info@digital-cubes.com
Teléfono: +34 613 09 99 07

Proceso de certificación: etapas, costes y plazos reales

Inicio / Blog

Proceso de certificación: etapas, costes y plazos reales

Proceso de certificación: etapas, costes y plazos reales

Si estás buscando una empresa de certificación ISO, seguramente te estás haciendo dos preguntas muy concretas:

¿Qué tengo que hacer para certificarme y cuánto tardará? Entender de antemano en qué consiste el proceso —sus etapas oficiales, los requisitos que se evalúan y los hitos de decisión— evita sorpresas y te permite planificar recursos, tiempos y presupuesto con realismo.

Aunque el foco aquí es el cómo (pasos, plazos y costes reales), conviene recordar por qué las organizaciones buscan certificarse:

  • Credibilidad ante clientes y auditores externos
  • Acceso a contratos o licitaciones que exigen ISO.
  • Mejora interna al estandarizar procesos.
  • Reducir riesgos
  • Fomentar la mejora continua.

Son beneficios tangibles, pero llegan cuando el proyecto se estructura con cabeza y se ejecuta con disciplina.

Si a primera vista todo esto parece complejo, es normal. Nuestra recomendación, basada en experiencia, es abordarlo paso a paso: entender las reglas del juego, preparar las evidencias críticas y anticipar los puntos que suelen generar no conformidades.

Con la información correcta y un cronograma realista, el proceso es perfectamente abordable y te colocará en mejor posición para sostener la certificación en el tiempo.

Etapas del proceso de Certificación ISO

Aunque cada norma ISO tiene requisitos propios, el itinerario de certificación de un sistema de gestión suele conservar una lógica común: solicitud y planificación, auditoría inicial en dos etapas (fase 1 y fase 2), decisión y emisión del certificado, y un ciclo de vigilancia hasta la recertificación.

Esta secuencia la describen de forma muy similar distintos organismos certificadores y guías prácticas del sector.

Solicitud y definición del alcance

El punto de partida es contactar con una empresa de certificación ISO (organismo certificador) y remitir una solicitud formal.

En esa solicitud se aporta la información básica de la organización y del sistema que se quiere certificar: descripción de la empresa, número de empleados, sedes/ubicaciones, actividades y procesos, y el alcance propuesto (qué productos/servicios y qué áreas quedarán cubiertos por el certificado).

Con estos datos, la secretaría técnica del certificador realiza una revisión documental inicial y, si todo encaja, acepta la solicitud y planifica las siguientes etapas.

Ten en cuenta que lo que declares como alcance condiciona el plan de auditoría y el presupuesto: a mayor tamaño y complejidad (más personal, procesos críticos, multisede), más tiempo de auditoría será necesario, y por tanto mayor coste.

Esto no es arbitrario: las reglas internacionales del IAF exigen calcular la duración de auditoría en función del “número efectivo de personal” y aumentarla cuando hay muestreo multi-sitio.

Objeción habitual: “No sé qué poner como alcance.”

Nuestra recomendación, basada en lo que solemos ver, es definir con claridad tres cosas desde el inicio, porque determinan la auditoría:

  1. Actividades y procesos que quieres que queden cubiertos (p. ej., desarrollo de software, soporte, operación cloud).
  2. Ubicaciones incluidas (sede central y, si aplica, delegaciones/fábricas).
  3. Productos/servicios que entran en el certificado.
    Con esa definición, el certificador podrá dimensionar bien el plan (días de auditor, sedes a visitar, competencias del equipo auditor) y darte un presupuesto realista.

Auditoría de certificación – Fase 1 (auditoría preliminar)

La Fase 1 es una revisión inicial cuyo propósito es confirmar que la organización está preparada para la evaluación completa (Fase 2).

En la práctica, se centra en revisar tu documentación, contrastar la información remitida en la solicitud y verificar que el sistema de gestión está diseñado conforme a la norma y con un grado básico de implantación. Es, por decirlo claro, un control de preparación para que no entres en la Fase 2 “a ciegas”.

