Está en la página 1de 110

Fernando Melchor Chinchetru | Agustín Sánchez Toledo

Planificación y Ejecución de Auditorías de los Sistemas


de Gestión ISO 9001, ISO 14001, OHSAS 18001 y SGE 21
Tomo IV
Planificación y Ejecución de Auditorías de los
Sistemas de Gestión ISO 9001, ISO 14001, OHSAS
18001 y SGE 21
Fernando Melchor Chinchetru
Agustín Sánchez Toledo

Planificación y Ejecución de
Auditorías de los Sistemas de
Gestión ISO 9001, ISO 14001,
OHSAS 18001 y SGE 21
Reservados todos los derechos. Está prohibido, bajo las sanciones
penales y el resarcimiento civil previstos en las leyes, reproducir,
registrar o transmitir esta publicación, íntegra o parcialmente, por
cualquier sistema de recuperación y por cualquier medio, sea
mecánico, electrónico, magnético, electroóptico, por fotocopia o por
cualquier otro, sin la autorización previa por escrito de UNIR.

© Fernando Melchor Chinchetru


Agustín Sánchez Toledo

© Universidad Internacional de La Rioja


Gran Vía Rey Juan Carlos I, 41
26002 Logroño – La Rioja

© Edición y composición: UNIR

ISBN: 978-84-16602-50-6

Actualizado: septiembre 2016

Impreso en España – Printed in Spain


ÍNDICE

Capítulo 1. Auditorías de sistemas de gestión ISO 9001, ISO 14001, OHSAS 18001 y SGE 21…… 1

Capítulo 2. Normativa aplicable a las auditorías…………………………..…………………..…………………………….… 17

Capítulo 3. El perfil del auditor según la Norma ISO 19011:2011………………….……….………….……….. 37

Capítulo 4. Planificación y preparación de la auditoría……………………….……………………………………....... 55

Capítulo 5. El proceso de auditoría……..………………………………………………………………………………..………….........67

Capítulo 6. Informa y seguimiento de las auditorías………………………………………...….……………....………… 87


 
Capítulo 1
Auditorías de Sistemas de
Gestión ISO 9001, ISO 14001,
OHSAS 18001 y SGE 21
Capítulo 1: Auditorías de Sistemas de Gestión ISO 9001,
ISO 14001, OHSAS 18001 Y SGE 21.

1.1 Introducción

En anteriores unidades didácticas, hemos conocido a fondo los sistemas de gestión de


las normas certificables de las familias de ISO 9001, ISO 14001, OHSAS 18001 y SGE
21.

El objetivo fundamental que perseguimos en esta unidad didáctica, no es otro que


profundizar en los conceptos básicos comunes a las auditorías de estos sistemas de
gestión, dando unas directrices básicas que permitan conocer más a fondo esta
herramienta primordial para dichos sistemas.

En primer lugar, comenzaremos con los conceptos básicos que debemos de manejar en
todas las unidades didácticas siguientes a esta y pertenecientes al mismo módulo, ya
que, sin un adecuado manejo de los mismos, el alumno puede tener dificultades para
adquirir destrezas importantes para la realización de los procesos de auditoría.

En segundo lugar, veremos las razones, características y tipologías de auditorías.

Y para terminar la unidad, nos focalizaremos en ver la diferencia entre auditoría y


certificación.

1.2. Conceptos básicos de auditoría y definiciones de interés

En primer lugar, debemos partir de lo que se entiende por auditoría, y para ello,
recurrimos a la definición que de este proceso nos da la norma ISO 9000:

Auditoría: Proceso sistemático, independiente y documentado para obtener


evidencias y evaluarlas de manera objetiva con el fin de determinar el alcance al que se
cumplen los criterios de auditoría”

Como ya hemos visto en las anteriores unidades didácticas, los sistemas de gestión
están concebidos para la mejora en la gestión de las organizaciones. Pero dicha mejora
no podemos saber si es tal, si no la medimos, es decir, si no la evaluamos. La
herramienta utilizada para evaluar el buen funcionamiento de un sistema de gestión es
justamente el que nos ocupa en esta unidad didáctica: la auditoría.

© Universidad Internacional de La Rioja (UNIR)


2
Capítulo 1: Auditorías de Sistemas de Gestión ISO 9001,
ISO 14001, OHSAS 18001 Y SGE 21.
Es importante señalar que auditoría no es sinónimo de inspección, o de supervisión,
puesto que estas dos actividades se realizan con el solo propósito de controlar un proceso
o verificar la conformidad de un producto con sus correspondientes especificaciones. Sin
embargo, una auditoría nos permiten saber en qué grado se cumplen los requisitos
definidos, pudiéndose detectar las áreas que fallan en algún momento del proceso.

La norma ISO 19011 nos propone un “iter” o camino a seguir, detallando los pasos, en
las auditorías. Dicho proceso, relacionado con los distintos puntos de la citada norma,
sería como sigue:

5.2 Establecimiento de los objetivos del programa de auditoría.


5.3 Establecimiento del programa de auditoría.
5.3.1 Funciones y responsabilidades de la persona responsable de la gestión del programa de auditoría.
5.3.2 Competencia de la persona responsable de la gestión del programa de auditoría.
5.3.3 Determinación del alcance del programa de auditoría.
5.3.4 Identificación y evaluación de los riesgos relacionados con el programa de auditoría.
5.3.5 Establecimiento de procedimientos para el programa de auditoría.
5.3.6 Identificación de los recursos del programa de auditoría.
5.4 Implementación del programa de auditoría.
5.4.1 Generalidades.
5.4.2 Definición de los objetivos, el alcance y los criterios para una auditoría individual.
5.4.3 Selección de los métodos de auditoría.
5.4.4 Selección de los miembros del equipo auditor.
5.4.5 Asignación de responsabilidades al líder del equipo auditor para una auditoría individual.
5.4.6 Gestión del resultado del programa de auditoría.
5.4.7 Gestión y mantenimiento de los registros del programa de auditoría.
5.5 Seguimiento del programa de auditoría.
5.6 Revisión y mejora del programa de auditoría.
6.2 Inicio de la auditoría
6.2.1 Generalidades
6.2.2 Establecer contacto inicial con el auditado
6.2.3 Determinar la viabilidad de la auditoría
6.3 Preparación de actividades de auditoría
6.3.1 Revisión de documentos en preparación para la auditoría
6.3.2 Preparación del plan de auditoría
6.3.3 Asignación del trabajo al equipo de auditoría
6.3.4 Preparación de los documentos de trabajo
6.4 Realización de las actividades de auditoría
6.4.1 Generalidades

© Universidad Internacional de La Rioja (UNIR)


3
Capítulo 1: Auditorías de Sistemas de Gestión ISO 9001,
ISO 14001, OHSAS 18001 Y SGE 21.

6.4.2 Realización de la reunión de apertura


6.4.3 Revisión documental durante la realización de la auditoría
6.4.4 Comunicación durante la auditoría
6.4.5 Asignación de roles y responsabilidades de guías y observadores
6.4.6 Recolección y verificación de información
6.4.7 Generación de hallazgos de auditoría
6.4.8 Preparación de conclusiones de auditoría
6.4.9 Realización de reunión de cierre
6.5 Preparación y distribución del informe de auditoría
6.5.1 Preparación del informe de auditoría
6.5.2 Distribución del informe de auditoría
6.6 Finalización de la auditoría
6.7 Realización de las actividades de seguimiento de una auditoría

A continuación, reproducimos el listado de conceptos y definiciones que enumera la


norma ISO 19011, en su más reciente versión, la de 2011. Esta norma se refiere a las
directrices a seguir en las auditorías a sistemas de gestión.

Auditoría: proceso sistemático, independiente y documentado para obtener


evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar la
extensión en que se cumplen los criterios de auditoría.

Acción correctiva: acción ejecutada para eliminar la causa de una no conformidad


que ha sido detectada (que ya ha sucedido).

Acción preventiva: acción llevada a cabo con el objeto de eliminar la causa de una no
conformidad potencial u otra situación que prevemos que puede acontecer pero que no
deseamos que suceda.

Criterios de auditoría: grupo de políticas, procedimientos o requisitos usados como


referencia y contra los cuales se compara la evidencia de auditoría.

Evidencia de la auditoría: registros, declaraciones de hechos o cualquier otra


información que son pertinentes para los criterios de auditoría y que son verificables.

Hallazgos de la auditoría: resultados de la evaluación de la evidencia de la auditoría


recopilada frente a los criterios de auditoría.

© Universidad Internacional de La Rioja (UNIR)


4
Capítulo 1: Auditorías de Sistemas de Gestión ISO 9001,
ISO 14001, OHSAS 18001 Y SGE 21.
Conclusiones de la auditoría: resultado de una auditoría, tras considerar los
objetivos de la auditoría y todos los hallazgos de la auditoría.

Cliente de la auditoría: organización o persona que solicita una auditoría.

Auditado/a: organización que está siendo auditada.

Auditor/a: persona que lleva a cabo una auditoría.

Equipo auditor: uno o más auditores que llevan a cabo una auditoría con el apoyo, si
es necesario, de expertos técnicos.

Experto/a técnico: persona que aporta conocimientos o experiencia específicos al


equipo auditor.

Observador/a: persona que acompaña al equipo auditor pero no audita.

Guía: persona nombrada por el auditado para asistir al equipo auditor.

Programa de auditoría: conjunto de una o más auditorías planificadas para un


período de tiempo determinado y dirigidas hacia un propósito específico.

Alcance de la auditoría: extensión y límites de una auditoría.

Plan de auditoría: descripción de las actividades y de los detalles acordados de una


auditoría.

Riesgo: efecto de la incertidumbre en los objetivos.

Competencia: habilidad para aplicar conocimientos y habilidades para alcanzar los


resultados esperados.

Conformidad: cumplimiento de un requisito.

No conformidad: Incumplimiento de un requisito.

© Universidad Internacional de La Rioja (UNIR)


5
Capítulo 1: Auditorías de Sistemas de Gestión ISO 9001,
ISO 14001, OHSAS 18001 Y SGE 21.
Sistema de gestión: sistema para establecer políticas y objetivos y para alcanzar
dichos objetivos.

Estos conceptos son útiles y comunes a los distintos sistemas de gestión que puede
tener una empresa u organización. A modo de ejemplo, podemos encontrarnos los
siguientes (este listado es orientativo, no exhaustivo):

Sistemas de gestión de la calidad.


Sistemas de gestión medioambiental.
Sistemas de gestión de seguridad y salud en el trabajo.
Sistemas de gestión de la responsabilidad social empresarial o corporativa.
Sistemas de gestión de la seguridad en la información.
Sistemas de gestión de la innovación.

1.3. Objetivos, razones y características de una auditoría

Los objetivos para desarrollar una auditoría pueden ser múltiples. A continuación,
detallamos algunos de ellos:

Comprobar la adecuación de los elementos del sistema de gestión integrado con


los requisitos especificados en la norma de referencia.
Constatar el cumplimiento y funcionamiento del sistema implantado.
Aportar información para la mejora continua del sistema de gestión integrado.
Evaluar a un proveedor, bien como evaluación inicial antes de establecer relaciones
comerciales o como evaluación continua y sistemática en el transcurso de dichas
relaciones, para velar por el cumplimiento de las especificaciones requeridas.
Verificar que el sistema de calidad auditado cumple con los requisitos de aplicación
en la norma de la que se quiere obtener la certificación correspondiente.
Las auditorías de proceso, de producto, o de servicio tienen como finalidad
comprobar la adecuación de estos a los objetivos establecidos según los
requisitos definidos previamente.

© Universidad Internacional de La Rioja (UNIR)


6
Capítulo 1: Auditorías de Sistemas de Gestión ISO 9001,
ISO 14001, OHSAS 18001 Y SGE 21.
En cuanto a las razones para realizar una auditoría, al igual que objetivos, puede haber
muchas, y cada organización tiene las suyas propias. Seguidamente, listamos algunas
de ellas:

Llevar a cabo la evaluación inicial de un proveedor antes del establecimiento de


relaciones comerciales con él.
Verificar por el organismo auditor, que su sistema responde a los requisitos
establecidos y que realmente está implantado y en funcionamiento.
Comprobar que, en una relación contractual ya existente, el sistema de gestión
del proveedor es eficiente.
Hacer la evaluación, en el marco del propio organismo, de su sistema con
relación a una norma de calidad, medio ambiente, seguridad y salud laboral, y de
gestión éticamente responsable.

1.4. Clasificación de las auditorías

Podemos establecer distintas clasificaciones de las auditorías: atendiendo a su objeto,


atendiendo a quién las realiza, a si engloban toda la organización o bien, solo parte de
la misma, etc.

Sin embargo, vamos a centrar nuestra atención en la clasificación en Auditorías


internas o externas, esto es, por razón de quién es realizada y su relación con la
organización auditada:

Auditoría interna o de primera parte: Es la que realizan miembros de la propia


organización o empresa o bien, personas que actúan de parte de esta, con fines que
atañen a la propia organización, es decir, internos. Proporcionan información para la
dirección y para las acciones correctivas, preventivas o de mejora.

Así, las auditorías, nos permiten saber en qué grado se cumplen los requisitos
definidos, pudiéndose detectar las áreas que fallan en algún momento del proceso. Es
función de la auditoría interna, ayudar a los miembros de la organización en el
cumplimiento efectivo de sus responsabilidades.

© Universidad Internacional de La Rioja (UNIR)


7
Capítulo 1: Auditorías de Sistemas de Gestión ISO 9001,
ISO 14001, OHSAS 18001 Y SGE 21.
Cualquier organización necesita realizar auditorías internas:

Para verificar que el sistema de gestión integrado está implantado y cumple


continuamente con los requisitos especificados.
Para establecer la eficacia y la eficiencia del sistema en la consecución de los
objetivos de calidad, medio ambiente, seguridad y salud laboral, y de gestión
éticamente responsable establecidos.
Para dar confianza a los clientes de la organización de que la misma dispone de
una herramienta de autoevaluación que asegura la consecución de las
características de la calidad de sus procesos, productos/servicios.
Para facilitar la inscripción en un registro del sistema de gestión integrado de la
organización con referencia a una norma internacional.
Para dar cumplimiento a lo señalado por los requisitos de las normas
internacionales de carácter contractual en sus relaciones con los clientes.

Por lo que se refiere a las auditorías internas, es decir, las que se realizan de acuerdo con los
procedimientos de la empresa, bien por personal debidamente cualificado, o bien por una
entidad externa, las normas UNE EN-ISO establecen que la organización debe llevarlas a
cabo a intervalos planificados para determinar si el sistema de gestión, por un lado, es
conforme con las disposiciones planificadas, con los requisitos de la norma y con los
requisitos del sistema establecidos por la organización. Y, por otro lado, si se ha
implementado y se mantiene de manera eficaz.

La empresa, que implanta un sistema de gestión ISO, está obligada a realizar auditorías
internas de calidad, medio ambiente, seguridad y salud laboral o de gestión éticamente
responsable en función del ámbito de su sistema de gestión, es decir, únicamente en el
ámbito que se ha implantado, ya que un sistema de gestión no obliga a realizar auditorías
internas de todos los ámbitos disponibles.

Las auditorías internas del sistema han de ser efectuadas de manera continua,
sistemática, planificada y programada. Se realizan por auditores internos debidamente
capacitados que han de reunir como principio básico el de su independencia. El motivo
para que los auditores no deban auditar su propio trabajo, se debe a que las personas
que están realizando constantemente una tarea, la conocen tan bien que pueden pasar
por alto cosas en las que nunca han pensado y que un tercero puede detectar mejor y,
por otra parte, su implicación puede impedirles una ponderación objetiva.

© Universidad Internacional de La Rioja (UNIR)


8
Capítulo 1: Auditorías de Sistemas de Gestión ISO 9001,
ISO 14001, OHSAS 18001 Y SGE 21.

Auditoría externa o de segunda parte: es realizada o encargada por los clientes de


la organización y suele hacerse, o bien cuando ya media un contrato, o bien, previa a la
suscripción de ese contrato, con el fin de verificar que el proveedor cumple las
expectativas de calidad requeridas por el cliente. Proporcionan confianza al cliente en
su proveedor.

Así, por ejemplo, este tipo de auditorías son altamente frecuentes en la industria
automovilística, donde cuentan con un gran número de proveedores que fabrican, a su vez,
pequeñas partes que posteriormente se incorporan al producto final (automóvil) y por
tanto, el fabricante y responsable de la puesta en el mercado a disposición del consumidor
final, debe asegurarse convenientemente de los estándares que incorpora a su producto, de
modo que no se den fallos de calidad, o se eviten, en la medida de lo posible.

Otro ejemplo muy común de este tipo de auditorías es el de auditorías para la


compra de empresas. Cuando una empresa absorbe o adquiere otra, a menudo se
llevan a cabo estas auditorías con el fin de determinar la existencia de
responsabilidades previas y saber con qué se va a encontrar la empresa que adquiere, al
objeto de no toparse con sorpresas desagradables a posteriori, una vez el proceso de
adquisición, fusión o absorción ha culminado. En el caso que nos ocupa, se han dado
numerosos casos en que, estando ubicada una industria de corte altamente
contaminante por razón de su actividad, en un lugar concreto, al ir a adquirir el suelo
en que dicha empresa estaba radicada, la empresa adquirente ha realizado auditorías
del suelo, para comprobar que, tras el proceso de adquisición no iba a encontrarse con
responsabilidades ambientales derivadas de la actividad explotada en ese terreno con
anterioridad por la empresa absorbida o comprada.

Auditoría externa o de tercera parte: se realiza por organizaciones competentes y


autorizadas para la certificación y concesión del sello que refrenda la existencia del sistema
de gestión de calidad, medio ambiente, seguridad y salud en el trabajo, etc. Proporcionan
confianza a los clientes potenciales de la organización, ya que garantizan que la
organización cuenta con un sistema de gestión, que, al menos, en teoría, avala la gestión de
organización en la fabricación de sus productos y/o en la prestación de sus servicios.

Tiene varias ventajas, ya que al estar hecha por alguien independiente y con credibilidad, es
probable que los clientes decidan no efectuar otras auditorías, con el consiguiente ahorro
económico y de tiempo para ambas partes (cliente y suministrador).

