CEA 07 ORGANISMOS DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN

CRITERIOS GENERALES PARA LA ACREDITACIÓN DE ORGANISMOS DE

CERTIFICACIÓN DE SISTEMAS DE GESTIÓN

CEA 07 Versión 01 Página 1 de 6

CEA-07 / Versión 01 / Aprobado 2012-04-26

1. OBJETIVO El objeto del presente documento es establecer y unificar los Criterios Generales que el Organismo Nacional de Acreditación de Colombia, ONAC, aplica para la Acreditación de los Organismos de Certificacion de Sistemas de Gestión, de acuerdo a los requerimientos establecidos en la NTC-ISO/IEC 17021 ”Requisitos Generales para organismos que realizan la Auditoria y la certificación de sistemas de Gestión” y las Directrices Mandatoria del IAF (International Accreditation Forum) IAF MD 1 Certificación de múltiples sitios basado en muestreo, IAF MD 2: Transferencia de sistemas de gestión de certificación acreditados, IAF MD 3: Vigilancia avanzada y procedimientos de recertificación (ASRP), IAFMD 4: Uso de técnicas de auditoría asistidas por computadora ("CAAT") para la acreditación de certificación de sistemas de gestión IAF MD 5: Duración de auditorías para QMS y EMS, para la aplicación de la NTC-ISO/IEC 17021. 2. CAMPO DE APLICACIÓN Y ALCANCE

Aplica a todas las actividades de evaluación inicial, de seguimiento, extraordinarias, ampliación del alcance de acreditación y reevaluación del alcance de acreditación, que realiza el ONAC a los Organismos de Evaluación de la Conformidad.

3. DOCUMENTOS DE REFERENCIA NTC-ISO/IEC 17000, Evaluación de la conformidad – Vocabulario y principios generales. NTC-ISO/IEC 17011, Evaluación de la conformidad – Requisitos generales para las entidades de acreditación que realizan la acreditación de entidades de evaluación de la conformidad. NTC-ISO/IEC 17021, Criterios generales relativos a Sistema de Gestión NTC-ISO 19011, Directrices para la auditoría de sistemas de sistemas de Gestión. IAF MD 1 Certificación de múltiples sitios basado en muestreo IAF MD 2: Transferencia de sistemas de gestión de certificación acreditados IAF MD 3: Vigilancia avanzada y procedimientos de recertificación (ASRP) IAFMD 4: Uso de técnicas de auditoría asistidas por computadora ("CAAT") para la acreditación de certificación de sistemas de gestión IAF MD 5: Duración de auditorías para QMS y EMS P-EVA-01 Procedimiento de evaluación

4. TÉRMINOS Y DEFINICIONES Evaluación: Proceso realizado por un organismo de acreditación para evaluar la competencia de un OEC con base en determinadas normas u otros documentos normativos y para un alcance de acreditación definido. Evaluador: Persona designada por un organismo de acreditación para ejecutar, sola o como parte de un equipo evaluador, la evaluación de un OEC.





Equipo evaluador: Uno o más evaluadores que llevan a cabo una evaluación, con el apoyo de expertos técnicos, si se requiere. Organismo evaluador de la conformidad (OEC): Organismo que realiza servicios de evaluación de la conformidad y que puede ser objeto de la acreditación. Experto: Persona designada por un organismo de acreditación para aportar conocimientos específicos o pericia respecto al alcance de la acreditación a ser evaluado. Evaluador Líder: Evaluador al que se le asigna la responsabilidad total de las actividades de evaluación especificadas. Coordinador Sectorial: Persona de tiempo completo del organismo de acreditación quien provee asesoría en las políticas y regulaciones del organismo de acreditación en una modalidad determinada y puede actuar como evaluador líder o experto si tiene las calificaciones correspondientes. Proveedor: Organización o persona que proporciona un producto. Ejemplo: productor, distribuidor, minorista o vendedor de un producto, o prestador de un servicio o información. Testificar: Observar al OEC realizando servicios de evaluación de la conformidad dentro de su alcance de la acreditación Sistema de certificación: Sistema de evaluación de la conformidad que incluye la selección, determinación, revisión y finalmente la certificación como la actividad de atestación. Partes Interesadas: Partes con un interés directo e Indirecto en la acreditación Documento normativo: Documento que proporciona reglas, directrices o características para actividades o sus resultados. El término “documento normativo” es un término genérico que se aplica a documentos como normas, especificaciones técnicas, códigos de práctica y reglamentos. Un “documento” debe entenderse como cualquier medio con información registrada en o sobre él. Los términos aplicados a diferentes tipos de documentos normativos se definen considerando el documento y su contenido como una entidad única.

5. Lineamientos generales

5.1. Documento Obligatorio del IAF para la Certificación Multi-sitio Basada en el Muestreo





Este documento es obligatorio para la aplicación consistente del Apartado 9.1.5. de ISO/IEC 17021:2006 y se

basa en la guía anteriormente brindada en IAF GD2: 2005 Apéndice 3 y IAF GD6:2003, apartado G.5.3.5 –

G.5.3.13. Todos los apartados de ISO/IEC 17021:2006 continúan aplicándose y este documento no sustituye

ninguno de los requisitos en esa norma. Este documento obligatorio no es exclusivo para los Sistemas de

Gestión de Calidad (SGC) ni para los Sistemas de Gestión Ambiental (SGA) y puede utilizarse para otros

sistemas de gestión. Sin embargo, las normas pertinentes pueden brindar los requisitos específicos para los

multi-sitio o excluir el uso del muestreo (ej. ISO/IEC 27006, ISO/TS 22003).

0. INTRODUCCIÓN 0.1. Este documento es para la auditoría y, si fuera adecuado, para la certificación de los sistemas de gestión en organizaciones con una red de sitios para asegurar que la auditoría proporciona la confianza adecuada sobre la conformidad del sistema de gestión con la norma pertinente a través de todos los sitios listados y que la auditoría sea práctica Y viable en términos económicos y operativos. 0.2. Normalmente las auditorías iniciales para la certificación y las auditorías subsecuentes de seguimiento y recertificación, deben llevarse a cabo en cada sitio de la organización que vaya a ser cubierto por la certificación. Sin embargo, cuando la actividad de la organización que sea sujeta a certificación se lleve a cabo de forma similar en diferentes sitios, todos bajo la autoridad y control de la organización, un organismo de certificación puede poner en operación los procedimientos apropiados para el muestreo de los sitios en la auditoría inicial y las posteriores auditorías de seguimiento y recertificación. Este documento establece las condiciones bajo las cuales esto es aceptable para los organismos de certificación acreditados, incluyendo el cálculo del tamaño de la muestra y la duración de la auditoría. 0.3. Este documento no aplica a las auditorías de las organizaciones que cuentan con sitios múltiples donde se utilizan procesos o actividades que son fundamentalmente distintos, en los diferentes sitios, o una combinación de sitios, aún cuando estén bajo el mismo sistema de gestión. Las condiciones bajo las cuales los organismos de certificación pueden realizar cualquier reducción en la

auditoría total normal de cada sitio, en estas circunstancias, tiene que justificarse en cada sitio donde se

proponga una reducción.

0.4. Este documento es aplicable a los organismos de certificación acreditados que emplean el muestreo en sus auditorías y certificación de organizaciones multi-sitios. No obstante, un organismo de certificación acreditado puede desviarse excepcionalmente de este documento bajo la condición de que pueda producir justificaciones pertinentes. Estas justificaciones deben bajo la evaluación por parte del organismo de acreditación, demostrar, que el mismo nivel de confianza puede ser obtenido en la conformidad del sistema de gestión en todos los sitios listados se 0.5. Cuando una organización se considere candidata para la certificación basada en el muestreo, el organismo de certificación debe contar con los acuerdos para explicar la aplicación de este documento a la organización previo al inicio de la auditoría





1. DEFINICIONES 1.1. Organización El término organización se utiliza para designar a cualquier compañía u otra organización con un sistema de gestión sujeto a auditoría y certificación. 1.2. Sitio Un sitio es un lugar permanente donde una organización realiza su trabajo o servicio.

