No incluye actividades de formación. La excepción aplica si los cursos se limitan a proporcionar información genérica, mas no soluciones específicas para el cliente.

Tampoco incluye suministrar información genérica sin soluciones específicas para el cliente.

Auditoría de certificación

Es la auditoría realizada por una organización auditora independiente del cliente y de las partes que confían en la certificación. El propósito es la certificación del sistema de gestión del cliente.

Estas auditorías incluyen las siguientes:

  • Inicial
  • De seguimiento
  • De renovación
  • Especiales.

Las auditorías pueden incluir la modalidad conjunta, combinada o integrada.

Principios de la norma ISO/IEC 17021: Auditoría y Certificación de Sistemas de Gestión

Los principios proporcionan la base para el desempeño en la aplicación de los requisitos. Pueden aplicarse como orientación para tomar decisiones, pero no son exigencias en si mismos.

Se han establecido para aportar en el grado de confianza y fe pública de la evaluación imparcial y competente.

Los principios de la norma ISO/IEC 17021: Auditoría y Certificación de Sistemas de Gestión son:

Imparcialidad

Para inspirar confianza y asegurar decisiones basadas en evidencia objetiva.

Competencia

Del sistema de gestión, del proceso implementado y del personal del organismo de certificación.

Responsabilidad

De la empresa, en lograr la conformidad con los requisitos de la certificación y de evaluar la evidencia objetiva para sustentar las decisiones, por parte del organismo de certificación.

Transparencia

Proporcionando acceso público de la información apropiada y oportuna sobre los procesos de auditoría y certificación;

Confidencialidad

En la información necesaria para la auditoría y certificación.

Receptividad y respuesta oportuna a las quejas

Para proteger al organismo de certificación, sus clientes y otros usuarios contra errores, omisiones o comportamientos no razonables. Y,

Enfoque basado en el riesgo

Para garantizar la competencia, coherencia e imparcialidad en la prestación del servicio de certificación.

Requisitos Generales

La norma incluye los siguientes aspectos dentro de sus requisitos generales:

Temas legales y contractuales

Este ítem involucra aspectos como:

  • Responsabilidad legal,
  • Acuerdos de certificación, y
  • Responsabilidad por las decisiones de certificación.

Gestión de la imparcialidad

Este requisito cubre los compromisos de la alta dirección con la imparcialidad en sus actividades de certificación, lo que implica:

  • Tener una política de imparcialidad,
  • Contar con un proceso para la gestión de los riesgos que puedan generar conflictos de interés,
  • Evitar suministrar servicios de consultoría en sistemas de gestión;

Además, existen prácticas que expresamente deben evitarse, tales como:

  • Realizar auditorías internas a sus clientes, y
  • Certificar clientes que han recibido consultoría en sistemas de gestión por cualquier parte organismo que tenga relación con el organismo (Mínimo 2 años),
  • Contratar auditorías con organizaciones consultoras en sistemas de gestión,
  • Ofertar las actividades consultoría vinculadas con las de de auditoría y certificación,
  • Usar personal que realizado consultorías a los clientes, para tomar parte en auditorías o certificaciones.

Responsabilidad legal y financiación

Es requerido tomar acciones para cubrir las responsabilidades legales resultantes de las operaciones del organismo de certificación, lo cual incluye el uso de seguros o reservas, así como evaluar sus finanzas, fuentes de ingresos y otras presiones comerciales y financieras.

Requisitos relativos a la estructura

Estructura de la organización y alta dirección

Este requisito se refiere a la documentación y comunicación de los deberes, responsabilidades y la autoridad de la dirección y demás personal del organismo.

Control operacional

En este punto, la norma exige contar con mecanismos para controlar de manera eficaz las actividades de certificación, considerando el nivel apropiado, el método, las actividades, entre otros aspectos.

Requisitos relativos a los recursos

Competencia del personal

En este requisito se establecen las exigencias de aseguramiento del conocimiento y las habilidades apropiadas pertinentes para el personal que interviene directa e indirectamente en los procesos de auditoría y certificación.

Se eige determinar los criterios de competencia en función de cada tipo de norma o especificación, para cada área técnica y cada función del proceso de certificación.

También se requiere establecer procesos documentados de evaluación inicial de competencias, seguimiento continuo de las mismas y mejoramiento del desempeño del personal relacionado.

Estos procesos implican demostrar la competencia de los auditores y los líderes de equipos auditores.

También involucra contar con el número suficiente de auditores competentes para asegurar el cumplimiento de las necesidades en cuanto a demanda de auditorías.

Por otra parte, se refiere al empleo de acuerdos escritos para garantizar el cumplimiento de las políticas por parte de auditores y expertos técnicos individuales contratados externamente.