© Universidad Internacional de La Rioja (UNIR)


9
Capítulo 1: Auditorías de Sistemas de Gestión ISO 9001,
ISO 14001, OHSAS 18001 Y SGE 21.

Podríamos poner múltiples ejemplos de este tipo de auditoría, por ejemplo, una
entidad que desea certificar su sistema de gestión éticamente responsable teniendo
como estándar la norma SGE 21. Así, a la organización en cuestión, acudiría un equipo
auditor autorizado por Forética para auditar esta norma y verificar que está
efectivamente implantada y en funcionamiento.

Tal y como ya hacíamos referencia al principio de este epígrafe, existen otras


clasificaciones posibles, aunque solo vamos a mencionar, a título ejemplificativo y en
absoluto con carácter cerrado, algunas de ellas:

Auditorías según su objetivo: En función del objetivo fundamental perseguido


por la organización al realizar la auditoría, esta puede clasificarse en:

o Auditorías de cumplimiento legal o de conformidad: en ellas se verifica


que se cumplen los preceptos normativos que son de aplicación a la
organización en ese momento y lugar.
o Auditorías operacionales: consideran no solo la responsabilidad derivada
de incumplimientos legales, sino, también las posibles soluciones técnico-
jurídicas, contando con su análisis de ventajas y desventajas, ingresos y
costes derivados, por lo que permiten la toma de decisiones.
o Auditorías de certificación: permiten la obtención de un certificado por
entidad autorizada que acredita la implantación del sistema.
o Auditorías de renovación: cuando la organización ya cuenta con un sello o
certificado, periódicamente es precisa su renovación, para lo cual la entidad
debe pasar de nuevo por una auditoría que, de ser superada, le otorgaría el
derecho a seguir utilizando dicho certificado acreditativo.
o Auditorías de seguimiento: realizadas durante la duración de la certificación.

» Auditorías según su alcance: dependiendo si abarcan toda la organización o


solo parte de la misma:

o Auditoría parcial: solo se auditaría una parte de la empresa u organización.


o Auditoría integral o total: se auditaría toda la organización, todos sus
procesos y departamentos.

© Universidad Internacional de La Rioja (UNIR)


10
Capítulo 1: Auditorías de Sistemas de Gestión ISO 9001,
ISO 14001, OHSAS 18001 Y SGE 21.
Auditorías según el sistema auditado:

o Auditorías al sistema de gestión de la calidad.


o Auditorías al sistema de gestión medioambiental.
o Auditorías al sistema de gestión de la seguridad y salud en el trabajo.
o Auditorías al sistema de gestión de la responsabilidad social
empresarial o corporativa.
o Auditorías al sistema de gestión de la seguridad en la información.
o Auditorías al sistema de gestión de la innovación.
o Auditorías combinadas, donde se auditan todos los sistemas de gestión
con que cuenta la organización.
o Auditorías integradas, donde se audita un sistema integrado.

Por razón del número de organizaciones implicadas en auditar a una


tercera: hablamos de auditorías conjuntas cuando dos o más organizaciones
colaboran auditando a la misma organización.
Según el objeto de la auditoría a llevar a cabo, también podemos encontrarnos
con los siguientes tipos de auditorías:

o Auditorías de proceso: es el examen de los elementos de un proceso para


determinar si las actividades y los resultados relativos a la calidad satisfacen a
las disposiciones previamente establecidas y si estas disposiciones se ejecutan
efectivamente y son adecuadas para lograr los objetivos y metas previstos.
o Auditoría de producto: la auditoría de producto consiste en la estimación
cuantitativa del cumplimiento de las características requeridas en el producto.
o Auditoría del sistema de gestión: actividad que se realiza para
comprobar, mediante el examen y la evaluación de evidencias objetivas, que
el sistema de calidad es adecuado y ha sido desarrollado, documentado y
efectivamente implantado de acuerdo con los requisitos especificados.

© Universidad Internacional de La Rioja (UNIR)


11
Capítulo 1: Auditorías de Sistemas de Gestión ISO 9001,
ISO 14001, OHSAS 18001 Y SGE 21.

1.5. Factores de éxito y esquema de pasos a seguir en una


auditoría

A continuación, veremos los requisitos o factores de éxito que deben cumplirse para
que un proceso de auditoría concluya satisfactoriamente:

Que exista el apoyo de la gerencia o alta dirección.


Que el equipo auditor al frente de la auditoría esté debidamente capacitado y
entrenado, es decir, que cuenten con la suficiente formación teórico-práctica en
las materias que se tocan en el proceso auditor.
Que se dé una autonomía en las funciones de auditoría y del equipo auditor.
Que se facilite el debido acceso a las oficinas, documentos, personal, al equipo
auditor cuando sea preciso.
Que se describan pormenorizadamente los procedimientos de auditoría. Así, el
auditado no se llevará sorpresas innecesarias y podrá disponer de todo lo que el
equipo auditor le requiera en el proceso.

Seguidamente, vamos a ver un esquema muy visual y práctico de los pasos que suelen
darse al llevar a cabo una auditoría.

© Universidad Internacional de La Rioja (UNIR)


12
Capítulo 1: Auditorías de Sistemas de Gestión ISO 9001,
ISO 14001, OHSAS 18001 Y SGE 21.

Fuente: Sánchez-Toledo (2008).

© Universidad Internacional de La Rioja (UNIR)


13
Capítulo 1: Auditorías de Sistemas de Gestión ISO 9001,
ISO 14001, OHSAS 18001 Y SGE 21.

1.6. Auditorías y certificación de la organización

En primer lugar debemos definir qué entendemos por certificación, ya que el concepto
de auditorías lo hemos desglosado ya suficientemente en los apartados anteriores de
esta unidad didáctica.

Certificación: actividad de carácter voluntario que permite establecer la conformidad


de una entidad (empresa, producto o persona) con los requisitos definidos en una
determinada norma, mediante la emisión por parte de una tercera parte, de un
documento fiable que así lo demuestre.

A continuación, podemos ver, de forma esquemática, cómo funciona el proceso de


certificación:

Fuente: Instituto Comunitario de Certificación

En el esquema previo, hemos podido ver que los conceptos de auditoría y certificación
se hallan relacionados, pero no son lo mismo.

© Universidad Internacional de La Rioja (UNIR)


14
Capítulo 1: Auditorías de Sistemas de Gestión ISO 9001,
ISO 14001, OHSAS 18001 Y SGE 21.
En primer lugar, es la organización que posteriormente será auditada, la que debe
suscribir la solicitud de certificación ante la entidad certificadora autorizada que haya
escogido, recordemos que se trata de un proceso voluntario, y en esta voluntariedad, se
incluye la elección de la entidad auditora, siempre y cuando esta esté debidamente
acreditada para certificar ese sistema o producto o servicio, etc. que se pretende.

En segundo lugar, la entidad encargada de la certificación, procederá a la revisión de


toda la documentación involucrada en el proceso a certificar.

A continuación, designado el equipo auditor y comunicado a la organización auditada,


vendría lo que llamamos “trabajo de campo”, que no es otra cosa que la visita a
la organización para ver “in situ” los procesos, productos o el sistema a auditar,
en funcionamiento.

Los dos pasos anteriores, es decir, la revisión documental y el trabajo de campo,


conforman propiamente lo que conocemos como “auditoría de certificación”.

Una vez realizada la auditoría, emitido el informe sobre la misma que contiene las no
conformidades, junto con sus evidencias, la organización debería responder adjuntando
las correspondientes acciones preventivas y/0 correctoras, en su caso. Una vez
revisadas por la entidad auditora, se dictaminaría si procede el certificado pretendido o
no, y en su caso, si procediera, se expediría a favor de la organización auditada, que con
él demostraría haber superado con éxito el proceso de certificación.

El período de validez del certificado, dependerá de la norma por la que se rija,


pero en cualquier caso, no es algo indefinido. Finalizada su validez, la organización
puede optar por pasar por una auditoría de renovación del mismo, o bien, no
renovarlo. Generalmente el período de validez en España del certificado suele ser de
tres años, pasado este plazo, tocaría realizar una auditoría de renovación. Y a lo
largo de su duración, tendrían lugar auditorías de seguimiento anuales.

© Universidad Internacional de La Rioja (UNIR)


15
16
Capítulo 2
Normativa aplicable a
las auditorías

Autor: Agustín Sánchez Toledo


Capítulo 2: Normativa aplicable a las auditorías

2.1. Introducción

Ya hemos visto cómo se realizan, a grosso modo, las auditorías de los sistemas de
gestión de los sistemas de calidad, medio ambiente, seguridad y salud laboral y de
gestión éticamente responsable en la unidad didáctica previa.

El objetivo de esta unidad consiste en conocer las normas en las que debemos basarnos
para realizar exitosamente auditorías.

El conocimiento exhaustivo de estas normas y sus mandatos, resulta la clave para


lograr la implantación de sistemas de calidad, medio ambiente, seguridad y salud
laboral y gestión ética, y su posterior certificación.

A lo largo de esta unidad veremos las distintas familias de normas que hemos de
manejar para llevar a cabo auditorías de estos sistemas y las particularidades de cada
uno de ellos.

2.2. Normas de auditoría de los sistemas de gestión de la familia


ISO 9000

La ISO 9000 trata sobre la “gestión de la calidad”. Esto es lo que la organización hace
para mejorar la satisfacción del cliente mediante el cumplimiento de requisitos del
mismo y las regulaciones aplicables y para mejorar continuamente su gestión en este
aspecto.

La ISO 9001 fija los requisitos para la implantación de un sistema de gestión de la calidad.

Para la certificación de un sistema de gestión basado en la ISO 9001, la organización


deberá sufrir una auditoría siguiendo los requisitos marcados en esa norma. La entidad
certificadora, que debe estar acreditada y ser independiente, es la que finalmente
determina si procede o no procede expedir certificado de conformidad con dicha norma,
esto es, lo que generalmente se conoce con el nombre de certificado ISO 9001.

© Universidad Internacional de La Rioja (UNIR)


18
Capítulo 2: Normativa aplicable a las auditorías

Sin embargo, la certificación no es un requisito de la ISO 9001, ya que la organización


es libre de implantar dicha norma sin recurrir a la certificación por una entidad
acreditada y utilizarla como una herramienta más de apoyo en su gestión.

Lo cierto, pese a todo, es que las organizaciones tienden a solicitar la certificación, ya


que es una ayuda importante como herramienta de marketing y de garantía para
sus clientes.

Norma Significado

Lleva a cabo una descripción de principios y fundamentos en que se basa


el Sistema de gestión de la calidad.
ISO 9000
Define la terminología utilizada en los sistemas de gestión de la calidad.
Sirve de apoyo técnico a los sistemas de gestión de la calidad.

Determina los requisitos exigibles a los sistemas de gestión aplicables a


toda organización que desee demostrar su capacidad para elaborar
productos o prestar servicios, que cumplan las exigencias de sus clientes y
ISO 9001 las reglamentarias.
Finalidad: la satisfacción del cliente. Es la única norma sujeta a
certificación de las de esta familia de normas.

Facilita directrices que tienen en cuenta, tanto la eficacia como la


eficiencia del sistema de gestión de la calidad.
ISO 9004 Objetivo primordial: la mejora en la gestión de la organización.
Aunque no es certificable, resulta muy útil a modo de guía en la
implantación del sistema de gestión de la calidad según ISO 9001.

Proporciona orientación relativa a:


Principios básicos de las auditorías.
ISO 19011 Gestión de programas de auditorías.
Realización de auditorías de sistemas de gestión de la calidad y de
gestión medioambiental.
Cualificación, competencia y evaluación de auditores.
Cuadro: Familia de las normas ISO 9000. Fuente: Melchor Chinchetru, Fernando (2013)

Al margen de estas, se dispone de otras normas ISO sobre diferentes aspectos, tales
como gestión de proyectos, auditorías, sistemas de medición, documentación de
calidad, etc.

© Universidad Internacional de La Rioja (UNIR)


19
Capítulo 2: Normativa aplicable a las auditorías

Entre los cambios más notorios que se han ido introduciendo en las normas ISO 9000
están los que se indican a continuación:
La adopción de un enfoque basado en procesos.
La introducción de los conceptos de mejora continua, y enfoque a sistemas, para
estimular la eficiencia de la organización.
La integración de las normas 9001, 9002 y 9003 en la 9001:2000. El sistema de
gestión de la calidad con la nueva norma cubre todas las actividades de una
organización.
Menos burocracia en los requerimientos de documentación. Requiere solo de seis
procedimientos obligatorios documentados (control de documento, control de
registros, auditoría interna, control de producto no conforme, acciones correctivas y
acciones preventivas). Corresponde a la organización decidir que otros
procedimientos podrían ser documentados atendiendo a sus necesidades.
Eliminación del término aseguramiento de la calidad por sistemas de gestión de la
calidad. Esto refleja el hecho de que los requisitos del sistema de gestión de la
calidad establecidos en esta edición ISO 9001, se destinan tanto hacia el
aseguramiento de la calidad del producto y/o servicio, como a conseguir la
satisfacción del cliente.
El diseño y desarrollo de la ISO 9001 y la ISO 9004, fuertemente unidas, aportan a
la organización un enfoque estructurado que permite avanzar de la certificación a la
consecución de la gestión de calidad total.
El término organización reemplaza a la palabra proveedor y el término proveedor se
utiliza ahora en vez de subcontratista.
(Proveedor --- organización ---- cliente)
El lenguaje utilizado ha sido adaptado para hacerlo más fácil de entender y aplicar
tanto por las grandes como por las pequeñas empresas, ya sean de fabricación o de
servicio, públicas y privadas.
La ISO 9001 es compatible con la norma ISO 14001 destinada a la gestión ambiental.
La ISO 9001: 2015 ha incorporado importantes cambios entre los que se encuentran:
o La Estructura de Alto Nivel similar para todas las normas
o Cambios en la terminología para alinearse en la organización
o Más énfasis en el contexto de la organización
o La gestión de riesgos
o Mayor enfoque estratégico y de compromiso por la dirección
o El representante de la organización
o El manual de calidad ya no es obligatorio
o Mayor enfoque a la mejora continua

© Universidad Internacional de La Rioja (UNIR)


20
Capítulo 2: Normativa aplicable a las auditorías

» Desaparecen los requisitos de documentos y registros y se sustituyen por la


información documentada

El mandato de realización de auditorías al sistema de gestión de la calidad se contiene


en el punto 9.2 y los contenidos a auditar son los que componen la propia ISO 9001,
cuyo índice es como sigue a continuación:

0. Introducción
1. Objeto y campo de aplicación
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
4.1. Comprensión de la organización y su contexto
4.2. Comprensión de las necesidades y expectativas de las partes interesadas
4.3 Determinar el alcance del sistema de gestión de la calidad
4.4 Sistemas de Gestión de la calidad
5. Liderazgo
5.1. Liderazgo y compromiso
5.2 Política de calidad
5.3 Roles, responsabilidades, responsabilidades y autoridades
6. Planificación
6.1 Acciones para abordar riesgos y oportunidades
6.2 Objetivos de calidad y planificación para lograrlos
6.3 Planificación de los cambios
7. Apoyo
7.1 Recursos
7.2 Competencia
7.3 Toma de Conciencia
7.4 Comunicación
7.5 Información documentada
8. Operación
8.1 Planificación y control operativo
8.2 Requisitos para los productos y servicios
8.3 Diseño y desarrollo de los productos y servicios
8.4 Control de la prestación externa de bienes y servicios
8.5 Desarrollo de los procesos, productos y servicios suministrados externamente
8.6 Producción y provisión del servicio
8.7 Liberación de productos y servicios
9. Evaluación del desempeño
9.1 Seguimiento, medición, análisis y evaluación

© Universidad Internacional de La Rioja (UNIR)


21
Capítulo 2: Normativa aplicable a las auditorías

9.2 Auditoría Interna


9.3 Revisión por la dirección
10. Mejora
10.1 Generalidades
10.2 No conformidad y acciones correctivas
10.3 Mejora

2.3. Normas de auditoría de los sistemas de gestión de la familia


ISO 14000

La ISO 14000 trata principalmente sobre “gestión ambiental”. Esto es lo que la


organización hace para minimizar los efectos negativos que sus actividades causan en el
ambiente, y mejorar continuamente su gestión medioambiental.

La auditoría es una herramienta de gestión que comprende la evaluación sistemática,


documentada, periódica y objetiva del funcionamiento de la organización, en el caso
que nos ocupa, hablamos de la gestión medioambiental.

A continuación, podemos ver, esquemáticamente en un cuadro, un breve resumen de


las principales normas de la familia ISO 14000 que afectan, tanto a los sistemas de
gestión medioambiental como a las auditorías medioambientales:

Norma Significado

ISO 14000 Describe los principios y fundamentos para el Sistema de gestión


medioambiental.
Específica la terminología para los sistemas de gestión medioambiental.
Sirve de apoyo técnico a los sistemas de gestión medioambiental.

ISO 14001 Funciona como guía de principios aplicables a la gestión


medioambiental.
Es certificable.

ISO 14004 Proporciona directrices a modo de guía técnica de los sistemas y apoyo.
Su objetivo es la mejora en la gestión de la organización.
Aunque no es certificable, debe servir de guía durante toda la
implantación del sistema de gestión de la calidad según ISO 14001.

© Universidad Internacional de La Rioja (UNIR)


22
Capítulo 2: Normativa aplicable a las auditorías

ISO 14010 Proporciona orientación relativa a:


(anulada) Principios generales de auditorías medioambientales.
Gestión de programas de auditorías medioambientales.
Anulada por la ISO 19011.
ISO 14011 Sirve como guía en la realización de auditorías medioambientales,
(anulada) concretamente, en:
Procedimientos de auditorías de los sistemas de gestión
medioambiental.
Anulada por la ISO 19011.

ISO 14012 Facilita la realización de auditorías medioambientales, en concreto:


(anulada) Criterios de cualificación necesarios para auditores
medioambientales.
Anulada por la ISO 19011.

ISO 14031 Acota las directrices para realizar la evaluación del desempeño ambiental
en sistemas de gestión medioambiental.
Fomenta un enfoque de gestión ambiental común y similar al de gestión de
la calidad.
Potencia la capacidad de la organización para lograr y medir el
mejoramiento de su desempeño ambiental.

Facilita el comercio, elimina barreras comerciales.


Supone, a menudo, un beneficio para la comunidad en que se inserta la
organización (ej. menos contaminación, menos generación de residuos).

