ISO/IEC 17021:2006 - Conformity assessment

Conformity assessment - Requirements for bodies providing audit and certification of management systems

ISO/IEC 17021:2006 contains principles and requirements for the competence, consistency and impartiality of the audit and certification of management systems of all types (e.g. quality management systems or environmental management systems) and for bodies providing these activities. Certification bodies operating to this International Standard need not offer all types of management system certification. Certification of management systems is a third-party conformity assessment activity. Bodies performing this activity are therefore third-party conformity assessment bodies.

Évaluation de la conformité — Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management

L'ISO/CEI 17021:2006 spécifie les principes et les exigences relatives à la compétence, à la cohérence et à l'impartialité lors des audits et lors de la certification de systèmes de management de tous types (par exemple systèmes de management de la qualité ou systèmes de management environnemental) et relatives aux organismes fournissant cette activité. Les organismes de certification conformes à la présente Norme internationale ne sont pas tenus de proposer tous les types de certification de système de management. La certification de systèmes de management est une activité d'évaluation de la conformité par tierce partie. Les organismes exerçant cette activité sont par conséquent des organismes d'évaluation de la conformité par tierce partie.

General Information

Status

Withdrawn

Publication Date

30-Aug-2006

Withdrawal Date

30-Aug-2006

ICS

03.120.20 - Product and company certification. Conformity assessment

Technical Committee

ISO/CASCO - Committee on conformity assessment

Drafting Committee

ISO/CASCO - Committee on conformity assessment

Current Stage

9599 - Withdrawal of International Standard

Start Date

31-Jan-2012

Completion Date

31-Jan-2012

Ref Project

Relations

Consolidates

ISO 11857:1999 - Textile floor coverings - Determination of resistance to delamination

Effective Date

06-Jun-2022

Revised

ISO/IEC 17021:2011 - Conformity assessment - Requirements for bodies providing audit and certification of management systems

Effective Date

22-May-2010

Revises

ISO/IEC Guide 62:1996 - General requirements for bodies operating assessment and certification/registration of quality systems

Effective Date

15-Apr-2008

Revises

ISO/IEC Guide 66:1999 - General requirements for bodies operating assessment and certification/registration of environmental management systems (EMS)

Effective Date

15-Apr-2008

ISO/IEC 17021:2006 - Conformity assessment -- Requirements for bodies providing audit and certification of management systems

Standard

ISO/IEC 17021:2006 - Conformity assessment -- Requirements for bodies providing audit and certification of management systems

English language

26 pages

sale 15% off

Preview

sale 15% off

Preview

Standard

ISO/IEC 17021:2006

English language

12 pages

sale 15% off

Preview

sale 15% off

Preview

ISO/IEC 17021:2006 - Évaluation de la conformité -- Exigences pour les organismes procédant a l'audit et a la certification des systemes de management

Standard

ISO/IEC 17021:2006 - Évaluation de la conformité -- Exigences pour les organismes procédant a l'audit et a la certification des systemes de management

French language

28 pages

sale 15% off

Preview

sale 15% off

Preview

Standard

ISO/IEC 17021:2006

Russian language

12 pages

sale 15% off

Preview

sale 15% off

Preview

Frequently Asked Questions

What is ISO/IEC 17021:2006?

ISO/IEC 17021:2006 is a standard published by the International Organization for Standardization (ISO). Its full title is "Conformity assessment - Requirements for bodies providing audit and certification of management systems". This standard covers: ISO/IEC 17021:2006 contains principles and requirements for the competence, consistency and impartiality of the audit and certification of management systems of all types (e.g. quality management systems or environmental management systems) and for bodies providing these activities. Certification bodies operating to this International Standard need not offer all types of management system certification. Certification of management systems is a third-party conformity assessment activity. Bodies performing this activity are therefore third-party conformity assessment bodies.

What is the scope of ISO/IEC 17021:2006?

What ICS categories does ISO/IEC 17021:2006 belong to?

ISO/IEC 17021:2006 is classified under the following ICS (International Classification for Standards) categories: 03.120.20 - Product and company certification. Conformity assessment. The ICS classification helps identify the subject area and facilitates finding related standards.

What standards are related to ISO/IEC 17021:2006?

ISO/IEC 17021:2006 has the following relationships with other standards: It is inter standard links to ISO 11857:1999, ISO/IEC 17021:2011, ISO/IEC Guide 62:1996, ISO/IEC Guide 66:1999. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.

How can I purchase ISO/IEC 17021:2006?

You can purchase ISO/IEC 17021:2006 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.

Standards Content (Sample)

INTERNATIONAL ISO/IEC
STANDARD 17021
First edition
2006-09-15
Conformity assessment — Requirements
for bodies providing audit and
certification of management systems
Évaluation de la conformité — Exigences pour les organismes
procédant à l'audit et à la certification de systèmes de management

Reference number
©
ISO 2006
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.

© ISO 2006
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2006 — All rights reserved

Contents Page
Foreword. iv
Introduction . v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions. 1
4 Principles. 2
4.1 General. 2
4.2 Impartiality. 3
4.3 Competence . 3
4.4 Responsibility . 3
4.5 Openness. 3
4.6 Confidentiality. 4
4.7 Responsiveness to complaints . 4
5 General requirements. 4
5.1 Legal and contractual matters. 4
5.2 Management of impartiality . 4
5.3 Liability and financing. 6
6 Structural requirements . 6
6.1 Organizational structure and top management. 6
6.2 Committee for safeguarding impartiality. 6
7 Resource requirements. 7
7.1 Competence of management and personnel. 7
7.2 Personnel involved in the certification activities .7
7.3 Use of individual external auditors and external technical experts . 8
7.4 Personnel records . 9
7.5 Outsourcing. 9
8 Information requirements . 9
8.1 Publicly accessible information. 9
8.2 Certification documents. 10
8.3 Directory of certified clients . 10
8.4 Reference to certification and use of marks. 10
8.5 Confidentiality. 11
8.6 Information exchange between a certification body and its clients. 12
9 Process requirements . 13
9.1 General requirements. 13
9.2 Initial audit and certification . 15
9.3 Surveillance activities . 17
9.4 Recertification . 18
9.5 Special audits. 19
9.6 Suspending, withdrawing or reducing the scope of certification . 19
9.7 Appeals . 20
9.8 Complaints . 20
9.9 Records of applicants and clients . 21
10 Management system requirements for certification bodies. 22
10.1 Options . 22
10.2 Option 1: Management system requirements in accordance with ISO 9001. 22
10.3 Option 2: General management system requirements. 23
Bibliography . 26

Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of conformity
assessment, the ISO Committee on conformity assessment (CASCO) is responsible for the development of
International Standards and Guides.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
Draft International Standards are circulated to the national bodies for voting. Publication as an International
Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 17021 was prepared by the ISO Committee on conformity assessment (CASCO).
It was circulated for voting to the national bodies of both ISO and IEC, and was approved by both
organizations.
This first edition of ISO/IEC 17021 cancels and replaces ISO/IEC Guide 62:1996 and ISO/IEC Guide 66:1999,
which have been combined and technically revised.
iv © ISO 2006 — All rights reserved

Introduction
Certification of a management system, such as a quality or environmental management system of an
organization, is one means of providing assurance that the organization has implemented a system for the
management of the relevant aspects of its activities, in line with its policy.
This International Standard specifies requirements for certification bodies. Observance of these requirements
is intended to ensure that certification bodies operate management system certification in a competent,
consistent and impartial manner, thereby facilitating the recognition of such bodies and the acceptance of their
certifications on a national and international basis. This International Standard serves as a foundation for
facilitating the recognition of management system certification in the interests of international trade.
Certification of a management system provides independent demonstration that the management system of
the organization
a) conforms to specified requirements,
b) is capable of consistently achieving its stated policy and objectives, and
c) is effectively implemented.
Conformity assessment such as certification of a management system thereby provides value to the
organization, its customers and interested parties.
In this International Standard, Clause 4 describes the principles on which credible certification is based. These
principles help the reader to understand the essential nature of certification and they are a necessary prelude
to Clauses 5 to 10. These principles underpin all the requirements in this International Standard, but such
principles are not auditable requirements in their own right. Clause 10 describes two alternative ways of
supporting and demonstrating the consistent achievement of the requirements in this International Standard
through the establishment of a management system by the certification body.
This International Standard is intended for use by bodies that carry out audit and certification of management
systems. It gives generic requirements for such certification bodies performing audit and certification in the
field of quality, environmental and other forms of management systems. Such bodies are referred to as
certification bodies. This wording should not be an obstacle to the use of this International Standard by bodies
with other designations that undertake activities covered by the scope of this document.
Certification activities involve the audit of an organization's management system. The form of attestation of
conformity of an organization's management system to a specific management system standard or other
normative requirements is normally a certification document or a certificate.
INTERNATIONAL STANDARD ISO/IEC 17021:2006(E)

Conformity assessment — Requirements for bodies providing
audit and certification of management systems
1 Scope
This International Standard contains principles and requirements for the competence, consistency and
impartiality of the audit and certification of management systems of all types (e.g. quality management
systems or environmental management systems) and for bodies providing these activities. Certification bodies
operating to this International Standard need not offer all types of management system certification.
Certification of management systems (named in this International Standard “certification”) is a third-party
conformity assessment activity (see ISO/IEC 17000:2004, 5.5). Bodies performing this activity are therefore
third-party conformity assessment bodies (named in this International Standard “certification body/bodies”).
NOTE 1 Certification of a management system is sometimes also called “registration”, and certification bodies are
sometimes called “registrars”.
NOTE 2 A certification body can be non-governmental or governmental (with or without regulatory authority).
NOTE 3 This International Standard can be used as a criteria document for accreditation or peer assessment or other
audit processes.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 9000:2005, Quality management systems — Fundamentals and vocabulary
1)
ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing
ISO/IEC 17000:2004, Conformity assessment — Vocabulary and general principles
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 9000, ISO/IEC 17000 and the
following apply.
3.1
certified client
organization whose management system has been certified

1) References in this document to the relevant guidance in ISO 19011 apply to the auditing of all other types of
management systems.
3.2
impartiality
actual and perceived presence of objectivity
NOTE 1 Objectivity means that conflicts of interest do not exist or are resolved so as not to adversely influence
subsequent activities of the certification body.
NOTE 2 Other terms that are useful in conveying the element of impartiality are: objectivity, independence, freedom
from conflict of interests, freedom from bias, lack of prejudice, neutrality, fairness, open-mindedness, even-handedness,
detachment, balance.
3.3
management system consultancy
participation in designing, implementing or maintaining a management system
EXAMPLES are
a) preparing or producing manuals or procedures, and
b) giving specific advice, instructions or solutions towards the development and implementation of a management
system.
NOTE Arranging training and participating as a trainer is not considered consultancy, provided that, where the course
relates to management systems or auditing, it is confined to the provision of generic information that is freely available in
the public domain; i.e. the trainer should not provide company-specific solutions.
4 Principles
4.1 General
4.1.1 These principles are the basis for the subsequent specific performance and descriptive requirements
in this International Standard. This International Standard does not give specific requirements for all situations
that can occur. These principles should be applied as guidance for the decisions that may need to be made
for unanticipated situations. Principles are not requirements.
4.1.2 The overall aim of certification is to give confidence to all parties that a management system fulfils
specified requirements. The value of certification is the degree of public confidence and trust that is
established by an impartial and competent assessment by a third-party. Parties that have an interest in
certification include, but are not limited to
a) the clients of the certification bodies,
b) the customers of the organizations whose management systems are certified,
c) governmental authorities,
d) non-governmental organizations, and
e) consumers and other members of the public.
4.1.3 Principles for inspiring confidence include
⎯ impartiality,
⎯ competence,
⎯ responsibility,
2 © ISO 2006 — All rights reserved

⎯ openness,
⎯ confidentiality, and
⎯ responsiveness to complaints.
4.2 Impartiality
4.2.1 Being impartial, and being perceived to be impartial, is necessary for a certification body to deliver
certification that provides confidence.
4.2.2 It is recognized that the source of revenue for a certification body is its client paying for certification,
and that this is a potential threat to impartiality.
4.2.3 To obtain and maintain confidence, it is essential that a certification body's decisions be based on
objective evidence of conformity (or nonconformity) obtained by the certification body, and that its decisions
are not influenced by other interests or by other parties.
4.2.4 Threats to impartiality include the following.
a) Self-interest threats: threats that arise from a person or body acting in their own interest. A concern
related to certification, as a threat to impartiality, is financial self-interest.
b) Self-review threats: threats that arise from a person or body reviewing the work done by themselves.
Auditing the management systems of a client to whom the certification body provided management
systems consultancy would be a self-review threat.
c) Familiarity (or trust) threats: threats that arise from a person or body being too familiar with or trusting of
another person instead of seeking audit evidence.
d) Intimidation threats: threats that arise from a person or body having a perception of being coerced openly
or secretively, such as a threat to be replaced or reported to a supervisor.
4.3 Competence
Competence of the personnel supported by the management system of the certification body is necessary to
deliver certification that provides confidence. Competence is the demonstrated ability to apply knowledge and
skills.
4.4 Responsibility
4.4.1 The client organization, not the certification body, has the responsibility for conformity with the
requirements for certification.
4.4.2 The certification body has the responsibility to assess sufficient objective evidence upon which to
base a certification decision. Based on audit conclusions, it makes a decision to grant certification if there is
sufficient evidence of conformity, or not to grant certification if there is not sufficient evidence of conformity.
NOTE Any audit is based on sampling within an organization's management system and therefore is not a guarantee
of 100 % conformity with requirements.
4.5 Openness
4.5.1 A certification body needs to provide public access to, or disclosure of, appropriate and timely
information about its audit process and certification process, and about the certification status (i.e. the granting,
extending, maintaining, renewing, suspending, reducing the scope of, or withdrawing of certification) of any
organization, in order to gain confidence in the integrity and credibility of certification. Openness is a principle
of access to, or disclosure of, appropriate information.
4.5.2 To gain or maintain confidence in certification, a certification body should provide appropriate access
to, or disclosure of, non-confidential information about the conclusions of specific audits (e.g. audits in
response to complaints) to specific interested parties.
4.6 Confidentiality
To gain the privileged access to information that is needed for the certification body to assess conformity to
requirements for certification adequately, it is essential that a certification body keep confidential any
proprietary information about a client.
4.7 Responsiveness to complaints
Parties that rely on certification expect to have complaints investigated and, if these are found to be valid,
should have confidence that the complaints will be appropriately addressed and that a reasonable effort will
be made to resolve the complaints. Effective responsiveness to complaints is an important means of
protection for the certification body, its clients and other users of certification against errors, omissions or
unreasonable behaviour. Confidence in certification activities is safeguarded when complaints are processed
appropriately.
NOTE An appropriate balance between the principles of openness and confidentiality, including responsiveness to
complaints, is necessary in order to demonstrate integrity and credibility to all users of certification.
5 General requirements
5.1 Legal and contractual matters
5.1.1 Legal responsibility
The certification body shall be a legal entity, or a defined part of a legal entity, such that it can be held legally
responsible for all its certification activities. A governmental certification body is deemed to be a legal entity on
the basis of its governmental status.
5.1.2 Certification agreement
The certification body shall have a legally enforceable agreement for the provision of certification activities to
its client. In addition, where there are multiple offices of a certification body or multiple sites of a client, the
certification body shall ensure there is a legally enforceable agreement between the certification body granting
certification and issuing a certificate, and all the sites covered by the scope of the certification.
5.1.3 Responsibility for certification decisions
The certification body shall be responsible for, and shall retain authority for, its decisions relating to
certification, including the granting, maintaining, renewing, extending, reducing, suspending and withdrawing
of certification.
5.2 Management of impartiality
5.2.1 The certification body shall have top management commitment to impartiality in management system
certification activities. The certification body shall have a publicly accessible statement that it understands the
importance of impartiality in carrying out its management system certification activities, manages conflict of
interest and ensures the objectivity of its management system certification activities.
5.2.2 The certification body shall identify, analyse and document the possibilities for conflict of interests
arising from provision of certification including any conflicts arising from its relationships. Having relationships
does not necessarily present a certification body with a conflict of interest. However, if any relationship creates
a threat to impartiality, the certification body shall document and be able to demonstrate how it eliminates or
4 © ISO 2006 — All rights reserved