1.3. Sitio Temporal Un sitio temporal es aquél establecido por una organización para desempeñar un trabajo específico o un servicio por un período de tiempo finito, y que no se convertirá en un lugar permanente. (por ejemplo: sitio de construcción). 1.4. Sitios Adicionales Un sitio nuevo o grupo de sitios que serán agregados a una red de multi-sitios certificados. 1.5. Organización Multi-sitio Una organización multi-sitio se define como una organización que cuenta con una función central identificada (de aquí en adelante nombrado como una oficina central – pero no necesariamente la oficina principal de la organización), en donde se planean, controlan o gestionan ciertas actividades, y una red de oficinas locales o sucursales (sitios) en donde tales actividades se llevan a cabo de forma total o parcial. 2. SOLICITUD 2.1. Sitio 2.1.1. Un sitio podría incluir toda la tierra donde se llevan a cabo las actividades bajo el control de una organización en una locación dada, lo que incluye cualquier almacén de materias primas, subproductos, productos intermedios , productos finales y material de desecho, y cualquier equipo o infraestructura, involucrado en las actividades, ya sean fijas o no. Alternativamente, cuando lo requiera la ley, deben aplicar las definiciones establecidas sobre los sistemas de licencias nacionales o locales. 2.1.2.Cuando no sea practico definir una locación (ej. para los servicios), la cobertura de la certificación debería tomar en cuenta las actividades de las oficinas centrales de la organización, así como la prestación de sus servicios. Donde sea relevante, el organismo de certificación puede decidir que la auditoría de certificación será realizada solamente donde la organización brinda sus servicios. En tales casos, todas las interfaces con su oficina central deben ser identificadas y auditadas. 2.2. Sitio Temporal 2.2.1. Los sitios temporales que están cubiertos por el sistema de gestión de la organización pueden estar sometidos a auditoría en base a muestreo, para brindar evidencia de la operación y eficacia del sistema de gestión. Pueden, sin embargo, estar incluidos dentro del ámbito de la certificación multi-sitio sujeto a un acuerdo entre el organismo de certificación y la organización cliente. Cuando se incluya en el alcance, tales sitios deben identificarse como temporales. 2.3. Organización Multi-sitio 2.3.1. Una organización multi-sitio no necesita ser una entidad legal única, pero todos los sitios deben contar con un vínculo legal o contractual con la oficina central de la organización y estar sometidos a un sistema de gestión común, el cual ya está establecido, y sujeto de seguimiento continuo y auditorías internas por parte de la oficina central. Esto significa que la oficina central tiene derecho a solicitar a los sitios la implementación de acciones correctivas cuando sea necesario en cualquier sitio. Donde aplique, esto se debe establecer por





medio de un acuerdo formal entre la oficina central y los sitios. Los ejemplos de posibles organizaciones multi-sitio son: • Organizaciones que operan con franquicias • Compañías industriales con una red de oficinas de ventas (este documento aplicaría a la red de ventas) • Compañías de servicio con sitios múltiples que ofrezcan un servicio similar • Compañías con sucursales múltiples

3. ELIGIBILIDAD DE UNA ORGANIZACIÓN PARA EL MUESTREO 3.0.1 Los procesos en todos los sitios tienen que ser sustancialmente de la misma naturaleza y tienen que operarse con métodos y procedimientos similares. Donde algunos de los sitios bajo consideración se operan de forma similar, pero con menos procesos que otros, pueden ser elegibles para la inclusión bajo la certificación multi-sitio siempre y cuando el/los sitio(es) que llevan a cabo la mayoría de los procesos, o los procesos críticos, sean sometidos a una auditoría completa. 3.0.2 Las organizaciones que llevan a cabo sus negocios por medio de procesos vinculados en sitios diferentes, también son elegibles para el muestreo, siempre y cuanto todas las otras disposiciones de este documento se cumplan. Cuando los procesos en cada lugar no son similares, pero están claramente vinculados, el plan de muestreo debe incluir por lo menos un ejemplo de cada proceso que la organización realice (ej. fabricación de componentes electrónicos en un sitio, ensamblaje de los mismos componentes –por la misma compañía en varios otros sitios) 3.0.3 El sistema de gestión de la organización debe estar bajo un plan administrado y controlado de forma central y debe estar sujeto a la revisión por la dirección central. Todos los sitios relevantes, (incluida la función de la administración central), deben estar sujetos al programa de auditoría interna de la organización y todos deben haber sido auditados según ese programa, previo a que el organismo de certificación inicie su auditoría. 3.0.4 Se debe demostrar que la oficina central de la organización ha establecido un sistema de gestión de acuerdo con la norma aplicable al sistema de gestión bajo auditoría y que toda la organización cumple con los requisitos de la norma. Esto debe incluir la consideración del marco legal aplicable. 3.0.5 La organización debería demostrar su habilidad para reunir y analizar los datos, (que incluye pero no se limita a los puntos listados a continuación), de todos los sitios incluyendo la oficina central y sus autoridades; y también demostrar su autoridad y capacidad para iniciar un cambio organizacional si se requiere: • Documentación del sistema y cambios del sistema; • Revisión por la Dirección; • Quejas; • Evaluación de las acciones correctivas; • Planificación de auditoría interna y evaluación de los resultados; • Cambios de aspectos e impactos asociados con los sistemas de gestión ambiental (SGA) y • Diferentes requisitos legales. 3.0.6 No todas las organizaciones que cumplan con la definición de “organización multi-sitio” serán elegibles para el muestreo. 3.0.7 No todas las normas de los sistemas de gestión son aptas para la consideración de la certificación multi-sitio, por ejemplo el muestreo:





Multi-sitios no sería adecuado cuando la auditoría de los factores locales variables sea un requisito de la norma. Las reglas específicas aplican también para algunos esquemas, por ejemplo aquellos que incluyen automotores (TS 16949) y aeroespacial (serie AS 9100) y los requisitos de tales esquemas deben tener prioridad.

3.0.8 Los organismos de certificación deberían tener procedimientos documentados para restringir tal muestreo, cuando el muestreo de sitio no sea apropiado para obtener suficiente confianza en la eficacia del sistema de gestión bajo auditoría. El organismo de certificación debería definir dichas restricciones con respecto a: • Alcance de los sectores o actividades (ej. basado en la evaluación de riesgos o complejidad asociada con ése sector o actividad); • Tamaño de los sitios elegibles para una auditoría multi-sitio; • Variaciones en la implementación local del sistema de gestión, tales como la necesidad frecuente del recurso del uso de planes dentro del sistema de gestión para adecuarse a a diferentes actividades , sistemas regulatorios o contractuales diferentes; • Uso de sitios temporales que operan bajo el sistema de gestión de la organización y que no están incluidos dentro del alcance de la certificación. 4.RESPONSABILIDAD DEL ORGANISMO DE CERTIFICACIÓN 4.0.1. El organismo de certificación debe brindar información a la organización sobre la aplicación de este documento y de las normas aplicables del sistema de gestión antes de iniciar el proceso de auditoría, y no deberían proceder si no se ha cumplido alguna de las disposiciones. Antes de iniciar con el proceso de auditoría, el organismo de certificación debería informar a la organización que el certificado no será emitido si durante una auditoría inicial se encuentran no-conformidades. 4.1. Revisión del Contrato 4.1.1. Los procedimientos del organismo de certificación deberían asegurar que la revisión inicial del contrato identifica la complejidad, y la escala de las actividades cubiertas por el sistema de gestión sometido a certificación, y cualquier diferencia entre los sitios como base para determinar el nivel del muestreo. 4.1.2. El organismo de certificación debe identificar la función central de la organización con la que tiene un acuerdo legalmente ejecutable para el suministro de las actividades de certificación. 4.1.3. El organismo de certificación debe verificar, en cada caso individual, hasta qué punto los sitios de la organización operan sustancialmente los mismos tipos de procesos según los mismos procedimientos y métodos. Ver apartado 3.0.1 para los sitios que llevan a cabo pocos, pero similares procesos que otros sitios y el apartado 3.0.2 para los sitios que involucran procesos vinculados. Solamente luego de un examen positivo por parte del organismo de certificación, de que todos los sitios propuestos para la inclusión en el ejercicio de multi-sitio cumplan con las disposiciones de elegibilidad, se puede aplicar el procedimiento de muestreo a los sitios individuales

4.1.4. Si todos los sitios de una organización de servicio, donde la actividad sujeta a certificación se lleva a cabo, no están listos para someterse a certificación al mismo tiempo, se le debe pedir a la organización que informe por anticipado al organismo de certificación, sobre los sitios que desea incluir en la certificación y aquellos que serán excluidos.





4.2. Auditoría 4.2.1. El organismo de certificación debe contar con los procedimientos documentados para lidiar con las auditorías bajo sus procedimientos multi-sitio. Dichos procedimientos deben establecer la forma en la que el organismo de certificación verifica que el mismo sistema de gestión rige las actividades de todos los sitios, se aplica a todos los sitios y que todos los criterios de elegibilidad para la organización establecidos en el apartado 3 antes mencionado se cumplen. Este requisito también aplica al sistema de gestión donde se utilizan documentos electrónicos, control de procesos u otros procesos electrónicos. El organismo de certificación debe justificar y registrar el fundamento para proceder con un enfoque de multi-sitios. 4.2.2. Si más de un equipo auditor está involucrado en la auditoría o seguimiento de la red, el organismo de certificación debería designar a un evaluador líder, cuya responsabilidad es la de consolidar los hallazgos de todos los equipos auditores y crear un informe resumen. 4.3. No-conformidades 4.3.1. Cuando en cualquier sitio individual se encuentran no-conformidades, tal como se define en ISO/IEC 17021 apartado 9.1.15 (b), ya sea por medio de la auditoría interna de la organización o del organismo de certificación, se debe realizar una investigación para determinar si hay otros sitios que hayan podido ser afectados. Por lo tanto, el organismo de certificación debería solicitar a la organización que revise las no-conformidades para determinar si indican una deficiencia en general del sistema aplicable a otros sitios o no. Si se encuentra que lo hay, se debe llevar a cabo una acción correctiva y se debe verificar tanto, en la oficina central como en los sitios individuales afectados. Si por el contrario no se encuentra que sea así, la organización debería demostrarle al organismo de certificación la justificación para limitar su acción correctiva de seguimiento 4.3.2. El organismo de certificación debe solicitar evidencia de estas acciones e incrementar la frecuencia de su muestreo y/o el tamaño de la muestra hasta que esté satisfecho con que el control se ha restablecido. 4.3.3. En el momento del proceso de toma de decisión, si alguno de los sitios cuenta con alguna no-conformidad, como se define en ISO/IEC 17021 apartado 9.1.15 (b), se debe denegar la certificación a toda la red de sitios de la lista, hasta que las acciones correctivas sean satisfactorias.

