ISO 9001:2000

Diez Consejos para la Auditoria Interna

SISTEMAS DE GESTIÓN DE CALIDAD
 Si está usted estableciendo o modificando
su programa de auditoria interna para el
C A L I D A D
ISO 9001:2000, nosotros le podemos ofrecer
estos diez consejos para ajustarse a la
norma. Pero, primero, ¿Qué es una
auditoria?
De acuerdo con los Fundamentos y
Vocabulario de la norma ISO 9000:2000,
una auditoria es:
D E
Un proceso sistemático, independiente y
documentado para obtener los datos
G E S T I Ó N
de la auditoria, y evaluar los mismos
objetivamente para así poder determinar el
alcance al cual se cumple el criterio de la
auditoria.
Así, las auditorias internas son evaluaciones
formales, planeadas y organizadas. Se
D E
llevan a cabo de manera imparcial y
objetiva siguiendo un procedimiento
S I S T E M A S
documentado. Las auditorias se utilizan
para reunir información y determinar hasta
que grado se han cumplido los requisitos.
Utilizar los consejos que se encuentran en
este folleto puede ayudarle a lograr los
objetivos de la auditoria.
2 3
1. CAPACITAR A SUS AUDITORES
INTERNOS EN LA NUEVA NORMA.
El ISO 9000:2000 define a un auditor como una
persona competente para dirigir una auditoria. La
competencia se define como la habilidad mostrada
para aplicar conocimientos y habilidades.
Los nuevos auditores internos deben atender un
curso de tres días acreditado por la RAB para
auditores internos para adquirir los conocimientos
necesarios y saber cómo interpretar los requisitos
del ISO 9001:2000.
El curso para auditor interno explica los nuevos
conceptos y los términos asociados con la norma
ISO 9001:2000 y asegura la interpretación correcta
de sus requisitos. Como necesitará pruebas de que
sus auditores son competentes, recuerde mantener
el registro de su capacitación (así como de su
adiestramiento requerido, habilidades y
experiencia).
También es importante educar a todo su personal
sobre los beneficios de la auditoria interna y del
significativo impacto que puede tener en la
organización al utilizarla de manera positiva y
constructiva. Si la cultura organizacional se
establece de manera correcta, y hay compromiso
de la administración para llevar a cabo una
auditoria interna efectiva, los beneficios que se
adquieran serán ilimitados.
Tenemos disponible el curso para Auditor Interno
para el ISO 9001:2000 acreditado a la RAB, por
medio de BSI Management Systems. Visite
www.bsiamericas.com/capacitacion o llame a
(55) 5535 6782 para los sitios y las fechas del curso.
2. REVISE EL PROCEDIMIENTO DE LA
AUDITORIA INTERNA.
Aun que ya tenga un procedimiento de auditoria
interna, debe asegurarse que responda a los
requisitos señalados en la cláusula 8.2.2 del
ISO 9001:2000 para la Auditoria Interna.
Aunque el ISO 9001:1994 requería de un
procedimiento de auditoria interna, el ISO
9001:2000 deja en claro que el procedimiento
debe definir responsabilidades y requisitos para:
• Planear auditorias
• Dirigir auditorias
• Reportar resultados
• Mantener registros.
Los resultados de las auditorias anteriores deben
ser considerados al elaborar el plan de auditoria
(programa), además de considerar la condición y la
importancia de las áreas que se evaluarán. Sin
embargo, la mayoría de los programas de auditoria
ya aplicaban esto como parte de los requisitos del
“estatus”.
El ISO 9001:2000 también requiere del criterio de
auditoria, alcance, frecuencia y métodos a definir.
La mayoría de los auditores saben hacer esto,
basados en su capacitación, pero ahora es un
requisito que está establecido en la cláusula 8.2.2.
El ISO 9001:1994 declaraba que el auditor debía ser
independiente de aquellos con la responsabilidad
directa en la actividad auditada. El ISO 9001:2000
aclara que el auditor debe ser imparcial y objetivo,
y que los auditores no pueden evaluar su propio
trabajo. Este cambio dará a las organizaciones
pequeñas mayor amplitud para asignar auditores.
Así como cumplir con los requisitos de conformidad
del ISO 9001:2000, al hacer uso de las auditorias
internas para reunir información valiosa durante
el proceso de auditoria le agrega mayor valor a
una organización. Se puede aprender mucho
del rendimiento total de una organización
simplemente al escuchar y sondear a las personas
sobre otras cuestiones e ideas. El mensaje es no
limitar las auditorias internas a simplemente
cumplir con los requisitos.
