Iso 17021

Traduit de Anglais vers Français - www.onlinedoctranslator.
com
INTERNATIONAL ISO/CEI
LA NORME 17021-1
Première édition
2015-06-15
Évaluation de la conformité — Exigences

pour les organismes procédant à l'audit et à
la certification des systèmes de management
—
Partie 1:
Conditions
Évaluation de la conformité — Exigences pour les organismes procédant à
Normen-Download-Beuth-DQS GmbH Deutsche Gesellschaft zur Zertifizierung von-KdNr.1838919-LfNr.7098733001-2015-06-24 10:36
l'audit et à la certification des systèmes de management —

Partie 1 : Exigences
Numéro de réference
ISO/CEI 17021-1:2015(E)
©ISO/CEI 2015
ISO/CEI 17021-1:2015(E)
DOCUMENT PROTEGE PAR COPYRIGHT
© ISO/CEI 2015, publié en Suisse

Tous les droits sont réservés. Sauf indication contraire, aucune partie de cette publication ne peut être reproduite ou utilisée autrement sous quelque forme ou
par quelque moyen que ce soit, électronique ou mécanique, y compris la photocopie ou la publication sur Internet ou un intranet, sans autorisation écrite
préalable. L'autorisation peut être demandée soit auprès de l'ISO à l'adresse ci-dessous, soit auprès du comité membre de l'ISO dans le pays du demandeur.
Bureau du droit d'auteur de l'ISO
Ch. de Blandonnet 8 • CP 401 CH-1214

Vernier, Genève, Suisse Tél. +41 22 749
01 11
Fax +41 22 749 09 47
copyright@iso.org
www.iso.org
ii © ISO/CEI 2015 – Tous droits réservés

ISO/CEI 17021-1:2015(E)
Contenu Page
Avant-propos.................................................. .................................................. .................................................. .................................................. ..................................v
Présentation.................................................. .................................................. .................................................. .................................................. ........................vi
1 Portée.................................................. .................................................. .................................................. .................................................. .........................1
2 Références normatives.................................................. .................................................. .................................................. ................................1
3 Termes et définitions.................................................. .................................................. .................................................. ...............................................1
4 Des principes.................................................. .................................................. .................................................. .................................................. .............4

4.1 Général.................................................. .................................................. .................................................. .................................................. ...4
4.2 Impartialité.................................................. .................................................. .................................................. ..........................................4
4.3 Compétence.................................................. .................................................. .................................................. ..................................................5
4.4 Responsabilité.................................................. .................................................. .................................................. ....................................5
4.5 Ouverture.................................................. .................................................. .................................................. ................................................5
4.6 Confidentialité.................................................. .................................................. .................................................. ....................................6
4.7 Réactivité aux plaintes.................................................. .................................................. ...............................................6
4.8 Approche basée sur les risques.................................................. .................................................. .................................................. .....................6
5 Exigences générales.................................................. .................................................. .................................................. ...............................................6

5.1 Questions juridiques et contractuelles.................................................. .................................................. ...............................................6
5.1.1 Responsabilité légale.................................................. .................................................. .................................................. .6
5.1.2 Accord de certification.................................................. .................................................. ..................................................sept
5.1.3 Responsabilité des décisions de certification.................................................. ..................................................sept
5.2 Gestion de l'impartialité.................................................. .................................................. .................................................. ..sept
5.3 Responsabilité et financement.................................................. .................................................. .................................................. ................9
6 Exigences structurelles.................................................. .................................................. .................................................. ........................9

6.1 Structure organisationnelle et direction générale.................................................. .................................................. .....9
6.2 Contrôle opérationnel.................................................. .................................................. .................................................. .......................9
sept Besoins en ressources.................................................. .................................................. .................................................. ........................dix

7.1 Compétence du personnel.................................................. .................................................. .................................................. .....dix
7.1.1 Considérations générales.................................................. .................................................. ........................................dix
7.1.2 Détermination des critères de compétence.................................................. .................................................. ...dix
7.1.3 Processus d'évaluation.................................................. .................................................. .............................................dix
7.1.4 Autres considérations.................................................. .................................................. .............................................dix
7.2 Personnel impliqué dans les activités de certification.................................................. ..................................................dix
7.3 Recours à des auditeurs externes individuels et à des experts techniques externes.................................................. .....11
7.4 Dossiers du personnel.................................................. .................................................. .................................................. ........................12
7.5 Externalisation.................................................. .................................................. .................................................. .......................................12
8 Exigences en matière d'informations.................................................. .................................................. .................................................. ................12

8.1 Informations publiques.................................................. .................................................. .................................................. .......................12
8.2 Documents de certification.................................................. .................................................. .................................................. .........13
8.3 Référence à la certification et utilisation des marques.................................................. .................................................. ...........14
8.4 Confidentialité.................................................. .................................................. .................................................. ................................15
8.5 Échange d'informations entre un organisme de certification et ses clients.................................................. ....15
8.5.1 Informations sur l'activité de certification et les exigences.................................................. .15
8.5.2 Avis de modification par un organisme de certification.................................................. ...............................................16
8.5.3 Avis de modifications par un client certifié.................................................. .................................................. ....16
9 Exigences de processus.................................................. .................................................. .................................................. ................................16

9.1 Activités de pré-certification.................................................. .................................................. .................................................. ....16
9.1.1 Candidature.................................................. .................................................. .................................................. ...................16
9.1.2 Examen de la demande.................................................. .................................................. ..................................................16
9.1.3 Programme d'audit.................................................. .................................................. .................................................. ...17
9.1.4 Détermination du temps d'audit.................................................. .................................................. .......................................18
9.1.5 Échantillonnage multi-sites.................................................. .................................................. ..................................................18
9.1.6 Normes de systèmes de management multiples.................................................. ................................................19
© ISO/CEI 2015 – Tous droits réservés iii

ISO/CEI 17021-1:2015(E)
9.2 Audits de planification.................................................. .................................................. .................................................. ..............................19

9.2.1 Détermination des objectifs, de la portée et des critères d'audit.................................................. ................................19
9.2.2 Sélection et affectation de l'équipe d'audit.................................................. .................................................. ..19
9.2.3 Plan de vérification.................................................. .................................................. .................................................. .......................21
9.3 Certification initiale.................................................. .................................................. .................................................. .......................22
9.3.1 Audit initial de certification.................................................. .................................................. ....................................22
9.4 Réalisation d'audits.................................................. .................................................. .................................................. ........................23
9.4.1 Général.................................................. .................................................. .................................................. .............................23
9.4.2 Conduite de la réunion d'ouverture.................................................. .................................................. ................23
9.4.3 Communication pendant l'audit.................................................. .................................................. ...............24
9.4.4 Obtention et vérification des informations.................................................. .................................................. .......24
9.4.5 Identification et enregistrement des constatations d'audit.................................................. ...............................................25
9.4.6 Préparation des conclusions d'audit.................................................. .................................................. ................................25
9.4.7 Conduite de la réunion de clôture.................................................. .................................................. ..................25
9.4.8 Rapport d'audit.................................................. .................................................. .................................................. .................26
9.4.9 Analyse des causes des non-conformités.................................................. .................................................. ............27
9.4.10 Efficacité des corrections et actions correctives.................................................. .....................27
9.5 Décision de certification.................................................. .................................................. .................................................. ................27
9.5.1 Général.................................................. .................................................. .................................................. .............................27
9.5.2 Actions préalables à la prise de décision.................................................. .................................................. ...........28
9.5.3 Informations pour l'octroi de la certification initiale.................................................. .......................................28
9.5.4 Informations pour l'octroi de la recertification.................................................. ..................................................28
9.6 Maintien de la certification.................................................. .................................................. .................................................. .......28
9.6.1 Général.................................................. .................................................. .................................................. .............................28
9.6.2 Activités de surveillance.................................................. .................................................. ................................................29
9.6.3 Recertification.................................................. .................................................. .................................................. ...........30
9.6.4 Audits particuliers.................................................. .................................................. .................................................. .............31

9.6.5 Suspension, retrait ou réduction de la portée de la certification.......................................31
9.7 Appels.................................................. .................................................. .................................................. ..................................................31
9.8 Réclamations.................................................. .................................................. .................................................. ..................................................32
9.9 Dossiers clients.................................................. .................................................. .................................................. ..................................33
dix Exigences du système de gestion pour les organismes de certification.................................................. .............................34

10.1 Choix.................................................. .................................................. .................................................. ..................................................34
10.2 Option A : Exigences générales du système de gestion.................................................. ....................................34
10.2.1 Général.................................................. .................................................. .................................................. .............................34
10.2.2 Manuel du système de gestion.................................................. .................................................. ..........................34
10.2.3 Contrôle des documents.................................................. .................................................. ................................................34
10.2.4 Contrôle des enregistrements.................................................. .................................................. .................................................. ..35
10.2.5 Examen de la gestion.................................................. .................................................. ...............................................35
10.2.6 Audits internes.................................................. .................................................. .................................................. ...........36
10.2.7 Mesures correctives.................................................. .................................................. .................................................. ..36
10.3 Option B : Exigences du système de gestion conformément à la norme ISO 9001..................................36
10.3.1 Général.................................................. .................................................. .................................................. .............................36
10.3.2 Portée.................................................. .................................................. .................................................. ..................................37
10.3.3 Orientation client.................................................. .................................................. .................................................. .........37
10.3.4 Examen de la gestion.................................................. .................................................. ...............................................37
Annexe A(normatif)Connaissances et compétences requises.................................................. .................................................. .................38
Annexe B(informatif)Méthodes d'évaluation possibles.................................................. .................................................. ...................41
Annexe C(informatif)Exemple de flux de processus pour déterminer et maintenir la compétence..43

Annexe D(informatif)Comportement personnel souhaité.................................................. .................................................. .....................45
Annexe E(informatif)Processus d'audit et de certification.................................................. .................................................. ..............46
Bibliographie.................................................. .................................................. .................................................. .................................................. .....................48
iv © ISO/CEI 2015 – Tous droits réservés

ISO/CEI 17021-1:2015(E)
Avant-propos
L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale) forment

le système spécialisé de normalisation mondiale. Les organismes nationaux membres de l'ISO ou de la CEI
participent à l'élaboration des Normes internationales par l'intermédiaire de comités techniques établis par
l'organisation respective pour traiter de domaines particuliers d'activité technique. Les comités techniques de l'ISO
et de la CEI collaborent dans des domaines d'intérêt commun. D'autres organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l'ISO et la CEI, participent également aux travaux.
Dans le domaine de l'évaluation de la conformité, l'ISO et la CEI élaborent des documents conjoints ISO/CEI sous la
direction du Comité ISO pour l'évaluation de la conformité (ISO/CASCO).
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour ultérieure sont
décrites dans les Directives ISO/CEI, Partie 1. En particulier, il convient de noter les différents critères d'approbation
nécessaires pour les différents types de document. Ce document a été rédigé conformément aux règles éditoriales
des Directives ISO/CEI, Partie 2 (voirwww.iso.org/directives ).
L'attention est attirée sur la possibilité que certains des éléments de ce document puissent faire l'objet de droits de brevet.
L'ISO et la CEI ne seront pas tenues responsables de l'identification de tout ou partie de ces droits de brevet. Les détails de
tous les droits de brevet identifiés au cours de l'élaboration du document figureront dans l'introduction et/ou sur la liste
ISO des déclarations de brevet reçues (voirwww.iso.org/patents ).
Tout nom commercial utilisé dans ce document est une information donnée pour la commodité des utilisateurs et ne
constitue pas une approbation.
Pour une explication sur la signification des termes et expressions spécifiques de l'ISO liés à l'évaluation de la conformité,
ainsi que des informations sur l'adhésion de l'ISO aux principes de l'OMC dans les obstacles techniques au commerce
(OTC), voir l'URL suivante :Avant-propos - Informations complémentaires
L'ISO/CEI 17021-1 a été préparée par leComité ISO pour l'évaluation de la conformité(CASCO). Il a été distribué pour
vote aux organismes nationaux de l'ISO et de la CEI, et a été approuvé par les deux organisations.
Cette première édition de l'ISO/CEI 17021-1 annule et remplace l'ISO/CEI 17021:2011, qui a fait l'objet d'une
révision technique.
L'ISO/CEI 17021 comprend les parties suivantes, sous le titre généralÉvaluation de la conformité — Exigences pour les
organismes procédant à l'audit et à la certification des systèmes de management:
— Partie 1 : Exigences
— Partie 2 : Exigences de compétence pour l'audit et la certification des systèmes de management environnemental
[Spécifications techniques]
— Partie 3 : Exigences de compétence pour l'audit et la certification des systèmes de management de la qualité
[Spécifications techniques]
— Partie 4 : Exigences de compétence pour l'audit et la certification des systèmes de gestion de la durabilité des
événements[Spécifications techniques]
— Partie 5: Exigences de compétence pour l'audit et la certification des systèmes de gestion d'actifs[Spécifications
techniques]
— Partie 6: Exigences de compétence pour l'audit et la certification des systèmes de gestion de la continuité des
activités[Spécifications techniques]
— Partie 7: Exigences de compétence pour l'audit et la certification des systèmes de gestion de la sécurité du trafic
routier[Spécifications techniques]
© ISO/CEI 2015 – Tous droits réservés v

ISO/CEI 17021-1:2015(E)
Introduction
La certification d'un système de management, tel que le système de management environnemental, le système de
management de la qualité ou le système de management de la sécurité de l'information d'un organisme, est un
moyen de fournir l'assurance que l'organisme a mis en place un système de management des aspects pertinents
de ses activités, produits et services, conformément à la politique de l'organisation et aux exigences de la norme
internationale de système de management correspondante.
La présente partie de l'ISO/CEI 17021 spécifie les exigences applicables aux organismes procédant à l'audit et à la
certification des systèmes de management. Elle donne des exigences génériques pour de tels organismes effectuant des
audits et des certifications dans le domaine de la qualité, de l'environnement et d'autres types de systèmes de gestion. Ces
organismes sont appelés organismes de certification. Le respect de ces exigences vise à garantir que les organismes de
certification procèdent à la certification des systèmes de management de manière compétente, cohérente et impartiale,
facilitant ainsi la reconnaissance de ces organismes et l'acceptation de leurs certifications sur une base nationale et
internationale. La présente partie de l'ISO/CEI 17021 sert de base pour faciliter la reconnaissance de la certification des
systèmes de management dans l'intérêt du commerce international.
La certification d'un système de management fournit une démonstration indépendante que le système de
management de l'organisme :
a) est conforme aux exigences spécifiées ;
b) est capable d'atteindre systématiquement sa politique et ses objectifs déclarés ;
c) est effectivement mise en œuvre.
L'évaluation de la conformité, telle que la certification d'un système de gestion, apporte ainsi de la valeur à
l'organisation, à ses clients et aux parties intéressées.
Article 4 décrit les principes sur lesquels repose la certification crédible. Ces principes aident l'utilisateur à
comprendre le caractère essentiel de la certification et sont un prélude nécessaire àArticles 5 àdix . Ces
principes sous-tendent les exigences de la présente partie de l'ISO/CEI 17021, mais ces principes ne sont pas
des exigences vérifiables en soi.Article 10 décrit deux manières alternatives de soutenir et de démontrer la
réalisation cohérente des exigences de la présente partie de l'ISO/CEI 17021 par l'établissement d'un système
de management par l'organisme de certification.
Les activités de certification sont les activités individuelles qui composent l'ensemble du processus de
certification, de l'examen de la demande à la fin de la certification.Annexe E illustre la manière dont nombre
de ces activités peuvent interagir.
Les activités de certification impliquent l'audit du système de gestion d'une organisation. La forme d'attestation de
conformité du système de management d'un organisme à une norme de système de management spécifique ou à
d'autres exigences normatives est généralement un document de certification ou un certificat.
La présente partie de l'ISO/CEI 17021 s'applique à l'audit et à la certification de tout type de système de
management. Il est reconnu que certaines des exigences, en particulier celles liées à la compétence des auditeurs,
peuvent être complétées par des critères supplémentaires afin de répondre aux attentes des parties intéressées.
Dans la présente partie de l'ISO/CEI 17021, les formes verbales suivantes sont utilisées :
— « doit » indique une exigence ;
— « devrait » indique une recommandation ;
— "peut" indique une autorisation ;
— "peut" indique une possibilité ou une capacité.
De plus amples détails peuvent être trouvés dans les Directives ISO/CEI, Partie 2.
vi © ISO/CEI 2015 – Tous droits réservés

STANDARD INTERNATIONAL ISO/CEI 17021-1:2015(E)
Évaluation de la conformité — Exigences pour les organismes procédant à

l'audit et à la certification des systèmes de management —
Partie 1:
Conditions
1 Champ d'application
La présente partie de l'ISO/CEI 17021 contient des principes et des exigences concernant la compétence, la cohérence et
l'impartialité des organismes procédant à l'audit et à la certification de tous les types de systèmes de management.
Les organismes de certification opérant selon cette partie de l'ISO/CEI 17021 n'ont pas besoin de proposer tous les types de certification de système
de management.
La certification des systèmes de management est une activité d'évaluation de la conformité par tierce partie (voir ISO/CEI
17000:2004, 5.5) et les organismes réalisant cette activité sont donc des organismes d'évaluation de la conformité par
tierce partie.
NOTE 1 Des exemples de systèmes de gestion comprennent les systèmes de gestion environnementale, la gestion de la qualité
systèmes et systèmes de gestion de la sécurité de l'information.
NOTE 2 Dans la présente partie de l'ISO/CEI 17021, la certification des systèmes de management est appelée « certification » et
les organismes tiers d'évaluation de la conformité sont appelés « organismes de certification ».
NOTE 3 Un organisme de certification peut être non gouvernemental ou gouvernemental, avec ou sans autorité réglementaire.
REMARQUE 4 La présente partie de l'ISO/CEI 17021 peut être utilisée comme document de critères pour l'accréditation, l'évaluation par les pairs ou
autres processus d'audit.
2 Références normatives
Les documents suivants, en tout ou en partie, sont référencés normativement dans le présent document et sont
indispensables à son application. Pour les références datées, seule l'édition citée applique. Pour les références non
datées, la dernière édition du document référencé (y compris toute modification) s'applique.
ISO 9000,Systèmes de management de la qualité — Principes fondamentaux et vocabulaire
ISO/CEI 17000,Évaluation de la conformité — Vocabulaire et principes généraux
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions donnés dans l'ISO 9000, l'ISO/CEI 17000 et les suivants
s'appliquent.
3.1
client certifié
organisme dont le système de management a été certifié
3.2
impartialité
présence d'objectivité
Note 1 à l'article: L'objectivité signifie que les conflits d'intérêts n'existent pas ou sont résolus de manière à ne pas influencer négativement
les activités ultérieures de l'organisme de certification.
© ISO/CEI 2015 – Tous droits réservés 1