Dónde y cómo se realiza. Habitualmente se lleva a cabo en el centro neurálgico del sistema (a menudo la sede central), aunque parte puede hacerse en remoto si el esquema y el certificador lo permiten.

El foco es documental y de preparación: el auditor valida lo declarado, revisa políticas, procedimientos y registros clave, y perfila el plan de la Fase 2.

Qué comprueba el auditor en Fase 1 (resumen práctico):

  • Documentación del sistema: políticas, procedimientos y registros iniciales.
  • Evidencias mínimas de operación (por ejemplo, registros recientes).
  • Instalaciones y entrevistas clave para entender el contexto y el alcance.
  • Conformidad de diseño con la norma y estado de implantación del sistema.
  • Requisitos previos: al menos un ciclo de auditoría interna y revisión por la dirección, con el sistema operando ≥3 meses antes de pasar a Fase 2. Checklist Fácil Latam+2nqa.com+2

Resultados de la Fase 1. Recibirás un informe que identifica áreas de preocupación (AOC), temas que, si no se corrigen, podrían convertirse en no conformidades en Fase 2 y la planificación detallada de la Fase 2 (fechas y plan de auditoría). Si hay no conformidades mayores, deben corregirse antes de continuar.

Fase 1 no es el “examen final”; es el “ensayo general” que te permite ajustar lo necesario para llegar a Fase 2 con opciones reales de éxito. El objetivo explícito es evitar que falles en la auditoría completa detectando a tiempo lo que falta.

Pregunta frecuente: “¿Qué pasa si en la Fase 1 encuentran fallos?”

Es normal recibir observaciones o incluso no conformidades menores en Fase 1. Lo habitual es que no tengas que enviar un plan de acciones correctivas formal al certificador por las menores; basta con corregirlas internamente antes de Fase 2.

En cambio, las mayores sí requieren un plan de acciones correctivas (CAP) que debes presentar y cerrar antes de la Fase 2. La finalidad es que en la auditoría definitiva no haya sorpresas.

Auditoría de certificación – Fase 2 (auditoría completa)

La Fase 2 es la auditoría definitiva: el equipo auditor evalúa la implantación real y efectiva del sistema de gestión y comprueba que cumple todos los requisitos de la norma en la práctica. Aquí ya no basta con el diseño documental; se verifica que los procesos funcionan, se miden, se controlan y mejoran.

Qué ocurre en Fase 2. Los auditores recorren procesos operativos y sedes incluidas en el alcance, entrevistan al personal, revisan registros y evidencias (indicadores, no conformidades internas, acciones correctivas, formación, control de cambios, etc.).

La evaluación se hace por muestreo de procesos y, si hay multisede, se visitan ubicaciones adicionales según el plan de auditoría.

Hallazgos y clasificación. Cualquier desviación se clasifica como no conformidad menor o mayor y se comunica en el cierre de auditoría.

Con menores, el certificador puede recomendar la certificación condicionada a su corrección en plazo; con mayores, no se emite el certificado hasta que se corrijan y verifiquen.

Además, las reglas de acreditación contemplan que si las NC mayores no se cierran en ≤ 6 meses desde la auditoría, habrá que repetir una nueva Fase 2.

Informe y recomendación. Tras la visita, el equipo elabora un informe técnico y emite una recomendación de certificación (favorable si se cumple la norma y se han tratado los hallazgos según lo exigido). La decisión final la toma el organismo certificador en revisión independiente del expediente.

El temor frecuente de esta fase: “¿Y si fallo la auditoría?” Hay margen para corregir:

Muchas entidades dan hasta 90 días para responder NC menores, mientras que las mayores exigen una respuesta mucho más rápida (p. ej., 10 días para el plan correctivo). Y, en ocasiones, visita de seguimiento para verificar cierre antes de recomendar la certificación. Si no se resuelven, se pospone o deniega la certificación hasta su cierre.

Decisión de certificación y emisión del certificado

Tras la auditoría, la empresa de certificación ISO realiza una revisión independiente del expediente: se valida el informe de auditoría (Fase 1 y Fase 2), la clasificación de hallazgos, las acciones correctivas y las evidencias de cierre.