minimizes such threats. This information shall be made available to the committee specified in 6.2. The
demonstration shall cover all potential sources of conflict of interests that are identified, whether they arise
from within the certification body or from the activities of other persons, bodies or organizations.
NOTE A relationship that threatens the impartiality of the certification body can be based on ownership, governance,
management, personnel, shared resources, finances, contracts, marketing and payment of a sales commission or other
inducement for the referral of new clients, etc.
5.2.3 When a relationship poses an unacceptable threat to impartiality (such as a wholly owned subsidiary
of the certification body requesting certification from its parent), then certification shall not be provided.
NOTE See Note to 5.2.2.
5.2.4 A certification body shall not certify another certification body for its management system certification
activities.
NOTE See Note to 5.2.2.
5.2.5 The certification body and any part of the same legal entity shall not offer or provide management
system consultancy. This also applies to that part of government identified as the certification body.
5.2.6 The certification body and any part of the same legal entity shall not offer or provide internal audits to
its certified clients. The certification body shall not certify a management system on which it provided internal
audits within two years following the end of the internal audits. This also applies to that part of government
identified as the certification body.
NOTE See Note to 5.2.2.
5.2.7 The certification body shall not certify a management system on which a client has received
management system consultancy or internal audits, where the relationship between the consultancy
organization and the certification body poses an unacceptable threat to the impartiality of the certification body.
NOTE 1 Allowing a minimum period of two years to elapse following the end of the management system consultancy is
one way of reducing the threat to impartiality to an acceptable level.
NOTE 2 See Note to 5.2.2.
5.2.8 The certification body shall not outsource audits to a management system consultancy organization,
as this poses an unacceptable threat to the impartiality of the certification body (see 7.5). This does not apply
to individuals contracted as auditors covered in 7.3.
5.2.9 The certification body's activities shall not be marketed or offered as linked with the activities of an
organization that provides management system consultancy. The certification body shall take action to correct
inappropriate claims by any consultancy organization stating or implying that certification would be simpler,
easier, faster or less expensive if the certification body were used. A certification body shall not state or imply
that certification would be simpler, easier, faster or less expensive if a specified consultancy organization were
used.
5.2.10 To ensure that there is no conflict of interests, personnel who have provided management system
consultancy, including those acting in a managerial capacity, shall not be used by the certification body to take
part in an audit or other certification activities if they have been involved in management system consultancy
towards the client in question within two years following the end of the consultancy.
5.2.11 The certification body shall take action to respond to any threats to its impartiality arising from the
actions of other persons, bodies or organizations.
5.2.12 All certification body personnel, either internal or external, or committees, who could influence the
certification activities, shall act impartially and shall not allow commercial, financial or other pressures to
compromise impartiality.
5.2.13 Certification bodies shall require personnel, internal and external, to reveal any situation known to
them that may present them or the certification body with a conflict of interests. Certification bodies shall use
this information as input to identifying threats to impartiality raised by the activities of such personnel or by the
organizations that employ them, and shall not use such personnel, internal or external, unless they can
demonstrate that there is no conflict of interests.
5.3 Liability and financing
5.3.1 The certification body shall be able to demonstrate that it has evaluated the risks arising from its
certification activities and that it has adequate arrangements (e.g. insurance or reserves) to cover liabilities
arising from its operations in each of its fields of activities and the geographic areas in which it operates.
5.3.2 The certification body shall evaluate its finances and sources of income and demonstrate to the
committee specified in 6.2 that initially, and on an ongoing basis, commercial, financial or other pressures do
not compromise its impartiality.
6 Structural requirements
6.1 Organizational structure and top management
6.1.1 The certification body shall document its organizational structure, showing duties, responsibilities and
authorities of management and other certification personnel and any committees. When the certification body
is a defined part of a legal entity, the structure shall include the line of authority and the relationship to other
parts within the same legal entity.
6.1.2 The certification body shall identify the top management (board, group of persons, or person) having
overall authority and responsibility for each of the following:
a) development of policies relating to the operation of the body;
b) supervision of the implementation of the policies and procedures;
c) supervision of the finances of the body;
d) development of management system certification services and schemes;
e) performance of audits and certification, and responsiveness to complaints;
f) decisions on certification;
g) delegation of authority to committees or individuals, as required, to undertake defined activities on its
behalf;
h) contractual arrangements;
i) provision of adequate resources for certification activities.
6.1.3 The certification body shall have formal rules for the appointment, terms of reference and operation of
any committees that are involved in the certification activities.
6.2 Committee for safeguarding impartiality
6.2.1 The structure of the certification body shall safeguard the impartiality of the activities of the
certification body and shall provide for a committee
a) to assist in developing the policies relating to impartiality of its certification activities,
6 © ISO 2006 — All rights reserved

b) to counteract any tendency on the part of a certification body to allow commercial or other considerations
to prevent the consistent objective provision of certification activities,
c) to advise on matters affecting confidence in certification, including openness and public perception, and
d) to conduct a review, as least once annually, of the impartiality of the audit, certification and decision-
making processes of the certification body.
Other tasks or duties may be assigned to the committee provided these additional tasks or duties do not
compromise its essential role of ensuring impartiality.
6.2.2 The composition, terms of reference, duties, authorities, competence of members and responsibilities
of this committee shall be formally documented and authorized by the top management of the certification
body to ensure
a) representation of a balance of interests such that no single interest predominates (internal or external
personnel of the certification body are considered to be a single interest, and shall not predominate),
b) access to all the information necessary to enable it to fulfil its functions (see also 5.2.2 and 5.3.2), and
c) that if the top management of the certification body does not respect the advice of this committee, the
committee shall have the right to take independent action (e.g. informing authorities, accreditation bodies,
stakeholders). In taking independent action, committees shall respect the confidentiality requirements of
8.5 relating to the client and certification body.
6.2.3 Although this committee cannot represent every interest, a certification body should identify and invite
key interests. Such interests may include: clients of the certification body, customers of organizations whose
management systems are certified, representatives of industry trade associations, representatives of
governmental regulatory bodies or other governmental services, or representatives of non-governmental
organizations, including consumer organizations.
7 Resource requirements
7.1 Competence of management and personnel
7.1.1 The certification body shall have processes to ensure that personnel have appropriate knowledge
relevant to the types of management systems and geographic areas in which it operates.
It shall determine the competence required for each technical area (as relevant for the specific certification
scheme), and for each function in the certification activity.
It shall determine the means for the demonstration of competence prior to carrying out specific functions.
7.1.2 In determining the competence requirements for its personnel performing certification, the certification
body shall address the functions undertaken by management and administrative personnel in addition to those
directly performing audit and certification activities.
7.1.3 The certification body shall have access to the necessary technical expertise for advice on matters
directly relating to certification for technical areas, types of management system and geographic areas in
which the certification body operates. Such advice may be provided externally or by certification body
personnel.
7.2 Personnel involved in the certification activities
7.2.1 The certification body shall have, as part of its own organization, personnel having sufficient
competence for managing the type and range of audit programmes and other certification work performed.
7.2.2 The certification body shall employ, or have access to, a sufficient number of auditors, including audit
team leaders, and technical experts to cover all of its activities and to handle the volume of audit work
performed.
7.2.3 The certification body shall make clear to each person concerned their duties, responsibilities and
authorities.
7.2.4 The certification body shall have defined processes for selecting, training, formally authorizing
auditors and for selecting technical experts used in the certification activity. The initial competence evaluation
of an auditor shall include a demonstration of applicable personal attributes and the ability to apply required
knowledge and skills during audits, as determined by a competent evaluator observing the auditor conducting
an audit.
7.2.5 The certification body shall have a process to achieve and demonstrate effective auditing, including
the use of auditors and audit team leaders possessing generic auditing skills and knowledge, as well as skills
and knowledge appropriate for auditing in specific technical areas. This process shall be defined in
documented requirements drawn up in accordance with the relevant guidance provided in ISO 19011.
7.2.6 The certification body shall ensure that auditors (and, where needed, technical experts) are
knowledgeable of its audit processes, certification requirements and other relevant requirements. The
certification body shall give auditors and technical experts access to an up-to-date set of documented
procedures giving audit instructions and all relevant information on the certification activities.
7.2.7 The certification body shall use auditors and technical experts only for those certification activities
where they have demonstrated competence.
NOTE Assignment of auditors and technical experts to teams for specific audits is addressed in 9.1.3.
7.2.8 The certification body shall identify training needs and shall offer or provide access to specific training
to ensure its auditors, technical experts and other personnel involved in certification activities are competent
for the functions they perform.
7.2.9 The group or individual that takes the decision on granting, maintaining, renewing, extending,
reducing, suspending or withdrawing certification shall understand the applicable standard and certification
requirements, and shall have demonstrated competence to evaluate the audit processes and related
recommendations of the audit team.
7.2.10 The certification body shall ensure the satisfactory performance of all personnel involved in the audit
and certification activities. There shall be documented procedures and criteria for monitoring and
measurement of the performance of all persons involved, based on the frequency of their usage and the level
of risk linked to their activities. In particular, the certification body shall review the competence of its personnel
in the light of their performance in order to identify training needs.
7.2.11 The documented monitoring procedures for auditors shall include a combination of on-site observation,
review of audit reports and feedback from clients or from the market and shall be defined in documented
requirements drawn up in accordance with the relevant guidance provided in ISO 19011. This monitoring shall
be designed in such a way as to minimize disturbance to the normal processes of certification, especially from
the client's viewpoint.
7.2.12 The certification body shall periodically observe the performance of each auditor on-site. The
frequency of on-site observations shall be based on need determined from all monitoring information available.
7.3 Use of individual external auditors and external technical experts
The certification body shall require external auditors and external technical experts to have a written
agreement by which they commit themselves to comply with applicable policies and procedures as defined by
the certification body. The agreement shall address aspects relating to confidentiality and to independence
from commercial and other interests, and shall require the external auditors and external technical experts to
8 © ISO 2006 — All rights reserved

notify the certification body of any existing or prior association with any organization they may be assigned to
audit.
NOTE Use of individual auditors and technical experts under such agreements does not constitute outsourcing as
described under 7.5.
7.4 Personnel records
The certification body shall maintain up-to-date personnel records, including relevant qualifications, training,
experience, affiliations, professional status, competence and any relevant consultancy services that may have
been provided. This includes management and administrative personnel in addition to those performing
certification activities.
7.5 Outsourcing
7.5.1 The certification body shall have a process in which it describes the conditions under which
outsourcing (which is subcontracting to another organization to provide part of the certification activities on
behalf of the certification body) may take place. The certification body shall have a legally enforceable
agreement covering the arrangements, including confidentiality and conflict of interests, with each body that
provides outsourced services.
NOTE 1 This can include outsourcing to other certification bodies. Use of auditors and technical experts under contract
is addressed in 7.3.
NOTE 2 For the purposes of this International Standard, the terms “outsourcing” and “subcontracting” are considered
to be synonyms.
7.5.2 Decisions for granting, maintaining, renewing, extending, reducing, suspending or withdrawing
certification shall never be outsourced.
7.5.3 The certification body
a) shall take responsibility for all activities outsourced to another body,
b) shall ensure that the body that provides outsourced services, and the individuals that it uses, conform to
requirements of the certification body and also to the applicable provisions of this International Standard,
including competence, impartiality and confidentiality, and
c) shall ensure that the body that provides outsourced services, and the individuals that it uses, is not
involved, either directly or through any other employer, with an organization to be audited, in such a way
that impartiality could be compromised.
7.5.4 The certification body shall have documented procedures for the qualification and monitoring of all
bodies that provide outsourced services used for certification activities, and shall ensure that records of the
competence of auditors and technical experts are maintained.
8 Information requirements
8.1 Publicly accessible information
8.1.1 The certification body shall maintain and make publicly accessible, or provide upon request,
information describing its audit processes and certification processes for granting, maintaining, extending,
renewing, reducing, suspending or withdrawing certification, and about the certification activities, types of
management systems and geographical areas in which it operates.
8.1.2 Information provided by the certification body to any client or to the marketplace, including advertising,
shall be accurate and not misleading.
8.1.3 The certification body shall make publicly accessible information about certifications granted,
suspended or withdrawn.
8.1.4 On request from any party, the certification body shall provide the means to confirm the validity of a
given certification.
NOTE 1 If the total information is split between several sources (e.g. in printed or electronic form or a combination of
both), a system ensuring traceability and absence of ambiguity between the sources can be implemented (e.g. unique
numbering system, or hyperlinks on Internet).
NOTE 2 In exceptional cases, access to certain information can be limited on the request of the client (e.g. for security
reasons).
8.2 Certification documents
8.2.1 The certification body shall provide certification documents to the certified client by any means it
chooses.
8.2.2 The effective date on a certification document shall not be before the date of the certification decision.
8.2.3 The certification document(s) shall identify the following:
a) the name and geographic location of each client whose management system is certified (or the
geographic location of the headquarters and any sites within the scope of a multi-site certification);
b) the dates of granting, extending or renewing certification;
c) the expiry date or recertification due date consistent with the recertification cycle;
d) a unique identification code;
e) the standard and/or other normative document, including issue number and/or revision, used for audit of
the certified client;
f) the scope of certification with respect to product (including service), process, etc., as applicable at each
site;
g) the name, address and certification mark of the certification body; other marks (e.g. accreditation symbol)
may be used provided they are not misleading or ambiguous;
h) any other information required by the standard and/or other normative document used for certification;
i) in the eve
...

NORMA ISO/IEC
INTERNACIONAL 17021
Traducción oficial
Primera edición
Official translation
2006-09-15
Traduction officielle
Evaluación de la conformidad —
Requisitos para los organismos que
realizan la auditoría y la certificación de
sistemas de gestión
Conformity assessment — Requirements for bodies providing audit and
certification of management systems
Évaluation de la conformité — Exigences pour les organismes
procédant à l'audit et à la certification de systèmes de management
Publicado por la Secretaría Central de ISO en Ginebra, Suiza, como
traducción oficial en español avalada por el Translation Management
Group, que ha certificado la conformidad en relación con las versiones
inglesa y francesa.
Número de referencia
(traducción oficial)
©
ISO 2006
PDF – Exoneración de responsabilidad
Este fichero PDF puede contener fuentes incrustadas. De acuerdo con las condiciones de licencia de Adobe, este fichero puede
imprimirse o visualizarse, pero no se debe editar a menos que el equipo informático empleado para ello tenga instaladas dichas
fuentes con su licencia correspondiente. Al descargar este fichero, las partes implicadas aceptan la responsabilidad de no infringir las
condiciones de licencia de Adobe. La Secretaría Central de ISO rehúsa cualquier responsabilidad sobre esta cuestión.
Adobe es una marca registrada de Adobe Systems Incorporated.
Los detalles relativos al software utilizado para crear este fichero PDF están disponibles en la sección Información general relativa al
mismo. Los parámetros de creación del PDF se han optimizado para la impresión. Se han adoptado todas las medidas para
garantizar que el fichero es apropiado para su uso por los organismos miembros de ISO. En el improbable caso de que se encuentre
un problema al respecto, sírvase comunicarlo a la Secretaría Central en la dirección indicada a continuación.