ISO/CEI 17021-1:2015(E)
Note 2 à l'article: D'autres termes utiles pour transmettre l'élément d'impartialité incluent « indépendance », « absence de
conflit d'intérêts », « absence de parti pris », « absence de préjugés », « neutralité », « équité », « ouverture d'esprit », «
impartialité », « détachement », « équilibre ».
3.3
conseil en système de gestion
participation à l'établissement, à la mise en œuvre ou au maintien d'un système de gestion
EXEMPLE 1 Préparer ou produire des manuels ou des procédures.
EXEMPLE 2 Donner des conseils, des instructions ou des solutions spécifiques pour le développement et la mise en œuvre de
un système de gestion.
Note 1 à l'article: L'organisation d'une formation et la participation en tant que formateur ne sont pas considérées comme des services de conseil, à
condition que, lorsque le cours concerne les systèmes de gestion ou l'audit, il se limite à la fourniture d'informations génériques ; c'est-à-dire que le
formateur ne doit pas fournir de solutions spécifiques au client.
Note 2 à l'article: La fourniture d'informations génériques, mais pas de solutions spécifiques au client pour l'amélioration des processus ou
des systèmes, n'est pas considérée comme un conseil. Ces informations peuvent inclure :
— expliquer la signification et l'intention des critères de certification ;
— identifier les opportunités d'amélioration ;
— expliquer les théories, méthodologies, techniques ou outils associés ;
— partage d'informations non confidentielles sur les meilleures pratiques connexes;
— d'autres aspects de gestion qui ne sont pas couverts par le système de gestion audité.
3.4
audit de certification
audit réalisé par un organisme d'audit indépendant du client et des parties qui s'appuient sur la
certification, dans le but de certifier le système de management du client
Note 1 à l'article: Dans les définitions qui suivent, le terme «audit» a été utilisé par souci de simplicité pour désigner l'audit de certification
par une tierce partie.
Note 2 à l'article: Les audits de certification comprennent les audits initiaux, de surveillance, de recertification et peuvent également inclure des
audits spéciaux.
Note 3 à l'article: Les audits de certification sont généralement menés par les équipes d'audit des organismes délivrant la
certification de conformité aux exigences des normes de système de management.
Note 4 à l'article: Un audit conjoint se produit lorsque deux organismes d'audit ou plus coopèrent pour auditer un seul client.
Note 5 à l'article: Un audit combiné est lorsqu'un client est audité par rapport aux exigences de deux ou plusieurs normes
de systèmes de management ensemble.
Note 6 à l'article: Il y a audit intégré lorsqu'un client a intégré l'application des exigences de deux ou plusieurs normes de
systèmes de management dans un seul système de management et est audité par rapport à plus d'une norme.
3.5
client
organisme dont le système de management est audité à des fins de certification
3.6
Auditeur
personne qui effectue un audit
3.7
compétence
capacité à appliquer les connaissances et les compétences pour atteindre les résultats escomptés
2 © ISO/CEI 2015 – Tous droits réservés

ISO/CEI 17021-1:2015(E)
3.8
guide
personne désignée par le client pour assister l'équipe d'audit
3.9
observateur
personne qui accompagne l'équipe d'audit mais n'effectue pas d'audit
3.10
domaine technique
domaine caractérisé par des points communs de processus pertinents pour un type spécifique de système de management et ses
résultats escomptés
Note 1 à l'article : voir la note à7.1.2 .
3.11
non-conformité
non-satisfaction d'une exigence
3.12
non-conformité majeure
non-conformité(3.11 ) qui affecte la capacité du système de management à atteindre les résultats escomptés
Note 1 à l'article : Les non-conformités peuvent être classées comme majeures dans les circonstances suivantes :
— s'il existe un doute important quant à la mise en place d'un contrôle de processus efficace ou quant à la conformité des produits ou services aux
exigences spécifiées ;
— un certain nombre de non-conformités mineures associées à la même exigence ou au même problème pourraient démontrer une
défaillance systémique et constituer ainsi une non-conformité majeure.
3.13
non-conformité mineure
non-conformité(3.11 ) qui n'affecte pas la capacité du système de gestion à atteindre les résultats
escomptés
3.14
Expert technique
personne qui apporte des connaissances ou une expertise spécifiques à l'équipe d'audit
Note 1 à l'article: Les connaissances ou expertises spécifiques sont celles qui se rapportent à l'organisation, au processus ou à l'activité à
auditer.
3.15
système de certification
système d'évaluation de la conformité lié aux systèmes de management auxquels s'appliquent les mêmes
exigences, règles et procédures spécifiques
3.16
temps d'audit
temps nécessaire pour planifier et réaliser un audit complet et efficace du système de gestion de
l'organisation cliente
3.17
durée des audits de certification du système de management
partie detemps d'audit(3.16 ) passés à mener des activités d'audit de la réunion d'ouverture à la réunion de clôture,
inclusivement
Note 1 à l'article : Les activités d'audit comprennent normalement :
— diriger la séance d'ouverture;
— la réalisation d'un examen des documents lors de la réalisation de l'audit ;

ISO/CEI 17021-1:2015(E)
— communiquer pendant l'audit ;
— attribuer les rôles et les responsabilités des guides et des observateurs ;
— collecter et vérifier les informations ;
— générer des constatations d'audit;
— la préparation des conclusions d'audit ;
— conduite de la réunion de clôture.
4 Principes
4.1 Général
4.1.1Les principes décrits dans le présent article constituent la base des performances spécifiques ultérieures et des exigences
descriptives de la présente partie de l'ISO/CEI 17021. La présente partie de l'ISO/CEI 17021 ne donne pas d'exigences spécifiques
pour toutes les situations susceptibles de se produire. Ces principes doivent être appliqués comme guide pour les décisions qui
peuvent devoir être prises dans des situations imprévues. Les principes ne sont pas des exigences.
4.1.2L'objectif global de la certification est de donner confiance à toutes les parties qu'un système de management
répond aux exigences spécifiées. La valeur de la certification est le degré de confiance du public qui est établi par
une évaluation impartiale et compétente par un tiers. Les parties qui ont un intérêt dans la certification incluent,
mais ne sont pas limitées à
a) les clients des organismes de certification ;
b) les clients des organismes dont les systèmes de management sont certifiés ;
c) les autorités gouvernementales ;
d) les organisations non gouvernementales ;
e) consommateurs et autres membres du public.
4.1.3Les principes pour inspirer confiance incluent :
— impartialité;
- compétence;
- responsabilité;
— ouverture;
- confidentialité;
— la réactivité aux réclamations ;
- Approche fondée sur le risque.
REMARQUE La présente partie de l'ISO/CEI 17021 définit les principes de la certification enArticle 4 ; le correspondant
Les principes relatifs à l'audit se trouvent dans l'ISO 19011:2011, Clause 4.
4.2 Impartialité
4.2.1Être impartial, et être perçu comme tel, est nécessaire pour qu'un organisme de certification délivre une
certification qui donne confiance. Il est important que tout le personnel interne et externe soit conscient du
besoin d'impartialité.

ISO/CEI 17021-1:2015(E)
4.2.2Il est reconnu que la source de revenus d'un organisme de certification est son client qui paie pour la certification, et que cela
constitue une menace potentielle pour l'impartialité.
4.2.3Pour obtenir et maintenir la confiance, il est essentiel que les décisions d'un organisme de certification soient fondées sur
des preuves objectives de conformité (ou de non-conformité) obtenues par l'organisme de certification, et que ses décisions ne
soient pas influencées par d'autres intérêts ou par d'autres parties.
4.2.4Les menaces à l'impartialité peuvent inclure, mais sans s'y limiter, les éléments suivants.
a) Intérêt personnel : menaces émanant d'une personne ou d'un organisme agissant dans son propre intérêt. Une préoccupation liée à la
certification, en tant que menace à l'impartialité, est l'intérêt financier personnel.
b) Auto-examen : menaces qui découlent d'une personne ou d'un organisme qui examine le travail effectué par lui-même. L'audit
des systèmes de management d'un client auquel l'organisme de certification a fourni des conseils en matière de systèmes
de management constituerait une menace d'auto-examen.
c) Familiarité (ou confiance) : menaces qui découlent du fait qu'une personne ou un organisme est trop familier avec une autre personne ou lui fait
trop confiance au lieu de rechercher des preuves d'audit.
d) Intimidation : menaces émanant d'une personne ou d'un organisme ayant l'impression d'être contraints ouvertement
ou secrètement, comme une menace d'être remplacé ou signalé à un superviseur.
4.3 Compétence
4.3.1La compétence du personnel de l'organisme de certification dans toutes les fonctions impliquées dans les activités de
certification est nécessaire pour délivrer une certification qui inspire confiance.
4.3.2La compétence doit également être soutenue par le système de gestion de l'organisme de certification.
4.3.3C'est une question clé pour la direction de l'organisme de certification d'avoir un processus mis en œuvre pour
l'établissement de critères de compétence pour le personnel impliqué dans l'audit et d'autres activités de certification et
d'effectuer une évaluation par rapport aux critères.
4.4 Responsabilité
4.4.1Le client certifié, et non l'organisme de certification, a la responsabilité d'atteindre systématiquement les
résultats escomptés de la mise en œuvre de la norme de système de management et de la conformité aux
exigences de la certification.
4.4.2L'organisme de certification a la responsabilité d'évaluer suffisamment de preuves objectives sur lesquelles fonder une
décision de certification. Sur la base des conclusions de l'audit, il prend une décision d'accorder la certification s'il existe des
preuves suffisantes de conformité, ou de ne pas accorder la certification s'il n'y a pas suffisamment de preuves de conformité.
REMARQUE Tout audit est basé sur un échantillonnage au sein du système de gestion d'une organisation et n'est donc pas un
garantie de conformité à 100 % aux exigences.
4.5 Ouverture
4.5.1Un organisme de certification doit permettre au public d'accéder à, ou de divulguer, des informations
appropriées et opportunes sur son processus d'audit et de certification, et sur le statut de la certification (c'est-à-
dire l'octroi, le maintien de la certification, l'élargissement ou la réduction de la portée de la certification, le
renouvellement, suspension ou rétablissement ou retrait de la certification) de toute organisation, afin de gagner la
confiance dans l'intégrité et la crédibilité de la certification. La transparence est un principe d'accès ou de
divulgation d'informations appropriées.

ISO/CEI 17021-1:2015(E)
4.5.2Pour gagner ou maintenir la confiance dans la certification, un organisme de certification doit fournir un accès
approprié à, ou la divulgation d'informations non confidentielles sur les conclusions d'audits spécifiques (par exemple des
audits en réponse à des plaintes) à des parties intéressées spécifiques.
4.6 Confidentialité
Pour obtenir l'accès privilégié aux informations nécessaires à l'organisme de certification pour évaluer de manière
adéquate la conformité aux exigences de certification, il est essentiel qu'un organisme de certification ne divulgue aucune
information confidentielle.
4.7 Réactivité aux plaintes

Les parties qui s'appuient sur la certification s'attendent à ce que les réclamations fassent l'objet d'une enquête et, si
celles-ci s'avèrent fondées, doivent avoir l'assurance que ces réclamations seront traitées de manière appropriée et qu'un
effort raisonnable sera fait par l'organisme de certification pour les résoudre. Une réponse efficace aux plaintes est un
moyen important de protection pour l'organisme de certification, ses clients et les autres utilisateurs de la certification
contre les erreurs, les omissions ou les comportements déraisonnables. La confiance dans les activités de certification est
préservée lorsque les plaintes sont traitées de manière appropriée.
REMARQUE Un juste équilibre entre les principes d'ouverture et de confidentialité, y compris

la réactivité aux plaintes, est nécessaire pour démontrer l'intégrité et la crédibilité à tous les utilisateurs de la
certification.
4.8 Approche basée sur les risques
Les organismes de certification doivent tenir compte des risques associés à la fourniture d'une certification
compétente, cohérente et impartiale. Les risques peuvent inclure, mais sans s'y limiter, ceux associés à :
— les objectifs de l'audit ;
— l'échantillonnage utilisé dans le processus d'audit ;
— impartialité réelle et perçue ;
— questions juridiques, réglementaires et de responsabilité ;
— l'organisation cliente auditée et son environnement opérationnel ;
— impact de l'audit sur le client et ses activités ;
— la santé et la sécurité des équipes d'audit ;
— perception des parties intéressées ;
— les déclarations trompeuses du client certifié ;
— utilisation de marques.
5 Exigences générales
5.1 Questions juridiques et contractuelles
5.1.1 Responsabilité légale
L'organisme de certification doit être une entité juridique ou une partie définie d'une entité juridique qui peut être tenue
légalement responsable de toutes ses activités de certification. Un organisme de certification gouvernemental est réputé être une
entité juridique sur la base de son statut gouvernemental.

ISO/CEI 17021-1:2015(E)
5.1.2 Accord de certification
L'organisme de certification doit avoir un accord juridiquement exécutoire avec chaque client pour la fourniture
d'activités de certification conformément aux exigences pertinentes de la présente partie de l'ISO/CEI 17021. En
outre, lorsqu'il existe plusieurs bureaux d'un organisme de certification ou plusieurs sites d'un client, l'organisme
de certification doit s'assurer qu'il existe un accord juridiquement contraignant entre l'organisme de certification
accordant la certification et le client qui couvre tous les sites dans le périmètre de la certification.
REMARQUE Un accord peut être conclu par le biais de plusieurs accords faisant référence ou autrement liés à un
une autre.
5.1.3 Responsabilité des décisions de certification
L'organisme de certification est responsable et conserve l'autorité pour ses décisions relatives à la certification, y
compris l'octroi, le refus, le maintien de la certification, l'élargissement ou la réduction de la portée de la
certification, le renouvellement, la suspension ou la restauration suite à une suspension, ou le retrait de la
certification. .
5.2 Gestion de l'impartialité
5.2.1Les activités d'évaluation de la conformité doivent être entreprises de manière impartiale. L'organisme de certification est
responsable de l'impartialité de ses activités d'évaluation de la conformité et ne permet pas que des pressions commerciales,
financières ou autres compromettent l'impartialité.
5.2.2L'organisme de certification doit avoir l'engagement de la direction à l'impartialité dans les activités de certification du
système de management. L'organisme de certification doit avoir une politique selon laquelle il comprend l'importance de
l'impartialité dans la réalisation de ses activités de certification de système de management, gère les conflits d'intérêts et garantit
l'objectivité de ses activités de certification de système de management.
5.2.3L'organisme de certification doit disposer d'un processus pour identifier, analyser, évaluer, traiter, surveiller et
documenter les risques liés aux conflits d'intérêts découlant de la fourniture de la certification, y compris tout conflit
découlant de ses relations sur une base continue. Lorsqu'il existe des menaces à l'impartialité, l'organisme de certification
doit documenter et démontrer comment il élimine ou minimise ces menaces et documenter tout risque résiduel. La
démonstration doit couvrir toutes les menaces potentielles qui sont identifiées, qu'elles proviennent de l'intérieur de
l'organisme de certification ou des activités d'autres personnes, organismes ou organisations. Lorsqu'une relation
constitue une menace inacceptable pour l'impartialité (par exemple, une filiale à 100 % de l'organisme de certification
demandant une certification à sa société mère), la certification ne doit pas être fournie.
La haute direction doit examiner tout risque résiduel pour déterminer s'il se situe dans le niveau de risque acceptable.
Le processus d'évaluation des risques doit inclure l'identification et la consultation des parties intéressées appropriées
pour les conseiller sur les questions affectant l'impartialité, y compris l'ouverture et la perception du public. La
consultation avec les parties intéressées appropriées doit être équilibrée sans qu'aucun intérêt ne prédomine.
NOTE 1 Les sources de menaces à l'impartialité de l'organisme de certification peuvent être basées sur la propriété, la gouvernance,
la gestion, le personnel, les ressources partagées, les finances, les contrats, la formation, le marketing et le paiement d'une commission de
vente ou autre incitation pour la recommandation de nouveaux clients, etc.
NOTE 2 Les parties intéressées peuvent inclure le personnel et les clients de l'organisme de certification, les clients des organisations
dont les systèmes de gestion sont certifiés, des représentants d'associations professionnelles de l'industrie, des représentants
d'organismes de réglementation gouvernementaux ou d'autres services gouvernementaux, ou des représentants d'organisations non
gouvernementales, y compris des organisations de consommateurs.
NOTE 3 Une façon de satisfaire à l'exigence de consultation de cette clause est de recourir à un comité composé de ces
parties intéressées.
5.2.4Un organisme de certification ne doit pas certifier un autre organisme de certification pour son système de management de la qualité.
© ISO/CEI 2015 – Tous droits réservés sept

