ISO/IEC 17021-1:2015

NORME ISO/IEC
INTERNATIONALE 17021-1
Première édition
2015-06-15
Évaluation de la conformité —
Exigences pour les organismes
procédant à l’audit et à la certification
des systèmes de management —
Partie 1:
Exigences
Conformity assessment — Requirements for bodies providing audit
and certification of management systems —
Part 1: Requirements
Numéro de référence
©
ISO/IEC 2015
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2015
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii  © ISO/IEC 2015 – Tous droits réservés

Sommaire Page
Avant-propos .vi
Introduction .viii
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes . 4
4.1 Généralités . 4
4.2 Impartialité . 5
4.3 Compétence . 5
4.4 Responsabilité . 5
4.5 Transparence . 6
4.6 Confidentialité . 6
4.7 Traitement des plaintes . 6
4.8 Approche fondée sur le risque . 6
5 Exigences générales . 7
5.1 Domaine juridique et contractuel . 7
5.1.1 Responsabilité juridique . 7
5.1.2 Contrat de certification . 7
5.1.3 Responsabilité en matière de décisions de certification . 7
5.2 Gestion de l’impartialité . 7
5.3 Responsabilité et situation financière . 9
6 Exigences structurelles . 9
6.1 Organisation et direction . 9
6.2 Maîtrise opérationnelle .10
7 Exigences relatives aux ressources .10
7.1 Compétence du personnel .10
7.1.1 Considérations générales .10
7.1.2 Détermination des critères de compétence .11
7.1.3 Processus d’évaluation .11
7.1.4 Autres considérations . . .11
7.2 Personnel intervenant dans les activités de certification .11
7.3 Intervention d’auditeurs et d’experts techniques externes individuels .12
7.4 Enregistrements relatifs au personnel .13
7.5 Externalisation .13
8 Exigences relatives aux informations .13
8.1 Informations publiques .13
8.2 Documents de certification .14
8.3 Référence à la certification et utilisation des marques .15
8.4 Confidentialité .16
8.5 Échange d’informations entre l’organisme de certification et ses clients .17
8.5.1 Informations relatives aux processus et aux exigences de certification .17
8.5.2 Notification des modifications émanant d’un organisme de certification .17
8.5.3 Notification des modifications émanant d’un client certifié .17
© ISO/IEC 2015 – Tous droits réservés iii

9 Exigences relatives aux processus .18
9.1 Activités préalables à la certification .18
9.1.1 Demande de certification .18
9.1.2 Revue de la demande .18
9.1.3 Programme d’audit .18
9.1.4 Détermination du temps d’audit .19
9.1.5 Échantillonnage multisite .20
9.1.6 Normes de systèmes de management multiples .20
9.2 Planification des audits.20
9.2.1 Détermination des objectifs, du périmètre et des critères de l’audit .20
9.2.2 Constitution de l’équipe d’audit et affectation des missions .21
9.2.3 Plan d’audit .23
9.3 Certification initiale .24
9.3.1 Audit de certification initiale .24
9.4 Réalisation des audits .25
9.4.1 Généralités .25
9.4.2 Conduite de la réunion d’ouverture .25
9.4.3 Communication pendant l’audit .26
9.4.4 Obtention et vérification des informations .27
9.4.5 Identification et enregistrement des constats d’audit .27
9.4.6 Préparation des conclusions d’audit .27
9.4.7 Conduite de la réunion de clôture .28
9.4.8 Rapport d’audit .28
9.4.9 Analyse des causes de non-conformités .29
9.4.10 Efficacité des corrections et actions correctives .29
9.5 Décision de certification .30
9.5.1 Généralités .30
9.5.2 Actions précédant la prise de décision .30
9.5.3 Informations sur la délivrance d’une certification initiale .31
9.5.4 Informations pour la délivrance d’un renouvellement de certification .31
9.6 Maintien de la certification.31
9.6.1 Généralités .31
9.6.2 Activités de surveillance .32
9.6.3 Renouvellement de la certification .32
9.6.4 Audits particuliers .34
9.6.5 Suspension, retrait ou réduction du périmètre de la certification .34
9.7 Appels .35
9.8 Plaintes .35
9.9 Enregistrements relatifs au client .36
10 Exigences relatives au système de management des organismes de certification .37
10.1 Options .37
10.2 Option A: Exigences générales relatives au système de management .37
10.2.1 Généralités .37
10.2.2 Manuel du système de management .38
10.2.3 Maîtrise des documents .38
10.2.4 Maîtrise des enregistrements .38
10.2.5 Revue de direction .38
10.2.6 Audits internes .39
10.2.7 Actions correctives .39
10.3 Option B: Exigences relatives au système de management conformément à l’ISO 9001 .40
10.3.1 Généralités .40
10.3.2 Domaine d’application .40
10.3.3 Écoute client .40
10.3.4 Revue de direction .40
Annexe A (normative) Connaissances et savoir-faire exigés .41
Annexe B (informative) Méthodes possibles d’évaluation.45
iv © ISO/IEC 2015 – Tous droits réservés

Annexe C (informative) Exemple d’un logigramme de détermination et de maintien
des compétences .47
Annexe D (informative) Comportement personnel souhaité .49
Annexe E (informative) Audit et processus de certification .50
Bibliographie .52
© ISO/IEC 2015 – Tous droits réservés v

Avant-propos
L’ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes nationaux
membres de l’ISO ou de l’IEC participent au développement de Normes internationales par l’intermédiaire
des comités techniques créés par l’organisation concernée afin de s’occuper des domaines particuliers de
l’activité technique. Les comités techniques de l’ISO et de l’IEC collaborent dans des domaines d’intérêt
commun. D’autres organisations internationales, gouvernementales et non gouvernementales, en liaison
avec l’ISO et l’IEC participent également aux travaux. Dans le domaine de l’évaluation de la conformité,
le comité ISO pour l’évaluation de la conformité (CASCO) est responsable du développement de Normes
internationales et de Guides.
Les procédures utilisées pour l’élaboration du présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet
de droits de propriété intellectuelle ou de droits analogues. L’ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors
de l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www.iso.org/patents).
Les éventuelles appellations commerciales utilisées dans le présent document sont données pour
information à l’attention des utilisateurs et ne constituent pas une approbation ou une recommandation.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation de
la conformité, et pour toute information au sujet de l’adhésion de l’ISO aux principes de l’OMC concernant
les obstacles techniques au commerce (OTC), voir le lien suivant: Avant-propos — Informations
supplémentaires.
L’ISO/IEC 17021-1 a été élaborée par le comité technique ISO/TC CASCO, Comité pour l’évaluation de
la conformité. Le projet a été soumis aux organismes nationaux de l’ISO et de l’IEC pour vote et a été
approuvé par les deux organisations.
Cette première édition de l’ISO/IEC 17021-1 annule et remplace l’ISO/IEC 17021:2011, qui a fait l’objet
d’une révision technique.
L’ISO/IEC 17021 comprend les parties suivantes, sous le titre général Évaluation de la conformité —
Exigences pour les organismes procédant à l’audit et à la certification des systèmes de management:
— Partie 1: Exigences
— Partie 2: Exigences de compétence pour l’audit et la certification des systèmes de management
environnemental [Spécification technique]
— Partie 3: Exigences de compétence pour l’audit et la certification des systèmes de management de la
qualité [Spécification technique]
— Partie 4: Exigences de compétence pour l’audit et la certification des systèmes de management
responsable appliqués à l’activité événementielle [Spécification technique]
— Partie 5: Exigences de compétence pour l’audit et la certification des systèmes de gestion d’actifs
[Spécification technique]
— Partie 6: Exigences de compétence pour l’audit et la certification des systèmes de management de la
continuité d’activité [Spécification technique]
vi © ISO/IEC 2015 – Tous droits réservés

— Partie 7: Exigences de compétence pour l’audit et la certification des systèmes de management de la
sécurité du trafic routier [Spécification technique]
© ISO/IEC 2015 – Tous droits réservés vii

Introduction
La certification d’un système de management, tel que le système de management environnemental, d’un
système de management de la qualité ou d’un système de management de la sécurité de l’information
d’un organisme, est l’un des moyens permettant d’assurer que l’organisme a mis en application un
système pour gérer des aspects relatifs à ses activités, produits et services conformes à la politique de
l’organisme et aux exigences de la Norme internationale de système de management pertinente.
La présente partie de l’ISO/IEC 17021 spécifie des exigences applicables aux organismes procédant
à l’audit et à la certification des systèmes de management. Elle présente des exigences génériques
applicables aux organismes procédant à l’audit et à la certification dans le domaine des systèmes de
management de la qualité, de management environnemental et autres. Ces organismes sont appelés
« organismes de certification ». Le respect de ces exigences est destiné à assurer que ces organismes
gèrent la certification de systèmes de management avec compétence, et d’une façon cohérente et
impartiale, facilitant ainsi la reconnaissance de ces organismes et l’acceptation de leurs certifications
sur les plans national et international. La présente partie de l’ISO/IEC 17021 sert de base, dans l’intérêt
du commerce international, à la reconnaissance de la certification de systèmes de management.
La certification d’un système de management assure par une démonstration indépendante que le
système de management de l’organisme:
a) est conforme aux exigences spécifiées;
b) est capable de réaliser de manière fiable la politique et les objectifs qu’il a déclarés;
c) est mis en œuvre de manière efficace.
L’évaluation de la conformité, telle que la certification d’un système de management apporte une plus-
value à l’organisme, à ses clients et aux parties intéressées.
L’Article 4 décrit les principes assurant une certification crédible. Ces principes facilitent la compréhension
de l’utilisateur quant à la nature essentielle de la certification. Ils constituent une introduction nécessaire
aux Articles 5 à 10. Ces principes représentent la trame des exigences contenues dans la présente partie
de l’ISO/IEC 17021. Il faut noter que ces principes ne sont pas des exigences auditables en tant que telles.
L’Article 10 décrit deux alternatives pour soutenir et démontrer que l’organisme de certification satisfait
de manière fiable au respect des exigences de la présente partie de l’ISO/IEC 17021 au moyen de la mise
en place d’un système de management.
Les activités de certification sont les activités individuelles qui constituent l’ensemble du processus
de certification allant de la revue de la demande à l’arrêt de la certification. L’Annexe E fournit une
illustration des interactions possibles entre nombre de ces activités.
La certification comprend l’audit du système de management d’un organisme. La manière d’attester
la conformité à une norme spécifique du système de management ou à d’autres exigences normatives
prend généralement la forme d’un document de certification ou d’un certificat.
La présente partie de l’ISO/IEC 17021 est applicable à l’audit et à la certification de tout type de
système de management. Il est admis que certaines des exigences, notamment celles se rapportant aux
compétences des auditeurs, peuvent être complétées par des critères supplémentaires pour répondre
aux attentes des parties intéressées.
Dans la présente partie de l’ISO/IEC 17021, les formes verbales suivantes sont utilisées:
— « doit » indique une exigence;
— « il convient que » indique une recommandation;
— « peut » indique une permission, une possibilité ou une capacité.
Des informations supplémentaires peuvent être obtenues dans les Directives ISO/IEC, Partie 2.
viii © ISO/IEC 2015 – Tous droits réservés

NORME INTERNATIONALE ISO/IEC 17021-1:2015(F)
Évaluation de la conformité — Exigences pour les
organismes procédant à l’audit et à la certification des
systèmes de management —
Partie 1:
Exigences
1 Domaine d’application
La présente partie de l’ISO/IEC 17021 spécifie les principes et les exigences relatifs à la compétence, à la
cohérence et à l’impartialité des organismes procédant à l’audit et à la certification de tous les types de
systèmes de management.
Les organismes de certification conformes à la présente partie de l’ISO/IEC 17021 ne sont pas tenus de
proposer tous les types de certification de système de management.
La certification de systèmes de management est une activité d’évaluation de la conformité par tierce
partie (voir l’ISO/IEC 17000:2004, 5.5) et les organismes exerçant cette activité sont par conséquent des
organismes d’évaluation de la conformité par tierce partie.
NOTE 1 Les exemples de systèmes de management incluent les systèmes de management environnemental, les
systèmes de management de la qualité, les systèmes de management de la sécurité de l’information.
NOTE 2 Dans la présente partie de l’ISO/IEC 17021, la certification de systèmes de management est désignée
« certification » et les organismes d’évaluation de la conformité par tierce partie sont désignés « organismes de
certification ».
NOTE 3 Un organisme de certification peut être gouvernemental ou non gouvernemental, avec ou sans pouvoir
réglementaire.
NOTE 4 La présente partie de l’ISO/IEC 17021 peut être utilisée comme référentiel pour l’accréditation,
l’évaluation par des pairs ou d’autres processus d’audit.
2 Références normatives
Les documents suivants, en totalité ou en partie, sont référencés de manière normative dans le présent
document et sont indispensables pour son application. Pour les références datées, seule l’édition citée
s’applique. Pour les références non datées, la dernière édition du document de référence s’applique (y
compris les éventuels amendements).
ISO 9000, Systèmes de management de la qualité — Principes essentiels et vocabulaire
ISO/IEC 17000, Évaluation de la conformité — Vocabulaire et principes généraux
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l’ISO 9000, ISO/IEC 17000
ainsi que les suivants s’appliquent.
3.1
client certifié
organisme dont le système de management a été certifié
3.2
impartialité
existence d’objectivité
Note 1 à l’article: L’objectivité implique soit l’absence de conflit d’intérêts soit de trouver une solution à ces conflits
de manière à ne pas porter préjudice aux activités ultérieures de l’organisme de certification.
Note 2 à l’article: D’autres termes utiles utilisés pour véhiculer la notion d’impartialité incluent « indépendance »,
« absence de tout conflit d’intérêts », « probité », « non-discrimination », « neutralité », « justice », « ouverture
d’esprit », « équité », « désintéressement », « équilibre ».
3.3
conseil en matière de système de management
contribution à l’établissement, à la mise en œuvre ou à l’entretien d’un système de management
EXEMPLE 1 Préparation ou établissement de manuels ou de procédures.
EXEMPLE 2 Fourniture de conseils, d’instructions ou de solutions spécifiques en matière d’élaboration et de
mise en œuvre d’un système de management.
Note 1 à l’article: Organiser des formations et y participer en tant que formateur ne relèvent pas des activités
de conseil, à condition de se limiter, lorsque les cours portent sur des systèmes de management ou des audits,
à fournir des informations et des conseils génériques; c’est-à-dire qu’il convient de ne pas fournir de solutions
spécifiques à un client.
Note 2 à l’article: La fourniture d’informations génériques, mais pas de solutions spécifiques à un client pour
améliorer des processus ou des systèmes, ne relève pas des activités de conseil. Ces informations peuvent inclure:
— l’explication de la signification et de l’objectif des critères de certification;
— l’identification des opportunités d’amélioration;
— l’explication des théories, méthodologies, techniques ou outils associés;
— le partage d’informations non confidentielles sur les bonnes pratiques associées;
— d’autres aspects du management qui ne sont pas couverts par le système de management audité.
3.4
audit de certification
audit réalisé par un organisme d’audit indépendant du client et des parties qui comptent sur la
certification, aux fins de certifier le système de management d’un client
Note 1 à l’article: Dans les définitions qui suivent, le terme « audit » est utilisé dans un but de simplification pour
se référer à l’audit tierce partie de certification.
Note 2 à l’article: Les audits de certification incluent les audits initiaux, de surveillance, de renouvellement de la
certification, et peuvent aussi inclure des audits spéciaux.
Note 3 à l’article: Les audits de certification sont effectués, en règle générale, par les équipes d’audit des organismes
qui fournissent la certification de conformité aux exigences des normes de systèmes de management.
Note 4 à l’article: Un audit est « conjoint » quand au moins deux organismes d’audit participent à l’audit d’un client
unique.
Note 5 à l’article: Un audit est « combiné » quand un client est audité sur les exigences d’au moins deux normes de
systèmes de management.
Note 6 à l’article: Un audit est « intégré » quand un client a intégré la mise en œuvre des exigences d’au moins deux
normes de systèmes de management au sein d’un seul système de management et qu’il est audité sur au moins
deux normes.
3.5
client
organisme dont le système de management est audité à des fins de certification
2 © ISO/IEC 2015 – Tous droits réservés

