Nueva revisión de la norma ISO/IEC 17021 para la certificación de sistemas de gestión
Un sistema de gestión efectivo es esencial para un negocio y, si a eso le añadimos que esté certificado por una norma reconocida internacionalmente, los beneficios serán aún mayores. Con este fin ISO ha renovado la normativa ISO/IEC 17021, norma en la que se basa la acreditación por parte de ENAC de la certificación de sistemas de gestión.
La norma acaba de ser revisada con los siguientes objetivos:
- Asegurar coherencia entre el texto proveniente de la versión de 2006 y el añadido en 2011.
- Acoger interpretaciones que, habiendo sido demandadas a ISO, habían sido respondidas en estos años, y
- Aportar clarificaciones al contenido de alguna cláusula derivada de la experiencia obtenida con su implantación.
A continuación destacamos de forma general algunos de los cambios que plantea:
- Enfoque basado en el riesgo. Se añade un nuevo principio inspirador de las decisiones a ser tomadas y que no están contempladas a través de los requisitos. El concepto de riesgo hace alusión al potencial efecto de la incertidumbre en la consecución de los objetivos que la entidad se fije para etapas, procesos, actuaciones, controles, etc. y, por supuesto, eliminarlos o disminuirlos hasta niveles aceptables. Se podrían incluir por tanto aquellos riesgos asociados a los objetivos de las auditorias, el muestreo empleado en las auditorias, la imparcialidad en las actuaciones, el entorno en que operan las organizaciones clientes, responsabilidad legal, etc.
- Reorganización del apartado dedicado al proceso de auditoría y certificación. Las cláusulas y los requisitos se organizan y presentan según el orden en el que se suministra el servicio de la certificación en el tiempo.
- Gestión de la imparcialidad. Asegurar la imparcialidad de sus actividades, tanto la real como la percibida, pasa a ser un aspecto clave para la dirección de la entidad de certificación. En línea con ello, si bien desparece el titulo destinado al Comité de Imparcialidad, permanece la consulta con partes interesadas a través de un Comité o similar dentro del proceso de gestión de riesgo con carácter consultivo. Se introduce el concepto de riesgo para manejar los conflictos de interés, requiriendo que el organismo de certificación evalúe, trate y monitorice dichos riesgos, trasladando a la alta dirección de la entidad la responsabilidad de revisar cualquier riesgo residual para determinar si es aceptable (tras la aplicación de las medidas de contención de los conflictos de interés identificados).
- Informe de auditoría. Con el mismo objetivo original de permitir la toma de decisiones informada se introduce un nuevo requisito para el contenido del informe de auditoría: “una declaración sobre la conformidad y la eficacia del sistema de gestión, junto con un resumen de las evidencias obtenidas sobre la capacidad del sistema de gestión para cumplir los requisitos aplicables y los resultados esperados y sobre los procesos de la auditoría interna y de la revisión por la dirección” junto con “ una conclusión obtenida sobre lo apropiado del alcance de certificación así como una confirmación de que se han alcanzado los objetivos de la auditoria”.
- Renovación de la certificación. La norma introduce algunos cambios clarificadores; por un lado refleja de forma clara que cuando se completan todas las tareas para la renovación de la certificación, antes de la expiración de un certificado previo, la nueva fecha de expiración puede fijarse a partir de la anterior sin causar perjuicio al cliente por acortamiento del periodo cubierto por el nuevo certificado.
En el otro extremo, cuando el organismo de certificación no complete la auditoría de recertificación o no sea capaz de verificar la implantación de las correcciones y acciones correctivas para toda no conformidad mayor antes de la fecha de caducidad del certificado, la certificación, lógicamente, no podrá ser recomendada ni la vigencia del certificado podrá ser extendida. En este caso sin embargo, una vez caducado el certificado, si la entidad completa las actividades pendientes -dentro de los seis meses siguientes- se podrán tener en cuenta para un nuevo certificado en el que la fecha de entrada en vigor será la de la decisión de recertificación y la de expiración debe a estar basada en la del certificado previo.
- Información pública. La norma recoge de forma detallada qué información debe poner el organismo de certificación a disposición del público y cuál se facilitará sólo previa solicitud eliminándose el requisito de disponer públicamente de una lista de clientes certificados.
- Referencia a la certificación. La nueva versión de la norma abre la posibilidad al uso, por parte de los clientes de los organismos de certificación, de una declaración sobre el embalaje del producto o en la información que lo acompañe referente a que dispone de un sistema de gestión certificado. Ello no se refiere al uso de marcas, las cuales no se pueden usar sobre el producto ni sobre el embalaje del producto y por otra parte la posibilidad arriba mencionada requiere al organismo de certificación la definición de reglas que eviten que dicha declaración “dé a entender” que el producto, el proceso o el servicio están certificados.