Como elegir un organismo certificador: lo que nadie te cuenta antes de la auditoria

Elegir un organismo certificador parece un tramite administrativo. No lo es. Esa decision define la credibilidad de tu certificacion, la profundidad de la auditoria que vas a recibir y, en ultima instancia, si el certificado que cuelgues en la pared tiene valor real ante tus clientes, reguladores y socios comerciales.

En 15 anos de trabajo como auditor independiente en America Latina, vi organizaciones que invirtieron meses preparando un sistema de gestion conforme a ISO 9001 o ISO 27001 y terminaron con un certificado emitido por un organismo sin acreditacion valida. El resultado: rechazo en licitaciones internacionales, desconfianza de clientes multinacionales y un gasto que no genero ninguna ventaja competitiva.

Certificacion y acreditacion no son lo mismo

Este es el primer punto que toda organizacion necesita entender. La certificacion la otorga un organismo certificador (OC) que audita tu sistema de gestion y verifica que cumple los requisitos de la norma. La acreditacion, en cambio, es el proceso por el cual un organismo de acreditacion nacional (OAN) verifica que ese OC tiene la competencia tecnica, la imparcialidad y los procesos para emitir certificados confiables.

En Argentina, el OAN es el Organismo Argentino de Acreditacion (OAA). En Brasil, INMETRO. En Mexico, EMA. Todos operan bajo las reglas del International Accreditation Forum (IAF) y la International Laboratory Accreditation Cooperation (ILAC), que son las dos organizaciones globales que articulan el sistema de confianza mutua entre paises.

Que verificar antes de contratar

Estas son las verificaciones minimas que toda organizacion deberia realizar antes de firmar un contrato con un OC:

1. Acreditacion vigente para el alcance especifico: Un OC puede estar acreditado para ISO 9001 pero no para ISO 27001. Verifica que la acreditacion cubra exactamente la norma que necesitas certificar. Esta informacion es publica en el sitio del OAN correspondiente.
2. Reconocimiento IAF: Si operas en comercio internacional, tu certificado necesita reconocimiento bajo el Multilateral Recognition Arrangement (MLA) del IAF. Un certificado emitido por un OC acreditado por un OAN firmante del MLA es aceptado en mas de 100 paises. Sin esto, tu certificado tiene alcance local unicamente.
3. Independencia real del consultor: La norma ISO/IEC 17021-1 exige que el organismo certificador sea independiente de quien implemento el sistema. Si la misma empresa que te vendio la consultoria te ofrece la certificacion, hay un conflicto de interes estructural que viola los principios de imparcialidad.
4. Equipo auditor con competencia sectorial: Un auditor de ISO 27001 que nunca trabajo en el sector financiero no va a detectar las mismas no conformidades que uno con experiencia en el rubro. Pregunta por los perfiles de los auditores asignados.
5. Historial de sanciones: Los OAN publican resoluciones sobre suspensiones y retiros de acreditacion. Revisalas. Un OC con antecedentes de sanciones merece, como minimo, una evaluacion adicional.

Senales de alerta que no deberias ignorar

Despues de auditar junto a mas de 40 organismos certificadores en la region, estas son las senales que deberian activar tus alertas:

• Promesa de certificacion garantizada: Ningun OC serio puede garantizar el resultado de una auditoria antes de realizarla. Si te lo prometen, es una senal de que la auditoria no va a ser rigurosa.
• Plazos irreales: Una auditoria de certificacion ISO 27001 para una organizacion de 200 personas no se hace en dos dias. Si te ofrecen plazos extremadamente cortos, es probable que la auditoria sea superficial.
• Ausencia en registros publicos: Si no encontras al OC en la base de datos del OAN correspondiente o en el directorio del IAF, no contrates.
• Precio desproporcionadamente bajo: La auditoria tiene costos reales: dias-auditor, competencia tecnica, seguimiento. Un precio 60% menor al mercado implica recortes en alguna de esas dimensiones.
• Oferta conjunta de consultoria + certificacion: Esto viola directamente ISO/IEC 17021-1. Si te lo ofrecen como paquete, ese OC no esta operando con imparcialidad.

El rol del evaluador independiente

Antes de la auditoria de certificacion, existe una instancia previa que muchas organizaciones omiten: la evaluacion independiente de preparacion (readiness assessment). Esta evaluacion, realizada por un profesional que no esta vinculado al OC, te permite identificar no conformidades y brechas antes de que las detecte el auditor certificador.

Un diagnostico de brechas en 72 horas operativas te muestra exactamente donde estan los hallazgos que un auditor competente va a encontrar. Es la diferencia entre llegar preparado a la auditoria y recibir no conformidades mayores que retrasen la certificacion 6 meses.

Preguntas que tu directorio deberia hacer

Antes de aprobar la contratacion de un OC, estas son las preguntas que deberian aparecer en la agenda del directorio:

1. ¿El OC esta acreditado por un OAN firmante del MLA del IAF para la norma especifica que necesitamos?
2. ¿Los auditores asignados tienen experiencia demostrable en nuestro sector?
3. ¿Existe alguna relacion comercial entre el OC y nuestro consultor de implementacion?
4. ¿Cual es el calendario de auditorias de seguimiento y recertificacion?
5. ¿Realizamos una evaluacion independiente de preparacion antes de la auditoria?

La certificacion ISO no es un fin en si misma. Es una herramienta de confianza. Y la confianza empieza por elegir un organismo certificador que opere con los mismos estandares de rigor que exige la norma.