Esta revisión la efectúa un revisor o comité distinto del equipo auditor, cumpliendo el principio de imparcialidad y separación de funciones. Si todo está conforme con la norma y con las reglas del esquema, se aprueba la certificación y se pasa a emitir el certificado.

Qué se emite y qué contiene. El organismo expide el certificado oficial con:

  • Norma(s) certificada(s) y alcance exacto (actividades, procesos, sedes).
  • Número de certificado, fecha de emisión y fecha de expiración.
  • Datos del organismo certificador (y, si aplica, referencia a la acreditación).

Validez y uso del certificado. La validez típica es de 3 años, con auditorías de vigilancia anuales durante ese ciclo. Desde la emisión, la organización puede comunicar su certificación siguiendo las reglas de uso de marca del certificador (y del organismo de acreditación, si procede).

Importante: no se utiliza el logo de ISO; se usan los distintivos del certificador (y, en su caso, de la acreditación) conforme a las políticas de marca.

Lo que suelen preguntarse en esta fase del proceso: “¿Qué pasa si el organismo rechaza la certificación?”

Es poco común si la Fase 2 se ha superado con solvencia. Puede ocurrir cuando quedan no conformidades sin resolver, no se cumplen condiciones contractuales (p. ej., tasas) o no se aceptan auditorías complementarias solicitadas.

En ese caso, se deben subsanar los motivos (implementar acciones, aportar evidencias) y, si procede, someterse a nueva evaluación (documental o incluso repetir Fase 2) antes de tomar una nueva decisión de certificación.

Auditorías de seguimiento (vigilancia)

Obtener el certificado no es el final, sino el comienzo de un ciclo de mantenimiento. Durante los 3 años de vigencia, el organismo certificador programa auditorías de vigilancia anuales para comprobar que el sistema sigue funcionando y mejorando, y que las no conformidades previas se han resuelto adecuadamente.

Estas auditorías son más cortas que la auditoría inicial y no abarcan todo el sistema a la vez: se revisan áreas representativas y procesos clave de forma rotativa, teniendo en cuenta cambios en la organización y en el contexto del sistema de gestión. Su finalidad es mantener la confianza de que el sistema sigue cumpliendo los requisitos entre recertificaciones.

Si en una vigilancia se detectan incumplimientos graves, el certificado puede suspenderse temporalmente hasta su corrección (y, en casos extremos, retirarse). Esto subraya la importancia de mantener vivo el sistema: medir, registrar, analizar y actuar de forma continua, no “colgar el cuadro” y olvidarse.

Objeción habitual: “¿Hay que certificarse cada año?”

No. No se repite la certificación completa cada año: el certificado sigue vigente dentro del ciclo de 3 años y se mantiene con visitas de vigilancia anuales. La reevaluación completa llega al final del ciclo, con la recertificación.

Consejo práctico: coordina con tu empresa de certificación ISO un plan de vigilancia que rote procesos críticos y cierre oportunamente las acciones correctivas, para evitar acumulación de hallazgos en el tercer año.

Auditoría de recertificación

Al aproximarse el tercer año, antes de que caduque el certificado, se programa la auditoría de recertificación. Es una evaluación similar a la Fase 2 (auditoría completa) que revisa todo el sistema para renovar la certificación por otros 3 años.

Muchas organizaciones aprovechan este hito para ampliar alcance (nuevas sedes, procesos o normas integradas) si han crecido o evolucionado.

Lo recomendable es planificarla con antelación: el organismo suele avisar, pero conviene reservar fechas y preparar evidencias para que la decisión de recertificación llegue antes del vencimiento. Si no se cierran a tiempo las no conformidades o no se completa el proceso, la certificación expira y puede requerirse una nueva evaluación.

Tras una decisión favorable, se emite un nuevo certificado (o se actualiza su validez) por un ciclo adicional de 3 años, y vuelven a iniciarse las vigilancias anuales.