3.6
auditeur
personne qui réalise un audit
3.7
compétence
aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats escomptés
3.8
guide
personne nommée par le client pour assister l’équipe d’audit
3.9
observateur
personne qui accompagne l’équipe d’audit, mais qui n’audite pas
3.10
secteur technique
secteur caractérisé par des éléments communs des processus se rapportant à un type spécifique de
système de management et à ses résultats escomptés
Note 1 à l’article: voir Note en 7.1.2.
3.11
non-conformité
non-satisfaction d’une exigence
3.12
non-conformité majeure
non-conformité (3.11) qui affecte la capacité du système de management à atteindre les résultats
escomptés
Note 1 à l’article: Les non-conformités pourraient être classées comme majeures dans les circonstances suivantes:
— s’il existe un doute significatif quant à la mise en place d’une maîtrise efficace des processus ou que des produits
ou services rempliront les exigences spécifiées;
— plusieurs non-conformités mineures associées à la même exigence ou à un problème pouvant montrer une
défaillance systémique et ainsi constituer une non-conformité majeure.
3.13
non-conformité mineure
non-conformité (3.11) qui n’affecte pas la capacité du système de management à atteindre les résultats
escomptés
3.14
expert technique
personne apportant à l’équipe d’audit des connaissances ou une expertise spécifiques
Note 1 à l’article: Ces connaissances ou cette expertise spécifiques sont relatives à l’organisme, au processus ou à
l’activité à auditer.
3.15
programme de certification
système d’évaluation de la conformité appliqué à des systèmes de management, auxquels s’appliquent
les mêmes exigences spécifiées, ainsi que des règles et procédures spécifiques
3.16
temps d’audit
temps nécessaire à la planification et à la réalisation d’un audit complet et efficace du système de
management de l’organisation du client
© ISO/IEC 2015 – Tous droits réservés 3

3.17
durée des audits de certification d’un système de management
partie du temps d’audit (3.16) consacrée à la réalisation d’activités d’audit, de la réunion d’ouverture à la
réunion de clôture incluse
Note 1 à l’article: Les activités d’audit incluent normalement:
— la conduite de la réunion d’ouverture;
— la réalisation d’une revue documentaire pendant la conduite de l’audit;
— la communication pendant l’audit;
— l’attribution des rôles et des responsabilités de guides et d’observateurs;
— la collecte et la vérification des informations;
— la génération des constats d’audit;
— la préparation des conclusions d’audit;
— la conduite de la réunion de clôture.
4 Principes
4.1 Généralités
4.1.1 Les principes décrits dans cet article servent de base pour cette prestation spécifique et
les exigences décrites ci-après dans la présente partie de l’ISO/IEC 17021. La présente partie de
l’ISO/IEC 17021 ne fournit pas d’exigences spécifiques applicables à toutes les situations susceptibles
de survenir. Il convient de considérer ces principes comme des recommandations à appliquer en cas de
décisions à prendre dans des situations imprévues. Ces principes ne constituent pas des exigences.
4.1.2 La certification a pour objectif général de donner confiance à toutes les parties qu’un système de
management satisfait aux exigences spécifiées. La valeur de la certification est le degré de confiance du
public après qu’un système de management a été évalué de manière impartiale et compétente par une
tierce partie. Les parties qui trouvent un intérêt à la certification sont les suivantes (liste non exhaustive):
a) les clients des organismes de certification;
b) les clients des organismes dont les systèmes de management sont certifiés;
c) les pouvoirs publics;
d) les organismes non gouvernementaux;
e) les consommateurs et le grand public.
4.1.3 Les principes permettant de donner confiance comprennent:
— l’impartialité;
— la compétence;
— la responsabilité;
— la transparence;
— la confidentialité;
— le traitement des plaintes;
4 © ISO/IEC 2015 – Tous droits réservés

— une approche fondée sur le risque.
NOTE La présente partie de l’ISO/IEC 17021 établit les principes de certification dans l’Article 4, tandis que
les principes correspondants relatifs aux audits sont énoncés dans l’ISO 19011:2011, Article 4.
4.2 Impartialité
4.2.1 Pour octroyer une certification qui donne confiance, un organisme de certification doit être
impartial et perçu comme tel. Il est important que l’ensemble du personnel interne et externe soit
sensibilisé au besoin d’impartialité.
4.2.2 Le fait que les revenus d’un organisme de certification proviennent de ses clients qui paient pour
la certification constitue une menace potentielle pour l’impartialité.
4.2.3 Pour gagner et maintenir la confiance, il est essentiel que les décisions d’un organisme de
certification soient fondées sur des preuves tangibles de conformité (ou de non-conformité) constatées
par l’organisme de certification, et que les décisions ne soient pas faussées par d’autres intérêts ou
d’autres parties.
4.2.4 Les menaces qui pèsent sur l’impartialité peuvent inclure les suivantes, sans s’y limiter:
a) les intérêts personnels: cette menace est due au fait qu’une personne ou une entité agisse dans
son propre intérêt. Son intérêt financier représente une menace susceptible de compromettre
l’impartialité d’une certification;
b) l’autoévaluation: cette menace est due au fait qu’une personne ou une entité évalue son propre travail.
Auditer les systèmes de management d’un client auquel l’organisme de certification a prodigué des
conseils en matière de système de management crée un risque dû à l’autoévaluation;
c) la familiarité (ou confiance): cette menace est due au fait d’entretenir une trop grande proximité
relationnelle ou de faire trop confiance aux personnes auditées plutôt que de rechercher des preuves
lors des audits;
d) l’intimidation: cette menace est due au fait qu’une personne ou une entité éprouve la sensation de
subir des pressions directes ou insidieuses, par exemple la menace d’être remplacée ou dénoncée à
sa hiérarchie.
4.3 Compétence
4.3.1 La compétence du personnel de l’organisme de certification pour toutes les fonctions impliquées
dans les activités de certification est nécessaire pour octroyer une certification qui donne confiance.
4.3.2 Il faut également que la compétence soit étayée par le système de management de l’organisme de
certification.
4.3.3 Il est capital que la direction de l’organisme de certification ait mis en œuvre un processus
permettant d’établir des critères de compétence pour le personnel impliqué dans l’audit et les autres
activités de certification et de réaliser une évaluation par rapport à ces critères.
4.4 Responsabilité
4.4.1 Le client certifié, et non l’organisme de certification, a la responsabilité d’obtenir en permanence
les résultats escomptés de la mise en œuvre de la norme de système de management et de la conformité
aux exigences de certification.
© ISO/IEC 2015 – Tous droits réservés 5

4.4.2 L’organisme de certification est tenu de réaliser une évaluation suffisante des preuves tangibles
sur lesquelles est fondée la décision de certification. C’est sur la base des conclusions de l’audit et de
l’existence de preuves de conformité suffisantes qu’il prend la décision d’accorder ou de refuser la
certification.
NOTE Tout audit est fondé sur un échantillonnage du système de management d’un organisme et de ce fait ne
garantit pas une conformité de 100 % aux exigences.
4.5 Transparence
4.5.1 Afin d’assurer la confiance dans l’intégrité et la crédibilité de la certification, un organisme de
certification doit assurer l’accessibilité ou la diffusion au public des informations appropriées et à jour
relatives à ses processus d’audit et de certification ainsi que sur le statut de la certification (c’est-à-dire
l’octroi, le maintien de la certification, l’extension ou la réduction du périmètre de la certification, le
renouvellement, la suspension ou le rétablissement, ou le retrait de la certification) de tout organisme. La
transparence est un principe fondé sur l’accessibilité ou la diffusion des informations appropriées.
4.5.2 Afin de gagner ou de maintenir la confiance dans la certification, il convient qu’un organisme de
certification permette un accès aux parties intéressées ou fasse une diffusion appropriée des informations
non confidentielles sur les résultats d’audits spécifiques (par exemple audits déclenchés en réponse à des
plaintes).
4.6 Confidentialité
Afin d’obtenir l’accès privilégié aux informations qui lui sont nécessaires pour évaluer de manière
appropriée la conformité aux exigences de certification, il est essentiel que l’organisme de certification
ne divulgue aucune information confidentielle.
4.7 Traitement des plaintes
Les parties qui comptent sur la certification sont en droit de réclamer l’examen des plaintes et, si ces
dernières se révèlent acceptables, d’avoir confiance dans le fait que ces plaintes seront traitées de
manière appropriée et qu’un effort adéquat sera consenti par l’organisme de certification pour les
résoudre. Un traitement efficace des plaintes constitue un moyen important de protection de l’organisme
de certification, de ses clients et autres utilisateurs de certification contre tout type d’erreur, d’omission
ou d’abus. La confiance dans les activités de certification est préservée lorsque les plaintes sont traitées
de manière appropriée.
NOTE Un équilibre approprié entre les principes de transparence et de confidentialité, y compris le traitement
des plaintes, est nécessaire pour démontrer son intégrité et sa crédibilité à tous les utilisateurs de certification.
4.8 Approche fondée sur le risque
Il est nécessaire que les organismes de certification prennent en compte les risques associés à la
délivrance d’une certification compétente, cohérente et impartiale. Les risques peuvent comprendre,
mais ne sont pas limités à, ceux associés à ce qui suit:
— les objectifs de l’audit;
— l’échantillonnage utilisé dans le processus d’audit;
— l’impartialité réelle et perçue;
— les questions juridiques, réglementaires et de responsabilité;
— l’organisme client audité et son environnement opérationnel;
— l’impact de l’audit sur le client et ses activités;
6 © ISO/IEC 2015 – Tous droits réservés

— la santé et la sécurité des équipes d’audit;
— la perception des parties intéressées;
— les déclarations trompeuses du client certifié;
— l’utilisation des marques.
5 Exigences générales
5.1 Domaine juridique et contractuel
5.1.1 Responsabilité juridique
L’organisme de certification doit être une entité juridique ou une partie définie d’une entité juridique
pouvant être tenue juridiquement responsable de toutes ses activités de certification. Un organisme
de certification gouvernemental est considéré être une entité juridique sur la base de son statut
gouvernemental.
5.1.2 Contrat de certification
L’organisme de certification doit disposer d’un contrat juridiquement exécutoire avec chaque client pour
fournir
...

NORME ISO/IEC
INTERNATIONALE 17021-1
Première édition
2015-06-15
Version corrigée
2016-12-15
Évaluation de la conformité —
Exigences pour les organismes
procédant à l’audit et à la certification
des systèmes de management —
Partie 1:
Exigences
Conformity assessment — Requirements for bodies providing audit
and certification of management systems —
Part 1: Requirements
Numéro de référence
©
ISO/IEC 2015
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO/IEC 2015, Publié en Suisse
Droits de reproduction réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ni utilisée
sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie, l’affichage sur
l’internet ou sur un Intranet, sans autorisation écrite préalable. Les demandes d’autorisation peuvent être adressées à l’ISO à
l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii  © ISO/IEC 2015 – Tous droits réservés

Sommaire Page
Avant-propos .v
Introduction .vii
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes . 4
4.1 Généralités . 4
4.2 Impartialité . 5
4.3 Compétence . 5
4.4 Responsabilité . 5
4.5 Transparence . 6
4.6 Confidentialité . 6
4.7 Traitement des plaintes . 6
4.8 Approche fondée sur le risque . 6
5 Exigences générales . 7
5.1 Domaine juridique et contractuel . 7
5.1.1 Responsabilité juridique . 7
5.1.2 Contrat de certification . 7
5.1.3 Responsabilité en matière de décisions de certification . 7
5.2 Gestion de l’impartialité . 7
5.3 Responsabilité et situation financière . 9
6 Exigences structurelles . 9
6.1 Organisation et direction . 9
6.2 Maîtrise opérationnelle .10
7 Exigences relatives aux ressources .10
7.1 Compétence du personnel .10
7.1.1 Considérations générales .10
7.1.2 Détermination des critères de compétence .11
7.1.3 Processus d’évaluation .11
7.1.4 Autres considérations . . .11
7.2 Personnel intervenant dans les activités de certification .11
7.3 Intervention d’auditeurs et d’experts techniques externes individuels .13
7.4 Enregistrements relatifs au personnel .13
7.5 Externalisation .13
8 Exigences relatives aux informations .14
8.1 Informations publiques .14
8.2 Documents de certification .14
8.3 Référence à la certification et utilisation des marques .15
8.4 Confidentialité .16
8.5 Échange d’informations entre l’organisme de certification et ses clients .17
8.5.1 Informations relatives aux processus et aux exigences de certification .17
8.5.2 Notification des modifications émanant d’un organisme de certification .17
8.5.3 Notification des modifications émanant d’un client certifié .17
9 Exigences relatives aux processus .18
9.1 Activités préalables à la certification .18
9.1.1 Demande de certification .18
9.1.2 Revue de la demande .18
9.1.3 Programme d’audit .18
9.1.4 Détermination du temps d’audit .19
9.1.5 Échantillonnage multisite .20
9.1.6 Normes de systèmes de management multiples .20
© ISO/IEC 2015 – Tous droits réservés iii