ISO/CEI 17021-1:2015(E)
5.2.5L'organisme de certification et toute partie de la même entité juridique et toute entité sous le contrôle organisationnel de
l'organisme de certification [voir9.5.1.2 , puce b)] n'offrent ni ne fournissent de conseil en matière de système de management.
Cela s'applique également à la partie du gouvernement identifiée comme l'organisme de certification.
REMARQUE Cela n'exclut pas la possibilité d'échange d'informations (par exemple, explication des résultats ou
clarification des exigences) entre l'organisme de certification et ses clients.
5.2.6La réalisation d'audits internes par l'organisme de certification et toute partie de la même entité juridique auprès de ses
clients certifiés constitue une menace importante pour l'impartialité. Par conséquent, l'organisme de certification et toute partie
de la même entité juridique et toute entité sous le contrôle organisationnel de l'organisme de certification [voir
9.5.1.2 , point b)] ne proposera ni ne fournira d'audits internes à ses clients certifiés. Une atténuation reconnue de
cette menace est que l'organisme de certification ne doit pas certifier un système de gestion sur lequel il a fourni
des audits internes pendant au moins deux ans après la fin des audits internes.
REMARQUE Voir la remarque 1 à5.2.3 .
5.2.7Lorsqu'un client a reçu des conseils en matière de systèmes de gestion d'un organisme qui a une relation avec un organisme
de certification, cela constitue une menace importante pour l'impartialité. Une atténuation reconnue de cette menace est que
l'organisme de certification ne doit pas certifier le système de management pendant au moins deux ans après la fin de la
consultation.
REMARQUE Voir la remarque 1 à5.2.3 .
5.2.8L'organisme de certification ne doit pas sous-traiter les audits à un organisme de conseil en système de
management, car cela constitue une menace inacceptable pour l'impartialité de l'organisme de certification (voir7.5 ). Cela
ne s'applique pas aux personnes engagées comme auditeurs couvertes par7.3 .
5.2.9Les activités de l'organisme de certification ne doivent pas être commercialisées ou proposées comme étant liées aux
activités d'une organisation qui fournit des conseils en matière de système de management. L'organisme de certification doit
prendre des mesures pour corriger les liens inappropriés ou les déclarations de tout organisme de conseil indiquant ou laissant
entendre que la certification serait plus simple, plus facile, plus rapide ou moins coûteuse si l'organisme de certification était
utilisé. Un organisme de certification ne doit pas déclarer ou impliquer que la certification serait plus simple, plus facile, plus
rapide ou moins coûteuse si une organisation de conseil spécifiée était utilisée.
5.2.10Afin de s'assurer qu'il n'y a pas de conflit d'intérêts, le personnel qui a fourni des conseils en matière de
système de management, y compris ceux agissant à titre de direction, ne doit pas être utilisé par l'organisme de
certification pour participer à un audit ou à d'autres activités de certification s'il a été impliqué dans le conseil en
système de gestion vis-à-vis du client. Une atténuation reconnue de cette menace est que le personnel ne doit pas
être utilisé pendant au moins deux ans après la fin de la consultation.
5.2.11L'organisme de certification doit prendre des mesures pour répondre à toute menace à son impartialité découlant des
actions d'autres personnes, organismes ou organisations.
5.2.12Tout le personnel de l'organisme de certification, interne ou externe, ou les comités, qui pourraient influencer les activités de
certification, doivent agir de manière impartiale et ne doivent pas permettre que des pressions commerciales, financières ou autres
compromettent l'impartialité.
5.2.13Les organismes de certification doivent exiger du personnel, interne et externe, qu'il révèle toute situation dont ils ont
connaissance et qui peut les présenter ou mettre l'organisme de certification en situation de conflit d'intérêts. Les organismes de
certification doivent enregistrer et utiliser ces informations comme données d'entrée pour identifier les menaces à l'impartialité
soulevées par les activités de ce personnel ou par les organisations qui les emploient, et ne doivent pas utiliser ce personnel,
interne ou externe, à moins qu'ils ne puissent démontrer qu'il n'y a pas de conflit d'intérêt.

ISO/CEI 17021-1:2015(E)
5.3 Responsabilité et financement
5.3.1L'organisme de certification doit être en mesure de démontrer qu'il a évalué les risques découlant de ses activités de
certification et qu'il dispose de dispositions adéquates (par exemple, assurance ou réserves) pour couvrir les responsabilités
découlant de ses opérations dans chacun de ses domaines d'activités et les zones géographiques dans lequel il opère.
5.3.2L'organisme de certification doit évaluer ses finances et ses sources de revenus et démontrer qu'initialement,
et sur une base continue, des pressions commerciales, financières ou autres ne compromettent pas son
impartialité.
6 Exigences structurelles
6.1 Structure organisationnelle et direction générale
6.1.1L'organisme de certification doit documenter sa structure organisationnelle, les tâches, les responsabilités et les
pouvoirs de la direction et des autres membres du personnel impliqués dans la certification et de tout comité. Lorsque
l'organisme de certification est une partie définie d'une entité juridique, la structure doit inclure la hiérarchie et la relation
avec les autres parties au sein de la même entité juridique.
6.1.2Les activités de certification doivent être structurées et gérées de manière à préserver l'impartialité.
6.1.3L'organisme de certification doit identifier la haute direction (conseil, groupe de personnes ou personne) ayant
l'autorité et la responsabilité générales pour chacun des éléments suivants :
a) l'élaboration de politiques et la mise en place de processus et de procédures relatifs à ses opérations ;
b) supervision de la mise en œuvre des politiques, processus et procédures ;
c) garantir l'impartialité ;
d) la surveillance de ses finances ;
e) développement de services et de systèmes de certification de systèmes de gestion ;
f) la réalisation des audits et de la certification, et la réponse aux réclamations ;
g) les décisions de certification ;
h) délégation de pouvoir à des comités ou à des individus, selon les besoins, pour entreprendre des activités définies en
son nom ;
i) dispositions contractuelles ;
j) mise à disposition de ressources adéquates pour les activités de certification.
6.1.4L'organisme de certification doit avoir des règles formelles pour la nomination, le mandat et le
fonctionnement de tout comité impliqué dans les activités de certification.
6.2 Contrôle opérationnel
6.2.1L'organisme de certification doit disposer d'un processus de contrôle efficace des activités de certification délivrées
par les succursales, les partenariats, les agents, les franchisés, etc., quels que soient leur statut juridique, leur relation ou
leur situation géographique. L'organisme de certification doit tenir compte du risque que ces activités présentent pour la
compétence, la cohérence et l'impartialité de l'organisme de certification.

ISO/CEI 17021-1:2015(E)
6.2.2L'organisme de certification doit considérer le niveau et la méthode appropriés de contrôle des activités entreprises, y
compris ses processus, les domaines techniques des opérations des organismes de certification, la compétence du personnel, les
lignes de contrôle de gestion, les rapports et l'accès à distance aux opérations, y compris les enregistrements.
7 Besoins en ressources
7.1 Compétence du personnel
7.1.1 Considérations générales
L'organisme de certification doit disposer de processus garantissant que le personnel possède les connaissances et les compétences appropriées
relatives aux types de systèmes de management (par exemple, systèmes de management environnemental, systèmes de management de la qualité,
systèmes de management de la sécurité de l'information) et aux zones géographiques dans lesquelles il opère.
7.1.2 Détermination des critères de compétence
L'organisme de certification doit disposer d'un processus pour déterminer les critères de compétence du personnel
impliqué dans la gestion et la réalisation des audits et autres activités de certification. Les critères de compétence doivent
être déterminés en fonction des exigences de chaque type de norme ou de spécification de système de management,
pour chaque domaine technique et pour chaque fonction du processus de certification. Le résultat du processus doit être
les critères documentés des connaissances et des compétences requises pour effectuer efficacement les tâches d'audit et
de certification à remplir pour atteindre les résultats escomptés.Annexe A spécifie les connaissances et les compétences
qu'un organisme de certification doit définir pour des fonctions spécifiques. Lorsque des critères de compétence
spécifiques supplémentaires ont été établis pour une norme ou un schéma de certification spécifique (par exemple ISO/
CEI TS 17021-2, ISO/CEI TS 17021-3 ou ISO/TS 22003), ceux-ci doivent être appliqués.
REMARQUE Le terme « domaine technique » est appliqué différemment selon la norme de système de gestion
considéré. Pour tout système de management, le terme est lié aux produits, processus et services dans le contexte du domaine d'application de la
norme de système de management. Le domaine technique peut être défini par un schéma de certification spécifique (par exemple ISO/TS 22003) ou
peut être déterminé par l'organisme de certification. Il est utilisé pour couvrir un certain nombre d'autres termes tels que « portées », « catégories »,
« secteurs », etc., qui sont traditionnellement utilisés dans différentes disciplines du système de gestion.
7.1.3 Processus d'évaluation
L'organisme de certification doit disposer de processus documentés pour l'évaluation initiale des compétences et la
surveillance continue des compétences et des performances de tout le personnel impliqué dans la gestion et la
réalisation des audits et autres activités de certification, en appliquant les critères de compétence déterminés.
L'organisme de certification doit démontrer que ses méthodes d'évaluation sont efficaces. Le résultat de ces
processus doit être d'identifier le personnel qui a démontré le niveau de compétence requis pour les différentes
fonctions du processus d'audit et de certification. La compétence doit être démontrée avant que la personne ne
prenne la responsabilité de l'exécution de ses activités au sein de l'organisme de certification.
NOTE 1 Un certain nombre de méthodes d'évaluation qui peuvent être utilisées pour évaluer la compétence sont décrites dansAnnexe B .
NOTE 2 Annexe C montre un exemple de flux de processus pour déterminer et maintenir la compétence.
7.1.4 Autres considérations
L'organisme de certification doit avoir accès à l'expertise technique nécessaire pour obtenir des conseils sur des questions
directement liées aux activités de certification pour tous les domaines techniques, types de systèmes de gestion et zones
géographiques dans lesquels l'organisme de certification opère. Ces conseils peuvent être fournis à l'extérieur ou par le personnel
de l'organisme de certification.
7.2 Personnel impliqué dans les activités de certification
7.2.1L'organisme de certification doit disposer d'un personnel suffisant et compétent pour gérer et soutenir le type
et la gamme de programmes d'audit et d'autres travaux de certification effectués.
dix © ISO/CEI 2015 – Tous droits réservés

ISO/CEI 17021-1:2015(E)
7.2.2L'organisme de certification doit employer ou avoir accès à un nombre suffisant d'auditeurs, y compris des chefs
d'équipe d'audit et des experts techniques pour couvrir l'ensemble de ses activités et pour gérer le volume de travail
d'audit effectué.
7.2.3L'organisme de certification doit préciser à chaque personne concernée ses devoirs, ses responsabilités et ses
pouvoirs.
7.2.4L'organisme de certification doit disposer de processus de sélection, de formation, d'autorisation formelle des auditeurs et
de sélection et de familiarisation des experts techniques utilisés dans l'activité de certification. L'évaluation initiale des
compétences d'un auditeur doit inclure la capacité d'appliquer les connaissances et les compétences requises lors des audits,
telles que déterminées par un évaluateur compétent observant l'auditeur effectuant un audit.
REMARQUE Au cours du processus de sélection et de formation décrit ci-dessus, le comportement personnel souhaité peut être
considéré. Ce sont des caractéristiques qui affectent la capacité d'un individu à exécuter des fonctions spécifiques. Ainsi, la
connaissance du comportement des individus permet à un organisme de certification de tirer parti de leurs forces et de minimiser
l'impact de leurs faiblesses. Le comportement personnel souhaité qui est important pour le personnel impliqué dans les activités
de certification est décrit dansAnnexe D .
7.2.5L'organisme de certification doit disposer d'un processus pour réaliser et démontrer l'efficacité de l'audit, y compris l'utilisation d'auditeurs et
de chefs d'équipe d'audit possédant des compétences et des connaissances génériques en matière d'audit, ainsi que des compétences et des
connaissances appropriées pour l'audit dans des domaines techniques spécifiques.
7.2.6L'organisme de certification doit s'assurer que les auditeurs (et, le cas échéant, les experts techniques) connaissent
ses processus d'audit, les exigences de certification et les autres exigences pertinentes. L'organisme de certification doit
donner aux auditeurs et aux experts techniques accès à un ensemble à jour de procédures documentées donnant des
instructions d'audit et toutes les informations pertinentes sur les activités de certification.
7.2.7L'organisme de certification doit identifier les besoins de formation et doit offrir ou donner accès à une formation spécifique
pour s'assurer que ses auditeurs, experts techniques et autres personnels impliqués dans les activités de certification sont
compétents pour les fonctions qu'ils exercent.
7.2.8Le groupe ou l'individu qui prend la décision d'accorder, de refuser, de maintenir, de renouveler, de
suspendre, de rétablir ou de retirer la certification, ou d'étendre ou de réduire la portée de la certification, doit
comprendre la norme applicable et les exigences de certification, et doit avoir démontré sa compétence pour
évaluer les résultats de les processus d'audit, y compris les recommandations connexes de l'équipe d'audit.
7.2.9L'organisme de certification doit garantir la performance satisfaisante de tout le personnel impliqué dans l'audit et
les autres activités de certification. Il doit exister un processus documenté pour surveiller la compétence et la performance
de toutes les personnes impliquées, en fonction de la fréquence de leur utilisation et du niveau de risque lié à leurs
activités. En particulier, l'organisme de certification doit examiner et enregistrer la compétence de son personnel à la
lumière de ses performances afin d'identifier les besoins de formation.
7.2.10L'organisme de certification doit surveiller chaque auditeur en tenant compte de chaque type de système de
management pour lequel l'auditeur est réputé compétent. Le processus de surveillance documenté pour les auditeurs doit
inclure une combinaison d'évaluation sur site, d'examen des rapports d'audit et de retour d'information des clients ou du
marché. Cette surveillance doit être conçue de manière à minimiser les perturbations des processus normaux de
certification, notamment du point de vue du client.
7.2.11L'organisme de certification doit évaluer périodiquement la performance de chaque auditeur sur site. La fréquence des
évaluations sur site doit être basée sur les besoins déterminés à partir de toutes les informations de surveillance disponibles.
7.3 Recours à des auditeurs externes individuels et à des experts techniques externes
L'organisme de certification doit exiger des auditeurs externes et des experts techniques externes qu'ils aient un
accord écrit par lequel ils s'engagent à se conformer aux politiques applicables et à mettre en œuvre les processus
définis par l'organisme de certification. L'accord doit aborder les aspects relatifs à la confidentialité et

ISO/CEI 17021-1:2015(E)
impartialité et doit exiger des auditeurs externes et des experts techniques externes qu'ils notifient à l'organisme de certification
toute relation existante ou antérieure avec toute organisation qu'ils peuvent être chargés d'auditer.
REMARQUE Utilisation d'un individu ou d'un employé d'une autre organisation contracté individuellement pour servir de
un auditeur externe ou un expert technique ne constitue pas une sous-traitance.
7.4 Dossiers du personnel
L'organisme de certification doit tenir à jour les dossiers du personnel, y compris les qualifications, la formation,
l'expérience, les affiliations, le statut professionnel et les compétences pertinents. Cela comprend le personnel de
gestion et d'administration en plus de ceux qui effectuent des activités de certification.
7.5 Externalisation
7.5.1L'organisme de certification doit avoir un processus dans lequel il décrit les conditions dans lesquelles
l'externalisation (c'est-à-dire la sous-traitance à un autre organisme pour fournir une partie des activités de certification au
nom de l'organisme de certification) peut avoir lieu. L'organisme de certification doit avoir un accord juridiquement
exécutoire couvrant les arrangements, y compris la confidentialité et les conflits d'intérêts, avec chaque organisme qui
fournit des services externalisés.
7.5.2Les décisions d'octroi, de refus, de maintien de la certification, d'extension ou de réduction de la portée de la certification, de
renouvellement, de suspension ou de rétablissement ou de retrait de la certification ne doivent pas être externalisées.
7.5.3L'organisme de certification doit :
a) assumer la responsabilité de toutes les activités sous-traitées à un autre organisme ;

b) s'assurer que l'organisme qui fournit des services externalisés et les personnes auxquelles il fait appel se conforment
aux exigences de l'organisme de certification ainsi qu'aux dispositions applicables de la présente partie de l'ISO/CEI
17021, y compris la compétence, l'impartialité et la confidentialité ;
c) s'assurer que l'organisme qui fournit des services externalisés, et les personnes auxquelles il fait appel, ne sont pas
impliqués, directement ou par l'intermédiaire de tout autre employeur, avec une organisation à auditer, d'une
manière telle que l'impartialité pourrait être compromise.
7.5.4L'organisme de certification doit disposer d'un processus d'approbation et de contrôle de tous les organismes qui
fournissent des services externalisés utilisés pour les activités de certification, et doit s'assurer que les enregistrements de la
compétence de tout le personnel impliqué dans les activités de certification sont conservés.
NOTE 1 Pour7.5.1 à7.5.4 , lorsque l'organisme de certification engage des personnes ou des employés d'autres organisations
pour fournir des ressources ou une expertise supplémentaires, ces personnes ne constituent pas une sous-traitance à condition qu'elles soient
individuellement engagées pour opérer dans le cadre du système de gestion de l'organisme de certification (voir7.3 ).
NOTE 2 Pour7.5.1 à7.5.4 , les termes « externalisation » et « sous-traitance » sont considérés comme synonymes.
8 Exigences en matière d'informations
8.1 Informations publiques
8.1.1L'organisme de certification doit conserver (par le biais de publications, de médias électroniques ou d'autres moyens) et
rendre publiques, sans demande, dans toutes les zones géographiques dans lesquelles il opère, des informations sur
a) les processus d'audit ;
b) les processus d'octroi, de refus, de maintien, de renouvellement, de suspension, de rétablissement ou de retrait de la

certification ou d'élargissement ou de réduction de la portée de la certification ;

ISO/CEI 17021-1:2015(E)
c) les types de systèmes de gestion et de schémas de certification dans lesquels il opère ;
d) l'utilisation du nom et de la marque ou du logo de certification de l'organisme de certification ;
e) les processus de traitement des demandes d'informations, des plaintes et des recours ;
f) politique d'impartialité.
8.1.2L'organisme de certification doit fournir sur demande des informations sur :
a) les zones géographiques dans lesquelles elle opère ;
b) le statut d'une certification donnée ;
c) le nom, le document normatif associé, la portée et la localisation géographique (ville et pays) pour un client
certifié spécifique.
NOTE 1 Dans des cas exceptionnels, l'accès à certaines informations peut être limité à la demande du client (par exemple pour
raisons de sécurité).
NOTE 2 L'organisme de certification peut également mettre les informations dans8.1.2 public par tous les moyens qu'il choisit sans
demande, par exemple sur son site Internet.
8.1.3Les informations fournies par l'organisme de certification à tout client ou au marché, y compris la
publicité, doivent être exactes et non trompeuses.
8.2 Documents de certification