Cuadro: Familia de las normas ISO 14000. Fuente: Melchor Chinchetru, Fernando

Los principales beneficios ofrecidos por las auditorías medioambientales, son, entre
otros:

Facilitan la realización de un análisis integral de la organización y su


funcionamiento.
Ofrecen, también, el análisis de un aspecto concreto de la producción, cambio de
materias primas o nuevos productos.
Análisis ambiental para la instalación de una nueva industria en un sitio
determinado.
Prevención de la contaminación.
Cumplimiento de requisitos ambientales.

© Universidad Internacional de La Rioja (UNIR)


23
Capítulo 2: Normativa aplicable a las auditorías

El mandato de realización de auditorías al sistema de gestión medioambiental se


contiene en el punto 9.2, y los contenidos a auditar son los que componen la
propia ISO 14001:2015, cuyo índice es como sigue a continuación:

0. Introducción
1. Objeto y campo de aplicación
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización (título únicamente)
4.1. Comprensión de la organización y de su contexto
4.2. Comprensión de las necesidades y expectativas de las partes interesadas
4.3. Determinación del alcance del sistema de gestión ambiental
4.4 Sistema de gestión ambiental
5. Liderazgo (título únicamente)
5.1 Liderazgo y compromiso
5.2 Política ambiental
5.3 Roles, responsabilidades y autoridades en la organización
6. Planificación (título únicamente)
6.1 Acciones para abordar riesgos y oportunidades (título únicamente)
6.2 Objetivos ambientales y planificación para lograrlos (título únicamente)
7. Apoyo (título únicamente)
7.1 Recursos
7.2 Competencia
7.3 Toma de conciencia
7.4 Comunicación (título únicamente)
7.5 Información documentada (título únicamente)
8. Operación (título únicamente)
8.1 Planificación y control operacional
8.2 Preparación y respuesta ante emergencias
9. Evaluación del desempeño (título únicamente)
9.1 Seguimiento, medición, análisis y evaluación (título únicamente)
9.2 Auditoría interna (título únicamente)
9.3 Revisión por la dirección
10. Mejora (título únicamente)
10.1 Generalidades
10.2 No conformidad y acción correctiva
10.3 Mejora continua

© Universidad Internacional de La Rioja (UNIR)


24
Capítulo 2: Normativa aplicable a las auditorías

2.4. Normas de auditoría de los sistemas de gestión de la familia


OHSAS 18000

Los principales estándares en materia de gestión de sistemas de seguridad y salud en el


trabajo, de tipo voluntario, lo constituyen OHSAS 18001 y OHSAS 18002.

Norma Significado

OHSAS 18001 Describe los requisitos para la implantación de un sistema de gestión


de la salud y seguridad en el trabajo.
Es certificable.
OHSAS 18002 Funciona como guía técnica de principios aplicables a un sistema de
gestión salud y seguridad en el trabajo y orientaciones para su exitosa
implantación.
No es certificable.

Cuadro: Familia de las normas OHSAS 18000. Fuente: Melchor Chinchetru, Fernando (2013).

Estos estándares, voluntarios, como decimos, igual que lo son las series ISO 9000 e ISO
14000, también pueden certificarse por organismos acreditados, para lo cual es preciso
que pasen, necesariamente, por la realización de auditorías del funcionamiento de estos
sistemas de gestión de seguridad y salud en el trabajo.

Sin embargo, nos parece muy interesante una comparativa entre lo requerido en la
normativa estatal vigente en materia de prevención de riesgos laborales, y estas
normas. A continuación reproducimos una tabla que contiene dicha comparativa entre
el Real Decreto 39/1997, de 17 de enero, por el que se aprueba el Reglamento de los
Servicios de Prevención, y posteriores modificaciones, donde se analiza el Plan de
Prevención desde ambas normas, una, obligatoria, y la otra, voluntaria.

© Universidad Internacional de La Rioja (UNIR)


25
Capítulo 2: Normativa aplicable a las auditorías

Fuente: Aragon Valley (2012)

© Universidad Internacional de La Rioja (UNIR)


26
Capítulo 2: Normativa aplicable a las auditorías

Un esquema típico y común de cómo se lleva a cabo una auditoría de seguridad y salud
laboral, bajo los estándares de OHSAS 18001, podría ser, como sigue:

Fuente: Sánchez-Toledo (2008).

El origen de las normas de carácter voluntario que nos ocupan en este epígrafe, es
decir, OHSAS 18001 y OHSAS 18002, radica en el Reino Unido, y más concretamente,

© Universidad Internacional de La Rioja (UNIR)


27
Capítulo 2: Normativa aplicable a las auditorías

en la entidad “British Standard” quien, junto con varios organismos más, publicó las
especificaciones OHSAS 18001:1999 «Sistemas de gestión de la higiene y seguridad en
el trabajo», y OHSAS 18002: 2000 «Sistemas de gestión de la higiene y seguridad en
el trabajo. Reglas generales para la implantación de OHSAS 18001».

Estas especificaciones de carácter internacional y voluntario, han sido


desarrolladas en respuesta a la demanda de contar con una norma para la evaluación y
certificación de sistemas de gestión de seguridad y salud en el trabajo, y como guía en la
implantación de dicha norma.

En julio de 2007 se publicó la nueva OHSAS 18001:2007, con carácter de estándar o


norma y asemejando su estructura a las normas ISO 9001 (sistemas de calidad) e ISO
14001 (sistemas de gestión medioambiental), para facilitar a las organizaciones la
integración de los sistemas de gestión.

Por su parte, la guía para su implantación, OHSAS 18002, desarrolla de forma


importante la especificación de aplicación OHSAS 18001.

La serie de estándares OHSAS 18.000 están planteados como un sistema que dicta
requisitos para implantar un sistema de gestión de salud y seguridad
ocupacional, habilitando a una organización para formular una política y unos
objetivos específicos, considerando requisitos legales e información sobre los riesgos
inherentes a su actividad.

En cuanto a las ventajas que ofrece la OHSAS 18001, tenemos, entre otras, las
siguientes:

Es certificable por terceras partes.


Ayuda a verificar y alcanzar el cumplimiento de la normativa vigente.
Su alcance no llega solo a empleados, sino también, a proveedores, visitantes,
clientes y partes interesadas.
Hace más fácil la gestión de la responsabilidad social empresarial, en la línea con
otras normas de este tipo, como la SGE 21.

© Universidad Internacional de La Rioja (UNIR)


28
Capítulo 2: Normativa aplicable a las auditorías

El mandato de realización de auditorías al sistema de gestión de la salud y la seguridad


en el trabajo, se contiene en el punto 4.5.5 y los contenidos a auditar son los que
componen la propia OHSAS 18001, cuyo índice es como sigue a continuación:

1. Objeto y Campo de aplicación.


2. Publicaciones para consulta.
3. Términos y definiciones.
4. Requisitos del Sistema de Gestión de la SST.
4.1 Requisitos Generales.
4.2 Política de SST.
4.3 Planificación.
4.3.1 Identificación de peligros, evaluación de riesgos y determinación de controles.
4.3.2 Requisitos legales y otros requisitos.
4.3.3 Objetivos y programas.
4.4 Implementación y operación.
4.4.1 Recursos, funciones, responsabilidad y autoridad.
4.4.2 Competencia, formación y toma de conciencia.
4.4.3 Comunicación, participación y consulta.
4.4.3.1 Comunicación.
4.4.3.2 Participación y consulta.
4.4.4 Documentación.
4.4.5 Control de documentos.
4.4.6 Control operacional.
4.4.7 Preparación y respuesta ante emergencias.
4.5 Verificación.
4.5.1 Medición y seguimiento del desempeño.
4.5.2 Evaluación del cumplimiento legal.
4.5.3 Investigación de incidentes, no conformidad, acción correctiva y acción preventiva.
4.5.3.1 Investigación de incidentes.
4.5.3.2 No conformidad, acción correctiva y acción preventiva.
4.5.4 Control de registros.
4.5.5 Auditoría interna.
4.6 Revisión por la dirección.

© Universidad Internacional de La Rioja (UNIR)


29
Capítulo 2: Normativa aplicable a las auditorías

2.5. Normas relativas a la responsabilidad social corporativa

Tal y como hemos visto en unidades precedentes, existen diversos estándares para
implantar y certificar la responsabilidad social empresarial o gestión éticamente
responsable de las organizaciones.

Nosotros nos focalizaremos en concreto en la norma SGE 21, de Forética, norma que
ya hemos desmenuzado más pormenorizadamente en unidades previas a esta.

Esta norma, la SGE 21, es certificable, en este caso, por el organismo que la elaboró, es
decir, por Forética, a través de auditores autorizados que pueden consultarse en su
web. Esta entidad tiene publicadas unas directrices para la interpretación más extensa
de los mandatos de la norma, que podemos ver en su web, y que, sin duda, nos
facilitarán la tarea, en primer lugar, de implantación de dicha norma y en segundo
lugar, la de pasar exitosamente la auditoría de cumplimiento de la misma.

La norma SGE 21, como decimos, fue desarrollada por Forética. Forética es una
asociación de empresas y profesionales de la responsabilidad social nacida en España y
que tiene como misión fomentar la cultura de la gestión ética y la responsabilidad social
dotando a las organizaciones de conocimiento y herramientas útiles para desarrollar
con éxito un modelo de negocio competitivo y sostenible.

Un amplio número de profesionales, empresas, académicos y ONG colaboran en el


fomento de una gestión responsable plasmando todo ese conocimiento en la norma de
empresa SGE 21, convirtiéndose así en una norma que representa a todos los grupos de
interés.

Aquí podemos ver, un extracto del informe de Forética de 2015, acerca de la


importancia en la percepción social de las acciones de responsabilidad social de las
organizaciones:

© Universidad Internacional de La Rioja (UNIR)


30
Capítulo 2: Normativa aplicable a las auditorías

Fuente: Informe Forética 2015.

El mandato de realización de auditorías al sistema de gestión ética y responsabilidad


social se contiene en el punto 6.1.10 y los contenidos a auditar son los que componen la
propia SGE 21, cuyo índice es como sigue a continuación:

1. Presentación
2. Objeto
3. Ámbito
4. Documentos de referencia
5. Descripción de la norma
6. Áreas de gestión
6.1. Alta Dirección
6.1.1. Cumplimiento de la legislación y normativa
6.1.2. Política de Gestión Ética y Responsabilidad Social
6.1.3. Código de Conducta
6.1.4. Comité de Gestión Ética y Responsabilidad Social
6.1.5. Responsable de Gestión Ética / Responsabilidad Social

© Universidad Internacional de La Rioja (UNIR)


31
Capítulo 2: Normativa aplicable a las auditorías

6.1.6. Objetivos e indicadores


6.1.7. Diálogo con los grupos de interés
6.1.8. Seguridad de la información
6.1.9. Política anticorrupción
6.1.10. Seguimiento y evaluación
6.1.11. Revisión por la Dirección y mejora continua
6.1.12. Informe de Responsabilidad Social y comunicación
6.2. Clientes
6.2.1. Investigación, desarrollo e innovación responsable
6.2.2. Principios de calidad
6.2.3. Buenas prácticas en las relaciones comerciales
6.2.4. Seguridad del producto o servicio
6.2.5. Accesibilidad
6.2.6. Publicidad responsable
6.3. Proveedores
6.3.1. Compras responsables
6.3.2. Sistema de diagnóstico y evaluación
6.3.3. Fomento de buenas prácticas, medidas de apoyo y mejora
6.4. Personas que integran la organización
6.4.1. Derechos Humanos
6.4.2. Gestión de la diversidad
6.4.3. Igualdad de oportunidades y no discriminación
6.4.4. Conciliación de la vida personal, familiar y laboral
6.4.5. Seguridad y salud laboral
6.4.6. Descripción del puesto de trabajo
6.4.7. Formación y fomento de la empleabilidad
6.4.8. Seguimiento del clima laboral
6.4.9. Reestructuración responsable
6.4.10. Canal de resolución de conflictos
6.5. Entorno social
6.5.1. Evaluación y seguimiento de impactos
6.5.2. Transparencia con el entorno
6.5.3. Acción social
6.6. Entorno ambiental
6.6.1. Prevención de la contaminación y estrategia frente al cambio climático
6.6.2. Identificación de actividades e impactos
6.6.3. Programa de gestión ambiental
6.6.4. Plan de riesgos
6.6.5. Comunicación ambiental
6.7. Inversores
6.7.1. Buen gobierno

© Universidad Internacional de La Rioja (UNIR)


32
Capítulo 2: Normativa aplicable a las auditorías

6.7.2. Transparencia de la información


6.8. Competencia
6.8.1. Competencia leal
6.8.2. Cooperación y alianzas
6.9. Administraciones públicas
6.9.1. Colaboración con las Administraciones

Es decir, las áreas de gestión en que se subdivide, básicamente, la SGE 21, serían:

Alta dirección.
Clientes.
Proveedores.
Recursos Humanos.
Entorno social.
Entorno ambiental.
Inversores.
Competencia.
Administraciones públicas.

La norma SGE 21 aporta ventajas significativas en la gestión de la responsabilidad


social:

Integración organizativa: El establecimiento de procesos horizontales a


través de la conexión de las 9 áreas de gestión antes mencionadas, permite una
mayor eficiencia en el desarrollo de políticas de responsabilidad social
corporativa.
Concienciación y cambio: la formación y la participación de empleados y
colaboradores facilita el conocimiento y concienciación de la organización.
Compatibilidad: La SGE 21 ha mostrado ser compatible con otros sistemas de
gestión vigentes en las organizaciones (calidad, MA, seguridad y salud en el
trabajo, cuadros de mando integral etc.).

La certificación bajo la Norma SGE 21, implica la puesta en valor de la gestión ética y
socialmente responsable ante todos los grupos de interés de la organización. Así, la
organización demuestra haber superado una auditoría independiente y un comité de
certificación para las nueve áreas de gestión en que se divide la norma.

© Universidad Internacional de La Rioja (UNIR)


33
Capítulo 2: Normativa aplicable a las auditorías

2.6. Normas comunes para las auditorías de calidad, medio


ambiente, seguridad y salud en el trabajo y responsabilidad social

Las auditorías, ya sean de calidad, medioambientales, de seguridad y salud en el


trabajo, o de responsabilidad social empresarial, deben ser:

Documentadas: Es decir, deben sustentarse en datos que ofrezcan fiabilidad y


que resulten suficientes para permitir un análisis realista y completo.
Objetivas: Lo que significa que no pueden ser objeto de manipulación en
ningún caso, sino que deben ser el fiel reflejo de la situación en que se halla la
organización.
Periódicas: No son meramente esporádicas, esto es, no se realizan una vez y
nunca más. El sistema de gestión medioambiental es circular, basado, como el de
calidad, en la mejora continua, lo que supone la comprobación periódica de su
adecuado funcionamiento, para lo que se llevan a cabo las auditorías
medioambientales.
Sistemáticas: Supone que deben seguir unas pautas, una metodología
específica, que no se realizan de cualquier manera y al azar, lo que garantiza su
objetividad y que puedan contrastarse y compararse al estar homogeneizadas.

Cuando nos referimos a “Auditorías”, estas pueden ser externas, es decir, por tercera
parte, por ejemplo, para certificarnos, tal y como hemos estado viendo, o una auditoría
de tercera parte llevada a cabo por uno de nuestros clientes, que desea conocer nuestros
procesos de elaboración del producto que le proveemos. También, sin embargo, puede
tratarse de auditorías de tipo interno, llevadas a cabo por la organización con distintos
fines:

Verificar periódicamente el correcto funcionamiento del sistema de gestión.


Detectar posibles anomalías y fallos del sistema implantado para erradicarlos o
minimizarlos, en su caso.

Las auditorías no buscan culpables, sino fallos y sus orígenes, para solventarlos.

En las diversas normas y estándares que hemos visto a lo largo de esta unidad
didáctica, se requiere que se lleven a cabo estas auditorías internas. Es un instrumento
necesario para verificar el correcto funcionamiento de todo el sistema.

© Universidad Internacional de La Rioja (UNIR)


34
Capítulo 2: Normativa aplicable a las auditorías

Así, en todas ellas nos encontramos con:

Auditorías del sistema:

» Buscan, además de poner de manifiesto la existencia de un correcto sistema


documentado, demostrar que dicho sistema es conocido por toda la organización,
y que además, se cumple. Se pone énfasis en dos aspectos muy concretos a la hora
de auditar:

o La documentación del sistema.


o La implantación efectiva de dicho sistema documental a todos los niveles de la
organización.

Auditoría sobre la política de calidad/medio ambiente/seguridad y salud


laboral/gestión ética:

La política debe aparecer por escrito en el manual de calidad/ medio ambiente/


seguridad y salud laboral/ gestión ética.
Han de establecerse los objetivos a conseguir, el sistema de indicadores de su
grado de cumplimiento, así como determinar el plazo en que se van
comprobando y renovando.

Auditoría sobre la organización:

Las funciones y responsabilidades de todos los estamentos y personas, han de


estar definidas claramente en el manual de calidad/ medio ambiente/ seguridad
y salud laboral/ gestión ética, así como la autoridad en la toma de decisiones
(quién y por qué). Todas estas cuestiones y cada uno de los cambios en ellas
producidos deben estar claramente definidos y documentados en todo momento.

Auditoría del sistema documental:

Esta auditoría consiste en la comprobación de que el alcance del sistema de


calidad/ medio ambiente/ seguridad y salud laboral/ gestión ética, están
debidamente documentados y archivados por los correspondientes responsables.
La constancia documental resulta imprescindible para la comprobación de la
buena gestión del sistema. Casi siempre, el sistema de calidad/ medio ambiente/

© Universidad Internacional de La Rioja (UNIR)


35
Capítulo 2: Normativa aplicable a las auditorías

seguridad y salud laboral/ gestión ética falla porque los documentos que figuran
como soporte del mismo no están bien definidos, son excesivamente
complicados de entender para quien los tiene que cumplimentar o la
información que pretenden recoger es escasa o superflua.
A menudo, muchos de estos fallos se dan por una inapropiada actualización de
los cambios producidos en los procesos, por ejemplo, que no se documenta, con
lo que el sistema de gestión contiene documentación obsoleta.

