ISO/IEC 17021:2011 - Conformity assessment

Conformity assessment - Requirements for bodies providing audit and certification of management systems

ISO/IEC 17021:2011 contains principles and requirements for the competence, consistency and impartiality of the audit and certification of management systems of all types (e.g. quality management systems or environmental management systems) and for bodies providing these activities. Certification bodies operating to ISO/IEC 17021:2011 need not offer all types of management system certification. Certification of management systems is a third-party conformity assessment activity. Bodies performing this activity are therefore third-party conformity assessment bodies.

Évaluation de la conformité — Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management

L'ISO 17021:2011 spécifie les principes et les exigences relatifs à la compétence, à la cohérence et à l'impartialité lors des audits et lors de la certification de systèmes de management de tous types (par exemple systèmes de management de la qualité ou systèmes de management environnemental) et relatives aux organismes fournissant cette activité. Les organismes de certification conformes à l'ISO 17021:2011 ne sont pas tenus de proposer tous les types de certification de système de management. La certification de systèmes de management est une activité d'évaluation de la conformité par tierce partie. Les organismes exerçant cette activité sont par conséquent des organismes d'évaluation de la conformité par tierce partie.

General Information

Status

Withdrawn

Publication Date

30-Jan-2011

Withdrawal Date

30-Jan-2011

ICS

03.120.20 - Product and company certification. Conformity assessment

Technical Committee

ISO/CASCO - Committee on conformity assessment

Drafting Committee

ISO/CASCO - Committee on conformity assessment

Current Stage

9599 - Withdrawal of International Standard

Start Date

08-Jun-2015

Completion Date

30-Oct-2025

Ref Project

Relations

Consolidates

ISO 18629-13:2006 - Industrial automation systems and integration - Process specification language - Part 13: Duration and ordering theories

Effective Date

06-Jun-2022

Revised

ISO/IEC 17021-1:2015 - Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 1: Requirements

Effective Date

10-Mar-2012

Revised

ISO/IEC 17021:2006 - Conformity assessment - Requirements for bodies providing audit and certification of management systems

Effective Date

22-May-2010

ISO/IEC 17021:2011 - Conformity assessment -- Requirements for bodies providing audit and certification of management systems

Standard

ISO/IEC 17021:2011 - Conformity assessment -- Requirements for bodies providing audit and certification of management systems

English language

44 pages

sale 15% off

Preview

sale 15% off

Preview

REDLINE ISO/IEC 17021:2011 - Conformity assessment -- Requirements for bodies providing audit and certification of management systems

Standard

REDLINE ISO/IEC 17021:2011 - Conformity assessment -- Requirements for bodies providing audit and certification of management systems

English language

44 pages

sale 15% off

Preview

sale 15% off

Preview

ISO/IEC 17021:2011 - Évaluation de la conformité -- Exigences pour les organismes procédant a l'audit et a la certification des systemes de management

Standard

ISO/IEC 17021:2011 - Évaluation de la conformité -- Exigences pour les organismes procédant a l'audit et a la certification des systemes de management

French language

47 pages

sale 15% off

Preview

sale 15% off

Preview

Standard

ISO/IEC 17021:2011 - Conformity assessment -- Requirements for bodies providing audit and certification of management systems

Spanish language

47 pages

sale 15% off

Preview

sale 15% off

Preview

Frequently Asked Questions

What is ISO/IEC 17021:2011?

ISO/IEC 17021:2011 is a standard published by the International Organization for Standardization (ISO). Its full title is "Conformity assessment - Requirements for bodies providing audit and certification of management systems". This standard covers: ISO/IEC 17021:2011 contains principles and requirements for the competence, consistency and impartiality of the audit and certification of management systems of all types (e.g. quality management systems or environmental management systems) and for bodies providing these activities. Certification bodies operating to ISO/IEC 17021:2011 need not offer all types of management system certification. Certification of management systems is a third-party conformity assessment activity. Bodies performing this activity are therefore third-party conformity assessment bodies.

What is the scope of ISO/IEC 17021:2011?

What ICS categories does ISO/IEC 17021:2011 belong to?

ISO/IEC 17021:2011 is classified under the following ICS (International Classification for Standards) categories: 03.120.20 - Product and company certification. Conformity assessment. The ICS classification helps identify the subject area and facilitates finding related standards.

What standards are related to ISO/IEC 17021:2011?

ISO/IEC 17021:2011 has the following relationships with other standards: It is inter standard links to ISO 18629-13:2006, ISO/IEC 17021-1:2015, ISO/IEC 17021:2006. Understanding these relationships helps ensure you are using the most current and applicable version of the standard.

How can I purchase ISO/IEC 17021:2011?

You can purchase ISO/IEC 17021:2011 directly from iTeh Standards. The document is available in PDF format and is delivered instantly after payment. Add the standard to your cart and complete the secure checkout process. iTeh Standards is an authorized distributor of ISO standards.

Standards Content (Sample)

INTERNATIONAL ISO/IEC
STANDARD 17021
Second edition
2011-02-01
Conformity assessment — Requirements
for bodies providing audit and
certification of management systems
Évaluation de la conformité — Exigences pour les organismes
procédant à l'audit et à la certification des systèmes de management

Reference number
©
ISO 2011
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.

© ISO 2011
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2011 — All rights reserved

Contents Page
Foreword .v
Introduction.vi
1 Scope.1
2 Normative references.1
3 Terms and definitions .1
4 Principles .3
4.1 General .3
4.2 Impartiality .3
4.3 Competence .4
4.4 Responsibility.4
4.5 Openness .4
4.6 Confidentiality.4
4.7 Responsiveness to complaints.4
5 General requirements .5
5.1 Legal and contractual matters .5
5.2 Management of impartiality.5
5.3 Liability and financing.6
6 Structural requirements.7
6.1 Organizational structure and top management .7
6.2 Committee for safeguarding impartiality .7
7 Resource requirements .8
7.1 Competence of management and personnel .8
7.2 Personnel involved in the certification activities.9
7.3 Use of individual external auditors and external technical experts.10
7.4 Personnel records.10
7.5 Outsourcing .10
8 Information requirements.11
8.1 Publicly accessible information.11
8.2 Certification documents .11
8.3 Directory of certified clients.12
8.4 Reference to certification and use of marks .12
8.5 Confidentiality.13
8.6 Information exchange between a certification body and its clients .13
9 Process requirements.14
9.1 General requirements .14
9.2 Initial audit and certification.22
9.3 Surveillance activities.25
9.4 Recertification.26
9.5 Special audits .27
9.6 Suspending, withdrawing or reducing the scope of certification .27
9.7 Appeals.28
9.8 Complaints .28
9.9 Records of applicants and clients.29
10 Management system requirements for certification bodies .30
10.1 Options .30
10.2 Option 1: Management system requirements in accordance with ISO 9001 .30
10.3 Option 2: General management system requirements.30
Annex A (normative) Required knowledge and skills . 34
Annex B (informative) Possible evaluation methods . 35
Annex C (informative) Example of a process flow for determining and maintaining competence . 37
Annex D (informative) Desired personal behaviours. 39
Annex E (informative) Third-party audit and certification process. 40
Annex F (informative) Considerations for the audit programme, scope or plan. 42
Bibliography. 44

iv © ISO 2011 — All rights reserved

Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of conformity
assessment, the ISO Committee on conformity assessment (CASCO) is responsible for the development of
International Standards and Guides.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
Draft International Standards are circulated to the member bodies for voting. Publication as an International
Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 17021 was prepared by the ISO Committee on conformity assessment (CASCO).
It was circulated for voting to the national bodies of both ISO and IEC, and was approved by both
organizations.
This second edition cancels and replaces the first edition (ISO/IEC 17021:2006), which has been revised to
expand the scope. The first edition is provisionally retained for a period of one year until the systematic review
of this second edition.
This International Standard has also been published in an unofficial, marked version indicating changes from
the previous edition.
Introduction
Certification of a management system, such as a quality or environmental management system of an
organization, is one means of providing assurance that the organization has implemented a system for the
management of the relevant aspects of its activities, in line with its policy.
This International Standard specifies requirements for certification bodies. Observance of these requirements
is intended to ensure that certification bodies operate management system certification in a competent,
consistent and impartial manner, thereby facilitating the recognition of such bodies and the acceptance of their
certifications on a national and international basis. This International Standard serves as a foundation for
facilitating the recognition of management system certification in the interests of international trade.
Certification of a management system provides independent demonstration that the management system of
the organization
a) conforms to specified requirements,
b) is capable of consistently achieving its stated policy and objectives, and
c) is effectively implemented.
Conformity assessment such as certification of a management system thereby provides value to the
organization, its customers and interested parties.
In this International Standard, Clause 4 describes the principles on which credible certification is based. These
principles help the reader to understand the essential nature of certification and they are a necessary prelude
to Clauses 5 to 10. These principles underpin all the requirements in this International Standard, but such
principles are not auditable requirements in their own right. Clause 10 describes two alternative ways of
supporting and demonstrating the consistent achievement of the requirements in this International Standard
through the establishment of a management system by the certification body.
This International Standard is intended for use by bodies that carry out audit and certification of management
systems. It gives generic requirements for such certification bodies performing audit and certification in the
field of quality, environmental and other forms of management systems. Such bodies are referred to as
certification bodies. This wording should not be an obstacle to the use of this International Standard by bodies
with other designations that undertake activities covered by the scope of this document.
Certification activities involve the audit of an organization's management system. The form of attestation of
conformity of an organization's management system to a specific management system standard or other
normative requirements is normally a certification document or a certificate.
The publication of this International Standard includes the text of ISO/IEC 17021:2006, including amendments
to delete relevant references to ISO 19011, with new text adding specific requirements for third-party
certification auditing and the management of competence of personnel involved in certification.
Specific market needs have already been identified, resulting from a lack of specific and recognized
requirements for third-party auditors of management systems, such as quality management systems,
environmental management systems or food safety management systems. The lack of requirements for
auditor competence and the way in which these auditors are managed and deployed has been identified by
key interested parties, including industry interested parties, as being a drawback.
This International Standard provides a set of requirements for management systems auditing at a generic
level, aimed at providing a reliable determination of conformity to the applicable requirements for certification,
conducted by a competent audit team, with adequate resources and following a consistent process, with the
results reported in a consistent manner.
vi © ISO 2011 — All rights reserved

This International Standard is applicable to the auditing and certification of any type of management system. It
is recognized that some of the requirements, and in particular those related to auditor competence, can be
supplemented with additional criteria in order to achieve the expectations of the interested parties.
In this International Standard, the word “shall” indicates a requirement and the word “should” a
recommendation.
INTERNATIONAL STANDARD ISO/IEC 17021:2011(E)

Conformity assessment — Requirements for bodies providing
audit and certification of management systems
1 Scope
This International Standard contains principles and requirements for the competence, consistency and
impartiality of the audit and certification of management systems of all types (e.g. quality management
systems or environmental management systems) and for bodies providing these activities. Certification bodies
operating to this International Standard need not offer all types of management system certification.
Certification of management systems (named in this International Standard “certification”) is a third-party
conformity assessment activity (see ISO/IEC 17000:2004, 5.5). Bodies performing this activity are therefore
third-party conformity assessment bodies (named in this International Standard “certification body/bodies”).
NOTE 1 Certification of a management system is sometimes also called “registration”, and certification bodies are
sometimes called “registrars”.
NOTE 2 A certification body can be non-governmental or governmental (with or without regulatory authority).
NOTE 3 This International Standard can be used as a criteria document for accreditation or peer assessment or other
audit processes.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 9000:2005, Quality management systems — Fundamentals and vocabulary
ISO/IEC 17000:2004, Conformity assessment — Vocabulary and general principles
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 9000, ISO/IEC 17000 and the
following apply.
3.1
certified client
organization whose management system has been certified
3.2
impartiality
actual and perceived presence of objectivity
NOTE 1 Objectivity means that conflicts of interest do not exist or are resolved so as not to adversely influence
subsequent activities of the certification body.
NOTE 2 Other terms that are useful in conveying the element of impartiality are: objectivity, independence, freedom
from conflict of interests, freedom from bias, lack of prejudice, neutrality, fairness, open-mindedness, even-handedness,
detachment, balance.
3.3
management system consultancy
participation in designing, implementing or maintaining a management system
EXAMPLES
a) preparing or producing manuals or procedures, and
b) giving specific advice, instructions or solutions towards the development and implementation of a management
system.
NOTE Arranging training and participating as a trainer is not considered consultancy, provided that, where the course
relates to management systems or auditing, it is confined to the provision of generic information that is freely available in
the public domain; i.e. the trainer should not provide company-specific solutions.
3.4
third-party certification audit
audit carried out by an auditing organization independent of the client and the user, for the purpose of
certifying the client's management system
NOTE 1 In the definitions which follow, the term “audit” has been used for simplicity to refer to third-party certification
audit.
NOTE 2 Third-party certification audits include initial, surveillance, re-certification audits, and can also include special
audits.
NOTE 3 Third-party certification audits are typically conducted by audit teams of those bodies providing certification of
conformity to the requirements of management system standards.
NOTE 4 A joint audit is when two or more auditing organizations cooperate to audit a single client.
NOTE 5 A combined audit is when a client is being audited against the requirements of two or more management
systems standards together.
NOTE 6 An integrated audit is when a client has integrated the application of requirements of two or more
management systems standards into a single management system and is being audited against more than one standard.
3.5
client
organization whose management system is being audited for certification purposes
3.6
auditor
person who conducts an audit
3.7
competence
ability to apply knowledge and skills to achieve intended results
3.8
guide
person appointed by the client to assist the audit team
3.9
observer
person who accompanies the audit team but does not audit
2 © ISO 2011 — All rights reserved