9.2 Planification des audits.21
9.2.1 Détermination des objectifs, du périmètre et des critères de l’audit .21
9.2.2 Constitution de l’équipe d’audit et affectation des missions .21
9.2.3 Plan d’audit .23
9.3 Certification initiale .24
9.3.1 Audit de certification initiale .24
9.4 Réalisation des audits .25
9.4.1 Généralités .25
9.4.2 Conduite de la réunion d’ouverture .26
9.4.3 Communication pendant l’audit .26
9.4.4 Obtention et vérification des informations .27
9.4.5 Identification et enregistrement des constats d’audit .27
9.4.6 Préparation des conclusions d’audit .27
9.4.7 Conduite de la réunion de clôture .28
9.4.8 Rapport d’audit .28
9.4.9 Analyse des causes de non-conformités .29
9.4.10 Efficacité des corrections et actions correctives .30
9.5 Décision de certification .30
9.5.1 Généralités .30
9.5.2 Actions précédant la prise de décision .30
9.5.3 Informations sur la délivrance d’une certification initiale .31
9.5.4 Informations pour la délivrance d’un renouvellement de certification .31
9.6 Maintien de la certification.31
9.6.1 Généralités .31
9.6.2 Activités de surveillance .32
9.6.3 Renouvellement de la certification .33
9.6.4 Audits particuliers .34
9.6.5 Suspension, retrait ou réduction du périmètre de la certification .34
9.7 Appels .35
9.8 Plaintes .35
9.9 Enregistrements relatifs au client .36
10 Exigences relatives au système de management des organismes de certification .37
10.1 Options .37
10.2 Option A: Exigences générales relatives au système de management .37
10.2.1 Généralités .37
10.2.2 Manuel du système de management .38
10.2.3 Maîtrise des documents .38
10.2.4 Maîtrise des enregistrements .38
10.2.5 Revue de direction .38
10.2.6 Audits internes .39
10.2.7 Actions correctives .40
10.3 Option B: Exigences relatives au système de management conformément à l’ISO 9001 .40
10.3.1 Généralités .40
10.3.2 Domaine d’application .40
10.3.3 Écoute client .40
10.3.4 Revue de direction .40
Annexe A (normative) Connaissances et savoir-faire exigés .41
Annexe B (informative) Méthodes possibles d’évaluation.45
Annexe C (informative) Exemple d’un logigramme de détermination et de maintien
des compétences .47
Annexe D (informative) Comportement personnel souhaité .49
Annexe E (informative) Audit et processus de certification .50
Bibliographie .52
iv © ISO/IEC 2015 – Tous droits réservés

Avant-propos
L’ISO (Organisation internationale de normalisation) et l’IEC (Commission électrotechnique
internationale) forment le système spécialisé de la normalisation mondiale. Les organismes
nationaux membres de l’ISO ou de l’IEC participent au développement de Normes internationales
par l’intermédiaire des comités techniques créés par l’organisation concernée afin de s’occuper des
domaines particuliers de l’activité technique. Les comités techniques de l’ISO et de l’IEC collaborent
dans des domaines d’intérêt commun. D’autres organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l’ISO et l’IEC participent également aux travaux. Dans le domaine de
l’évaluation de la conformité, le comité ISO pour l’évaluation de la conformité (CASCO) est responsable
du développement de Normes internationales et de Guides.
Les procédures utilisées pour l’élaboration du présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www.
iso.org/directives).
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet
de droits de propriété intellectuelle ou de droits analogues. L’ISO et l’IEC ne sauraient être tenues pour
responsables de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails
concernant les références aux droits de propriété intellectuelle ou autres droits analogues identifiés
lors de l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations
de brevets reçues par l’ISO (voir www.iso.org/patents).
Les éventuelles appellations commerciales utilisées dans le présent document sont données pour
information à l’attention des utilisateurs et ne constituent pas une approbation ou une recommandation.
Pour une explication de la signification des termes et expressions spécifiques de l’ISO liés à l’évaluation
de la conformité, et pour toute information au sujet de l’adhésion de l’ISO aux principes de l’OMC
concernant les obstacles techniques au commerce (OTC), voir le lien suivant: Avant-propos —
Informations supplémentaires.
L’ISO/IEC 17021-1 a été élaborée par le comité technique ISO/TC CASCO, Comité pour l’évaluation de
la conformité. Le projet a été soumis aux organismes nationaux de l’ISO et de l’IEC pour vote et a été
approuvé par les deux organisations.
Cette première édition de l’ISO/IEC 17021-1 annule et remplace l’ISO/IEC 17021:2011, qui a fait l’objet
d’une révision technique.
L’ISO/IEC 17021 comprend les parties suivantes, sous le titre général Évaluation de la conformité —
Exigences pour les organismes procédant à l’audit et à la certification des systèmes de management:
— Partie 1: Exigences
— Partie 2: Exigences de compétence pour l’audit et la certification des systèmes de management
environnemental [Spécification technique]
— Partie 3: Exigences de compétence pour l’audit et la certification des systèmes de management de la
qualité [Spécification technique]
— Partie 4: Exigences de compétence pour l’audit et la certification des systèmes de management
responsable appliqués à l’activité événementielle [Spécification technique]
— Partie 5: Exigences de compétence pour l’audit et la certification des systèmes de gestion d’actifs
[Spécification technique]
— Partie 6: Exigences de compétence pour l’audit et la certification des systèmes de management de la
continuité d’activité [Spécification technique]
© ISO/IEC 2015 – Tous droits réservés v

— Partie 7: Exigences de compétence pour l’audit et la certification des systèmes de management de la
sécurité du trafic routier [Spécification technique]
La présente version corrigée de l’ISO/IEC 17021-1:2015 inclut la correction suivante:
— En 5.2.7, la terminologie de la deuxième phrase a été corrigée.
vi © ISO/IEC 2015 – Tous droits réservés

Introduction
La certification d’un système de management, tel que le système de management environnemental, d’un
système de management de la qualité ou d’un système de management de la sécurité de l’information
d’un organisme, est l’un des moyens permettant d’assurer que l’organisme a mis en application un
système pour gérer des aspects relatifs à ses activités, produits et services conformes à la politique de
l’organisme et aux exigences de la Norme internationale de système de management pertinente.
La présente partie de l’ISO/IEC 17021 spécifie des exigences applicables aux organismes procédant
à l’audit et à la certification des systèmes de management. Elle présente des exigences génériques
applicables aux organismes procédant à l’audit et à la certification dans le domaine des systèmes de
management de la qualité, de management environnemental et autres. Ces organismes sont appelés
« organismes de certification ». Le respect de ces exigences est destiné à assurer que ces organismes
gèrent la certification de systèmes de management avec compétence, et d’une façon cohérente et
impartiale, facilitant ainsi la reconnaissance de ces organismes et l’acceptation de leurs certifications
sur les plans national et international. La présente partie de l’ISO/IEC 17021 sert de base, dans l’intérêt
du commerce international, à la reconnaissance de la certification de systèmes de management.
La certification d’un système de management assure par une démonstration indépendante que le
système de management de l’organisme:
a) est conforme aux exigences spécifiées;
b) est capable de réaliser de manière fiable la politique et les objectifs qu’il a déclarés;
c) est mis en œuvre de manière efficace.
L’évaluation de la conformité, telle que la certification d’un système de management apporte une plus-
value à l’organisme, à ses clients et aux parties intéressées.
L’Article 4 décrit les principes assurant une certification crédible. Ces principes facilitent la
compréhension de l’utilisateur quant à la nature essentielle de la certification. Ils constituent une
introduction nécessaire aux Articles 5 à 10. Ces principes représentent la trame des exigences contenues
dans la présente partie de l’ISO/IEC 17021. Il faut noter que ces principes ne sont pas des exigences
auditables en tant que telles. L’Article 10 décrit deux alternatives pour soutenir et démontrer que
l’organisme de certification satisfait de manière fiable au respect des exigences de la présente partie de
l’ISO/IEC 17021 au moyen de la mise en place d’un système de management.
Les activités de certification sont les activités individuelles qui constituent l’ensemble du processus
de certification allant de la revue de la demande à l’arrêt de la certification. L’Annexe E fournit une
illustration des interactions possibles entre nombre de ces activités.
La certification comprend l’audit du système de management d’un organisme. La manière d’attester
la conformité à une norme spécifique du système de management ou à d’autres exigences normatives
prend généralement la forme d’un document de certification ou d’un certificat.
La présente partie de l’ISO/IEC 17021 est applicable à l’audit et à la certification de tout type de
système de management. Il est admis que certaines des exigences, notamment celles se rapportant aux
compétences des auditeurs, peuvent être complétées par des critères supplémentaires pour répondre
aux attentes des parties intéressées.
Dans la présente partie de l’ISO/IEC 17021, les formes verbales suivantes sont utilisées:
— « doit » indique une exigence;
— « il convient que » indique une recommandation;
— « peut » indique une permission, une possibilité ou une capacité.
Des informations supplémentaires peuvent être obtenues dans les Directives ISO/IEC, Partie 2.
© ISO/IEC 2015 – Tous droits réservés vii

NORME INTERNATIONALE ISO/IEC 17021-1:2015(F)
Évaluation de la conformité — Exigences pour les
organismes procédant à l’audit et à la certification des
systèmes de management —
Partie 1:
Exigences
1 Domaine d’application
La présente partie de l’ISO/IEC 17021 spécifie les principes et les exigences relatifs à la compétence, à la
cohérence et à l’impartialité des organismes procédant à l’audit et à la certification de tous les types de
systèmes de management.
Les organismes de certification conformes à la présente partie de l’ISO/IEC 17021 ne sont pas tenus de
proposer tous les types de certification de système de management.
La certification de systèmes de management est une activité d’évaluation de la conformité par tierce
partie (voir l’ISO/IEC 17000:2004, 5.5) et les organismes exerçant cette activité sont par conséquent
des organismes d’évaluation de la conformité par tierce partie.
NOTE 1 Les exemples de systèmes de management incluent les systèmes de management environnemental,
les systèmes de management de la qualité, les systèmes de management de la sécurité de l’information.
NOTE 2 Dans la présente partie de l’ISO/IEC 17021, la certification de systèmes de management est désignée
« certification » et les organismes d’évaluation de la conformité par tierce partie sont désignés « organismes de
certification ».
NOTE 3 Un organisme de certification peut être gouvernemental ou non gouvernemental, avec ou sans pouvoir
réglementaire.
NOTE 4 La présente partie de l’ISO/IEC 17021 peut être utilisée comme référentiel pour l’accréditation,
l’évaluation par des pairs ou d’autres processus d’audit.
2 Références normatives
Les documents suivants, en totalité ou en partie, sont référencés de manière normative dans le présent
document et sont indispensables pour son application. Pour les références datées, seule l’édition citée
s’applique. Pour les références non datées, la dernière édition du document de référence s’applique (y
compris les éventuels amendements).
ISO 9000, Systèmes de management de la qualité — Principes essentiels et vocabulaire
ISO/IEC 17000, Évaluation de la conformité — Vocabulaire et principes généraux
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l’ISO 9000, ISO/IEC 17000
ainsi que les suivants s’appliquent.
3.1
client certifié
organisme dont le système de management a été certifié
3.2
impartialité
existence d’objectivité
Note 1 à l’article: L’objectivité implique soit l’absence de conflit d’intérêts soit de trouver une solution à ces
conflits de manière à ne pas porter préjudice aux activités ultérieures de l’organisme de certification.
Note 2 à l’article: D’autres termes utiles utilisés pour véhiculer la notion d’impartialité incluent « indépendance »,
« absence de tout conflit d’intérêts », « probité », « non-discrimination », « neutralité », « justice », « ouverture
d’esprit », « équité », « désintéressement », « équilibre ».
3.3
conseil en matière de système de management
contribution à l’établissement, à la mise en œuvre ou à l’entretien d’un système de management
EXEMPLE 1 Préparation ou établissement de manuels ou de procédures.
EXEMPLE 2 Fourniture de conseils, d’instructions ou de solutions spécifiques en matière d’élaboration et de
mise en œuvre d’un système de management.
Note 1 à l’article: Organiser des formations et y participer en tant que formateur ne relèvent pas des activités
de conseil, à condition de se limiter, lorsque les cours portent sur des systèmes de management ou des audits,
à fournir des informations et des conseils génériques; c’est-à-dire qu’il convient de ne pas fournir de solutions
spécifiques à un client.
Note 2 à l’article: La fourniture d’informations génériques, mais pas de solutions spécifiques à un client pour
améliorer des processus ou des systèmes, ne relève pas des activités de conseil. Ces informations peuvent inclure:
— l’explication de la signification et de l’objectif des critères de certification;
— l’identification des opportunités d’amélioration;
— l’explication des théories, méthodologies, techniques ou outils associés;
— le partage d’informations non confidentielles sur les bonnes pratiques associées;
— d’autres aspects du management qui ne sont pas couverts par le système de management audité.
3.4
audit de certification
audit réalisé par un organisme d’audit indépendant du client et des parties qui comptent sur la
certification, aux fins de certifier le système de management d’un client
Note 1 à l’article: Dans les définitions qui suivent, le terme « audit » est utilisé dans un but de simplification pour
se référer à l’audit tierce partie de certification.
Note 2 à l’article: Les audits de certification incluent les audits initiaux, de surveillance, de renouvellement de la
certification, et peuvent aussi inclure des audits spéciaux.
Note 3 à l’article: Les audits de certification sont effectués, en règle générale, par les équipes d’audit des
organismes qui fournissent la certification de conformité aux exigences des normes de systèmes de management.
Note 4 à l’article: Un audit est « conjoint » quand au moins deux organismes d’audit participent à l’audit d’un
client unique.
Note 5 à l’article: Un audit est « combiné » quand un client est audité sur les exigences d’au moins deux normes de
systèmes de management.
Note 6 à l’article: Un audit est « intégré » quand un client a intégré la mise en œuvre des exigences d’au moins
deux normes de systèmes de management au sein d’un seul système de management et qu’il est audité sur au
moins deux normes.
3.5
client
organisme dont le système de management est audité à des fins de certification
2 © ISO/IEC 2015 – Tous droits réservés

