cea-criterios csg

CRITERIOS ESPECÍFICOS DE ACREDITACIÓN ACREDITACIÓN DE ORGANISMOS DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN

CEA-4.1-11 Versión 01

Página 1 de 59

CRITERIOS ESPECÍFICOS DE ACREDITACIÓN

ORGANISMOS DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN

ISO/IEC 17021:2011


ELABORÓ: 2014-03-04 Equipo Proyecto de Mejora

Elaboró: Juan Carlos González Revisó: Rocío Montes, Juan Gracia,

Fernando Rey Traducción MD: Julieth Villarraga

REVISÓ: 2014-07-30 Gerardo Martínez D.

Director Técnico Ferney Chaparro D.

Director Gestión Desarrollo y Mejora Grupo Técnico Asesor – GTA

(Ver integrantes www.onac.org.co) Concepto: 2014-08-14

Comité Técnico Consejo Directivo

APROBÓ: 2014-08-15

Francisco Javier Piedrahita Díaz Director Ejecutivo



Página 2 de 59

TABLA DE CONTENIDO

1. PROPÓSITO 2. AUTORÍA 3. INTRODUCCIÓN 4. ALCANCE 5. JUSTIFICACIÓN 6. DOCUMENTOS DE REFERENCIA 7. DEFINICIONES Y CONVENCIONES 8. DISPOSICIONES GENERALES 9. LINEAMIENTOS 10. NOTAS ACLARATORIAS 11. DOCUMENTOS RELACIONADOS 12. CONTROL DE CAMBIOS 13. ANEXOS



Página 3 de 59

1. PROPÓSITO Establecer criterios para el cumplimiento eficaz de los requisitos de la ISO/IEC 17021:2011 “Evaluación de la conformidad. Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión” y de los documentos IAF MD, publicados por International Accreditation Forum – IAF con el fin de promover su correcta implementación en las actividades de certificación de sistemas de gestión por parte de los organismos acreditados por ONAC. 2. AUTORÍA Este documento fue preparado por ONAC; en su elaboración y revisión participaron la Dirección Técnica, la Coordinación Sectorial Certificación e Inspección, los evaluadores, los profesionales del equipo de proyecto mejora ONAC y el Grupo Técnico Asesor - GTA de organismos de certificación de sistema de gestión. 3. INTRODUCCIÓN La ISO/IEC 17021:2011 establece los requisitos generales relativos a la competencia de los organismos que realizan la certificación de Sistemas de Gestión. En algunos casos, es necesario establecer criterios que orienten la aplicación de los requisitos y sean adecuados a las condiciones particulares de Colombia, con el fin de facilitar su implementación por parte de los organismos de certificación de sistemas de gestión y la evaluación por parte de ONAC. Este documento establece criterios específicos que serán evaluados por ONAC en las evaluaciones de otorgamiento, mantenimiento, renovación, ampliación y extraordinarias, de la acreditación como OEC de sistemas de gestión. La numeración de este documento coincide con la establecida en la ISO/IEC 17021:2011 para facilitar su identificación. Los anexos contienen la traducción, no oficial, de los siguientes documentos obligatorios de IAF:

1. IAF MD 1:2007 Certification of Multiple Sites Based on Sampling 2. IAF MD 2:2007 Transfer of Accredited Certification of Management Systems 3. IAF-MD 3:2008 Advanced Surveillance and Recertification Procedures (ASRP) 4. IAF MD 4:2008 Use of Computer Assisted Auditing Techniques ("CAAT") for Accredited Certification of

Management Systems 5. IAF MD 5:2013 Duration of QMS and EMS Audits 6. IAF MD 9:2011 Application of ISO/IEC 17021 in Medical Device Quality Management Systems (ISO 13485) 7. IAF MD 11:2013 Application of ISO/IEC 17021 for Audits of Integrated Management Systems (IMS)

El término “debe” se utiliza a lo largo de este documento para indicar aquellas disposiciones que son obligatorias. El término “debería” se utiliza para indicar directrices de acuerdo con la misma interpretación que proporciona IAF/IAAC, es decir, que son requisitos obligatorios aunque pueden tener un enfoque de implementación y aplicación según el alcance de acreditación de cada OEC de sistemas de gestión. 4. ALCANCE Los criterios y directrices de este documento, deben ser aplicados por los organismos de certificación de sistemas de gestión acreditados y los que solicitan la acreditación o la ampliación de su alcance, ante ONAC. Al igual, que los documentos que se relacionan a continuación: 4.1 ISO/IEC 17021-2 Evaluación de la conformidad. Requisitos para los organismos que realizan la auditoría y la

certificación de sistemas de gestión. Parte 2: Requisitos de competencia para la auditoría y la certificación de sistemas de gestión ambiental.



Página 4 de 59

4.2 ISO/IEC 17021-3 Evaluación de la conformidad. Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión. Parte 3: Requisitos de competencia para la auditoría y la certificación de sistemas de gestión de la calidad.

4.3 IAF MD 1:2007 Certification of Multiple Sites Based on Sampling. Certificación multi-sitio basada en el muestreo. 4.4 IAF MD 2:2007 Transfer of Accredited Certification of Management Systems. Transferencia de la certificación

acreditada de sistemas de gestión. 4.5 IAF MD 3:2008 Advanced Surveillance and Recertification Procedures. Procedimientos avanzados de

seguimiento y recertificación. 4.6 IAF MD 4:2008 Use of Computer Assisted Auditing Techniques ("CAAT") for Accredited Certification of

Management Systems. Uso de Técnicas de Auditoría Asistidas por Computadora “CAAT” para la certificación acreditada de sistemas de gestión.

4.7 MD 5:2013 Duration of QMS and EMS Audits. Duración de las auditorías de sistemas de gestión de la calidad y ambiental.

4.8 IAF MD 9:2011 Application of ISO/IEC 17021 in Medical Device Quality Management Systems (ISO 13485). Aplicación de la ISO/IEC 17021 en sistemas de gestión de dispositivos médicos (ISO 13485).

4.9 IAF MD 11:2013 Application of ISO/IEC 17021 for Audits of Integrated Management Systems (IMS). Aplicación de ISO/IEC 17021 para auditorías de sistemas integrados de gestión.

5. JUSTIFICACIÓN Los Organismos de Acreditación miembros del IAF y sus organismos acreditados, tienen como requisito cumplir las normas internacionales y los documentos obligatorios de IAF para la aplicación consistente de esas normas. En tal sentido, ONAC establece este Criterio Especifico de Acreditación – CEA, para dar cumplimiento a los requisitos establecidos a nivel internacional y facilitar la implementación de políticas y procedimientos de la Cooperación Interamericana de Acreditación (IAAC)y la International Accreditation Forum– IAF y para establecer, mantener y ampliar el Acuerdo de Reconocimiento Multilateral (MLA de IAAC) entre los organismos de acreditación que son signatarios del Memorando de Entendimiento (MoU de IAAC). 6. DOCUMENTOS DE REFERENCIA Para la elaboración de este documento se tuvieron en cuenta criterios y/o recomendaciones establecidos en los siguientes documentos: 6.1 NTC-ISO/IEC 17021: 2011. Evaluación de la conformidad. Requisitos para los organismos que realizan la

auditoría y la certificación de sistemas de gestión. 6.2 ISO/IEC 17021-2 Evaluación de la conformidad. Requisitos para los organismos que realizan la auditoría y la

certificación de sistemas de gestión. Parte 2: Requisitos de competencia para la auditoría y la certificación de sistemas de gestión ambiental.

6.3 ISO/IEC 17021-3 Evaluación de la conformidad. Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión. Parte 3: Requisitos de competencia para la auditoría y la certificación de sistemas de gestión de la calidad.

6.4 NTC-ISO 9001 Sistemas de Gestión de la Calidad. Requisitos 6.5 NTC-ISO 14001 Sistemas de Gestión Ambiental. Requisitos 6.6 NTC ISO OHSAS 18001 Sistema de Gestión en Seguridad y Salud Ocupacional. Requisitos 6.7 NTC-ISO 22000 Sistema de Gestión de Inocuidad de los alimentos. Requisitos para cualquier organización en la

cadena alimentaria. 6.8 NTC-ISO 13485 Dispositivos médicos. Sistema de Gestión de la calidad. Requisitos para propósitos

regulatorios.



Página 5 de 59

6.9 NTC-ISO/IEC27001 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de información (SGSI). Requisitos.

6.10 ISO/TS 22003 Food safety management systems - Requirements for bodies providing audit and certification of food safety management systems.

6.11 ISO/IEC 27006 Information technology - Security techniques - Requirements for bodies providing audit and certification of information security management systems.

6.12 ISO 28003 Principles and requirements for bodies providing the audit and certification of supply chain security management systems according to management system specifications and standards such as ISO 28000.

6.13 IAF MD 1:2007 Certification of Multiple Sites Based on Sampling 6.14 IAF MD 2:2007 Transfer of Accredited Certification of Management Systems 6.15 IAF MD 3:2008 Advanced Surveillance and Recertification Procedures 6.16 IAF MD 4:2008 Computer Assisted Auditing Techniques (“CAAT”) for Accredited Certification of Management

Systems 6.17 IAF MD 5:2013 Duration of QMS and EMS Audits 6.18 IAF MD 9:2011Application of ISO/IEC 17021 in Medical Device Quality Management Systems (ISO 13485) 6.19 IAF MD 10:2013 Assessment of Certification Body Management of Competence in Accordance with ISO/IEC

17021: 2011 6.20 [20] IAF MD 11:2013 Issue 1, Version 3. IAF Mandatory Document for the application of ISO/IEC 17021 for

Audits of Integrated Management Systems 6.21 [21] IAF MD 12:2013 Issue 1. Assessment of Certification Activities for Cross Frontier Accreditation 6.22 [22] IAF ID 1:2007. IAF Informative Document for QMS Scopes of Accreditation 6.23 [23] CGA-ENAC-CSG Rev. 6 Abril 2012. Criterios Generales de Acreditación de Entidades de Certificación que

llevan a cabo la Certificación de Sistemas de Gestión según norma UNE�EN ISO/IEC 17021 6.24 [24] CEA-ENAC-16 Rev. 4 Septiembre 2013. Certificación de Sistemas de Gestión de la Calidad y Ambiental.

Criterios Específicos de Acreditación 6.25 [25] JAS-ANZ Procedure 2, Part 1 Issue 3:2011. Requirements for bodies providing audit and certification of

Occupational Health and Safety Management Systems. 7. DEFINICIONES Y ABREVIATURAS Aplican los términos y definiciones incluidas en las normas ISO/IEC 17000, ISO/IEC 17021 e ISO/IEC TS 17023.En este documento se utilizan las siguientes abreviaturas o siglas:

- IAAC InterAmerican Accreditation Cooperation - IAF International Accreditation Forum - MLA Acuerdo multilateral de reconocimiento (Multa-Lateral Agreement) - MoU Memorando de Entendimiento (Memorandum of Understanding) - ONAC Organismo Nacional de Acreditación de Colombia - OEC Organismos de Evaluación de la Conformidad - OA Organismo de Acreditación



Página 6 de 59

8. DISPOSICIONES GENERALES Los criterios específicos de acreditación descritos en este documento, no adicionan o disminuyen los requisitos de la ISO/IEC 17021:2011 y aplican a todas las evaluaciones realizadas a los organismos de certificación de sistemas de gestión, a partir del 30 de junio de 2014. 9. CRITERIOS ESPECÍFICOS A continuación se presentan los numerales de la ISO/IEC 17021:2011, indicándose, cuando sea necesario, criterios específicos de ONAC de acuerdo con los documentos mandatorios de IAF. (5) REQUISITOS GENERALES

(5.1.2) Acuerdo de certificación § Es el contrato o similar que firman el OEC y su cliente en el que se establecen los términos de prestación

del servicio de certificación. § Cuando un cliente establece en un contrato de certificación de sistema de gestión disposiciones o

requisitos adicionales (por ejemplo programa de auditoría diferente al especificado en ISO/IEC 17021, duración del ciclo de certificación diferente a 3 años, duración de auditoría, condiciones que infrinjan los requisitos de independencia e imparcialidad, entre otros) el OEC debe revisar antes de suscribir el contrato, que estos requisitos adicionales no afectan el cumplimiento de los requisitos de la norma ISO/IEC 17021 o de los requisitos de los documentos IAF MD.

§ El OEC debe adoptar las disposiciones necesarias para asegurar que sus clientes acepten la testificación de las auditorías por parte de ONAC.

(6.) REQUISITOS RELATIVOS A LA ESTRUCTURA (6.2)Comité para la preservación de la imparcialidad

§ El OEC debe asegurar que todas las actividades y las decisiones del comité de imparcialidad estén libres de presiones que pueda ejercer la Alta dirección de acuerdo con el numeral 6.2.2 (c) de la norma ISO 17021.

(7.) REQUISITOS RELATIVOS A LOS RECURSOS (7.1.1) El OEC debe implementar y demostrar que se mantiene implementado el cumplimiento de los requisitos de acuerdo a las normas que se relacionan a continuación:

- ISO/IEC TS 17021-2 para los auditores en el esquema de certificación de sistema de gestión ambiental de acuerdo con la norma ISO 14001.

- ISO/IEC TS 17021-3 para los auditores en el esquema de certificación de sistema de gestión de la calidad (tales como ISO 9001, ISO/TS 29001, NTC 5555, NTCGP 1000).

- ISO/TS 22003 para la certificación de sistemas de gestión de inocuidad de los alimentos. - ISO 28003 para la certificación de sistema de gestión de seguridad en la cadena de suministro (ISO 28000). - IAF MD 9 Aplicación de la ISO/IEC 17021 en sistemas de gestión de dispositivos médicos (ISO 13485).

§ Para ello, ONAC verifica que el OEC demuestre que su personal involucrado en las actividades de

certificación cuente con la competencia requerida y que haya definido el proceso de certificación y los resultados esperados en cada actividad de la certificación. La evaluación de ONAC a la competencia del personal del OEC está enfocada en:

- Los procesos documentados del OEC para determinar los criterios de competencia. - Los resultados de los procesos para determinar criterios de competencia. - Las evaluaciones realizadas al personal del OEC. - Los resultados esperados en cada actividad de la certificación.



Página 7 de 59

- La determinación de las actividades de certificación. - Los criterios de competencia se aplican a las funciones de certificación de acuerdo a lo

especificado en el Anexo A de la ISO/IEC 17021 y lo establecido en la ISO/IEC /TS 17021 partes 2 y 3, ISO/TS 22003.

- Los registros adecuados de la implementación y operación eficaz de sus procesos, para la determinación y evaluación de la competencia; y que puedan demostrar que sus métodos de evaluación son eficaces.

- Definición de las áreas técnicas para las cuales se emite una certificación acreditada y si los criterios de competencia documentados del área técnica de los organismos de certificación:

§ Han sido formulados en términos de la competencia. § Cubre todos los aspectos relevantes de esa área técnica, es decir, contar con todo el

conocimiento relevante (por ejemplo, los requisitos legales aplicables, los procesos, los productos, las técnicas de control).

§ Se ha documentado la experiencia necesaria para establecer y mantener los criterios de competencia de cada área técnica.

§ Que el proceso del OEC para determinar el criterio de competencia, identifique el conocimiento y las habilidades necesarias para el personal que desarrolla todas las actividades de la certificación en cada una de sus áreas técnicas y para cada norma o especificación de sistema de gestión.

§ Que el proceso para determinar el criterio de competencia, identifique el conocimiento y las habilidades necesarias, para el personal que desarrolla todas las funciones de certificación descritas en el Anexo A de la norma ISO/IEC 17021para cada esquema de certificación de sistema de gestión.

- La documentación de los procesos para la evaluación inicial y la evaluación permanente de la competencia de todo el personal implicado en la gestión y el desarrollo de todas las funciones de la certificación.

- La capacidad demostrada por el OEC, basada en el desarrollo de una evaluación de los resultados de la actividad de la certificación correspondiente, por ejemplo, registros, informes u otra información, la cual puede contribuir a demostrar que el personal tiene el conocimiento y habilidades requeridas por el criterio de competencia documentado.

- El desarrollo de su propia evaluación, cuando el OEC emplee personal externo y personal nuevo, que ha sido evaluado por un organismo par acreditado.

- La capacidad del OEC para identificar cuándo un retiro de personal tiene un impacto sobre la competencia de todo el organismo.

(8.) REQUISITOS RELATIVOS A LA INFORMACIÓN

(8.1) información accesible al público (8.1.4) En el caso que la información suministrada sea por solicitud, el OEC debe disponer de un sistema que garantice que cualquier solicitud sea adecuadamente registrada y respondida oportunamente.

(8.3)Lista de clientes certificados § En el caso de que la lista no esté accesible directamente al público, el OEC debe disponer de un sistema

que garantice que cualquier solicitud de la lista y su envío es adecuadamente registrado y oportuno.



Página 8 de 59

(9.) REQUISITOS RELATIVOS A LOS PROCESOS (9.1.1) Programa de auditoría

§ En los casos que el OEC aplique la transferencia de la certificación acreditada de sistemas de gestión, debe ajustar su metodología para la aplicación consistente de este numeral siguiendo lo establecido en IAF MD 2. No es factible aceptar transferencias de certificaciones emitidas por organismos que no estén acreditados por un organismo de acreditación reconocido en el MLA de IAF. La transferencia de certificaciones acreditadas aplicará a partir del momento en que ONAC sea reconocido en el MLA de IAF.

§ Normalmente sólo deberían transferirse certificaciones acreditadas válidas. En los casos en que se haya otorgado la certificación por parte de un OEC que haya suspendido su actividad comercial o cuya acreditación haya expirado o haya sido suspendida o retirada o revocada, el OEC que acepta, puede considerar tal certificación para la transferencia a su propia discreción. En tales casos, antes de proceder con la transferencia, el OEC que acepta, debe obtener la aceptación de ONAC, si tiene la intención de incluir la marca de acreditación ONAC en el certificado. En el caso de adquisiciones, el OEC que adquiere debería, cuando fuera práctico, cumplir con las obligaciones contractuales del OEC adquirido.