El papel de un auditor/a consiste en reconocer no solo la falta de algún documento con


información necesaria, sino también detectar en los existentes los defectos de que
adolezca, por ejemplo, una deficiente redacción que pueda provocar equívocos. Esta
auditoría se realizará periódicamente y en ella se debe comprobar lo siguiente:

La documentación está debidamente archivada donde corresponde.


La documentación archivada está debidamente cumplimentada.

© Universidad Internacional de La Rioja (UNIR)


36
Capítulo 3
El perfil del auditor según la
norma ISO 19011:2011
Capítulo 3: El perfil del auditor según la norma ISO 19011:2011

3.1. Introducción

La figura del auditor tiene una importancia vital en la implantación y mantenimiento


de un sistema de gestión ya que a través de él, va a cumplirse la función tanto de su
mantenimiento como el poder llevar a cabo la mejora continua del mismo. Es por ello
que determinar el perfil del auditor es fundamental para que las auditorías se
desarrollen de forma satisfactoria.

Para determinar dicho perfil disponemos de la Norma Internacional ISO


19011:2011, que ha sustituido a la versión del 2002. En la nueva versión del 2011 se
han introducido modificaciones que nos ayudan a perfilar las competencias y
formación de los auditores, determinando tanto las del líder del equipo auditor, la de
los auditores, como la de los guías y los observadores que pueden participar en una
auditoría.

Entramos en el análisis y desarrollo de las competencias de los auditores tal y como nos
indica la norma clasificándolas en cuantitativas y cualitativas. También se referencia a
los atributos personales de este en cuanto a ecuanimidad, objetividad etc.

Es imprescindible que el auditor del sistema disponga de conocimientos y habilidades


suficientes para poder llevar a cabo el proceso de auditoría. En la práctica, en el
desarrollo de estas, es fundamental que el auditor tenga un bagaje suficiente para poder
conocer la organización, el contexto organizacional, los documentos del sistema de
gestión y de referencia, los principios, procedimientos y métodos de auditoría, los
requisitos legales y contractuales aplicables y otros requisitos como los específicos de la
gestión ambiental, calidad y seguridad y salud laboral. Pero también en otros ámbitos
como puede ser la seguridad de la información.

En definitiva las responsabilidades inherentes derivadas del trabajo de auditoría son


consecuencia de los roles y responsabilidades conforme a su participación en el equipo
auditor donde tendremos al líder del mismo, a un grupo de auditores y la posibilidad de
que haya guías y observadores.

© Universidad Internacional de La Rioja (UNIR)


38
Capítulo 3: El perfil del auditor según la norma ISO 19011:2011

3.2. Competencia de los Auditores

Que el proceso de auditoría que desarrollemos en una organización sea eficaz y exitoso,
como en todo en la vida, va a depender de que la persona que desarrolle esta, tenga la
cualificación y competencias suficientes para desarrollar la auditoría.

Luego la competencia y cualificación del auditor, quedará demostrada siempre que


tenga la cualificación suficiente adquirida de un lado, por su formación y, de otro, por
la experiencia en el desarrollo de las mismas que le otorgará determinadas habilidades
imprescindibles para realizar una auditoría de éxito. También es fundamental las
cualidades que el auditor tenga, pero siempre estas se adquirirán bien a través de su
formación, bien a través de la experiencia.

Los criterios para los auditores convergen tanto en materia de calidad como de medio
ambiente, pero no todos los requisitos van a ser iguales ya que para cada norma serán
necesarias cualificaciones específicas respecto de su objetivo, pero convergentes en
cuanto a los principios señalados. Lo mismo ocurre con el sistema de gestión de
seguridad y salud de los trabajadores y con el sistema de gestión de la calidad.

Criterios de Evaluación de los auditores. Fuente: Melchor Chinchetru, Fernando (2013)

3.3. Atributos Personales

Según la ISO 19011:2011, señala que los auditores deberían poseer las cualidades
suficientes como para poder desarrollar las auditorías y que les permita realizar el

© Universidad Internacional de La Rioja (UNIR)


39
Capítulo 3: El perfil del auditor según la norma ISO 19011:2011

trabajo conforme a los principios de auditoría descritos en el Capítulo 4 de la ISO


19011.

Los auditores deberán mostrar una actitud profesional. Durante el desarrollo de las
actividades de auditoría su comportamiento debe ser:

Ético: imparcial, sincero, honesto y discreto.


De mentalidad abierta: dispuesto a considerar ideas o puntos de vista
alternativos.
Diplomático: con tacto en las relaciones con las personas.
Observador: activamente consciente del entorno físico y las actividades.
Perceptivo: instintivamente consciente y capaz de entender las situaciones.
Versátil: se adapta fácilmente a diferentes situaciones.
Tenaz: persistente, orientado hacia el logro de los objetivos.
Decidido: alcanza conclusiones oportunas basadas en el análisis y
razonamiento lógicos.
Seguro de sí mismo: actúa y funciona de forma independiente a la vez que se
relaciona eficazmente con otros.
Actúa con Fortaleza: capaz de actuar ética y responsablemente aún cuando
dichas acciones no siempre sean populares y a veces puedan producir
desacuerdo o confrontación.
Abierto a la mejora: dispuesto a aprender de las situaciones, y en la búsqueda
de mejores resultados de auditoría.
Sensible culturalmente: observador y respetuoso con la cultura del auditado.
Colaborador: que interactúe eficientemente con otros, incluyendo los
miembros del equipo auditor y el personal del auditado.

3.4. Conocimientos y Habilidades

Para determinar el conocimiento y habilidades propias del auditor, debemos considerar


lo siguiente:

El tamaño, naturaleza y complejidad de la organización a ser auditada.


Las disciplinas de sistema de gestión a ser auditada.
Los objetivos y alcance del programa de auditoría.

© Universidad Internacional de La Rioja (UNIR)


40
Capítulo 3: El perfil del auditor según la norma ISO 19011:2011

Otros requisitos, tales como aquellos impuestos por entes externos, cuando sea
apropiado.
El rol del proceso de auditoría en el sistema de gestión del auditado.
La complejidad del sistema de gestión a ser auditado.

Los conocimientos y habilidades concretos para cada área serían los siguientes:

Principios, procedimientos y métodos de auditoría

Planificación:
o Aplicar principios, procedimientos y técnicas de auditoría.
o Planificar y organizar el trabajo eficazmente.
o Llevar a cabo la auditoría dentro del horario acordado.
o Establecer prioridades y centrarse en los asuntos de importancia.

Desarrollo:
o Recopilar información a través de entrevistas eficaces, escuchando,
observando y revisando documentos, registros y datos.
o Entender y considerar las opiniones de los expertos.
o Entender lo apropiado del uso de técnicas de muestreo y sus consecuencias
para la auditoría.
o Verificar la relevancia y exactitud de la información recopilada.
o Confirmar que la evidencia de la auditoría es suficiente y apropiada para
apoyar los hallazgos y conclusiones de la auditoría.

Finalización:
o Evaluar aquellos factores que puedan afectar a la fiabilidad de los hallazgos
y conclusiones de la auditoría.
o Utilizar los documentos de trabajo para registrar las actividades de la
auditoría.
o Documentar los hallazgos de auditoría y preparar informes de auditoría
apropiados.
o Mantener la confidencialidad y seguridad de la información, datos,
documentos y registros.
o Comunicar efectivamente, oralmente y por escrito (ya sea personalmente o a
través del uso de intérpretes y traductores).
o Entender los tipos de riesgo asociados a la auditoría.

© Universidad Internacional de La Rioja (UNIR)


41
Capítulo 3: El perfil del auditor según la norma ISO 19011:2011

Documentos del sistema de gestión y de referencia

Capacitan al auditor para comprender el alcance de la auditoría y aplicar los criterios de


auditoría, y deberían cubrir lo siguiente:

Normas de sistemas de gestión u otros documentos usados como criterios de


auditoría.
La aplicación de las normas de sistemas de gestión por parte del auditado y otras
organizaciones, según sea apropiado.
Interacción entre los componentes del sistema de gestión.
Reconocer la jerarquía de los documentos de referencia.
Aplicación de los documentos de referencia a diferentes situaciones de auditoría.

Contexto organizacional

Capacitan al auditor para comprender la estructura del auditado, así como su


negocio y prácticas gerenciales y debería cubrir lo siguiente:

Tipos organizacionales, gobierno, tamaño, estructura, funciones y relaciones.


Conceptos generales de negocio y gerencia, procesos y terminología relacionada,
incluyendo planificación, presupuesto y manejo de personal.
Aspectos sociales y culturales del auditado.

Conocimientos y habilidades de los Auditores SGI. Fuente: Melchor Chinchetru, Fernando


(2013)

© Universidad Internacional de La Rioja (UNIR)


42
Capítulo 3: El perfil del auditor según la norma ISO 19011:2011

Requisitos legales y contractuales aplicables y otros requisitos que se


apliquen al auditado

Capacitan al auditor para ser consciente y trabajar dentro de los requisitos legales y
contractuales de la organización:

Leyes y regulaciones y sus agencias gobernantes.


Terminología legal básica.
Contratación y responsabilidad.

Ejemplos sobre el conocimiento y habilidades del auditor en disciplinas específicas de


calidad, medio ambiente y seguridad y salud laboral.

Gestión ambiental.

Terminología ambiental.
Mediciones y estadísticas ambientales.
Ciencia de medición y técnicas de monitoreo.
Interacción de ecosistemas y biodiversidad.
Medios ambientales (por ejemplo, aire, agua, suelo, fauna, flora, etc.).
Técnicas para determinar riesgo (por ejemplo, evaluación de aspectos/ impactos
ambientales, incluyendo métodos para evaluación de significancia).
Evaluación de ciclo de vida.
Evaluación de desempeño ambiental.
Prevención y control de la contaminación (por ejemplo, mejores técnicas
disponibles para control de contaminación y eficiencia energética).
Reducción en la fuente, minimización de residuos, re-uso, reciclado, prácticas y
procesos de tratamiento.
Uso de sustancias peligrosas.
Control y gestión de emisión de gases de invernadero.
Manejo de recursos naturales (por ejemplo, combustible fósil, agua, flora y
fauna, suelo).
Diseño ambiental.
Reporte y divulgación ambiental.
Administración de productos.
Tecnologías renovables y de bajo carbono.

© Universidad Internacional de La Rioja (UNIR)


43
Capítulo 3: El perfil del auditor según la norma ISO 19011:2011

Gestión de Calidad

Terminología relacionada con calidad, gestión, organización, proceso y producto,


características, conformidad, documentación, procesos de auditoría y de
medición.
Enfoque al cliente, procesos relacionados con el cliente, monitoreo y medición de
satisfacción del cliente, manejo de quejas, código de conducta, resolución de
disputas.
Liderazgo/rol de la alta gerencia, gestión para el éxito sostenido de una
organización, el enfoque de gestión de la calidad, alcanzando beneficios
económicos y financieros a través de la gestión de la calidad, sistemas de gestión
de calidad y modelos de excelencia.
Participación de las personas, factores humanos, competencia, entrenamiento y
toma de conciencia.
Enfoque por procesos, análisis de procesos, técnicas de capacidad y control,
métodos de tratamiento de riesgos.
Enfoque de sistemas para la gestión (relación de sistemas de gestión de calidad,
sistemas de gestión de calidad y otros enfoques de sistemas de gestión,
documentación de sistema de gestión de calidad), tipos y valor, proyectos, planes
de calidad, gestión de configuración.
Mejora continua, innovación y aprendizaje.
Enfoque en hechos para toma de decisiones, técnicas de evaluación de riesgos
(identificación, análisis y evaluación de riesgos), evaluación de gestión de calidad
(auditoría, revisión y auto-evaluación), técnicas de monitoreo y medición,
requisitos para procesos de medida y equipo de medición, análisis de causa raíz,
técnicas estadísticas.
Características de procesos y productos, incluyendo servicios.
Relaciones mutuamente beneficiosas con los proveedores, requisitos del sistema
de gestión de calidad y requisitos de productos, requisitos particulares para
gestión de calidad en diferentes sectores.

Seguridad y salud laboral.

Identificación de peligros, incluyendo aquellos y otros factores que afectan el


desempeño humano en el lugar de trabajo:

© Universidad Internacional de La Rioja (UNIR)


44
Capítulo 3: El perfil del auditor según la norma ISO 19011:2011

o Factores físicos.
o Químicos.
o Biológicos.
o Género.
o Edad.
o Discapacidad.
o Otros factores psicológicos, psicosociales o de salud.

Evaluación de riesgos, determinación de controles y comunicación de riesgos


(jerarquía de controles OHSAS 18001:2007, 4.3.1).
La evaluación de factores de salud y humanos (incluyendo factores psicológicos y
psicosociales) y los principios para evaluarlos.
Método para la valoración de exposición y evaluación de riesgos de seguridad y
salud ocupacional y estrategias relacionadas para eliminar o minimizar dichas
exposiciones.
Comportamiento humano, interacciones persona a persona y la interacción de
humanos con las máquinas, los procesos y el ambiente de trabajo (incluyendo
lugar de trabajo, ergonomía y principios de diseño seguro, información y
tecnologías de comunicación, la evaluación de los diferentes tipos y niveles de
competencia en seguridad y salud ocupacional requeridos en la organización y la
evaluación de dicha competencia).
Métodos para animar la participación de los empleados.
Métodos para animar el bienestar y auto-responsabilidad de los empleados (en
relación a fumar, drogas, problemas de peso, ejercicio, stress, comportamiento
agresivo, etc.) tanto durante las horas de trabajo como en sus vidas privadas.
El desarrollo, uso y evaluación de medidas y mediciones de desempeño reactivo
y proactivo.
Los principios y prácticas para identificar situaciones potenciales de emergencia
y para la planificación, prevención y recuperación de emergencias.
Métodos para la investigación y evaluación de incidentes (incluyendo accidentes
y enfermedades relacionadas con el trabajo).
La determinación y uso de información relacionada con la salud (incluyendo
datos de monitoreo de exposición y enfermedades relacionadas con el trabajo)
pero dando atención especial a la confidencialidad de ciertos aspectos de tal
información.
Comprensión de información médica (incluyendo terminología médica suficiente
para entender datos relacionados con la prevención de heridas y enfermedades).

© Universidad Internacional de La Rioja (UNIR)


45
Capítulo 3: El perfil del auditor según la norma ISO 19011:2011

Sistemas de valores de límites de exposición ocupacional.


Métodos para monitoreo y reporte de desempeño de seguridad y salud
ocupacional.
Comprensión de requisitos legales y otros requisitos relevantes a la seguridad y
salud ocupacional suficiente para permitir que el auditor evalúe el sistema de
gestión de seguridad y salud ocupacional.

En los anexos de la norma ISO 19011:2011, se establecen ejemplos específicos de los


sectores en los que el auditor tiene que tener un conocimiento y habilidad específica.
Los sectores que podemos consultar en esta norma son:

Ejemplo ilustrativo de conocimiento y habilidades de auditor específicas a una


disciplina en gestión de seguridad de transporte.
Ejemplo ilustrativo de conocimiento y habilidades de auditor específicas a una
disciplina en gestión de registros.
Ejemplo ilustrativo de conocimiento y habilidades de auditor específicas a una
disciplina en gestión de flexibilidad, seguridad, preparación y continuidad.
Ejemplo ilustrativo de conocimiento y habilidades de auditor específicas a una
disciplina en gestión de seguridad de la información.

De los Líderes de los equipos auditores

Es el elemento clave de las auditorías. El Líder del equipo auditor debe disponer de
conocimientos y habilidades extra para que la auditoría se realice de manera efectiva y
también eficiente. De modo que con el bagaje intelectual y práctico del líder le facilita
realizar las siguientes tareas:

Hacer un balance entre las fortalezas y debilidades de los miembros del equipo
auditor.
Desarrollar relaciones de trabajo armoniosas entre los miembros del equipo
auditor.
Gestionar el proceso de auditoría, incluyendo:

o Planear la auditoría y hacer uso efectivo de los recursos durante la misma.


o Manejar la incertidumbre de alcanzar los objetivos de auditoría.

© Universidad Internacional de La Rioja (UNIR)


46
Capítulo 3: El perfil del auditor según la norma ISO 19011:2011

o Proteger la salud y seguridad de los miembros del equipo auditor durante la


auditoría, incluyendo el asegurar cumplimiento de los auditores con los
requisitos relevantes de salud y seguridad.
o Organizar y dirigir a los miembros del equipo auditor.
o Servir de dirección y guía a los auditores en entrenamiento.
o Prevenir y resolver conflictos, de ser necesario.
Representar al equipo auditor en las comunicaciones con la persona que gestiona
el programa de auditoría, el cliente de auditoría y el auditado.
Conducir al equipo auditor hacia el logro de las conclusiones de auditoría.
Preparar y completar el informe de auditoría.

Fuente: Isaac Navarro. III Foro CERPER.

3.5. Mantenimiento y mejora de la competencia.

La ISO 19011 en su apartado 7.6., señala que los auditores y los líderes del equipo
auditor deberían mejorar continuamente su competencia.

© Universidad Internacional de La Rioja (UNIR)


47
Capítulo 3: El perfil del auditor según la norma ISO 19011:2011

Los auditores deberían mantener su competencia de auditoría a través de la participación


regular en auditorías de sistemas de gestión y el continuo desarrollo profesional.

El continuo desarrollo profesional involucra el mantenimiento y mejora de la


competencia. Esto se puede lograr a través de medios tales como, experiencia laboral
adicional o entrenamiento, estudio, preparación, asistencia a reuniones, seminarios y
conferencias u otras actividades relevantes.

Fuente: Isaac Navarro. III Foro CERPER.

La persona que gestiona el programa de auditoría debería establecer mecanismos


apropiados para la evaluación continua del desempeño de los auditores y líderes de
equipo auditor.

Las actividades para el continuo desarrollo profesional deberían tener en cuenta lo siguiente:

Cambios en las necesidades del individuo y la organización responsable de


realizar la auditoría.
La práctica de auditoría.
Las normas y otros requisitos relevantes.

© Universidad Internacional de La Rioja (UNIR)


48
Capítulo 3: El perfil del auditor según la norma ISO 19011:2011

3.6. Evaluación del auditor

La organización debe seleccionar el método o métodos apropiados para la selección del


auditor.

A continuación planteamos los posibles métodos de evaluación que podría aplicar


la organización pero teniendo en cuenta que:

No tienen por qué poderse aplicar a todas las situaciones.


