Publicación de la norma ISO/IEC 17021:2011 - IRCA

ISO/IEC 17021:2011
La publicación de la norma ISO/IEC 17021:2011 introduce algunos
importantes requisitos nuevos a los organismos que realizan
auditorías y prestan servicios de certificación de sistemas de gestión.
Esta nota tiene como objetivo informar sobre los cambios y sus
posibles impactos a los auditores certificados por el IRCA y a las
organizaciones de formación aprobadas por el IRCA.
¿Quiénes se verán afectados por los cambios en la norma
ISO/IEC 17021?
La respuesta es simple: la norma ISO/IEC 17021:2011 es una norma
que contiene requisitos para ser usada por los organismos de
acreditación, por ejemplo el UKAS, para evaluar organismo de
certificación de sistemas de gestión. La industria de certificación de
tercera parte usará la norma ISO 17021:2011 para definir los
requisitos sobre las auditorías y sobre su planificación. Los
organismos de acreditación determinarán si las actividades de los
organismos de certificación cumplen con esos requisitos. O sea, que
en primera instancia, los más afectados serán los organismos de
certificación y sus auditores.
Las organizaciones de formación aprobadas por el IRCA para ofrecer
cursos certificados de auditor/auditor líder y cursos de
conversión, pueden tener que implementar algunos cambios menores
al contenido de sus cursos, en función de los cambios introducidos en
la ISO/IEC 17021 aplacables a auditorías de tercera parte. Los
instructores de estos cursos deberán familiarizarse con los requisitos
para la administración y conducción de auditorías de tercera parte.
¿Cuáles son los cambios más significativos?
1. Referencia normativa ISO 19011
La norma ISO 17021:2006 especificaba que la ISO 19011 era una
referencia normativa, o sea que era de uso obligatorio. Eso ha
cambiado. Se han realizado enmiendas para reemplazar la referencia
a la ISO 19011 por un texto que agrega requisitos específicos para
las auditorías de certificación de tercera parte y para la competencia
en gestión por parte del personal involucrado en la certificación. Los
requisitos para los organismos que ofrecen auditorías y servicios de
certificación de sistemas de gestión, están ahora totalmente
contenidos en la norma ISO/IEC 17021:2011.
Tanto para los que redactaron la norma como para los que la usen,
este cambio tiene la ventaja de que la ISO/IEC 17021 define en su
totalidad los requisitos para organismos que ofrecen auditorías y
prestan servicios de certificación de sistemas de gestión. Por otro
lado, la norma ISO 19011 es un documento que contiene
lineamientos que cubren todos los tipos de auditorías, por ejemplo
28 June 2011, Version 2

auditorías internas y auditorías a proveedores, y, por lo tanto, su
contenido y alcance de aplicación son más amplios.
2. Competencia del nivel gerencial y del personal (sección 7.1)
Para algunas organizaciones, nuevos requisitos de la competencia del
nivel gerencial y del personal, pueden representar la necesidad de
introducir cambios significativos.
La norma ISO/IEC 17021:2011 define competencia a la capacidad de
aplicar conocimientos y habilidades para lograr los resultados
esperados.
Al aplicar esta definición, se debe encarar la necesidad de determinar
qué son los resultados esperados en cada actividad de certificación,
desde, por ejemplo, la revisión de la solicitud de certificación hasta la
revisión de los informes de auditoría y la toma de la decisión del
otorgamiento de la certificación. Al mismo tiempo, hay que
implementar procesos de evaluación, los que permitirán identificar al
personal que haya demostrado poseer el nivel de competencia
requerido para las distintas funciones en el proceso de auditoría y de
certificación. En este caso, el énfasis está colocado en la necesidad de
que el personal haya demostrado poseer la competencia requerida.
Las organizaciones que previamente se hayan basado en evidencias
de competencia basadas en la experiencia, necesitarán hacer algo
más para evaluar la competencia de su personal. Por ejemplo,
cuando un organismo de certificación se haya basado en la revisión
de un historial de vida (CV, curriculum vitae) como evidencia de la
competencia técnica de su personal, ahora encontrará que no es
suficiente. En el futuro, los organismos de certificación podrán
decidir llevar a cabo entrevistas de auditores en entrenamiento
basadas en evidencias, para determinar si poseen el conocimiento
sugerido en el CV, usando criterios técnicos preestablecidos como
base para las entrevistas y así estar en condiciones de justificar la
competencia técnica del entrevistado.
Otros enfoques pueden incluir exámenes para verificar el grado de
conocimientos del auditor; los resultados pueden ser evaluados según
un criterio pasa/no pasa. Aunque actualmente estos exámenes están,
muchas veces, limitados a verificar el grado de conocimiento de la
norma, pero podrían ser ampliados para que el auditor también
pueda demostrar el grado de conocimiento del sector industrial para
el cual se presenta.
Comportamiento personal deseado – Anexo D (informativo)
Aunque la definición de competencia en la ISO/IEC 17021:2011 se
refiere solamente a conocimiento y habilidades, el Anexo D identifica
comportamientos personales que son importantes para el personal
que participa en las actividades de certificación. La norma ISO/IEC
28 June 2011, Version 2

