cea-criterios csg - gta ct (14.08.15) cea-4.1-11

8/17/2019 Cea-criterios Csg - Gta Ct (14.08.15) Cea-4.1-11

1/59

CRITERIOS ESPECÍFICOS DE ACREDITACIÓNACREDITACIÓN DE ORGANISMOS DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN

CEA-4.1-11Versión 01

Página 1 de 59

CRITERIOS ESPECÍFICOS DE ACREDITACIÓNORGANISMOS DE CERTIFICACIÓN DE

SISTEMAS DE GESTIÓN

ISO/IEC 17021:2011

CEA-4.1-11 Versión 01

ELABORÓ: 2014-03-04

Equipo Proyecto de MejoraElaboró: Juan Carlos GonzálezRevisó: Rocío Montes, Juan Gracia,

Fernando ReyTraducción MD: Julieth Villarraga

REVISÓ: 2014-07-30

Gerardo Martínez D.Director TécnicoFerney Chaparro D.

Director Gestión Desarrollo y MejoraGrupo Técnico Asesor – GTA

(Ver integrantes www.onac.org.co)Concepto: 2014-08-14

Comité Técnico Consejo Directivo

APROBÓ: 2014-08-15

Francisco Javier Piedrahita DíazDirector Ejecutivo


2/59



Página 2 de 59

TABLA DE CONTENIDO

1. PROPÓSITO

2.

AUTORÍA3. INTRODUCCIÓN

4. ALCANCE

5. JUSTIFICACIÓN

6. DOCUMENTOS DE REFERENCIA

7. DEFINICIONES Y CONVENCIONES

8. DISPOSICIONES GENERALES

9. LINEAMIENTOS

10. NOTAS ACLARATORIAS

11. DOCUMENTOS RELACIONADOS

12.

CONTROL DE CAMBIOS13. ANEXOS


3/59



Página 3 de 59

1. PROPÓSITO

Establecer criterios para el cumplimiento eficaz de los requisitos de la ISO/IEC 17021:2011 “Evaluación de laconformidad. Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión” y de losdocumentos IAF MD, publicados por International Accreditation Forum – IAF con el fin de promover su correctaimplementación en las actividades de certificación de sistemas de gestión por parte de los organismos acreditados porONAC.

2. AUTORÍA

Este documento fue preparado por ONAC; en su elaboración y revisión participaron la Dirección Técnica, la CoordinaciónSectorial Certificación e Inspección, los evaluadores, los profesionales del equipo de proyecto mejora ONAC y el GrupoTécnico Asesor - GTA de organismos de certificación de sistema de gestión.

3. INTRODUCCIÓN

La ISO/IEC 17021:2011 establece los requisitos generales relativos a la competencia de los organismos que realizan la

certificación de Sistemas de Gestión. En algunos casos, es necesario establecer criterios que orienten la aplicación delos requisitos y sean adecuados a las condiciones particulares de Colombia, con el fin de facilitar su implementación porparte de los organismos de certificación de sistemas de gestión y la evaluación por parte de ONAC. Este documentoestablece criterios específicos que serán evaluados por ONAC en las evaluaciones de otorgamiento, mantenimiento,renovación, ampliación y extraordinarias, de la acreditación como OEC de sistemas de gestión.

La numeración de este documento coincide con la establecida en la ISO/IEC 17021:2011 para facilitar su identificación.

Los anexos contienen la traducción, no oficial, de los siguientes documentos obligatorios de IAF:

1. IAF MD 1:2007 Certification of Multiple Sites Based on Sampling

2. IAF MD 2:2007 Transfer of Accredited Certification of Management Systems

3. IAF-MD 3:2008 Advanced Surveillance and Recertification Procedures (ASRP)

4.

IAF MD 4:2008 Use of Computer Assisted Auditing Techniques ("CAAT") for Accredited Certification ofManagement Systems

5. IAF MD 5:2013 Duration of QMS and EMS Audits

6. IAF MD 9:2011 Application of ISO/IEC 17021 in Medical Device Quality Management Systems (ISO 13485)

7. IAF MD 11:2013 Application of ISO/IEC 17021 for Audits of Integrated Management Systems (IMS)

El término “debe” se utiliza a lo largo de este documento para indicar aquellas disposiciones que son obligatorias. Eltérmino “debería” se utiliza para indicar directrices de acuerdo con la misma interpretación que proporciona IAF/IAAC, esdecir, que son requisitos obligatorios aunque pueden tener un enfoque de implementación y aplicación según el alcancede acreditación de cada OEC de sistemas de gestión.

4. ALCANCE

Los criterios y directrices de este documento, deben ser aplicados por los organismos de certificación de sistemas degestión acreditados y los que solicitan la acreditación o la ampliación de su alcance, ante ONAC. Al igual, que losdocumentos que se relacionan a continuación:

4.1 ISO/IEC 17021-2 Evaluación de la conformidad. Requisitos para los organismos que realizan la auditoría y lacertificación de sistemas de gestión. Parte 2: Requisitos de competencia para la auditoría y la certificación desistemas de gestión ambiental.


4/59



Página 4 de 59

4.2 ISO/IEC 17021-3 Evaluación de la conformidad. Requisitos para los organismos que realizan la auditoría y lacertificación de sistemas de gestión. Parte 3: Requisitos de competencia para la auditoría y la certificación desistemas de gestión de la calidad.

4.3 IAF MD 1:2007 Certification of Multiple Sites Based on Sampling. Certificación multi-sitio basada en el muestreo.

4.4 IAF MD 2:2007 Transfer of Accredited Certification of Management Systems. Transferencia de la certificaciónacreditada de sistemas de gestión.

4.5 IAF MD 3:2008 Advanced Surveillance and Recertification Procedures. Procedimientos avanzados deseguimiento y recertificación.

4.6 IAF MD 4:2008 Use of Computer Assisted Auditing Techniques ("CAAT") for Accredited Certification ofManagement Systems. Uso de Técnicas de Auditoría Asistidas por Computadora “CAAT” para la certificaciónacreditada de sistemas de gestión.

4.7 MD 5:2013 Duration of QMS and EMS Audits. Duración de las auditorías de sistemas de gestión de la calidad yambiental.

4.8 IAF MD 9:2011 Application of ISO/IEC 17021 in Medical Device Quality Management Systems (ISO 13485).Aplicación de la ISO/IEC 17021 en sistemas de gestión de dispositivos médicos (ISO 13485).

4.9 IAF MD 11:2013 Application of ISO/IEC 17021 for Audits of Integrated Management Systems (IMS). Aplicaciónde ISO/IEC 17021 para auditorías de sistemas integrados de gestión.

5. JUSTIFICACIÓN

Los Organismos de Acreditación miembros del IAF y sus organismos acreditados, tienen como requisito cumplir lasnormas internacionales y los documentos obligatorios de IAF para la aplicación consistente de esas normas. En talsentido, ONAC establece este Criterio Especifico de Acreditación – CEA, para dar cumplimiento a los requisitosestablecidos a nivel internacional y facilitar la implementación de políticas y procedimientos de la CooperaciónInteramericana de Acreditación (IAAC)y la International Accreditation Forum– IAF y para establecer, mantener y ampliarel Acuerdo de Reconocimiento Multilateral (MLA de IAAC) entre los organismos de acreditación que son signatarios delMemorando de Entendimiento (MoU de IAAC).

6. DOCUMENTOS DE REFERENCIA

Para la elaboración de este documento se tuvieron en cuenta criterios y/o recomendaciones establecidos en lossiguientes documentos:

6.1 NTC-ISO/IEC 17021: 2011. Evaluación de la conformidad. Requisitos para los organismos que realizan laauditoría y la certificación de sistemas de gestión.

6.2 ISO/IEC 17021-2 Evaluación de la conformidad. Requisitos para los organismos que realizan la auditoría y lacertificación de sistemas de gestión. Parte 2: Requisitos de competencia para la auditoría y la certificación desistemas de gestión ambiental.

6.3 ISO/IEC 17021-3 Evaluación de la conformidad. Requisitos para los organismos que realizan la auditoría y la

certificación de sistemas de gestión. Parte 3: Requisitos de competencia para la auditoría y la certificación desistemas de gestión de la calidad.

6.4 NTC-ISO 9001 Sistemas de Gestión de la Calidad. Requisitos

6.5 NTC-ISO 14001 Sistemas de Gestión Ambiental. Requisitos

6.6 NTC ISO OHSAS 18001 Sistema de Gestión en Seguridad y Salud Ocupacional. Requisitos

6.7 NTC-ISO 22000 Sistema de Gestión de Inocuidad de los alimentos. Requisitos para cualquier organización en lacadena alimentaria.

6.8 NTC-ISO 13485 Dispositivos médicos. Sistema de Gestión de la calidad. Requisitos para propósitosregulatorios.


5/59



Página 5 de 59

6.9 NTC-ISO/IEC27001 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridadde información (SGSI). Requisitos.

6.10 ISO/TS 22003 Food safety management systems - Requirements for bodies providing audit and certification offood safety management systems.

6.11 ISO/IEC 27006 Information technology - Security techniques - Requirements for bodies providing audit andcertification of information security management systems.

6.12 ISO 28003 Principles and requirements for bodies providing the audit and certification of supply chain securitymanagement systems according to management system specifications and standards such as ISO 28000.