Tip operativo: mantén, desde el segundo año, un checklist de “prueba de eficacia”

  • Auditoría interna.
  • Revisión por dirección.
  • Evaluación de cambios.
  • Cumplimiento legal.

Para llegar a la recertificación sin sorpresas y con un histórico sólido. Coordínalo con tu empresa de certificación ISO para alinear criterios y tiempos.

¿Cuánto se tarda en lograr una certificación ISO? – Plazos reales

El tiempo total depende de dos tramos distintos:

  1. la preparación interna (implantar y madurar el sistema), y
  2. el proceso de certificación con el organismo.
    Aquí nos centraremos en el segundo, pero conviene recordar que, si la empresa parte de cero, la implantación puede requerir varios meses (o más de un año) según recursos, experiencia y si se apoya en consultoría o software de gestión.

Tiempo del proceso con el certificador. Desde que eliges la empresa de certificación ISO y envías la solicitud, el tramo “formal” suele moverse en hitos programables: la Fase 1 y la Fase 2 deben espaciarse lo suficiente para corregir hallazgos y acumular evidencias.

Como referencia, BSI recomienda al menos 30 días entre Fase 1 y Fase 2, y no más de 90 días (puede variar según la norma). Además, NQA sugiere que la Fase 2 se realice una vez hay evidencia operativa suficiente, típicamente alrededor de 3 meses, para que exista una muestra razonable a auditar.

En la práctica, esto sitúa el tramo de certificación —desde la solicitud hasta la emisión— en ~3–4 meses para organizaciones muy preparadas y bien calendarizadas.

Hitos típicos y tiempos orientativos:

  • Solicitud y oferta: desde unos días hasta pocas semanas para recibir presupuesto y contratar.
  • Fase 1: suele programarse ~30–60 días tras la solicitud (muchos certificadores piden no superar 90 días entre Fase 1 y Fase 2).
  • Intervalo Fase 1 → Fase 2: recomendable ≥30 días para corregir observaciones y cerrar preparativos; normalmente ≤90 días.
  • Fase 2: dura varios días seguidos (de 1–2 días en microempresas a varias jornadas para organizaciones grandes). Tras la visita, la revisión y decisión suelen tardar pocas semanas; en casos ágiles, el certificado llega en 1–2 semanas.
  • Nota de acreditación: algunos certificadores fijan que la Fase 2 debe ocurrir dentro de los 6 meses posteriores a la Fase 1; si se supera ese plazo, pueden exigir verificaciones adicionales o reauditar.

Plazos totales (implantación + certificación). Como orientación de campo, una pequeña ya organizada puede completar el ciclo en ~6–8 meses; una mediana (50–500) suele moverse entre 8–12 meses; y en grandes (>500) es habitual 15–20 meses, por complejidad y gobernanza interna.

Estos rangos (reportados para ISO 9001) ayudan a dimensionar expectativas aun cuando el proceso formal con el certificador sea más corto.

Variabilidad y palancas. La prioridad interna, la dedicación de equipos y el apoyo de consultoría/soluciones GRC pueden acortar plazos; hay pymes que, con foco y buena preparación, logran la certificación en ~3–4 meses desde la solicitud. Si la organización avanza sin prioridad o arrastra deuda de procesos, el calendario se alarga.

Plantilla de cronograma (ejemplo genérico):

  • Mes 1: Diagnóstico final y planificación interna.
  • Mes 2: Cierre de brechas y documentación lista.
  • Mes 3: Solicitud al certificador y Fase 1.
  • Mes 4: Correcciones de Fase 1 y Fase 2.
  • Mes 5: Revisión, decisión y emisión.
    (A partir de ahí, vigilancias entorno a los 12 y 24 meses y recertificación sobre el mes 36.)

La pregunta que surge en esta fase: “Necesito estar certificado antes de X fecha, ¿es posible?”
Sí, pero exige planificación temprana. Si hay hito inamovible (p. ej., auditoría de cliente), conviene iniciar 6–12 meses antes.

