Conformity assessment — Requirements for bodies providing audit and certification of management systems

ISO/IEC 17021:2006 contains principles and requirements for the competence, consistency and impartiality of the audit and certification of management systems of all types (e.g. quality management systems or environmental management systems) and for bodies providing these activities. Certification bodies operating to this International Standard need not offer all types of management system certification. Certification of management systems is a third-party conformity assessment activity. Bodies performing this activity are therefore third-party conformity assessment bodies.

Évaluation de la conformité — Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management

L'ISO/CEI 17021:2006 spécifie les principes et les exigences relatives à la compétence, à la cohérence et à l'impartialité lors des audits et lors de la certification de systèmes de management de tous types (par exemple systèmes de management de la qualité ou systèmes de management environnemental) et relatives aux organismes fournissant cette activité. Les organismes de certification conformes à la présente Norme internationale ne sont pas tenus de proposer tous les types de certification de système de management. La certification de systèmes de management est une activité d'évaluation de la conformité par tierce partie. Les organismes exerçant cette activité sont par conséquent des organismes d'évaluation de la conformité par tierce partie.

General Information

Status
Withdrawn
Publication Date
30-Aug-2006
Withdrawal Date
30-Aug-2006
Current Stage
9599 - Withdrawal of International Standard
Start Date
31-Jan-2012
Completion Date
31-Jan-2012
Ref Project

RELATIONS

Buy Standard

Standard
ISO/IEC 17021:2006 - Conformity assessment -- Requirements for bodies providing audit and certification of management systems
English language
26 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO/IEC 17021:2006 - Évaluation de la conformité -- Exigences pour les organismes procédant a l'audit et a la certification des systemes de management
French language
28 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (sample)

INTERNATIONAL ISO/IEC
STANDARD 17021
First edition
2006-09-15
Conformity assessment — Requirements
for bodies providing audit and
certification of management systems
Évaluation de la conformité — Exigences pour les organismes
procédant à l'audit et à la certification de systèmes de management
Reference number
ISO/IEC 17021:2006(E)
ISO 2006
---------------------- Page: 1 ----------------------
ISO/IEC 17021:2006(E)
PDF disclaimer

This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but

shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In

downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat

accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.

Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation

parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In

the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.

© ISO 2006

All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,

electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or

ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2006 — All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 17021:2006(E)
Contents Page

Foreword............................................................................................................................................................ iv

Introduction ........................................................................................................................................................ v

1 Scope ..................................................................................................................................................... 1

2 Normative references ........................................................................................................................... 1

3 Terms and definitions........................................................................................................................... 1

4 Principles............................................................................................................................................... 2

4.1 General................................................................................................................................................... 2

4.2 Impartiality............................................................................................................................................. 3

4.3 Competence .......................................................................................................................................... 3

4.4 Responsibility ....................................................................................................................................... 3

4.5 Openness............................................................................................................................................... 3

4.6 Confidentiality....................................................................................................................................... 4

4.7 Responsiveness to complaints ........................................................................................................... 4

5 General requirements........................................................................................................................... 4

5.1 Legal and contractual matters............................................................................................................. 4

5.2 Management of impartiality ................................................................................................................. 4

5.3 Liability and financing.......................................................................................................................... 6

6 Structural requirements ....................................................................................................................... 6

6.1 Organizational structure and top management................................................................................. 6

6.2 Committee for safeguarding impartiality............................................................................................ 6

7 Resource requirements........................................................................................................................ 7

7.1 Competence of management and personnel..................................................................................... 7

7.2 Personnel involved in the certification activities ..............................................................................7

7.3 Use of individual external auditors and external technical experts ................................................ 8

7.4 Personnel records ................................................................................................................................ 9

7.5 Outsourcing........................................................................................................................................... 9

8 Information requirements .................................................................................................................... 9

8.1 Publicly accessible information.......................................................................................................... 9

8.2 Certification documents..................................................................................................................... 10

8.3 Directory of certified clients .............................................................................................................. 10

8.4 Reference to certification and use of marks.................................................................................... 10

8.5 Confidentiality..................................................................................................................................... 11

8.6 Information exchange between a certification body and its clients.............................................. 12

9 Process requirements ........................................................................................................................ 13

9.1 General requirements......................................................................................................................... 13

9.2 Initial audit and certification .............................................................................................................. 15

9.3 Surveillance activities ........................................................................................................................ 17

9.4 Recertification ..................................................................................................................................... 18

9.5 Special audits...................................................................................................................................... 19

9.6 Suspending, withdrawing or reducing the scope of certification ................................................. 19

9.7 Appeals ................................................................................................................................................ 20

9.8 Complaints .......................................................................................................................................... 20

9.9 Records of applicants and clients .................................................................................................... 21

10 Management system requirements for certification bodies........................................................... 22

10.1 Options ................................................................................................................................................ 22

10.2 Option 1: Management system requirements in accordance with ISO 9001................................ 22

10.3 Option 2: General management system requirements................................................................... 23

Bibliography ..................................................................................................................................................... 26

© ISO 2006 — All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC 17021:2006(E)
Foreword

ISO (the International Organization for Standardization) and IEC (the International Electrotechnical

Commission) form the specialized system for worldwide standardization. National bodies that are members of

ISO or IEC participate in the development of International Standards through technical committees

established by the respective organization to deal with particular fields of technical activity. ISO and IEC

technical committees collaborate in fields of mutual interest. Other international organizations, governmental

and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of conformity

assessment, the ISO Committee on conformity assessment (CASCO) is responsible for the development of

International Standards and Guides.