17021:2011 establece claramente que este anexo es de carácter
informativo y no debe ser aplicado como si fuera un requisito. Sin
embargo, la introducción del factor comportamental en la definición
de competencia permite alinearse con otras profesiones, donde la
competencia es definida como la aplicación demostrada de
conocimientos, habilidades y experiencias para lograr un determinado
nivel de desempeño.
Es probable que para lograr los resultados esperados el personal
también deba asumir ciertos comportamientos deseados. El Anexo D
reconoce que el comportamiento es situacional, y, por lo tanto,
recomienda al organismo de certificación que tome las medidas
apropiadas ante debilidades identificadas que puedan afectar la
actividad de certificación.
3. Requisitos sobre los procesos (sección 9)
Los requisitos sobre los procesos de auditoría y de sistemas de
gestión de la certificación están ahora totalmente contenidos en la
norma ISO/IEC 17021, por lo que fueron eliminadas todas las
referencias a la norma ISO 19011. Los lineamientos de la norma ISO
19011 fueron revisados para asegurar mejor los procesos de
auditoría de certificación y fueron incorporados como requisitos. Por
ejemplo, la norma ISO/IEC 17021:2011 define requisitos para la
reunión de apertura de una auditoria de certificación, cuando antes se
tomaba como referencia los lineamientos generales contenidos en la
norma ISO 19011.
En realidad, los cambios pueden parecer pequeños para los auditores
con experiencia en auditorías de certificación. Es muy probable que
muchos organismos de certificación ya tengan incorporados estos
requisitos en sus propios sistemas de gestión y en los procesos de
auditorías que aplican.
Dos requisitos sobre los procesos que vale la pena resaltar son:
a) Al requerir que se definan los objetivos de la auditoria, su alcance
y los criterios la sección 9.1.2.2 especifica claramente que los
objetivos de una auditoria deben incluir:
• Determinación de la conformidad del sistema de gestión del cliente,
o partes del mismo, con los criterios de la auditoría
• Evaluación de la capacidad del sistema de gestión para asegurar
que la organización cliente cumple con los requisitos legales y
contractuales
• Evaluación de la eficacia del sistema de gestión de la organización
cliente cumple en forma continua con los objetivos establecidos
• Según sea aplicable, la identificación de áreas potenciales de
mejora del sistema de gestión.
Esto deja claro que se requiere que las auditorías de certificación
evalúen el sistema de gestión en su totalidad, no solamente para
28 June 2011, Version 2

determinar la conformidad con los criterios de la auditoria, sino
también para evaluar la capacidad de satisfacer las necesidades de la
organización cliente, sus proveedores y los entes reguladores. Todo
esto puede no ser novedad para muchos, pero implicará un cambio
significativo para aquellos auditores acostumbrados a solamente
determinar el grado de conformidad con un conjunto de
procedimientos
b) La sección 9.1.4 especifica claramente que al determinar la
duración total de una auditoria, el organismo de certificación debe
considerar, entre otras cosas, una cierta cantidad de aspectos. A
continuación lista una cantidad de consideraciones, incluyendo la
evaluación de los riesgos asociados con los productos, procesos o
actividades de la organización.
Este requisito establece que cuando se determina la duración total de
la auditoria y cuando se asigna el tiempo disponible en el plan de la
auditoria, se deben tener en cuenta los riesgos asociados con los
productos, procesos o actividades de la organización – en otras
palabras, considerar las consecuencias potenciales para la
organización, sus clientes y otras partes interesadas si las cosas salen
mal y asegurar que hay tiempo suficiente para evaluar en forma
exhaustiva la capacidad del sistema de gestión del cliente para
reducir la probabilidad de que ocurran esas fallas.
Impacto sobre los cursos certificados por el IRCA
El propósito de los cursos de auditor/auditor líder y los cursos de
conversión es proporcionar a los participantes el conocimiento y
habilidades requeridas para realizar auditorías de primera, segunda y
tercera parte de sistemas de gestión.
Generalmente, los cursos certificados por el IRCA siguen los
lineamientos de la norma ISO 19011 ya que ésta es aplicable a los
tres tipos de auditorías. Con la publicación de la norma ISO/IEC
17021:2011, los requisitos para las auditorías de certificación de
tercera parte están más claramente definidos y nosotros esperamos
que los instructores los tengan en cuenta en sus cursos de formación.
Sin embargo, debemos ser pragmáticos y realistas. Los cursos de
auditor/auditor líder y los cursos de conversión están dirigidos no
solamente a auditores de organismos de certificación, sino también a
personas que realizan auditorías a proveedores (o de segunda parte)
y auditorías internas de sus propios sistemas de gestión. Realmente,
la mayoría de los participantes a los cursos provienen de estos dos
últimos grupos.
Requeriremos a los organismos de formación que presentan nuestros
cursos que:
• Presenten a los participantes el propósito de la ISO/IEC
17021:2011, remarcando la diferencia con la ISO 19011 cuando sea
28 June 2011, Version 2