Las propuestas realizadas pueden no coincidir con la confiabilidad de la selección.
Una opción podría ser el realizar una combinación de las diferentes propuestas.

Evaluación Objetivos Ejemplos

Educación
Entrenamiento
Revisión de Verificar los antecedentes Empleo
registros de auditor. Credenciales profesionales
Evaluación del desempeño
Evaluación entre pares
Encuestas
Cuestionarios
Proporcionar información Referencias personales
Análisis de registros de:

Retroalimentación sobre cómo se percibe el Recomendaciones


desempeño del auditor. Quejas
Evaluación del desempeño
Evaluación entre pares
Evaluar atributos personales y
las habilidades de
comunicación, para verificar la
Entrevista Entrevistas personales
información y examinar los
conocimientos, y para obtener
información adicional.
Evaluar los atributos Actuación
personales y la aptitud para
Observación Testificación de auditorías
aplicar los conocimientos y
habilidades. Desempeño en el trabajo

Evaluar las cualidades Exámenes orales


Examen personales, conocimientos y Exámenes escritos
habilidades y su aplicación. Exámenes psicotécnicos

© Universidad Internacional de La Rioja (UNIR)


49
Capítulo 3: El perfil del auditor según la norma ISO 19011:2011

Evaluación Objetivos Evaluación

Revisión de informe de
Proveer información sobre el auditorías.
desempeño del auditor Entrevistas con el líder del
Revisión después
durante las actividades de equipo auditor y si es
de la auditoría.
auditoría, identificar adecuado
fortalezas y debilidades. Retroalimentación del
auditado.

Fuente: Isaac Navarro. III Foro CERPER.

3.7. Registros

La organización, para demostrar la implementación del programa de auditoría, debe


registrar entre otra la información relativa a:

Competencia del auditor y evaluación de desempeño.


Selección del equipo auditor.
Mantenimiento y mejora de la competencia.

A continuación os indicamos un ejemplo tipo de registro de las aptitudes generales del


candidato auditor:

© Universidad Internacional de La Rioja (UNIR)


50
Capítulo 3: El perfil del auditor según la norma ISO 19011:2011

Fuente: Bureau Veritas. 2008. Manual Para la Formación en Medio (pp. 676).
Madrid. Lex Nova.

3.8. Responsabilidades.

En la organización, en todo proceso de auditoría, tanto el auditor como el líder del


equipo de auditoría tienen que tener unas responsabilidades que vamos a analizar a
continuación.

Líder del equipo auditor

El líder del equipo auditor es necesario que posea una serie de habilidades, así debe
estar en posesión de conocimientos y habilidades para:

© Universidad Internacional de La Rioja (UNIR)


51
Capítulo 3: El perfil del auditor según la norma ISO 19011:2011

Hacer un balance entre las fortalezas y debilidades de los miembros del equipo
auditor.
Desarrollar relaciones de trabajo armoniosas entre los miembros del equipo auditor.
Gestionar el proceso de auditoría, incluyendo:

o Planificar la auditoría y hacer uso efectivo de los recursos durante la auditoría.


o Manejar la incertidumbre de alcanzar los objetivos de auditoría.
o Proteger la salud y seguridad de los miembros del equipo auditor durante la
auditoría, incluyendo el asegurar el cumplimiento de los auditores con los
requisitos relevantes de salud y seguridad.
o Organizar y dirigir a los miembros del equipo auditor.
o Servir de dirección y guía a los auditores en entrenamiento.
o Prevenir y resolver conflictos, de ser necesario.

Representar al equipo auditor en las comunicaciones con la persona que gestiona


el programa de auditoría, el cliente de auditoría y el auditado.
Conducir al equipo auditor hacia el logro de las conclusiones de auditoría.
Preparar y completar el informe de auditoría.

Auditores

Es competencia de los auditores:

Actuar de acuerdo con los requisitos aplicables a cada auditoría.


Realizar las misiones asignadas por el líder del equipo.
Cooperar con el auditor jefe en la preparación de la auditoría.
Recoger evidencias suficientes para determinar las recomendaciones.
Verificar la eficacia de las acciones correctivas.
Realizar actividades de clasificación, archivo y custodia de la documentación
correspondiente a la planificación y los resultados de las auditorías.

Guías y observadores

Características de los observadores:

o Pueden acompañar al equipo de auditores.


o No deberían influenciar o interferir con la realización de la auditoría.

© Universidad Internacional de La Rioja (UNIR)


52
Capítulo 3: El perfil del auditor según la norma ISO 19011:2011

o Si esto no se puede asegurar, el líder del equipo auditor debería tener el


derecho de negar a los observadores la participación en ciertas actividades
de auditoría.
o Para los observadores, cualquier obligación relacionada con salud y
seguridad, confidencialidad y seguridad de la información debería ser
manejada entre el cliente de auditoría y el auditado.

Característica de los guías:

o Los guías nombrados por el auditado, deberían ayudar al equipo auditor y


actuar a petición del líder del equipo auditor.
o Sus responsabilidades deberían incluir las siguientes:
- Ayudar a los auditores a identificar a los individuos que van a
participar en las entrevistas y confirmar los tiempos.
- Organizar la logística de acceso a instalaciones específicas del
auditado.
- Asegurar que el equipo auditor y los observadores conocen y
respetan las reglas relacionadas con la seguridad de la ubicación
y los procedimientos de emergencia.

o El rol del guía también puede incluir lo siguiente:

- Ser testigo de la auditoría en nombre del auditado.


- Facilitar aclaraciones o ayudar a recolectar información.

© Universidad Internacional de La Rioja (UNIR)


53
54
Capítulo 4
Planificación y preparación
de la Auditoría

Autor: Agustín Sánchez Toledo


Capítulo 4: Planificación y preparación de la Auditoría

4.1. Introducción

El proceso de auditoría, como hemos estado viendo en unidades precedentes, es muy


importante. Y justamente por esta razón, se hace imprescindible llevarlo a cabo
cuidadosa y pormenorizadamente.

Toda auditoría, sea de calidad, medio ambiente, seguridad y salud en el trabajo o


responsabilidad social corporativa, debe llevar un “iter” o camino que conlleva, entre
otros pasos, la preparación y planificación previas, objeto de esta unidad didáctica.

A lo largo de esta unidad didáctica, veremos algunas herramientas que nos serán útiles
para llevar a cabo esta fase de la auditoría, es decir, la fase inicial de preparación de la
misma.

La auditoría debe ser un proceso muy cuidado, y documentado en detalle. De este


modo, cuando realicemos el llamado “trabajo de campo”, no nos olvidaremos de revisar
ningún punto importante y podremos recopilar adecuadamente todas las evidencias
que nos lleven, posteriormente, a conocer la existencia de no conformidades, y, en su
caso, acciones correctoras o preventivas.

Razones para una auditoría:

Hacer la evaluación inicial de un suministrador antes de establecer relaciones


contractuales.
Verificar en el organismo, que su sistema cumple los requisitos establecidos y
que realmente está implantado.
Verificar que, en una relación contractual, el sistema del suministrador es
eficiente.
Hacer la evaluación, en el marco del propio organismo, de su sistema con
relación a una norma de calidad, medio ambiente, seguridad y salud laboral, etc.

Esta preparación y planificación de la auditoría, supone una serie de pasos a dar, que
constituyen los diferentes epígrafes de la presente unidad didáctica:

Determinación del alcance, objetivos y criterios de la auditoría.


Designación del jefe de auditoría y su equipo.
Estudio de la documentación relevante.

© Universidad Internacional de La Rioja (UNIR)


56
Capítulo 4: Planificación y preparación de la Auditoría

Determinación del plan de auditoría.


Preparación de cuestionarios o check-list.

4.2. Determinación del alcance y criterios de la auditoría

El primer paso para dar inicio la auditoría, es determinar el alcance y objetivos de la


auditoría. No todas las auditorías son uniformes, ya que no todas persiguen idénticos
fines, y tampoco tienen igual alcance.

Así, hay organizaciones que tan solo pretenden certificar uno o varios departamentos
de la misma, pero no toda la organización al completo. Del mismo modo, una
organización puede tener implantados diversos sistemas de gestión: calidad, medio
ambiente, seguridad y salud laboral, responsabilidad social, innovación, seguridad en la
información, etc. Y la auditoría no siempre tiene por qué revisar al mismo tiempo todos
esos sistemas.

Además, como ya hemos visto, pueden existir distintos tipos de auditorías, por ejemplo:

Auditorías del sistema de gestión (calidad, medioambiental, seguridad y salud en


el trabajo, SGE21, etc.).
Auditorías de proceso.
Auditorías de producto.
Auditorías de servicio.

Por tanto, el alcance de la auditoría en cuestión, dependerá del tipo de auditoría de que
se trate. El alcance debe constar clara e inequívocamente en el programa de auditoría
que hayan pactado la organización auditada y el equipo auditor, e incluye: los límites de
la auditoría, la duración, el lugar, las actividades y los procesos a auditar.

© Universidad Internacional de La Rioja (UNIR)


57
Capítulo 4: Planificación y preparación de la Auditoría

Ejemplo de programa de auditoría:

Logotipo empresa PROGRAMA DE AUDITORÍAS Código


INTERNAS
Edición

Página

Número Alcance Criterio de Objetivos Auditor Fecha


auditoría

Elaborado por Revisado por: Aprobado por:

Fecha: Fecha: Fecha:

En función de que sean auditorías de tipo interno o externo, su alcance variará


igualmente:

Las auditorías externas incluyen lo que se denomina generalmente auditorías


de segunda y tercera parte.
Las auditorías de segunda parte se llevan a cabo por partes que tienen un interés
en la organización, tales como los clientes, o por otras personas en su nombre.
Las auditorías de tercera parte se llevan a cabo por organizaciones auditoras
independientes y externas, tales como las que proporcionan la
certificación/registro de conformidad con las Normas ISO 9001 o ISO 14001.

Por ejemplo, en el caso de una auditoría externa a un proveedor, el que contrata


la auditoría no es el proveedor, sino la organización a la que este suministra. Son muy
frecuentes y suelen tener como principal fin, verificar que los procesos de elaboración
de las materias que luego se envían a la organización (contratista de la auditoría en este
caso) se adecuan a los criterios y estándares de calidad pactados.

© Universidad Internacional de La Rioja (UNIR)


58
Capítulo 4: Planificación y preparación de la Auditoría

La periodicidad de estas auditorías no es algo fijo e inamovible. Así, tratándose de una


auditoría contratada para un proveedor, es el contratista el que determina cada cuánto
tiempo se verifica esta evaluación.

Sin embargo, si hablamos de otro tipo de auditorías externas, como son las de
certificación, la periodicidad dependerá de varios factores:

Si se trata de la primera obtención del certificado normalmente la siguiente


auditoría se llevaría a cabo transcurridos tres años.
Auditorías de seguimiento o renovación del certificado, lo normal es que se
repitan con carácter anual (en ocasiones semestral).

También puede darse el caso de auditorías internas, también llamadas auditorías


de primera parte, que se realizan por, o en nombre de la propia organización para la
revisión por la dirección o con otros fines internos, y puede constituir la base para la
declaración de conformidad de una organización.

Respecto de los objetivos de la auditoría, no son otra cosa que los fines que la
organización o quien contrata la auditoría, en su caso, persigue conseguir tras la
finalización de la misma. En función de quién contrate la auditoría, tendremos distintos
fines u objetivos de la misma.

Así, como hemos visto antes, la auditoría realizada a un proveedor, persigue como fin
intrínseco, la comprobación de que esas materias suministradas cumplen con las
especificaciones pactadas, lo que puede comprobar el mismo cliente, o bien, encargarlo
a una tercera parte objetiva e independiente, como es una entidad auditora.

Algunos posibles objetivos o fines de la auditoría pueden ser:

Determinar la conformidad o no de los elementos del sistema con los requisitos


observados.
Determinar la eficacia del sistema implantado para alcanzar los objetivos.
Proporcionar al auditado la oportunidad de mejorar su sistema.
Hacer que se cumplan los requisitos reglamentarios.
Permitir la inscripción del sistema del organismo auditado en un registro.

© Universidad Internacional de La Rioja (UNIR)


59
Capítulo 4: Planificación y preparación de la Auditoría

4.3. Designación del jefe de auditoría y su equipo

El segundo paso continuar con la auditoría, es seleccionar un equipo auditor teniendo


en cuenta la competencia y cualificación necesarias para la consecución de los objetivos
perseguidos por la auditoría.

La norma ISO 19011 nos facilita la tarea de la selección, tanto de todo el equipo auditor,
como del auditor jefe. Esta norma, de carácter voluntario, describe los procesos para
evaluar a los auditores que habrán de ser seleccionados para componer el equipo.
Concretamente, el capítulo 7 de dicha norma facilita los criterios para fijar cuál es el
nivel de competencia requerido para ser auditor, así como los procesos de selección de
los mismos.

El equipo de auditores no es siempre igual, depende de diversos factores que serán


tomados en consideración a la hora de configurar el grupo. Al decidir el número de
auditores y su cualificación, debemos fijarnos en:

Si se trata de una auditoría de un solo sistema de gestión, de una auditoría de un


sistema integrado de gestión (por ejemplo, calidad y medio ambiente) o si se trata
de una auditoría parcial de un departamento de la organización (por ejemplo, el
departamento de compras) o bien, de toda la organización en su conjunto.
Los métodos de auditoría que se han seleccionado.
Cuál es la competencia del equipo auditor que se precisa para conseguir los
objetivos de la auditoría.
Cuáles son los objetivos, el alcance, los criterios y la duración prevista de la
auditoría.
Cuáles son los requisitos normativos y/o de certificación, en su caso, según sea
aplicable, en virtud del tipo de organización de que se trate, o del tipo de
certificación, además del lugar en el que radique la organización.
La objetividad, esto es, autonomía e independencia del equipo auditor con
respecto a las actividades a auditar evitando conflictos de intereses.
La capacidad de trabajo en equipo del equipo auditor para interaccionar con la
organización auditada y entre los propios auditores entre sí.
El idioma de la auditoría, y las características sociales y culturales del auditado.

© Universidad Internacional de La Rioja (UNIR)


60
Capítulo 4: Planificación y preparación de la Auditoría

El proceso de asegurar la competencia global del equipo auditor debería incluir los
siguientes pasos:

Qué conocimientos y habilidades son necesarios para alcanzar los objetivos


perseguidos por la auditoría.
Quiénes formarán parte del equipo auditor y qué habilidades y conocimientos se
les requieren.

En el caso de que el conocimiento y habilidades necesarios no se encuentren cubiertos


en su totalidad por los auditores del equipo, se pueden satisfacer incluyendo expertos
técnicos, si bien, normalmente esto no es muy frecuente, dado que los equipos de
auditores son pluridisciplinares, pero puede suceder y debe tenerse en cuenta. En tal
caso, dichos expertos técnicos deberían actuar bajo la dirección de un auditor.

Los auditores en formación pueden incluirse en el equipo auditor, pero no deben


auditar sin una dirección u orientación.

Tanto el cliente de la auditoría como el auditado pueden requerir la sustitución de


miembros en particular del equipo auditor con argumentos razonables basados en los
principios de la auditoría descritos en el capítulo 4 de la norma, que ya hemos visto en
la unidad temática correspondiente a la ISO 19011 y la selección y perfil de los
auditores.

Podríamos poner algún ejemplo sobre cuándo procedería realizar una sustitución en el
equipo auditor: por ejemplo, cuando se den situaciones de conflicto de intereses (como
que un miembro del equipo auditor sea un antiguo empleado de la organización
auditada, o que le haya prestado servicios de consultoría).

4.4. Estudio de la documentación relevante

Una vez planificada la auditoría, determinado quién compondrá el equipo auditor y


además, quién lo liderará, y teniendo en mente los objetivos de la misma y su alcance,
llegamos al punto en que se hace preciso pasar a la revisión de la documentación.

© Universidad Internacional de La Rioja (UNIR)


61
Capítulo 4: Planificación y preparación de la Auditoría

En la auditoría resulta fundamental el apartado de la documentación, lo que podemos


ver, desde dos puntos de vista:

Documentación revisada.
Documentación generada.

Así, una auditoría se ocupa de, en primer lugar, revisar toda la documentación referida
al sistema de gestión auditado, siempre respetando los límites de dicha auditoría. Es a
lo que nos referimos al hablar de documentación revisada.

Generalmente, el sistema documental de un sistema de gestión, ya sea de calidad,


medio ambiente, seguridad y salud laboral, etc., gira en torno a una pirámide
documental que vendría a ser como sigue:

Manual de calidad (o medio ambiente, o seguridad y salud laboral, etc.).


Manual de procedimientos de la calidad (o medio ambiente, o seguridad y salud
laboral, etc.).
Instrucciones de trabajo o instrucciones operacionales.
Registros, generados tras la puesta en funcionamiento del sistema, partiendo de
los documentos precedentes.

Otra documentación a revisar puede ser, por ejemplo:

Permisos y licencias.
Repertorios normativos y reglamentarios aplicables a la organización, que
deberán estar al día.

Por otro lado, si nos referimos a la documentación generada en la auditoría,


tendríamos, en primer lugar:

El plan y el programa de auditoría.


Listas de verificación para cada elemento del SC.
Formularios para recoger observaciones y formularios para consignar evidencias.

Son las herramientas de trabajo más importantes del equipo auditor, ya que le
permiten no olvidarse nada por auditar y llevar a cabo una tarea mucho más ordenada
y sistemática, es decir, mucho más eficiente, a la hora de encontrar evidencias.

© Universidad Internacional de La Rioja (UNIR)


62
Capítulo 4: Planificación y preparación de la Auditoría

4.5. Determinación del plan de auditoría

Compete al auditor jefe, diseñar el plan de auditoría a llevar a cabo. Una vez elaborado,
debe facilitarse a:

La organización auditada.
El cliente o contratista de la auditoría, si es distinto del auditado.
El equipo auditor.

Respecto de los contenidos del plan de auditoría, es preciso que contenga, al menos,
lo siguiente:

Objetivos.
Alcance.
Criterios de auditoría.
Personal involucrado, incluido el representante o representantes de la
organización auditada.
Ubicaciones de la auditoría.
Métodos de auditoría.
Documentos de referencia.
Componentes del equipo auditor y sus funciones y responsabilidades.
Idioma empleado en la auditoría.
Fecha de realización.
Duración estimada de las actividades de auditoría.
Programación de las reuniones con la dirección.
Requisitos referidos a la confidencialidad.
Acciones de seguimiento de la auditoría.
Recursos disponibles.
Distribución del informe de auditoría y fecha de emisión.