4.3.4. No debe admitirse que, con el propósito de superar el obstáculo que surge al tener una no-conformidad en un solo sitio, la organización busque excluir al sitio “problemático” del alcance durante el proceso de certificación. Tal exclusión se puede acordar únicamente por adelantado. (Ver apartado 4.1.4) 4.4. Documentos de Certificación 4.4.1. Los documentos de certificación que cubran multi-sitios se pueden emitir siempre y cuando cada sitio incluido en el ámbito de certificación haya sido evaluado de manera individual por el organismo de certificación, o evaluado con el enfoque de muestreo descrito en este documento. 4.4.2. El organismo de certificación debe brindar los documentos de certificación al cliente certificado por cualquiera de los medios que escoja. Tales documentos de certificación deben cumplir con todo lo que indica ISO/IEC 17021.





4.4.3. Estos documentos deben especificar el nombre y dirección de la oficina central de la organización y una lista de todos los sitios a los cuales los documentos de certificación se relacionan. El alcance, u otra referencia, en estos documentos deben dejar claro que las actividades certificadas son llevadas a cabo por la red de sitios en la lista. Si el alcance de la certificación de los sitios se emite solamente como parte del alcance general de la organización, su aplicabilidad a todos los sitios se debe establecer claramente. Cuando sitios temporales estén incluidos en el alcance, tales sitios deben ser identificados como temporales en los documentos de certificación. 4.4.4. Los documentos de certificación pueden ser emitidos a la organización para cada sitio cubierto por la certificación bajo la condición de que contengan el mismo alcance, o un sub-alcance de ese alcance, y que incluya una referencia clara a los documentos principales de certificación. 4.4.5. La documentación de certificación será retirada por completo si la oficina central, o cualquiera de los sitios, no cumple las disposiciones necesarias para el mantenimiento de la certificación 4.4.6. La lista de los sitios se debe mantener actualizada por parte del organismo de certificación. Con este fin, el organismo de certificación debe solicitar a la organización que le informe sobre el cierre de cualquiera de los sitios cubiertos por la certificación. El incumplimiento en el suministro de tal información será considerado por el organismo de certificación como un mal uso de la certificación y debería actuar en consecuencia, según sus procedimientos. 4.4.7. Se pueden agregar sitios adicionales a una certificación existente como resultado de las actividades de seguimiento o recertificación o la ampliación del alcance. El organismo de certificación debe tener procedimientos documentados para agregar sitios nuevos.

5. MUESTREO 5.1. Metodología 5.1.1. La muestra debe ser en parte selectiva, basada en los factores establecidos a continuación y en parte no-selectiva, y debería abarcar un rango representativo de diferentes sitios seleccionados, sin excluir el elemento aleatorio del muestreo. 5.1.2. Al menos un 25% de la muestra debería seleccionarse al azar. 5.1.3. Tomando en cuenta las disposiciones mencionadas a continuación, el resto debería ser seleccionado de modo que las diferencias entre los sitios seleccionados durante el período de validez del certificado sea tan extenso como sea posible. 5.1.4. La selección del sitio puede incluir, entre otros, los siguientes aspectos: • Resultados de las auditorías internas de los sitios y las revisiones por la dirección o de auditorías de certificación previas; • Registros de quejas y otros aspectos relevantes de las acciones correctivas y preventivas; • Variaciones significativas en el tamaño de los sitios; • Variaciones en los patrones de turnos y procedimientos de trabajo; • La complejidad del sistema de gestión y los procesos llevados a cabo en los sitios; • Modificaciones desde la última auditoría de certificación; • Madurez del sistema de gestión y conocimiento de la organización; • Temas ambientales y el alcance de los aspectos e impactos asociados con los sistemas de gestión ambiental (SGA); • Las diferencias en la cultura, idioma y requisitos regulatorios; y • Dispersión geográfica.





5.1.5. Esta selección no tiene que hacerse al inicio del proceso de auditoría. Puede también realizarse una vez que la auditoría en la oficina central se haya completado. En cualquier caso, la oficina central debe ser informada sobre los sitios a incluir en el muestreo. Esto se puede hacer con poca antelación relativa, pero debería permitir el tiempo suficiente para la preparación de la auditoría. 5.2. Tamaño de la Muestra 5.2.1. El organismo de certificación debe tener un procedimiento documentado para determinar la muestra a tomar cuando se auditan los sitios como parte de las auditorías y certificación de una organización multi-sitio. Esto debe tomar en cuenta todos los factores descritos en este documento 5.2.2. El organismo de certificación debe contar con registros sobre cada aplicación del muestreo multi-sitio que justifique que está operando de acuerdo con este documento.

5.2.3. El siguiente cálculo es un modelo basado en un ejemplo de actividad, con un riesgo de bajo a medio, con menos de 50 empleados en cada sitio. El número mínimo de lugares a visitar por auditoría es: • Auditoría inicial: el tamaño de la muestra debería ser la raíz cuadrada del número de sitios remotos: (y=Mx ), redondeado hacia el número entero superior. • Auditoría de seguimiento: el tamaño de la muestra anual debería ser la raíz cuadrada del número de sitios remotos con 0.6 como un coeficiente (y=0.6 Mx), redondeado hacia el número entero superior. • Auditoría de recertificación: el tamaño de la muestra debería ser igual que para la auditoría inicial. No obstante, donde el sistema de gestión haya probado ser efectivo por un período de tres años, el tamaño de la muestra pudiera reducirse por un factor 0.8, por ejemplo: (y=0.8 Mx), redondeado hacia el número entero superior. 5.2.4. El organismo de certificación debe definir, dentro de su sistema de gestión, los niveles de riesgo de las actividades tal como se aplican arriba.

5.2.5. La oficina central debe ser evaluada durante cada certificación inicial y auditoría de recertificación, y por lo menos una vez al año como parte del seguimiento.

5.2.6 El tamaño o la frecuencia de la muestra debería ser incrementado cuando el análisis de riesgos efectuado por el organismo de certificación a la actividad cubierta por el sistema de gestión, sometido a certificación, indique circunstancias especiales con respecto a factores como: • El tamaño de los sitios y el número de empleados (ej. más de 50 empleados en un sitio); • La complejidad o nivel de riesgo de la actividad y del sistema de gestión; • Variaciones en las prácticas laborales (ej. turnos de trabajo); • Variaciones en las actividades asumidas; • Importancia o alcance de los aspectos e impactos asociados a los sistemas de gestión ambiental (SGA); • Registros de quejas y otros aspectos relevantes de acciones correctivas y preventivas; • Cualquier aspecto multinacional; y • Resultados de auditorías internas y revisiones por la dirección. 5.2.7. Cuando la organización cuenta con un sistema jerárquico de sucursales (ej. oficina central (casa matriz), oficinas nacionales, oficinas regionales, sucursales locales), el modelo de muestreo para la auditoría inicial como se definió anteriormente aplica a cada nivel. Ejemplo: 1 Oficina principal: visitada en cada ciclo de auditorías (inicial o seguimiento o de recertificación) 4 Oficinas nacionales: muestra = 2: mínimo, 1 al azar 27 Oficinas regionales: muestra = 6: mínimo, 2 al azar





1700 Sucursales locales: muestra = 42: mínimo, 11 al azar.

5.3. Tiempo para Auditorías 5.3.1. El tiempo de auditoría a utilizar en cada sitio individual es otro elemento a considerar, y el organismo de certificación debe estar preparado para justificar el tiempo utilizado para las auditorías multi-sitio en términos de su política general para la asignación del tiempo para la auditoría. 5.3.2. El número de los días hombre por sitio, incluyendo la oficina central, debería calcularse para cada sitio utilizando el documento publicado más reciente de IAF para el cálculo de los días hombre para la norma pertinente. 5.3.3. Se pueden aplicar reducciones tomando en consideración los apartados que no sean relevantes para la oficina central y/o sitios locales. El organismo de certificación debe registrar las razones para la justificación de dichas reducciones. Nota: Los sitios que realizan la mayoría de los procesos o los críticos no están sujetos a reducciones (apartado 3.1.1). 5.3.4. El tiempo total utilizado en la auditoría inicial, y en la de seguimiento, es la suma total del tiempo utilizado en cada sitio más el de la oficina central, y nunca debería ser menos que el que hubiera sido calculado para el tamaño y complejidad de la operación, si todo el trabajo se hiciera en un solo lugar. (ej. con todos los empleados de la compañía en el mismo sitio). 5.4. Sitios Adicionales 5.4.1. En la solicitud de un grupo nuevo de sitios para unirse a una red multi-sitio ya certificada, cada grupo

nuevo de sitios debería considerarse como una serie independiente para la determinación del tamaño de la

muestra. Luego de la inclusión del grupo nuevo en el certificado, los sitios nuevos deberían ser acumulados a

