NC 2011 Folleto Guias de Buenas Prácticas de Auditoria

GUIAS DE BUENAS PRÁCTICAS DE AUDITORIA
Introducción
El siguiente documento es una traducción libre no oficial, realizada por la Oficina Nacional de
Normalización (NC) de los documentos elaborados por el Grupo de Prácticas de Auditoria de
sistemas de gestión de la calidad (www.iso.org/tc176/ISO9001AuditingPracticesGroup),
recientemente fusionado con el Grupo de Prácticas de Auditoria de Acreditación, adscrito al
Comité Técnico 176 de la ISO – Gestión de la Calidad y Aseguramiento de la Calidad (ISO/TC
176) y el Foro Internacional de Acreditación (IAF), conformado por expertos y auditores. Los
documentos originales vigentes se publican oficialmente en idioma inglés en el sitio web de IAF
(www.iaf.nu) y en el del ISO/TC 176 (www.bsi.org.uk/iso-tc176-sc2) y pretenden brindar ayuda
para auditar de forma eficaz los requisitos de los sistemas de gestión de la calidad (SGC).
La información contenida en estos documentos está disponible al público con fines educativos y
de comunicación, pudiendo ser de utilidad para auditores, consultores y especialistas en
materia de calidad. Las ideas, ejemplos y explicaciones dadas en ellos reflejan un
acercamiento basado en proceso, esencial para auditar los requisitos de la norma ISO 9001 en
su versión del año 2008. Estos documentos reflejan el enfoque actual consensuado de varios
puntos de vista diferentes al auditar un SGC y por tanto no agotan todas las especificidades de
un sector o industria particular, por lo que no constituyen requisitos, sino guías o directrices
generales acerca de cómo abordar la auditoria de los aspectos que constituyen requisitos del
SGC.
Agradecemos todo comentario o sugerencia de parte de los lectores sobre la necesidad de

abordar nuevos temas por el Grupo de Prácticas de Auditoria, a través de la participación de
NC como integrante del mismo. Los comentarios y dudas dirigirlas a la dirección de correo
electrónico: agustin@ncnorma.cu
El listado de guías elaboradas por temas que se muestra a continuación, está vinculado a los
documentos para facilitar su acceso, por lo que sólo debe pulsar el botón del ratón sobre el
título para verlo en pantalla.
Abreviaturas empleadas:
RNC- Reporte de No conformidad
SGC- Sistema de gestión de la calidad
OC- Organismo de certificación
Otros documentos guías de apoyo para consulta:

• “Conjunto de documentos para la introducción y el soporte de la serie de Normas ISO 9000"
Documentos guías del ISO/TC 176 SC2 (traducidos de forma consensuada por el Grupo de
Traducción de Normas al Español adscrito al ISO/TC 176 – STTG):
o N524 – Orientación sobre el apartado 1.2 "Aplicación” de la Norma ISO 9001:2008
o N525 – Orientación sobre los requisitos de documentación de ISO 9001:2008.
o N544 – Orientación sobre el Concepto y Uso del Enfoque basado en procesos para los sistemas
de gestión
o N630 – Orientación sobre los procesos contratados externamente
• IAF-PL-01-012 Directrices de la IAF sobre la aplicación de la norma ISO 9001:2008 (versión 2)
Calle E # 261 e/ 11 y 13. Plaza. Ciudad de La Habana, Cuba. Telef. (537) 8300825 Fax: (537)8368048
e-mail: nc@ncnorma.cu http: www.nc.cubaindustria.cu
Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.bsi.org.uk/iso-tc176-sc2
GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

GUÍAS:
1. La necesidad de un enfoque de dos etapas para la auditoria
2. Identificación de los procesos como se pretende en la norma ISO 9001:2008
3. Entendiendo el enfoque basado en procesos
4. Determinación de los procesos “apropiados”
5. Auditando los requisitos “cuando sea aplicable”
6. Demostrando conformidad con la norma
7. Vinculando la auditoria a un asunto particular, actividad o proceso del sistema general
8. Auditando la mejora continua
9. Auditar un SGC que tiene una documentación mínima
10. Cómo auditar los procesos de la alta dirección
11. El papel y valor de las listas de verificación para auditoria
12. El alcance de la norma ISO 9001:2008, alcance del sistema de gestión de la calidad y la
definición del alcance de la certificación
13. Cómo agregar valor durante un proceso de auditoría
14. Auditando la competencia del personal y la eficacia de las acciones de capacitación
15. Auditando los requisitos reglamentarios
16. Auditando la política y los objetivos de la calidad
17. Auditando el control de los dispositivos de seguimiento y medición
18. Uso eficaz de la norma ISO 19011
19. Auditando los procesos de retroalimentación del cliente
20. Documentando una no conformidad
21. Guía para la revisión y cierre de no conformidades
22. Auditando la acción preventiva
23. Auditando las comunicaciones internas
24. Auditando la eficacia de la auditoria interna
25. Auditando organizaciones de servicio
26. Imparcialidad del auditor de tercera parte y conflictos de intereses
27. Auditando sistemas de gestión soportados electrónicamente
28. Auditando la gestión de los recursos
29. Auditando las comunicaciones con los clientes
30. Auditando los procesos de Diseño y Desarrollo
31. Código de ética y conducta del auditor
32. Guía sobre aspectos culturales de la auditoria
33. ¡El resultado es importante!

34. La auditoría de las adquisiciones y procesos de la cadena de suministro
35. Valor añadido de la certificación versus consultoría
36. Redacción de los reportes de auditoria
37. Las pistas de la auditoria
38. Cómo abordar la demostración de la trazabilidad de los resultados de las mediciones
39. Despliegue de los documentos de Resultados Esperados
40. Cómo lidiar con los consultores

GUÍA:
La necesidad de un enfoque de dos etapas para la auditoría
Para auditar la norma ISO 9001:2008 es necesario que los auditores obtengan un buen
entendimiento del sistema de gestión de la calidad (SGC) del auditado y de la naturaleza de su
negocio. Es por esto que es benéfico para la organización que sea visitada con anterioridad a
la auditoría de certificación y para que se realice la primera etapa de la auditoría.
Esta 1° etapa de auditoría es primeramente para entender el alcance y planificar la auditoría de
certificación (la etapa 2 de la auditoría) y para permitir que el auditor obtenga un entendimiento
de la organización. Por ejemplo, para obtener un conocimiento de su SGC, políticas, objetivos,
riesgos, procesos, localidades, etc. También se pudiera utilizar para que el cuerpo de auditoría
comunique sus necesidades y expectativas al auditado.
Las actividades desarrolladas en la etapa 1 de la auditoría preliminar incluyen:
• La identificación de los riesgos clave para el negocio y los aspectos regulatorios
relacionados y su cumplimiento
• Una evaluación de si los procesos definidos por el auditado son adecuados para cumplir
sus objetivos y los requisitos de los clientes
• Conducir una revisión documental
• Esta revisión debe determinar si la documentación del SGC de la organización cubre
adecuadamente todos los requisitos de la norma ISO 9001:2008. La revisión normalmente
debería ser realizada en las instalaciones del auditado ( a menos que otra cosa se solicite y
justifique). Como resultado de esta actividad, se debe proporcionar un reporte que resalte
cualquier área de deficiencia. Como parte de la revisión documental, el auditor debe evaluar
la extensión y la disponibilidad de procedimientos de soporte y descripciones de proceso.
Recolectar la información necesaria de acuerdo con el alcance del SGC de la organización,
los procesos y su ubicación.
• Hacer un borrador de la documentación de la futura certificación, incluyendo el enunciado
del alcance
• Planificar la auditoría de certificación (etapa 2), incluyendo los requisitos para la selección
del equipo auditor.
• Obtener evidencia de que han sido planeadas auditorías internas y revisiones por la
dirección, o eficazmente realizadas
• Verificar que el SGC está implementado y listo para la auditoría de etapa 2, incluyendo en
nivel apropiado de documentos y de registros de soporte.
Si el sistema tiene alguna deficiencia, el auditor debe notificarlo en el reporte de
auditoría, de modo que la organización tenga la oportunidad de rectificar las deficiencias
antes de su auditoría de certificación (2° etapa).
• Acordar la fecha de la auditoría 2° etapa
(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

GUÍA:
Identificación de los procesos como se pretende en la norma ISO 9001:2008
Distinguiendo entre los conceptos de proceso y actividad
Si el auditado no puede distinguir entre los conceptos de proceso y actividad, el auditor puede
brevemente explicar la diferencia de acuerdo a la norma ISO 9000:2005 como una información
de soporte. El auditor debe ser capaz de adaptarse a la situación del auditado. Es
responsabilidad del auditor el entender el sistema y enfoque del auditado.
Durante la auditoría, el auditor debe determinar si es un problema solamente de diferencia de
terminología o si existe una falta real de implementación del enfoque basado en procesos por el
auditado, en cuyo caso pudiera haber necesidad de emitir un reporte de no conformidad ya que
el auditado no ha implementado completamente el requisito establecido en la norma ISO
9001:2008, Cláusula 4.1. Si simplemente es un problema de terminología, no habrá necesidad
de emitir un RNC si todos los requisitos del la cláusula 4.1 se satisfacen.
El auditado tiene el derecho de usar su propia terminología, demostrando que los requisitos de
la norma se cumplen. El auditor debe mentalmente desarrollar una lista de referencia cruzada
para asegurar la consistencia y tener un mejor entendimiento.
Un proceso tiene definidos objetivos, entradas, salidas, actividades y recursos
Si el auditado no entiende que un proceso en este sentido debe tener definido (pero no
necesariamente mensurable) objetivos, entradas, salidas, actividades y recursos, trate
reformulando las preguntas al auditado evitando el uso de lenguaje de Gestión de Calidad,
ejemplo, ¿pudiera explicarme sus operaciones aquí?, ¿cuáles son los trabajos básicos que se
realizan en su departamento?, ¿qué información necesita usted para empezar a trabajar?, ¿de
donde viene?, ¿quién recibe el resultado de su trabajo?,¿cómo sabe si ha hecho correctamente
su trabajo?, etc.
Esto debe ayudar al auditor a establecer si los procesos (según la norma ISO 9001: 2008)
están definidos, tienen entradas, salidas y objetivos claros y así.
Los procesos deben ser analizados, dárseles seguimiento y/o medirlos y mejorarlos
Si después de aplicar las técnicas de auditoría mencionadas anteriormente, y en la ausencia de
cualquier registro u otras pruebas para demostrar que los procesos son analizados y/o se les
da seguimiento y/o son medidos y/o mejorados, debe considerarse una no conformidad a una
parte de la cláusula 4.1 de la norma ISO 9001:2008
El auditado / auditor considera que cada cláusula o sub cláusula de la norma ISO
9001:2008 debe ser definida como un proceso por separado
Si el auditor considera esto como el enfoque correcto, se le debe referir a los documentos
relevantes de ISO, (particularmente el N544) que claramente indican lo contrario. Si el auditado
considera esto como el enfoque correcto, es recomendable utilizar las técnicas señaladas
anteriormente en la segunda sección.
¿El enfoque basado en procesos como se describe en la introducción es un requisito de
la norma ISO 9001: 2008?
La descripción del enfoque basado en procesos en la introducción de la norma ISO 9001:2008
es puramente informativa y no una serie de requisitos adicionales.

GUÍA:
Ayudando al auditor a interpretar el enfoque basado en procesos
Si el auditor no entiende o malinterpreta el enfoque basado en procesos, hay que dirigirlo a
fuentes reconocidas de información, como la norma ISO 9000:2005 y las guías ISO en los
conceptos y uso del enfoque de procesos para los sistemas de gestión (ISO/TC176/SC2 N 648)
El cuerpo de certificación debe asegurar que todos sus auditores hayan recibido el
entrenamiento suficiente sobre los nuevos requisitos de la norma ISO 9001:2008, en particular
en el enfoque basado en procesos. Por tanto, el auditor debe comprender que varios pasos son
necesarios, incluyendo lo siguiente:
• determinar los procesos y las responsabilidades necesarias para lograr los objetivos de la
calidad de la organización;
• determinar y proporcionar los recursos e información necesaria;
• establecer y aplicar los métodos de seguimiento y/o medición y análisis de cada proceso;
• establecer y aplicar un proceso de mejora continua de la eficacia del SGC.
El concepto del enfoque basado en procesos debe ser tan bien entendido por el auditor que no
este limitado por la terminología de la norma; el auditado pudiera usar una más o menos
diferente. El auditor debe estar conciente de que la aplicación del enfoque basado en procesos
será diferente de una organización a otra, dependiendo del tamaño y complejidad de la
organización y sus actividades. Se debe dar una consideración especial en la situación de las
pequeñas y medianas empresas (PYMEs), de modo que el auditor no espere tantos procesos
en el SGC.
Ayudando al auditado a interpretar el enfoque basado en procesos
Si el auditor se encuentra con una total mala interpretación del auditado, esta situación debe
ser identificada normalmente en la primera etapa de auditoría.
El auditor debe referir al auditado a las fuentes reconocidas de información, como las indicadas
en la sección anterior.
En particular el documento N648 establece los pasos en el enfoque basado en procesos y
proporciona una directriz útil con ejemplos.
El auditado debe también poner suficiente consideración a
• la identificación de los objetivos del proceso,
• la planificación del proceso,
• la disponibilidad de registros adecuados.
El auditado pudiera tener identificados muchos procesos; alguno o todos ellos son actividades
que no cumplen con los requisitos de un proceso en el sentido en el que la norma ISO
9001:2008 utiliza el concepto. Si es así, el auditor debe en la primera etapa de auditoría
proponer al auditado que desarrolle una redefinición de sus procesos basado en, por ejemplo,
lo critico de las actividades. Esto puede ser particularmente relevante para las pequeñas y
medianas empresas.
Si por excepción, el mal entendido no se detecta hasta la segunda etapa de la auditoría, se
debe levantar un RNC. El auditor entonces tiene que considerar las posibilidades de acuerdo
con las reglas del cuerpo de certificación involucrado, por ejemplo, continuar con la auditoría,
reauditar después o aún la terminación de la auditoría.
¿Cómo evaluar si el auditado no ha implementado el enfoque basado en procesos?

El auditor debe determinar si es una falta de implementación real o formal, o algo en
intermedio. Una falta real de implementación pudiera caracterizarse por ejemplo en un flujo de
información y/o de producto no claro entre las funciones, tiempos de entrega largos o
inconsistentes desde la solicitud hasta la entrega de los productos, además de la ausencia de
objetivos de proceso y análisis.
El otro extremo pudiera ser cuando todas las actividades de importancia para una calidad
definida de productos se encuentran bien implementadas e interrelacionadas, incluyendo, por
ejemplo, compras, y la responsabilidad de las líneas de producto desde la requisición hasta el
transporte final están establecidas, pero el concepto del enfoque basado en procesos no se
utiliza. Si todos los requisitos en la cláusula 4.1 son de hecho cubiertos, no debe levantarse un
RNC con referencia a esa cláusula.
Sin embargo, si la descripción de las interfases es deficiente en la documentación de calidad
parecería que existe una no conformidad con la cláusula 4.2.2.
Si el auditado ha fallado en uno o más de los requisitos en la cláusula 4.1 se debe levantar un
RNC. Dependiendo de la extensión e importancia de la no conformidad, el auditor tiene que
considerar las posibilidades de acuerdo con las reglas del cuerpo de certificación involucrado,
por ejemplo, continuar con la auditoría, reauditar o hasta terminar.
¿Qué debe considerar el auditor cuando audita un proceso?
El auditor debe plantear preguntas basadas en la definición de un proceso en la norma ISO
9001:2008 pero transformarla para la situación actual de modo que el auditado pueda entender
que es lo que el auditor quiere saber. Algunos de esos ingredientes básicos son:
• el objetivo: ¿cuál es la intención del proceso?
• la entrada: ¿qué es lo que va a ser tratado? ¿de dónde viene?
• las actividades: ¿qué se hace en esos pasos particulares?
• la salida: ¿qué sucede con la entrada? ¿cuál es el resultado? ¿a dónde va? ¿el resultado
está alineado con el objetivo/intención?
• los recursos: ¿qué es necesario para las actividades en términos de personal, información,
equipo, etc.? ¿los recursos necesarios están disponibles?
• el seguimiento/medición: ¿a que se le da seguimiento o se mide para ver que las
actividades se desarrollan como se pretende? ¿Los parámetros seleccionados para dar
seguimiento o medir son adecuados? ¿existe algún arreglo particular como una inspección?
• el análisis: ¿que se hace con la información recolectada del seguimiento o la medición de
las actividades? ¿quién lo realiza?
• la mejora: ¿la mejora del proceso esta incluida en el programa de auditoría como mejora
continua? El auditor debe darse cuenta de que no todos los procesos pueden ser
mejorados simultáneamente; el auditor debe priorizar.
Para obtener información general, el auditor debe encontrar quién es el responsable del
proceso, pero debe estar conciente de que la norma ISO 9001:2008 no requiere un “dueño de
proceso” formal”.
Procesos versus subprocesos
No hay un requisito en la norma ISO 9001:2008 o una regla generalmente aceptada de que tan
simple puede ser un proceso. Si todos los requisitos en la cláusula 4.1 se cumplen, el auditor
debe respetar cualquier razón sobre el diseño de los procesos que el auditado le muestre.
Donde un proceso muy complejo puede ser dividido en dos o más procesos menos complejos,
cada uno de los cuales cumpla con los requisitos de la cláusula 4.1, el auditor pudiera
presentar esto como una posibilidad pero no como una recomendación - lo último puede ser
interpretado como una consultoría y pudiera interpretarse como una responsabilidad no
deseada del auditor.
Diferencia entre documentación e implementación
El manual de calidad /documentación pudiera, en una fase preparatoria, llevar al auditor a creer
que los sistemas están implementados según el enfoque basado en procesos, pero la realidad
en el sitio de trabajo pudiera ser lo opuesto.
En este caso el auditor encontraría una falta de implementación caracterizada por
• las funciones esenciales o departamentos del auditado operan con unas interacciones
débiles,
• ausencia de un análisis del proceso
• una falta de mejora continua.
Esto sería una no conformidad contra los requisitos de la cláusula 4.1 y un RNC probablemente
debería levantarse. Dependiendo de la extensión e importancia de la no conformidad, el auditor
también tiene que considerar las posibilidades de acuerdo a las reglas del cuerpo de
certificación.
Desacuerdo entre el auditor y el auditado sobre cual es la manera “correcta” de
implementar el enfoque basado en procesos
No existe una manera universalmente “correcta” de implementar el enfoque basado en
procesos. El auditor y el auditado deben estar concientes de que la aplicación del enfoque
basado en procesos será diferente de organización a organización, dependiendo el tamaño y la
complejidad de la organización y sus actividades. Se debe dar una consideración especial a las
pequeñas y medianas empresas, para que el auditor no requiera o defina muchos procesos de
modo que la aplicación del enfoque basado en procesos resulte una barrera en vez de un
beneficio para estas empresas. Si todos los requisitos de la cláusula 4.1 se cumplen no se
debe levantar un RNC.
El auditor y el auditado deben entender que lo que realmente importa es que el auditado
• opere con un flujo de actividades bien definido, consistente, eficaz y eficiente, incluyendo la
mejora continua para lograr la satisfacción de las partes interesadas,
• tenga una clara estrategia de futuro, y
• tenga el derecho de discordar con la posible interpretación subjetiva que haga el auditor
sobre los requisitos de la norma

GUÍA:
Determinación de los procesos “apropiados”
Terminología
Donde la terminología utilizada por el auditado es diferente a la utilizada por el auditor,
el auditor debe entender los conceptos en la norma ISO 9001:2008 utilizar la norma
ISO 9000:2005 y hacer una referencia cruzada mental o escrita entre la terminología
del auditado y la suya propia para los mismos conceptos evitando el uso de vocabulario
de Gestión de la calidad.
La definición de proceso
Si la definición de proceso no es interpretada de la misma manera por el auditor y el
auditado, el auditor debe buscar entender el punto de vista del auditado y no imponer el
suyo a menos que sea claro (soportado por suficiente evidencia objetiva) que los
requisitos de la norma no se cumplen. Lo mismo es verdad si el auditor cree que ciertos
procesos no han sido identificados correctamente o no se encuentran.
Exclusiones
El auditor debe referirse a la cláusula 1.2 de la norma ISO 9001:2008, y posiblemente
al documento N648 para obtener una guía mayor. El auditor debe obtener evidencia
objetiva de que el auditado no puede excluir un requisito específico antes de alcanzar
su conclusión. Es una Buena práctica utilizar la norma ISO 9000:2005 Fundamentos y
vocabulario y el documento N648 como soporte para explicar sus argumentos al
auditado.

GUÍA:
Auditando los requisitos “cuando sea aplicable”
El cliente debe determinar los “requisitos que marcan cuando sea aplicable”, ya que
estos afectarán su habilidad para satisfacer los requisitos de sus clientes. Una clave es
referirse a la norma ISO 9001:2008 Alcance 1.1 a) “necesita demostrar su capacidad
para proporcionar de forma coherente productos que satisfagan los requisitos del
cliente y los reglamentarios aplicables”.
Un auditor debe asegurar que los requisitos con “cuando sea aplicable” sean realmente
“aplicables” en relación al alcance propuesto o actual. Por tanto la base para auditar
debe ser contra este criterio y esto forma la referencia para cuando se decida que es
aplicable o no. ¿Este requisito agrega valor a este elemento de confianza, sin que se
cumpla el elemento “cuando sea aplicable”?¿Se agrega el riesgo de que la
organización no pueda cumplir con los requisitos del cliente? y también se pudiera ser
más específico que requisitos del cliente, ya que se puede incluir las expectativas del
consumidor final o de la cadena de demanda.
La necesidad de la experiencia para hacer un juicio en un aspecto técnico

El cuerpo auditor debe ser capaz de demostrar que el auditor tiene el conocimiento
necesario del sector, la competencia y las habilidades de auditoría. El auditor debe ser
capaz de demostrar el conocimiento del proceso y aplicar sus habilidades en evaluar
los requisitos “cuando sea aplicable” si son o no aplicables.
El auditor necesitará entender cómo los requisitos “cuando sea aplicable” entran en el
contexto de cómo el proceso es desarrollado y los resultados esperados de éste y
auditar con la evidencia objetiva para demostrar que el sistema es eficaz y los
requisitos se cumple consistentemente.
Un cuerpo de certificación debe por lo tanto tener el proceso establecido para asegurar
que el auditor tiene las habilidades específicas para la organización que será auditada.

GUÍA:
Demostrando conformidad con la norma
“Desarrollar la auditoría sobre las cláusulas de la norma” v.s. “Desarrollar la
auditoría sobre los procesos del auditado”
Cuando se evalúa la conformidad con la norma, las listas de verificación para

auditoría pudieran no ser suficiente.
Al final de la auditoría, el auditor debe estar convencido de que todos los requisitos de
la norma se satisfacen o no.
Mostrar la conformidad a una norma lleva a todo el mundo a una lista de verificación
donde el auditor es capaz de verificar los requisitos de la norma uno a uno,
asegurándose que todos los requisitos han sido cubiertos. Este enfoque básico de
llenar una lista de verificación es una manera fácil de asegurar que todos los requisitos
de la norma han sido revisados. Sin embargo, considerando el enfoque de la norma
ISO 9001:2008, desarrollar una auditoría sobre una lista de verificación genérica
pudiera no permitir al auditor recolectar evidencia de la eficacia de las interfaces entre
los procesos.
Deshacerse completamente de la lista de verificación (o lista de preguntas de auditoría)
no sería posible, particularmente si se necesita demostrar a terceras partes la evidencia
de conformidad a la norma (ejemplo, cuerpos de acreditación). Es importante usar una
lista de verificación de manera apropiada y en el tiempo adecuado como herramienta
para dar seguimiento a los requisitos de la norma a ser cubiertos.
¿Cuál es el muestreo adecuado?
No hay una fórmula estadística o matemática para establecer el número correcto de
muestras a ser tomadas durante una auditoría. Definir el número de muestras (por
ejemplo, una, cinco o más muestras de registros para un requisito en particular) a ser
tomado para confirmar el cumplimiento a los requisitos no es eficiente y no asegura el
cumplimiento. Es claro un hecho de que al incrementar el número de muestras
tomadas, el auditor tiene una mayor confianza sobre el estado de la implementación del
SGC. “Un muestreo adecuado” en este texto se refiere al muestreo tomado durante las
entrevistas en el lugar y los registros revisados para construir una confianza de que el
SGC del auditado esta implementado como se describe.
El muestreo en multi-sitios o el muestreo de las unidades organizacionales de una
compañía están cubiertas en el Anexo II de la Guía de la IAF en la aplicación de la
Guía 62 ISO/IEC, con los días auditor en el lugar y la fórmula de muestreo multi-sitios.
El auditor necesita desarrollar entrevistas y verificar registros y evidencias durante la
entrevista. El número de muestras a tomarse depende de la complejidad del proceso, y
en la calidad de la información recibida del auditado durante la entrevista. Es también
importante que el auditor mantenga el horario establecido en el plan de auditoría. Al
final del día, el auditor necesita sentirse tranquilo de que las muestras y la evidencia
objetiva vista son representativas de modo que pueda llegar a una conclusión
apropiada sobre la implementación del SGC.
Registrando la información de la auditoría
La norma ISO 19011 y la directriz de la IAF sobre la aplicación de la Guía 62 ISO/IEC

explican lo que un reporte de auditoría debe contener. Sin embargo, es importante
notar que el reporte de auditoría hacia el auditado, debe contener solamente
información importante para el auditado. La información sobre posibles mejoras,
observaciones positivas y las no conformidades a la norma son muy importantes para
el auditado. Reiterar y explicar los requisitos de la norma pudiera no ser lo que el
auditado este buscando.
Pudiera ser un requisito para el auditor demostrar la secuencia en la que se desarrolló
la auditoría, algunas veces llamado la ruta de auditoría. La utilización de notas de
auditoría es un modo muy eficiente para el auditor de registrar la auditoría. Una gran
desventaja de usar las notas de auditoría es que son un modo muy personal de
registrar la información durante la auditoría y el detalle y estilo varía mucho de un
auditor a otro.
La lista de verificación asegura algo de uniformidad en el desarrollo de los auditores.
Sin embargo, el auditor nunca debe olvidarse de utilizar su tiempo en auditar y no en
llenar listas de verificación y hacer notas.

GUÍA:
Vinculando la auditoría a un asunto particular, actividad
o proceso del sistema general
El auditor no debe perder de vista la dirección general de la auditoría, y quedar
atrapado por detalles superfluos. Es importante que el auditor mantenga la atención en
la información proporcionada por el auditado en el manual de calidad o la
documentación donde el auditado ha definido la interacción de los procesos. Las
entrevistas deben también ser desarrolladas de modo que los auditores deban
determinar la entrada y la salida de los procesos a ser auditados.
Manteniendo en mente el mapa de procesos del auditado se debe asegurar que el
auditor será capaz de determinar la importancia del proceso que está auditando en
cualquier momento, y podrá entonces ser capaz de mantener la visión de la dirección
general de la auditoría. Esto también ayudará al auditor a entender los vínculos entre
procesos.
Durante una auditoría, el auditor tiene una oportunidad de verificar la descripción del
auditado de la interrelación de sus procesos. El auditor debe tomar algunas muestras
para ver si las descripciones son un reflejo apropiado de la interrelación real de los
procesos, ya que esto ayudará a determinar si la descripción del proceso es adecuada.