International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.

Draft International Standards are circulated to the national bodies for voting. Publication as an International

Standard requires approval by at least 75 % of the national bodies casting a vote.

Attention is drawn to the possibility that some of the elements of this document may be the subject of patent

rights. ISO shall not be held responsible for identifying any or all such patent rights.

ISO/IEC 17021 was prepared by the ISO Committee on conformity assessment (CASCO).

It was circulated for voting to the national bodies of both ISO and IEC, and was approved by both

organizations.

This first edition of ISO/IEC 17021 cancels and replaces ISO/IEC Guide 62:1996 and ISO/IEC Guide 66:1999,

which have been combined and technically revised.
iv © ISO 2006 — All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 17021:2006(E)
Introduction

Certification of a management system, such as a quality or environmental management system of an

organization, is one means of providing assurance that the organization has implemented a system for the

management of the relevant aspects of its activities, in line with its policy.

This International Standard specifies requirements for certification bodies. Observance of these requirements

is intended to ensure that certification bodies operate management system certification in a competent,

consistent and impartial manner, thereby facilitating the recognition of such bodies and the acceptance of their

certifications on a national and international basis. This International Standard serves as a foundation for

facilitating the recognition of management system certification in the interests of international trade.

Certification of a management system provides independent demonstration that the management system of

the organization
a) conforms to specified requirements,
b) is capable of consistently achieving its stated policy and objectives, and
c) is effectively implemented.

Conformity assessment such as certification of a management system thereby provides value to the

organization, its customers and interested parties.

In this International Standard, Clause 4 describes the principles on which credible certification is based. These

principles help the reader to understand the essential nature of certification and they are a necessary prelude

to Clauses 5 to 10. These principles underpin all the requirements in this International Standard, but such

principles are not auditable requirements in their own right. Clause 10 describes two alternative ways of

supporting and demonstrating the consistent achievement of the requirements in this International Standard

through the establishment of a management system by the certification body.

This International Standard is intended for use by bodies that carry out audit and certification of management

systems. It gives generic requirements for such certification bodies performing audit and certification in the

field of quality, environmental and other forms of management systems. Such bodies are referred to as

certification bodies. This wording should not be an obstacle to the use of this International Standard by bodies

with other designations that undertake activities covered by the scope of this document.

Certification activities involve the audit of an organization's management system. The form of attestation of

conformity of an organization's management system to a specific management system standard or other

normative requirements is normally a certification document or a certificate.
© ISO 2006 — All rights reserved v
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO/IEC 17021:2006(E)
Conformity assessment — Requirements for bodies providing
audit and certification of management systems
1 Scope

This International Standard contains principles and requirements for the competence, consistency and

impartiality of the audit and certification of management systems of all types (e.g. quality management

systems or environmental management systems) and for bodies providing these activities. Certification bodies

operating to this International Standard need not offer all types of management system certification.

Certification of management systems (named in this International Standard “certification”) is a third-party

conformity assessment activity (see ISO/IEC 17000:2004, 5.5). Bodies performing this activity are therefore

third-party conformity assessment bodies (named in this International Standard “certification body/bodies”).

NOTE 1 Certification of a management system is sometimes also called “registration”, and certification bodies are

sometimes called “registrars”.

NOTE 2 A certification body can be non-governmental or governmental (with or without regulatory authority).

NOTE 3 This International Standard can be used as a criteria document for accreditation or peer assessment or other

audit processes.
2 Normative references

The following referenced documents are indispensable for the application of this document. For dated

references, only the edition cited applies. For undated references, the latest edition of the referenced

document (including any amendments) applies.
ISO 9000:2005, Quality management systems — Fundamentals and vocabulary

ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing

ISO/IEC 17000:2004, Conformity assessment — Vocabulary and general principles
3 Terms and definitions

For the purposes of this document, the terms and definitions given in ISO 9000, ISO/IEC 17000 and the

following apply.
3.1
certified client
organization whose management system has been certified

1) References in this document to the relevant guidance in ISO 19011 apply to the auditing of all other types of

management systems.
© ISO 2006 — All rights reserved 1
---------------------- Page: 6 ----------------------
ISO/IEC 17021:2006(E)
3.2
impartiality
actual and perceived presence of objectivity

NOTE 1 Objectivity means that conflicts of interest do not exist or are resolved so as not to adversely influence

subsequent activities of the certification body.

NOTE 2 Other terms that are useful in conveying the element of impartiality are: objectivity, independence, freedom

from conflict of interests, freedom from bias, lack of prejudice, neutrality, fairness, open-mindedness, even-handedness,

detachment, balance.
3.3
management system consultancy
participation in designing, implementing or maintaining a management system
EXAMPLES are
a) preparing or producing manuals or procedures, and

b) giving specific advice, instructions or solutions towards the development and implementation of a management

system.