§ El uso de procedimientos avanzados de seguimiento y recertificación – ASRP (por sus siglas en inglés), no es obligatorio y ONAC, en el caso de su uso, evaluará el cumplimiento del documento mandatorio IAF MD 3. El OEC que esté interesado en aplicar las disposiciones del documento IAF MD 3, debe solicitarlo a ONAC en el formulario de solicitud de la acreditación y debe especificar que lo aplica en su Manual de Calidad. El uso de los procedimientos avanzados de seguimiento y recertificación ASRP podrán ser empleados a partir del momento en que ONAC sea reconocido en el MLA de IAF.

§ El OEC debe indicar en su manual de calidad y en la solicitud de acreditación a ONAC la opción adoptada de las especificadas en el numeral 10 de la ISO/IEC 17021. ONAC en los informes de evaluación y los certificados de acreditación debe establecer la opción seleccionada por el OEC.

(9.1.2) Plan de auditoría. Aplicación de IAF MD 4 § El uso de técnicas de auditoría asistida por computador (CAAT) no es obligatorio, pero si un OEC y su

cliente optan por su uso, debe aplicarse el IAF MD 4 y demostrar a ONAC su implementación, cuando sea requerido.

§ En caso que el OEC decida aplicar el uso de técnicas de auditoría asistida por computadora, puede ajustar su metodología y si decide hacerlo, debe aplicar lo concerniente de este numeral, según lo establecido en el IAF MD 4.El uso de esta metodología debe estar registrada en el plan de auditoría.

§ ONAC verificará en las evaluaciones regulares la aplicación de esta metodología por parte de los OEC y revisará y validará las razones que tuvo el organismo para su uso y que el tiempo máximo empleado no sea mayor al 30% del tiempo total de la auditoría.

§ Esta metodología no debe ser usada como una herramienta para disminuir la duración de la auditoría. § Esta metodología no debe ser usada para la verificación de cumplimiento de requisitos de sistema de

gestión en los procesos de realización del producto (numerales 6.3, 6.4, 7, 8.2.3, 8.2.4, 8.3 de la ISO 9001 como tampoco de los de control operacional y preparación y respuesta ante emergencias (numerales 4.4.6 y 4.4.7) de ISO 14001.

§ Esta técnica solo aplica para auditorías de sistemas de gestión con las normas ISO 9001 e ISO 14001 (9.1.4) Determinación del tiempo de auditoría

§ Para la determinación delos tiempos de auditoría, el OEC debe ajustar su metodología a lo establecido en el IAF MD 5 e IAF MD 11.

§ El OEC puede considerar en la definición de su procedimiento para determinar el tiempo de auditoría, adicional a lo establecido en el numeral 9.1.4 de ISO/IEC 17021, las directrices de ISO/IEC TS 17023.

§ El OEC debe siempre determinar el tiempo de auditoría en función de los requisitos del numeral 9.1.4 de ISO/IEC 17021 y lo especificado en sus procedimientos definidos para tal fin.



Página 9 de 59

§ Los OEC de sistemas de gestión de inocuidad de los alimentos, deben demostrar la implementación de los criterios específicos establecidos en la ISO/TS 22003.

§ La determinación del tiempo de las auditorías con la ISO13485, debe realizarse de acuerdo al documento IAF MD 9.

§ La determinación de tiempos de auditoría para la certificación de las normas NTC 5555, ISO TS 29001 y la NTCGP 1000, se debe realizar de acuerdo documento IAF MD 5 de sistema de gestión de la calidad.

§ Para cada cliente, el OEC debe determinar el tiempo necesario para planificar y realizar una auditoría completa y eficaz del sistema de gestión. El tiempo de auditoría determinado por el OEC y su justificación debe registrarse. Cuando un OEC aplique reducciones respecto a la tabla de tiempo mínimo establecido en las Tablas del IAF MD 5, su justificación se debe registrar y debe estar disponible en las evaluaciones de ONAC o por petición expresa.

§ En los casos de certificación de sistemas de gestión de calidad y ambiental, cuando sea aplicable el muestreo por multi-sitio en la determinación de los tiempos de auditoría, se debe considerar el necesario para auditar el número mínimo de sitios permanentes que se toman como muestra.

(9.1.5) Muestreo multi-sitio § El OEC debe verificar si la organización cumple los criterios de elegibilidad para muestra por multi-sitio

establecidos en el IAF MD 1 o la norma ISO/TS 22003, según aplique, para decidir si es aplicable esta metodología. El tamaño mínimo de sitios permanente de la muestra, diferentes al principal debe estar de acuerdo con lo establecido en la ISO/TS 22003 y el Anexo 1 - IAF MD 1Certificación Multi-sitio Basada en el Muestreo.

10. NOTAS ACLARATORIAS Notas aclaratorias de ONAC a los documentos mandatorios de IAF.

NOTA ACLARATORIA AL ANEXO 2 IAF MD 2 Documento obligatorio para la Transferencia de la Certificación Acreditada de Sistemas de Gestión

Estas directrices, tienen como objetivo asegurar el mantenimiento de la integridad de la certificación ante la eventualidad de una transferencia de un certificado, en aquellos casos en los que una empresa se ve en la necesidad de cambiar de certificador, ya sea porque éste deje de prestar sus servicios, pierda su acreditación o por razones empresariales tales como fusiones o compras entre empresas certificadas por dos certificadoras diferentes, decisiones corporativas de un grupo de empresas que pretenden unificar sus certificados en una única certificación o, en general, porque la empresa está insatisfecha con el servicio recibido. Las directrices no deben ser utilizadas por los organismos de certificación acreditados como una herramienta comercial para captar nuevos clientes ni, por tanto, ser ofrecidas como “otra vía” a la certificación. Es necesario, destacar lo siguiente, sobre el uso del procedimiento de transferencias:

§ El OEC que recibe la certificación debe disponer de procedimientos y criterios documentados sobre la aplicación de transferencia de certificados.

§ La aplicación del procedimiento de transferencia de certificados, solamente es posible a petición del cliente y tras el estudio del caso llevado a cabo por el OEC tal y como se establece en el apartado de “Revisión pre-transferencia”.

§ La revisión establecida en el numeral 2.2.1 del anexo 2, debe aplicarse en todos los casos; que la revisión no incluya una visita al solicitante debe ser una excepción y estar claramente justificada por el OEC, que debe tener criterios establecidos al respecto. En general, cuando la transferencia se haga sin el conocimiento del OEC emisor, dicha visita se considerará imprescindible e independiente de cualquier visita de auditoría que se



Página 10 de 59

determine necesaria. En particular, el OEC receptor deberá asegurarse de que la validez del certificado existente; la ausencia de procesos sancionatorios al solicitante por parte del OEC emisor; el estado de las no conformidades y su resolución, son verificadas, con el OEC emisor, cuando sea posible. De todo lo anterior deben mantenerse los registros pertinentes.

§ El resultado de la revisión anterior, debe justificar la decisión tomada por el OEC sobre si aplica la cláusula 2.3.4 o 2.3.5 del Anexo 2.

§ Los documentos de certificación emitidos de acuerdo con la cláusula 2.3.4 del anexo 2, deben tener la fecha de emisión del día en que se concede el nuevo certificado y establecer las condiciones de la validez del sistema de gestión del OEC receptor pero mantener la vigencia establecida en el certificado de origen.

11. DOCUMENTOS RELACIONADOS R-AC-01. Reglas del servicio de acreditación 12. CONTROL DE CAMBIOS Versión Fecha de emisión Resumen de cambios

01 2014-07-28 Versión original 13. ANEXOS A continuación y como orientación para su implementación, se relacionan las traducciones libres de los documentos mandatarios de IAF, elaborados por ONAC o IAAC. Sin embargo, para dirimir una diferencia o apelación, se tendrá en cuenta los documentos publicados en la página web: http://www.iaf.nu/articles/Mandatory_Documents_/38 o http://www.iaf.nu/



Página 11 de 59

ANEXO 1

IAF MD 1:2007 Publicación 1 Certificación Multi-sitio Basada en el Muestreo

Este documento es una traducción al español preparada y endosada por IAAC, del documento “IAF Mandatory Document for the Certification of Multiple Sites Based on Sampling”

Este documento es obligatorio para la aplicación consistente del Apartado 9.1.5 de la ISO/IEC 17021:2011y se basa en la guía que se facilitó previamente en IAF GD2:2005, Apéndice 3 e IAF GD6:2003, apartado G.5.3.5 – G.5.3.13. Todos los apartados de ISO/IEC 17021:2006 continúan siendo aplicables y este documento no sustituye ninguno de los requisitos de esa norma. Este documento obligatorio no es exclusivo para los Sistemas de Gestión de Calidad (SGC) ni para los Sistemas de Gestión Ambiental (SGA) y puede utilizarse para otros sistemas de gestión. Sin embargo, las normas pertinentes pueden brindar los requisitos específicos para los multi-sitio o excluir el uso del muestreo (ej. ISO/IEC 27006, ISO/TS 22003). 0 INTRODUCCIÓN 0.1 Este documento es para la auditoría y, si fuera adecuado, para la certificación de los sistemas de gestión en

organizaciones con una red de sitios para asegurar que la auditoría proporciona la confianza adecuada sobre la conformidad del sistema de gestión con la norma pertinente a través de todos los sitios listados y que la auditoría sea práctica y viable en términos económicos y operativos.

0.2 Normalmente las auditorías iniciales de certificación y las subsecuentes auditorías de seguimiento y renovación de la certificación, deben llevarse a cabo en cada sitio de la organización que vaya a ser cubierto por la certificación. Sin embargo, cuando la actividad de la organización que sea sujeta a certificación se lleve a cabo de forma similar en diferentes sitios, todos bajo la autoridad y control de la organización, un OEC puede poner en operación procedimientos apropiados para el muestreo de los sitios en la auditoría inicial y las posteriores auditorías de seguimiento y recertificación. Este documento establece las condiciones bajo las cuales esto es aceptable para los organismos de certificación acreditados, incluyendo el cálculo del tamaño de la muestra y la duración de la auditoría.

0.3 Este documento no aplica a las auditorías de las organizaciones que cuentan con sitios múltiples donde se utilizan procesos o actividades que son fundamentalmente distintos, en los diferentes sitios, o una combinación de sitios, aun cuando estén bajo el mismo sistema de gestión.

0.4 Las condiciones bajo las cuales los organismos de certificación pueden realizar cualquier reducción en la auditoría total normal de cada sitio, en estas circunstancias, tiene que justificarse en cada sitio donde se proponga una reducción. Este documento es aplicable a los organismos de certificación acreditados que emplean el muestreo en sus auditorías y certificación de organizaciones multi-sitios. No obstante, un OEC acreditado puede desviarse excepcionalmente de este documento bajo la condición de que pueda producir justificaciones pertinentes. Estas justificaciones deben, bajo la evaluación por parte del organismo de acreditación, demostrar que el mismo nivel de confianza puede ser obtenido en la conformidad del sistema de gestión en todos los sitios listados.

0.5 Cuando una organización se considere candidata para la certificación basada en el muestreo, el OEC debe contar con los acuerdos para explicar la aplicación de este documento a la organización previo al inicio de la auditoría.

1. DEFINICIONES 1.1 Organización

El término organización se utiliza para designar a cualquier compañía u otra organización con un sistema de gestión sujeto a auditoría y certificación.



Página 12 de 59

1.2 Sitio Un sitio es un lugar permanente donde una organización realiza su trabajo o servicio.

1.3 Sitio Temporal Un sitio temporal es aquél establecido por una organización para desempeñar un trabajo específico o un servicio por un período de tiempo finito, y que no se convertirá en un lugar permanente. (Por ejemplo: sitio de construcción).

1.4 Sitios Adicionales Un sitio nuevo o grupo de sitios que serán agregados a una red de multi-sitios certificados.

1.5 Organización Multi-sitio Una organización multi-sitio se define como una organización que cuenta con una función central identificada (de aquí en adelante nombrado como una oficina central – pero no necesariamente la oficina principal de la organización), en donde se planean, controlan o gestionan ciertas actividades, y una red de oficinas locales o sucursales (sitios) en donde tales actividades se llevan a cabo de forma total o parcial.

2. SOLICITUD 2.1 Sitio

2.1.1 Un sitio podría incluir toda la tierra donde se llevan a cabo las actividades bajo el control de una organización en una locación dada, lo que incluye cualquier almacén de materias primas, subproductos, productos intermedios, productos finales y material de desecho, y cualquier equipo o infraestructura, involucrado en las actividades, ya sean fijas o no. Alternativamente, cuando lo requiera la ley, deben aplicar las definiciones establecidas sobre los sistemas de licencias nacionales o locales.

2.1.2 Cuando no sea practico definir una locación (ej. para los servicios), la cobertura de la certificación debería tomar en cuenta las actividades de las oficinas centrales de la organización, así como la prestación de sus servicios. Donde sea relevante, el OEC puede decidir que la auditoría de certificación será realizada solamente donde la organización brinda sus servicios. En tales casos, todas las interfaces con su oficina central deben ser identificadas y auditadas.

2.2 Sitio Temporal 2.2.1 Los sitios temporales que están cubiertos por el sistema de gestión de la organización pueden estar sometidos

a auditoría en base a muestreo, para brindar evidencia de la operación y eficacia del sistema de gestión. Pueden, sin embargo, estar incluidos dentro del ámbito de la certificación multi-sitio sujeto a un acuerdo entre el OEC y la organización cliente. Cuando se incluya en el alcance, tales sitios deben identificarse como temporales.

3. ELIGIBILIDAD DE UNA ORGANIZACIÓN PARA EL MUESTREO 3.0.1 Los procesos en todos los sitios tienen que ser sustancialmente de la misma naturaleza y tienen que operarse

con métodos y procedimientos similares. Donde algunos de los sitios bajo consideración se operan de forma similar, pero con menos procesos que otros, pueden ser elegibles para la inclusión bajo la certificación multi-sitio siempre y cuando el/los sitio(es) que llevan a cabo la mayoría de los procesos, o los procesos críticos, sean sometidos a una auditoría completa.

3.0.3 El sistema de gestión de la organización debe estar bajo un plan administrado y controlado de forma central y debe estar sujeto a la revisión por la dirección central. Todos los sitios relevantes, (incluida la función de la administración central), deben estar sujetos al programa de auditoría interna de la organización y todos deben haber sido auditados según ese programa, previo a que el OEC inicie su auditoría.

3.0.4 Se debe demostrar que la oficina central de la organización ha establecido un sistema de gestión de acuerdo con la norma aplicable al sistema de gestión bajo auditoría y que toda la organización cumple con los requisitos de la norma. Esto debe incluir la consideración del marco legal aplicable.



Página 13 de 59

3.0.5 La organización debería demostrar su habilidad para reunir y analizar los datos, (que incluye pero no se limita a los puntos listados a continuación), de todos los sitios incluyendo la oficina central y sus autoridades; y también demostrar su autoridad y capacidad para iniciar un cambio organizacional si se requiere: § Documentación del sistema y cambios del sistema; § Revisión por la Dirección; § Quejas; § Evaluación de las acciones correctivas; § Planificación de auditoría interna y evaluación de los resultados; § Cambios de aspectos e impactos asociados con los sistemas de gestión ambiental (SGA) y § Diferentes requisitos legales.

3.0.6 No todas las organizaciones que cumplan con la definición de “organización multi-sitio” serán elegibles para el muestreo.

3.0.7 No todas las normas de los sistemas de gestión son aptas para la consideración de la certificación multi-sitio. Por ejemplo, el muestreo en multi-sitio no sería adecuado cuando la auditoría de los factores locales variables sea un requisito de la norma. Las reglas específicas aplican también para algunos esquemas, por ejemplo aquellos que incluyen automotores (TS 16949) y aeroespacial (serie AS 9100) y los requisitos de tales esquemas deben tener prioridad.

4.1 Revisión del Contrato 4.1.1 Los procedimientos del OEC deberían asegurar que la revisión inicial del contrato identifica la complejidad, y la

escala de las actividades cubiertas por el sistema de gestión sometido a certificación, y cualquier diferencia entre los sitios como base para determinar el nivel del muestreo.

4.1.2 El OEC debe identificar la función central de la organización con la que tiene un acuerdo legalmente ejecutable para el suministro de las actividades de certificación.

4.1.3 El OEC debe verificar, en cada caso individual, hasta qué punto los sitios de la organización operan sustancialmente los mismos tipos de procesos según los mismos procedimientos y métodos. Ver apartado 3.0.1 para los sitios que llevan a cabo pocos, pero similares procesos que otros sitios y el apartado 3.0.2 para los sitios que involucran procesos vinculados. Solamente luego de un examen positivo por parte del OEC, de que todos los sitios propuestos para la inclusión en el ejercicio de multi-sitio cumplan con las disposiciones de elegibilidad, se puede aplicar el procedimiento de muestreo a los sitios individuales.

4.1.4 Si todos los sitios de una organización de servicio, donde la actividad sujeta a certificación se lleva a cabo, no están listos para someterse a certificación al mismo tiempo, se le debe pedir a la organización que informe por anticipado al OEC, sobre los sitios que desea incluir en la certificación y aquellos que serán excluidos.

4.2 Auditoría 4.2.1 El OEC debe contar con los procedimientos documentados para lidiar con las auditorías bajo sus

procedimientos multi-sitio. Dichos procedimientos deben establecer la forma en la que el OEC verifica que el mismo sistema de gestión rige las actividades de todos los sitios, se aplica a todos los sitios y que todos los criterios de elegibilidad para la organización establecidos en el apartado 3 antes mencionado se cumplen. Este requisito también aplica al sistema de gestión donde se utilizan documentos electrónicos, control de procesos u otros procesos electrónicos. El OEC debe justificar y registrar el fundamento para proceder con un enfoque de multi-sitios.

4.2.2 Si más de un equipo auditor está involucrado en la auditoría o seguimiento de la red, el OEC debería designar a un evaluador líder, cuya responsabilidad es la de consolidar los hallazgos de todos los equipos auditores y crear un informe resumen.

4.3 No-conformidades 4.3.1 Cuando en cualquier sitio individual se encuentran no-conformidades, tal como se define en ISO/IEC 17021

apartado 9.1.15 (b), ya sea por medio de la auditoría interna de la organización o del OEC, se debe realizar una



Página 14 de 59

investigación para determinar si hay otros sitios que hayan podido ser afectados. Por lo tanto, el OEC debería solicitar a la organización que revise las no-conformidades para determinar si indican una deficiencia en general del sistema aplicable a otros sitios o no. Si se encuentra que lo hay, se debe llevar a cabo una acción correctiva y se debe verificar tanto, en la oficina central como en los sitios individuales afectados. Si por el contrario no se encuentra que sea así, la organización debería demostrarle al OEC la justificación para limitar su acción correctiva de seguimiento.