DOCUMENTO PROTEGIDO POR COPYRIGHT

© ISO 2006
Reservados los derechos de reproducción. Salvo prescripción diferente, no podrá reproducirse ni utilizarse ninguna parte de esta
publicación bajo ninguna forma y por ningún medio, electrónico o mecánico, incluidos el fotocopiado y la microfilmación, sin la
autorización por escrito recibida de ISO en la siguiente dirección o del organismo miembro de ISO en el país solicitante.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Versión española publicada en 2009
Publicado en Suiza
Traducción oficial/Official translation/Traduction officielle
ii © ISO 2006 — Todos los derecho reservados

Índice Página
Prólogo. iv
Prólogo de la versión en español . v
Introducción . vi
1 Objeto y campo de aplicación . 1
2 Referencias normativas. 1
3 Términos y definiciones. 2
4 Principios. 2
4.1 Generalidades. 2
4.2 Imparcialidad. 3
4.3 Competencia. 3
4.4 Responsabilidad. 3
4.5 Transparencia. 4
4.6 Confidencialidad. 4
4.7 Receptividad y respuesta oportuna a las quejas .4
5 Requisitos generales. 4
5.1 Asuntos legales y contractuales. 4
5.2 Gestión de la imparcialidad . 5
5.3 Responsabilidad legal y financiamiento . 6
6 Requisitos relativos a la estructura. 6
6.1 Estructura de la organización y alta dirección . 6
6.2 Comité para la preservación de la imparcialidad . 7
7 Requisitos relativos a los recursos . 8
7.1 Competencia de la dirección y del personal. 8
7.2 Personal que interviene en las actividades de certificación. 8
7.3 Empleo de auditores externos y expertos técnicos externos individuales. 9
7.4 Registros relativos al personal . 9
7.5 Contratación externa. 9
8 Requisitos relativos a la información. 10
8.1 Información accesible al público . 10
8.2 Documentos de certificación. 10
8.3 Lista de clientes certificados. 11
8.4 Referencia a la certificación y utilización de marcas. 11
8.5 Confidencialidad. 12
8.6 Intercambio de información entre el organismo de certificación y sus clientes. 13
9 Requisitos relativos a los procesos . 14
9.1 Requisitos generales. 14
9.2 Auditoría inicial y certificación. 16
9.3 Actividades de vigilancia . 19
9.4 Renovación de la certificación . 20
9.5 Auditorías especiales. 21
9.6 Suspender, retirar o reducir el alcance de la certificación . 21
9.7 Apelaciones. 22
9.8 Quejas. 22
9.9 Registros relativos a solicitantes y clientes . 23
10 Requisitos relativos al sistema de gestión de los organismos de certificación . 24
10.1 Opciones. 24
10.2 Opción 1: Requisitos del sistema de gestión de acuerdo con la Norma ISO 9001 . 24
10.3 Opción 2: Requisitos generales de sistemas de gestión . 25
Bibliografía . 28
Traducción oficial/Official translation/Traduction officielle
Prólogo
ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman el
sistema especializado para la normalización mundial. Los organismos nacionales que son miembros de ISO e
IEC participan en el desarrollo de las Normas Internacionales por medio de comités técnicos establecidos por
la organización respectiva, para atender campos particulares de la actividad técnica. Los comités técnicos de
ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales, públicas y privadas,
en coordinación con ISO e IEC, también participan en el trabajo. En el campo de la evaluación de la
conformidad, el comité de ISO para la evaluación de la conformidad (CASCO) es responsable del desarrollo
de Normas y Guías Internacionales.
Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las
Directivas ISO/IEC.
Los Proyectos de Normas Internacionales se envían a los organismos miembros para su votación. La
publicación como Norma Internacional requiere la aprobación por al menos el 75% de los organismos
nacionales con derecho a voto.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar
sujetos a derechos de patente. ISO e IEC no se hacen responsables de la identificación de dichos derechos
de patente.
La Norma Internacional ISO/IEC 17021 ha sido preparada por el Comité de ISO para la evaluación de la
conformidad (CASCO).
Fue circulada para su voto a los organismos nacionales tanto de ISO como de IEC, y fue aprobada por
ambas organizaciones.
Esta primera edición de la Norma ISO/IEC 17021 anula y sustituye a la Guía ISO/IEC 62:1996 y a la Guía
ISO/IEC 66:1999, que se han combinado y revisado técnicamente.
Traducción oficial/Official translation/Traduction officielle
iv © ISO 2006 — Todos los derechos reservados

Prólogo de la versión en español
Esta Norma Internacional ha sido traducida por el Grupo de Trabajo "Spanish Translation Working Group
STWG" del Comité Técnico ISO/CASCO, Comité para la evaluación de la conformidad, en el que participan
representantes de los organismos nacionales de normalización y representantes del sector empresarial de los
siguientes países:
Argentina, Bolivia, Brasil, Chile, Colombia, Costa Rica, Cuba, Ecuador, España, Estado Unidos de América,
México, Perú, República Dominicana, Uruguay y Venezuela.
Igualmente, en el citado Grupo de Trabajo participan representantes de COPANT (Comisión Panamericana
de Normas Técnicas) e IAAC (Cooperación Interamericana de Acreditación).
Esta traducción es parte del resultado del trabajo que el Grupo ISO/CASCO STWG viene desarrollando
desde su creación en el año 2002 para lograr la unificación de la terminología en lengua española en el
ámbito de la evaluación de la conformidad.
Traducción oficial/Official translation/Traduction officielle
Introducción
La certificación de un sistema de gestión, tal como el sistema de gestión de la calidad o el de gestión
ambiental de una organización, es una de las formas de asegurar que la organización ha implementado un
sistema para la gestión de los aspectos pertinentes de sus actividades, en línea con su política.
Esta Norma Internacional especifica requisitos para los organismos de certificación. El cumplimiento de estos
requisitos tiene por finalidad asegurar que los organismos de certificación realizan la certificación de los
sistemas de gestión de manera competente, coherente e imparcial, facilitando así el reconocimiento de
dichos organismos y la aceptación de sus certificaciones en el plano nacional e internacional. Esta Norma
Internacional sirve como base para facilitar el reconocimiento de la certificación de sistemas de gestión para
conveniencia del comercio internacional.
La certificación de un sistema de gestión proporciona una demostración independiente de que el sistema de
gestión de la organización:
a) cumple los requisitos especificados,
b) es capaz de lograr coherentemente su política y objetivos especificados, y
c) está implementado de manera eficaz.
La evaluación de la conformidad, como es el caso de la certificación de un sistema de gestión, aporta así
valor a la organización, sus clientes y partes interesadas.
El capítulo 4 de esta Norma Internacional describe los principios en los cuales se basa una certificación
creíble. Estos principios ayudan al lector a comprender la naturaleza esencial de la certificación y son una
introducción necesaria para los capítulos 5 a 10. Estos principios refuerzan todos los requisitos de esta
Norma Internacional, pero dichos principios no son auditables por sí mismos. El capítulo 10 describe dos
caminos alternativos para apoyar y demostrar la consecución coherente de los requisitos de esta Norma
Internacional a través del establecimiento de un sistema de gestión por el organismo de certificación.
Esta Norma Internacional está destinada a ser utilizada por los organismos que realizan la auditoría y la
certificación de sistemas de gestión. Establece requisitos genéricos para aquellos organismos de certificación
que realizan la auditoría y certificación en el campo de los sistemas de gestión de la calidad, de gestión
ambiental y de otro tipo. Estos organismos se denominan "organismos de certificación". Esta denominación
no debería ser un obstáculo para que organismos que se denominan de otra forma, que se ocupan de las
actividades cubiertas por el alcance de este documento, utilicen esta Norma Internacional.
Las actividades de certificación involucran la auditoría del sistema de gestión de una organización. La manera
de atestar la conformidad del sistema de gestión de una organización con una norma de sistema de gestión
específica u otros requisitos normativos, presenta generalmente la forma de un documento de certificación o
un certificado.
Traducción oficial/Official translation/Traduction officielle
vi © ISO 2006 — Todos los derechos reservados

NORMA INTERNACIONAL ISO/IEC 17021:2006 (traducción oficial)

Evaluación de la conformidad — Requisitos para los organismos
que realizan la auditoría y certificación de sistemas de gestión
1 Objeto y campo de aplicación
Esta Norma Internacional contiene principios y requisitos relativos a la competencia, coherencia e
imparcialidad de la auditoría y la certificación de sistemas de gestión de todo tipo (por ejemplo, sistemas de
gestión de la calidad o sistemas de gestión ambiental) y relativos a los organismos que proporcionan estas
actividades. Los organismos de certificación que trabajan de acuerdo con esta Norma Internacional no
necesitan ofrecer todos los tipos de certificación de sistemas de gestión.
La certificación de sistemas de gestión (denominada “certificación” en esta Norma Internacional) es una
actividad de evaluación de la conformidad de tercera parte (véase el apartado 5.5 de la Norma
ISO/IEC 17000:2004). Los organismos que realizan esta actividad son, por lo tanto, organismos de
evaluación de la conformidad de tercera parte (denominados “organismos de certificación” en esta Norma
Internacional).
NOTA 1 La certificación de un sistema de gestión a veces también se denomina “registro”, y a los organismos de
certificación a veces se les denomina “registradores”.
NOTA 2 Un organismo de certificación puede ser gubernamental o no gubernamental (con o sin autoridad de
reglamentación).
NOTA 3 Esta Norma Internacional puede ser utilizada como un documento de criterio para la acreditación o evaluación
entre pares u otros procesos de auditoría.
2 Referencias normativas
Los documentos de referencia que a continuación se indican son indispensables para la aplicación de esta
norma. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha se
aplica la última edición del documento de referencia (incluyendo cualquier modificación de ésta).
ISO 9000:2005, Sistemas de gestión de la calidad — Fundamentos y vocabulario
1)
ISO 19011:2002, Directrices para la auditoría de sistemas de gestión de la calidad y/o ambiental
ISO/IEC 17000:2004, Evaluación de la conformidad — Vocabulario y principios generales

1) Las referencias en este documento a la correspondiente orientación en la Norma ISO 19011 se aplican a la auditoría
de cualquier otro tipo de sistema de gestión.
Traducción oficial/Official translation/Traduction officielle
3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones dados en las Normas ISO 9000,
ISO/IEC 17000 y los siguientes.
3.1
cliente certificado
organización cuyo sistema de gestión ha sido certificado
3.2
imparcialidad
presencia real y percibida de objetividad
NOTA 1 Objetividad significa que no existen conflictos de intereses o que éstos son resueltos sin que afecten de forma
adversa a las actividades subsiguientes del organismo de certificación.
NOTA 2 Otros términos que sirven para transmitir el elemento de la imparcialidad son: objetividad, independencia,
ausencia de conflictos de intereses, ausencia de sesgos, carencia de prejuicios, neutralidad, honradez, actitud abierta,
ecuanimidad, actitud desinteresada, equilibrio.
3.3
consultoría de sistemas de gestión
participación en el diseño, la implementación o el mantenimiento de un sistema de gestión
EJEMPLOS
a) preparar o elaborar manuales o procedimientos, y
b) asesorar, dar instrucciones o soluciones específicas para el desarrollo e implementación de un sistema de gestión.
NOTA Organizar cursos de formación y participar como instructor no se considera consultoría siempre que, cuando
estos cursos se refieran a sistemas de gestión o auditorías, se limiten a proporcionar información general que esté disponible
públicamente; es decir, que es conveniente que el instructor no proporcione soluciones específicas a una empresa.
4 Principios
4.1 Generalidades
4.1.1 Estos principios constituyen la base para los requisitos específicos, descriptivos y de que se describen
más adelante en esta Norma Internacional. Esta Norma Internacional no fija requisitos específicos para todas
las situaciones posibles. Es conveniente considerar a estos principios como orientaciones para tomar
decisiones ante situaciones imprevistas. Los principios no son requisitos.
4.1.2 La certificación tiene por objetivo general dar confianza a todas las partes de que un sistema de
gestión cumple los requisitos especificados. El valor de la certificación reside en el grado de confianza y fe
pública que se logra con una evaluación imparcial y competente por una tercera parte. Las partes que tienen
un interés en la certificación son las siguientes, si bien no se limitan sólo a éstas:
a) los clientes de los organismos de certificación,
b) los clientes de las organizaciones cuyos sistemas de gestión están certificados,
c) las autoridades gubernamentales,
d) las organizaciones no gubernamentales, y
e) los consumidores y otros miembros del público en general.
Traducción oficial/Official translation/Traduction officielle
2 © ISO 2006 — Todos los derechos reservados

4.1.3 Los principios para inspirar confianza incluyen:
⎯ la imparcialidad,
⎯ la competencia,
⎯ la responsabilidad,
⎯ la transparencia,
⎯ la confidencialidad, y
⎯ la receptividad y respuesta oportuna a las quejas.
4.2 Imparcialidad
4.2.1 Ser imparcial, y ser percibido como imparcial, es necesario para que un organismo de certificación
proporcione una certificación que inspire confianza.
4.2.2 Se reconoce que la fuente de ingresos de un organismo de certificación proviene de su cliente que
paga por la certificación, y ello constituye una amenaza potencial a la imparcialidad.
4.2.3 Con el fin de inspirar confianza y mantenerla, es esencial que las decisiones de un organismo de
certificación estén basadas en evidencias objetivas de conformidad (o de no conformidad) obtenidas por él, y
que sus decisiones no estén influidas por otros intereses u otras partes.
4.2.4 Las amenazas a la imparcialidad incluyen las siguientes:
a) Los intereses personales: surgen cuando una persona o un organismo actúa en su propio interés. Tener
intereses financieros personales es una amenaza susceptible de comprometer la imparcialidad de una
certificación.
b) La autorrevisión: surgen cuando una persona o un organismo revisa el trabajo hecho por él mismo. La
auditoría de los sistemas de gestión de un cliente al cual el organismo de certificación ha proporcionado
servicios de consultoría relativos a sistemas de gestión constituye una amenaza de este tipo.
c) La familiaridad (o confianza): surgen cuando una persona o un organismo tiene una relación de excesiva
familiaridad o confianza con otra persona y por eso no busca evidencias de auditoría.
d) La intimidación: surgen cuando una persona o un organismo tiene la percepción de sufrir coacción abierta o
encubiertamente, por ejemplo, la amenaza de ser reemplazado, o ser denunciado a un supervisor.
4.3 Competencia
La competencia del personal, apoyada por el sistema de gestión del organismo de certificación, es necesaria
para que el organismo de certificación proporcione una certificación que dé confianza. La competencia es la
aptitud demostrada para aplicar los conocimientos y habilidades.
4.4 Responsabilidad
4.4.1 La organización cliente, y no el organismo de certificación, es responsable de la conformidad con los
requisitos de la certificación.
4.4.2 El organismo de certificación es responsable de evaluar suficiente evidencia objetiva para
fundamentar su decisión sobre la certificación. Basado en las conclusiones de la auditoría, toma una decisión
para otorgar la certificación si hay suficiente evidencia de la conformidad, o para no otorgarla si no hay
suficiente evidencia de la conformidad.
NOTA Toda auditoría se basa en un muestreo dentro del sistema de gestión de una organización y, por ello, no es
una garantía de la conformidad al 100 % con los requisitos.
Traducción oficial/Official translation/Traduction officielle
4.5 Transparencia
4.5.1 El organismo de certificación necesita proporcionar acceso público, o revelar la información apropiada
y oportuna sobre sus procesos de auditoría y certificación, y sobre el estado de la certificación (es decir, si se
otorga, se amplía, se mantiene, se renueva, se suspende, se reduce el alcance, o se retira la certificación) de
cualquier organización, con el fin de inspirar confianza en la integridad y la credibilidad de la certificación. La
transparencia es un principio de acceso a, o revelación de, la información apropiada.
4.5.2 Para lograr o mantener la confianza en la certificación, un organismo de certificación debería
proporcionar el apropiado acceso a, o revelar a partes interesadas específicas, información no confidencial
sobre las conclusiones de auditorías específicas (por ejemplo, auditorías en respuesta a quejas).
4.6 Confidencialidad
Con el fin de obtener acceso privilegiado a la información necesaria para que el organismo de certificación
evalúe adecuadamente la conformidad con los requisitos para la certificación, es esencial que el organismo
de certificación mantenga la confidencialidad de toda la información privada relativa al cliente.
4.7 Receptividad y respuesta oportuna a las quejas
Las partes que confían en la certificación esperan que las quejas sean investigadas y, si son válidas,
deberían confiar en que serán tratadas adecuadamente y que se hará un esfuerzo razonable para resolverlas.
La receptividad y respuesta oportuna y eficaz a las quejas, es un medio importante para proteger al
organismo de certificación, sus clientes y a otros usuarios contra los errores, omisiones o comportamientos
no razonables. La confianza en las actividades de certificación está salvaguardada cuando las quejas se
tratan apropiadamente.
NOTA Es necesario un equilibrio apropiado entre los principios de transparencia y confidencialidad, incluyendo la
receptividad y respuesta oportuna a las quejas, con el fin de demostrar integridad y credibilidad a todos los usuarios de la
certificación.
5 Requisitos generales
5.1 Asuntos legales y contractuales
5.1.1 Responsabilidad legal
El organismo de certificación debe ser una entidad legal, o una parte definida de una entidad legal, de
manera que pueda ser considerado legalmente responsable de todas sus actividades de certificación. Se
considera que un organismo de certificación gubernamental es una entidad legal basándose en su estatus
gubernamental.
5.1.2 Acuerdo de certificación
El organismo de certificación debe tener un acuerdo legalmente ejecutable para proporcionar actividades de
certificación a su cliente. Además, cuando existan varias oficinas de un organismo de certificación o varias
sedes de un cliente, el organismo de certificación debe asegurarse de que exista un acuerdo legalmente
ejecutable, entre el organismo de certificación que otorga la certificación y emite un certificado, y todas las
sedes cubiertas por el alcance de la certificación.
5.1.3 Responsabilidad por las decisiones de certificación
El organismo de certificación debe ser responsable de, y conservar la autoridad de sus decisiones
concernientes a la certificación, incluyendo las de otorgar, mantener, renovar, ampliar, reducir, suspender y
cancelar la certificación.
Traducción oficial/Official translation/Traduction officielle
4 © ISO 2006 — Todos los derechos reservados