8.2.1L'organisme de certification doit fournir par tout moyen de son choix les documents de certification au
client certifié.
8.2.2Le ou les documents de certification doivent identifier les éléments suivants :
a) le nom et la localisation géographique de chaque client certifié (ou la localisation géographique du siège social et des
éventuels sites entrant dans le périmètre d'une certification multi-sites) ;
b) la date d'entrée en vigueur de l'octroi, de l'extension ou de la réduction de la portée de la certification, ou du renouvellement

de la certification qui ne doit pas être antérieure à la date de la décision de certification pertinente ;
REMARQUE L'organisme de certification peut conserver la date de certification d'origine sur le certificat lorsqu'un certificat
expire pendant un certain temps à condition que :
— les dates de début et d'expiration du cycle de certification en cours sont clairement indiquées ;
— la date d'expiration du dernier cycle de certification soit indiquée ainsi que la date de l'audit de recertification.
c) la date d'expiration ou la date d'échéance de la recertification compatible avec le cycle de recertification ;
d) un code d'identification unique ;
e) la norme de système de management et/ou tout autre document normatif, y compris l'indication de l'état de la publication (par
exemple, la date ou le numéro de révision) utilisé pour l'audit du client certifié ;
f) la portée de la certification en ce qui concerne le type d'activités, de produits et de services applicables à

chaque site sans être trompeuse ou ambiguë ;
g) le nom, l'adresse et la marque de certification de l'organisme de certification ; d'autres marques (par exemple, le symbole
d'accréditation, le logo du client) peuvent être utilisées à condition qu'elles ne soient pas trompeuses ou ambiguës ;
h) toute autre information requise par la norme et/ou tout autre document normatif utilisé pour la
certification ;

ISO/CEI 17021-1:2015(E)
i) en cas d'émission de documents de certification révisés, un moyen de distinguer les documents

révisés de tout document antérieur obsolète.
8.3 Référence à la certification et utilisation des marques
8.3.1Un organisme de certification doit avoir des règles régissant toute marque de certification de système de management qu'il
autorise les clients certifiés à utiliser. Ces règles doivent assurer, entre autres, la traçabilité jusqu'à l'organisme de certification. Il
ne doit y avoir aucune ambiguïté, dans la marque ou le texte qui l'accompagne, quant à ce qui a été certifié et à quel organisme
de certification a accordé la certification. Cette marque ne doit pas être utilisée sur un produit ou un emballage de produit ni de
toute autre manière pouvant être interprétée comme indiquant la conformité du produit.
REMARQUE ISO/IEC 17030 fournit des informations supplémentaires pour l'utilisation de marques tierces.
8.3.2Un organisme de certification ne doit pas permettre que ses marques soient apposées par des clients certifiés sur des rapports ou des
certificats d'essais, d'étalonnage ou d'inspection en laboratoire.
8.3.3Un organisme de certification doit avoir des règles régissant l'utilisation de toute déclaration sur l'emballage du produit ou
dans les informations d'accompagnement indiquant que le client certifié dispose d'un système de gestion certifié. L'emballage du
produit est considéré comme celui qui peut être retiré sans que le produit ne se désagrège ou ne soit endommagé. Les
informations d'accompagnement sont considérées comme disponibles séparément ou facilement détachables. Les étiquettes de
type ou les plaques d'identification sont considérées comme faisant partie du produit. La déclaration ne doit en aucun cas
impliquer que le produit, le processus ou le service est certifié par ce moyen. La déclaration doit inclure une référence à :
— identification (par exemple marque ou nom) du client certifié ;
— le type de système de management (par exemple qualité, environnement) et la norme applicable ;

— l'organisme de certification délivrant le certificat.
8.3.4L'organisme de certification doit, par le biais d'arrangements juridiquement contraignants, exiger que le client certifié :
a) est conforme aux exigences de l'organisme de certification lorsqu'il fait référence à son statut de certification dans des
supports de communication tels que l'internet, des brochures ou des publicités, ou d'autres documents ;
b) ne fait ou ne permet aucune déclaration trompeuse concernant sa certification ;
c) n'utilise pas ou ne permet pas l'utilisation d'un document de certification ou d'une partie de celui-ci de manière trompeuse ;
d) lors du retrait de sa certification, cesse d'utiliser tout matériel publicitaire contenant une référence à la
certification, conformément aux instructions de l'organisme de certification (voir9.6.5 );
e) modifie toutes les publicités lorsque la portée de la certification a été réduite ;
f) ne permet pas que la référence à la certification de son système de management soit utilisée de manière à impliquer que
l'organisme de certification certifie un produit (y compris un service) ou un processus ;
g) n'implique pas que la certification s'applique à des activités et des sites qui ne sont pas couverts par la
certification ;
h) n'utilise pas sa certification d'une manière susceptible de discréditer l'organisme de certification et/ou le système
de certification et de perdre la confiance du public.
8.3.5L'organisme de certification doit exercer un contrôle approprié de la propriété et doit prendre des mesures pour traiter les références
incorrectes au statut de certification ou l'utilisation trompeuse des documents de certification, des marques ou des rapports d'audit.
REMARQUE Une telle action pourrait inclure des demandes de correction et d'action corrective, de suspension, de retrait de
certification, publication de la transgression et, si nécessaire, action en justice.

ISO/CEI 17021-1:2015(E)
8.4 Confidentialité
8.4.1L'organisme de certification est responsable, par des accords juridiquement contraignants, de la gestion de
toutes les informations obtenues ou créées lors de l'exécution des activités de certification à tous les niveaux de sa
structure, y compris les comités et les organismes externes ou les personnes agissant en son nom.
8.4.2L'organisme de certification informe préalablement le client des informations qu'il envisage de mettre dans le
domaine public. Toutes les autres informations, à l'exception des informations rendues publiques par le client, sont
considérées comme confidentielles.
8.4.3Sauf si requis dans la présente partie de l'ISO/CEI 17021, les informations sur un client ou un individu
certifié particulier ne doivent pas être divulguées à un tiers sans le consentement écrit du client certifié ou de
l'individu concerné.
8.4.4Lorsque l'organisme de certification est tenu par la loi ou autorisé par des accords contractuels (comme avec
l'organisme d'accréditation) à divulguer des informations confidentielles, le client ou la personne concernée doit,
sauf interdiction par la loi, être informé des informations fournies.
8.4.5Les informations sur le client provenant de sources autres que le client (par exemple, plaignant, régulateurs) doivent être
traitées de manière confidentielle, conformément à la politique de l'organisme de certification.
8.4.6Le personnel, y compris les membres du comité, les sous-traitants, le personnel d'organismes externes ou les
personnes agissant au nom de l'organisme de certification, doit garder confidentielles toutes les informations obtenues
ou créées au cours de l'exécution des activités de l'organisme de certification, sauf si la loi l'exige.
8.4.7L'organisme de certification doit disposer de processus et, le cas échéant, d'équipements et d'installations
garantissant le traitement sécurisé des informations confidentielles.
8.5 Échange d'informations entre un organisme de certification et ses clients
8.5.1 Informations sur l'activité de certification et les exigences
L'organisme de certification doit fournir des informations et mettre à jour les clients sur les points suivants :
a) une description détaillée de l'activité de certification initiale et continue, y compris la demande, les audits initiaux, les
audits de surveillance et le processus d'octroi, de refus, de maintien de la certification, d'élargissement ou de
réduction de la portée de la certification, de renouvellement, de suspension ou de restauration, ou retrait de
certification;
b) les exigences normatives pour la certification ;
c) des informations sur les frais de candidature, de certification initiale et de certification continue ;
d) les exigences de l'organisme de certification pour que les clients :
1) se conformer aux exigences de certification ;
2) prendre toutes les dispositions nécessaires pour la conduite des audits, y compris des dispositions pour
l'examen de la documentation et l'accès à tous les processus et zones, dossiers et personnel aux fins de la
certification initiale, de la surveillance, de la recertification et de la résolution des plaintes ;
3) prendre des dispositions, le cas échéant, pour permettre la présence d'observateurs (par exemple, évaluateurs
d'accréditation ou auditeur stagiaire) ;
e) des documents décrivant les droits et devoirs des clients certifiés, y compris les exigences, lorsqu'ils font
référence à sa certification dans une communication de toute nature conformément aux exigences de8.3 ;
f) des informations sur les processus de traitement des plaintes et des recours.

ISO/CEI 17021-1:2015(E)
8.5.2 Avis de modification par un organisme de certification
L'organisme de certification informera ses clients certifiés en temps voulu de toute modification de ses exigences
de certification. L'organisme de certification doit vérifier que chaque client certifié respecte les nouvelles exigences.
8.5.3 Avis de modifications par un client certifié
L'organisme de certification doit prendre des dispositions juridiquement contraignantes pour s'assurer que le client
certifié informe l'organisme de certification, sans délai, des questions susceptibles d'affecter la capacité du système de
management à continuer de satisfaire aux exigences de la norme utilisée pour la certification. Il s'agit, par exemple, des
modifications relatives à :
a) le statut juridique, commercial, organisationnel ou de propriété ;
b) organisation et gestion (par exemple, personnel clé de gestion, décisionnel ou technique) ;
c) adresse de contact et sites ;
d) portée des opérations dans le cadre du système de management certifié ;
e) modifications majeures du système et des processus de gestion.
L'organisme de certification doit prendre les mesures appropriées.
9 Exigences de processus
9.1 Activités de pré-certification
9.1.1 Candidature
L'organisme de certification doit demander à un représentant autorisé de l'organisme demandeur de fournir

les informations nécessaires pour lui permettre d'établir ce qui suit :
a) la portée souhaitée de la certification ;
b) les détails pertinents de l'organisme demandeur, tels que requis par le schéma de certification spécifique, y
compris son nom et l'adresse de son ou ses sites, ses processus et opérations, ses ressources humaines et
techniques, ses fonctions, ses relations et toute obligation légale pertinente ;
c) identification des processus externalisés utilisés par l'organisme qui affecteront la conformité aux
exigences ;
d) les normes ou autres exigences pour lesquelles l'organisme demandeur demande la certification ;
e) si des conseils relatifs au système de gestion à certifier ont été fournis et, si oui, par qui.
9.1.2 Examen de la demande
9.1.2.1L'organisme de certification doit procéder à un examen de la demande et des informations supplémentaires pour la
certification afin de s'assurer que :
a) les informations sur l'organisme demandeur et son système de gestion sont suffisantes pour élaborer un
programme d'audit (voir9.1.3 );
b) toute différence de compréhension connue entre l'organisme de certification et l'organisme

demandeur est résolue ;
c) l'organisme de certification a la compétence et la capacité d'exercer l'activité de certification ;

ISO/CEI 17021-1:2015(E)
d) le périmètre de certification recherché, le(s) site(s) d'exploitation de l'organisme demandeur, le temps nécessaire
pour réaliser les audits et tout autre point influençant l'activité de certification sont pris en compte (langue,
conditions de sécurité, menaces à l'impartialité, etc.).
9.1.2.2Suite à l'examen de la demande, l'organisme de certification doit accepter ou refuser une demande de
certification. Lorsque l'organisme de certification refuse une demande de certification à la suite de l'examen
de la demande, les raisons du refus d'une demande doivent être documentées et expliquées clairement au
client.
9.1.2.3Sur la base de cet examen, l'organisme de certification doit déterminer les compétences qu'il doit inclure dans son
équipe d'audit et pour la décision de certification.
9.1.3 Programme d'audit
9.1.3.1Un programme d'audit pour le cycle de certification complet doit être développé pour identifier clairement l'activité
ou les activités d'audit requises pour démontrer que le système de management du client satisfait aux exigences de
certification selon la ou les normes sélectionnées ou d'autres documents normatifs. Le programme d'audit pour le cycle de
certification doit couvrir l'ensemble des exigences du système de management.
9.1.3.2Le programme d'audit pour la certification initiale doit inclure un audit initial en deux étapes, des audits de
surveillance dans les première et deuxième années suivant la décision de certification, et un audit de recertification
dans la troisième année avant l'expiration de la certification. Le premier cycle triennal de certification débute avec la
décision de certification. Les cycles suivants commencent avec la décision de recertification (voir9.6.3.2.3 ) La
détermination du programme d'audit et de tout ajustement ultérieur doit tenir compte de la taille du client, de la
portée et de la complexité de son système de gestion, de ses produits et de ses processus ainsi que du niveau
démontré d'efficacité du système de gestion et des résultats de tout audit antérieur.
NOTE 1 Annexe E fournit un organigramme d'un processus typique d'audit et de certification.
NOTE 2 La liste suivante contient des éléments supplémentaires qui peuvent être pris en compte lors de l'élaboration ou de la révision d'un audit
programme, il peut également être nécessaire de les aborder lors de la détermination de la portée de l'audit et de l'élaboration du plan d'audit :
— les réclamations reçues par l'organisme de certification concernant le client ;
— audit combiné, intégré ou conjoint
— modifications des exigences de certification ;
— modifications des exigences légales ;
— modifications des exigences d'accréditation ;
— les données de performance organisationnelle (par exemple, les niveaux de défauts, les données des indicateurs de performance clés) ;
— les préoccupations des parties intéressées concernées.
NOTE 3 Si spécifié par le système de certification spécifique à l'industrie, le cycle de certification peut être différent
à partir de trois ans.
9.1.3.3Les audits de surveillance doivent être effectués au moins une fois par année civile, sauf les années de
recertification. La date du premier audit de surveillance suivant la certification initiale ne doit pas être supérieure à 12
mois à compter de la date de décision de certification.
REMARQUE Il peut être nécessaire d'ajuster la fréquence des audits de surveillance pour tenir compte de facteurs tels que
saisons ou certification de systèmes de gestion d'une durée limitée (ex. chantier temporaire).
9.1.3.4Lorsque l'organisme de certification tient compte de la certification déjà accordée au client et des audits effectués
par un autre organisme de certification, il doit obtenir et conserver des preuves suffisantes, telles que des rapports et des
documents sur les actions correctives, de toute non-conformité. La documentation doit appuyer

ISO/CEI 17021-1:2015(E)
le respect des exigences de la présente partie de l'ISO/CEI 17021. L'organisme de certification doit, sur la base des
informations obtenues, justifier et enregistrer tout ajustement au programme d'audit existant et suivre la mise en
œuvre des actions correctives concernant les non-conformités précédentes.
9.1.3.5Lorsque le client travaille en équipe, les activités qui ont lieu pendant le travail en équipe doivent être prises en
compte lors de l'élaboration du programme d'audit et des plans d'audit.
9.1.4 Détermination du temps d'audit
9.1.4.1L'organisme de certification doit disposer de procédures documentées pour déterminer la durée de l'audit. Pour
chaque client, l'organisme de certification doit déterminer le temps nécessaire pour planifier et réaliser un audit complet
et efficace du système de management du client.
9.1.4.2Pour déterminer la durée de l'audit, l'organisme de certification doit prendre en compte, entre autres, les
aspects suivants :
a) les exigences de la norme de système de management pertinente ;
b) complexité du client et de son système de gestion ;
c) contexte technologique et réglementaire ;
d) toute externalisation de toute activité incluse dans le périmètre du système de management ;
e) les résultats des audits antérieurs ;
f) la taille et le nombre de sites, leurs emplacements géographiques et les considérations multi-sites ;

g) les risques associés aux produits, processus ou activités de l'organisme ;
h) si les audits sont combinés, conjoints ou intégrés.
NOTE 1 Le temps passé à se déplacer vers et depuis les sites audités n'est pas inclus dans le calcul de la durée de
journées d'audit du système de management.
NOTE 2 L'organisme de certification peut utiliser les lignes directrices établies dans la norme ISO/CEI TS 17023 pour déterminer la
durée de l'audit du système de management lors de la documentation de ces procédures.
Lorsque des critères spécifiques ont été établis pour un schéma de certification spécifique, par exemple ISO/TS 22003 ou ISO/IEC
27006, ceux-ci doivent être appliqués.
9.1.4.3La durée de l'audit du système de management et sa justification doivent être enregistrées.
9.1.4.4Le temps passé par tout membre de l'équipe qui n'est pas désigné comme auditeur (c'est-à-dire les experts
techniques, les traducteurs, les interprètes, les observateurs et les auditeurs en formation) ne compte pas dans la durée
établie ci-dessus de l'audit du système de gestion.
REMARQUE L'utilisation de traducteurs et d'interprètes peut nécessiter du temps supplémentaire.
9.1.5 Échantillonnage multi-sites
Lorsqu'un échantillonnage multi-sites est utilisé pour l'audit du système de management d'un client couvrant la même activité
dans différentes zones géographiques, l'organisme de certification doit développer un programme d'échantillonnage pour
garantir un audit correct du système de management. La justification du plan d'échantillonnage doit être documentée pour
chaque client. L'échantillonnage n'est pas autorisé pour certains schémas de certification spécifiques, et lorsque des critères
spécifiques ont été établis pour un schéma de certification spécifique, par exemple ISO/TS 22003, ceux-ci doivent être appliqués.
REMARQUE Lorsqu'il existe plusieurs sites ne couvrant pas la même activité, l'échantillonnage n'est pas approprié.

ISO/CEI 17021-1:2015(E)
9.1.6 Normes de systèmes de management multiples
Lorsque la certification selon plusieurs normes de système de management est fournie par l'organisme de
certification, la planification de l'audit doit garantir un audit sur site adéquat pour donner confiance dans la
certification.
9.2 Audits de planification
9.2.1 Détermination des objectifs, de la portée et des critères d'audit
9.2.1.1Les objectifs de l'audit doivent être déterminés par l'organisme de certification. L'étendue et les critères de l'audit, y
compris toute modification, doivent être établis par l'organisme de certification après discussion avec le client.
9.2.1.2Les objectifs de l'audit doivent décrire ce qui doit être accompli par l'audit et doivent inclure les éléments
suivants :
a) détermination de la conformité du système de management du client, ou de parties de celui-ci, aux critères d'audit ;
b) détermination de la capacité du système de gestion à garantir que le client respecte les exigences légales,
réglementaires et contractuelles applicables ;
REMARQUE Un audit de certification de système de management n'est pas un audit de conformité légale.
c) la détermination de l'efficacité du système de gestion pour s'assurer que le client peut raisonnablement
s'attendre à atteindre ses objectifs spécifiés ;
d) le cas échéant, identification des domaines d'amélioration potentielle du système de gestion.