3.10
technical area
area characterized by commonalities of processes relevant to a specific type of management system
4 Principles
4.1 General
4.1.1 These principles are the basis for the subsequent specific performance and descriptive requirements
in this International Standard. This International Standard does not give specific requirements for all situations
that can occur. These principles should be applied as guidance for the decisions that may need to be made
for unanticipated situations. Principles are not requirements.
4.1.2 The overall aim of certification is to give confidence to all parties that a management system fulfils
specified requirements. The value of certification is the degree of public confidence and trust that is
established by an impartial and competent assessment by a third-party. Parties that have an interest in
certification include, but are not limited to
a) the clients of the certification bodies,
b) the customers of the organizations whose management systems are certified,
c) governmental authorities,
d) non-governmental organizations, and
e) consumers and other members of the public.
4.1.3 Principles for inspiring confidence include
⎯ impartiality,
⎯ competence,
⎯ responsibility,
⎯ openness,
⎯ confidentiality, and
⎯ responsiveness to complaints.
4.2 Impartiality
4.2.1 Being impartial, and being perceived to be impartial, is necessary for a certification body to deliver
certification that provides confidence.
4.2.2 It is recognized that the source of revenue for a certification body is its client paying for certification,
and that this is a potential threat to impartiality.
4.2.3 To obtain and maintain confidence, it is essential that a certification body's decisions be based on
objective evidence of conformity (or nonconformity) obtained by the certification body, and that its decisions
are not influenced by other interests or by other parties.
4.2.4 Threats to impartiality include the following.
a) Self-interest threats: threats that arise from a person or body acting in their own interest. A concern
related to certification, as a threat to impartiality, is financial self-interest.
b) Self-review threats: threats that arise from a person or body reviewing the work done by themselves.
Auditing the management systems of a client to whom the certification body provided management
systems consultancy would be a self-review threat.
c) Familiarity (or trust) threats: threats that arise from a person or body being too familiar with or trusting of
another person instead of seeking audit evidence.
d) Intimidation threats: threats that arise from a person or body having a perception of being coerced openly
or secretively, such as a threat to be replaced or reported to a supervisor.
4.3 Competence
Competence of the personnel supported by the management system of the certification body is necessary to
deliver certification that provides confidence.
4.4 Responsibility
4.4.1 The client organization, not the certification body, has the responsibility for conformity with the
requirements for certification.
4.4.2 The certification body has the responsibility to assess sufficient objective evidence upon which to
base a certification decision. Based on audit conclusions, it makes a decision to grant certification if there is
sufficient evidence of conformity, or not to grant certification if there is not sufficient evidence of conformity.
NOTE Any audit is based on sampling within an organization's management system and therefore is not a guarantee
of 100 % conformity with requirements.
4.5 Openness
4.5.1 A certification body needs to provide public access to, or disclosure of, appropriate and timely
information about its audit process and certification process, and about the certification status (i.e. the
granting, extending, maintaining, renewing, suspending, reducing the scope of, or withdrawing of certification)
of any organization, in order to gain confidence in the integrity and credibility of certification. Openness is a
principle of access to, or disclosure of, appropriate information.
4.5.2 To gain or maintain confidence in certification, a certification body should provide appropriate access
to, or disclosure of, non-confidential information about the conclusions of specific audits (e.g. audits in
response to complaints) to specific interested parties.
4.6 Confidentiality
To gain the privileged access to information that is needed for the certification body to assess conformity to
requirements for certification adequately, it is essential that a certification body keep confidential any
proprietary information about a client.
4.7 Responsiveness to complaints
Parties that rely on certification expect to have complaints investigated and, if these are found to be valid,
should have confidence that the complaints will be appropriately addressed and that a reasonable effort will
be made to resolve the complaints. Effective responsiveness to complaints is an important means of
protection for the certification body, its clients and other users of certification against errors, omissions or
unreasonable behaviour. Confidence in certification activities is safeguarded when complaints are processed
appropriately.
4 © ISO 2011 — All rights reserved

NOTE An appropriate balance between the principles of openness and confidentiality, including responsiveness to
complaints, is necessary in order to demonstrate integrity and credibility to all users of certification.
5 General requirements
5.1 Legal and contractual matters
5.1.1 Legal responsibility
The certification body shall be a legal entity, or a defined part of a legal entity, such that it can be held legally
responsible for all its certification activities. A governmental certification body is deemed to be a legal entity on
the basis of its governmental status.
5.1.2 Certification agreement
The certification body shall have a legally enforceable agreement for the provision of certification activities to
its client. In addition, where there are multiple offices of a certification body or multiple sites of a client, the
certification body shall ensure there is a legally enforceable agreement between the certification body granting
certification and issuing a certificate, and all the sites covered by the scope of the certification.
5.1.3 Responsibility for certification decisions
The certification body shall be responsible for, and shall retain authority for, its decisions relating to
certification, including the granting, maintaining, renewing, extending, reducing, suspending and withdrawing
of certification.
5.2 Management of impartiality
5.2.1 The certification body shall have top management commitment to impartiality in management system
certification activities. The certification body shall have a publicly accessible statement that it understands the
importance of impartiality in carrying out its management system certification activities, manages conflict of
interest and ensures the objectivity of its management system certification activities.
5.2.2 The certification body shall identify, analyse and document the possibilities for conflict of interests
arising from provision of certification including any conflicts arising from its relationships. Having relationships
does not necessarily present a certification body with a conflict of interest. However, if any relationship creates
a threat to impartiality, the certification body shall document and be able to demonstrate how it eliminates or
minimizes such threats. This information shall be made available to the committee specified in 6.2. The
demonstration shall cover all potential sources of conflict of interests that are identified, whether they arise
from within the certification body or from the activities of other persons, bodies or organizations.
NOTE A relationship that threatens the impartiality of the certification body can be based on ownership, governance,
management, personnel, shared resources, finances, contracts, marketing and payment of a sales commission or other
inducement for the referral of new clients, etc.
5.2.3 When a relationship poses an unacceptable threat to impartiality (such as a wholly owned subsidiary
of the certification body requesting certification from its parent), then certification shall not be provided.
NOTE See Note to 5.2.2.
5.2.4 A certification body shall not certify another certification body for its management system certification
activities.
NOTE See Note to 5.2.2.
5.2.5 The certification body and any part of the same legal entity shall not offer or provide management
system consultancy. This also applies to that part of government identified as the certification body.
5.2.6 The certification body and any part of the same legal entity shall not offer or provide internal audits to
its certified clients. The certification body shall not certify a management system on which it provided internal
audits within two years following the end of the internal audits. This also applies to that part of government
identified as the certification body.
NOTE See Note to 5.2.2.
5.2.7 The certification body shall not certify a management system on which a client has received
management system consultancy or internal audits, where the relationship between the consultancy
organization and the certification body poses an unacceptable threat to the impartiality of the certification
body.
NOTE 1 Allowing a minimum period of two years to elapse following the end of the management system consultancy is
one way of reducing the threat to impartiality to an acceptable level.
NOTE 2 See Note to 5.2.2.
5.2.8 The certification body shall not outsource audits to a management system consultancy organization,
as this poses an unacceptable threat to the impartiality of the certification body (see 7.5). This does not apply
to individuals contracted as auditors covered in 7.3.
5.2.9 The certification body's activities shall not be marketed or offered as linked with the activities of an
organization that provides management system consultancy. The certification body shall take action to correct
inappropriate claims by any consultancy organization stating or implying that certification would be simpler,
easier, faster or less expensive if the certification body were used. A certification body shall not state or imply
that certification would be simpler, easier, faster or less expensive if a specified consultancy organization were
used.
5.2.10 To ensure that there is no conflict of interests, personnel who have provided management system
consultancy, including those acting in a managerial capacity, shall not be used by the certification body to take
part in an audit or other certification activities if they have been involved in management system consultancy
towards the client in question within two years following the end of the consultancy.
5.2.11 The certification body shall take action to respond to any threats to its impartiality arising from the
actions of other persons, bodies or organizations.
5.2.12 All certification body personnel, either internal or external, or committees, who could influence the
certification activities, shall act impartially and shall not allow commercial, financial or other pressures to
compromise impartiality.
5.2.13 Certification bodies shall require personnel, internal and external, to reveal any situation known to
them that may present them or the certification body with a conflict of interests. Certification bodies shall use
this information as input to identifying threats to impartiality raised by the activities of such personnel or by the
organizations that employ them, and shall not use such personnel, internal or external, unless they can
demonstrate that there is no conflict of interests.
5.3 Liability and financing
5.3.1 The certification body shall be able to demonstrate that it has evaluated the risks arising from its
certification activities and that it has adequate arrangements (e.g. insurance or reserves) to cover liabilities
arising from its operations in each of its fields of activities and the geographic areas in which it operates.
5.3.2 The certification body shall evaluate its finances and sources of income and demonstrate to the
committee specified in 6.2 that initially, and on an ongoing basis, commercial, financial or other pressures do
not compromise its impartiality.
6 © ISO 2011 — All rights reserved

6 Structural requirements
6.1 Organizational structure and top management
6.1.1 The certification body shall document its organizational structure, showing duties, responsibilities and
authorities of management and other certification personnel and any committees. When the certification body
is a defined part of a legal entity, the structure shall include the line of authority and the relationship to other
parts within the same legal entity.
6.1.2 The certification body shall identify the top management (board, group of persons, or person) having
overall authority and responsibility for each of the following:
a) development of policies relating to the operation of the body;
b) supervision of the implementation of the policies and procedures;
c) supervision of the finances of the body;
d) development of management system certification services and schemes;
e) performance of audits and certification, and responsiveness to complaints;
f) decisions on certification;
g) delegation of authority to committees or individuals, as required, to undertake defined activities on its
behalf;
h) contractual arrangements;
i) provision of adequate resources for certification activities.
6.1.3 The certification body shall have formal rules for the appointment, terms of reference and operation of
any committees that are involved in the certification activities.
6.2 Committee for safeguarding impartiality
6.2.1 The structure of the certification body shall safeguard the impartiality of the activities of the
certification body and shall provide for a committee to
a) assist in developing the policies relating to impartiality of its certification activities,
b) counteract any tendency on the part of a certification body to allow commercial or other considerations to
prevent the consistent objective provision of certification activities,
c) advise on matters affecting confidence in certification, including openness and public perception, and
d) conduct a review, at least once annually, of the impartiality of the audit, certification and decision-making
processes of the certification body.
Other tasks or duties may be assigned to the committee provided these additional tasks or duties do not
compromise its essential role of ensuring impartiality.
6.2.2 The composition, terms of reference, duties, authorities, competence of members and responsibilities
of this committee shall be formally documented and authorized by the top management of the certification
body to ensure
a) representation of a balance of interests such that no single interest predominates (internal or external
personnel of the certification body are considered to be a single interest, and shall not predominate),
b) access to all the information necessary to enable it to fulfil its functions (see also 5.2.2 and 5.3.2), and
c) that if the top management of the certification body does not respect the advice of this committee, the
committee shall have the right to take independent action (e.g. informing authorities, accreditation bodies,
stakeholders). In taking independent action, committees shall respect the confidentiality requirements of
8.5 relating to the client and certification body.
6.2.3 Although this committee cannot represent every interest, a certification body should identify and invite
key interests. Such interests may include: clients of the certification body, customers of organizations whose
management systems are certified, representatives of industry trade associations, representatives of
governmental regulatory bodies or other governmental services, or representatives of non-governmental
organizations, including consumer organizations.
7 Resource requirements
7.1 Competence of management and personnel
7.1.1 General considerations
The certification body shall have processes to ensure that personnel have appropriate knowledge relevant to
the types of management systems and geographic areas in which it operates.
It shall determine the competence required for each technical area (as relevant for the specific certification
scheme), and for each function in the certification activity.
It shall determine the means for the demonstration of competence prior to carrying out specific functions.
7.1.2 Determination of competence criteria
The certification body shall have a documented process for determining the competence criteria for personnel
involved in the management and performance of audits and certification. Competence criteria shall be
determined with regard to the requirements of each type of management system standard or specification, for
each technical area, and for each function in the certification process. The output of the process shall be the
documented criteria of required knowledge and skills necessary to effectively perform audit and certification
tasks to be fulfilled to achieve the intended results. Annex A specifies the knowledge and skills that a
certification body shall define for specific functions. Where additional specific competence criteria have been
established for a specific certification scheme, e.g. ISO/TS 22003 (Food safety management systems), these
shall be applied.
NOTE The term 'technical area' can be applied differently depending on the management system standard being
considered. For any management system, the term is related to products and processes in the context of the scope of the
management system standard. The technical areas can be defined by a specific certification scheme (e.g. ISO/TS 22003);
or can be determined by the certification body. Examples of the application of the term 'technical area' for different types of
management systems are as follows:
⎯ For a quality management system standard, the term “technical area” is related to the processes needed to fulfil
customer expectations and applicable statutory and regulatory requirements for the organization's products and
services.
⎯ For an environmental management system standard, the term “technical area” is related to the categories of
activities, products and services related to the environmental aspects affecting air, water, land, natural resources,
flora, fauna and humans.
⎯ For a supply chain security management system standard, the term “technical area” is related to processes in the
context of security risk of supplies, such as transportation, storage, and information.
8 © ISO 2011 — All rights reserved

⎯ For an information security management system standard, the term “technical area” is related, among others, to the
categories of information security technologies and practices, information and communication technology and
business activities related to the selection of adequate and proportionate security controls that protect information
assets.
7.1.3 Evaluation processes
The certification body shall have documented processes for the initial competence evaluation, and on-going
monitoring of competence and performance of all personnel involved in the management and performance of
audits and certification, applying the determined competence criteria. The certification body shall demonstrate
that its evaluation methods are effective. The output from these processes shall be to identify personnel who
have demonstrated the level of competence required for the different functions of the audit and certification
process.
NOTE A number of evaluation methods that can be used to evaluate knowledge and skills are described in Annex B.
7.1.4 Other considerations
7.1.4.1 In determining the competence requirements for its personnel performing certification, the certification
body shall address the functions undertaken by management and administrative personnel in addition to those
directly performing audit and certification activities.
7.1.4.2 The certification body shall have access to the necessary technical expertise for advice on matters
directly relating to certification for technical areas, types of management system and geographic areas in
which the certification body operates. Such advice may be provided externally or by certification body
personnel.
7.2 Personnel involved in the certification activities
7.2.1 The certification body shall have, as part of its own organization, personnel having sufficient
competence for managing the type and range of audit programmes and other certification work performed.
7.2.2 The certification body shall employ, or have access to, a sufficient number of auditors, including audit
team leaders, and technical experts to cover all of its activities and to handle the volume of audit work
performed.
7.2.3 The certification body shall make clear to each person concerned their duties, responsibilities and
authorities.
7.2.4 The certification body shall have defined processes for selecting, training, formally authorizing
auditors and for selecting technical experts used in the certification activity. The initial competence evaluation
of an auditor shall include the ability to apply required knowledge and skills during audits, as determined by a
competent evaluator observing the auditor conducting an audit.
NOTE During the selection and training process described above desired personal behaviours can be considered.
These are characteristics that affect an individual's ability to perform specific functions. Therefore, knowledge about the
behaviours of individuals enables a certification body to take advantage of their strengths and to minimize the impact of
their weaknesses. Desired personal behaviours that are important for personnel involved in certification activities are
described in Annex D.
7.2.5 The certification body shall have a process to achieve and demonstrate effective auditing, including
the use of auditors and audit team leaders possessing generic auditing skills and knowledge, as well as skills
and knowledge appropriate for auditing in specific technical areas.
7.2.6 The certification body shall ensure that auditors (and, where needed, technical experts) are
knowledgeable of its audit processes, certification requirements and other relevant requirements. The
certification body shall give auditors and technical experts access to an up-to-date set of documented
procedures giving audit instructions and all relevant information on the certification activities.
...