5.2 Gestión de la imparcialidad
5.2.1 La alta dirección del organismo de certificación debe ejercer sus actividades de certificación de
sistemas de gestión con total imparcialidad. El organismo de certificación debe tener una declaración,
accesible al público, por la cual reconoce la importancia de la imparcialidad en la realización de sus
actividades de certificación de sistemas de gestión, gestiona los conflictos de interés y asegura la objetividad
de sus actividades de certificación de sistemas de gestión.
5.2.2 El organismo de certificación debe identificar, analizar y documentar los posibles conflictos de
intereses que surjan de otorgar la certificación, incluyendo cualquier conflicto proveniente de sus relaciones.
Tener relaciones no implica necesariamente un conflicto de intereses para el organismo de certificación. Sin
embargo, si una relación supone una amenaza a la imparcialidad, el organismo de certificación debe
documentar y ser capaz de demostrar cómo elimina o minimiza dichas amenazas. Esta información debe
estar disponible para el comité especificado en el apartado 6.2. La demostración debe cubrir todas las
fuentes potenciales de conflicto de intereses identificadas, bien surjan del organismo de certificación o de las
actividades de otras personas, organismos u organizaciones.
NOTA Una relación que amenace la imparcialidad del organismo de certificación puede basarse en factores tales como
la propiedad, la estructura directiva, la gestión, el personal, los recursos compartidos, la situación financiera, los contratos, la
comercialización y el pago de una comisión sobre las ventas u otro incentivo concerniente a nuevos clientes, etc.
5.2.3 Cuando una relación represente una amenaza inaceptable a la imparcialidad, (tal como una filial que
es propiedad exclusiva del organismo de certificación, que solicita la certificación a su casa matriz), no se
debe proporcionar la certificación.
NOTA Véase la nota del apartado 5.2.2.
5.2.4 Un organismo de certificación no debe certificar las actividades de certificación de sistemas de gestión
de otro organismo de certificación.
NOTA Véase la nota del apartado 5.2.2.
5.2.5 El organismo de certificación y cualquier parte de la misma entidad legal no debe ofrecer ni
proporcionar consultoría en materia de sistemas de gestión. Esto también aplica a aquella parte del gobierno
identificada como organismo de certificación.
5.2.6 El organismo de certificación y cualquier parte de la misma entidad legal no debe ofrecer ni
proporcionar auditorías internas a sus clientes certificados. El organismo de certificación no debe certificar un
sistema de gestión al cual ha proporcionado auditorías internas hasta dos años después de la finalización de
las auditorías internas. Esto también aplica a aquella parte del gobierno identificada como el organismo de
certificación.
NOTA Véase la nota del apartado 5.2.2.
5.2.7 El organismo de certificación no debe certificar el sistema de gestión de un cliente que haya recibido
una consultoría en materia de sistemas de gestión o auditorías internas cuando la relación entre la
organización consultora y el organismo de certificación represente una amenaza inaceptable a la
imparcialidad del organismo de certificación.
NOTA 1 Una de las maneras de reducir la amenaza a la imparcialidad hasta un nivel aceptable consiste en dejar
pasar un periodo mínimo de dos años, después de finalizada la consultoría del sistema de gestión.
NOTA 2 Véase la nota del apartado 5.2.2.
5.2.8 El organismo de certificación no debe contratar externamente las auditorías a una organización
consultora en materia de sistemas de gestión, ya que ello constituye una amenaza inaceptable a la
imparcialidad del organismo de certificación (véase el apartado 7.5). Esto no aplica a las personas que se
contratan como auditores, a las que se aplica el apartado 7.3.
Traducción oficial/Official translation/Traduction officielle
5.2.9 Las actividades del organismo de certificación no se deben comercializar u ofertar como que están
vinculadas con las actividades de un organismo consultor en materia de sistemas de gestión. El organismo
de certificación debe actuar para corregir las declaraciones inapropiadas de una organización consultora, que
indique o sugiera que la certificación sería más simple, fácil, rápida o menos onerosa si se recurriera al
organismo de certificación. Un organismo de certificación no debe declarar o sugerir que la certificación sería
más simple, fácil, rápida o menos onerosa si se recurriera a una determinada organización consultora.
5.2.10 Para asegurarse de que no hay conflicto de intereses, el organismo de certificación no debe emplear
personal que haya realizado una actividad de consultoría al sistema de gestión, incluidas las personas que
actúan a nivel directivo, para participar en una auditoría o en actividades de certificación, si han tomado parte
en actividades de consultoría de sistemas de gestión para el cliente en cuestión en los dos años posteriores a
la finalización de dicha consultoría.
5.2.11 El organismo de certificación debe tomar medidas para responder a cualquier amenaza a su
imparcialidad que provenga de las acciones de otras personas, organismos u organizaciones.
5.2.12 El personal del organismo de certificación, ya sea interno o externo, o los comités, que puedan influir
en las actividades de certificación, deben actuar de manera imparcial y no deben permitir que las presiones
comerciales, financieras u otras comprometan su imparcialidad.
5.2.13 Los organismos de certificación deben solicitar a su personal, tanto interno como externo, que le
revele cualquier situación de la que tengan conocimiento, que se pudiera presentar a dichas personas o al
organismo de certificación como un conflicto de intereses. Los organismos de certificación deben utilizar
dicha información como datos de entrada para identificar las amenazas a la imparcialidad que resultan de las
actividades de dicho personal o de las organizaciones que los emplean, y no deben recurrir a dicho personal,
ya sea interno o externo, salvo que puedan probar que no hay conflicto de intereses.
5.3 Responsabilidad legal y financiamiento
5.3.1 El organismo de certificación debe poder demostrar que ha evaluado los riesgos resultantes de sus
actividades de certificación y que ha tomado previsiones adecuadas (por ejemplo, un seguro o reservas) para
cubrir las responsabilidades legales resultantes de sus operaciones en cada uno de sus campos de actividad
y áreas geográficas en las que trabaja.
5.3.2 El organismo de certificación debe evaluar sus finanzas y sus fuentes de ingresos y debe demostrar al
comité especificado en el apartado 6.2que las presiones comerciales, financieras u otras no comprometen su
imparcialidad, tanto inicialmente como continuamente.
6 Requisitos relativos a la estructura
6.1 Estructura de la organización y alta dirección
6.1.1 El organismo de certificación debe documentar la estructura de su organización, mostrando los
deberes, las responsabilidades y la autoridad de la dirección y demás personal de certificación y de cualquier
comité. Cuando el organismo de certificación es una parte definida de una entidad legal, la estructura debe
incluir la autoridad jerárquica y la relación con las otras partes de la misma entidad legal.
6.1.2 El organismo de certificación debe identificar a la alta dirección (comité directivo, grupo de personas o
persona) quien tiene la autoridad y responsabilidad total por cada uno de los puntos siguientes:
a) el desarrollo de políticas relativas al funcionamiento del organismo;
b) la supervisión de la implementación de las políticas y los procedimientos;
c) la supervisión de las finanzas del organismo;
d) el desarrollo de servicios y esquemas de certificación de sistemas de gestión;
Traducción oficial/Official translation/Traduction officielle
6 © ISO 2006 — Todos los derechos reservados

e) la realización de auditorías y certificación, y la receptividad y respuesta oportuna a las quejas;
f) las decisiones relativas a la certificación;
g) la delegación de autoridad en comités o personas, según el caso, para llevar a cabo en su nombre
actividades definidas;
h) los acuerdos contractuales;
i) la provisión de recursos apropiados para las actividades de certificación.
6.1.3 El organismo de certificación debe tener reglas formales para la designación, los términos de
referencia y el funcionamiento de todos los comités involucrados en las actividades de certificación.
6.2 Comité para la preservación de la imparcialidad
6.2.1 La estructura del organismo de certificación debe preservar la imparcialidad de sus actividades y
proporcionar un comité para:
a) ayudar a elaborar las políticas relativas a la imparcialidad de sus actividades de certificación,
b) contrarrestar toda tendencia de un organismo de certificación a permitir que consideraciones comerciales
o de otro tipo impidan la prestación objetiva y coherente de las actividades de certificación,
c) asesorar sobre temas que afecten a la confianza en la certificación, incluida la transparencia y la
percepción del público, y
d) realizar una revisión, al menos una vez al año, de la imparcialidad de los procesos de auditoría,
certificación y toma de decisiones del organismo de certificación.
Otras tareas o deberes pueden ser asignados al comité, siempre que estas tareas o deberes adicionales no
comprometan su papel esencial de asegurar la imparcialidad.
6.2.2 La composición, los términos de referencia, los deberes, la autoridad, la competencia de los miembros
y las responsabilidades de dicho comité deben documentarse formalmente y la alta dirección del organismo
de certificación debe autorizarlos con el fin de garantizar:
a) la representación de un equilibrio de intereses, de manera que no predomine un interés único (se
considera que el personal interno o externo, del organismo de certificación representa un único interés, y
no debe predominar),
b) el acceso a toda la información necesaria para permitir al comité cumplir sus funciones (véanse también
los apartados 5.2.2 y 5.3.2), y
c) que, si la alta dirección del organismo de certificación no tiene en cuenta las recomendaciones de dicho
comité, el comité tiene derecho a actuar de forma independiente (por ejemplo, informando a las
autoridades, a los organismos de acreditación y a las partes interesadas). Al emprender una acción
independiente, los comités deben respetar los requisitos de confidencialidad del apartado 8.5 relativos al
cliente y al organismo de certificación.
6.2.3 Si bien este comité no puede representar todos los intereses, es conveniente que un organismo de
certificación identifique e invite a representantes de los intereses clave. Dichos intereses pueden incluir: los
clientes del organismo de certificación, los clientes de las organizaciones cuyos sistemas de gestión se han
certificado, los representantes de las cámaras industriales, los representantes de organismos
gubernamentales de reglamentación u otros servicios gubernamentales, o los representantes de
organizaciones no gubernamentales, incluidas las organizaciones de consumidores.
Traducción oficial/Official translation/Traduction officielle
7 Requisitos relativos a los recursos
7.1 Competencia de la dirección y del personal
7.1.1 El organismo de certificación debe tener procesos que le aseguren que el personal tiene el
conocimiento apropiado relativo a los tipos de sistemas de gestión y áreas geográficas en que trabaja.
El organismo de certificación debe determinar la competencia requerida para cada área técnica (según
corresponda para el esquema de certificación específico), y para cada función en la actividad de certificación.
Éste debe determinar los medios para demostrar la competencia antes de que se lleven a cabo funciones
específicas.
7.1.2 En la determinación de los requisitos de competencia para el personal que lleva a cabo la certificación,
el organismo de certificación debe considerar las funciones asumidas por la dirección y el personal
administrativo, además de aquellas que llevan a cabo directamente las actividades de auditoría y de
certificación.
7.1.3 El organismo de certificación debe tener acceso a la experiencia y al conocimiento técnico necesario
para recibir asesoramiento sobre temas directamente vinculados a la certificación de las áreas técnicas, tipos
de sistema de gestión y áreas geográficas en las que trabaja. Tal asesoría puede ser proporcionada
externamente o por el personal del organismo de certificación.
7.2 Personal que interviene en las actividades de certificación
7.2.1 El organismo de certificación debe emplear, en el marco de su propia organización, personal que
tenga la competencia suficiente para gestionar el tipo y la gama de programas de auditoría y otros trabajos de
certificación efectuados.
7.2.2 El organismo de certificación debe emplear, o tener acceso a un número suficiente de auditores,
incluidos líderes del equipo auditor, y a expertos técnicos para cubrir la totalidad de sus actividades y
gestionar el volumen de trabajo de auditoría efectuado.
7.2.3 El organismo de certificación debe explicar claramente a cada persona involucrada cuáles son sus
deberes, responsabilidades y autoridad.
7.2.4 El organismo de certificación debe tener procesos definidos que le permitan seleccionar, formar y
autorizar formalmente a los auditores, y seleccionar a los expertos técnicos, empleados en la actividad de
certificación. La evaluación inicial de las competencias de un auditor debe incluir una demostración de los
atributos personales aplicables y la capacidad para aplicar el conocimiento y las habilidades requeridas
durante las auditorías, determinadas por un evaluador competente observando al auditor realizando una
auditoría.
7.2.5 El organismo de certificación debe tener un proceso para lograr y demostrar que lleva a cabo
auditorías de forma eficaz, incluyendo el empleo de auditores y líderes de equipo auditor que tengan
habilidades y conocimientos genéricos de auditoría, así como habilidades y conocimientos apropiados para
realizar auditorías en áreas técnicas específicas. Este proceso debe estar definido en requisitos
documentados redactados de acuerdo con la orientación pertinente proporcionada en la Norma ISO 19011.
7.2.6 El organismo de certificación debe asegurarse de que los auditores (y, cuando sea necesario, los
expertos técnicos) son conocedores de sus procesos de auditoría, los requisitos de la certificación, y otros
requisitos pertinentes. El organismo de certificación debe permitir a los auditores y a los expertos técnicos
tener acceso a un conjunto de procedimientos documentados actualizados que contengan las instrucciones
para la auditoría y toda la información pertinente sobre las actividades de certificación.
7.2.7 El organismo de certificación debe emplear auditores y expertos técnicos únicamente para aquellas
actividades de certificación para las que han demostrado su competencia.
NOTA El apartado 9.1.3 trata la asignación de auditores y expertos técnicos a equipos auditores específicos.
Traducción oficial/Official translation/Traduction officielle
8 © ISO 2006 — Todos los derechos reservados

7.2.8 El organismo de certificación debe identificar las necesidades de formación y ofrecer o proporcionar
acceso a una formación específica, con el fin de que sus auditores, expertos técnicos y demás personal
involucrado en las actividades de certificación sean competentes para las actividades que realizan.
7.2.9 El grupo o la persona que toma la decisión de otorgar, mantener, renovar, ampliar, reducir, suspender
o retirar la certificación debe comprender la norma aplicable y los requisitos de certificación, y haber
demostrado competencia para evaluar los procesos de auditoría y las recomendaciones relacionadas del
equipo auditor.
7.2.10 El organismo de cert
...

NORME ISO/CEI
INTERNATIONALE 17021
Première édition
2006-09-15
Évaluation de la conformité — Exigences
pour les organismes procédant à l'audit
et à la certification de systèmes de
management
Conformity assessment — Requirements for bodies providing audit and
certification of management systems

Numéro de référence
ISO/CEI 17021:2006(F)
©
ISO 2006
ISO/CEI 17021:2006(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.

