ISO/IEC 17021:2006
(Main)Conformity assessment — Requirements for bodies providing audit and certification of management systems
Conformity assessment — Requirements for bodies providing audit and certification of management systems
ISO/IEC 17021:2006 contains principles and requirements for the competence, consistency and impartiality of the audit and certification of management systems of all types (e.g. quality management systems or environmental management systems) and for bodies providing these activities. Certification bodies operating to this International Standard need not offer all types of management system certification. Certification of management systems is a third-party conformity assessment activity. Bodies performing this activity are therefore third-party conformity assessment bodies.
Évaluation de la conformité — Exigences pour les organismes procédant à l'audit et à la certification des systèmes de management
L'ISO/CEI 17021:2006 spécifie les principes et les exigences relatives à la compétence, à la cohérence et à l'impartialité lors des audits et lors de la certification de systèmes de management de tous types (par exemple systèmes de management de la qualité ou systèmes de management environnemental) et relatives aux organismes fournissant cette activité. Les organismes de certification conformes à la présente Norme internationale ne sont pas tenus de proposer tous les types de certification de système de management. La certification de systèmes de management est une activité d'évaluation de la conformité par tierce partie. Les organismes exerçant cette activité sont par conséquent des organismes d'évaluation de la conformité par tierce partie.
General Information
Relations
Buy Standard
Standards Content (Sample)
NORMA ISO/IEC
INTERNACIONAL 17021
Traducción oficial
Primera edición
Official translation
2006-09-15
Traduction officielle
Evaluación de la conformidad —
Requisitos para los organismos que
realizan la auditoría y la certificación de
sistemas de gestión
Conformity assessment — Requirements for bodies providing audit and
certification of management systems
Évaluation de la conformité — Exigences pour les organismes
procédant à l'audit et à la certification de systèmes de management
Publicado por la Secretaría Central de ISO en Ginebra, Suiza, como
traducción oficial en español avalada por el Translation Management
Group, que ha certificado la conformidad en relación con las versiones
inglesa y francesa.
Número de referencia
ISO/IEC 17021:2006
(traducción oficial)
©
ISO 2006
---------------------- Page: 1 ----------------------
ISO/IEC 17021:2006 (traducción oficial)
PDF – Exoneración de responsabilidad
Este fichero PDF puede contener fuentes incrustadas. De acuerdo con las condiciones de licencia de Adobe, este fichero puede
imprimirse o visualizarse, pero no se debe editar a menos que el equipo informático empleado para ello tenga instaladas dichas
fuentes con su licencia correspondiente. Al descargar este fichero, las partes implicadas aceptan la responsabilidad de no infringir las
condiciones de licencia de Adobe. La Secretaría Central de ISO rehúsa cualquier responsabilidad sobre esta cuestión.
Adobe es una marca registrada de Adobe Systems Incorporated.
Los detalles relativos al software utilizado para crear este fichero PDF están disponibles en la sección Información general relativa al
mismo. Los parámetros de creación del PDF se han optimizado para la impresión. Se han adoptado todas las medidas para
garantizar que el fichero es apropiado para su uso por los organismos miembros de ISO. En el improbable caso de que se encuentre
un problema al respecto, sírvase comunicarlo a la Secretaría Central en la dirección indicada a continuación.
DOCUMENTO PROTEGIDO POR COPYRIGHT
© ISO 2006
Reservados los derechos de reproducción. Salvo prescripción diferente, no podrá reproducirse ni utilizarse ninguna parte de esta
publicación bajo ninguna forma y por ningún medio, electrónico o mecánico, incluidos el fotocopiado y la microfilmación, sin la
autorización por escrito recibida de ISO en la siguiente dirección o del organismo miembro de ISO en el país solicitante.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Versión española publicada en 2009
Publicado en Suiza
Traducción oficial/Official translation/Traduction officielle
ii © ISO 2006 — Todos los derecho reservados
---------------------- Page: 2 ----------------------
ISO/IEC 17021:2006 (traducción oficial)
Índice Página
Prólogo. iv
Prólogo de la versión en español . v
Introducción . vi
1 Objeto y campo de aplicación . 1
2 Referencias normativas. 1
3 Términos y definiciones. 2
4 Principios. 2
4.1 Generalidades. 2
4.2 Imparcialidad. 3
4.3 Competencia. 3
4.4 Responsabilidad. 3
4.5 Transparencia. 4
4.6 Confidencialidad. 4
4.7 Receptividad y respuesta oportuna a las quejas .4
5 Requisitos generales. 4
5.1 Asuntos legales y contractuales. 4
5.2 Gestión de la imparcialidad . 5
5.3 Responsabilidad legal y financiamiento . 6
6 Requisitos relativos a la estructura. 6
6.1 Estructura de la organización y alta dirección . 6
6.2 Comité para la preservación de la imparcialidad . 7
7 Requisitos relativos a los recursos . 8
7.1 Competencia de la dirección y del personal. 8
7.2 Personal que interviene en las actividades de certificación. 8
7.3 Empleo de auditores externos y expertos técnicos externos individuales. 9
7.4 Registros relativos al personal . 9
7.5 Contratación externa. 9
8 Requisitos relativos a la información. 10
8.1 Información accesible al público . 10
8.2 Documentos de certificación. 10
8.3 Lista de clientes certificados. 11
8.4 Referencia a la certificación y utilización de marcas. 11
8.5 Confidencialidad. 12
8.6 Intercambio de información entre el organismo de certificación y sus clientes. 13
9 Requisitos relativos a los procesos . 14
9.1 Requisitos generales. 14
9.2 Auditoría inicial y certificación. 16
9.3 Actividades de vigilancia . 19
9.4 Renovación de la certificación . 20
9.5 Auditorías especiales. 21
9.6 Suspender, retirar o reducir el alcance de la certificación . 21
9.7 Apelaciones. 22
9.8 Quejas. 22
9.9 Registros relativos a solicitantes y clientes . 23
10 Requisitos relativos al sistema de gestión de los organismos de certificación . 24
10.1 Opciones. 24
10.2 Opción 1: Requisitos del sistema de gestión de acuerdo con la Norma ISO 9001 . 24
10.3 Opción 2: Requisitos generales de sistemas de gestión . 25
Bibliografía . 28
Traducción oficial/Official translation/Traduction officielle
© ISO 2006 — Todos los derechos reservados iii
---------------------- Page: 3 ----------------------
ISO/IEC 17021:2006 (traducción oficial)
Prólogo
ISO (Organización Internacional de Normalización) e IEC (Comisión Electrotécnica Internacional) forman el
sistema especializado para la normalización mundial. Los organismos nacionales que son miembros de ISO e
IEC participan en el desarrollo de las Normas Internacionales por medio de comités técnicos establecidos por
la organización respectiva, para atender campos particulares de la actividad técnica. Los comités técnicos de
ISO e IEC colaboran en campos de interés mutuo. Otras organizaciones internacionales, públicas y privadas,
en coordinación con ISO e IEC, también participan en el trabajo. En el campo de la evaluación de la
conformidad, el comité de ISO para la evaluación de la conformidad (CASCO) es responsable del desarrollo
de Normas y Guías Internacionales.
Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las
Directivas ISO/IEC.
Los Proyectos de Normas Internacionales se envían a los organismos miembros para su votación. La
publicación como Norma Internacional requiere la aprobación por al menos el 75% de los organismos
nacionales con derecho a voto.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar
sujetos a derechos de patente. ISO e IEC no se hacen responsables de la identificación de dichos derechos
de patente.
La Norma Internacional ISO/IEC 17021 ha sido preparada por el Comité de ISO para la evaluación de la
conformidad (CASCO).
Fue circulada para su voto a los organismos nacionales tanto de ISO como de IEC, y fue aprobada por
ambas organizaciones.
Esta primera edición de la Norma ISO/IEC 17021 anula y sustituye a la Guía ISO/IEC 62:1996 y a la Guía
ISO/IEC 66:1999, que se han combinado y revisado técnicamente.
Traducción oficial/Official translation/Traduction officielle
iv © ISO 2006 — Todos los derechos reservados
---------------------- Page: 4 ----------------------
ISO/IEC 17021:2006 (traducción oficial)
Prólogo de la versión en español
Esta Norma Internacional ha sido traducida por el Grupo de Trabajo "Spanish Translation Working Group
STWG" del Comité Técnico ISO/CASCO, Comité para la evaluación de la conformidad, en el que participan
representantes de los organismos nacionales de normalización y representantes del sector empresarial de los
siguientes países:
Argentina, Bolivia, Brasil, Chile, Colombia, Costa Rica, Cuba, Ecuador, España, Estado Unidos de América,
México, Perú, República Dominicana, Uruguay y Venezuela.
Igualmente, en el citado Grupo de Trabajo participan representantes de COPANT (Comisión Panamericana
de Normas Técnicas) e IAAC (Cooperación Interamericana de Acreditación).
Esta traducción es parte del resultado del trabajo que el Grupo ISO/CASCO STWG viene desarrollando
desde su creación en el año 2002 para lograr la unificación de la terminología en lengua española en el
ámbito de la evaluación de la conformidad.
Traducción oficial/Official translation/Traduction officielle
© ISO 2006 — Todos los derechos reservados v
---------------------- Page: 5 ----------------------
ISO/IEC 17021:2006 (traducción oficial)
Introducción
La certificación de un sistema de gestión, tal como el sistema de gestión de la calidad o el de gestión
ambiental de una organización, es una de las formas de asegurar que la organización ha implementado un
sistema para la gestión de los aspectos pertinentes de sus actividades, en línea con su política.
Esta Norma Internacional especifica requisitos para los organismos de certificación. El cumplimiento de estos
requisitos tiene por finalidad asegurar que los organismos de certificación realizan la certificación de los
sistemas de gestión de manera competente, coherente e imparcial, facilitando así el reconocimiento de
dichos organismos y la aceptación de sus certificaciones en el plano nacional e internacional. Esta Norma
Internacional sirve como base para facilitar el reconocimiento de la certificación de sistemas de gestión para
conveniencia del comercio internacional.
La certificación de un sistema de gestión proporciona una demostración independiente de que el sistema de
gestión de la organización:
a) cumple los requisitos especificados,
b) es capaz de lograr coherentemente su política y objetivos especificados, y
c) está implementado de manera eficaz.
La evaluación de la conformidad, como es el caso de la certificación de un sistema de gestión, aporta así
valor a la organización, sus clientes y partes interesadas.
El capítulo 4 de esta Norma Internacional describe los principios en los cuales se basa una certificación
creíble. Estos principios ayudan al lector a comprender la naturaleza esencial de la certificación y son una
introducción necesaria para los capítulos 5 a 10. Estos principios refuerzan todos los requisitos de esta
Norma Internacional, pero dichos principios no son auditables por sí mismos. El capítulo 10 describe dos
caminos alternativos para apoyar y demostrar la consecución coherente de los requisitos de esta Norma
Internacional a través del establecimiento de un sistema de gestión por el organismo de certificación.