NOTE Arranging training and participating as a trainer is not considered consultancy, provided that, where the course

relates to management systems or auditing, it is confined to the provision of generic information that is freely available in

the public domain; i.e. the trainer should not provide company-specific solutions.

4 Principles
4.1 General

4.1.1 These principles are the basis for the subsequent specific performance and descriptive requirements

in this International Standard. This International Standard does not give specific requirements for all situations

that can occur. These principles should be applied as guidance for the decisions that may need to be made

for unanticipated situations. Principles are not requirements.

4.1.2 The overall aim of certification is to give confidence to all parties that a management system fulfils

specified requirements. The value of certification is the degree of public confidence and trust that is

established by an impartial and competent assessment by a third-party. Parties that have an interest in

certification include, but are not limited to
a) the clients of the certification bodies,
b) the customers of the organizations whose management systems are certified,
c) governmental authorities,
d) non-governmental organizations, and
e) consumers and other members of the public.
4.1.3 Principles for inspiring confidence include
⎯ impartiality,
⎯ competence,
⎯ responsibility,
2 © ISO 2006 — All rights reserved
---------------------- Page: 7 ----------------------
ISO/IEC 17021:2006(E)
⎯ openness,
⎯ confidentiality, and
⎯ responsiveness to complaints.
4.2 Impartiality

4.2.1 Being impartial, and being perceived to be impartial, is necessary for a certification body to deliver

certification that provides confidence.

4.2.2 It is recognized that the source of revenue for a certification body is its client paying for certification,

and that this is a potential threat to impartiality.

4.2.3 To obtain and maintain confidence, it is essential that a certification body's decisions be based on

objective evidence of conformity (or nonconformity) obtained by the certification body, and that its decisions

are not influenced by other interests or by other parties.
4.2.4 Threats to impartiality include the following.

a) Self-interest threats: threats that arise from a person or body acting in their own interest. A concern

related to certification, as a threat to impartiality, is financial self-interest.

b) Self-review threats: threats that arise from a person or body reviewing the work done by themselves.

Auditing the management systems of a client to whom the certification body provided management

systems consultancy would be a self-review threat.

c) Familiarity (or trust) threats: threats that arise from a person or body being too familiar with or trusting of

another person instead of seeking audit evidence.

d) Intimidation threats: threats that arise from a person or body having a perception of being coerced openly

or secretively, such as a threat to be replaced or reported to a supervisor.
4.3 Competence

Competence of the personnel supported by the management system of the certification body is necessary to

deliver certification that provides confidence. Competence is the demonstrated ability to apply knowledge and

skills.
4.4 Responsibility

4.4.1 The client organization, not the certification body, has the responsibility for conformity with the

requirements for certification.

4.4.2 The certification body has the responsibility to assess sufficient objective evidence upon which to

base a certification decision. Based on audit conclusions, it makes a decision to grant certification if there is

sufficient evidence of conformity, or not to grant certification if there is not sufficient evidence of conformity.

NOTE Any audit is based on sampling within an organization's management system and therefore is not a guarantee

of 100 % conformity with requirements.
4.5 Openness

4.5.1 A certification body needs to provide public access to, or disclosure of, appropriate and timely

information about its audit process and certification process, and about the certification status (i.e. the granting,

extending, maintaining, renewing, suspending, reducing the scope of, or withdrawing of certification) of any

organization, in order to gain confidence in the integrity and credibility of certification. Openness is a principle

of access to, or disclosure of, appropriate information.
© ISO 2006 — All rights reserved 3
---------------------- Page: 8 ----------------------
ISO/IEC 17021:2006(E)

4.5.2 To gain or maintain confidence in certification, a certification body should provide appropriate access

to, or disclosure of, non-confidential information about the conclusions of specific audits (e.g. audits in

response to complaints) to specific interested parties.
4.6 Confidentiality

To gain the privileged access to information that is needed for the certification body to assess conformity to

requirements for certification adequately, it is essential that a certification body keep confidential any

proprietary information about a client.
4.7 Responsiveness to complaints

Parties that rely on certification expect to have complaints investigated and, if these are found to be valid,

should have confidence that the complaints will be appropriately addressed and that a reasonable effort will

be made to resolve the complaints. Effective responsiveness to complaints is an important means of

protection for the certification body, its clients and other users of certification against errors, omissions or

unreasonable behaviour. Confidence in certification activities is safeguarded when complaints are processed

appropriately.

NOTE An appropriate balance between the principles of openness and confidentiality, including responsiveness to

complaints, is necessary in order to demonstrate integrity and credibility to all users of certification.

5 General requirements
5.1 Legal and contractual matters
5.1.1 Legal responsibility

The certification body shall be a legal entity, or a defined part of a legal entity, such that it can be held legally

responsible for all its certification activities. A governmental certification body is deemed to be a legal entity on

the basis of its governmental status.
5.1.2 Certification agreement

The certification body shall have a legally enforceable agreement for the provision of certification activities to

its client. In addition, where there are multiple offices of a certification body or multiple sites of a client, the

certification body shall ensure there is a legally enforceable agreement between the certification body granting

certification and issuing a certificate, and all the sites covered by the scope of the certification.