© ISO 2006
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2006 – Tous droits réservés

ISO/CEI 17021:2006(F)
Sommaire Page
Avant-propos. iv
Introduction . v
1 Domaine d'application.1
2 Références normatives .1
3 Termes et définitions.2
4 Principes.2
4.1 Généralités .2
4.2 Impartialité.3
4.3 Compétence .3
4.4 Responsabilité .3
4.5 Transparence .4
4.6 Confidentialité.4
4.7 Traitement des plaintes.4
5 Exigences générales .4
5.1 Domaine juridique et contractuel.4
5.2 Gestion de l'impartialité .5
5.3 Responsabilité et situation financière.6
6 Exigences structurelles .6
6.1 Organisation et direction .6
6.2 Comité pour la préservation de l'impartialité.7
7 Exigences relatives aux ressources.8
7.1 Compétence de la direction et du personnel.8
7.2 Personnel intervenant dans les activités de certification .8
7.3 Intervention d'auditeurs et d'experts techniques externes individuels.9
7.4 Enregistrements relatifs au personnel .9
7.5 Externalisation .9
8 Exigences relatives aux informations .10
8.1 Informations accessibles au public.10
8.2 Documents de certification.10
8.3 Répertoire des clients certifiés .11
8.4 Référence à la certification et utilisation des marques .11
8.5 Confidentialité.12
8.6 Échange d'informations entre l'organisme de certification et ses clients .13
9 Exigences relatives aux processus .14
9.1 Exigences générales .14
9.2 Évaluation et certification initiales.16
9.3 Activités de surveillance.18
9.4 Renouvellement de la certification .20
9.5 Audits particuliers .20
9.6 Suspension, retrait ou réduction du périmètre de la certification.21
9.7 Appels .21
9.8 Plaintes .22
9.9 Enregistrements relatifs aux demandeurs et aux clients.23
10 Exigences relatives au système de management des organismes de certification.24
10.1 Options .24
10.2 Option 1: Exigences relatives au système de management conformément à l'ISO 9001.24
10.3 Option 2: Exigences générales relatives au système de management .24
Bibliographie .28
ISO/CEI 17021:2006(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de la CEI participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les
comités techniques de l'ISO et de la CEI collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et la CEI
participent également aux travaux. Dans le domaine de l'évaluation de la conformité, le comité ISO pour
l'évaluation de la conformité (CASCO) est responsable du développement de Normes internationales et de
Guides.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
Les projets de Normes internationales sont soumis aux organismes nationaux pour vote. Leur publication
comme Normes internationales requiert l'approbation de 75 % au moins des organismes nationaux votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO/CEI 17021 a été élaborée par le comité ISO pour l'évaluation de la conformité (CASCO).
Le projet a été soumis aux organismes nationaux de l'ISO et de la CEI pour vote et a été approuvé par les
deux organisations.
Cette première édition de l'ISO/CEI 17021 annule et remplace le Guide ISO/CEI 62:1996 et le Guide
ISO/CEI 66:1999 qui ont été fusionnés et révisés techniquement.
iv © ISO 2006 – Tous droits réservés

ISO/CEI 17021:2006(F)
Introduction
La certification d'un système de management, tel qu'un système de management de la qualité ou de
management environnemental d'un organisme candidat, est l'un des moyens permettant d'assurer que
l'organisme a mis en application un système pour gérer des aspects relatifs à ses activités, conforme à sa
politique.
La présente Norme internationale spécifie des exigences applicables aux organismes de certification. Le
respect de ces exigences est destiné à assurer que ces organismes gèrent la certification de systèmes de
management avec compétence, et d'une façon cohérente et impartiale, facilitant ainsi la reconnaissance de
ces organismes et l'acceptation de leurs certifications sur les plans national et international. La présente
Norme internationale sert de base, dans l'intérêt du commerce international, à la reconnaissance de la
certification de systèmes de management.
La certification d'un système de management assure par une démonstration indépendante que le système de
management de l'organisme
a) est conforme aux exigences spécifiées,
b) est capable de réaliser de manière fiable la politique et les objectifs qu'il a déclarés, et
c) est mis en œuvre de manière efficace.
L'évaluation de la conformité, telle que la certification d'un système de management apporte une plus-value à
l'organisme, à ses clients et aux parties intéressées.
L'Article 4 de la présente Norme internationale décrit les principes assurant une certification crédible. Ces
principes facilitent la compréhension du lecteur quant à la nature essentielle de la certification. Ils constituent
une introduction nécessaire aux Articles 5 à 10. Ces principes représentent la trame de toutes les exigences
contenues dans la présente Norme internationale. Il faut noter que ces principes ne sont pas des exigences
auditables en tant que telles. L'Article 10 décrit deux alternatives pour soutenir et démontrer que l'organisme
de certification satisfait de manière fiable au respect des exigences de la présente Norme internationale au
moyen de la mise en place d'un système de management.
La présente Norme internationale est destinée à l'usage des organismes qui auditent et qui certifient des
systèmes de management. Elle présente des exigences génériques applicables aux organismes de
certification, procédant à l'audit et à la certification dans le domaine des systèmes de management de la
qualité, de management environnemental et autres. Ces organismes sont appelés «organismes de
certification». Il convient que ce libellé ne fasse pas obstacle à l'utilisation de la présente Norme internationale
par des organismes désignés différemment entreprenant des activités couvertes par le domaine d'application
décrit dans ce document.
La certification comprend l'audit du système de management d'un organisme. La manière d'attester la
conformité à une norme spécifique du système de management ou à d'autres exigences normatives prend
généralement la forme d'un document de certification ou d'un certificat.
NORME INTERNATIONALE ISO/CEI 17021:2006(F)

Évaluation de la conformité — Exigences pour les organismes
procédant à l'audit et à la certification de systèmes de
management
1 Domaine d'application
La présente Norme internationale spécifie les principes et les exigences relatifs à la compétence, à la
cohérence et à l'impartialité lors des audits et lors de la certification de systèmes de management de tous
types (par exemple systèmes de management de la qualité ou systèmes de management environnemental) et
relatives aux organismes fournissant cette activité. Les organismes de certification conformes à la présente
Norme internationale ne sont pas tenus de proposer tous les types de certification de système de
management.
La certification de systèmes de management (désignée dans la présente Norme internationale par
«certification») est une activité d'évaluation de la conformité par tierce partie (voir l'ISO/CEI 17000:2004, 5.5).
Les organismes exerçant cette activité sont par conséquent des organismes d'évaluation de la conformité par
tierce partie (désignés dans la présente Norme internationale «organisme(s) de certification»).
NOTE 1 La certification d'un système de management est parfois appelée «enregistrement», et les organismes de
certification sont parfois désignés par «organismes d'enregistrement».
NOTE 2 Un organisme de certification peut être gouvernemental ou non gouvernemental (avec ou sans pouvoir
réglementaire).
NOTE 3 La présente Norme internationale peut être utilisée comme référentiel pour l'accréditation, l'évaluation par des
pairs ou d'autres processus d'audit.
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence s'applique (y compris les éventuels amendements).
ISO 9000:2005, Systèmes de management de la qualité — Principes essentiels et vocabulaire
ISO 19011:2002, Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de
1)
management environnemental
ISO/CEI 17000:2004, Évaluation de la conformité — Vocabulaire et principes généraux

1) Les références dans la présente Norme internationale aux recommandations pertinentes de l'ISO 19011 s'appliquent
à l'audit de tous les autres types de système de management.
ISO/CEI 17021:2006(F)
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO 9000, dans
l'ISO/CEI 17000 et les suivants s'appliquent.
3.1
client certifié
organisme dont le système de management a été certifié
3.2
impartialité
existence réelle et perceptible d'objectivité
NOTE 1 L'objectivité implique soit l'absence de conflit d'intérêts soit de trouver une solution à ces conflits de manière à
ne pas porter préjudice aux activités ultérieures de l'organisme de certification.
NOTE 2 D'autres termes utiles utilisés pour véhiculer la notion d'impartialité sont les suivants: objectivité,
indépendance, absence de tout conflit d'intérêts, probité, non-discrimination, neutralité, justice, ouverture d'esprit, équité,
désintéressement, équilibre.
3.3
conseil en matière de système de management
contribution à l'élaboration, à la mise en œuvre ou à l’entretien d'un système de management
EXEMPLES
a) la préparation ou la production de manuels ou de procédures, et
b) la fourniture de conseils, d'instructions ou de solutions spécifiques en matière d'élaboration et de mise en application
d'un système de management.
NOTE Organiser des formations et y participer en tant que formateur ne relèvent pas des activités de conseil, à
condition de se limiter, lorsque les cours portent sur des systèmes de management ou des audits, à fournir des
informations et des conseils génériques disponibles dans le domaine public; c'est-à-dire qu'il convient de ne pas fournir de
solutions spécifiques à une entreprise.
4 Principes
4.1 Généralités
4.1.1 Ces principes servent de base pour cette prestation spécifique et les exigences décrites ci-après dans
la présente Norme internationale. La présente Norme internationale ne fournit pas d'exigences spécifiques
applicables à toutes les situations susceptibles de survenir. Il convient de considérer ces principes comme
des recommandations à appliquer en cas de décisions à prendre dans des situations imprévues. Ces
principes ne constituent pas des exigences.
4.1.2 La certification a pour objectif général de donner confiance à toutes les parties qu'un système de
management satisfait aux exigences spécifiées. La valeur de la certification est le degré de confiance du
public après qu'un système de management a été évalué de manière impartiale et compétente par une tierce
partie. Les parties qui trouvent un intérêt à la certification sont les suivantes (liste non exhaustive):
a) les clients des organismes de certification;
b) les clients des organismes dont les systèmes de management sont certifiés;
c) les pouvoirs publics;
d) les organismes non gouvernementaux; et
e) les consommateurs et le grand public.
2 © ISO 2006 – Tous droits réservés

ISO/CEI 17021:2006(F)
4.1.3 Les principes permettant de donner confiance comprennent
⎯ l'impartialité,
⎯ la compétence,
⎯ la responsabilité,
⎯ la transparence,
⎯ la confidentialité,
⎯ le traitement des plaintes.
4.2 Impartialité
4.2.1 Pour octroyer une certification qui donne confiance, un organisme de certification doit être impartial et
perçu comme tel.
4.2.2 Le fait que les revenus d'un organisme de certification proviennent de ses clients qui paient pour la
certification constitue une menace potentielle pour l'impartialité.
4.2.3 Pour gagner et maintenir la confiance, il est essentiel que les décisions d'un organisme de
certification soient fondées sur des preuves tangibles de conformité (ou de non-conformité) constatées par
l'organisme de certification, et que les décisions ne soient pas faussées par d'autres intérêts ou d'autres
parties.
4.2.4 Les menaces qui pèsent sur l'impartialité sont les suivantes:
a) les intérêts personnels: cette menace est due au fait qu'une personne ou une entité agisse dans son
propre intérêt. Son intérêt financier représente une menace susceptible de compromettre l'impartialité
d'une certification;
b) l'autoévaluation: cette menace est due au fait qu'une personne ou une entité évalue son propre travail.
Auditer les systèmes de management d'un client auquel l'organisme de certification a prodigué des
conseils en matière de système de management crée un risque dû à l'autoévaluation;
c) la familiarité (ou confiance): cette menace est due au fait d'entretenir une trop grande proximité
relationnelle ou de faire trop confiance aux personnes auditées plutôt que de rechercher des preuves lors
des audits;
d) l'intimidation: cette menace est due au fait qu'une personne ou une entité éprouve la sensation de subir
des pressions directes ou insidieuses, par exemple la menace d'être remplacée ou dénoncée à sa
hiérarchie.
4.3 Compétence
Pour octroyer une certification qui donne confiance, l'organisme de certification doit démontrer la compétence
de son personnel, soutenue par son système de management. La compétence est l'aptitude démontrée à
mettre en pratique des connaissances et un savoir-faire.
4.4 Responsabilité
4.4.1 C'est l'organisme client, et non l'organisme de certification, qui est responsable de la conformité aux
exigences de certification.
ISO/CEI 17021:2006(F)
4.4.2 L'organisme de certification est tenu de réaliser une évaluation suffisante des preuves tangibles sur
lesquelles est fondée la décision de certification. C'est sur la base des conclusions de l'audit et de l'existence
de preuves de conformité suffisantes qu'il prend la décision d'accorder ou de refuser la certification.
NOTE Tout audit est fondé sur un échantillonnage du système de management d'un organisme et de ce fait ne
garantit pas une conformité de 100 % aux exigences.
4.5 Transparence
4.5.1 Afin d'assurer la confiance dans l'intégrité et la crédibilité de la certification, un organisme de
certification doit assurer l'accessibilité ou la diffusion au public des informations appropriées et à jour relatives
à ses processus d'audit et de certification ainsi que sur le statut de la certification (c'est-à-dire l'octroi,
l'extension, le maintien, le renouvellement, la suspension, la réduction du périmètre certifié ou le retrait de la
certification) de tout organisme. La transparence est un principe fondé sur l'accessibilité ou la diffusion des
informations appropriées.
4.5.2 Afin de gagner ou de maintenir la confiance dans la certification, il convient qu'un organisme de
certification permette un accès aux parties intéressées ou fasse une diffusion appropriée des informations non
confidentielles sur les résultats d'audits spécifiques (par exemple audits déclenchés en réponse à des
plaintes).
4.6 Confidentialité
Afin d'obtenir l'accès privilégié aux informations qui lui sont nécessaires pour évaluer de manière appropriée
la conformité aux exigences de certification, il est essentiel que l'organisme de certification préserve la
confidentialité de toute information privée sur le client.
4.7 Traitement des plaintes
Les parties qui comptent sur la certification sont en droit de réclamer l'examen des plaintes et, si ces
dernières se révèlent acceptables, d’avoir confiance dans le fait que les plaintes seront traitées de manière
appropriée et qu'un effort adéquat sera consenti pour les résoudre. Un traitement efficace des plaintes
constitue un moyen important de protection de l'organisme de certification, de ses clients et autres utilisateurs
de certification contre tout type d'erreur, d'omission ou d'abus. La confiance dans les activités de certification
est préservée lorsque les plaintes sont traitées de manière appropriée.
NOTE Un équilibre approprié entre les principes de transparence et de confidentialité, y compris le traitement des
plaintes, est nécessaire pour démontrer son intégrité et sa crédibilité à tous les utilisateurs de certification.
5 Exigences générales
5.1 Domaine juridique et contractuel
5.1.1 Responsabilité juridique
L'organisme de certification doit être une entité juridique ou une partie définie d'une entité juridique de façon à
pouvoir être tenu juridiquement responsable de toutes ses activités de certification. Un organisme de
certification gouvernemental est considéré être une entité juridique sur la base de son statut gouvernemental.
5.1.2 Contrat de certification
Un organisme de certification doit disposer d'un contrat juridiquement exécutoire pour fournir des services de
certification à son client. En outre, lorsque l'organisme de certification a plusieurs bureaux ou que le client
certifié a plusieurs sites, l'organisme de certification doit assurer qu'il existe une relation contractuelle
juridiquement exécutoire entre l'organisme de certification octroyant la certification et délivrant le certificat et
tous les sites concernés par le domaine de la certification.
4 © ISO 2006 – Tous droits réservés