Esta Norma Internacional está destinada a ser utilizada por los organismos que realizan la auditoría y la
certificación de sistemas de gestión. Establece requisitos genéricos para aquellos organismos de certificación
que realizan la auditoría y certificación en el campo de los sistemas de gestión de la calidad, de gestión
ambiental y de otro tipo. Estos organismos se denominan "organismos de certificación". Esta denominación
no debería ser un obstáculo para que organismos que se denominan de otra forma, que se ocupan de las
actividades cubiertas por el alcance de este documento, utilicen esta Norma Internacional.
Las actividades de certificación involucran la auditoría del sistema de gestión de una organización. La manera
de atestar la conformidad del sistema de gestión de una organización con una norma de sistema de gestión
específica u otros requisitos normativos, presenta generalmente la forma de un documento de certificación o
un certificado.
Traducción oficial/Official translation/Traduction officielle
vi © ISO 2006 — Todos los derechos reservados
---------------------- Page: 6 ----------------------
NORMA INTERNACIONAL ISO/IEC 17021:2006 (traducción oficial)
Evaluación de la conformidad — Requisitos para los organismos
que realizan la auditoría y certificación de sistemas de gestión
1 Objeto y campo de aplicación
Esta Norma Internacional contiene principios y requisitos relativos a la competencia, coherencia e
imparcialidad de la auditoría y la certificación de sistemas de gestión de todo tipo (por ejemplo, sistemas de
gestión de la calidad o sistemas de gestión ambiental) y relativos a los organismos que proporcionan estas
actividades. Los organismos de certificación que trabajan de acuerdo con esta Norma Internacional no
necesitan ofrecer todos los tipos de certificación de sistemas de gestión.
La certificación de sistemas de gestión (denominada “certificación” en esta Norma Internacional) es una
actividad de evaluación de la conformidad de tercera parte (véase el apartado 5.5 de la Norma
ISO/IEC 17000:2004). Los organismos que realizan esta actividad son, por lo tanto, organismos de
evaluación de la conformidad de tercera parte (denominados “organismos de certificación” en esta Norma
Internacional).
NOTA 1 La certificación de un sistema de gestión a veces también se denomina “registro”, y a los organismos de
certificación a veces se les denomina “registradores”.
NOTA 2 Un organismo de certificación puede ser gubernamental o no gubernamental (con o sin autoridad de
reglamentación).
NOTA 3 Esta Norma Internacional puede ser utilizada como un documento de criterio para la acreditación o evaluación
entre pares u otros procesos de auditoría.
2 Referencias normativas
Los documentos de referencia que a continuación se indican son indispensables para la aplicación de esta
norma. Para las referencias con fecha, sólo se aplica la edición citada. Para las referencias sin fecha se
aplica la última edición del documento de referencia (incluyendo cualquier modificación de ésta).
ISO 9000:2005, Sistemas de gestión de la calidad — Fundamentos y vocabulario
1)
ISO 19011:2002, Directrices para la auditoría de sistemas de gestión de la calidad y/o ambiental
ISO/IEC 17000:2004, Evaluación de la conformidad — Vocabulario y principios generales
1) Las referencias en este documento a la correspondiente orientación en la Norma ISO 19011 se aplican a la auditoría
de cualquier otro tipo de sistema de gestión.
Traducción oficial/Official translation/Traduction officielle
© ISO 2006 — Todos los derechos reservados 1
---------------------- Page: 7 ----------------------
ISO/IEC 17021:2006 (traducción oficial)
3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones dados en las Normas ISO 9000,
ISO/IEC 17000 y los siguientes.
3.1
cliente certificado
organización cuyo sistema de gestión ha sido certificado
3.2
imparcialidad
presencia real y percibida de objetividad
NOTA 1 Objetividad significa que no existen conflictos de intereses o que éstos son resueltos sin que afecten de forma
adversa a las actividades subsiguientes del organismo de certificación.
NOTA 2 Otros términos que sirven para transmitir el elemento de la imparcialidad son: objetividad, independencia,
ausencia de conflictos de intereses, ausencia de sesgos, carencia de prejuicios, neutralidad, honradez, actitud abierta,
ecuanimidad, actitud desinteresada, equilibrio.
3.3
consultoría de sistemas de gestión
participación en el diseño, la implementación o el mantenimiento de un sistema de gestión
EJEMPLOS
a) preparar o elaborar manuales o procedimientos, y
b) asesorar, dar instrucciones o soluciones específicas para el desarrollo e implementación de un sistema de gestión.
NOTA Organizar cursos de formación y participar como instructor no se considera consultoría siempre que, cuando
estos cursos se refieran a sistemas de gestión o auditorías, se limiten a proporcionar información general que esté disponible
públicamente; es decir, que es conveniente que el instructor no proporcione soluciones específicas a una empresa.
4 Principios
4.1 Generalidades
4.1.1 Estos principios constituyen la base para los requisitos específicos, descriptivos y de que se describen
más adelante en esta Norma Internacional. Esta Norma Internacional no fija requisitos específicos para todas
las situaciones posibles. Es conveniente considerar a estos principios como orientaciones para tomar
decisiones ante situaciones imprevistas. Los principios no son requisitos.
4.1.2 La certificación tiene por objetivo general dar confianza a todas las partes de que un sistema de
gestión cumple los requisitos especificados. El valor de la certificación reside en el grado de confianza y fe
pública que se logra con una evaluación imparcial y competente por una tercera parte. Las partes que tienen
un interés en la certificación son las siguientes, si bien no se limitan sólo a éstas:
a) los clientes de los organismos de certificación,
b) los clientes de las organizaciones cuyos sistemas de gestión están certificados,
c) las autoridades gubernamentales,
d) las organizaciones no gubernamentales, y
e) los consumidores y otros miembros del público en general.
Traducción oficial/Official translation/Traduction officielle
2 © ISO 2006 — Todos los derechos reservados
---------------------- Page: 8 ----------------------
ISO/IEC 17021:2006 (traducción oficial)
4.1.3 Los principios para inspirar confianza incluyen:
⎯ la imparcialidad,
⎯ la competencia,
⎯ la responsabilidad,
⎯ la transparencia,
⎯ la confidencialidad, y
⎯ la receptividad y respuesta oportuna a las quejas.
4.2 Imparcialidad
4.2.1 Ser imparcial, y ser percibido como imparcial, es necesario para que un organismo de certificación
proporcione una certificación que inspire confianza.
4.2.2 Se reconoce que la fuente de ingresos de un organismo de certificación proviene de su cliente que
paga por la certificación, y ello constituye una amenaza potencial a la imparcialidad.
4.2.3 Con el fin de inspirar confianza y mantenerla, es esencial que las decisiones de un organismo de
certificación estén basadas en evidencias objetivas de conformidad (o de no conformidad) obtenidas por él, y
que sus decisiones no estén influidas por otros intereses u otras partes.
4.2.4 Las amenazas a la imparcialidad incluyen las siguientes:
a) Los intereses personales: surgen cuando una persona o un organismo actúa en su propio interés. Tener
intereses financieros personales es una amenaza susceptible de comprometer la imparcialidad de una
certificación.
b) La autorrevisión: surgen cuando una persona o un organismo revisa el trabajo hecho por él mismo. La
auditoría de los sistemas de gestión de un cliente al cual el organismo de certificación ha proporcionado
servicios de consultoría relativos a sistemas de gestión constituye una amenaza de este tipo.
c) La familiaridad (o confianza): surgen cuando una persona o un organismo tiene una relación de excesiva
familiaridad o confianza con otra persona y por eso no busca evidencias de auditoría.
d) La intimidación: surgen cuando una persona o un organismo tiene la percepción de sufrir coacción abierta o
encubiertamente, por ejemplo, la amenaza de ser reemplazado, o ser denunciado a un supervisor.
4.3 Competencia
La competencia del personal, apoyada por el sistema de gestión del organismo de certificación, es necesaria
para que el organismo de certificación proporcione una certificación que dé confianza. La competencia es la
aptitud demostrada para aplicar los conocimientos y habilidades.
4.4 Responsabilidad
4.4.1 La organización cliente, y no el organismo de certificación, es responsable de la conformidad con los
requisitos de la certificación.
4.4.2 El organismo de certificación es responsable de evaluar suficiente evidencia objetiva para
fundamentar su decisión sobre la certificación. Basado en las conclusiones de la auditoría, toma una decisión
para otorgar la certificación si hay suficiente evidencia de la conformidad, o para no otorgarla si no hay
suficiente evidencia de la conformidad.
NOTA Toda auditoría se basa en un muestreo dentro del sistema de gestión de una organización y, por ello, no es
una garantía de la conformidad al 100 % con los requisitos.
Traducción oficial/Official translation/Traduction officielle
© ISO 2006 — Todos los derechos reservados 3
---------------------- Page: 9 ----------------------
ISO/IEC 17021:2006 (traducción oficial)
4.5 Transparencia
4.5.1 El organismo de certificación necesita proporcionar acceso público, o revelar la información apropiada
y oportuna sobre sus procesos de auditoría y certificación, y sobre el estado de la certificación (es decir, si se
otorga, se amplía, se mantiene, se renueva, se suspende, se reduce el alcance, o se retira la certificación) de
cualquier organización, con el fin de inspirar confianza en la integridad y la credibilidad de la certificación. La
transparencia es un principio de acceso a, o revelación de, la información apropiada.
4.5.2 Para lograr o mantener la confianza en la certificación, un organismo de certificación debería
proporcionar el apropiado acceso a, o revelar a partes interesadas específicas, información no confidencial
sobre las conclusiones de auditorías específicas (por ejemplo, auditorías en respuesta a quejas).
4.6 Confidencialidad
Con el fin de obtener acceso privilegiado a la información necesaria para que el organismo de certificación
evalúe adecuadamente la conformidad con los requisitos para la certificación, es esencial que el organismo
de certificación mantenga la confidencialidad de toda la información privada relativa al cliente.
4.7 Receptividad y respuesta oportuna a las quejas
Las partes que confían en la certificación esperan que las quejas sean investigadas y, si son válidas,
deberían confiar en que serán tratadas adecuadamente y que se hará un esfuerzo razonable para resolverlas.
La receptividad y respuesta oportuna y eficaz a las quejas, es un medio importante para proteger al
organismo de certificación, sus clientes y a otros usuarios contra los errores, omisiones o comportamientos
no razonables. La confianza en las actividades de certificación está salvaguardada cuando las quejas se
tratan apropiadamente.
NOTA Es necesario un equilibrio apropiado entre los principios de transparencia y confidencialidad, incluyendo la
receptividad y respuesta oportuna a las quejas, con el fin de demostrar integridad y credibilidad a todos los usuarios de la
certificación.
5 Requisitos generales
5.1 Asuntos legales y contractuales
5.1.1 Responsabilidad legal
El organismo de certificación debe ser una entidad legal, o una parte definida de una entidad legal, de
manera que pueda ser considerado legalmente responsable de todas sus actividades de certificación. Se
considera que un organismo de certificación gubernamental es una entidad legal basándose en su estatus
gubernamental.