© Universidad Internacional de La Rioja (UNIR)


63
Capítulo 4: Planificación y preparación de la Auditoría

Ejemplo de plan de auditoría:

PLAN DE AUDITORÍA
Objetivo
Alcance
Criterios
Auditor jefe
Equipo auditor
Fecha Hora Actividad Observaciones Auditado Auditor

Elaborado por Revisado por: Aprobado por:

Fecha: Fecha: Fecha:

4.6. Preparación de cuestionarios o check-list

Como ya hemos visto al principio de esta unidad didáctica, en aras de una auditoría
metódica y sistemática que responda a los criterios de eficiencia y eficacia que debe
caracterizarla, se hace necesario contar con una serie de herramientas que facilite esto.

Como ya adelantábamos, las principales herramientas que nos facilitan la tarea son:

Check-List.
Listas de comprobación.

A continuación, veremos algún ejemplo de check-list para un sistema de calidad, que


nos servirá de guía para elaborar nuestros propios documentos base para la auditoría,
ya que, como podemos ver, es tan sencillo como utilizar de guía la norma a certificar:

© Universidad Internacional de La Rioja (UNIR)


64
Capítulo 4: Planificación y preparación de la Auditoría

REQUISITO NORMATIVO: CUMPLIMIENTO EVIDENCIA

ISO 9001-2015 SI NO

4. CONTEXTO DE LA ORGANIZACIÓN
4.1 COMPRENSIÓN DE LA
ORGANIZACIÓN Y DE SU CONTEXTO
¿La organización ha determinado las
cuestiones externas e internas que son
pertinentes de su propósito?
4.2 COMPRENSIÓN DE LAS
NECESIDADES Y EXPECTATIVAS DE
LAS PARTES INTERESADAS
¿Se han determinado las partes
interesadas del sistema de gestión?
¿Se han determinado los requisitos
pertinentes de las partes interesadas en el
sistema de gestión de la calidad?
¿Se realiza el seguimiento de la
información sobre estas partes interesadas
y sus requisitos pertinentes?
¿Se realiza la revisión de la información
sobre estas partes interesadas y sus
requisitos pertinentes?

Como puede observarse, la elaboración de este tipo de herramientas es algo sencillo, y


requiere contar con la norma objeto de la certificación, si es que se trata de ese tipo de
auditorías, ya que nos servirá como guion perfecto para no dejarnos nada en el tintero y
auditar de forma certera y metódica todo el sistema.

En nuestro ejemplo, hemos tomado como referencia la norma ISO 9001 en su versión
de 2015, y en una tabla hemos dispuesto espacios para verificar si se cumple o no, y en
tal caso, un espacio para reflejar la evidencia de ello.

4.7. Registro de hallazgos en la auditoría

Una vez realizados hallazgos en la auditoría, es decir, no conformidades a subsanar,


aparecerán en el informe de auditoría, pero previamente han de ser documentados. Esa
documentación debe contener, al menos, lo siguiente:

© Universidad Internacional de La Rioja (UNIR)


65
Capítulo 4: Planificación y preparación de la Auditoría

Fecha.
Área afectada.
Punto de la norma afectado.
Descripción de la evidencia hallada.
Personal involucrado.
Firma del auditor.

A continuación podemos ver un ejemplo de lo anterior:

Folio. Descripción de la no conformidad Punto de la Personal


norma ISO involucrado
Especificar: Requerimiento (R)-
9001:2015
Incumplimiento (I)- Evidencia (E)

180 R. La norma ISO 9001:2015 en su 5.3 Responsable


apartado 5.3 debe asegurarse de que las de RR. HH.
responsabilidades y autoridades están
definidas y son comunicadas dentro de la
organización.

I. No existe evidencia objetiva de la


comunicación y definición de las
responsabilidades del personal.

E. En la Empresa el responsable de RRHH


no ha definido las responsabilidades al
personal relacionado con la prestación de
servicios de igual manera no se le ha dado
la formación adecuada.

© Universidad Internacional de La Rioja (UNIR)


66
Capítulo 5
El proceso de Auditoría
Capítulo 5: El proceso de Auditoría

5.1. Introducción

El proceso de auditoría, es una de las etapas en la implantación y mantenimiento de los


sistemas de gestión más importantes ya que determinamos que estos estén
correctamente implantados o que el mantenimiento de los sistemas se está
desarrollando adecuadamente.

Sabemos que lo indicado anteriormente es así, porque en el proceso de auditoría


comprobamos las evidencias de que dicho funcionamiento se ajusta tanto a la norma de
referencia como a la forma en la que se ha definido en los procedimientos que se iba a
proceder a actuar.

En el ciclo Deming PDCA, las auditorías las encajaríamos en el apartado de check,


comprobar o chequear, de ahí que en este tema tratemos de manera pormenorizada el
proceso de la auditoría y para ello tendremos en cuenta especialmente la ISO 19011
:2011 de «Directrices para la auditoría de sistemas de gestión».

Veremos una de las modificaciones que se ha introducido, como la posibilidad de


desarrollar auditorías remotas y no únicamente auditorías in situ, analizaremos la
importancia de las reuniones de apertura como elemento que introduce a la
organización en el proceso que se va a desarrollar, presentando el equipo auditor,
explicando el desarrollo de la misma, los tiempos que se van a invertir y asegurando el
compromiso de la dirección para facilitar al equipo auditor el desarrollo de la auditoría
y todos aquellos documentos y registros que se soliciten.

Se hablará también de cómo se desarrolla la comunicación en la auditoría, la ejecución de


la misma conforme a la interpretación de los hallazgos vistos. El cierre de la auditoría
conlleva el informe final con los hallazgos, las no conformidades y observaciones
detectadas y la conclusión del auditor, que normalmente y dependiendo de la importancia
de las no conformidades llevará una planificación para su subsanación.

© Universidad Internacional de La Rioja (UNIR)


68
Capítulo 5: El proceso de Auditoría

5.2. Etapas del proceso de auditoría

Los métodos para la realización de una auditoría dependerán de los objetivos, del
alcance, así como de los criterios definidos en la misma, y teniendo en cuenta su
duración y ubicación.

Usualmente no se utiliza únicamente un método de auditoría sino que se optimiza


mejor la auditoría así como su efectividad y resultado, aplicando varios métodos y
combinándolos.

Así mismo, la realización de la auditoría conlleva que intervengan personas con diferentes
responsabilidades en el sistema de gestión de la organización. De este modo la ISO
19011:2011 introduce varias posibilidades de auditoría a llevar a cabo, estableciendo la
posibilidad de auditorías con múltiples miembros “in situ”, esto es, presencialmente en el
lugar físico de la organización, o como novedad de la nueva versión de 2011, estableciendo
la posibilidad de realizar auditorías remotas de manera simultánea.

Se definen las auditorías conforme a varios parámetros:

Grado de interacción entre auditor y auditado:

o Con interacción del ser humano: involucran interacción entre el personal del
auditado y el equipo auditor.
o Sin interactuación del ser humano: no involucran interacción humana con
personas que representan al auditado pero sí con el equipo, las instalaciones
y la documentación.

Ubicación del auditor:

o En el sitio: son llevadas a cabo en las instalaciones del auditado.


o Remota: son desarrolladas en otro sitio diferente a las instalaciones del
auditado, independientemente de la distancia.

Para que la auditoría que se realice de manera remota sea viable, podría depender del
grado de confianza entre el auditor y el auditado, es por ello que los métodos a utilizar
deben ser equilibrados y adecuados para lograr los objetivos del programa.

© Universidad Internacional de La Rioja (UNIR)


69
Capítulo 5: El proceso de Auditoría

Proceso de auditoría

Debe ser el auditor quien determine el proceso de auditoría de tal manera que la
estructura de la misma puede ser en dos procesos:

Vertical: Es una verificación detallada de todos los elementos del sistema


relacionados con un proceso o subproceso en particular. Se selecciona al azar, de
entre todo el trabajo realizado, un número determinado de procesos o
subprocesos. Este proceso incluye:

o Documentación del proceso o subproceso, (procedimiento, instrucciones,


órdenes de trabajo, etc.)
o Capacitación del personal involucrado.
o Calibración y mantenimiento de equipo utilizado.
o Inspecciones y ensayos.
o Especificaciones de costes, materias primas, productos, etc.
o Condiciones ambientales de producción.
o Registros.
o Almacenamiento de datos.
o Informes, seguimientos, etc.

Horizontal: Es una verificación detallada de un elemento del sistema de


gestión a través de todas las actividades de la empresa. Por ejemplo::

o Capacitación del personal.


o Equipos.
o Patrones y material de referencia.
o La distribución de documentos.

Gestión del tiempo

La gestión del tiempo va unida a la planificación de la auditoría y es fundamental para


conseguir el éxito de la misma. Es por ello que el auditor experimentado sabe en todo
momento como acceder a lo fundamental de la auditoría esquivando o evitando en todo
momento todo lo que le lleve a desviarse de los objetivos establecidos.

© Universidad Internacional de La Rioja (UNIR)


70
Capítulo 5: El proceso de Auditoría

Formulación de preguntas

En el momento de preparar todo lo referente a los documentos de trabajo, el equipo


auditor debería tener en cuenta las cuestiones como las que se presentan en el
siguiente listado:

¿Qué registro de auditoría será creado al usar este documento de trabajo?


¿Qué actividad de auditoría está relacionada con este documento de trabajo en
particular?
¿Quién será el usuario de este documento de trabajo?
¿Qué información es necesaria para preparar este documento de trabajo?

En las auditorías combinadas, el material de trabajo debe estar planificado con el


objetivo de que no se den duplicidades en la actuación de la auditoría. Así debería
tenerse en cuenta:

Agrupar requisitos similares de diferentes criterios.


Coordinar el contenido de las listas de verificación y cuestionarios relacionados.

Así mismo en la planificación de la auditoría los documentos de trabajo deben


adaptarse, de manera que los elementos del sistema que estén dentro de la órbita de la
auditoría sean factibles, que se puedan mostrar en todo momento y en cualquier
formato.

Selección de fuentes de información

Las fuentes de información seleccionadas pueden variar de acuerdo con el alcance y


complejidad de la auditoría y pueden incluir las siguientes:

Entrevistas con empleados y otras personas.


Observación de actividades, el ambiente y las condiciones que rodean el trabajo.
Documentos, tales como políticas, objetivos, planes, procedimientos, normas,
instrucciones, licencias y permisos, especificaciones, dibujos, contratos y órdenes.
Registros, tales como registros de inspección, actas de reunión, informes de
auditoría, registros de programa de monitoreo y los resultados de las mediciones.
Resúmenes de datos, análisis e indicadores de desempeño.
Información sobre los planes de muestreo del auditado y sobre los
procedimientos para los procesos de control de muestreo y de medición.

© Universidad Internacional de La Rioja (UNIR)


71
Capítulo 5: El proceso de Auditoría

Informes de otras fuentes, por ejemplo retroalimentación de clientes, encuestas y


mediciones externas, y otra información relevante de partes externas y calificación
de proveedores.
Bases de datos y sitios web.
Simulación y modelado.

Visitas a las instalaciones del auditado

Planear la visita:

o Asegurar permiso y acceso a aquellos sitios de las instalaciones del auditado


que se van a visitar, de acuerdo con el alcance de la auditoría.
o Facilitar la información adecuada a los auditores (por ejemplo a través de una
reunión informativa), en materia de seguridad, salud (por ejemplo,
cuarentena), salud ocupacional y normas culturales para la visita, incluyendo
vacunación y autorizaciones solicitadas y recomendadas, si se aplican.
o Confirmar con el auditado que cualquier equipo de protección individual
(EPI) requerido estará disponible para el equipo auditor, si se aplica.
o Excepto para auditorías no programadas y auditorías ad hoc, asegurar que el
personal que se va a visitar esté informado acerca de los objetivos y alcance
de la auditoría.

Actividades en el sitio:

o Evitar cualquier interrupción innecesaria de los procesos operacionales.


o Asegurar que el equipo auditor está usando adecuadamente el EPP.
o Asegurar que los procedimientos de emergencia son comunicados (por
ejemplo, salidas de emergencia, puntos de encuentro, etc.).
o Programar la comunicación para minimizar la interrupción.
o Adaptar el tamaño del equipo auditor y el número de guías y observadores
de acuerdo con el alcance de la auditoría, a fin de evitar interferencia con los
procesos operacionales tanto como sea posible.
o No tocar o manipular ningún equipo, a menos que le sea explícitamente
permitido, aunque sea competente o tenga licencia para hacerlo.
o Si ocurre un incidente durante la visita al sitio, el líder del equipo auditor
debería revisar la situación con el auditado y, si es necesario, con el cliente

© Universidad Internacional de La Rioja (UNIR)


72
Capítulo 5: El proceso de Auditoría

de auditoría y debería llegar a un acuerdo respecto a si la auditoría debería


ser interrumpida, re-programada o continuada.
o Si se van a tomar fotos o realizar vídeos, debe de solicitarse autorización a la
gerencia con anticipación y tener en cuenta los temas de seguridad y
confidencialidad. Es necesario evitar tomar fotografías de personas individuales
sin su consentimiento previo.
o Al sacar copias de documentos de cualquier clase, debe solicitarse permiso con
antelación y tener muy en cuenta los temas de confidencialidad y seguridad.
o Al tomar notas, debe evitarse recolectar información personal a menos que
esto sea requerido por los objetivos o criterios de la auditoría.

Realización de entrevistas

Las entrevistas son uno de los medios importantes para recolectar información y
deberían ser llevadas a cabo de manera tal que sean adaptadas a la situación y la
persona entrevistada, ya sea frente a frente o por otros medios de comunicación.

Sin embargo, el auditor debería tener en cuenta lo siguiente:

Las entrevistas se deberían realizar a personas con niveles y funciones apropiadas


que lleven a cabo actividades o tareas que se encuentren dentro del alcance de
la auditoría.
Las entrevistas normalmente deberían ser realizadas durante horas normales de
trabajo cuando sea posible, en el sitio habitual de trabajo de la persona entrevistada.
Necesidad de tranquilizar a la persona que se va a entrevistar antes y durante
la entrevista.
Se debería explicar la razón de la entrevista y cualquier nota tomada.
Las entrevistas pueden ser iniciadas solicitando a las personas que describan
su trabajo.
Selección cuidadosa del tipo de pregunta usada (por ejemplo abierta, cerrada,
conducente).
Los resultados de la entrevista deberían ser resumidos y revisados con la persona
entrevistada.
Se debería agradecer a la persona entrevistada por su participación y
cooperación.

© Universidad Internacional de La Rioja (UNIR)


73
Capítulo 5: El proceso de Auditoría

Técnicas de muestreo

Cuando los registros, por ejemplo, son muy abundantes y es muy costoso revisar todo
durante la auditoría o incluso geográficamente pueden estar muy desperdigados, el
muestreo supone analizar de manera aleatoria parte de los documentos para poder evaluar
la evidencia a fin de poder concluir las características que intentamos evidenciar.

El objetivo del muestreo en auditoría es proveer información tal que el auditor tenga la
confianza de que se podrán alcanzar los objetivos de la auditoría.

Se corren determinados riesgos en este proceso ya que éstos pueden no ser


representativos y las conclusiones pueden no ser reales.

El muestreo en auditoría típicamente involucra los siguientes pasos:

Establecer los objetivos del plan de muestreo.


Seleccionar el grado y composición de la población a ser muestreada.
Seleccionar el método de muestreo.
Determinar el tamaño de muestra a tomar.
Llevar a cabo la actividad de muestreo.
Compilar, evaluar, reportar y documentar resultados.

Al realizar el muestreo, se debería prestar atención a la calidad de los datos disponibles


ya que, un muestreo insuficiente y datos incorrectos no entregarán un resultado útil.

La selección de una muestra apropiada debería estar basada tanto en el método de


muestreo como en el tipo de datos requeridos, por ejemplo, para inferir un patrón de
comportamiento particular en una población.

El informe sobre la muestra seleccionada podría tener en cuenta el tamaño de la muestra,


el método de selección y estimaciones sobre la base de la muestra y el nivel de confianza.

Muestreo basado en juicio

El muestreo basado en juicio confía en el conocimiento, habilidades y experiencia del


equipo auditor.

© Universidad Internacional de La Rioja (UNIR)


74
Capítulo 5: El proceso de Auditoría

Para realizar un muestreo basado en juicio, se puede tener en cuenta lo siguiente:

Experiencia previa de auditoría dentro del alcance de la auditoría.


Complejidad de los requisitos (incluyendo requisitos legales) para alcanzar los
objetivos de la auditoría.
Complejidad e interacción de los procesos de la organización y los elementos del
sistema de gestión.
Grado de cambio en la tecnología, factor humano o sistema de gestión.
Áreas clave de riesgo previamente identificadas y áreas de mejora.
Salidas para el monitoreo de los sistemas de gestión.

Un inconveniente del muestreo basado en juicio es que puede no haber un estimado


estadístico sobre el efecto de incertidumbre en los hallazgos y conclusiones de
auditoría alcanzados.

Muestreo Estadístico

Si se toma la decisión de usar muestreo estadístico, el plan de muestreo debería estar


basado en los objetivos de la auditoría y en lo que se conoce acerca de las características
de la población general de la cual se están tomando las muestras.

El muestreo estadístico usa un proceso de selección de muestra basado en la


teoría de probabilidad.

o El muestreo basado en atributos se usa cuando solo hay dos resultados


posibles de muestra para cada una de ellas (por ejemplo correcto/ incorrecto
o paso/ fallo).
o El muestreo basado en variable se usa cuando los resultados de muestra se
dan en un rango continuo.

El plan de muestreo debería tener en cuenta si hay la probabilidad de que el


resultado que se está examinando sea basado en atributos o basado en variables.
Por ejemplo:

o Al evaluar conformidad de los formularios completados con los requisitos


establecidos en un procedimiento, se pude usar un enfoque de muestreo
basado en atributos.