6.13 IAF MD 1:2007 Certification of Multiple Sites Based on Sampling

6.14 IAF MD 2:2007 Transfer of Accredited Certification of Management Systems

6.15 IAF MD 3:2008 Advanced Surveillance and Recertification Procedures

6.16 IAF MD 4:2008 Computer Assisted Auditing Techniques (“CAAT”) for Accredited Certification of ManagementSystems

6.17 IAF MD 5:2013 Duration of QMS and EMS Audits

6.18

IAF MD 9:2011Application of ISO/IEC 17021 in Medical Device Quality Management Systems (ISO 13485)6.19 IAF MD 10:2013 Assessment of Certification Body Management of Competence in Accordance with ISO/IEC

17021: 2011

6.20 [20] IAF MD 11:2013 Issue 1, Version 3. IAF Mandatory Document for the application of ISO/IEC 17021 forAudits of Integrated Management Systems

6.21 [21] IAF MD 12:2013 Issue 1. Assessment of Certification Activities for Cross Frontier Accreditation

6.22 [22] IAF ID 1:2007. IAF Informative Document for QMS Scopes of Accreditation

6.23 [23] CGA-ENAC-CSG Rev. 6 Abril 2012. Criterios Generales de Acreditación de Entidades de Certificación quellevan a cabo la Certificación de Sistemas de Gestión según norma UNE EN ISO/IEC 17021

6.24 [24] CEA-ENAC-16 Rev. 4 Septiembre 2013. Certificación de Sistemas de Gestión de la Calidad y Ambiental.Criterios Específicos de Acreditación

6.25 [25] JAS-ANZ Procedure 2, Part 1 Issue 3:2011. Requirements for bodies providing audit and certification ofOccupational Health and Safety Management Systems.

7. DEFINICIONES Y ABREVIATURAS

Aplican los términos y definiciones incluidas en las normas ISO/IEC 17000, ISO/IEC 17021 e ISO/IEC TS 17023.En estedocumento se utilizan las siguientes abreviaturas o siglas:

- IAAC InterAmerican Accreditation Cooperation

- IAF International Accreditation Forum

- MLA Acuerdo multilateral de reconocimiento (Multa-Lateral Agreement)

- MoU Memorando de Entendimiento (Memorandum of Understanding)

- ONAC Organismo Nacional de Acreditación de Colombia

- OEC Organismos de Evaluación de la Conformidad

- OA Organismo de Acreditación


6/59



Página 6 de 59

8. DISPOSICIONES GENERALES

Los criterios específicos de acreditación descritos en este documento, no adicionan o disminuyen los requisitos de laISO/IEC 17021:2011 y aplican a todas las evaluaciones realizadas a los organismos de certificación de sistemas degestión, a partir del 30 de junio de 2014.

9. CRITERIOS ESPECÍFICOS

A continuación se presentan los numerales de la ISO/IEC 17021:2011, indicándose, cuando sea necesario, criteriosespecíficos de ONAC de acuerdo con los documentos mandatorios de IAF.

(5) REQUISITOS GENERALES

(5.1.2) Acuerdo de certificación

! Es el contrato o similar que firman el OEC y su cliente en el que se establecen los términos de prestacióndel servicio de certificación.

! Cuando un cliente establece en un contrato de certificación de sistema de gestión disposiciones o

requisitos adicionales (por ejemplo programa de auditoría diferente al especificado en ISO/IEC 17021,duración del ciclo de certificación diferente a 3 años, duración de auditoría, condiciones que infrinjan losrequisitos de independencia e imparcialidad, entre otros) el OEC debe revisar antes de suscribir elcontrato, que estos requisitos adicionales no afectan el cumplimiento de los requisitos de la normaISO/IEC 17021 o de los requisitos de los documentos IAF MD.

! El OEC debe adoptar las disposiciones necesarias para asegurar que sus clientes acepten la testificaciónde las auditorías por parte de ONAC.

(6.) REQUISITOS RELATIVOS A LA ESTRUCTURA

(6.2)Comité para la preservación de la imparcialidad

! El OEC debe asegurar que todas las actividades y las decisiones del comité de imparcialidad estén libresde presiones que pueda ejercer la Alta dirección de acuerdo con el numeral 6.2.2 (c) de la norma ISO

17021.(7.) REQUISITOS RELATIVOS A LOS RECURSOS

(7.1.1) El OEC debe implementar y demostrar que se mantiene implementado el cumplimiento de los requisitos deacuerdo a las normas que se relacionan a continuación:

- ISO/IEC TS 17021-2 para los auditores en el esquema de certificación de sistema de gestión ambiental deacuerdo con la norma ISO 14001.

- ISO/IEC TS 17021-3 para los auditores en el esquema de certificación de sistema de gestión de la calidad(tales como ISO 9001, ISO/TS 29001, NTC 5555, NTCGP 1000).

- ISO/TS 22003 para la certificación de sistemas de gestión de inocuidad de los alimentos.- ISO 28003 para la certificación de sistema de gestión de seguridad en la cadena de suministro (ISO 28000).- IAF MD 9 Aplicación de la ISO/IEC 17021 en sistemas de gestión de dispositivos médicos (ISO 13485).

! Para ello, ONAC verifica que el OEC demuestre que su personal involucrado en las actividades decertificación cuente con la competencia requerida y que haya definido el proceso de certificación y losresultados esperados en cada actividad de la certificación. La evaluación de ONAC a la competencia delpersonal del OEC está enfocada en:

- Los procesos documentados del OEC para determinar los criterios de competencia.

- Los resultados de los procesos para determinar criterios de competencia.

- Las evaluaciones realizadas al personal del OEC.

- Los resultados esperados en cada actividad de la certificación.


7/59



Página 7 de 59

- La determinación de las actividades de certificación.

- Los criterios de competencia se aplican a las funciones de certificación de acuerdo a loespecificado en el Anexo A de la ISO/IEC 17021 y lo establecido en la ISO/IEC /TS 17021partes 2 y 3, ISO/TS 22003.

- Los registros adecuados de la implementación y operación eficaz de sus procesos, para ladeterminación y evaluación de la competencia; y que puedan demostrar que sus métodos deevaluación son eficaces.

- Definición de las áreas técnicas para las cuales se emite una certificación acreditada y si loscriterios de competencia documentados del área técnica de los organismos de certificación:

! Han sido formulados en términos de la competencia.

! Cubre todos los aspectos relevantes de esa área técnica, es decir, contar con todo elconocimiento relevante (por ejemplo, los requisitos legales aplicables, los procesos, losproductos, las técnicas de control).

! Se ha documentado la experiencia necesaria para establecer y mantener los criteriosde competencia de cada área técnica.

! Que el proceso del OEC para determinar el criterio de competencia, identifique elconocimiento y las habilidades necesarias para el personal que desarrolla todas lasactividades de la certificación en cada una de sus áreas técnicas y para cada norma oespecificación de sistema de gestión.

! Que el proceso para determinar el criterio de competencia, identifique el conocimientoy las habilidades necesarias, para el personal que desarrolla todas las funciones decertificación descritas en el Anexo A de la norma ISO/IEC 17021para cada esquema decertificación de sistema de gestión.

- La documentación de los procesos para la evaluación inicial y la evaluación permanente de lacompetencia de todo el personal implicado en la gestión y el desarrollo de todas las funcionesde la certificación.

-

La capacidad demostrada por el OEC, basada en el desarrollo de una evaluación de losresultados de la actividad de la certificación correspondiente, por ejemplo, registros, informes uotra información, la cual puede contribuir a demostrar que el personal tiene el conocimiento yhabilidades requeridas por el criterio de competencia documentado.

- El desarrollo de su propia evaluación, cuando el OEC emplee personal externo y personalnuevo, que ha sido evaluado por un organismo par acreditado.

- La capacidad del OEC para identificar cuándo un retiro de personal tiene un impacto sobre lacompetencia de todo el organismo.

(8.) REQUISITOS RELATIVOS A LA INFORMACIÓN

(8.1) información accesible al público

(8.1.4) En el caso que la información suministrada sea por solicitud, el OEC debe disponer de un sistema quegarantice que cualquier solicitud sea adecuadamente registrada y respondida oportunamente.

(8.3)Lista de clientes certificados

! En el caso de que la lista no esté accesible directamente al público, el OEC debe disponer de un sistemaque garantice que cualquier solicitud de la lista y su envío es adecuadamente registrado y oportuno.


8/59



Página 8 de 59

(9.) REQUISITOS RELATIVOS A LOS PROCESOS

(9.1.1) Programa de auditoría

! En los casos que el OEC aplique la transferencia de la certificación acreditada de sistemas de gestión,

debe ajustar su metodología para la aplicación consistente de este numeral siguiendo lo establecido enIAF MD 2. No es factible aceptar transferencias de certificaciones emitidas por organismos que no esténacreditados por un organismo de acreditación reconocido en el MLA de IAF. La transferencia decertificaciones acreditadas aplicará a partir del momento en que ONAC sea reconocido en el MLA deIAF.

! Normalmente sólo deberían transferirse certificaciones acreditadas válidas. En los casos en que se hayaotorgado la certificación por parte de un OEC que haya suspendido su actividad comercial o cuyaacreditación haya expirado o haya sido suspendida o retirada o revocada, el OEC que acepta, puedeconsiderar tal certificación para la transferencia a su propia discreción. En tales casos, antes de procedercon la transferencia, el OEC que acepta, debe obtener la aceptación de ONAC, si tiene la intención deincluir la marca de acreditación ONAC en el certificado. En el caso de adquisiciones, el OEC queadquiere debería, cuando fuera práctico, cumplir con las obligaciones contractuales del OEC adquirido.

!

El uso de procedimientos avanzados de seguimiento y recertificación – ASRP (por sus siglas en inglés),no es obligatorio y ONAC, en el caso de su uso, evaluará el cumplimiento del documento mandatorioIAF MD 3. El OEC que esté interesado en aplicar las disposiciones del documento IAF MD 3, debesolicitarlo a ONAC en el formulario de solicitud de la acreditación y debe especificar que lo aplica en suManual de Calidad. El uso de los procedimientos avanzados de seguimiento y recertificación ASRPpodrán ser empleados a partir del momento en que ONAC sea reconocido en el MLA de IAF.