3.6
auditeur
personne qui réalise un audit
3.7
compétence
aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats escomptés
3.8
guide
personne nommée par le client pour assister l’équipe d’audit
3.9
observateur
personne qui accompagne l’équipe d’audit, mais qui n’audite pas
3.10
secteur technique
secteur caractérisé par des éléments communs des processus se rapportant à un type spécifique de
système de management et à ses résultats escomptés
Note 1 à l’article: voir Note en 7.1.2.
3.11
non-conformité
non-satisfaction d’une exigence
3.12
non-conformité majeure
non-conformité (3.11) qui affecte la capacité du système de management à atteindre les résultats
escomptés
Note 1 à l’article: Les non-conformités pourraient être classées comme majeures dans les circonstances suivantes:
— s’il existe un doute significatif quant à la mise en place d’une maîtrise efficace des processus ou que des
produits ou services rempliront les exigences spécifiées;
— plusieurs non-conformités mineures associées à la même exigence ou à un problème pouvant montrer une
défaillance systémique et ainsi constituer une non-conformité majeure.
3.13
non-conformité mineure
non-conformité (3.11) qui n’affecte pas la capacité du système de management à atteindre les résultats
escomptés
3.14
expert technique
personne apportant à l’équipe d’audit des connaissances ou une expertise spécifiques
Note 1 à l’article: Ces connaissances ou cette expertise spécifiques sont relatives à l’organisme, au processus ou à
l’activité à auditer.
3.15
programme de certification
système d’évaluation de la conformité appliqué à des systèmes de management, auxquels s’appliquent
les mêmes exigences spécifiées, ainsi que des règles et procédures spécifiques
3.16
temps d’audit
temps nécessaire à la planification et à la réalisation d’un audit complet et efficace du système de
management de l’organisation du client
© ISO/IEC 2015 – Tous droits réservés 3

3.17
durée des audits de certification d’un système de management
partie du temps d’audit (3.16) consacrée à la réalisation d’activités d’audit, de la réunion d’ouverture à la
réunion de clôture incluse
Note 1 à l’article: Les activités d’audit incluent normalement:
— la conduite de la réunion d’ouverture;
— la réalisation d’une revue documentaire pendant la conduite de l’audit;
— la communication pendant l’audit;
— l’attribution des rôles et des responsabilités de guides et d’observateurs;
— la collecte et la vérification des informations;
— la génération des constats d’audit;
— la préparation des conclusions d’audit;
— la conduite de la réunion de clôture.
4 Principes
4.1 Généralités
4.1.1 Les principes décrits dans cet article servent de base pour cette prestation spécifique et
les exigences décrites ci-après dans la présente partie de l’ISO/IEC 17021. La présente partie de
l’ISO/IEC 17021 ne fournit pas d’exigences spécifiques applicables à toutes les situations susceptibles
de survenir. Il convient de considérer ces principes comme des recommandations à appliquer en cas de
décisions à prendre dans des situations imprévues. Ces principes ne constituent pas des exigences.
4.1.2 La certification a pour objectif général de donner confiance à toutes les parties qu’un système de
management satisfait aux exigences spécifiées. La valeur de la certification est le degré de confiance du
public après qu’un système de management a été évalué de manière impartiale et compétente par une
tierce partie. Les parties qui trouvent un intérêt à la certification sont les suivantes (liste non exhaustive):
a) les clients des organismes de certification;
b) les clients des organismes dont les systèmes de management sont certifiés;
c) les pouvoirs publics;
d) les organismes non gouvernementaux;
e) les consommateurs et le grand public.
4.1.3 Les principes permettant de donner confiance comprennent:
— l’impartialité;
— la compétence;
— la responsabilité;
— la transparence;
— la confidentialité;
— le traitement des plaintes;
4 © ISO/IEC 2015 – Tous droits réservés

— une approche fondée sur le risque.
NOTE La présente partie de l’ISO/IEC 17021 établit les principes de certification dans l’Article 4, tandis que
les principes correspondants relatifs aux audits sont énoncés dans l’ISO 19011:2011, Article 4.
4.2 Impartialité
4.2.1 Pour octroyer une certification qui donne confiance, un organisme de certification doit être
impartial et perçu comme tel. Il est important que l’ensemble du personnel interne et externe soit
sensibilisé au besoin d’impartialité.
4.2.2 Le fait que les revenus d’un organisme de certification proviennent de ses clients qui paient pour
la certification constitue une menace potentielle pour l’impartialité.
4.2.3 Pour gagner et maintenir la confiance, il est essentiel que les décisions d’un organisme de
certification soient fondées sur des preuves tangibles de conformité (ou de non-conformité) constatées
par l’organisme de certification, et que les décisions ne soient pas faussées par d’autres intérêts ou
d’autres parties.
4.2.4 Les menaces qui pèsent sur l’impartialité peuvent inclure les suivantes, sans s’y limiter:
a) les intérêts personnels: cette menace est due au fait qu’une personne ou une entité agisse dans
son propre intérêt. Son intérêt financier représente une menace susceptible de compromettre
l’impartialité d’une certification;
b) l’autoévaluation: cette menace est due au fait qu’une personne ou une entité évalue son propre
travail. Auditer les systèmes de management d’un client auquel l’organisme de certification a
prodigué des conseils en matière de système de management crée un risque dû à l’autoévaluation;
c) la familiarité (ou confiance): cette menace est due au fait d’entretenir une trop grande proximité
relationnelle ou de faire trop confiance aux personnes auditées plutôt que de rechercher des
preuves lors des audits;
d) l’intimidation: cette menace est due au fait qu’une personne ou une entité éprouve la sensation de
subir des pressions directes ou insidieuses, par exemple la menace d’être remplacée ou dénoncée à
sa hiérarchie.
4.3 Compétence
4.3.1 La compétence du personnel de l’organisme de certification pour toutes les fonctions impliquées
dans les activités de certification est nécessaire pour octroyer une certification qui donne confiance.
4.3.2 Il faut également que la compétence soit étayée par le système de management de l’organisme de
certification.
4.3.3 Il est capital que la direction de l’organisme de certification ait mis en œuvre un processus
permettant d’établir des critères de compétence pour le personnel impliqué dans l’audit et les autres
activités de certification et de réaliser une évaluation par rapport à ces critères.
4.4 Responsabilité
4.4.1 Le client certifié, et non l’organisme de certification, a la responsabilité d’obtenir en permanence
les résultats escomptés de la mise en œuvre de la norme de système de management et de la conformité
aux exigences de certification.
© ISO/IEC 2015 – Tous droits réservés 5

4.4.2 L’organisme de certification est tenu de réaliser une évaluation suffisante des preuves tangibles
sur lesquelles est fondée la décision de certification. C’est sur la base des conclusions de l’audit et de
l’existence de preuves de conformité suffisantes qu’il prend la décision d’accorder ou de refuser la
certification.
NOTE Tout audit est fondé sur un échantillonnage du système de management d’un organisme et de ce fait
ne garantit pas une conformité de 100 % aux exigences.
4.5 Transparence
4.5.1 Afin d’assurer la confiance dans l’intégrité et la crédibilité de la certification, un organisme de
certification doit assurer l’accessibilité ou la diffusion au public des informations appropriées et à jour
relatives à ses processus d’audit et de certification ainsi que sur le statut de la certification (c’est-à-dire
l’octroi, le maintien de la certification, l’extension ou la réduction du périmètre de la certification, le
renouvellement, la suspension ou le rétablissement, ou le retrait de la certification) de tout organisme.
La transparence est un principe fondé sur l’accessibilité ou la diffusion des informations appropriées.
4.5.2 Afin de gagner ou de maintenir la confiance dans la certification, il convient qu’un organisme
de certification permette un accès aux parties intéressées ou fasse une diffusion appropriée des
informations non confidentielles sur les résultats d’audits spécifiques (par exemple audits déclenchés en
réponse à des plaintes).
4.6 Confidentialité
Afin d’obtenir l’accès privilégié aux informations qui lui sont nécessaires pour évaluer de manière
appropriée la conformité aux exigences de certification, il est essentiel que l’organisme de certification
ne divulgue aucune information confidentielle.
4.7 Traitement des plaintes
Les parties qui comptent sur la certification sont en droit de réclamer l’examen des plaintes et, si
ces dernières se révèlent acceptables, d’avoir confiance dans le fait que ces plaintes seront traitées
de manière appropriée et qu’un effort adéquat sera consenti par l’organisme de certification pour
les résoudre. Un traitement efficace des plaintes constitue un moyen important de protection de
l’organisme de certification, de ses clients et autres utilisateurs de certification contre tout type
d’erreur, d’omission ou d’abus. La confiance dans les activités de certification est préservée lorsque les
plaintes sont traitées de manière appropriée.
NOTE Un équilibre approprié entre les principes de transparence et de confidentialité, y compris le
traitement des plaintes, est nécessaire pour démontrer son intégrité et sa crédibilité à tous les utilisateurs de
certification.
4.8 Approche fondée sur le risque
Il est nécessaire que les organismes de certification prennent en compte les risques associés à la
délivrance d’une certification compétente, cohérente et impartiale. Les risques peuvent comprendre,
mais ne sont pas limités à, ceux associés à ce qui suit:
— les objectifs de l’audit;
— l’échantillonnage utilisé dans le processus d’audit;
— l’impartialité réelle et perçue;
— les questions juridiques, réglementaires et de responsabilité;
— l’organisme client audité et son environnement opérationnel;
— l’impact de l’audit sur le client et ses activités;
6 © ISO/IEC 2015 – Tous droits réservés

— la santé et la sécurité des équipes d’audit;
— la perception des parties intéressées;
— les déclarations trompeuses du client certifié;
— l’utilisation des marques.
5 Exigences générales
5.1 Domaine juridique et contractuel
5.1.1 Responsabilité juridique
L’organisme de certification doit être une entité juridique ou une partie définie d’une entité juridique
pouvant être tenue juridiquement responsable de toutes ses activités de certification. Un organisme
de certification gouvernemental est considéré être une entité juridique sur la base de son statut
gouvernemental.
5.1.2 Contrat de certification
L’organisme de certification doit disposer
...

NORMA ISO/IEC
INTERNACIONAL 17021-1
Primera edición
Traducción oficial
2015-06-15
Official translation
Traduction officielle
Evaluación de la conformidad —
Requisitos para los organismos que
realizan la auditoría y la certificación
de sistemas de gestión —
Parte 1:
Exigences
Conformity assessment — Requirements for bodies providing audit
and certification of management systems —
Part 1: Requirements
Évaluation de la conformité — Exigences pour les organismes
procédant à l’audit et à la certification des systèmes de management —
Partie 1: Exigences
Publicado por la Secretaría Central de ISO en Ginebra, Suiza, como
traducción oficial en español avalada por el Translation Working
Group, que ha certificado la conformidad en relación con las
versiones inglesa y francesa.
Número de referencia
©
ISO/IEC 2015
DOCUMENTO PROTEGIDO POR COPYRIGHT
© ISO/IEC 2015, Publicado en Suiza
Reservados los derechos de reproducción. Salvo prescripción diferente, no podrá reproducirse ni utilizarse ninguna parte de
esta publicación bajo ninguna forma y por ningún medio, electrónico o mecánico, incluidos el fotocopiado, o la publicación en
Internet o una Intranet, sin la autorización previa por escrito. La autorización puede solicitarse a ISO en la siguiente dirección o
al organismo miembro de ISO en el país solicitante.
ISO copyright office
Ch. de Blandonnet 8 • CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. +41 22 749 01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
Traducción oficial/Official translation/Traduction officielle
ii © ISO/IEC 2015 – Todos los derechos reservados

Índice Página
Prólogo .v
Introducción .vii
1 Objeto y campo de aplicación. 1
2 Referencias normativas . 1
3 Términos y definiciones . 1
4 Principios . 4
4.1 Generalidades . 4
4.2 Imparcialidad . 5
4.3 Competencia . 5
4.4 Responsabilidad . 6
4.5 Transparencia . 6
4.6 Confidencialidad . 6
4.7 Receptividad y respuesta oportuna a las quejas . 6
4.8 Enfoque basado en el riesgo . 6
5 Requisitos generales . 7
5.1 Temas legales y contractuales . 7
5.1.1 Responsabilidad legal . 7
5.1.2 Acuerdo de certificación . 7
5.1.3 Responsabilidad por las decisiones de certificación . 7
5.2 Gestión de la imparcialidad. 7
5.3 Responsabilidad legal y financiación . 9
6 Requisitos relativos a la estructura . 9
6.1 Estructura de la organización y alta dirección . 9
6.2 Control operacional .10
7 Requisitos relativos a los recursos .10
7.1 Competencia del personal .10
7.1.1 Consideraciones generales .10
7.1.2 Determinación de los criterios de competencia .10
7.1.3 Procesos de evaluación .11
7.1.4 Otras consideraciones .11
7.2 Personal involucrado en las actividades de certificación .11
7.3 Empleo de auditores externos y expertos técnicos externos individuales .12
7.4 Registros relativos al personal .13
7.5 Contratación externa .13
8 Requisitos relativos a la información .13
8.1 Información pública .13
8.2 Documentos de certificación.14
8.3 Referencia a la certificación y utilización de marcas .15
8.4 Confidencialidad .16
8.5 Intercambio de información entre el organismo de certificación y sus clientes.16
8.5.1 Información relativa a la actividad y a los requisitos de certificación .16
8.5.2 Notificación de cambios realizados por un organismo de certificación .17
8.5.3 Notificación de cambios realizados por un cliente certificado .17
9 Requisitos relativos a los procesos .17
9.1 Actividades previas a la certificación .17
9.1.1 Solicitud .17
9.1.2 Revisión de la solicitud .18
9.1.3 Programa de auditoría .18
9.1.4 Determinación del tiempo de auditoría .19
9.1.5 Muestreo multisitio .20
9.1.6 Sistemas de gestión múltiples .20
Traducción oficial/Official translation/Traduction officielle
© ISO/IEC 2015 – Todos los derechos reservados iii