los anteriores para determinar el tamaño de la muestra para futuras auditorías de seguimiento o de

recertificación





5.2 Documento Obligatorio del IAF para la Transferencia de la Certificación Acreditada de Sistemas de Gestión

Este documento es obligatorio para la aplicación consistente del Apartado 9.1.1. de la ISO/IEC 17021:2006 y se basa en la guía que se facilitó previamente en el Anexo 4 del IAF GD2: 2005 y en el Anexo 2 del IAF GD6:2006. Todos los apartados de ISO/IEC 17021:2006 siguen siendo aplicables y este documento no sustituye ninguno de los requisitos de la norma. Este documento obligatorio no es exclusivo para los Sistemas de Gestión de la Calidad (SGC) y para los Sistemas de Gestión Ambiental (SGA), y se puede utilizar para otros sistemas de gestión. 0. INTRODUCCIÓN 0.1. Este documento proporciona un criterio normativo sobre la transferencia de la certificación acreditada de sistemas de gestión entre los organismos de certificación. Es posible que los criterios también sean aplicables en el caso de adquisiciones de organismos de certificación acreditados por un signatario de un MLA del IAF. 0.2. El objetivo de este documento es asegurar el mantenimiento de la integridad de las certificaciones acreditadas de los sistemas de gestión emitidas por un organismo de certificación, si posteriormente se transfiere a otro organismo similar. 0.3. Este documento proporciona un criterio mínimo para la transferencia de la certificación. Los organismos de Certificación pueden implementar procedimientos o acciones que sean más estrictos que los contenidos en este documento, siempre y cuando la libertad de un cliente para escoger un organismo de certificación no sea excesiva o injustamente limitada. 1. DEFINICIÓN 1.1. Transferencia de Certificación La transferencia de certificación se define como el reconocimiento de la existencia y validez de una certificación de un sistema de gestión, otorgada por un organismo de certificación acreditado (de ahora en adelante denominado “organismo de certificación emisor”), con el propósito de emitir su propia certificación. Nota: La certificación multiple (certificación concurrente por más de un organismo de certificación) no está cubierta por esta definición, y no es fomentada por el IAF. 2.2. REQUISITOS MÍNIMOS 2.1 Acreditación 2.1.1. Sólo las certificaciones cubiertas por una acreditación de un signatario de un MLA del IAF deben ser elegibles para la transferencia. Las organizaciones que tengan certificaciones que no estén cubiertas por tales acreditaciones deben ser consideradas como clientes nuevos. 2.3 Certificación 2.3.1 Normalmente, sólo deberían transferirse certificaciones acreditadas válidas. En los casos en que se haya otorgado la certificación por parte de un organismo de certificación que haya suspendido su actividad comercial, o cuya acreditación haya expirado, haya sido suspendida o revocada, el organismo de





certificación que acepta puede considerar tal certificación para la transferencia a su propia discreción. En tales casos, antes de proceder con la transferencia, el organismo de certificación que acepta debe obtener el acuerdo del organismo de acreditación cuya marca tenga la intención de incluir en el certificado. En el caso de adquisiciones, el organismo de certificación que adquiere debería, cuando fuera práctico, cumplir con las obligaciones contractuales del organismo de certificación adquirido. 2.3.2. No se debe aceptar para transferencia, la certificación de la cual se sepa que haya sido suspendida o se encuentre bajo amenaza de suspensión. Si el organismo de certificación que acepta no ha podido verificar el estado de la certificación con el organismo de certificación emisor, se le debe requerir a la organización que confirme que el certificado no está suspendido ni bajo amenaza de suspensión. 2.3.3. Si es posible, las no-conformidades pendientes deberían levantarse con el organismo certificador emisor, antes de realizar la transferencia. De no ser así, deben ser cerradas por el organismo de certificación que acepta. 2.3.4. Si en la revisión pre-transferencia no se identifican más problemas pendientes o potenciales, se puede emitir una certificación una vez se complete el proceso normal de toma de decisión. El programa de seguimiento debería basarse en el régimen de certificación previo, a menos que el organismo de certificación que acepta haya llevado a cabo una evaluación inicial o de re-certificación como resultado de la revisión. 2.3.5 Cuando existiesen dudas, luego de la revisión pre-transferencia, sobre la adecuación de una certificación actual o previa, el organismo de certificación que acepta, según la magnitud de la duda debe: • Tratar al solicitante como un cliente nuevo, o • Llevar a cabo una auditoría enfocada en las áreas con problemas identificados. La decisión sobre la acción requerida dependerá de la naturaleza y magnitud de cualquier problema que se haya encontrado, y se debe explicar a la organización, así como documentar la justificación sobre la decisión, y el organismo de certificación debe guardar los registros.





5.3 Documento Obligatorio del IAF para los Procedimientos Avanzados de Seguimiento y Recertificación

Este documento brinda criterios normativos para los procedimientos avanzados de seguimiento y recertificación (ASRP por sus siglas en inglés)) para la aplicación consistente del apartado 9.1.1 de la norma ISO/IEC 17021:2006 a fin de determinar los ajustes posteriores para el programa de auditoría. Este documento se encarga solamente de los Sistemas de Gestión de Calidad (SGC) y Sistemas de Gestión Ambiental (SGA), en los cuales los miembros del IAF han tenido experiencia en la implementación del ASRP o sus metodologías predecesoras. El uso del ASRP no es obligatorio, pero si un organismo de acreditación desea permitir a sus organismos de certificación acreditados y a su(s) cliente(s) optar por el uso de ASRP, es un requisito de IAF que el organismo de certificación y su(s) cliente(s) cumpla(n) con este documento y pueda(n) demostrar su conformidad al organismo de acreditación. 0. INTRODUCCIÓN 0.1. Para una organización cliente que ha establecido confianza en su sistema de gestión (SGC y/o SGA) por medio de su consistente demostración de efectividad por un período de tiempo, el organismo de certificación, en consulta con la organización, puede escoger aplicar los Procedimientos Avanzados de Seguimiento y Recertificacion (ASRP) que se presenta en este documento. Tal programa avanzado de seguimiento y recertificación puede brindar mayor confianza (pero no total) en los procesos de auditoría interna y de revisión por la dirección, de la organización, lo que incluye temas enfocados al seguimiento, toma en cuenta la entrada del diseño específico de la organización y/o el uso de otros métodos según sea apropiado, con el fin de demostrar la conformidad del sistema de gestión. 0.2. El objetivo de este documento es asegurar la prestación de auditorías más efectivas y eficaces para las organizaciones que cuentan con un registro de desempeño probado, mientras se mantiene al mismo tiempo la integridad de los certificados de sistemas de gestión acreditados con los que ya cuentan. 0.3. Este documento determina los requisitos mínimos para la aplicación del ASRP. Los organismos de certificación pueden implementar procedimientos o acciones que sean más estrictas que los que se encuentran aquí, siempre que la solicitud justificable de una organización para el ASRP no sea excesiva o injustamente limitante





1. REQUISITOS MÍNIMOS 1.1 Pre-requisito Con el fin de utilizar el ASRP, el organismo de certificación debe primero demostrarle al organismo de acreditación firmante del MLA de IAF: a) Que ha estado operando un esquema de certificación acreditado para el sistema de gestión pertinente (SGC y/o SGA) por un ciclo completo de acreditación como mínimo. b) Que es competente para diseñar un programa de ASRP para cada organización individual en el sistema de gestión pertinente (SGC y/o SGA), según los requisitos de la norma ISO 9001:2000 apartado 7.3 y usando el criterio la entrada del diseño específico que se menciona en el apartado 1.3.2 abajo. NOTA: Aquí se hace referencia a la ISO 9001, ya que esto especifica los requisitos para que el organismo de certificación diseñe un programa para ASRP ya sea operando certificación de SGC o SGA. 1.2 Alcance de Acreditación La competencia del organismo de certificación para cumplir con el apartado 1.1 (b), antes mencionado, debe ser evaluado por el organismo de acreditación después de lo cual, si es exitosa, se debe incluir en el alcance la referencia específica a la aprobación para ASRP para SGC y/o SGA, según corresponda. 1.3 Elegibilidad y Criterios de entrada para el Diseño El organismo de certificación debe informar al organismo de acreditación, antes de toda nueva utilización del ASRP para cada organización específica y debe demostrar que siguen los criterios de los apartados 1.3.1 y 1.3.2: 1.3.1 Criterio de Elegibilidad a) El organismo de certificación debe confirmar que el sistema de gestión de la organización ha demostrado conformidad con los requisitos de la(s) norma(s) aplicables, por un período de por lo menos un ciclo de certificación completo, lo que incluye las auditorías iniciales, de seguimiento y las de recertificación. NOTA: El organismo de certificación puede fundamentar esta confirmación de conformidad en el resultado de la primera auditoría de recertificación (que no sea ASRP) de la organización realizada al final de un ciclo de certificación de tres años. b) Todas las no-conformidades que surjan durante el ciclo de certificación, inmediatamente anterior al de que se utilice el ASRP deben haber sido resueltas exitosamente. c) En el caso de un SGA, el organismo de certificación debe confirmar que la organización ha establecido el cumplimiento con los requisitos legales aplicables y que no ha tenido ninguna sanción impuesta por la(s) autoridad(es) regulatoria(s) relevantes durante el período antes mencionado en a). d) El organismo de certificación debe haber acordado los indicadores de desempeño adecuados con la organización, sobre los cuales juzgar la efectividad continua del sistema de gestión y debe asegurar que la organización está cumpliendo de forma consistente con las metas de desempeño acordados. (i) Para un SGC, estos indicadores de desempeño deben contemplar, como mínimo, la habilidad demostrada de la organización para proporcionar, de modo consistente un producto que cumpla con los requisitos del cliente y regulatorios aplicables (ver ISO 9001:2008 apartado 1.1); y debe incorporar requisitos para una mejora continua de la efectividad del SGC. NOTA: Para un SGC, “indicador” significa la característica a ser medida y “meta” significa los requisitos cuantitativos/cualitativos a ser alcanzados.. (ii) Para un SGA, estos indicadores de desempeño deben contemplar como mínimo, la habilidad demostrada de la organización para lograr su política ambiental, objetivos y metas y el cumplimiento con los requisitos legales aplicables y otros relacionados con sus aspectos ambientales (ver ISO 14001:2004 apartado 4.3.2), y deben incorporar requisitos para la mejora continua y prevención de contaminación. NOTA: Para un SGA, “indicador” significa la característica a medir y “meta” usada en el contexto de meta