5.1.3 Responsibility for certification decisions

The certification body shall be responsible for, and shall retain authority for, its decisions relating to

certification, including the granting, maintaining, renewing, extending, reducing, suspending and withdrawing

of certification.
5.2 Management of impartiality

5.2.1 The certification body shall have top management commitment to impartiality in management system

certification activities. The certification body shall have a publicly accessible statement that it understands the

importance of impartiality in carrying out its management system certification activities, manages conflict of

interest and ensures the objectivity of its management system certification activities.

5.2.2 The certification body shall identify, analyse and document the possibilities for conflict of interests

arising from provision of certification including any conflicts arising from its relationships. Having relationships

does not necessarily present a certification body with a conflict of interest. However, if any relationship creates

a threat to impartiality, the certification body shall document and be able to demonstrate how it eliminates or

4 © ISO 2006 — All rights reserved
---------------------- Page: 9 ----------------------
ISO/IEC 17021:2006(E)

minimizes such threats. This information shall be made available to the committee specified in 6.2. The

demonstration shall cover all potential sources of conflict of interests that are identified, whether they arise

from within the certification body or from the activities of other persons, bodies or organizations.

NOTE A relationship that threatens the impartiality of the certification body can be based on ownership, governance,

management, personnel, shared resources, finances, contracts, marketing and payment of a sales commission or other

inducement for the referral of new clients, etc.

5.2.3 When a relationship poses an unacceptable threat to impartiality (such as a wholly owned subsidiary

of the certification body requesting certification from its parent), then certification shall not be provided.

NOTE See Note to 5.2.2.

5.2.4 A certification body shall not certify another certification body for its management system certification

activities.
NOTE See Note to 5.2.2.

5.2.5 The certification body and any part of the same legal entity shall not offer or provide management

system consultancy. This also applies to that part of government identified as the certification body.

5.2.6 The certification body and any part of the same legal entity shall not offer or provide internal audits to

its certified clients. The certification body shall not certify a management system on which it provided internal

audits within two years following the end of the internal audits. This also applies to that part of government

identified as the certification body.
NOTE See Note to 5.2.2.

5.2.7 The certification body shall not certify a management system on which a client has received

management system consultancy or internal audits, where the relationship between the consultancy

organization and the certification body poses an unacceptable threat to the impartiality of the certification body.

NOTE 1 Allowing a minimum period of two years to elapse following the end of the management system consultancy is

one way of reducing the threat to impartiality to an acceptable level.
NOTE 2 See Note to 5.2.2.

5.2.8 The certification body shall not outsource audits to a management system consultancy organization,

as this poses an unacceptable threat to the impartiality of the certification body (see 7.5). This does not apply

to individuals contracted as auditors covered in 7.3.

5.2.9 The certification body's activities shall not be marketed or offered as linked with the activities of an

organization that provides management system consultancy. The certification body shall take action to correct

inappropriate claims by any consultancy organization stating or implying that certification would be simpler,

easier, faster or less expensive if the certification body were used. A certification body shall not state or imply

that certification would be simpler, easier, faster or less expensive if a specified consultancy organization were

used.

5.2.10 To ensure that there is no conflict of interests, personnel who have provided management system

consultancy, including those acting in a managerial capacity, shall not be used by the certification body to take

part in an audit or other certification activities if they have been involved in management system consultancy

towards the client in question within two years following the end of the consultancy.

5.2.11 The certification body shall take action to respond to any threats to its impartiality arising from the

actions of other persons, bodies or organizations.

5.2.12 All certification body personnel, either internal or external, or committees, who could influence the

certification activities, shall act impartially and shall not allow commercial, financial or other pressures to

compromise impartiality.
© ISO 2006 — All rights reserved 5
---------------------- Page: 10 ----------------------
ISO/IEC 17021:2006(E)

5.2.13 Certification bodies shall require personnel, internal and external, to reveal any situation known to

them that may present them or the certification body with a conflict of interests. Certification bodies shall use

this information as input to identifying threats to impartiality raised by the activities of such personnel or by the

organizations that employ them, and shall not use such personnel, internal or external, unless they can

demonstrate that there is no conflict of interests.
5.3 Liability and financing

5.3.1 The certification body shall be able to demonstrate that it has evaluated the risks arising from its

certification activities and that it has adequate arrangements (e.g. insurance or reserves) to cover liabilities

arising from its operations in each of its fields of activities and the geographic areas in which it operates.

5.3.2 The certification body shall evalua
...

NORME ISO/CEI
INTERNATIONALE 17021
Première édition
2006-09-15
Évaluation de la conformité — Exigences
pour les organismes procédant à l'audit
et à la certification de systèmes de
management
Conformity assessment — Requirements for bodies providing audit and
certification of management systems
Numéro de référence
ISO/CEI 17021:2006(F)
ISO 2006
---------------------- Page: 1 ----------------------
ISO/CEI 17021:2006(F)
PDF – Exonération de responsabilité

Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier

peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence

autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées

acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute

responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.

Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info

du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir

l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,

veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.
© ISO 2006

Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous

quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit

de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.

ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2006 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/CEI 17021:2006(F)
Sommaire Page

Avant-propos..................................................................................................................................................... iv

Introduction ........................................................................................................................................................ v

1 Domaine d'application...........................................................................................................................1

2 Références normatives .........................................................................................................................1

3 Termes et définitions.............................................................................................................................2

4 Principes.................................................................................................................................................2

4.1 Généralités .............................................................................................................................................2

4.2 Impartialité..............................................................................................................................................3

4.3 Compétence ...........................................................................................................................................3

4.4 Responsabilité .......................................................................................................................................3

4.5 Transparence .........................................................................................................................................4

4.6 Confidentialité........................................................................................................................................4

4.7 Traitement des plaintes.........................................................................................................................4

5 Exigences générales .............................................................................................................................4

5.1 Domaine juridique et contractuel.........................................................................................................4

5.2 Gestion de l'impartialité ........................................................................................................................5

5.3 Responsabilité et situation financière.................................................................................................6

6 Exigences structurelles ........................................................................................................................6

6.1 Organisation et direction ......................................................................................................................6

6.2 Comité pour la préservation de l'impartialité......................................................................................7

7 Exigences relatives aux ressources....................................................................................................8

7.1 Compétence de la direction et du personnel......................................................................................8

7.2 Personnel intervenant dans les activités de certification .................................................................8

7.3 Intervention d'auditeurs et d'experts techniques externes individuels...........................................9

7.4 Enregistrements relatifs au personnel ................................................................................................9

7.5 Externalisation .......................................................................................................................................9

8 Exigences relatives aux informations ...............................................................................................10

8.1 Informations accessibles au public...................................................................................................10

8.2 Documents de certification.................................................................................................................10

8.3 Répertoire des clients certifiés ..........................................................................................................11

8.4 Référence à la certification et utilisation des marques ...................................................................11

8.5 Confidentialité......................................................................................................................................12

8.6 Échange d'informations entre l'organisme de certification et ses clients ....................................13

9 Exigences relatives aux processus ...................................................................................................14

9.1 Exigences générales ...........................................................................................................................14

9.2 Évaluation et certification initiales.....................................................................................................16

9.3 Activités de surveillance.....................................................................................................................18

9.4 Renouvellement de la certification ....................................................................................................20

9.5 Audits particuliers ...............................................................................................................................20

9.6 Suspension, retrait ou réduction du périmètre de la certification..................................................21

9.7 Appels ...................................................................................................................................................21

9.8 Plaintes .................................................................................................................................................22

9.9 Enregistrements relatifs aux demandeurs et aux clients................................................................23

10 Exigences relatives au système de management des organismes de certification.....................24

10.1 Options .................................................................................................................................................24

10.2 Option 1: Exigences relatives au système de management conformément à l'ISO 9001............24

10.3 Option 2: Exigences générales relatives au système de management .........................................24

Bibliographie .....................................................................................................................................................28

© ISO 2006 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/CEI 17021:2006(F)
Avant-propos

L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale)

forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou

de la CEI participent au développement de Normes internationales par l'intermédiaire des comités techniques

créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les

comités techniques de l'ISO et de la CEI collaborent dans des domaines d'intérêt commun. D'autres

organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et la CEI

participent également aux travaux. Dans le domaine de l'évaluation de la conformité, le comité ISO pour

l'évaluation de la conformité (CASCO) est responsable du développement de Normes internationales et de

Guides.

Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,

Partie 2.

Les projets de Normes internationales sont soumis aux organismes nationaux pour vote. Leur publication

comme Normes internationales requiert l'approbation de 75 % au moins des organismes nationaux votants.

L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de

droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne

pas avoir identifié de tels droits de propriété et averti de leur existence.

L'ISO/CEI 17021 a été élaborée par le comité ISO pour l'évaluation de la conformité (CASCO).

Le projet a été soumis aux organismes nationaux de l'ISO et de la CEI pour vote et a été approuvé par les

deux organisations.

Cette première édition de l'ISO/CEI 17021 annule et remplace le Guide ISO/CEI 62:1996 et le Guide

ISO/CEI 66:1999 qui ont été fusionnés et révisés techniquement.
iv © ISO 2006 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/CEI 17021:2006(F)
Introduction

La certification d'un système de management, tel qu'un système de management de la qualité ou de

management environnemental d'un organisme candidat, est l'un des moyens permettant d'assurer que

l'organisme a mis en application un système pour gérer des aspects relatifs à ses activités, conforme à sa

politique.

La présente Norme internationale spécifie des exigences applicables aux organismes de certification. Le

respect de ces exigences est destiné à assurer que ces organismes gèrent la certification de systèmes de

management avec compétence, et d'une façon cohérente et impartiale, facilitant ainsi la reconnaissance de

ces organismes et l'acceptation de leurs certifications sur les plans national et international. La présente

Norme internationale sert de base, dans l'intérêt du commerce international, à la reconnaissance de la

certification de systèmes de management.

La certification d'un système de management assure par une démonstration indépendante que le système de

management de l'organisme
a) est conforme aux exigences spécifiées,

b) est capable de réaliser de manière fiable la politique et les objectifs qu'il a déclarés, et

c) est mis en œuvre de manière efficace.