! El OEC debe indicar en su manual de calidad y en la solicitud de acreditación a ONAC la opciónadoptada de las especificadas en el numeral 10 de la ISO/IEC 17021. ONAC en los informes deevaluación y los certificados de acreditación debe establecer la opción seleccionada por el OEC.

(9.1.2) Plan de auditoría. Aplicación de IAF MD 4

! El uso de técnicas de auditoría asistida por computador (CAAT) no es obligatorio, pero si un OEC y su

cliente optan por su uso, debe aplicarse el IAF MD 4 y demostrar a ONAC su implementación, cuandosea requerido.

! En caso que el OEC decida aplicar el uso de técnicas de auditoría asistida por computadora, puedeajustar su metodología y si decide hacerlo, debe aplicar lo concerniente de este numeral, según loestablecido en el IAF MD 4.El uso de esta metodología debe estar registrada en el plan de auditoría.

! ONAC verificará en las evaluaciones regulares la aplicación de esta metodología por parte de los OEC yrevisará y validará las razones que tuvo el organismo para su uso y que el tiempo máximo empleado nosea mayor al 30% del tiempo total de la auditoría.

! Esta metodología no debe ser usada como una herramienta para disminuir la duración de la auditoría.

! Esta metodología no debe ser usada para la verificación de cumplimiento de requisitos de sistema degestión en los procesos de realización del producto (numerales 6.3, 6.4, 7, 8.2.3, 8.2.4, 8.3 de la ISO9001 como tampoco de los de control operacional y preparación y respuesta ante emergencias(numerales 4.4.6 y 4.4.7) de ISO 14001.

! Esta técnica solo aplica para auditorías de sistemas de gestión con las normas ISO 9001 e ISO 14001

(9.1.4) Determinación del tiempo de auditoría

! Para la determinación delos tiempos de auditoría, el OEC debe ajustar su metodología a lo establecidoen el IAF MD 5 e IAF MD 11.

! El OEC puede considerar en la definición de su procedimiento para determinar el tiempo de auditoría,adicional a lo establecido en el numeral 9.1.4 de ISO/IEC 17021, las directrices de ISO/IEC TS 17023.

! El OEC debe siempre determinar el tiempo de auditoría en función de los requisitos del numeral 9.1.4 deISO/IEC 17021 y lo especificado en sus procedimientos definidos para tal fin.


9/59



Página 9 de 59

! Los OEC de sistemas de gestión de inocuidad de los alimentos, deben demostrar la implementación delos criterios específicos establecidos en la ISO/TS 22003.

! La determinación del tiempo de las auditorías con la ISO13485, debe realizarse de acuerdo aldocumento IAF MD 9.

! La determinación de tiempos de auditoría para la certificación de las normas NTC 5555, ISO TS 29001 yla NTCGP 1000, se debe realizar de acuerdo documento IAF MD 5 de sistema de gestión de la calidad.

! Para cada cliente, el OEC debe determinar el tiempo necesario para planificar y realizar una auditoríacompleta y eficaz del sistema de gestión. El tiempo de auditoría determinado por el OEC y su justificación debe registrarse. Cuando un OEC aplique reducciones respecto a la tabla de t iempo mínimoestablecido en las Tablas del IAF MD 5, su justificación se debe registrar y debe estar disponible en lasevaluaciones de ONAC o por petición expresa.

! En los casos de certificación de sistemas de gestión de calidad y ambiental, cuando sea aplicable elmuestreo por multi-sitio en la determinación de los tiempos de auditoría, se debe considerar el necesariopara auditar el número mínimo de sitios permanentes que se toman como muestra.

(9.1.5) Muestreo multi-sitio

!

El OEC debe verificar si la organización cumple los criterios de elegibilidad para muestra por multi-sitioestablecidos en el IAF MD 1 o la norma ISO/TS 22003, según aplique, para decidir si es aplicable estametodología. El tamaño mínimo de sitios permanente de la muestra, diferentes al principal debe estar deacuerdo con lo establecido en la ISO/TS 22003 y el Anexo 1 - IAF MD 1Certificación Multi-sitio Basadaen el Muestreo.

10. NOTAS ACLARATORIAS

Notas aclaratorias de ONAC a los documentos mandatorios de IAF.

NOTA ACLARATORIA AL ANEXO 2 IAF MD 2

Documento obligatorio para la Transferencia de la Certificación Acreditada de Sistemas de Gestión Estas directrices, tienen como objetivo asegurar el mantenimiento de la integridad de la certificación ante la eventualidadde una transferencia de un certificado, en aquellos casos en los que una empresa se ve en la necesidad de cambiar decertificador, ya sea porque éste deje de prestar sus servicios, pierda su acreditación o por razones empresariales talescomo fusiones o compras entre empresas certificadas por dos certificadoras diferentes, decisiones corporativas de ungrupo de empresas que pretenden unificar sus certificados en una única certificación o, en general, porque la empresaestá insatisfecha con el servicio recibido.

Las directrices no deben ser utilizadas por los organismos de certificación acreditados como una herramienta comercialpara captar nuevos clientes ni, por tanto, ser ofrecidas como “otra vía” a la certificación.

Es necesario, destacar lo siguiente, sobre el uso del procedimiento de transferencias:

!

El OEC que recibe la certificación debe disponer de procedimientos y criterios documentados sobre la aplicaciónde transferencia de certificados.

! La aplicación del procedimiento de transferencia de certificados, solamente es posible a petición del cliente ytras el estudio del caso llevado a cabo por el OEC tal y como se establece en el apartado de “Revisión pre-transferencia”.

! La revisión establecida en el numeral 2.2.1 del anexo 2, debe aplicarse en todos los casos; que la revisión noincluya una visita al solicitante debe ser una excepción y estar claramente justificada por el OEC, que debetener criterios establecidos al respecto. En general, cuando la transferencia se haga sin el conocimiento delOEC emisor, dicha visita se considerará imprescindible e independiente de cualquier visita de auditoría que se


10/59



Página 10 de 59

determine necesaria. En particular, el OEC receptor deberá asegurarse de que la validez del certificadoexistente; la ausencia de procesos sancionatorios al solicitante por parte del OEC emisor; el estado de las noconformidades y su resolución, son verificadas, con el OEC emisor, cuando sea posible. De todo lo anteriordeben mantenerse los registros pertinentes.

! El resultado de la revisión anterior, debe justificar la decisión tomada por el OEC sobre si aplica la cláusula 2.3.4o 2.3.5 del Anexo 2.

! Los documentos de certificación emitidos de acuerdo con la cláusula 2.3.4 del anexo 2, deben tener la fecha deemisión del día en que se concede el nuevo certificado y establecer las condiciones de la validez del sistema degestión del OEC receptor pero mantener la vigencia establecida en el certificado de origen.

11. DOCUMENTOS RELACIONADOS

R-AC-01. Reglas del servicio de acreditación

12. CONTROL DE CAMBIOS

Versión Fecha de emisión Resumen de cambios

01 2014-07-28 Versión original

13. ANEXOS

A continuación y como orientación para su implementación, se relacionan las traducciones libres de los documentosmandatarios de IAF, elaborados por ONAC o IAAC. Sin embargo, para dirimir una diferencia o apelación, se tendrá encuenta los documentos publicados en la página web: http://www.iaf.nu/articles/Mandatory_Documents_/38 ohttp://www.iaf.nu/


11/59



Página 11 de 59

ANEXO 1

IAF MD 1:2007 Publicación 1

Certificación Multi-sitio Basada en el MuestreoEste documento es una traducción al español preparada y endosada por IAAC, del documento

“IAF Mandatory Document for the Certification of Multiple Sites Based on Sampling”

Este documento es obligatorio para la aplicación consistente del Apartado 9.1.5 de la ISO/IEC 17021:2011y se basa en laguía que se facilitó previamente en IAF GD2:2005, Apéndice 3 e IAF GD6:2003, apartado G.5.3.5 – G.5.3.13. Todos losapartados de ISO/IEC 17021:2006 continúan siendo aplicables y este documento no sustituye ninguno de los requisitosde esa norma. Este documento obligatorio no es exclusivo para los Sistemas de Gestión de Calidad (SGC) ni para losSistemas de Gestión Ambiental (SGA) y puede utilizarse para otros sistemas de gestión. Sin embargo, las normaspertinentes pueden brindar los requisitos específicos para los multi-sitio o excluir el uso del muestreo (ej. ISO/IEC 27006,ISO/TS 22003).

0

INTRODUCCIÓN0.1 Este documento es para la auditoría y, si fuera adecuado, para la certificación de los sistemas de gestión en

organizaciones con una red de sitios para asegurar que la auditoría proporciona la confianza adecuada sobre laconformidad del sistema de gestión con la norma pertinente a través de todos los sitios listados y que la auditoríasea práctica y viable en términos económicos y operativos.

0.2 Normalmente las auditorías iniciales de certificación y las subsecuentes auditorías de seguimiento y renovaciónde la certificación, deben llevarse a cabo en cada sitio de la organización que vaya a ser cubierto por lacertificación. Sin embargo, cuando la actividad de la organización que sea sujeta a certificación se lleve a cabo deforma similar en diferentes sitios, todos bajo la autoridad y control de la organización, un OEC puede poner enoperación procedimientos apropiados para el muestreo de los sitios en la auditoría inicial y las posterioresauditorías de seguimiento y recertificación. Este documento establece las condiciones bajo las cuales esto esaceptable para los organismos de certificación acreditados, incluyendo el cálculo del tamaño de la muestra y laduración de la auditoría.

0.3 Este documento no aplica a las auditorías de las organizaciones que cuentan con sitios múltiples donde se utilizanprocesos o actividades que son fundamentalmente distintos, en los diferentes sitios, o una combinación de sitios,aun cuando estén bajo el mismo sistema de gestión.