9.2.1.3L'étendue de l'audit doit décrire l'étendue et les limites de l'audit, telles que les sites, les unités organisationnelles,
les activités et les processus à auditer. Lorsque le processus initial ou de re-certification consiste en plus d'un audit (par
exemple, couvrant différents sites), la portée d'un audit individuel peut ne pas couvrir la totalité de la portée de la
certification, mais la totalité des audits doit être cohérente avec la portée du document de certification. .
9.2.1.4Les critères d'audit doivent être utilisés comme référence par rapport à laquelle la conformité est déterminée et doivent
inclure :
— les exigences d'un document normatif défini sur les systèmes de management ;
— les processus définis et la documentation du système de management développé par le client.
9.2.2 Sélection et affectation de l'équipe d'audit
9.2.2.1 Général
9.2.2.1.1L'organisme de certification doit disposer d'un processus de sélection et de nomination de l'équipe d'audit, y
compris le chef de l'équipe d'audit et les experts techniques nécessaires, en tenant compte des compétences nécessaires
pour atteindre les objectifs de l'audit et des exigences d'impartialité. S'il n'y a qu'un seul auditeur, l'auditeur doit avoir la
compétence pour exercer les fonctions d'un chef d'équipe d'audit applicables à cet audit. L'équipe d'audit doit disposer de
la totalité des compétences identifiées par l'organisme de certification telles que définies dans9.1.2.3 pour la vérification.
9.2.2.1.2Quelle que soit la taille et la composition de l'équipe d'audit, il convient de tenir compte des points suivants :
a) les objectifs, la portée, les critères et la durée estimée de l'audit ;
b) si l'audit est un audit combiné, conjoint ou intégré ;
c) la compétence globale de l'équipe d'audit nécessaire pour atteindre les objectifs de l'audit (voirTableau A.1 );

ISO/CEI 17021-1:2015(E)
d) les exigences de certification (y compris toute exigence légale, réglementaire ou contractuelle

applicable) ;
e) langue et culture.
REMARQUE Le chef d'équipe d'un audit combiné ou intégré doit avoir une connaissance approfondie d'au moins
l'une des normes et une connaissance des autres normes utilisées pour cet audit particulier.
9.2.2.1.3Les connaissances et compétences nécessaires du chef de l'équipe d'audit et des auditeurs peuvent être complétées par
des experts techniques, des traducteurs et des interprètes qui opèrent sous la direction d'un auditeur. Lorsque des traducteurs ou
des interprètes sont utilisés, ils doivent être sélectionnés de manière à ne pas influencer indûment l'audit.
REMARQUE Les critères de sélection des experts techniques sont déterminés au cas par cas en fonction des besoins
de l'équipe d'audit et l'étendue de l'audit.
9.2.2.1.4Les auditeurs en formation peuvent participer à l'audit, à condition qu'un auditeur soit désigné comme
évaluateur. L'évaluateur doit être compétent pour assumer les fonctions et avoir la responsabilité finale des
activités et des conclusions de l'auditeur en formation.
9.2.2.1.5Le chef d'équipe d'audit, en consultation avec l'équipe d'audit, doit attribuer à chaque membre de l'équipe la
responsabilité d'auditer des processus, des fonctions, des sites, des domaines ou des activités spécifiques. Ces missions tiennent
compte du besoin de compétence et de l'utilisation efficace et efficiente de l'équipe d'audit, ainsi que des différents rôles et
responsabilités des auditeurs, des auditeurs en formation et des experts techniques. Des modifications aux affectations de travail
peuvent être apportées au fur et à mesure de l'avancement de l'audit pour assurer la réalisation des objectifs de l'audit.
9.2.2.2 Observateurs, experts techniques et guides

9.2.2.2.1 Observateurs
La présence et la justification d'observateurs lors d'une activité d'audit doivent être convenues entre l'organisme de
certification et le client avant la conduite de l'audit. L'équipe d'audit doit s'assurer que les observateurs n'influencent pas
ou n'interfèrent pas indûment dans le processus d'audit ou le résultat de l'audit.
REMARQUE Les observateurs peuvent être des membres de l'organisation du client, des consultants, des témoins de l'organisme d'accréditation
personnel, régulateurs ou autres personnes justifiées.
9.2.2.2.2 Experts techniques
Le rôle des experts techniques au cours d'une activité d'audit doit être convenu entre l'organisme de certification et
le client avant la conduite de l'audit. Un expert technique ne doit pas agir en tant qu'auditeur dans l'équipe d'audit.
Les experts techniques sont accompagnés d'un auditeur.
REMARQUE Les experts techniques peuvent fournir des conseils à l'équipe d'audit pour la préparation, la planification ou l'audit.
9.2.2.2.3 Guides
Chaque auditeur doit être accompagné d'un guide, sauf accord contraire du responsable de l'équipe d'audit et du
client. Des guides sont affectés à l'équipe d'audit pour faciliter l'audit. L'équipe d'audit doit s'assurer que les guides
n'influencent ni n'interfèrent dans le processus d'audit ou le résultat de l'audit.
NOTE 1 Les responsabilités d'un guide peuvent inclure:
a) établir des contacts et établir le calendrier des entretiens ;
b) organiser des visites de parties spécifiques du site ou de l'organisation ;
c) s'assurer que les règles concernant les procédures de sûreté et de sécurité du site sont connues et respectées par les membres de
l'équipe d'audit ;
d) assister à l'audit au nom du client ;

ISO/CEI 17021-1:2015(E)
e) fournir des éclaircissements ou des informations à la demande d'un auditeur.
NOTE 2 Le cas échéant, l'audité peut également servir de guide.
9.2.3 Plan de vérification
9.2.3.1 Général
L'organisme de certification doit s'assurer qu'un plan d'audit est établi avant chaque audit identifié dans le programme
d'audit pour fournir la base d'un accord concernant la conduite et la programmation des activités d'audit.
REMARQUE On ne s'attend pas à ce qu'un organisme de certification élabore un plan d'audit pour chaque audit au moment où le
programme d'audit est élaboré.
9.2.3.2 Préparation du plan d'audit
Le plan d'audit doit être adapté aux objectifs et à l'étendue de l'audit. Le plan d'audit doit au moins inclure ou faire
référence aux éléments suivants :
a) les objectifs de l'audit ;
b) les critères d'audit ;
c) la portée de l'audit, y compris l'identification des unités ou processus organisationnels et fonctionnels

à auditer ;
d) les dates et les sites où les activités d'audit sur site seront menées, y compris les visites de sites
temporaires et les activités d'audit à distance, le cas échéant ;
e) la durée prévue des activités d'audit sur site ;
f) les rôles et responsabilités des membres de l'équipe d'audit et des personnes accompagnantes, telles que les
observateurs ou les interprètes.
REMARQUE Les informations du plan d'audit peuvent être contenues dans plusieurs documents.
9.2.3.3 Communication des tâches de l'équipe d'audit
Les tâches confiées à l'équipe d'audit doivent être définies et imposent à l'équipe d'audit de :
a) examiner et vérifier la structure, les politiques, les processus, les procédures, les enregistrements et les documents connexes
du client pertinents pour la norme de système de management ;
b) déterminer que ceux-ci satisfont à toutes les exigences pertinentes pour le domaine d'application prévu de la certification ;
c) déterminer que les processus et procédures sont établis, mis en œuvre et maintenus efficacement,
pour fournir une base de confiance dans le système de gestion du client ;
d) communiquer au client, pour son action, les éventuelles incohérences entre la politique, les objectifs et les
cibles du client.
9.2.3.4 Communication du plan d'audit
Le plan d'audit doit être communiqué et les dates de l'audit doivent être convenues à l'avance avec
le client.
9.2.3.5 Communication concernant les membres de l'équipe d'audit
L'organisme de certification doit fournir le nom et, sur demande, mettre à disposition des informations générales
sur chaque membre de l'équipe d'audit, avec suffisamment de temps pour que le client puisse s'opposer à la

ISO/CEI 17021-1:2015(E)
nomination d'un membre particulier de l'équipe d'audit et pour l'organisme de certification de reconstituer l'équipe
en réponse à toute objection valable.
9.3 Certification initiale
9.3.1 Audit initial de certification
9.3.1.1 Général
L'audit initial de certification d'un système de management se déroule en deux étapes : étape 1 et étape 2.
9.3.1.2 Étape 1
9.3.1.2.1La planification doit garantir que les objectifs de l'étape 1 peuvent être atteints et le client doit être informé de
toute activité « sur site » au cours de l'étape 1.
REMARQUE L'étape 1 ne nécessite pas de plan d'audit formel (voir9.2.3 ).
9.3.1.2.2Les objectifs de l'étape 1 sont de :
a) examiner les informations documentées du système de gestion du client ;
b) évaluer les conditions spécifiques au site du client et entreprendre des discussions avec le personnel du client pour
déterminer l'état de préparation pour l'étape 2 ;
c) examiner le statut et la compréhension du client concernant les exigences de la norme, en particulier en ce qui concerne
l'identification des performances clés ou des aspects significatifs, des processus, des objectifs et du fonctionnement
du système de management ;
d) obtenir les informations nécessaires concernant la portée du système de gestion, y compris :
— le(s) site(s) du client ;
— procédés et équipements utilisés ;
— niveaux de contrôles mis en place (notamment en cas de clients multisites) ;
— les exigences légales et réglementaires applicables ;
e) revoir l'allocation des ressources pour l'étape 2 et convenir des détails de l'étape 2 avec le client ;
f ) fournir une orientation pour la planification de l'étape 2 en acquérant une compréhension suffisante du système
de gestion du client et des opérations du site dans le contexte de la norme du système de gestion ou d'un
autre document normatif ;
g) évaluer si les audits internes et les revues de direction sont planifiés et exécutés, et si le niveau
de mise en œuvre du système de gestion prouve que le client est prêt pour l'étape 2.
REMARQUE Si au moins une partie de l'étape 1 est réalisée chez le client, cela peut aider à atteindre les objectifs
indiqué ci-dessus.
9.3.1.2.3Les conclusions documentées concernant la réalisation des objectifs de l'étape 1 et la préparation pour l'étape 2
doivent être communiquées au client, y compris l'identification de tout domaine de préoccupation qui pourrait être classé
comme une non-conformité au cours de l'étape 2.
REMARQUE Le résultat de l'étape 1 n'a pas besoin de répondre à toutes les exigences d'un rapport (voir9.4.8 ).
9.3.1.2.4Lors de la détermination de l'intervalle entre l'étape 1 et l'étape 2, il faut tenir compte des besoins du client
pour résoudre les problèmes identifiés lors de l'étape 1. L'organisme de certification peut également

ISO/CEI 17021-1:2015(E)
doit revoir ses dispositions pour l'étape 2. En cas de changements significatifs qui auraient un impact sur le système de
management, l'organisme de certification doit considérer la nécessité de répéter tout ou partie de l'étape 1. Le client doit
être informé que les résultats de l'étape 1 peuvent conduire à au report ou à l'annulation de l'étape 2.
9.3.1.3 Étape 2
L'objectif de l'étape 2 est d'évaluer la mise en œuvre, y compris l'efficacité, du système de gestion
du client. L'étape 2 aura lieu sur le(s) site(s) du client. Il doit inclure l'audit d'au moins les éléments
suivants :
a) des informations et des preuves sur la conformité à toutes les exigences de la norme de système de
management applicable ou d'autres documents normatifs ;
b) la surveillance, la mesure, la communication et l'examen des performances par rapport aux objectifs et cibles de
performance clés (conformément aux attentes de la norme de système de management applicable ou d'un
autre document normatif) ;
c) la capacité du système de gestion du client et sa performance en ce qui concerne le respect des exigences
légales, réglementaires et contractuelles applicables ;
d) contrôle opérationnel des processus du client ;
e) audit interne et revue de direction ;
f) la responsabilité de la gestion des politiques du client.
9.3.1.4 Conclusions de l'audit initial de certification

L'équipe d'audit doit analyser toutes les informations et preuves d'audit recueillies au cours de l'étape 1 et de l'étape 2 pour examiner les
constatations de l'audit et s'accorder sur les conclusions de l'audit.
9.4 Réalisation d'audits
9.4.1 Général
L'organisme de certification doit disposer d'un processus pour effectuer des audits sur site. Ce processus doit
inclure une réunion d'ouverture au début de l'audit et une réunion de clôture à la fin de l'audit.
Lorsqu'une partie de l'audit est effectuée par des moyens électroniques ou lorsque le site à auditer est virtuel,
l'organisme de certification doit s'assurer que ces activités sont menées par du personnel possédant les
compétences appropriées. Les preuves obtenues au cours d'un tel audit doivent être suffisantes pour permettre à
l'auditeur de prendre une décision éclairée sur la conformité de l'exigence en question.
REMARQUE Les audits « sur site » peuvent inclure l'accès à distance à des sites électroniques contenant des informations
pertinentes pour l'audit du système de management. L'utilisation de moyens électroniques pour la réalisation des audits peut également
être envisagée.
9.4.2 Conduite de la réunion d'ouverture
Une réunion formelle d'ouverture sera organisée avec la direction du client et, le cas échéant, les
responsables des fonctions ou des processus à auditer. Le but de la réunion d'ouverture, généralement
dirigée par le chef de l'équipe d'audit, est de fournir une brève explication de la manière dont les activités
d'audit seront entreprises. Le degré de détail doit être cohérent avec la familiarité du client avec le processus
d'audit et doit tenir compte des éléments suivants :
a) présentation des participants, y compris un aperçu de leurs rôles ;
b) confirmation de la portée de la certification ;

ISO/CEI 17021-1:2015(E)
c) confirmation du plan d'audit (y compris le type et l'étendue de l'audit, les objectifs et les critères), tout
changement et autres arrangements pertinents avec le client, tels que la date et l'heure de la réunion de
clôture, les réunions intermédiaires entre l'équipe d'audit et le la gestion du client ;
d) confirmation des canaux de communication formels entre l'équipe d'audit et le client ;
e) la confirmation que les ressources et installations nécessaires à l'équipe d'audit sont disponibles ;
f) confirmation des questions relatives à la confidentialité ;
g) confirmation des procédures de sécurité, d'urgence et de sécurité au travail pertinentes pour l'équipe d'audit ;
h) confirmation de la disponibilité, des rôles et des identités de tous les guides et observateurs ;
i) la méthode de rapport, y compris toute notation des constatations d'audit ;
j) des informations sur les conditions dans lesquelles l'audit peut être interrompu prématurément ;
k) la confirmation que le chef de l'équipe d'audit et l'équipe d'audit représentant l'organisme de certification sont
responsables de l'audit et contrôlent l'exécution du plan d'audit, y compris les activités d'audit et les pistes
d'audit ;
l) confirmation de l'état des constatations de l'examen ou de l'audit précédent, le cas échéant ;
m) méthodes et procédures à utiliser pour effectuer l'audit sur la base d'un échantillonnage ;
n) confirmation de la langue à utiliser lors de l'audit ;
o) confirmation que, pendant l'audit, le client sera tenu informé de l'avancement de l'audit et de toute préoccupation ;
p) possibilité pour le client de poser des questions.
9.4.3 Communication pendant l'audit
9.4.3.1Au cours de l'audit, l'équipe d'audit évaluera périodiquement les progrès de l'audit et échangera des informations.
Le chef de l'équipe d'audit doit réaffecter le travail selon les besoins entre les membres de l'équipe d'audit et
communiquer périodiquement l'avancement de l'audit et toute préoccupation au client.
9.4.3.2Lorsque les preuves d'audit disponibles indiquent que les objectifs d'audit sont irréalisables ou suggèrent la
présence d'un risque immédiat et significatif (par exemple, la sécurité), le chef d'équipe d'audit doit le signaler au client et,
si possible, à l'organisme de certification afin de déterminer les mesures appropriées. . Une telle action peut inclure la
reconfirmation ou la modification du plan d'audit, des modifications des objectifs ou de la portée de l'audit, ou la fin de
l'audit. Le chef d'équipe d'audit doit rendre compte du résultat de l'action entreprise à l'organisme de certification.
9.4.3.3Le chef d'équipe d'audit doit examiner avec le client tout besoin de modification de l'étendue de l'audit qui devient
apparent au fur et à mesure que les activités d'audit sur site progressent et en faire rapport à l'organisme de certification.
9.4.4 Obtention et vérification des informations
9.4.4.1Au cours de l'audit, les informations pertinentes pour les objectifs, la portée et les critères d'audit (y compris les
informations relatives aux interfaces entre les fonctions, les activités et les processus) doivent être obtenues par un
échantillonnage approprié et vérifiées pour devenir des éléments probants.
9.4.4.2Les méthodes pour obtenir des informations doivent inclure, mais sans s'y limiter :
a) entretiens ;
b) observation des processus et des activités ;

ISO/CEI 17021-1:2015(E)
c) examen de la documentation et des dossiers.
9.4.5 Identification et enregistrement des constatations d'audit
9.4.5.1Les constatations d'audit résumant la conformité et détaillant les non-conformités doivent être identifiées, classées et
enregistrées pour permettre de prendre une décision de certification en connaissance de cause ou de maintenir la certification.
9.4.5.2Les opportunités d'amélioration peuvent être identifiées et enregistrées, sauf si les exigences d'un système de
certification de système de management l'interdisent. Cependant, les constatations d'audit, qui sont des non-conformités,
ne doivent pas être enregistrées comme des opportunités d'amélioration.
9.4.5.3Une constatation de non-conformité doit être enregistrée par rapport à une exigence spécifique et doit
contenir une déclaration claire de la non-conformité, identifiant en détail les preuves objectives sur lesquelles la
non-conformité est fondée. Les non-conformités doivent être discutées avec le client pour s'assurer que les preuves
sont exactes et que les non-conformités sont comprises. L'auditeur doit cependant s'abstenir de suggérer la cause
des non-conformités ou leur solution.
9.4.5.4Le chef d'équipe d'audit doit tenter de résoudre toute opinion divergente entre l'équipe d'audit et le client
concernant les éléments probants ou les constatations d'audit, et les points non résolus doivent être enregistrés.
9.4.6 Préparation des conclusions d'audit
Sous la responsabilité du chef d'équipe d'audit et préalablement à la réunion de clôture, l'équipe d'audit doit :
a) examiner les constatations de l'audit, et toute autre information appropriée obtenue au cours de l'audit, par rapport
aux objectifs de l'audit et aux critères d'audit et classer les non-conformités ;
b) convenir des conclusions de l'audit, en tenant compte de l'incertitude inhérente au processus d'audit ;
c) convenir de toutes les actions de suivi nécessaires ;
d) confirmer la pertinence du programme d'audit ou identifier toute modification requise pour les audits futurs (par exemple,
portée de la certification, heure ou dates d'audit, fréquence de surveillance, compétence de l'équipe d'audit).
9.4.7 Conduite de la réunion de clôture
9.4.7.1Une réunion formelle de clôture, dont la présence est constatée, est organisée avec la direction du
client et, le cas échéant, les responsables des fonctions ou processus audités. L'objectif de la réunion de
clôture, généralement menée par le responsable de l'équipe d'audit, est de présenter les conclusions de
l'audit, y compris la recommandation concernant la certification. Toute non-conformité doit être présentée de
manière à être comprise et le délai de réponse doit être convenu.
REMARQUE « Compris » ne signifie pas nécessairement que les non-conformités ont été acceptées par le client.
9.4.7.2La réunion de clôture doit également inclure les éléments suivants dont le degré de détail doit être
cohérent avec la familiarité du client avec le processus d'audit :
a) informer le client que les éléments probants recueillis étaient basés sur un échantillon des informations ;
introduisant ainsi un élément d'incertitude;
b) la méthode et le calendrier des rapports, y compris toute notation des constatations d'audit ;
c) le processus de l'organisme de certification pour le traitement des non-conformités, y compris toutes les conséquences
relatives au statut de la certification du client ;
d) le délai imparti au client pour présenter un plan de correction et d'action corrective pour toute non-
conformité identifiée lors de l'audit ;