L'évaluation de la conformité, telle que la certification d'un système de management apporte une plus-value à

l'organisme, à ses clients et aux parties intéressées.

L'Article 4 de la présente Norme internationale décrit les principes assurant une certification crédible. Ces

principes facilitent la compréhension du lecteur quant à la nature essentielle de la certification. Ils constituent

une introduction nécessaire aux Articles 5 à 10. Ces principes représentent la trame de toutes les exigences

contenues dans la présente Norme internationale. Il faut noter que ces principes ne sont pas des exigences

auditables en tant que telles. L'Article 10 décrit deux alternatives pour soutenir et démontrer que l'organisme

de certification satisfait de manière fiable au respect des exigences de la présente Norme internationale au

moyen de la mise en place d'un système de management.

La présente Norme internationale est destinée à l'usage des organismes qui auditent et qui certifient des

systèmes de management. Elle présente des exigences génériques applicables aux organismes de

certification, procédant à l'audit et à la certification dans le domaine des systèmes de management de la

qualité, de management environnemental et autres. Ces organismes sont appelés «organismes de

certification». Il convient que ce libellé ne fasse pas obstacle à l'utilisation de la présente Norme internationale

par des organismes désignés différemment entreprenant des activités couvertes par le domaine d'application

décrit dans ce document.

La certification comprend l'audit du système de management d'un organisme. La manière d'attester la

conformité à une norme spécifique du système de management ou à d'autres exigences normatives prend

généralement la forme d'un document de certification ou d'un certificat.
© ISO 2006 – Tous droits réservés v
---------------------- Page: 5 ----------------------
NORME INTERNATIONALE ISO/CEI 17021:2006(F)
Évaluation de la conformité — Exigences pour les organismes
procédant à l'audit et à la certification de systèmes de
management
1 Domaine d'application

La présente Norme internationale spécifie les principes et les exigences relatifs à la compétence, à la

cohérence et à l'impartialité lors des audits et lors de la certification de systèmes de management de tous

types (par exemple systèmes de management de la qualité ou systèmes de management environnemental) et

relatives aux organismes fournissant cette activité. Les organismes de certification conformes à la présente

Norme internationale ne sont pas tenus de proposer tous les types de certification de système de

management.

La certification de systèmes de management (désignée dans la présente Norme internationale par

«certification») est une activité d'évaluation de la conformité par tierce partie (voir l'ISO/CEI 17000:2004, 5.5).

Les organismes exerçant cette activité sont par conséquent des organismes d'évaluation de la conformité par

tierce partie (désignés dans la présente Norme internationale «organisme(s) de certification»).

NOTE 1 La certification d'un système de management est parfois appelée «enregistrement», et les organismes de

certification sont parfois désignés par «organismes d'enregistrement».

NOTE 2 Un organisme de certification peut être gouvernemental ou non gouvernemental (avec ou sans pouvoir

réglementaire).

NOTE 3 La présente Norme internationale peut être utilisée comme référentiel pour l'accréditation, l'évaluation par des

pairs ou d'autres processus d'audit.
2 Références normatives

Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les

références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du

document de référence s'applique (y compris les éventuels amendements).

ISO 9000:2005, Systèmes de management de la qualité — Principes essentiels et vocabulaire

ISO 19011:2002, Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de

management environnemental

ISO/CEI 17000:2004, Évaluation de la conformité — Vocabulaire et principes généraux

1) Les références dans la présente Norme internationale aux recommandations pertinentes de l'ISO 19011 s'appliquent

à l'audit de tous les autres types de système de management.
© ISO 2006 – Tous droits réservés 1
---------------------- Page: 6 ----------------------
ISO/CEI 17021:2006(F)
3 Termes et définitions

Pour les besoins du présent document, les termes et définitions donnés dans l'ISO 9000, dans

l'ISO/CEI 17000 et les suivants s'appliquent.
3.1
client certifié
organisme dont le système de management a été certifié
3.2
impartialité
existence réelle et perceptible d'objectivité

NOTE 1 L'objectivité implique soit l'absence de conflit d'intérêts soit de trouver une solution à ces conflits de manière à

ne pas porter préjudice aux activités ultérieures de l'organisme de certification.

NOTE 2 D'autres termes utiles utilisés pour véhiculer la notion d'impartialité sont les suivants: objectivité,

indépendance, absence de tout conflit d'intérêts, probité, non-discrimination, neutralité, justice, ouverture d'esprit, équité,

désintéressement, équilibre.
3.3
conseil en matière de système de management

contribution à l'élaboration, à la mise en œuvre ou à l’entretien d'un système de management

EXEMPLES
a) la préparation ou la production de manuels ou de procédures, et

b) la fourniture de conseils, d'instructions ou de solutions spécifiques en matière d'élaboration et de mise en application

d'un système de management.