0.4 Las condiciones bajo las cuales los organismos de certificación pueden realizar cualquier reducción en la auditoríatotal normal de cada sitio, en estas circunstancias, tiene que justificarse en cada sitio donde se proponga unareducción.

Este documento es aplicable a los organismos de certificación acreditados que emplean el muestreo en susauditorías y certificación de organizaciones multi-sitios. No obstante, un OEC acreditado puede desviarseexcepcionalmente de este documento bajo la condición de que pueda producir justificaciones pertinentes. Estas justificaciones deben, bajo la evaluación por parte del organismo de acreditación, demostrar que el mismo nivel de

confianza puede ser obtenido en la conformidad del sistema de gestión en todos los sitios listados.0.5 Cuando una organización se considere candidata para la certificación basada en el muestreo, el OEC debe contar

con los acuerdos para explicar la aplicación de este documento a la organización previo al inicio de la auditoría.

1. DEFINICIONES

1.1 Organización

El término organización se utiliza para designar a cualquier compañía u otra organización con un sistema degestión sujeto a auditoría y certificación.


12/59



Página 12 de 59

1.2 Sitio

Un sitio es un lugar permanente donde una organización realiza su trabajo o servicio.

1.3 Sitio Temporal

Un sitio temporal es aquél establecido por una organización para desempeñar un trabajo específico o un serviciopor un período de tiempo finito, y que no se convertirá en un lugar permanente. (Por ejemplo: sitio deconstrucción).

1.4 Sitios Adicionales

Un sitio nuevo o grupo de sitios que serán agregados a una red de multi-sitios certificados.

1.5 Organización Multi-sitio

Una organización multi-sitio se define como una organización que cuenta con una función central identificada(de aquí en adelante nombrado como una oficina central – pero no necesariamente la oficina principal de laorganización), en donde se planean, controlan o gestionan ciertas actividades, y una red de oficinas locales osucursales (sitios) en donde tales actividades se llevan a cabo de forma total o parcial.

2. SOLICITUD

2.1 Sitio2.1.1 Un sitio podría incluir toda la tierra donde se llevan a cabo las actividades bajo el control de una organización en

una locación dada, lo que incluye cualquier almacén de materias primas, subproductos, productos intermedios,productos finales y material de desecho, y cualquier equipo o infraestructura, involucrado en las actividades, yasean fijas o no. Alternativamente, cuando lo requiera la ley, deben aplicar las definiciones establecidas sobre lossistemas de licencias nacionales o locales.

2.1.2 Cuando no sea practico definir una locación (ej. para los servicios), la cobertura de la certificación debería tomaren cuenta las actividades de las oficinas centrales de la organización, así como la prestación de sus servicios.Donde sea relevante, el OEC puede decidir que la auditoría de certificación será realizada solamente donde laorganización brinda sus servicios. En tales casos, todas las interfaces con su oficina central deben seridentificadas y auditadas.

2.2 Sitio Temporal2.2.1 Los sitios temporales que están cubiertos por el sistema de gestión de la organización pueden estar sometidos

a auditoría en base a muestreo, para brindar evidencia de la operación y eficacia del sistema de gestión.Pueden, sin embargo, estar incluidos dentro del ámbito de la certificación multi-sitio sujeto a un acuerdo entre elOEC y la organización cliente. Cuando se incluya en el alcance, tales sitios deben identificarse comotemporales.

3. ELIGIBILIDAD DE UNA ORGANIZACIÓN PARA EL MUESTREO

3.0.1 Los procesos en todos los sitios tienen que ser sustancialmente de la misma naturaleza y tienen que operarsecon métodos y procedimientos similares. Donde algunos de los sitios bajo consideración se operan de formasimilar, pero con menos procesos que otros, pueden ser elegibles para la inclusión bajo la certificación multi-sitiosiempre y cuando el/los sitio(es) que llevan a cabo la mayoría de los procesos, o los procesos críticos, seansometidos a una auditoría completa.

3.0.3 El sistema de gestión de la organización debe estar bajo un plan administrado y controlado de forma central ydebe estar sujeto a la revisión por la dirección central. Todos los sitios relevantes, (incluida la función de laadministración central), deben estar sujetos al programa de auditoría interna de la organización y todos debenhaber sido auditados según ese programa, previo a que el OEC inicie su auditoría.

3.0.4 Se debe demostrar que la oficina central de la organización ha establecido un sistema de gestión de acuerdocon la norma aplicable al sistema de gestión bajo auditoría y que toda la organización cumple con los requisitosde la norma. Esto debe incluir la consideración del marco legal aplicable.


13/59



Página 13 de 59

3.0.5 La organización debería demostrar su habilidad para reunir y analizar los datos, (que incluye pero no se limita alos puntos listados a continuación), de todos los sitios incluyendo la oficina central y sus autoridades; y tambiéndemostrar su autoridad y capacidad para iniciar un cambio organizacional si se requiere:

! Documentación del sistema y cambios del sistema;

! Revisión por la Dirección;

! Quejas;

! Evaluación de las acciones correctivas;

! Planificación de auditoría interna y evaluación de los resultados;

! Cambios de aspectos e impactos asociados con los sistemas de gestión ambiental (SGA) y

! Diferentes requisitos legales.

3.0.6 No todas las organizaciones que cumplan con la definición de “organización multi-sitio” serán elegibles para elmuestreo.

3.0.7 No todas las normas de los sistemas de gestión son aptas para la consideración de la certificación multi-sitio.Por ejemplo, el muestreo en multi-sitio no sería adecuado cuando la auditoría de los factores locales variables

sea un requisito de la norma. Las reglas específicas aplican también para algunos esquemas, por ejemploaquellos que incluyen automotores (TS 16949) y aeroespacial (serie AS 9100) y los requisitos de talesesquemas deben tener prioridad.

4.1 Revisión del Contrato

4.1.1 Los procedimientos del OEC deberían asegurar que la revisión inicial del contrato identifica la complejidad, y laescala de las actividades cubiertas por el sistema de gestión sometido a certificación, y cualquier diferenciaentre los sitios como base para determinar el nivel del muestreo.

4.1.2 El OEC debe identificar la función central de la organización con la que tiene un acuerdo legalmente ejecutablepara el suministro de las actividades de certificación.

4.1.3 El OEC debe verificar, en cada caso individual, hasta qué punto los sitios de la organización operansustancialmente los mismos tipos de procesos según los mismos procedimientos y métodos. Ver apartado 3.0.1

para los sitios que llevan a cabo pocos, pero similares procesos que otros sitios y el apartado 3.0.2 para lossitios que involucran procesos vinculados. Solamente luego de un examen positivo por parte del OEC, de quetodos los sitios propuestos para la inclusión en el ejercicio de multi-sitio cumplan con las disposiciones deelegibilidad, se puede aplicar el procedimiento de muestreo a los sitios individuales.

4.1.4 Si todos los sitios de una organización de servicio, donde la actividad sujeta a certificación se lleva a cabo, noestán listos para someterse a certificación al mismo tiempo, se le debe pedir a la organización que informe poranticipado al OEC, sobre los sitios que desea incluir en la certificación y aquellos que serán excluidos.

4.2 Auditoría

4.2.1 El OEC debe contar con los procedimientos documentados para lidiar con las auditorías bajo susprocedimientos multi-sitio. Dichos procedimientos deben establecer la forma en la que el OEC verifica que elmismo sistema de gestión rige las actividades de todos los sitios, se aplica a todos los sitios y que todos los

criterios de elegibilidad para la organización establecidos en el apartado 3 antes mencionado se cumplen. Esterequisito también aplica al sistema de gestión donde se utilizan documentos electrónicos, control de procesos uotros procesos electrónicos. El OEC debe justificar y registrar el fundamento para proceder con un enfoque demulti-sitios.

4.2.2 Si más de un equipo auditor está involucrado en la auditoría o seguimiento de la red, el OEC debería designar aun evaluador líder, cuya responsabilidad es la de consolidar los hallazgos de todos los equipos auditores y crearun informe resumen.

4.3 No-conformidades

4.3.1 Cuando en cualquier sitio individual se encuentran no-conformidades, tal como se define en ISO/IEC 17021apartado 9.1.15 (b), ya sea por medio de la auditoría interna de la organización o del OEC, se debe realizar una


14/59



Página 14 de 59

investigación para determinar si hay otros sitios que hayan podido ser afectados. Por lo tanto, el OEC deberíasolicitar a la organización que revise las no-conformidades para determinar si indican una deficiencia en generaldel sistema aplicable a otros sitios o no. Si se encuentra que lo hay, se debe llevar a cabo una acción correctivay se debe verificar tanto, en la oficina central como en los sitios individuales afectados. Si por el contrario no se

encuentra que sea así, la organización debería demostrarle al OEC la justificación para limitar su accióncorrectiva de seguimiento.

4.3.2 El OEC debe solicitar evidencia de estas acciones e incrementar la frecuencia de su muestreo y/o el tamaño dela muestra hasta que esté satisfecho con que el control se ha restablecido.

4.3.3 En el momento del proceso de toma de decisión, si alguno de los sitios cuenta con alguna no-conformidad,como se define en ISO/IEC 17021 apartado 9.1.15 (b), se debe denegar la certificación a toda la red de sitios dela lista, hasta que las acciones correctivas sean satisfactorias.

4.3.4 No debe admitirse que, con el propósito de superar el obstáculo que surge al tener una no-conformidad en unsolo sitio, la organización busque excluir al sitio “problemático” del alcance durante el proceso de certificación.Tal exclusión se puede acordar únicamente por adelantado. (Ver apartado 4.1.4)

4.4 Documentos de Certificación

4.4.1 Los documentos de certificación que cubran multi-sitios se pueden emitir siempre y cuando cada sitio incluidoen el ámbito de certificación haya sido evaluado de manera individual por el OEC, o evaluado con el enfoque demuestreo descrito en este documento.

