Consultora ISO vs certificadora: ¿cuándo necesito cada una?

·

Cuando una empresa decide obtener un certificado ISO, la primera pregunta que surge suele ser: ¿a quién contrato? La respuesta no es tan sencilla como parece, porque en el proceso de certificación intervienen dos tipos de organismos con roles completamente distintos: la consultora ISO y la entidad certificadora. Confundirlos —o pensar que son lo mismo— es el error más frecuente que cometen las empresas que se embarcan en este camino por primera vez. Este artículo lo aclara de raíz.

¿Qué hace exactamente una certificadora ISO?

Una entidad de certificación es un organismo de tercera parte que audita de forma independiente si tu sistema de gestión cumple los requisitos de la norma ISO correspondiente. Si la auditoría es favorable, emite el certificado. Si no, señala las no conformidades que debes subsanar.

En España, las principales certificadoras acreditadas por ENAC (Entidad Nacional de Acreditación) son AENOR, Bureau Veritas (BV), SGS, TÜV Rheinland, Lloyd's Register y DNV, entre otras. El organismo que emite el certificado no puede haber participado en el diseño ni la implantación de tu sistema: lo prohíbe expresamente la norma ISO/IEC 17021-1, que regula cómo deben operar estas entidades. Esta separación existe para garantizar la imparcialidad y la credibilidad del certificado ante clientes, administraciones y mercados internacionales.

En resumen: la certificadora juzga. No enseña, no ayuda a construir el sistema, no redacta procedimientos. Solo evalúa.

¿Qué hace una consultora ISO?

Una consultora ISO es la empresa que te acompaña durante todo el proceso previo a la auditoría de certificación. Su trabajo consiste en diseñar, implantar y madurar tu sistema de gestión para que, cuando llegue el auditor de la certificadora, tu empresa esté preparada.

Las tareas concretas de una consultora varían según la norma y el punto de partida de la empresa, pero habitualmente incluyen: análisis de brecha (gap analysis) frente a los requisitos de la norma, diseño del sistema documental (política, objetivos, procedimientos, registros), formación al equipo, acompañamiento en la implantación real de los procesos, realización de la auditoría interna previa y corrección de desviaciones antes de que llegue la certificadora.

En Summum Calidad llevamos desde 2007 acompañando a empresas de Castilla y León y Canarias en proyectos de certificación. Nuestro servicio de consultoría ISO 9001 cubre el proceso completo desde la fase de análisis hasta el día de la auditoría, con un equipo que conoce de primera mano cómo trabajan las principales certificadoras del mercado español. La certificación la emite la entidad acreditada que elijas; nosotros te preparamos para llegar con el sistema sólido.

La diferencia clave: quién certifica y quién prepara

La distinción es estructural, no solo de rol. Una certificadora no puede ser consultora del mismo cliente por razones de conflicto de interés (ISO/IEC 17021-1, apartado 5.2). Una consultora no emite certificados porque no está acreditada para ello. Son dos funciones que, por diseño del sistema internacional de normalización, deben recaer en organizaciones distintas.

Criterio Consultora ISO Entidad certificadora
Función principal Diseñar e implantar el sistema de gestión Auditar y certificar el sistema implantado
Relación con el cliente Colaborativa: trabaja junto a los equipos Independiente: evaluación imparcial
¿Emite el certificado? No Sí, si la auditoría es favorable
Acreditación requerida No obligatoria (pero sí recomendable trayectoria verificable) Sí, por ENAC u organismo equivalente (IAF)
¿Puede hacer ambas cosas? No. ISO/IEC 17021-1 prohíbe la consultoría al mismo cliente que se certifica
Coste Variable según alcance y punto de partida Tarifa de auditoría + mantenimiento anual
Cuándo interviene Antes de la auditoría de certificación Al final del proceso, para evaluar
Ejemplos en España Summum Calidad, consultoras sectoriales AENOR, Bureau Veritas, SGS, TÜV, DNV

¿Necesitas contratar una consultora para certificarte?

Técnicamente, no es obligatorio. Puedes acudir directamente a una certificadora, que te auditará cuando declares estar listo. En la práctica, la mayoría de las empresas que lo intentan sin apoyo externo dilatan el proceso meses o incluso años, acumulan no conformidades evitables en las auditorías y acaban pagando más en reauditorías y tiempo del equipo interno de lo que habría costado una consultoría desde el inicio.

¿Cuándo tiene más sentido prescindir de consultora? Cuando la empresa ya tiene experiencia previa en sistemas de gestión ISO, el equipo interno dispone de tiempo dedicado y conocimiento técnico de la norma, y el alcance es limitado. Es el caso de empresas que amplían el alcance de un certificado existente o migran de una versión anterior de la norma.

¿Cuándo la consultora aporta más valor? Cuando la empresa se certifica por primera vez, cuando la dirección no tiene experiencia con la ISO en cuestión, cuando el equipo no puede asumir la carga de trabajo adicional o cuando la norma es compleja (ISO 27001, ISO 13485, IATF 16949). En esos casos, el retorno de contratar una consultora es nítido: menor tiempo hasta el certificado, mayor tasa de éxito en la primera auditoría y un sistema que funciona de verdad, no solo en papel.