INTERNATIONAL ISO/IEC
STANDARD 17021
Redline version
compares second edition
to first edition
Conformity assessment —
Requirements for bodies
providing audit and certification of
management systems
Évaluation de la conformité — Exigences pour les organismes
procédant à l’audit et à la certification des systèmes de management
Reference number
ISO/IEC 17021:redline:2014(E)
©
ISO/IEC 2014
ISO/IEC 17021:redline:2014(E)
IMPORTANT — PLEASE NOTE
This is a mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
Text example 2 — indicates removed text (in red)
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
DISCLAIMER
This Redline version provides you with a quick and easy way to compare the main changes
between this edition of the standard and its previous edition. It doesn’t capture all single
changes such as punctuation but highlights the modifications providing customers with
the most valuable information. Therefore it is important to note that this Redline version is
not the official ISO standard and that the users must consult with the clean version of the
standard, which is the official standard, for implementation purposes.
© ISO 2014
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2014 – All rights reserved

ISO/IEC 17021:redline:2014(E)
Contents Page
Foreword .v
Introduction .vi
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles . 3
4.1 General . 3
4.2 Impartiality . 3
4.3 Competence . 4
4.4 Responsibility . 4
4.5 Openness . 4
4.6 Confidentiality . 4
4.7 Responsiveness to complaints . 4
5 General requirements . 5
5.1 Legal and contractual matters . 5
5.2 Management of impartiality . 5
5.3 Liability and financing . 7
6 Structural requirements . 7
6.1 Organizational structure and top management . 7
6.2 Committee for safeguarding impartiality . 7
7 Resource requirements . 8
7.1 Competence of management and personnel . 8
7.2 Personnel involved in the certification activities . 9
7.3 Use of individual external auditors and external technical experts .10
7.4 Personnel records.11
7.5 Outsourcing.11
8 Information requirements .11
8.1 Publicly accessible information .11
8.2 Certification documents .12
8.3 Directory of certified clients .12
8.4 Reference to certification and use of marks .13
8.5 Confidentiality .13
8.6 Information exchange between a certification body and its clients .14
9 Process requirements .15
9.1 General requirements .15
9.2 Initial audit and certification .24
9.3 Surveillance activities .26
9.4 Recertification .27
9.5 Special audits .28
9.6 Suspending, withdrawing or reducing the scope of certification .28
9.7 Appeals .29
9.8 Complaints .30
9.9 Records of applicants and clients .31
10 Management system requirements for certification bodies .31
10.1 Options .31
10.2 Option 1: Management system requirements in accordance with ISO 9001 .32
10.3 Option 2: General management system requirements .32
Annex A (normative) Required knowledge and skills .36
Annex B (informative) Possible evaluation methods .37
ISO/IEC 17021:redline:2014(E)
Annex C (informative) Example of a process flow for determining and maintaining competence .39
Annex D (informative) Desired personal behaviours .41
Annex E (informative) Third-party audit and certification process .42
Annex F (informative) Considerations for the audit programme, scope or plan.44
Bibliography .46
iv © ISO 2014 – All rights reserved

ISO/IEC 17021:redline:2014(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are
members of ISO or IEC participate in the development of International Standards through technical
committees established by the respective organization to deal with particular fields of technical
activity. ISO and IEC technical committees collaborate in fields of mutual interest. Other international
organizations, governmental and non-governmental, in liaison with ISO and IEC, also take part in the
work. In the field of conformity assessment, the ISO Committee on conformity assessment (CASCO) is
responsible for the development of International Standards and Guides.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
Draft International Standards are circulated to the nationalmember bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the nationalmember bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 17021 was prepared by the ISO Committee on conformity assessment (CASCO).
It was circulated for voting to the national bodies of both ISO and IEC, and was approved by both
organizations.
This first edition of second edition cancels and replaces the first edition (ISO/IEC 17021:2006 cancels and
replaces )ISO/IEC Guide 62:1996 and ISO/IEC Guide 66:1999, which have been combined and technically
revised.has been revised to expand the scope. The first edition is provisionally retained for a period of
one year until the systematic review of this second edition.
This International Standard has also been published in an unofficial, marked version indicating changes
from the previous edition.
ISO/IEC 17021:redline:2014(E)
Introduction
Certification of a management system, such as a quality or environmental management system of an
organization, is one means of providing assurance that the organization has implemented a system for
the management of the relevant aspects of its activities, in line with its policy.
This International Standard specifies requirements for certification bodies. Observance of these
requirements is intended to ensure that certification bodies operate management system certification
in a competent, consistent and impartial manner, thereby facilitating the recognition of such bodies and
the acceptance of their certifications on a national and international basis. This International Standard
serves as a foundation for facilitating the recognition of management system certification in the interests
of international trade.
Certification of a management system provides independent demonstration that the management
system of the organization
a) conforms to specified requirements,
b) is capable of consistently achieving its stated policy and objectives, and
c) is effectively implemented.
Conformity assessment such as certification of a management system thereby provides value to the
organization, its customers and interested parties.
In this International Standard, Clause 4 describes the principles on which credible certification is based.
These principles help the reader to understand the essential nature of certification and they are a
necessary prelude to Clauses 5 to 10. These principles underpin all the requirements in this International
Standard, but such principles are not auditable requirements in their own right. Clause 10 describes two
alternative ways of supporting and demonstrating the consistent achievement of the requirements in
this International Standard through the establishment of a management system by the certification body.
This International Standard is intended for use by bodies that carry out audit and certification of
management systems. It gives generic requirements for such certification bodies performing audit
and certification in the field of quality, environmental and other forms of management systems. Such
bodies are referred to as certification bodies. This wording should not be an obstacle to the use of this
International Standard by bodies with other designations that undertake activities covered by the scope
of this document.
Certification activities involve the audit of an organization’s management system. The form of attestation
of conformity of an organization’s management system to a specific management system standard or
other normative requirements is normally a certification document or a certificate.
The publication of this International Standard includes the text of ISO/IEC 17021:2006, including
amendments to delete relevant references to ISO 19011, with new text adding specific requirements
for third-party certification auditing and the management of competence of personnel involved in
certification.
Specific market needs have already been identified, resulting from a lack of specific and recognized
requirements for third-party auditors of management systems, such as quality management systems,
environmental management systems or food safety management systems. The lack of requirements for
auditor competence and the way in which these auditors are managed and deployed has been identified
by key interested parties, including industry interested parties, as being a drawback.
This International Standard provides a set of requirements for management systems auditing at a generic
level, aimed at providing a reliable determination of conformity to the applicable requirements for
certification, conducted by a competent audit team, with adequate resources and following a consistent
process, with the results reported in a consistent manner.
vi © ISO 2014 – All rights reserved

ISO/IEC 17021:redline:2014(E)
This International Standard is applicable to the auditing and certification of any type of management
system. It is recognized that some of the requirements, and in particular those related to auditor
competence, can be supplemented with additional criteria in order to achieve the expectations of the
interested parties.
In this International Standard, the word “shall” indicates a requirement and the word “should” a
recommendation.
INTERNATIONAL STANDARD ISO/IEC 17021:redline:2014(E)
Conformity assessment — Requirements for bodies
providing audit and certification of management systems
1 Scope
This International Standard contains principles and requirements for the competence, consistency and
impartiality of the audit and certification of management systems of all types (e.g. quality management
systems or environmental management systems) and for bodies providing these activities. Certification
bodies operating to this International Standard need not offer all types of management system
certification.
Certification of management systems (named in this International Standard “certification”) is a third-
party conformity assessment activity (see ISO/IEC 17000:2004, 5.5). Bodies performing this activity are
therefore third-party conformity assessment bodies (named in this International Standard “certification
body/bodies”).
NOTE 1 Certification of a management system is sometimes also called “registration”, and certification bodies
are sometimes called “registrars”.
NOTE 2 A certification body can be non-governmental or governmental (with or without regulatory authority).
NOTE 3 This International Standard can be used as a criteria document for accreditation or peer assessment
or other audit processes.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 9000:2005, Quality management systems — Fundamentals and vocabulary
1)
ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing
ISO/IEC 17000:2004, Conformity assessment — Vocabulary and general principles
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 9000, ISO/IEC 17000 and the
following apply.
3.1
certified client
organization whose management system has been certified
3.2
impartiality
actual and perceived presence of objectivity
Note 1 to entry: Objectivity means that conflicts of interest do not exist or are resolved so as not to adversely
influence subsequent activities of the certification body.
1) References in this document to the relevant guidance in ISO 19011 apply to the auditing of all other types of
management systems.
ISO/IEC 17021:redline:2014(E)
Note 2 to entry: Other terms that are useful in conveying the element of impartiality are: objectivity, independence,
freedom from conflict of interests, freedom from bias, lack of prejudice, neutrality, fairness, open-mindedness,
even-handedness, detachment, balance.
3.3
management system consultancy
participation in designing, implementing or maintaining a management system
EXAMPLES are
a) preparing or producing manuals or procedures, and
b) giving specific advice, instructions or solutions towards the development and implementation of a
management system.
Note 1 to entry: Arranging training and participating as a trainer is not considered consultancy, provided that,
where the course relates to management systems or auditing, it is confined to the provision of generic information
that is freely available in the public domain; i.e. the trainer should not provide company-specific solutions.
3.4
third-party certification audit
audit carried out by an auditing organization independent of the client and the user, for the purpose of
certifying the client’s management system
Note 1 to entry: In the definitions which follow, the term “audit” has been used for simplicity to refer to third-
party certification audit.
Note 2 to entry: Third-party certification audits include initial, surveillance, re-certification audits, and can also
include special audits.
Note 3 to entry: Third-party certification audits are typically conducted by audit teams of those bodies providing
certification of conformity to the requirements of management system standards.
Note 4 to entry: A joint audit is when two or more auditing organizations cooperate to audit a single client.
Note 5 to entry: A combined audit is when a client is being audited against the requirements of two or more
management systems standards together.
Note 6 to entry: An integrated audit is when a client has integrated the application of requirements of two or more
management systems standards into a single management system and is being audited against more than one standard.
3.5
client
organization whose management system is being audited for certification purposes
3.6
auditor
person who conducts an audit
3.7
competence
ability to apply knowledge and skills to achieve intended results
3.8
guide
person appointed by the client to assist the audit team
3.9
observer
person who accompanies the audit team but does not audit
2 © ISO 2014 – All rights reserved

ISO/IEC 17021:redline:2014(E)
3.10
technical area
area characterized by commonalities of processes relevant to a specific type of management system
4 Principles
4.1 General
4.1.1 These principles are the basis for the subsequent specific performance and descriptive
requirements in this International Standard. This International Standard does not give specific
requirements for all situations that can occur. These principles should be applied as guidance for the
decisions that may need to be made for unanticipated situations. Principles are not requirements.
4.1.2 The overall aim of certification is to give confidence to all parties that a management system
fulfils specified requirements. The value of certification is the degree of public confidence and trust that
is established by an impartial and competent assessment by a third-party. Parties that have an interest in
certification include, but are not limited to
a) the clients of the certification bodies,
b) the customers of the organizations whose management systems are certified,
c) governmental authorities,
d) non-governmental organizations, and
e) consumers and other members of the public.
4.1.3 Principles for inspiring confidence include
— impartiality,
— competence,
— responsibility,
— openness,
— confidentiality, and
— responsiveness to complaints.
4.2 Impartiality
4.2.1 Being impartial, and being perceived to be impartial, is necessary for a certification body to deliver
certification that provides confidence.
4.2.2 It is recognized that the source of revenue for a certification body is its client paying for certification,
and that this is a potential threat to impartiality.
4.2.3 To obtain and maintain confidence, it is essential that a certification body’s decisions be based
on objective evidence of conformity (or nonconformity) obtained by the certification body, and that its
decisions are not influenced by other interests or by other parties.
4.2.4 Threats to impartiality include the following.
a) Self-interest threats: threats that arise from a person or body acting in their own interest. A concern
related to certification, as a threat to impartiality, is financial self-interest.
ISO/IEC 17021:redline:2014(E)
b) Self-review threats: threats that arise from a person or body reviewing the work done by themselves.
Auditing the management systems of a client to whom the certification body provided management
systems consultancy would be a self-review threat.
c) Familiarity (or trust) threats: threats that arise from a person or body being too familiar with or
trusting of another person instead of seeking audit evidence.
d) Intimidation threats: threats that arise from a person or body having a perception of being coerced
openly or secretively, such as a threat to be replaced or reported to a supervisor.
4.3 Competence
Competence of the personnel supported by the management system of the certification body is
necessary to deliver certification that provides confidence. Competence is the demonstrated ability to
apply knowledge and skills.
4.4 Responsibility
4.4.1 The client organization, not the certification body, has the responsibility for conformity with the
requirements for certification.
4.4.2 The certification body has the responsibility to assess sufficient objective evidence upon which to
base a certification decision. Based on audit conclusions, it makes a decision to grant certification if there is
sufficient evidence of conformity, or not to grant certification if there is not sufficient evidence of conformity.
NOTE Any audit is based on sampling within an organization’s management system and therefore is not a
guarantee of 100 % conformity with requirements.
4.5 Openness
4.5.1 A certification body needs to provide public access to, or disclosure of, appropriate and timely
information about its audit process and certification process, and about the certification status (i.e.
the granting, extending, maintaining, renewing, suspending, reducing the scope of, or withdrawing of
certification) of any organization, in order to gain confidence in the integrity and credibility of certification.
Openness is a principle of access to, or disclosure of, appropriate information.
4.5.2 To gain or maintain confidence in certification, a certification body should provide appropriate
access to, or disclosure of, non-confidential information about the conclusions of specific audits (e.g.
audits in response to complaints) to specific interested parties.
4.6 Confidentiality
To gain the privileged access to information that is needed for the certification body to assess conformity
to requirements for certification adequately, it is essential that a certification body keep confidential
any proprietary information about a client.
4.7 Responsiveness to complaints
Parties that rely on certification expect to have complaints investigated and, if these are found to be valid,
should have confidence that the complaints will be appropriately addressed and that a reasonable effort
will be made to resolve the complaints. Effective responsiveness to complaints is an important means of
protection for the certification body, its clients and other users of certification against errors, omissions
or unreasonable behaviour. Confidence in certification activities is safeguarded when complaints are
processed appropriately.
4 © ISO 2014 – All rights reserved

