La cláusula §5.2 de ISO/IEC 17021-1:2015 — la norma que rige a los organismos de certificación — prohíbe que la persona o entidad que implementó un sistema de gestión actúe como auditora del mismo sistema dentro de los dos años posteriores a la implementación. Este informe firma un dictamen técnico sobre la centralidad operativa de esa cláusula. No es burocracia. Es lo único que sostiene la palabra certificación cuando alguien la pronuncia.
La cláusula textual
ISO/IEC 17021-1 §5.2.2 establece que "the certification body shall not certify a management system on which it has provided consultancy or internal audits, within two years following the end of the consultancy". La cláusula se complementa con §5.2.3 que prohíbe al organismo certificar a una organización con la cual mantenga relaciones que comprometan la imparcialidad.
El espíritu de la norma es directo · quien diseñó el sistema no puede ser quien lo certifique. La razón es elemental · si la consultora que implementó el sistema audita su propio trabajo, no hay verificación independiente. Hay auto-evaluación con sello.
Por qué se viola en práctica
Existen al menos tres mecanismos frecuentes de elusión que el oficio auditor debe identificar.
Elusión 01 · figuras societarias separadas con propiedad común. La consultora implementa bajo razón social A. La certificadora — propietaria común — emite el certificado bajo razón social B. Formalmente son entidades distintas. Materialmente son la misma operación. La cláusula §5.2 fue redactada precisamente para anticipar esta figura.
Elusión 02 · sub-contratación cruzada. La consultora A implementa. La certificadora B emite. La certificadora B sub-contrata como auditor a una persona que también trabaja en la consultora A. El conflicto se traslada del nivel institucional al nivel individual, pero permanece.
Elusión 03 · plazo apurado. La cláusula define dos años de cooling-off. La práctica frecuente cuenta meses, no años. Se reabre la auditoría veintidós meses después de la implementación, se firma a los veinticuatro meses exactos, se cierra el ciclo.
Qué pierde la organización auditada
Cuando el sistema certificado es auto-evaluado por su implementador, la organización pierde tres cosas concretas.
Primero · pierde la oportunidad de descubrir errores reales. La consultora no va a documentar como no conformidad mayor un error que ella misma diseñó en la implementación. La auditoría se vuelve una confirmación, no una verificación.
Segundo · pierde la credibilidad técnica del certificado frente a terceros. Cuando un cliente o regulador investiga la cadena de auditoría y descubre que implementador y auditor son la misma operación, el certificado deja de valer institucionalmente. La organización auditada — que pagó de buena fe — termina dañada.
Tercero · pierde el aprendizaje organizacional. Auditar bien es enseñar a través de los hallazgos. Cuando el auditor es la misma persona que implementó, no hay distancia técnica para enseñar. Hay defensa de la implementación previa.
Recomendación institucional
Tres preguntas que cualquier dirección debería poder responder en treinta segundos antes de firmar el contrato con un organismo de certificación —
- ¿La entidad que va a auditar fue la misma que implementó? ¿Hay relación societaria o de propiedad común?
- ¿Los auditores individuales tienen relación contractual o económica con la consultora implementadora?
- ¿La acreditación del organismo de certificación está vigente bajo IAF MLA y figura públicamente en el registro?
Si las tres respuestas no son verificables en treinta segundos, la organización está comprando un certificado, no una certificación. La diferencia se paga después, cuando alguien serio pregunta.