de desempeño y significa los requisitos cuantitativos/cualitativos a ser alcanzados, lo cual se considera idéntico a “meta ambiental” como se define en ISO 14001. e) El organismo de certificación debe contar con acuerdos ejecutables con la organización para brindar acceso a información relevante. Para un SGC, esta información es la totalidad de los datos de satisfacción al cliente recogidos o que esté disponible de otra forma. Para un SGA, esta información es toda la comunicación relevante con las partes externas interesadas, y en particular la(s) autoridad(es) pertinentes (s). Cuando sea necesario para el organismo de certificación comunicarse directamente con la fuente de tal información, con el fin de validar la misma, se deben aplicar políticas y procedimientos de confidencialidad mutuamente acordados. f) El organismo de certificación debe confirmar que el proceso de auditoría interna de la organización está siendo gestionado según la guía ISO 19011, con referencia particular a la competencia del auditor definida en el apartado 7. El proceso de auditoría interna debe ser lo suficientemente coordinado e integrado de forma que provea una evaluación del sistema de gestión como un todo y no sólo el desempeño de los componentes individuales. g) El organismo de certificación debe contar con acuerdos contractualmente ejecutables que le permitan incrementar el alcance, frecuencia y duración de sus auditorías en el caso de un deterioro en la habilidad de la organización para cumplir con las metas de desempeño acordados. 1.3.2 Criterio de entrada para el Diseño Además de los criterios de entrada específicos de una organización en el diseño de cada ASRP individual debe contemplarse lo siguiente: a) La frecuencia y duración de las auditorías del organismo de certificación deben ser suficientes como para permitirle al organismo de certificación cumplir con este documento de criterios, incluyendo los siguientes b) y c), entre otros. Para cada utilización propuesta del ASRP, el organismo de certificación debe determinar el nivel base de tiempo auditor (que no sea ASRP) usando las Guías de IAF o los Documentos sobre Criterios Normativos y si aplica, el IAF NCD Z para el muestreo de multi-sitios. Si el organismo de certificación planea un programa individual ASRP, que reduce el tiempo auditor a menos de un 70% de ese nivel base, el organismo de certificación debe justificar tales reducciones y buscar la aprobación específica del organismo de acreditación antes de su implementación. NOTA: Los Documentos Obligatorios del IAF que aplican al tiempo del evaluador para SGC y SGA están en desarrollo. Hasta que tales documentos estén disponibles, el Apéndice 2 del IAF GD2 (y donde aplique, Apéndice 3) y el Apéndice 1 del IAF GD6 (y donde aplique, el apartado G5.3.6), debería continuar aplicándose para definir el tiempo total para la auditoría (Fase 1 + Fase 2). b) Además de auditar un número estadísticamente significativo de muestras de los procesos del sistema de gestión de la organización, para confirmar la adecuación y eficacia del proceso de auditoría interna, el organismo de certificación en sí debe continuar llevando a cabo las siguientes actividades en cada auditoría de seguimiento y de recertificación in situ, como mínimo (con otras actividades definidas por el ASRP; ver apartado 1.4 a continuación): • entrevistar a la alta gerencia y al representante de la dirección; • evaluar los insumos y resultados de la revision por la dirección, que incluya una verificación de la habilidad de la organización para cumplir con las metas de desempeño acordadas; • revisar el proceso de auditoria interna, que incluya los procedimientos y registros de las auditorías internas y la competencia de los auditores internos; y • revisar los planes de acciones correctivas y preventivas y verificar su implementación efectiva. c) El organismo de certificación debe asegurar que todos los requisitos para la certificación acreditada





(incluye los requisitos de ISO/IEC 17021:2006 y cualquier esquema del sector aplicable) se sigan cumpliendo. 1.4 Resultado del diseño El resultado del diseño para cada aplicación del programa ASRP del

organismo de certificación debe incluir los siguientes (a) – (f): a) El grado hasta el cual el organismo de certificación utilizará los procesos de auditoría interna y revisión por la dirección de la organización, para complementar las actividades del organismo de certificación; b) Los criterios para testificar las auditorías internas de la organización, que incluye el muestreo tanto de los auditores como de los procesos a auditar; c) Los criterios para aceptar y monitorear la competencia de las auditores internos de la organización y el método para informar los resultados de la auditoría interna; d) Los criterios para los ajustes continuos del programa de auditoría, tomando en cuenta la habilidad demostrada de la organización, a través del tiempo, para cumplir con las metas de desempeño acordadas; e) Los componentes del sistema de gestión que serán necesariamente auditados por el organismo de certificación en cada auditoría de seguimiento y recertificación (ver apartado 1.3.2 b); y f) Los criterios de competencia específicos para los auditores del organismo de certificación y donde aplique, para los expertos técnicos. 1.5 Certificados El organismo de certificación no debe hacer diferencia entre las metodologías ASRP y las que no son ASRP en los certificados que emiten.

5.4 Documento Obligatorio del IAF para el uso de Técnicas de Auditoría Asistidas por Computadora

(“CAAT”) para la Certificación Acreditada de Sistemas de Gestión Este documento obligatorio proporcionar una aplicación consistente de la ISO/IEC 17021:2006 cuando se utilicen técnicas de auditorías asistidas por computadora, como parte de la metodología de auditoría. El uso del CAAT (por sus siglas en inglés) no es obligatorio; pero si un organismo de certificación y su cliente optan por el uso del CAAT, es obligatorio que estén en conformidad con este documento y puedan demostrar conformidad al organismo de acreditación.





0. INTRODUCCIÓN 0.1. En vista de que las tecnologías de información y comunicación se vuelven cada vez más sofisticadas, es importante que los organismos de certificación puedan utilizar las “Técnicas de Auditoría Asistidas por Computadora”, con el fin de mejorar la efectividad y eficacia de la auditoría, y para apoyar y mantener la integridad del proceso de auditoría. NOTA: Las Directrices sobre el uso de las Técnicas de Auditoría Asistidas por Computadora pueden obtenerse del sitio en internet de ISO/IAF “Auditing Practices Group” www.iso.org/tc176/ISO9001AuditingPracticesGroup 0.2. Tales “Técnicas de Auditoría Asistidas por Computadora” (“CAAT”) pueden incluir, por ejemplo: • Teleconferencia, • Reuniones por medio web, • Comunicaciones interactivas por medio web, • Acceso electrónico remoto a la documentación del sistema de gestión y/o los procesos de sistemas de gestión. 0.3. Los objetivos para la aplicación efectiva de las CAAT son: a) Ofrecer una metodología que sea lo suficientemente flexible y que no sea prescriptivo por naturaleza, con el fin de satisfacer las necesidades de la industria, permitiendo que las organizaciones de los clientes y sus respectivos organismos de certificación las utilicen para mejorar su proceso de auditoría convencional, y b) Asegurar que los controles adecuados se estén cumpliendo con suficiente seguimiento por parte del organismo de acreditación para evitar abusos y para prevenir las presiones comerciales excesivas que pudieran comprometer la integridad del proceso de certificación. 1. REQUISITOS 1.1 Confidencialidad Según ISO/IEC 17021, apartado 8.5.1, la seguridad y confidencialidad de la información electrónica o la transmitida por ése medio, son de particular importancia cuando un organismo de certificación utiliza las CAAT. El organismo de certificación debería acordar las medidas de seguridad de la información mutuamente aceptable con su cliente antes de utilizar las CAAT. 1.2 Requisitos del proceso 1.2.1 Además de los requisitos de ISO/IEC 17021, apartado 9.1.2, el plan de auditoría debe identificar cualquier técnica de auditoría asistida por computadora que vaya a utilizarse. 1.2.2 Además de los requisitos de ISO/IEC 17021, apartado 9.1.3, cuando se utilice las CAAT, se debe dar atención específica a la habilidad de los auditores para entender y utilizar las tecnologías de la información que la organización del cliente emplea para administrar sus procesos de sistemas de gestión. 1.2.3 Además de los requisitos de ISO/IEC 17021, apartado 9.1.4, si un organismo de certificación usa las CAAT, se puede considerar que sea parte de la contribución al total del tiempo del auditor in-situ. Si las actividades de auditoría remotas representan más del 30% planeado para el tiempo auditor in-situ, el organismo de certificación debería justificar el plan de auditoría y obtener la aprobación específica del organismo de acreditación antes de su implementación. NOTAS: 1) Se espera que esta “aprobación específica” se realice inicialmente sobre la base de caso por caso, pero no excluye una “aprobación global” del organismo de acreditación para que el organismo de