ISO/CEI 17021:2006(F)
5.1.3 Responsabilité en matière de décisions de certification
L'organisme de certification doit être responsable et conserver son autorité pour ses décisions en matière de
certification, y compris l'octroi, le maintien, le renouvellement, l'extension, la réduction, la suspension et le
retrait de la certification.
5.2 Gestion de l'impartialité
5.2.1 La direction de l'organisme de certification doit s'engager à exercer ses activités de certification de
systèmes de management en toute impartialité. L'organisme de certification doit rédiger une déclaration
accessible au public par laquelle il reconnaît l'importance de l'impartialité dans l'exercice de ses activités de
certification des systèmes de management, et qu'il assure la bonne gestion des conflits d'intérêts et
l'objectivité de ses activités de certification de systèmes de management.
5.2.2 L'organisme de certification doit identifier, analyser et documenter les conflits d'intérêts potentiels
résultant de la certification envisagée, y compris tous les conflits dus à ses propres relations. Entretenir des
relations n'implique pas nécessairement qu'un organisme de certification soit confronté à un conflit d'intérêts.
Cependant, si une relation compromet l'impartialité, l'organisme de certification doit apporter la preuve de la
manière dont il élimine ou limite ce risque au minimum. Ces informations doivent être tenues à disposition du
comité spécifié en 6.2, et doit couvrir toutes les sources potentielles de conflit d'intérêts identifiées, que ce soit
au sein de l'organisme de certification ou du fait des activités d'autres personnes, entités ou organismes.
NOTE Une relation qui compromet l'impartialité de l'organisme de certification peut résulter de facteurs tels que la
propriété, la gouvernance, la direction, le personnel, les ressources partagées, la situation financière, les contrats, la
commercialisation, le paiement de commissions sur les ventes ou autres incitations d'apporter de nouveaux clients, etc.
5.2.3 Lorsqu'une relation risque de compromettre l'impartialité de manière inacceptable (par exemple dans
le cas d'une filiale appartenant 100 % à l'organisme de certification demandant une certification de sa société
mère), la prestation de certification ne doit pas être fournie.
NOTE Voir Note de 5.2.2.
5.2.4 Un organisme de certification ne doit pas certifier les activités de certification de systèmes de
management d'un autre organisme de certification.
NOTE Voir Note de 5.2.2.
5.2.5 Un organisme de certification et toute autre partie de la même entité juridique ne doivent pas
proposer ou fournir des prestations de conseil en matière de système de management. Cela s'applique
également à une partie d'une entité gouvernementale identifiée comme organisme de certification.
5.2.6 Un organisme de certification et toute autre partie de la même entité juridique ne doivent pas
proposer ou fournir des prestations d'audits internes à des clients certifiés. Un organisme de certification ne
doit pas certifier un système de management pour lequel il a effectué des audits internes, et ce pendant une
durée de deux ans suivant la fin de la prestation. Cela s'applique également à une partie d'une entité
gouvernementale identifiée comme organisme de certification.
NOTE Voir Note de 5.2.2.
5.2.7 Un organisme de certification ne doit pas certifier le système de management d'un client ayant
bénéficié de conseils en matière de système de management ou d'audits internes pour le même système de
management, lorsque la relation qui existe entre l'organisme de conseil et l'organisme de certification
constitue une menace inacceptable au regard de l'impartialité de l'organisme de certification.
NOTE 1 L'un des moyens permettant de ramener la menace au regard de l'impartialité à un niveau acceptable
consiste à laisser passer une période minimale de deux ans après la fin de la prestation de conseil en matière de système
de management.
NOTE 2 Voir Note de 5.2.2.
ISO/CEI 17021:2006(F)
5.2.8 L'organisme de certification ne doit pas sous-traiter des audits à un organisme de conseil en matière
de système de management dans la mesure où ce fait constitue une menace inacceptable à l'impartialité de
l'organisme de certification (voir 7.5). Cela ne s'applique pas aux auditeurs individuels sous contrat tel que
spécifié en 7.3.
5.2.9 Les activités de l'organisme de certification ne doivent pas être présentées ou proposées comme
liées aux activités d'un organisme de conseil en matière de système de management. L'organisme de
certification doit prendre des mesures appropriées pour éviter qu'un organisme de conseil ne déclare ou ne
suggère que la certification serait plus simple, plus facile, plus rapide ou moins onéreuse si l'on faisait appel à
un organisme de certification donné. De même, un organisme de certification ne doit pas déclarer ou suggérer
que la certification serait plus simple, plus facile, plus rapide ou moins onéreuse si l'on faisait appel à un
organisme de conseil spécifié.
5.2.10 Pour garantir l'absence de conflit d'intérêts, le personnel s'étant chargé d'une activité de conseil, y
compris les personnes agissant dans une structure de direction, ne doit pas participer, pour le compte de
l'organisme de certification, à un audit ou à des activités de certification s'il a pris part à des activités de
conseil sur le même système de management vis-à-vis du client concerné dans les deux années qui suivent
la fin de l'activité de conseil.
5.2.11 L'organisme de certification doit prendre les mesures nécessaires lorsque son impartialité est
menacée par les actions d'individus, d'organismes ou d'organisations.
5.2.12 L'ensemble du personnel de l'organisme de certification, qu'il soit interne ou externe, et les comités
qui pourraient influencer les activités de certification, doivent agir de manière impartiale et être libres de toutes
pressions, commerciales, financières ou autres qui pourraient compromettre leur impartialité.
5.2.13 Les organismes de certification doivent exiger du personnel, qu'il soit interne ou externe, de leur
révéler toute situation dont il a connaissance et qui pourrait créer pour ces personnes ou pour l'organisme de
certification un conflit d'intérêts. Les organismes de certification doivent utiliser ces informations comme
données d'entrée pour identifier les menaces que font peser sur l'impartialité les activités de ce personnel ou
des organismes qui les emploient et ne doivent pas faire appel à ce personnel, qu'il soit interne ou externe,
sauf s'ils peuvent apporter la preuve qu'il n'y a pas de conflit d'intérêts.
5.3 Responsabilité et situation financière
5.3.1 L'organisme de certification doit apporter la preuve qu'il a évalué les risques significatifs résultant de
ses activités de certification et qu'il a pris les dispositions appropriées (par exemple assurance ou réserves)
pour couvrir les responsabilités résultant de ses opérations dans chacun de ses domaines d'activités et pour
chacune des zones géographiques où il opère.
5.3.2 L'organisme de certification doit évaluer sa situation financière et ses sources de revenus et doit
apporter la preuve au comité spécifié en 6.2 qu'il est libre, dès l'origine et par la suite, de toutes pressions
commerciales, financières ou autres susceptibles de compromettre son impartialité.
6 Exigences structurelles
6.1 Organisation et direction
6.1.1 L'organisme de certification doit documenter l'organisation, les devoirs, la responsabilité et l'autorité
de la direction et des autres membres du personnel de certification ainsi que de tous les comités. Lorsque
l'organisme de certification est une partie définie d'une entité juridique, la structure doit indiquer l'autorité
hiérarchique et la relation avec les autres parties au sein de la même entité juridique.
6 © ISO 2006 – Tous droits réservés

ISO/CEI 17021:2006(F)
6.1.2 L'organisme de certification doit identifier la direction (comité directeur, groupe de personnes ou
personne) ayant l'autorité globale et la responsabilité de chacun des points suivants:
a) l'élaboration de politiques relatives au fonctionnement de l'organisme;
b) la surveillance de la mise en œuvre des politiques et des procédures;
c) la surveillance de la situation financière de l'organisme;
d) le développement des prestations et programmes de certification de systèmes de management;
e) la réalisation des audits, certification et traitement des plaintes;
f) les décisions en matière de certification;
g) la délégation de l'autorité aux comités ou individus, lorsque nécessaire, chargés d'entreprendre en son
nom des activités définies;
h) les dispositions contractuelles;
i) la fourniture des ressources appropriées pour les activités de certification.
6.1.3 L'organisme de certification doit disposer de règles formelles régissant la désignation, les missions et
le fonctionnement de tous les comités engagés dans les activités de certification.
6.2 Comité pour la préservation de l'impartialité
6.2.1 La structure de l'organisme de certification doit préserver l'impartialité de ses activités et prévoir un
comité pour
a) l'aider à élaborer les politiques en termes d'impartialité de ses activités de certification,
b) contrebalancer toute tendance d'un organisme de certification à laisser des considérations commerciales
ou autres entraver la fourniture objective et fiable de la prestation de certification,
c) donner des conseils sur des sujets affectant la confiance dans la certification, y compris la transparence
et son image, et
d) effectuer une revue, au moins une fois par an, sur l'impartialité des processus d'audit, de certification et
de prise de décision qui lui sont propres.
D'autres tâches ou devoirs peuvent être confiés au comité, dès lors qu'ils ne compromettent pas son rôle
essentiel qui est de préserver son impartialité.
6.2.2 La composition, les missions, les devoirs, les pouvoirs, la compétence des membres et les
responsabilités de ce comité doivent être formellement documentés et avoir été validés par la direction de
l'organisme de certification afin de garantir
a) l'équilibre des intérêts représentés sans qu'aucun puisse prédominer (les employés internes ou externes
de l'organisme de certification sont considérés comme représentant un seul intérêt et ne doivent pas être
prédominants),
b) l'accès à toutes les informations nécessaires pour permettre au comité de remplir ses fonctions (voir
également 5.2.2 et 5.3.2), et
c) le droit du comité, si ses recommandations ne sont pas prises en compte par la direction de l'organisme
de certification, d'entreprendre une action indépendante (par exemple en informant les autorités, les
organismes d'accréditation et les parties prenantes). En entreprenant une action indépendante, les
comités doivent respecter les exigences de confidentialité stipulées en 8.5 relatives au client et à
l'organisme de certification.
ISO/CEI 17021:2006(F)
6.2.3 Bien que ce comité ne puisse représenter tous les intérêts, il convient qu'un organisme de certification
identifie et sollicite les intérêts essentiels. Ces intérêts peuvent comprendre les parties suivantes: les clients
de l'organisme de certification, les clients des organismes dont les systèmes de management sont certifiés,
les représentants des organismes professionnels du secteur, les représentants des organismes
gouvernementaux chargés de la réglementation ou autres services gouvernementaux, ou les représentants
d'organismes non gouvernementaux, y compris les organisations de consommateurs.
7 Exigences relatives aux ressources
7.1 Compétence de la direction et du personnel
7.1.1 L'organisme de certification doit disposer de processus lui garantissant que le personnel a une
connaissance appropriée des types de systèmes de management et des zones géographiques qui entrent
dans son périmètre d'action.
Il doit déterminer les compétences requises pour chaque secteur technique (correspondant au programme de
certification spécifique) et pour chaque fonction de certification.
Il doit déterminer les moyens de démontrer cette compétence avant d'exécuter des fonctions spécifiques.
7.1.2 En déterminant les exigences de compétence pour son personnel chargé des différentes activités de
certification, l'organisme de certification doit inclure des fonctions assumées par la direction et le personnel
administratif en plus de celles directement liées aux activités d'audit et de certification.
7.1.3 L'organisme de certification doit pouvoir faire appel à l'expertise technique nécessaire pour conseiller
sur des sujets relevant directement de la certification de domaines techniques, de types de système de
management et des zones géographiques qui entrent dans son périmètre d'action. Ces conseils peuvent être
prodigués par des personnes extérieures ou par le personnel de l'organisme de certification.
7.2 Personnel intervenant dans les activités de certification
7.2.1 L'organisme de certification doit, dans le cadre de sa propre organisation, employer un personnel
ayant les compétences suffisantes pour gérer le type et la gamme de programmes d'audit ainsi que les autres
tâches de certification effectués.
7.2.2 L'organisme de certification doit employer ou pouvoir faire appel à un nombre suffisant d'auditeurs, y
compris pour les responsables d'équipe d'audit et les experts techniques, pour couvrir la totalité de ses
activités et traiter le volume de travail représenté par les audits à effectuer.
7.2.3 L'organisme de certification doit définir clairement pour chaque personne concernée quels sont ses
devoirs, ses responsabilités et ses autorités.
7.2.4 L'organisme de certification doit disposer de processus définis lui permettant de sélectionner, former,
autoriser formellement les auditeurs et choisir les experts techniques auxquels il fait appel dans le processus
de certification. L'évaluation initiale des compétences d'un auditeur doit passer par une démonstration de ses
qualités personnelles et de sa capacité à mettre en œuvre, durant les audits, les connaissances et savoir-faire
nécessaires qui sont déterminées par un évaluateur compétent observant l'auditeur durant un audit.
7.2.5 L'organisme de certification doit disposer d'un processus pour obtenir et démontrer l'efficacité des
audits, comprenant le déploiement d’auditeurs et de responsables d'équipe d'audit ayant aussi bien des
compétences et connaissances génériques que des compétences et connaissances spécifiques nécessaires
pour auditer dans des domaines techniques particuliers. Ce processus doit être défini dans des exigences
documentées établies conformément aux recommandations décrites dans l'ISO 19011.
7.2.6 L'organisme de certification doit assurer que les auditeurs (et, le cas échéant, les experts techniques)
connaissent les processus d'audit, les exigences de la certification ainsi que les autres exigences applicables.
L'organisme de certification doit permettre aux auditeurs et aux experts techniques d'avoir accès à une
8 © ISO 2006 – Tous droits réservés

ISO/CEI 17021:2006(F)
collection de procédures documentées à jour donnant des instructions d'audit et toutes les informations
pertinentes sur les opérations de certification.
7.2.7 L'organisme de certification doit faire appel à des auditeurs et à des experts techniques uniquement
pour les activités de certification où ils ont fait la preuve de leurs compétences.
NOTE L'affectation des auditeurs et des experts techniques aux équipes chargées de réaliser des audits spécifiques
est traitée en 9.1.3.
7.2.8 L'organisme de certification doit identifier les besoins en formation et proposer des formations
spécifiques afin que ses auditeurs, experts techniques et autres personnes intervenant dans les activités de
certification aient les compétences requises pour les fonctions qu'ils exercent.
7.2.9 Le groupe ou la personne qui prend la décision de l'octroi, du maintien, du renouvellement, de
l'extension, de la réduction, de la suspension ou du retrait de la certification doit comprendre les exigences
applicables du fait de la norme et de la certification, et doit avoir démontré ses compétences pour évaluer les
processus d'audit et les recommandations correspondantes de l'équipe d'audit.
7.2.10 L'organisme de certification doit assurer des performances satisfaisantes de la part de tout le
personnel impliqué dans les activités d'audit et de certification. Il doit disposer de procédures documentées et
de critères de surveillance et de mesure des performances de toutes les personnes impliquées, en se fondant
sur la fréquence de leurs interventions et sur le niveau de risque lié à leurs activités. L'organisme de
certification doit notamment procéder à une revue de compétence de son personnel à la lumière de leurs
performances afin d'identifier les besoins de formation.
7.2.11 Les procédures documentées de surveillance des auditeurs doivent prévoir une combinaison
d'observations sur site, de revues des rapports d'audit et de retours d'information des clients ou du marché et
doivent être définies dans des exigences documentées établies en accord avec les recommandations décrites
dans l'ISO 19011. Cette surveillance doit être conçue de façon à perturber au minimum le déroulement
normal des processus de certification, notamment du point de vue du client.
7.2.12 L'organisme de certification doit observer régulièrement les performances de chaque auditeur sur site.
La fréquence des observations sur site doit être établie en fonction du besoin déterminé à partir de l'ensemble
des informations recueillies pendant le processus de surveillance.
7.3 Intervention d'auditeurs et d'experts techniques externes individuels
L'organisme de certification doit exiger des auditeurs et des experts techniques externes de signer un accord
aux termes duquel ils s'engagent à se conformer aux politiques et aux procédures applicables, définies par
l'organisme de certification. L'accord doit aborder les aspects liés à la confidentialité et à l'indépendance
vis-à-vis des d'intérêts commerciaux et autres, et exiger des auditeurs et experts techniques externes qu'ils lui
indiquent tout lien existant ou passé qu'ils entretiennent ou ont pu entretenir avec l'organisme qu'ils peuvent
être amenés à auditer.
NOTE L'intervention d'auditeurs et d'experts techniques liés par ce type d'accord ne constitue pas une
externalisation de l'audit, tel que décrit en 7.5.
7.4 Enregistrements relatifs a
...

МЕЖДУНАРОДНЫЙ ISO/IEC
СТАНДАРТ 17021
Первое издание
2006-09-15
Оценка соответствия. Требования к
органам, обеспечивающим аудит и
сертификацию систем менеджмента

Conformity assessment — Requirements for bodies providing audit and
certification of management systems

Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
©
ISO 2006
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или смотреть на экране, но его нельзя изменить, пока не будет получена
лицензия на интегрированные шрифты и они не будут установлены на компьютере, на котором ведется редактирование. В
случае загрузки настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение
лицензионных условий фирмы Adobe. Центральный секретариат ISO не несет никакой ответственности в этом отношении.
Adobe - торговый знак фирмы Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованным для создания настоящего файла PDF, можно найти в
рубрике General Info файла; параметры создания PDF были оптимизированы для печати. Были приняты во внимание все
меры предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами-членами
ISO. В редких случаях возникновения проблемы, связанной со сказанным выше, просьба проинформировать Центральный
секретариат по адресу, приведенному ниже.