ISO/IEC 17021:redline:2014(E)
NOTE An appropriate balance between the principles of openness and confidentiality, including
responsiveness to complaints, is necessary in order to demonstrate integrity and credibility to all users of
certification.
5 General requirements
5.1 Legal and contractual matters
5.1.1 Legal responsibility
The certification body shall be a legal entity, or a defined part of a legal entity, such that it can be held
legally responsible for all its certification activities. A governmental certification body is deemed to be
a legal entity on the basis of its governmental status.
5.1.2 Certification agreement
The certification body shall have a legally enforceable agreement for the provision of certification
activities to its client. In addition, where there are multiple offices of a certification body or multiple
sites of a client, the certification body shall ensure there is a legally enforceable agreement between the
certification body granting certification and issuing a certificate, and all the sites covered by the scope
of the certification.
5.1.3 Responsibility for certification decisions
The certification body shall be responsible for, and shall retain authority for, its decisions relating
to certification, including the granting, maintaining, renewing, extending, reducing, suspending and
withdrawing of certification.
5.2 Management of impartiality
5.2.1 The certification body shall have top management commitment to impartiality in management
system certification activities. The certification body shall have a publicly accessible statement that it
understands the importance of impartiality in carrying out its management system certification activities,
manages conflict of interest and ensures the objectivity of its management system certification activities.
5.2.2 The certification body shall identify, analyse and document the possibilities for conflict of
interests arising from provision of certification including any conflicts arising from its relationships.
Having relationships does not necessarily present a certification body with a conflict of interest. However,
if any relationship creates a threat to impartiality, the certification body shall document and be able to
demonstrate how it eliminates or minimizes such threats. This information shall be made available to
the committee specified in 6.2. The demonstration shall cover all potential sources of conflict of interests
that are identified, whether they arise from within the certification body or from the activities of other
persons, bodies or organizations.
NOTE A relationship that threatens the impartiality of the certification body can be based on ownership,
governance, management, personnel, shared resources, finances, contracts, marketing and payment of a sales
commission or other inducement for the referral of new clients, etc.
5.2.3 When a relationship poses an unacceptable threat to impartiality (such as a wholly owned subsidiary
of the certification body requesting certification from its parent), then certification shall not be provided.
NOTE See Note to 5.2.2.
ISO/IEC 17021:redline:2014(E)
5.2.4 A certification body shall not certify another certification body for its management system
certification activities.
NOTE See Note to 5.2.2.
5.2.5 The certification body and any part of the same legal entity shall not offer or provide management
system consultancy. This also applies to that part of government identified as the certification body.
5.2.6 The certification body and any part of the same legal entity shall not offer or provide internal
audits to its certified clients. The certification body shall not certify a management system on which it
provided internal audits within two years following the end of the internal audits. This also applies to that
part of government identified as the certification body.
NOTE See Note to 5.2.2.
5.2.7 The certification body shall not certify a management system on which a client has received management
system consultancy or internal audits, where the relationship between the consultancy organization and the
certification body poses an unacceptable threat to the impartiality of the certification body.
NOTE 1 Allowing a minimum period of two years to elapse following the end of the management system
consultancy is one way of reducing the threat to impartiality to an acceptable level.
NOTE 2 See Note to 5.2.2.
5.2.8 The certification body shall not outsource audits to a management system consultancy
organization, as this poses an unacceptable threat to the impartiality of the certification body (see 7.5).
This does not apply to individuals contracted as auditors covered in 7.3.
5.2.9 The certification body’s activities shall not be marketed or offered as linked with the activities of
an organization that provides management system consultancy. The certification body shall take action to
correct inappropriate claims by any consultancy organization stating or implying that certification would
be simpler, easier, faster or less expensive if the certification body were used. A certification body shall not
state or imply that certification would be simpler, easier, faster or less expensive if a specified consultancy
organization were used.
5.2.10 To ensure that there is no conflict of interests, personnel who have provided management system
consultancy, including those acting in a managerial capacity, shall not be used by the certification body
to take part in an audit or other certification activities if they have been involved in management system
consultancy towards the client in question within two years following the end of the consultancy.
5.2.11 The certification body shall take action to respond to any threats to its impartiality arising from
the actions of other persons, bodies or organizations.
5.2.12 All certification body personnel, either internal or external, or committees, who could influence
the certification activities, shall act impartially and shall not allow commercial, financial or other pressures
to compromise impartiality.
5.2.13 Certification bodies shall require personnel, internal and external, to reveal any situation known
to them that may present them or the certification body with a conflict of interests. Certification bodies
shall use this information as input to identifying threats to impartiality raised by the activities of such
personnel or by the organizations that employ them, and shall not use such personnel, internal or external,
unless they can demonstrate that there is no conflict of interests.
6 © ISO 2014 – All rights reserved

ISO/IEC 17021:redline:2014(E)
5.3 Liability and financing
5.3.1 The certification body shall be able to demonstrate that it has evaluated the risks arising from its
certification activities and that it has adequate arrangements (e.g. insurance or reserves) to cover liabilities
arising from its operations in each of its fields of activities and the geographic areas in which it operates.
5.3.2 The certification body shall evaluate its finances and sources of income and demonstrate to the
committee specified in 6.2 that initially, and on an ongoing basis, commercial, financial or other pressures
do not compromise its impartiality.
6 Structural requirements
6.1 Organizational structure and top management
6.1.1 The certification body shall document its organizational structure, showing duties, responsibilities
and authorities of management and other certification personnel and any committees. When the
certification body is a defined part of a legal entity, the structure shall include the line of authority and the
relationship to other parts within the same legal entity.
6.1.2 The certification body shall identify the top management (board, group of persons, or person)
having overall authority and responsibility for each of the following:
a) development of policies relating to the operation of the body;
b) supervision of the implementation of the policies and procedures;
c) supervision of the finances of the body;
d) development of management system certification services and schemes;
e) performance of audits and certification, and responsiveness to complaints;
f) decisions on certification;
g) delegation of authority to committees or individuals, as required, to undertake defined activities
on its behalf;
h) contractual arrangements;
i) provision of adequate resources for certification activities.
6.1.3 The certification body shall have formal rules for the appointment, terms of reference and
operation of any committees that are involved in the certification activities.
6.2 Committee for safeguarding impartiality
6.2.1 The structure of the certification body shall safeguard the impartiality of the activities of the
certification body and shall provide for a committee to
a) to assist in developing the policies relating to impartiality of its certification activities,
b) to counteract any tendency on the part of a certification body to allow commercial or other
considerations to prevent the consistent objective provision of certification activities,
c) to advise on matters affecting confidence in certification, including openness and public perception, and
d) to conduct a review, asat least once annually, of the impartiality of the audit, certification and
decision-making processes of the certification body.
ISO/IEC 17021:redline:2014(E)
Other tasks or duties may be assigned to the committee provided these additional tasks or duties do not
compromise its essential role of ensuring impartiality.
6.2.2 The composition, terms of reference, duties, authorities, competence of members and
responsibilities of this committee shall be formally documented and authorized by the top management
of the certification body to ensure
a) representation of a balance of interests such that no single interest predominates (internal or
external personnel of the certification body are considered to be a single interest, and shall not
predominate),
b) access to all the information necessary to enable it to fulfil its functions (see also 5.2.2 and 5.3.2), and
c) that if the top management of the certification body does not respect the advice of this committee, the
committee shall have the right to take independent action (e.g. informing authorities, accreditation
bodies, stakeholders). In taking independent action, committees shall respect the confidentiality
requirements of 8.5 relating to the client and certification body.
6.2.3 Although this committee cannot represent every interest, a certification body should identify
and invite key interests. Such interests may include: clients of the certification body, customers of
organizations whose management systems are certified, representatives of industry trade associations,
representatives of governmental regulatory bodies or other governmental services, or representatives of
non-governmental organizations, including consumer organizations.
7 Resource requirements
7.1 Competence of management and personnel
7.1.1 General considerations
The certification body shall have processes to ensure that personnel have appropriate knowledge
relevant to the types of management systems and geographic areas in which it operates.
It shall determine the competence required for each technical area (as relevant for the specific
certification scheme), and for each function in the certification activity.
It shall determine the means for the demonstration of competence prior to carrying out specific functions.
7.1.2 Determination of competence criteria
The certification body shall have a documented process for determining the competence
In
requirementscriteria for its personnel performing certification, the certification body shall address
the functions undertaken by management and administrative personnel in addition to those directly
performingpersonnel involved in the management and performance of audits and certification.
Competence criteria shall be determined with regard to the requirements of each type of management
system standard or specification, for each technical area, and for each function in the certification
process. The output of the process shall be the documented criteria of required knowledge and skills
necessary to effectively perform audit and certification activitiestasks to be fulfilled to achieve the
intended results. Annex A specifies the knowledge and skills that a certification body shall define for
specific functions. Where additional specific competence criteria have been established for a specific
certification scheme, e.g. ISO/TS 22003 (Food safety management systems), these shall be applied.
NOTE The term ‘technical area’ can be applied differently depending on the management system standard
being considered. For any management system, the term is related to products and processes in the context of
the scope of the management system standard. The technical areas can be defined by a specific certification
scheme (e.g. ISO/TS 22003); or can be determined by the certification body. Examples of the application of the
term ‘technical area’ for different types of management systems are as follows:
8 © ISO 2014 – All rights reserved

ISO/IEC 17021:redline:2014(E)
— For a quality management system standard, the term “technical area” is related to the processes needed to
fulfil customer expectations and applicable statutory and regulatory requirements for the organization’s
products and services.
— For an environmental management system standard, the term “technical area” is related to the categories
of activities, products and services related to the environmental aspects affecting air, water, land, natural
resources, flora, fauna and humans.
— For a supply chain security management system standard, the term “technical area” is related to processes
in the context of security risk of supplies, such as transportation, storage, and information.
— For an information security management system standard, the term “technical area” is related, among
others, to the categories of information security technologies and practices, information and communication
technology and business activities related to the selection of adequate and proportionate security controls
that protect information assets.
7.1.3 Evaluation processes
The certification body shall have documented processes for the initial competence evaluation, and on-
going monitoring of competence and performance of all personnel involved in the management and
performance of audits and certification, applying the determined competence criteria. The certification
body shall demonstrate that its evaluation methods are effective. The output from these processes
shall be to identify personnel who have demonstrated the level of competence required for the different
functions of the audit and certifi
...

NORME ISO/CEI
INTERNATIONALE 17021
Deuxième édition
2011-02-01
Version corrigée
2013-03-01
Évaluation de la conformité — Exigences
pour les organismes procédant à l'audit
et à la certification des systèmes de
management
Conformity assessment — Requirements for bodies providing audit and
certification of management systems

Numéro de référence
ISO/CEI 17021:2011(F)
©
ISO 2011
ISO/CEI 17021:2011(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.

DOCUMENT PROTÉGÉ PAR COPYRIGHT

© ISO/CEI 2011
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56  CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2011 — Tous droits réservés

ISO/CEI 17021:2011(F)
Sommaire Page
Avant-propos . v
Introduction . vi
1 Domaine d'application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes . 3
4.1 Généralités . 3
4.2 Impartialité . 3
4.3 Compétence . 4
4.4 Responsabilité . 4
4.5 Transparence . 4
4.6 Confidentialité . 5
4.7 Traitement des plaintes . 5
5 Exigences générales . 5
5.1 Domaine juridique et contractuel . 5
5.2 Gestion de l'impartialité . 5
5.3 Responsabilité et situation financière . 7
6 Exigences structurelles . 7
6.1 Organisation et direction . 7
6.2 Comité pour la préservation de l'impartialité . 8
7 Exigences relatives aux ressources . 9
7.1 Compétence de la direction et du personnel . 9
7.2 Personnel intervenant dans les activités de certification . 10
7.3 Intervention d'auditeurs et d'experts techniques externes individuels. 11
7.4 Enregistrements relatifs au personnel . 11
7.5 Externalisation . 12
8 Exigences relatives aux informations . 12
8.1 Informations accessibles au public . 12
8.2 Documents de certification . 13
8.3 Répertoire des clients certifiés . 13
8.4 Référence à la certification et utilisation des marques . 13
8.5 Confidentialité . 14
8.6 Échange d'informations entre l'organisme de certification et ses clients . 15
9 Exigences relatives aux processus . 16
9.1 Exigences générales . 16
9.2 Évaluation et certification initiales . 24
9.3 Activités de surveillance. 27
9.4 Renouvellement de la certification . 28
9.5 Audits particuliers . 29
9.6 Suspension, retrait ou réduction du périmètre de la certification . 30
9.7 Appels . 30
9.8 Plaintes . 31
9.9 Enregistrements relatifs aux demandeurs et aux clients . 32
10 Exigences relatives au système de management des organismes de certification . 33
10.1 Options . 33
10.2 Option 1: Exigences relatives au système de management conformément à l'ISO 9001 . 33
10.3 Option 2: Exigences générales relatives au système de management . 33
ISO/CEI 17021:2011(F)
Annexe A (normative) Connaissances et savoir-faire exigés .37
Annexe B (informative) Méthodes possibles d'évaluation .38
Annexe C (informative) Exemple d'un organigramme de détermination et de maintien des
compétences .40
Annexe D (informative) Comportements personnels souhaités .42
Annexe E (informative) Audit tierce partie et processus de certification .43
Annexe F (informative) Éléments à prendre en considération pour le programme, le périmètre ou
le plan d'audit .45
Bibliographie .47

iv © ISOI 2011 – Tous droits réservés

ISO/CEI 17021:2011(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) est une fédération mondiale d'organismes nationaux de
normalisation (comités membres de l'ISO). L'élaboration des Normes internationales est en général confiée
aux comités techniques de l'ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du
comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l'ISO participent également aux travaux. L'ISO collabore étroitement avec
la Commission électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l'approbation de 75 % au moins des comités membres
votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO/CEI 17021 a été élaborée par le comité ISO pour l'évaluation de la conformité (CASCO).
Le projet a été soumis aux organismes nationaux de l'ISO et de la CEI pour vote et a été approuvé par les
deux organisations.
Cette seconde édition annule et remplace la première édition (ISO/CEI 17021:2006), qui a fait l'objet d'une
révision en vue d'élargir le domaine d'application. La première édition est provisoirement conservée pendant
une période d'un an jusqu'à la revue systématique de l'ensemble du document.
La présente Norme internationale a également été publiée dans une version marquée, non officielle, indiquant
les changements par rapport à la précédente édition.
La présente version corrigée de l'ISO/CEI 17021:2011 inclut des corrections éditoriales en 9.1.9.6.1.
ISO/CEI 17021:2011(F)
Introduction
La certification d'un système de management, tel qu'un système de management de la qualité ou de
management environnemental d'un organisme candidat, est l'un des moyens permettant d'assurer que
l'organisme a mis en application un système pour gérer des aspects relatifs à ses activités, conforme à sa
politique.
La présente Norme internationale spécifie des exigences applicables aux organismes de certification. Le
respect de ces exigences est destiné à assurer que ces organismes gèrent la certification de systèmes de
management avec compétence, et d'une façon cohérente et impartiale, facilitant ainsi la reconnaissance de
ces organismes et l'acceptation de leurs certifications sur les plans national et international. La présente
Norme internationale sert de base, dans l'intérêt du commerce international, à la reconnaissance de la
certification de systèmes de management.
La certification d'un système de management assure par une démonstration indépendante que le système de
management de l'organisme
a) est conforme aux exigences spécifiées,
b) est capable de réaliser de manière fiable la politique et les objectifs qu'il a déclarés, et
c) est mis en œuvre de manière efficace.
L'évaluation de la conformité, telle que la certification d'un système de management apporte une plus-value à
l'organisme, à ses clients et aux parties intéressées.
L'Article 4 de la présente Norme internationale décrit les principes assurant une certification crédible. Ces
principes facilitent la compréhension du lecteur quant à la nature essentielle de la certification. Ils constituent
une introduction nécessaire aux Articles 5 à 10. Ces principes représentent la trame de toutes les exigences
contenues dans la présente Norme internationale. Il faut noter que ces principes ne sont pas des exigences
auditables en tant que telles. L'Article 10 décrit deux alternatives pour soutenir et démontrer que l'organisme
de certification satisfait de manière fiable au respect des exigences de la présente Norme internationale au
moyen de la mise en place d'un système de management.
La présente Norme internationale est destinée à l'usage des organismes qui auditent et qui certifient des
systèmes de management. Elle présente des exigences génériques applicables aux organismes de
certification, procédant à l'audit et à la certification dans le domaine des systèmes de management de la
qualité, de management environnemental et autres. Ces organismes sont appelés «organismes de
certification». Il convient que ce libellé ne fasse pas obstacle à l'utilisation de la présente Norme internationale
par des organismes désignés différemment entreprenant des activités couvertes par le domaine d'application
décrit dans ce document.
La certification comprend l'audit du système de management d'un organisme. La manière d'attester la
conformité à une norme spécifique du système de management ou à d'autres exigences normatives prend
généralement la forme d'un document de certification ou d'un certificat.
La publication de la présente Norme internationale comprend le texte de l'ISO/CEI 17021:2006, y compris des
modifications consistant à supprimer les références pertinentes à l'ISO 19011, avec un nouveau texte ajoutant
des exigences spécifiques pour les audits tierce partie de certification et le management des compétences du
personnel impliqué dans les activités de certification.
vi © ISOI 2011 – Tous droits réservés