4.3.2 El OEC debe solicitar evidencia de estas acciones e incrementar la frecuencia de su muestreo y/o el tamaño de la muestra hasta que esté satisfecho con que el control se ha restablecido.

4.3.3 En el momento del proceso de toma de decisión, si alguno de los sitios cuenta con alguna no-conformidad, como se define en ISO/IEC 17021 apartado 9.1.15 (b), se debe denegar la certificación a toda la red de sitios de la lista, hasta que las acciones correctivas sean satisfactorias.

4.3.4 No debe admitirse que, con el propósito de superar el obstáculo que surge al tener una no-conformidad en un solo sitio, la organización busque excluir al sitio “problemático” del alcance durante el proceso de certificación. Tal exclusión se puede acordar únicamente por adelantado. (Ver apartado 4.1.4)

4.4 Documentos de Certificación 4.4.1 Los documentos de certificación que cubran multi-sitios se pueden emitir siempre y cuando cada sitio incluido

en el ámbito de certificación haya sido evaluado de manera individual por el OEC, o evaluado con el enfoque de muestreo descrito en este documento.

4.4.2 El OEC debe brindar los documentos de certificación al cliente certificado por cualquiera de los medios que escoja. Tales documentos de certificación deben cumplir con todo lo que indica ISO/IEC 17021.

4.4.3 Estos documentos deben especificar el nombre y dirección de la oficina central de la organización y una lista de todos los sitios a los cuales los documentos de certificación se relacionan. El alcance, u otra referencia, en estos documentos deben dejar claro que las actividades certificadas son llevadas a cabo por la red de sitios en la lista. Si el alcance de la certificación de los sitios se emite solamente como parte del alcance general de la organización, su aplicabilidad a todos los sitios se debe establecer claramente. Cuando sitios temporales estén incluidos en el alcance, tales sitios deben ser identificados como temporales en los documentos de certificación.

4.4.4 Los documentos de certificación pueden ser emitidos a la organización para cada sitio cubierto por la certificación bajo la condición de que contengan el mismo alcance, o un sub-alcance de ese alcance, y que incluya una referencia clara a los documentos principales de certificación.

4.4.5 La documentación de certificación será retirada por completo si la oficina central, o cualquiera de los sitios, no cumple las disposiciones necesarias para el mantenimiento de la certificación.

4.4.6 La lista de los sitios se debe mantener actualizada por parte del OEC. Con este fin, el OEC debe solicitar a la organización que le informe sobre el cierre de cualquiera de los sitios cubiertos por la certificación. El incumplimiento en el suministro de tal información será considerado por el OEC como un mal uso de la certificación y debería actuar en consecuencia, según sus procedimientos.

4.4.7 Se pueden agregar sitios adicionales a una certificación existente como resultado de las actividades de seguimiento o recertificación o la ampliación del alcance. El OEC debe tener procedimientos documentados para agregar sitios nuevos.

5. MUESTREO 5.1 Metodología

5.1.1 La muestra debe ser en parte selectiva, basada en los factores establecidos a continuación y en parte no-selectiva, y debería abarcar un rango representativo de diferentes sitios seleccionados, sin excluir el elemento aleatorio del muestreo.

5.1.2 Al menos un 25% de la muestra debería seleccionarse al azar. 5.1.3 Tomando en cuenta las disposiciones mencionadas a continuación, el resto debería ser seleccionado de modo

que las diferencias entre los sitios seleccionados durante el período de validez del certificado sea tan extenso como sea posible.



Página 15 de 59

5.1.4 La selección del sitio puede incluir, entre otros, los siguientes aspectos: § Resultados de las auditorías internas de los sitios y las revisiones por la dirección o de auditorías de

certificación previas; § Registros de quejas y otros aspectos relevantes de las acciones correctivas y preventivas; § Variaciones significativas en el tamaño de los sitios; § Variaciones en los patrones de turnos y procedimientos de trabajo; § La complejidad del sistema de gestión y los procesos llevados a cabo en los sitios; § Modificaciones desde la última auditoría de certificación; § Madurez del sistema de gestión y conocimiento de la organización; § Temas ambientales y el alcance de los aspectos e impactos asociados con los sistemas de gestión

ambiental (SGA); § Las diferencias en la cultura, idioma y requisitos regulatorios; y § Dispersión geográfica.

5.1.5 Esta selección no tiene que hacerse al inicio del proceso de auditoría. Puede también realizarse una vez que la auditoría en la oficina central se haya completado. En cualquier caso, la oficina central debe ser informada sobre los sitios a incluir en el muestreo. Esto se puede hacer con poca antelación relativa, pero debería permitir el tiempo suficiente para la preparación de la auditoría.

5.2 Tamaño de la Muestra 5.2.1 El OEC debe tener un procedimiento documentado para determinar la muestra a tomar cuando se auditan los

sitios como parte de las auditorías y certificación de una organización multi-sitio. Esto debe tomar en cuenta todos los factores descritos en este documento

5.2.2 El OEC debe contar con registros sobre cada aplicación del muestreo multi-sitio que justifique que está operando de acuerdo con este documento.

5.2.3 El siguiente cálculo es un modelo basado en un ejemplo de una actividad, con un riesgo de bajo a medio, con menos de 50 empleados en cada sitio. El número mínimo de lugares a visitar por auditoría es: § Auditoría inicial: el tamaño de la muestra debería ser la raíz cuadrada del número de sitios remotos: (y=√x),

redondeado hacia el número entero superior. § Auditoría de seguimiento: el tamaño de la muestra anual debería ser la raíz cuadrada del número de sitios

remotos con 0.6 como un coeficiente (y=0.6 √x), redondeado hacia el número entero superior. § Auditoría de recertificación: el tamaño de la muestra debería ser igual que para la auditoría inicial. No

obstante, donde el sistema de gestión haya probado ser efectivo por un período de tres años, el tamaño de la muestra pudiera reducirse por un factor 0.8, por ejemplo: (y=0.8 √x), redondeado hacia el número entero superior.

5.2.4 El OEC debe definir, dentro de su sistema de gestión, los niveles de riesgo de las actividades tal como se aplican arriba.

5.2.5 La oficina central debe ser evaluada durante cada certificación inicial y auditoría de recertificación, y por lo menos una vez al año como parte del seguimiento.

5.2.6 El tamaño o la frecuencia de la muestra debería ser incrementado cuando el análisis de riesgos efectuado por el OEC a la actividad cubierta por el sistema de gestión, sometido a certificación, indique circunstancias especiales con respecto a factores como: § El tamaño de los sitios y el número de empleados (ej. más de 50 empleados en un sitio); § La complejidad o nivel de riesgo de la actividad y del sistema de gestión; § Variaciones en las prácticas laborales (ej. turnos de trabajo); § Variaciones en las actividades asumidas;



Página 16 de 59

§ Importancia o alcance de los aspectos e impactos asociados a los sistemas de gestión ambiental (SGA); § Registros de quejas y otros aspectos relevantes de acciones correctivas y preventivas; § Cualquier aspecto multinacional; y § Resultados de auditorías internas y revisiones por la dirección.

5.2.7 Cuando la organización cuenta con un sistema jerárquico de sucursales (ej. oficina central (casa matriz), oficinas nacionales, oficinas regionales, sucursales locales), el modelo de muestreo para la auditoría inicial como se definió anteriormente aplica a cada nivel. Ejemplo: 1 Oficina principal: visitada en cada ciclo de auditorías (inicial o seguimiento o de recertificación) 4 Oficinas nacionales: muestra = 2: mínimo, 1 al azar 27 Oficinas regionales: muestra = 6: mínimo, 2 al azar 1700 Sucursales locales: muestra = 42: mínimo, 11 al azar.

5.3. Tiempo para Auditorías 5.3.1 El tiempo de auditoría a utilizar en cada sitio individual es otro elemento a considerar, y el OEC debe estar

preparado para justificar el tiempo utilizado para las auditorías multi-sitio en términos de su política general para la asignación del tiempo para la auditoría.

5.3.2 El número de los días hombre por sitio, incluyendo la oficina central, debería calcularse para cada sitio utilizando el documento publicado más reciente de IAF para el cálculo de los días hombre para la norma pertinente.

5.3.3 Se pueden aplicar reducciones tomando en consideración los apartados que no sean relevantes para la oficina central y/o sitios locales. El OEC debe registrar las razones para la justificación de dichas reducciones.

Nota: Los sitios que realizan la mayoría de los procesos o los críticos no están sujetos a reducciones (apartado 3.1.1). 5.3.4 El tiempo total utilizado en la auditoría inicial, y en la de seguimiento, es la suma total del tiempo utilizado en

cada sitio más el de la oficina central, y nunca debería ser menos que el que hubiera sido calculado para el tamaño y complejidad de la operación, si todo el trabajo se hiciera en un solo lugar. (ej.: con todos los empleados de la compañía en el mismo sitio).

5.4 Sitios Adicionales 5.4.1 En la solicitud de un grupo nuevo de sitios para unirse a una red multi-sitio ya certificada, cada grupo nuevo de

sitios debería considerarse como una serie independiente para la determinación del tamaño de la muestra. Luego de la inclusión del grupo nuevo en el certificado, los sitios nuevos deberían ser acumulados a los anteriores para determinar el tamaño de la muestra para futuras auditorías de seguimiento o de recertificación.



Página 17 de 59

ANEXO 2

IAF MD 2:2007 Publicación 1 Transferencia de la Certificación Acreditada de Sistemas de Gestión

Este documento es una traducción al español preparada y endosada por IAAC, del documento “IAF Mandatory Document for the Transfer of Accredited Certification of Management Systems"

Este documento es obligatorio para la aplicación consistente del numeral 9.1.1 de la ISO/IEC 17021:2011y se basa en la guía que se facilitó previamente en el Anexo 4 del IAF GD2:2005 y en el Anexo 2 del IAF GD6:2006. Todos los apartados de ISO/IEC 17021:2011siguen siendo aplicables y este documento no sustituye ninguno de los requisitos de la norma. Este documento obligatorio no es exclusivo para los Sistemas de Gestión de la Calidad (SGC) y para los Sistemas de Gestión Ambiental (SGA), y se puede utilizar para otros sistemas de gestión. 0 INTRODUCCIÓN 0.1 Este documento proporciona un criterio normativo sobre la transferencia de la certificación acreditada de sistemas

de gestión entre los organismos de certificación. Es posible que los criterios también sean aplicables en el caso de adquisiciones de organismos de certificación acreditados por un signatario del MLA de IAF.

0.2 El objetivo de este documento es asegurar el mantenimiento de la integridad de las certificaciones acreditadas de los sistemas de gestión emitidas por un OEC, si posteriormente se transfiere a otro organismo similar.

0.3 Este documento proporciona un criterio mínimo para la transferencia de la certificación. Los organismos de certificación pueden implementar procedimientos o acciones que sean más estrictos que los contenidos en este documento, siempre y cuando la libertad de un cliente para escoger un OEC no sea excesiva o injustamente limitada.

1 DEFINICIÓN 1.1 Transferencia de Certificación

La transferencia de certificación se define como el reconocimiento de la existencia y validez de una certificación de un sistema de gestión, otorgada por un OEC acreditado (de ahora en adelante denominado “OEC emisor”), con el propósito de emitir su propia certificación. Nota: La certificación múltiple (certificación concurrente por más de un OEC) no está cubierta por esta definición, y no es fomentada por el IAF.

2 REQUISITOS MÍNIMOS 2.1 Acreditación 2.1.1 Sólo las certificaciones cubiertas por una acreditación de un signatario de un MLA del IAF deben ser elegibles

para la transferencia. Las organizaciones que tengan certificaciones que no estén cubiertas por tales acreditaciones deben ser consideradas como clientes nuevos.

2.2 Revisión pre-transferencia 2.2.1 Una persona competente del OEC receptor deberá llevar a cabo una revisión de la situación de la certificación

del posible cliente. La revisión deberá llevarse a cabo por medio de una revisión documental y, normalmente, debería incluir una visita al potencial cliente. En caso excepcional de no llevarse a cabo la visita, las razones para ello deberán estar plenamente justificadas y documentadas. En cualquier caso, se deberá llevar a cabo la visita y no se puede establecer contacto al respecto con el OEC emisor. La revisión debería cubrir los siguientes aspectos y sus hallazgos deberán estar completamente documentados: i. Confirmación que las actividades certificadas del cliente entran dentro del alcance acreditado del OEC

receptor. ii. Las razones para solicitar la transferencia.



Página 18 de 59

iii. Que el sitio o sitios objeto de la transferencia, están cubiertos por un certificado acreditado y válido, en términos de autenticidad, duración, alcance de las actividades cubiertas por el sistema de gestión. Si es posible, tanto la validez del certificado como el estado de las no conformidades abiertas deberían ser verificados con el OEC emisor, a menos que éste haya abandonado sus actividades. Si no fuera posible ponerse en contacto con el OEC emisor, el OEC receptor deberá registrar las razones.

iv. Un estudio de los últimos informes de certificación inicial o recertificación, así como de los consiguientes informes de seguimiento y cualquier no conformidad pendiente que haya surgido de cualquiera de ellos. Este estudio también debe incluir cualquier otra documentación relevante disponible relativa al proceso de certificación, por ejemplo, notas de auditoría, listas de chequeo. Si los últimos informes de auditoría de certificación inicial, recertificación o seguimiento no están disponibles o si el plazo para la auditoría de seguimiento ha vencido, entonces la organización deberá ser tratada como un nuevo cliente.

v. Quejas recibidas y acciones llevadas a cabo. vi. La etapa del ciclo actual de certificación. Ver cláusula 2.3.4 de este documento y vii. Cualquier compromiso actual de la organización con organismos regulatorios relacionados con el

cumplimiento legal. 2.3 Certificación 2.3.1 Normalmente, sólo deberían transferirse certificaciones acreditadas válidas. En los casos en que se haya

otorgado la certificación por parte de un OEC que haya suspendido su actividad comercial, o cuya acreditación haya expirado, haya sido suspendida o revocada, el OEC que acepta puede considerar tal certificación para la transferencia a su propia discreción. En tales casos, antes de proceder con la transferencia, el OEC que acepta debe obtener el acuerdo del organismo de acreditación cuya marca tenga la intención de incluir en el certificado. En el caso de adquisiciones, el OEC que adquiere debería, cuando fuera práctico, cumplir con las obligaciones contractuales del OEC adquirido.

2.3.2 No se debe aceptar para transferencia, la certificación de la cual se sepa que haya sido suspendida o se encuentre bajo amenaza de suspensión. Si el OEC que acepta no ha podido verificar el estado de la certificación con el OEC emisor, se le debe requerir a la organización que confirme que el certificado no está suspendido ni bajo amenaza de suspensión.

2.3.3 Si es posible, las no-conformidades pendientes deberían levantarse con el organismo certificador emisor, antes de realizar la transferencia. De no ser así, deben ser cerradas por el OEC que acepta.

2.3.4 Si en la revisión pre-transferencia no se identifican más problemas pendientes o potenciales, se puede emitir una certificación una vez se complete el proceso normal de toma de decisión. El programa de seguimiento debería basarse en el régimen de certificación previo, a menos que el OEC que acepta haya llevado a cabo una evaluación inicial o de re-certificación como resultado de la revisión.

2.3.5 Cuando existiesen dudas, luego de la revisión pre-transferencia, sobre la adecuación de una certificación actual o previa, el OEC que acepta, según la magnitud de la duda debe: § Tratar al solicitante como un cliente nuevo, o § Llevar a cabo una auditoría enfocada en las áreas con problemas identificados. La decisión sobre la acción requerida dependerá de la naturaleza y magnitud de cualquier problema que se haya encontrado, y se debe explicar a la organización, así como documentar la justificación sobre la decisión, y el OEC debe guardar los registros.



Página 19 de 59

ANEXO 3

IAF MD 3:2008 Publicación 1 Procedimientos Avanzados de Seguimiento y Recertificación

Este documento es una traducción al español preparada y endosada por IAAC, del documento “IAF Mandatory Document for Advanced Surveillance and Recertification Procedures"

Este documento brinda criterios normativos para los procedimientos avanzados de seguimiento y recertificación (ASRP por sus siglas en inglés) para la aplicación consistente del apartado 9.1.1 de la norma ISO/IEC 17021:2006 a fin de determinar los ajustes posteriores para el programa de auditoría. Este documento se encarga solamente de los Sistemas de Gestión de Calidad (SGC) y Sistemas de Gestión Ambiental (SGA), en los cuales los miembros del IAF han tenido experiencia en la implementación del ASRP o sus metodologías predecesoras. El uso del ASRP no es obligatorio, pero si un organismo de acreditación desea permitir a sus organismos de certificación acreditados y a su(s) cliente(s) optar por el uso de ASRP, es un requisito de IAF que el OEC y su(s) cliente(s) cumpla(n) con este documento y pueda(n) demostrar su conformidad al organismo de acreditación. 0 INTRODUCCIÓN 0.1 Para una organización cliente que ha establecido confianza en su sistema de gestión (SGC y/o SGA) por medio

de su consistente demostración de efectividad por un período de tiempo, el OEC, en consulta con la organización, puede escoger aplicar los Procedimientos Avanzados de Seguimiento y Recertificacion (ASRP) que se presenta en este documento. Tal programa avanzado de seguimiento y recertificación puede brindar mayor confianza (pero no total) en los procesos de auditoría interna y de revisión por la dirección, de la organización, lo que incluye temas enfocados al seguimiento, toma en cuenta la entrada del diseño específico de la organización y/o el uso de otros métodos según sea apropiado, con el fin de demostrar la conformidad del sistema de gestión.

0.2 El objetivo de este documento es asegurar la prestación de auditorías más efectivas y eficaces para las organizaciones que cuentan con un registro de desempeño probado, mientras se mantiene al mismo tiempo la integridad de los certificados de sistemas de gestión acreditados con los que ya cuentan.