certificación sobrepase un 30% de reducción, una vez que el organismo de certificación haya demostrado que su proceso es robusto. 2) El tiempo de auditor en sitio se refiere al tiempo del auditor ubicado en el sitio para los lugares individuales. Las auditorías electrónicas de lugares remotos se consideran auditorías remotas, aún si la auditoría electrónica se realiza físicamente desde otras instalaciones de la organización del cliente. 1.2.4 Además de los requisitos de ISO/IEC 17021, apartado 9.1.10, los informes de auditoría deben indicar el grado hasta el cual se han utilizado las CAAT para llevar a cabo la auditoría, y la forma en la que contribuyen a la eficacia y eficiencia de la misma 1.2.5 Además de los requisitos de ISO/IEC 17021, apartado 9.2.2.1 (a), cuando el organismo de certificación proponga el uso de las CAAT como parte de la auditoría, la revisión de la aplicación debe incluir la verificación de que la organización del cliente cuenta con la infraestructura necesaria para apoyar este enfoque. 1.2.6 Además de los requisitos de ISO/IEC 17021, apartado 9.3.2.2, a pesar del uso de las CAAT, la organización debe ser visitada físicamente, por lo menos anualmente. 1.2.7 Además de los requisitos de ISO/IEC 17021, apartado 9.9.2, los registros deben indicar el grado hasta el cual las CAAT han sido utilizadas para llevar a cabo la auditoría y la certificación. Fin del Documento Obligatorio para el uso de Técnicas de Auditoría Asistidas por Computadora para la Certificación Acreditada de los Sistemas de Gestión.





5.5 Documento Obligatorio del IAF para la Duración de las Auditorías de SGC y SGA

Este documento es obligatorio para la aplicación consistente del Apartado 9.1.4.de ISO/IEC 17021:2006 para las auditorías de sistemas de gestión ambiental y de calidad y se basa en la directriz anteriormente provista en IAF GD2:2005 Anexo 2 y GD6: 2006 Anexo 1. Todos los apartados de ISO/IEC 17021:2006continúan aplicándose y este documento no sustituye ninguno de los requisitos en esa norma. Aunque la cantidad de personal (permanente, temporal y de medio tiempo) del cliente se utilizan como punto de partida para considerar la duración de la auditoría, esta no es la única consideración y se debe tomaren cuenta otros factores que afecten la duración de la misma.

0. INTRODUCCIÓN 0.1. Este documento proporciona las disposiciones obligatorias y directrices para que los OECs desarrollen sus propios procedimientos documentados, con el fin de determinar la cantidad de tiempo requerido para la auditoría de los clientes con diferentes tamaños y complejidad sobre un amplio espectro de actividades. Se pretende que el mismo conduzca a la consistencia en la duración de la auditoría entre los OECs, así como entre clientes similares del mismo OEC. 0.2. Los OECs deben identificar la duración de la auditoría para la etapa 1 y la etapa 2 de la auditoría inicial, las auditorías de vigilancia, y las auditorías de re-certificación para cada solicitante y clientes certificados. 0.3. Este documento obligatorio no estipula los tiempos mínimos ni máximos; sin embargo proporciona una referencia que debe ser utilizada dentro de los procedimientos documentados de los OECs para determinarla duración adecuada de la auditoría, tomando en cuenta las especificidades del cliente a auditar. 0.4. Para los propósitos de la acreditación, se debe destacar que la no-conformidad con este documento (y/o las tablas incluidas) en las instancias individuales no conlleva a la no-conformidad contra la ISO/IEC 17021. Sin embargo, esta situación pudiera contar con bases para una investigación a futuro dentro de la totalidad de la auditoría. Especial consideración se debe dar a investigarlas bases de la desviación de este documento obligatorio. 0.5. Si las inconsistencias con este documento obligatorio se encuentran en una forma más regular, esto puede ser la base para una no-conformidad contra ISO/IEC 17021, basado en que el OEC no puede asegurar razonablemente que otorga a sus equipos auditores el tiempo para ejecutar una auditoría suficientemente completa como parte del proceso de certificación. 1.DEFINICIONES 1.1 Duración de la Auditoría La duración de la auditoría para todo tipo de auditoría es el tiempo efectivo medido en días de auditoría para realizar la actividad de auditoría.

1.2 Día de auditoría 1.2La duración de un día de auditoría -es normalmente de 8 horas y puede o no incluir el tiempo de viaje o almuerzo, según la legislación local. 1.3Número Efectivo de Personal. El número efectivo de personal consiste en todo el personal de tiempo completo involucrado en el ámbito de certificación, incluyendo aquéllos que trabajan en cada turno. El





personal que no es permanente (por temporadas, temporal y contratado) así como el personal de medio tiempo que estará presente en el momento de la auditoría debe incluirse en este número. 1.4Sitio temporal Un sitio temporal es aquél que una organización establece con el fin de desempeñar un trabajo específico o un servicio por un período finito, y el cual no se convertirá en un sitio permanente.(Ej. Un sitio de construcción).

1.5 Categoría de Complejidad (sólo SGA) Para los sistemas de gestión ambiental, las provisiones especificadas en este documento se basan en cinco categorías primarias de complejidad según su naturaleza, número y gravedad de los aspectos ambientales de una organización que fundamentalmente afecta el tiempo para la auditoría.

2. APLICACIÓN 2.1 Duración de la Auditoría La duración de la auditoría para todo tipo de auditoría incluye el tiempo in-situ en las instalaciones del cliente y el tiempo utilizado fuera de las instalaciones realizando las actividades de planificación, ,revisión de documentos, interacción con el personal del cliente y la redacción del informe.

Se espera que la duración de la auditoría destinada a la planificación y a la redacción del informe, combinados no reduzca la duración de la auditoría in-situ a menos del 80% del tiempo que se muestra en las Tablas SGC 1 y SGA 1. Esto aplica para las auditorías iniciales, de vigilancia y re-certificación. Aún cuando se requiera tiempo adicional para la planificación y/o redacción del informe, esto no será justificación para la reducción de la duración de la auditoría in-situ para cualquier auditoría.

2.2 Día de auditoría Las tablas SGC1 y SGA 1 presentan los tiempos de la auditoría, calculados en días de auditoría en base a 8 horas por día. Pueden ser necesarios, ajustes, nacionales en el número de días para cumplir con la legislación local, para viaje, horas de almuerzo y horas laborales, con el fin de alcanzar el mismo número total de horas para la auditoría de las Tablas SGC 1 y SGA 1. El número de días de auditoría–asignados no debe reducirse en las etapas de planificación, programando más horas por día laboral.

2.3 Número Efectivo de Personal El número efectivo de personal se utiliza como base para el cálculo de la duración de la auditoría. Dependiendo de las horas trabajadas, el número de personal de medio tiempo, puede reducirse y convertirse en un número equivalente de personal de tiempo completo. Se debería hacer la reducción apropiada al personal temporal que no cuenta con las destrezas yque puedan ser contratados en números considerables en algunos países debido a baja de tecnología y automatización. La reducción apropiada del número de





personal, se debería también hacer cuando una significativa proporción de personal lleva a cabo una función sencilla similar. Por ejemplo: transporte, línea de trabajo, líneas de ensamblaje, etc. Un OEC debe estar de acuerdo con la organización a ser auditada en cuanto al tiempo de la auditoría que mejor demostrará el alcance total de las actividades del cliente.