9.2 Planificación de auditorías .20
9.2.1 Determinación de objetivos, alcance y criterios de la auditoría .20
9.2.2 Selección del equipo auditor y asignación de tareas .21
9.2.3 Plan de auditoría .23
9.3 Certificación inicial .24
9.3.1 Auditoría inicial de certificación .24
9.4 Realización de auditorías .25
9.4.1 Generalidades .25
9.4.2 Realización de la reunión de apertura .25
9.4.3 Comunicación durante la auditoría .26
9.4.4 Recopilación y verificación de la información .27
9.4.5 Identificación y registro de los hallazgos de auditoría .27
9.4.6 Preparación de las conclusiones de la auditoría .27
9.4.7 Realización de la reunión de cierre .27
9.4.8 Informe de auditoría.28
9.4.9 Análisis de las causas de las no conformidades .29
9.4.10 Eficacia de las correcciones y acciones correctivas .29
9.5 Decisión de certificación .30
9.5.1 Generalidades .30
9.5.2 Acciones previas a la toma de la decisión .30
9.5.3 Información para otorgamiento inicial de la certificación .30
9.5.4 Información para otorgar la renovación de la certificación .31
9.6 Mantenimiento de la certificación .31
9.6.1 Generalidades .31
9.6.2 Actividades de vigilancia.31
9.6.3 Renovación de la certificación .32
9.6.4 Auditorías especiales .33
9.6.5 Suspender, retirar o reducir el alcance de la certificación .34
9.7 Apelaciones .34
9.8 Quejas.35
9.9 Registros relativos a los clientes .36
10 Requisitos relativos al sistema de gestión de los organismos de certificación .37
10.1 Opciones .37
10.2 Opción A: Requisitos generales de un sistema de gestión .37
10.2.1 Generalidades .37
10.2.2 Manual del sistema de gestión .37
10.2.3 Control de los documentos .37
10.2.4 Control de los registros .38
10.2.5 Revisión por la dirección .38
10.2.6 Auditorías internas .39
10.2.7 Acciones correctivas .39
10.3 Opción B: Requisitos del sistema de gestión de acuerdo con la Norma ISO 9001 .39
10.3.1 Generalidades .39
10.3.2 Alcance .40
10.3.3 Enfoque al cliente .40
10.3.4 Revisión por la dirección .40
Anexo A (normativo) Conocimientos y habilidades requeridos .41
Anexo B (informativo) Métodos posibles de evaluación .45
Anexo C (informativo) Ejemplo de un diagrama de proceso para determinar y mantener
la competencia .47
Anexo D (informativo) Comportamientos personales deseados .49
Anexo E (informativo) Proceso de auditoría y certificación .50
Bibliografía .52
Traducción oficial/Official translation/Traduction officielle
iv © ISO/IEC 2015 – Todos los derechos reservados

Prólogo
ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional)
forman el sistema especializado para la normalización mundial. Los organismos nacionales miembros
de ISO e IEC participan en el desarrollo de las Normas Internacionales por medio de comités técnicos
establecidos por la organización respectiva, para atender campos particulares de la actividad técnica.
Los comités técnicos de ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones
internacionales, públicas y privadas, en coordinación con ISO e IEC, también participan en el trabajo.
En el campo de la evaluación de la conformidad, el Comité de ISO para la evaluación de la conformidad
(CASCO) es responsable del desarrollo de Normas y Guías Internacionales.
En la parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar
esta norma y para su mantenimiento posterior. En particular debería tomarse nota de los diferentes
criterios de aprobación necesarios para los distintos tipos de documentos ISO. Esta norma se redactó
de acuerdo a las reglas editoriales de la parte 2 de las Directivas ISO/IEC. www.iso.org/directives.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera
o todos los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante
el desarrollo de esta norma se indican en la introducción y/o en la lista ISO de declaraciones de patente
recibidas. www.iso.org/patents.
Cualquier nombre comercial utilizado en esta norma es información a la atención de los usuarios y no
constituyen una recomendación.
Para obtener una explicación sobre el significado de los términos específicos de ISO y expresiones
relacionadas con la evaluación de la conformidad, así como información de la adhesión de ISO a los
principios de la OMC (Organización Mundial del Comercio) respecto a los obstáculos técnicos al
comercio (TBT), véase la siguiente dirección: Foreword - Supplementary information.
La Norma ISO/IEC 17021-1 ha sido preparada por el Comité de ISO para la evaluación de la conformidad
(CASCO). El proyecto fue sometido a votación de los organismos nacionales de ISO y de IEC y fue
aprobado por las dos organizaciones.
Esta primera edición de la Norma ISO/IEC 17021-1 anula y sustituye a la Norma ISO/IEC 17021:2011,
que ha sido revisada técnicamente.
La Norma ISO/IEC 17021 consiste en las siguientes partes, bajo el título general Evaluación de la
conformidad. Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión:
— Parte 1: Requisitos
— Parte 2: Requisitos de competencia para la auditoría y la certificación de sistemas de gestión ambiental
[Especificación Técnica]
— Parte 3: Requisitos de competencia para la auditoría y la certificación de sistemas de gestión de la
calidad [Especificación Técnica]
— Parte 4: Requisitos de competencia para la auditoría y la certificación de sistemas de gestión de la
sostenibilidad de eventos [Especificación Técnica]
— Parte 5: Requisitos de competencia para la auditoría y la certificación de sistemas de gestión de activos
[Especificación Técnica]
— Parte 6: Requisitos de competencia para la auditoría y la certificación de sistemas de gestión de la
continuidad del negocio [Especificación Técnica]
— Parte 7: Requisitos de competencia para la auditoría y certificación de sistemas de gestión de la
seguridad vial [Especificación Técnica]
Traducción oficial/Official translation/Traduction officielle
© ISO/IEC 2015 – Todos los derechos reservados v

Prólogo de la versión en español
Esta Norma Internacional ha sido traducida por el Grupo de Trabajo Spanish Translation Task Force
(STTF) del Comité Técnico ISO/CASCO, Comité para la evaluación de la conformidad, en el que participan
representantes de los organismos nacionales de normalización y representantes del sector empresarial
de los siguientes países:
Argentina, Bolivia, Chile, Colombia, Costa Rica, Cuba, Ecuador, España, Estados Unidos de América,
Honduras, México, Panamá, Perú, República Dominicana y Uruguay.
Igualmente, en el citado Grupo de Trabajo participan representantes de COPANT (Comisión
Panamericana de Normas Técnicas) e INLAC (Instituto Latinoamericano de la Calidad).
Esta traducción es parte del resultado del trabajo que el Grupo ISO/CASCO viene desarrollando desde
su creación en el año 2002 para lograr la unificación de la terminología en lengua española en el ámbito
de la evaluación de la conformidad.
Traducción oficial/Official translation/Traduction officielle
vi © ISO/IEC 2015 – Todos los derechos reservados

Introducción
La certificación de un sistema de gestión, tal como un sistema de gestión ambiental, de la calidad, o de
seguridad de la información de una organización, es una de las formas de asegurar que la organización
ha implementado un sistema para la gestión de los aspectos pertinentes de sus actividades, productos
y servicios, en línea con la política de la organización y con los requisitos de la Norma Internacional de
sistema de gestión respectiva.
Esta parte de la Norma ISO/IEC 17021 especifica requisitos para los organismos que realizan auditoría
y certificación de sistemas de gestión. Presenta requisitos genéricos para tales organismos que llevan
a cabo auditorías y certificaciones en el campo de sistemas de gestión de la calidad, ambiental y
otros tipos de sistemas de gestión. Dichos organismos se conocen como organismos de certificación.
El cumplimiento de estos requisitos tiene por finalidad asegurar que los organismos de certificación
realicen la certificación de los sistemas de gestión de manera competente, coherente e imparcial,
facilitando así el reconocimiento de dichos organismos y la aceptación de sus certificaciones en el
ámbito nacional e internacional. Esta parte de la Norma ISO/IEC 17021 sirve como base para facilitar
el reconocimiento de la certificación de los sistemas de gestión para los intereses del comercio
internacional.
La certificación de un sistema de gestión proporciona una demostración independiente de que el
sistema de gestión de la organización:
a) es conforme con los requisitos especificados;
b) es capaz de lograr coherentemente su política y objetivos declarados; y
c) está implementado de manera eficaz.
Por lo tanto, la evaluación de la conformidad, como es el caso de la certificación de un sistema de gestión,
aporta valor a la organización, a sus clientes y a sus partes interesadas.
El Capítulo 4 describe los principios en los que se basa una certificación creíble. Estos principios ayudan
al usuario a comprender la naturaleza esencial de la certificación y son una introducción necesaria
para los Capítulos 5 a 10. Estos principios sustentan todos los requisitos de esta parte de la Norma
ISO/IEC 17021, pero no son requisitos auditables por sí mismos. El Capítulo 10 describe dos maneras
alternativas para apoyar y demostrar el cumplimiento coherente de los requisitos de esta parte de
la Norma ISO/IEC 17021 mediante el establecimiento de un sistema de gestión por el organismo de
certificación.
Las actividades de certificación son las actividades individuales que conforman el proceso entero de
certificación desde la revisión de la solicitud hasta la terminación de la certificación. En el Anexo E se
ilustra la forma en la que pueden interactuar muchas de estas actividades.
Las actividades de certificación involucran la auditoría del sistema de gestión de una organización. La
forma de atestación de la conformidad de un sistema de gestión de una organización con una norma
específica de sistemas de gestión u otros requisitos normativos generalmente es un documento de
certificación o un certificado.
Esta parte de la Norma ISO/IEC 17021 es aplicable a la auditoría y certificación de todo tipo de sistema
de gestión. Se reconoce que algunos requisitos, en especial aquellos relacionados con la competencia de
los auditores, se pueden complementar con criterios adicionales a fin de satisfacer las expectativas de
las partes interesadas.
En esta parte de la Norma ISO/IEC 17021 se emplean las siguientes formas verbales:
— “debe” indica un requisito;
— “debería” indica una recomendación;
— “puede” indica un permiso, una posibilidad o capacidad;
Traducción oficial/Official translation/Traduction officielle
© ISO/IEC 2015 – Todos los derechos reservados vii

En las Directivas de ISO/IEC, Parte 2, se pueden encontrar detalles adicionales.
Traducción oficial/Official translation/Traduction officielle
viii © ISO/IEC 2015 – Todos los derechos reservados

NORMA INTERNACIONAL ISO/IEC 17021-1:2015 (traducción oficial)
Evaluación de la conformidad — Requisitos para los
organismos que realizan la auditoría y la certificación de
sistemas de gestión —
Parte 1:
Exigences
1 Objeto y campo de aplicación
Esta parte de la Norma ISO/IEC 17021 contiene principios y requisitos relativos a la competencia,
coherencia e imparcialidad de los organismos que realizan auditoría y certificación de todo tipo de
sistemas de gestión.
No es necesario que los organismos de certificación que operan de acuerdo con esta parte de la Norma
ISO/IEC 17021 ofrezcan todos los tipos de certificación de sistemas de gestión.
La certificación de sistemas de gestión es una actividad de evaluación de la conformidad de tercera
parte (véase el apartado 5.5 de la Norma ISO/IEC 17000:2004) y los organismos que realizan esta
actividad son, por lo tanto, organismos de evaluación de la conformidad de tercera parte.
NOTA 1 Ejemplos de sistemas de gestión incluyen sistemas de gestión ambiental, sistemas de gestión de la
calidad y sistemas de gestión de seguridad de la información.
NOTA 2 En esta parte de la Norma ISO/IEC 17021, la certificación de sistemas de gestión se denomina
“certificación” y los organismos que realizan la evaluación de la conformidad de tercera parte se denominan
“organismos de certificación”.
NOTA 3 Un organismo de certificación puede ser gubernamental o no gubernamental, con o sin autoridad de
reglamentación.
NOTA 4 Esta parte de la Norma ISO/IEC 17021 puede utilizarse como documento de criterios para la
acreditación, la evaluación entre pares u otros procesos de auditoría.
2 Referencias normativas
Los siguientes documentos referenciados, en parte o completos, son indispensables para la aplicación
de esta norma. Para las referencias con fecha sólo se aplica la edición citada. Para las referencias sin
fecha, se aplica la última edición del documento indicado (incluyendo cualquier modificación).
ISO 9000, Sistemas de gestión de la calidad — Fundamentos y vocabulario
ISO/IEC 17000, Evaluación de la conformidad — Vocabulario y principios generales
3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones incluidos en las Normas
ISO 9000 e ISO/IEC 17000, además de los siguientes.
3.1
cliente certificado
organización cuyo sistema de gestión ha sido certificado
Traducción oficial/Official translation/Traduction officielle
© ISO/IEC 2015 – Todos los derechos reservados 1

3.2
imparcialidad
presencia de objetividad
Nota 1 a la entrada: Objetividad significa que no existen conflictos de intereses o que éstos se resuelven sin
afectar de forma adversa a las actividades subsiguientes del organismo de certificación.
Nota 2 a la entrada: Otros términos que sirven para transmitir el elemento de imparcialidad son: independencia,
ausencia de conflictos de intereses, ausencia de sesgos, carencia de prejuicios, neutralidad, justicia, actitud
abierta, ecuanimidad, actitud desinteresada, equilibrio.
3.3
consultoría de sistema de gestión
participación en el establecimiento, la implementación o el mantenimiento de un sistema de gestión
EJEMPLO 1 Preparar o elaborar manuales o procedimientos.
EJEMPLO 2 Asesorar, dar instrucciones o soluciones específicas para el desarrollo e implementación de un
sistema de gestión.
Nota 1 a la entrada: Organizar actividades de formación y participar como instructor no se considera consultoría
siempre que, cuando estos cursos se refieran a sistemas de gestión o auditorías, se limiten a proporcionar
información genérica; es decir, que el instructor no debería proporcionar soluciones específicas para el cliente.
Nota 2 a la entrada: No se considera consultoría el suministro de información genérica sin soluciones específicas
para el cliente dirigidas a la mejora de procesos o sistemas. Esta información puede incluir:
— explicar el significado y la intención de los criterios de certificación;
— identificar oportunidades de mejora;
— explicar las teorías, metodologías, técnicas o herramientas asociadas;
— compartir información no confidencial sobre las mejores prácticas relacionadas;
— otros aspectos de gestión que no están cubiertos por el sistema de gestión auditado.
3.4
auditoría de certificación
auditoría realizada por una organización auditora independiente del cliente y de las partes que confían
en la certificación, con el fin de certificar el sistema de gestión del cliente
Nota 1 a la entrada: En las definiciones siguientes, el término “auditoría” se utiliza para simplificar cuándo se
hace referencia a la auditoría de certificación de tercera parte.
Nota 2 a la entrada: Las auditorías de certificación incluyen las auditorías inicial, de seguimiento, de renovación
de la certificación y también pueden incluir auditorías especiales.
Nota 3 a la entrada: Las auditorías de certificación las llevan a cabo generalmente los equipos auditores
de los organismos que proporcionan la certificación de conformidad con los requisitos de las normas de
sistemas de gestión.
Nota 4 a la entrada: Cuando dos o más organizaciones auditoras colaboran en la auditoría de un mismo cliente,
ésta se denomina “auditoría conjunta”.
Nota 5 a la entrada: Cuando un cliente es auditado con respecto a los requisitos de dos o más normas de sistemas
de gestión a la vez, la auditoría se denomina “auditoría combinada”.
Nota 6 a la entrada: Cuando un cliente ha integrado la aplicación de los requisitos de dos o más normas de
sistemas de gestión en un único sistema de gestión y es auditado con respecto a más de una norma, la auditoría
se denomina “auditoría integrada”.
3.5
cliente
organización cuyo sistema de gestión se audita con fines de certificación
Traducción oficial/Official translation/Traduction officielle
2 © ISO/IEC 2015 – Todos los derechos reservados