5.1.2 Acuerdo de certificación
El organismo de certificación debe tener un acuerdo legalmente ejecutable para proporcionar actividades de
certificación a su cliente. Además, cuando existan varias oficinas de un organismo de certificación o varias
sedes de un cliente, el organismo de certificación debe asegurarse de que exista un acuerdo legalmente
ejecutable, entre el organismo de certificación que otorga la certificación y emite un certificado, y todas las
sedes cubiertas por el alcance de la certificación.
5.1.3 Responsabilidad por las decisiones de certificación
El organismo de certificación debe ser responsable de, y conservar la autoridad de sus decisiones
concernientes a la certificación, incluyendo las de otorgar, mantener, renovar, ampliar, reducir, suspender y
cancelar la certificación.
Traducción oficial/Official translation/Traduction officielle
4 © ISO 2006 — Todos los derechos reservados
---------------------- Page: 10 ----------------------
ISO/IEC 17021:2006 (traducción oficial)
5.2 Gestión de la imparcialidad
5.2.1 La alta dirección del organismo de certificación debe ejercer sus actividades de certificación de
sistemas de gestión con total imparcialidad. El organismo de certificación debe tener una declaración,
accesible al público, por la cual reconoce la importancia de la imparcialidad en la realización de sus
actividades de certificación de sistemas de gestión, gestiona los conflictos de interés y asegura la objetividad
de sus actividades de certificación de sistemas de gestión.
5.2.2 El organismo de certificación debe identificar, analizar y documentar los posibles conflictos de
intereses que surjan de otorgar la certificación, incluyendo cualquier conflicto proveniente de sus relaciones.
Tener relaciones no implica necesariamente un conflicto de intereses para el organismo de certificación. Sin
embargo, si una relación supone una amenaza a la imparcialidad, el organismo de certificación debe
documentar y ser capaz de demostrar cómo elimina o minimiza dichas amenazas. Esta información debe
estar disponible para el comité especificado en el apartado 6.2. La demostración debe cubrir todas las
fuentes potenciales de conflicto de intereses identificadas, bien surjan del organismo de certificación o de las
actividades de otras personas, organismos u organizaciones.
NOTA Una relación que amenace la imparcialidad del organismo de certificación puede basarse en factores tales como
la propiedad, la estructura directiva, la gestión, el
...
МЕЖДУНАРОДНЫЙ ISO/IEC
СТАНДАРТ 17021
Первое издание
2006-09-15
Оценка соответствия. Требования к
органам, обеспечивающим аудит и
сертификацию систем менеджмента
Conformity assessment — Requirements for bodies providing audit and
certification of management systems
Ответственность за подготовку русской версии несёт GOST R
(Российская Федерация) в соответствии со статьёй 18.1 Устава ISO
Ссылочный номер
ISO/IEC 17021:2006(R)
©
ISO 2006
---------------------- Page: 1 ----------------------
ISO/IEC 17021:2006(R)
Отказ от ответственности при работе в PDF
Настоящий файл PDF может содержать интегрированные шрифты. В соответствии с условиями лицензирования, принятыми
фирмой Adobe, этот файл можно распечатать или смотреть на экране, но его нельзя изменить, пока не будет получена
лицензия на интегрированные шрифты и они не будут установлены на компьютере, на котором ведется редактирование. В
случае загрузки настоящего файла заинтересованные стороны принимают на себя ответственность за соблюдение
лицензионных условий фирмы Adobe. Центральный секретариат ISO не несет никакой ответственности в этом отношении.
Adobe - торговый знак фирмы Adobe Systems Incorporated.
Подробности, относящиеся к программным продуктам, использованным для создания настоящего файла PDF, можно найти в
рубрике General Info файла; параметры создания PDF были оптимизированы для печати. Были приняты во внимание все
меры предосторожности с тем, чтобы обеспечить пригодность настоящего файла для использования комитетами-членами
ISO. В редких случаях возникновения проблемы, связанной со сказанным выше, просьба проинформировать Центральный
секретариат по адресу, приведенному ниже.
ДОКУМЕН ЗАЩИЩЕН АВТОРСКИМ ПРАВОМ
© ISO 2006
Все права сохраняются. Если не указано иное, никакую часть настоящей публикации нельзя копировать или использовать в
какой-либо форме или каким-либо электронным или механическим способом, включая фотокопии и микрофильмы, без
предварительного письменного согласия ISO, которое должно быть получено после запроса о разрешении, направленного по
адресу, приведенному ниже, или в комитет-член ISO в стране запрашивающей стороны.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright @ iso.org
Web www.iso.org
Опубликовано в Швейцарии
ii © ISO 2006 – Все права сохраняются
---------------------- Page: 2 ----------------------
ISO/IEC 17021:2006(R)
Содержание Страница
Предисловие .iv
Введение .v
1 Область применения .1
2 Нормативные ссылки .1
3 Термины и определения .1
4 Основные принципы .2
4.1 Общие положения .2
4.2 Беспристрастность .3
4.3 Компетентность .3
4.4 Ответственность.3
4.5 Открытость .4
4.6 Конфиденциальность.4
4.7 Реагирование на жалобы.4
5 Общие требования .4
5.1 Юридические и контрактные вопросы .4
5.2 Менеджмент беспристрастности.5
5.3 Обязательства и финансирование .6
6 Требования к структуре .7
6.1 Организационная структура и высшее руководство .7
6.2 Комитет по соблюдению беспристрастности.7
7 Требования к ресурсам .8
7.1 Компетентность менеджмента и персонала .8
7.2 Персонал, участвующий в работах по сертификации .8
7.3 Использование отдельных внешних аудиторов и внешних технических экспертов .10
7.4 Персональные данные.10
7.5 Аутсорсинг.10
8 Требования к информации.11
8.1 Общедоступная информация.11
8.2 Документы сертификации .11
8.3 Указатель сертифицированных клиентов.12
8.4 Ссылка на сертификацию и использование знаков .12
8.5 Конфиденциальность.13
8.6 Обмен информацией между органом сертификации и его клиентами .13
9 Требования к процессу .14
9.1 Общие требования .14
9.2 Первичный аудит и сертификация .17
9.3 Работы по инспекционному контролю .19
9.4 Повторная сертификация .20
9.5 Специальные аудиты .21
9.6 Приостановление, отзыв или сокращение объема сертификации.22
9.7 Апелляции.22
9.8 Жалобы.23
9.9 Регистрация организаций-заявителей и клиентов .24
10 Требования к системе менеджмента органов сертификации .25
10.1 Варианты.25
10.2 Вариант 1: Требования к системе менеджмента согласно ISO 9001 .25
10.3 Вариант 2: Общие требования к системе менеджмента.25
Библиография.30
© ISO 2006 – Все права сохраняются iii
---------------------- Page: 3 ----------------------
ISO/IEC 17021:2006(R)
Предисловие
Международная организация по стандартизации (ISO) является всемирной федерацией национальных
организаций по стандартизации (комитетов-членов ISO). Разработка международных стандартов
обычно осуществляется техническими комитетами ISO. Каждый комитет-член, заинтересованный в
деятельности, для которой был создан технический комитет, имеет право быть представленным в
этом комитете. Международные организации, правительственные и неправительственные, имеющие
связи с ISO, также принимают участие в работах. Что касается стандартизации в области
электротехники, то ISO работает в тесном сотрудничестве с Международной электротехнической
комиссией (IEC).
Проекты международных стандартов разрабатываются в соответствии с правилами Директив ISO/IEC,
Часть 2.
Проекты международных стандартов рассылаются комитетам-членам на голосование. Для
опубликования их в качестве международного стандарта требуется одобрение не менее 75 %
комитетов-членов, принимающих участие в голосовании.
Необходимо учитывать возможность, что некоторые элементы настоящего документа могут быть
объектом патентных прав. ISO не несет ответственность за определение каких-либо или всех таких
патентных прав.
Документ ISO/IEC 17021 был подготовлен Комитетом ISO по оценке соответствия (CASCO).
Данный документ был распространен для голосования среди национальных органов как ISO, так и IEC,
и получил одобрение в обеих организациях.
Настоящее первое издание ISO/IEC 17021 отменяет и заменяет Руководство ISO/IEC 62:1996 и
Руководство ISO/IEC 66:1999, которые были объединены и пересмотрены в техническом отношении.
iv © ISO 2006 – Все права сохраняются
---------------------- Page: 4 ----------------------
ISO/IEC 17021:2006(R)
Введение
Сертификация системы менеджмента, например системы менеджмента качества или окружающей
среды организации, представляет собой одно из средств обеспечения гарантии, что данная
организация внедрила систему менеджмента одного из аспектов своей работы в соответствии с
политикой организации в этой области.
Настоящий международный стандарт устанавливает требования к проводящим сертификацию
органам. Соблюдение этих требований предоставляет определенные гарантии, что сертификация
системы менеджмента выполнена компетентно, непротиворечивым и беспристрастным способом,
облегчая благодаря этому признание работы таких органов по сертификации и выдаваемых ими
сертификатов на национальном или интернациональном уровне. Настоящий международный стандарт
можно рассматривать как обоснование признания сертификации системы менеджмента в интересах
международной торговли.
Сертификация системы менеджмента позволяет предоставить независимые доказательства, что
система менеджмента организации
a) соответствует установленным требованиям,
c) постоянно способствует выполнению установленных целей и общей политики, и
b) эффективно выполняется.
Оценка соответствия, например сертификация системы менеджмента, имеет благодаря указанному
выше значение для организации, ее потребителей и заинтересованных сторон.
В Разделе 4 данного международного стандарта дано описание принципов, на которых основана
заслуживающая доверия сертификация. Эти принципы помогают читателю понять важнейшие
особенности сертификации и являются необходимыми предпосылками к Разделам 5 - 10.
Описываемые принципы поддерживают требования настоящего международного стандарта, но не
могут рассматриваться как отдельные подлежащие проверке условия. В Разделе 10 описаны два
альтернативных способа поддержки и подтверждения последовательного выполнения требований
настоящего международного стандарта в процессе разработки системы менеджмента органом по
сертификации.
Данный международный стандарт предназначен для применения органами, выполняющими аудит и
сертификацию систем менеджмента. В нем содержатся исходные требования к органам по
сертификации, проводящим аудит и сертификацию систем менеджмента в области качества,
окружающей среды и других типов систем. Такие органы называются органами сертификации. Такое
определение не должно служить препятствием для использования данного международного стандарта
организациями другого назначения, выполняющими работы, входящие в область применения данного
документа.
Работы по сертификации включают аудит системы менеджмента организации. Формой подтверждения
соответствия системы менеджмента организации конкретному стандарту по системам менеджмента
или другим нормативным требованиям обычно является документ или сертификат, подтверждающий
сертификацию.