3 METODOLOGÍA PARADETERMINAR LA DURACIÓN DE LAAUDITORÍA

3.1 La metodología utilizada como base para el cálculo de la duración de la auditoría en una auditoría inicial (etapa 1 + etapa 2) involucra la interpretación de las tablas y figuras en el Anexo A y Anexo B para las auditorías de SGC y SGA respectivamente. El Anexo A (SGC) se basa solamente en el número efectivo de personal (ver apartado 2.3 para la directriz sobre el cálculo del número efectivo de personal) pero no proporciona una duración mínima o máxima. Además del número efectivo de personal, el Anexo B (SGA) se basa en la complejidad ambiental de la organización y no proporciona una duración mínima o máxima. 3.2 Utilizando un multiplicador adecuado, las mismas tablas y figuras se pueden utilizar como base para el cálculo de la duración de la auditoría para las auditorías de vigilancia (apartado 5) y auditorías de re-certificación (apartado 6). 3.3El OEC debe contar con procedimientos que proporcionen la asignación del tiempo adecuado para la auditoría de procesos relevantes del cliente. La experiencia ha mostrado que aparte del número de personal, el tiempo requerido para realizar una auditoría efectiva depende de otros factores tanto en SGC como en SGA. Estos factores se exploran en mayor detalle en el apartado 8. 3.4 Este documento obligatorio lista las disposiciones que deberían considerarse para el establecimiento de la cantidad de tiempo necesario para realizar una auditoría. Estos, y otros factores necesitan examinarse durante el proceso de revisión del contrato de los OECs, por su posible impacto sobre la duración de la auditoría, independientemente del tipo de auditoría. Por lo tanto, las tablas, figuras y diagramas relevantes para ambos, SGC y SGA, que muestran la relación entre el número efectivo de personal y complejidad, no pueden utilizarse por sí solo. Estas tablas y figuras proporcionan el marco de referencia para el planeamiento de auditorías a futuro y para hacer los ajustes a la duración para todo tipo de auditoría. 3.5Para las auditorías de SGC, la Figura SGC 1 proporciona una directriz visual para hacer los ajustes en los tiempos de auditorías básicos y proporcionan el marco de referencia para un proceso que debería utilizarse para la planificación de la auditoría, identificando un punto de partida basado en el número efectivo total de personal para todos los turnos. Cuando los procesos de realización del producto o servicio operan según turnos, la extensión de la auditoría de cada turno por parte del OEC depende de los procesos realizados en cada turno, y el nivel de control de cada turno demostrado por el cliente. La justificación para no auditar cada turno debe documentarse. 3.6Para una auditoría de SGA es apropiado basar la duración de la auditoría en el número efectivo de personal de la organización y la naturaleza, el número y gravedad de los aspectos ambientales de la organización típica en ese sector de la industria. La duración de la auditoría debería ser ajustada después en base a los factores significativos que únicamente apliquen a la organización a ser auditada. El OEC debería ejercer discreción para asegurar que cualquier variación en la duración de la auditoría no conlleva a comprometerla efectividad de las auditorías. 3.7El punto de partida para la determinación de la duración de la auditoría se debería identificar según el número efectivo de personal; luego, debería ajustarse a los factores significativos que aplican al cliente a auditar, atribuyendo a cada factor un peso aditivo o substractivo para modificar la figura base. En cada situación se deben documentar las bases para el establecimiento de la duración de la auditoría, incluyendo los ajustes realizados.





3.8Las determinaciones para la duración de la auditoría, usando las tablas o figuras de los Anexos Ay B no deben incluir el tiempo de los “auditores en entrenamiento” ni el tiempo de los expertos técnicos. 3.9 Sería poco probable que la reducción en la duración de una auditoría excediera el 30% de los tiempos establecidos en las Tablas SGC 1 o SGA1. C1 Los tiempos de duración de una auditoria no podrá exceder el 30% de los tiempos establecidos DURACIÓN DE LAAUDITORÍA INICIAL (ETAPA 1 MÁS ETAPA 2)

4.1 La duración de la auditoría involucrada en la planificación, la preparación y la redacción del informe combinados no debería reducir el tiempo total de la auditoría in-situ a menos del 80% del tiempo mostrado en las Tablas SGC 1 o SGA 1. Cuando se requiera tiempo adicional para la planificación y/o la redacción del informe, esto no debería ser una justificación para reducir la duración de la auditoría in-situ. 4.2 La tabla SGC 1 y la figura SGC 1 y las tablas SGA 1 y SGA 2 proporcionan el punto de partida para estimar la duración de una auditoría inicial (Etapa 1 +Etapa 2) para las auditorías de SGC y SGA respectivamente. 4.3Cuando un OEC haya aplicado una reducción en los tiempos establecidos en las tablas SGC 1 o SGA 1, la justificación deberá estar disponible para el organismo de acreditación para su revisión durante las evaluaciones por parte del mismo y cuando el organismo de acreditación lo requiera. 4.4La duración de la auditoría de certificación puede incluir técnicas de auditoría remota, tales como colaboración interactiva vía web, reuniones web, teleconferencias y/o verificación electrónica de los procesos del cliente (ver IAF MD4). Estas actividades deben ser identificadas en el plan de auditoría, y el tiempo utilizado en estas actividades se puede considerar como contribución al total del “tiempo de la auditoría in-situ”. Si el OEC planea una auditoría para la cual las actividades de auditoría remotas representan más del 30% del tiempo de la auditoría in-situ planeada, el OEC debe justificar el plan de auditoría y mantener los registros de esta justificación, que debe estar disponible para supervisión por un organismo de acreditación. Es poco probable que las actividades de auditoría remotas representen más del 50% del tiempo total del auditor in-situ. NOTAS: 1.El tiempo de auditor in-situ se refiere al tiempo del auditor in-situ asignado para los sitios individuales. Las auditorías a sitios remotos se consideran auditorías remotas, aún si la auditoría electrónica es realizada físicamente desde las instalaciones de la organización. 2. A pesar de las técnicas usadas para la auditoría remota, el cliente debe ser visitado al menos anualmente. 3. Es poco probable quela duración de la auditoría en Etapa 2 sea menor que 1 día/ auditor. 5 VIGILANCIA

5.1 Durante el ciclo de certificación inicial de tres años, la duración de la auditoría de vigilancia para una organización dada debería ser proporcional al tiempo utilizado en la auditoría de certificación inicial (etapa 1 + etapa 2), con el total de tiempo utilizado anualmente en el seguimiento sea aproximadamente 1/3 del tiempo utilizado en la auditoría de certificación inicial. Una actualización de los datos del cliente relacionados con la certificación debe estar disponible para la planificación de cada auditoría de seguimiento. La auditoría de seguimiento planeada debe ser revisada de vez en cuando, al menos en cada auditoría de seguimiento y siempre en el momento de la recertificación, para tomar en cuenta los cambios en la organización, madurez del sistema, etc. La evidencia de la revisión que incluye cualquier ajuste a la duración de la auditoría debe ser documentada.





6 RECERTIFICACIÓN

6.1La duración de la auditoría de recertificación debería calcularse según la información actualizada del cliente y sobre la base de 2/3 del tiempo que sería requerido para una auditoría de certificación inicial (Etapa 1 + Etapa 2) de la organización si tal auditoría inicial fuera a realizarse en el momento de la re-certificación (ej. no 2/3 de la duración de la auditoría de certificación inicial). La duración de la auditoría debe tomar en cuenta el resultado de la revisión del desempeño del sistema (ISO/IEC 17021 cl. 9.4.1.2). 7 CICLOS DE CERTIFICACIÓNINDIVIDUALIZADOS SEGUNDO YSUBSECUENTES

7.1 Para los ciclos de segunda certificación y subsecuentes, el OEC puede elegir diseñar un programa individualizado de vigilancia y de re-certificación (ver IAF MD-3 para los Procesos de Vigilancia Avanzada y de Re-certificación –ASRP, por sus siglas en inglés). Si el enfoque de un ASRP no es elegido, la duración de la auditoría debería ser calculada según se indica en los apartados5 y 6. 8 FACTORES PARA EL AJUSTE DELA DURACIÓN DE LA AUDITORÍA(SGC Y SGA)

8.1 Los factores adicionales que necesitan ser considerados incluyen, pero no se limitan a:

Incremento en la duración de la auditoría:

•Logísticas complicadas que involucren a más de un edificio o instalación donde se realice el trabajo. Ej., un Centro de Diseño separado debe ser auditado; •Personal hablando en más de un idioma (se requiere intérprete(s) prevenir que los auditores individuales trabajen de forma independiente); •Un sitio muy extenso para el número de personal (ej., un bosque); •Alto grado de regulación (ej. alimentos, medicamentos, aéreo espacial, energía nuclear, etc); •El sistema cubre procesos altamente complejos o con un número relativamente alto de actividades únicas; •Las actividades que requieren la visita a sitios temporales para confirmar las actividades del(os) sitio(s) permanente(s),cuyo sistema de gestión está sujeto a la certificación.

Sólo para los SGA

•Mayor sensibilidad a la recepción ambiental comparada con la locación típica para el sector de la industria; •Opiniones de las partes involucradas; •Aspectos indirectos que necesitan incrementar el tiempo para el evaluador; •Aspectos ambientales adicionales o poco usuales o condiciones reguladas para el sector.

Descenso en la duración de la auditoría:

•El cliente no es “responsable del diseño” u otros elementos de la norma que no estén cubiertos en el alcance (solo SGC); •Productos o procesos de bajo riesgo (para SGA, se encuentra en la tabla SGA 1); •Un sitio muy pequeño por el número de personal (ej. solo el complejo de oficinas); •Madurez del sistema de gestión;





•Auditoría combinada de un sistema integrado por dos o más sistemas de gestión compatibles; •Conocimiento previo del sistema de gestión del cliente (ej., ya certificado para otra norma por el mismo OEC); •La preparación del cliente para la certificación (ej., ya certificado o reconocido por otro esquema de tercera parte); •Actividades de complejidad baja, por ejemplo: •Procesos que involucren una sola actividad genérica (ej., Solo servicios); •Actividades idénticas desempeñadas en todos los turnos con evidencia apropiada del desempeño equivalente en todos los turnos según auditorías previas (auditorías internas y auditorías del OEC); •Cuando una proporción significativa del personal realiza una sola función similar. •Cuando el personal incluya un número de personas que trabajan “fuera de la locación”; por ejemplo, vendedores, choferes, personal deservicios, etc. y es posible auditar sustancialmente el cumplimiento de sus actividades con el sistema promedio de la revisión de los registros. •Todos los atributos del sistema, procesos y productos/servicios del cliente deberían ser considerados y debería hacerse un ajuste justo a aquellos factores que pudieran justificar más o menos el tiempo del auditor para una auditoría efectiva. Los factores aditivos pueden ser delimitados por factores substractivos.