NOTE Organiser des formations et y participer en tant que formateur ne relèvent pas des activités de conseil, à

condition de se limiter, lorsque les cours portent sur des systèmes de management ou des audits, à fournir des

informations et des conseils génériques disponibles dans le domaine public; c'est-à-dire qu'il convient de ne pas fournir de

solutions spécifiques à une entreprise.
4 Principes
4.1 Généralités

4.1.1 Ces principes servent de base pour cette prestation spécifique et les exigences décrites ci-après dans

la présente Norme internationale. La présente Norme internationale ne fournit pas d'exigences spécifiques

applicables à toutes les situations susceptibles de survenir. Il convient de considérer ces principes comme

des recommandations à appliquer en cas de décisions à prendre dans des situations imprévues. Ces

principes ne constituent pas des exigences.

4.1.2 La certification a pour objectif général de donner confiance à toutes les parties qu'un système de

management satisfait aux exigences spécifiées. La valeur de la certification est le degré de confiance du

public après qu'un système de management a été évalué de manière impartiale et compétente par une tierce

partie. Les parties qui trouvent un intérêt à la certification sont les suivantes (liste non exhaustive):

a) les clients des organismes de certification;
b) les clients des organismes dont les systèmes de management sont certifiés;
c) les pouvoirs publics;
d) les organismes non gouvernementaux; et
e) les consommateurs et le grand public.
2 © ISO 2006 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO/CEI 17021:2006(F)
4.1.3 Les principes permettant de donner confiance comprennent
⎯ l'impartialité,
⎯ la compétence,
⎯ la responsabilité,
⎯ la transparence,
⎯ la confidentialité,
⎯ le traitement des plaintes.
4.2 Impartialité

4.2.1 Pour octroyer une certification qui donne confiance, un organisme de certification doit être impartial et

perçu comme tel.

4.2.2 Le fait que les revenus d'un organisme de certification proviennent de ses clients qui paient pour la

certification constitue une menace potentielle pour l'impartialité.

4.2.3 Pour gagner et maintenir la confiance, il est essentiel que les décisions d'un organisme de

certification soient fondées sur des preuves tangibles de conformité (ou de non-conformité) constatées par

l'organisme de certification, et que les décisions ne soient pas faussées par d'autres intérêts ou d'autres

parties.
4.2.4 Les menaces qui pèsent sur l'impartialité sont les suivantes:

a) les intérêts personnels: cette menace est due au fait qu'une personne ou une entité agisse dans son

propre intérêt. Son intérêt financier représente une menace susceptible de compromettre l'impartialité

d'une certification;

b) l'autoévaluation: cette menace est due au fait qu'une personne ou une entité évalue son propre travail.

Auditer les systèmes de management d'un client auquel l'organisme de certification a prodigué des

conseils en matière de système de management crée un risque dû à l'autoévaluation;

c) la familiarité (ou confiance): cette menace est due au fait d'entretenir une trop grande proximité

relationnelle ou de faire trop confiance aux personnes auditées plutôt que de rechercher des preuves lors

des audits;

d) l'intimidation: cette menace est due au fait qu'une personne ou une entité éprouve la sensation de subir

des pressions directes ou insidieuses, par exemple la menace d'être remplacée ou dénoncée à sa

hiérarchie.
4.3 Compétence

Pour octroyer une certification qui donne confiance, l'organisme de certification doit démontrer la compétence

de son personnel, soutenue par son système de management. La compétence est l'aptitude démontrée à

mettre en pratique des connaissances et un savoir-faire.
4.4 Responsabilité

4.4.1 C'est l'organisme client, et non l'organisme de certification, qui est responsable de la conformité aux

exigences de certification.
© ISO 2006 – Tous droits réservés 3
---------------------- Page: 8 ----------------------
ISO/CEI 17021:2006(F)

4.4.2 L'organisme de certification est tenu de réaliser une évaluation suffisante des preuves tangibles sur

lesquelles est fondée la décision de certification. C'est sur la base des conclusions de l'audit et de l'existence

de preuves de conformité suffisantes qu'il prend la décision d'accorder ou de refuser la certification.

NOTE Tout audit est fondé sur un échantillonnage du système de management d'un organisme et de ce fait ne

garantit pas une conformité de 100 % aux exigences.
4.5 Transparence

4.5.1 Afin d'assurer la confiance dans l'intégrité et la crédibilité de la certification, un organisme de

certification doit assurer l'accessibilité ou la diffusion au public des informations appropriées et à jour relatives

à ses processus d'audit et de certification ainsi que sur le statut de la certification (c'est-à-dire l'octroi,

l'extension, le maintien, le renouvellement, la suspension, la réduction du périmètre certifié ou le retrait de la

certification) de tout organisme. La transparence est un principe fondé sur l'accessibilité ou la diffusion des

informations appropriées.

4.5.2 Afin de gagner ou de maintenir la confiance dans la certification, il convient qu'un organisme de

certification permette un accès aux parties intéressées ou fasse une diffusion appropriée des informations non

confidentielles sur les résultats d'audits spécifiques (par exemple audits déclenchés en réponse à des

plaintes).
4.6 Confidentialité

Afin d'obtenir l'accès privilégié aux informations qui lui sont nécessaires pour évaluer de manière appropriée

la conformité aux exigences de certification, il est essentiel que l'organisme de certification préserve la

confidentialité de toute information privée sur le client.
4.7 Traitement des plaintes

Les parties qui comptent sur la certification sont en droit de réclamer l'examen des plaintes et, si ces

dernières se révèlent acceptables, d’avoir confiance dans le fait que les plaintes seront traitées de manière

appropriée et qu'un effort adéquat sera consenti pour les résoudre. Un traitement efficace des plaintes

constitue un moyen important de protection de l'organisme de certification, de ses clients et autres utilisateurs

de certification contre tout type d'erreur, d'omission ou d'abus. La confiance dans les activités de certification

est préservée lorsque les plaintes sont traitées de manière appropriée.