Finalmente describe cómo garantizar control en las condiciones para la subcontratación de otros organismos de certificación para realizar actividades de auditoría en nombre del organismo contratante. Esto incluye, asegurarse de que el tercero cumpla también con todas las disposiciones de la norma ISO/IEC 17021.

Requisitos relativos a la información

Información pública

Este numeral habla del mantenimiento público de información relacionada con los procesos de auditoría, los procesos de certificación, los tipos de sistemas y esquemas de certificación en los que opera, nombres y marcas de certificación, gestión de solicitudes, entre otros.

Documentos de certificación

Este ítem se refiere al suministro de documentos de certificación en el medio seleccionado por el cliente. Además, describe los elementos que deben contener estos documentos.

Referencia a la certificación y utilización de marcas

Aquí la norma exige contar con reglas para regir el uso de la marca de certificación del sistema de gestión, dirigido a los clientes certificados y autorizados para su uso.

También aclara de forma explícita la prohibición de su uso sobre productos, embalajes de productos o en informes de ensayo de laboratorio, calibración o inspección.

Por otra parte, exige controlar el uso de los derechos y actuar para tratar los casos de información incorrecta sobre el estado de la certificación o el uso engañoso de los documentos, marcas o informes de auditoría.

Intercambio de información entre el organismo de certificación y sus clientes

Esta información cubre los siguientes tipos:

  • Relativa a la actividad y a los requisitos de certificación, la cual debe ser proporcionada y actualizada continuamente a sus clientes, tales como tarifas, requisitos y requisitos para el proceso de certificación;
  • Notificaciones de cambios realizados por el organismo de certificación por parte del organismo y por parte del cliente certificado, tales como condiciones legales, comerciales, de propiedad, organización y gestión, direcciones de contacto, alcance de operaciones, entre otros.

Requisitos relativos a los procesos

Este es el requisito donde se describen las fases, etapas y actividades de auditoría para la certificación del cliente del organismo de certificación en el sistema de gestión solicitado.

Actividades previas a la certificación

Las actividades previas a la certificación involucran:

  • La solicitud del servicio de auditoría y certificación al organismo de certificación,
  • La revisión de la solicitud por parte del organismo de certificación y la respuesta de aceptación o rechazo de la misma,
  • El establecimiento del programa de auditoría para el ciclo completo de certificación incluyendo:
    • Una auditoría inicial en dos etapas,
    • Auditorías de seguimiento en el primer y segundo año después de la decisión de la certificación y
    • La auditoría de renovación en el tercer año, antes de la caducidad de la certificación
  • La determinación del tiempo de la auditoría, para lo cual se requieren procedimientos documentados,
  • El uso del muestreo multisitio, y
  • Las auditorías a sistemas de gestión basados en múltiples normas de gestión.

Planificación de auditorías

Durante la planificación, la norma solicita los siguientes elementos:

  • Determinar los objetivos, alcance y criterios de la auditoría,
  • Seleccionar el equipo auditor y asignar tareas para el líder del equipo auditor y los miembros del equipo,
  • Determinar la necesidad de observadores, expertos técnicos y guías.

Posteriormente exige preparar el plan de auditoría y comunicar diferentes elementos:

  • Las tareas del equipo auditor,
  • El plan de auditoría propiamente, y
  • La información relativa a los miembros del equipo auditor hacia el cliente.

Certificación inicial

Las actividades de certificación involucra la auditoría inicial, realizada en dos etapas:

  • La etapa 1, donde se revisa la información documentada del sistema de gestión del cliente y se evalúan las condiciones mínimas requeridas de preparación para la etapa 2.
  • La etapa 2, donde se evalúa la implementación y la eficacia del sistema de gestión del cliente, a través de recolección de evidencia objetiva in situ.

Realización de Auditorías

Las auditorías in situ exigen la aplicación de los siguientes pasos:

  • Realizar la reunión de apertura con los responsables de las funciones o procesos que se van a auditar,
  • Mantener la comunicación durante la auditoría para evaluar periódicamente el progreso de la misma e intercambiar información que permita determinar la continuodad o modificaciones del plan de auditoría;
  • Recopilar y verificar la información mediante muestreo apropiado y verificarla para convertirla en evidencia de auditoría;
  • Identificar y registrar los hallazgos de auditoría que resumen la conformidad y detallan las no conformidades;
  • Preparar las conclusiones de la auditoría teniendo en cuenta la incertidumbre inherente al proceso de auditoría;
  • Realizar la reunión de cierre formal con la dirección del cliente y los responsables de las funciones o procesos auditados; y
  • Elaborar, revisar y aprobar el informe de auditoría.

Luego de finalizada la auditoría, el cliente debe analizar las causas de las no conformidades para luego, emprender correcciones y acciones correctivas para eliminar las no conformidades detectadas.

Posteriormente, el organismo de certificación debe revisar las correcciones y acciones correctivas enviadas por el cliente, para determinar si son aceptables e informar la necesidad de auditorías adicionales completas, limitadas o evidencia documentada para confirmar durante auditorías futuras.