ISO/CEI 17021:2011(F)
Les besoins des marchés spécifiques ont déjà été identifiés, et sont liés à un manque d'exigences spécifiques
et reconnues pour les auditeurs tierce partie des systèmes de management, tels que les systèmes de
management de la qualité, les systèmes de management environnemental ou les systèmes de management
de la sécurité des denrées alimentaires. Le manque d'exigences en matière de compétences pour les
auditeurs et dans la façon dont ces auditeurs sont managés et déployés a été identifié comme constituant un
point faible par les principales parties intéressées, dont des industriels.
La présente Norme internationale fournit un ensemble d'exigences pour l'audit des systèmes de management
à un niveau générique visant à fournir une détermination fiable de la conformité aux exigences relatives à la
certification, effectuée par une équipe d'audit compétente, avec des ressources adéquates, en suivant un
processus cohérent, et en reportant les résultats de façon méthodique.
La présente Norme internationale est applicable à l'audit et à la certification de tout type de système de
management. Il est admis que certaines des exigences, notamment celles se rapportant aux compétences
des auditeurs, peuvent être complétées par des critères supplémentaires pour répondre aux attentes des
parties intéressées.
Dans la présente Norme internationale, le mot «doit» indique une exigence et l'expression «il convient de»
une recommandation.
NORME INTERNATIONALE ISO/CEI 17021:2011(F)

Évaluation de la conformité — Exigences pour les organismes
procédant à l'audit et à la certification des systèmes de
management
1 Domaine d'application
La présente Norme internationale spécifie les principes et les exigences relatifs à la compétence, à la
cohérence et à l'impartialité lors des audits et lors de la certification de systèmes de management de tous
types (par exemple systèmes de management de la qualité ou systèmes de management environnemental) et
relatives aux organismes fournissant cette activité. Les organismes de certification conformes à la présente
Norme internationale ne sont pas tenus de proposer tous les types de certification de système de
management.
La certification de systèmes de management (désignée dans la présente Norme internationale par
«certification») est une activité d'évaluation de la conformité par tierce partie (voir l'ISO/CEI 17000:2004, 5.5).
Les organismes exerçant cette activité sont par conséquent des organismes d'évaluation de la conformité par
tierce partie (désignés dans la présente Norme internationale «organisme(s) de certification»).
NOTE 1 La certification d'un système de management est parfois appelée «enregistrement», et les organismes de
certification sont parfois désignés par «organismes d'enregistrement».
NOTE 2 Un organisme de certification peut être gouvernemental ou non gouvernemental (avec ou sans pouvoir
réglementaire).
NOTE 3 La présente Norme internationale peut être utilisée comme référentiel pour l'accréditation, l'évaluation par des
pairs ou d'autres processus d'audit.
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence s'applique (y compris les éventuels amendements).
ISO 9000:2005, Systèmes de management de la qualité — Principes essentiels et vocabulaire
ISO/CEI 17000:2004, Évaluation de la conformité — Vocabulaire et principes généraux.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO 9000, l'ISO/CEI 17000
ainsi que les suivants s'appliquent.
3.1
client certifié
organisme dont le système de management a été certifié
ISO/CEI 17021:2011(F)
3.2
impartialité
existence réelle et perceptible d'objectivité
NOTE 1 L'objectivité implique soit l'absence de conflit d'intérêts soit de trouver une solution à ces conflits de manière à
ne pas porter préjudice aux activités ultérieures de l'organisme de certification.
NOTE 2 D'autres termes utiles utilisés pour véhiculer la notion d'impartialité sont les suivants: objectivité,
indépendance, absence de tout conflit d'intérêts, probité, non-discrimination, neutralité, justice, ouverture d'esprit, équité,
désintéressement, équilibre.
3.3
conseil en matière de système de management
contribution à l'élaboration, à la mise en œuvre ou à l'entretien d'un système de management
EXEMPLES
a) la préparation ou la production de manuels ou de procédures, et
b) la fourniture de conseils, d'instructions ou de solutions spécifiques en matière d'élaboration et de mise en application
d'un système de management.
NOTE Organiser des formations et y participer en tant que formateur ne relèvent pas des activités de conseil, à
condition de se limiter, lorsque les cours portent sur des systèmes de management ou des audits, à fournir des
informations et des conseils génériques disponibles dans le domaine public; c'est-à-dire qu'il convient de ne pas fournir de
solutions spécifiques à une entreprise.
3.4
audit tierce partie de certification
audit réalisé par un organisme d'audit indépendant du client et de l'utilisateur, aux fins de certifier le système
de management d'un client
NOTE 1 Dans les définitions qui suivent, le terme «audit» est utilisé dans un but de simplification pour se référer à
l'audit tierce partie de certification.
NOTE 2 Les audits tierce partie de certification incluent les audits initiaux, de surveillance, de renouvellement de la
certification, mais peuvent aussi inclure des audits spéciaux.
NOTE 3 Les audits tierce partie de certification sont effectués, en règle générale, par les équipes d'audit des
organismes qui fournissent la certification de conformité aux exigences des normes de systèmes de management.
NOTE 4 Un audit est «conjoint» quand au moins deux organismes d'audit participent à l'audit d'un client unique.
NOTE 5 Un audit est «combiné» quand un client est audité sur les exigences d'au moins deux normes de système de
management.
NOTE 6 Un audit est «intégré» quand un client a intégré l'application des exigences d'au moins deux normes de
systèmes de management au sein d'un seul système de management et qu'il est audité sur au moins deux normes.
3.5
client
organisme dont le système de management est audité à des fins de certification
3.6
auditeur
personne qui réalise un audit
3.7
compétence
aptitude à mettre en pratique des connaissances et un savoir-faire pour obtenir les résultats escomptés
2 © ISO 2011 – Tous droits réservés

ISO/CEI 17021:2011(F)
3.8
guide
personne nommée par le client pour assister l'équipe d'audit
3.9
observateur
personne qui accompagne l'équipe d'audit, mais qui n'audite pas
3.10
secteur technique
secteur caractérisé par des éléments communs des processus se rapportant à un type spécifique de système
de management
4 Principes
4.1 Généralités
4.1.1 Ces principes servent de base pour cette prestation spécifique et les exigences décrites ci-après dans
la présente Norme internationale. La présente Norme internationale ne fournit pas d'exigences spécifiques
applicables à toutes les situations susceptibles de survenir. Il convient de considérer ces principes comme
des recommandations à appliquer en cas de décisions à prendre dans des situations imprévues. Ces
principes ne constituent pas des exigences.
4.1.2 La certification a pour objectif général de donner confiance à toutes les parties qu'un système de
management satisfait aux exigences spécifiées. La valeur de la certification est le degré de confiance du
public après qu'un système de management a été évalué de manière impartiale et compétente par une tierce
partie. Les parties qui trouvent un intérêt à la certification sont les suivantes (liste non exhaustive):
a) les clients des organismes de certification;
b) les clients des organismes dont les systèmes de management sont certifiés;
c) les pouvoirs publics;
d) les organismes non gouvernementaux; et
e) les consommateurs et le grand public.
4.1.3 Les principes permettant de donner confiance comprennent
 l'impartialité,
 la compétence,
 la responsabilité,
 la transparence,
 la confidentialité,
 le traitement des plaintes.
4.2 Impartialité
4.2.1 Pour octroyer une certification qui donne confiance, un organisme de certification doit être impartial et
perçu comme tel.
ISO/CEI 17021:2011(F)
4.2.2 Le fait que les revenus d'un organisme de certification proviennent de ses clients qui paient pour la
certification constitue une menace potentielle pour l'impartialité.
4.2.3 Pour gagner et maintenir la confiance, il est essentiel que les décisions d'un organisme de
certification soient fondées sur des preuves tangibles de conformité (ou de non-conformité) constatées par
l'organisme de certification, et que les décisions ne soient pas faussées par d'autres intérêts ou d'autres
parties.
4.2.4 Les menaces qui pèsent sur l'impartialité sont les suivantes:
a) les intérêts personnels: cette menace est due au fait qu'une personne ou une entité agisse dans son
propre intérêt. Son intérêt financier représente une menace susceptible de compromettre l'impartialité
d'une certification;
b) l'autoévaluation: cette menace est due au fait qu'une personne ou une entité évalue son propre travail.
Auditer les systèmes de management d'un client auquel l'organisme de certification a prodigué des
conseils en matière de système de management crée un risque dû à l'autoévaluation;
c) la familiarité (ou confiance): cette menace est due au fait d'entretenir une trop grande proximité
relationnelle ou de faire trop confiance aux personnes auditées plutôt que de rechercher des preuves lors
des audits;
d) l'intimidation: cette menace est due au fait qu'une personne ou une entité éprouve la sensation de subir
des pressions directes ou insidieuses, par exemple la menace d'être remplacée ou dénoncée à sa
hiérarchie.
4.3 Compétence
Pour octroyer une certification qui donne confiance, l'organisme de certification doit démontrer la compétence
de son personnel, soutenue par son système de management.
4.4 Responsabilité
4.4.1 C'est l'organisme client, et non l'organisme de certification, qui est responsable de la conformité aux
exigences de certification.
4.4.2 L'organisme de certification est tenu de réaliser une évaluation suffisante des preuves tangibles sur
lesquelles est fondée la décision de certification. C'est sur la base des conclusions de l'audit et de l'existence
de preuves de conformité suffisantes qu'il prend la décision d'accorder ou de refuser la certification.
NOTE Tout audit est fondé sur un échantillonnage du système de management d'un organisme et de ce fait ne
garantit pas une conformité de 100 % aux exigences.
4.5 Transparence
4.5.1 Afin d'assurer la confiance dans l'intégrité et la crédibilité de la certification, un organisme de
certification doit assurer l'accessibilité ou la diffusion au public des informations appropriées et à jour relatives
à ses processus d'audit et de certification ainsi que sur le statut de la certification (c'est-à-dire l'octroi,
l'extension, le maintien, le renouvellement, la suspension, la réduction du périmètre certifié ou le retrait de la
certification) de tout organisme. La transparence est un principe fondé sur l'accessibilité ou la diffusion des
informations appropriées.
4.5.2 Afin de gagner ou de maintenir la confiance dans la certification, il convient qu'un organisme de
certification permette un accès aux parties intéressées ou fasse une diffusion appropriée des informations non
confidentielles sur les résultats d'audits spécifiques (par exemple audits déclenchés en réponse à des
plaintes).
4 © ISO 2011 – Tous droits réservés