GUÍA:
Auditando la mejora continua
¿Cuánta mejora es « suficiente »?
Debe enfatizarse que el requisito en la norma ISO 9001:2008 es para la mejora
continua de la eficacia del SGC. No hay un requisito explícito para mejorar los
procesos aunque es claro que esto sería un factor importante en el logro de la mejora
continua de la eficacia del SGC.
La mejora continua emana de los objetivos fijados por la alta dirección, los que deben
estar en relación con al menos los siguientes puntos: la mejora de la eficacia interna de
la organización para permanecer económicamente competitiva, las necesidades
individuales de los clientes y el nivel de desempeño que el mercado normalmente
espera.
Por ejemplo, en ciertas áreas como el sector aeronáutico, el “rango aceptable” de
producto no conforme entregado es cero por ciento, entonces no sería normal esperar
cualquier “mejora” a este rango. Sin embargo, sería normal esperar para la compañía
tener objetivos que lleven a la mejora de la eficiencia interna y su competitividad
(ejemplo: a través de la innovación).
Por tanto el auditor debe buscar identificar que el auditado haya intentado establecer la
correlación entre estos 3 factores “Objetivos corporativos – necesidades de los clientes
– expectativas del mercado”. Así que, es decisión de la compañía el balancear la
necesidad de mejorar la eficiencia interna y la necesidad de progresar con el
desempeño externo (aunque los dos están frecuentemente muy relacionados). Ninguno
aisladamente puede considerarse como “suficiente” o “no suficiente”.
Un área que puede ser problemática para el auditor es el conocer que es una
referencia de mercado razonable. En el ejemplo anterior de la aeronáutica, si la
compañía anuncia que ha mejorado del 50% de producto no conforme entregado al
40%, esto demostraría mejora continua, pero sería difícilmente aceptable dado el
sector industrial. Sin embargo, si anuncia que a fijado un objetivo de mejorar del 0,50%
al 0,40%, esto sería mucho más cercano a la norma del mercado.
La única solución real para el auditor es verificar cómo la organización ha determinado
este rango propuesto de mejora, cómo han evaluado el riesgo asociado y cómo éste se
relaciona con los requisitos del cliente y el seguimiento a la retroalimentación sobre la
satisfacción del cliente. Sería casi imposible el levantar un RNC sobre “falta de
suficiente mejora continua”.
¿Qué tipo de información es relevante y donde la podemos encontrar?
El auditor tiene que verificar como los objetivos corporativos generales han sido
traducidos a requisitos internos a través de los procesos apropiados y como estos
requisitos son comunicados y se les da seguimiento. Entonces, el auditor debe buscar
evidencia de que la organización está analizando datos provenientes del seguimiento
del proceso, tendiendo a evaluar la eficiencia del proceso y/o la mejora del resultado
del proceso. Un punto que debe ser especialmente examinado es la consistencia del
modo en que la mejora de cualquier proceso contribuye al cumplimento de los objetivos
generales, para asegurar que no se está en conflicto.
El tipo de información a ser buscada es dictada por el modo en que los objetivos
corporativos son traducidos en objetivos específicos. Por ejemplo: una compañía
establece un objetivo de reducir las quejas de los clientes en un 30%. El análisis de la
alta dirección muestra que el 50% de las quejas son sobre las entregas atrasadas. El
auditor debe naturalmente buscar evidencia de cómo la compañía, primero que nada,
ha integrado y analizado aspectos clave de su programación y planificación de sus
procesos y sus interfases para reducir las demoras.
¿Mejora de los procesos o mejora del SGC?
El auditor debe recordar que no sería realista para la compañía progresar en todos los
frentes simultáneamente, ya que toda mejora es el resultado de una inversión de algún
tipo, y es una tarea de la alta dirección el asignar prioridades. El auditor debe buscar
asegurar que los objetivos son consistentes en lo general y coherentes con la trilogía
de factores mencionados anteriormente; Sin embargo, la ausencia de una política y/o
objetivos que soporten la mejora continua de alguna naturaleza es claramente una no
conformidad con la norma. De manera similar la ausencia de cualquier mejora en al
menos uno de estos aspectos sería considerado como indicativo de que la política de
calidad de la compañía no está alineada con la norma ISO 9001: 2008.
Una advertencia: no hay un requisito de que la compañía deba establecer objetivos
para mejorar en todos sus procesos en algún tiempo. Como en el ejemplo anterior de
reducir las quejas de los clientes, algunos procesos pudieran no ser vistos por la alta
dirección como que contribuyan significativamente en la reducción de los retrasos y es
normal entonces que la compañía no se concentraría en estas áreas.
Si la alta dirección ha establecido un objetivo (realista) para un proceso y no hay
evidencia de mejora, esta información pudiera integrarse en la revisión por la dirección
de modo que la alta dirección pueda decidir que tipo de acción es apropiada – por
ejemplo – reajustar el objetivo o proporcionar otros medios para impactar en el proceso.

GUÍA:
Auditar un SGC que tiene una documentación mínima
Puede existir un desacuerdo en la ausencia de ciertos procedimientos documentados
donde el auditado presenta solamente un manual de calidad y los seis procedimientos
documentados mencionados específicamente en la norma ISO 9001:2008.
El auditado pudiera argumentar que la norma ISO 9001 sólo requiere seis
procedimientos documentados. Las diferencias en el punto de vista entre el auditor y el
auditado pueden surgir de las diferencias de la interpretación de los requisitos de la
norma ISO 9001 contenidos en la cláusula 4.2.1 y la nota relacionada que establece:
4.2.1 Generalidades
La documentación del sistema de gestión de la calidad debe incluir:
....
d) los documentos necesitados por la organización para asegurarse de la eficaz planificación,
operación y control de sus procesos,
NOTA 2 La extensión de la documentación del sistema de gestión de la calidad puede diferir de una
organización a otra debido a:
a) el tamaño de la organización y el tipo de actividades;
b) la complejidad de los procesos y sus interacciones, y
c) la competencia del personal.
El lector debe hacer referencia a la guía dada en el documento ISO/TC 176/SC 2/N
525R ISO 9000 Paquete de introducción y soporte: Orientación acerca de los
requisitos de documentación de la Norma ISO 9001:2008
El auditor debe requerir información de la operación actual de los procesos y
subsecuentemente hacer más preguntas, registrar las respuestas y observar al
personal en todos los niveles, incluyendo personal administrativo, dueños de procesos
y operadores, y así confirmar si el estado actual del trabajo es conforme a las
descripciones dadas.
De ahí, la necesidad de cualquier documentación debe ser evaluada a la luz de la
necesidad observada de consistencia y el papel que esta documentación pudiera jugar
en evitar algún riesgo significativo identificado.

GUÍA:
Como auditar los procesos de alta dirección
Al reconocer que auditar a la alta dirección pudiera ser un punto sensitivo, este documento
proporciona la directriz para ésta categoría de auditoría.
Los auditores deben involucrar a la alta dirección en la auditoría, por ejemplo, invitarlos a la
reunión de apertura y cierre, permitir suficiente tiempo en el plan de auditoría para entrevistar a
la alta dirección, discutir los hallazgos directamente con ellos, buscar evidencia de compromiso.
Es importante cambiar el enfoque de atención de sólo al gerente de calidad hacia la alta
dirección de la organización.
Las actividades de dirección deben ser consideradas como procesos.
Fase de planificación
El auditor necesita identificar los procesos de alta dirección y
a. entender a la organización y su estructura organizacional revisando información como los
organigramas, reportes anuales, planes de negocios, perfiles de la compañía, documentos
editados, paginas electrónicas,
b. hacer una provisión en el plan de auditoría para recolectar información relevante sobre el
compromiso de la alta dirección directamente de, o haciendo entrevistas a, la alta dirección,
c. entender la cultura de la organización y su alta dirección para poder determinar su impacto
en el plan de auditoría – y hacer los ajustes apropiados. Por lo tanto, un auditor con
experiencia limitada en auditorías no debe ser asignado para entrevistar a la alta dirección,
d. tomar un enfoque profesional en su apariencia determinando el código de vestimenta de la
organización,
e. planear el tiempo para la entrevista con la alta dirección para asegurar el lugar y la
puntualidad.
Conduciendo la auditoría
Algunos métodos comunes para evaluar el compromiso de la alta dirección:
1. Entrevistas con la alta dirección
El auditor puede, utilizando la terminología de negocio apropiada para la alta dirección, hacer
preguntas relevantes que
a) busquen obtener evidencia de la conciencia de la alta dirección y su compromiso hacia la
calidad y su relevancia hacia los objetivos generales de la organización y el sistema de
gestión,
b) establezcan evidencia de conformidad a los requisitos de la responsabilidad de la dirección.
2. Recolección y corroboración de evidencia
El equipo auditor debe estar constantemente buscando oportunidades de corroborar las
respuestas recibidas de la alta dirección cuando se entreviste. Esto incluye:
a) disponibilidad y relevancia de políticas y objetivos
b) el establecimiento de vínculos entre las políticas y los objetivos
c) obtención de evidencia de que esas políticas y objetivos son eficaces y están entendidos a
través de toda la organización
d) asegurar que las políticas y objetivos son apropiados para la mejora continua del sistema
de gestión de la calidad y asegurar la satisfacción del cliente. e) asegurar el involucramiento
de la alta dirección en la revisión por la dirección.
Pudiera necesitarse unas entrevistas adicionales y recolección de evidencia para
proporcionar esa confianza.
El equipo auditor debe asegurar que cualquier evidencia adicional del compromiso de
la alta dirección se recolecta.
Revisar la evidencia recolectada para asegurar que la información sea completa y
precisa para proporcionar confianza al escribir la conclusión.
Reporte de auditoría
Los auditores deben preparar sus reportes de auditoría de manera que los hagan
apropiados para la presentación a la alta dirección de las organizaciones. Pudiera ser
adecuado presentar un resumen ejecutivo del reporte de auditoría, apropiado para la
presentación a la alta dirección y las partes interesadas clave de la organización. El
resumen ejecutivo debe sobre saltar los hallazgos clave, tanto positivos como
negativos e identificar las oportunidades de mejora.

GUÍA:
El papel y valor de las listas de verificación para auditoría
Introducción
Este documento proporciona información del papel y uso de las listas de verificación para
auditoría para soportar activamente el proceso de auditoría. Mientras que el documento está
primordialmente dirigido para organizaciones que realizan auditorías externas incluyendo
cuerpos de certificación, la información puede también igualmente ser usada por cualquier
organización que realice auditorías internas.
La necesidad de las listas de verificación
Al ver la norma actual de auditoría ISO 19011 se hace referencia a “Preparación de los
documentos de trabajo” en la cláusula 6.4.3. Lo siguiente es un extracto de esta cláusula:
“Los miembros del equipo auditor deberían revisar la información pertinente a las tareas asignadas
y preparar los documentos de trabajo que sean necesarios como referencia y registro del desarrollo
de la auditoría. Tales documentos de trabajo pueden incluir:
• listas de verificación y planes de muestreo de auditoría, y
• formularios para registrar información, tal como evidencias de apoyo, hallazgos de auditoría y
registros de las reuniones.
El uso de listas de verificación y formularios no debería restringir la extensión de las actividades de
auditoría, que pueden cambiarse como resultado de la información recopilada durante la auditoría.”
El uso de la lista de verificación para auditoría
Aunque no siempre es requerida en las normas de sistemas de gestión, las listas de
verificación para auditoría son solo una herramienta disponible de la “caja de herramientas” del
auditor. Muchas organizaciones las usarán para asegurar que la auditoría al menos cubrirá los
requisitos como se definan en el alcance de la auditoría.
Un ejemplo de enfoque de auditoría se muestra a continuación:
Resulta beneficioso auditar desde el sistema de gestión de la organización hacia los requisitos. Una lista
de verificación puede ser empleada para asegurarse de que todos los requisitos relevantes de ISO 9001
han sido abordados.
Ventajas
La literatura disponible en el mercado resalta lo siguiente con respecto al uso de listas de
verificación para auditorías:
1. Las listas de verificación si se desarrollan para una auditoría específica y se usan
correctamente:
a. Promueven la planificación de la auditoría.
b. Aseguran un enfoque consistente de auditoría.
c. Actúan como plan de muestreo y controlador de tiempo.
d. Sirven como ayuda a la memoria.
e. Proporcionan un archivo para las notas recolectadas durante el proceso de auditoría
(notas de la auditoría de campo)
2. Las listas de verificación para auditoría necesitan ser desarrolladas para proporcionar
asistencia al proceso de auditoría.
3. Los auditores necesitan ser entrenados en el uso de las listas de verificación particulares y
enseñarles como usarlas para obtener el máximo de información utilizando buenas
técnicas de cuestionamiento.
4. Las listas de verificación deben asistir a un auditor a desempeñarse mejor durante el
proceso de auditoría.
5. Las listas de verificación ayudan a asegurar que la auditoría se realice de manera
sistemática y comprehensiva y se obtenga evidencia adecuada.
6. Las listas de verificación pueden proporcionar la estructura y continuidad que asegure que
el alcance de la auditoría se ha seguido.
7. Las listas de verificación pueden proporcionar un medio de comunicación y un lugar para
registrar datos para usar como futura referencia.
8. Una lista de verificación completa proporciona evidencia objetiva de que la auditoría se
desarrolló.
9. Una lista de verificación puede proporcionar un registro de que el SGC fue examinado.
10. Las listas de verificación pueden ser utilizadas como información base para planificar
futuras auditorías.
11. Las listas de verificación pueden proporcionarse al auditado antes de la auditoría en el
sitio.
Desventajas
En contraste, cuando las listas de verificación para auditoría no están disponibles o están
pobremente preparadas surgen los siguientes aspectos como preocupación:
1. La lista de verificación puede ser vista como arma de intimidación por el auditado.
2. El enfoque de la lista de verificación puede ser muy estrecho en alcance para identificar las
áreas específicas con problemas.
3. Las listas de verificación son una herramienta de ayuda para el auditor, pero puede ser
restrictiva si se utiliza como el único mecanismo de soporte del auditor.
4. Las listas de verificación no deben ser un sustituto del plan de auditoría.

5. Una lista de verificación utilizada por un auditor inexperto pudiera no ser capaz de
comunicar claramente que es lo que el auditor esta buscando.
6. Las listas de verificación pobremente preparadas pueden dilatar la auditoría debido a
duplicaciones y repeticiones.
7. Las listas de verificación genéricas, no reflejan el sistema de gestión específico de la
organización y pudieran no agregar valor e interferir con la auditoría.
Conclusión
En resumen, existen ventajas y desventajas en el uso de las listas de verificación para
auditorias. Depende de muchos factores, incluyendo las necesidades de los clientes, las
restricciones de tiempo y costos, la experiencia del auditor y los requisitos del esquema del
sector. Los auditores deben evaluar el valor de la lista de verificación como una ayuda en el
proceso de auditoría y considerar su uso como una herramienta funcional.

GUÍA:
El alcance de la norma ISO 9001:2008, Alcance del sistema de gestión de la calidad
y la definición del alcance de la certificación
La norma ISO 9001:2008 en la cláusula 1 “Alcance”, define el alcance de la norma

misma. Esto no debe ser confundido con el alcance del SGC, que es un término
comúnmente usado en el contexto de la certificación del SGC para describir los
procesos de la organización y los productos para los que aplica el SGC.
La norma ISO 9001:2008 es genérica, y aplicable a todas las organizaciones, sin
importar el tipo, tamaño y categoría de producto. Se reconoce, sin embargo, que no
todos los requisitos de esta norma necesariamente serán relevantes para todas las
organizaciones. Bajo ciertas circunstancias, una organización pudiera excluir algunos
requisitos específicos de la norma ISO 9001:2008 de su SGC. La norma ISO 9001:2008
permite exclusiones para esas organizaciones a través de la cláusula 1.2 “Aplicación”.
El alcance del SGC debe basarse en la naturaleza de los productos de la organización y
sus procesos de realización, el resultado del análisis de riesgos, consideraciones
comerciales y los requisitos contractuales, legales y regulatorios.
La organización debe primeramente hacer un borrador de la declaración del alcance en
la etapa de la aplicación y debe ser, entonces, analizada cuidadosamente por el Cuerpo
de Certificación durante la etapa 1 de la auditoría (referirse al documento “La necesidad
de un enfoque de dos etapas para la auditoría”) para planificar apropiadamente la etapa
2 de la auditoría.
El alcance debe identificar claramente todos los procesos principales que llevan a la
realización/entrega del producto, como los de diseño, manufactura y entrega de los
productos o servicios identificados. Esta completa descripción aplicará a una
organización que cubre todos los requisitos de la sección 7 de la norma ISO 9001:2008,
mientras solo parte de esta descripción será usada en caso de exclusiones a los
requisitos (ver cláusula 1.2), según sea apropiado.
El alcance debe definir en general pero en términos suficientemente claros los productos
y/o servicios y los procesos cubiertos por la certificación.
Es responsabilidad del auditor asegurar que la declaración final del alcance no confunde
y de verificar que el alcance solo refiera a las áreas/actividades evaluadas durante la
auditoría de certificación.
Si solo una parte de los procesos/productos de la organización es cubierta por el SGC,
esto debe estar claramente reflejado en el enunciado del alcance, ya sea en forma de
exclusión o limitación.
Más aún, esto debe estar claramente definido en el Manual de Calidad de la
organización y cualquier documento de disponibilidad pública, para evitar confundir a los
clientes y usuarios finales (esto incluye, por ejemplo el material promocional y de
mercadeo).
En caso de exclusión de un requisito, el auditor debe verificar que la exclusión es

apropiada al alcance de la certificación y está justificada.
El alcance de la certificación nunca debe incluir declaraciones promocionales.
El ISO/TC 176/SC 2 ha desarrollado el documento N524 “El paquete de introducción y
soporte ISO 9000: Directrices sobre la subcláusula 1.2 “Aplicación” de la norma ISO
9001:2008” para proporcionar a los usuarios la información sobre la intención de la
cláusula 1.2 “Aplicación” de la norma ISO 9001:2008, incluyendo algunos ejemplos
típicos de su uso en situaciones prácticas. (El documento N524 está disponible para
descargarse sin cargos en la dirección www.bsi.org.uk/iso-tc176-sc2). Adicionalmente, la
IAF ha publicado sus “Directrices IAF sobre la aplicación de la norma ISO 9001:2008,
versión 2. que también debe servir de referencia.

GUÍA:
“Cómo agregar valor en el proceso de auditoría”
¿Que es una auditoría que “agrega valor”?
Escuchamos mucho acerca de la importancia de “agregar valor” durante una auditoría de
sistemas de gestión de la calidad, pero ¿qué significa esto realmente?, ¿es posible agregar
valor sin comprometer la integridad de la auditoría al proporcionar una consultoría? En
principio, todas las auditorias deben agregar valor, pero no siempre es este el caso.
Este documento trata de proporcionar una guía sobre que constituye una “auditoría que agrega
valor”, y de varias situaciones que normalmente se encuentran en el contexto de auditorías de
segunda y tercera parte.
Sistemas de gestión de la calidad que “agregan valor”
Existen varias definiciones de “valor” en los diccionarios, pero todas se enfocan en el concepto
de algo que es útil. “Agregar valor” por lo tanto significa hacer algo más útil. Algunas
organizaciones han utilizado la serie de normas ISO 9000 para desarrollar sistemas de gestión
de la calidad que están integrados en su manera de hacer negocios, y son útiles en ayudarlos
a lograr sus objetivos estratégicos de negocio - en otras palabras éstos agregan valor a la
organización. Por el contrario otras organizaciones simplemente han creado una serie de
procedimientos y registros burocráticos que no reflejan la realidad de la manera como la
organización trabaja realmente, y simplemente agregan costo, sin ser útiles. En otras palabras,
éstos no “agregan valor”.
Es cuestión de enfoque:
Un enfoque que no agrega valor pregunta: “¿Qué procedimientos tenemos que escribir para
obtener la certificación ISO 9000?”
Un enfoque que agrega valor pregunta: “¿Cómo podemos usar nuestro sistema de gestión de
la calidad basado en ISO 9001:2008 para que nos ayude a mejorar nuestro negocio?”
Lo que nos lleva a la pregunta sobre “auditorías que agregan valor”
¿Cómo podemos asegurar que la auditoría es útil para la organización en el mantenimiento y
mejora de nuestro SGC?.
Debemos reconocer, sin embargo, que pudieran existir otras perspectivas que necesitan
tomarse en consideración. Una “auditoría de tercera parte que agrega valor” nos debe ayudar
a:
 A la organización certificada
− proporcionando información a la alta dirección sobre la habilidad de la organización para
lograr los objetivos estratégicos.
− identificando problemas que, si se resuelven, mejorarán el desempeño de la
organización.
− identificando oportunidades de mejora y áreas posibles de riesgo.
 Los clientes de la organización aumentando la habilidad de la organización para
proporcionar productos conformes.
 Al cuerpo de certificación mejorando la credibilidad del proceso de certificación de 3. parte.
El enfoque de “agregar valor” debiera ser una función del nivel de madurez de la cultura de
calidad de la organización, y de que tanto su SGC excede los requisitos de la norma ISO
9001:2008. La cultura de calidad incluye el grado de conciencia, compromiso y actitud colectiva
así como el desempeño de la organización con respecto a la calidad. Si nos referimos a la
figura 1, podemos conceptualmente separar a las organizaciones en cuatro zonas diferentes
como sigue:
Zona 1: (Baja madurez de la “cultura de calidad”; no conforme con la norma ISO

9001:2008)
Zona 2: (“Cultura de calidad “Madura”; no conforme con la norma ISO 9001:2008)
Zona 3: (Baja madurez de la “cultura de calidad”; conforme con la norma ISO 9001:2008)
Zona 4: (“Cultura de calidad “Madura”; conforme con la norma ISO 9001:2008)
Zona 1: (Baja madurez de la “cultura de calidad”; no conforme con la norma ISO

9001:2008)
Para una organización que tiene muy poco o nada de “cultura de calidad” y no está conforme
con la norma ISO 9001:2008, la expectativa de una “auditoría que agrega valor” pudiera ser
que la organización quisiera recibir lineamiento de “cómo” implementar el sistema de gestión
de la calidad y/o resolver cualquier no conformidad levantada. Aquí, el auditor debe tener
mucho cuidado, porque una auditoría de tercera parte ese lineamiento pudiera generar
seguramente un conflicto de intereses, y contravenir la Guía ISO/IEC 62 Requisitos para los
cuerpos de acreditación y certificación. Lo que el auditor puede hacer, sin embargo, es
asegurarse de que donde sea que se encuentren no conformidades, el auditado tenga un claro
entendimiento de qué es lo que la norma requiere, y por qué la no conformidad se levantará.
Si la organización puede reconocer que resolviendo esas no conformidades la llevarán a
mejorar su desempeño, entonces es más seguro creer en y comprometerse con el proceso de
certificación. Es importante, sin embargo, que todas las no conformidades identificadas sean
reportadas, de modo que la organización claramente entienda que necesita hacer para cumplir
los requisitos de la norma ISO 9001:2008.
Mientras algunas organizaciones pudieran no quedar totalmente satisfechas con un resultado
de auditoría que no resulte en una certificación, los clientes de la organización (quienes reciben
el producto de la organización) seguramente considerarán esto como una auditoría que “agrega
valor” desde su perspectiva. Desde la perspectiva del cuerpo de certificación, fallar en reportar
todas las no conformidades detectadas y/o proporcionar directrices en cómo implementar el
sistema de gestión de calidad, no agrega valor a la credibilidad de la profesión del auditor o del
proceso de certificación.
Debemos reconocer que la discusión anterior se relaciona solamente con auditorías de tercera
parte (certificación). No hay razón por la que una auditoría de segunda parte (evaluación de
proveedores) no deba agregar valor proporcionando directrices a la organización de cómo
implementar su sistema de gestión de la calidad. Es más, bajo estas circunstancias, esas
directrices (si están bien fundamentadas), sin duda serán útiles para ambas organizaciones y
sus clientes.
Zona 2: (“Cultura de calidad Madura”; no conforme con la norma ISO 9001:2008)
Para una organización que tiene una “cultura de calidad” madura, pero poca conciencia de y/o
no conformidad con los requisitos de la norma ISO 9001:2008, la expectativa básica para una
“auditoría que agregue valor” probablemente será similar a la de la Zona 1. Además, sin
embargo, la organización seguramente tendrá mucha más expectativa hacia el auditor. Para
poder agregar valor, el auditor debe entender el modo en que las prácticas existentes de la
organización cumplen con los requisitos de la norma ISO 9001:2008. En otras palabras,
entender los procesos de la organización en el contexto de la norma ISO 9001:2008, y no, por
ejemplo, requerir que la organización redefina sus procesos y documentación para alinearse a
la estructura de las cláusulas de la norma.
La organización debería, por ejemplo, basar su sistema de gestión en modelos de excelencia
de negocio, o herramientas de gestión total de la calidad como Hoshin Kanri (Gestión por
política), Despliegue de la función de calidad, Análisis de modo de falla y efecto, metodología
de seis sigma, programas de 5S, Resolución de problemas sistemático, Círculos de calidad y
otros. El auditor que “agrega valor” debe, como mínimo, estar conciente de las metodologías de
la organización, y ser capaz de ver hasta donde son eficaces en el cumplimiento de los
requisitos de la norma ISO 9001:2008 para esa organización en particular.
También es importante que el auditor no se “intimide” por el aparente alto grado de sofisticación
de la organización. Mientras que la organización quizá este usando esas herramientas como
parte de una filosofía general de calidad total, aún puede haber huecos en el modo en que las
herramientas están siendo empleadas. Por lo tanto, el auditor debe tener la habilidad para
identificar cualquier problema sistemático y levantar las no conformidades apropiadas. En estas
situaciones, el auditor pudiera ser acusado de ser pedante o aún burocrático, por eso es
importante poder demostrar la relevancia de las no conformidades que se están levantando.
Zona 3: (Baja madurez de la “cultura de calidad”; conforme con la norma ISO 9001:2008)
Una organización que ha sido certificada en una de las normas de la serie ISO 9000 por un
período significativo de tiempo puede ser capaz de demostrar un alto nivel de conformidad con
la norma ISO 9001:2008, pero al mismo tiempo no tener realmente implementada una “cultura
de calidad” a través de la organización. Típicamente, el SGC pudiera haber sido implementado
bajo presión de los clientes, y construido alrededor de los requisitos de la norma en vez de que
sobre las necesidades y expectativas propias de la organización. Como resultado, el SGC

puede ser operado en paralelo con el modo de que la organización realiza sus operaciones de
rutina, generando redundancias e ineficiencias, pero no necesariamente no conformidades.
El primer objetivo de un “auditor que agrega valor” en estos casos debe ser el actuar como un
catalizador de la organización para reconstruir su sistema de gestión de la calidad basado en
ISO 9000, e integrar el sistema dentro de sus operaciones diarias. Aunque el auditor de tercera
parte no puede dar recomendaciones de cómo cumplir con los requisitos de la norma ISO
9001:2008, es aceptable y además buena práctica el motivar y estimular (no requerir) a la
organización a ir más allá de los requisitos de la norma. Las preguntas que haga el auditor (y el
modo como las pregunta) pueden dar pistas valiosas para la organización de cómo el SGC
puede hacerse más eficiente y útil. La identificación por parte del auditor de “oportunidades de
mejora” debe incluir los modos en que la eficacia del SGC puede mejorarse, pero también
pueden ver oportunidades de mejora en eficiencia.
Zona 4: (“cultura de calidad Madura”; conforme con la norma ISO 9001:2008)
Para una organización que tiene una cultura de calidad madura y ha sido certificada en una de
las normas de la serie ISO 9000 por un período significativo de tiempo, la expectativa de una
“auditoría que agregue valor” será la más retadora para un auditor. Una queja común de este
tipo de organización es que las “visitas rutinarias de vigilancia” de los auditores pueden ser
superfluas, y agregan muy poco valor desde el punto de vista de la organización. En estos
casos, la alta dirección se convierte en un cliente importante para el proceso de certificación.
Por tanto es importante para el auditor el tener un claro entendimiento de los objetivos de
negocio estratégicos de la organización, y de ser capaz de poner la auditoría del SGC en ese
contexto. El auditor necesita dedicar tiempo para discutir los detalles con la alta dirección para
definir sus expectativas para el SGC. En muchos casos las no conformidades se pudieran
relacionar a que la organización no haya implementado las políticas y objetivos de la alta
dirección, aún y cuando los requisitos mínimos de la norma ISO 9001:2008 se hayan cubierto.
Algunos consejos para auditar agregando valor.
1) Planificación de la auditoría:
a. Entender las expectativas y cultura corporativa del auditado
b. ¿Alguna preocupación a ser cubierta (resultado de auditorías previas)?
c. Análisis de riesgos del sector industrial específico de la organización.
d. Pre-evaluación de requisitos reglamentarios
e. Selección apropiada del equipo auditor para lograr los objetivos de la auditoría
f. Asignación del tiempo adecuada
2) Técnica de auditoría:
a. Enfocarse más a los procesos, y menos en los procedimientos. Algunos procedimientos
documentados, instrucciones de trabajo, listas de verificación, etc. pudieran ser necesarios
para la planeación y control de los procesos de la organización, pero lo fundamental debe
ser el proceso.
b. Enfocarse más en los resultados, y menos en los registros. De la misma manera, algunos
registros pudieran ser necesarios para que la organización proporcione evidencia objetiva de
que los procesos son eficaces (generando los resultados planificados) pero el auditor que
agrega valor debe estar conciente de y dar crédito a otras formas de evidencia.
c. Recuerde los 8 Principios de Gestión de la Calidad
d. Use el enfoque de “Planear – Hacer – Comprobar – Ajustar” para evaluar la eficacia de los
procesos de la organización.
i. ¿El proceso ha sido planeado?
ii. ¿Se ha realizado de acuerdo a lo planeado?
iii. ¿Se han logrado los resultados planificados?
iv. ¿Las oportunidades de mejora han sido identificadas e implementadas?
- Corrigiendo no conformidades
- Identificando las causas raíz de los problemas e implementando acciones
correctivas
- Innovando
e. Adopte un enfoque “holístico” para la recolección de evidencias durante la auditoría, en
lugar de enfocarse en las cláusulas individuales de la norma ISO 9001:2008.
3) Análisis y decisión
a. Ponga los hallazgos en perspectiva (Evaluación de riesgo / “sentido común”).
b. Relacione los hallazgos al efecto sobre la habilidad de la organización para proporcionar
productos conformes (Vea la norma ISO 9001:2008 cláusula 1.1).
4) Reporte y seguimiento
a. Uso sensitivo de los reportes de no conformidad / observaciones / oportunidades de mejora
i. Pudiera requerirse un enfoque diferente dependiendo de la madurez de la organización
(Zonas 1, 2, 3 y 4), y de la actitud del auditado hacia el proceso de auditoría
- Proactivo
- Reactivo
ii. Asegurese de tomar en cuenta cualquier aspecto cultural
iii. ¿La solución propuesta por la organización sera útil?
b. Los reportes deben ser objetivos y enfocados a la “audiencia” correcta (La alta dirección
probablemente tendrá expectativas que son diferentes a aquellas de las que tenga el
representante de la dirección)