0.3 Este documento determina los requisitos mínimos para la aplicación del ASRP. Los organismos de certificación pueden implementar procedimientos o acciones que sean más estrictas que los que se encuentran aquí, siempre que la solicitud justificable de una organización para el ASRP no sea excesiva o injustamente limitante.

1 REQUISITOS MÍNIMOS 1.1 Pre-requisito

Con el fin de utilizar el ASRP, el OEC debe primero demostrarle al organismo de acreditación firmante del MLA de IAF:

a. Que ha estado operando un esquema de certificación acreditado para el sistema de gestión pertinente (SGC y/o SGA) por un ciclo completo de acreditación como mínimo.

b. Que es competente para diseñar un programa de ASRP para cada organización individual en el sistema de gestión pertinente (SGC y/o SGA), según los requisitos de la norma ISO 9001:2000 apartado 7.3 y usando el criterio la entrada del diseño específico que se menciona en el apartado 1.3.2 abajo.

NOTA: Aquí se hace referencia a la ISO 9001, ya que esto especifica los requisitos para que el OEC diseñe un programa para ASRP ya sea operando certificación de SGC o SGA.

1.2 Alcance de Acreditación La competencia del OEC para cumplir con el apartado 1.1 (b), antes mencionado, debe ser evaluado por el organismo de acreditación después de lo cual, si es exitosa, se debe incluir en el alcance la referencia específica a la aprobación para ASRP para SGC y/o SGA, según corresponda.



Página 20 de 59

1.3 Elegibilidad y Criterios de entrada para el Diseño El OEC debe informar al organismo de acreditación, antes de toda nueva utilización del ASRP para cada organización específica y debe demostrar que siguen los criterios de los apartados 1.3.1 y 1.3.2:

1.3.1 Criterio de Elegibilidad a. El OEC debe confirmar que el sistema de gestión de la organización ha demostrado conformidad con los

requisitos de la(s) norma(s) aplicables, por un período de por lo menos un ciclo de certificación completo, lo que incluye las auditorías iniciales, de seguimiento y las de recertificación. NOTA: El OEC puede fundamentar esta confirmación de conformidad en el resultado de la primera auditoría de recertificación (que no sea ASRP) de la organización realizada al final de un ciclo de certificación de tres años.

b. Todas las no-conformidades que surjan durante el ciclo de certificación, inmediatamente anterior al de que se utilice el ASRP deben haber sido resueltas exitosamente.

c. En el caso de un SGA, el OEC debe confirmar que la organización ha establecido el cumplimiento con los requisitos legales aplicables y que no ha tenido ninguna sanción impuesta por la(s) autoridad(es) regulatoria(s) relevantes durante el período antes mencionado en a).

d. El OEC debe haber acordado los indicadores de desempeño adecuados con la organización, sobre los cuales juzgar la efectividad continua del sistema de gestión y debe asegurar que la organización está cumpliendo de forma consistente con las metas de desempeño acordados.

i. Para un SGC, estos indicadores de desempeño deben contemplar, como mínimo, la habilidad demostrada de la organización para proporcionar, de modo consistente un producto que cumpla con los requisitos del cliente y regulatorios aplicables (ver ISO 9001:2000 apartado 1.1); y debe incorporar requisitos para una mejora continua de la efectividad del SGC. NOTA: Para un SGC, “indicador” significa la característica a ser medida y “meta” significa los requisitos cuantitativos/cualitativos a ser alcanzados.

ii. Para un SGA, estos indicadores de desempeño deben contemplar como mínimo, la habilidad demostrada de la organización para lograr su política ambiental, objetivos y metas y el cumplimiento con los requisitos legales aplicables y otros relacionados con sus aspectos ambientales (ver ISO 14001:2004 apartado 4.3.2), y deben incorporar requisitos para la mejora continua y prevención de contaminación. NOTA: Para un SGA, “indicador” significa la característica a medir y “meta” usada en el contexto de meta de desempeño y significa los requisitos cuantitativos/cualitativos a ser alcanzados, lo cual se considera idéntico a “meta ambiental” como se define en ISO 14001.

e. El OEC debe contar con acuerdos ejecutables con la organización para brindar acceso a información relevante. Para un SGC, esta información es la totalidad de los datos de satisfacción al cliente recogidos o que esté disponible de otra forma. Para un SGA, esta información es toda la comunicación relevante con las partes externas interesadas, y en particular la(s) autoridad(es) pertinentes(s). Cuando sea necesario para el OEC comunicarse directamente con la fuente de tal información, con el fin de validar la misma, se deben aplicar políticas y procedimientos de confidencialidad mutuamente acordados.

f. El OEC debe confirmar que el proceso de auditoría interna de la organización está siendo gestionado según la directriz de ISO 19011, con referencia particular a la competencia del auditor definida en el apartado 7.El proceso de auditoría interna debe ser lo suficientemente coordinado e integrado de forma que provea una evaluación del sistema de gestión como un todo y no sólo el desempeño de los componentes individuales.

g. El OEC debe contar con acuerdos contractualmente ejecutables que le permitan incrementar el alcance, frecuencia y duración de sus auditorías en el caso de un deterioro en la habilidad de la organización para cumplir con las metas de desempeño acordados.

1.3.2 Criterio de entrada para el Diseño



Página 21 de 59

Además de los criterios de entrada específicos de una organización en el diseño de cada ASRP individual debe contemplarse lo siguiente: a. La frecuencia y duración de las auditorías del OEC deben ser suficientes como para permitirle al OEC

cumplir con este documento de criterios, incluyendo los siguientes b) y c), entre otros. Para cada utilización propuesta del ASRP, el OEC debe determinar el nivel base de tiempo auditor (que no sea ASRP) usando las Guías de IAF o los Documentos sobre Criterios Normativos y si aplica, el IAF MD1 para el muestreo de multi-sitios. Si el OEC planea un programa individual ASRP, que reduce el tiempo auditor a menos de un 70% de ese nivel base, el OEC debe justificar tales reducciones y buscar la aprobación específica del organismo de acreditación antes de su implementación. NOTA: Los Documentos Obligatorios del IAF que aplican al tiempo del evaluador para SGC y SGA están en desarrollo. Hasta que tales documentos estén disponibles, el Apéndice 2 del IAF GD2 (y donde aplique, Apéndice 3) y el Apéndice 1 del IAF GD6 (y donde aplique, el apartado G5.3.6), debería continuar aplicándose para definir el tiempo total para la auditoría (Fase 1 + Fase 2).

b. Además de auditar un número estadísticamente significativo de muestras de los procesos del sistema de gestión de la organización, para confirmar la adecuación y eficacia del proceso de auditoría interna, el OEC en sí debe continuar llevando a cabo las siguientes actividades en cada auditoría de seguimiento y de recertificación in situ, como mínimo (con otras actividades definidas por el ASRP; ver apartado 1.4 a continuación): § entrevistar a la alta gerencia y al representante de la dirección; § evaluar los insumos y resultados de la revisión por la dirección, que incluya una verificación de la

habilidad de la organización para cumplir con las metas de desempeño acordadas; § revisar el proceso de auditoría interna, que incluya los procedimientos y registros de las auditorías

internas y la competencia de los auditores internos; y § revisar los planes de acciones correctivas y preventivas y verificar su implementación efectiva.

c. El OEC debe asegurar que todos los requisitos para la certificación acreditada (incluye los requisitos de ISO/IEC 17021:2006 y cualquier esquema del sector aplicable) se sigan cumpliendo.

1.4 Resultado del diseño El resultado del diseño para cada aplicación del programa ASRP del OEC debe incluir los siguientes (a) – (f):

a. El grado hasta el cual el OEC utilizará los procesos de auditoría interna y revisión por la dirección de la organización, para complementar las actividades del OEC;

b. Los criterios para testificar las auditorías internas de la organización, que incluye el muestreo tanto de los auditores como de los procesos a auditar;

c. Los criterios para aceptar y monitorear la competencia de los auditores internos de la organización y el método para informar los resultados de la auditoría interna;

d. Los criterios para los ajustes continuos del programa de auditoría, tomando en cuenta la habilidad demostrada de la organización, a través del tiempo, para cumplir con las metas de desempeño acordadas;

e. Los componentes del sistema de gestión que serán necesariamente auditados por el OEC en cada auditoría de seguimiento y recertificación (ver apartado 1.3.2 b); y

f. Los criterios de competencia específicos para los auditores del OEC y donde aplique, para los expertos técnicos.

1.5 Certificados El OEC no debe hacer diferencia entre las metodologías ASRP y las que no son ASRP en los certificados que

emiten.



Página 22 de 59

ANEXO 4

IAF MD 4:2008 Publicación 1 Uso de Técnicas de Auditoría Asistidas por Computadora (CAAT)

para la Certificación Acreditada de Sistemas de Gestión Este documento es una traducción al español preparada y endosada por IAAC, del documento

“IAF Mandatory Document for the use of Computer Assisted Auditing Techniques (“CAAT”) for Accredited Certification of Management Systems"

Este documento obligatorio proporciona una aplicación consistente de la ISO/IEC 17021:2006 cuando se utilicen técnicas de auditorías asistidas por computadora, como parte de la metodología de auditoría. El uso del CAAT (por sus siglas en inglés) no es obligatorio; pero si un OEC y su cliente optan por el uso del CAAT, es obligatorio que estén en conformidad con este documento y puedan demostrar conformidad al organismo de acreditación. 0 INTRODUCCIÓN 0.1 En vista que las tecnologías de información y comunicación se vuelven cada vez más sofisticadas, es importante

que los organismos de certificación puedan utilizar las “Técnicas de Auditoría Asistidas por Computadora”, con el fin de mejorar la efectividad y eficacia de la auditoría, y para apoyar y mantener la integridad del proceso de auditoría. NOTA: Las Directrices sobre el uso de las Técnicas de Auditoría Asistidas por Computadora pueden obtenerse del sitio en internet de ISO/IAF “Auditing Practices Group” www.iso.org/tc176/ISO9001AuditingPracticesGroup

0.2 Tales “Técnicas de Auditoría Asistidas por Computadora” (“CAAT”) pueden incluir, por ejemplo: § Teleconferencia, § Reuniones por medio web, § Comunicaciones interactivas por medio web, § Acceso electrónico remoto a la documentación del sistema de gestión y/o los procesos de sistemas de

gestión. 0.3 Los objetivos para la aplicación efectiva de las CAAT son

a. Ofrecer una metodología que sea lo suficientemente flexible y que no sea prescriptiva por naturaleza, con el fin de satisfacer las necesidades de la industria, permitiendo que las organizaciones de los clientes y sus respectivos organismos de certificación las utilicen para mejorar su proceso de auditoría convencional, y

b. Asegurar que los controles adecuados se estén cumpliendo con suficiente seguimiento por parte del organismo de acreditación para evitar abusos y para prevenir las presiones comerciales excesivas que pudieran comprometer la integridad del proceso de certificación.

1 REQUISITOS 1.1 Confidencialidad

Según ISO/IEC 17021, apartado 8.5.1, la seguridad y confidencialidad de la información electrónica o la transmitida por ese medio, son de particular importancia cuando un OEC utiliza las CAAT. El OEC debería acordar las medidas de seguridad de la información mutuamente aceptable con su cliente antes de utilizar las CAAT.

1.2 Requisitos del proceso 1.2.1 Además de los requisitos de ISO/IEC 17021, apartado 9.1.2, el plan de auditoría debe identificar cualquier

técnica de auditoría asistida por computadora que vaya a utilizarse.



Página 23 de 59

1.2.2 Además de los requisitos de ISO/IEC 17021, apartado 9.1.3, cuando se utilice las CAAT, se debe dar atención específica a la habilidad de los auditores para entender y utilizar las tecnologías de la información que la organización del cliente emplea para administrar sus procesos de sistemas de gestión.

1.2.3 Además de los requisitos de ISO/IEC 17021, apartado 9.1.4, si un OEC usa las CAAT, se puede considerar que sea parte de la contribución al total del tiempo del auditor in-situ. Si las actividades de auditoría remotas representan más del 30% planeado para el tiempo auditor in-situ, el OEC debería justificar el plan de auditoría y obtener la aprobación específica del organismo de acreditación antes de su implementación. NOTAS: 1. Se espera que esta “aprobación específica” se realice inicialmente sobre la base de caso por caso, pero no

excluye una “aprobación global” del organismo de acreditación para que el OEC sobrepase un 30% de reducción, una vez que el OEC haya demostrado que su proceso es robusto.

2. El tiempo de auditor en sitio se refiere al tiempo del auditor ubicado en el sitio para los lugares individuales. Las auditorías electrónicas de lugares remotos se consideran auditorías remotas, aún si la auditoría electrónica se realiza físicamente desde otras instalaciones de la organización del cliente.

1.2.4 Además de los requisitos de ISO/IEC 17021, apartado 9.1.10, los informes de auditoría deben indicar el grado hasta el cual se han utilizado las CAAT para llevar a cabo la auditoría, y la forma en la que contribuyen a la eficacia y eficiencia de la misma.

1.2.5 Además de los requisitos de ISO/IEC 17021, apartado 9.2.2.1 (a), cuando el OEC proponga el uso de las CAAT como parte de la auditoría, la revisión de la aplicación debe incluir la verificación de que la organización del cliente cuenta con la infraestructura necesaria para apoyar este enfoque.

1.2.6 Además de los requisitos de ISO/IEC 17021, apartado 9.3.2.2, a pesar del uso de las CAAT, la organización debe ser visitada físicamente, por lo menos anualmente.

1.2.7 Además de los requisitos de ISO/IEC 17021, apartado 9.9.2, los registros deben indicar el grado hasta el cual las CAAT han sido utilizadas para llevar a cabo la auditoría y la certificación.



Página 24 de 59

ANEXO 5

IAF MD 5:2013 Publicación 2 Duración de las Auditorías de SGC y SGA

Este documento es una traducción al español del documento “IAF Mandatory Document for Duration of QMS and EMS Audits"

Este es un documento obligatorio que permite la aplicación coherente de la cláusula 9.1.4.de la norma ISO/IEC 17021:2011 para auditorías de sistemas de gestión de la calidad y ambiental, y está basado en las directrices proporcionadas previamente en el Anexo 2 del documento GD2:2005 de IAF y en el Anexo I del GD6:2006 de IA F. Todas las cláusulas de la ISO/IEC 17021:2011 continúan siendo de aplicación y este documento no sustituye a ninguno de los requisitos de la norma. Aunque el número de personas (permanentes, temporales o a tiempo parciales), del cliente se usa como punto de partida para determinar la duración de la auditoría, ésta no es la única consideración y deben ser tenidos en cuenta otros factores que afectan a la duración de la auditoría. 0 INTRODUCCION 0.1 Este documento proporciona directrices y guías para que los organismos de certificación desarrollen sus propios

procedimientos documentados para determinar la cantidad de tiempo requerido para auditar a clientes de diferentes tamaños y complejidad en un amplio espectro de actividades. Se pretende conseguir coherencia tanto entre distintos organismos de certificación al respecto de la duración de las auditorías, como entre clientes similares dentro de un mismo OEC.

0.2 Los organismos de certificación identificarán la duración de: la auditoría inicial de etapa 1 y etapa 2, auditorías de seguimiento y renovaciones del certificado para cada solicitante y cliente certificado.

0.3 Este documento obligatorio no establece tiempos mínimos/máximos pero proporciona un marco del que deberán hacer uso los organismos de certificación dentro de sus procedimientos documentados para determinar la duración apropiada de la auditoría, teniendo en cuenta las características del cliente a auditar.

0.4 Para los propósitos de la acreditación se debería tener en cuenta que la no conformidad con estas directrices en casos concretos (las tablas o la figura incluidas), no conduce automáticamente a una no conformidad contra la ISO/IEC 17021. Sin embargo, esta situación puede ser la base de una investigación posterior para completar la evaluación. Se deberá prestar especial consideración al investigar los motivos de desviación con respecto a este documento.

0.5 Si se encuentran inconsistencias con esta guía de forma regular, podría ser la base de una no conformidad contra la ISO/IEC 17021 basado en que el OEC no puede asegurar razonablemente que proporciona a los equipos auditores la capacidad para realizar una auditoría lo suficientemente completa como parte del servicio de certificación.

1 DEFINICIONES 1.1 Duración de la auditoría

Para todos los tipos de auditorías, la duración de la auditoría es el tiempo efectivo medido en días de auditor requerido para llevar a cabo la actividad de auditoría.

1.2 Día de auditor La duración de un día de auditor es normalmente de 8 horas y puede o no incluir tiempo de viaje o comida dependiendo de la legislación local.



Página 25 de 59

1.3 Número efectivo de personal

El número efectivo de personal consiste en todo el personal a tiempo completo involucrado en el alcance de la certificación, incluyendo aquellos que trabajan en cada turno. Por ello, deben ser incluidos en este número el personal no permanente (estacional, temporal y subcontratado) y el personal a tiempo parcial que estarán presentes en el momento de la auditoría.

1.4 Sitio temporal Sitio temporal es aquel establecido por la organización para llevar a cabo un trabajo o un servicio específico durante un periodo de tiempo finito y el cual nunca se convertirá en un sitio permanente (por ejemplo: una obra de construcción).

1.5 Categoría de Complejidad (únicamente para Sistemas de Gestión Ambiental) Para sistemas de gestión ambiental, las disposiciones especificadas en este documento están basadas en las cinco categorías primarias de complejidad de la naturaleza, número y gravedad de los aspectos ambientales de una organización que afectan fundamentalmente al tiempo de auditor.

2 APLICACIÓN 2.1 Duración de la auditoría

La duración de la auditoría para cualquier tipo de auditoría incluye el tiempo “in situ” en las instalaciones de su cliente y el tiempo fuera de ellas dedicado a la planificación, revisión de la documentación, comunicarse con el personal del cliente y redacción de informe. Se espera que el tiempo dedicado para el conjunto de estas actividades (independientemente de si las actividades se llevan a cabo en las instalaciones o fuera de ellas) no debiera, como norma general, reducir el tiempo total de auditor “in situ” a menos del 80% del tiempo calculado siguiendo la metodología del apartado 3. Esto aplica a auditorías iniciales, de seguimiento y renovación de la certificación. Cuando sea requerido tiempo adicional para la planificación o redacción del informe, ello no será justificación para reducir el tiempo de auditor “in situ” para cualquier auditoría.