4.4.2 El OEC debe brindar los documentos de certificación al cliente certificado por cualquiera de los medios queescoja. Tales documentos de certificación deben cumplir con todo lo que indica ISO/IEC 17021.

4.4.3 Estos documentos deben especificar el nombre y dirección de la oficina central de la organización y una lista detodos los sitios a los cuales los documentos de certificación se relacionan. El alcance, u otra referencia, en estosdocumentos deben dejar claro que las actividades certificadas son llevadas a cabo por la red de sitios en la lista.Si el alcance de la certificación de los sitios se emite solamente como parte del alcance general de laorganización, su aplicabilidad a todos los sitios se debe establecer claramente. Cuando sitios temporales esténincluidos en el alcance, tales sitios deben ser identificados como temporales en los documentos de certificación.

4.4.4 Los documentos de certificación pueden ser emitidos a la organización para cada sitio cubierto por lacertificación bajo la condición de que contengan el mismo alcance, o un sub-alcance de ese alcance, y queincluya una referencia clara a los documentos principales de certificación.

4.4.5 La documentación de certificación será retirada por completo si la oficina central, o cualquiera de los sitios, nocumple las disposiciones necesarias para el mantenimiento de la certificación.

4.4.6 La lista de los sitios se debe mantener actualizada por parte del OEC. Con este fin, el OEC debe solicitar a laorganización que le informe sobre el cierre de cualquiera de los sitios cubiertos por la certificación. Elincumplimiento en el suministro de tal información será considerado por el OEC como un mal uso de lacertificación y debería actuar en consecuencia, según sus procedimientos.

4.4.7 Se pueden agregar sitios adicionales a una certificación existente como resultado de las actividades deseguimiento o recertificación o la ampliación del alcance. El OEC debe tener procedimientos documentadospara agregar sitios nuevos.

5. MUESTREO

5.1 Metodología

5.1.1 La muestra debe ser en parte selectiva, basada en los factores establecidos a continuación y en parte no-selectiva, y debería abarcar un rango representativo de diferentes sitios seleccionados, sin excluir el elementoaleatorio del muestreo.

5.1.2 Al menos un 25% de la muestra debería seleccionarse al azar.

5.1.3 Tomando en cuenta las disposiciones mencionadas a continuación, el resto debería ser seleccionado de modoque las diferencias entre los sitios seleccionados durante el período de validez del certificado sea tan extensocomo sea posible.


15/59



Página 15 de 59

5.1.4 La selección del sitio puede incluir, entre otros, los siguientes aspectos:

! Resultados de las auditorías internas de los sitios y las revisiones por la dirección o de auditorías decertificación previas;

!

Registros de quejas y otros aspectos relevantes de las acciones correctivas y preventivas;! Variaciones significativas en el tamaño de los sitios;

! Variaciones en los patrones de turnos y procedimientos de trabajo;

! La complejidad del sistema de gestión y los procesos llevados a cabo en los sitios;

! Modificaciones desde la última auditoría de certificación;

! Madurez del sistema de gestión y conocimiento de la organización;

! Temas ambientales y el alcance de los aspectos e impactos asociados con los sistemas de gestiónambiental (SGA);

! Las diferencias en la cultura, idioma y requisitos regulatorios; y

! Dispersión geográfica.

5.1.5 Esta selección no tiene que hacerse al inicio del proceso de auditoría. Puede también realizarse una vez que laauditoría en la oficina central se haya completado. En cualquier caso, la oficina central debe ser informada sobrelos sitios a incluir en el muestreo. Esto se puede hacer con poca antelación relativa, pero debería permitir eltiempo suficiente para la preparación de la auditoría.

5.2 Tamaño de la Muestra

5.2.1 El OEC debe tener un procedimiento documentado para determinar la muestra a tomar cuando se auditan lossitios como parte de las auditorías y certificación de una organización multi-sitio. Esto debe tomar en cuentatodos los factores descritos en este documento

5.2.2 El OEC debe contar con registros sobre cada aplicación del muestreo multi-sitio que justifique que estáoperando de acuerdo con este documento.

5.2.3 El siguiente cálculo es un modelo basado en un ejemplo de una actividad, con un riesgo de bajo a medio, conmenos de 50 empleados en cada sitio. El número mínimo de lugares a visitar por auditoría es:

! Auditoría inicial: el tamaño de la muestra debería ser la raíz cuadrada del número de sitios remotos: (y= ! x),redondeado hacia el número entero superior.

! Auditoría de seguimiento: el tamaño de la muestra anual debería ser la raíz cuadrada del número de sitiosremotos con 0.6 como un coeficiente (y=0.6 ! x), redondeado hacia el número entero superior.

! Auditoría de recertificación: el tamaño de la muestra debería ser igual que para la auditoría inicial. Noobstante, donde el sistema de gestión haya probado ser efectivo por un período de tres años, el tamaño dela muestra pudiera reducirse por un factor 0.8, por ejemplo: (y=0.8 ! x), redondeado hacia el número enterosuperior.

5.2.4 El OEC debe definir, dentro de su sistema de gestión, los niveles de riesgo de las actividades tal como seaplican arriba.

5.2.5 La oficina central debe ser evaluada durante cada certificación inicial y auditoría de recertificación, y por lomenos una vez al año como parte del seguimiento.

5.2.6 El tamaño o la frecuencia de la muestra debería ser incrementado cuando el análisis de riesgos efectuado por elOEC a la actividad cubierta por el sistema de gestión, sometido a certificación, indique circunstancias especialescon respecto a factores como:

! El tamaño de los sitios y el número de empleados (ej. más de 50 empleados en un sitio);

! La complejidad o nivel de riesgo de la actividad y del sistema de gestión;

! Variaciones en las prácticas laborales (ej. turnos de trabajo);

! Variaciones en las actividades asumidas;


16/59



Página 16 de 59

! Importancia o alcance de los aspectos e impactos asociados a los sistemas de gestión ambiental (SGA);

! Registros de quejas y otros aspectos relevantes de acciones correctivas y preventivas;

! Cualquier aspecto multinacional; y

!

Resultados de auditorías internas y revisiones por la dirección.5.2.7 Cuando la organización cuenta con un sistema jerárquico de sucursales (ej. oficina central (casa matriz),

oficinas nacionales, oficinas regionales, sucursales locales), el modelo de muestreo para la auditoría inicialcomo se definió anteriormente aplica a cada nivel.

Ejemplo:

1 Oficina principal: visitada en cada ciclo de auditorías (inicial o seguimiento o de recertificación)

4 Oficinas nacionales: muestra = 2: mínimo, 1 al azar

27 Oficinas regionales: muestra = 6: mínimo, 2 al azar

1700 Sucursales locales: muestra = 42: mínimo, 11 al azar.

5.3. Tiempo para Auditorías

5.3.1 El tiempo de auditoría a utilizar en cada sitio individual es otro elemento a considerar, y el OEC debe estarpreparado para justificar el tiempo utilizado para las auditorías multi-sitio en términos de su política general parala asignación del tiempo para la auditoría.

5.3.2 El número de los días hombre por sitio, incluyendo la oficina central, debería calcularse para cada sitioutilizando el documento publicado más reciente de IAF para el cálculo de los días hombre para la normapertinente.

5.3.3 Se pueden aplicar reducciones tomando en consideración los apartados que no sean relevantes para la oficinacentral y/o sitios locales. El OEC debe registrar las razones para la justificación de dichas reducciones.

Nota: Los sitios que realizan la mayoría de los procesos o los críticos no están sujetos a reducciones (apartado 3.1.1).

5.3.4 El tiempo total utilizado en la auditoría inicial, y en la de seguimiento, es la suma total del tiempo utilizado encada sitio más el de la oficina central, y nunca debería ser menos que el que hubiera sido calculado para eltamaño y complejidad de la operación, si todo el trabajo se hiciera en un solo lugar. (ej.: con todos losempleados de la compañía en el mismo sitio).

5.4 Sitios Adicionales

5.4.1 En la solicitud de un grupo nuevo de sitios para unirse a una red multi-sitio ya certificada, cada grupo nuevo desitios debería considerarse como una serie independiente para la determinación del tamaño de la muestra.Luego de la inclusión del grupo nuevo en el certificado, los sitios nuevos deberían ser acumulados a losanteriores para determinar el tamaño de la muestra para futuras auditorías de seguimiento o de recertificación.


17/59



Página 17 de 59

ANEXO 2


Transferencia de la Certificación Acreditada de Sistemas de Gestión Este documento es una traducción al español preparada y endosada por IAAC, del documento

“IAF Mandatory Document for the Transfer of Accredited Certification of Management Systems"

Este documento es obligatorio para la aplicación consistente del numeral 9.1.1 de la ISO/IEC 17021:2011y se basa en laguía que se facilitó previamente en el Anexo 4 del IAF GD2:2005 y en el Anexo 2 del IAF GD6:2006. Todos los apartadosde ISO/IEC 17021:2011siguen siendo aplicables y este documento no sustituye ninguno de los requisitos de la norma.Este documento obligatorio no es exclusivo para los Sistemas de Gestión de la Calidad (SGC) y para los Sistemas deGestión Ambiental (SGA), y se puede utilizar para otros sistemas de gestión.

0 INTRODUCCIÓN

0.1

Este documento proporciona un criterio normativo sobre la transferencia de la certificación acreditada de sistemasde gestión entre los organismos de certificación. Es posible que los criterios también sean aplicables en el casode adquisiciones de organismos de certificación acreditados por un signatario del MLA de IAF.