También, el organismo debe verificar la eficacia de las correcciones y acciones correctivas emprendidas.

Decisión de certificación

Surtido todo el proceso anterior, viene la decisión de certificación, tomada por personas o comités diferentes de aquellas que llevaron a cabo las auditorias, con la competencia apropiada y empleadas por, o con con acuerdos legalmente ejecutables con el organismo de certificación.

Antes de tomar la decisión de certificación, se debe revisar la información recopilada por el equipo auditor, incluyendo la revisión, aceptación de planes de acción para no conformidades menores y verificación de las correcciones y acciones correctivas, en el caso de las no conformidades mayores.

El líder del equipo auditor brinda la recomendación de otorgar o no la certificación, pero no toma la decisión final.

Mantenimiento de la certificación

El mantenimiento de la certificación se basa en la demostración de que el cliente continúa cumpliendo con los requisitos de la norma de referencia de sistema de gestión.

Para garantizarlo, se realizan actividades de vigilancia, auditorías in situ del cumplimiento de requisitos, solicitudes de información al cliente certificado, la revisión de declaraciones del cliente certificado sobre sus operaciones, solicitud de auditorías de seguimiento in situ, no siempre a todo el sistema de gestión del cliente.

La renovación de la certificación involucra también las siguientes actividades:

  • Planificar la auditoría de renovación
  • Realizar la auditoría de renovación, in situ, antes de la fecha de expiración de la certificación,
  • Tomar la decisión de renovar o suspender la certificación, según los resultados obtenidos antes de la fecha de expiración.

En el transcurso de los ciclos de auditoría, pueden conducirse auditorías especiales de ampliación de alcance, así como auditorías con notificación a corto plazo o sin anunciar.

Esto se hace con el fin de investigar quejas, respuesta a cambios o como seguimiento de clientes con certificaciones suspendidas.

Por otra parte, el organismo de certificación debe tener una política y procedimientos documentados para suspender, retirar o reducir el alcance de la certificación y debe definir las acciones que debe tomar en consecuencia.

Apelaciones

Las apelaciones son manifestaciones de insatisfacción los clientes del organismo de certificación, relacionadas con el no cumplimiento de alguno de los requisitos del acuerdo definido entre las partes.

El organismo de certificación debe contar con procesos documentados para recibir, evaluar y tomar decisiones relativas a las apelaciones a través de personas diferentes de las que llevaron a cabo las auditorías y tomaron las decisiones de certificación.

Quejas

Asimismo, el organismo de certificación debe ser responsable de todas las decisiones tomadas a todos los niveles del proceso de recepción, evaluación, validación, investigación y decisión final sobre las quejas.

Registros relativos a los clientes

En este requisito, se exige al organismo de certificación mantener los registros relativos a la actividad de auditoria y otras actividades de certificación de todos los clientes.

Lo anterior incluye su conservación de forma segura, así como su transporte, transmisión o transferencia. Por ello, se requiere contar con una política y procedimientos documentados para asegurar su cumplimiento.

Requisitos relativos al sistema de gestión

La norma plantea dos opciones para manejar este punto:

Opción A: Requisitos generales de un sistema de gestión, lo cual incluye:

  • Políticas y objetivos
  • Evidencias del compromiso con el sistema de gestión
  • Asignación de responsabilidades y autoridad para el sistema de gestión
  • Manual del sistema de gestión
  • Control de documentos
  • Control de registros
  • Auditorías internas,
  • Revisión por la dirección, y
  • Acciones correctivas.

Opción B: Requisitos del Sistema de Gestión de acuerdo con la norma ISO 9001. Para ello, la norma requiere incluir:

  • Los requisitos de diseño y desarrollo para sus servicios de certificación;
  • Considerar la credibilidad de la certificación y abordar las necesidades de todas las partes que confían en sus servicios, más allá de sus clientes; y
  • la inclusión de información relativa a apelaciones y quejas de usuarios de certificación y la revisión de la imparcialidad en la revisión por la dirección.

Para terminar, en los anexos se hace referencia a la siguiente información:

  • Anexo A: Conocimientos y habilidades requeridas que el organismo de certificación debe definir y verificar en las personas que hacen parte del proceso de auditoría y certificación.
  • B: Métodos posibles de evaluación, como guía mas no como requisito obligatorio.
  • C: Ejemplo de un diagrama de proceso para determinar y mantener la competencia.
  • D: Comportamientos personales deseados:
  • E: Proceso de auditoría y certificación resumido a manera informativa.

Con el fin de que puedas fortalecer tus habilidades, te invitamos a ver el vídeo Actitudes y Comportamientos de los Auditores.

Auditor HSEQ: Actitudes y Comportamientos

Conoce nuestros programas

Observa más contenido

×