© Universidad Internacional de La Rioja (UNIR)


75
Capítulo 5: El proceso de Auditoría

o Al examinar la ocurrencia de incidentes de seguridad en alimentos o el


número de brechas de seguridad, un enfoque basado en variable
probablemente sería más apropiado.

Los elementos clave que afectarán el plan de muestreo de auditoría son:

o El tamaño de la organización.
o El número de auditores competentes.
o La frecuencia de las auditorías durante el año.
o El tiempo de una auditoría individual.
o Cualquier nivel de confianza requerido externamente.

Cuando se desarrolla un plan de muestreo estadístico, el nivel de riesgo de muestreo


que el auditor está dispuesto a aceptar es una consideración importante. Esto a
menudo es conocido como el nivel de confianza aceptado. Por ejemplo:

Un riesgo de muestreo de 5 % corresponde a un nivel de confianza aceptado


de 95%. Un riesgo de muestreo de 5% significa que el auditor está dispuesto a
aceptar el riesgo de que 5 de cada 100 (o 1 de 20) muestras examinadas no
reflejarán los valores reales que se encontrarían si toda la población fuera
examinada.

Cuando se usa el muestreo estadístico, los auditores deberían documentar


apropiadamente el trabajo realizado. Esto debería incluir:

o Una descripción de la población que se quiere muestrear.


o Los criterios de muestreo usados para la evaluación (por ejemplo qué es una
muestra aceptable).
o Los parámetros estadísticos y los métodos utilizados, el número de muestras
y los resultados obtenidos.

5.3. Reunión de apertura

El auditor líder, en las auditorías externas, debe iniciar la auditoria con una reunión de
apertura. En esta reunión se debe contar con el personal de la empresa, presididos por el
director general y del representante de la dirección (en las nuevas versiones de la 9001 y

© Universidad Internacional de La Rioja (UNIR)


76
Capítulo 5: El proceso de Auditoría

14001 del 2015, no existe el representante de la dirección. Se asignan responsabilidades y


autoridades similares).

En esta reunión el auditor líder debe confirmar el alcance del proceso de auditoría y los
objetivos de la misma y el plan de la auditoría que va a llevarse a cabo. En una auditoría
interna suele ser menos formal todo el proceso.

La reunión debe celebrarse con la dirección del auditado o en su caso con la presencia
de los responsables de aquellos procesos en los que se van a auditar.

El auditor experto debe generar confianza y precisar desde el principio los conceptos
básicos de la auditoría, así como exponer la logística que se va a utilizar, presentar
a los miembros del equipo de auditoría siguiendo con cuestiones más técnicas como
las siguientes:

Revisar el alcance, los objetivos y el plan de auditoría y acordar los horarios de


la auditoria.
Planificación: objetivos y alcance (áreas a las que afectará).
Criterios que se utilizarán.
Personas implicadas y calendario.
Dejar claro la confidencialidad del proceso.
Aclarar que la dirección pone a disposición del equipo auditor todos los recursos,
así como también, facilita solventar las necesidades que surjan por parte del
equipo auditor.

Tras la reunión de apertura es interesante realizar una visita por las instalaciones de la
organización para que el auditor se haga una idea de sus procesos y ubicación.

5.4. Comunicación durante la auditoría

Durante la auditoría puede resultar necesario hacer arreglos formales de comunicación


entre el equipo auditor, así como con el auditado, el cliente de auditoría y los
potenciales entes externos (por ejemplo los entes reguladores), especialmente cuando
los requisitos legales incluyen el informe obligatorio de no conformidades.

© Universidad Internacional de La Rioja (UNIR)


77
Capítulo 5: El proceso de Auditoría

El equipo de auditoría debería reunirse periódicamente para intercambiar información,


evaluar el progreso de la auditoría y reasignar trabajo entre los distintos miembros del
mismo, según resulte necesario.

Durante la auditoría, el líder del equipo auditor debería comunicar periódicamente


el progreso de la auditoría y cualquier duda al auditado y cliente de auditoría, según
sea apropiado.

La evidencia recolectada durante la auditoría que sugiera un riesgo significativo


inminente para el auditado, debería ser reportado sin demora al mismo, y cuando sea
apropiado, al cliente de auditoría. Cualquier inquietud acerca de temas que están fuera
del alcance de la auditoría debería ser notada y reportada al líder del equipo auditor,
para su posible comunicación al cliente de auditoría y al auditado.

Cuando la evidencia de auditoría disponible indique que no se pueden alcanzar los


objetivos de auditoría, el líder del equipo auditor debería reportar las razones al cliente
de auditoría y al auditado para determinar las acciones apropiadas. Tales acciones
pueden incluir la reconfirmación o modificación del plan de auditoría, cambios en los
objetivos o alcance de la auditoría, o finalización de la misma.

Cualquier necesidad de realizar cambios al plan de auditoría que se puedan hacer


patentes durante el progreso de las actividades de auditoría debería ser revisada y
aprobada, si es apropiado, tanto por la persona que gestiona el programa de auditoría
como por el auditado.

Asignación de roles y responsabilidades de guías y observadores

Los guías y observadores pueden acompañar al equipo de auditores. Estos no deberían


influenciar o interferir en la realización de la auditoría. Si esto no se puede asegurar, el
líder del equipo auditor debería tener el derecho de negar a los observadores la
participación en ciertas actividades de la misma.

Para los observadores, cualquier obligación relacionada con salud, seguridad,


confidencialidad y seguridad de la información debería ser manejada entre el cliente de
auditoría y el auditado.

© Universidad Internacional de La Rioja (UNIR)


78
Capítulo 5: El proceso de Auditoría

Los guías nombrados por el auditado, deberían ayudar al equipo auditor y actuar a
petición del líder del equipo.

Sus responsabilidades deberían incluir las siguientes:

Ayudar a los auditores a identificar a los individuos que van a participar en las
entrevistas y confirmar los tiempos.
Organizar la logística de acceso a instalaciones específicas del auditado.
Asegurar que el equipo auditor y los observadores conocen y respetan las reglas
relacionadas con la seguridad de la ubicación y los procedimientos de emergencia.

El rol del guía también puede incluir lo siguiente:

Ser testigo de la auditoría en nombre del auditado.


Facilitar aclaraciones o ayudar a recolectar información.

5.5. Ejecución de la auditoría

Recopilación y verificación de la información

Durante la auditoría, la información relevante a los objetivos, alcance y criterios de la


misma, incluyendo información relacionada con interfaces entre funciones, actividades y
procesos debería ser recolectada por medio de muestreo apropiado y debería ser verificada.

Solo la información verificable debería ser aceptada como evidencia de auditoría. La


evidencia de auditoría que conduce a hallazgos de la misma debería ser registrada. Si
durante la recolección de la evidencia el equipo auditor conoce circunstancias o riesgos
nuevos o cambiantes, estos deberían ser tratados por el equipo de manera concordante.

Generación de hallazgos de auditoría

La evidencia de auditoría debería ser evaluada contra los criterios de la misma a fin de
determinar los hallazgos. Éstos pueden indicar conformidad o no conformidad con los
criterios de la auditoría. Cuando el plan así lo especifique, los hallazgos individuales
deberían incluir conformidad y buenas prácticas junto con su evidencia de soporte,
oportunidades de mejora y recomendaciones para el auditado.

© Universidad Internacional de La Rioja (UNIR)


79
Capítulo 5: El proceso de Auditoría

Las no conformidades y su soporte de evidencia deberían ser registradas. Las no


conformidades pueden estar clasificadas. Estas deberían ser revisadas con el auditado a
fin de obtener reconocimiento de que la evidencia de auditoría es correcta y que las no
conformidades son entendidas. Se debería realizar todo intento de resolver opiniones
divergentes relacionadas con la evidencia o hallazgos de auditoría, cualquier punto sin
resolver debería ser registrado.

El equipo debería reunirse con la frecuencia que sea necesaria para revisar los hallazgos
a intervalos adecuados durante la auditoría.

Determinación de hallazgos de auditoría

Al determinar los hallazgos de auditoría, se debería considerar lo siguiente:

Seguimiento de registros y conclusiones de auditorías previas.


Requisitos del cliente de auditoría.
Hallazgos que exceden la práctica normal, u oportunidades de mejora.
Tamaño de la muestra.
Categorización (de haberla) de los hallazgos de auditoría.

Registro de conformidades

Para registros de conformidad, se debería tener en cuenta lo siguiente:

Identificación de los criterios de auditoría contra los cuales se muestra la conformidad.


Evidencia de auditoría para soportar la conformidad.
Declaración de conformidad, si se aplica.

Registro de no conformidades

Para realizar los registros de no conformidad, se debería tener en cuenta lo siguiente:

Descripción o referencia a los criterios de auditoría.


Declaración de no conformidad.
Evidencia de auditoría.
Hallazgos de auditoría relacionados, si se aplican.

© Universidad Internacional de La Rioja (UNIR)


80
Capítulo 5: El proceso de Auditoría

Ejemplo de nota de hallazgo:

Auditoría Empresa:
_ Interna
Departamento auditado:
_ Certificación
_ Seguimiento Fecha: Nota Nº:
_ Renovación

Norma de aplicación:

Deficiencias observadas:

Categorización: _ No conformidad _ Desviación _ Observación

Firma auditor Firma auditado

Tratamiento de hallazgos relacionados con múltiples criterios

Durante una auditoría es posible identificar hallazgos relacionados con múltiples


criterios. Cuando un auditor identifica un hallazgo asociado con un criterio de una
auditoría combinada, el auditor debería considerar el posible impacto sobre criterios
correspondientes o similares de los otros sistemas de gestión.

© Universidad Internacional de La Rioja (UNIR)


81
Capítulo 5: El proceso de Auditoría

Dependiendo de lo acordado con el cliente de auditoría, el auditor puede levantar:

Hallazgos separados para cada criterio.


Un único hallazgo, combinando las referencias a múltiples criterios.

Dependiendo de los acuerdos con el cliente de auditoría, el auditor puede guiar al


auditado sobre cómo responder a dichos hallazgos.

Preparación de conclusiones de auditoría

El equipo auditor debería reunirse antes de la reunión de cierre con el fin de:

Revisar los hallazgos de la auditoría y cualquier otra información apropiada


recopilada durante la auditoría frente a los objetivos de la misma.
Llegar a un acuerdo respecto a las conclusiones, teniendo en cuenta la
incertidumbre inherente en el proceso de auditoría.
Preparar recomendaciones, si esto está especificado en el plan de auditoría.
Discutir el seguimiento a la auditoría, según sea aplicable.

Las conclusiones de auditoría pueden tratar aspectos tales como los siguientes:

El grado de conformidad con los criterios establecidos y la robustez del sistema


de gestión, incluyendo la efectividad del mismo para cumplir con los objetivos
definidos en el plan.
La efectiva implementación, mantenimiento y mejora del sistema de gestión.
La capacidad del proceso de revisión por la dirección de asegurar la continua
idoneidad, capacidad, efectividad y mejora del sistema de gestión.
Logro de los objetivos de auditoría, cobertura del alcance y cumplimiento con los
criterios de la misma.
Causas raíz de los hallazgos, si está especificado en el plan.
Hallazgos similares encontrados en diferentes áreas auditadas con el propósito
de identificar tendencias.

Si el plan de auditoría así lo especifica, las conclusiones de la auditoría pueden llevar a


recomendaciones para la mejora o futuras actividades de auditoría.

© Universidad Internacional de La Rioja (UNIR)


82
Capítulo 5: El proceso de Auditoría

5.6. Reunión de cierre

Se debería llevar a cabo una reunión de cierre, facilitada por el líder del equipo auditor,
para presentar los hallazgos y conclusiones de la auditoría. Entre los participantes de la
reunión de cierre se deberían encontrar la gerencia del auditado y, cuando sea
apropiado, aquellos responsables de las funciones o procesos que han sido auditados, y
también pueden incluir al cliente u otras partes. Si es necesario, el líder del equipo
auditor debería prevenir al auditado de las situaciones encontradas durante la auditoría
que pudieran disminuir la confianza en las conclusiones de la misma.

Si está definido en el sistema de gestión, o por acuerdo con el cliente de auditoría, los
participantes deberían llegar a un acuerdo sobre el intervalo de tiempo para que el
auditado presente un plan de acción para dar tratamiento a los hallazgos de la misma.
El grado de detalle debería ser consistente con la familiaridad del auditado con el
proceso de auditoría. Para algunas situaciones de auditoría, la reunión puede ser formal
y las actas, incluyendo los registros de asistencia deberían conservarse. En otros casos,
como en el caso de auditorías internas, la reunión de cierre es menos formal y puede
consistir solo en comunicar los hallazgos y conclusiones.

Según sea apropiado, se debe explicar lo siguiente al auditado durante la reunión de cierre:

Aclarar que la evidencia de auditoría recolectada está basada en una muestra de


la información disponible.
El método de reporte.
El proceso de manejo de hallazgos de auditoría y las posibles consecuencias.
Presentación de los hallazgos y conclusiones de auditoría de tal manera que sean
comprendidas y reconocidas por la gerencia del auditado.
Cualquier actividad post-auditoría relacionada (por ejemplo, la implementación de
acciones correctivas, manejo de quejas de auditoría, proceso de apelación, etc.).

Cualquier opinión divergente relativa a los hallazgos de la auditoría y/o a las


conclusiones entre el equipo auditor y el auditado deberían discutirse y, si es posible,
resolverse. Si no se resolvieran, las dos opiniones deberían registrarse.

Si los objetivos de la auditoría así lo especifican, se pueden presentar recomendaciones


de mejora. Se debería enfatizar que dichas recomendaciones no son obligatorias.

© Universidad Internacional de La Rioja (UNIR)


83
Capítulo 5: El proceso de Auditoría

Preparación del informe de auditoría

El líder del equipo auditor debería reportar los resultados de acuerdo con los
procedimientos del programa de auditoría.

El informe de auditoría debería facilitar un registro completo, exacto, conciso y claro de


la auditoría y debería incluir o hacer referencia a lo siguiente:

Los objetivos.
El alcance, particularmente la identificación de las unidades de la organización y
de las unidades funcionales o los procesos auditados.
Identificación del cliente.
Identificación del equipo auditor y los participantes del auditado en la auditoría.
Las fechas y los lugares donde se realizaron las actividades de auditoría.
Los criterios.
Los hallazgos de la auditoría y la evidencia relacionada.
Las conclusiones.
Una declaración sobre el grado en el cual se han cumplido los criterios de la auditoría.

El informe de la auditoría también puede incluir o hacer referencia a lo siguiente, según


sea apropiado:

El plan de auditoría incluyendo la programación de tiempos.


Un resumen del proceso, incluyendo cualquier obstáculo encontrado que pueda
disminuir la confianza en las conclusiones de la auditoría.
Confirmación de que se han alcanzado los objetivos de la misma dentro del
alcance, de acuerdo con el plan de auditoría.
Áreas no cubiertas incluidas dentro del alcance.
Un resumen de las conclusiones de la auditoría y los principales hallazgos que
las soportan.
Cualquier opinión divergente sin resolver entre el equipo auditor y el auditado.
Oportunidades de mejora, si está especificado en el plan de auditoría.
Buenas prácticas identificadas.
Planes de acción acordados, si los hubiese.
Una declaración de la naturaleza confidencial de los contenidos.
Cualquier implicación para el programa de auditoría o auditorías posteriores.
La lista de distribución del informe de auditoría.

© Universidad Internacional de La Rioja (UNIR)


84
Capítulo 5: El proceso de Auditoría

Distribución del informe de auditoría

El informe de auditoría debería ser emitido dentro de un período de tiempo acordado.


En caso de demoras, las razones deberían ser comunicadas a la persona que gestiona el
programa de auditoría.

El informe debería estar fechado, revisado y aprobado, según aplique, de acuerdo con
los procedimientos del programa de auditoría.

El informe debería entonces ser distribuido a los receptores designados en los


procedimientos o plan de auditoría.

Finalización de la auditoría

La auditoría finaliza cuando todas las actividades planeadas hayan sido llevadas a cabo,
o acordadas de otro modo con el cliente de auditoría (puede presentarse una situación
inesperada que no permita que la auditoría sea completada de acuerdo con el plan).

Los documentos pertenecientes a la auditoría deberían conservarse o destruirse de


común acuerdo entre las partes participantes y de acuerdo con los procedimientos del
programa de auditoría y los requisitos aplicables.

Salvo que sea requerido por ley, el equipo auditor y los responsables de la gestión del
programa de auditoría no deberían revelar el contenido de los documentos, cualquier
otra información obtenida durante la auditoría, ni el informe de la misma a ninguna
otra parte sin la aprobación explícita del cliente y, cuando sea apropiado, la del
auditado. Si se requiere revelar el contenido de un documento de la auditoría, el cliente
y el auditado deberían ser informados tan pronto como sea posible.

Las lecciones aprendidas a raíz de la auditoría deberían ser incluidas en el proceso de


mejora continua del sistema de gestión de las organizaciones auditadas.

Realización de seguimiento a la auditoría

Dependiendo de los objetivos de la auditoría, las conclusiones pueden indicar la necesidad


de acciones correctivas, preventivas, o de mejora. Tales acciones generalmente son
decididas y emprendidas por el auditado en un intervalo de tiempo acordado. Según sea

© Universidad Internacional de La Rioja (UNIR)


85
Capítulo 5: El proceso de Auditoría

apropiado, el auditado debería mantener informada a la persona que gestiona el programa


de auditoría y al equipo auditor acerca del estatus de estas acciones.

La finalización y efectividad de estas acciones debería ser verificada. Esta verificación


puede ser parte de una auditoría posterior.

© Universidad Internacional de La Rioja (UNIR)


86
Capítulo 6
Informe y seguimiento
de las Auditorías
Capítulo 6: Informe y seguimiento de las Auditorías

6.1. Introducción

A lo largo de las unidades didácticas precedentes, hemos podido comprobar cómo


transcurría el proceso al completo de las auditorías. Pues bien, en esta última unidad,
vamos a ver cómo culmina dicho proceso.

El eje principal de esta unidad didáctica lo constituyen dos puntos fundamentales:

El informe final de auditoría.


El seguimiento de la auditoría.

En las siguientes páginas veremos en detalle cómo se elabora el informe de auditoría, es


decir, su formato, el contenido necesario que debe incluir y los conceptos que en él se
manejan, para dejar dichos conceptos lo más claros posibles.

También veremos el diálogo que se establece entre auditores y auditados en esta fase,
cómo intervienen unos y otros y cómo interactúan.