0.2 El objetivo de este documento es asegurar el mantenimiento de la integridad de las certificaciones acreditadas delos sistemas de gestión emitidas por un OEC, si posteriormente se transfiere a otro organismo similar.

0.3 Este documento proporciona un criterio mínimo para la transferencia de la certificación. Los organismos decertificación pueden implementar procedimientos o acciones que sean más estrictos que los contenidos en estedocumento, siempre y cuando la libertad de un cliente para escoger un OEC no sea excesiva o injustamentelimitada.

1 DEFINICIÓN

1.1 Transferencia de Certificación

La transferencia de certificación se define como el reconocimiento de la existencia y validez de una certificaciónde un sistema de gestión, otorgada por un OEC acreditado (de ahora en adelante denominado “OEC emisor”),con el propósito de emitir su propia certificación.

Nota: La certificación múltiple (certificación concurrente por más de un OEC) no está cubierta por esta definición,y no es fomentada por el IAF.

2 REQUISITOS MÍNIMOS

2.1 Acreditación

2.1.1 Sólo las certificaciones cubiertas por una acreditación de un signatario de un MLA del IAF deben ser elegiblespara la transferencia. Las organizaciones que tengan certificaciones que no estén cubiertas por talesacreditaciones deben ser consideradas como clientes nuevos.

2.2

Revisión pre-transferencia2.2.1 Una persona competente del OEC receptor deberá llevar a cabo una revisión de la situación de la certificacióndel posible cliente. La revisión deberá llevarse a cabo por medio de una revisión documental y, normalmente,debería incluir una visita al potencial cliente. En caso excepcional de no llevarse a cabo la visita, las razonespara ello deberán estar plenamente justificadas y documentadas. En cualquier caso, se deberá llevar a cabo lavisita y no se puede establecer contacto al respecto con el OEC emisor. La revisión debería cubrir los siguientesaspectos y sus hallazgos deberán estar completamente documentados:

i. Confirmación que las actividades certificadas del cliente entran dentro del alcance acreditado del OECreceptor.

ii. Las razones para solicitar la transferencia.


18/59



Página 18 de 59

iii. Que el sitio o sitios objeto de la transferencia, están cubiertos por un certificado acreditado y válido, entérminos de autenticidad, duración, alcance de las actividades cubiertas por el sistema de gestión. Si esposible, tanto la validez del certificado como el estado de las no conformidades abiertas deberían serverificados con el OEC emisor, a menos que éste haya abandonado sus actividades. Si no fuera posible

ponerse en contacto con el OEC emisor, el OEC receptor deberá registrar las razones.iv. Un estudio de los últimos informes de certificación inicial o recertificación, así como de los consiguientes

informes de seguimiento y cualquier no conformidad pendiente que haya surgido de cualquiera de ellos.Este estudio también debe incluir cualquier otra documentación relevante disponible relativa al procesode certificación, por ejemplo, notas de auditoría, listas de chequeo. Si los últimos informes de auditoríade certificación inicial, recertificación o seguimiento no están disponibles o si el plazo para la auditoríade seguimiento ha vencido, entonces la organización deberá ser tratada como un nuevo cliente.

v. Quejas recibidas y acciones llevadas a cabo.

vi. La etapa del ciclo actual de certificación. Ver cláusula 2.3.4 de este documento y

vii. Cualquier compromiso actual de la organización con organismos regulatorios relacionados con elcumplimiento legal.

2.3

Certificación2.3.1 Normalmente, sólo deberían transferirse certificaciones acreditadas válidas. En los casos en que se haya

otorgado la certificación por parte de un OEC que haya suspendido su actividad comercial, o cuya acreditaciónhaya expirado, haya sido suspendida o revocada, el OEC que acepta puede considerar tal certificación para latransferencia a su propia discreción. En tales casos, antes de proceder con la transferencia, el OEC que aceptadebe obtener el acuerdo del organismo de acreditación cuya marca tenga la intención de incluir en el certificado.En el caso de adquisiciones, el OEC que adquiere debería, cuando fuera práctico, cumplir con las obligacionescontractuales del OEC adquirido.

2.3.2 No se debe aceptar para transferencia, la certificación de la cual se sepa que haya sido suspendida o seencuentre bajo amenaza de suspensión. Si el OEC que acepta no ha podido verificar el estado de lacertificación con el OEC emisor, se le debe requerir a la organización que confirme que el certificado no está

suspendido ni bajo amenaza de suspensión.2.3.3 Si es posible, las no-conformidades pendientes deberían levantarse con el organismo certificador emisor, antesde realizar la transferencia. De no ser así, deben ser cerradas por el OEC que acepta.

2.3.4 Si en la revisión pre-transferencia no se identifican más problemas pendientes o potenciales, se puede emitiruna certificación una vez se complete el proceso normal de toma de decisión. El programa de seguimientodebería basarse en el régimen de certificación previo, a menos que el OEC que acepta haya llevado a cabo unaevaluación inicial o de re-certificación como resultado de la revisión.

2.3.5 Cuando existiesen dudas, luego de la revisión pre-transferencia, sobre la adecuación de una certificación actualo previa, el OEC que acepta, según la magnitud de la duda debe:

! Tratar al solicitante como un cliente nuevo, o

! Llevar a cabo una auditoría enfocada en las áreas con problemas identificados.

La decisión sobre la acción requerida dependerá de la naturaleza y magnitud de cualquier problema que se hayaencontrado, y se debe explicar a la organización, así como documentar la justificación sobre la decisión, y elOEC debe guardar los registros.


19/59



Página 19 de 59

ANEXO 3


Procedimientos Avanzados de Seguimiento y Recertificación Este documento es una traducción al español preparada y endosada por IAAC, del documento

“IAF Mandatory Document for Advanced Surveillance and Recertification Procedures"

Este documento brinda criterios normativos para los procedimientos avanzados de seguimiento y recertificación (ASRPpor sus siglas en inglés) para la aplicación consistente del apartado 9.1.1 de la norma ISO/IEC 17021:2006 a fin dedeterminar los ajustes posteriores para el programa de auditoría. Este documento se encarga solamente de los Sistemasde Gestión de Calidad (SGC) y Sistemas de Gestión Ambiental (SGA), en los cuales los miembros del IAF han tenidoexperiencia en la implementación del ASRP o sus metodologías predecesoras. El uso del ASRP no es obligatorio, pero siun organismo de acreditación desea permitir a sus organismos de certificación acreditados y a su(s) cliente(s) optar porel uso de ASRP, es un requisito de IAF que el OEC y su(s) cliente(s) cumpla(n) con este documento y pueda(n)demostrar su conformidad al organismo de acreditación.

0 INTRODUCCIÓN

0.1 Para una organización cliente que ha establecido confianza en su sistema de gestión (SGC y/o SGA) por mediode su consistente demostración de efectividad por un período de tiempo, el OEC, en consulta con la organización,puede escoger aplicar los Procedimientos Avanzados de Seguimiento y Recertificacion (ASRP) que se presentaen este documento. Tal programa avanzado de seguimiento y recertificación puede brindar mayor confianza (perono total) en los procesos de auditoría interna y de revisión por la dirección, de la organización, lo que incluyetemas enfocados al seguimiento, toma en cuenta la entrada del diseño específico de la organización y/o el uso deotros métodos según sea apropiado, con el fin de demostrar la conformidad del sistema de gestión.

0.2 El objetivo de este documento es asegurar la prestación de auditorías más efectivas y eficaces para lasorganizaciones que cuentan con un registro de desempeño probado, mientras se mantiene al mismo tiempo laintegridad de los certificados de sistemas de gestión acreditados con los que ya cuentan.

0.3 Este documento determina los requisitos mínimos para la aplicación del ASRP. Los organismos de certificaciónpueden implementar procedimientos o acciones que sean más estrictas que los que se encuentran aquí, siempreque la solicitud justificable de una organización para el ASRP no sea excesiva o injustamente limitante.

1 REQUISITOS MÍNIMOS

1.1 Pre-requisito

Con el fin de utilizar el ASRP, el OEC debe primero demostrarle al organismo de acreditación firmante del MLA deIAF:

a. Que ha estado operando un esquema de certificación acreditado para el sistema de gestión pertinente(SGC y/o SGA) por un ciclo completo de acreditación como mínimo.

b. Que es competente para diseñar un programa de ASRP para cada organización individual en el sistema de

gestión pertinente (SGC y/o SGA), según los requisitos de la norma ISO 9001:2000 apartado 7.3 y usandoel criterio la entrada del diseño específico que se menciona en el apartado 1.3.2 abajo.

NOTA: Aquí se hace referencia a la ISO 9001, ya que esto especifica los requisitos para que el OEC diseñe unprograma para ASRP ya sea operando certificación de SGC o SGA.

1.2 Alcance de Acreditación

La competencia del OEC para cumplir con el apartado 1.1 (b), antes mencionado, debe ser evaluado por elorganismo de acreditación después de lo cual, si es exitosa, se debe incluir en el alcance la referencia específicaa la aprobación para ASRP para SGC y/o SGA, según corresponda.


20/59


21/59



Página 21 de 59

Además de los criterios de entrada específicos de una organización en el diseño de cada ASRP individual debecontemplarse lo siguiente:

a. La frecuencia y duración de las auditorías del OEC deben ser suficientes como para permitirle al OECcumplir con este documento de criterios, incluyendo los siguientes b) y c), entre otros.

Para cada utilización propuesta del ASRP, el OEC debe determinar el nivel base de tiempo auditor (que nosea ASRP) usando las Guías de IAF o los Documentos sobre Criterios Normativos y si aplica, el IAF MD1para el muestreo de multi-sitios. Si el OEC planea un programa individual ASRP, que reduce el tiempoauditor a menos de un 70% de ese nivel base, el OEC debe justificar tales reducciones y buscar laaprobación específica del organismo de acreditación antes de su implementación.