3.6
auditor
persona que lleva a cabo una auditoría
3.7
competencia
capacidad para aplicar conocimientos y habilidades para lograr los resultados previstos
3.8
guía
persona designada por el cliente para asistir al equipo auditor
3.9
observador
persona que acompaña al equipo auditor, pero que no audita
3.10
área técnica
área caracterizada por los elementos comunes de los procesos pertinentes a un tipo específico de
sistema de gestión y a sus resultados previstos
Nota 1 a la entrada: véase la nota del apartado 7.1.2.
3.11
no conformidad
incumplimiento de un requisito
3.12
no conformidad mayor
no conformidad (3.11) que afecta a la capacidad del sistema de gestión para lograr los resultados previstos
Nota 1 a la entrada: Las no conformidades pueden ser clasificadas como mayores en las siguientes circunstancias:
— si existe una duda significativa de que se haya implementado un control eficaz de proceso, o de que los
productos o servicios cumplan los requisitos especificados;
— una cantidad de no conformidades menores asociadas al mismo requisito o cuestión podría demostrar una
desviación sistemática y por tanto, constituye una no conformidad mayor.
3.13
no conformidad menor
no conformidad (3.11) que no afecta la capacidad del sistema de gestión para lograr los resultados previstos
3.14
experto técnico
persona que proporciona conocimiento o experiencia específicos al equipo auditor
Nota 1 a la entrada: Conocimiento o pericia específicos son aquellos que se relacionan con la organización, el
proceso o la actividad que se va a auditar.
3.15
esquema de certificación
sistema de evaluación de la conformidad relacionado con sistemas de gestión a los que se aplican los
mismos requisitos especificados, reglas y procedimientos específicos
3.16
tiempo de la auditoría
tiempo requerido para planificar y realizar una auditoría completa y eficaz del sistema de gestión de la
organización del cliente
Traducción oficial/Official translation/Traduction officielle
© ISO/IEC 2015 – Todos los derechos reservados 3

3.17
duración de las auditorías de certificación de sistemas de gestión
parte del tiempo de la auditoría (3.16) empleado en actividades de auditoría, desde la reunión de
apertura hasta la reunión de cierre, inclusive
Nota 1 a la entrada: Las actividades de auditoría incluyen normalmente:
— llevar a cabo la reunión de apertura;
— llevar a cabo la revisión de documentos mientras se realiza la auditoría;
— comunicarse durante la auditoría;
— asignar roles y responsabilidades a guías y observadores;
— recopilar y verificar información;
— generar hallazgos de auditoría;
— preparar conclusiones de la auditoría;
— llevar a cabo la reunión de cierre.
4 Principios
4.1 Generalidades
4.1.1 Los principios descritos en este capítulo proporcionan la base para el desempeño específico y los
requisitos descritos más adelante en en esta parte de la Norma ISO/IEC 17021. Esta parte de la Norma
ISO/IEC 17021 no proporciona requisitos específicos para todas las situaciones que puedan ocurrir. Estos
principios deberían aplicarse como orientación para tomar decisiones ante situaciones imprevistas. Los
principios no son requisitos.
4.1.2 La certificación tiene por objetivo general proporcionar confianza a todas las partes de que un
sistema de gestión cumple los requisitos especificados. El valor de la certificación reside en el grado de
confianza y fe pública que se establece con una evaluación imparcial y competente por una tercera parte.
Las partes que tienen interés en la certificación incluyen, pero no se limitan a
a) los clientes de los organismos de certificación;
b) los clientes de las organizaciones cuyos sistemas de gestión están certificados;
c) las autoridades gubernamentales;
d) las organizaciones no gubernamentales; y
e) los consumidores y otros miembros del público en general.
4.1.3 Los principios para inspirar confianza incluyen:
— imparcialidad;
— competencia;
— responsabilidad;
— transparencia;
— confidencialidad;
— receptividad y respuesta oportuna a las quejas; y
Traducción oficial/Official translation/Traduction officielle
4 © ISO/IEC 2015 – Todos los derechos reservados

— enfoque basado en riesgo.
NOTA En el capítulo 4 de esta parte de la Norma ISO/IEC 17021 se fijan los principios de certificación,
mientras que en el capítulo 4 de la Norma ISO 19011:2011 se pueden hallar los principios correspondientes
relacionados con la auditoría.
4.2 Imparcialidad
4.2.1 Ser imparcial, y ser percibido como imparcial, es necesario para que un organismo de certificación
proporcione una certificación que inspire confianza. Es importante que todo el personal interno y externo
sea consciente de la necesidad de imparcialidad.
4.2.2 Se reconoce que la fuente de ingresos de un organismo de certificación proviene del pago que le
hace su cliente por la certificación, y ello constituye una amenaza potencial a la imparcialidad.
4.2.3 Con el fin de obtener confianza y mantenerla, es esencial que las decisiones de un organismo de
certificación estén basadas en evidencia objetiva de conformidad (o de no conformidad) obtenidas por
él, y que sus decisiones no estén influidas por otros intereses u otras partes.
4.2.4 Las amenazas a la imparcialidad pueden incluir, pero no están limitadas a, las siguientes, entre
otras.
a) Los intereses personales: amenazas que surgen cuando una persona o un organismo actúa por su
propio interés. Una de las preocupaciones relativas con la certificación, como una amenaza a la
imparcialidad, son los intereses financieros personales.
b) La autorrevisión: amenazas que surgen cuando una persona o un organismo revisa el trabajo
hecho por sí mismo. La auditoría de los sistemas de gestión de un cliente, al cual el organismo de
certificación ha proporcionado servicios de consultoría relativos a sistemas de gestión, constituiría
una amenaza de este tipo.
c) La familiaridad (o confianza): amenazas que surgen cuando una persona o un organismo tiene
una relación de excesiva familiaridad o confianza con otra persona y por eso no busca evidencias
de auditoría.
d) La intimidación: amenazas que surgen cuando una persona o un organismo tiene la percepción de
sufrir coacción abierta o encubierta, por ejemplo, la amenaza de ser reemplazado o ser denunciado
a un supervisor.
4.3 Competencia
4.3.1 La competencia del personal del organismo de certificación, en todas las funciones que
constituyen las actividades de certificación, es necesaria para proporcionar una certificación que
proporcione confianza.
4.3.2 La competencia también necesita estar apoyada en el sistema de gestión del organismo de
certificación.
4.3.3 Una cuestión clave para la gestión del organismo de certificación es tener un proceso
implementado para el establecimiento de criterios de competencia para el personal involucrado en la
auditoría y en otras actividades de certificación, y realizar evaluaciones frente a dichos criterios.
Traducción oficial/Official translation/Traduction officielle
© ISO/IEC 2015 – Todos los derechos reservados 5

4.4 Responsabilidad
4.4.1 El cliente certificado, y no el organismo de certificación, es responsable de lograr de forma
coherente los resultados previstos de la implementación de la norma de sistema de gestión y de la
conformidad con los requisitos de la certificación.
4.4.2 El organismo de certificación es responsable de evaluar evidencia objetiva suficiente para
fundamentar su decisión sobre la certificación. Con base en las conclusiones de la auditoría, toma una
decisión de otorgar la certificación si hay suficiente evidencia de conformidad, o de no otorgarla si no hay
suficiente evidencia de conformidad.
NOTA Toda auditoría se basa en un muestreo dentro del sistema de gestión de una organización, y por ello,
no es una garantía de la conformidad al 100% con los requisitos.
4.5 Transparencia
4.5.1 Un organismo de certificación necesita proporcionar acceso público o divulgar la información
apropiada y oportuna sobre sus procesos de auditoría y certificación, y sobre el estado de la certificación
(es decir, si se otorga, se mantiene la certificación, se amplía o reduce el alcance, se renueva, se suspende
o restablece, o se retira la certificación) de cualquier organización, con el fin de inspirar confianza en la
integridad y la credibilidad de la certificación. La transparencia es un principio de acceso a, o divulgación
de, la información apropiada.
4.5.2 Para lograr o mantener la confianza en la certificación, un organismo de certificación debería
permitir el acceso apropiado, o divulgar a las partes interesadas específicas, información no confidencial
sobre las conclusiones de auditorías específicas (por ejemplo, auditorías en respuesta a quejas).
4.6 Confidencialidad
Con el fin de obtener acceso privilegiado a la información necesaria para que el organismo de
certificación evalúe adecuadamente la conformidad con los requisitos para la certificación, es esencial
que el organismo de certificación no divulgue ninguna información confidencial.
4.7 Receptividad y respuesta oportuna a las quejas
Las partes que confían en la certificación esperan que las quejas sean investigadas, y si son válidas,
deberían confiar en que serán tratadas adecuadamente y que el organismo de certificación hará
un esfuerzo razonable para resolverlas. La receptividad y respuesta eficaz a las quejas es un medio
importante para proteger al organismo de certificación, a sus cliente
...

МЕЖДУНАРОДНЫЙ ISO/IEC
СТАНДАРТ
17021-1
Первое издание
2015-06-15
Оценка соответствия. Требования к
органам, проводящим аудит и
сертификацию систем менеджмента
Часть 1.
Требования
Conformity assessment — Requirements for bodies providing audit and
certification of management systems —
Part 1:
Requirements
Ссылочный номер
©
ISO/IEC 2015
ДОКУМЕНТ ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ

© ISO/IEC 2015, Опубликовано в Швейцарии
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO, которое должно быть получено после запроса о разрешении, направленного по
адресу, приведенному ниже, или в комитет-член ISO в стране запрашивающей стороны.
ISO copyright office
Ch. de Blandonnet 8  CP 401
CH-1214 Vernier, Geneva, Switzerland
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO/IEC 2015 — Все права сохраняются

Содержание Страница
Предисловие . v
Введение . vii
1  Область применения. 1
2  Нормативные ссылки . 1
3  Термины и определения . 1
4  Принципы . 4
4.1  Общие положения . 4
4.2  Беспристрастность . 5
4.3  Компетентность . 6
4.4  Ответственность . 6
4.5  Открытость . 6
4.6  Конфиденциальность . 6
4.7  Реагирование на жалобы . 7
4.8  Подход на основе рисков . 7
5  Общие требования . 7
5.1  Особенности, связанные с законодательством и договорами . 7
5.1.1  Юридическая ответственность . 7
5.1.2  Договор на проведение работ по сертификации . 7
5.1.3  Ответственность за решения о сертификации. 8
5.2  Управление беспристрастностью . 8
5.3  Обязательства и финансирование . 10
6  Требования к структуре . 10
6.1  Организационная структура и высшее руководство . 10
6.2  Управление деятельностью по сертификации . 11
7  Требования к ресурсам . 11
7.1  Компетентность персонала . 11
7.1.1  Общие соображения . 11
7.1.2  Определение критериев компетентности . 11
7.1.3  Процессы оценивания . 11
7.1.4  Дополнительные требования . 12
7.2  Персонал, участвующий в работах по сертификации . 12
7.3  Привлечение внешних аудиторов и внешних технических экспертов . 13
7.4  Кадровый учет . 13
7.5  Привлечение соисполнителей (аутсорсинг) . 13
8  Требования к информации . 14
8.1  Общедоступная информация . 14
8.2  Сертификационные документы . 15
8.3  Ссылка на сертификат и использование знаков соответствия . 15
8.4  Конфиденциальность . 17
8.5  Обмен информацией между органом по сертификации и заказчиками . 17
8.5.1  Информация о деятельности по сертификации и требованиях . 17
8.5.2  Уведомление об изменениях со стороны органа по сертификации . 18
8.5.3  Уведомление об изменениях со стороны заказчика . 18
9  Требования к процессу . 18
9.1  Действия перед сертификацией . 18
9.1.1  Подача заявки . 18
9.1.2  Анализ заявки . 19
9.1.3  Программа аудита . 19
9.1.4  Определение трудоемкости аудита . 20
9.1.5  Выборочные проверки производственных площадок . 21
9.1.6  Стандарты на комплексные системы менеджмента . 21
© ISO/IEC 2015 — Все права сохраняются iii