ISO/CEI 17021-1:2015(E)
e) les activités post-audit de l'organisme de certification ;
f) des informations sur les processus de traitement des plaintes et des recours.
9.4.7.3Le client aura la possibilité de poser des questions. Toute divergence d'opinions concernant les constatations ou les
conclusions de l'audit entre l'équipe d'audit et le client doit être discutée et résolue dans la mesure du possible. Toute
opinion divergente qui n'est pas résolue doit être enregistrée et transmise à l'organisme de certification.
9.4.8 Rapport d'audit
9.4.8.1L'organisme de certification doit fournir un rapport écrit pour chaque audit au client. L'équipe d'audit peut identifier
des opportunités d'amélioration mais ne doit pas recommander de solutions spécifiques. La propriété du rapport d'audit
doit être conservée par l'organisme de certification.
9.4.8.2Le chef d'équipe d'audit doit s'assurer que le rapport d'audit est préparé et est responsable de son contenu.
Le rapport d'audit doit fournir un enregistrement précis, concis et clair de l'audit pour permettre de prendre une
décision de certification éclairée et doit inclure ou faire référence aux éléments suivants :
a) identification de l'organisme de certification ;
b) le nom et l'adresse du client et du représentant du client ;
c) le type d'audit (par exemple audit initial, de surveillance ou de recertification ou audits spéciaux) ;
d) les critères d'audit ;
e) les objectifs de l'audit ;

f) l'étendue de l'audit, notamment l'identification des unités organisationnelles ou fonctionnelles ou des processus
audités et le moment de l'audit ;
g) tout écart par rapport au plan d'audit et ses raisons ;
h) tout problème important ayant une incidence sur le programme d'audit ;
i) identification du chef de l'équipe d'audit, des membres de l'équipe d'audit et de toute personne accompagnante ;
j) les dates et lieux où les activités d'audit (sur site ou hors site, sites permanents ou temporaires) ont
été menées ;
k) constatations d'audit (voir9.4.5 ), référence aux éléments probants et aux conclusions, conformément aux exigences du
type d'audit;
l) les changements significatifs, le cas échéant, qui affectent le système de gestion du client depuis que le dernier audit a eu lieu ;
m) tout problème non résolu, s'il est identifié ;
n) le cas échéant, si l'audit est combiné, conjoint ou intégré ;
o) une déclaration de non-responsabilité indiquant que l'audit est basé sur un processus d'échantillonnage des informations
disponibles ;
p) recommandation de l'équipe d'audit
q) le client audité contrôle efficacement l'utilisation des documents de certification et des marques, le cas échéant ;
r) vérification de l'efficacité des actions correctives prises concernant les non-conformités précédemment
identifiées, le cas échéant.
9.4.8.3Le rapport doit également contenir :

ISO/CEI 17021-1:2015(E)
a) une déclaration sur la conformité et l'efficacité du système de gestion accompagnée d'un

résumé des preuves relatives à :
— la capacité du système de management à répondre aux exigences applicables et aux résultats attendus ;
— le processus d'audit interne et de revue de direction ;
b) une conclusion sur la pertinence du périmètre de certification ;
c) la confirmation que les objectifs de l'audit ont été atteints.
9.4.9 Analyse des causes des non-conformités
L'organisme de certification doit demander au client d'analyser la cause et de décrire la correction spécifique
et les actions correctives prises, ou prévues, pour éliminer les non-conformités détectées, dans un délai
défini.
9.4.10 Efficacité des corrections et actions correctives
L'organisme de certification doit examiner les corrections, les causes identifiées et les actions correctives soumises
par le client pour déterminer si elles sont acceptables. L'organisme de certification doit vérifier l'efficacité de toute
correction et des actions correctives prises. Les preuves obtenues pour étayer la résolution des non-conformités
doivent être enregistrées. Le client sera informé du résultat de l'examen et de la vérification. Le client doit être
informé si un audit complet supplémentaire, un audit limité supplémentaire ou des preuves documentées (à
confirmer lors d'audits futurs) seront nécessaires pour vérifier l'efficacité des corrections et des actions correctives.
La vérification de l'efficacité de la correction et de l'action corrective peut être effectuée sur la base d'un examen
REMARQUE
des informations documentées fournies par le client ou, le cas échéant, par une vérification sur site. Habituellement, cette activité
est effectuée par un membre de l'équipe d'audit.
9.5 Décision de certification
9.5.1 Général
9.5.1.1L'organisme de certification doit s'assurer que les personnes ou les comités qui prennent les décisions d'octroi ou de refus
de la certification, d'extension ou de réduction du périmètre de la certification, de suspension ou de rétablissement de la
certification, de retrait de la certification ou de renouvellement de la certification sont différents de ceux qui ont réalisé les audits.
La ou les personnes désignées pour prendre la décision de certification doivent avoir les compétences appropriées.
9.5.1.2La ou les personnes [à l'exclusion des membres des comités (voir6.1.4 )] chargé par l'organisme de certification de
prendre une décision de certification doit être employé par l'organisme de certification ou une entité sous le contrôle
organisationnel de l'organisme de certification ou doit être sous un accord ayant force exécutoire avec lui. Le contrôle
organisationnel d'un organisme de certification doit être l'un des suivants :
a) la propriété totale ou majoritaire d'une autre entité par l'organisme de certification ;
b) participation majoritaire de l'organisme de certification au conseil d'administration d'une autre entité ;
c) une autorité documentée de l'organisme de certification sur une autre entité d'un réseau d'entités juridiques (dans
lequel l'organisme de certification réside), liées par la propriété ou le contrôle du conseil d'administration.
REMARQUE Pour les organismes de certification gouvernementaux, d'autres parties du même gouvernement peuvent être considérées comme
« lié par la propriété » à l'organisme de certification.
9.5.1.3Les personnes employées par ou sous contrat avec des entités sous contrôle organisationnel doivent satisfaire aux
mêmes exigences de la présente partie de l'ISO/CEI 17021 que les personnes employées par ou sous contrat avec
l'organisme de certification.

ISO/CEI 17021-1:2015(E)
9.5.1.4L'organisme de certification doit enregistrer chaque décision de certification, y compris toute information
supplémentaire ou clarification demandée à l'équipe d'audit ou à d'autres sources.
9.5.2 Actions préalables à la prise de décision
L'organisme de certification doit disposer d'un processus pour effectuer un examen efficace avant de prendre une décision
d'octroi de certification, d'élargissement ou de réduction de la portée de la certification, de renouvellement, de suspension ou de
restauration, ou de retrait de la certification, y compris, que
a) les informations fournies par l'équipe d'audit sont suffisantes au regard des exigences de certification et de
l'étendue de la certification ;
b) pour toute non-conformité majeure, il a revu, accepté et vérifié la correction et les actions
correctives ;
c) pour toute non-conformité mineure, il a examiné et accepté le plan de correction et d'action

corrective du client.
9.5.3 Informations pour l'octroi de la certification initiale
9.5.3.1Les informations fournies par l'équipe d'audit à l'organisme de certification pour la décision de
certification doivent inclure, au minimum :
a) le rapport d'audit ;
b) les commentaires sur les non-conformités et, le cas échéant, la correction et les actions correctives prises
par le client ;
c) confirmation des informations fournies à l'organisme de certification utilisé dans l'examen de la

demande (voir9.1.2 );
d) la confirmation que les objectifs de l'audit ont été atteints ;
e) une recommandation d'accorder ou non la certification, assortie d'éventuelles conditions ou observations.
9.5.3.2Si l'organisme de certification n'est pas en mesure de vérifier la mise en œuvre des corrections et des actions
correctives de toute non-conformité majeure dans les 6 mois suivant le dernier jour de l'étape 2, l'organisme de
certification doit effectuer une autre étape 2 avant de recommander la certification.
9.5.3.3Lorsqu'un transfert de certification est envisagé d'un organisme de certification à un autre, l'organisme de certification
acceptant doit disposer d'un processus pour obtenir suffisamment d'informations afin de prendre une décision sur la certification.
REMARQUE Les systèmes de certification peuvent avoir des règles spécifiques concernant le transfert de certification.
9.5.4 Informations pour l'octroi de la recertification
L'organisme de certification doit prendre des décisions sur le renouvellement de la certification sur la base des
résultats de l'audit de recertification, ainsi que des résultats de l'examen du système sur la période de certification
et des plaintes reçues des utilisateurs de la certification.
9.6 Maintien de la certification
9.6.1 Général
L'organisme de certification doit maintenir la certification sur la base de la démonstration que le client continue de
satisfaire aux exigences de la norme de système de management. Il peut maintenir la certification d'un client

ISO/CEI 17021-1:2015(E)
sur la base d'une conclusion positive du chef de l'équipe d'audit sans autre examen indépendant ni décision, à
condition que :
a) pour toute non-conformité majeure ou autre situation pouvant entraîner la suspension ou le retrait de la
certification, l'organisme de certification dispose d'un système qui exige que le chef d'équipe d'audit signale à
l'organisme de certification la nécessité d'initier une revue par du personnel compétent (voir7.2.8 ), différents
de ceux qui ont effectué l'audit, pour déterminer si la certification peut être maintenue;
b) le personnel compétent de l'organisme de certification contrôle ses activités de surveillance, y compris le contrôle des
rapports de ses auditeurs, pour confirmer que l'activité de certification fonctionne efficacement.
9.6.2 Activités de surveillance
9.6.2.1 Général
9.6.2.1.1L'organisme de certification doit développer ses activités de surveillance de manière à ce que les domaines et fonctions
représentatifs couverts par le périmètre du système de management soient contrôlés de manière régulière et prendre en compte
les évolutions de son client certifié et de son système de management.
9.6.2.1.2Les activités de surveillance doivent inclure un audit sur site du respect par le système de gestion du client
certifié des exigences spécifiées en ce qui concerne la norme à laquelle la certification est accordée. Les autres
activités de surveillance peuvent inclure :
a) demandes de renseignements de l'organisme de certification au client certifié sur les aspects de la certification ;
b) examiner les déclarations de tout client certifié concernant ses opérations (par exemple, matériel
promotionnel, site Web) ;
c) demande au client certifié de fournir des informations documentées (sur support papier ou électronique) ;
d) d'autres moyens de contrôle de la performance du client certifié.
9.6.2.2 Audit de surveillance
Les audits de surveillance sont des audits sur site, mais ne sont pas nécessairement des audits complets du système, et
doivent être planifiés avec les autres activités de surveillance afin que l'organisme de certification puisse maintenir la
confiance que le système de management certifié du client continue de satisfaire aux exigences entre les audits de
recertification. Chaque surveillance de la norme de système de management pertinente doit inclure :
a) audits internes et revue de direction ;
b) une revue des actions entreprises sur les non-conformités identifiées lors de l'audit précédent ;
c) traitement des réclamations ;
d) l'efficacité du système de gestion en ce qui concerne la réalisation des objectifs du client certifié et les
résultats escomptés du ou des systèmes de gestion respectifs ;
e) l'avancement des activités planifiées visant l'amélioration continue ;
f) contrôle opérationnel continu ;
g) examen de tout changement ;
h) l'utilisation de marques et/ou toute autre référence à la certification.

ISO/CEI 17021-1:2015(E)
9.6.3 Recertification
9.6.3.1 Planification des audits de recertification
9.6.3.1.1L'objectif de l'audit de recertification est de confirmer la conformité et l'efficacité continues du système de

management dans son ensemble, ainsi que sa pertinence et son applicabilité continues pour le périmètre de certification.
Un audit de recertification doit être planifié et réalisé pour évaluer le respect continu de toutes les exigences de la norme
de système de management pertinente ou de tout autre document normatif. Cela doit être planifié et réalisé en temps
voulu pour permettre un renouvellement en temps opportun avant la date d'expiration du certificat.
9.6.3.1.2L'activité de recertification doit inclure l'examen des rapports d'audit de surveillance précédents et tenir
compte de la performance du système de gestion au cours du cycle de certification le plus récent.
9.6.3.1.3Les activités d'audit de recertification peuvent nécessiter une étape 1 dans les situations où des changements significatifs
ont été apportés au système de management, à l'organisation ou au contexte dans lequel le système de management fonctionne
(par exemple, des modifications de la législation).
REMARQUE De tels changements peuvent survenir à tout moment au cours du cycle de certification et l'organisme de certification peut avoir besoin
procéder à un audit spécial (voir9.6.4 ), qui pourrait ou non être un audit en deux étapes.
9.6.3.2 Audit de recertification
9.6.3.2.1L'audit de recertification doit inclure un audit sur site portant sur les points suivants :
a) l'efficacité du système de management dans son intégralité à la lumière des changements internes et
externes et sa pertinence et son applicabilité continues au périmètre de certification ;
b) engagement démontré à maintenir l'efficacité et l'amélioration du système de gestion afin

d'améliorer la performance globale ;
c) l'efficacité du système de gestion en ce qui concerne la réalisation des objectifs du client certifié et les
résultats escomptés du ou des systèmes de gestion respectifs.
9.6.3.2.2Pour toute non-conformité majeure, l'organisme de certification doit définir des délais de correction et des
actions correctives. Ces actions doivent être mises en œuvre et vérifiées avant l'expiration de la certification.
9.6.3.2.3Lorsque les activités de recertification sont terminées avec succès avant la date d'expiration de la certification
existante, la date d'expiration de la nouvelle certification peut être basée sur la date d'expiration de la certification
existante. La date de délivrance d'un nouveau certificat doit être identique ou postérieure à la décision de recertification.
9.6.3.2.4Si l'organisme de certification n'a pas terminé l'audit de recertification ou si l'organisme de certification
n'est pas en mesure de vérifier la mise en œuvre des corrections et des actions correctives pour toute non-
conformité majeure (voir 9.5.2.1) avant la date d'expiration de la certification, alors la recertification ne doit pas être
recommandée. et la validité de la certification ne sera pas prolongée. Le client sera informé et les conséquences
seront expliquées.
9.6.3.2.5Après l'expiration de la certification, l'organisme de certification peut restaurer la certification dans les 6 mois à
condition que les activités de recertification en cours soient terminées, sinon au moins une étape 2 doit être effectuée. La
date d'entrée en vigueur sur le certificat doit être égale ou postérieure à la décision de recertification et la date
d'expiration doit être basée sur le cycle de certification précédent.

ISO/CEI 17021-1:2015(E)
9.6.4 Audits particuliers
9.6.4.1 Extension de la portée
L'organisme de certification doit, en réponse à une demande d'extension de la portée d'une certification déjà
accordée, entreprendre un examen de la demande et déterminer les activités d'audit nécessaires pour
décider si l'extension peut être accordée ou non. Ceci peut être mené en conjonction avec un audit de
surveillance.
9.6.4.2 Audits à court préavis
Il peut être nécessaire pour l'organisme de certification d'effectuer des audits de clients certifiés à court terme ou sans
préavis pour enquêter sur des plaintes, ou en réponse à des changements, ou pour assurer le suivi de clients suspendus.
Dans ces cas:
a) l'organisme de certification doit décrire et faire connaître à l'avance aux clients certifiés (par exemple dans des
documents tels que décrits dans8.5.1 ) les conditions dans lesquelles ces audits seront effectués ;
b) l'organisme de certification doit faire preuve de plus de prudence dans l'affectation de l'équipe d'audit en raison du manque de
possibilité pour le client de s'opposer aux membres de l'équipe d'audit.
9.6.5 Suspension, retrait ou réduction de la portée de la certification
9.6.5.1L'organisme de certification doit avoir une politique et une ou des procédures documentées pour la
suspension, le retrait ou la réduction de la portée de la certification, et doit spécifier les actions ultérieures de
l'organisme de certification.
9.6.5.2L'organisme de certification doit suspendre la certification dans les cas où, par exemple :
— le système de management certifié du client n'a pas satisfait de manière persistante ou grave aux exigences de
certification, y compris les exigences relatives à l'efficacité du système de management;
— le client certifié n'autorise pas la réalisation d'audits de surveillance ou de recertification aux

fréquences requises ;
— le client certifié a volontairement demandé une suspension.
9.6.5.3En suspension, la certification du système de gestion du client est temporairement invalide.
9.6.5.4L'organisme de certification doit rétablir la certification suspendue si le problème qui a entraîné

la suspension a été résolu. L'incapacité à résoudre les problèmes qui ont entraîné la suspension dans un
délai fixé par l'organisme de certification entraînera le retrait ou la réduction de la portée de la
certification.
REMARQUE Dans la plupart des cas, la suspension ne dépasserait pas six mois.
9.6.5.5L'organisme de certification doit réduire la portée de la certification pour exclure les parties qui ne satisfont
pas aux exigences, lorsque le client certifié a constamment ou gravement manqué aux exigences de certification
pour ces parties de la portée de la certification. Toute réduction de ce type doit être conforme aux exigences de la
norme utilisée pour la certification.
9.7 Appels
9.7.1L'organisme de certification doit avoir un processus documenté pour recevoir, évaluer et prendre des
décisions sur les appels.