ISO/CEI 17021:2011(F)
4.6 Confidentialité
Afin d'obtenir l'accès privilégié aux informations qui lui sont nécessaires pour évaluer de manière appropriée
la conformité aux exigences de certification, il est essentiel que l'organisme de certification préserve la
confidentialité de toute information privée sur le client.
4.7 Traitement des plaintes
Les parties qui comptent sur la certification sont en droit de réclamer l'examen des plaintes et, si ces
dernières se révèlent acceptables, d'avoir confiance dans le fait que les plaintes seront traitées de manière
appropriée et qu'un effort adéquat sera consenti pour les résoudre. Un traitement efficace des plaintes
constitue un moyen important de protection de l'organisme de certification, de ses clients et autres utilisateurs
de certification contre tout type d'erreur, d'omission ou d'abus. La confiance dans les activités de certification
est préservée lorsque les plaintes sont traitées de manière appropriée.
NOTE Un équilibre approprié entre les principes de transparence et de confidentialité, y compris le traitement des
plaintes, est nécessaire pour démontrer son intégrité et sa crédibilité à tous les utilisateurs de certification.
5 Exigences générales
5.1 Domaine juridique et contractuel
5.1.1 Responsabilité juridique
L'organisme de certification doit être une entité juridique ou une partie définie d'une entité juridique de façon à
pouvoir être tenu juridiquement responsable de toutes ses activités de certification. Un organisme de
certification gouvernemental est considéré être une entité juridique sur la base de son statut gouvernemental.
5.1.2 Contrat de certification
Un organisme de certification doit disposer d'un contrat juridiquement exécutoire pour fournir des services de
certification à son client. En outre, lorsque l'organisme de certification a plusieurs bureaux ou que le client
certifié a plusieurs sites, l'organisme de certification doit assurer qu'il existe une relation contractuelle
juridiquement exécutoire entre l'organisme de certification octroyant la certification et délivrant le certificat et
tous les sites concernés par le domaine de la certification.
5.1.3 Responsabilité en matière de décisions de certification
L'organisme de certification doit être responsable et conserver son autorité pour ses décisions en matière de
certification, y compris l'octroi, le maintien, le renouvellement, l'extension, la réduction, la suspension et le
retrait de la certification.
5.2 Gestion de l'impartialité
5.2.1 La direction de l'organisme de certification doit s'engager à exercer ses activités de certification de
systèmes de management en toute impartialité. L'organisme de certification doit rédiger une déclaration
accessible au public par laquelle il reconnaît l'importance de l'impartialité dans l'exercice de ses activités de
certification des systèmes de management, et qu'il assure la bonne gestion des conflits d'intérêts et
l'objectivité de ses activités de certification de systèmes de management.
5.2.2 L'organisme de certification doit identifier, analyser et documenter les conflits d'intérêts potentiels
résultant de la certification envisagée, y compris tous les conflits dus à ses propres relations. Entretenir des
relations n'implique pas nécessairement qu'un organisme de certification soit confronté à un conflit d'intérêts.
Cependant, si une relation compromet l'impartialité, l'organisme de certification doit apporter la preuve de la
manière dont il élimine ou limite ce risque au minimum. Ces informations doivent être tenues à disposition du
ISO/CEI 17021:2011(F)
comité spécifié en 6.2, et doivent couvrir toutes les sources potentielles de conflit d'intérêts identifiées, que ce
soit au sein de l'organisme de certification ou du fait des activités d'autres personnes, entités ou organismes.
NOTE Une relation qui compromet l'impartialité de l'organisme de certification peut résulter de facteurs tels que la
propriété, la gouvernance, la direction, le personnel, les ressources partagées, la situation financière, les contrats, la
commercialisation, le paiement de commissions sur les ventes ou autres incitations d'apporter de nouveaux clients, etc.
5.2.3 Lorsqu'une relation risque de compromettre l'impartialité de manière inacceptable (par exemple dans
le cas d'une filiale appartenant 100 % à l'organisme de certification demandant une certification de sa société
mère), la prestation de certification ne doit pas être fournie.
NOTE Voir Note de 5.2.2.
5.2.4 Un organisme de certification ne doit pas certifier les activités de certification de systèmes de
management d'un autre organisme de certification.
NOTE Voir Note de 5.2.2.
5.2.5 Un organisme de certification et toute autre partie de la même entité juridique ne doivent pas
proposer ou fournir des prestations de conseil en matière de système de management. Cela s'applique
également à une partie d'une entité gouvernementale identifiée comme organisme de certification.
5.2.6 Un organisme de certification et toute autre partie de la même entité juridique ne doivent pas
proposer ou fournir des prestations d'audits internes à des clients certifiés. Un organisme de certification ne
doit pas certifier un système de management pour lequel il a effectué des audits internes, et ce pendant une
durée de deux ans suivant la fin de la prestation. Cela s'applique également à une partie d'une entité
gouvernementale identifiée comme organisme de certification.
NOTE Voir Note de 5.2.2.
5.2.7 Un organisme de certification ne doit pas certifier le système de management d'un client ayant
bénéficié de conseils en matière de système de management ou d'audits internes pour le même système de
management, lorsque la relation qui existe entre l'organisme de conseil et l'organisme de certification
constitue une menace inacceptable au regard de l'impartialité de l'organisme de certification.
NOTE 1 L'un des moyens permettant de ramener la menace au regard de l'impartialité à un niveau acceptable
consiste à laisser passer une période minimale de deux ans après la fin de la prestation de conseil en matière de système
de management.
NOTE 2 Voir Note de 5.2.2.
5.2.8 L'organisme de certification ne doit pas sous-traiter des audits à un organisme de conseil en matière
de système de management dans la mesure où ce fait constitue une menace inacceptable à l'impartialité de
l'organisme de certification (voir 7.5). Cela ne s'applique pas aux auditeurs individuels sous contrat tel que
spécifié en 7.3.
5.2.9 Les activités de l'organisme de certification ne doivent pas être présentées ou proposées comme
liées aux activités d'un organisme de conseil en matière de système de management. L'organisme de
certification doit prendre des mesures appropriées pour éviter qu'un organisme de conseil ne déclare ou ne
suggère que la certification serait plus simple, plus facile, plus rapide ou moins onéreuse si l'on faisait appel à
un organisme de certification donné. De même, un organisme de certification ne doit pas déclarer ou suggérer
que la certification serait plus simple, plus facile, plus rapide ou moins onéreuse si l'on faisait appel à un
organisme de conseil spécifié.
5.2.10 Pour garantir l'absence de conflit d'intérêts, le personnel s'étant chargé d'une activité de conseil, y
compris les personnes agissant dans une structure de direction, ne doit pas participer, pour le compte de
l'organisme de certification, à un audit ou à des activités de certification s'il a pris part à des activités de
conseil sur le même système de management vis-à-vis du client concerné dans les deux années qui suivent
la fin de l'activité de conseil.
6 © ISO 2011 – Tous droits réservés

ISO/CEI 17021:2011(F)
5.2.11 L'organisme de certification doit prendre les mesures nécessaires lorsque son impartialité est
menacée par les actions d'individus, d'organismes ou d'organisations.
5.2.12 L'ensemble du personnel de l'organisme de certification, qu'il soit interne ou externe, et les comités
qui pourraient influencer les activités de certification, doivent agir de manière impartiale et être libres de toutes
pressions, commerciales, financières ou autres qui pourraient compromettre leur impartialité.
5.2.13 Les organismes de certification doivent exiger du personnel, qu'il soit interne ou externe, de leur
révéler toute situation dont il a connaissance et qui pourrait créer pour ces personnes ou pour l'organisme de
certification un conflit d'intérêts. Les organismes de certification doivent utiliser ces informations comme
données d'entrée pour identifier les menaces que font peser sur l'impartialité les activités de ce personnel ou
des organismes qui les emploient et ne doivent pas faire appel à ce personnel, qu'il soit interne ou externe,
sauf s'ils peuvent apporter la preuve qu'il n'y a pas de conflit d'intérêts.
5.3 Responsabilité et situation financière
5.3.1 L'organisme de certification doit apporter la preuve qu'il a évalué les risques significatifs résultant de
ses activités de certification et qu'il a pris les dispositions appropriées (par exemple assurance ou réserves)
pour couvrir les responsabilités résultant de ses opérations dans chacun de ses domaines d'activités et pour
chacune des zones géographiques où il opère.
5.3.2 L'organisme de certification doit évaluer sa situation financière et ses sources de revenus et doit
apporter la preuve au comité spécifié en 6.2 qu'il est libre, dès l'origine et par la suite, de toutes pressions
commerciales, financières ou autres susceptibles de compromettre son impartialité.
6 Exigences structurelles
6.1 Organisation et direction
6.1.1 L'organisme de certification doit documenter l'organisation, les devoirs, la responsabilité et l'autorité
de la direction et des autres membres du personnel de certification ainsi que de tous les comités. Lorsque
l'organisme de certification est une partie définie d'une entité juridique, la structure doit indiquer l'autorité
hiérarchique et la relation avec les autres parties au sein de la même entité juridique.
6.1.2 L'organisme de certification doit identifier la direction (comité directeur, groupe de personnes ou
personne) ayant l'autorité globale et la responsabilité de chacun des points suivants:
a) l'élaboration de politiques relatives au fonctionnement de l'organisme;
b) la surveillance de la mise en œuvre des politiques et des procédures;
c) la surveillance de la situation financière de l'organisme;
d) le développement des prestations et programmes de certification de systèmes de management;
e) la réalisation des audits, certification et traitement des plaintes;
f) les décisions en matière de certification;
ISO/CEI 17021:2011(F)
g) la délégation de l'autorité aux comités ou individus, lorsque nécessaire, chargés d'entreprendre en son
nom des activités définies;
h) les dispositions contractuelles;
i) la fourniture des ressources appropriées pour les activités de certification.
6.1.3 L'organisme de certification doit disposer de règles formelles régissant la désignation, les missions et
le fonctionnement de tous les comités engagés dans les activités de certification.
6.2 Comité pour la préservation de l'impartialité
6.2.1 La structure de l'organisme de certification doit préserver l'impartialité de ses activités et prévoir un
comité pour
a) l'aider à élaborer les politiques en termes d'impartialité de ses activités de certification,
b) contrebalancer toute tendance d'un organisme de certification à laisser des considérations commerciales
ou autres entraver la fourniture objective et fiable de la prestation de certification,
c) donner des conseils sur des sujets affectant la confiance dans la certification, y compris la transparence
et son image, et
d) effectuer une revue, au moins une fois par an, sur l'impartialité des processus d'audit, de certification et
de prise de décision qui lui sont propres.
D'autres tâches ou devoirs peuvent être confiés au comité, dès lors qu'ils ne compromettent pas son rôle
essentiel qui est de préserver son impartialité.
6.2.2 La composition, les missions, les devoirs, les pouvoirs, la compétence des membres et les
responsabilités de ce comité doivent être formellement documentés et avoir été validés par la direction de
l'organisme de certification afin de garantir
a) l'équilibre des intérêts représentés sans qu'aucun puisse prédominer (les employés internes ou externes
de l'organisme de certification sont considérés comme représentant un seul intérêt et ne doivent pas être
prédominants),
b) l'accès à toutes les informations nécessaires pour permettre au comité de remplir ses fonctions
(voir également 5.2.2 et 5.3.2), et
c) le droit du comité, si ses recommandations ne sont pas prises en compte par la direction de l'organisme
de certification, d'entreprendre une action indépendante (par exemple en informant les autorités, les
organismes d'accréditation et les parties prenantes). En entreprenant une action indépendante, les
comités doivent respecter les exigences de confidentialité stipulées en 8.5 relatives au client et à
l'organisme de certification.
6.2.3 Bien que ce comité ne puisse pas représenter tous les intérêts, il convient qu'un organisme de
certification identifie et sollicite les intérêts essentiels. Ces intérêts peuvent comprendre les parties suivantes:
les clients de l'organisme de certification, les clients des organismes dont les systèmes de management sont
certifiés, les représentants des organismes professionnels du secteur, les représentants des organismes
gouvernementaux chargés de la réglementation ou autres services gouvernementaux, ou les représentants
d'organismes non gouvernementaux, y compris les organisations de consommateurs.
8 © ISO 2011 – Tous droits réservés

ISO/CEI 17021:2011(F)
7 Exigences relatives aux ressources
7.1 Compétence de la direction et du personnel
7.1.1 Considérations générales
L'organisme de certification doit disposer de processus lui garantissant que le personnel a une connaissance
appropriée des types de systèmes de management et des zones géographiques qui entrent dans son
périmètre d'action.
Il doit déterminer les compétences requises pour chaque secteur technique (correspondant au programme de
certification spécifique) et pour chaque fonction de certification.
Il doit déterminer les moyens de démontrer cette compétence avant d'exécuter des fonctions spécifiques.
7.1.2 Détermination des critères de compétence
L'organisme de certification doit disposer d'un processus documenté pour déterminer les critères de
compétences des membres du personnel impliqués dans le management et la réalisation des audits et de la
certification. Les critères de compétence doivent être déterminés en fonction des exigences propres à chaque
type de norme ou de spécification de système de management, pour chaque secteur technique et pour
chaque fonction du processus de certification. Les données de sortie du processus doivent être les critères
documentés des connaissances et du savoir-faire exigés, nécessaires à la réalisation efficace des missions
d'audit et de certification à remplir pour atteindre les résultats escomptés. L'Annexe A spécifie les
connaissances et le savoir-faire qu'un organisme de certification doit définir pour remplir des fonctions
spécifiques. Quand des critères de compétences supplémentaires ont été déterminés pour un programme de
certification spécifique, par exemple dans l'ISO/TS 22003 (Systèmes de management de la sécurité des
denrées alimentaires), ce sont ces critères supplémentaires qui doivent s'appliquer.
NOTE L'expression «secteur technique» peut s'appliquer de façon différente en fonction de la norme de système de
management considérée. Quel que soit le système de management, l'expression s'applique aux produits et processus
entrant dans le domaine d'a
...

NORMA ISO/IEC
INTERNACIONAL 17021
Traducción oficial
Segunda edición
Official translation
2011-02-01
Traduction officielle
Evaluación de la conformidad —
Requisitos para los organismos que
realizan la auditoría y la certificación de
sistemas de gestión
Conformity assessment — Requirements for bodies providing audit and
certification of management systems
Évaluation de la conformité — Exigences pour les organismes
procédant à l'audit et à la certification des systèmes de management
Publicado por la Secretaría Central de ISO en Ginebra, Suiza, como
traducción oficial en español avalada por el Translation Working Group,
que ha certificado la conformidad en relación con las versiones inglesa
y francesa.
Número de referencia
(traducción oficial)
©
ISO 2011
PDF – Exoneración de responsabilidad
Este fichero PDF puede contener fuentes incrustadas. De acuerdo con las condiciones de licencia de Adobe, este fichero puede
imprimirse o visualizarse, pero no se debe editar a menos que el equipo informático empleado para ello tenga instaladas dichas
fuentes con su licencia correspondiente. Al descargar este fichero, las partes implicadas aceptan la responsabilidad de no infringir las
condiciones de licencia de Adobe. La Secretaría Central de ISO rehúsa cualquier responsabilidad sobre esta cuestión.
Adobe es una marca registrada de Adobe Systems Incorporated.
Los detalles relativos al software utilizado para crear este fichero PDF están disponibles en la sección Información general relativa al
mismo. Los parámetros de creación del PDF se han optimizado para la impresión. Se han adoptado todas las medidas para
garantizar que el fichero es apropiado para su uso por los organismos miembros de ISO. En el improbable caso de que se encuentre
un problema al respecto, sírvase comunicarlo a la Secretaría Central en la dirección indicada a continuación.

DOCUMENTO PROTEGIDO POR COPYRIGHT

© ISO 2011
Reservados los derechos de reproducción. Salvo prescripción diferente, no podrá reproducirse ni utilizarse ninguna parte de esta
publicación bajo ninguna forma y por ningún medio, electrónico o mecánico, incluidos el fotocopiado y la microfilmación, sin la
autorización por escrito recibida de ISO en la siguiente dirección o del organismo miembro de ISO en el país solicitante.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publicado en Suiza
Traducción oficial/Official translation/Traduction officielle
ii © ISO 2011 — Todos los derecho reservados

Índice Página
Prólogo .v
Prólogo de la versión en español .vi
Introducción.vii
1 Objeto y campo de aplicación.1
2 Referencias normativas.1
3 Términos y definiciones .1
4 Principios .3
4.1 Generalidades.3
4.2 Imparcialidad .3
4.3 Competencia .4
4.4 Responsabilidad.4
4.5 Transparencia .4
4.6 Confidencialidad.4
4.7 Receptividad y respuesta oportuna a las quejas .5
5 Requisitos generales .5
5.1 Aspectos legales y contractuales.5
5.2 Gestión de la imparcialidad.5
5.3 Responsabilidad legal y financiamiento.7
6 Requisitos relativos a la estructura.7
6.1 Estructura de la organización y alta dirección.7
6.2 Comité para la preservación de la imparcialidad .8
7 Requisitos relativos a los recursos.8
7.1 Competencia de la dirección y del personal .8
7.2 Personal que interviene en las actividades de certificación .10
7.3 Empleo de auditores externos y expertos técnicos externos individuales .11
7.4 Registros relativos al personal.11
7.5 Contratación externa.11
8 Requisitos relativos a la información.12
8.1 Información accesible al público.12
8.2 Documentos de certificación .12
8.3 Lista de clientes certificados .13
8.4 Referencia a la certificación y utilización de marcas .13
8.5 Confidencialidad.14
8.6 Intercambio de información entre el organismo de certificación y sus clientes.14
9 Requisitos relativos a los procesos.15
9.1 Requisitos generales .15
9.2 Auditoría inicial y certificación .24
9.3 Actividades de vigilancia.26
9.4 Renovación de la certificación.28
9.5 Auditorías especiales.28
9.6 Suspender, retirar o reducir el alcance de la certificación .29
9.7 Apelaciones .29
9.8 Quejas .30
9.9 Registros relativos a solicitantes y clientes.31
10 Requisitos relativos al sistema de gestión de los organismos de certificación .32
10.1 Opciones .32
Traducción oficial/Official translation/Traduction officielle
10.2 Opción 1: Requisitos del sistema de gestión de acuerdo con la Norma ISO 9001 .32
10.3 Opción 2: Requisitos generales de sistemas de gestión .32
Anexo A (normativo) Conocimientos y habilidades requeridos.36
Anexo B (informativo) Métodos posibles de evaluación.37
Anexo C (informativo) Ejemplo de un diagrama del proceso para determinar y mantener las
competencias.39
Anexo D (informativo) Comportamientos personales deseados .41
Anexo E (informativo) Auditoría de tercera parte y proceso de certificación.42
Anexo F (informativo) Elementos a considerar para el programa, alcance o plan de auditoría.44
Bibliografía .46