SITIOS TEMPORALES

9.1En situaciones donde el solicitante de la certificación o el cliente certificado proporciona su(s) producto(s) o servicio(s) en sitios temporales, tales sitios deben ser incorporados dentro de los programas de auditoría. 9.2Los sitios temporales pueden comprender desde sitios con proyectos de gestión mayores hasta sitios de servicio/instalación menores. La necesidad de visitar tales sitios y la extensión del muestreo debería basarse en una evaluación de los riesgos de falla del SGC para controlar el resultado del producto o servicio o del SGA para controlar los aspectos ambientales y los impactos asociados con las operaciones de los clientes. El muestreo de los sitios seleccionados debería representar el rango de las necesidades de competencia del cliente y las variaciones del servicio, y con la consideración de las dimensiones y tipos de actividades, así como las etapas varias de los proyectos en progreso y los aspectos ambientales asociados e impactos. 9.3 Típicamente, las auditorías in-situ de los sitios temporales deberían ser realizadas, sin embargo, los métodos siguientes pudieran considerarse como alternativas para reemplazar algunas auditorías in-situ.

Entrevistas o reuniones con el cliente y/o sus cliente en persona o por medio de teleconferencia;

Revisión documental de las actividades del sitio temporal;

Acceso remoto al(los) sitio(s) que contengan registros u otra información que sea relevante para la evaluación del sistema de gestión y el(los) sitio(s)temporal(es);

Uso de video y teleconferencia u otra tecnología que permita la auditoría efectiva de forma remota.

9.4En cada caso, el método de auditoría debería ser completamente documentado y justificado en términos de su efectividad. 10 DURACIÓN DE LAAUDITORÍA MULTI-SITIO





10.1En el caso de las auditorías multi-sitio, el punto de inicio para calcularla duración de la auditoría para cada sitio debe ser consistente con la Tabla SGC1, y la Figura SGC 1 para los sistemas de gestión de calidad, y la Tabla SGA 1 para los sistemas de gestión ambiental. Sin embargo, se pueden realizarse reducciones contando con situaciones donde ciertos procesos del sistema de gestión no son relevantes al sitio y son responsabilidad primaria del sitio de control. Los requisitos para las auditorías multi-sitio están comprendidas en mayor detalle en IAF MD 1 para la Certificación Multi-sitio basada en el muestreo.

Nota 1: El número de empleados en la tabla SGC 1 debería ser visto como un continuo en vez de un cambio

escalonado.

Nota 2: El procedimiento del OC podrá disponer una duración de la auditoría para un número de empleados

superior a 10.700. Dicha duración de auditoría debería seguir la progresión en la tabla SGC 1 de forma

consistente.

El siguiente gráfico ilustra la interacción potencial de los factores aditivos y sustractivos en el tiempo

de auditor del cuadro anterior.

Figura SGC 1 – Relación entre complejidad y duración de la auditoría





Anexo B – Sistemas de Gestión Ambiental





TABLA SGA 1 – Relación entre el número efectivo de personal, complejidad y duración de la auditoría

(Solo Auditoría Inicial)

Nota 1: La duración de la auditoría se muestra para alta, media, baja y limitada según la complejidad de las auditorías. Nota 2: Los números de personal en la Tabla SGA 1 debería verse como continuo más que un cambio escalonado. Nota 3: El procedimiento del OEC puede proporcionar para la duración de la auditoría para un número de

personal que exceda los 10700. Tal duración de la auditoría debería seguir el progreso en la Tabla SGA 1 en

una forma consistente.

Categorías de complejidad de los aspectos ambientales





Las disposiciones que se especifican en este documento están fundamentadas en cinco categorías de complejidad principales, de la naturaleza y gravedad de los aspectos ambientales de una organización que fundamentalmente afectan el tiempo del evaluador. Los cuales son: Alta – aspectos ambientales con una naturaleza y gravedad significativas (típicamente son organizaciones de fabricación o procesamiento con impactos significativos en varios de los aspectos ambientales); Media – aspectos ambientales con naturaleza y gravedad medias (típicamente son organizaciones de

fabricación con impactos significativos sobre los aspectos ambientales);

organizaciones de ambiente tipo ensamblaje con pocos aspectos significativos); Limitada – aspectos ambientales con naturaleza y gravedad limitadas (normalmente son organizaciones de un ambiente tipo oficina); Especial – estos requieren consideración adicional y única en la etapa de planeamiento de la auditoría. La tabla SGA 1 comprende las cuatro categorías de complejidad mencionadas anteriormente: alta, media, baja y limitada. La tabla SGA 2 proporciona el vínculo entre las cinco categorías de complejidad antes mencionadas y los sectores de la industria que normalmente caerían en esta categoría. El OEC debería reconocer que no todas las organizaciones en un sector específico caen en la misma categoría de complejidad. El OEC debería permitir flexibilidad en su procedimiento de revisión del contrato para asegurar que las actividades específicas de la organización se consideren en la determinación de la categoría de complejidad. Por ejemplo, aunque muchos negocios en el sector químico deberían clasificarse como de “alta complejidad”, una organización que tuviera solo una mezcladora libre de reacción química o emisión y/o operación de comercialización se podría clasificar como “media” o incluso de “complejidad baja”. El OEC debe documentar todos los casos donde ellos hayan bajado la categoría de complejidad a una organización en un sector específico. La tabla SGA 1 no comprende la categoría de “complejidad especial” y la duración de la auditoría debe

desarrollarse y justificarse de forma individual en estos casos.

TABLA SGA 2 – Ejemplos de vínculos entre sectores empresariales y las categorías de complejidad de los aspectos ambientales

Categoría de Complejidad Sector Empresarial





Alta Minería y canteras Extracción de petróleo y gas Teñido de textiles y ropa Fabricación de de pulpa de papel, que incluye el proceso de reciclaje de papel Refinería de petróleo Químicos y farmacéuticos Producciones primarias – metales Proceso de no-metales y productos que comprenden cerámica y cemento Generación de electricidad a partir de carbón mineral Construcción civil y demolición Procesamiento de verdaderos y aguas residuales.

Media Pesca/ granja / forestales Textiles y ropa, excepto teñido Fabricación de pizarras, tratamiento/impregnación de maderas o productos madereros Producción de papel e impresión, excluye la pulpa Procesamiento de no-metales y productos que cubren vidrio, arcilla, cal, etc. Superficies y otros tratamientos químicos para ingenierías mecánicas en general Producción de tablas de circuitos impresos para la industria electrónica Fabricación de equipo para el transporte – caminos, líneas férreas, aire, barcos Generación de electricidad que no sea a base de carbón mineral y distribución Producción de gas, almacenamiento y distribución (nótese que la extracción está catalogada alta) Extracción del agua, purificación y distribución lo que incluye el manejo del río (nótese que el tratamiento de vertedores comerciales está catalogado alto) Venta al por mayor y al detalle de combustibles fósiles Comida y tabaco (procesamiento) Transporte y distribución (marítimo, aéreo, terrestre) Inmobiliarias , manejo de bienes raíces, limpieza industrial, limpieza higiénica, lavandería como parte normal de los servicios empresariales generales Reciclaje, abono, botaderos (de desecho que no sea peligroso) Ensayo técnico y laboratorios Cuidado de la salud / hospitales / veterinaria





cesamiento de desecho peligroso y no peligroso. Ej. Incineración, etc. Servicios de esparcimiento y servicios personales, excluye hoteles/restaurantes.

Baja Hoteles/restaurants Madera y productos madereros, excluye la fabricación de pizarras, tratamiento e impregnación de madera Productos de papel, excluye impresión, pulpa y la creación de papel Caucho y molduras para la inyección de plástico, forma y ensamblado; excluye fabricación de caucho y materias primas para el plástico, las cuales son parte de los químicos Formado en frío y caliente y fabricación de metal, que excluye el tratamiento de la superficie y otros tratamientos con base química y producción primaria Ensamblaje de ingeniería mecánica general, que excluye el tratamiento de la superficie y otros tratamientos con base química Venta al por mayor y al detalle Ensamblaje de equipo eléctrico y electrónico, que excluye la fabricación de tarjetas de circuito impresas

Actividades corporativas y de gestión, oficinas centrales y gestión del conglomerado empresarial Transporte y distribución, servicios de gestión que no tengan una flotilla actual para administrar Telecomunicaciones Servicios empresariales generales, excepto agencia de bienes raíces comercial, gestión de bienes raíces, limpieza industrial, limpieza higiénica, lavandería Servicios de educación





Casos especiales Nuclear Generación de electricidad nuclear Almacenamiento de grandes cantidades de material peligroso Administración pública Autoridades locales Organizaciones con productos o servicios sensibles para el ambiente Instituciones financieras

CEA 07 ORGANISMOS DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN

Documents

Transcript of CEA 07 ORGANISMOS DE CERTIFICACIÓN DE SISTEMAS DE GESTIÓN