GUÍA:
AUDITANDO LA COMPETENCIA DEL PERSONAL
Y LA EFICACIA DE LAS ACCIONES DE CAPACITACIÓN
La siguiente información se proporciona a los auditores que realicen auditorias de certificación para
guiarlos en el entendimiento de los requisitos de competencia y eficacia del entrenamiento de la
norma ISO 9001:2008.
(Nota de la ONN: Véase la Resolución 29 del MTSS “Reglamento para la planificación,
organización, ejecución y control de la capacitación y desarrollo de Recursos Humanos, en
las entidades laborales” de fecha 12 de enero de 2006 para alinear el enfoque con el
reglamentario aplicable en Cuba).
Estos requisitos son usualmente auditados como parte del proceso de realización de un producto y
no de manera aislada. Sin embargo, se reconoce que algunas organizaciones tendrán procesos de
recursos humanos por separado donde mucha de la evidencia necesaria se encontrará.
Es importante identificar las actividades típicas asociadas con la competencia del personal y la
eficacia de las acciones tomadas para satisfacer las necesidades de competencia, para dar una
guía a los auditores sobre el tipo de evidencia que deben buscar y proporcionar ejemplos cuando
sea apropiado.
Para satisfacer los requisitos de la norma ISO 9001:2008 sobre los aspectos antes
mencionados, una organización necesitará hacer varias cosas:
 Identificar que competencias son requeridas por el personal que desarrolla el trabajo que pudiera
afectar la calidad
 Identificar que personal que ya realiza el trabajo tiene las competencias requeridas
 Decidir que competencias adicionales son requeridas
 Decidir como esas competencias adicionales se van a obtener – entrenando al personal
(externamente o internamente), entrenamiento teórico o práctico, contratando nuevo personal
competente, asignación del personal competente existente a diferentes tareas
 Entrenar, contratar o reasignar personal
 Revisar la eficacia de las acciones tomadas para satisfacer las necesidades de competencia
 Revisar periódicamente la competencia del personal
A través del proceso, se requiere que la organización mantenga los registros apropiados de
educación, entrenamiento, habilidades y experiencia. Sin embargo, la norma ISO 9001:2008 no
especifica como el proceso será establecido o la naturaleza exacta de los registros a mantener.
Al auditar el cumplimiento de una organización con los requisitos de competencia y evaluación del
entrenamiento, un auditor típicamente debería buscar evidencia de que los siguientes tópicos se
han cumplido:
1 – Una organización necesita identificar que competencias son requeridas por el
personal que realiza el trabajo que afecta la calidad.
Directriz – El objetivo del auditor debe ser determinar si existe un enfoque sistemático establecido
para identificar esas competencias y verificar que el enfoque es eficaz. El resultado del proceso
pudiera ser una lista, un registro, una base de datos, un plan de recursos humanos, un plan de
desarrollo de competencias, un contrato, un plan de proyecto o producto, etc.
Inicialmente se pudieran tener entrevistas con la alta dirección para asegurar que ellos entienden la
importancia de la identificación de las competencias requeridas. Estas pudieran también ser una
fuente potencial de información para nuevas actividades o cambios en procesos que pudieran llevar
a competencias diferentes.
Una revisión de las competencias pudiera también ser necesaria cuando se esta considerando un
nuevo contrato o cotización y una evidencia de esto pudiera encontrarse en los registros
relacionados. Los requisitos de competencias pudieran estar incluidos en documentos de contrato
donde las actividades de los subcontratistas pueden tener un impacto en los procesos y/o
características de calidad del producto.
Los auditores necesitan determinar si la organización ha identificado competencias nuevas o
necesidades de cambios en ellas durante las auditorias de seguimiento.
2 – ¿Se asignan personas competentes a aquellas actividades necesarias para controlar
las características de calidad de sus procesos y productos?
Directriz – Verifique que alguna forma de evaluación de proceso está establecida para asegurar
que las competencias son apropiadas a las actividades de la organización y de que el personal
seleccionado como competente haya demostrado esas competencias. También, el proceso debe
asegurar que ninguna deficiencia quede sin una acción y la eficacia del personal sea medida.
Verifique que las actividades que afectan la calidad sean desarrolladas por personas seleccionadas
como competentes. Se debe obtener evidencia durante la auditoría con un énfasis en aquellos
procesos, actividades, tareas y productos donde la intervención humana pudiera tener un impacto
mayor. El auditor pudiera revisar descripciones de puesto, probar o inspeccionar actividades, dar
seguimiento a las actividades, ver los registros de las revisiones por la dirección, las definiciones de
responsabilidades y autoridades, los registros de las no conformidades, los reportes de auditorías,
las quejas de los clientes, los registros de validación de procesos, etc.
3- La organización necesita evaluar la eficacia de las acciones tomadas para satisfacer
las necesidades de competencia.
Directriz – La organización pudiera utilizar varias técnicas incluyendo “actuación”, revisión de
colegas, observación, revisiones de los registros de entrenamiento de los empleados, entrevistas
(ver ISO 19011 Tabla 2 para más ejemplos). El método de evaluación particular más apropiado
dependerá de muchos factores. Por ejemplo, solo verificar que un curso de entrenamiento se
terminó exitosamente, se pudieran revisar los registros de entrenamiento pero esto solamente no
proporciona evidencia de que el entrenado sea competente. Sin embargo este mismo método
pudiera no ser aceptable para evaluar si un auditor se desempeña satisfactoriamente o no durante
una auditoría y esto pudiera requerir de observación, revisión por colegas, entrevistas, etc. La
organización pudiera también demostrar esto a través de una combinación de educación,
entrenamiento y/o experiencia de trabajo.
4 – Mantenimiento de competencia.
Directriz – El auditor necesita verificar que está implementada alguna forma eficaz de dar
seguimiento al proceso y se actúa así. Algunas maneras de hacer esto incluye un proceso continuo
de desarrollo profesional como el descrito en la norma ISO 19011, evaluaciones regulares del
personal y su desempeño y la inspección, prueba o auditoría regular de producto de los que los
individuos o grupos son responsables. Los cambios frecuentes en requisitos de competencia
pudiera indicar que una organización es proactiva en mantener los niveles de desempeño de su
personal.

GUÍA:
Auditando los requisitos reglamentarios
Es totalmente responsabilidad de la organización el identificar y describir como su SGC cumple
con los requisitos reglamentarios aplicables a sus productos y servicios.
La organización debe demostrar que los requisitos reglamentarios aplicables a sus productos y
servicios han sido propiamente identificados, están disponibles y son de fácil recopilación.
Los auditores necesitan estar concientes de los requisitos reglamentarios generales y
específicos aplicables a los productos incluyendo los del campo de aplicación del SGC para
poder hacer un juicio de qué tanto es adecuado el SGC establecido por la organización para
cumplir con esos requisitos. Estos requisitos necesitan estar identificados e integrados en la
gestión de recursos y las actividades de realización del producto de la organización.
Durante la fase de preparación de la auditoría, el equipo auditor debe obtener de fuentes
internas o externas la información relevante sobre los requisitos reglamentarios aplicables a los
productos cubiertos por el alcance de la certificación.
Durante la fase de auditoría, el equipo auditor debe:
 Asegurar que la organización tiene una metodología establecida para la identificación y
actualización de los requisitos reglamentarios aplicables.
 Asegurar que estos requisitos reglamentarios son utilizados como “entradas de proceso”
cuando se da seguimiento a las “salidas de los procesos” para ver su cumplimiento.
 Asegurar que cualquier declaración de cumplimiento a normas, requisitos regulatorios, etc.
está demostrada apropiadamente por la organización.
 Levantar una no conformidad si se encuentra evidencia, durante la auditoría, de que una
información específica sobre requisitos reglamentarios no fue tomada en cuenta.
 Levantar una no conformidad si se identifica directamente un no cumplimiento con estos
requisitos.
Los auditores deben evitar hacer declaraciones acerca de qué requisitos reglamentarios son
aplicables a los productos o servicios de la organización, o sobre los métodos de cumplimiento,
para prevenir posibles responsabilidades legales.
Se pueden levantar no conformidades solamente en el caso de identificar deficiencias en el
sistema o violaciones directas con respecto a requisitos reglamentarios aplicables a los
productos o servicios de la organización.
Sin embargo, si se detecta de manera coincidental durante la auditoría una no conformidad con
otro tipo de requisitos reglamentarios (por ejemplo de salud e higiene ocupacional, ambiental,
etc.), este hecho no puede ser ignorado por el equipo auditor y debe hacérselo notar a la alta
dirección – para que tome las medidas necesarias - y a la dirección del Cuerpo de
Certificación, para su información, utilizando un modo de información separado del reporte de
auditoría.

GUÍA:
Auditando la política y los objetivos de la calidad
Auditando la política de calidad
La política de calidad y su despliegue eficaz solamente se puede valorar basándose en
los resultados generales de la auditoría.
Los métodos de auditoría deben incluir:
 Entrevista con la alta dirección para entender su enfoque y compromiso hacia la
calidad.
 Evaluación, a través de los registros de las revisiones por la dirección, el
compromiso e involucramiento de la alta dirección en el establecimiento,
implementación, seguimiento y actualización de la política de calidad.
 Valorar si la alta dirección ha “traducido” eficazmente la Política de Calidad en
palabras entendibles y directrices hacia todos los niveles de la organización, con
sus objetivos correspondientes a cada función / nivel aplicable.
 Conducir entrevistas con el personal para verificar si ellos han tomado la conciencia
apropiada, el entendimiento y conocimiento del modo como la política de calidad de
la organización se relaciona con su propia actividad, sin importar los términos
utilizados por esas personas para expresar su entendimiento.
 Buscar la evidencia de la difusión eficaz de la política de calidad por una
comunicación apropiada.
Auditando los Objetivos de la calidad

El auditor necesita verificar que los Objetivos de la calidad generales de la organización
han sido definidos; que ellos reflejan la política de calidad, y son coherentes e
integrados con los objetivos generales del negocio, incluyendo las expectativas de los
clientes. El equipo auditor debe verificar que existe una alineación sustancial y
compatibilidad entre los objetivos de la calidad y los objetivos generales del negocio. Si
este no es el caso, los auditores deben analizar más a fondo el compromiso de la alta
dirección con la calidad.
Los Objetivos de la calidad necesitan ser medibles y estar documentados.
No existe un modo específico de documentar los objetivos de la calidad, estos pudieran
aparecer en los Planes de Negocio, resultados de las revisiones por la dirección,
Presupuestos anuales, etc. ..... Depende de cada equipo auditor el autosatisfacerse de
que los objetivos estén adecuadamente documentados.
Los auditores deben obtener evidencia del modo en que los Objetivos de la calidad
estén diseminados en cascada de manera apropiada a través de la estructura
organizacional y los procesos, ligando los objetivos estratégicos generales con los
objetivos gerenciales y hasta los objetivos operacionales específicos.
Es recomendable que los objetivos de la calidad documentados sean examinados en la

etapa de revisión documental de la auditoría.
Antes del final de la auditoría, el equipo auditor debe satisfacerse de que los objetivos
de la calidad son realistas y que la organización ha asignado al personal responsable
los recursos apropiados para cumplir sus objetivos. Es apropiado muestrear estos
objetivos en todos los niveles de la organización.
Los objetivos de la calidad no son estáticos y necesitan actualizarse a la luz del clima
del negocio actual y la búsqueda de la mejora continua. El equipo auditor debe verificar
si el desempeño global de la organización refleja la directriz de la política de calidad y
cumple razonablemente los objetivos de la calidad.
Los auditores deben tener en mente que los objetivos pueden ser medidos de manera
cuantitativa o cualitativa. También deben recordar que existe una liga clara entre el
aspecto dinámico de la revisión de la política de calidad y los objetivos de la calidad
con el compromiso de la organización con la mejora continua.

GUÍA:
Auditando el control de los dispositivos de seguimiento y medición
La información siguiente se provee como guía para auditar los procesos asociados con
el control de los dispositivos de seguimiento y medición, así como para ayudar en la
evaluación de justificaciones para la exclusión de la cláusula 7.6 del alcance del
sistema de gestión de calidad de una organización.
Este documento provee directrices para auditar el control de dispositivos físicos y no

para ser usado por evaluar la validez de salidas intangibles por atributos cualitativos de
procesos tales como la educación, adiestramiento y estudios de satisfacción de cliente.
Cuando los exámenes, las encuestas, los cuestionarios para evaluación de
desempeño, etc. sean considerados como “dispositivos de seguimiento” se sugiere que
deban ser controlados (y auditados) como parte de la validación de los procesos (vea
cláusula 7.5.2).
Cuando se auditan los procesos de seguimiento y medición, es importante para los

auditores entender la diferencia entre “dar seguimiento” y “medir”:
• dar seguimiento implica observación, supervisión, mantenimiento bajo revisión
(usando dispositivos de seguimiento); pudiendo involucrar la medición o el
ensayo a intervalos, sobre todo con el propósito de regulación o control.
• medir considera la determinación de una cantidad física, magnitud o dimensión
(usando equipos de medición).
Mientras "equipo de medición" se define en ISO 9000 cláusula 3.10.4 como

"instrumento de medición, software, patrón de medición, material de referencia o
equipos auxiliares o combinación de ellos necesarios para llevar a cabo un proceso de
medición”, la norma sólo exige calibrar el "equipo de medición” cuando se usa con el
propósito de medir "… para proporcionar evidencia de la conformidad del producto con
determinados requisitos", o bien del proceso.
Los equipos y los dispositivos pueden usarse para indicar, dar seguimiento o medir. Un
mismo equipo podría ser empleado para las tres funciones.
Por ejemplo, en algunas industrias, un manómetro puede usarse:

• como un indicador (por ejemplo, para asegurarse de que hay presión);
• como un dispositivo de seguimiento (por ejemplo, para asegurarse de que la
presión es estable y el proceso está bajo control); y
• como equipo de medición (por ejemplo, dónde el valor exacto de la presión sea
importante para la calidad de producto).
Sin embargo, el nivel de control depende del uso previsto, el que determina si debe o
no calibrarse o verificarse. La profundidad y grado de tal confirmación puede variar,
dependiendo de la naturaleza de los productos, servicios y riesgos relacionados.
En aquellos casos donde la organización hace uso de equipos de medición, debe

obtenerse evidencia de que las necesidades metrológicas relacionadas con la
producción o los procesos de servicio han sido propiamente identificadas/especificadas
y que los sistemas de medición se han diseñado, operado y mantenido de forma tal,
que satisfagan las necesidades metrológicas aplicables.
Los auditores deben confirmar que, además de proporcionar los registros de calibración
necesarios y el aseguramiento de la incertidumbre y trazabilidad relacionadas de las
mediciones, la organización sea consciente de, y haya implementado, como le sea
apropiado, un sistema de confirmación metrológica como se describe en ISO 10012,
adecuado a la extensión y tipos de mediciones realizados.
De lo dicho anteriormente se desprende que la organización debe ser capaz de decidir

si puede excluir o no, los requisitos de la cláusula 7.6, de forma total o parcial.
Explicaciones adicionales y ejemplos se brindan en el Manual de la ISO: ISO

9001:2008 para Pequeños Negocios - Qué hacer, Consejos del ISO/TC 176.

GUÍA:
Uso eficaz de la norma ISO 19011
La norma ISO 19011:2002 ha reemplazado a la serie de normas ISO 10011 y proporciona
directrices para auditar sistemas de gestión de calidad. La norma contiene opciones relativas a
métodos de auditoría y competencias de los auditores pero el contenido no es mandatorio. La
directriz tiene la intención de ser flexible y la aplicación puede diferir de acuerdo al tamaño,
naturaleza y complejidad de la organización a ser auditada. Es decisión de cada cuerpo de
certificación de tercera parte utilizar las directrices que considere apropiadas a sus necesidades
y relevantes a sus prácticas propias de trabajo.
La norma se divide en varias secciones incluyendo las siguientes:
Principios de auditoría
El auditor debe estar familiarizado con los 5 principios de auditoría y aplicarlos al proceso
de auditoría.
Gestión de un programa de auditoría
Esta será generalmente responsabilidad de la dirección del cuerpo de certificación de
tercera parte y no del auditor individual. Los auditores deben estar concientes que los
programas de auditoría son seguidos y revisados a intervalos apropiados. Los auditores
deben proporcionar datos de entrada para la mejora de los programas de auditoría.
Actividades de auditoría
Esta directriz enfatiza la importancia de y las técnicas para la planificación, conducción y
reporte de una auditoría y es de particular relevancia para el auditor. Los auditores deben
estar familiarizados con la sección 6 de la norma ISO 19011.
Competencia y evaluación de los auditores
La directriz sobre la competencia y evaluación de los auditores da un nuevo énfasis en la
importancia de la competencia del individuo y del equipo auditor en vez del criterio de
cualificación para auditores que estaba en la norma ISO 10011-2.
La competencia ahora es definida como los atributos personales y aptitud demostrada para
aplicar conocimientos y habilidades. Se da ahora, menos importancia en los niveles de
educación prescritos, la experiencia de trabajo y auditoría y número de auditorías
realizadas. Estas ahora se utilizan como entradas a los conocimientos y habilidades
necesarias para la competencia de un auditor.
Mucho de esta directriz será utilizada por los cuerpos de certificación de tercera parte
cuando establezcan sus propios criterios de competencia para los auditores. Sin embargo,
los auditores individuales deben estar concientes del contenido de esta sección de modo
que puedan mantener, mejorar y trabajar dentro de su competencia profesional.
Se puede encontrar ayuda práctica a través de las directrices y se dan ejemplos y
clarificaciones adicionales en varios tópicos aunque algunos no pudieran ser aplicables a
auditorías de tercera parte.

GUÍA:
Auditando los procesos de retroalimentación del cliente
1) Introducción
El proceso de retroalimentación del cliente es una parte crítica del sistema de gestión de la
calidad, y por lo tanto debe recibir una atención adecuada durante una auditoría de tercera
parte. La retroalimentación del cliente es uno de los indicadores primarios de desempeño que
puede ser utilizado para juzgar la eficacia general del SGC. Por lo tanto, es importante para el
auditor verificar que:
a) Las entradas a este proceso incluya datos relevantes, representativos y confiables.
b) Estos datos se analizan eficazmente, y
c) La salida de este proceso proporciona información útil para la revisión por la dirección y otros
procesos del SGC, para aumentar la satisfacción del cliente y llevar hacia la mejora continua.
2) ¿Cuáles son los requisitos?
2.1) El objetivo general de la norma ISO 9001:2008, como lo establece la cláusula 1.1 es
especificar los requisitos para un sistema de gestión de la calidad para cuando una
organización:
(a) necesita demostrar su capacidad para proporcionar de forma coherente productos que
satisfagan los requisitos del cliente y los reglamentarios aplicables, y
(b) aspira a aumentar la satisfacción del cliente a través de la aplicación eficaz del sistema,
incluidos los procesos para la mejora continua del sistema y el aseguramiento de la
conformidad con los requisitos del cliente y los reglamentarios aplicables.
2.2) La cláusula 7.2.3 requiere que la organización “determinar e implementar disposiciones
eficaces para la comunicación con los clientes,relativas a ………… la retroalimentación del
cliente, incluyendo sus quejas.”
2.3) La cláusula 8.2.1 de la norma ISO 9001:2008 establece:
“Como una de las medidas del desempeño del sistema de gestión de la calidad, la organización
debe realizar el seguimiento de la información relativa a la percepción del cliente con
respecto al cumplimiento de sus requisitos por parte de la organización. Deben determinarse
los métodos para obtener y utilizar dicha información.”
El documento de guía sobre terminología del ISO/TC176 (ISO/TC176/SC2/N526R) enfatiza
que dar seguimiento significa “observar, supervisar y mantener bajo revisión; medir o probar a
intervalos”. Es importante que los auditores reconozcan que no hay un requisito específico en
la norma ISO 9001:2008 en su cláusula 8.2.1 para que la organización realice encuestas
formales de satisfacción del cliente, u otras medidas de satisfacción del cliente, aunque esto
puede obviamente ser una herramienta útil en el seguimiento de las percepciones del cliente.
Por eso es importante que la organización trate de ver las cosas desde la perspectiva del
cliente, y de seguimiento a las percepciones del cliente; La medición de la satisfacción del
cliente puede ser apropiada en algunas situaciones, pero este no es un requisito directo de la
norma.
NOTA: Además de estas referencias específicas a los procesos de retroalimentación del cliente, hay varias
referencias indirectas a través de toda la norma, de las que el auditor necesita tomar en cuenta. Algunos ejemplos
incluyen la retroalimentación como parte del proceso de diseño y desarrollo; proceso de validación y otros.
3) ¿Que debe ser cubierto cuando se audita los procesos de retroalimentación del
cliente?
La retroalimentación del cliente es un proceso. Necesitamos auditarlo como un proceso, no
como una “cláusula de la norma”. Necesitamos evaluar el modo en como el proceso es
gestionado (ver la cláusula 4.1.c de la norma ISO 9001:2008, y su habilidad para proporcionar
información significativa con la cual juzgar la eficacia general del SGC. El definir el modo en el
que la organización obtiene esta retroalimentación (“el método) es decisión de la organización
El auditor debe por lo tanto estar atento a los muchos factores que pueden afectar el enfoque
de la organización, y debe reconocer que no hay una “receta” dada. Debe entonces tomar en
consideración factores como:
 el tamaño y complejidad de la organización
 el grado de sofisticación de los productos y clientes
 el riesgo asociado al producto
 la diversidad de la base de clientes
3.1) Antes de auditar el proceso de retroalimentación del cliente (fase de preparación)
El auditor necesita estar atento a las características específicas de los productos de la
organización que pudieran tener un impacto en la satisfacción del cliente. Durante la auditoría
el auditor debe estar alerta de indicadores que pudieran sugerir la satisfacción o no satisfacción
del cliente y que pudieran servir como entrada a la auditoría del proceso de retroalimentación
del cliente. Algunas buenas fuentes de esta información pudiera incluir, por ejemplo:
 Bienes devueltos por el cliente;
 Reclamos de garantía;
 Facturas revisadas;
 Notas de crédito;
 Artículos disponibles;
 Sitios web de clientes;
 Observación directa de, o comunicación con el cliente (por ejemplo en una organización
de servicio).
3.2) Durante el proceso de evaluación
Estos son algunos puntos que un auditor debe cubrir durante una auditoría al proceso de
retroalimentación del cliente:
a) ¿cuál es el resultado deseado de este proceso?¿qué información está disponible sobre
percepciones del cliente?¿cómo es utilizada esta información por la dirección para iniciar
mejoras al producto, los procesos y el SGC?
• ¿Están cubiertos todas las categorías de clientes en esta información? Es importante
recordar que la organización pudiera tener más de una categoría de clientes – ver la
definición de “cliente” en la norma ISO 9000:2005 cláusula 3.3.5. Por ejemplo, un fabricante
pudiera vender a distribuidores, que venden a detallistas, que venden al público en general.
En este caso la organización puede necesitar cubrir los tres tipos de clientes y ellos pueden
tener diferentes percepciones. La organización puede estar satisfaciendo a un grupo y
quedando mal con otro.
b) ¿como se recolectan los datos que alimentan el proceso?

Hay muchas maneras en las que una organización puede dar seguimiento a las percepciones
de sus clientes, y el auditor debe evitar las ideas preconcebidas acerca de cómo se debe hacer
esto. Algunos ejemplos de técnicas que la organización puede usar incluye:
 evaluaciones cara a cara, que pueden ser apropiadas en muchas organizaciones de
servicio como hoteles – “¿cómo estuvo su estancia con nosotros?” o restaurantes
“espero que haya disfrutado su comida”
 llamadas telefónicas o visitas realizadas periódicamente o después de una entrega de
productos o servicios
 cuestionarios o encuestas realizadas por la misma organización, o por investigadores
de mercados independientes
 otros contactos con clientes, por ejemplo por personal de servicio o instalación
 investigaciones internas entre el personal de la organización que tiene contacto con los
clientes,
 evaluación de negocios repetidos
 seguimiento a cuentas por cobrar, reclamos de garantía, etc.
 análisis de quejas de clientes
Frecuentemente las quejas son la única retroalimentación espontánea recibida de los clientes,
y estas deben ser analizadas para buscar tendencias, quejas clave, impactos, etc. Debe
resaltarse, sin embargo, que las quejas de los clientes pueden no ser la única entrada para dar
seguimiento a las percepciones de los clientes. También , el auditor debe evitar llegar a
conclusiones solo por ver quejas específicas e individuales – estas deben siempre ser puestas
en contexto en su impacto general sobre el SGC.
c) ¿Qué tan confiable es la información?
 En un mundo ideal, la organización debe dar seguimiento a las percepciones de todos sus
clientes, pero el costo de hacer esto pudiera ser prohibitivo. Por lo tanto es necesario
verificar el criterio que la organización ha utilizado para el muestreo de sus clientes, para
asegurar que es representativo y refleja el riesgo hacia la organización y hacia sus
clientes.
 El auditor debe asegurarse de verificar la información proporcionada comparándola con
otra evidencia obtenida durante el curso de la auditoría (ver 3.1)
 En algunos casos pudiera ser apropiado para el auditor verificar la información
directamente con los clientes de la organización, cuidando tener la diplomacia requerida
cuando se hace esto.
d) ¿Cómo se analizan los datos?
 La simple recolección de datos sobre las percepciones de los clientes no es suficiente –
el auditor debe dar seguimiento al proceso, para verificar como se analizan los datos (ver
la cláusula 8.4 de la norma ISO 9001:2008), y que conclusiones se hacen con respecto a
la eficacia del SGC.
• Hay alguna tendencia?
• La situación es estable, mejora o se deteriora?
• Las necesidades y expectativas de los clientes están cambiando?

• Aunque no es un requisito de la norma ISO 9001:2008, pudiera ser apropiado preguntar
a la organización sobre las comparaciones de industria o actividades de “benchmarking”,
para poner en perspectiva la retroalimentación del cliente.
e) ¿Cómo se retroalimenta la información generada por este proceso al SGC como un todo?
• Las organizaciones deben utilizar los resultados del proceso de retroalimentación de los
clientes para disparar acciones correctivas o preventivas y como uno de los indicadores
generales del desempeño del SGC. El modo de cómo estos procesos interactúan debe
ser sujeto de auditoría.
• El auditor debe ser capaz de reconocer que el resultado del proceso de retroalimentación
del cliente forma una entrada importante para otros procesos del SGC, como el análisis
de datos, procesos de revisión por la dirección y mejora continua.
• Un auditor que “agrega valor” debe tratar de asegurar que la organización reconozca los
beneficios que puede proporcionar un buen proceso de retroalimentación de los clientes
y promoverá (pero no puede requerir) que la organización piense más allá de
simplemente “cumplir los requisitos de la norma”
f) ¿Cuales son las ligas con otros procesos del SGC?
El auditor debe reconocer que el proceso de retroalimentación del cliente tiene ligas
importantes e interfases con varios procesos del SGC que incluyen, pero no están limitados a
las siguientes cláusulas de la norma:
• 5.6 Revisión por la dirección
• 7.5.2 Validación de procesos
• 7.2.3 Comunicación con el cliente
• 7.3.6 Validación de diseño y desarrollo
• 7.3.7 Cambios al diseño y desarrollo

GUÍA:
Documentando una no conformidad
El enfoque de cualquier auditoría a un sistema de gestión consiste en determinar si el
sistema de gestión ha sido desarrollado, es eficazmente implementado y se mantiene.
Una organización es certificada en base a que se ha implementado eficazmente un
sistema de gestión, que es conforme con los requisitos de la norma ISO 9001:2008.
Por lo tanto el énfasis de una auditoría de sistema de gestión debe estar en verificar la
conformidad, no en documentar no conformidades. Los auditores deben mantener un
enfoque positivo y ver los hechos y no las faltas.
Sin embargo, cuando la evidencia de auditoría determina que existe una no
conformidad, entonces es muy importante documentar bien la no conformidad. ¿Qué es
no conformidad?, de acuerdo a la definición en la norma ISO 9000: 2005 (3.6.2), una
no conformidad es un incumplimiento de un requisito. Hay tres partes en una no
conformidad bien documentada:
• la evidencia de auditoría que soporta los hallazgos del auditor;
• el requisito contra el cual la no conformidad se detecta;
• el enunciado de la no conformidad.
Si no hay evidencia – no hay no conformidad. Si hay evidencia – esta debe ser
documentada como una no conformidad en vez de ser suavizada con otra clasificación
(por ejemplo, “observaciones”, “oportunidades de mejora”, “recomendaciones”, etc.)
Estas son las tres partes de una no conformidad a ser documentadas, en la práctica
real durante una auditoría, la primer parte a ser identificada y documentada será la
evidencia de auditoría. El auditor competente observará situaciones que el o ella
“sienten” que es una no conformidad, aunque en ese punto en el tiempo, el auditor
pudiera no estar 100 por ciento seguro. El auditor competente documentará la
evidencia de auditoría, en sus notas de auditoría como una no conformidad potencial, y
buscará caminos de auditoría adicionales para confirmar si es una no conformidad. La
evidencia de auditoría debe ser documentada con suficiente detalle para que la
organización auditada pueda encontrar y confirmar exactamente lo que el auditor ha
observado.
La siguiente cosa que el auditor necesitará hacer es identificar y registrar el requisito
específico que no ha sido cubierto. Recuerde, una no conformidad es un
incumplimiento de un requisito, por lo que si el auditor no puede identificar el
requisito, entonces el auditor no puede levantar una no conformidad. Por ejemplo
el requisito pudiera estar especificado en la norma ISO 9001:2008, en el sistema de
gestión de la organización (requisitos internos), en las regulaciones legales aplicables,
o por los clientes de la organización. Una vez que el requisito específico es confirmado,
este necesita ser documentado. Esto puede ser tan simple como establecer la norma y
la cláusula. Sin embargo, si el requisito específico que es aplicable a la evidencia de la
auditoría es parte de una cláusula de la norma con varios requisitos, entonces el
auditor debe, además de citar la norma y la cláusula, escribir las palabras específicas
del requisito que es aplicable a la evidencia de la auditoría.
Ahora viene la parte más importante de documentar una no conformidad, que es el
escribir una declaración de la no conformidad. El enunciado de la no conformidad
lleva a la organización al análisis de la causa, la corrección y la acción correctiva.
El enunciado de la no conformidad debe ser genérico y relacionado con el punto del
sistema. El enunciado de la no conformidad debe ser capaz de expresarse en una, o
cuando mucho, dos oraciones. El enunciado de la no conformidad no debe ser una
repetición de la evidencia de la auditoría o usado en lugar de la evidencia de auditoría.
Para resumir, una no conformidad bien documentada tendrá tres partes: la evidencia de
auditoría, el requisito y el enunciado de la no conformidad. Con las tres partes de la no
conformidad bien documentadas, el auditado o, cualquier otra persona con
conocimientos suficientes podrá ser capaz de leer y entender la no conformidad. Esto
servirá también como un registro útil para futuras referencias.