NOTA: Los Documentos Obligatorios del IAF que aplican al tiempo del evaluador para SGC y SGA están endesarrollo. Hasta que tales documentos estén disponibles, el Apéndice 2 del IAF GD2 (y donde aplique,Apéndice 3) y el Apéndice 1 del IAF GD6 (y donde aplique, el apartado G5.3.6), debería continuaraplicándose para definir el tiempo total para la auditoría (Fase 1 + Fase 2).

b. Además de auditar un número estadísticamente significativo de muestras de los procesos del sistema degestión de la organización, para confirmar la adecuación y eficacia del proceso de auditoría interna, el OEC

en sí debe continuar llevando a cabo las siguientes actividades en cada auditoría de seguimiento y derecertificación in situ, como mínimo (con otras actividades definidas por el ASRP; ver apartado 1.4 acontinuación):

! entrevistar a la alta gerencia y al representante de la dirección;

! evaluar los insumos y resultados de la revisión por la dirección, que incluya una verificación de lahabilidad de la organización para cumplir con las metas de desempeño acordadas;

! revisar el proceso de auditoría interna, que incluya los procedimientos y registros de las auditoríasinternas y la competencia de los auditores internos; y

! revisar los planes de acciones correctivas y preventivas y verificar su implementación efectiva.

c. El OEC debe asegurar que todos los requisitos para la certificación acreditada (incluye los requisitos deISO/IEC 17021:2006 y cualquier esquema del sector aplicable) se sigan cumpliendo.

1.4

Resultado del diseñoEl resultado del diseño para cada aplicación del programa ASRP del OEC debe incluir los siguientes (a) – (f):

a. El grado hasta el cual el OEC utilizará los procesos de auditoría interna y revisión por la dirección de laorganización, para complementar las actividades del OEC;

b. Los criterios para testificar las auditorías internas de la organización, que incluye el muestreo tanto de losauditores como de los procesos a auditar;

c. Los criterios para aceptar y monitorear la competencia de los auditores internos de la organización y elmétodo para informar los resultados de la auditoría interna;

d. Los criterios para los ajustes continuos del programa de auditoría, tomando en cuenta la habilidaddemostrada de la organización, a través del tiempo, para cumplir con las metas de desempeño acordadas;

e.

Los componentes del sistema de gestión que serán necesariamente auditados por el OEC en cadaauditoría de seguimiento y recertificación (ver apartado 1.3.2 b); y

f. Los criterios de competencia específicos para los auditores del OEC y donde aplique, para los expertostécnicos.

1.5 Certificados

El OEC no debe hacer diferencia entre las metodologías ASRP y las que no son ASRP en los certificados queemiten.


22/59



Página 22 de 59

ANEXO 4


Uso de Técnicas de Auditoría Asistidas por Computadora (CAAT)para la Certificación Acreditada de Sistemas de Gestión

Este documento es una traducción al español preparada y endosada por IAAC, del documento

“IAF Mandatory Document for the use of Computer Assisted Auditing Techniques (“CAAT”) for Accredited Certification ofManagement Systems"

Este documento obligatorio proporciona una aplicación consistente de la ISO/IEC 17021:2006 cuando se utilicen técnicasde auditorías asistidas por computadora, como parte de la metodología de auditoría. El uso del CAAT (por sus siglas eninglés) no es obligatorio; pero si un OEC y su cliente optan por el uso del CAAT, es obligatorio que estén en conformidadcon este documento y puedan demostrar conformidad al organismo de acreditación.

0

INTRODUCCIÓN0.1 En vista que las tecnologías de información y comunicación se vuelven cada vez más sofisticadas, es importante

que los organismos de certificación puedan utilizar las “Técnicas de Auditoría Asistidas por Computadora”, con elfin de mejorar la efectividad y eficacia de la auditoría, y para apoyar y mantener la integridad del proceso deauditoría.

NOTA: Las Directrices sobre el uso de las Técnicas de Auditoría Asistidas por Computadora pueden obtenersedel sitio en internet de ISO/IAF “Auditing Practices Group” www.iso.org/tc176/ISO9001AuditingPracticesGroup

0.2 Tales “Técnicas de Auditoría Asistidas por Computadora” (“CAAT”) pueden incluir, por ejemplo:

! Teleconferencia,

! Reuniones por medio web,

!

Comunicaciones interactivas por medio web,! Acceso electrónico remoto a la documentación del sistema de gestión y/o los procesos de sistemas de

gestión.

0.3 Los objetivos para la aplicación efectiva de las CAAT son

a. Ofrecer una metodología que sea lo suficientemente flexible y que no sea prescriptiva por naturaleza, con elfin de satisfacer las necesidades de la industria, permitiendo que las organizaciones de los clientes y susrespectivos organismos de certificación las utilicen para mejorar su proceso de auditoría convencional, y

b. Asegurar que los controles adecuados se estén cumpliendo con suficiente seguimiento por parte delorganismo de acreditación para evitar abusos y para prevenir las presiones comerciales excesivas quepudieran comprometer la integridad del proceso de certificación.

1 REQUISITOS

1.1

ConfidencialidadSegún ISO/IEC 17021, apartado 8.5.1, la seguridad y confidencialidad de la información electrónica o latransmitida por ese medio, son de particular importancia cuando un OEC utiliza las CAAT. El OEC deberíaacordar las medidas de seguridad de la información mutuamente aceptable con su cliente antes de utilizar lasCAAT.

1.2 Requisitos del proceso

1.2.1 Además de los requisitos de ISO/IEC 17021, apartado 9.1.2, el plan de auditoría debe identificar cualquiertécnica de auditoría asistida por computadora que vaya a utilizarse.


23/59



Página 23 de 59

1.2.2 Además de los requisitos de ISO/IEC 17021, apartado 9.1.3, cuando se utilice las CAAT, se debe dar atenciónespecífica a la habilidad de los auditores para entender y utilizar las tecnologías de la información que laorganización del cliente emplea para administrar sus procesos de sistemas de gestión.

1.2.3 Además de los requisitos de ISO/IEC 17021, apartado 9.1.4, si un OEC usa las CAAT, se puede considerar quesea parte de la contribución al total del tiempo del auditor in-situ. Si las actividades de auditoría remotasrepresentan más del 30% planeado para el tiempo auditor in-situ, el OEC debería justificar el plan de auditoría yobtener la aprobación específica del organismo de acreditación antes de su implementación.

NOTAS:

1. Se espera que esta “aprobación específica” se realice inicialmente sobre la base de caso por caso, pero noexcluye una “aprobación global” del organismo de acreditación para que el OEC sobrepase un 30% dereducción, una vez que el OEC haya demostrado que su proceso es robusto.

2. El tiempo de auditor en sitio se refiere al tiempo del auditor ubicado en el sitio para los lugares individuales.Las auditorías electrónicas de lugares remotos se consideran auditorías remotas, aún si la auditoríaelectrónica se realiza físicamente desde otras instalaciones de la organización del cliente.

1.2.4 Además de los requisitos de ISO/IEC 17021, apartado 9.1.10, los informes de auditoría deben indicar el grado

hasta el cual se han utilizado las CAAT para llevar a cabo la auditoría, y la forma en la que contribuyen a laeficacia y eficiencia de la misma.

1.2.5 Además de los requisitos de ISO/IEC 17021, apartado 9.2.2.1 (a), cuando el OEC proponga el uso de las CAATcomo parte de la auditoría, la revisión de la aplicación debe incluir la verificación de que la organización delcliente cuenta con la infraestructura necesaria para apoyar este enfoque.

1.2.6 Además de los requisitos de ISO/IEC 17021, apartado 9.3.2.2, a pesar del uso de las CAAT, la organizacióndebe ser visitada físicamente, por lo menos anualmente.

1.2.7 Además de los requisitos de ISO/IEC 17021, apartado 9.9.2, los registros deben indicar el grado hasta el cuallas CAAT han sido utilizadas para llevar a cabo la auditoría y la certificación.


24/59



Página 24 de 59

ANEXO 5


Duración de las Auditorías de SGC y SGA Este documento es una traducción al español del documento

“IAF Mandatory Document for Duration of QMS and EMS Audits"

Este es un documento obligatorio que permite la aplicación coherente de la cláusula 9.1.4.de la norma ISO/IEC17021:2011 para auditorías de sistemas de gestión de la calidad y ambiental, y está basado en las directricesproporcionadas previamente en el Anexo 2 del documento GD2:2005 de IAF y en el Anexo I del GD6:2006 de IA F.Todas las cláusulas de la ISO/IEC 17021:2011 continúan siendo de aplicación y este documento no sustituye a ningunode los requisitos de la norma. Aunque el número de personas (permanentes, temporales o a tiempo parciales), delcliente se usa como punto de partida para determinar la duración de la auditoría, ésta no es la única consideración y

deben ser tenidos en cuenta otros factores que afectan a la duración de la auditoría.

0 INTRODUCCION

0.1 Este documento proporciona directrices y guías para que los organismos de certificación desarrollen sus propiosprocedimientos documentados para determinar la cantidad de tiempo requerido para auditar a clientes dediferentes tamaños y complejidad en un amplio espectro de actividades. Se pretende conseguir coherencia tantoentre distintos organismos de certificación al respecto de la duración de las auditorías, como entre clientessimilares dentro de un mismo OEC.

0.2 Los organismos de certificación identificarán la duración de: la auditoría inicial de etapa 1 y etapa 2, auditoríasde seguimiento y renovaciones del certificado para cada solicitante y cliente certificado.