Cómo elegir bien a tu consultora ISO

No todas las consultoras tienen el mismo nivel de especialización ni la misma forma de trabajar. Estos son los criterios que más importan:

El proceso real: cómo se articula la relación consultora-certificadora

Un proyecto de certificación estándar sigue esta secuencia:

  1. Gap analysis. La consultora analiza el punto de partida de tu empresa frente a los requisitos de la norma. Identifica qué ya cumples, qué falta y qué prioridad tiene cada brecha.
  2. Diseño e implantación. Se diseñan o adaptan los procesos, se redacta la documentación necesaria (la mínima útil, no miles de páginas) y se forma al equipo implicado.
  3. Auditoría interna. Antes de llamar a la certificadora, la consultora realiza una auditoría interna simulando la auditoría real. Se detectan y corrigen las no conformidades pendientes.
  4. Revisión por la dirección. La alta dirección revisa el sistema, aprueba objetivos y recursos, y demuestra su liderazgo según exige la norma.
  5. Auditoría de certificación (Fase 1 y Fase 2). La certificadora realiza primero una revisión documental (Fase 1) y después la auditoría en sitio (Fase 2). Si el resultado es favorable, emite el certificado.
  6. Vigilancias y renovación. El certificado tiene validez de tres años, con auditorías de vigilancia anuales. La consultora puede acompañarte también en este mantenimiento.

La consultora está presente en los pasos 1 a 4. La certificadora entra en el paso 5. Son mundos distintos que se complementan.

Certificadoras acreditadas en España: ¿cómo elegir?

Una vez que tu sistema está listo, tendrás que contratar una entidad certificadora. En España, todas las que pueden emitir certificados ISO deben estar acreditadas por ENAC para el esquema de certificación correspondiente. ENAC a su vez es miembro de la IAF (International Accreditation Forum), lo que garantiza el reconocimiento internacional del certificado mediante acuerdos de reconocimiento multilateral (MLA).

Los criterios para elegir certificadora incluyen: coste de la auditoría, reconocimiento sectorial (AENOR tiene más peso en licitaciones públicas españolas; Bureau Veritas, TÜV o SGS pueden ser preferibles si exportas o tienes clientes multinacionales), rapidez en la planificación de auditorías y calidad del servicio de atención al cliente. Tu consultora debe ayudarte a tomar esta decisión con criterio, sin sesgos comerciales.

¿Qué ocurre si la certificadora encuentra no conformidades?

Es lo más habitual, especialmente en auditorías iniciales. Las no conformidades pueden ser menores (desvíos puntuales que no comprometen el sistema) o mayores (fallos sistémicos que impiden la certificación hasta ser subsanados). Una no conformidad mayor retrasa el certificado: la empresa debe corregirla y demostrar la corrección antes de obtener el visto bueno.

Una buena preparación consultora minimiza —que no elimina— las no conformidades. En nuestros proyectos de ISO 9001, la auditoría interna previa es precisamente el filtro que permite llegar a la certificadora con el sistema consolidado y sin sorpresas. Con más de 200 procesos de certificación ISO acompañados desde 2007, sabemos dónde suelen aparecer las brechas más frecuentes en cada norma.

Preguntas frecuentes

¿Puedo contratar la consultora y la certificadora al mismo tiempo?

Puedes iniciar contacto con ambas en paralelo, pero los servicios son consecutivos en la práctica. Conviene tener elegida la certificadora desde el inicio (para ajustar el sistema documental a sus criterios de auditoría habituales), pero la auditoría formal solo se solicita cuando el sistema está implantado y ha pasado la auditoría interna. No tiene sentido pagar la auditoría de certificación si aún estás en fase de implantación.

¿Cuánto tarda en obtenerse el certificado ISO?

Depende de la norma, el tamaño de la empresa y el punto de partida. Para ISO 9001 en una pyme de 10-50 personas, el rango habitual en España es de 4 a 9 meses desde el inicio de la consultoría hasta la auditoría de certificación. Normas más complejas como ISO 27001 (seguridad de la información) o ISO 13485 (dispositivos médicos) suelen requerir entre 9 y 18 meses. La certificadora tarda habitualmente entre 4 y 8 semanas desde la solicitud hasta la fecha de auditoría.

¿El certificado ISO me lo da la consultora o la certificadora?

Siempre la certificadora. La consultora no puede emitir certificados porque no está acreditada para ello, y aunque lo estuviera, hacerlo para un cliente al que ha asesorado constituiría un conflicto de interés que invalidaría el valor del certificado. Si alguien te ofrece un «certificado ISO» sin involucrar a una entidad acreditada por ENAC o equivalente, no es un certificado ISO válido.

¿Vale lo mismo el certificado de cualquier certificadora?

El valor técnico es equivalente si la certificadora está acreditada por ENAC (o por un organismo miembro del IAF con acuerdo de reconocimiento multilateral). Sin embargo, en la práctica, el reconocimiento de marca varía: en licitaciones públicas españolas, AENOR tiene mayor presencia; en sectores con cadenas de suministro internacionales, los clientes multinacionales pueden preferir Bureau Veritas, SGS, TÜV o DNV. Antes de decidir, revisa los requisitos de tus principales clientes o los pliegos de las licitaciones a las que te presentas.