2.2 Día de Auditor Las tablas SGC 1 y SGA 1 muestran la duración de las auditorías calculadas en día-auditor sobre la base de 8 horas de trabajo al día. Puede ser necesario hacer ajustes al número de días, para cumplir con la legislación nacional relativa a viajes, horario de comidas y jornada laboral, para conseguir el mismo número total de horas de auditoría de las Tablas SGC 1 y SGA 1. El número de días auditor asignado no debería reducirse en las fases de planificación iniciales, programando más horas por día de trabajo.

2.3 Número efectivo de personal El número efectivo de personal se utiliza como la base para el cálculo de la duración de la auditoría. Dependiendo del número de horas trabajadas, el número de personal a tiempo parcial, pueden reducirse y convertirse en un número equivalente de personal a tiempo completo. Se podría realizar una reducción en el número de personal temporal de muy baja calificación, que son frecuentes en algunos países, debido al bajo nivel de tecnología y automatización. Se podría realizar una reducción en el número de personal allí donde una parte importante del personal realiza funciones simples, como por ejemplo, transporte, trabajo en cadena, líneas de montaje, etc.



Página 26 de 59

Un OEC acordará con la organización cliente el momento escogido de la auditoría con objeto de que se pueda demostrar mejor el alcance completo de las actividades de auditoría. Nota: El momento escogido de la auditoría para demostrar mejor el alcance completo podría incluir la necesidad de una auditoría fuera de las horas normales de trabajo o adaptarse al patrón de turnos empleado.

3 METODOLOGÍA PARA DETERMINAR LA DURACIÓN DE LA AUDITORÍA 3.1 La metodología usada como base de cálculo para la duración de la auditoría, en una auditoría inicial (etapa 1 +

etapa 2) supone la interpretación de las tablas y las gráficas descritas en el Anexo A y Anexo B para auditorías de SGC y SGA respectivamente. El anexo A (SGC) está basado exclusivamente en el número efectivo de personal (ver cláusula 2.3 de esta guía para el cálculo del número efectivo de personal) pero no proporciona una duración mínima o máxima. El Anexo B (SGA), sin embargo, está basado no solo en el número efectivo de personal sino además en la complejidad ambiental de la organización y tampoco proporciona una duración mínima o máxima.

3.2 Usando un multiplicador adecuado, las mismas tablas y gráficas pueden usarse como base de cálculo para la duración de auditorías de seguimiento (cláusula 5) y de renovaciones del certificado (cláusula 6).

3.3 El OEC debe tener procedimientos que proporcionen una asignación de tiempos adecuada para auditar los procesos relevantes del cliente. La experiencia ha demostrado que aparte del número de personal, el tiempo necesario para llevar a cabo una auditoría eficaz, depende además de otros factores tanto para SGC como para SGA. Estos factores se expondrán con más profundidad en la cláusula 8.

3.4 Este documento obligatorio proporciona directrices que deberían considerarse al establecer la cantidad de tiempo necesario para llevar a cabo una auditoría. Estos y otros factores necesitan examinarse durante el proceso de revisión del contrato del OEC para tener en cuenta su impacto potencial en la duración de la auditoría, independiente del tipo de auditoría. Por lo tanto las tablas y diagramas aplicables para SGC y SGA que demuestran la relación entre número efectivo de personal y complejidad, no pueden usarse aisladamente. Estas tablas y gráficas proporcionan el marco para la planificación de auditorías venideras y para hacer ajustes en la duración para cualquier tipo de auditoría.

3.5 Para auditorías de SGC (Gráfica SGC 1) proporciona una guía visual para hacer ajustes desde los tiempos de partida y proporciona el marco para un proceso que debería usarse en la planificación de la auditoría para identificar un punto de partida basado en número total empleados efectivos para todos los turnos. Cuando los procesos de realización del producto o prestación del servicio se realizan básicamente a turnos, la extensión de la auditoría para cada turno depende de los procesos realizados en cada turno, y del nivel de control que el cliente es capaz de demostrar en cada turno. Se debe documentar la justificación para no auditar cada uno de los turnos.

3.6 Para una auditoría de SGA, es adecuado basar la duración en el número efectivo de personal de la organización y en la naturaleza y gravedad de los aspectos ambientales de una organización típica de su sector. La duración de la auditoría debería ajustarse basándose en función de factores significativos que aplican en concreto a la organización que vaya a ser auditada. El OEC debería proceder con prudencia para asegurar que cualquier variación en la duración de la auditoría no comprometa la eficacia de la misma. Cuando los procesos de realización del producto o prestación del servicio se realizan básicamente a turnos, la extensión de la auditoría para cada turno depende de los procesos realizados en cada turno, y del nivel de control que el cliente es capaz de demostrar en cada turno. Se debe documentar la justificación para no auditar cada uno de los turnos.

3.7 El punto de partida para la determinación de la duración de la auditoría debe identificarse basándose en el número efectivo de personal, posteriormente ajustado con factores significativos que apliquen para cada cliente y atribuyendo a cada factor un coeficiente de ponderación aditivo o sustractivo para modificar el dato de partida. En todas las situaciones, deben registrarse las justificaciones para la determinación de la duración de la auditoría, incluyendo todos los ajustes aplicados.

3.8 La duración de la auditoría obtenida de las tablas y gráficas de los Anexos A y B, no debe incluir el tiempo del “auditor en calificación” o el tiempo del experto técnico.



Página 27 de 59

3.9 La reducción en la duración de la auditoría no debe exceder el 30% del tiempo establecido en las tablas SGC 1 o SGA 1. Nota: La cláusula 3.9 podría no aplicarse en las situaciones descritas en IAF MD 1 para cada sitio individual en la certificación con multi-sitio cuando se permite el muestreo de los mismos. En esta situación en cada sitio están presentes un número limitado de procesos, y por lo tanto, puede verificarse la implantación de todos los requisitos relevantes de la norma(s) de sistema de gestión.

4 DURACIÓN DE LA AUDITORÍA INICIAL (ETAPA 1 + ETAPA 2) 4.1 El tiempo de auditoría dedicado al conjunto de las actividades fuera del sitio (clausula 2.1) no debería reducir el

tiempo total “in situ” a menos del 80% del tiempo calculado siguiendo la metodología del apartado 3. Cuando se requiera tiempo adicional para planificar y/o para la redacción del informe, ello no será justificación para reducir el tiempo de auditor “in situ”.

4.2 La Tabla SGC 1 y la gráfica SGC 1 y las tablas SGA 1 y SGA 2 proporcionan un punto de partida para estimar la duración de una auditoría inicial (etapa 1 más etapa 2) para auditorías de SGC y SGA respectivamente. Para cada cliente, el OEC debe determinar el tiempo necesario para planificar y realizar una auditoría completa y eficaz del sistema de gestión del cliente. El tiempo de auditoría determinado por el OEC y su justificación debe registrarse. Cuando un OEC aplique reducciones en el tiempo establecido en las Tablas SGC 1 o SGA 1, la justificación debe estar disponible para poder ser revisada por el organismo de acreditación tanto durante las evaluaciones normales como a petición expresa.

4.3 La duración de las auditorías de certificación puede incluir técnicas de auditoría remota o “a distancia”, como colaboración a través de web, reuniones a través de web, teleconferencias o verificación electrónica de los procesos de la organización (ver IAF MD4). Estas actividades deben estar identificadas en el plan de auditoría y el tiempo dedicado a estas actividades podría ser considerado como contribución parcial al tiempo de auditor. Si la entidad de certificación planifica una auditoría en las que las actividades de auditoría “a distancia” representan más del 30% del tiempo “in situ”, la entidad deberá justificar dicho plan y mantener los registros de la justificación, la cual debería estar disponible al organismo de acreditación para su revisión. Es improbable que las actividades de auditoría “a distancia” representen más del 50 % del tiempo total auditor “in situ”. NOTAS:

1. Tiempo de auditor “in situ” se refiere al tiempo de auditor “in situ” asignado para cada sitio en particular. Auditorías electrónicas de sitios remotos (distintos a aquel en el que se está auditando) se consideran auditoría “a distancia”, incluso si dicha auditoría electrónica se lleva a cabo físicamente en las instalaciones de la organización.

2. Independientemente de las técnicas de auditoría “a distancia” usadas, se debe visitar físicamente la organización cliente, al menos, anualmente.

3. Es improbable que la duración de la etapa 2 sea menor de un (1) auditor/día. 5 SEGUIMIENTO

Durante el ciclo inicial de certificación de tres años, la duración de la auditoría de seguimiento para una organización dada, debería ser proporcional al tiempo dedicado en la auditoría de certificación inicial (etapa 1 + etapa 2), siendo la cantidad de tiempo anual empleado en seguimientos aproximadamente 1/3 del tiempo empleado en la auditoría inicial. En la etapa de planificación de cada auditoría de seguimiento debe estar disponible una actualización de los datos del cliente relativos a la certificación. La duración planificada para la auditoría de seguimiento deberá revisarse de vez en cuando, y, al menos, en cada auditoría de seguimiento y siempre para la renovación de la certificación, con el fin de tener en cuenta cambios en la organización, madurez del sistema, etc. Deberá mantenerse registros de dicha revisión incluyendo cualquier ajuste hecho a la duración de la auditoría.



Página 28 de 59

6 RECERTIFICACION La duración de una auditoría de recertificación debería calcularse sobre la base de la información actualizada del cliente y debería ser aproximadamente 2/3 del tiempo que se hubiera requerido para una auditoría inicial de certificación (etapa 1 + etapa 2) de la misma organización, si dicha auditoría inicial se hubiera llevado a cabo en el momento de la recertificación (es decir, no siempre 2/3 de la duración de la auditoría inicial de certificación). La duración de la auditoría deberá considerar el resultado de la revisión del desempeño del sistema de gestión (ISO/IEC 17021 cl. 9.4.1.2). Para las auditorías de renovación, la revisión del desempeño del sistema no forma parte, por sí mismo, de la duración de la auditoría.

7 CICLOS DE CERTIFICACIÓN INDIVIDUALIZADOS SEGUNDO Y SUBSECUENTES Para el segundo y consecutivos ciclos de certificación, el OEC podría elegir diseñar un programa individualizado de seguimiento y recertificación (ver IAF MD3 para Procedimientos Avanzados de Seguimiento y Recertificación - ASRP). Si no se elige un método de ASRP, la duración de la auditoría debería calcularse como se indica en las cláusulas 5 y 6.

8 FACTORES DE AJUSTE DE LA DURACIÓN DE LA AUDITORÍA (SGC Y SGA) 8.1 Los factores adicionales que necesitan considerarse incluyen, pero no están limitados, a los siguientes:

Incrementan la duración de la auditoría: § Logística complicada que implique más de un edificio o instalación donde se lleva a cabo el trabajo. Ejemplo:

cuando existe un centro de diseño separado que debe auditarse. § Personal que hable en más de un idioma (que exija intérprete(s) o que impida que los auditores trabajen

independientemente). § Un sitio muy extenso para el número de personal (Ej. un bosque). § Extensa legislación (alimentos y medicinas, aeroespacial, energía nuclear, etc.). § Sistemas que cubren procesos altamente complejos o un número relativamente alto de actividades únicas. § Actividades que requieren visitar sitios temporales para confirmar las actividades de los sitios fijos cuyo sistema

de gestión se somete a certificación. Incrementan la duración de la auditoría únicamente para SGA:

§ Una sensibilidad más elevada del medio ambiente receptor comparada con el sitio industrial típico del sector. § Puntos de vista de las partes interesadas § Aspectos indirectos que precisen incremento en el tiempo de auditor. § Aspectos ambientales adicionales y/o inusuales para el sector o condiciones reglamentarias o de la autorización

adicionales / inusuales para el sector. Reducen el tiempo de auditoría:

§ Cuando la organización no es responsable del diseño y/o de otros elementos de la norma no cubiertos por el alcance (únicamente para SGC).

§ Un sitio muy pequeño para el número de personal (ej. complejo de oficinas). § Madurez del sistema de gestión. § Conocimiento anterior del sistema del cliente (ej. un sistema de gestión ya certificado para otra norma por el

mismo certificador). § La preparación del cliente para la certificación (p.e. que ya haya sido certificado por otro esquema de tercera

parte).



Página 29 de 59

§ Actividades de baja complejidad, p.e.: - Procesos que incluyen una sola actividad general (e.g, solo servicios). - Cuando todos los turnos llevan a cabo actividades idénticas y existan evidencias del desempeño

equivalente en todos los turnos, basándose en, por ejemplo, resultados de auditorías previas (auditorías internas o auditorías de certificación).

- Donde una significativa proporción de trabajadores realiza funciones simples y similares. Nota: Para SGA, los procesos de baja complejidad están recogidos en la Tabla SGA 2

§ Cuando la plantilla incluye un número de personas que trabajan “fuera del sitio”, p.e. comerciales, conductores, personal de servicios, etc. y es posible auditar la conformidad de sus actividades con el sistema, sin ningún género de dudas, mediante revisión de los registros.

Deberían tenerse en consideración todas las características del sistema de la organización, procesos y productos / servicios y hacerse un ajuste razonable con estos factores de manera que se pudiera justificar más o menos tiempo de auditor para una auditoría eficaz. Los factores aditivos pueden verse compensados con los sustractivos. Nota: Los factores adicionales a considerar cuando se calcula la duración de las auditorías de sistemas de gestión integrados, se encuentran descrito en IAF MD 11.

9 SITIOS TEMPORALES 9.1 En aquellas situaciones en las que el solicitante de la certificación o la organización certificada suministran sus

productos o servicios en o desde sitios temporales, es necesario que las auditorías de dichos sitios sean incorporadas en los programas de auditoría.

9.2 El tipo de sitio temporal podría variar desde sitios que gestionen proyectos hasta pequeños sitios de servicios o instalaciones. La necesidad de visitar estos sitios y el grado de muestreo aplicable debería basarse en una evaluación de los riesgos de aparición de fallo del SGC para controlar los productos o el resultado de los servicios o bien de los correspondientes del SGA, para controlar los aspectos ambientales e impactos asociados de las operaciones del cliente. La muestra seleccionada debería ser representativa del rango de las necesidades de competencia de la organización y variaciones del servicio, habiendo tomado en consideración los tamaños y tipos de actividades y las diversas fases de los proyectos en marcha y aspectos e impactos ambientales asociados.

9.3 Normalmente, deberían realizarse auditorías “in situ” de sitios temporales. Sin embargo, los siguientes métodos se podrían considerarse como alternativas para reemplazar algunas visitas in-situ:

§ entrevistas o reuniones de progreso con la organización cliente y/o con su cliente en persona o por teleconferencia.

§ revisión documental de las actividades del sitio temporal. § el acceso remoto a contenido electrónico que contenga registros u otra información relevante para auditar el

sistema de gestión y sitio(s) temporal(es). § el uso de video y teleconferencia u otra tecnología que permita llevar a cabo una auditoría eficaz de manera

remota. 10 DURACIÓN DE LA AUDITORÍA MULTI-SITIO 10.1 En el caso de auditorías multi-sitio, el punto de partida para el cálculo de la duración de la auditoría para cada

sitio en particular, debe ser coherente con la Tabla SGC 1 y la gráfica SGC 1 para sistemas de gestión de la calidad y la Tabla SGA 1 para sistemas de gestión ambiental. Sin embargo, se pueden realizar reducciones teniendo en cuenta situaciones en las que ciertos procesos del sistema de gestión no son relevantes para dicho sitio por ser responsabilidad del sitio de control.



Página 30 de 59

10.2 Los requisitos para las auditorías multi-sitio están descritos con más detalle en IAF MD 1 para la certificación de organizaciones multi-sitio basada en muestreo. En este caso, el MD 1 debe usarse en la selección de los sitios para el muestreo antes de aplicar MD 5 para cada sitio seleccionado.



Página 31 de 59

ANEXOA– SISTEMASDEGESTION DE LA CALIDAD TablaSGC1– Sistemas de Gestión de la Calidad

Relación entre el número efectivo de personas y duración de la auditoría (Únicamente para la auditoría inicial)

Número Efectivo de Personal

Duración auditoría Etapa 1 + Etapa 2 (días)

Número E fectivo de Personal


1-5 1.5 626-875 12 6-10 2 876-1175 13

11-15 2.5 1176-1550 14 16-25 3 1551-2025 15 26-45 4 2026-2675 16 46-65 5 2676-3450 17 66-85 6 3451-4350 18

86-125 7 4351-5450 19 126-175 8 5451-6800 20 176-275 9 6801-8500 21 276-425 10 8501-10700 22 426-625 11 >10700 Seguirla progresión

Nota 1: El número efectivo de personas en la Tabla SGC 1 debería ser considerado como un continuo en lugar de un cambio escalonado. Nota 2: El procedimiento del OEC puede proporcionar la duración de la auditoría para un número de personal que exceda los 10700. Dicha duración debería seguir la progresión de la Tabla SGC 1 de manera coherente.



Página 32 de 59

GRÁFICASGC1-Relaciónentrecomplejidadyduracióndeauditoría

- Dist

ribuc

ión de

la O

rgan

izació

n +

Grande Simple Multi-sitio Pocos procesos Procesos repetitivos Alcance pequeño

Grande Compleja Multi-sitio

Muchos procesos Alcance extenso Procesos únicos

Responsabilidad sobre diseño

Punto de partida de tabla de tiempo - auditor

Pocos procesos Alcance pequeño Procesos repetitivos Pequeña Simple

Muchos procesos Responsabilidad sobre el diseño

Alcance extenso Procesos únicos

Pequeña Compleja

- Complejidad del sistema del cliente +



Página 33 de 59

ANEXOB–SISTEMASDEGESTIÓNAMBIENTAL

TABLA SGA 1 – Relación entre el número efectivo de personas, complejidad y duración de la auditoría

(Únicamente para auditoría inicial) Número

efectivo de Personal Duración auditoría

Etapa 1 + Etapa 2 (días) Número

Efectivo de Personal


Alto Medio Bajo Limitado Alto Medio Bajo Limitado

1-5 3 2.5 2.5 2.5 626-875 17 13 10 6.5

6-10 3.5 3 3 3 876-1175 19 15 11 7

11-15 4.5 3.5 3 3 1176-1550 20 16 12 7.5

16-25 5.5 4.5 3.5 3 1551-2025 21 17 12 8

26-45 7 5.5 4 3 2026-2675 23 18 13 8.5

46-65 8 6 4.5 3.5 2676-3450 25 19 14 9

66-85 9 7 5 3.5 3451-4350 27 20 15 10

86-125 11 8 5.5 4 4351-5450 28 21 16 11

126-175 12 9 6 4.5 5451-6800 30 23 17 12

176-275 13 10 7 5 6801-8500 32 25 19 13

276-425 15 11 8 5.5 8501-10700 34 27 20 14

426-625 16 12 9 6 >10700 Seguirla progresión

Nota 1: Se muestra la duración para auditorías de complejidad alta, media, baja y limitada Nota 2: El número de efectivo de personas en la Tabla SGA 1 debería ser considerado como un continuo en lugar de un cambio escalonado. Nota 3: El procedimiento del OEC puede proporcionar la duración de la auditoría para un número de personal que exceda los 10700. Dicha duración debería seguir la progresión de la Tabla SGA 1 de manera coherente.