ДОКУМЕН ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ

© ISO 2006
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO, которое должно быть получено после запроса о разрешении, направленного по
адресу, приведенному ниже, или в комитет-член ISO в стране запрашивающей стороны.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright @ iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2006 – Все права сохраняются

Содержание Страница
Предисловие .iv
Введение .v
1 Область применения .1
2 Нормативные ссылки .1
3 Термины и определения .1
4 Основные принципы .2
4.1 Общие положения .2
4.2 Беспристрастность .3
4.3 Компетентность .3
4.4 Ответственность.3
4.5 Открытость .4
4.6 Конфиденциальность.4
4.7 Реагирование на жалобы.4
5 Общие требования .4
5.1 Юридические и контрактные вопросы .4
5.2 Менеджмент беспристрастности.5
5.3 Обязательства и финансирование .6
6 Требования к структуре .7
6.1 Организационная структура и высшее руководство .7
6.2 Комитет по соблюдению беспристрастности.7
7 Требования к ресурсам .8
7.1 Компетентность менеджмента и персонала .8
7.2 Персонал, участвующий в работах по сертификации .8
7.3 Использование отдельных внешних аудиторов и внешних технических экспертов .10
7.4 Персональные данные.10
7.5 Аутсорсинг.10
8 Требования к информации.11
8.1 Общедоступная информация.11
8.2 Документы сертификации .11
8.3 Указатель сертифицированных клиентов.12
8.4 Ссылка на сертификацию и использование знаков .12
8.5 Конфиденциальность.13
8.6 Обмен информацией между органом сертификации и его клиентами .13
9 Требования к процессу .14
9.1 Общие требования .14
9.2 Первичный аудит и сертификация .17
9.3 Работы по инспекционному контролю .19
9.4 Повторная сертификация .20
9.5 Специальные аудиты .21
9.6 Приостановление, отзыв или сокращение объема сертификации.22
9.7 Апелляции.22
9.8 Жалобы.23
9.9 Регистрация организаций-заявителей и клиентов .24
10 Требования к системе менеджмента органов сертификации .25
10.1 Варианты.25
10.2 Вариант 1: Требования к системе менеджмента согласно ISO 9001 .25
10.3 Вариант 2: Общие требования к системе менеджмента.25
Библиография.30

Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в
этом комитете. Международные организации, правительственные и неправительственные, имеющие
связи с ISO, также принимают участие в работах. Что касается стандартизации в области
электротехники, то ISO работает в тесном сотрудничестве с Международной электротехнической
комиссией (IEC).
Проекты международных стандартов разрабатываются в соответствии с правилами Директив ISO/IEC,
Часть 2.
Проекты международных стандартов рассылаются комитетам-членам на голосование. Для
опубликования их в качестве международного стандарта требуется одобрение не менее 75 %
комитетов-членов, принимающих участие в голосовании.
Необходимо учитывать возможность, что некоторые элементы настоящего документа могут быть
объектом патентных прав. ISO не несет ответственность за определение каких-либо или всех таких
патентных прав.
Документ ISO/IEC 17021 был подготовлен Комитетом ISO по оценке соответствия (CASCO).
Данный документ был распространен для голосования среди национальных органов как ISO, так и IEC,
и получил одобрение в обеих организациях.
Настоящее первое издание ISO/IEC 17021 отменяет и заменяет Руководство ISO/IEC 62:1996 и
Руководство ISO/IEC 66:1999, которые были объединены и пересмотрены в техническом отношении.
iv © ISO 2006 – Все права сохраняются

Введение
Сертификация системы менеджмента, например системы менеджмента качества или окружающей
среды организации, представляет собой одно из средств обеспечения гарантии, что данная
организация внедрила систему менеджмента одного из аспектов своей работы в соответствии с
политикой организации в этой области.
Настоящий международный стандарт устанавливает требования к проводящим сертификацию
органам. Соблюдение этих требований предоставляет определенные гарантии, что сертификация
системы менеджмента выполнена компетентно, непротиворечивым и беспристрастным способом,
облегчая благодаря этому признание работы таких органов по сертификации и выдаваемых ими
сертификатов на национальном или интернациональном уровне. Настоящий международный стандарт
можно рассматривать как обоснование признания сертификации системы менеджмента в интересах
международной торговли.
Сертификация системы менеджмента позволяет предоставить независимые доказательства, что
система менеджмента организации
a) соответствует установленным требованиям,
c) постоянно способствует выполнению установленных целей и общей политики, и
b) эффективно выполняется.
Оценка соответствия, например сертификация системы менеджмента, имеет благодаря указанному
выше значение для организации, ее потребителей и заинтересованных сторон.
В Разделе 4 данного международного стандарта дано описание принципов, на которых основана
заслуживающая доверия сертификация. Эти принципы помогают читателю понять важнейшие
особенности сертификации и являются необходимыми предпосылками к Разделам 5 - 10.
Описываемые принципы поддерживают требования настоящего международного стандарта, но не
могут рассматриваться как отдельные подлежащие проверке условия. В Разделе 10 описаны два
альтернативных способа поддержки и подтверждения последовательного выполнения требований
настоящего международного стандарта в процессе разработки системы менеджмента органом по
сертификации.
Данный международный стандарт предназначен для применения органами, выполняющими аудит и
сертификацию систем менеджмента. В нем содержатся исходные требования к органам по
сертификации, проводящим аудит и сертификацию систем менеджмента в области качества,
окружающей среды и других типов систем. Такие органы называются органами сертификации. Такое
определение не должно служить препятствием для использования данного международного стандарта
организациями другого назначения, выполняющими работы, входящие в область применения данного
документа.
Работы по сертификации включают аудит системы менеджмента организации. Формой подтверждения
соответствия системы менеджмента организации конкретному стандарту по системам менеджмента
или другим нормативным требованиям обычно является документ или сертификат, подтверждающий
сертификацию.
МЕЖДУНАРОДНЫЙ СТАНДАРТ
Оценка соответствия. Требования к органам,
обеспечивающим аудит и сертификацию систем
менеджмента
1 Область применения
Настоящий международный стандарт содержит принципы и требования, относящиеся к
компетентности, непротиворечивости и беспристрастности аудита и сертификации систем
менеджмента всех типов (например систем менеджмента качества или менеджмента окружающей
среды), а также применяемые к организациям, выполняющим эти работы. Органы сертификации,
работающие в соответствии с настоящим международным стандартом, не обязательно должны
предлагать сертификацию всех видов систем менеджмента.
Сертификация систем менеджмента (называемая в данном международном стандарте
"сертификация"), представляет собой работу по оценке соответствия, выполняемую третьей стороной
(смотрите ISO/IEC 17000:2004, 5.5). Органы, выполняющие эти работы, называются в связи с этим
органами третьей стороны по оценке соответствия (именуемые в настоящем международном
стандарте как "орган/организация по сертификации").
ПРИМЕЧАНИЕ 1 Сертификацию системы менеджмента иногда также называют "регистрацией", а органы по
сертификации иногда именуются "регистрационными бюро".
ПРИМЕЧАНИЕ 2 Орган сертификации может быть правительственным или неправительственным (имеющим или
не имеющим регулятивные полномочия).
ПРИМЕЧАНИЕ 3 Настоящий международный стандарт можно использовать в качестве критериального
документа при аккредитации или экспертной оценке, или в других процессах аудита.
2 Нормативные ссылки
Следующие ниже ссылочные документы обязательны при применении данного документа. При
жестких ссылках используются только цитированные издания. При плавающих ссылках применяется
последнее издание ссылочного документа (включая все изменения).
ISO 9000:2005, Системы менеджмента качества. Основные положения и словарь
ISO 19011:2002, Руководящие указания по аудиту систем менеджмента качества и/или систем
1)
экологического менеджмента
ISO/IEC 17000:2004, Оценка соответствия. Словарь и общие принципы
3 Термины и определения
Для целей данного документа применяются термины и определения ISO 9000, ISO/IEC 17000 и
приведенные ниже.
1)
Ссылки в данном документе на соответствующее руководство в ISO 19011 применяются при аудите всех других
типов систем менеджмента.
3.1
имеющий сертификацию клиент
certified client
организация, система менеджмента которой сертифицирована
3.2
беспристрастность
impartiality
фактическое и осознаваемое наличие объективности
ПРИМЕЧАНИЕ 1 Объективность означает, что конфликты интересов либо отсутствуют, либо разрешаются таким
образом, что не оказывают неблагоприятное влияние на последующую деятельность органа сертификации.
ПРИМЕЧАНИЕ 2 Другие термины, полезные для выражения беспристрастности, следующие: объективность,
независимость, свобода от конфликтов интересов, отсутствие отклонений, отсутствие предубеждений,
нейтральность, честность, открытость, справедливость, отдаленность, уравновешенность.
3.3
консультирование системы менеджмента
management system consultancy
участие в разработке, внедрении или поддержании системы менеджмента
ПРИМЕРЫ
a) подготовка или разработка руководств или методик, и
b) предоставление конкретных советов, инструкций или решений по разработке и внедрению системы
менеджмента.
ПРИМЕЧАНИЕ Организация обучения и участие в качестве преподавателя не рассматривается как
консультация, если в тех случаях, когда курс обучения относится к системам менеджмента или проведению
аудита, он ограничивается предоставлением общей информации, которая свободно доступна для
общественности; т.е. в этих случаях преподаватель не должен указывать решения для конкретной компании.
4 Основные принципы
4.1 Общие положения
4.1.1 Основные принципы являются основой последующих конкретных характеристик и
описательных требований в данном международном стандарте. Международный стандарт не должен
устанавливать специальные требования для всех возможных ситуаций. Принципы стандарта следует
применять в качестве руководства при принятии решений, которые могут потребоваться в
непредвиденных ситуациях. Принципы не являются требованиями.
4.1.2 Общая цель сертификации состоит в создании уверенности всех принимающих участие
сторон, в том, что система менеджмента соответствует установленным требованиям. Ценность
сертификации состоит в достижении определенного уровня общественного доверия, которое
обеспечивается с помощью беспристрастной и компетентной оценки третьей стороны. Сертификация
представляет интерес для следующих сторон взаимоотношений, но не только для них
a) клиентов органов сертификации,
b) потребителей продукции организаций, система менеджмента которых подвергается сертификации,
c) органов государственной власти,
d) неправительственных организаций, и
e) потребителей и других членов общества.
2 © ISO 2006 – Все права сохраняются

4.1.3 Принципы, создающие доверие, включают следующее
 беспристрастность,
 компетентность,
 ответственность,
 открытость,
 конфиденциальность, и
 быстрота реагирования на жалобы.
4.2 Беспристрастность
4.2.1 Беспристрастность, и создание впечатления беспристрастности, являются необходимыми для
органа сертификации с точки зрения доверия к сертификации.
4.2.2 Общепризнано, что источником доходов органа сертификации является плата клиентов за
сертификацию, что представляет потенциальную угрозу для соблюдения принципа беспристрастности.
4.2.3 Для достижения и поддержания доверия важно, чтобы решения органа сертификации были
основаны на объективных свидетельствах соответствия (или несоответствия), полученных органом
сертификации, и чтобы на эти решения не оказывали влияние другие интересы или другие стороны.
4.2.4 Угрозами для выполнения условия беспристрастности является следующее.
a) Связанные с собственными интересами угрозы: угрозы со стороны лица или организации,
действующей в собственных интересах. Область интересов, представляющая угрозу для
сертификации, - это собственные финансовые интересы.
b) Угрозы, связанные с выполнением анализа собственных работ: эти угрозы возникают со стороны
лиц или организаций, выполняющих анализ выполенных ими самими работ. Аудит систем
менеджмента клиента, которого орган сертификации консультировал по системам менеджмента,
может создавать угрозы этого типа.
c) Связанные со знакомством (или доверием) угрозы: угрозы, возникающие со стороны лиц или
организаций, хорошо знакомых с другими лицами и доверяющих им вместо поиска объективных
данных при аудите.
d) Связанные с запугиванием угрозы: угрозы, возникающие со стороны лиц или организаций,
подвергающихся принуждению открыто или втайне, например путем угроз отстранения от
выполнения работ, или сообщения контрольным органам.
4.3 Компетентность
Компетентность персонала, поддерживаемая системой менеджмента органа сертификации, является
необходимым условием пользующейся доверием сертификации. Компетентность определяется
способностью применять знания и навыки.
4.4 Ответственность
4.4.1 Организация - клиент, не являющаяся органом сертификации, несет ответственность за
соблюдение условия соответствия требованиям сертификации.
4.4.2 Орган сертификации несет ответственность за оценку достаточно объективных свидетельств,
на основании которых принимается решение о сертификации. Исходя из заключений аудита, этот
орган принимает решение предоставить сертификацию, если имеются достаточные свидетельства
соответствия.
ПРИМЕЧАНИЕ Любой аудит основан на выборочной проверке системы менеджмента качества организации и,
следовательно, не может дать гарантию соответствия требованиям на 100 %.
4.5 Открытость
4.5.1 Орган сертификации должен предоставить публичный доступ к необходимой и своевременной
информации, или раскрыть ее, относительно своего процесса аудита и процесса сертификации, а
также относительно статуса сертификации (например предоставления, расширения, поддержания,
обновления, приостановления, уменьшения объема сертификации, или отзыва сертификации) любой
организации, в целях достижения доверия к надежности и достоверности сертификации. Открытость
представляет собой принцип доступа к необходимой информации, или ее раскрытия.
4.5.2 Для достижения или поддержания доверия к сертификации орган сертификации должен
предоставлять необходимый доступ к неконфиденциальной информации, касающейся решений в
конкретных случаях аудита (например аудита в случае жалоб), или раскрывать ее, для определенных
заинтересованных сторон.
4.6 Конфиденциальность
При получении привилегированного доступа к необходимой органу сертификации для правильной
оценки соотстветствия требованиям информации, важно, чтобы орган сертификации сохранял
конфиденциальность любой частной информации относительно клиента.
4.7 Реагирование на жалобы
Стороны, полагающиеся на сертификацию, ожидают получить исследование жалоб, и, если это
целесообразно, должны быть уверены, что жалобы будут направлены по правильному адресу, и что
будут предприняты достаточные усилия для принятия решений по этим жалобам. Эффективное
реагирование на жалобы является важным средством защиты органа сертификации, его клиентов и
других пользователей сертификации от ошибок, упущений или непредсказуемого поведения. Доверие
к сертификации сохраняется, когда работа с жалобами проводится эффективно.
ПРИМЕЧАНИЕ Правильный баланс между принципами открытости и конфиденциальности, включая
реагирование на жалобы, необходим в целях демонстрации надежности сертификации и повышения доверия к
ней всех пользователей сертификации.
5 Общие требования
5.1 Юридические и контрактные вопросы
5.1.1 Юридическая ответственность
Орган сертификации должен быть юридическим лицом или некоторой частью юридического лица,
такой, чтобы он мог нести ответственность за всю деятельность по сертификации. Правительственный
орган сертификации рассматривается как юридическое лицо исходя из его статуса правительственного
органа.
5.1.2 Соглашение о сертификации
Орган сертификации должен иметь юридически обязательное соглашение о проведении работ по
сертификации для своего клиента. Кроме того, когда имеется несколько отделений органа
сертификации или несколько отделений клиента, орган сертификации должен гарантировать
юридически обязательное соглашение между органом сертификации, предоставляющим
4 © ISO 2006 – Все права сохраняются