© ISO 2006 – Все права сохраняются v
---------------------- Page: 5 ----------------------
ISO/IEC 17021:2006(R)
МЕЖДУНАРОДНЫЙ СТАНДАРТ
Оценка соответствия. Требования к органам,
обеспечивающим аудит и сертификацию систем
менеджмента
1 Область применения
Настоящий международный стандарт содержит принципы и требования, относящиеся к
компетентности, непротиворечивости и беспристрастности аудита и сертификации систем
менеджмента всех типов (например систем менеджмента качества или менеджмента окружающей
среды), а также применяемые к организациям, выполняющим эти работы. Органы сертификации,
работающие в соответствии с настоящим международным стандартом, не обязательно должны
предлагать сертификацию всех видов систем менеджмента.
Сертификация систем менеджмента (называемая в данном международном стандарте
"сертификация"), представляет собой работу по оценке соответствия, выполняемую третьей стороной
(смотрите ISO/IEC 17000:2004, 5.5). Органы, выполняющие эти работы, называются в связи с этим
органами третьей стороны по оценке соответствия (именуемые в настоящем международном
стандарте как "орган/организация по сертификации").
ПРИМЕЧАНИЕ 1 Сертификацию системы менеджмента иногда также называют "регистрацией", а органы по
сертификации иногда именуются "регистрационными бюро".
ПРИМЕЧАНИЕ 2 Орган сертификации может быть правительственным или неправительственным (имеющим или
не имеющим регулятивные полномочия).
ПРИМЕЧАНИЕ 3 Настоящий международный стандарт можно использовать в качестве критериального
документа при аккредитации или экспертной оценке, или в других процессах аудита.
2 Нормативные ссылки
Следующие ниже ссылочные документы обязательны при применении данного документа. При
жестких ссылках используются только цитированные издания. При плавающих ссылках применяется
последнее издание ссылочного документа (включая все изменения).
ISO 9000:2005, Системы менеджмента качества. Основные положения и словарь
ISO 19011:2002, Руководящие указания по аудиту систем менеджмента качества и/или систем
1)
экологического менеджмента
ISO/IEC 17000:2004, Оценка соответствия. Словарь и общие принципы
3 Термины и определения
Для целей данного документа применяются термины и определения ISO 9000, ISO/IEC 17000 и
приведенные ниже.
1)
Ссылки в данном документе на соответствующее руководство в ISO 19011 применяются при аудите всех других
типов систем менеджмента.
© ISO 2006 – Все права сохраняются 1
---------------------- Page: 6 ----------------------
ISO/IEC 17021:2006(R)
3.1
имеющий сертификацию клиент
certified client
организация, система менеджмента которой сертифицирована
3.2
беспристрастность
impartiality
фактическое и осознаваемое наличие объективности
ПРИМЕЧАНИЕ 1 Объективность означает, что конфликты интересов либо отсутствуют, либо разрешаются таким
образом, что не оказывают неблагоприятное влияние на последующую деятельность органа сертификации.
ПРИМЕЧАНИЕ 2 Другие термины, полезные для выражения беспристрастности, следующие: объективность,
независимость, свобода от конфликтов интересов, отсутствие отклонений, отсутствие предубеждений,
нейтральность, честность, открытость, справедливость, отдаленность, уравновешенность.
3.3
консультирование системы менеджмента
management system consultancy
участие в разработке, внедрении или поддержании системы менеджмента
ПРИМЕРЫ
a) подготовка или разработка руководств или методик, и
b) предоставление конкретных советов, инструкций или решений по разработке и внедрению системы
менеджмента.
ПРИМЕЧАНИЕ Организация обучения и участие в качестве преподавателя не рассматривается как
консультация, если в тех случаях, когда курс обучения относится к системам менеджмента или проведению
аудита, он ограничивается предоставлением общей информации, которая свободно доступна для
общественности; т.е. в этих случаях преподаватель не должен указывать решения для конкретной компании.
4 Основные принципы
4.1 Общие положения
4.1.1 Основные принципы являются основой последующих конкретных характеристик и
описательных требований в данном международном стандарте. Международный стандарт не должен
устанавливать специальные требования для всех возможных ситуаций. Принципы стандарта следует
применять в качестве руководства при принятии решений, которые могут потребоваться в
непредвиденных ситуациях. Принципы не являются требованиями.
4.1.2 Общая цель сертификации состоит в создании уверенности всех принимающих участие
сторон, в том, что система менеджмента соответствует установленным требованиям. Ценность
сертификации состоит в достижении определенного уровня общественного доверия, которое
обеспечивается с помощью беспристрастной и компетентной оценки третьей стороны. Сертификация
представляет интерес для следующих сторон взаимоотношений, но не только для них
a) клиентов органов сертификации,
b) потребителей продукции организаций, система менеджмента которых подвергается сертификации,
c) органов государственной власти,
d) неправительственных организаций, и
e) потребителей и других членов общества.
2 © ISO 2006 – Все права сохраняются
---------------------- Page: 7 ----------------------
ISO/IEC 17021:2006(R)
4.1.3 Принципы, создающие доверие, включают следующее
беспристрастность,
компетентность,
ответственность,
открытость,
конфиденциальность, и
быстрота реагирования на жалобы.
4.2 Беспристрастность
4.2.1 Беспристрастность, и создание впечатления беспристрастности, являются необходимыми для
органа сертификации с точки зрения доверия к сертификации.
4.2.2 Общепризнано, что источником доходов органа сертификации является плата клиентов за
сертификацию, что представляет потенциальную угрозу для соблюдения принципа беспристрастности.
4.2.3 Для достижения и поддержания доверия важно, чтобы решения органа сертификации были
основаны на объективных свидетельствах соответствия (или несоответствия), полученных органом
сертификации, и чтобы на эти решения не оказывали влияние другие интересы или другие стороны.
4.2.4 Угрозами для выполнения условия беспристрастности является следующее.
a) Связанные с собственными интересами угрозы: угрозы со стороны лица или организации,
действующей в собственных интересах. Область интересов, представляющая угрозу для
сертификации, - это собственные финансовые интересы.
b) Угрозы, связанные с выполнением анализа собственных работ: эти угрозы возникают со стороны
лиц или организаций, выполняющих анализ выполенных ими самими работ. Аудит систем
менеджмента клиента, которого орган сертификации консультировал по системам менеджмента,
может создавать угрозы этого типа.
c) Связанные со знакомством (или доверием) угрозы: угрозы, возникающие со стороны лиц или
организаций, хорошо знакомых с другими лицами и доверяющих им вместо поиска объективных
данных при аудите.
d) Связанные с запугиванием угрозы: угрозы, возникающие со стороны лиц или организаций,
подвергающихся принуждению открыто или втайне, например путем угроз отстранения от
выполнения работ, или сообщения контрольным органам.
4.3 Компетентность
Компетентность персонала, поддерживаемая системой менеджмента органа сертификации, является
необходимым условием пользующейся доверием сертификации. Компетентность определяется
способностью применять знания и навыки.
4.4 Ответственность
4.4.1 Организация - клиент, не являющаяся органом сертификации, несет ответственность за
соблюдение условия соответствия требованиям сертификации.
© ISO 2006 – Все права сохраняются 3
---------------------- Page: 8 ----------------------
ISO/IEC 17021:2006(R)
4.4.2 Орган сертификации несет ответственность за оценку достаточно объективных свидетельств,
на основании которых принимается решение о сертификации. Исходя из заключений аудита, этот
орган принимает решение предоставить сертификацию, если имеются достаточные свидетельства
соответствия.
ПРИМЕЧАНИЕ Любой аудит основан на выборочной проверке системы менеджмента качества организации и,
следовательно, не может дать гарантию соответствия требованиям на 100 %.
4.5 Открытость
4.5.1 Орган сертификации должен предоставить публичный доступ к необходимой и своевременной
информации, или раскрыть ее, относительно своего процесса аудита и процесса сертификации, а
также относительно статуса сертификации (например предоставления, расширения, поддержания,
обновления, приостановления, уменьшения объема сертификации, или отзыва сертификации) любой
организации, в целях достижения доверия к надежности и достоверности сертификации. Открытость
представляет собой принцип доступа к необходимой информации, или ее раскрытия.
4.5.2 Для достижения или поддержания доверия к сертификации орган сертификации должен
предоставлять необходимый доступ к неконфиденциальной информации, касающейся решений в
конкретных случаях аудита (например аудита в случае жалоб), или раскрывать ее, для определенных
заинтересованных сторон.
4.6 Конфиденциальность
При получении привилегированного доступа к необходимой органу сертификации для правильной
оценки соотстветствия требованиям информации, важно, чтобы орган сертификации сохранял
конфиденциальность любой частной информации относительно клиента.
4.7 Реагирование на жалобы
Стороны, полагающиеся на сертификацию, ожидают получить исследование жалоб, и, если это
целесообразно, должны быть уверены, что жалобы будут направлены по правильному адресу, и что
будут предприняты достаточные усилия для принятия решений по этим жалобам. Эффективное
реагирование на жалобы является важным средством защиты органа сертификации, его клиентов и
других пользователей сертификации от ошибок, упущений или непредсказуемого поведения. Доверие
к сертификации сохраняется, когда работа с жалобами проводится эффективно.
ПРИМЕЧАНИЕ Правильный баланс между принципами открытости и конфиденциальности, включая
реагирование на жалобы, необходим в целях демонстрации надежности сертификации и повышения доверия к
ней всех пользователей сертификации.
5 Общие требования
5.1 Юридические и контрактные вопросы
5.1.1 Юридическая ответственность
Орган сертификации должен быть юридическим лицом или некоторой частью юридического лица,
такой, чтобы он мог нести ответственность за всю деятельность по сертификации. Правительственный
орган сертификации рассматривается как юридическое лицо исходя из его статуса правительственного
органа.
5.1.2 Соглашение о сертификации
Орган сертификации должен иметь юридически обязательное соглашение о проведении работ по
сертификации для своего клиента. Кроме того, когда имеется несколько отделений органа
сертификации или несколько отделений клиента, орган сертификации должен гарантировать
юридически обязательное соглашение между органом сертификации, предоставляющим
4 © ISO 2006 – Все права сохраняются
---------------------- Page: 9 ----------------------
ISO/IEC 17021:2006(R)
сертификацию и выпускающим сертификат, и всеми отделениями клиента, подлежащими
сертификации.
5.1.3 Ответственность за решения по сертификации
Орган сертификации должен иметь полномочия для принятия решений по сертификации и нести
ответственность за эти решения, включая предоставление, поддержание, обновление, расширение,
приостановление и отзыв сертификации.
5.2 Менеджмент беспристрастности
5.2.1 Высшее руководство органа сертификации должно принять обязательство соблюдать
беспристрастность при выполнении работ по сертификации. Орган сертификации должен выпустить
общедоступное заявление о важности соблюдения беспристрастности при проведении работ по
сертификации системы менеджмента, а также о том, что он стремится управлять конфликтами
интересов и гарантирует объективность сертификации систем менеджмента.