ISO/CEI 17021-1:2015(E)
9.7.2L'organisme de certification est responsable de toutes les décisions à tous les niveaux du processus de traitement
des appels. L'organisme de certification doit s'assurer que les personnes engagées dans le processus de traitement des
recours sont différentes de celles qui ont effectué les audits et pris les décisions de certification.
9.7.3La soumission, l'enquête et la décision sur les appels ne doivent entraîner aucune action discriminatoire à
l'encontre de l'appelant.
9.7.4Le processus de traitement des recours comprend au moins les éléments et méthodes suivants :
a) un aperçu du processus de réception, de validation et d'examen de l'appel, et de décision des mesures à

prendre en réponse à celui-ci, en tenant compte des résultats d'appels similaires antérieurs ;
b) le suivi et l'enregistrement des appels, y compris les actions entreprises pour les résoudre ;
c) s'assurer que toutes les corrections et actions correctives appropriées sont prises.
9.7.5L'organisme de certification recevant l'appel est responsable de la collecte et de la vérification de toutes les
informations nécessaires pour valider l'appel.
9.7.6L'organisme de certification accusera réception de l'appel et fournira à l'appelant des rapports

d'avancement et le résultat de l'appel.
9.7.7La décision à communiquer à l'appelant doit être prise par, ou examinée et approuvée par, une ou plusieurs
personnes n'ayant pas été impliquées auparavant dans l'objet de l'appel.
9.7.8L'organisme de certification notifie formellement à l'appelant la fin de la procédure de traitement

des recours.
9.8 Réclamations
9.8.1L'organisme de certification est responsable de toutes les décisions à tous les niveaux du processus de traitement
des réclamations.
9.8.2La soumission, l'enquête et la décision sur les plaintes ne doivent entraîner aucune action
discriminatoire à l'encontre du plaignant.
9.8.3Dès réception d'une plainte, l'organisme de certification doit confirmer si la plainte concerne les
activités de certification dont il est responsable et, le cas échéant, doit la traiter. Si la réclamation
concerne un client certifié, l'examen de la réclamation doit tenir compte de l'efficacité du système de
management certifié.
9.8.4Toute plainte valable concernant un client certifié doit également être transmise par l'organisme de
certification au client certifié en question en temps opportun.
9.8.5L'organisme de certification doit avoir un processus documenté pour recevoir, évaluer et prendre
des décisions sur les plaintes. Ce processus est soumis à des exigences de confidentialité, en ce qui
concerne le plaignant et l'objet de la plainte.
9.8.6Le processus de traitement des réclamations comprend au moins les éléments et méthodes suivants :
a) un aperçu du processus de réception, de validation, d'enquête sur la plainte et de décision des

mesures à prendre en réponse à celle-ci ;
b) le suivi et l'enregistrement des plaintes, y compris les actions entreprises en réponse à celles-ci ;
c) s'assurer que toutes les corrections et actions correctives appropriées sont prises.

ISO/CEI 17021-1:2015(E)
REMARQUE L'ISO 10002 fournit des lignes directrices pour le traitement des réclamations.
9.8.7L'organisme de certification recevant la plainte est responsable de la collecte et de la vérification de toutes les
informations nécessaires pour valider la plainte.
9.8.8Dans la mesure du possible, l'organisme de certification accusera réception de la plainte et fournira

au plaignant des rapports d'avancement et le résultat de la plainte.
9.8.9La décision à communiquer au plaignant doit être prise par, ou examinée et approuvée par, une ou plusieurs
personnes n'ayant pas été impliquées auparavant dans le sujet de la plainte.
9.8.10Dans la mesure du possible, l'organisme de certification notifie formellement la fin de la procédure de

traitement des réclamations au réclamant.
9.8.11L'organisme de certification détermine, avec le client certifié et le plaignant, si et, le cas

échéant, dans quelle mesure, l'objet de la plainte et sa résolution doivent être rendus publics.
9.9 Dossiers clients
9.9.1L'organisme de certification doit conserver des enregistrements sur l'audit et les autres activités de certification pour tous les
clients, y compris toutes les organisations qui ont soumis des demandes et toutes les organisations auditées, certifiées ou dont la
certification a été suspendue ou retirée.
9.9.2Les dossiers sur les clients certifiés doivent inclure les éléments suivants :
a) les informations sur la candidature et les rapports d'audit initial, de surveillance et de recertification ;
b) accord de certification ;
c) justification de la méthodologie utilisée pour l'échantillonnage des sites, le cas échéant ;
REMARQUE La méthodologie d'échantillonnage comprend l'échantillonnage utilisé pour auditer la gestion spécifique
système et/ou de sélectionner des sites dans le cadre d'un audit multi-sites.
d) justification de la détermination du temps de l'auditeur (voir9.1.4 );
e) vérification de la correction et des actions correctives ;
f) les enregistrements des plaintes et des appels, et toute correction ou action corrective ultérieure ;
g) les délibérations et décisions du comité, s'il y a lieu;
h) documentation des décisions de certification ;
i) les documents de certification, y compris la portée de la certification en ce qui concerne le produit, le processus ou le
service, selon le cas ;
j) les enregistrements connexes nécessaires pour établir la crédibilité de la certification, tels que la preuve de la
compétence des auditeurs et des experts techniques ;
k) programmes d'audit.
9.9.3L'organisme de certification doit conserver les dossiers des candidats et des clients en toute sécurité afin de
garantir la confidentialité des informations. Les dossiers doivent être transportés, transmis ou transférés de
manière à garantir la confidentialité.

ISO/CEI 17021-1:2015(E)
9.9.4L'organisme de certification doit avoir une politique documentée et des procédures documentées sur la conservation des
enregistrements. Les dossiers des clients certifiés et des clients précédemment certifiés doivent être conservés pendant la durée
du cycle en cours plus un cycle de certification complet.
REMARQUE Dans certaines juridictions, la loi stipule que les registres doivent être conservés plus longtemps.
10 Exigences du système de gestion pour les organismes de certification
10.1 Choix
L'organisme de certification doit établir, documenter, mettre en œuvre et maintenir un système de
management capable de soutenir et de démontrer la réalisation constante des exigences de la présente
partie de l'ISO/CEI 17021. En plus de satisfaire aux exigences deArticles 5 à9 , l'organisme de certification met
en œuvre un système de gestion conformément soit:
a) les exigences générales du système de gestion (voir10.2 ); ou
b) les exigences du système de gestion conformément à la norme ISO 9001 (voir10.3 ).
10.2 Option A : Exigences générales du système de gestion
10.2.1 Général
L'organisme de certification doit établir, documenter, mettre en œuvre et maintenir un système de management
capable de soutenir et de démontrer la réalisation constante des exigences de la présente partie de l'ISO/CEI 17021.
La haute direction de l'organisme de certification doit établir et documenter des politiques et des objectifs
pour ses activités. La direction doit fournir la preuve de son engagement dans le développement et la mise en
œuvre du système de management conformément aux exigences de la présente partie de l'ISO/CEI 17021. La
direction doit s'assurer que les politiques sont comprises, mises en œuvre et maintenues à tous les niveaux
de l'organisation de l'organisme de certification.
La haute direction de l'organisme de certification doit attribuer la responsabilité et l'autorité pour :
a) s'assurer que les processus et procédures nécessaires au système de gestion sont établis, mis en
œuvre et maintenus ;
b) rendre compte à la direction générale de la performance du système de gestion et de tout besoin

d'amélioration.
10.2.2 Manuel du système de gestion
Toutes les exigences applicables de la présente partie de l'ISO/CEI 17021 doivent être traitées soit dans un manuel, soit
dans des documents associés. L'organisme de certification doit s'assurer que le manuel et les documents associés
pertinents sont accessibles à tout le personnel concerné.
10.2.3 Contrôle des documents
L'organisme de certification doit établir des procédures pour contrôler les documents (internes et externes) relatifs au
respect de la présente partie de l'ISO/CEI 17021. Les procédures doivent définir les contrôles nécessaires pour :
a) approuver l'adéquation des documents avant leur publication ;
b) examiner et mettre à jour si nécessaire et réapprouver les documents ;
c) s'assurer que les modifications et l'état de révision actuel des documents sont identifiés ;
d) s'assurer que les versions pertinentes des documents applicables sont disponibles aux points d'utilisation ;

ISO/CEI 17021-1:2015(E)
e) s'assurer que les documents restent lisibles et facilement identifiables ;
f) veiller à ce que les documents d'origine externe soient identifiés et leur diffusion contrôlée ;
g) empêcher l'utilisation involontaire de documents obsolètes et leur apposer une identification appropriée s'ils sont
conservés à quelque fin que ce soit.
REMARQUE La documentation peut se présenter sous n'importe quelle forme ou sur n'importe quel type de support.
10.2.4 Contrôle des enregistrements
L'organisme de certification doit établir des procédures pour définir les contrôles nécessaires à l'identification, au stockage, à la
protection, à la récupération, à la durée de conservation et à l'élimination de ses enregistrements liés au respect de la présente
partie de l'ISO/CEI 17021.
L'organisme de certification doit établir des procédures de conservation des enregistrements pendant une période
compatible avec ses obligations contractuelles et légales. L'accès à ces dossiers doit être conforme aux accords de
confidentialité.
REMARQUE Pour les exigences relatives aux enregistrements sur les clients certifiés, voir également9.9 .
10.2.5 Examen de la gestion
10.2.5.1 Général
La direction de l'organisme de certification doit établir des procédures pour revoir son système de management à des
intervalles planifiés afin de garantir son adéquation, son adéquation et son efficacité continues, y compris les politiques et
objectifs déclarés liés au respect de la présente partie de l'ISO/CEI 17021. Ces revues doivent être menées au moins une
fois par an.
10.2.5.2 Examiner les entrées
Les éléments d'entrée de la revue de direction doivent inclure des informations relatives à :
a) les résultats des audits internes et externes ;
b) les commentaires des clients et des parties intéressées ;
c) préserver l'impartialité ;
d) l'état des actions correctives ;
e) l'état des actions pour faire face aux risques ;
f) les actions de suivi des revues de direction précédentes ;
g) la réalisation des objectifs ;
h) les changements qui pourraient affecter le système de gestion ;
i) appels et plaintes.
10.2.5.3 Examiner les sorties
Les éléments de sortie de la revue de direction doivent inclure des décisions et des actions liées à
a) amélioration de l'efficacité du système de management et de ses processus ;
b) amélioration des services de certification liés au respect de la présente partie de l'ISO/CEI 17021 ;
c) besoins en ressources ;

ISO/CEI 17021-1:2015(E)
d) les révisions de la politique et des objectifs de l'organisation.
10.2.6 Audits internes
10.2.6.1L'organisme de certification doit établir des procédures d'audits internes pour vérifier qu'il satisfait aux
exigences de la présente partie de l'ISO/CEI 17021 et que le système de management est effectivement mis en
œuvre et maintenu.
REMARQUE ISO 19011 fournit des lignes directrices pour la réalisation d'audits internes.
10.2.6.2Un programme d'audit doit être planifié en tenant compte de l'importance des processus et des
domaines à auditer, ainsi que des résultats des audits précédents.
10.2.6.3Des audits internes doivent être effectués au moins une fois tous les 12 mois. La fréquence des audits internes peut être
réduite si l'organisme de certification peut démontrer que son système de management continue d'être mis en œuvre
efficacement conformément à la présente partie de l'ISO/CEI 17021 et a fait la preuve de sa stabilité.
10.2.6.4L'organisme de certification doit s'assurer que :
a) les audits internes sont menés par du personnel compétent connaissant bien la certification, l'audit et les
exigences de la présente partie de l'ISO/CEI 17021 ;
b) les auditeurs n'auditent pas leur propre travail ;
c) le personnel responsable du domaine audité est informé du résultat de l'audit ;

d) toutes les actions résultant des audits internes sont prises en temps opportun et de manière appropriée ;
e) toutes les opportunités d'amélioration sont identifiées.
10.2.7 Actions correctives
L'organisme de certification doit établir des procédures d'identification et de gestion des non-conformités dans ses
opérations. L'organisme de certification doit également, si nécessaire, prendre des mesures pour éliminer les causes des
non-conformités afin d'éviter qu'elles ne se reproduisent. Les actions correctives doivent être adaptées à l'impact des
problèmes rencontrés. Les procédures doivent définir les exigences pour :
a) identifier les non-conformités (par exemple à partir de réclamations valables et d'audits internes) ;
b) déterminer les causes de non-conformité ;
c) corriger les non-conformités ;
d) évaluer la nécessité d'actions pour s'assurer que les non-conformités ne se reproduisent pas ;
e) déterminer et mettre en œuvre en temps opportun les actions nécessaires ;
f) enregistrer les résultats des actions entreprises ;
g) examiner l'efficacité des actions correctives.
10.3 Option B : Exigences du système de gestion conformément à la norme ISO 9001
10.3.1 Général
L'organisme de certification doit établir et maintenir un système de management, conformément aux

exigences de l'ISO 9001, qui est capable de soutenir et de démontrer la réalisation cohérente des
exigences de la présente partie de l'ISO/CEI 17021, amplifié par10.3.2 à10.3.4 .

ISO/CEI 17021-1:2015(E)
10.3.2 Portée
Pour l'application des exigences de l'ISO 9001, le domaine d'application du système de management doit inclure les
exigences de conception et de développement de ses services de certification.
10.3.3 Orientation client
Pour l'application des exigences de la norme ISO 9001, lors de l'élaboration de son système de management, l'organisme de
certification doit tenir compte de la crédibilité de la certification et doit répondre aux besoins de toutes les parties (comme indiqué
dans4.1.2 ) qui dépendent de ses services d'audit et de certification, et pas seulement de ses clients.
10.3.4 Revue de direction
Pour l'application des exigences de l'ISO 9001, l'organisme de certification doit inclure comme données d'entrée pour la
revue de direction, des informations sur les recours et plaintes pertinents des utilisateurs des activités de certification et
un examen de l'impartialité.

ISO/CEI 17021-1:2015(E)
Annexe A
(normatif)
Connaissances et compétences requises
A.1 Généralités
Tableau A.1 spécifie les connaissances et les compétences qu'un organisme de certification doit définir pour des fonctions de
certification spécifiques. « X » indique que l'organisme de certification doit définir les critères et la profondeur des connaissances
et des compétences. Les connaissances et les compétences requises spécifiées dansTableau A.1 sont expliqués plus en détail dans
le texte qui suit le tableau et sont référencés par le numéro entre parenthèses.
Tableau A.1 — Tableau des connaissances et compétences
Fonctions de certification
Effectuer l'examen de la
demande pour déterminer
compétence de l'équipe d'audit Examen de l'audit
Connaissances et compétences Audit et pilotage
nécessaire, pour sélectionner les rapports et réalisation
l'équipe d'audit
membres de l'équipe d'audit, et décisions de certification
déterminer la vérification
temps
Connaissance des pratiques de gestion X (voirA.2.1 )

d'entreprise
Connaissance des principes, pratiques X (voirA.3.1 ) X (voirA.2.2 )

et techniques d'audit
Connaissance des normes / documents X (voirA.4.1 ) X (voirA.3.2 ) X (voirA.2.3 )
normatifs spécifiques du système de
gestion
Connaissance des processus de l'organisme de X (voirA.4.2 ) X (voirA.3.3 ) X (voirA.2.4 )
certification
Connaissance du secteur d'activité du client X (voirA.4.3 ) X(voirA.3.4 ) X (voirA.2.5 )

Connaissance des produits, des processus et X (voirA.4.4 ) X (voirA.2.6 )
de l'organisation des clients
Compétences linguistiques appropriées à tous X (voirA.2.7 )

les niveaux au sein de l'organisation cliente
Aptitudes à la prise de notes et à la rédaction de rapports X (voirA.2.8 )

Capacités de présentation X (voirA.2.9 )
Techniques de mener un entretien X (voirA.2.10 )
Compétences en gestion d'audit X (voirA.2.11 )
NOTE Le risque et la complexité sont d'autres considérations lors du choix du niveau d'expertise nécessaire pour l'une de ces fonctions.
A.2 Exigences de compétence pour les auditeurs de systèmes de management
A.2.1 Connaissance des pratiques de gestion d'entreprise
Connaissance des types d'organisation générale, de la taille, de la gouvernance, de la structure et des pratiques en milieu de travail, des
systèmes d'information et de données, des systèmes de documentation et des technologies de l'information.

ISO/CEI 17021-1:2015(E)
A.2.2 Connaissance des principes, pratiques et techniques d'audit
Connaissance des principes, pratiques et techniques génériques d'audit des systèmes de management, tels que spécifiés dans la
présente norme, suffisante pour effectuer des audits de certification et pour évaluer les processus d'audit interne.
A.2.3 Connaissance des normes/documents normatifs spécifiques au système de management
Connaissance de la norme de système de gestion ou d'autres documents normatifs spécifiés pour la certification
suffisante pour déterminer si elle a été effectivement mise en œuvre et est conforme aux exigences.
A.2.4 Connaissance des processus de l'organisme de certification
Connaissance des processus d'un organisme de certification suffisante pour exécuter conformément aux procédures et processus
de l'organisme de certification.
A.2.5 Connaissance du secteur d'activité du client
Connaissance de la terminologie, des pratiques et des processus communs au secteur d'activité d'un client suffisante pour
comprendre les attentes du secteur dans le contexte de la norme de système de management ou de tout autre document
normatif.
REMARQUE Par secteur d'activité, on entend les activités économiques (par exemple l'aérospatiale, la chimie, les services financiers).
A.2.6 Connaissance des produits, des processus et de l'organisation des clients
Connaissances liées aux types de produits ou de processus d'un client suffisantes pour comprendre comment une telle
organisation peut fonctionner et comment l'organisation peut appliquer les exigences de la norme de système de
management ou de tout autre document normatif pertinent.
A.2.7 Compétences linguistiques appropriées à tous les niveaux au sein de l'organisation cliente
Capable de communiquer efficacement avec des personnes à tous les niveaux d'une organisation en utilisant des termes, des expressions
et un discours appropriés.
A.2.8 Aptitudes à la prise de notes et à la rédaction de rapports
Capable de lire et d'écrire avec une vitesse, une précision et une compréhension suffisantes pour enregistrer, prendre des notes
et communiquer efficacement les résultats et les conclusions de l'audit
A.2.9 Compétences de présentation
Capable de présenter les constatations et les conclusions de l'audit pour qu'elles soient facilement compréhensibles. Pour le chef d'équipe,
présenter dans un forum public (par exemple, réunion de clôture) les constatations, les conclusions et les recommandations de l'audit
adaptées à l'auditoire.
A.2.10 Compétences en matière d'entretien
Capable d'interviewer pour obtenir des informations pertinentes en posant des questions ouvertes et bien formulées et en
écoutant pour comprendre et évaluer les réponses.
A.2.11 Compétences en gestion d'audit
Capable de mener et de gérer un audit pour atteindre les objectifs d'audit dans les délais convenus. Pour le
chef d'équipe, capable d'animer des réunions pour un échange d'informations efficace et capable d'effectuer
des affectations ou des réaffectations si nécessaire.