Traducción oficial/Official translation/Traduction officielle
iv © ISO 2011 — Todos los derechos reservados

Prólogo
ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman el
sistema especializado para la normalización mundial. Los organismos nacionales miembros de ISO e IEC
participan en el desarrollo de las Normas Internacionales por medio de comités técnicos establecidos por la
organización respectiva, para atender campos particulares de la actividad técnica. Los comités técnicos de
ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales, públicas y privadas,
en coordinación con ISO e IEC, también participan en el trabajo. En el campo de la evaluación de la
conformidad, el Comité de ISO para la evaluación de la conformidad (CASCO) es responsable del desarrollo
de Normas y Guías Internacionales.
Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las
Directivas ISO/IEC.
Los Proyectos de Normas Internacionales se envían a los organismos miembros para su votación. La
publicación como Norma Internacional requiere la aprobación por al menos el 75 % de los organismos
miembros que emiten voto.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar
sujetos a derechos de patente. ISO e IEC no se hacen responsables de la identificación de dichos derechos
de patente.
La Norma ISO/IEC 17021 ha sido preparada por el Comité de ISO para la evaluación de la conformidad
(CASCO).
El proyecto fue sometido a votación de los organismos nacionales de ISO y de IEC y fue aprobado por las
dos organizaciones.
Esta segunda edición anula y sustituye a la primera edición (ISO/IEC 17021:2006) que ha sido revisada
para ampliar el objeto y campo de aplicación. La primera edición se conserva provisionalmente por un
periodo de un año hasta la revisión sistemática de esta segunda edición.
Esta Norma Internacional también se ha publicado en una versión no oficial, con marcas que indican los
cambios con respecto a la edición previa.
Traducción oficial/Official translation/Traduction officielle
Prólogo de la versión en español
Esta Norma Internacional ha sido traducida por el Grupo de Trabajo Spanish Translation Working Group
(STWG) del Comité ISO/CASCO, Comité para la evaluación de la conformidad, en el que participan
representantes de los organismos nacionales de normalización y representantes del sector empresarial de los
siguientes países:
Argentina, Bolivia, Brasil, Chile, Colombia, Costa Rica, Cuba, Ecuador, España, Estados Unidos de América,
México, Perú, República Dominicana y Uruguay.
Igualmente, en el citado Grupo de Trabajo participan representantes de COPANT (Comisión Panamericana de
Normas Técnicas), INLAC (Instituto Latinoamericano de Aseguramiento de la Calidad) e IAAC (Cooperación
Interamericana de Acreditación).
Esta traducción es parte del resultado del trabajo que el Grupo ISO/CASCO STWG viene desarrollando
desde su creación en el año 2002 para lograr la unificación de la terminología en lengua española en el
ámbito de la evaluación de la conformidad.
Traducción oficial/Official translation/Traduction officielle
vi © ISO 2011 — Todos los derechos reservados

Introducción
La certificación de un sistema de gestión, tal como un sistema de gestión de la calidad o el de gestión
ambiental de una organización, es una de las formas de asegurar que la organización ha implementado un
sistema para la gestión de los aspectos pertinentes de sus actividades, en línea con su política.
Esta Norma Internacional especifica requisitos para los organismos de certificación. El cumplimiento de estos
requisitos tiene por finalidad asegurar que los organismos de certificación realizan la certificación de los
sistemas de gestión de manera competente, coherente e imparcial, facilitando así el reconocimiento de
dichos organismos y la aceptación de sus certificaciones en el plano nacional e internacional. Esta Norma
Internacional sirve como base para facilitar el reconocimiento de la certificación de los sistemas de gestión
para conveniencia del comercio internacional.
La certificación de un sistema de gestión proporciona una demostración independiente de que el sistema de
gestión de la organización:
a) es conforme con los requisitos especificados,
b) es capaz de lograr coherentemente su política y objetivos especificados, y
c) está implementado de manera eficaz.
La evaluación de la conformidad, como es el caso de la certificación de un sistema de gestión, aporta así
valor a la organización, sus clientes y partes interesadas.
El capítulo 4 de esta Norma Internacional describe los principios en los cuales se basa una certificación
creíble. Estos principios ayudan al lector a comprender la naturaleza esencial de la certificación y son una
introducción necesaria para los capítulos 5 a 10. Estos principios refuerzan todos los requisitos de esta
Norma Internacional, pero dichos principios no son auditables por sí mismos. El capítulo 10 describe dos
caminos alternativos para apoyar y demostrar que el organismo de certificación satisface de manera
sistemática los requisitos de la presente Norma Internacional, por medio de la aplicación de un sistema de
gestión.
Esta Norma Internacional está destinada a ser utilizada por los organismos que realizan la auditoría y la
certificación de sistemas de gestión. Establece requisitos genéricos aplicables para aquellos organismos de
certificación, que realizan la auditoría y certificación en el campo de los sistemas de gestión de la calidad, de
gestión ambiental y de otro tipo. Estos organismos se denominan “organismos de certificación”. Esta
denominación no debería ser un obstáculo para que organismos que se denominan de otra forma, que se
ocupan de las actividades cubiertas por el alcance de este documento, utilicen esta Norma Internacional.
Las actividades de certificación involucran la auditoría del sistema de gestión de una organización. La manera
de atestar la conformidad del sistema de gestión de una organización con una norma específica de sistemas
de gestión u otros requisitos normativos, presenta generalmente la forma de un documento de certificación o
un certificado.
La publicación de esta Norma Internacional contiene el texto de la Norma ISO/IEC 17021:2006, incluyendo
modificaciones para eliminar las referencias pertinentes a la Norma ISO 19011, así como un nuevo texto con
los requisitos específicos para las auditorías de certificación de tercera parte y la gestión de las competencias
del personal involucrado en la certificación.
Se han identificado necesidades de mercado específicas, como resultado de la falta de requisitos específicos
y reconocidos para los auditores de tercera parte de sistemas de gestión, tales como los sistemas de gestión
de la calidad, de gestión ambiental o de gestión de la inocuidad de los alimentos. Las partes interesadas
clave, incluidas las partes interesadas de la industria, han identificado como un punto débil la falta de
requisitos para la competencia de los auditores y la manera en que se gestionan y emplean estos auditores.
Traducción oficial/Official translation/Traduction officielle
Esta Norma Internacional proporciona un conjunto de requisitos para la auditoría de los sistemas de gestión a
un nivel genérico con el fin de proporcionar una determinación fiable de la conformidad con los requisitos
aplicables a la certificación, efectuada por un equipo auditor competente, con los recursos adecuados,
siguiendo un proceso coherente y comunicando los resultados de manera metódica.
Esta Norma Internacional es aplicable a la auditoría y a la certificación de todo tipo de sistemas de gestión.
Se reconoce que ciertos requisitos, particularmente aquellos referidos a las competencias de los auditores, se
pueden complementar con criterios adicionales para alcanzar las expectativas de las partes interesadas.
En esta Norma Internacional el término “debe” indica un requisito, y el término “debería” indica una
recomendación.
Traducción oficial/Official translation/Traduction officielle
viii © ISO 2011 — Todos los derechos reservados

NORMA INTERNACIONAL ISO/IEC 17021:2011 (traducción oficial)

Evaluación de la conformidad — Requisitos para los
organismos que realizan la auditoría y la certificación de
sistemas de gestión
1 Objeto y campo de aplicación
Esta Norma Internacional contiene principios y requisitos relativos a la competencia, coherencia e
imparcialidad de la auditoría y la certificación de sistemas de gestión de todo tipo (por ejemplo, sistemas de
gestión de la calidad o sistemas de gestión ambiental) y relativos a los organismos que proporcionan estas
actividades. Los organismos de certificación que trabajan de acuerdo con esta Norma Internacional no
necesitan ofrecer todos los tipos de certificación de sistemas de gestión.
La certificación de sistemas de gestión (denominada “certificación” en esta Norma Internacional) es una
actividad de evaluación de la conformidad de tercera parte (véase el apartado 5.5 de la Norma
ISO/IEC 17000:2004). Los organismos que realizan esta actividad son, por lo tanto, organismos de
evaluación de la conformidad de tercera parte (denominados “organismos de certificación” en esta Norma
Internacional).
NOTA 1 La certificación de un sistema de gestión a veces también se denomina “registro”, y a los organismos de
certificación a veces se les denomina “registradores”.
NOTA 2 Un organismo de certificación puede ser gubernamental o no gubernamental (con o sin autoridad de
reglamentación).
NOTA 3 La presente Norma Internacional puede utilizarse como documento de referencia para la acreditación, la
evaluación por pares u otros procesos de auditoría.
2 Referencias normativas
Los documentos que a continuación se indican son indispensables para la aplicación de este documento.
Para las referencias con fecha sólo se aplica la edición citada. Para las referencias sin fecha, se aplica la
última edición del documento indicado (incluyendo cualquier modificación).
ISO 9000:2005, Sistemas de gestión de la calidad — Fundamentos y vocabulario.
ISO/IEC 17000:2004, Evaluación de la conformidad — Vocabulario y principios generales
3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones incluidos en las Normas ISO 9000 e
ISO/IEC 17000 además de los siguientes:
3.1
cliente certificado
organización cuyo sistema de gestión ha sido certificado
3.2
imparcialidad
presencia real y percibida de objetividad
NOTA 1 Objetividad significa que no existen conflictos de intereses o que éstos son resueltos sin que afecten de forma
adversa a las actividades subsiguientes del organismo de certificación.
Traducción oficial/Official translation/Traduction officielle
NOTA 2 Otros términos que sirven para transmitir el elemento de la imparcialidad son: objetividad, independencia,
ausencia de conflictos de intereses, ausencia de sesgos, carencia de prejuicios, neutralidad, honradez, actitud abierta,
ecuanimidad, actitud desinteresada, equilibrio.
3.3
consultoría de sistemas de gestión
participación en el diseño, la implementación o el mantenimiento de un sistema de gestión
EJEMPLOS
a) preparar o elaborar manuales o procedimientos, y
b) asesorar, dar instrucciones o soluciones específicas para el desarrollo e implementación de un sistema de gestión.
NOTA Organizar cursos de formación y participar como instructor no se considera consultoría siempre que, cuando
estos cursos se refieran a sistemas de gestión o auditorías, se limiten a proporcionar información general que esté
disponible públicamente; es decir, que es conveniente que el instructor no proporcione soluciones específicas a una
empresa.
3.4
auditoría de certificación de tercera parte
auditoría realizada por una organización auditora independiente del cliente y del usuario, con el fin de
certificar el sistema de gestión de un cliente
NOTA 1 En las definiciones que se indican a continuación, el término ”auditoría“ se utiliza con fines de simplificación
para referirse a la auditoría de certificación de tercera parte.
NOTA 2 Las auditorías de certificación de tercera parte incluyen las auditorías inicial, de seguimiento, de renovación
de la certificación y también pueden incluir auditorías especiales.
NOTA 3 Las auditorías de certificación de tercera parte las efectúan, generalmente, los equipos auditores de aquellos
organismos que proporcionan la certificación de conformidad con los requisitos de las normas de sistemas de gestión.
NOTA 4 Cuando dos o más organizaciones auditoras colaboran en la auditoría de un mismo cliente, ésta se denomina
“auditoría conjunta”.
NOTA 5 Cuando un cliente es auditado con respecto a los requisitos de dos o más normas de sistemas de gestión a la
vez, la auditoría se denomina “auditoría combinada”.
NOTA 6 Cuando un cliente haya integrado la aplicación de los requisitos de dos o más normas de sistemas de
gestión en un único sistema de gestión y es auditado con respecto a más de una norma, la auditoría se denomina
“auditoría integrada”.
3.5
cliente
organización cuyo sistema de gestión se audita con fines de certificación
3.6
auditor
persona que lleva a cabo una auditoría
3.7
competencia
aptitud para aplicar conocimientos y habilidades para lograr los resultados previstos
3.8
guía
persona designada por el cliente para asistir al equipo auditor
Traducción oficial/Official translation/Traduction officielle
2 © ISO 2011 — Todos los derechos reservados