5.2.2 Орган сертификации должен идентифицировать, анализировать и документально
фиксировать все возможности конфликта интересов, возникающего при предоставлении
сертификации, включая связанные с взаимоотношениями конфликты. Наличие взаимоотношений не
обязательно создает условия конфликта интересов органа сертификации. Однако если какие-либо
взаимоотношения создают угрозу для соблюдения беспристрастности, орган сертификации должен
документально зафиксировать это и показать, каким образом этот конфликт может быть ликвидирован
или минимизирован. Эта информация должна быть предоставлена указанному в 6.2 комитету.
Демонстрация этих данных должна включать все идентифицированные потенциальные источники
конфликтов интересов, возникающих либо в рамках органа сертификации, либо в результате
деятельности других лиц, учреждений или организаций.
ПРИМЕЧАНИЕ Взаимосвязи, создающие угрозы соблюдению беспристрастности органом сертификации, могут
быть основаны на правах собственности, властных полномочиях, действиях руководства, персонала, разделении
ресурсов, вопросах финансов, контрактов, маркетинга и платежей комиссионных вознаграждений при продажах,
или других мотивах при привлечении новых клиентов, и т.д.
5.2.3 Когда взаимосвязи создают неприемлемую угрозу соблюдению беспристрастности (например
когда находящаяся в собственности органа сертификации дочерняя компания запрашивает
проведение сертификации от главной компании), выполнение сертификации не допускается.
ПРИМЕЧАНИЕ См. Примечание к 5.2.2.
5.2.4 Орган сертификации не должен выполнять сертификацию деятельности другого органа
сертификации в области сертификации систем менеджмента.
ПРИМЕЧАНИЕ См. Примечание к 5.2.2.
5.2.5 Орган сертификации и любая часть того же юридического лица не должны предлагать или
проводить консультации по системам менеджмента. Это также относится к части правительственного
органа, определяемой как орган сертификации.
5.2.6 Орган сертификации и любая другая часть того же юридического лица не должны предлагать
или предоставлять внутренние аудиты своим сертифицированным клиентам. Орган сертификации не
должен проводить сертификацию системы менеджмента, на которой он выполнял внутренние аудиты,
в течение двух лет после окончания выполнения внутренних аудитов. Это также относится к части
правительственного органа, определяемой как орган сертификации.
ПРИМЕЧАНИЕ См. Примечание к 5.2.2.
5.2.7 Орган сертификации не должен проводить сертификацию системы менеджмента, по которой
клиент получал консультацию в области систем менеджмента или внутренние аудиты, если
© ISO 2006 – Все права сохраняются 5
---------------------- Page: 10 ----------------------
ISO/IEC 17021:2006(R)
взаимосвязи между дававшей консультации организацией и органом сертификации создают
неприемлемые угрозы соблюдению беспристрастности органом сертификации.
ПРИМЕЧАНИЕ 1 Минимальный период в два года после окончания консультаций по системе менеджмента
является единственным способом снижения угрозы соблюдению беспристрастности до приемлемого уровня.
ПРИМЕЧАНИЕ См. Примечание к 5.2.2.
5.2.8 Орган сертификации не должен передавать выполнение аудитов организации, проводящей
консультации по системе менеджмента, поскольку это создает неприемлемую угрозу соблюдению
беспристрастности органом сертификации (см. 7.5). Это условие не применяется к отдельным лицам,
работавшим по контракту аудиторами согласно 7.3.
5.2.9 Работы органа сертификации не должны быть представлены на рынке или предлагаться во
взаимосвязи с работами организации, предоставляющей консультации по системам менеджмента.
Орган сертификации должен предпринимать действия по корректировке неприемлемых заявлений со
стороны предоставляющих консультации организаций, утверждающих, или подразумевающих, что
сертификация может быть упрощена, облегчена, ускорена или удешевлена, если будет использован
данный орган сертификации. Орган сертификации не должен утверждать или подразумевать, что
сертификация может быть упрощена, облегчена, ускорена или удешевлена, если будет использована
указанная предоставляющая консультации организация.
5.2.10 Для гарантирования отсутствия конфликта интересов персонал, дающий консультации по
системам менеджмента, включая работающий в должностях менеджера, не должен использоваться
органом сертификации для участия в аудите или других работах по сертификации, если они были
привлечены к к
...
INTERNATIONAL ISO/IEC
STANDARD 17021
First edition
2006-09-15
Conformity assessment — Requirements
for bodies providing audit and
certification of management systems
Évaluation de la conformité — Exigences pour les organismes
procédant à l'audit et à la certification de systèmes de management
Reference number
ISO/IEC 17021:2006(E)
©
ISO 2006
---------------------- Page: 1 ----------------------
ISO/IEC 17021:2006(E)
PDF disclaimer
This PDF file may contain embedded typefaces. In accordance with Adobe's licensing policy, this file may be printed or viewed but
shall not be edited unless the typefaces which are embedded are licensed to and installed on the computer performing the editing. In
downloading this file, parties accept therein the responsibility of not infringing Adobe's licensing policy. The ISO Central Secretariat
accepts no liability in this area.
Adobe is a trademark of Adobe Systems Incorporated.
Details of the software products used to create this PDF file can be found in the General Info relative to the file; the PDF-creation
parameters were optimized for printing. Every care has been taken to ensure that the file is suitable for use by ISO member bodies. In
the unlikely event that a problem relating to it is found, please inform the Central Secretariat at the address given below.
© ISO 2006
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or
ISO's member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2006 — All rights reserved
---------------------- Page: 2 ----------------------
ISO/IEC 17021:2006(E)
Contents Page
Foreword. iv
Introduction . v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions. 1
4 Principles. 2
4.1 General. 2
4.2 Impartiality. 3
4.3 Competence . 3
4.4 Responsibility . 3
4.5 Openness. 3
4.6 Confidentiality. 4
4.7 Responsiveness to complaints . 4
5 General requirements. 4
5.1 Legal and contractual matters. 4
5.2 Management of impartiality . 4
5.3 Liability and financing. 6
6 Structural requirements . 6
6.1 Organizational structure and top management. 6
6.2 Committee for safeguarding impartiality. 6
7 Resource requirements. 7
7.1 Competence of management and personnel. 7
7.2 Personnel involved in the certification activities .7
7.3 Use of individual external auditors and external technical experts . 8
7.4 Personnel records . 9
7.5 Outsourcing. 9
8 Information requirements . 9
8.1 Publicly accessible information. 9
8.2 Certification documents. 10
8.3 Directory of certified clients . 10
8.4 Reference to certification and use of marks. 10
8.5 Confidentiality. 11
8.6 Information exchange between a certification body and its clients. 12
9 Process requirements . 13
9.1 General requirements. 13
9.2 Initial audit and certification . 15
9.3 Surveillance activities . 17
9.4 Recertification . 18
9.5 Special audits. 19
9.6 Suspending, withdrawing or reducing the scope of certification . 19
9.7 Appeals . 20
9.8 Complaints . 20
9.9 Records of applicants and clients . 21
10 Management system requirements for certification bodies. 22
10.1 Options . 22
10.2 Option 1: Management system requirements in accordance with ISO 9001. 22
10.3 Option 2: General management system requirements. 23
Bibliography . 26
© ISO 2006 — All rights reserved iii
---------------------- Page: 3 ----------------------
ISO/IEC 17021:2006(E)
Foreword
ISO (the International Organization for Standardization) and IEC (the International Electrotechnical
Commission) form the specialized system for worldwide standardization. National bodies that are members of
ISO or IEC participate in the development of International Standards through technical committees
established by the respective organization to deal with particular fields of technical activity. ISO and IEC
technical committees collaborate in fields of mutual interest. Other international organizations, governmental
and non-governmental, in liaison with ISO and IEC, also take part in the work. In the field of conformity
assessment, the ISO Committee on conformity assessment (CASCO) is responsible for the development of
International Standards and Guides.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
Draft International Standards are circulated to the national bodies for voting. Publication as an International
Standard requires approval by at least 75 % of the national bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO/IEC 17021 was prepared by the ISO Committee on conformity assessment (CASCO).
It was circulated for voting to the national bodies of both ISO and IEC, and was approved by both
organizations.
This first edition of ISO/IEC 17021 cancels and replaces ISO/IEC Guide 62:1996 and ISO/IEC Guide 66:1999,
which have been combined and technically revised.
iv © ISO 2006 — All rights reserved
---------------------- Page: 4 ----------------------
ISO/IEC 17021:2006(E)
Introduction
Certification of a management system, such as a quality or environmental management system of an
organization, is one means of providing assurance that the organization has implemented a system for the
management of the relevant aspects of its activities, in line with its policy.
This International Standard specifies requirements for certification bodies. Observance of these requirements
is intended to ensure that certification bodies operate management system certification in a competent,
consistent and impartial manner, thereby facilitating the recognition of such bodies and the acceptance of their
certifications on a national and international basis. This International Standard serves as a foundation for
facilitating the recognition of management system certification in the interests of international trade.
Certification of a management system provides independent demonstration that the management system of
the organization
a) conforms to specified requirements,
b) is capable of consistently achieving its stated policy and objectives, and
c) is effectively implemented.
Conformity assessment such as certification of a management system thereby provides value to the
organization, its customers and interested parties.
In this International Standard, Clause 4 describes the principles on which credible certification is based. These
principles help the reader to understand the essential nature of certification and they are a necessary prelude
to Clauses 5 to 10. These principles underpin all the requirements in this International Standard, but such
principles are not auditable requirements in their own right. Clause 10 describes two alternative ways of
supporting and demonstrating the consistent achievement of the requirements in this International Standard
through the establishment of a management system by the certification body.
This International Standard is intended for use by bodies that carry out audit and certification of management
systems. It gives generic requirements for such certification bodies performing audit and certification in the
field of quality, environmental and other forms of management systems. Such bodies are referred to as
certification bodies. This wording should not be an obstacle to the use of this International Standard by bodies
with other designations that undertake activities covered by the scope of this document.
Certification activities involve the audit of an organization's management system. The form of attestation of
conformity of an organization's management system to a specific management system standard or other
normative requirements is normally a certification document or a certificate.
© ISO 2006 — All rights reserved v
---------------------- Page: 5 ----------------------
INTERNATIONAL STANDARD ISO/IEC 17021:2006(E)
Conformity assessment — Requirements for bodies providing
audit and certification of management systems
1 Scope
This International Standard contains principles and requirements for the competence, consistency and
impartiality of the audit and certification of management systems of all types (e.g. quality management
systems or environmental management systems) and for bodies providing these activities. Certification bodies
operating to this International Standard need not offer all types of management system certification.
Certification of management systems (named in this International Standard “certification”) is a third-party
conformity assessment activity (see ISO/IEC 17000:2004, 5.5). Bodies performing this activity are therefore
third-party conformity assessment bodies (named in this International Standard “certification body/bodies”).
NOTE 1 Certification of a management system is sometimes also called “registration”, and certification bodies are
sometimes called “registrars”.