apropiado
• Usen las definiciones de la norma ISO/IEC 17021:2011 en su
sección 3, según sea aplicable cuando se refieran a las auditorías de
tercera parte
• Describan claramente las diferencias significativas entre las
auditorías de primera parte, de segunda parte y de tercera parte (de
certificación) haciendo referencia a los requisitos para determinar los
objetivos, alcances y criterios de las auditorías de tercera parte según
lo requerido en la norma ISO/IEC 17021:2011
• Proporcionar a los participantes una presentación general del
proceso de certificación de tercera parte tal como está descripto en la
norma ISO/IEC 17021:2011, haciendo referencia a las similitudes y
diferencias con la norma ISO 19011, cuando sea apropiado.
No requerimos, y realmente no alentamos, a que los organismos de
formación presenten un análisis detallado de la norma ISO/IEC
17021:2011, ya que consideramos que los principios generales de la
norma ISO/IEC 17021_2011 ya están tenidos en cuenta en los
criterios IRCA aplicables a cada curso y en la ISO 19011.
¿Cómo afectarán estos cambios a los auditores certificados
por el IRCA?
Los auditores que trabajen para organismos de certificación
encontrarán que sus competencias serán evaluadas por métodos más
formales y más rigurosos que en la actualidad. Esto sucederá
especialmente si el organismo de certificación pretende extender el
alcance de su competencia técnica. También es probable que el
monitoreo periódico del desempeño de los auditores incluya, en el
futuro, la evaluación continua de las competencias sectoriales.
Todos los organismos de certificación deberán demostrar que
cumplen con los requisitos de la norma ISO/IEC 17021:2011. Para
ello, necesitan demostrar que han establecido criterios para la
competencia de sus auditores y que han evaluado su desempeño. Se
supone que los organismos de certificación con procesos,
procedimientos y registros bien definidos y establecidos hace tiempo
no deberán repetir la evaluación inicial de las competencias técnicas y
sectoriales de sus auditores actuales. Como parte de la evaluación
continua de la competencia de sus auditores, podrán, por ejemplo,
tener en cuenta sus habilidades ya demostradas, basándose en los
resultados de la evaluación de su desempeño en las actividades de
certificación.
Puede ser que el caso de otros auditores certificados por el IRCA, por
ejemplo aquéllos que prestan servicios de consultoría, deban adoptar
un enfoque basado en evidencias al tener que demostrar su
competencia a sus empleadores.
28 June 2011, Version 2

Cuando planifiquen sus auditorías, los auditores de tercera parte
deberán tomar conciencia de, e implementar, requisitos para tener en
cuenta los riesgos asociados con los productos, procesos y
actividades de la organización a ser auditada.
¿Cambiará el IRCA los criterios de certificación de auditores?
Actualmente, requerimos de los postulantes haber aprobado un curso
de formación certificado por el IRCA, haber completado una mínimo
cantidad de años de experiencia laboral pertinente y haber realizado
una mínima cantidad de auditorías, al menos una de las cuales debe
haber sido realizada bajo la conducción de un auditor líder certificado.
Al presente, es nuestra intención continuar con el mismo sistema. Sin
embargo, haremos un monitoreo continua de la situación.
28 June 2011, Version 2