Acelerar “a la fuerza” puede ser contraproducente: para llegar a Fase 2 se espera que el sistema haya operado un tiempo suficiente (a menudo ~3 meses de evidencias), y saltar pasos eleva el riesgo de no conformidades y retrabajos. Mejor asegurar madurez, programar bien las fases y llegar con evidencias sólidas.

¿Cuánto cuesta la certificación ISO? – Factores que afectan el precio

No existe una tarifa única: el coste depende de cómo sea tu organización y qué alcance declares. Un presupuesto de certificación suele cubrir: auditorías Fase 1 y Fase 2 (días de auditor y revisión), auditorías de vigilancia anuales (cotizadas en paquete o por separado) y gastos administrativos/emisión del certificado.

Normalmente no incluye consultoría ni la implantación previa del sistema. (Como referencia metodológica, los días de auditoría se calculan siguiendo guías del IAF que contemplan tiempo in situ y actividades off-site de planificación, revisión documental y reporte).

Rangos orientativos en España (p. ej., ISO 9001):

  • Microempresa (1–10 emp.): 900 € – 2.500 €
  • Pequeña (11–50): 2.500 € – 5.000 €
  • Mediana (51–250): 5.000 € – 10.000 €
  • Grande (>250): 10.000 € – 50.000 € o más
    Estos valores son aproximados y varían por complejidad, sector y número de sedes.

¿Qué encarece el proceso?

1) Alcance y tamaño de la organización

A más empleados, procesos y complejidad, más días de auditoría y, por tanto, mayor coste. El sector también influye: ámbitos con requisitos específicos (sanitario, alimentario, aeronáutico, etc.) requieren auditores con competencias adicionales y auditorías más extensas.

En resumen: más alcance = más tiempo de auditoría = más coste.

2) Número de sitios (multisede)

Si certificas varias ubicaciones, el auditor debe muestrear o visitar esos sitios. Incluso aplicando muestreo, los días de auditoría se incrementan por el esfuerzo adicional de planificar y ejecutar el muestreo multi-sitio (y pueden sumarse gastos de viaje).

3) Madurez del sistema de gestión

Una organización ya alineada con ISO (procedimientos definidos, registros estables, cultura de calidad/seguridad) suele requerir menos correcciones, menos idas y vueltas y, en la práctica, abarata el proyecto.

Si el sistema es inmaduro, son frecuentes pre-auditorías voluntarias, verificaciones adicionales o incluso repetir partes de la auditoría, lo que añade coste; además, crecerán los gastos de formación y consultoría si se parte de cero.

Otros factores a considerar

  • Integración de normas. Certificar varias a la vez (p. ej., ISO 9001 + ISO 14001) cuesta más en absoluto, pero suele ser más eficiente que hacerlo por separado gracias a sinergias de auditoría.
  • Elección del certificador. Cada entidad tiene sus tarifas. ISO recuerda que ISO no certifica; debes acudir a un organismo externo y verificar su acreditación antes de contratar.
  • Ubicación y desplazamientos. Sedes remotas o la necesidad de viajes incrementan el presupuesto (dietas, tiempos de traslado).
  • Urgencia/flexibilidad. Solicitar plazos muy cortos o auditorías en fechas especiales puede añadir recargos.

Cómo optimizar costes (recomendaciones prácticas)

  • Define bien el alcance desde el inicio. Evita “certificar de más” (sube el coste) o quedarse corto y tener que ampliar luego.
  • Consolida sedes y procesos cuando sea posible bajo un solo sistema integrado.
  • Llega preparado. Auditorías internas sólidas, formación del equipo y evidencias actualizadas reducen hallazgos y visitas extra.
  • Pide varias ofertas y compara qué incluye cada una (Fase 1, Fase 2 y vigilancias) para evitar sorpresas en la factura; una empresa de certificación ISO seria lo detalla explícitamente en la propuesta.

En definitiva, elegir bien el alcance, planificar el multi-sitio, y madurar el sistema antes de auditar son las tres palancas que más mueven el coste. Con una empresa de certificación ISO competente y una preparación metódica, el presupuesto se mantiene bajo control y el retorno (acceso a clientes, eficiencia y confianza) compensa la inversión.