NOTE 2 A certification body can be non-governmental or governmental (with or without regulatory authority).
NOTE 3 This International Standard can be used as a criteria document for accreditation or peer assessment or other
audit processes.
2 Normative references
The following referenced documents are indispensable for the application of this document. For dated
references, only the edition cited applies. For undated references, the latest edition of the referenced
document (including any amendments) applies.
ISO 9000:2005, Quality management systems — Fundamentals and vocabulary
1)
ISO 19011:2002, Guidelines for quality and/or environmental management systems auditing
ISO/IEC 17000:2004, Conformity assessment — Vocabulary and general principles
3 Terms and definitions
For the purposes of this document, the terms and definitions given in ISO 9000, ISO/IEC 17000 and the
following apply.
3.1
certified client
organization whose management system has been certified
1) References in this document to the relevant guidance in ISO 19011 apply to the auditing of all other types of
management systems.
© ISO 2006 — All rights reserved 1
---------------------- Page: 6 ----------------------
ISO/IEC 17021:2006(E)
3.2
impartiality
actual and perceived presence of objectivity
NOTE 1 Objectivity means that conflicts of interest do not exist or are resolved so as not to adversely influence
subsequent activities of the certification body.
NOTE 2 Other terms that are useful in conveying the element of impartiality are: objectivity, independence, freedom
from conflict of interests, freedom from bias, lack of prejudice, neutrality, fairness, open-mindedness, even-handedness,
detachment, balance.
3.3
management system consultancy
participation in designing, implementing or maintaining a management system
EXAMPLES are
a) preparing or producing manuals or procedures, and
b) giving specific advice, instructions or solutions towards the development and implementation of a management
system.
NOTE Arranging training and participating as a trainer is not considered consultancy, provided that, where the course
relates to management systems or auditing, it is confined to the provision of generic information that is freely available in
the public domain; i.e. the trainer should not provide company-specific solutions.
4 Principles
4.1 General
4.1.1 These principles are the basis for the subsequent specific performance and descriptive requirements
in this International Standard. This International Standard does not give specific requirements for all situations
that can occur. These principles should be applied as guidance for the decisions that may need to be made
for unanticipated situations. Principles are not requirements.
4.1.2 The overall aim of certification is to give confidence to all parties that a management system fulfils
specified requirements. The value of certification is the degree of public confidence and trust that is
established by an impartial and competent assessment by a third-party. Parties that have an interest in
certification include, but are not limited to
a) the clients of the certification bodies,
b) the customers of the organizations whose management systems are certified,
c) governmental authorities,
d) non-governmental organizations, and
e) consumers and other members of the public.
4.1.3 Principles for inspiring confidence include
⎯ impartiality,
⎯ competence,
⎯ responsibility,
2 © ISO 2006 — All rights reserved
---------------------- Page: 7 ----------------------
ISO/IEC 17021:2006(E)
⎯ openness,
⎯ confidentiality, and
⎯ responsiveness to complaints.
4.2 Impartiality
4.2.1 Being impartial, and being perceived to be impartial, is necessary for a certification body to deliver
certification that provides confidence.
4.2.2 It is recognized that the source of revenue for a certification body is its client paying for certification,
and that this is a potential threat to impartiality.
4.2.3 To obtain and maintain confidence, it is essential that a certification body's decisions be based on
objective evidence of conformity (or nonconformity) obtained by the certification body, and that its decisions
are not influenced by other interests or by other parties.
4.2.4 Threats to impartiality include the following.
a) Self-interest threats: threats that arise from a person or body acting in their own interest. A concern
related to certification, as a threat to impartiality, is financial self-interest.
b) Self-review threats: threats that arise from a person or body reviewing the work done by themselves.
Auditing the management systems of a client to whom the certification body provided management
systems consultancy would be a self-review threat.
c) Familiarity (or trust) threats: threats that arise from a person or body being too familiar with or trusting of
another person instead of seeking audit evidence.
d) Intimidation threats: threats that arise from a person or body having a perception of being coerced openly
or secretively, such as a threat to be replaced or reported to a supervisor.
4.3 Competence
Competence of the personnel supported by the management system of the certification body is necessary to
deliver certification that provides confidence. Competence is the demonstrated ability to apply knowledge and
skills.
4.4 Responsibility
4.4.1 The client organization, not the certification body, has the responsibility for conformity with the
requirements for certification.
4.4.2 The certification body has the responsibility to assess sufficient objective evidence upon which to
base a certification decision. Based on audit conclusions, it makes a decision to grant certification if there is
sufficient evidence of conformity, or not to grant certification if there is not sufficient evidence of conformity.
NOTE Any audit is based on sampling within an organization's management system and therefore is not a guarantee
of 100 % conformity with requirements.
4.5 Openness
4.5.1 A certification body needs to provide public access to, or disclosure of, appropriate and timely
information about its audit process and certification process, and about the certification status (i.e. the granting,
extending, maintaining, renewing, suspending, reducing the scope of, or withdrawing of certification) of any
organization, in order to gain confidence in the integrity and credibility of certification. Openness is a principle
of access to, or disclosure of, appropriate information.
© ISO 2006 — All rights reserved 3
---------------------- Page: 8 ----------------------
ISO/IEC 17021:2006(E)
4.5.2 To gain or maintain confidence in certification, a certification body should provide appropriate access
to, or disclosure of, non-confidential information about the conclusions of specific audits (e.g. audits in
response to complaints) to specific interested parties.
4.6 Confidentiality
To gain the privileged access to information that is needed for the certification body to assess conformity to
requirements for certification adequately, it is essential that a certification body keep confidential any
proprietary information about a client.
4.7 Responsiveness to complaints
Parties that rely on certification expect to have complaints investigated and, if these are found to be valid,
should have confidence that the complaints will be appropriately addressed and that a reasonable effort will
be made to resolve the complaints. Effective responsiveness to complaints is an important means of
protection for the certification body, its clients and other users of certification against errors, omissions or
unreasonable behaviour. Confidence in certification activities is safeguarded when complaints are processed
appropriately.
NOTE An appropriate balance between the principles of openness and confidentiality, including responsiveness to
complaints, is necessary in order to demonstrate integrity and credibility to all users of certification.
5 General requirements
5.1 Legal and contractual matters
5.1.1 Legal responsibility
The certification body shall be a legal entity, or a defined part of a legal entity, such that it can be held legally
responsible for all its certification activities. A governmental certification body is deemed to be a legal entity on
the basis of its governmental status.
5.1.2 Certification agreement
The certification body shall have a legally enforceable agreement for the provision of certification activities to
its client. In addition, where there are multiple offices of a certification body or multiple sites of a client, the
certification body shall ensure there is a legally enforceable agreement between the certification body granting
certification and issuing a certificate, and all the sites covered by the scope of the certification.
5.1.3 Responsibility for certification decisions
The certification body shall be responsible for, and shall retain authority for, its decisions relating to
certification, including the granting, maintaining, renewing, extending, reducing, suspending and withdrawing
of certification.
5.2 Management of impartiality
5.2.1 The certification body shall have top management commitment to impartiality in management system
certification activities. The certification body shall have a publicly accessible statement that it understands the
importance of impartiality in carrying out its management system certification activities, manages conflict of
interest and ensures the objectivity of its management system certification activities.
5.2.2 The certification body shall identify, analyse and document the possibilities for conflict of interests
arising from provision of certification including any conflicts arising from its relationships. Having relationships
does not necessarily present a certification body with a conflict of interest. However, if any relationship creates
a threat to impartiality, the certification body shall document and be able to demonstrate how it eliminates or
4 © ISO 2006 — All rights reserved
---------------------- Page: 9 ----------------------
ISO/IEC 17021:2006(E)
minimizes such threats. This information shall be made available to the committee specified in 6.2. The
demonstration shall cover all potential sources of conflict of interests that are identified, whether they arise
from within the certification body or from the activities of other persons, bodies or organizations.
NOTE A relationship that threatens the impartiality of the certification body can be based on ownership, governance,
management, personnel, shared resources, finances, contracts, marketing and payment of a sales commission or other
inducement for the referral of new clients, etc.
5.2.3 When a relationship poses an unacceptable threat to impartiality (such as a wholly owned subsidiary
of the certification body requesting certification from its parent), then certification shall not be provided.
NOTE See Note to 5.2.2.
5.2.4 A certification body shall not certify another certification body for its management system certification
activities.
NOTE See Note to 5.2.2.
5.2.5 The certification body and any part of the same legal entity shall not offer or provide management
system consultancy. This also applies to that part of government identified as the certification body.
5.2.6 The certification body and any part of the same legal entity shall not offer or provide internal audits to
its certified clients. The certification body shall not certify a management system on which it provided internal
audits within two years following the end of the internal audits. This also applies to that part of government
identified as the certification body.
NOTE See Note to 5.2.2.
5.2.7 The certification body shall not certify a management system on which a client has received
management system consultancy or internal audits, where the relationship between the consultancy
organization and the certification body poses an unacceptable threat to the impartiality of the certification body.
NOTE 1 Allowing a minimum period of two years to elapse following the end of the management system consultancy is
one way of reducing the threat to impartiality to an acceptable level.
NOTE 2 See Note to 5.2.2.
5.2.8 The certification body shall not outsource audits to a management system consultancy organization,
as this poses an unacceptable threat to the impartiality of the certification body (see 7.5). This does not apply
to individuals contracted as auditors covered in 7.3.
5.2.9 The certification body's activities shall not be marketed or offered as linked with the activities of an
organization that provides management system consultancy. The certification body shall take action to correct
inappropriate claims by any consultancy organization stating or implying that certification would be simpler,
easier, faster or less expensive if the certification body were used. A certification body shall not state or imply
that certification would be simpler, easier, faster or less expensive if a specified consultancy organization were
used.
5.2.10 To ensure that there is no conflict of interests, personnel who have provided management system
consultancy, including those acting in a managerial capacity, shall not be used by the certification body to take
part in an audit or other certification activities if they have been involved in management system consultancy
towards the client in question within two years following the end of the consultancy.
5.2.11 The certification body shall take action to respond to any threats to its impartiality arising from the
actions of other persons, bodies or organizations.
5.2.12 All certification body personnel, either internal or external, or committees, who could influence the
certification activities, shall act impartially and shall not allow commercial, financial or other pressures to
compromise impartiality.
© ISO 2006 — All rights reserved 5
---------------------- Page: 10 ----------------------
ISO/IEC 17021:2006(E)
5.2.13 Certification bodies shall require personnel, internal and external, to reveal any situation known to
them that may present them or the certification body with a conflict of interests. Certification bodies shall use
this information as input to identifying threats to impartiality raised by the activities of such personnel or by the
organizations that employ them, and shall not use such personnel, internal or external, unless they can
demonstrate that there is no conflict of interests.