GUÍA:
Guía para la revisión y cierre de las no conformidades

Introducción
El valor que puede proporcionarse a una organización puede ser aumentado o
disminuido por la revisión que un auditor conduce a la respuesta de la organización a
una no conformidad, así como al proceso de “cierre” que sea aplicado. Un auditor
agregará valor asegurándose de que la organización ha cubierto satisfactoriamente la
corrección / el análisis de causas y la acción correctiva, ya que esto aumentará la
probabilidad de que la organización logre la satisfacción del cliente.
Este documento proporciona una directriz para ayudar a los auditores en el proceso de
revisar y cerrar las no conformidades levantadas en las auditorías.
Revisión de acciones en respuesta a una no conformidad
Los auditores de sistemas de gestión son responsables de revisar la respuesta a las no
conformidades y verificar la eficacia de las acciones tomadas.
Debe haber tres partes en la respuesta de la organización a una no conformidad:
• corrección, • análisis de causa,
• análisis de la causa, y o • corrección, y
• acción correctiva. • acción correctiva
(Nota; se dan dos secuencias diferentes ya que la correcta a seguir pudiera depender del tipo de
producto, o situación de la no conformidad. Sin embargo, las tres partes para resolver una no
conformidad son las mismas en cada caso. Por ejemplo, para software, es inconveniente la
implementación de una corrección hasta que la causa sea conocida. Alternativamente, como un ejemplo
de hardware, si una luz de advertencia de “zapatas desgastadas” se ilumina en un vehículo y usted
inmediatamente implementa la corrección de reemplazar las zapatas antes de examinar si el sensor falló,
pudiera fallar al resolver el problema y habrá desperdiciado tiempo y recursos.)
La fuente que autoriza a realizar el enunciado inicial son algunas definiciones pertinentes
en la norma ISO 9000: 2005.
No conformidad: incumplimiento de un requisito (ISO 9000:2005, cláusula 3.6.2)
Corrección: acción tomada para eliminar una no conformidad detectada (ISO
9000:2005, cláusula 3.6.6)
Acción correctiva: acción tomada para eliminar la causa de una no conformidad
detectada u otra situación indeseable (ISO 9000: 2005, cláusula 3.6.5)
Cuando se detecta una no conformidad cabe esperar tanto la corrección como la acción
correctiva.
La “corrección” es una acción para eliminar una no conformidad detectada, Por ejemplo, la
corrección pudiera involucrar el reemplazo del producto no conforme con un producto
conforme o reemplazar un procedimiento obsoleto con la versión vigente, etc.
La definición de “acción correctiva” es “acción para eliminar la causa de la no conformidad

detectada”. La acción correctiva no puede ser tomada sin primero hacer una determinación
de la causa de la no conformidad. Existen muchos métodos y herramientas disponibles
para determinar la causa de una no conformidad, desde una simple tormenta de ideas
hasta técnicas más complejas de solución sistemática de problemas (por ejemplo, análisis
de causas raíz, diagramas de espina de pescado, “los cinco por qué”, etc.). Un auditor
debe estar familiarizado con el uso apropiado de estas herramientas. La extensión y
eficacia de la acción correctiva depende de la identificación de la verdadera causa raíz. En
algunos casos esto ayudará a una organización a identificar y minimizar no conformidades
similares en otras áreas.
Al revisar la respuesta de una organización a una no conformidad, el auditor debe
confirmar que la documentación y la evidencia objetiva para las tres partes – corrección,
causa y acción correctiva -se proporcionan por la organización, y son apropiadas, antes de
aceptar la respuesta. Elementos importantes a verificar en el proceso de revisión incluyen:
 declaraciones de acciones; ¿son claras y concisas?
 descripciones de acciones; ¿son completas y refieren con precisión documentos,
procedimientos específicos, etc. según sea apropiado?
 el uso de la forma verbal en pasado (fue, estuvo, ha sido), como un indicador de que las
acciones tomadas han sido completadas.
 la fecha de terminación de las acciones correctivas; fechas pasadas deben encontrarse
como indicador de que las acciones han sido tomadas (las fechas que indican acción
futura no son una buena práctica).
 evidencia que soporte el hecho de que la acción correctiva ha sido total y eficazmente
implementada y que la acción correctiva ha sido desempeñada en la forma en que
estaba descrita.
Adicionalmente, el auditor debería verificar que la organización se ha asegurado que
la acción correctiva tomada no ha creado por si misma mayores problemas
relacionados con la calidad del producto o la implementación del SGC.
Debe notarse que tanto la corrección como la acción correctiva no son siempre apropiadas
y que la corrección o la acción correctiva por si solas pudieran ser suficientes. Esto pudiera
suceder, por ejemplo, en casos en que se puede demostrar que la no conformidad fue
absolutamente accidental, y la probabilidad de que vuelva a ocurrir es muy baja.
La acción correctiva eficaz debe prevenir que la no conformidad vuelva a ocurrir eliminando
la causa. Sin embargo, la acción correctiva no debe confundirse con la acción preventiva.
La definición de acción preventiva es como sigue:
Acción preventiva: acción para eliminar la causa de una no conformidad potencial o
una situación indeseable (ISO 9000:2005, cláusula 3.6.4)
Se debe notar que la acción preventiva por la naturaleza de su definición no es aplicable a
no conformidades ya detectadas. Sin embargo un análisis de sus causas pudiera identificar
no conformidades potenciales en una escala más amplia en otras áreas de la organización
y proporcionar una entrada para una acción preventiva.
Cierre de no conformidades
Ya que las no conformidades tienden a ser individuales en su naturaleza, se puede utilizar
una amplia variedad de métodos o actividades para cerrarlas. Por ejemplo, algunas
requerirán un examen directo en el lugar (lo que pudiera requerir la necesidad de visitas
adicionales al lugar), mientras otras pudieran cerrarse de manera remota (por la revisión de
documentación relevante que se envíe como evidencia).
Antes de decidir el acuerdo para cerrar una no conformidad, el auditor líder (o auditor
cuando actúa solo) debería revisar lo que la organización hizo con respecto a la corrección
/ análisis de causa y los resultados logrados a través de la acción correctiva. El auditor líder
necesita asegurarse de que existe evidencia objetiva (incluyendo documentación de
soporte) para demostrar que la acción correctiva descrita ha sido completamente
implementada y es eficaz en prevenir que la no conformidad vuelva a ocurrir. Solamente
cuando la situación sea satisfactoria debería cerrarse la no conformidad.

GUÍA:
Auditoría de la acción preventiva
1) Introducción
ISO 9000:2005, cláusula 3.6.4, define la acción preventiva como la “acción para eliminar la
causa de una no conformidad potencial u otra situación potencial no deseada”.
Esto se puede considerar como una acción adoptada para evitar que se presente una no
conformidad. Sin embargo, si no hay una no conformidad con la cual empezar y si la acción
preventiva es eficaz, se mantendrá el status quo. Esto origina la dificultad de auditar un proceso
para el cual la salida deseada es mantener el status quo.
Con frecuencia existe confusión sobre las diferencias entre los términos corrección, acción
correctiva y acción preventiva (por favor consulte ISO 9000:2005 para sus definiciones
formales) y también con relación a las actividades de una organización con respecto a cada
una de ellas.
La auditoria de los procesos de corrección y acción correctiva de la organización es
relativamente sencilla porque los resultados y la eficacia de estos procesos por lo general están
bien definidos (es decir, si la organización ya ha identificado una no conformidad, es
relativamente fácil para un auditor evaluar el proceso utilizado por la organización, o que se
planifica por usar para corregirla y si esto será o no eficaz para evitar que se vuelva a presentar
la no conformidad); no obstante, la auditoría de los procesos de acción preventiva usualmente
es más compleja.
2) Guía de auditoria
2.1) ISO 9001:2008 requiere que la organización tenga un procedimiento documentado para la
acción preventiva.
Nota: Se acepta la combinación de procedimientos documentados de acción correctiva y acción
preventiva en un solo documento del SGC, pero no es recomendable. Si están combinados,
entonces es importante que el auditor verifique que la organización entiende claramente la
diferencia entre el propósito de las acciones correctivas y preventivas.
2.2) La norma exige que este procedimiento documentado incluya:
a) Cómo determina la organización las no conformidades potenciales y sus causas.
Los ejemplos comunes incluyen los siguientes:
• Análisis de tendencia para las características de los procesos y los productos (resultado
del proceso de análisis de datos). Una tendencia hacia el empeoramiento puede indicar
que si no se adopta ninguna acción, podría presentarse una no conformidad.
• Alarmas para brindar advertencia temprana de que se aproximan condiciones operativas
“fuera de control”.
• Monitoreo de la percepción del cliente mediante sistemas de retroalimentación tanto
formales como informales.
• Análisis de tendencias para la capacidad de los procesos, usando técnicas estadísticas.
• Análisis de modo de falla y efecto continuos para los procesos y los productos (este es
un requisito de ISO/TS 16949, por ejemplo, para la industria automotriz).
• Evaluación de las no conformidades que hayan ocurrido en circunstancias similares, pero
para otros productos, procesos, u otras partes de la organización o incluso en otras
organizaciones.
• Planificación completa de actividades tanto para situaciones predecibles (por ejemplo,

debido a expansión, mantenimiento o cambios de personal - véase ISO 9001, cláusula
5.4.2b)) como impredecibles (por ejemplo, fenómenos naturales como huracanes,
terremotos, inundaciones etc.).
• ISO 9004:2008, cláusula 8.5.3, Prevención de pérdidas (Loss prevention) suministra
otros ejemplos (Nota: esta directriz de ISO 9004 no es obligatoria).
b) Una evaluación de la necesidad de acción preventiva.

Los métodos empleados en la evaluación podrían incluir:
• Enfoques de análisis de riegos.
• Análisis del modo de falla y efecto, tal como ya se mencionó en (a).
(Nota: ninguno de estos enfoques o metodologías son requisitos de ISO 9001:2008.)
c) Cómo determina la organización la acción que se requiere y cómo se implementa.

Un auditor debería buscar evidencia de que:
• la organización ha analizado las causas de las no conformidades potenciales (el uso de
diagramas de causa y efecto y otras herramientas de calidad podría ser apropiado para
esto).
• las acciones requeridas son desplegadas en todas las partes pertinentes de la
organización y de manera oportuna.
• existen definiciones claras de las responsabilidades de identificación, evaluación,
implementación y revisión de las acciones preventivas.
d) Registros de los resultados de las acciones adoptadas.

• ¿Qué registros se conservan?
• ¿Son apropiados y el reflejo real de los resultados?
• ¿Se controlan de acuerdo con lo indicado en ISO 9001:2008, cláusula 4.2.4?
e) Una revisión de las acciones preventivas adoptadas.

• ¿Fueron eficaces las acciones (es decir, ¿se evitó que ocurriera una no conformidad y
hubo beneficios adicionales?)?
• ¿Es necesario continuar con las acciones preventivas tal como están?
• ¿Se deberían cambiar o es necesario planificar acciones nuevas?
2.3) A menudo se presenta la discusión “filosófica” entre el auditor y la organización sobre

dónde termina la acción correctiva y dónde empieza la acción preventiva. Por ejemplo, si se
detecta una no conformidad en el proceso “A” ¿se adoptan acciones para evitar no
conformidades futuras mediante las acciones preventivas de los procesos “B”, “C” y “D” o
simplemente están dentro del alcance de las acciones correctivas adoptadas para el proceso
“A”? El auditor debería evitar que estas discusiones lo desvíen y concentrarse en si las
acciones fueron eficaces o no. ¡El “etiquetado” de las acciones adoptadas tiene importancia
secundaria!

GUÍA:
Auditando las comunicaciones internas
1. Introducción
Un proceso eficaz de comunicación interna contribuye al éxito del sistema de gestión
de la calidad de cualquier organización. Por el contrario, muchos de los problemas que
se presentan en el sistema de gestión de la calidad de una organización con frecuencia
tienen su origen en una comunicación deficiente.
2. Requisitos y Guía
2.1 ISO 9001:2008, cláusula 5.5.3 establece lo siguiente:
“Comunicación interna
La alta dirección debe garantizar que se han establecido los procesos adecuados
de comunicación dentro de la organización y que la comunicación tiene lugar con
respecto a la eficacia del sistema de gestión de la calidad.”
Este es uno de varios requisitos que se han introducido en ISO 9001:2008 en donde un
enfoque definitivo (“SI/NO”) puede no ser adecuado para evaluar la implementación
eficaz del proceso de comunicación interna dentro de una organización.
2.2 Otros requisitos de ISO 9001:2008 con relación a la comunicación interna:
Existen otros requisitos en ISO 9001:2008 en donde la alta dirección tiene la
responsabilidad de comunicarse con las personas dentro de la organización con
respecto a:
• La política y los objetivos de la calidad.
• La importancia de cumplir los requisitos del cliente así como los reglamentarios.
• La promoción de la toma de conciencia sobre los requisitos del cliente en toda la
organización.
• Las responsabilidades definidas de las personas y la conciencia sobre la
pertinencia e importancia de sus actividades, y la forma en que ellas contribuyen
al logro de los objetivos de calidad.
• Cuando se producen cambios en los requisitos del producto, asegurar que el
personal pertinente conozca dichos cambios.
2.3 Guía de ISO 9004:2008 (cláusula 5.5.3):
“La dirección de la organización debería definir e implementar un proceso eficaz y
eficiente para comunicar la política, los requisitos, los objetivos y los logros de la
calidad. El suministro de tal información puede ayudar a mejorar el desempeño de
la organización e involucra directamente a su personal en la consecución de los
objetivos de la calidad. La dirección debería fomentar activamente la
retroalimentación y la comunicación de las personas de la organización como una
forma de involucrarlas”.
Es importante anotar que esta directriz de ISO 9004 no se audita, pero proporciona
mayor comprensión sobre la importancia de la comunicación interna.
3. Verificación de la eficacia de la comunicación interna
Existen dos componentes principales de los requisitos de ISO 9001:2008, cláusula
5.5.3, que se deben verificar:
a) Que se hayan establecido procesos adecuados de comunicación dentro de la
organización, incluyendo:
• identificación de las personas entre quienes se debe producir la comunicación,
• información que se debe comunicar;
• medios para lograrlo;
• método seleccionado para monitorear su eficacia;
• documentación y registros necesarios para verificar que se ha tenido lugar;
• proceso de comunicación sujeto a mejora continua.
b) Que la comunicación tiene lugar y se relaciona con la eficacia del sistema de
gestión de la calidad.
Al buscar evidencia de procesos eficaces de comunicación, puede ser necesario que el
auditor observe algunos o todos de los siguientes aspectos, según sea apropiado para
la organización:
• la alta dirección, los empleados en todos los niveles de la organización y los
contratistas generan, reciben y responden las comunicaciones;
• la información que se ha de comunicar está claramente definida, es apropiada y
exacta para los propósitos de la comunicación;
• los medios utilizados para la comunicación son apropiados para el grado de
educación y otras habilidades de quienes se espera que reciban y actúen según
la información suministrada;
• el monitoreo tiene lugar para asegurar que se actúa sobre la información
comunicada y se logra el resultado deseado;
• están disponibles los procedimientos y registros necesarios para demostrar que
la comunicación ha tenido lugar, es eficaz y está sujeta a mejora continua.
Aunque no hay requisito específico para un procedimiento documentado, dependiendo
del tamaño, la complejidad y la cultura de la organización puede ser necesario tenerlo
con el objeto de garantizar su implementación eficaz.
4. El enfoque de auditor
El auditor puede observar algunos o todos los siguientes medios de comunicación de la
información dentro de la organización:
• La dirección lleva la comunicación a las áreas de trabajo.
• Reuniones informativas del equipo y otras reuniones como aquellas para el
reconocimiento de logros.
• Murales.
• Correo electrónico, red interna (intranet) y sitios Web.
• Revistas o boletines informativos de la compañía o internos.

• Reuniones del personal.
• Cartas o anuncios individuales.
El auditor puede juzgar la eficacia de los procesos de comunicación interna de la
organización mediante:
• Entrevistas con los empleados para determinar su conocimiento de la política, los
objetivos y el desempeño del sistema de gestión.
• Evaluación de las causas de las no conformidades y los procesos de acción
correctiva de la organización. ¿Podría vincularse/ rastrearse la necesidad de
acción correctiva hasta procesos deficientes de comunicación interna?
• Evaluación de la pertinencia y las fechas significativas de la información
presentada. La información que se comunica no tiene valor si es obsoleta.
• Examen de los mecanismos de retroalimentación dentro de la organización, por
ejemplo, revisiones o entrevistas individualizadas, encuestas a los empleados,
etc.
• Evaluación de los programas de entrenamiento e inducción dentro de la
organización. Estos programas deberían contener información de la forma como
opera el sistema de gestión de la calidad.
• Observación de actas de reuniones que contengan elementos de comunicación
interna.
5. Evaluación de la conformidad de la organización con los requisitos de ISO
9001:2008
Existen dudas de si un auditor puede determinar la eficacia de los procesos de
comunicación interna de la organización durante una sola sesión de auditoria o
“espacio de tiempo”. Esto requiere un enfoque más holístico durante toda la auditoria,
pero no es necesario incluirlo en el plan de ésta. Los equipos auditores deberían
planificar una revisión, en colaboración, de este aspecto.
De forma similar existen dudas de si se puede determinar la eficacia de los procesos de
comunicación de la organización únicamente a partir de una fuente en la organización.
La conformidad con los requisitos de ISO 9001:2008 sólo se debería determinar al final
de la auditoria, después de evaluar la evidencia de (y después de llegar al consenso
con los otros miembros del equipo).

GUÍA:
Auditando la eficacia de la auditoria interna
1. Introducción
Las organizaciones que buscan un sistema de gestión de calidad adecuado y eficaz
necesitan realizar auditorías internas para asegurar que el SGC funciona como se
quiere y para identificar las ligas débiles en el sistema así como las oportunidades de
mejora potenciales. La auditoría interna actúa como mecanismo de retroalimentación
para la alta dirección, ésta puede darle a la alta dirección y a otras partes interesadas la
seguridad de que el sistema cumple los requisitos de la norma ISO 9001:2008. El cómo
se maneje el proceso de auditoria interna es un factor clave para asegurar la eficacia
de un sistema de gestión de calidad.
2. Requisitos y Directriz
2.1 La norma ISO 9001:2008 cláusula 8.2.2 establece lo siguiente:
8.2.2 Auditoría interna
“Se debe planificar un programa de auditorías tomando en consideración el estado y la
importancia de los procesos y las áreas a auditar, así como los resultados de auditorías
previas.”
Este requisito tiene la intención de enfocar el programa de auditoría interna hacia
aquellos procesos y áreas donde la historia indica que han ocurrido problemas, o
donde parece que los problemas continuarán, y/o parece que ocurrirán (debido a la
naturaleza de los mismos procesos). Estos problemas pudieran resultar de aspectos
como factores humanos, capacidad de proceso, sensibilidad de medición, cambio en
requisitos de los clientes, cambios en el ambiente de trabajo, etc.
Los procesos con alto nivel de riesgo de deficiencias o no conformidades deben tener
prioridad en el programa de auditoría interna.
Se debe prestar una atención especial a los procesos donde el alto nivel de riesgo es
influenciado por factores tales como:
- consecuencias severas por la falla de capacidad de proceso;
- no satisfacción del cliente;
- no cumplimiento con requisitos reglamentarios del producto (o proceso)
2.2 La norma ISO 9004:2008 Cláusula 8.2.1.3
“La alta dirección debería asegurarse del establecimiento de un proceso de auditoría
interna eficaz y eficiente para evaluar las fortalezas y debilidades del sistema de
gestión de la calidad. El proceso de auditoría interna actúa como una herramienta de
gestión para la evaluación independiente de cualquier proceso o actividad designado.
El proceso de auditoría interna proporciona una herramienta independiente aplicable
para obtener evidencias objetivas de que se han cumplido los requisitos existentes,
dado que la auditoría interna evalúa la eficacia y la eficiencia de la organización.”
Esta directriz de la norma ISO 9004 fuerza la necesidad de usar eficientemente los
recursos cuando se realizan auditorías internas. (Nota: esta directriz de la norma ISO
9004 no es un requisito auditable en una evaluación de la ISO 9001).
3. Directriz de auditoría
Cuando los auditores de tercera parte examinen los procesos de auditoría interna,
deben evaluar aspectos tales como:
- las competencias que son requeridas para la auditoría y como son aplicadas.
- el análisis de riesgo desarrollado por la organización (si hay alguno) en la planificación
de las auditorías internas,
- el grado de involucramiento de la alta dirección en el proceso de auditoría interna.
- la directriz dada por la norma ISO 19011 (pero advierta que la norma ISO 9001:2008
no requiere que la organización utilice la norma ISO 19011), y
- el modo que el resultado del proceso de auditoría interna es utilizado por la
organización para evaluar la eficacia de su SGC y para identificar las oportunidades
de mejoras.
Un auditor de tercera parte necesita:
a) evaluar el enfoque de la organización para identificar las áreas críticas así como
otros parámetros;
Por ejemplo, si la organización ha identificado:
• sus procesos que son críticos para la calidad del producto,
• sus procesos complejos, o aquellos que necesitan atención especial
• sus procesos que necesiten que el personal esté calificado
• sus procesos que necesiten un seguimiento detallado de los parámetros de proceso
• sus actividades de seguimiento y medición que requieren una calibración frecuente
y/o verificación;
• sus actividades y procesos que ocurren sobre múltiples lugares y/o que son de labor
intensiva, etc.
• Procesos donde han ocurrido problemas o están en riesgo
• y los indicadores de desempeño de proceso establecidos que definen las medidas de
eficacia y eficiencia, y si estas mediciones están alineadas con los objetivos o metas
globales de la organización
¿La organización utiliza esta información cuando establecen la frecuencia de auditoría
de esos procesos y actividades?
b) evaluar la competencia de los auditores internos de la organización y los equipos de
auditoría;
Debe existir evidencía de que la organización:
• ha identificado los requisitos de competencia para sus auditores internos,
• ha proporcionado el entrenamiento apropiado
• tiene implementado un proceso para dar seguimiento al desempeño de sus auditores
internos y equipos de auditoría
• incluye personal en sus equipos de auditoría que tengan el conocimiento específico

apropiado del sector (de modo que sean capaces de identificar cuando la
probabilidad de una desviación en un proceso o actividad en particular puede llevar a
una consecuencia significativa en la calidad del producto)
También se debe evaluar qué tanto los auditores internos entienden del riesgo
inherente en la confiabilidad que se puede poner en el resultado del proceso de
auditoría si ellos:
• fallan en considerar algo que es material para el resultado de la auditoría,
• seleccionan un rango de muestreo no apropiado
• sopesan de manera no apropiada la evidencia recolectada, o
• se desvían del plan de auditoría y los procedimientos de auditoría interna.
c) evaluar la planificación de las auditorías;
La organización debe ser capaz de maximizar el uso de los recursos disponibles
durante la conducción de las actividades de la auditoría interna. Esto puede
facilitarse por la adopción de un enfoque basado en el riesgo en la planificación de
las auditorías internas.
Debe cuestionarse si la organización (durante su proceso de auditoría interna) ha
considerado el uso del enfoque basado en riesgo en el desarrollo del plan de la
auditoría interna, para asegurar el uso eficaz y eficiente de los recursos. Esto
también debe asegurar que el riesgo inherente de falla de la auditoría en el proceso
de auditoría, y de los resultados de la auditoría, se minimice.
La organización debe tener un proceso para utilizar los resultados de auditorías
anteriores en la planificación de auditorías internas futuras.
d) buscar evidencía de que la organización ha implementado un programa de auditoría
interna eficaz.
Tomando en cuenta los factores anteriores, y examinando si el proceso de auditoría
interna está llevando al SGC a una mejora tangible, el auditor de 3. parte debe ser
capaz de formarse un juicio de que tanto la organización ha implementado un
programa de auditoría interna eficaz y si el resultado de las auditorías internas
proporciona evidencia para el análisis de la eficacia del SGC.

GUÍA:
Auditando organizaciones de servicio
1. Introducción
Aunque la norma ISO 9001:2008 tiene la intención de ser aplicable a toda clase de
organizaciones sin importar el tipo, tamaño o producto proporcionado, hay un número
de características de las organizaciones de servicio que requieren una atención
específica durante una auditoría de tercera parte. Consecuentemente, este documento
va dirigido a proporcionar a los auditores las directrices para auditar el cumplimiento de
los requisitos de la norma ISO 9001:2008 en las organizaciones de servicio. Se hace
particular énfasis en los requisitos de la cláusula 7.3 Diseño y desarrollo, cláusula 7.5.2
Validación de procesos para producción y prestación del servicio y la cláusula 8.3
Control del producto no conforme.
2. Organizaciones de servicio
De acuerdo con la norma ISO 9000:2005, en la cláusula 3.4.2 Producto:
“Un servicio es el resultado de llevar a cabo necesariamente al menos una actividad en la
interfaz entre el proveedor y el cliente) y generalmente es intangible. La prestación de un
servicio puede implicar, por ejemplo:
 una actividad realizada sobre un producto tangible suministrado por el cliente (por ejemplo,
reparación de un automóvil);
 una actividad realizada sobre un producto intangible suministrado por el cliente (por
ejemplo, la declaración de ingresos necesaria para preparar la devolución de los
impuestos);
 la entrega de un producto intangible (por ejemplo, la entrega de información en el contexto
de la transmisión de conocimiento);
 la creación de una ambientación para el cliente (por ejemplo, en hoteles y restaurantes)”
La mayoría de las organizaciones tienen un elemento de servicio en su producto. Esto
pudiera variar de casi el 100% de servicio (en el caso de una firma de abogados, por
ejemplo), a un componente relativamente muy pequeño en el caso de una organización
de manufactura que proporciona, por ejemplo, servicio post venta.
3. Directriz de auditoría
3.1 Diseño y desarrollo del servicio
Cuando se considera la aplicabilidad o no de la cláusula 7.3 de la norma ISO
9001:2008 a una organización de servicio, es importante recordar la definición de
“Diseño y desarrollo”, que de acuerdo con la norma ISO 9000:2005 cláusula 3.4.4 es “el
conjunto de procesos que transforma los requisitos en características especificadas”.
También, de acuerdo a ISO 9000:2005 requisitos son “necesidad o expectativa
establecida, generalmente implícita u obligatoria” y características del servicio son
rasgos diferenciadores que pueden incluir:
• sensoriales, (por ejemplo, relacionadas con el olfato, el tacto, el gusto, la vista y el oído);
• de comportamiento, (por ej., cortesía, honestidad, veracidad);
• de tiempo, (por ej., puntualidad, confiabilidad, disponibilidad);
• ergonómicas, (por ej., características fisiológicas, o relacionadas con la seguridad humana);

• tangibles, (por ej., características medibles; estas pudieran ser tanto las características del
medio físico usado para dar el servicio, por ej. la velocidad máxima de un avión, o del
ambiente en el cuál el servicio se proporciona, por ej. la temperatura interior o facilidades de
una aeronave).
Es muy común para las organizaciones considerar solamente el componente tangible
de su producto cuando tratan los requisitos de la cláusula 7.3, olvidando que el diseño
y desarrollo del producto intangible (el servicio mismo) debería ser el foco principal.
Adicionalmente, la organización necesitará diseñar como el servicio será proporcionado
a sus clientes.
Si la organización propone justificar la exclusión del diseño y desarrollo de su SGC, el
auditor debe hacer una evaluación cuidadosa de la justificación a la luz de lo anterior.
El auditor debe también examinar si la organización tiene un proceso de diseño y
desarrollo eficaz que defina suficientemente las características de su servicio, y de sus
procesos de entrega de servicio, que son necesarios para cumplir con las necesidades
y expectativas de los clientes.
3.2 Validación de los procesos de producción y prestación del servicio
En términos de los procesos necesarios para realizar el servicio, se pueden identificar
dos tipos de procesos de servicio:
• los que involucran al cliente en la realización del servicio mismo (entrega en tiempo
real) y
• aquellos en que el resultado es entregado al cliente después de la realización del
proceso.
Utilizando el ejemplo de un hotel, los procesos de “registro” y “salida” del huésped
pudieran probablemente involucrar la entrega en “tiempo real” del servicio, mientras
que la limpieza de la habitación del huésped pudiera generalmente ser “entregado” al
cliente solamente después de completar el proceso (que pudiera ser sujeto de una
inspección y reproceso si fuera necesario, para corregir cualquier no conformidad).
Procesos similares pueden también encontrarse en organizaciones de manufactura que
proporcionan servicios relacionados a sus productos, por ejemplo, el manejo de
reclamo de garantías; la reparación de los productos por unidades de servicio de la
organización; o actividades de mantenimiento de producto desarrolladas en las
instalaciones de los clientes.
Aquellos procesos que involucran entregas en tiempo real, y son realizadas
directamente en interfase con la organización / cliente rara vez pueden (si acaso) tener
el resultado (“el servicio”) verificado por un seguimiento o medición antes de ser
“entregados” al cliente. Por lo tanto, esos procesos están sujetos a una validación de
acuerdo a los requisitos de la cláusula 7.5.2 de la norma ISO 9001:2008. Esto es
esencial para prevenir que ocurran no conformidades.
Para asegurar el control adecuado sobre la calidad del servicio proporcionado, el
auditor debe:
• entender las características del servicio, los procesos de prestación del servicio, y
sus criterios de aceptación, según los defina la organización (esto debe ser hecho
durante la fase 1 de la auditoría)
• determinar como se ha realizado la validación de los procesos de provisión de
servicio en “tiempo real” (o cualquier otro proceso que requiera validación) y si esto
ha tomado en cuenta los riesgos asociados;
• evaluar si las herramientas, entrenamiento y empoderamiento apropiados se han
proporcionado al personal involucrado
Para muchas industrias de servicio, el servicio proporcionado es instantáneo ( vía
procesos en “tiempo real”), lo que no les permite realizar inspecciones antes de
entregar ese servicio. El pensamiento de Calidad, dice que el modo más eficaz en
costo de hacer negocios es aplicando la filosofía de “procesos especiales” a TODOS
los procesos: mientras más organizaciones tengan sus procesos correctos, el menor
número de organizaciones necesitarán preocuparse del resultado de sus procesos. Por
lo tanto no es muy deseable que esta cláusula pueda ser excluida.
3.3 Control de producto no conforme
En los casos de procesos de servicio que directamente involucran al cliente, “el control
del producto no conforme” (cláusula 8.3) es la manera como la organización trata con
las no conformidades en la provisión del servicio hasta que la acción correctiva
apropiada es definida e implementada.
Donde se identifica una no conformidad, el auditor debe examinar:
• si el personal involucrado está suficientemente empoderado con la autoridad para
decidir la disposición del servicio, por ejemplo:
o inmediatamente terminar el servicio
o reemplazar el servicio proporcionado
o ofrecer una alternativa
• los procesos de quejas y reclamos de la organización
• cualquier corrección temporal que sea implementada para mitigar el efecto de la no
conformidad (por ej. reembolso, crédito, ascensos, etc.)
• la identificación, segregación y reemplazo de equipo, proveedores o ambiente
relevantes para el servicio,
Esto permitirá al auditor juzgar si el control de dicho producto no conforme es eficaz.
Nota: En estas situaciones el sistema de gestión de calidad debería tener previsto la captura de
datos en la información de no conformidades y retroalimentación, en los niveles de dirección
apropiados, para la definición e implementación eficaz de acciones correctivas.
Para los casos en que los resultados del servicio se entrega después de la realización
del proceso, el “control de producto no conforme” pudiera basarse en el seguimiento y
técnicas de inspección usuales. Se necesitará evidencia para ver la adecuación e
implementación eficaz de esas técnicas.