Página 34 de 59

TABLA SGA 2 - Ejemplos de relaciones entre los sectores y las

Categorías de complejidad de los aspectos ambientales

Categoría de complejidad Sector

Alta

- Minería y canteras - Extracción de petróleo y gas - Teñido de textiles y ropa - Fabricación de pulpa de papel, que incluye el proceso de reciclaje de papel - Refinería de petróleo - Químicos y farmacéuticos - Producciones primarias – metales - Proceso no-metales y productos que comprenden cerámica y cemento - Generación de electricidad a partir de carbón mineral - Construcción civil y demolición - Procesamiento de desecho peligroso y no peligroso. Ejemplo, incineración etc. - Procesamiento de vertederos y aguas residuales

Media

- Pesca / granja / forestales - Textiles y ropa, excepto teñido - Fabricación de pizarras, tratamiento / impregnación de maderas o productos madereros - Producción de papel o impresión, excluye la pulpa - Procesamiento de no-metales y productos que cubren vidrio, arcilla, cal, etc. - Superficies y otros tratamientos químicos para ingenierías mecánicas en general - Producción de tablas de circuitos impresos para la industria electrónica - Fabricación de equipo para el transporte – caminos, líneas férreas, aire, barcos - Generación de electricidad que no sea a base de carbón mineral y distribución - Producción de gas, almacenamiento y distribución (nótese que la extracción está catalogada alta) - Extracción del agua, purificación y distribución lo que incluye el manejo del río (nótese que el tratamiento de vertederos

comerciales está catalogado alto) - Venta al por mayor y al detal de combustibles fósiles - Comida y tabaco (procesamiento) - Transporte y distribución (marítimo, aéreo, terrestre) - Inmobiliarias, manejo de bienes raíces, limpieza industrial, limpieza higiénica, lavandería como parte normal de los servicios

empresariales generales - Reciclaje, abono, botaderos (de desecho que no sea peligroso) - Ensayo técnico y laboratorios - Cuidado de la salud / hospitales / veterinaria - Servicios de esparcimiento y servicios personales, excluye hoteles / restaurantes

Baja

- Hoteles / restaurantes - Madera y productos madereros, excluye la fabricación de pizarras, tratamiento e impregnación de madera - Productos de papel, excluye impresión, pulpa y la creación de papel - Caucho y molduras para la inyección de plástico, forma y ensamblado; excluye fabricación de caucho y materias primas para

el plástico, las cuales son parte de los químicos - Formado en frío y caliente y fabricación de metal, que excluye el tratamiento de la superficie y otros tratamientos con base

química y producción primaria - Ensamblaje de ingeniería mecánica general, que excluye el tratamiento de la superficie y otros tratamientos con base química - Venta al por mayor y al detal - Ensamblaje de equipo eléctrico y electrónico, que excluye la fabricación de tarjetas de circuito impresas



Página 35 de 59

Categoría de complejidad Sector

Limitadas

- Actividades corporativas y de gestión, oficinas centrales y gestión del conglomerado empresarial - Transporte y distribución, servicios de gestión que no tengan una flotilla actual para administrar - Telecomunicaciones - Servicios empresariales generales, excepto agencia de bienes raíces comercial, gestión de bienes raíces, limpieza industrial,

limpieza higiénica, lavandería - Servicios de educación

Casos especiales

- Nuclear - Generación de electricidad nuclear - Almacenamiento de grandes cantidades de material peligroso - Administración pública - Autoridades locales - Organizaciones con productos o servicios sensibles para el ambiente - Instituciones financieras

Categorías de complejidad de los aspectos ambientales Estas directrices se basan en cinco categorías primarias de complejidad de la naturaleza, número y gravedad de los aspectos ambientales de una organización que afectan fundamentalmente al tiempo de auditor. Estas son: Alta: aspectos ambientales con naturaleza y gravedad importante (organizaciones de fabricación o procesamiento con impactos significativos en varios aspectos ambientales). Media: aspectos ambientales con naturaleza y gravedad media (organizaciones de fabricación o procesamiento con impactos significativos en algunos aspectos ambientales). Baja: aspectos ambientales con una naturaleza y gravedad baja (organizaciones de fabricación o procesamiento con impactos significativos en pocos aspectos ambientales). Limitada: aspectos ambientales con una naturaleza y gravedad limitada (organizaciones del tipo de oficinas). Especial: estas requieren consideración adicional y única en la etapa de planificación de la auditoría. La Tabla 1 cubre las cuatro principales categorías de complejidad: alta, media, baja y limitada. La Tabla 2 proporciona la relación entre las cinco categorías de complejidad y los sectores que podrían típicamente estar en cada categoría. El OEC debería reconocer que no todas las organizaciones de un sector determinado estarán siempre en la misma categoría de complejidad. El OEC debería permitir flexibilidad en su procedimiento de revisión del contrato para asegurarse que las actividades específicas de la organización son consideradas para determinar la categoría de complejidad. Por ejemplo: aunque muchos negocios en el sector químico se clasificarían como de complejidad "alta", una organización que se limita a formular sin llevar a cabo reacciones químicas o emisiones y/o comercialización podría clasificarse como "medio" e incluso "baja complejidad". El OEC debe documentar todos los casos en los que se fijan categorías de complejidad más bajas para una organización en un sector específico. La tabla 1 no cubre la categoría especial y los tiempos de auditoría deberán justificarse y desarrollarse individualmente en estos casos.



Página 36 de 59

ANEXO 6

IAF MD 11:2013 Publicación 1 Versión 3 Aplicación de ISO/IEC 17021 para Auditorías de Sistemas Integrados de Gestión

Este documento es una traducción al español del documento “IAF Mandatory Document for Application of ISO/IEC 17021 for Audits of Integrated Management Systems"

Este es un documento obligatorio que permite la aplicación consistente de la ISO/IEC 17021 por los Organismos de Certificación para la planificación y realización de Auditorías de Sistemas de Gestión Integrados (IMS por sus siglas en inglés). 0 INTRODUCCIÓN 0.1 Este documento contiene los requisitos para la aplicación de la norma ISO/IEC 17021 para la planificación y

realización de auditorías de sistemas de gestión integrados (SGI) y, si procede, la certificación de sistemas de gestión de una organización contra dos o más conjuntos de criterios/normas de auditoría. Todas las cláusulas de ISO/IEC 17021 seguirán siendo aplicables y este documento no añade o reemplaza ninguno de los requisitos de la norma.

0.2 Este documento puede no ser aplicable a la ISO 9001 basada en normas sectoriales. 0.3 Debe notarse que el anexo al final de este documento es también parte de los requisitos y se entenderán como

tales. 1 DEFINICIONES A los efectos de este documento, se aplicarán las siguientes definiciones: 1.1 Auditoría del sistema de gestión integrado: Una auditoría del sistema de gestión de una organización contra dos

o más conjuntos de criterios y normas de auditoría realizada al mismo tiempo. 1.2 Sistema integrado de gestión: Un sistema de gestión individual gestionando varios aspectos del desempeño

organizacional para cumplir los requisitos de más de una norma de gestión, con un determinado nivel de integración (1.3). Un sistema de gestión puede variar desde un sistema combinado adicionando sistemas de gestión por separado para cada conjunto de criterios y normas de auditoría, a un sistema de gestión integrado, compartiendo un sistema de documentación individual, elementos del sistema de gestión y responsabilidades.

1.3 Nivel de integración: El nivel al que una organización utiliza un sistema de gestión individual para gestionar varios aspectos del desempeño organizacional para cumplir los requisitos de más de una norma de gestión. La integración se relaciona con el sistema de gestión que es capaz de integrar la documentación, los elementos del sistema de gestión y las responsabilidades apropiadas en relación con dos o más conjuntos de criterios/normas de auditoría. Nota: Los criterios de auditoría pretenden indicar normas de sistemas de gestión utilizadas como una base para la evaluación de la conformidad y certificación (por ejemplo ISO 9001, ISO 14001, ISO/IEC 20000, ISO 22000, ISO/IEC 27001, etc.).

2 APLICACIÓN 2.1 El OEC debe garantizar que: 2.1.1 Al establecer el programa de auditoría se considera el nivel de integración del sistema(s) de gestión. 2.1.2 Los planes de auditoría cubren todas las áreas y actividades aplicables a cada criterio/norma de sistema de

gestión cubierto por el alcance de la auditoría y son dirigidos por auditor(es) competente(s).



Página 37 de 59

2.1.3 El equipo de auditoría en su conjunto deberá cumplir los requisitos de competencia, establecidos por el OEC,

para cada área técnica, según corresponda para cada criterio/norma de sistema de gestión cubierto por el alcance de la auditoría de un SGI.

2.1.4 La auditoría será dirigida por un líder de equipo, competente en al menos uno de los criterios/normas auditadas. 2.1.5 Se asigna el tiempo suficiente para llevar a cabo una auditoría completa y eficaz del sistema de gestión de la

organización para los criterios/normas de sistemas de gestión cubierto por el alcance de la auditoría. 2.1.5.1 Para determinar el tiempo de auditoría para una auditoría de un SGI que cubra dos o más criterios/normas de

sistemas de gestión, por ejemplo A + B + C, el OEC deberá: a. Calcular el tiempo requerido de auditoría separadamente para cada norma de sistema de gestión

(aplicando todos los factores aportados por las directrices apropiadas y las reglas del esquema para cada norma, por ejemplo, IAF MD5, ISO/TS 22003, ISO/IEC 27006);

b. Calcular el punto de partida T para la duración de la auditoría del sistema de gestión integrado añadiendo la suma de las partes individuales (por ejemplo T = A + B + C);

c. Ajustar la cifra del punto de partida teniendo en cuenta los factores que pueden aumentar o reducir (ver Anexo 1) el tiempo requerido para la auditoría.

Los factores de reducción deben incluir pero no limitarse a: i. La medida en que el sistema de gestión de la organización está integrado; ii. La capacidad del personal de la organización para responder a preguntas relativas a más de

una norma de los sistemas de gestión; y iii. La disponibilidad de auditor(es) competente para auditar a más de un criterio/norma de

sistema de gestión. Los factores para el aumento deben incluir pero no limitarse a:

i. la complejidad de la auditoría de un SGI en comparación con las auditorías del sistema de gestión individual.

d. Informar al cliente que la duración de la auditoría del SGI basada en el nivel de integración declarado del sistema de gestión integrado de la organización, puede estar sujeto a ajustes sobre la base de confirmar el nivel de integración en la etapa 1 y auditorías posteriores.

2.1.5.2 La auditoría de un SGI podría resultar en un aumento de tiempo, pero donde resulte reducción, no debe exceder el 20% del punto de partida T (2.1.5.1b).

2.1.5.3 Deberá documentarse la cifra del punto de partida y la justificación para el aumento y reducción. 2.2 Los documentos de aplicación existentes (por ejemplo, los documentos obligatorios del IAF) en relación con los

criterios/normas de auditoría de los sistemas de gestión se deben tener en cuenta al elaborar el programa y planes de auditoría para un SGI.

2.3 Todos los requisitos aplicables de cada criterio/norma de sistema de gestión relacionado con el alcance del SGI debe ser auditado.

2.4 Los informes de auditoría se pueden integrar o separar, con respecto a los sistemas de gestión auditados. Cada hallazgo planteado en un informe integrado debe ser trazable a criterios/normas del sistema de gestión aplicable.

2.5 El OEC deberá considerar el impacto que una no conformidad encontrada en uno de los criterios/normas del sistema de gestión tiene sobre el cumplimiento de los otros criterios/normas de sistema de gestión.

3 AUDITORÍA INICIALY CERTIFICACIÓN 3.1 Solicitud del cliente

Esta incluirá información relacionada con el nivel de integración, incluyendo el nivel de integración de los documentos, elementos del sistema de gestión y responsabilidades (ver Anexo 1).

3.2 Auditoría de la etapa 1



Página 38 de 59

Durante la auditoría de la etapa 1, el equipo auditor debe confirmar el nivel de integración del SGI. El OEC deberá revisar y modificar, como sea necesario, la duración de la auditoría que se basó en la información suministrada en la etapa de solicitud.

4 ACTIVIDADES DE SEGUIMIENTO Y RECERTIFICACIÓN El OEC debe confirmar que el nivel de integración no se modificará durante el ciclo de certificación para garantizar que las duraciones de auditoría establecidas son aún aplicables.

5 SUSPENSIÓN, REDUCCIÓN, RETIRO Si la certificación de uno o más criterios/normas de sistema de gestión está sujeta a la suspensión, reducción o retiro el OEC deberá investigar el impacto de esto en la certificación de otros criterios/normas de sistema de gestión.



Página 39 de 59

ANEXO 1 – REDUCCIÓN DEL TIEMPO DE AUDITORÍA

Nive

l de i

ntegr

ación

%

100

0 5 10 15 20

80

0 5 10 15 15

60

0 5 10 10 10

40

0 5 5 5 5

20

0 0 0 0 0

0 20 40 60 80 100

Capacidad para realizar la auditoría combinada %

Figura 1: Esta figura ilustra el % de reducción en la duración de las auditorías combinadas y su relación con: Eje vertical: el nivel de integración del sistema de gestión de una organización (véase abajo), que debería incluir una consideración de la capacidad del auditado para responder a las preguntas de varios aspectos. Un sistema de gestión integrado resulta cuando una organización utiliza un sistema de gestión individual para gestionar varios aspectos del desempeño organizacional. Se caracteriza por (pero no se limita a):

1. Un conjunto de documentación integrada, incluyendo instrucciones de trabajo con un buen nivel de desarrollo, según proceda;

2. Revisión por la dirección que considere la estrategia, el plan empresarial y de negocio; 3. Un enfoque integrado de las auditorías internas; 4. Un enfoque integrado a las políticas y los objetivos; 5. Un enfoque integrado de los procesos de los sistemas; 6. Un enfoque integrado de los mecanismos de mejora, (acción correctiva y preventiva, medición y

mejora continua); y, 7. Soporte de gestión integrado y responsabilidades.

El OEC debe decidir el porcentaje de nivel de integración basándose en el cumplimiento que el sistema de gestión de la organización demuestre con los criterios arriba mencionados. Y Eje horizontal: La medida, dada como una relación para ser multiplicada por un factor de 100 con el fin de lograr la medida dada en porcentaje, en la cual los miembros individuales del equipo auditor están calificados: 100 ((X1-1) + (X2-1) + (X3-1) + (Xn-1))

Z (Y-1) Dónde:



Página 40 de 59

X1, 2, 3...n es el número de normas para las cuales el auditor está calificado de acuerdo con el alcance de la auditoría combinada; Y es el número de normas de sistema de gestión cubiertas por la auditoría integrada; Z es el número de auditores. Ejemplo: Un equipo auditor integrado de tres auditores que cubren tres normas de sistemas de gestión diferentes. Un auditor está calificado para las tres normas, un auditor está calificado para dos de las normas y el otro auditor está calificado para una norma. La cifra de porcentaje a utilizar en el eje horizontal es:

100 ((3-1) + (2-1) + (1-1)) = 50% 3(3-1) Debido a la competencia disponible de cada auditor para más de un conjunto de criterios/normas de auditoría, se logra eficiencia y entra en el cálculo de la posible reducción de tiempo en la fórmula anterior. Estos incluyen:

1. Ahorro de tiempo debido a una reunión de apertura y cierre; 2. Ahorro de tiempo en la medida que se produce un informe de auditoría integrado; 3. Ahorro de tiempo en la optimización de la logística; 4. Ahorro de tiempo en las reuniones del equipo auditor y, 5. Ahorro de tiempo auditando elementos comunes de forma simultánea, por ejemplo, control de documentos.



Página 41 de 59

ANEXO 7

IAF Mandatory Document for the Application of ISO/IEC 17021 in Medical Device Quality Management Systems(ISO 13485)

Issue 1, Version 2 (IAF MD 9:2011)

Documento mandatorio IAF la para la aplicación de la ISO/IEC 17021 en sistemas de gestión de calidad para dispositivos médicos (ISO 13485).

Traducción ONAC El Foro de acreditación internacional, Inc. (IAF) opera programas para la acreditación de los organismos que proporcionen los servicios de evaluación de la conformidad. Tal acreditación facilita el comercio y reduce la demanda de múltiples certificaciones. La acreditación reduce el riesgo para los negocios y sus clientes asegurando que los OEC acreditados son competentes para llevar a cabo el trabajo que realizan bajo el alcance de la acreditación. Los Organismos de Acreditación que son miembros del IAF y los OEC que ellos acreditan están obligados a cumplir normas internacionales apropiadas y documentos IAF obligatorios para la aplicación consistente de tales normas. Los Organismos de Acreditación miembros del Acuerdo de Reconocimiento Multilateral de IAF (MLA) realizan evaluaciones periódicas entre ellos para asegurar la equivalencia de sus programas de acreditación. El MLA de IAF opera en dos niveles:

• La acreditación de los OEC con normas que incluyen la ISO/IEC 17021 para sistemas de gestión, ISO/IEC 17024 para personas y la Guía ISO/IEC 65 para los productos, son consideradas en el marco del MLA. Un marco MLA proporciona la confianza de que los OEC acreditados tienen la misma fiabilidad en el desempeño de actividades de evaluación de la conformidad.

• La acreditación de OEC que también incluye la norma específica de evaluación de la conformidad o el esquema como un alcance de acreditación que proporciona confianza en la equivalencia de certificación.