5.3 Liability and financing
5.3.1 The certification body shall be able to demonstrate that it has evaluated the risks arising from its
certification activities and that it has adequate arrangements (e.g. insurance or reserves) to cover liabilities
arising from its operations in each of its fields of activities and the geographic areas in which it operates.
5.3.2 The certification body shall evalua
...
NORME ISO/CEI
INTERNATIONALE 17021
Première édition
2006-09-15
Évaluation de la conformité — Exigences
pour les organismes procédant à l'audit
et à la certification de systèmes de
management
Conformity assessment — Requirements for bodies providing audit and
certification of management systems
Numéro de référence
ISO/CEI 17021:2006(F)
©
ISO 2006
---------------------- Page: 1 ----------------------
ISO/CEI 17021:2006(F)
PDF – Exonération de responsabilité
Le présent fichier PDF peut contenir des polices de caractères intégrées. Conformément aux conditions de licence d'Adobe, ce fichier
peut être imprimé ou visualisé, mais ne doit pas être modifié à moins que l'ordinateur employé à cet effet ne bénéficie d'une licence
autorisant l'utilisation de ces polices et que celles-ci y soient installées. Lors du téléchargement de ce fichier, les parties concernées
acceptent de fait la responsabilité de ne pas enfreindre les conditions de licence d'Adobe. Le Secrétariat central de l'ISO décline toute
responsabilité en la matière.
Adobe est une marque déposée d'Adobe Systems Incorporated.
Les détails relatifs aux produits logiciels utilisés pour la création du présent fichier PDF sont disponibles dans la rubrique General Info
du fichier; les paramètres de création PDF ont été optimisés pour l'impression. Toutes les mesures ont été prises pour garantir
l'exploitation de ce fichier par les comités membres de l'ISO. Dans le cas peu probable où surviendrait un problème d'utilisation,
veuillez en informer le Secrétariat central à l'adresse donnée ci-dessous.
© ISO 2006
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l'accord écrit
de l'ISO à l'adresse ci-après ou du comité membre de l'ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax. + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2006 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO/CEI 17021:2006(F)
Sommaire Page
Avant-propos. iv
Introduction . v
1 Domaine d'application.1
2 Références normatives .1
3 Termes et définitions.2
4 Principes.2
4.1 Généralités .2
4.2 Impartialité.3
4.3 Compétence .3
4.4 Responsabilité .3
4.5 Transparence .4
4.6 Confidentialité.4
4.7 Traitement des plaintes.4
5 Exigences générales .4
5.1 Domaine juridique et contractuel.4
5.2 Gestion de l'impartialité .5
5.3 Responsabilité et situation financière.6
6 Exigences structurelles .6
6.1 Organisation et direction .6
6.2 Comité pour la préservation de l'impartialité.7
7 Exigences relatives aux ressources.8
7.1 Compétence de la direction et du personnel.8
7.2 Personnel intervenant dans les activités de certification .8
7.3 Intervention d'auditeurs et d'experts techniques externes individuels.9
7.4 Enregistrements relatifs au personnel .9
7.5 Externalisation .9
8 Exigences relatives aux informations .10
8.1 Informations accessibles au public.10
8.2 Documents de certification.10
8.3 Répertoire des clients certifiés .11
8.4 Référence à la certification et utilisation des marques .11
8.5 Confidentialité.12
8.6 Échange d'informations entre l'organisme de certification et ses clients .13
9 Exigences relatives aux processus .14
9.1 Exigences générales .14
9.2 Évaluation et certification initiales.16
9.3 Activités de surveillance.18
9.4 Renouvellement de la certification .20
9.5 Audits particuliers .20
9.6 Suspension, retrait ou réduction du périmètre de la certification.21
9.7 Appels .21
9.8 Plaintes .22
9.9 Enregistrements relatifs aux demandeurs et aux clients.23
10 Exigences relatives au système de management des organismes de certification.24
10.1 Options .24
10.2 Option 1: Exigences relatives au système de management conformément à l'ISO 9001.24
10.3 Option 2: Exigences générales relatives au système de management .24
Bibliographie .28
© ISO 2006 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO/CEI 17021:2006(F)
Avant-propos
L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale)
forment le système spécialisé de la normalisation mondiale. Les organismes nationaux membres de l'ISO ou
de la CEI participent au développement de Normes internationales par l'intermédiaire des comités techniques
créés par l'organisation concernée afin de s'occuper des domaines particuliers de l'activité technique. Les
comités techniques de l'ISO et de la CEI collaborent dans des domaines d'intérêt commun. D'autres
organisations internationales, gouvernementales et non gouvernementales, en liaison avec l'ISO et la CEI
participent également aux travaux. Dans le domaine de l'évaluation de la conformité, le comité ISO pour
l'évaluation de la conformité (CASCO) est responsable du développement de Normes internationales et de
Guides.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
Les projets de Normes internationales sont soumis aux organismes nationaux pour vote. Leur publication
comme Normes internationales requiert l'approbation de 75 % au moins des organismes nationaux votants.
L'attention est appelée sur le fait que certains des éléments du présent document peuvent faire l'objet de
droits de propriété intellectuelle ou de droits analogues. L'ISO ne saurait être tenue pour responsable de ne
pas avoir identifié de tels droits de propriété et averti de leur existence.
L'ISO/CEI 17021 a été élaborée par le comité ISO pour l'évaluation de la conformité (CASCO).
Le projet a été soumis aux organismes nationaux de l'ISO et de la CEI pour vote et a été approuvé par les
deux organisations.
Cette première édition de l'ISO/CEI 17021 annule et remplace le Guide ISO/CEI 62:1996 et le Guide
ISO/CEI 66:1999 qui ont été fusionnés et révisés techniquement.
iv © ISO 2006 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO/CEI 17021:2006(F)
Introduction
La certification d'un système de management, tel qu'un système de management de la qualité ou de
management environnemental d'un organisme candidat, est l'un des moyens permettant d'assurer que
l'organisme a mis en application un système pour gérer des aspects relatifs à ses activités, conforme à sa
politique.
La présente Norme internationale spécifie des exigences applicables aux organismes de certification. Le
respect de ces exigences est destiné à assurer que ces organismes gèrent la certification de systèmes de
management avec compétence, et d'une façon cohérente et impartiale, facilitant ainsi la reconnaissance de
ces organismes et l'acceptation de leurs certifications sur les plans national et international. La présente
Norme internationale sert de base, dans l'intérêt du commerce international, à la reconnaissance de la
certification de systèmes de management.
La certification d'un système de management assure par une démonstration indépendante que le système de
management de l'organisme
a) est conforme aux exigences spécifiées,
b) est capable de réaliser de manière fiable la politique et les objectifs qu'il a déclarés, et
c) est mis en œuvre de manière efficace.
L'évaluation de la conformité, telle que la certification d'un système de management apporte une plus-value à
l'organisme, à ses clients et aux parties intéressées.
L'Article 4 de la présente Norme internationale décrit les principes assurant une certification crédible. Ces
principes facilitent la compréhension du lecteur quant à la nature essentielle de la certification. Ils constituent
une introduction nécessaire aux Articles 5 à 10. Ces principes représentent la trame de toutes les exigences
contenues dans la présente Norme internationale. Il faut noter que ces principes ne sont pas des exigences
auditables en tant que telles. L'Article 10 décrit deux alternatives pour soutenir et démontrer que l'organisme
de certification satisfait de manière fiable au respect des exigences de la présente Norme internationale au
moyen de la mise en place d'un système de management.
La présente Norme internationale est destinée à l'usage des organismes qui auditent et qui certifient des
systèmes de management. Elle présente des exigences génériques applicables aux organismes de
certification, procédant à l'audit et à la certification dans le domaine des systèmes de management de la
qualité, de management environnemental et autres. Ces organismes sont appelés «organismes de
certification». Il convient que ce libellé ne fasse pas obstacle à l'utilisation de la présente Norme internationale
par des organismes désignés différemment entreprenant des activités couvertes par le domaine d'application
décrit dans ce document.
La certification comprend l'audit du système de management d'un organisme. La manière d'attester la
conformité à une norme spécifique du système de management ou à d'autres exigences normatives prend
généralement la forme d'un document de certification ou d'un certificat.
© ISO 2006 – Tous droits réservés v
---------------------- Page: 5 ----------------------
NORME INTERNATIONALE ISO/CEI 17021:2006(F)
Évaluation de la conformité — Exigences pour les organismes
procédant à l'audit et à la certification de systèmes de
management
1 Domaine d'application
La présente Norme internationale spécifie les principes et les exigences relatifs à la compétence, à la
cohérence et à l'impartialité lors des audits et lors de la certification de systèmes de management de tous
types (par exemple systèmes de management de la qualité ou systèmes de management environnemental) et
relatives aux organismes fournissant cette activité. Les organismes de certification conformes à la présente
Norme internationale ne sont pas tenus de proposer tous les types de certification de système de
management.
La certification de systèmes de management (désignée dans la présente Norme internationale par
«certification») est une activité d'évaluation de la conformité par tierce partie (voir l'ISO/CEI 17000:2004, 5.5).
Les organismes exerçant cette activité sont par conséquent des organismes d'évaluation de la conformité par
tierce partie (désignés dans la présente Norme internationale «organisme(s) de certification»).
NOTE 1 La certification d'un système de management est parfois appelée «enregistrement», et les organismes de
certification sont parfois désignés par «organismes d'enregistrement».
NOTE 2 Un organisme de certification peut être gouvernemental ou non gouvernemental (avec ou sans pouvoir
réglementaire).
NOTE 3 La présente Norme internationale peut être utilisée comme référentiel pour l'accréditation, l'évaluation par des
pairs ou d'autres processus d'audit.
2 Références normatives
Les documents de référence suivants sont indispensables pour l'application du présent document. Pour les
références datées, seule l'édition citée s'applique. Pour les références non datées, la dernière édition du
document de référence s'applique (y compris les éventuels amendements).
ISO 9000:2005, Systèmes de management de la qualité — Principes essentiels et vocabulaire
ISO 19011:2002, Lignes directrices pour l'audit des systèmes de management de la qualité et/ou de
1)
management environnemental
ISO/CEI 17000:2004, Évaluation de la conformité — Vocabulaire et principes généraux
1) Les références dans la présente Norme internationale aux recommandations pertinentes de l'ISO 19011 s'appliquent
à l'audit de tous les autres types de système de management.
© ISO 2006 – Tous droits réservés 1
---------------------- Page: 6 ----------------------
ISO/CEI 17021:2006(F)
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO 9000, dans
l'ISO/CEI 17000 et les suivants s'appliquent.
3.1
client certifié
organisme dont le système de management a été certifié
3.2
impartialité
existence réelle et perceptible d'objectivité
NOTE 1 L'objectivité implique soit l'absence de conflit d'intérêts soit de trouver une solution à ces conflits de manière à
ne pas porter préjudice aux activités ultérieures de l'organisme de certification.
NOTE 2 D'autres termes utiles utilisés pour véhiculer la notion d'impartialité sont les suivants: objectivité,
indépendance, absence de tout conflit d'intérêts, probité, non-discrimination, neutralité, justice, ouverture d'esprit, équité,
désintéressement, équilibre.