NOTE Un équilibre approprié entre les principes de transparence et de confidentialité, y compris le traitement des

plaintes, est nécessaire pour démontrer son intégrité et sa crédibilité à tous les utilisateurs de certification.

5 Exigences générales
5.1 Domaine juridique et contractuel
5.1.1 Responsabilité juridique

L'organisme de certification doit être une entité juridique ou une partie définie d'une entité juridique de façon à

pouvoir être tenu juridiquement responsable de toutes ses activités de certification. Un organisme de

certification gouvernemental est considéré être une entité juridique sur la base de son statut gouvernemental.

5.1.2 Contrat de certification

Un organisme de certification doit disposer d'un contrat juridiquement exécutoire pour fournir des services de

certification à son client. En outre, lorsque l'organisme de certification a plusieurs bureaux ou que le client

certifié a plusieurs sites, l'organisme de certification doit assurer qu'il existe une relation contractuelle

juridiquement exécutoire entre l'organisme de certification octroyant la certification et délivrant le certificat et

tous les sites concernés par le domaine de la certification.
4 © ISO 2006 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO/CEI 17021:2006(F)
5.1.3 Responsabilité en matière de décisions de certification

L'organisme de certification doit être responsable et conserver son autorité pour ses décisions en matière de

certification, y compris l'octroi, le maintien, le renouvellement, l'extension, la réduction, la suspension et le

retrait de la certification.
5.2 Gestion de l'impartialité

5.2.1 La direction de l'organisme de certification doit s'engager à exercer ses activités de certification de

systèmes de management en toute impartialité. L'organisme de certification doit rédiger une déclaration

accessible au public par laquelle il reconnaît l'importance de l'impartialité dans l'exercice de ses activités de

certification des systèmes de management, et qu'il assure la bonne gestion des conflits d'intérêts et

l'objectivité de ses activités de certification de systèmes de management.

5.2.2 L'organisme de certification doit identifier, analyser et documenter les conflits d'intérêts potentiels

résultant de la certification envisagée, y compris tous les conflits dus à ses propres relations. Entretenir des

relations n'implique pas nécessairement qu'un organisme de certification soit confronté à un conflit d'intérêts.

Cependant, si une relation compromet l'impartialité, l'organisme de certification doit apporter la preuve de la

manière dont il élimine ou limite ce risque au minimum. Ces informations doivent être tenues à disposition du

comité spécifié en 6.2, et doit couvrir toutes les sources potentielles de conflit d'intérêts identifiées, que ce soit

au sein de l'organisme de certification ou du fait des activités d'autres personnes, entités ou organismes.

NOTE Une relation qui compromet l'impartialité de l'organisme de certification peut résulter de facteurs tels que la

propriété, la gouvernance, la direction, le personnel, les ressources partagées, la situation financière, les contrats, la

commercialisation, le paiement de commissions sur les ventes ou autres incitations d'apporter de nouveaux clients, etc.

5.2.3 Lorsqu'une relation risque de compromettre l'impartialité de manière inacceptable (par exemple dans

le cas d'une filiale appartenant 100 % à l'organisme de certification demandant une certification de sa société

mère), la prestation de certification ne doit pas être fournie.
NOTE Voir Note de 5.2.2.

5.2.4 Un organisme de certification ne doit pas certifier les activités de certification de systèmes de

management d'un autre organisme de certification.
NOTE Voir Note de 5.2.2.

5.2.5 Un organisme de certification et toute autre partie de la même entité juridique ne doivent pas

proposer ou fournir des prestations de conseil en matière de système de management. Cela s'applique

également à une partie d'une entité gouvernementale identifiée comme organisme de certification.

5.2.6 Un organisme de certification et toute autre partie de la même entité juridique ne doivent pas

proposer ou fournir des prestations d'audits internes à des clients certifiés. Un organisme de certification ne

doit pas certifier un système de management pour lequel il a effectué des audits internes, et ce pendant une

durée de deux ans suivant la fin de la prestation. Cela s'applique également à une partie d'une entité

gouvernementale identifiée comme organisme de certification.
NOTE Voir Note de 5.2.2.

5.2.7 Un organisme de certification ne doit pas certifier le système de management d'un client ayant

bénéficié de conseils en matière de système de management ou d'audits internes pour le même système de

management, lorsque la relation qui existe entre l'organisme de conseil et l'organisme de certification

constitue une menace inacceptable au regard de l'impartialité de l'organisme de certification.

NOTE 1 L'un des moyens permettant de ramener la menace au regard de l'impartialité à un niveau acceptable

consiste à laisser passer une période minimale
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.