ISO/CEI 17021-1:2015(E)
A.3 Exigences de compétence pour le personnel examinant les rapports d'audit et prenant les
décisions de certification
Les fonctions de ce personnel peuvent être remplies par une ou plusieurs personnes.
A.3.1 Connaissance des principes, pratiques et techniques d'audit
Connaissance des principes, pratiques et techniques génériques d'audit des systèmes de management, tels que spécifiés dans la présente
norme, suffisante pour comprendre un rapport d'audit de certification.
Connaissance de la norme de système de management ou d'autres documents normatifs spécifiés pour la

certification suffisante pour prendre une décision sur la base d'un rapport d'audit de certification.
Connaissance des processus d'un organisme de certification suffisante pour déterminer si les attentes de l'organisme de
certification ont été satisfaites sur la base des informations soumises pour examen.
comprendre un rapport d'audit dans le contexte de la norme de système de management ou d'un autre document normatif.
A.4 Exigences de compétence pour le personnel effectuant l'examen de la demande afin de

déterminer les compétences requises de l'équipe d'audit, de sélectionner les membres de l'équipe
d'audit et de déterminer la durée de l'audit
Les fonctions de ce personnel peuvent être remplies par une ou plusieurs personnes.
Connaissance de la norme de système de gestion ou d'autres documents normatifs spécifiés pour la

certification.
Connaissance des processus d'un organisme de certification suffisante pour affecter des membres compétents à l'équipe d'audit et
déterminer avec précision le temps d'audit.
affecter des membres compétents de l'équipe d'audit et déterminer avec précision le temps d'audit.
A.4.4 Connaissance des produits, des processus et de l'organisation du client
Connaissances liées aux types de produits ou de processus d'un client suffisantes pour affecter des membres compétents de
l'équipe d'audit et déterminer avec précision le temps d'audit.

ISO/CEI 17021-1:2015(E)
Annexe B
(informatif)
Méthodes d'évaluation possibles
B.1 Général
Cette annexe fournit des exemples de méthodes d'évaluation pour aider les organismes de certification.
Les méthodes d'évaluation des compétences des individus peuvent être regroupées en cinq grandes catégories : examen
des dossiers, rétroaction, entrevues, observations et examens. Ceux-ci peuvent être encore subdivisés. Voici une brève
description de chaque méthode, de son utilité et de ses limites pour évaluer les connaissances et les compétences. Il est
peu probable qu'une seule méthode puisse à elle seule confirmer la compétence.
Les méthodes décrites dansArticles B.2 àB.6 peut fournir des informations utiles sur les connaissances et les
compétences ; ils sont plus efficaces lorsqu'ils sont conçus pour être utilisés avec des critères de compétence spécifiés
résultant du processus de détermination des compétences spécifié dans7.1.2 et7.1.3 .
Un exemple de flux de processus pour déterminer et maintenir la compétence est donné dansAnnexe C .
B.2 Examen des enregistrements

Certains documents sont des indicateurs de connaissances, comme un CV ou un curriculum vitae montrant l'expérience de
travail, l'expérience d'audit, l'éducation et la formation.
Certains dossiers sont des indicateurs de compétences, comme les rapports d'audit, les dossiers d'expérience professionnelle, d'expérience en audit,
d'éducation et de formation.
De tels dossiers ne suffiront probablement pas à eux seuls à constituer une preuve suffisante de compétence.
D'autres documents sont des preuves directes de la démonstration de la compétence, comme un rapport d'évaluation des
performances d'un auditeur effectuant un audit.
B.3 Rétroaction
Les commentaires directs des anciens employeurs peuvent être un indicateur des connaissances et des compétences, mais il est important
de noter que parfois les employeurs excluent spécifiquement les informations négatives.
Les références personnelles peuvent être un indicateur de connaissances et de compétences. Il est peu probable qu'un candidat
fournisse une référence personnelle qui fournirait des informations négatives.
Les commentaires des pairs peuvent être un indicateur des connaissances et des compétences. Ces commentaires peuvent être influencés
par la relation entre les pairs.
Les commentaires des clients peuvent être un indicateur des connaissances et des compétences. Pour un auditeur, le feedback peut être
influencé par les résultats de l'audit.
La rétroaction seule n'est pas une preuve satisfaisante de la compétence.
B.4 Entrevues
Les entretiens peuvent être utiles pour obtenir des informations sur les connaissances et les compétences.

ISO/CEI 17021-1:2015(E)
Les entretiens d'embauche peuvent être utiles pour développer des informations provenant de CV et d'expériences professionnelles antérieures en
ce qui concerne les connaissances et les compétences.
Les entretiens dans le cadre des évaluations de performance peuvent fournir des informations spécifiques sur les connaissances et les compétences.
Un entretien avec une équipe d'audit pour une revue post-audit peut fournir des informations utiles sur les connaissances et les
compétences d'un auditeur. Elle permet de comprendre pourquoi un auditeur a pris des décisions spécifiques, sélectionné des
pistes d'audit spécifiques, etc. Cette technique peut être utilisée après un audit observé et peut également être utilisée plus tard
lors de l'examen du rapport d'audit écrit. Cette technique peut être particulièrement utile pour déterminer la compétence relative
à un domaine technique spécifique.
La preuve directe de la démonstration de la compétence peut être obtenue par un entretien structuré avec des enregistrements
appropriés par rapport à des critères de compétence spécifiés.
Les entretiens peuvent être utilisés pour évaluer les compétences linguistiques, de communication et interpersonnelles.
B.5 Observations
L'observation d'une personne exécutant une tâche peut fournir une preuve directe de compétence en tant qu'application
démontrée de connaissances et de compétences pour obtenir un résultat souhaité. Cette méthode d'évaluation est utile à
l'ensemble des fonctions, personnels administratifs et d'encadrement ainsi qu'aux auditeurs et décideurs de la
certification. L'une des limites de l'observation d'un auditeur effectuant un audit est le degré de défi présenté par l'audit
spécifique.
L'observation périodique d'une personne est utile pour confirmer le maintien de sa compétence.
B.6 Examens
Les examens écrits peuvent fournir des preuves solides et bien documentées des connaissances et, selon les méthodes,
également des compétences.
L'examen oral peut fournir une bonne preuve de connaissances (en fonction de la compétence de l'examinateur) et des
résultats limités sur les compétences.
Les examens pratiques peuvent fournir un résultat équilibré sur les connaissances et les compétences, en fonction du processus
d'examen et de la compétence de l'examinateur. Les exemples de méthodes comprennent les jeux de rôle, les études de cas, la
simulation de stress et les situations de travail.

ISO/CEI 17021-1:2015(E)
Annexe C
(informatif)
Exemple de flux de processus pour déterminer et maintenir

compétence
Le déroulement du processus dansIllustration C.1 montre une façon de déterminer la compétence du personnel en identifiant les
tâches spécifiques à accomplir ; identifier les connaissances et compétences spécifiques nécessaires pour atteindre le résultat
escompté. Le flux de processus utilise les méthodes décrites dansAnnexe B .

ISO/CEI 17021-1:2015(E)
Mettre en place Mettre en place

Identité
compétence méthode de induction (si Identifier le courant
fonctions au sein
critères pour chaque évaluer nécessaire) capacité du personnel
organisme de certification
fonction Critères
Écart Examen
évaluation sur - Connaissances
Compétences et - Compétences
connaissances - Vivre
Mettre en place
oui non
entraînement/
Bon match?
mentorat
programme
no
Manifestation
Entraînement
de la connaissance oui
efficace ?
et compétences
PDCA
Satisfaisant? non
vous s
Engager
Secteur Basé sur le risque
spécialiste
besoin spécifique- oui Critères
vérificateur ou
non éléments ? établi
Expert technique
non
non
Mise à niveau
E établir un auditeur
Compétent oui Critères remplis ? non de compétences pratiques ? oui développement
programme
Examen périodique Satisfaisant

oui mise à niveau
de compétence de compétences ?
non
PDCA
Écart
identifié?
oui
e
oui
Mettre en place
entraînement
programme
non
Entraînement
efficace?
PDCA
Figure C.1 — Exemple de flux de processus pour déterminer et maintenir la compétence

ISO/CEI 17021-1:2015(E)
Annexe D
(informatif)
Comportement personnel souhaité
Des exemples de comportements personnels qui sont importants pour le personnel impliqué dans les activités de certification
pour tout type de système de management sont décrits ci-dessous :
a) éthique, c'est-à-dire juste, véridique, sincère, honnête et discret ;
b) ouvert d'esprit, c'est-à-dire disposé à considérer des idées ou des points de vue alternatifs ;
c) diplomate, c'est-à-dire avec tact dans ses relations avec les gens ;
d) collaboratif, c'est-à-dire interagir efficacement avec les autres ;
e) observateur, c'est-à-dire activement conscient de l'environnement physique et des activités ;
f) perspicace, c'est-à-dire instinctivement conscient et capable de comprendre les situations ;
g) polyvalent, c'est-à-dire s'adapte facilement à différentes situations;
h) tenace, c'est-à-dire persévérant et concentré sur l'atteinte des objectifs;
i) décisif, c'est-à-dire parvient à des conclusions opportunes sur la base d'un raisonnement et d'une analyse logiques ;
j) autonome, c'est-à-dire qu'il agit et fonctionne de manière indépendante ;
k) professionnel, c'est-à-dire faisant preuve d'un comportement courtois, consciencieux et généralement professionnel sur le lieu
de travail ;
l) moralement courageux, c'est-à-dire disposés à agir de manière responsable et éthique même si ces actions ne sont pas
toujours populaires et peuvent parfois entraîner des désaccords ou des confrontations ;
m) organisé, c'est-à-dire faisant preuve d'une gestion du temps, d'une priorisation, d'une planification et d'une efficacité efficaces.
La détermination du comportement est situationnelle et les faiblesses peuvent n'apparaître que dans un contexte
spécifique. L'organisme de certification doit prendre les mesures appropriées pour toute faiblesse identifiée qui affecte
négativement l'activité de certification.

ISO/CEI 17021-1:2015(E)
Annexe E
(informatif)
Processus d'audit et de certification
Illustration E.1 représente un flux de processus typique. D'autres activités d'audit peuvent être menées, par exemple l'examen de
documents et des audits spéciaux. Pour la différence entre le cycle d'audit et le cycle de certification, voir9.2 et9.3 .

ISO/CEI 17021-1:2015(E)
Figure E.1 — Flux de processus type pour le processus d'audit et de certification

ISO/CEI 17021-1:2015(E)
Bibliographie
[1] ISO 9001,Systèmes de management de la qualité — Exigences
[2] ISO 10002,Management de la qualité — Satisfaction client — Lignes directrices pour le traitement des réclamations dans les
organisations
[3] ISO 14001,Systèmes de management environnemental — Exigences avec guide d'utilisation
[4] ISO/CEI TS 17021-2,Évaluation de la conformité — Exigences pour les organismes procédant à l'audit et à la
certification des systèmes de management — Partie 2: Exigences de compétence pour l'audit et la
certification des systèmes de management environnemental
[5] ISO/CEI TS 17021-3,Évaluation de la conformité — Exigences pour les organismes procédant à l'audit et à la certification
des systèmes de management — Partie 3: Exigences de compétence pour l'audit et la certification des systèmes
de management de la qualité
de management de la durabilité des événements
[7] ISO/CEI TS 17021-5,Évaluation de la conformité — Exigences pour les organismes procédant à l'audit et à la
certification des systèmes de management — Partie 5: Exigences de compétence pour l'audit et la
certification des systèmes de gestion d'actifs
de management de la continuité des activités
de management de la sécurité du trafic routier
[10] ISO/CEI TS 17023,Évaluation de la conformité —Lignes directrices pour déterminer la durée de la gestion
audits de certification de système
[11] ISO/CEI 17030,Évaluation de la conformité — Exigences générales pour les marques de conformité tierces
[12] ISO 19011:2011,Lignes directrices pour l'audit des systèmes de management
[13] ISO 20121,Systèmes de management de la durabilité des événements — Exigences avec guide d'utilisation
[14] ISO/TS 22003,Systèmes de management de la sécurité des denrées alimentaires — Exigences pour les organismes procédant à l'audit et à la certification
des systèmes de management de la sécurité des denrées alimentaires
[15] ISO 22301,Sécurité sociétale — Systèmes de gestion de la continuité des activités --- Exigences
[16] ISO/CEI 27006,Technologies de l'information — Techniques de sécurité — Exigences pour les organismes procédant à l'audit et à la
certification des systèmes de management de la sécurité de l'information
[17] ISO 31000,Gestion des risques — Principes et lignes directrices
[18] CEI 31010,Gestion des risques — Techniques d'évaluation des risques
[19] ISO 39001,Systèmes de gestion de la sécurité routière (RTS) - Exigences avec conseils d'utilisation
[20] ISO 50003,Systèmes de management de l'énergie — Exigences pour les organismes procédant à l'audit et à la certification des
systèmes de management de l'énergie
[21] ISO 55001,Gestion d'actifs — Systèmes de gestion — Exigences

SCI 03.120.20
Prix basé sur 48 pages
© ISO/CEI 2015 – Tous droits réservés

ISO/CEI 17021-1:2015(E)

Iso 17021

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Iso 17021

Transféré par

Droits d'auteur :

Formats disponibles

Traduit de Anglais vers Français - www.onlinedoctranslator.

Évaluation de la conformité — Exigences

l'audit et à la certification des systèmes de management —

DOCUMENT PROTEGE PAR COPYRIGHT

© ISO/CEI 2015, publié en Suisse

Bureau du droit d'auteur de l'ISO

Ch. de Blandonnet 8 • CP 401 CH-1214

ii © ISO/CEI 2015 – Tous droits réservés

Avant-propos.................................................. .................................................. .................................................. .................................................. ..................................v

Présentation.................................................. .................................................. .................................................. .................................................. ........................vi

1 Portée.................................................. .................................................. .................................................. .................................................. .........................1

2 Références normatives.................................................. .................................................. .................................................. ................................1

3 Termes et définitions.................................................. .................................................. .................................................. ...............................................1

4 Des principes.................................................. .................................................. .................................................. .................................................. .............4

5 Exigences générales.................................................. .................................................. .................................................. ...............................................6

6 Exigences structurelles.................................................. .................................................. .................................................. ........................9

sept Besoins en ressources.................................................. .................................................. .................................................. ........................dix

8 Exigences en matière d'informations.................................................. .................................................. .................................................. ................12

9 Exigences de processus.................................................. .................................................. .................................................. ................................16

© ISO/CEI 2015 – Tous droits réservés iii

9.2 Audits de planification.................................................. .................................................. .................................................. ..............................19

9.6.4 Audits particuliers.................................................. .................................................. .................................................. .............31

dix Exigences du système de gestion pour les organismes de certification.................................................. .............................34

Annexe A(normatif)Connaissances et compétences requises.................................................. .................................................. .................38

Annexe B(informatif)Méthodes d'évaluation possibles.................................................. .................................................. ...................41

Annexe C(informatif)Exemple de flux de processus pour déterminer et maintenir la compétence..43

Annexe E(informatif)Processus d'audit et de certification.................................................. .................................................. ..............46

Bibliographie.................................................. .................................................. .................................................. .................................................. .....................48

iv © ISO/CEI 2015 – Tous droits réservés

L'ISO (Organisation internationale de normalisation) et la CEI (Commission électrotechnique internationale) forment

© ISO/CEI 2015 – Tous droits réservés v

a) est conforme aux exigences spécifiées ;

b) est capable d'atteindre systématiquement sa politique et ses objectifs déclarés ;

c) est effectivement mise en œuvre.

l'organisation, à ses clients et aux parties intéressées.

— « doit » indique une exigence ;

— « devrait » indique une recommandation ;

— "peut" indique une autorisation ;

— "peut" indique une possibilité ou une capacité.

vi © ISO/CEI 2015 – Tous droits réservés

Évaluation de la conformité — Exigences pour les organismes procédant à

les organismes tiers d'évaluation de la conformité sont appelés « organismes de certification ».

ISO 9000,Systèmes de management de la qualité — Principes fondamentaux et vocabulaire

ISO/CEI 17000,Évaluation de la conformité — Vocabulaire et principes généraux

© ISO/CEI 2015 – Tous droits réservés 1

EXEMPLE 1 Préparer ou produire des manuels ou des procédures.

— expliquer la signification et l'intention des critères de certification ;

— identifier les opportunités d'amélioration ;

— expliquer les théories, méthodologies, techniques ou outils associés ;

— partage d'informations non confidentielles sur les meilleures pratiques connexes;

2 © ISO/CEI 2015 – Tous droits réservés

Note 1 à l'article : voir la note à7.1.2 .

Note 1 à l'article : Les activités d'audit comprennent normalement :

— diriger la séance d'ouverture;

— la réalisation d'un examen des documents lors de la réalisation de l'audit ;

© ISO/CEI 2015 – Tous droits réservés 3

— communiquer pendant l'audit ;

— attribuer les rôles et les responsabilités des guides et des observateurs ;

— collecter et vérifier les informations ;

— générer des constatations d'audit;

— la préparation des conclusions d'audit ;

— conduite de la réunion de clôture.

a) les clients des organismes de certification ;