El acuerdo IAF MLA proporciona la confianza necesaria para la aceptación en el mercado de una certificación. Una organización o persona con certificación de una norma o esquema específico que está acreditado por un organismo de acreditación signatario del IAF MLA, puede ser reconocido en todo el mundo facilitando así el comercio internacional.

Introducción a los documentos mandatorios IAF El término "debería" se utiliza para indicar medios conocidos pare el cumplimiento de los requisitos. Un OEC puede cumplir con estos criterios de forma equivalente siempre que lo pueda demostrar a un organismo de acreditación. El término "debe" se utiliza en este documento para indicar las disposiciones que, reflejando los requisitos de la norma correspondiente, son obligatorias.

Documento mandatorio IAF la para la aplicación de la ISO/IEC 17021 en sistemas de gestión de calidad para

dispositivos médicos (ISO 13485). Este documento es obligatorio para la aplicación consistente de la ISO/IEC 17021. Todos los numerales de la ISO/IEC 17021 aplican y este documento no reemplaza a ningún requisito de esa norma. Este documento obligatorio es exclusivamente para la certificación de sistema de gestión de una organización con respecto a la ISO 13485.



Página 42 de 59

0 INTRODUCCIÓN La ISO/IEC 17021 es una norma internacional que establece los requisitos generales para organismos que realizan auditorías y certificación de sistemas de gestión de organizaciones. Si estos organismos son acreditados como que cumplen la norma ISO/IEC 17021 y tienen el objetivo de auditar y certificar Sistemas de Gestión de Calidad de Dispositivos Médicos según la norma ISO 13485, algunos requisitos y guías ISO/IEC 17021 adicionales, son necesarias. Este documento sigue la estructura de la norma ISO/IEC 17021. Los criterios específicos de la IAF se identifican con la letra "MD", seguido de un número de referencia que incorpora el numeral de los requisitos relacionados a la norma ISO/IEC 17021. En todos los casos, una referencia en el texto de este documento al “numeral XXX" se refiere a un numeral en la norma ISO/IEC 17021 a menos que se especifique lo contrario. 1 ALCANCE Este documento especifica los criterios normativos para OEC que auditan y certifican el Sistema de Gestión de Calidad de una organización con respecto a la ISO 13485, además de los requisitos contenidos en la ISO/IEC 17021. También es apropiado como un documento de requisitos para el proceso de evaluación de pares para el Acuerdo de Reconocimiento Multilateral IAF (MLA) entre los organismos de acreditación. 2 REFERENCIAS NORMATIVAS Para los efectos de este documento, las referencias normativas dadas en la ISO/IEC 17021 y las siguientes aplican. Para las referencias con fecha, aplica solo la edición citada. Para las referencias sin fecha, aplica la última edición del documento de referencia (incluyendo cualquier modificación). ISO/IEC 17021 Evaluación de la conformidad - Requisitos para los organismos que realizan la auditoría y certificación de sistemas de gestión. ISO 13485 Dispositivos Médicos - Sistemas de gestión de la calidad - Requisitos para fines reglamentarios. ISO/TR 14969:2004 Dispositivos Médicos - Sistemas de gestión de la calidad - Directrices sobre la aplicación de la norma ISO 13485:2003. ISO 14971:2007 Dispositivos Médicos - Aplicación de la gestión de riesgo a Dispositivos Médicos. Los siguientes documentos GHTF deberían ser considerados para su uso: - GHTF/SG4/N28R4:2008 Guidelines for Regulatory Auditing of Quality Management Systems of Medical Device

Manufacturers – Part 1: General Requirements - GHTF/SG4/N30R20:2006 Guidelines for Regulatory Auditing of Quality Management Systems of Medical Device

Manufacturers – Part 2: Regulatory Auditing Strategy - GHTF/SG4/N33R16:2007 Guidelines for Regulatory Auditing of Quality Management Systems of Medical Device

Manufacturers – Part 3: Regulatory Audit Reports - GHTF/SG4 (00) 3:2000 Training Requirements for Auditors (Guidelines for Regulatory Auditing of Quality Systems of

Medical Device Manufacturers - Part 1: General Requirements - Supplement 2) - GHTF/SG4/N83:2010 Guidelines for Regulatory Auditing of Quality Management System of Medical Device

Manufactures – Part 4: Multiple Site Auditing - GHTF/SG4/N84:2010 Guidelines for Regulatory Auditing of Quality Management System of Medical Device

Manufactures – Part 5: Audits of Manufacturer Control of Suppliers



Página 43 de 59

- GHTF/SG1-N29R16:2005, Information Document Concerning the Definition of the Term "Medical Device" - GHTF/SG1-N15:2006, Principles of Medical Devices Classification. - IAF MD5 Duración delas auditorías SGC (Sistema de Gestión de Calidad) y SGA (Sistema de Gestión Ambiental). 3 TERMINOS Y DEFINICIONES Para los efectos de este documento, los términos y definiciones dados en la ISO/IEC 17021, la ISO 13485 y los siguientes aplican. Autoridad Regulatoria (AR) Una agencia gubernamental u otra entidad que ejerza un derecho legal para controlar el uso o venta de dispositivos médicos en su jurisdicción, y podrá adoptar medidas de ejecución para asegurarse de que los dispositivos médicos comercializados en su jurisdicción cumplan con los requisitos legales. Nota: En el Reglamento Europeo de Dispositivos Médicos, la Autoridad Regulatoria como se definió anteriormente, se titula "Autoridad Competente". 4 PRINCIPIOS 4.1 Generales

No hay requisitos adicionales para ISO 13485. 4.2 Imparcialidad

No hay requisitos adicionales para ISO 13485. 4.3 Competencia

No hay requisitos adicionales para ISO 13485. 4.4 Responsabilidad

MD.4.4.1 ISO 13485 requiere que la organización cumpla con los requisitos estatutarios y reglamentarios aplicables a la seguridad y el desempeño de los dispositivos médicos. El mantenimiento y la evaluación del cumplimiento legal es responsabilidad de la organización cliente. El OEC es responsable de verificar que la organización cliente ha evaluado el cumplimiento legal y reglamentario, y puede demostrar que se han tomado medidas adecuadas en los casos de incumplimiento de las leyes y reglamentos pertinentes, incluida la notificación a la Autoridad Reguladora de las incidencias que requieran ser reportadas.

4.5 Transparencia MD.4.5.1 Con el fin de aumentar la confianza de las partes interesadas y específicamente de los reguladores que aceptan o toman en cuenta la certificación acreditada con la ISO13485 para propósitos de su reconocimiento, se espera que los organismos de certificación establezcan los correspondientes acuerdos con sus clientes para liberar información del reporte de auditoría a los reguladores que reconozcan la ISO 13485.

4.6 Confidencialidad No hay requisitos adicionales para ISO 13485.

4.7 Capacidad de respuesta a las quejas No hay requisitos adicionales para ISO 13485.

5 REQUISITOS GENERALES 5.1 Asuntos legales y contractuales 5.1.1 Responsabilidad legal



Página 44 de 59

No hay requisitos adicionales para ISO 13485. 5.1.2 5.1.2. Acuerdo de certificación

No hay requisitos adicionales para ISO 13485. 5.1.3 Responsabilidad de las decisiones de certificación

No hay requisitos adicionales para ISO 13485. 5.2 Gestión de la Imparcialidad

MD 5.2. El OEC y sus auditores deben ser imparciales y estar libres de compromisos e influencias que pueden afectar su objetividad, y en particular no deben:

a. Estar involucrados en el diseño, fabricación, construcción, comercialización, instalación, mantenimiento (servicio) o suministro del dispositivo médico.

b. Estar involucrados en el diseño, construcción, implementación y mantenimiento del sistema de gestión de calidad que se audita.

c. Ser un representante autorizado de la organización cliente, ni representar a las partes que intervengan en estas actividades.

d. Las situaciones de aquí en adelante son ejemplos en los que la imparcialidad se ve comprometida en referencia a los criterios definidos anteriormente:

i. El auditor tiene un interés financiero en la organización cliente que está siendo auditada (por ejemplo, la ser titular de acciones de la organización).

ii. El auditor está actualmente empleado por un fabricante que produce de dispositivos médicos. iii. El auditor es miembro del personal instituto de investigación o médico, o un consultor que tiene un

contrato comercial o de interés equivalente con el fabricante o fabricantes de dispositivos médicos similares.

NOTA: Permitir que transcurra un período mínimo de dos años después de la finalización de la relación es una forma de reducir la amenaza a la imparcialidad a un nivel aceptable.

5.3 Responsabilidad y financiación No hay requisitos adicionales para ISO 13485.

6 REQUISITOS ESTRUCTURALES 6.1 Estructura de la organización y de la alta dirección

No hay requisitos adicionales para ISO 13485. 6.2 Comité para salvaguardar la imparcialidad

MD 6.2.3 El comité para salvaguardar la imparcialidad debe tener acceso a personas con experiencia y conocimientos relacionados con los dispositivos médicos con el fin de obtener la opinión de expertos.

7 RECURSOS NECESARIOS 7.1 Competencia de la gestión y del personal

MD 7.1.1 Gestión y competencia del personal Cuando la ISO/IEC 17021 numeral 7.1.1 se refiere a la norma ISO 13485 (según sea relevante para el esquema de certificación específico), esto debería entenderse como los dispositivos médicos y requisitos legales aplicables. Toda la administración y el personal involucrado en la certificación ISO 13485, deben cumplir los requisitos de competencia del Anexo B.

7.2 Personal involucrado en las actividades de certificación MD 7.2.1 Auditor



Página 45 de 59

Cada auditor debe haber demostrado la competencia tal como se define en el Anexo C. El OEC debe identificar las autorizaciones de sus auditores/expertos técnicos usando las áreas técnicas en las tablas en el Anexo A. MD 7.2.4 Experiencia del Auditor Para una primera autorización, el auditor debe cumplir con los siguientes criterios, que deben ser demostrados en las auditorías bajo guía y supervisión:

a. Han adquirido experiencia en todo el proceso de auditoría de sistemas de gestión de calidad para dispositivos médicos, incluyendo la revisión de la documentación y la gestión del riesgo de los dispositivos médicos, la ejecución y elaboración de informes de auditoría. Esta experiencia debe haber sido adquirida por la participación como aprendiz en un mínimo de cuatro auditorías por un total mínimo de 20 días en un programa acreditado de Sistema de Gestión de Calidad, el 50% de estas debe ser con respecto a la ISO 13485 preferiblemente en un programa acreditado, y el resto en un programa acreditado de Sistema de Gestión de Calidad. Además de los criterios del literal a, los líderes del equipo auditor, deben cumplir con lo siguiente:

b. Han ejercido el rol de líder de equipo auditor bajo la supervisión de un líder de equipo calificado, al menos en tres auditorías de ISO 13485.

MD 7.2.9 El personal que realiza la decisión de certificación El OEC debe asegurar que el personal (grupo o individuo) que toma la decisión de la certificación cumple con la competencia indicada en el Anexo B. Esto no quiere decir que cada individuo del grupo deba cumplir con todos los requisitos, pero el grupo en su conjunto si debe cumplir con los todos los requisitos. Si la decisión de certificación es hecha por un individuo, la persona debe cumplir con todos los requisitos.

7.3 Uso de los auditores externos individuales y expertos técnicos externos No hay requisitos adicionales para ISO 13485.

7.4 Registros de personal No hay requisitos adicionales para ISO 13485.

7.5 Subcontratación No hay requisitos adicionales para ISO 13485.

8 REQUISITOS DE LA INFORMACIÓN 8.1 La información públicamente accesible

MD 8.1.3 Cuando sea requerido por ley, el OEC debe proporcionar la información sobre las certificaciones otorgadas, suspendidas o retiradas a la Autoridad Reguladora apropiada.

8.2 Documentos de Certificación MD 8.2.1 El OEC debe documentar con precisión el alcance de la certificación. El OEC no debe excluir parte de los procesos, productos o servicios (a no ser que sea permitido por las autoridades reguladoras) del alcance de la certificación cuando tales procesos, productos o servicios tienen influencia en la inocuidad y calidad de los productos.

8.3 Directorio de clientes certificados No hay requisitos adicionales para ISO 13485.

8.4 Referencia a la certificación y el uso de las marcas No hay requisitos adicionales para ISO 13485.

8.5 Confidencialidad



Página 46 de 59

No hay requisitos adicionales para ISO 13485. 8.6 Intercambio de información entre los organismos de certificación y sus clientes 8.6.1 La información sobre la actividad de certificación y los requisitos

No hay requisitos adicionales para ISO 13485. 8.6.2 Notificación de cambios por parte del OEC

No hay requisitos adicionales para ISO 13485. 8.6.3 Notificación de cambios por parte del cliente

No hay requisitos adicionales para ISO 13485. 9 REQUISITOS DEL PROCESO 9.1 Requisitos generales

MD 9.1.3.2 El equipo auditor debe tener la competencia en el Área Técnica (Anexo A) para el alcance de la auditoría. MD 9.1.4.1 Determinación de tiempo de auditoría Los requisitos del documento mandatorio IAF MD5 (Duración de la Auditoría SGC y SGA) se aplican, excepto aquellos para el SGA y la tabla SGC1. El Anexo D, la Tabla D.1 reemplaza Tabla SGC1 y proporciona un punto de partida para calcular la duración de una auditoría inicial (Etapa 1 + Etapa 2) para la certificación ISO 13485. La duración de la auditoría depende de factores tales como el alcance de la auditoría, los objetivos y los requisitos reglamentarios específicos a ser auditados, así como en el rango, la clase y la complejidad de los dispositivos médicos, y el tamaño y la complejidad de la organización. Cuando los OEC planean auditorías, se debe dar tiempo suficiente al equipo de auditoría para que determine el estado de conformidad del sistema de gestión de calidad de la organización cliente con respecto a los requisitos reglamentarios pertinentes. Cualquier tiempo adicional necesario para auditar los requisitos nacionales o regionales de regulación y la revisión de expedientes debe ser justificado. La duración de la auditoría, para todos los tipos de auditorías, incluye el tiempo en sitio, en las instalaciones del cliente, y el tiempo fuera de las instalaciones, invertido en la planificación, la revisión de documentos, la interacción con el personal del cliente y redacción de informes. No se tiene en cuenta el tiempo necesario para la revisión de expedientes de diseño, exámenes de tipo, auditorías de aprobación previa a la comercialización y otras actividades similares. La duración de la auditoría debería ajustarse teniendo en cuenta los factores enumerados en el Anexo D, los cuales pueden aumentar o disminuir el tiempo de auditoría estimado. MD 9.1.5 Muestreo de sitios múltiples Las sedes / instalaciones de diseño, desarrollo y fabricación no pueden ser muestreados. MD 9.1.9.6 Identificar y registrar hallazgos de auditoría Los ejemplos de no conformidades son los siguientes:

a. Incapacidad para abordar los requisitos aplicables para los sistemas de gestión de calidad (por ejemplo, no tener una gestión de quejas o un sistema de formación).

b. Falla en la implementación de los requisitos aplicables al sistema de gestión de calidad. c. Falla en la implementación de acciones correctivas y preventivas apropiadas cuando una investigación de

los datos de pos - mercado indica un patrón de defectos de los productos. d. Los productos que son puestos en el mercado y provocan riesgos innecesarios al paciente y/o los

usuarios cuando el dispositivo se utiliza de acuerdo con el etiquetado en el producto. e. La existencia de productos que claramente no cumplen con las especificaciones del cliente y/o los

requisitos reglamentarios.



Página 47 de 59

f. No conformidades repetidas de auditorías anteriores. g. Un número excesivo de cualquier otra no conformidad que es mostrada en el apartado (b) del 9.1.15 de la

Norma ISO/IEC 17021 en contra de un requisito particular para sistemas de gestión de calidad. 9.2 Auditoría inicial y certificación 9.2.1 Aplicación

No hay requisitos adicionales para ISO 13485. 9.2.2 Revisión de Solicitudes

No hay requisitos adicionales para ISO 13485. 9.2.3 Auditoría de certificación inicial

MD 9.2.3 Cuando un OEC ha realizado una auditoría a un cliente con respecto a un esquema regulatorio que incluya o vaya más allá de los requisitos de la norma ISO 13485, no es necesario repetir la auditoría de conformidad con los elementos de la norma ISO 13485 que antes estaban incluidos, siempre que el OEC pueda demostrar que todos los requisitos de este documento se han cumplido. Nota: Los esquemas regulatorios típicos que incluyen o van más allá de los requisitos de la norma ISO 13485 son las Directivas Europeas de Dispositivos Médicos: - Directiva de Dispositivos Médicos (MDD) - Directiva de Dispositivos de Diagnostico In -Vitro (IVD) - Directiva de Dispositivos Médicos Implantables Activos (AIMD) Otras jurisdicciones incluyen: - Canadá – Health Canada, Sistema de evaluación de la conformidad canadiense para dispositivos médicos

(CMDCAS). - Australia –Therapeutic Goods Administration, Reglamento de Productos Terapéuticos, adicionalmente otros

países están adoptando o considerando la adopción de la norma ISO 13485 en sus reglamentos de dispositivos médicos.

9.2.3.1 Auditoría - Etapa 1 MD 9.2.3.1 Cuando los dispositivos médicos de alto riesgo son de interés, la etapa 1 de la auditoría debería realizarse en el lugar.

9.2.3.2 Auditoría – Etapa 2 No hay requisitos adicionales para ISO 13485.

9.2.4 Primeras conclusiones de la auditoría de certificación No hay requisitos adicionales para ISO 13485.

9.2.5 Información para la concesión de la certificación inicial No hay requisitos adicionales para ISO 13485.

9.3 Actividades de vigilancia 9.3.1 Generalidades

No hay requisitos adicionales para ISO 13485. 9.3.2 Auditoría de vigilancia

MD 9.3.2.1 Además de los requisitos del numeral 9.3.2.1, el programa de vigilancia debe incluir una revisión de las medidas adoptadas en cuanto a la notificación de eventos adversos, notas de advertencia, y retiros de productos del mercado.