GUÍA:
Imparcialidad de un auditor de tercera parte y conflicto de intereses
La imparcialidad y la objetividad de los auditores son prerrequisitos básicos para una auditoria
coherente y eficaz.
Este documento ilustra las buenas prácticas de comportamiento en beneficio de los auditores y
de los organismos encargados de evaluar el comportamiento del auditor, por ejemplo, los
organismos de certificación/registro (OC) y los organismos de acreditación. (Consultar también
el documento ISO/PAS 17001).
1. Alcance
1.1 La intención global de la certificación es brindar confianza a todas las partes que confían en
la certificación. Los principios importantes para inspirar confianza son independencia,
imparcialidad y competencia, tanto en acción como en apariencia.
1.2 Este documento concierne únicamente a aspectos relacionados con las amenazas y
protecciones de la independencia e imparcialidad del auditor.
2. Compromiso del organismo de certificación (OC) con la imparcialidad
2.1 La estructura organizacional y los procedimientos del OC que emplea a los auditores
deberían poder demostrar cómo se cumple el requisito primario de la IMPARCIALIDAD.
2.2 El OC debería demostrar, por medio de políticas, procedimientos y entrenamiento, la
manera en que trata las presiones y otros factores que pueden comprometer, o se puede
esperar razonablemente que comprometan, la objetividad del auditor y que pudiera provenir de
una amplia variedad de actividades, relaciones y otras circunstancias, así como en diferentes
cualidades y características personales de los auditores, las cuales pueden ser fuente de
sesgo.
3. Amenazas a la imparcialidad del auditor
3.1 Las amenazas a la imparcialidad del auditor son fuentes de sesgo potencial que pudieran
comprometer, o razonablemente se puede esperar que comprometan, la habilidad del auditor
de hacer observaciones y conclusiones de auditoría sin sesgos.
Debido a que las amenazas pueden comprometer, o cabe esperar razonablemente que
comprometan, la habilidad del auditor para hacer observaciones y conclusiones de auditoría sin
sesgos, el OC debería identificar y analizar los efectos de las amenazas que son fuente de
sesgo potencial.
3.2 Las amenazas son impuestas por diferentes tipos de actividades, relaciones y otras
circunstancias. Para entender la naturaleza de esas amenazas y su impacto potencial en la
imparcialidad del auditor, el OC debería identificar los tipos de amenazas impuestas por
actividades específicas, relaciones u otras circunstancias. La siguiente lista brinda ejemplos de
los tipos de amenazas que pudieran crear presiones, y otros factores que pudieran acarrear
comportamiento de auditoría sesgado.
Aunque la lista no es exhaustiva ni excluyente, ilustra la amplia variedad de tipos de amenazas
que el OC necesita tomar en consideración cuando analiza los aspectos de imparcialidad e
independencia del auditor.
- Amenazas por interés propio — amenazas que surgen de auditores que actúan en su propio
interés. El interés propio incluye los intereses emocionales, financieros u otros intereses
personales. Los auditores pueden favorecer, consciente o inconscientemente, esos
intereses propios sobre su interés por realizar una auditoría de un sistema de gestión. Por
ejemplo, las relaciones del OC con sus clientes crean un interés financiero propio porque los
clientes pagan las tarifas del OC. Los auditores también tienen intereses financieros propios,
si tienen participación en la gestión financiera de un auditado, ya sea como asociado,
accionista u otra forma, y pudieran tener un interés financiero o emocional propio si existe
una relación de familiaridad entre los miembros del auditor y el auditado.
- Amenazas por auto-revisión — amenazas que surgen de la revisión del trabajo realizado
por los auditores o por sus colegas. se originan en auditores que revisan el trabajo. Puede
ser más difícil evaluar sin sesgo el trabajo de la propia organización que el de cualquier otra
persona u organización. Por lo tanto, una amenaza por auto-revisión se puede originar
cuando los auditores revisan opiniones y decisiones que ellos u otros en su organización
han tomado.
- Amenazas por familiaridad (o confianza) — amenazas que provienen de auditores influidos
por una relación cercana con un auditado. Tal amenaza está presente si los auditores no
son suficientemente escépticos de las afirmaciones de un auditado y, como resultado,
aceptan muy fácilmente el punto de vista del auditado debido a su familiaridad o confianza
con él. Por ejemplo, una amenaza por familiaridad se puede originar cuando un auditor tiene
una relación personal o profesional muy estrecha o de mucho tiempo con un auditado.
- Amenazas de intimidación — amenazas que surgen en auditores que están coaccionados, o
que creen que lo están, abierta o en secreto, por el auditado o por otras partes interesadas.
Dicha amenaza se puede originar, por ejemplo, si un auditor o un OC es amenazado con ser
reemplazado por un desacuerdo en la aplicación que hace un auditado de un requisito
específico del documento normativo utilizado como referencia para la auditoría.
- Amenaza por defensa (por ej. un organismo o su personal que actúa en apoyo, o en
oposición a un auditado que a su vez es su cliente, en la solución de una disputa o un litigio).
- Amenazas por competición (por ejemplo entre el auditado evaluado y un experto técnico
contratado).
4 Protecciones a la imparcialidad del auditor
4.1 El OC debería establecer protecciones que mitiguen o eliminen las amenazas a la
imparcialidad del auditor. Estas protecciones pudieran incluir prohibiciones, restricciones,
políticas, procedimientos, prácticas, normas, reglas, acuerdos institucionales y condiciones
ambientales. Éstas se deberían revisar con regularidad para asegurar la continuidad de su
aplicabilidad.
NOTA 1. Las protecciones existen en el entorno en el cual se conducen las auditorías o pueden ser
impuestas por personas independientes con poder de decisión como respuesta a las amenazas
derivadas por diferentes actividades, relaciones u otras circunstancias. Una forma en que las
protecciones pueden ser descritas es por el lugar donde ellas se encuentran.
4.2 Ejemplos de protecciones que existen en el entorno en el cual se realizan las auditorías
incluyen:
- el valor que el OC y los auditores individuales dan a su reputación;
- programas de acreditación para los OC que evalúan el cumplimiento de toda la organización
con las normas profesionales y los requisitos reglamentarios con relación a la imparcialidad;
- supervisión general por parte de los comités y las estructuras de dirección del OC (por
ejemplo juntas directivas) con respecto al cumplimiento de los criterios de imparcialidad;
- otros aspectos del gobierno corporativo, incluyendo la cultura del OC que da soporte al
proceso de certificación y a la imparcialidad del auditor;
- reglas, normas y códigos de conducta profesional que rigen el comportamiento de los
auditores;
- la creación de sanciones, y la posibilidad de tales acciones, por parte de organismos de
acreditación/IAF y otros; y
- la responsabilidad legal que enfrenta el OC.
4.3 Ejemplos de protecciones que existen en los organismos de certificación como parte del
sistema de gestión de un OC incluyen:
- mantenimiento de una cultura en el OC que enfatice la expectativa de que los auditores
actuarán según el interés más amplio, y la importancia de las buenas auditorías y de la
imparcialidad del auditor;
- mantenimiento de un entorno y una cultura profesionales en el OC que apoyen el
comportamiento, que sea consistente con la imparcialidad del auditor, de todo el personal;
- sistemas de gestión que incluyan políticas, procedimientos y prácticas relacionadas
directamente con el mantenimiento de la imparcialidad del auditor;
- otras políticas, procedimientos y prácticas como aquellas relacionadas con rotación del
personal, auditorías interna y requisitos de consultoría interna sobre asuntos técnicos; y
- contratación de personal, entrenamiento, promoción, retención, y políticas, procedimientos y
prácticas de recompense que enfaticen la importancia de la imparcialidad del auditor, las
amenazas potenciales impuestas por diversas circunstancias que pueden enfrentar los
auditores en el OC, y la necesidad de que los auditores evalúen su imparcialidad con
respecto a un cliente específico después de considerar las protecciones instauradas para
mitigar o eliminar tales amenazas.
Otra forma de describir las protecciones es por su naturaleza. Los ejemplos incluyen:
- protecciones preventivas — por ejemplo, un programa de inducción para auditores
contratados recientemente que haga énfasis en la importancia de la imparcialidad;
- protecciones que se relacionan con amenazas que se originan en circunstancias específicas
- por ejemplo, prohibiciones de algunas relaciones laborales entre los miembros de la familia
del auditor y los clientes del OC, y
- protecciones cuyos efectos son disuadir las violaciones de otras protecciones castigando a
los infractores - por ejemplo, una política de tolerancia cero que permita a los organismos de
acreditación suspender o retirar inmediatamente la acreditación.
4.5 Una forma alternativa en la cual se pueden describir las protecciones es por la medida en
que éstas restringen las actividades o relaciones que se consideran amenazas para la
imparcialidad del auditor, como prohibir a los auditores brindar consultoría a los clientes que
ellos auditan.
4.6 Al evaluar la imparcialidad de sus auditores un OC debería tomar en consideración los
siguientes aspectos:
- las presiones y otros factores que pueden resultar en, o se espera razonablemente que
resulten, en un comportamiento de auditoria sesgado - descrito aquí como amenazas a la
imparcialidad del auditor;
- los controles que pueden eliminar o reducir los efectos de esas presiones y otros factores –
aquí descritos como protecciones para la imparcialidad del auditor;
- la importancia de dichas presiones y otros factores y la eficacia de tales controles; y
- la probabilidad de que las presiones y otros factores, después de considerar la eficacia de
los controles, alcancen un nivel en el que comprometan, o se pueda esperar
razonablemente que comprometan, la capacidad de un auditor para mantener un
comportamiento de auditoría sin sesgo.
5. Evaluación del nivel del riesgo de imparcialidad
Los OC deberían evaluar el nivel del riego de imparcialidad teniendo en cuenta los tipos y la
importancia de las amenazas a la imparcialidad del auditor y los tipos y eficacia de las
protecciones.
Este principio básico describe un proceso mediante el cual los OC deberían identificar y evaluar
el nivel del riesgo de imparcialidad que se origina en diferentes actividades, relaciones u otras
circunstancias.
NOTA 1. El nivel del riesgo de imparcialidad se puede expresar como un punto en una cadena
que va desde “ningún riesgo” hasta “riesgo máximo”. Una forma de describir estos puntos
extremos, los segmentos de la cadena de imparcialidad que están entre estos puntos extremos
y la probabilidad de comprometer la objetividad que corresponde a los puntos extremos y a los
segmentos es la siguiente:
Tabla 1 — Nivel del riesgo de imparcialidad.
Ningún riesgo Riesgo remoto Algún riesgo Riesgo Alto Riesgo máximo
El compromiso de El compromiso de
El compromiso de El compromiso de El compromiso de
la objetividad es la objetividad es
la objetividad es la objetividad es la objetividad es
virtualmente virtualmente
improbable posible probable
posible seguro
Probabilidad creciente de comprometer la objetividad 

NOTA 2. Aunque no se puede medir con precisión el nivel de riesgo de cualquier actividad específica,
relación u otra circunstancia que puede imponer una amenaza a la imparcialidad del auditor, se puede
describir como perteneciente a uno de los segmentos o a uno de los puntos extremos de la cadena del
riego de imparcialidad.
6. Determinación de la aceptabilidad del nivel del riesgo de imparcialidad
6.1 Los OC deberían determinar si el nivel del riesgo de imparcialidad está en una posición
aceptable en la cadena del riesgo de imparcialidad. Los OC también deberían evaluar la
aceptabilidad del nivel del riesgo de imparcialidad que se origina en actividades específicas,
relaciones u otras circunstancias. Esta evaluación requiere que ellos juzguen si las
protecciones eliminan o mitigan adecuadamente las amenazas a la imparcialidad del auditor
impuestas por dichas actividades, relaciones u otras circunstancias. Si no lo hacen, los OC
deberían decidir qué protecciones adicionales (incluyendo la prohibición) o combinación de
protecciones reducirían el riesgo, y la probabilidad correspondiente de comprometer la
objetividad, hasta un nivel aceptable.
6.2 Dados algunos factores en el entorno en el cual tienen lugar las auditorías - por ejemplo,
que el auditor sea pagado por el auditado - el riesgo de imparcialidad no se puede eliminar
totalmente y, por lo tanto, los OC siempre aceptan algún riesgo de que la objetividad del auditor
se vea comprometida. No obstante, en presencia de amenazas a la imparcialidad del auditor,

los OC únicamente deberían tomar en consideración como aceptable un nivel muy bajo de
riesgo.
Únicamente una probabilidad pequeña de comprometer la objetividad es coherente tanto con la
definición como con la meta de imparcialidad del auditor.
6.3 Algunas amenazas a la imparcialidad del auditor pueden afectar sólo a algunos individuos o
grupos dentro de un OC y la importancia de algunas amenazas puede ser diferente para
individuos o grupos diferentes. Para garantizar que el riesgo está en un nivel bajo aceptable, es
recomendable que los OC identifiquen a los individuos o grupos afectados por las amenazas a
la imparcialidad así como la importancia de dichas amenazas. Tipos diferentes de protecciones
pueden ser adecuados para individuos o grupos diferentes dependiendo de sus funciones en la
auditoría.
6.4 Los OC deberían garantizar que los beneficios que resultan de la reducción del riesgo de
imparcialidad, imponiendo protecciones adicionales, exceda los costos de dichas protecciones.
Aunque los beneficios y los costos son a menudo difíciles de cuantificar e identificar, es
conveniente que los OC los tomen en consideración cuando toman decisiones sobre los
aspectos de imparcialidad del auditor.
NOTA. Diversas partes soportan diferentes costos para mantener la imparcialidad del auditor. Algunos
de esos costos se relacionan directamente con el desarrollo, mantenimiento y cumplimiento de las
protecciones, incluyendo el costo de los controles de calidad del OC relacionados con la imparcialidad y
los costos relacionados con los sistemas de acreditación y autorregulación de la imparcialidad del
auditor. También pueden existir otros costos indirectos del mantenimiento de la imparcialidad del auditor,
algunas veces denominados “costos de segundo orden” o “consecuencias involuntarias”. Aquellos costos
relacionados con las posibles reducciones en la calidad de la auditoria y con otros resultados negativos
pueden originarse en las protecciones que prohíben o restringen las actividades y relaciones del auditor.
Por ejemplo, las restricciones de las actividades de consultoría/entrenamiento del auditor pueden reducir
el atractivo del OC como empleador y resultar en reducciones en la calidad de la auditoria. Los costos
directos e indirectos del mantenimiento de la imparcialidad del auditor se pueden ver afectados por
muchas variables, incluyendo el número de individuos en una organización que estará afectado por una
salvaguarda. Debido a que la imparcialidad de los auditores es importante no sólo por derecho propio,
sino que también facilita el aseguramiento de que se cumplen los intereses amplios del público, los OC
deberían considerar los efectos de segundo orden o consecuencias involuntarias que van más allá del
impacto directo de sus decisiones sobre la imparcialidad de los auditores.
7. Aspectos estructurales y organizacionales
7.1 Además de los aspectos indicados anteriormente, es necesario que la imparcialidad del
auditor tenga protección adicional ubicándola dentro de una estructura organizacional que
garantice la implementación de las protecciones requeridas. La estructura organizacional
debería ser tal que el OC pueda demostrar su imparcialidad a una tercera parte informada y
desinteresada.
7.2 La estructura y la organización seleccionadas por el OC para cumplir estos objetivos
deberían ser transparentes y apoyar el desarrollo y la aplicación de los procesos necesarios
para cumplir dichos objetivos. Se recomienda que estos procesos incluyan:
- entendimiento de las necesidades y las expectativas de los clientes y otras partes
involucradas;
- establecimiento de la política y los objetivos de la organización;
- determinación de los procesos y las responsabilidades necesarios para lograr los objetivos;
- determinación y suministro de la infraestructura y los recursos necesarios para lograr los

objetivos;
- establecimiento y aplicación de los métodos para determinar la eficiencia y eficacia de cada
proceso;
- identificación de los conflictos de intereses potenciales tanto de la organización como del
individuo, y los medios para su identificación y tratamiento;
- determinación de medios para prevenir no conformidades y eliminar sus causas; y
- establecimiento y aplicación de un proceso para la mejora continua de los procesos
anteriores.
Nota: Aunque las directrices de este documento se presentan con énfasis en los auditores del OC, se
pueden aplicar consideraciones similares (con la debida adaptación) a los auditores de los organismos
de acreditación.

GUÍA:
Auditando sistemas de gestión en base electrónica
1. Introducción
La creciente dependencia de las organizaciones en medios electrónicos para la
operación y control de sus sistemas de gestión, requiere que los organismos de
certificación y sus auditores vean nuevos enfoques para asegurar que las auditorías
serán eficaces y eficientes. Ellos necesitarán redefinir el modo como los procesos y los
documentos relacionados (incluyendo los registros) van a ser evaluados para verificar
su conformidad con el criterio de auditoría.
Este documento ha sido desarrollado para dar unas directrices generales para la
realización de auditorías a sistemas de gestión que estén totalmente basados en
sistemas electrónicos o tengan un alto grado de su documentación en medios
electrónicos. También proporciona directrices para los organismos de certificación y
auditores para considerar como un complemento a las actividades de planificación y
preparación normal que pudieran ocurrir antes de una auditoría.
Este documento se enfoca a aquellos requisitos de la norma ISO 9001 donde existe la
posibilidad de utilizar documentos, registros, etc, electrónicos y también donde el
acceso a esos documentos/registros pudiera estar controlado por sistemas
electrónicos.
Este documento va dirigido a auditores de sistemas de gestión que tienen una amplia y
variada experiencia con respecto a sistemas de gestión en base electrónica (SGBE) –
por ej. sistemas de gestión que son dependientes de documentos electrónicos, datos y
aplicaciones de software para su operación normal. Sin embargo, está escrito en un
estilo que también permitirá ser utilizado por aquellos que solamente tienen una
experiencia limitada en computadoras y SGBE.
Sin importar si es un organismo de certificación de tercera parte, un organismo de
acreditación o una función de auditoría interna, quién realice la auditoría (“la
organización auditora”) es responsable de asegurar la eficacia del proceso de auditoría
para el SGBE. Este documento utiliza la guía proporcionada en la norma ISO 19011, y
sugiere enfoques que pudieran ser utilizados por auditores de ISO 9001, y otras
normas de sistemas de gestión, con la intención de verificar la conformidad con la
norma referenciada. Los auditores y las organizaciones auditoras deben hacer los
ajustes necesarios para asegurar un enfoque apropiado a como desarrollan los pasos
del proceso de auditoría indicados en la norma ISO 19011.
Debe resaltarse que la destreza en auditar SGBE (Sistemas de gestión en base
electrónica) no debe verse como una excusa para reducir la duración de la auditoría,
sino como un medio de optimización de la eficacia y eficiencia de la auditoría.
No se pretende que este documento proporcione directrices para auditar los controles
asociados con la seguridad de la información del SGBE. Aquellos interesados en otro
tipo de controles asociados con la seguridad de la información se sugiere que se dirijan
al documento ISO/IEC 17799 que es una norma para estos temas.
2. Iniciación y planificación de la auditoría

Durante la fase de iniciación de la auditoría (Auditoría fase 1) la organización auditora
debe determinar la estructura de la organización a ser auditada, y el grado en que su
sistema de gestión está basado electrónicamente. Una organización multisitio con un
SGBE centralizado, o una organización “virtual”, requerirá diferentes planes de
auditoría y métodos que una organización de un solo sitio y/o una organización física.
La organización auditora y el auditado deben acordar como los auditores accederán y
utilizarán el SGBE.
Esto pudiera involucrar el considerar:
• Permitir que los miembros del equipo auditor tengan oportunidad de familiarizarse
con el SGBE del auditado (incluyendo la programación de suficiente tiempo dentro
del plan de auditoría para esa orientación)
• Políticas del auditado para el uso de la infraestructura de Tecnología de la
información (TI).
• Instrucciones para acceder, y las licencias de seguridad para acceder y los
documentos y registros organizacionales pertinentes
• Los seguros y procesos para asegurar que los auditores protejan la confidencialidad
de los documentos y registros electrónicos durante y después de la auditoría.
La organización auditora debe asegurar que existe la competencia suficiente dentro de
su equipo auditor seleccionado para realizar una evaluación eficaz del SGBE.
3. Revisión documental
Dependiendo de si el auditado tiene la habilidad para hacer que su documentación esté
disponible a través de una aplicación basada en red o a través de transmisión por
correo electrónico, la organización auditora pudiera conducir parte o toda la revisión
documental de manera remota; ya sea en línea o por descarga de la documentación
electrónica enviada por correo electrónico.
Dependiendo de los factores técnicos o de seguridad, pudiera no ser factible el
conducir una revisión total del SGBE de la organización en línea o por la transmisión de
documentos relevantes por correo electrónico, antes de llegar al sitio. En estos casos,
sería necesario que las actividades de preparación de la auditoría que requieran la
revisión de documentos electrónicos se realizaran en las instalaciones del auditado
durante la fase 1 de auditoría.
4. Actividades de realización en sitio
El enfoque para los SGBE dependerá ampliamente de hasta donde la evidencia
requerida para determinar la conformidad está en forma de registros electrónicos.
Durante las actividades de realización en el sitio, la ruta del auditor debe incluir
típicamente la ubicación física del proceso que está auditando. Sin embargo, con un
SGBE el tiempo requerido para confirmar la evidencia para determinar si se cumplen o
no los requisitos, pudiera emplearse en una computadora o estación de trabajo que

pudiera estar o no localizada cerca del proceso en cuestión.
Cuando las estaciones de trabajo computarizadas están en áreas remotas que no son
accesibles para la ubicación física de operación del proceso, el tiempo real de auditoría
en la ubicación física del proceso pudiera reducirse. Sin embargo, el tiempo total de
evaluación pudiera no necesariamente reducirse dado que la revisión de la evidencia
electrónica pudiera ocurrir antes y/o después de confirmar la existencia del proceso
físico.
En los casos donde la estación de trabajo de la computadora es remoto, se debe dar
una consideración especial al tiempo requerido de traslado hacia y desde la ubicación
física del proceso.
Cuando el proceso es dependiente de la intervención humana, el auditor debe evaluar
los métodos empleados para la interacción entre el proceso físico y el medio
electrónico para asegurar la precisión de la información asociada.
5. Auditando el control de los documentos electrónicos.
Los documentos electrónicos que establecen políticas y procedimientos del sistema de
gestión pueden estar en una gran variedad de formatos dependiendo de las
aplicaciones de software que son utilizados por la organización para generar los
documentos. Los archivos electrónicos pueden incluir formatos como texto, html, pdf,
etc. Las hojas de cálculo y los formatos de bases de datos son también considerados
“documentos” electrónicos y están sujetos a los elementos de control del sistema de
gestión a auditar.
Dada la relativa facilidad con que los usuarios pueden ahora crear hojas de cálculo
electrónicas y otros documentos electrónicos, los auditores deben asegurar que las
políticas que gobiernan los controles que aplican a la documentación del sistema de
gestión, en general también se apliquen a los documentos electrónicos a través de los
procedimientos adecuados.
Las organizaciones necesitan emplear métodos adecuados y eficaces dentro del
ambiente electrónico para asegurar la adecuada revisión, aprobación, publicación y
distribución de la documentación de su sistema de gestión. Estos deben ser
consistentes con los métodos para el desarrollo y modificación de documentos
electrónicos.
En muchos casos las medidas de control de documentos pudieran también ser
características estándar de la aplicación del software usados para su creación. Por lo
tanto los auditores deben entender esos controles de aplicación específicos al grado de
que estos sean utilizados como base para la conformidad a la norma de sistema de
gestión aplicable.
Dado el incremento de capacidad para modificar, actualizar, reformar y de cierta forma
mejorar los documentos dentro de un sistema de gestión electrónico, los auditores
deben poner particular atención en los elementos de control como la identificación de
documentos y el nivel de revisión de los documentos.
Como el medio electrónico facilita el incremento de modificaciones a documentos, los

auditores deben verificar que los controles empleados para la gestión de documentos
obsoletos sean considerados dentro de las políticas y procedimientos de control de
documentos de la organización.
Los auditores deben verificar que la documentación del SGBE existe para proporcionar
orientación a los usuarios respecto a los aspectos funcionales y de control asociados a
los documentos electrónicos. Adicionalmente, los requisitos en el “punto de uso”
asociados con las normas de sistema de gestión aplicables, típicamente se cubrirán en
parte por las políticas de acceso a documentos de la organización. Los auditores deben
entender las políticas y procedimientos de la organización que tratan sobre los
privilegios de los usuarios ya que estos son factores importantes para comprender
apropiadamente los procesos de la organización.
La comunicación electrónica externa con proveedores, clientes y otras partes
interesadas pudieran involucrar el intercambio de documentos. Dado que estos
documentos externos pudieran contener parámetros clave que especifican el
funcionamiento de los procesos de la organización, los auditores deben verificar el
grado en que estos documentos son formalmente introducidos y controlados dentro del
sistema de gestión en base electrónica.
6. Auditando el control de los registros electrónicos
Los registros electrónicos consisten en los datos de los resultados de los procesos
combinados con los formatos electrónicos que contienen los datos.
Estos formatos electrónicos van desde una simple hoja electrónica a las aplicaciones
de base de datos más complejas.
Los auditores deben estar concientes de que los elementos de control que establecen
las organizaciones para las formas electrónicas no son necesariamente los mismos que
los que aplican a los registros electrónicos. Por ejemplo, con respecto a la
“Identificación”, en el caso de formas electrónicas, el término se refiere a la
nomenclatura del formato electrónico mismo. Cuando la “identificación” es considerada
en el caso de un registro electrónico, esta se refiere al uso único del formato electrónico
para un grupo dado de datos.
Los auditores deben revisar los métodos empleados por la organización para la captura
de datos, con la finalidad de asegurar que las actividades de introducción de datos
proporciona la suficiente confianza en su exactitud.
Cuando se evalúa los controles de la organización con respecto al almacenaje de
registros, los auditores deben verificar si las organizaciones tienen un entendimiento de
su capacidad de almacenamiento contra:
• El rango de generación de registros
• Las políticas de retención de registros y tiempos asociados
• El rango de disposición de registros,
ya que estos factores pudieran impactar el funcionamiento apropiado del SGBE.
Dado que la base de conocimientos y el desempeño de la organización pudiera estar