9.2  Планирование аудитов .21
9.2.1  Определение целей, области и критериев аудита .21
9.2.2  Отбор членов аудиторской группы и закрепление за ними соответствующих
обязанностей .22
9.2.3  План аудита .23
9.3  Первоначальная сертификация .25
9.3.1  Аудит первоначальной сертификации .25
9.4  Проведение аудитов на местах .26
9.4.1  Общие положения .26
9.4.2  Проведение предварительного совещания .27
9.4.3  Обмен информацией в ходе аудита .27
9.4.4  Сбор и проверка информации .28
9.4.5  Идентификация и регистрация выводов аудита .28
9.4.6  Подготовка заключений аудита .28
9.4.7  Проведение заключительного совещания .29
9.4.8  Отчет по аудиту .29
9.4.9  Анализ причин несоответствий .30
9.4.10  Результативность коррекций и корректирующих действий .31
9.5  Решение о сертификации .31
9.5.1  Общие положения .31
9.5.2  Действия, осуществляемые до принятия решения .31
9.5.3  Информация, необходимая для признания действительными результатов
первоначальной сертификации .32
9.5.4  Информация, необходимая для признания действительными результатов
ресертификации .32
9.6  Подтверждение сертификации .32
9.6.1  Общие положения .32
9.6.2  Деятельность по инспекционному контролю .33
9.6.3  Ресертификация .34
9.6.4  Специальные аудиты .35
9.6.5  Приостановление, отмена действия сертификата или сужение области
сертификации .35
9.7  Апелляции .36
9.8  Жалобы .36
9.9  Записи о заказчиках .37
10  Требования к системам менеджмента органов по сертификации .38
10.1  Варианты .38
10.2  Вариант А. Общие требования к системам менеджмента .38
10.2.1  Общие положения .38
10.2.2  Руководство по системе менеджмента .39
10.2.3  Управление документами .39
10.2.4  Управление записями .39
10.2.5  Анализ со стороны руководства .39
10.2.6  Внутренние аудиты .40
10.2.7  Корректирующие действия .41
10.3  Вариант В. Требования к системам менеджмента, установленные в ISO 9001 .41
10.3.1  Общие положения .41
10.3.3  Ориентация на потребителя .41
10.3.4  Анализ со стороны руководства .42
Приложение A (нормативное) Требуемые знания и навыки.43
Приложение B (информативное) Возможные методы оценивания .46
Приложение C (информативное) Пример последовательности операций для определения и
поддержания компетентности .48
Приложение D (информативное) Необходимые личностные качества .50
Приложение E (информативное) Процесс аудита и сертификации .51
Библиография .53
iv © ISO/IEC 2015 — Все права сохраняются

Предисловие
Международная организация по стандартизации (ISO) и Международная электротехническая комиссия
(IEC) образуют специализированную систему стандартизации в мировом масштабе. Национальные
органы, являющиеся членами ISO или IEC, принимают участие в разработке международных
стандартов через технические комитеты, созданные соответствующей организацией для работы в
конкретных областях технической деятельности. Технические комитеты ISO и IEC сотрудничают в
областях, представляющих взаимный интерес. Другие международные организации,
правительственные и неправительственные, имеющие связи с ISO и IEC, также принимают участие в
работе. В области оценки соответствия ISO и IEC разрабатывают совместные документы ISO/IEC под
руководством Комитета ISO по оценке соответствия (ISO/CASCO).
Процедуры, используемые для разработки настоящего документа, и процедуры, предусмотренные для
его дальнейшего ведения, описаны в Директивах ISO/IEC Directives, Part 1. В частности, следует
отметить различные критерии утверждения, требуемые для различных типов документов ISO.
Настоящий документ был разработан в соответствии с редакционными правилами Директив ISO/IEC
Directives, Part 2. (см. www.iso.org/directives).
Следует иметь в виду, что некоторые элементы настоящего документа могут быть предметом
патентных прав. ISO и IEC не берут на себя ответственность за идентификацию какого-либо или всех
таких прав (см. www.iso.org/patents)
Любое торговое название, использованное в данном документе, является информацией,
предоставляемой для удобства пользователей, а не свидетельством в пользу того или иного товара
или той или иной компании.
Для разъяснения значения терминов и выражений, используемых ISO применительно к оценке
соответствия, а также для получения информации о соблюдении ISO принципов Всемирной торговой
организации (ВТО), касающихся технических барьеров в торговой деятельности, см. URL: Foreword -
Supplementary information
ISO/IEC 17021 -1 был разработан Комитетом ISO по оценке соответствия (CASCO). Этот стандарт
был распространён для голосования среди национальных организаций ISO и IEC, и был утверждён
обеими организациями.
Настоящее первое издание ISO/IEC 17021-1 отменяет и заменяет ISO/IEC 17021:2011, которое было
технически пересмотрено.
ISO/IEC 17021 состоит из следующих частей, объединенных общим названием Оценка
соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента:
— Часть 1. Требования
— Часть 2. Требования к компетентности персонала для аудита и сертификации систем
экологического менеджмента [Технические условия]
— Часть 3. Требования к компетентности персонала для аудита и сертификации систем
менеджмента качества [Технические условия]
— Часть 4. Требования к компетентности персонала для аудита и сертификации систем
менеджмента устойчивости событий [Технические условия]
— Часть 5. Требования к компетентности персонала для аудита и сертификации систем
менеджмента активов [Технические условия]
— Часть 6. Требования к компетентности персонала для аудита и сертификации систем
менеджмента непрерывности бизнеса [Технические условия]
© ISO/IEC 2015 — Все права сохраняются v

— Часть 7. Требования к компетентности персонала для аудита и сертификации систем
менеджмента безопасности дорожного движения [Технические условия]
vi © ISO/IEC 2015 — Все права сохраняются

Введение
Сертификация системы менеджмента организации, такой как система экологического менеджмента,
система менеджмента качества или система менеджмента информационной безопасности, является
одним из средств подтверждения того, что организация внедрила систему управления
соответствующими аспектами своей деятельности, продукции и услуг согласно принятой ею политики
и требованиями соответствующего международного стандарта к внедренной ею системе
менеджмента.
Настоящая часть ISO/IEC 17021 (далее по тексту – настоящий стандарт) устанавливает требования к
органам, проводящим аудит и сертификацию систем менеджмента. Он содержит общие требования к
таким органам, проводящим аудит и сертификацию в области качества, экологии и других областях
применения систем менеджмента. Такие органы называются органами по сертификации. Выполнение
этих требований позволяет гарантировать, что органы по сертификации выполняют сертификацию
систем менеджмента компетентным, последовательным и беспристрастным образом, тем самым
способствуя признанию таких органов и выданных ими сертификатов на национальном и
международном уровне. Настоящий стандарт является базой для признания результатов
сертификации систем менеджмента в интересах международной торговли.
Сертификация системы менеджмента обеспечивает независимое свидетельство того, что система
менеджмента организации:
a) соответствует установленным требованиям;
b) позволяет последовательно реализовывать принятую политику и достигать поставленных целей;
c) внедрена результативно.
Тем самым оценка соответствия, такая как сертификация системы менеджмента, обеспечивает
получение выгоды организацией, ее потребителями и заинтересованными сторонами.
Раздел 4 настоящего стандарта содержит описание принципов, которые лежат в основе
заслуживающей доверия сертификации. Эти принципы помогают читателю понять суть сертификации
и служат необходимой предпосылкой к Разделам 5 – 10. Эти принципы служат обоснованием
требований настоящего стандарта, но сами по себе они не являются предметом аудиторской
проверки. В Разделе 10 представлены два альтернативных пути поддерживания и демонстрации
постоянного выполнения требований настоящего стандарта посредством создания системы
менеджмента органом по сертификации.
Деятельность по сертификации состоит из отдельных работ, которые формируют процесс
сертификации, начиная с анализа заявки до завершения работ по сертификации. Приложение Е
содержит иллюстрацию того, каким образом различные работы по сертификации могут быть связаны
между собой.
Деятельность по сертификации включает в себя аудит системы менеджмента организации. Формой
подтверждения соответствия системы менеджмента организации определенному стандарту на
систему менеджмента или другим нормативным требованиям обычно является сертификационный
документ или сертификат.
Настоящий стандарт может быть использован при проведении аудита и сертификации любого типа
систем менеджмента. Признано, что некоторые требования и особенно те, которые относятся к
компетентности аудиторов, могут быть дополнены новыми критериями для удовлетворения ожиданий
заинтересованных сторон.
В настоящем стандарте используются следующие глагольные формы:
— «должна» указывает на требование;
— «следует» указывает на рекомендацию;
© ISO/IEC 2015 — Все права сохраняются vii

— «могло бы» указывает на разрешение;
— «может» указывает на способность или возможность.
Дальнейшие сведения можно найти в Части 2 Директив ISO/IEC.

viii © ISO/IEC 2015 — Все права сохраняются

МЕЖДУНАРОДНЫЙ СТАНДАРТ ISO/IEC 17021-1:2015(R)

Оценка соответствия. Требования к органам, проводящим
аудит и сертификацию систем менеджмента
Часть 1.
Требования
1 Область применения
Настоящая часть ISO/IEC 17021 (далее по тексту – настоящий стандарт) содержит принципы и
требования, относящиеся к компетентности, последовательности и беспристрастности аудита, а также
требования к органам, проводящим аудит и сертификацию любого типа систем менеджмента.
Органы по сертификации, работающие в соответствии с настоящим стандартом, не обязаны
заниматься сертификацией всех типов систем менеджмента.
Сертификация систем менеджмента — это деятельность по оценке соответствия третьей стороной
(см. ISO/IEC 17000:2004, 5.5), и таким образом, органы, осуществляющие эту деятельность, являются
органами по оценке соответствия третьей стороной (называемые в данном международном стандарте
“органом/органами по сертификации”).
ПРИМЕЧАНИЕ 1 В качестве примеров систем менеджмента можно привести системы экологического
менеджмента, системы менеджмента качества и системы менеджмента информационной безопасности.
ПРИМЕЧАНИЕ 2 В настоящем стандарте сертификация систем менеджмента называется “сертификация”, а
органы по оценке соответствия третьей стороной — “органы по сертификации”.
ПРИМЕЧАНИЕ 3 Орган по сертификации может быть неправительственной или правительственной
организацией (наделенной или не наделенной регулирующми полномочиями).
ПРИМЕЧАНИЕ 4 Настоящий стандарт может использоваться в качестве документа, содержащего критерии
аккредитации, экспертной оценки или других процессов аудита.
2 Нормативные ссылки
Следующие ссылочные документы, полностью или в какой-либо своей части, приводимые в
настоящем документе, обязательны при применении настоящего документа. Для датированных ссылок
применяется только указанное издание. Для недатированных ссылок применяется последнее издание
ссылочного документа (включая все изменения).
ISO 9000, Системы менеджмента качества. Основные положения и словарь
ISO/IEC 17000, Оценка соответствия. Словарь и общие принципы
3 Термины и определения
Для целей настоящего документа применяются термины и определения, приведенные в ISO 9000,
ISO/IEC 17000, а также указанные ниже.
3.1
сертифицированный заказчик
certified client
организация, система менеджмента которой была сертифицирована
© ISO/IEC 2015 — Все права сохраняются 1

3.2
беспристрастность
impartiality
наличие объективности
Примечание 1 Объективность означает, что конфликтов интересов не существует или они разрешены таким
образом, что не оказывают отрицательного влияния на последующие действия органа по сертификации.
Примечание 2 Другими терминами, которые могут быть полезны для передачи сути беспристрастности,
являются “независимость”, “отсутствие конфликта интересов”, “отсутствие предвзятости”, “отсутствие
предубеждений”, “нейтралитет”, “справедливость”, “непредубежденность”, “объективность”, “отстраненность”,
“уравновешенность”.
3.3
консультирование по системе менеджмента
management system consultancy
участие в разработке, внедрении или поддержании в рабочем состоянии системы менеджмента
ПРИМЕР 1 Подготовка или разработка руководств или процедур.
ПРИМЕР 2 Предоставление конкретных рекомендаций, инструкций или решений по разработке и
внедрению системы менеджмента.
Примечание 1 Организация обучения или участие в качестве обучающего не рассматривается как
консультирование, при условии, когда курс обучения, относящийся к системам менеджмента или проведению
аудита, ограничивается предоставлением общей информации, находящейся в открытом доступе; т.е. обучающий
не должен предоставлять заказчику конкретные решения.
Примечание 2 Предоставление общей информации, а не конкретных решений по улучшению процессов или
систем заказчика, не рассматривается как консультирование. Такая информация может включать:
— объяснение значения и сути критериев сертификации;
— идентификация возможностей для улучшения;
— объяснение соответствующих теорий, методологий, технических приемов или методов;
— сообщение неконфиденциальной информации о наилучших практиках;
— другие аспекты менеджмента, не охватываемые проверяемой системой менеджмента.
3.4
сертификационный аудит
certification audit
аудит, выполняемый проверяющей организацией, независимой от заказчика или заинтересованных
сторон, с целью сертификации системы менеджмента заказчика
Примечание 1 В приведённых ниже определениях термин “аудит” использован для упрощения ссылок на
сертификационный аудит, проводимый третьей стороной.
Примечание 2 Сертификационные аудиты включают первоначальные, надзорные (инспекционные),
ресертификационные аудиты, а также могут включать специальные аудиты.
Примечание 3 Сертификационные аудиты обычно проводятся группами аудиторов тех органов, которые
проводят сертификацию соответствия требованиям стандартов на системы менеджмента.
Примечание 4 Совместный аудит подразумевает проверку одного заказчика двумя или более проверяющими
организациями.
Примечание 5 Комбинированный аудит подразумевает проверку заказчика одновременно на соответствие
требованиям двух или более стандартов на системы менеджмента.
2 © ISO/IEC 2015 — Все права сохраняются

Примечание 6 Комплексный аудит подразумевает проверку заказчика на соответствие требованиям более
чем одного стандарта, когда заказчик применяет требования двух или более стандартов на системы менеджмента
в единой интегрированной системе менеджмента.
3.5
заказчик
client
организация, система менеджмента которой проверяется с целью сертификации
3.6
аудитор
auditor
лицо, проводящее аудит
3.7
компетентность
competence
способность применять знания и навыки для достижения намеченных результатов
3.8
сопровождающий
guide
лицо, назначенное заказчиком для содействия аудиторской группе
3.9
наблюдатель
observer
лицо, сопровождающее аудиторскую группу, но не участвующее в аудите
3.10
техническая область
technical area
область, характеризуемая общностью процессов, относящихся к конкретному типу системы
менеджмента и ее предполагаемым результатам
Примечание 1 См. Примечание к п. 7.1.2.
3.11
несоответствие
nonconformity
невыполнение требования
3.12
значительное несоответствие
major nonconformity
несоответствие (3.11), влияющее на способность системы менеджмента достигать намеченных
результатов
Примечание 1 Несоответствия могли бы быть классифицированы как значительные в следующих случаях:
— если приходится сомневаться в наличии результативного управления процессами или в том, что продукты
или услуги будут отвечать установленным требованиям;
— при наличии серии незначительных несоответствий, связанных с одним и тем же требованием или аспектом,
когда это может свидетельствовать о системной ошибке и таким образом образовывать значительное
несоответствие.
© ISO/IEC 2015 — Все права сохраняются 3