3.3
conseil en matière de système de management
contribution à l'élaboration, à la mise en œuvre ou à l’entretien d'un système de management
EXEMPLES
a) la préparation ou la production de manuels ou de procédures, et
b) la fourniture de conseils, d'instructions ou de solutions spécifiques en matière d'élaboration et de mise en application
d'un système de management.
NOTE Organiser des formations et y participer en tant que formateur ne relèvent pas des activités de conseil, à
condition de se limiter, lorsque les cours portent sur des systèmes de management ou des audits, à fournir des
informations et des conseils génériques disponibles dans le domaine public; c'est-à-dire qu'il convient de ne pas fournir de
solutions spécifiques à une entreprise.
4 Principes
4.1 Généralités
4.1.1 Ces principes servent de base pour cette prestation spécifique et les exigences décrites ci-après dans
la présente Norme internationale. La présente Norme internationale ne fournit pas d'exigences spécifiques
applicables à toutes les situations susceptibles de survenir. Il convient de considérer ces principes comme
des recommandations à appliquer en cas de décisions à prendre dans des situations imprévues. Ces
principes ne constituent pas des exigences.
4.1.2 La certification a pour objectif général de donner confiance à toutes les parties qu'un système de
management satisfait aux exigences spécifiées. La valeur de la certification est le degré de confiance du
public après qu'un système de management a été évalué de manière impartiale et compétente par une tierce
partie. Les parties qui trouvent un intérêt à la certification sont les suivantes (liste non exhaustive):
a) les clients des organismes de certification;
b) les clients des organismes dont les systèmes de management sont certifiés;
c) les pouvoirs publics;
d) les organismes non gouvernementaux; et
e) les consommateurs et le grand public.
2 © ISO 2006 – Tous droits réservés
---------------------- Page: 7 ----------------------
ISO/CEI 17021:2006(F)
4.1.3 Les principes permettant de donner confiance comprennent
⎯ l'impartialité,
⎯ la compétence,
⎯ la responsabilité,
⎯ la transparence,
⎯ la confidentialité,
⎯ le traitement des plaintes.
4.2 Impartialité
4.2.1 Pour octroyer une certification qui donne confiance, un organisme de certification doit être impartial et
perçu comme tel.
4.2.2 Le fait que les revenus d'un organisme de certification proviennent de ses clients qui paient pour la
certification constitue une menace potentielle pour l'impartialité.
4.2.3 Pour gagner et maintenir la confiance, il est essentiel que les décisions d'un organisme de
certification soient fondées sur des preuves tangibles de conformité (ou de non-conformité) constatées par
l'organisme de certification, et que les décisions ne soient pas faussées par d'autres intérêts ou d'autres
parties.
4.2.4 Les menaces qui pèsent sur l'impartialité sont les suivantes:
a) les intérêts personnels: cette menace est due au fait qu'une personne ou une entité agisse dans son
propre intérêt. Son intérêt financier représente une menace susceptible de compromettre l'impartialité
d'une certification;
b) l'autoévaluation: cette menace est due au fait qu'une personne ou une entité évalue son propre travail.
Auditer les systèmes de management d'un client auquel l'organisme de certification a prodigué des
conseils en matière de système de management crée un risque dû à l'autoévaluation;
c) la familiarité (ou confiance): cette menace est due au fait d'entretenir une trop grande proximité
relationnelle ou de faire trop confiance aux personnes auditées plutôt que de rechercher des preuves lors
des audits;
d) l'intimidation: cette menace est due au fait qu'une personne ou une entité éprouve la sensation de subir
des pressions directes ou insidieuses, par exemple la menace d'être remplacée ou dénoncée à sa
hiérarchie.
4.3 Compétence
Pour octroyer une certification qui donne confiance, l'organisme de certification doit démontrer la compétence
de son personnel, soutenue par son système de management. La compétence est l'aptitude démontrée à
mettre en pratique des connaissances et un savoir-faire.
4.4 Responsabilité
4.4.1 C'est l'organisme client, et non l'organisme de certification, qui est responsable de la conformité aux
exigences de certification.
© ISO 2006 – Tous droits réservés 3
---------------------- Page: 8 ----------------------
ISO/CEI 17021:2006(F)
4.4.2 L'organisme de certification est tenu de réaliser une évaluation suffisante des preuves tangibles sur
lesquelles est fondée la décision de certification. C'est sur la base des conclusions de l'audit et de l'existence
de preuves de conformité suffisantes qu'il prend la décision d'accorder ou de refuser la certification.
NOTE Tout audit est fondé sur un échantillonnage du système de management d'un organisme et de ce fait ne
garantit pas une conformité de 100 % aux exigences.
4.5 Transparence
4.5.1 Afin d'assurer la confiance dans l'intégrité et la crédibilité de la certification, un organisme de
certification doit assurer l'accessibilité ou la diffusion au public des informations appropriées et à jour relatives
à ses processus d'audit et de certification ainsi que sur le statut de la certification (c'est-à-dire l'octroi,
l'extension, le maintien, le renouvellement, la suspension, la réduction du périmètre certifié ou le retrait de la
certification) de tout organisme. La transparence est un principe fondé sur l'accessibilité ou la diffusion des
informations appropriées.
4.5.2 Afin de gagner ou de maintenir la confiance dans la certification, il convient qu'un organisme de
certification permette un accès aux parties intéressées ou fasse une diffusion appropriée des informations non
confidentielles sur les résultats d'audits spécifiques (par exemple audits déclenchés en réponse à des
plaintes).
4.6 Confidentialité
Afin d'obtenir l'accès privilégié aux informations qui lui sont nécessaires pour évaluer de manière appropriée
la conformité aux exigences de certification, il est essentiel que l'organisme de certification préserve la
confidentialité de toute information privée sur le client.
4.7 Traitement des plaintes
Les parties qui comptent sur la certification sont en droit de réclamer l'examen des plaintes et, si ces
dernières se révèlent acceptables, d’avoir confiance dans le fait que les plaintes seront traitées de manière
appropriée et qu'un effort adéquat sera consenti pour les résoudre. Un traitement efficace des plaintes
constitue un moyen important de protection de l'organisme de certification, de ses clients et autres utilisateurs
de certification contre tout type d'erreur, d'omission ou d'abus. La confiance dans les activités de certification
est préservée lorsque les plaintes sont traitées de manière appropriée.
NOTE Un équilibre approprié entre les principes de transparence et de confidentialité, y compris le traitement des
plaintes, est nécessaire pour démontrer son intégrité et sa crédibilité à tous les utilisateurs de certification.
5 Exigences générales
5.1 Domaine juridique et contractuel
5.1.1 Responsabilité juridique
L'organisme de certification doit être une entité juridique ou une partie définie d'une entité juridique de façon à
pouvoir être tenu juridiquement responsable de toutes ses activités de certification. Un organisme de
certification gouvernemental est considéré être une entité juridique sur la base de son statut gouvernemental.
5.1.2 Contrat de certification
Un organisme de certification doit disposer d'un contrat juridiquement exécutoire pour fournir des services de
certification à son client. En outre, lorsque l'organisme de certification a plusieurs bureaux ou que le client
certifié a plusieurs sites, l'organisme de certification doit assurer qu'il existe une relation contractuelle
juridiquement exécutoire entre l'organisme de certification octroyant la certification et délivrant le certificat et
tous les sites concernés par le domaine de la certification.
4 © ISO 2006 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO/CEI 17021:2006(F)
5.1.3 Responsabilité en matière de décisions de certification
L'organisme de certification doit être responsable et conserver son autorité pour ses décisions en matière de
certification, y compris l'octroi, le maintien, le renouvellement, l'extension, la réduction, la suspension et le
retrait de la certification.
5.2 Gestion de l'impartialité
5.2.1 La direction de l'organisme de certification doit s'engager à exercer ses activités de certification de
systèmes de management en toute impartialité. L'organisme de certification doit rédiger une déclaration
accessible au public par laquelle il reconnaît l'importance de l'impartialité dans l'exercice de ses activités de
certification des systèmes de management, et qu'il assure la bonne gestion des conflits d'intérêts et
l'objectivité de ses activités de certification de systèmes de management.
5.2.2 L'organisme de certification doit identifier, analyser et documenter les conflits d'intérêts potentiels
résultant de la certification envisagée, y compris tous les conflits dus à ses propres relations. Entretenir des
relations n'implique pas nécessairement qu'un organisme de certification soit confronté à un conflit d'intérêts.
Cependant, si une relation compromet l'impartialité, l'organisme de certification doit apporter la preuve de la
manière dont il élimine ou limite ce risque au minimum. Ces informations doivent être tenues à disposition du
comité spécifié en 6.2, et doit couvrir toutes les sources potentielles de conflit d'intérêts identifiées, que ce soit
au sein de l'organisme de certification ou du fait des activités d'autres personnes, entités ou organismes.
NOTE Une relation qui compromet l'impartialité de l'organisme de certification peut résulter de facteurs tels que la
propriété, la gouvernance, la direction, le personnel, les ressources partagées, la situation financière, les contrats, la
commercialisation, le paiement de commissions sur les ventes ou autres incitations d'apporter de nouveaux clients, etc.
5.2.3 Lorsqu'une relation risque de compromettre l'impartialité de manière inacceptable (par exemple dans
le cas d'une filiale appartenant 100 % à l'organisme de certification demandant une certification de sa société
mère), la prestation de certification ne doit pas être fournie.
NOTE Voir Note de 5.2.2.
5.2.4 Un organisme de certification ne doit pas certifier les activités de certification de systèmes de
management d'un autre organisme de certification.
NOTE Voir Note de 5.2.2.
5.2.5 Un organisme de certification et toute autre partie de la même entité juridique ne doivent pas
proposer ou fournir des prestations de conseil en matière de système de management. Cela s'applique
également à une partie d'une entité gouvernementale identifiée comme organisme de certification.
5.2.6 Un organisme de certification et toute autre partie de la même entité juridique ne doivent pas
proposer ou fournir des prestations d'audits internes à des clients certifiés. Un organisme de certification ne
doit pas certifier un système de management pour lequel il a effectué des audits internes, et ce pendant une
durée de deux ans suivant la fin de la prestation. Cela s'applique également à une partie d'une entité
gouvernementale identifiée comme organisme de certification.
NOTE Voir Note de 5.2.2.
5.2.7 Un organisme de certification ne doit pas certifier le système de management d'un client ayant
bénéficié de conseils en matière de système de management ou d'audits internes pour le même système de
management, lorsque la relation qui existe entre l'organisme de conseil et l'organisme de certification
constitue une menace inacceptable au regard de l'impartialité de l'organisme de certification.
NOTE 1 L'un des moyens permettant de ramener la menace au regard de l'impartialité à un niveau acceptable
consiste à laisser passer une période minimale
...
Questions, Comments and Discussion
Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.