Ejemplo práctico – Cronograma y checklist de certificación

Imaginemos una empresa de software de 100 empleados que busca certificar ISO 27001. Ya cuenta con políticas de seguridad, pero necesita formalizar el SGSI y evidenciar su funcionamiento.

Cronograma realista (ficticio):

  • Enero – Inicio. Se contrata un organismo certificador acreditado, se define el alcance (oficinas centrales + departamento cloud) y se recibe un presupuesto ~€X. Se bloquean fechas tentativas para Fase 1 y Fase 2.
  • Febrero – Preparación previa. Se cierran acciones de la auditoría interna, se reúnen evidencias de ~3 meses de operación del SGSI (registros, KPIs, incidentes, acciones correctivas).
  • Marzo – Auditoría Fase 1. El auditor revisa documentación y contexto. Resultan 2 observaciones (p. ej., control de documentos a reforzar y evidencia de formación incompleta). La empresa corrige en 4 semanas.
  • Abril – Auditoría Fase 2. Auditoría completa en procesos clave y área cloud. Todo conforme salvo 1 no conformidad menor (falta una evaluación formal de proveedores). Se acuerda plan de acción y plazo de cierre.
  • Mayo – Certificación. Tras enviar la evidencia correctiva, el organismo aprueba y emite el certificado ISO 27001, vigente hasta mayo de 2028.
  • Abril 2026: vigilancia 1. Abril 2027: vigilancia 2. Marzo 2028: recertificación antes de caducar para renovar por 3 años más.

Checklist para estar listos antes de auditar:

  • Sistema funcionando >3 meses con registros (incidentes, acciones, indicadores).
  • Auditoría interna realizada y acciones correctivas cerradas.
  • Revisión por la Dirección con decisiones y evidencias documentadas.
  • Política, manual y procedimientos aprobados y difundidos.
  • Formación y concienciación del personal acreditadas.
  • Objetivos y métricas de mejora definidos y medidos.

Esta checklist recoge requisitos típicos que el auditor verificará en Fase 1 (preparación) y confirmará en Fase 2 (eficacia).

Errores comunes que vemos (y cómo evitarlos):

  • Pedir certificación sin haber implementado: primero implanta y opera el sistema; luego certifica.
  • Baja implicación de la alta dirección: sin liderazgo y recursos, afloran no conformidades en requisitos de dirección.
  • Documentación descompensada: exceso (burocracia) o defecto (vacíos). Ajusta al riesgo real y al alcance.
  • Alcance mal definido: olvidar un proceso o sitio clave obliga a ampliar después (tiempo y coste extra).

Moraleja. Con planificación, alcance bien definido y compromiso transversal, el proceso es manejable: llegas a la auditoría con evidencias sólidas, reduces hallazgos y obtienes un certificado que abre puertas y profesionaliza tu operación.

Conclusión – Preparación, paciencia y mejora continua

La certificación ISO es un viaje por etapas: solicitud y definición del alcance, auditorías (Fase 1 y Fase 2), decisión y emisión, más vigilancias y recertificación cada ciclo.

Requiere tiempo, recursos y disciplina, pero ofrece beneficios muy tangibles: confianza del mercado, acceso a contratos y una operación más eficiente y controlada.

Conocer de antemano el proceso, sus plazos realistas y los factores de coste, evita retrasos y sobrecostes.

Cada organización es distinta, pero con información clara (como la de esta guía) podrás trazar tu ruta, priorizar evidencias y llegar a la auditoría con seguridad.

Y recuerda: el certificado no es el final, es el inicio de un ciclo de mejora continua. Más que “colgar un cuadro”, implica mantener estándares, revisar indicadores, cerrar no conformidades y aprender de cada vigilancia.

¿Próximo paso?

Solicítanos un presupuesto sin compromiso

Te acompañamos de principio a fin: definimos el alcance contigo, planificamos Fase 1 y Fase 2 con un cronograma realista y te indicamos qué evidencias necesitarás en cada paso. Sin rodeos, con criterios técnicos y lenguaje claro.

Compartir:

Categorías

Noticias Recientes