3.13
незначительное несоответствие
minor nonconformity
несоответствие (3.11), не влияющее на способность системы менеджмента достигать намеченных
результатов
3.14
технический эксперт
technical expert
лицо, предоставляющее аудиторской группе свои знания или опыт по специальному вопросу
Примечание 1 Знание или опыт по специальному вопросу могут быть отнесены к проверяемой организации,
процессу или деятельности.
3.15
схема сертификации
certification scheme
система оценки соответствия, относящаяся к системам менеджмента, применительно к которым
установлены одинаковые требования, правила и процедуры
3.16
общая продолжительность/трудоемкость аудита
audit time
время, необходимое для планирования и результативного выполнения аудита системы менеджмента
организации-заказчика
3.17
продолжительность сертификационных аудитов системы менеджмента
duration of management system certification audit
часть времени от общей продолжительности/трудоемкости аудита (3.16), необходимого на
проведение мероприятий аудита, начиная с вводного совещания и заканчивая заключительным
совещанием
Примечание 1 Обычно мероприятия аудита включают:
— проведение вводного совещания;
— выполнение анализа документации по ходу аудита;
— обмен информацией в ходе аудита;
— закрепление за сопровождающими и наблюдателями соответствующих функций и обязанностей;
— сбор и проверку информации;
— идентификацию выводов аудита;
— подготовку заключений аудита;
— проведение заключительного совещания.
4 Принципы
4.1 Общие положения
4.1.1 Принципы, приведенные в настоящем разделе, являются основой для изложенных в
настоящем стандарте функциональных и описательных требований. Настоящий стандарт не содержит
конкретных требований для всех возможных ситуаций. Эти принципы следует применять в качестве
4 © ISO/IEC 2015 — Все права сохраняются

руководства при принятии решений, которые могут потребоваться в непредвиденных ситуациях.
Принципы не являются требованиями.
4.1.2 Глобальная цель сертификации состоит в создании уверенности у всех сторон в том, что
система менеджмента соответствует установленным требованиям. Ценность сертификации состоит в
определенном уровне общественного доверия, которое было установлено посредством
беспристрастной и компетентной оценки третьей стороной. К сторонам, заинтересованным в
сертификации, в частности, относятся
a) заказчики (клиенты) органов по сертификации;
b) потребители организаций, системы менеджмента которых были сертифицированы;
c) правительственные органы;
d) неправительственные организации;
e) потребители и другие члены общества.
4.1.3 К принципам, обеспечивающим доверие, относятся:
 беспристрастность,
 компетентность,
 ответственность,
 открытость,
 конфиденциальность,
 реагирование на жалобы,
 подход на основе рисков.
ПРИМЕЧАНИЕ Настоящий стандарт устанавливает принципы сертификации в Разделе 4; соответствующие
принципы, относящиеся к процессу аудита, можно найти в Разделе 4 стандарта ISO 19011:2011.
4.2 Беспристрастность
4.2.1 Чтобы проводить сертификацию, заслуживающую доверия, орган по сертификации должен
быть беспристрастным и должен восприниматься как таковой.
4.2.2 Общепризнано, что источником дохода органа по сертификации является плата заказчика за
сертификацию, и это является потенциальной угрозой для сохранения беспристрастности.
4.2.3 Для достижения и поддержания доверия необходимо, чтобы решения органа по сертификации
основывались на объективных свидетельствах соответствия (или несоответствия), полученных
органом по сертификации, и чтобы на его решения не влияли другие интересы или другие стороны.
4.2.4 Угрозы для сохранения беспристрастности, в частности, могут включать следующее.
a) Собственная выгода: угроза возникает в случае, когда человек или организация действуют в
личных интересах. В случае сертификации угрозой беспристрастности является финансовый
интерес.
b) Анализ собственной деятельности: угроза возникает при анализе человеком или организацией
собственной работы. Выполнение аудита систем менеджмента заказчика, которому орган по
© ISO/IEC 2015 — Все права сохраняются 5

сертификации предоставлял консультации по системам менеджмента, может привести к анализу
собственной работы.
c) Близкие отношения (или доверие): угроза возникает при слишком близких отношениях с лицом
или организацией, или в том случае, когда аудитор слишком доверяет другому лицу вместо того,
чтобы искать свидетельства аудита.
d) Запугивание: угроза возникает, когда у человека или органа возникает ощущение, что им
открыто или скрытым образом угрожают, например, заменой или сообщением руководству.
4.3 Компетентность
4.3.1 Компетентность персонала органа по сертификации во всех работах, связанных с процессом
сертификации, необходима для проведения сертификации, заслуживающей доверие.
4.3.2 Также необходимо, чтобы сертификация поддерживалась системой менеджмента органа по
сертификации.
4.3.3 Важнейшая задача для руководства органа по сертификации состоит в обеспечении внедрения
процесса для установления критериев компетентности персонала, участвующего в проведении аудита
и других работах по сертификации, и чтобы компетентность персонала оценивалась согласно данным
критериям.
4.4 Ответственность
4.4.1 Ответственность за достижение соответствия требованиям конкретного стандарта на систему
менеджмента и за соответствие требованиям к сертификации несет сертифицированный заказчик, а
не орган по сертификации.
4.4.2 Орган по сертификации несет ответственность за оценку достаточности объективных
свидетельств, на основании которых принимается решение о сертификации. На основании выводов
ые свидетельства
аудита он принимает решение о выдаче сертификата, если имеются достаточн
соответствия, или о невыдаче сертификата, если нет достаточных свидетельств соответствия.
ПРИМЕЧАНИЕ Любой аудит основан на выборке из всей системы менеджмента организации, поэтому
гарантия 100 % соответствия требованиям невозможна.
4.5 Открытость
4.5.1 Орган по сертификации должен обеспечивать открытый доступ или своевременно раскрывать
соответствующую информацию о процессе аудита и сертификации, а также о статусе сертификации
(например, выдаче, подтверждении сертификата, расширении или сужении области действия
сертификата, обновлении, приостановлении действия или отмене сертификата) любой организации с
целью обеспечения уверенности в добросовестности и достоверности сертификации. Открытость - это
принцип доступности или раскрытия соответствующей информации.
4.5.2 Для обеспечения или поддерживания доверия к сертификации орган по сертификации должен
предоставлять необходимый доступ или раскрывать неконфиденциальную информацию о результатах
конкретных аудитов (например, аудитов в ответ на жалобы) определенным заинтересованным
сторонам.
4.6 Конфиденциальность
Для получения преимущественного доступа к информации, требуемой органу по сертификации для
адекватной оценки соответствия требованиям, необходимо, чтобы орган по сертификации не
раскрывал конфиденциальной информации.
6 © ISO/IEC 2015 — Все права сохраняются

4.7 Реагирование на жалобы
Стороны, которые полагаясь на сертификацию, ожидают, что их жалобы будут рассмотрены, должны
быть уверены, что в случае признания их обоснованными орган по сертификации надлежащим
образом учтет эти жалобы и приложит надлежащие усилия для их разрешения. Результативное
реагирование на жалобы - важное средство защиты органа по сертификации, его заказчиков и других
пользователей сертификации от ошибок, упущений или ненадлежащего поведения. Доверие к
деятельности по сертификации обеспечивается в том случае, если проводится соответствующая
работа с жалобами.
ПРИМЕЧАНИЕ Правильный баланс между принципами открытости и конфиденциальности, включая
реагирование на жалобы, необходимо соблюдать для демонстрации обоснованности и достоверности процесса
всем пользователям сертификации.
4.8 Подход на основе рисков
Органы по сертификации должны учитывать риски, связанные с проведением компетентной,
непротиворечивой и беспристрастной сертификации. Риски могут быть, в частности, связаны с:
— целями аудита;
— выборкой, применяемой для целей аудита;
— беспристрастностью;
— юридическими и другими обязательными требованиями, включая обязательства сторон;
— проверяемой организацией и условиями деятельности заказчика;
— влиянием аудита на заказчика и его деятельность;
— здоровьем и безопасностью членов аудиторской группы;
— восприятия заинтересованных сторон;
— недостоверными сообщениями сертифицируемого заказчика;
— использованием знаков.
5 Общие требования
5.1 Особенности, связанные с законодательством и договорами
5.1.1 Юридическая ответственность
Орган по сертификации должен быть юридическим лицом, или определённой частью юридического
лица, чтобы нести юридическую ответственность за все свои действия в области сертификации.
Правительственный орган по сертификации рассматривается как юридическое лицо вследствие его
правительственного статуса.
5.1.2 Договор на проведение работ по сертификации
Орган по сертификации должен заключить с каждым заказчиком имеющий юридическую силу договор
об оказании услуг по сертификации в соответствии с требованиями настоящего стандарта. Кроме того,
при наличии нескольких офисов у органа по сертификации или нескольких производственных
площадок у заказчика орган по сертификации должен предусмотреть заключение имеющего
юридическую силу договора между выдающим сертификат органом и заказчиком, действие которого
жащие сертификации.
распространяется на все производственные площадки, подле
© ISO/IEC 2015 — Все права сохраняются 7

ПРИМЕЧАНИЕ Договор может включать несколько договорных соглашений, связанных между собой
посредством ссылок или иным образом.
5.1.3 Ответственность за решения о сертификации
Орган по сертификации должен нести ответственность и иметь полномочия для принятия решений в
области сертификации, включая выдачу, отказ в выдаче, подтверждение, возобновление сертификата,
расширение или сужение области действия сертификата, приостановку и прекращение действия
сертификата.
5.2 Управление беспристрастностью
5.2.1 Работы по оценке соответствия должны проводиться беспристрастным образом. Орган по
сертификации должен нести ответственность за обеспечение беспристрастности в ходе работ по
оценке соответствия, и он не должен допускать коммерческого, финансового или другого давления,
компрометирующего его беспристрастность.
5.2.2 Высшее руководство органа по сертификации должно взять на себя обязательства по
обеспечению беспристрастности в ходе работ по сертификации систем менеджмента. Орган по
сертификации должен иметь политику с заявлением о том, что, понимая важность беспристрастности
при выполнении работ по сертификации систем менеджмента, он управляет ситуациями, связанными с
конфликтом интересов, и гарантирует объективность своих действий по сертификации систем
менеджмента.
5.2.3 Орган по сертификации должен на постоянной основе идентифицировать, анализировать,
оценивать, регулировать, контролировать и документировать риски, связанные с конфликтом
интересов, возникающие при проведении сертификации, включая конфликты, вытекающие из его
взаимоотношений. Если взаимоотношения создают угрозу для обеспечения беспристрастности, орган
по сертификации должен документально оформить и суметь продемонстрировать, как он устраняет
или минимизирует такие угрозы, а также задокуметировать сведения о любом остающемся риске.
Такая демонстрация должна охватывать все выявленные потенциальные источники конфликта
интересов как в рамках органа по сертификации, так и в деятельности других лиц, органов или
организаций. Если взаимоотношения становятся недопустимой угрозой для обеспечения
беспристрастности (например, в случае, когда запрос на проведение сертификации поступает от
дочерней компании органа по сертификации, находящейся в полном его владении), сертификация не
допускается.
Высшее руководство должно анализировать любой остающийся риск на предмет его допустимости.
Работа по оценке рисков должна включать идентификацию заинтересованных сторон и
консультирование с ними по поводу аспектов, оказывающих влияние на обеспечение
беспристрастности, включая открытость и восприятие общественностью. Консультирование с
заинтересованными сторонами должно быть сбалансированным, не допускающим преобладания
интересов одной из сторон.
ПРИМЕЧАНИЕ 1 Взаимоотношения, представляющие угрозу для обеспечения беспристрастности органа по
сертификации, могут быть связаны с правами собственности, властными полномочиями, менеджментом,
персоналом, совместно используемыми ресурсами, финансированием, контрактами, маркетингом, уплатой
комиссионных с продаж или с другим поощрением за привлечение новых заказчиков и т.д.
ПРИМЕЧАНИЕ 2 Заинтересованными сторонами могут быть работники и заказчики органа по сертификации,
потребители организаций, системы менеджмента которых проверяют в целях сертификации, представители
торгово-промышленных ассоциаций, представители правительственных регулирующих органов и других
правительственных учреждений, или представители неправительственных организаций, включая организации
потребителей.
ПРИМЕЧАНИЕ 3 Одним из способов выполнения требования настоящего раздела, касающегося
необходимости проведения консультирования, является создание комитета с участием заинтересованных сторон.
5.2.4 Орган по сертификации не должен сертифицировать какой-либо другой орган по сертификации
в отношении его деятельности по сертификации систем менеджмента.
8 © ISO/IEC 2015 — Все права сохраняются

5.2.5 Орган по сертификации и любая часть того же юридического лица, а также любое юридическое
лицо под организационным управлением органа по сертификации [см. 9.5.1.2, b)], не должны
предлагать или проводить консультации по системам менеджмента. Это также применимо к той части
правительственной структуры, которая идентифицирована как орган по сертификации.
ПРИМЕЧАНИЕ Это не исключает возможности обмена информацией (например, объяснение содержания
выводов или требований) между органом по сертификации и его заказчиками.
5.2.6 Проведение внутренних аудитов органом по сертификации представляет серьезную угрозу для
обеспечения беспристрастности. Орган по сертификации и любая часть того же юридического лица, а
также любое юридическое лицо под организационным управлением органа по сертификации [см.
9.5.1.2, b)], не должны предлагать или проводить внутренние аудиты у сертифицированных им
заказчиков. Орган по сертификации не должен сертифицировать систему менеджмента, внутренние
аудиты которой он проводил, как минимум два года после завершения внутренних аудитов. Это также
применимо к той части правительственной структуры, которая идентифицирована как орган по
сертификации.
ПРИМЕЧАНИЕ См. Примечание 1 к 5.2.3.
5.2.7 Если заказчику оказывалась консультативная помощь организацией, имеющей связи с органом
по сертификации, то это представляет серьезную угрозу для обеспечения беспристрастности. Одним
из признанных способов снижения этой угрозы является установление двухлетнего маратория на
проведение сертификации системы менеджмента с момента завершения консультаций.
ПРИМЕЧАНИЕ См. Примечание 1 к 5.2.3.
5.2.8 Орган по сертификации не должен передавать право проведения аудитов организации,
занимающейся консультированием по системам мен
...