casi totalmente en registros electrónicos, los auditores deben revisar los enfoques de la
organización para seguridad de la información contenida en medios electrónicos. Para
más información sobre Seguridad de la Información ver la norma ISO/IEC 17799.
7. Recursos Organizacionales
Conforme las organizaciones emigran al uso de SGBE, el papel de las funciones de TI
(tecnología de la información) se tornan vitales. Los auditores deben verificar si las
organización ha dedicado los recursos de TI apropiados (incluyendo la infraestructura)
para asegurar que el SGBE opera continua y eficazmente.
Los auditores deben también verificar si la organización tiene definidos apropiadamente
el nivel de interacción, soporte e involucramiento del personal de TI en aspectos
asociados con el establecimiento, documentación, implementación y mantenimiento del
SGBE.
Como parte de la verificación de la asignación de los recursos apropiados, los auditores
deben evaluar como la organización cubre la competencia requerida del personal para
operar el equipo (hardware) y el software para correr el SGBE.
Durante el establecimiento de un SGBE, es una práctica común que sistemas paralelos
(manuales y electrónicos) estén funcionando por un período de tiempo que permita a
los usuarios su adaptación. En estos casos el auditor debe verificar los enfoques de la
organización para asegurar que el SGBE ha sido realmente asimilado y utilizado por el
personal de la organización.
La complejidad de la infraestructura de TI de las organizaciones variará, dependiendo
de la naturaleza y complejidad de los negocios. Los auditores deben verificar los
procedimientos y políticas de mantenimiento del sistema de la organización para su
plataforma de TI. También, los auditores deben verificar como la organización cubre los
incidentes de paros del sistema, ya que esto impactará el funcionamiento normal del
SGBE. Los auditores deben evaluar si la organización tiene o no sistemas formales de
respaldo, y si éstos se revisan y prueban periódicamente en su adecuación o no.
En relación al software, los auditores deben verificar los controles establecidos para el
software interno, el software externo, las licencias de software y las actualizaciones del
software. Ya que el software puede ser considerado un documento electrónico
dinámico, las directrices dadas con anterioridad para auditar los documentos pudieran
también ser aplicables a éste.
Dependiendo de que tanto la organización utilice software para su SGBE, los auditores
deben revisar la funcionalidad de las aplicaciones y su relación con los elementos del
sistema de gestión definidos en el criterio aplicable.
Como los factores ambientales pudieran impactar en el funcionamiento de una
plataforma de TI, las organizaciones deben tener medidas para protegerse contra esos
factores. Esto puede variar desde la necesidad de adecuar las instalaciones hasta la
necesidad de tener fuentes ininterrumpibles de energía (UPS). Los auditores deben
evaluar si los controles de la organización toman en cuenta aspectos como el
mantenimiento de instalaciones, temperatura, humedad, etc, en la medida que estos

amenacen la operación del SGBE.
8. Comunicación electrónica interna y externa
Dado que las opciones disponibles y la facilidad de uso en la comunicación electrónica
aumenta, las organizaciones deben asegurar que el sistema de gestión documentado
cubre estos medios, según sea necesario, para asegurar consistencia en su utilización
para satisfacer los requisitos de su SGBE y la norma de sistema de gestión aplicable.
Cuando se utilizan intranets, e-mails y mensajes instantáneos para satisfacer los
requisitos del SGBE, los auditores deben verificar las políticas y procedimientos que
cubran las circunstancias bajo las cuales estos medios pudieran se empleados.
Adicionalmente, si los resultados de la comunicación electrónica interna serán
utilizados para satisfacer los criterios de auditoría, los auditores deben verificar que las
políticas y procedimientos para el control de registros se hayan aplicado.
Cuando la organización dependa de su infraestructura de TI para las comunicaciones
electrónicas con sus clientes (por ej. para e-comercio), proveedores (e-provisión), sitios
remotos y otras partes interesadas, el auditor debe verificar que la metodología,
políticas y procedimientos para esas comunicaciones y transacciones asociadas están
formalmente cubiertas dentro del SGBE.
9. Sistemas de gestión multi-sitios
Las organizaciones que operan a través de múltiples sitios (o desde una central a
ubicaciones satélites) normalmente mantienen comunicaciones y comparten políticas,
procedimientos y datos de procesos entre sus varias ubicaciones via electrónica, como
el Internet, intranets, e-mail y Messenger.
Cuando la plataforma TI y su software de aplicación asociado se utilizan para compartir
información que es pertinente al criterio de auditoría, los auditores deben entender los
diferentes medios de red que se emplean en la organización en la medida que sea
necesario para juzgar si el SGBE cumple con el criterio de auditoría.
Los auditores deben verificar si los controles sobre un sistema de gestión multi sitio son
cubiertos y establecidos apropiadamente dentro de las políticas y procedimientos de la
organización.
10. Competencia del auditor
La confiabilidad del proceso de auditoría para un SGBE dependerá de la habilidad de
los auditores para entender las tendencias en la Tecnología de la Información ya que
las organizaciones dependen cada vez más del software para dar seguimiento y
controlar sus operaciones.
Las organizaciones auditoras deben tomar las medidas necesarias, incluyendo la
provisión de entrenamiento, para cubrir las necesidades generales e individuales de su
base de auditores con respecto a:
• Tendencias generales en Tecnología de la Información que pudiera impactar la
operación de los sistemas de gestión
• Consideraciones especiales de auditoría para cada asignación de auditoría tomada.

Como las innovaciones en el sector TI son relativamente rápidas comparadas con los
cambios en los criterios de auditoría, los auditores y las organizaciones auditoras se
ven retadas con la necesidad de tener un entendimiento práctico de las tendencias
asociadas y como ellas pudieran ser aplicables y utilizadas dentro de un SGBE.
A la luz de las innovaciones que influencian el funcionamiento de un SGBE, las
organizaciones auditoras deben determinar si la experiencia necesaria para ser
eficaces en una auditoría dada, se encuentra en el equipo auditor mismo o cuándo se
requerirá la asistencia de un experto técnico.

GUÍA:
Auditando la gestión de los recursos
Los auditores deberían verificar que los recursos necesarios para implementar,
mantener y mejorar el sistema de gestión de la calidad se gestionan adecuadamente.
Esto implica que la organización debe identificar, planificar, utilizar, poner a disposición,
monitorear y cambiar los recursos adecuados según sea necesario.
Se recomienda que la gestión de los recursos no se audite de forma aislada.
Independientemente de la forma en que la organización esté estructurada e identifique
sus procesos, los auditores deberían poder verificar la gestión adecuada y eficaz de los
recursos para lograr los resultados planificados. Es importante que los auditores
verifiquen si la organización ha evaluado el desempeño anterior y actual (por ejemplo,
usando el análisis costo-beneficio, la evaluación de riesgo, etc.) al decidir qué recursos
se deben asignar.
La gestión de los recursos se puede evaluar mediante entrevistas con la alta dirección
y otro personal responsable para verificar que se han instaurado los procesos
adecuados. Sin embargo, es necesario apoyarse con evidencia objetiva recolectada
durante toda la auditoría.
La evidencia se puede obtener en diferentes etapas de la auditoria - revisando
entradas, desempeño de procesos y resultados. Esto se ha de llevar a cabo al auditar
todos los procesos y la documentación de procesos y sistemas relacionados tales
como:
• compromiso y responsabilidades de la dirección;
• proceso de revisión por la dirección;
• procesos de realización del producto, incluyendo el control de productos no
conformes, acciones correctivas y preventivas y mejora continua.
Los auditores deberían evitar hacer juicios subjetivos sobre la adecuación de los
recursos asignados por la organización y limitar su papel a la evaluación de la eficacia
del proceso de gestión de los recursos.
Los auditores deberían verificar que se suministran y mantienen los recursos humanos,
la infraestructura (energía, agua, mantenimiento de instalaciones y equipos,
comunicaciones, tecnología de la información, etc.) y el ambiente de trabajo
(temperatura, iluminación, vibración, ruido, etc.) de forma coherente con la política y los
objetivos de calidad y que contribuyen al cumplimiento de los requisitos del producto.
Si se observa que la organización no ha tenido en cuenta la gestión eficaz de los
recursos, lo cual puede ocasionar que un producto no satisfaga los requisitos
relacionados, esto se debería tratar como una no conformidad, cuya magnitud debería
estar relacionada con el riesgo asociado.

GUÍA:
Auditando las comunicaciones con el cliente
1. Introducción
Un proceso eficaz de comunicación con el cliente contribuye al éxito del sistema de gestión de
la calidad de cualquier organización y principalmente al éxito de la organización en sí. Por el
contrario, muchos de los problemas que experimenta una organización con sus clientes tienen
su origen en una comunicación deficiente.
2. Requisitos y Guía
2.1 ISO 9001:2008, cláusula 7.2.3 establece lo siguiente:
“Comunicación con el cliente
La organización debe determinar e implementar las disposiciones eficaces para comunicarse con el
cliente respecto a:
a) información del producto,
b) manejo de solicitudes de información, contratos o pedidos, incluyendo enmiendas, y
c) retroalimentación del cliente, incluyendo los reclamos del cliente”.
2.2 Se ha publicado un documento del Grupo de Prácticas de Auditoría sobre la auditoría a los
procesos de retroalimentación del cliente y reclamos de los clientes.
2.3 Otros requisitos de ISO 9001:2008 con relación a la comunicación con el cliente:
Existen otros requisitos en ISO 9001:2008 en donde se hace referencia directa, o indirecta, a la
comunicación con el cliente.
• La alta dirección debe asegurarse de que los requisitos del cliente están determinados y se
cumplen, con el objeto de mejorar la satisfacción del cliente (cláusula 5.2)
• La revisión de la organización de los requisitos relacionados con el producto realizada antes
de comprometerse a suministrar un producto al cliente (por ejemplo, presentación de
ofertas, aceptación de contratos o pedidos, aceptación de cambios en los contratos o los
pedidos, etc.); (cláusula 7.2.2).
• Cuando el cliente no proporciona ninguna declaración documentada del requisito, los
requisitos del cliente deben ser confirmados por la organización antes de la aceptación
(cláusula 7.2.2); es necesario que la organización instaure un sistema para obtener dichos
requisitos.
• Autorización del uso de producto no conforme mediante liberación o aceptación bajo
concesión por parte de una autoridad pertinente y, cuando se aplique, por parte del cliente
(cláusula 8.3b)).
2.4 Guía de ISO 9004:2008 (cláusula 7.2):
“Procesos relacionados con las partes interesadas
La dirección debería asegurarse de que la organización ha definido procesos mutuamente aceptables
para comunicarse eficaz y eficientemente con sus clientes y otras partes interesadas. La organización
debería implementar y mantener tales procesos para garantizar la comprensión adecuada de las
necesidades y las expectativas de sus partes interesadas, y para que se traduzcan en requisitos para la
organización…”
3. Verificación de la eficacia de las comunicaciones con el cliente

La verificación de la eficacia de la comunicación con el cliente es, por lo tanto, un componente
primordial para lograr la satisfacción del cliente. Aunque no existe un requisito específico en
ISO 9001:2008 para un proceso documentado, dependiendo del tamaño, la complejidad y la
cultura de la organización, puede ser necesario tener uno para garantizar la implementación
eficaz del proceso de comunicación con el cliente.
ISO 9000 define el término “cliente” como el receptor de un producto. Adicionalmente da
ejemplos de clientes, incluyendo al “usuario final”.
Muchas organizaciones venden sus productos / servicios a través de distribuidores y minoristas
y es probable que no reciban pedidos directamente de los usuarios finales. Es importante para
el auditor verificar la manera en que la organización se comunica con los usuarios finales sobre
la calidad de su producto/servicio y también el mecanismo para obtener retroalimentación
(además de los reclamos) de los usuarios finales. Se debería reconocer que en ocasiones las
necesidades de los distribuidores y minoristas pueden ser diferentes de aquellas de los
usuarios finales.
4. El enfoque del auditor
4.1 La comunicación con el cliente se divide en tres categorías generales:
• Comunicación general de la organización con clientes existentes o potenciales - como por
ejemplo anuncios publicitarios o información de mercadeo.
• Información específica relacionada con solicitudes de información, requisitos o pedidos del
cliente.
• Comunicación como respuesta a la retroalimentación y los reclamos del cliente.
4.2 El auditor puede observar algunos o todos los siguientes medios de comunicación general
de la organización con el cliente:
Información del producto, que incluye:
• material publicitario,
• sitios Web,
• catálogos del producto.
Cuando la organización recibe pedidos de los distribuidores y no del usuario final, el auditor
debería establecer que la información del producto disponible para los usuarios finales
(impresos sueltos, folletos, sitios Web, etc.) describe exacta y adecuadamente al
producto/servicio. También el auditor debería tratar de establecer la forma como se identifican
las necesidades del cliente y cómo se obtienen las especificaciones del producto.
4.3 El auditor verificaría que la información del producto para confirmar que está disponible con
facilidad para los clientes o clientes potenciales y que suministra información actualizada y
exacta. El auditor también podría preguntar, por ejemplo, qué tan a menudo se revisa el
material publicitario, los sitios Web y los catálogos del producto para que reflejen las ofertas
actuales de producto de la organización y qué medidas se toman si un producto particular se
modifica, descontinúa o ya no está disponible.
4.4 El auditor puede observar algunos o todos de los siguientes medios de comunicación
específica de la organización con el cliente:
Manejo de solicitudes de información, contratos o pedidos, incluyendo las enmiendas
• cotizaciones
• formularios de pedido
• confirmación de pedido
• enmienda del pedido
• documentación de entrega
• facturas
• notas crédito
• correspondencia general y por correo electrónico
• informes de visitas o notas de/para el cliente
Proceso de gestión de las reclamaciones y la retroalimentación del cliente
• Cartas de respuesta a las reclamaciones
• Reconocimientos
4.5 Existen también casos adicionales en que el auditor experimentará la comunicación de la
organización con el cliente:
• Durante el proceso de pedido cuando el cliente no suministra declaración documentada
de los requisitos, es necesario que la organización tenga un sistema para obtener o
confirmar estos requisitos del cliente antes de aceptar el pedido.
• Durante el proceso de diseño/desarrollo puede haber considerable comunicación entre la
organización y el cliente.
• Durante el proceso de autorización del uso de producto no conforme mediante liberación
o aceptación según concesión de una autoridad pertinente y, cuando se aplique, del
cliente.
4.6 El auditor utilizaría métodos normales de rastreo para verificar la conformidad con los
requisitos para la comunicación con el cliente indicados en ISO 9001 y si la organización se
comunica eficazmente con el cliente en la ejecución de la solicitud de información, el contrato o
el pedido.

GUÍA:
Auditando los procesos de Diseño y Desarrollo
1. Introducción
El objetivo de auditor el proceso de diseño y desarrollo es determinar si se dirige y controla de
modo que los productos puedan cumplir su uso planificado y requisitos especificados.
Es necesario señalar que para las organizaciones de servicio el enfoque al diseño y desarrollo
puede ser diferente al de las organizaciones de producción “tradicionales” (vea el documento
guía sobre Auditoría de Organizaciones de Servicio).
Antes de analizar en detalle la forma en que se debe auditar el proceso de diseño y desarrollo,
es esencial que el auditor comprenda lo que significa la frase “Diseño y Desarrollo”. Por
interpretar mal este concepto, muchas organizaciones han cometido el error de excluir este
proceso de su sistema de gestión de la calidad.
El apartado 7 de la ISO 9001:2000 se refiere solamente al diseño y desarrollo de productos y
servicios. En algunas organizaciones puede ser beneficioso, aunque no se requiere, aplicar la
misma metodología al diseño y desarrollo de procesos.
El diseño y desarrollo del producto es el conjunto de procesos para transformar requisitos del
producto (por ejemplo, especificaciones, requisitos legales y requisitos específicos o implícitos)
en características especificadas del producto (“rasgos distintivos del producto”). El apartado
3.4.1 de la ISO 9000:2005 da los siguientes ejemplos de características del producto:
 físicas (p.e., características mecánicas, eléctricas, químicas o biológicas);
 sensoriales (p.e., relacionadas con el olfato, el tacto, la vista, el oído);
 conductuales (p.e., cortesía, honestidad, veracidad);
 temporales (p.e., puntualidad, fiabilidad, disponibilidad);
 ergonómicas (p.e., característica fisiológica o relacionada con la seguridad de las personas);
 funcionales (p.e., velocidad máxima de un avión).
Para poder determinar si realmente la organización practica el diseño y desarrollo, es necesario
que el auditor establezca quién es responsable de definir las características del producto o
servicio, así como cuándo y cómo se hace.
Nota:- Esto se puede aplicar a los cambios en el diseño original o el actual
Generalmente, el proceso de diseño y desarrollo consiste en las etapas que se muestran en la
Figura 1 a continuación. Cada etapa tiene entregas específicas que cubren aspectos tanto
comerciales como técnicos del diseño y desarrollo de un producto. En algunos casos, quizás
las organizaciones puedan justificar la ausencia en sus SGC de determinados sub-apartados o
requisitos individuales sin que necesariamente excluyan el apartado en su totalidad. Por
ejemplo, es posible que una organización con un diseño de producto establecido y bien
validado desde hace tiempo sólo necesite garantizar que los cambios en el diseño se controlan
en conformidad con los requisitos del apartado 7.3. El auditor debe verificar que todas las
exclusiones sean válidas.
Figura 1 – Diagrama del Proceso de Diseño y Desarrollo
El auditor debe establecer qué proyectos de diseño y desarrollo se han aplicado y los que se
están aplicando, y debe seleccionar un número suficiente de proyectos para poder auditar
todas las etapas del proceso de diseño.
A continuación se incluyen orientaciones para auditar las diversas etapas del proceso de
diseño y desarrollo, pero debemos señalar que quizás no sea posible auditar todas las etapas
de todos los proyectos seleccionados.
2. Auditoría de la necesidad del diseño y desarrollo
La necesidad del diseño y desarrollo se genera a partir de una serie de fuentes, que incluyen:
• la planificación estratégica de la organización;
• los conocimientos y los estudios de mercado;
• los informes de servicio;
• la retroalimentación del cliente y la demanda;
• requisitos legales y regulatorios tanto nuevos como modificados;
• los cambios del proceso;
• las nuevas tecnologías;
• los proveedores.
El auditor debe evaluar si las organizaciones han realizado y realizan actividades para revisar
dichas necesidades. Aunque no es un requisito de la norma, resulta útil revisar cómo se toma la
decisión de proceder con el diseño y desarrollo, o sea, saber si se han considerado los riesgos
y costos y si se han consultado todas las funciones pertinentes (internas o externas).
3. Auditoría de la planificación del diseño y desarrollo

Se deben considerar los siguientes aspectos cuando se audita la función de planificación:
• ¿cómo fluye globalmente el proceso de planificación del diseño?
• ¿cómo está descrito?
• ¿qué recursos y competencias se requieren?
• ¿qué parte del diseño se adquirirá de fuentes externas?
• ¿quién es responsable, y, están definidas las autoridades?
• ¿cómo se identifican y controlan las interfaces (internas y externas) entre los diversos
grupos?
• ¿están definidos los puntos requeridos de verificación, validación y revisión?
• ¿están identificados los sucesos importantes y los cronogramas principales?
• ¿se monitorea la implementación y la eficacia del plan?
• ¿está actualizado el plan y se comunica a todas las funciones pertinentes según resulta
necesario?
4. Auditoría de los elementos de entrada del diseño y desarrollo
Al auditar los elementos de entrada del diseño y desarrollo, el auditor debe comprender cómo
la organización identifica sus propios elementos de entrada en base a:
• los productos y procesos de la organización;
• los aspectos financieros, ambientales, y de salud y seguridad;
• los riesgos e impactos organizativos;
• los requisitos y las expectativas del cliente;
• los requisitos legales y regulatorios aplicables al producto.
El auditor debe evaluar los riesgos, las posibles implicaciones para la satisfacción del cliente y
los aspectos que puedan surgir en la organización si no se tienen en cuenta algunos elementos
de entrada pertinentes.
5. Auditoría del proceso de diseño y desarrollo y revisiones del diseño
El auditor debe verificar que el proceso global de diseño y desarrollo se controla en
conformidad con el plan original de la organización que está sometido a revisión y que las
revisiones del diseño y desarrollo se realizan en las etapas planificadas apropiadas.
El auditor debe considerar los siguientes aspectos cuando examina el proceso de revisión:
• ¿se hacen las revisiones en las etapas planificadas en todo el proceso de diseño?
• ¿se hacen las revisiones de modo sistemático y con representantes de las funciones
involucradas en la(s) etapa(s) que se están revisando?
• ¿se han considerado todos los elementos de entrada, tanto originales como nuevos?
• ¿todavía influyen los elementos de salida originales o se han identificado otros
modificados?
• ¿se han revisado los elementos de entrada y salida modificados y han sido aprobados
por quienes tienen la responsabilidad y autoridad pertinentes (incluyendo al cliente si
fuese apropiado)?
• ¿el resultado demuestra la idoneidad, adecuación y eficacia del producto diseñado?

• ¿se están cumpliendo los objetivos pertinentes del diseño?
• ¿existen registros adecuados de las revisiones?
6. Auditoría de los elementos de salida del diseño y desarrollo
Los elementos de entrada del diseño y desarrollo deben satisfacer las necesidades
identificadas para garantizar que el producto resultante pueda cumplir su uso planificado. Los
elementos de entrada pueden incluir información sobre:
• mercadotecnia, ventas y compras;
• producción;
• aseguramiento de la calidad;
• información para proveer el servicio y mantenimiento del producto tras su entrega, que
se debe hacer de modo que permita realizar las tareas de verificación y validación.
El auditor debe obtener evidencia de los proyectos seleccionados para confirmar que:
• se dispone de información sobre la culminación de las etapas de diseño y desarrollo;
• ha concluido el proceso de diseño y desarrollo para la etapa bajo revisión;
• se han conformado los elementos de salida del diseño y desarrollo.
7. Auditoría de la verificación del diseño y desarrollo
La verificación del diseño y desarrollo tiene como fin ofrecer seguridad de que los elementos de
salida de una actividad de diseño y desarrollo cumplen los requisitos de los elementos de
entrada para esa actividad, como se muestra en la Figura 2 a continuación.
Figura 2
La verificación puede incluir actividades tales como:
• realizar cálculos adicionales;

• comparar una nueva especificación de diseño con otra similar ya probada;
• hacer demostraciones que incluyan prototipos, simulaciones o ensayos; y
• revisar los documentos antes de su emisión.
El auditor debe determinar que las actividades de verificación del diseño y desarrollo ofrecen
confianza en que:
• las verificaciones requeridas están planificadas y la verificación se realiza como es
debido durante el proceso de diseño y desarrollo;
• el diseño o desarrollo completado es aceptable y sus resultados están en conformidad
con los requisitos iniciales y son trazables a los mismos;
• el diseño o desarrollo completado es el resultado de la implementación de una
secuencia adecuada de eventos, elementos de entrada, elementos de salida, interfaces,
flujo lógico, asignación de tiempo, etc.;
• el diseño o desarrollo ofrece seguridad, protección y conformidad con otros requisitos y
elementos de entrada del diseño;
• se dispone de evidencia para demostrar que los resultados de la verificación y de toda
otra acción se han registrado y confirmado al terminar las acciones.
El auditor debe determinar que solamente los elementos de salida del diseño y desarrollo que
se han verificado pasen a la siguiente etapa, según resulte apropiado.
8. Auditoría de la validación del diseño y desarrollo
La validación del diseño y desarrollo es la confirmación mediante examen y la presentación de
evidencia de que se han cumplido los requisitos particulares para el uso planificado específico.
En otras palabras, ¿es capaz el proceso de validación de comprobar que el producto y/o
servicio final satisfará o satisface las necesidades del cliente durante su uso?
Se deben especificar métodos de validación como parte del proceso de planificación del diseño
y desarrollo, aunque se puedan modificar durante la realización de dicho proceso.
La validación es un proceso relativamente sencillo para muchos productos y/o servicios. Un
ejemplo podría ser un nuevo diseño de mobiliario de oficina, que se podría validar mediante el
ensayo de prototipos y luego de muestras iniciales del producto terminado.
Sin embargo, en muchas otras situaciones será más complicada la validación del diseño. Por
ejemplo, puede que los productos o componentes utilizados en los sistemas eléctricos o
electrónicos tengan que cumplir varios requisitos de desempeño establecidos por otras
organizaciones de diseño de sistemas. En tal caso la validación solo se puede hacer cuando se
obtienen datos sobre el desempeño de los productos o componentes (preferiblemente
resultados de ensayo formales) de dichas organizaciones o de los usuarios de los productos o
componentes en cuestión.
Otro ejemplo de situación difícil es cuando la validación del diseño es realizada por el cliente o
alguna otra organización externa (por ejemplo, para confirmar diseños de arquitectura e
ingeniería).
En tales situaciones complejas, la organización necesitará llegar a un acuerdo con las partes
externas pertinentes en cuanto a cómo se realizará la validación y se comunicarán y
compartirán los resultados. En este caso se debe incorporar una medida en la planificación del
diseño y desarrollo de la organización para completar la validación del diseño de esta manera.
El auditor debe garantizar que:

• existan registros para conformar que se realizaron las validaciones;
• la validación se haya realizado de acuerdo con las medidas planificadas a tal efecto;
• la validación indique que el producto resultante puede cumplir los requisitos de la
especificación;
• si resulta práctico, la validación se haya realizado antes de la entrega o implementación;
y que
• existan registros de todas las acciones necesarias para corregir la no conformidad con
los elementos de entrada del diseño y desarrollo y las razones de tales desviaciones.
Si la validación no se puede hacer antes de la entrega o implementación, el auditor debe
garantizar que estas actividades se realicen cuanto antes, por ejemplo, cuando se comisiona
una planta o una fábrica compleja, y que así se le comunique al cliente. El auditor debe
determinar que solamente los elementos de salida del diseño y desarrollo que se han validado
lleguen a manos del cliente.
9. Auditoría de los cambios al diseño y desarrollo
Es necesario controlar los cambios realizados al diseño y desarrollo durante el proceso de
diseño. El auditor debe tener en cuenta lo siguiente:
• ¿se han identificado y comunicado debidamente las fuentes y solicitudes del cambio?
• ¿se ha evaluado el impacto de dicho cambio?
• ¿se hace alguna prueba o ensayo adicional del diseño en los casos apropiados?
• ¿se han evaluado los efectos de los cambios al producto ya entregado o a sus partes
constituyentes?
• ¿se ha dado la aprobación adecuada antes de realizar el cambio (esto puede incluir una
aprobación legal o regulatoria o una aprobación del cliente)?
• ¿se han documentado totalmente los cambios y se ha incluido información en los
registros sobre toda acción necesaria adicional?

GUÍA:
Código de ética y conducta del auditor
1. Introducción
No hay dudas de que por lo general se considera que los Auditores están en una posición muy
poderosa y privilegiada.
Este documento ofrece orientaciones sobre los puntos que es necesario recordar, pues si los
pasamos por alto podrían influir negativamente en la conducta y el comportamiento ético de un
auditor. Este documento es de interés para los auditores sobre todo cuando un código de
conducta no se ha especificado en los términos y las condiciones del contrato con un
empleador. También incluye un Código de Ética típico.
2. Declaración General
Al promover los elevados parámetros de conducta ética, el auditor deberá:
1) actuar exclusivamente en el mejor interés de la organización empleadora y sus clientes
durante el cumplimiento de sus deberes;
2) comportarse profesionalmente, con honestidad, exactitud, justeza y responsabilidad;
3) no tergiversar sus calificaciones, competencia o experiencia, ni asumir tareas fuera del
alcance de sus capacidades;
4) tratar de forma confidencial y privada toda la información obtenida con respecto a las
actividades de acreditación identificadas en la organización y la certificación de
organizaciones o individuos específicos, a menos que el cliente de la organización (si
procede) lo autorice por escrito a divulgar dicha información, y
- no hablará de dicha información con nadie excepto con quien necesite conocerla con
fines legítimos de los procesos de acreditación, registro o certificación;
- no revelará ningún detalle de los hallazgos de la auditoría, ni durante ni después del
proceso de auditoría;
5) tratar de forma confidencial y privada toda la información obtenida con respecto a
cualquiera de las actividades de las entidades anteriormente mencionadas cuando dicha
información contenga, entre otros:
- algún dispositivo, gráfico, material escrito u otro dato en forma tangible o intangible,
claramente identificado como “confidencial”, relacionado con las actividades de la
organización;
− algún dispositivo, gráfico, material escrito u otro dato en forma tangible o intangible que
se pueda identificar como privado por la naturaleza de su contenido y/o contexto;
6) tratar de forma confidencial y privada toda la información que se pueda considerar
“confidencial” cuando a partir de un juicio prudente la organización pueda determinar que
dicha información es privada y confidencial para la organización y reconozca que la
organización puede recibir información que no está claramente identificada como
confidencial pero puede percibirse como tal;
7) no comunicar intencionalmente información falsa o engañosa que pueda poner en peligro

la integridad de los procesos de acreditación, registro y certificación o las decisiones
pertinentes a los mismos;
8) ser capaces de actuar profesionalmente bajo presión adversa por parte del empleador y de
las organizaciones auditadas.
3. Ejemplo de un Código de Ética típico

Para mantener y fomentar el honor, la dignidad y la integridad de la profesión de evaluación de
la conformidad, y a tono con los elevados parámetros de una conducta ética, admito que:
a) Aspectos generales
1) Seré honesto e imparcial, y serviré con devoción a mi empleador, mis clientes, el público,
y mi organización identificada.
2) Me esforzaré para incrementar la competencia y el prestigio de la profesión de auditoría.
3) Utilizaré mis conocimientos y habilidades para fomentar el bienestar humano y promover
la seguridad y fiabilidad de los productos y servicios de uso público.
4) Me empeñaré al máximo para ayudar al trabajo de mi organización.
b) Relaciones con el Público

5) Me empeñaré al máximo para extender con empuje y dinamismo el conocimiento público
sobre el trabajo de cada organización y de sus miembros que tenga relación con el
bienestar público.
6) Seré digno y modesto al explicar mi labor y mis méritos.
7) Iniciaré toda declaración pública que yo pueda emitir con indicaciones claras sobre la
entidad en cuyo nombre se realiza.
c) Relaciones con la Organización, el Empleador y los Clientes

8) Actuaré como fideicomisario para cada organización, empleador y/o cliente.
9) Informaré a cada organización, empleador o cliente sobre toda relación, interés o
afiliación comercial que pueda influir en mis apreciaciones o afectar el carácter igualitario
de mis servicios.
10) No revelaré información relativa a los asuntos comerciales o procesos técnicos
confidenciales de toda organización, empleador o cliente presente o pasado sin su
consentimiento adecuado.
11) No aceptaré compensación de más de una parte por el mismo servicio sin el permiso de
todas las partes. Si estoy empleado, solamente me dedicaré a un empleo o práctica de
consultoría adicional con el permiso de mi empleador.
d) Relaciones con los pares (si procede)

12) Velaré por que el mérito del trabajo de otros sea de quien lo merece.
13) Me esforzaré para ayudar al desarrollo y la promoción profesional de mis empleados o de
quienes se encuentran bajo mi supervisión.
14) No competiré injustamente con otros; extenderé mi amistad y confianza a todos los
asociados y a aquellos con quienes tengo relaciones de trabajo.
15) Respetaré la opinión de mis pares y trataré de garantizar que en el equipo de auditoría
prevalezcan la honestidad y la transparencia.
16) Reaccionaré abierta y profesionalmente en caso de un comportamiento no ético por parte
de mis pares.