Y por último, hablaremos de cómo realizar el seguimiento de las auditorías, y cómo se


contempla esto en las normas que orientan la realización de las mismas.

6.2. Fase final de la auditoría: relaciones entre auditado y


equipo auditor

Durante la auditoría, el auditor jefe comentará cualquier inquietud a la organización


auditada.

Cualquier necesidad de cambios en el alcance de la auditoría que pueda evidenciarse a


medida que esta progresa, se revisa con la contraparte y son aprobados por él.

Durante la auditoría, el equipo auditor registra el cumplimiento o incumplimiento de


cada uno de los requisitos y las correspondientes evidencias en la lista de verificación, o
check-list, o cualquier otra herramienta utilizada para recabar los datos precisos, para,
posteriormente, elaborar el informe.

© Universidad Internacional de La Rioja (UNIR)


88
Capítulo 6: Informe y seguimiento de las Auditorías

El registro de las evidencias en la lista de verificación, especialmente cuando configuran


una no conformidad, debe:

Señalar claramente el hecho (por ejemplo, el documento y su versión, números


de registro, fechas, datos, etc.).
Evitar ser una opinión, algo subjetivo.
Identificarse directamente con el requisito aplicable (por ejemplo, requisito,
procedimiento, etc.)
Las situaciones que pueden conformar una no conformidad son planteadas a los
interlocutores de la organización durante el transcurso de la auditoría dando la
oportunidad de expresar sus opiniones y realizar todo el esfuerzo posible para
resolver en caso de ocurrir, cualquier opinión divergente.
El equipo auditor analiza los registros y observaciones “in situ”, mediante las
cuales, y basándose en evidencias objetivas se verifica si se está operando de
acuerdo con los requisitos de la norma en la que se basa la auditoría.
En el caso de que el auditor jefe lo considere necesario, se realizarán reuniones
del equipo auditor durante la auditoría.
Es preciso verificar el cumplimiento del plan de auditoría y la necesidad de
modificaciones al mismo, en su caso.
Se plantean dudas de los auditores y/o expertos para consultar a la organización
si es necesario.
Es importante homogeneizar los criterios del equipo auditor, en aras de la mayor
objetividad posible.

Tras haber finalizado la auditoría in situ, es preciso tener una reunión del equipo
auditor donde se analizan las evidencias encontradas y se tratan con el auditor jefe las
oportunidades de mejora y no conformidades detectadas. Seguidamente, él redacta un
listado de los hallazgos detectados identificando claramente la evidencia
correspondiente y qué requisito es aplicable.

Finalizada la reunión del equipo auditor, el auditor jefe dirige la reunión de cierre con
la organización, con el objeto de trasmitir las evidencias de conformidad y no
conformidad detectadas. En esta reunión toman parte la dirección de la organización,
así como los interlocutores designados por la dirección y el equipo auditor.

El auditor jefe debe llevar adelante la reunión y abstenerse de cualquier observación


sobre el resultado de la auditoría. También debe:

© Universidad Internacional de La Rioja (UNIR)


89
Capítulo 6: Informe y seguimiento de las Auditorías

Recordar los objetivos de la auditoría ya mencionados en la reunión de apertura.


Agradecer la asistencia y cooperación con el equipo auditor.
Recordar el carácter de muestreo de la auditoría, es importante que la
organización lo tome en consideración.
Explicar de forma clara y comprensible a los interlocutores designados por la
misma, la manera en la que deben tratarse las no conformidades y los pasos que
la organización tiene que seguir para salvarlas.
Responder a las preguntas y observaciones realizadas por la organización.
En caso de recibir cualquier opinión divergente relativa a los hallazgos de
auditoría se clarifican con las contrapartes y, si es posible, se resuelven. Si no se
resolvieran, las dos opiniones se registran posteriormente en el informe de
auditoría.
Entonces ya es necesario realizar la firma del listado de las evidencias
detectadas, dejando copia en la organización.
Cerrar la reunión dando por finalizada la auditoría.

Como ya hemos dicho, una vez concluida la auditoría, sus resultados deben plasmarse
documentalmente.

El informe de auditoría es elaborado bajo la dirección y supervisión del auditor jefe,


que es el responsable de que este sea preciso, veraz y completo, ya que debe ir
acompañado de la fecha y de su firma.

Es fundamental que dicho informe observe ciertos principios:

Corrección formal (en el estilo, sintaxis, y por supuesto, en la ortografía).


Rigurosidad en su contenido.

Habitualmente, se lleva a cabo su presentación en la reunión de cierre de auditoría. Sin


embargo, si se da el caso de que esto no es posible por no disponer de suficiente tiempo,
o que por circunstancias, las que fueran, su presentación en ese foro no procediera, se
habilitaría un plazo concreto, no más allá de cinco días hábiles, después de la auditoría.

Este informe contendrá como mínimo la siguiente información:

Objeto y alcance de la auditoría.

© Universidad Internacional de La Rioja (UNIR)


90
Capítulo 6: Informe y seguimiento de las Auditorías

Contenido detallado del plan de auditoría.


Identificación de componentes del equipo auditor y de los representantes del
auditado.
Fecha de la auditoría.
Identificación clara e inequívoca del auditado.
Identificación de los documentos de referencia contra los cuales se ha realizado
la auditoría (por ejemplo la norma ISO 9001:2008).
Listado conteniendo las “no conformidades” detectadas.
Resumen de los resultados de la auditoría, incluyendo la apreciación del equipo
auditor sobre el grado de conformidad del auditado con la norma aplicable del
sistema de la calidad y la documentación relacionada.
Descripción, en el caso de haber “no conformidades” de las recomendaciones
para solventarlas.

Durante la realización de una auditoría, una vez que el auditor haya llegado a la
conclusión objetiva de que existe un incumplimiento con respecto a lo establecido en el
sistema o norma de referencia, deberá documentarlo y elaborar una nota de no-
conformidad o desviación. Sin embargo, como hemos comentado antes, es
aconsejable discutir antes con los interlocutores de la organización en la auditoría, esta
evidencia, de modo que a menudo se puede solventar más de una no-conformidad, sin
llegar a reflejarlo documentalmente. Esto sucede a veces porque para el auditor hay
aspectos que no están tan claros como lo pueden estar para el personal de la
organización. Esto también puede traducirse en que una no-conformidad se califique
de mera observación, por ejemplo, tras una breve charla con los responsables de
calidad de la organización.

A continuación vamos a hablar de las no-conformidades, y sus diferentes


clasificaciones, en función de la gravedad de las mismas:

No conformidades graves: se deben a la ausencia de un requisito de la norma,


incumplimiento de un requisito legal, incumplimiento sistemático de algún requisito de
la organización o, en el caso de la ISO 9001, cualquier no conformidad cuyo efecto
pueda resultar perjudicial para la integridad de un producto o servicio.

Indican que el sistema falla.


Afectan o pueden afectar directamente a la calidad del producto o servicio.
Deben solventarse de inmediato.

© Universidad Internacional de La Rioja (UNIR)


91
Capítulo 6: Informe y seguimiento de las Auditorías

Ejemplo: No se han corregido las deficiencias del sistema halladas en la auditoría


precedente, es decir, no se han subsanado las no conformidades encontradas
anteriormente.

No conformidades leves: significan que existe un defecto más leve del sistema que en el
caso anterior respecto a los requisitos de la norma con que se audita, un incumplimiento
puntual de algún requisito de la norma o de algún requisito de la organización.

Se trata de fallos del sistema esporádicos, no sistemáticos ni repetidos.


No afectan directamente a la calidad del producto o servicio.
Deben ser subsanados, pero no resulta tan urgente hacerlo ya.

Ejemplo: Detección de variaciones sin mucha relevancia, en la ejecución de un


procedimiento documentado.

Observación: las Observaciones no son una desviación, propiamente dicha. Se trata


circunstancias que sin suponer incumplimientos propiamente dichos, pueden
ocasionarlos en algún momento si no se corrigen.

Pueden ser oportunidades de mejora.


No necesitan de acciones correctoras. Requieren que se analice y que la
organización auditada tome acciones si es preciso, pero no es necesario someter
dichas acciones al equipo auditor.

Ejemplo: Los indicadores definidos para el seguimiento y medición de los procesos


pueden resultar insuficientes para demostrar su capacidad para cumplir los
requisitos especificados.

Estas notas deben ser elaboradas muy conscientemente manifestando solamente los
hechos encontrados y cuál es, sin lugar a dudas, el requerimiento que incumplen, para
lo cual el equipo auditor ha de tomarse suficiente tiempo de reflexión.

Cada nota de no-conformidad se ha de redactar de forma clara y concisa, de tal suerte


que no solo sirvan para informar de los incumplimientos a la empresa sino que,
además, de ellas se desprendan cuáles son los pasos a seguir por la firma para
solucionar o corregir la no-conformidad. Son documentos que han de servir, asimismo,

© Universidad Internacional de La Rioja (UNIR)


92
Capítulo 6: Informe y seguimiento de las Auditorías

de información para el auditor (puede no ser el mismo) que ha de comprobar en visitas


posteriores si las no-conformidades han sido solucionadas.
Cada nota de no-conformidad podría incluir lo siguiente o seguir el formato que, a
continuación proponemos a modo de ejemplo:

Identificación Descripción Categorización Corrección Cierre


desviación o no de la no- y acción
Área auditada
conformidad con conformidad correctiva
su evidencia
correspondiente

Área auditada, Incumplimiento Grave (G), Acuerdo de Constatación


especificación observado, norma o Leve (L) u acción para de la
aplicable (norma procedimiento Observación (O). eliminar la no efectividad de
y párrafo/ incumplido, conformidad la acción
procedimiento, evidencias detectada y correctora
fecha, nº de detectadas del acción para prevista por
auditoría y nº de incumplimiento y eliminar su el auditor.
nota). frecuencia de causa.
aparición. Ambas con
Las evidencias y las los plazos y
pruebas de hallazgo, responsables
deben ser objetivas y
establecidas en base
a:

Revisión
documental.
Observación
de hechos.
Entrevistas/
toma de
notas.
Muestreo de
registros.

Firma del auditor


y fecha:

Modelo de recogida de evidencias y no-conformidades.


Fuente: Melchor Chinchetru, Fernando (2013).

© Universidad Internacional de La Rioja (UNIR)


93
Capítulo 6: Informe y seguimiento de las Auditorías

Es recomendable mantener una actitud proactiva a lo largo de la auditoría, tanto por


parte de la organización auditada y sus interlocutores, como por la del equipo auditor y
auditor jefe. No se trata de mantener una contienda, sino de cooperar en el beneficio de
la organización. Los auditores no son inspectores que multan a la organización, sino
personas que colaboran en la mejora de la gestión de la misma, detectando fallos que
pueden afectar a todo el sistema o a una parte del mismo, y que aportan ideas que
suponen oportunidades de mejora.

Con respecto a la introducción de mejoras que resulten innovadoras deben ser


consideradas muy cuidadosamente, antes de incluir ninguna mención en el informe de
la auditoría. Esto puede dulcificarse incluyendo en el resumen ejecutivo del informe
alguna evaluación de la totalidad de la conformidad con los objetivos de la auditoría.

6.3. Características del informe final de auditoría

Como ya adelantábamos anteriormente, el informe final es el resultante de los trabajos


realizados en la auditoría y por tanto, es crucial que cumpla con una serie de requisitos,
tanto formales como materiales, que se detallan a continuación:

Presentación pulcra y esmerada. El informe debe aparecer con su título,


numeración correlativa y detallando los anexos que sean precisos. Su presentación
debe ser impecable, en papel de calidad, sin mácula y sin faltas ni de sintaxis, ni
ortográficas. Es importante cuidar todo detalle, ya que finalmente el informe será
la “cara visible”, patente y permanente de la auditoría llevada a cabo. Resulta una
incongruencia que un auditor que, precisamente trabaja detectando fallos en las
organizaciones, presente un documento que los contenga.
Redacción objetiva y aséptica. En el informe no deben realizarse afirmaciones
contundentes ni emplear lenguaje agresivo. Su redacción debe ser concisa,
comprensible y aséptica, huyendo de circunloquios, y evitando que se puedan
producir malentendidos, ya que el objetivo fundamental es que el equipo auditor se
comunique y transmita adecuadamente sus impresiones a la organización auditada.
Manejable. Esto es, debe facilitar su lectura y comprensión. Tal y como antes
señalábamos, debe ser conciso, lo más breve posible, lo que no significa que no
sea exhaustivos y completo, pero no debe contener aderezos innecesarios. A la
organización auditada le debe resultar fácil su manejo y comprensión, es decir,

© Universidad Internacional de La Rioja (UNIR)


94
Capítulo 6: Informe y seguimiento de las Auditorías

hay que dejar muy patente lo más importante del informe (negrita, subrayado,
listas de puntos, etc.).
Exactitud. Objetividad, precisión y relación entre las conclusiones y los
hallazgos detectados. Las conclusiones deben sustentarse en hechos analizados y
probados. Si no es así hay que indicar que la información ha sido facilitada, pero
no verificada por los auditores. Se trata, en definitiva, de evitar subjetividades,
ambigüedades y malentendidos innecesarios.
Enjuiciar el sistema y no a las personas. Se trata de enjuiciar el sistema, es
decir, si este funciona o no, y no de buscar culpables personales de ello. Las no
conformidades son debidas a una mala comprensión de lo que debía hacerse y
no se hizo, no deben cargarse las tintas a título personal.

A continuación se muestra otro ejemplo de recogida de datos en la auditoría:

DEPARTAMENTO, ÁREA, O PROCESO Nº


AUDITADO HOJA
Puntos 7.1 y 7.2 Planificación de la realización
del servicio y procesos relacionados con el
cliente.
ASPECTOS A VERIFICAR (NOTAS INICIALES DEL Nº
AUDITOR) Auditoria:
Fecha inicio:

Planificación del servicio, procesos de atención al Hora inicio:


cliente: determinación de sus requisitos, revisión, y
Fecha final:
canales de comunicación: información sobre productos,
precios y atención de las reclamaciones. Hora final:

Auditor/es:

OBSERVACIONES / NOTES / COMENTARIOS DEL AUDITOR

© Universidad Internacional de La Rioja (UNIR)


95
Capítulo 6: Informe y seguimiento de las Auditorías

NO CONFORMIDADES (INDICAR LAS EVIDENCIAS DEL INCUMPLIMIENTO)

DESCRIPCIÓN NO
CÓDIGO CALIFICACIÓN
PUNTO NORMA CONFORMIDAD Y
(número) (1)
EVIDENCIAS

-- -- --- ---

CALIFICACIÓN TOTAL
(1) Calificar N.C. según:
N.C.
1. Desviación menor: afecta poco
al resultado de los procesos.
2 Desviación moderada. En
ciertas condiciones puede afectar
a los procesos
3 Desviación importante. Puede
provocar defectos o errores que
afecten a la satisfacción del
cliente. (Auditor/es)

Ejemplo de recogida de Datos-Lista de verificación de Auditoría. Fuente: Portal calidad

6.4. Seguimiento de la auditoría

La auditoría termina con la aprobación del informe de auditoría. En dicho


informe lo normal es que se hayan evidenciado no conformidades, y el auditado tenga
que realizar acciones correctivas o de mejora, según lo que se desprenda del informe.

El seguimiento de la auditoría consiste en verificar que se ha establecido un plan


para dar respuesta a dicho informe y subsanar las no conformidades detectadas.

© Universidad Internacional de La Rioja (UNIR)


96
Capítulo 6: Informe y seguimiento de las Auditorías

Este plan es recomendable que sea sencillo de llevar a cabo. Por ello, es importante
también que los términos del mismo y origen de las no conformidades queden
suficientemente claros y el auditado sepa realmente lo que el auditor quiere ver que se
realice.

Luego en el seguimiento de la acción correctiva se verificará que se han solucionado las


deficiencias que se habían encontrado, se ha eliminado la no conformidad, esto es, la
causa que la originó y que la acción correctiva ha servido para que no exista la
posibilidad de que pueda reaparecer el problema en un futuro.

El auditado

Presentará evidencias de haber corregido el problema detectado en la no


conformidad.
Se presentará en el informe de solicitud de la acción correctiva.
Podrá evidenciarlo bien por medios documentales que certifican que la acción se
ha implantado o bien por medios físicos como fotografías, muestras, etc.

© Universidad Internacional de La Rioja (UNIR)


97
Capítulo 6: Informe y seguimiento de las Auditorías

Ejemplo de informe de solicitud de acciones correctivas:

Empresa:
Departamento:

_ No conformidad Fecha:
_ Desviación Norma de referencia:
_ Observación Código:

Descripción:

Apartado Norma: Firma auditor: Firma auditado:

Acción correctiva
Análisis de la causa:

Descripción de la acción:

Aprobada por: Responsable de Plazo de ejecución::


realización:

Seguimiento y comprobación de eficacia (adjuntar evidencias):

Valoración del auditor:


_ Aceptable
_ No aceptable

_ Cerrada Firma y fecha auditor:


_ Pendiente de evidencia

© Universidad Internacional de La Rioja (UNIR)


98
Capítulo 6: Informe y seguimiento de las Auditorías

El auditor

Verificará que en el plazo que otorgó al auditado para resolver las no


conformidades, se ha presentado el informe de solicitud de las acciones
correctivas.
Verificará que cada una de las evidencias que han dado lugar a la no
conformidad tiene la correlativa evidencia y el formato de solicitud de acción
correctiva aprobado.
Comprobará que la acción que se ha implantado se ajusta eficazmente a la
solución de la no conformidad y se ha eliminado su causa raíz.
En caso extremo, cuando tenga dudas suficientes de que se ha realizado, el
auditor puede acudir a comprobar in situ la realización de las actuaciones
propuestas.

Auditoría de seguimiento

En el caso de tratarse de auditorías de certificación se seguirá auditando el sistema de


gestión, de forma semestral o anual, hasta que llegue el momento de la recertificación
que se realiza a los tres años.

En las auditorías anuales, es el auditor el que propone normalmente los departamentos


a auditar, de modo que no se audita toda la empresa sino los puntos que se indican.
Esto no ocurrirá en la auditoría de recertificación cada 3 años donde la auditoría será
completa de toda la organización.

© Universidad Internacional de La Rioja (UNIR)


99
 

También podría gustarte