Página 48 de 59

9.3.3 Mantenimiento de la certificación No hay requisitos adicionales para ISO 13485.

9.4 Recertificación 9.4.1 Planificación de la auditoría de recertificación

No hay requisitos adicionales para ISO 13485. 9.4.2 Auditoría de recertificación

No hay requisitos adicionales para ISO 13485. 9.4.3 Información para la concesión de recertificación

No hay requisitos adicionales para ISO 13485. 9.5 Auditorías especiales 9.5.1 Extensión del alcance

No hay requisitos adicionales para ISO 13485. 9.5.2 Auditorías de corto aviso

MD 9.5.2 Las auditorías de corto aviso pueden ser necesarias cuando:

a. Apliquen factores externos como: i. Datos disponibles de vigilancia, posteriores a la comercialización conocidos por el OEC de los

dispositivos que indiquen una posible deficiencia significativa en el sistema de gestión de calidad. ii. Información significativa relacionada con la inocuidad dada a conocer al OEC.

b. Ocurran cambios significativos que se hayan sido presentados al OEC, cuando sea requerido por las regulaciones o se haya puesto en conocimiento del OEC, y que podrían afectar la decisión sobre el estado cumplimiento de los requisitos reglamentarios del cliente.

Los siguientes son ejemplos de tales cambios que pueden ser significativos y relevantes para el OEC cuando considere que se requiere una auditoría especial, aunque ninguno de estos cambios debería desencadenar automáticamente una auditoría especial:

i. SGC - impacto y cambios: § Nuevo propietario. § Ampliación a la fabricación y/o control de diseño. § Nueva instalación, cambio de sede.

v La modificación de sede de operación involucrada en la actividad de manufactura (por ejemplo, la reubicación de la operación de fabricación de una nueva sede o centralizar las funciones de diseño y/o de desarrollo para varios centros de manufactura).

§ Nuevos procesos, cambios en el proceso. v Las modificaciones importantes de los procesos especiales (por ejemplo, cambio en

la producción, para el traslado de la esterilización a un proveedor, en la sede o un cambio en el método de esterilización).

§ Gestión de Calidad, personal. v Las modificaciones dela autoridad definida del representante de la dirección que

impacte: - La eficacia del sistema de gestión de calidad o de cumplimiento legal. - La capacidad y la autoridad para asegurar que sólo se liberan dispositivos médicos

seguros y eficaces.



Página 49 de 59

ii. Cambios relativos al producto § Nuevos productos, categorías. § La adición de una nueva categoría de dispositivo al alcance de fabricación dentro del SGC

(por ejemplo, la adición de un set desechable estéril para diálisis al alcance actual limitado a equipos de hemodiálisis, o la adición de imágenes de resonancia magnética al alcance actual limitado a equipos de ultrasonido).

iii. Cambios relacionados con el SGC y los productos: § Cambios en las normas, reglamentos § El seguimiento posterior a la comercialización, la vigilancia

Una auditoría no anunciada o de corto aviso también puede ser necesaria si el OEC tiene inquietudes justificadas sobre la implementación de las acciones correctivas o el cumplimiento de los requisitos normativos y reglamentarios.

9.6 Suspender, retirar o reducir el alcance de la certificación

No hay requisitos adicionales para ISO 13485. 9.7 Apelaciones

No hay requisitos adicionales para ISO 13485. 9.8 Quejas

No hay requisitos adicionales para ISO 13485. 9.9 Los registros de los solicitantes y clientes

No hay requisitos adicionales para ISO 13485. 10 REQUISITOS DEL SISTEMA DE GESTIÓN DE ORGANISMOS DE CERTIFICACIÓN 10.1 Opciones 10.2 Opción 1: Requisitos del sistema de gestión según la norma ISO 9001 10.2.1 Generalidades

No hay requisitos adicionales para ISO 13485. 10.2.2 Alcance

No hay requisitos adicionales para ISO 13485. 10.2.3 Enfoque al cliente

No hay requisitos adicionales para ISO 13485. 10.2.4 Revisión por la dirección

No hay requisitos adicionales para ISO 13485. 10.2.5 Diseño y desarrollo

No hay requisitos adicionales para ISO 13485. 10.3 Opción 2: Requisitos generales de gestión 10.3.1 Generalidades

No hay requisitos adicionales para ISO 13485. 10.3.2 Manual del Sistema de Gestión

No hay requisitos adicionales para ISO 13485. 10.3.3 Control de los documentos

No hay requisitos adicionales para ISO 13485.



Página 50 de 59

10.3.4 Control de los registros No hay requisitos adicionales para ISO 13485.

10.3.5 Revisión por la dirección 10.3.5.1 Generalidades

No hay requisitos adicionales para ISO 13485. 10.3.5.2 Revisión de los datos (entradas)

No hay requisitos adicionales para ISO 13485. 10.3.5.3 Revisión de los resultados (salidas)

No hay requisitos adicionales para ISO 13485. 10.3.6 Las auditorías internas

No hay requisitos adicionales para ISO 13485. 10.3.7 Acciones correctivas

No hay requisitos adicionales para ISO 13485. 10.3.8 Acciones preventivas

No hay requisitos adicionales para ISO 13485.



Página 51 de 59

Anexo A (Normativo)

Áreas Técnicas de Dispositivos Médicos El OEC debe utilizar las áreas técnicas que se describen en las tablas del presente anexo: a) para ayudar a definir el alcance de la certificación. b) para identificar si cualquier calificación técnica, incluida la competencia en los procesos de esterilización de sus

auditores resulte necesaria para dicha área técnica particular. c) para seleccionar un equipo de auditoría adecuadamente calificado. Si se usan áreas técnicas que no estén especificadas en las tablas, las áreas técnicas deben ser detalladas.

Área Técnica Principal Áreas Técnicas Categorizas de Productos cubiertas por las Áreas

Técnicas

Dispositivos Médicos No Activos

Dispositivos médicos generales no activos, no implantables

• Los productos no activos para la anestesia, emergencia y cuidados intensivos.

• Los productos no activos para inyección, infusión, transfusión y diálisis.

• Dispositivos ortopédicos y de rehabilitación no activos. • Dispositivos médicos activos con función de medición. • Los dispositivos oftalmológicos no activos. • Los instrumentos no activos. • Los dispositivos médicos de anticonceptivos. • Dispositivos médicos no activos para la desinfección,

limpieza, enjuague. • Los productos no activos para la fertilización in vitro

(IVF) y las tecnologías de reproducción asistida (ART)

Implantes no activos

• Los implantes cardiovasculares no activos • Los implantes ortopédicos no activos • Los implantes funcionales no activos • Los implantes de tejidos blandos no activos

Dispositivos para el cuidado de heridas • Vendajes y apósitos para heridas • El material de sutura y abrazaderas • Otros dispositivos médicos para el cuidado de heridas

Dispositivos y accesorios dentales no activos

• Dispositivos dentales /equipos e instrumentos no activos

• Materiales dentales • Los implantes dentales

Dispositivos médicos no activos diferentes a especificados anteriormente.



Página 52 de 59

Tabla A.1.2 - Dispositivos Médicos Activos (No implantables). Área Técnica

Principal Áreas Técnicas Categorizas de Productos cubiertas por las Áreas Técnicas

Dispositivos Médicos Activos (No implantables)

Dispositivos médicos generales activos

• Dispositivos para la circulación extra-corporal, infusión y hemaféresis.

• Equipos de protección respiratoria, dispositivos, incluyendo cámaras hiperbáricas para terapia de oxígeno, anestesia inhalatoria

• Dispositivos para la estimulación o inhibición • Los dispositivos quirúrgicos activos • Los dispositivos oftalmológicos activos • Dispositivos dentales activos • Dispositivos activos para la desinfección y esterilización • Los dispositivos de rehabilitación activa y prótesis

activas • Dispositivos activos para el posicionamiento y

transporte de pacientes • Dispositivos activos para la fertilización in vitro (IVF) y

las tecnologías de reproducción asistida (ART) • Software

Dispositivos para imágenes • Los dispositivos que utilizan radiaciones ionizantes • Los dispositivos que utilizan rayos no ionizantes

Dispositivos de monitoreo

• Los dispositivos de monitoreo de parámetros fisiológicos no vitales

• Los dispositivos de monitoreo de parámetros fisiológicos vitales

Dispositivos para radioterapia y termoterapia

• Los dispositivos que utilizan radiación ionizante • Los dispositivos que utilizan radiación no ionizante • Dispositivos para la hipertermia/hipotermia • Dispositivos para la terapia (extra corporal) de ondas de

choque (litotricia) Dispositivos Médicos (no implantables) activos distintos de los especificados anteriormente



Página 53 de 59

Tabla A.1.3 – Dispositivos Médicos Implantables Activos. Área Técnica

Principal Áreas Técnicas Categorizas de Productos cubiertas por las Áreas Técnicas

Dispositivos Médicos Implantables Activos

Dispositivos Médicos Implantables Activos Generales

• Dispositivos médicos implantables activos para la estimulación/inhibición

• Dispositivos médicos implantables activos que entregan medicamentos u otras sustancias

• Dispositivos médicos implantables activos que sustituyen o reemplazan las funciones de órganos

Dispositivos Médicos Implantables Activos distintos de los especificados anteriormente

Tabla A.1.4 – Dispositivos Médicos de diagnóstico In Vitro

Área Técnica Principal Áreas Técnicas Categorizas de Productos cubiertas por las Áreas Técnicas

Dispositivos Médicos de diagnóstico In Vitro (IVD)

Reactivos y productos reactivos, calibradores y materiales de control para: - Química Clínica - Inmuno química (Inmunología) - Hematología / Hemostasia / Inmuno

hematología - Microbiología - Inmunología Infecciosas - Histología / Citología - Pruebas genéticas

Instrumentos y software de diagnóstico In Vitro

Dispositivos Médicos IVD distintos de los especificados anteriormente

Tabla A.1.5 – Métodos de Esterilización para Dispositivos Médicos

Área Técnica Principal Áreas Técnicas Categorizas de Productos cubiertas por las Áreas Técnicas

Métodos de Esterilización para Dispositivos Médicos

Esterilización con gas de óxido de etileno (EOG)

Calor húmedo

Procesado aséptico

Esterilización por radiación (por ejemplo, gamma, rayos x, haces de electrones)

Métodos de esterilización distintos de los especificados anteriormente



Página 54 de 59

Table A1.6 – DEVICES INCORPORATING / UTILIZING SPECIFIC SUBSTANCES / TECHNOLOGIES

Área Técnica Principal Áreas Técnicas Categorías de Productos cubiertas por las Áreas Técnicas

Dispositivos que incorporan/utilizan sustancias/ tecnologías específicas

Dispositivos médicos que incorporan sustancias medicinales

Dispositivos médicos que utilizan tejidos de origen animal

Dispositivos médicos que incorporen derivados de la sangre humana

Dispositivos médicos que utilizan la micromecánica

Dispositivos médicos que utilizan nanomateriales

Dispositivos médicos que utilizan recubrimientos y/o materiales activos biológicos o son completamente o principalmente absorbidos



Página 55 de 59

Anexo B (Normativo)

Tipos de conocimientos y habilidades requeridas por el personal involucrado con actividades de la ISO 13485 La siguiente tabla especifica el tipo de conocimientos y habilidades que un OEC debe definir para funciones específicas. Tabla B.1 – Tabla de conocimientos y habilidades

Actividades de la certificación Personal que realiza la revisión de la solicitud

para determinar la competencia

necesaria del equipo auditor, para

seleccionar a los miembros del equipo y

para determinar la duración de la

auditoría.

Personal involucrado en la revisión de los

informes de auditoría y la decisión de la

certificación

Auditor Experto en el Área Técnica (Anexo A)

Personal involucrado en la gestión del

programa Conocimientos y habilidades

Conocimientos sobre principios generales del sistema de gestión de

calidad X X X X

Conocimiento específico en estándares de sistema de gestión

(por ejemplo, ISO 13485, documentos GHTF, etc.

X X X X

Conocimiento del marco legal de regulaciones y el rol del OEC X X X X

Conocimiento de gestión del riesgo en dispositivos médicos (por

ejemplo, ISO 14971) X X X X

Conocimiento del uso previsto para los dispositivos médicos X

Conocimiento de los riesgos asociados al dispositivo médico X

Conocimiento de estándares de producto relevantes en la evaluación

de dispositivos médicos X

Conocimiento del proceso del OEC para la ISO 13485 X X X X

Conocimiento de las prácticas de gestión empresarial X

Conocimiento del negocio/tecnología de los

dispositivos médicos X X X X X

Conocimiento de los productos, procesos y organización del cliente X X X X X

Habilidades de lenguaje apropiadas para todos los niveles dentro de la

organización cliente X

Habilidad de toma de notas y redacción de informes X

Habilidad para presentaciones X

Habilidad para entrevistas X



Página 56 de 59

Actividades de la certificación Personal que realiza la revisión de la solicitud

para determinar la competencia

necesaria del equipo auditor, para

seleccionar a los miembros del equipo y

para determinar la duración de la

auditoría.

Personal involucrado en la revisión de los

informes de auditoría y la decisión de la

certificación

Auditor Experto en el Área Técnica (Anexo A)

Personal involucrado en la gestión del

programa Conocimientos y habilidades

Habilidades de auditoría X

(líder del equipo)



Página 57 de 59

Anexo C (Normativo)

Calificación, Formación y Experiencia del Auditor C.1 Educación. El OEC debe asegurar que los auditores tengan los conocimientos correspondientes a la educación post-secundaria o experiencia laboral equivalente. Las áreas profesionales apropiadas se enumeran a continuación a modo de ejemplo: a) biología o microbiología; b) química o bioquímica; c) tecnología informática y software; d) ingeniería eléctrica, electrónica, mecánica o bioingeniería; e) fisiología humana; f) medicina; g) farmacia; h) física o biofísica. C.2 Experiencia laboral El OEC debe asegurar que los auditores tienen la experiencia adecuada para llevar a cabo sus tareas. En general, los auditores debe tener un mínimo de cuatro años de experiencia laboral a tiempo completo en la industria de dispositivos médicos relacionados, incluyendo por lo menos dos años de experiencia laboral en uno o más de los siguientes: a) los sectores estrechamente relacionados y el lugar de trabajo, tales como la investigación y el desarrollo, la

fabricación; b) la aplicación de la tecnología de los dispositivos y su uso en los servicios de salud y con los pacientes; c) prueba de los dispositivos apropiados para el cumplimiento de las normas nacionales o internacionales pertinentes; d) la realización de pruebas de rendimiento, los estudios de evaluación o ensayos clínicos de los dispositivos. Excepcionalmente, una menor duración de la experiencia o experiencia en áreas distintas a la lista anterior puede ser considerada como adecuada. En tales casos, el OEC debe demostrar que la experiencia del auditor es equivalente y debe registrar la justificación de la aceptación. C.3 Competencia del Auditor Ver Anexo B. C.4 Desarrollo y mantenimiento de la competencia C.4.1 Desarrollo Profesional Continuo (DPC) Cada auditor debe realizar actividades de DPC como la formación, la participación en reuniones científicas, y de auto aprendizaje. Tales actividades deberían asegurar el conocimiento oportuno de requisitos de regulaciones nuevos o modificados, políticas, procedimientos, etc., así como las tecnologías emergentes. La formación en las nuevas tecnologías puede ser proporcionada a través de la cooperación con los fabricantes que la desarrollaron o el uso de los conceptos. El conocimiento también se obtiene a partir de la experiencia en la aplicación de los requisitos normativos, la implementación de los procedimientos y la aplicación de las políticas e interpretaciones. Se reconoce que la fabricación de dispositivos médicos constituye un sector altamente especializado, impulsado por la tecnología y en rápida evolución. Además, son introducidos nuevos requisitos reglamentarios, normas, políticas y



Página 58 de 59

procedimientos, y las ya existentes se modifican de vez en cuando. Por lo tanto, el OEC debe asegurar el mantenimiento de los conocimientos y habilidades apropiadas de los auditores para cubrir el alcance de las auditorías de las organizaciones, a través de la formación y el fomento de CPD apropiado y oportuno. C.4.2 Elementos de formación avanzada para los auditores En la medida que los auditores adquieren competencia en la realización de auditorías, se recomienda la formación avanzada y especializada. Las necesidades del auditor, debilidades y deseos de desarrollo profesional pueden influir en cursos de capacitación específicos seleccionados por un auditor. Los temas sugeridos para el entrenamiento avanzado incluyen: a) La gestión del riesgo, incluido el análisis de riesgos; b) Validación del proceso; c) Esterilización y procesos afines; d) Fabricación electrónica; e) Procesos de fabricación de plásticos; f) Desarrollo y validación de software o hardware para dispositivos y procesos de fabricación; g) Conocimiento en profundidad de dispositivos médicos específicos y/o tecnologías.



Página 59 de 59

Anexo D (Normativo)

Tabla D.1 Relación entre el número efectivo de personal y la duración de la auditoría (Auditoría Inicial solamente)

Número efectivo de personal

Duración de la Auditoría Etapa 1 + Etapa 2 (días)

Número efectivo de personal

Duración de la Auditoría Etapa 1 + Etapa 2 (días)

1-5 3 626-875 15

6-10 4 876-1175 16

11-15 4.5 1176-1550 17

16-25 5 1551-2025 18

26-45 6 2026-2675 19

46-65 7 2676-3450 20

66-85 8 3451-4350 21

86-125 10 4351-5450 22

126-175 11 5451-6800 23

176-275 12 6801-8500 24

276-425 13 8501-10700 25

426-625 14 >10700 Siga la progresión por encima

Factores usados para determinar el tiempo de auditoría a. Los factores que pueden aumentar la duración de la auditoría

i. Número de rangos y/o la complejidad de los dispositivos médicos. ii. Los fabricantes que utilicen los proveedores para suministrar procesos o partes que son críticas para la

función del dispositivo médico y/o la seguridad del usuario o de productos terminados, incluidos los productos de marca propia. Cuando el fabricante no pueda proporcionar evidencia suficiente de la conformidad con los criterios de auditoría, entonces el tiempo adicional puede ser permitido para cada proveedor para ser auditado.

iii. Los fabricantes que sitúan el producto en las instalaciones del cliente. Nota: Puede ser necesario tiempo para visitas al sitio del cliente o registros de instalación de revisión.

iv. Mal cumplimiento de la normativa por el fabricante. b. Los factores que pueden reducir la duración de la auditoría

i. La reducción de la gama de productos del fabricante desde la última auditoría. ii. Reducción del diseño o proceso de producción desde la última auditoría.