GUÍA:
Guía sobre los aspectos culturales de la auditoria
1. Introducción
Durante su carrera, podría requerirse que el auditor trabaje en organizaciones con culturas
“corporativas” internas totalmente diferentes, así como en diversas culturas étnicas,
sociales, económicas, políticas o religiosas.
Es importante que el auditor se sensibilice con estos aspectos culturales para evitar
posibles conflictos, pero que a la vez permanezca imparcial al realizar la auditoria y cumplir
sus objetivos.
Es necesario también que el auditor se exprese en términos comprensibles, sobre todo
cuando el idioma desempeña una función importante. Es preciso recordar que el auditor es
responsable de ajustarse a las habilidades idiomáticas del auditado y que la ausencia de
dichas habilidades no debe constituir un prejuicio que afecte el resultado de la auditoría.
Además, puede haber diferentes aspectos culturales y lingüísticos en partes
independientes de una organización, por ejemplo, en corporaciones multinacionales.
Guía
Aspectos culturales que se tendrán en cuenta durante todas las etapas de la auditoría.
1) Planificación de la auditoría
a. El mejor lugar para comenzar a considerar los posibles aspectos culturales de la
auditoría es durante las etapas de planificación. Este proceso puede incluir:
i. Selección del equipo auditor (características personales, incluyendo género,
aptitudes idiomáticas, habilidades sociales, conflictos culturales potenciales).
ii. Programación de la auditoría (con respecto al horario de trabajo típico, tradiciones,
días feriados, horario de comida, horario de actividades religiosas, etc., siempre
que sea posible).
iii. Considerar la necesidad de traducción independiente y de asignar tiempo
adicional.
iv. Poner al equipo auditor al tanto de toda área de sensibilidad cultural potencial.
b. Siempre que sea posible, es conveniente utilizar auditores familiarizados con los
idiomas y las costumbres locales. Por otra parte, puede resultar apropiado buscar
orientaciones antes de realizar la auditoría.
c. Se debe evaluar todo aspecto cultural importante durante la Auditoría de Etapa 1 y
puede ser conveniente hacer modificaciones antes de la Auditoría de Etapa 2 y las
subsiguientes.
2) Cultura “corporativa” interna
Todas las organizaciones son diferentes, y no hay una cultura corporativa “patrón”. La
cultura interna puede ser independiente de la cultura externa donde existe la organización.
Hay que tener en cuenta muchos aspectos. A continuación se mencionan algunos

ejemplos.
a) Grado de formalidad / Código de vestir
El auditor puede ponerse en una desventaja psicológica si se viste de manera demasiado
informal, por lo que la mayor parte de los órganos de certificación aplican códigos de vestir
para enfrentar este aspecto. Sin embargo, algo que a menudo se pasa por alto y es
igualmente importante, es la posibilidad de que el auditor se vista con “demasiada
elegancia” y por tanto corra el riesgo de sentirse incómodo o de inhibir al auditado y afectar
el resultado de la auditoría. Un consejo útil para cuando el auditor se prepara para una
auditoría es “vestirse como los directores de la organización”. Conducir una auditoría en
una granja de un país tropical requiere un código de vestir totalmente diferente al de una
auditoría en un banco de inversiones de una capital financiera importante con un clima frío.
Las visitas pre-auditoría, las auditorías de Etapa 1 y un sentido común elemental son
herramientas útiles para determinar el estilo de vestir adecuado.
b) Jerarquía organizativa
Es importante recordar que formal no necesariamente significa bueno e informal no
necesariamente significa malo. Algunas de las organizaciones mejor administradas son
muy informales en su estilo de dirección y, en particular, en sus interacciones y
comunicaciones jerárquicas.
Es preciso que el auditor se sensibilice con los protocolos organizativos en lo relativo a las
jerarquías, pero no debe dudar en comunicarse directamente con la persona que realmente
realiza el trabajo. Se debe evitar a toda costa la tendencia a “hablar sólo con el director”,
aunque puede ser necesario dedicar algún tiempo adicional a reunirse con él frente a frente
para evitar situaciones embarazosas.
c) Enfoque a los hallazgos negativos de la auditoría
Es importante documentar adecuadamente todas y cada una de las no conformidades
identificadas durante la auditoría y presentarlas a la organización (vea también la guía de
APG sobre “Documentación de una no conformidad”). Algunas culturas organizativas son
muy sensibles a los informes sobre no conformidades y adoptan posiciones defensivas, y
en algunas situaciones la dirección puede tratar de culpar a las “personas responsables”.
Esto puede aumentar las tensiones durante la auditoría, pero no debe disuadir al auditor de
sacar a relucir dichas no conformidades. No obstante, puede resultar apropiado hacer
mayor énfasis en el hecho de que la auditoría está destinada a verificar el sistema y no a
los individuos, lo cual se debe haber mencionado ya durante la reunión de apertura.
3. Cultura externa (local o regional)
No es realista ofrecer orientaciones detalladas sobre todas las situaciones culturales que el
auditor puede tener necesidad de abordar. Sin embargo, siempre serán útiles algunas
orientaciones básicas, entre las que se pueden incluir, por ejemplo:
• Idioma
• Hábitos de alimentación
• Desigualdades sociales
• Susceptibilidad de géneros
• Estilo de vestir
• Lenguaje corporal
• Amor propio y orgullo nacional (y en particular la actitud al recibir no conformidades)
• Creencias religiosas y fechas de los festivales o días festivos religiosos más
importantes
• Costumbres locales
• Cuestiones políticas sensibles
En general, la regla de oro para el auditor es nunca involucrarse en debates religiosos o
políticos, pero estar al tanto de estos y de otros aspectos culturales potenciales antes de la
auditoría puede ayudar a evitar situaciones embarazosas o conflictivas en el futuro.
El auditor siempre debe tratar de adaptarse a la cultura local, pero al hacerlo debe
garantizar que no se afecten la objetividad y el resultado de la auditoría

GUÍA:
¡El resultado es importante!
1. Introducción
El Grupo Asesor ISO 9000 (compuesto por representantes del ISO/TC 176, ISO/CASCO,
ISO/COPOLCO, IPC e IAF) presentó recientemente una serie de recomendaciones para
abordar las crecientes preocupaciones de que las organizaciones certificadas no están
haciendo productos consistentes y conformes con los requisitos del cliente (ref. apartado 1.1 de
la ISO 9001:2008).
El siguiente documento de Jack West, publicado por primera vez en el número de julio de 2006
de la revisa Quality Digest, aborda este tópico e insiste en el tema “¡El resultado es importante!”
A pesar de que es importante la conformidad con requisitos individuales de la ISO 9001:2008

tales como el control de los documentos, el control de los registros, la competencia del personal
y la calibración de los equipos de medición, no deben ser el centro de atención de un sistema
de gestión de la calidad, sino considerarse como una vía para lograr el resultado deseado, que
es un producto consistente y conforme.
2. El documento de Jack West
A menudo se dice que una organización puede tener un buen sistema de gestión de la calidad
(SGC) conforme con la ISO 9001 y aún así producir “basura”. Esta observación parte de la
distinción perfectamente válida entre el registro de tercera parte de un SGC y la certificación de
productos. La certificación de un SGC no constituye una garantía absoluta de que el producto
de la organización certificada estará en conformidad con los requisitos. Sin embargo, la ISO
9001 contiene muchos requisitos que, de conjunto, deben proveer una garantía razonable de
que el resultado de un sistema cumplirá los requisitos del cliente. La ISO 9001 requiere que la
política de la calidad de una organización incluya los compromisos de cumplir los requisitos y
mejorar continuamente su SGC. La norma requiere que se validen los diseños del producto
para garantizar que cumplan los requisitos para determinadas aplicaciones. La ISO 9001
también requiere que se verifique el producto para garantizar que cumple requisitos. La
identificación y el cumplimiento de los requisitos del cliente es un aspecto consistente en toda
la ISO 9001. Por ejemplo, uno de los resultados esperados de una revisión por la Dirección es
una decisión sobre el producto que no cumpla los requisitos del cliente.
Apartados de la ISO 9001 que Demuestran que el Resultado es Importante

1.1 "Alcance" "Esta Norma Internacional especifica requisitos para un sistema de gestión de la
calidad en los casos en que una organización
a) necesita demostrar su capacidad de proveer recursos de forma consistente
que cumplan los requisitos del cliente y otros requisitos regulatorios
aplicables, y
b) desee aumentar la satisfacción del cliente a través de la aplicación eficaz del
sistema, incluyendo los procesos para la mejora continua del sistema y el
aseguramiento de la conformidad con los requisitos del cliente y otros
requisitos regulatorios aplicables."
5.2 "Enfoque al "La alta dirección garantizará que se determinen y se cumplan los requisitos del
cliente" cliente con el fin de aumentar la satisfacción del cliente (vea 7.2.1 y 8.2.1)."
5.3 "Política de la "La alta dirección garantizará que la política de la calidad …
calidad" b) incluya un compromiso de cumplir los requisitos y mejorar continuamente la
eficacia del sistema de gestión de la calidad …"
5.6.3 "Resultado de "El resultado de la revisión por la Dirección incluirá todas las decisiones y
la revisión" acciones relacionadas con
b) la mejora del producto con respecto a los requisitos del cliente …"
6.1 "Provisión de "La organización determinará y proveerá los recursos necesarios
recursos" b) para aumentar la satisfacción del cliente mediante la satisfacción de sus
requisitos."
7.2.1 "La organización determinará
"Determinación de a) los requisitos especificados por el cliente, incluyendo los requisitos de entrega
requisitos relativos y de las actividades de postventa,
al producto"
b) los requisitos no declarados por el cliente pero necesarios para el uso
especificado o planificado, en caso de que se conozca,
c) los requisitos legales y regulatorios relacionados con el producto, y
d) todo requisito adicional determinado por la organización."
7.3.2 "Elementos de "Se determinarán los elementos de entrada relacionados con los requisitos del
entrada del Diseño y producto y se mantendrán registros (vea 4.2.4). Estos elementos de entrada
Desarrollo" incluirán
a) requisitos funcionales y de desempeño…"
7.3.6 "Validación del "La validación del diseño y desarrollo se realizará de acuerdo con las medidas
Diseño y Desarrollo" planificadas (vea 7.3.1) para garantizar que el producto resultante pueda cumplir
los requisitos para su aplicación especificada o uso planificado, en caso de que
se conozca…"
8.2.1 "Satisfacción "Como una de las medidas del desempeño del SGC, la organización monitoreará
del cliente" la información relacionada con la percepción del cliente en cuanto a si la
organización ha cumplido los requisitos del cliente…"
8.2.4 "Monitoreo y "La organización monitoreará y medirá las características del producto para
medición del verificar que se han cumplido los requisitos del producto…"
producto"
Material tomado de la ISO 9001:2008, utilizado con autorización de la ISO
Es preciso que no sigamos perpetuando el mito de que las organizaciones pueden realmente
estar en conformidad con la ISO 9001 y aún así elaborar productos que no cumplen los
requisitos del cliente. Tanto las organizaciones registradas con la ISO 9001 como los auditores
tienden a concentrarse en la conformidad con los detalles de la ISO 9001 y a menudo pierden
de vista los requisitos básicos. ¡Nunca pierda de vista al producto! La afirmación de que una
organización está en conformidad con la ISO 9001 debe significar para sus clientes que puede
proveer de forma consistente un producto que cumple los requisitos del cliente.
Debemos asegurar que nuestros sistemas entreguen productos conformes a nuestros clientes.
La norma lo requiere, y la credibilidad del registro a la ISO 9001 lo exige. Lo que importa para
nuestros clientes es el resultado de nuestro SGC.
Nota: Este artículo resume varios conceptos importantes relacionados con la ISO 9001:2008 que se
explican con más detalle en: ISO 9001:2008 Explained, Second Edition por Charles A. Cianfrani, Joseph
J. Tsiakals y John E. (Jack) West (ASQ Quality Press,2001).
Sobre el autor
John E. (Jack) West es un consultor, asesor de negocios y autor con más de 30 años de
experiencia en una amplia gama de industrias.

GUÍA:
La auditoría de las adquisiciones y procesos de la cadena de

suministro
1. Introducción
Al desarrollar un sistema de gestión, muchas organizaciones han puesto en práctica
sistemas para controlar la compra de productos y la verificación de los productos
adquiridos de una manera en que consideren cumplen los requisitos del punto 7.4 de la
norma ISO 9001. Del mismo modo, los auditores pueden considerar que es suficiente para
confirmar el cumplimiento por la comprobación de una lista actualizada de proveedores
aprobados, que las órdenes se han colocado sólo con los proveedores aprobados y que se
hayan llevado a cabo las actividades necesarias para garantizar el cumplimiento de los
requisitos de compra.
En muchos casos, sin embargo, esto puede no ser suficiente para garantizar que los
productos comprados, simplemente cumplen con las especificaciones originales en todos
los aspectos. En tales casos, sería preferible revisar los procesos más amplios de gestión
de adquisiciones y la cadena de suministro.
2. Auditoría de los procesos de contratación de las adquisiciones

En el proceso de auditoría para la gestión de la contratación de las adquisiciones, se debe
tener en cuenta:
• Las adquisiciones se inician durante el diseño y desarrollo de un producto cuando
se preparan sus especificaciones;
• Se deberían efectuar discusiones inter-departamentales para garantizar que los
posibles proveedores puedan ofrecer un producto que cumpla con las
especificaciones de diseño al costo requerido;
• La organización debería asegurarse de que los requisitos de compra especificados
son correctos antes de ser comunicados al proveedor;
• Los requisitos legales y reglamentarios deben haberse incluido en los requisitos de
compra (Nota de NC: véase 7.1 y 13 del Anexo a la Res. 2253 del MEP
“Indicaciones para la Contratación Económica”), y,
• Se ha evaluado el grado de riesgo asociado con el componente del producto y los
controles necesarios para asegurar que cumple con las especificaciones de diseño.
Sugerencias prácticas de las formas en que podría confirmar que los puntos anteriores se
han considerado son:
• Confirme que la especificación citada en una orden de compra se corresponde con
la especificación que figura en el diseño (o las especificaciones recibidas del
cliente);
• Identificar si existieron discusiones entre la organización y los proveedores
potenciales con respecto a las especificaciones de diseño de los componentes
críticos durante el proceso de diseño, o antes de solicitar un orden de adquisición;

• ¿Hubo algún tipo de "aprobación" de la especificación antes de la especificación
final/orden de adquisición fuera confirmada al proveedor?
• ¿La orden de compra contiene o hace referencia a cualquier requisito legal o
reglamentario aplicable?
3. Auditoría de la Cadena de Suministro

En muchos casos, auditar la evaluación y selección de proveedores, simplemente consiste
en una revisión de la lista de la organización de proveedores aprobados y si esta lista se
ha revisado a intervalos regulares. En muchos casos esto puede no ser suficiente para
garantizar que la organización tenga un control efectivo de todos los proveedores de su
cadena de suministro.
Los temas a considerar son:
• Si los proveedores de productos de componentes críticos son seleccionados en
base únicamente a su capacidad para suministrar a un precio económico o si es
considerada su capacidad para suministrar de forma consistente con las
especificaciones
• Si los incluidos en las listas proveedores de aprobados se mantienen en base al
registro de su conformidad continua contra una norma de calidad reconocida o si
para ello es revisado el alcance de dicho registro.
− Nota: En algunos casos, puede ser ventajoso para la organización auditar al
proveedor la intención de establecer líneas claras de comunicación, las
especificaciones, los parámetros de entrega, etc.
• ¿Con qué frecuencia ha planteado la organización del producto rechazado, pero
posteriormente aceptado por la organización?
• ¿Cuántas concesiones se han planteado permitiendo a la organización aceptar
productos anteriormente rechazados?
4. Conclusión
Generalmente, para un auditor experimentado, revisar el proceso de contratación de
adquisiciones y la cadena de suministro de una organización es sencillo aplicando el
sentido común, pero hay situaciones en que la naturaleza del producto y sus componentes
puede indicar la necesidad de aplicar una investigación adicional. Cada producto es único
al igual que son únicas todas las situaciones que se puedan presentar durante una
auditoría.
.

GUÍA:
VALOR AÑADIDO DE LA CERTIFICACIÓN VERSUS CONSULTORÍA
1. Introducción
Este documento proporciona la guía de cómo las auditorías de terceras partes de los sistemas
de gestión pudieran agregar valor a una organización sin comprometer la imparcialidad.
Nota: - También véase la Guía de Buenas Prácticas "Cómo agregar valor durante el proceso de
la auditoría”.
La provisión de consejos o sugerencias por los auditores acerca de cómo puede lograrse y
mantenerse la conformidad son actividades que pueden ser de valor para la organización pero
que podrían llevar a las amenazas potenciales la imparcialidad.
Las áreas dónde es probable que una amenaza a la imparcialidad ocurra son:
− Actividades previas al proceso de la certificación (por ejemplo visitas, reuniones,
correspondencia)
− Solución de no conformidades
− Durante la auditoría
2. Actividades previas al proceso de la certificación
Las actividades previas a la certificación pueden ser de valor por la organización, a partir de
que pueden ayudar al organismo certificador a proporcionar un servicio de certificación
optimizado en muchos sentidos. Es esencial sin embargo, que no se entiende por tales
actividades previas a la certificación no se entienden las auditorías internas dónde los
resultados pueden usarse de la organización para prepararse mejor para las etapas siguientes
de certificación.
El cuerpo de certificación puede realizar visitas introductorias, usadas generalmente para
determinar las necesidades de los clientes y explicar el proceso de la certificación. Estas visitas
generalmente son demandadas por el cliente y pueden ser una vía eficaz para clarificar el
proceso de la certificación.
Los propósitos de estas visitas deben ser por consiguiente:
− el comienzo de una comunicación directa por los auditores con la organización, ya que el
intercambio de documentación podría ser insuficiente para permitirle a los auditores "sentir
el pulso" de la situación;
− los procesos comerciales y operacionales de la organización son mejor comprendidos que
leyendo documentos, inadecuados frecuentemente;
− brindar una explicación del proceso de la certificación y contestar las preguntas del auditado
que posiblemente tengan con respecto a la aplicación de los requisitos de las normas.
Después de la implementación de la norma ISO/IEC 17021, las auditorías de pre-certificación
pueden ser reemplazadas por la Fase 1 del proceso de certificación, constituyendo
formalmente una parte del proceso de certificación (véase también la Guía de Buenas Prácticas
"La necesidad de un enfoque de dos etapas para la auditoría”)
3. Solución de no conformidades
El enfoque correcto al manejo de no conformidades para los auditores radica en animar el
auditado a encontrar su propia solución, formulando preguntas y estimulando su comprensión y
conocimiento, pero no brindándole consejos directos acerca de cómo deben resolverse los
problemas.
Las organizaciones preferirían a menudo que los auditores les brindaran una vía rápida para la
solución de sus no conformidades. Esto puede satisfacer a corto plazo a las organizaciones,
pero puede no resultar para mejoras sustanciales y duraderas. Por consiguiente se
recomienda que los auditores no deban brindar tales soluciones rápidas.
Para mejorar y reforzar el sistema de gestión de una organización, los auditores necesitan
permitir al auditado determinar las razones de una no conformidad, y así podrán los auditados
conducir su propio análisis de causa raíz, decidir cómo abordar el problema e identificar una
solución apropiada. Tal enfoque proporcionará valor agregado a la auditoría.
4. Durante la auditoría
El valor agregado más significativo para la organización auditada se logra durante las
auditorías.
En lugar de buscar simplemente la complacencia formal con los requisitos de la norma, los
auditores deben prestar atención a la efectividad real del sistema de gestión y a los beneficios
que brinda a la organización y a sus clientes la adopción del sistema. En otros términos, ellos
deben intentar determinar si el sistema de gestión se aplica para mantener y mejorar
continuamente el desempeño de la organización y su capacidad de que sus resultados
cumplan las expectativas del cliente y los requisitos legales y regulatorios. Con este propósito,
los auditores deben tener conocimiento real y comprensión de los asuntos técnicos y de
dirección propios del negocio y sector de industria en que opera la organización auditada.
La auditoría deben llevarse a cabo por:
− el examen de los procesos de la organización;
− la discusión con los dueños de los procesos y con otro personal relevante;
− priorizando la evaluación de áreas críticas, destacando los riesgos asociados.
Sin comprometer la imparcialidad e integridad de la auditoría, las discusiones abiertas con las
personas responsables principales por la gestión de la organización podrían permitir un uso
eficaz de recursos y tiempo de la auditoría, trayendo beneficios mayores para la organización.
El resultado de tales auditorías normalmente es un informe que cubre los asuntos más allá del
simple cumplimiento con los requisitos de la norma e identifica las oportunidades para la mejora
del desempeño del negocio en general sin ofrecer las soluciones específicas. Estos informes
deben ser redactados enfocados a la alta dirección de la organización, más que con un
enfoque orientado a los especialistas.

GUÍA:
Redacción de los reportes de auditoria
1. Introducción
El apartado 1.1 de la norma ISO 9001 establece que una organización necesita demostrar su
capacidad para proporcionar de forma coherente productos que satisfagan al cliente y los
requisitos legales y reglamentarios. El informe de auditoría es una herramienta importante para
demostrar que la organización cumple los requisitos de la norma ISO 9001.
La norma ISO/IEC 17021 "Evaluación de la conformidad. Requisitos para organismos que
presten servicios de auditoría y certificación de sistemas de gestión” describe los requisitos
mínimos para los informes de auditoría, pero no define un formato específico para los informes
de auditoría por la norma ISO 9001. Sin embargo algunos esquemas de certificación para
determinados sectores puede requerir el uso de formatos específicos para el informe. El
formato y el contenido de un informe de auditoría puede variar dependiendo del tamaño y la
naturaleza de la organización auditada. También depende de los objetivos y el alcance de la
auditoría (por ejemplo, si se trata de una etapa 1 o 2, o las auditorías de supervisión, etc.)
Esta guía pretende resumir una amplia gama de experiencias en la preparación de los
informes de auditoría, para satisfacer las necesidades de todas las partes interesadas.
2. Las Partes Interesadas y sus Necesidades

Los siguientes son ejemplos de posibles usuarios de la información contenida en los informes
de auditoría:
• El cliente de auditoría
− La Alta Dirección/Consejo de Dirección
− Representante de la Dirección
• Consejo de Acreditación
− Responsable de la decisión de la Acreditación
• Organismo de Certificación
− Responsable de la decisión de la Certificación
• Equipo auditor
• Autoridad regulatoria
Cada usuario puede requerir información diferente, por lo que la estructura del informe de
auditoría deberá ser variada acorde a las necesidades a satisfacer. El informe debería
proporcionar la información requerida, satisfacer las necesidades de los usuarios de una
manera equilibrada, y añadir valor a la auditoría.
Una parte interesada pudiera necesitar conocer:
− Si el sistema cumple con los requisitos
− Las oportunidades de mejora
− Las no conformidades y las áreas de preocupación
− Las fortalezas y debilidades
− si el sistema de gestión aborda adecuadamente los riesgos asociados con el logro y
mantenimiento de la calidad
− información para la planificación futura auditoría
− las áreas que requieren seguimiento

− información adicional necesaria para una decisión respecto a la certificación.
3. Esquema para los Reportes de Auditoría