0.3 Este documento obligatorio no establece tiempos mínimos/máximos pero proporciona un marco del que deberán

hacer uso los organismos de certificación dentro de sus procedimientos documentados para determinar laduración apropiada de la auditoría, teniendo en cuenta las características del cliente a auditar.

0.4 Para los propósitos de la acreditación se debería tener en cuenta que la no conformidad con estas directrices encasos concretos (las tablas o la figura incluidas), no conduce automáticamente a una no conformidad contra laISO/IEC 17021. Sin embargo, esta situación puede ser la base de una investigación posterior para completar laevaluación. Se deberá prestar especial consideración al investigar los motivos de desviación con respecto a estedocumento.

0.5 Si se encuentran inconsistencias con esta guía de forma regular, podría ser la base de una no conformidadcontra la ISO/IEC 17021 basado en que el OEC no puede asegurar razonablemente que proporciona a losequipos auditores la capacidad para realizar una auditoría lo suficientemente completa como parte del serviciode certificación.

1

DEFINICIONES1.1 Duración de la auditoría

Para todos los tipos de auditorías, la duración de la auditoría es el tiempo efectivo medido en días de auditorrequerido para llevar a cabo la actividad de auditoría.

1.2 Día de auditor

La duración de un día de auditor es normalmente de 8 horas y puede o no incluir tiempo de viaje o comidadependiendo de la legislación local.


25/59



Página 25 de 59

1.3 Número efectivo de personal

El número efectivo de personal consiste en todo el personal a tiempo completo involucrado en el alcance de la

certificación, incluyendo aquellos que trabajan en cada turno. Por ello, deben ser incluidos en este número elpersonal no permanente (estacional, temporal y subcontratado) y el personal a tiempo parcial que estaránpresentes en el momento de la auditoría.

1.4 Sitio temporal

Sitio temporal es aquel establecido por la organización para llevar a cabo un trabajo o un servicio específicodurante un periodo de tiempo finito y el cual nunca se convertirá en un sitio permanente (por ejemplo: una obrade construcción).

1.5 Categoría de Complejidad (únicamente para Sistemas de Gestión Ambiental)

Para sistemas de gestión ambiental, las disposiciones especificadas en este documento están basadas en lascinco categorías primarias de complejidad de la naturaleza, número y gravedad de los aspectos ambientales de

una organización que afectan fundamentalmente al tiempo de auditor.2 APLICACIÓN

2.1 Duración de la auditoría

La duración de la auditoría para cualquier tipo de auditoría incluye el tiempo “in situ” en las instalaciones de sucliente y el tiempo fuera de ellas dedicado a la planificación, revisión de la documentación, comunicarse con elpersonal del cliente y redacción de informe.

Se espera que el tiempo dedicado para el conjunto de estas actividades (independientemente de si lasactividades se llevan a cabo en las instalaciones o fuera de ellas) no debiera, como norma general, reducir eltiempo total de auditor “in situ” a menos del 80% del tiempo calculado siguiendo la metodología delapartado 3. Esto aplica a auditorías iniciales, de seguimiento y renovación de la certificación. Cuando sea

requerido tiempo adicional para la planificación o redacción del informe, ello no será justificación para reducir eltiempo de auditor “in situ” para cualquier auditoría.

2.2 Día de Auditor

Las tablas SGC 1 y SGA 1 muestran la duración de las auditorías calculadas en día-auditor sobre la base de 8horas de trabajo al día. Puede ser necesario hacer ajustes al número de días, para cumplir con la legislaciónnacional relativa a viajes, horario de comidas y jornada laboral, para conseguir el mismo número total de horasde auditoría de las Tablas SGC 1 y SGA 1.

El número de días auditor asignado no debería reducirse en las fases de planificación iniciales, programandomás horas por día de trabajo.

2.3 Número efectivo de personal

El número efectivo de personal se utiliza como la base para el cálculo de la duración de la auditoría.Dependiendo del número de horas trabajadas, el número de personal a tiempo parcial, pueden reducirse yconvertirse en un número equivalente de personal a tiempo completo. Se podría realizar una reducción en elnúmero de personal temporal de muy baja calificación, que son frecuentes en algunos países, debido al bajonivel de tecnología y automatización. Se podría realizar una reducción en el número de personal allí donde unaparte importante del personal realiza funciones simples, como por ejemplo, transporte, trabajo en cadena, líneasde montaje, etc.


26/59



Página 26 de 59

Un OEC acordará con la organización cliente el momento escogido de la auditoría con objeto de que se puedademostrar mejor el alcance completo de las actividades de auditoría.

Nota: El momento escogido de la auditoría para demostrar mejor el alcance completo podría incluir la necesidad

de una auditoría fuera de las horas normales de trabajo o adaptarse al patrón de turnos empleado.3 METODOLOGÍA PARA DETERMINAR LA DURACIÓN DE LA AUDITORÍA

3.1 La metodología usada como base de cálculo para la duración de la auditoría, en una auditoría inicial (etapa 1 +etapa 2) supone la interpretación de las tablas y las gráficas descritas en el Anexo A y Anexo B para auditoríasde SGC y SGA respectivamente. El anexo A (SGC) está basado exclusivamente en el número efectivo depersonal (ver cláusula 2.3 de esta guía para el cálculo del número efectivo de personal) pero no proporciona unaduración mínima o máxima. El Anexo B (SGA), sin embargo, está basado no solo en el número efectivo depersonal sino además en la complejidad ambiental de la organización y tampoco proporciona una duraciónmínima o máxima.

3.2 Usando un multiplicador adecuado, las mismas tablas y gráficas pueden usarse como base de cálculo para laduración de auditorías de seguimiento (cláusula 5) y de renovaciones del certificado (cláusula 6).

3.3

El OEC debe tener procedimientos que proporcionen una asignación de tiempos adecuada para auditar losprocesos relevantes del cliente. La experiencia ha demostrado que aparte del número de personal, el tiemponecesario para llevar a cabo una auditoría eficaz, depende además de otros factores tanto para SGC como paraSGA. Estos factores se expondrán con más profundidad en la cláusula 8.

3.4 Este documento obligatorio proporciona directrices que deberían considerarse al establecer la cantidad detiempo necesario para llevar a cabo una auditoría. Estos y otros factores necesitan examinarse durante elproceso de revisión del contrato del OEC para tener en cuenta su impacto potencial en la duración de laauditoría, independiente del tipo de auditoría. Por lo tanto las tablas y diagramas aplicables para SGC y SGAque demuestran la relación entre número efectivo de personal y complejidad, no pueden usarse aisladamente.Estas tablas y gráficas proporcionan el marco para la planificación de auditorías venideras y para hacerajustes en la duración para cualquier tipo de auditoría.

3.5 Para auditorías de SGC (Gráfica SGC 1) proporciona una guía visual para hacer ajustes desde los tiempos de

partida y proporciona el marco para un proceso que debería usarse en la planificación de la auditoría paraidentificar un punto de partida basado en número total empleados efectivos para todos los turnos. Cuando losprocesos de realización del producto o prestación del servicio se realizan básicamente a turnos, la extensión dela auditoría para cada turno depende de los procesos realizados en cada turno, y del nivel de control que elcliente es capaz de demostrar en cada turno. Se debe documentar la justificación para no auditar cada uno delos turnos.

3.6 Para una auditoría de SGA, es adecuado basar la duración en el número efectivo de personal de la organizacióny en la naturaleza y gravedad de los aspectos ambientales de una organización típica de su sector. La duraciónde la auditoría debería ajustarse basándose en función de factores significativos que aplican en concreto a laorganización que vaya a ser auditada. El OEC debería proceder con prudencia para asegurar que cualquiervariación en la duración de la auditoría no comprometa la eficacia de la misma. Cuando los procesos derealización del producto o prestación del servicio se realizan básicamente a turnos, la extensión de la auditoríapara cada turno depende de los procesos realizados en cada turno, y del nivel de control que el cliente es capazde demostrar en cada turno. Se debe documentar la justificación para no auditar cada uno de los turnos.

3.7 El punto de partida para la determinación de la duración de la auditoría debe identificarse basándose en elnúmero efectivo de personal, posteriormente ajustado con factores significativos que apliquen para cada clientey atribuyendo a cada factor un coeficiente de ponderación aditivo o sustractivo para modificar el dato de partida.En todas las situaciones, deben registrarse las justificaciones para la determinación de la duración de laauditoría, incluyendo todos los ajustes aplicados.

3.8 La duración de la auditoría obtenida de las tablas y gráficas de los Anexos A y B, no debe incluir el tiempo del“auditor en calificación” o el tiempo del experto técnico.


27/59



Página 27 de 59

3.9 La reducción en la duración de la auditoría no debe exceder el 30% del tiempo establecido en las tablas SGC 1o SGA 1.

Nota: La cláusula 3.9 podría no aplicarse en las situaciones descritas en IAF MD 1 para cada sitio individual en

la certificación con multi-sitio cuando se permite el muestreo de los mismos. En esta situación en cada sitioestán presentes un número limitado de procesos, y por lo tanto, puede verificarse la implantación de todos losrequisitos relevantes de la norma(s) de sistema de gestión.

4 DURACIÓN DE LA AUDITORÍA INICIAL (ETAPA 1 + ETAPA 2)

4.1 El tiempo de auditoría dedicado al conjunto de las actividades fuera del sitio (clausula 2.1) no debería reducir eltiempo total “in situ” a menos del 80% del tiempo calculado siguiendo la metodología del apartado 3. Cuando serequiera tiempo adicional para planificar y/o para la redacción del informe, ello no será justificación para reducirel tiempo de auditor “in situ”.

4.2 La Tabla SGC 1 y la gráfica SGC 1 y las tablas SGA 1 y SGA 2 proporcionan un punto de partida para estimar laduración de una auditoría inicial (etapa 1 más etapa 2) para auditorías d