3.9
observador
persona que acompaña al equipo auditor, pero que no audita
3.10
área técnica
área caracterizada por los elementos comunes de los procesos que se refieren a un tipo específico de
sistema de gestión
4 Principios
4.1 Generalidades
4.1.1 Estos principios sirven de base para el desempeño específico y los requisitos descritos más adelante
en la presente Norma Internacional. Esta Norma Internacional no fija requisitos específicos para todas las
situaciones posibles. Es conveniente considerar estos principios como recomendaciones para tomar
decisiones ante situaciones imprevistas. Los principios no son requisitos.
4.1.2 La certificación tiene por objetivo general dar confianza a todas las partes de que un sistema de
gestión cumple los requisitos especificados. El valor de la certificación reside en el grado de confianza y fe
pública que se logra con una evaluación imparcial y competente por una tercera parte. Las partes que tienen
un interés en la certificación son las siguientes, si bien no se limitan sólo a éstas:
a) los clientes de los organismos de certificación;
b) los clientes de las organizaciones cuyos sistemas de gestión están certificados;
c) las autoridades gubernamentales;
d) las organizaciones no gubernamentales; y
e) los consumidores y otros miembros del público en general.
4.1.3 Los principios para inspirar confianza incluyen:
⎯ la imparcialidad;
⎯ la competencia;
⎯ la responsabilidad;
⎯ la transparencia;
⎯ la confidencialidad; y
⎯ la receptividad y respuesta oportuna a las quejas.
4.2 Imparcialidad
4.2.1 Ser imparcial, y ser percibido como imparcial, es necesario para que un organismo de certificación
proporcione una certificación que inspire confianza.
4.2.2 Se reconoce que la fuente de ingresos de un organismo de certificación proviene de su cliente que
paga por la certificación, y ello constituye una amenaza potencial a la imparcialidad.
Traducción oficial/Official translation/Traduction officielle
4.2.3 Con el fin de inspirar confianza y mantenerla, es esencial que las decisiones de un organismo de
certificación estén basadas en evidencias objetivas de conformidad (o de no conformidad) obtenidas por él, y
que sus decisiones no estén influidas por otros intereses u otras partes.
4.2.4 Las amenazas a la imparcialidad incluyen las siguientes:
a) Los intereses personales: surgen cuando una persona o un organismo actúa en su propio interés. Tener
intereses financieros personales es una amenaza susceptible de comprometer la imparcialidad de una
certificación.
b) La autorrevisión: surgen cuando una persona o un organismo revisa el trabajo hecho por él mismo. La
auditoría de los sistemas de gestión de un cliente al cual el organismo de certificación ha proporcionado
servicios de consultoría relativos a sistemas de gestión constituye una amenaza de este tipo.
c) La familiaridad (o confianza): surgen cuando una persona o un organismo tiene una relación de excesiva
familiaridad o confianza con otra persona y por eso no busca evidencias de auditoría.
d) La intimidación: surgen cuando una persona o un organismo tiene la percepción de sufrir coacción
abierta o encubiertamente, por ejemplo, la amenaza de ser reemplazado, o ser denunciado a un
supervisor.
4.3 Competencia
La competencia del personal, apoyada por el sistema de gestión del organismo de certificación, es necesaria
para que el organismo de certificación proporcione una certificación que dé confianza.
4.4 Responsabilidad
4.4.1 La organización cliente, y no el organismo de certificación, es responsable de la conformidad con los
requisitos de la certificación.
4.4.2 El organismo de certificación es responsable de evaluar suficiente evidencia objetiva para
fundamentar su decisión sobre la certificación. Basado en las conclusiones de la auditoría, toma una decisión
para otorgar la certificación si hay suficiente evidencia de la conformidad, o para no otorgarla si no hay
suficiente evidencia de la conformidad.
NOTA Toda auditoría se basa en un muestreo dentro del sistema de gestión de una organización y, por ello, no es
una garantía de la conformidad al 100 % con los requisitos.
4.5 Transparencia
4.5.1 El organismo de certificación necesita proporcionar acceso público, o revelar la información
apropiada y oportuna sobre sus procesos de auditoría y certificación, y sobre el estado de la certificación (es
decir, si se otorga, se amplía, se mantiene, se renueva, se suspende, se reduce el alcance, o se retira la
certificación) de cualquier organización, con el fin de inspirar confianza en la integridad y la credibilidad de la
certificación. La transparencia es un principio de acceso a, o revelación de, la información apropiada.
4.5.2 Para lograr o mantener la confianza en la certificación, un organismo de certificación debería
proporcionar el apropiado acceso a, o revelar a partes interesadas específicas, información no confidencial
sobre las conclusiones de auditorías específicas (por ejemplo, auditorías en respuesta a quejas).
4.6 Confidencialidad
Con el fin de obtener acceso privilegiado a la información, necesaria para que el organismo de certificación
evalúe adecuadamente la conformidad con los requisitos para la certificación, es esencial que el organismo
de certificación mantenga la confidencialidad de toda la información privada relativa al cliente.
Traducción oficial/Official translation/Traduction officielle
4 © ISO 2011 — Todos los derechos reservados

4.7 Receptividad y respuesta oportuna a las quejas
Las partes que confían en la certificación esperan que las quejas sean investigadas y, si son válidas,
deberían confiar en que serán tratadas adecuadamente y que se hará un esfuerzo razonable para resolverlas.
La receptividad y respuesta oportuna y eficaz a las quejas, es un medio importante para proteger al
organismo de certificación, sus clientes y a otros usuarios contra los errores, omisiones o comportamientos
no razonables. La confianza en las actividades de certificación está salvaguardada cuando las quejas se
tratan apropiadamente.
NOTA Es necesario un equilibrio apropiado entre los principios de transparencia y confidencialidad, incluyendo la
receptividad y respuesta oportuna a las quejas, con el fin de demostrar integridad y credibilidad a todos los usuarios de la
certificación.
5 Requisitos generales
5.1 Aspectos legales y contractuales
5.1.1 Responsabilidad legal
El organismo de certificación debe ser una entidad legal, o una parte definida de una entidad legal, de
manera que pueda ser considerado legalmente responsable de todas sus actividades de certificación. Se
considera que un organismo de certificación gubernamental es una entidad legal basándose en su estatus
gubernamental.
5.1.2 Acuerdo de certificación
El organismo de certificación debe tener un acuerdo legalmente ejecutable para proporcionar actividades de
certificación a su cliente. Además, cuando existan varias oficinas de un organismo de certificación o varias
sedes de un cliente, el organismo de certificación debe asegurarse de que exista un acuerdo legalmente
ejecutable, entre el organismo de certificación que otorga la certificación y emite un certificado, y todas las
sedes cubiertas por el alcance de la certificación.
5.1.3 Responsabilidad por las decisiones de certificación
El organismo de certificación debe ser responsable de, y conservar la autoridad de sus decisiones
concernientes a la certificación, incluyendo las de otorgar, mantener, renovar, ampliar, reducir, suspender y
retirar la certificación.
5.2 Gestión de la imparcialidad
5.2.1 La alta dirección del organismo de certificación debe ejercer sus actividades de certificación de
sistemas de gestión con total imparcialidad. El organismo de certificación debe tener una declaración,
accesible al público, por la cual reconoce la importancia de la imparcialidad en la realización de sus
actividades de certificación de sistemas de gestión, gestiona los conflictos de interés y asegura la objetividad
de sus actividades de certificación de sistemas de gestión.
5.2.2 El organismo de certificación debe identificar, analizar y documentar los posibles conflictos de
intereses que surjan de otorgar la certificación, incluyendo cualquier conflicto proveniente de sus relaciones.
Tener relaciones no implica necesariamente un conflicto de intereses para el organismo de certificación. Sin
embargo, si una relación supone una amenaza a la imparcialidad, el organismo de certificación debe
documentar y ser capaz de demostrar cómo elimina o minimiza dichas amenazas. Esta información debe
estar disponible para el comité especificado en el apartado 6.2. La demostración debe cubrir todas las
fuentes potenciales de conflicto de intereses identificadas, bien surjan del organismo de certificación o de las
actividades de otras personas, organismos u organizaciones.
NOTA Una relación que amenace la imparcialidad del organismo de certificación puede basarse en factores tales como
la propiedad, la estructura directiva, la gestión, el personal, los recursos compartidos, la situación financiera, los contratos, la
comercialización y el pago de una comisión sobre las ventas u otro incentivo concerniente a nuevos clientes, etc.
Traducción oficial/Official translation/Traduction officielle
5.2.3 Cuando una relación represente una amenaza inaceptable a la imparcialidad, (tal como una filial que
es propiedad exclusiva del organismo de certificación, que solicita la certificación a su casa matriz), no se
debe proporcionar la certificación.
NOTA Véase la Nota del apartado 5.2.2.
5.2.4 Un organismo de certificación no debe certificar las actividades de certificación de sistemas de
gestión de otro organismo de certificación.
NOTA Véase la Nota del apartado 5.2.2.
5.2.5 El organismo de certificación y cualquier parte de la misma entidad legal no debe ofrecer ni
proporcionar consultoría en materia de sistemas de gestión. Esto también aplica a aquella parte del gobierno
identificada como organismo de certificación.
5.2.6 El organismo de certificación y cualquier parte de la misma entidad legal no debe ofrecer ni
proporcionar auditorías internas a sus clientes certificados. El organismo de certificación no debe certificar un
sistema de gestión al cual ha proporcionado auditorías internas hasta dos años después de la finalización de
las auditorías internas. Esto también aplica a aquella parte del gobierno identificada como el organismo de
certificación.
NOTA Véase la Nota del apartado 5.2.2.
5.2.7 El organismo de certificación no debe certificar el sistema de gestión de un cliente que haya recibido
una consultoría en materia de sistemas de gestión o auditorías internas cuando la relación entre la
organización consultora y el organismo de certificación represente una amenaza inaceptable a la
imparcialidad del organismo de certificación.
NOTA 1 Una de las maneras de reducir la amenaza a la imparcialidad hasta un nivel aceptable consiste en dejar
pasar un periodo mínimo de dos años, después de finalizada la consultoría del sistema de gestión.
NOTA 2 Véase la Nota del apartado 5.2.2.
5.2.8 El organismo de certificación no debe contratar externamente las auditorías a una organización
consultora en materia de sistemas de gestión, ya que ello constituye una amenaza inaceptable a la
imparcialidad del organismo de certificación (véase el apartado 7.5). Esto no aplica a las personas que se
contratan como auditores, a las que se aplica el apartado 7.3.
5.2.9 Las actividades del organismo de certificación no se deben comercializar u ofertar como que están
vinculadas con las actividades de un organismo consultor en materia de sistemas de gestión. El organismo
de certificación debe actuar para corregir las declaraciones inapropiadas de una organización consultora, que
indique o sugiera que la certificación sería más simple, fácil, rápida o menos onerosa si se recurriera al
organismo de certificación. Un organismo de certificación no debe declarar o sugerir que la certificación sería
más simple, fácil, rápida o menos onerosa si se recurriera a una determinada organización consultora.
5.2.10 Para asegurarse de que no hay conflicto de intereses, el organismo de certificación no debe emplear
personal que haya realizado una actividad de consultoría al sistema de gestión, incluidas las personas que
actúan a nivel directivo, para participar en una auditoría o en actividades de certificación, si han tomado parte
en actividades de consultoría de sistemas de gestión para el cliente en cuestión en los dos años posteriores a
la finalización de dicha consultoría.
5.2.11 El organismo de certificación debe tomar medidas para responder a cualquier amenaza a su
imparcialidad que provenga de las acciones de otras personas, organismos u organizaciones.
5.2.12 El personal del organismo de certificación, ya sea interno o externo, o los comités, que puedan influir
en las actividades de certificación, deben actuar de manera imparcial y no deben permitir que las presiones
comerciales, financieras u otras comprometan su imparcialidad.
Traducción oficial/Official translation/Traduction officielle
6 © ISO 2011 — Todos los derechos reservados

5.2.13 Los organismos de certificación deben solicitar a su personal, tanto interno como externo, que le
revele cualquier situación de la que tengan conocimiento, que se pudiera presentar a dichas personas o al
organismo de certificación como un conflicto de intereses. Los organismos de certificación deben utilizar
dicha información como datos de entrada para identificar las amenazas a la imparcialidad que resultan de las
actividades de dicho personal o de las organizaciones que los emplean, y no deben recurrir a dicho personal,
ya sea interno o externo, salvo que puedan probar que no hay conflicto de intereses.
5.3 Responsabilidad legal y financiamiento
5.3.1 El organismo de certificación debe poder demostrar que ha evaluado los riesgos resultantes de sus
actividades de certificación y que ha tomado previsiones adecuadas (por ejemplo, un seguro o reservas) para
cubrir las responsabilidades legales resultantes de sus operaciones en cada uno de sus campos de actividad
y áreas geográficas en las que trabaja.
5.3.2 El organismo de certificación debe evaluar sus finanzas y sus fuentes de ingresos y debe demostrar
al comité especificado en el apartado 6.2 que las presiones comerciales, financieras u otras no comprometen
su imparcialidad, tanto inicialmente como continuamente.
6 Requisitos relativos a la estructura
6.1 Estructura de la organización y alta dirección
6.1.1 El organismo de certificación debe documentar la estructura de su organización, mostrando los
deberes, las responsabilidades y la autoridad de la dirección y demás personal de certificación y de cualquier
comité. Cuando el organismo de certificación es una parte definida de una entidad legal, la estructura debe
incluir la autoridad jerárquica y la relación con las otras partes de la misma entidad legal.
6.1.2 El organismo de certificación debe identificar a la alta dirección (comité directivo, grupo de personas
o persona) quien tiene la autoridad y responsabilidad total por cada uno de los puntos siguientes:
a) el desarrollo de políticas relativas al funcionamiento del organismo;
b) la supervisión de la implementación de las políticas y los procedimientos;
c) la supervisión de las finanzas del organismo;
d) el desarrollo de servicios y esquemas de certificación de sistemas de gestión;
e) la realización de auditorías y certificación, y la receptividad y respuesta oportuna a las quejas;
f) las decisiones relativas a la certificación;
g) la delegación de autoridad en comités o personas, según el caso, para llevar a cabo en su nombre
actividades definidas;
h) los acuerdos contractuales;
i) la provisión de recursos apropiados para las actividades de certificación.
6.1.3 El organismo de certificación debe tener reglas formales para la designación, los términos de
referencia y el funcionamiento de todos los comités involucrados en las actividades de certificación.
Traducción oficial/Official translation/Traduction officielle
6.2 Comité para la preservación de la imparcialidad
6.2.1 La estructura del organismo de certificación debe preservar la imparcialidad de sus actividades y
proporcionar un comité para:
a) ayudar a elaborar las políticas relativas a la imparcialidad de sus actividades de certificación;
b) contrarrestar toda tendencia de un organismo de certificación a permitir que consideraciones comerciales
o de otro tipo impidan la prestación objetiva y coherente de las actividades de certificación;
c) asesorar sobre temas que afecten a la confianza en la certificación, incluida la transparencia y la
percepción del público, y
d) realizar una revisión, al menos una vez al año, de la imparcialidad de los procesos de auditoría,
certificación y toma de decisiones del organismo de certificación.
Otras tareas o deberes pueden ser asignados al comité, siempre que estas tareas o deberes adicionales no
comprometan su papel esencial de asegurar la imparcialidad.
6.2.2 La composición, los términos de referencia, los deberes, la autoridad, la competencia de los
miembros y las responsabilidades de dicho comité deben documentarse formalmente y la alta dirección del
organismo de certificación debe autorizarlos con el fin de garantizar:
a) la representación de un equilibrio de intereses, de manera que no predomine un interés único (se
considera que el personal interno o externo, del organismo de certificación representa un único interés, y
no debe predominar);
b) el acceso a toda la información necesaria para permitir al comité cumplir sus funciones (véanse también
los apartados 5.2.2 y 5.3.2), y;
c) que, si la alta dirección del organismo de certificación no tiene en cuenta las recomendaciones de dicho
comité, el comité tiene derecho a actuar de forma independiente (por ejemplo, informando a las
autoridades, a los organismos de acreditación y a las partes interesadas). Al emprender una acción
independiente, los comités deben respetar los requisitos de confidencialidad del apartado 8.5 relativos al
cliente y al organismo de certificación.
6.2.3 Si bien este comité no puede representar todos los intereses, es conveniente que un organismo de
certificación identifique e invite a representantes de los intereses clave. Dichos intereses pueden incluir: los
clientes del organismo de certificación, los clientes de las organizaciones cuyos sistemas de gestión se han
certificado, los representantes de las cámaras industriales, los representantes de organismos
gubernamentales de reglamentación u otros servicios gubernamentales, o los representantes de
organizaciones no gubernamentales, incluidas las organiza
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

Loading comments...

Conformity assessment - Requirements for bodies providing audit and certification of management systems

Évaluation de la conformité — Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management

General Information

Relations

Frequently Asked Questions

Standards Content (Sample)

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.

This May Also Interest You