Un informe de auditoría puede ser un documento independiente, o puede ir acompañado de, o
hacer referencia a otros documentos y/o registros. No todos los temas enumerados a
continuación son aplicables a cada tipo de auditoría y la secuencia de temas puede variar en
los informes de auditoría individuales.
A continuación se sugieren para su inclusión en un informe de auditoría:
a) Introducción
Esta sección del informe debe hacer referencia a los requisitos obligatorios de la norma
ISO/IEC 17021 (véase el apartado 9.1.1) y las orientaciones que brinda la norma ISO 19011
"Directrices para la calidad y/o auditoría ambiental de sistemas de gestión" (ver apartado 6.6).
b) Resumen Ejecutivo
Esta sección debe concentrarse en dar un resumen de la eficacia global del sistema de gestión
de la calidad (SGC), incluyendo información sobre:
− Las fortalezas y debilidades del sistema de gestión;
− La mejora continua, y
− Otros indicadores clave de rendimiento.
Aquel(los) aspecto(s) más destacado(s) de la auditoria debe(n) ser comentado(s), así como un
resumen de las conclusiones de los hallazgos que representen no conformidad y/o las "áreas
de preocupación" significativas (que podrían convertirse en no conformidades al no ser
resueltas satisfactoriamente).
Deberá hacer constar las conclusiones de la auditoría sobre la conformidad del SGC de la
organización con la norma que se evalúa, y todas las recomendaciones pertinentes.
Sería apropiado agradecer a la organización, por su hospitalidad y la cooperación de todo el
colectivo con el equipo auditor.
c) Compromiso de la Dirección, Objetivos y Metas:
Esta sección debe proveer comentarios sobre los procesos de la organización para determinar,
establecer y comunicar sus políticas y objetivos. Debe cubrir el seguimiento, medición, registro
y revisión de los objetivos clave o estratégicos. Debe incluir las observaciones pertinentes
sobre el progreso de la organización logrado respecto a sus objetivos desde la última auditoría
(sin embargo, para una certificación inicial, en esta sección puede ser necesario reconocer que
la organización no cuenta todavía con un historial suficiente que permita medir en esta
auditoria el progreso en tal sentido).
d) Acciones tomadas sobre cuestiones detectadas en la(s) auditoría(s) anterior(es):
Esta sección debe proveer comentarios sobre la capacidad de la organización para determinar
las causas de los problemas previamente identificados de calidad, según proceda, y sobre la
eficacia de las medidas que ha tomado para corregir esas situaciones y evitar que se repitan.
También se debe comentar sobre la suficiencia de los procesos de la organización para la
toma de acciones correctivas y preventivas.
Cuando una no conformidad ha sido identificada previamente, también debe comentarse sobre
la capacidad propia de la organización para identificar sus no conformidades potenciales, y
para evitar que se produzcan.
e) Las Auditorías Internas, la Revisión por la Dirección y los procesos de Mejora
Continua:
En esta sección se debe comentar sobre la oportunidad en tiempo y la eficacia de la auditoría
interna, revisión por la dirección y los procesos de mejora continua con respecto a los riesgos
asociados con el logro y mantenimiento de la calidad.
Además, debe proporcionar comentarios sobre el progreso de la organización
− En sus acciones previstas dirigidas a la mejora continua, y
− En el control de la información relativa a la satisfacción del cliente y la percepción de los
clientes respecto al desempeño de la organización relacionados con la calidad
f) Impacto de cambios significativos (si hubiese alguno):
Esta sección podría aplicar a cualquier tipo de auditoría, sin embargo lo más probable es que sea
aplicable a las auditorías de supervisión y de re-certificación. Los detalles a registrar incluyen el
impacto de los cambios, p.e. en: la propiedad (o subordinación – Nota de NC); instalaciones y
tecnología, el personal clave, los sistemas de gestión, alcance de la certificación, etc.
g) Requisitos del sistema e interrelaciones, funciones, procesos, áreas auditadas:
El título (o sub-títulos) de esta sección en un informe puede ser necesario de forma individual a
medida que se refiera explícitamente a las funciones específicas, áreas, procesos, etc., por ejemplo,
"Ventas", "Galería", "Formación y Competencia", "Percepción/Satisfacción del cliente", etc.
Los siguientes aspectos deberían ser identificados en esta sección:
• La norma tomada como base de la auditoria (p.e. ISO 9001, ISO/TS 16949, etc.)
• La locación auditada
• Los documentos principales y registros usados durante la auditoría, tales como:
− formatos de observaciones, planes de auditoria, pistas de auditoria
Esta sección se puede utilizar para comentar acerca de la conformidad del sistema de gestión
de la organización (o parte de él) con los “requisitos del sistema”, o sea, un apartado o
requisito específico de la norma del sistema de gestión de calidad.
Del mismo modo, se puede utilizar para brindar comentarios acerca de "las interrelaciones del
sistema”, o sea, la forma en que diferentes aspectos del SGC de la organización se trabajan
juntos (ya sea integrado o por separado) con sus respectivos impactos positivos o negativos en
la capacidad del SGC para entregar sus resultados previstos.
Estos comentarios se centran en la eficacia de los vínculos entre los requisitos de la norma, y
los factores tales como la política de la organización, los objetivos de desempeño, los
requisitos legales aplicables, las responsabilidades, la competencia del personal, operaciones,
procedimientos, datos de rendimiento global, o los hallazgos de auditoría interna y sus
conclusiones.
Es probable que los comentarios sobre “procesos” ocupen la mayor parte del informe, ya que
el SGC es generalmente auditado “proceso a proceso”. El informe debe abordar los requisitos
aplicables de la norma para cada proceso auditado, por ejemplo, planificación, los objetivos del
proceso, control de documentos y registros, la responsabilidad y la autoridad, competencia,

medición, monitoreo, control de no conformidades, proceso de mejora, etc. y debe centrarse en
los factores del proceso que contribuyen o dificultan la coherencia y/o mejora de los resultados.
h) Inspección del sitio
En esta sección se deberá presentar observaciones sobre la condición del sitio que ha sido
auditado, y cabe destacar cualquiera de las condiciones adversas o avistamientos inusuales
constituyan observaciones formuladas.
i) Cumplimiento de la evaluación de los requisitos legales, reglamentarios y de otro tipo y
la comunicación:
Esta sección debe comentar sobre:
− sistemas de la organización para la identificación de los requisitos legales específicos y
reglamentarios o la industria pertinentes a sus actividades,
− en su metodología para la evaluación periódica de tales requisitos, y
− sus sistemas para la comunicación de cualquier cambio en ellos.
j) Efectividad continua del sistema de gestión:
Esta sección debe incluir una evaluación general de la eficacia en todo momento del SGC de
la organización, y debe comentar sobre si el "alcance de su certificación" sigue siendo
pertinente, adecuado y aplicable, después de tomar en cuenta los cambios internos y externos
que puedan haberse producido desde la última auditoría. (Nota: Esta sección no es aplicable
para las auditorías iniciales).
k) Uso de la marca/logo y/o cualquier otra referencia a la certificación:
En esta sección se debe registrar la forma en que la organización utiliza las marcas de
certificación o acreditación del cuerpo (por ejemplo, en vallas, en el material publicitario, en sus
vehículos), y debe destacar cualquier preocupación sobre la forma en que se están utilizando.
l) Asuntos que requieren especial atención:
En esta sección se deben registrar todas las cuestiones que requieren mayor atención, y
(cuando proceda) las fechas para la realización de las acciones previstas, por ejemplo, las no
conformidades, las cuestiones pendientes que quedan tras el cierre de una no conformidad
mayor, otras áreas de interés, etc.
m) Descargo de responsabilidad
El informe deberá incluir una declaración de descargo que diga que la auditoría se basa en un
proceso de muestreo de la información disponible y que, por consiguiente, siempre estará
presente un elemento de incertidumbre en las evidencias de auditoría, que puede reflejarse en
los resultados de la auditoría. Aquellos que dependen o que actúen sobre los resultados de la
auditoría y sus conclusiones deben estar conscientes de esta incertidumbre.
También deben informar de que las recomendaciones de la auditoría estarán sujetas a una
revisión independiente, antes de cualquier decisión final sobre el otorgamiento o mantenimiento
de la certificación.
Las pistas de la auditoria

El siguiente trabajo de David John Seear es una adaptación de un artículo en la revista IRCA (n º 24,
diciembre de 2009, http://www.irca.org/inform/issue24/Seear.html)
1. Introducción
Hay muchos elementos importantes en la realización de una auditoría profesional. Algunos
requisitos, tales como la necesidad de auditar el proceso, se definen en la norma ISO 9000.
Hay, sin embargo, uno de los elementos de la auditoría que falta en los términos y
definiciones en la norma ISO 9000 - la pista de auditoría.
El hecho de no llevar a cabo una auditoría de proceso siguiendo una pista de auditoría es
la razón más importante por la que las auditorías no son eficaces.
2. ¿Qué es una pista de auditoría?
A falta de una definición de la norma ISO 9000, apoyándonos en la definición del
diccionario para "auditoría" y “pista” llegamos a la siguiente:
Un enfoque sistemático para la recopilación de evidencias basadas en un muestreo
específico, que indique que los resultados de una serie de procesos relacionados entre sí
cumplen con los resultados esperados.
Pero ¿qué significa esto en la práctica?
Aunque aplicadas por algunos auditores, el uso de una pista de auditoría no es
universalmente aceptada. La falta de garantía de que al auditar un proceso sigan una pista
de auditoría es lo que socava su credibilidad. Los auditores deben entender el camino del
proceso que están auditando y realizar la auditoría en consecuencia, garantizando que los
requisitos del proceso se están cumpliendo.
Por ejemplo, cuando los auditores en el curso de la auditoría visitan el taller, les permite ver
lo que está ocurriendo e identificar los números de orden específicos que están pasando en
ese momento. A partir de esta información resulta fácil identificar en el departamento de
ventas las especificaciones acordadas para ese producto o servicio y seleccionar las
muestras pertinentes. Esto significa que el proceso puede ser revisado para asegurarse de
que lo que ocurre es controlado y que cumple con las especificaciones requeridas. A partir
de aquí, la pista de auditoría es recogida y seguida por el proceso de auditoría.
Usando a modo de ejemplo la auditoría de una actividad de compra, es necesario
identificar qué tipo de material o equipo ha sido comprado por su orden de la muestra.
Siempre es importante entender lo clave que impulsa el proceso. En este caso,
normalmente es la solicitud, la que define lo que se quiere.
Si el auditor no entiende la especificación, entonces no puede comprobar si el proceso que
está siendo seguido cumple con los requisitos de la solicitud.
• ¿Qué requiere la solicitud? ¿Cumple con las especificaciones acordadas?
• ¿Cómo se realiza la decisión de compra?
• ¿Cómo se decidió la especificación? ¿Es adecuada?
• ¿Quién decide lo que es necesario? y ¿tiene la autoridad para ello?
• ¿Quién elige al proveedor y en base a qué criterios?
• ¿Cuál es el proceso de evaluación de las ofertas?
• ¿Cómo es informada o notificada la especificación al proveedor?
• ¿Se hace referencia al empleo de normas nacionales o internacionales?

• ¿Qué controla el proceso?
• ¿Hay algún requisito especial de envase o embalaje durante la entrega? (Nota de NC:
véase 7.1 y 13 del Anexo a la Res. 2253 del MEP “Indicaciones para la Contratación
Económica”)
Estas son sólo algunas de las cuestiones que deben ser abordadas, muchos de los que se
corresponden a cláusulas de la norma ISO 9001.
3. Corregir el muestreo
El punto de partida para la auditoría consiste en utilizar las muestras seleccionadas y
determinar los controles que se aplicaron siguiendo la trayectoria del proceso. Es vital que
las muestras estén vinculadas y procedan de la misma pista. Con demasiada frecuencia,
las muestras de auditoría están en distintas fases del proceso y no están relacionados o
vinculados con la muestra inicial elegida, lo que significa que el auditor no puede
comprobar que el proceso esté funcionando. Sólo podrá asegurarse de que un documento
en particular se completa correctamente.
Procedimientos, formularios, listas de verificación y todo lo que le sirva para garantizar que
un proceso se gestiona y se controla de forma eficaz. Es esencial que los auditores se
tomen el tiempo necesario para entender lo que se requiere en el proceso que están
auditando.
Es imposible para un auditor de segunda o de tercera parte llevar a cabo una auditoría de
una organización si no dispone del tiempo necesario para entender las especificaciones de
su producto o servicio, incluidos los requisitos legales y reglamentarios. Este es el enfoque
profesional de la auditoría que permite al auditor identificar los puntos débiles en el proceso
y decidir si una organización es capaz de cumplir con los requisitos especificados. El
enfoque de las pistas de auditoría es aplicable a cualquier tipo de auditoría, ya sea interna,
de segunda o de tercera parte.
Acerca del autor

David John Seear C. Ing. (daveseear@btinternet.com) trabajó 12 años en el mar, donde alcanzó el cargo
de jefe de máquinas, seguido de 20 años con Shell del Reino Unido, donde fue nombrado como "Jefe de
Calidad y Desempeño” de Shell UK Materials. Representó al Reino Unido en el ISO/TC 176 durante 3
años, así como ha representado la Confederación de Industrias Británicas en el comité espejo al ISO/TC
176 del Reino Unido. En la actualidad es ejecutivo de PDQ Management Services.

GUÍA:
Cómo abordar la demostración de la trazabilidad de los resultados de

las mediciones
1. Antecedentes
Uno de los requisitos de la norma ISO 9001 es el "control y seguimiento de los equipos de
medición" y un apartado de este requisito es que "....el equipo de medición debe calibrarse
o verificarse, o ambos, a intervalos especificados o antes de su utilización, comparado con
patrones de medición trazables a patrones de medición internacionales o nacionales... ".
Es importante que los auditores busquen evidencias objetivas demostrables de la
trazabilidad de estos equipos de medición, mientras auditan las organizaciones. La
Trazabilidad (*) requiere de una jerarquía de calibración establecida.
Las organizaciones deberían asegurarse de que las mediciones realizadas para evaluar
sus productos, servicios o equipos (de seguridad, calidad, protección de la salud y el medio
ambiente), o las mediciones efectuadas por sus propios productos, son trazables a las
unidades SI o a un método de ensayo acordado.
En los ensayos no siempre será posible lograr la trazabilidad a las unidades de SI. En
estos casos, la trazabilidad se puede lograr mediante el uso de métodos de ensayo
validados, equipos calibrados y materiales de referencia certificados. En los casos en que
se esté determinando un valor empírico, la medida sólo puede ser trazable al resultado de
un método de ensayo específico que se esté aplicando, (por ejemplo, contenido de grasa,
recuento de colonias).
Los requisitos de trazabilidad de la medición y los procedimientos de control de calidad
asociados se especifican para los laboratorios en la norma ISO/IEC 17025, Requisitos
generales para la competencia de los laboratorios de ensayo y calibración (véanse las
secciones 5.6 y 5.9).
Los auditores de certificación siempre deberían tratar de encontrar evidencias objetivas de
la trazabilidad de dicha medición.
-------------------------------------------------------------------------------------------------------------------------------
(*) El Vocabulario Internacional de Metrología (VIM/3-2007) utiliza la expresión “trazabilidad
metrológica” y este es el significado de Trazabilidad que se aplica en este documento.
2. Implementación
Los auditores de Organismos de Certificación deberían ser conscientes de que se definen
claramente los requisitos relativos a la aceptación de ensayos de trazabilidad de la
medición.
La siguiente declaración de la ILAC/IAF JCCC, debería considerarse al evaluar la
trazabilidad:
"Un elemento del equipo de medición debe considerarse que tiene trazabilidad
a las normas de medición reconocidas internacional o nacionalmente, cuando
se haya calibrado por uno de los siguientes organismos y es de una precisión
apropiada para la medición en cuestión:
a) Ya sea que la calibración es trazable a un equipo calibrado en un laboratorio
de metrología y calibración acreditados para la medición en cuestión, por un
organismo nacional de acreditación de laboratorios que es signatario de la
Conferencia Internacional sobre Acreditación de Laboratorios (ILAC) Acuerdo
de Reconocimiento Mutuo.
b) Si se realiza la calibración por un Laboratorio Nacional de Metrología,
entonces, si la NML se muestra en el Apéndice C de la Oficina Internacional de
Pesas y Medidas (BIPM) base de datos creada en el marco del Comité de
Pesos y Medidas (CIPM) Acuerdo de Reconocimiento Mutuo, para la medición
en cuestión.
Para asegurar que las medidas están cubiertas por el alcance de las
instalaciones de calibración de la acreditación, las mediciones deberán constar
en un certificado o informe que contenga el logotipo de una de las
mencionadas autoridades."
Los auditores deben ser capaces de verificar que las mediciones son trazables y se utilizan
laboratorios acreditados tanto como sea posible

GUÍA:
Despliegue de los documentos de Resultados Esperados
Los documentos de "resultados esperados" (que figuran en los anexos a continuación) de
las normas ISO 9001 e ISO 14001 han sido desarrollados por los miembros de la IAF,
ISO/TC 176, ISO/207 e ISO/CASCO, y acordados por consenso.
El objetivo de este documento es promover el uso y la comprensión de los documentos de
resultados esperados por parte de los auditores, los evaluadores de los organismos de
acreditación y de otros miembros del personal de organismos de acreditación y
certificación, con vistas a reforzar la aplicación de los principios contenidos en dichos
documentos durante las actividades de certificación.
Los beneficios que ello reporta para la certificación son: a) que los organismos de
certificación tendrán mayor confianza en que sus clientes podrán obtener los resultados
esperados de sus servicios, y b) que el mercado tendrá una expectativa realista de lo que
se logra con la certificación.
Con este fin, se insta a los organismos de certificación y de acreditación a que promuevan
en sus organizaciones los conceptos que aparecen en estos documentos, p.ej. a través de
la formación de auditores, para comprobar que se logre el propósito general de un sistema
de gestión ISO 9001 ó ISO 14001.
Las funciones de marketing y comunicación también deberían estar al tanto de los
conceptos y promoverlos durante sus contactos con los clientes.
Los documentos de "resultados esperados" deberían incluirse en todo material futuro sobre
formación o adiestramiento de auditores y evaluadores de organismos de acreditación.
Anexo A - Resultados esperados para la certificación acreditada ISO 9001

El Foro Internacional de Acreditación (IAF) y la Organización Internacional de Normalización
(ISO) apoyan la siguiente declaración concisa sobre los resultados que se espera obtener a
partir de la certificación acreditada ISO 9001. La intención es promover un enfoque común en
toda la cadena de evaluación de la conformidad con el fin de alcanzar estos resultados
esperados y con ello aumentar el valor y la importancia de la certificación acreditada.
La certificación ISO 9001 se utiliza con frecuencia en los sectores público y privado para
aumentar la confianza en los productos y servicios proporcionados por las organizaciones, así
como entre los asociados de negocios en sus relaciones comerciales, en la selección de
proveedores en las cadenas de suministro, y en el derecho a la licitación para obtener contratos
de compra.
La ISO es quien desarrolla y publica la norma ISO 9001, pero no realiza por sí misma ni
auditorías ni certificaciones. Estos servicios son realizados por organismos de certificación con
independencia de la ISO, la cual no los controla pero desarrolla Normas Internacionales
voluntarias para fomentar las buenas prácticas en sus actividades alrededor del mundo. Por
ejemplo, la ISO/IEC 17021 especifica los requisitos para organismos que realizan la auditoría y
certificación de sistemas de gestión.
Una opción para los organismos de certificación que deseen brindar mayor confianza en sus
servicios consiste en ser acreditados como competentes por un organismo nacional de
acreditación reconocido por IAF, que es una asociación internacional entre cuyos miembros se
incluyen los organismos nacionales de acreditación de 49 economías. La ISO no controla a
dichos organismos, pero sí desarrolla Normas Internacionales voluntarias tales como la
ISO/IEC 17011, que especifica los requisitos generales para realizar la acreditación.
NOTA: La certificación acreditada es sólo una forma en que una organización puede demostrar la conformidad con la norma ISO
9001. La ISO no promueve la certificación acreditada por otras metodologías de evaluación de la conformidad.
Resultados Esperados para la certificación acreditada ISO 9001

(desde la perspectiva de los clientes de la organización)
"Teniendo en cuenta el alcance de certificación definido, una organización con un sistema certificado de
gestión de la calidad ofrece sistemáticamente productos que cumplen tanto los requisitos del cliente
como los requisitos legales y reglamentarios pertinentes, y tiene como fin aumentar la satisfacción del
cliente"
Notas: a. "Productos" también incluye "servicios".
b. Los requisitos del cliente para el producto pueden estar declarados (p.ej., en un contrato o en
especificaciones acordadas) o generalmente implícitos (p.ej., en los materiales de promoción de la
organización, o en las prácticas comunes para ese sector de la economía o la industria).
c. Los requisitos para el producto pueden incluir requisitos para las actividades de entrega y post-entrega.
Lo que significa la certificación acreditada ISO 9001
Para lograr productos conformes, se espera que el proceso de certificación acreditada brinde confianza
en que la organización tiene un sistema de gestión de la calidad que se ajusta a los requisitos
pertinentes de la norma ISO 9001. En particular, cabe esperar que la organización:
A. ha establecido un sistema de gestión de la calidad adecuado para sus productos y procesos, y
apropiado para el alcance de su certificación,
B. analiza y entiende las necesidades y expectativas del cliente, así como los requisitos legales y
reglamentarios pertinentes relacionados con sus productos,
C. garantiza que las características del producto se han especificado para satisfacer los requisitos
del cliente y otros requisitos legales / reglamentarios,
D. ha determinado y está administrando los procesos necesarios para alcanzar los resultados
esperados (productos conformes y mayor satisfacción del cliente)
E. ha garantizado la disponibilidad de los recursos necesarios para apoyar la operación y el
seguimiento de estos procesos,
F. supervisa y controla las características del producto definido,
G. tiene por objetivo prevenir las no conformidades, y ha aplicado procesos de mejora sistemática
para:
1. Corregir toda no conformidad detectada (incluyendo las no conformidades del producto que
se detectan después de la entrega);
2. Analizar la causa de las no conformidades y emprender acciones correctivas para evitar que
se repitan;
3. Atender las quejas de los clientes.
H. ha implementado un proceso eficaz de auditoria interna y revisión por la Dirección;
I. está controlando, midiendo y continuamente mejorando la eficacia de su sistema de gestión de la
calidad
Lo que no significa la certificación acreditada ISO 9001

1) Es importante reconocer que la norma ISO 9001 define los requisitos del sistema de gestión de la
calidad de una organización, no de sus productos. La certificación acreditada ISO 9001 debería inspirar
confianza en la capacidad de la organización para "ofrecer sistemáticamente productos que cumplan los
requisitos los requisitos del cliente y los requisitos legales y reglamentarios pertinentes". No garantiza
necesariamente que la organización siempre logrará el 100% de conformidad del producto, aunque esto
debería ser, por supuesto, una meta permanente.
2) La certificación acreditada ISO 9001 no implica que la organización está proporcionando un producto
de calidad superior, o que se haya certificado que el producto en sí cumple los requisitos de una norma o
especificación de la ISO (o de otra organización).
Anexo B - Resultados esperados para la certificación acreditada según ISO 14001

El Foro Internacional de Acreditación (IAF) y la Organización Internacional de Normalización
(ISO) apoyan la siguiente declaración concisa sobre los resultados que se espera obtener a
partir de la certificación acreditada ISO 9001. La intención es promover un enfoque común en
toda la cadena de evaluación de la conformidad con el fin de alcanzar estos resultados
esperados y con ello aumentar el valor y la importancia de la certificación acreditada.
La certificación ISO 14001 se utiliza con frecuencia en los sectores privado y público para
aumentar el nivel de confianza de las partes interesadas en el sistema de gestión ambiental de
una organización. La ISO es quien desarrolla y publica la norma ISO 14001, pero no realiza por
sí misma ni auditorías ni certificaciones. Estos servicios son realizados por organismos de
certificación con independencia de la ISO, la cual no los controla pero desarrolla Normas
Internacionales voluntarias para fomentar las buenas prácticas en sus actividades alrededor del
mundo. Por ejemplo, la ISO/IEC 17021 especifica los requisitos para organismos que realizan
la auditoría y certificación de sistemas de gestión.
Una opción para los organismos de certificación que deseen brindar mayor confianza en sus
servicios consiste en ser acreditados como competentes por un organismo nacional de
acreditación reconocido por IAF, que es una asociación internacional entre cuyos miembros se
incluyen los organismos nacionales de acreditación de 49 economías. La ISO no controla a
dichos organismos, pero sí desarrolla Normas Internacionales voluntarias tales como la
ISO/IEC 17011, que especifica los requisitos generales para realizar la acreditación.
NOTA: La certificación acreditada es sólo una forma en que una organización puede demostrar la conformidad con la norma ISO
14001. La ISO no promueve la certificación acreditada por otras metodologías de evaluación de la conformidad.
Resultados Esperados para la certificación acreditada ISO 14001

(desde la perspectiva de las partes interesadas)
"Teniendo en cuenta el alcance de certificación definido, una organización con un sistema certificado de
gestión ambiental está administrando sus interacciones con el medio ambiente y demostrando su
compromiso a:
A. Prevenir la contaminación.
B. Cumplir los requisitos legales y otros requisitos pertinentes.
C. Perfeccionar continuamente su sistema de gestión ambiental para lograr mejoras en su desempeño
ambiental global".
Lo que significa la certificación acreditada ISO 14001
Se espera que el proceso de certificación acreditada garantice que la organización tiene un sistema de
gestión ambiental adecuado a la naturaleza de sus actividades, productos y servicios, que se ajuste a los
requisitos de la norma ISO 14001, y, en particular pueda demostrar, teniendo en cuenta el alcance
definido, que la organización:
A. ha definido una política ambiental apropiada a la naturaleza, magnitud e impactos ambientales de sus
actividades, productos y servicios;
B. ha identificado los aspectos ambientales de sus actividades, productos y servicios que puede
controlar y/o influenciar y ha determinado los que pueden tener un impacto ambiental significativo
(incluyendo los relacionados con los proveedores y contratistas);
C. tiene procedimientos establecidos para identificar la legislación ambiental pertinente y otros requisitos
importantes, determinar cómo se aplican a sus aspectos ambientales, y mantener actualizada esta
información;
D. ha implementado controles eficaces para cumplir su compromiso de lograr la conformidad con los
requisitos legales y otros requisitos pertinentes;
E. ha definido objetivos y metas ambientales medibles, cuando sea posible, teniendo en cuenta los
requisitos legales y los aspectos ambientales significativos, y cuenta con programas para alcanzar
dichos objetivos y metas;
F. garantiza que las personas que trabajan para la organización o en representación de la misma
conocen los requisitos de su sistema de gestión ambiental y son competentes para realizar tareas que
pudieran causar impactos ambientales significativos;
G. ha implementado procedimientos para la comunicación interna, así como para responder a las partes
interesadas externas y comunicarse con las mismas (según sea necesario);
H. garantiza que las operaciones asociadas a aspectos ambientales significativos se efectúan en
condiciones especificadas y supervisa y controla las características clave de sus operaciones que
puedan tener un impacto ambiental significativo;
I. ha establecido y (si procede) sometido a prueba procedimientos para atender y responder a
situaciones de emergencia que pueden tener un efecto sobre el ambiente;
J. evalúa periódicamente el cumplimiento de los requisitos legales y otros requisitos pertinentes;
K. tiene como fin prevenir las no conformidades, y cuenta con procedimientos para:
1. corregir las no conformidades detectadas
2. analizar la causa de dichas no conformidades y emprender acciones correctivas para evitar que
se repitan
L. ha implementado procedimientos eficaces de auditoria interna y revisión por la Dirección.
Lo que no significa la certificación acreditada ISO 14001

1) La norma ISO 14001 define los requisitos para el sistema de gestión ambiental de una organización,
pero no define criterios específicos de desempeño ambiental.
2) La certificación acreditada ISO 14001 brinda confianza en la capacidad de la organización para
satisfacer su propia política ambiental, incluyendo su compromiso de cumplir la legislación pertinente,
prevenir la contaminación, y mejorar continuamente su desempeño. No garantiza que la organización
esté logrando actualmente un desempeño ambiental óptimo.
3) El proceso de certificación acreditada ISO 14001 no incluye realizar una auditoría completa obligatoria
de la conformidad ni puede garantizar que nunca se violarán los requisitos legales, aunque el
cumplimiento de los requisitos legales siempre debería ser la meta de la organización.
4) La certificación acreditada ISO 14001 no indica necesariamente que la organización será capaz de
evitar que se produzcan accidentes ambientales.

GUÍA:
Cómo lidiar con los consultores
1. Introducción
No existe ningún requisito en la norma ISO 9001 para el uso de un consultor por una
organización en la implementación de su sistema de gestión de la calidad, pero es sabido
que muchas organizaciones deciden hacerlo. También se sabe que es probable que los
consultores estén presentes durante las auditorías de certificación, y que pueden
involucrarse de alguna forma en el proceso de auditoría.
En algunos casos, la organización podrá solicitar a su asesor estar presente durante la
realización de auditorías por el organismo de certificación. Dependiendo de la forma en que
esta situación sea manejada por el equipo de auditoría, la participación de un consultor
puede ser beneficiosa o perjudicial para la consecución de los objetivos de la auditoría.
Este documento puede servir de orientación práctica a los auditores sobre la forma de
hacer frente a algunas de las situaciones que puedan surgir.
Nota: La norma ISO 10019 "Directrices para la selección de consultores de gestión de
la calidad del sistema y el uso de sus servicios" proporciona una guía útil sobre las
formas en que un consultor de gestión de sistemas de calidad podría ser utilizado de
la mejor forma con el fin de ayudar a una organización a lograr sus objetivos.
En caso de que sea del conocimiento del equipo de auditoría que un consultor también
tenga el papel de "representante de la dirección" (según la norma ISO 9001, cláusula
5.5.2), entonces los auditores deben ser capaces de obtener las evidencias objetivas
apropiadas del funcionamiento del consultor como tal a través de las funciones y las
responsabilidades requeridas por la cláusula 5.5.2.
2. Orientaciones para los auditores de tercera parte.
− Es importante reconocer que la relación contractual para la certificación se encuentra
entre el organismo de certificación y su cliente ("la organización"), sin participación
directa del consultor.
− Recuerde que es la implementación del sistema de gestión de la organización lo que
está siendo auditada ¡no el consultor!
− Si hay restricciones o reservas sobre la participación de un consultor específico, esto
debe ser comunicado y acordado con la organización antes de la auditoría.
Debe quedar claro por el líder del equipo auditor durante la sesión de apertura que el papel
del consultor en caso de estar presente, es similar a la de un observador y que el consultor
no debe tratar de influir o interferir en el proceso de auditoría o en los resultados de la
auditoría. En determinadas circunstancias, el auditado no puede ser capaz de entender el
lenguaje técnico utilizado por el auditor y la presencia del consultor puede ayudar a la
entidad auditada a entender la cuestión. Sin embargo, esto no se debe comprometer la
gestión del tiempo destinado a la auditoría, o al logro de los objetivos de auditoría.

NC 2011 Folleto Guias de Buenas Prácticas de Auditoria

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

NC 2011 Folleto Guias de Buenas Prácticas de Auditoria

Cargado por

Copyright:

Formatos disponibles

GUIAS DE BUENAS PRÁCTICAS DE AUDITORIA

Agradecemos todo comentario o sugerencia de parte de los lectores sobre la necesidad de

Otros documentos guías de apoyo para consulta:

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

33. ¡El resultado es importante!

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

La necesidad de un enfoque de dos etapas para la auditoría

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

¿Cómo evaluar si el auditado no ha implementado el enfoque basado en procesos?

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

La necesidad de la experiencia para hacer un juicio en un aspecto técnico

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

Cuando se evalúa la conformidad con la norma, las listas de verificación para

La norma ISO 19011 y la directriz de la IAF sobre la aplicación de la Guía 62 ISO/IEC

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

4. Las listas de verificación no deben ser un sustituto del plan de auditoría.

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

La norma ISO 9001:2008 en la cláusula 1 “Alcance”, define el alcance de la norma

En caso de exclusión de un requisito, el auditor debe verificar que la exclusión es

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

Zona 1: (Baja madurez de la “cultura de calidad”; no conforme con la norma ISO

Zona 1: (Baja madurez de la “cultura de calidad”; no conforme con la norma ISO

sobre las necesidades y expectativas propias de la organización. Como resultado, el SGC

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

Auditando los Objetivos de la calidad

Es recomendable que los objetivos de la calidad documentados sean examinados en la

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

Este documento provee directrices para auditar el control de dispositivos físicos y no

Cuando se auditan los procesos de seguimiento y medición, es importante para los

Mientras "equipo de medición" se define en ISO 9000 cláusula 3.10.4 como

Por ejemplo, en algunas industrias, un manómetro puede usarse:

En aquellos casos donde la organización hace uso de equipos de medición, debe

De lo dicho anteriormente se desprende que la organización debe ser capaz de decidir

Explicaciones adicionales y ejemplos se brindan en el Manual de la ISO: ISO

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001

b) ¿como se recolectan los datos que alimentan el proceso?

• Las necesidades y expectativas de los clientes están cambiando?

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

GRUPO DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001