сертификацию и выпускающим сертификат, и всеми отделениями клиента, подлежащими
сертификации.
5.1.3 Ответственность за решения по сертификации
Орган сертификации должен иметь полномочия для принятия решений по сертификации и нести
ответственность за эти решения, включая предоставление, поддержание, обновление, расширение,
приостановление и отзыв сертификации.
5.2 Менеджмент беспристрастности
5.2.1 Высшее руководство органа сертификации должно принять обязательство соблюдать
беспристрастность при выполнении работ по сертификации. Орган сертификации должен выпустить
общедоступное заявление о важности соблюдения беспристрастности при проведении работ по
сертификации системы менеджмента, а также о том, что он стремится управлять конфликтами
интересов и гарантирует объективность сертификации систем менеджмента.
5.2.2 Орган сертификации должен идентифицировать, анализировать и документально
фиксировать все возможности конфликта интересов, возникающего при предоставлении
сертификации, включая связанные с взаимоотношениями конфликты. Наличие взаимоотношений не
обязательно создает условия конфликта интересов органа сертификации. Однако если какие-либо
взаимоотношения создают угрозу для соблюдения беспристрастности, орган сертификации должен
документально зафиксировать это и показать, каким образом этот конфликт может быть ликвидирован
или минимизирован. Эта информация должна быть предоставлена указанному в 6.2 комитету.
Демонстрация этих данных должна включать все идентифицированные потенциальные источники
конфликтов интересов, возникающих либо в рамках органа сертификации, либо в результате
деятельности других лиц, учреждений или организаций.
ПРИМЕЧАНИЕ Взаимосвязи, создающие угрозы соблюдению беспристрастности органом сертификации, могут
быть основаны на правах собственности, властных полномочиях, действиях руководства, персонала, разделении
ресурсов, вопросах финансов, контрактов, маркетинга и платежей комиссионных вознаграждений при продажах,
или других мотивах при привлечении новых клиентов, и т.д.
5.2.3 Когда взаимосвязи создают неприемлемую угрозу соблюдению беспристрастности (например
когда находящаяся в собственности органа сертификации дочерняя компания запрашивает
проведение сертификации от главной компании), выполнение сертификации не допускается.
ПРИМЕЧАНИЕ См. Примечание к 5.2.2.
5.2.4 Орган сертификации не должен выполнять сертификацию деятельности другого органа
сертификации в области сертификации систем менеджмента.
ПРИМЕЧАНИЕ См. Примечание к 5.2.2.
5.2.5 Орган сертификации и любая часть того же юридического лица не должны предлагать или
проводить консультации по системам менеджмента. Это также относится к части правительственного
органа, определяемой как орган сертификации.
5.2.6 Орган сертификации и любая другая часть того же юридического лица не должны предлагать
или предоставлять внутренние аудиты своим сертифицированным клиентам. Орган сертификации не
должен проводить сертификацию системы менеджмента, на которой он выполнял внутренние аудиты,
в течение двух лет после окончания выполнения внутренних аудитов. Это также относится к части
правительственного органа, определяемой как орган сертификации.
ПРИМЕЧАНИЕ См. Примечание к 5.2.2.
5.2.7 Орган сертификации не должен проводить сертификацию системы менеджмента, по которой
клиент получал консультацию в области систем менеджмента или внутренние аудиты, если
взаимосвязи между дававшей консультации организацией и органом сертификации создают
неприемлемые угрозы соблюдению беспристрастности органом сертификации.
ПРИМЕЧАНИЕ 1 Минимальный период в два года после окончания консультаций по системе менеджмента
является единственным способом снижения угрозы соблюдению беспристрастности до приемлемого уровня.
ПРИМЕЧАНИЕ См. Примечание к 5.2.2.
5.2.8 Орган сертификации не должен передавать выполнение аудитов организации, проводящей
консультации по системе менеджмента, поскольку это создает неприемлемую угрозу соблюдению
беспристрастности органом сертификации (см. 7.5). Это условие не применяется к отдельным лицам,
работавшим по контракту аудиторами согласно 7.3.
5.2.9 Работы органа сертификации не должны быть представлены на рынке или предлагаться во
взаимосвязи с работами организации, предоставляющей консультации по системам менеджмента.
Орган сертификации должен предпринимать действия по корректировке неприемлемых заявлений со
стороны предоставляющих консультации организаций, утверждающих, или подразумевающих, что
сертификация может быть упрощена, облегчена, ускорена или удешевлена, если будет использован
данный орган сертификации. Орган сертификации не должен утверждать или подразумевать, что
сертификация может быть упрощена, облегчена, ускорена или удешевлена, если будет использована
указанная предоставляющая консультации организация.
5.2.10 Для гарантирования отсутствия конфликта интересов персонал, дающий консультации по
системам менеджмента, включая работающий в должностях менеджера, не должен использоваться
органом сертификации для участия в аудите или других работах по сертификации, если они были
привлечены к консультациям по системам менеджмента для рассматриваемых клиентов, в течение
двух лет после окончания консультаций.
5.2.11 Орган сертификации должен предпринимать действия по реагированию на любые угрозы для
соблюдения беспристрастности, возникающие со стороны других лиц, органов или организаций.
5.2.12 Весь персонал органа сертификации, внутренний или внешний, или комитеты, которые могут
оказывать влияние на работы по сертификации, должны действовать беспристрастно и не должны
допускать нарушения условия беспристрастности по финансовым, коммерческим или другим
причинам.
5.2.13 Органы сертификации должны требовать от персонала, внутреннего или внешнего, раскрытия
любой ситуации, о которой известно, что она может создавать для них или органа сертификации
конфликты интересов. Органы сертификации должны использовать эту информацию в качестве
исходных данных при определении угроз для соблюдения беспристрастности, возникающих
вследствие работы этого персонала или организации, использующей этот персонал, и не должны
использовать этот персонал, внутренний или внешний, если он не может продемонстрировать
отсутствие конфликта интересов.
5.3 Обязательства и финансирование
5.3.1 Орган по сертификации должен быть способен показать, что он оценил риски, связанные с
работами по сертификации, и что он имеет достаточные средства (например страховки или резервы)
для выполнения обязательств, связанных с его работами в каждой из областей деятельности и
географических зонах работ.
5.3.2 Орган сертификации должен произвести оценку своих финансовых средств и источников
доходов, и показать указанному в 6.2 комитету, что первоначально, и в последующем, коммерческие,
финансовые или другие проблемы не могут повлиять на соблюдение беспристрастности.
6 © ISO 2006 – Все права сохраняются

6 Требования к структуре
6.1 Организационная структура и высшее руководство
6.1.1 Орган сертификации должен документально оформить свою организационную структуру,
показывающую распределение обязанностей, ответственности и полномочий руководства и другого
занимающегося сертификацией персонала, а также всех комитетов. Когда орган сертификации
представляет собой определенную часть юридического лица, его структура должна включать область
полномочий и взаимосвязи с другими частями того же юридического лица.
6.1.2 В органе сертификации должно быть определено высшее руководство (правление, группа лиц
или отдельное лицо), которым предоставлены все полномочия и ответственность по каждой из
следующих областей работы:
a) разработка общей политики работы органа;
b) контроль выполнения общей политики и процедур;
c) контроль финансов органа;
d) разработка услуг и схем сертификации системы менеджмента;
e) проведение аудитов и сертификации, реагирование на претензии;
f) решения по сертификации;
g) делегирование полномочий комитетам или отдельным лицам, если это необходимо, для
выполнения определенных работ под их ответственность;
h) контрактные соглашения;
i) обеспечение достаточных ресурсов для проведения работ по сертификации.
6.1.3 Орган сертификации должен иметь формальные правила назначения, определения области
компетентности и работы всех комитетов, принимающих участие в работах по сертификации.
6.2 Комитет по соблюдению беспристрастности
6.2.1 Структура органа сертификации должна поддерживать соблюдение беспристрастности
работы органа сертификации и предоставлять соответствующему комитету помощь в следующих
областях
a) по разработке политики в области соблюдения беспристрастности при выполнении сертификации,
b) по противодействию любым тенденциям со стороны части органа по сертификации, создающим по
коммерческим или другим причинам помехи при соблюдении условий постоянной объективности
работ по сертификации,
c) давать рекомендации по вопросам, влияющим на уровень доверия к сертификации, включая
вопросы открытости и публичного восприятия, и
d) по проведению анализа, не реже чем раз в год, соблюдения условий беспристрастности аудита,
сертификации и принятия решений.
На комитет могут быть возложены и другие задачи или обязанности, при условии, что эти
дополнительные задачи или обязанности не мешают выполнению его основной задачи по
поддержанию беспристрастности.
6.2.2 Состав, область компетентности, обязанности, полномочия, юрисдикция членов и
ответственность комитета должны быть формально документально оформлены и утверждены высшим
руководством органа сертификации в целях обеспечения следующего
a) поддержания баланса интересов таким образом, чтобы ни один отдельный интерес не
доминировал (внутренний или внешний персонал органа сертификации рассматривается как
представитель единого интереса, который не должен доминировать),
b) доступа ко всей информации, необходимой для выполнения его функций (см. также 5.2.2 и 5.2.3), и
c) выполнения условия, что если высшее руководство органа сертификации не считается с советами
этого комитета, комитет должен иметь право предпринять независимые действия (например
информирование властей, органов по аккредитации, заинтересованных сторон). При независимых
действиях комитеты должны принимать во внимание требования конфиденциальности в 8.5,
относящиеся к клиенту и органу сертификации.
6.2.3 Учитывая, что данный комитет не может представлять все интересы, орган сертификации
должен определить и указать основные интересы. Такие интересы могут включать следующее:
клиентов органа сертификации, потребителей организации, система менеджмента которой проходит
сертификацию, представителей промышленно-торговых ассоциаций, представителей
правительственных регулятивных органов или других правительственных служб, или представителей
неправительственных организаций, включая организации потребителей.
7 Требования к ресурсам
7.1 Компетентность менеджмента и персонала
7.1.1 Орган сертификации должен обладать процессами, гарантирующими, что персонал имеет
необходимые знания, соответствующие определенным типам систем менеджмента и географическим
зонам работы.
Он должен определить компетентность, требующуюся в каждой области техники (в соответствии с
конкретной схемой сертификации), и для каждого вида работ по сертификации.
Следует также определить средства проверки компетентности перед выполнением конкретных
функций.
7.1.2 При определении требований к компетентности выполняющего сертификацию персонала
орган сертификации должен учитывать функции, выполняемые руководящим и административным
персоналом, помимо непосредственных работ по аудиту и сертификации.
7.1.3 Орган сертификации должен иметь возможность использования необходимой технической
экспертизы для получения рекомендаций по вопросам, непосредственно связанным с сертификацией
в определенной области техники, типами систем менеджмента и географическими зонами, где орган
сертификации проводит сертификацию. Такие рекомендации могут быть предоставлены извне или
персоналом органа сертификации.
7.2 Персонал, участвующий в работах по сертификации
7.2.1 Орган сертификации должен иметь, в качестве части своей организации, персонал
обладающий достаточной компетентностью в области управления типами и диапазоном программ
аудита и другим работами по сертификации.
7.2.2 Орган сертификации должен использовать, или иметь возможность использовать,
достаточное число аудиторов, включая руководителей групп и технических экспертов, во всех
областях работ и способных выполнить необходимый объем работ по аудиту.
8 © ISO 2006 – Все права сохраняются

7.2.3 Орган сертификации должен обеспечить ясное представление всего персонала относительно
его обязанностей, ответственности и полномочий.
7.2.4 Орган сертификации должен обладать определенными процессами по выбору и обучению
аудиторов, формальному предоставлению им полномочий, и выбору технических экспертов,
используемых при работах по сертификации. Первоначальная оценка компетентности аудиторов
должна включать демонстрацию полезных персональных данных и способности аудиторов применять
необходимые знания и навыки в процессе аудита, согласно определению компетентного оценщика,
наблюдающего поведение и работу аудитора.
7.2.5 Орган сертификации должен иметь процесс, позволяющий выполнять и демонстрировать
эффективный аудит, включающий использование аудиторов и руководителей группы аудита, обладающих
основными навыками и знаниями по аудиту, а также навыками и знаниями в области аудита конкретных
технических областей. Этот процесс должен быть оформлен в виде документально установленных
требований, разработанных согласно соответствующему руководству в стандарте ISO 19011.
7.2.6 Орган сертификации должен гарантировать, что аудиторы (и, когда это необходимо,
технические эксперты) обладают знаниями в области процессов аудита, требований к сертификации и
других технических требований. Орган сертификации должен предоставить аудиторам и техническим
экспертам доступ к современным наборам документально оформленных методик, содержащих
инструкции по аудиту и всю необходимую информацию по работам в области сертификации.
7.2.7 Орган сертификации должен использовать аудиторов и технических экспертов только в тех
областях сертификации, в которых они показали свою компетентность.
ПРИМЕЧАНИЕ Назначение аудиторов и технических экспертов в группы для конкретных работ по аудиту
рассматривается в 9.1.3.
7.2.8 Орган сертификации должен определить необходимость обучения и предложить или
предоставить возможность специального обучения, гарантирующего, что аудиторы, технические
эксперты и другой участвующий в работах по сертификации персонал обладает необходимой
компетентностью в области выполняемых им функций.
7.2.9 Группа или отдельное лицо, принимающие решения о предоставлении, поддержании,
обновлении, расширении, приостановлении или отзыву сертификации, должны понимать
применяемые требования стандарта и сертификации, а также должны показать компетентность в
области оценки процессов аудита и соответствующих рекомендаций группы аудита.
7.2.10 Орган сертификации должен гарантировать удовлетворительные результаты деятельности
всего участвующего в работах по аудиту и сертификации персонала. Должны существовать
документально оформленные методики и критерии мониторинга и измерения результатов работы
всего участвующего в работах персонала, основанные на частоте его использования и уровне рисков,
связанных с его работой. В частности, орган сертификации должен анализировать компетентность
персонала в свете результатов работы в целях определения потребностей обучения.
7.2.11 Документально оформленные методики мониторинга работы аудиторов должны включать
комбинацию данных наблюдений на местах, анализа отчетов по аудиту, и сведений, получаемых либо
от клиентов, либо на рынке услуг, и должны быть определены в документированных требованиях,
разработанных согласно соответствующему руководству стандарта ISO 19011. Мониторинг должен
быть разработан таким образом, чтобы свести к минимуму помехи нормальным процессам
сертификации, особенно с точки зрения клиента.
7.2.12 Орган сертификации должен периодически отслеживать результаты работы каждого аудитора
на месте его работы. Частота проверок на месте работы должна быть основана на
потребности, вытекающей из всех данных мониторинга.
7.3 Использование отдельных внешних аудиторов и внешних технических экспертов
Орган сертификации должен потребовать от внешних аудиторов и внешних технических экспертов
заключить в письменном виде соглашение, по которому они обязаны выполнять условия общей
политики и методики, установленные органом сертификации. В соглашении должны быть учтены
аспекты, касающиеся конфиденциальности и независимости от коммерческих и других интересов, и
установлены требования к внешним аудиторам и внешним техническим экспертам, обязывающие их
сообщать органу сертификации сведения о всех существующих или ранее существовавших связях с
любыми организациями, в которых они могли быть назначены аудиторами.
ПРИМЕЧАНИЕ Использование отдельных аудиторов и технических экспертов по таким соглашениям не
означает аутсорсинг согласно описанию в 7.5.
7.4 Персональные данные
Орган сертификации должен поддерживать полные персональные данные, включающие обоснованную
квалификацию, обучение, опыт, принадлежность к профессиональному сообществу,
профессиональный статус, компетентность и консультационные услуги, которые могут быть
предоставлены. Кроме связанного с работами по сертификации персонала это включает также
руководящий и административный персонал.
7.5 Аутсорсинг
7.5.1 Орган сертификации должен иметь процесс, в котором описаны условия использования
аутсорсинга (который представляет собой заключение субконтрактов с другой организацией для
выполнения части работ по сертификации от имени органа сертификации). Орган сертификации
должен иметь юридически обязательное соглашение, учитывающее конфиденциальность и конфликт
интересов, с каждой организацией, предоставляющей услуги на условиях аутсорсинга.
ПРИМЕЧАНИЕ 1 Это может включать соглашение по аутсорсингу с другими органами сертификации.
Использование аудиторов и технических экспертов по контракту рассматривается в 7.3.
ПРИМЕЧАНИЕ 2 Для целей настоящего Международного стандарта термины "аутсорсинг" и "субконтракт"
рассматриваются как синонимы.
7.5.2 Решения о предоставлении, поддержании, обновлении, расширении, сужении,
приостановлении или отзыву сертификации никогда не должны передаваться работающим по
аутсорсингу организациям.
7.5.3 Орган сертификации должен
a) нести ответственность за все работы, переданные по соглашению об аутсорсинге другой
организации,
b) гарантировать, что организация, предоставляющая услуги по соглашению об аутсорсинге, и
отдельные лица, которых она использует, соответствуют требованиям органа сертификации, а
также применяемым условиям настоящего международного стандарта, включая компетентность,
беспристрастность и конфиденциальность, и
c) гарантировать, что организация, предоставляющая услуги по соглашению об аутсорсинге, и
отдельные лица, которых она использует, не связаны, либо непосредственно, либо через другого
работодателя, с проходящей аудит организацией, таким образом, что условие беспристрастности
могло быть нарушено.
7.5.4 Орган сертификации должен иметь документально оформленные процедуры по определению
квалификации и мониторингу всех организаций, предоставляющих используемые в работах по
сертификации услуги на условиях аутсорсинга, и должен гарантировать, что поддерживается
документация по компетентности аудиторов и технических экспертов.
10 © ISO 2006 – Все права сохраняются
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Loading comments...

Conformity assessment - Requirements for bodies providing audit and certification of management systems

Évaluation de la conformité — Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management

General Information

Relations

Frequently Asked Questions

Standards Content (Sample)

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

This May Also Interest You