4 5
3. LISTA DE VERIFICACIÓN DE LA
AUDITORIA INTERNA.
Aunque las listas de verificación no son requeridas
por el ISO 9001:2000, la mayoría de las
organizaciones las utiliza para asegurar que su
auditoria interna cumple con todos los requisitos
declarados. Los Cursos de Auditoria promueven el
uso de listas de verificación y proporcionan la
práctica para crearlas.
Como herramientas para entrevista, las listas de
verificación deben ayudar a que las auditorias se
llevan a cabo con mayor efectividad y proporcionen
una retroalimentación valiosa sobre los resultados
del sistema de gestión de calidad.
Las listas de verificación, correctamente utilizadas y
desarrolladas, pueden:
• Promover la planeación para la auditoria
asignada.
• Asegurar un enfoque consistente de una
auditoria.
• Actuar como plan muestra y administrador del
tiempo.
• Servir como ayuda a la memoria y constructor de
confianza.
• Proporcionar un depósito para notar la evidencia.
Las listas de verificación tienen algunas desventajas.
Atenerse repetidamente a una lista de verificación
en disco no hecha a la medida de la auditoria
resultará en una cobertura pobre del campo de
aplicación. Restringir las preguntas de la entrevista
a la lista de verificación causará que sea percibida
como una encuesta limitada, en vez de una valiosa
guía para la auditoria. Y, si la lista de verificación no
refleja los requisitos y el enfoque del proceso del
ISO 9001:2000, necesitará cambiarse para que
cumpla con su cometido.
Los auditores internos deben tener la mente
abierta, hacer preguntas abiertas y permanecer
objetivos. Se debe alentar el uso de métodos
usuales, pero no se logrará la consistencia al
restringir las entrevistas a un grupo de preguntas
predeterminadas. El resultado de la auditoria no
debe ser visto simplemente como una lista de
verificación terminada. Los auditores deben
utilizarla como una herramienta de planeación para
su trabajo y deben estar dispuestos a seguir otras
áreas de investigación.
Una lista de verificación para el ISO 9001:2000 debe
guiar a los auditores a través del flujo del sistema
de la política de calidad, a los objetivos, a los
procesos, a las mediciones, a los resultados, a las
acciones y eventualmente a la mejora continua. De
hecho, la lista de verificación puede identificar una
secuencia de preguntas sencillas para ser cubierta,
en vez de tratar de desarrollar preguntas
específicas y detalladas.
Hay que considerar cuatro fuentes básicas de
requisitos al preparar una lista de verificación.
1. Normas: (tales como los requisitos al ISO
9001:2000).
2. Cliente: (como se expresa en los pedidos y
contratos).
3. Organización: (como se expresa en los
documentos internos).
4. Legal: (tales como requisitos estatutarios y
regulatorios).
Las listas de verificación para el ISO 9001:2000
deben enfocarse en la efectividad del sistema. Los
auditores internos pueden pasar más tiempo
preparando sus auditorias, pero reunirán más
información de valor. Esperamos que en las áreas
que van a ser evaluadas, reconocerán que los
auditores están buscando más el cumplimento del
proceso y menos una simple conformidad.
4. ADOPTAR UN PROCESO DE
ACERCAMIENTO EN LAS
AUDITORIAS INTERNAS.
La intención del ISO 9001:2000 es alentar la
adopción de un proceso de acercamiento al
proceso para administrar una organización. Como
resultado, las auditorias internas de su sistema de
gestión de calidad necesitan adoptar un
acercamiento similar.
Una actividad que utiliza recursos para transformar
entradas en salidas puede ser considerada un
proceso. La salida de un proceso puede ser la
entrada al siguiente proceso. Para funcionar bien,
las organizaciones tienen que identificar y
administrar numerosos procesos que interactúan
entre ellos.
6 7
El Proceso de Acercamiento involucra la
identificación sistemática y administración de
estas interacciones de procesos dentro de una
organización. Para llevar a cabo auditorias
efectivas, se debe comprender la naturaleza del
proceso del sistema y seguir los caminos apropiados
de auditoria.
Por ejemplo, auditar los requisitos de los objetivos
de calidad requiere considerar la cláusula
5.4.1, objetivos de calidad, así como, cláusulas
relacionadas que hacen referencia a los objetivos
de calidad (4.2.1.a, 5.1.c, 5.3.c, 5.4.2.a, 5.6.1, 6.2.2.d,
7.1.a, y 8.5.1).
Por lo tanto, una auditoria para demostrar si
los objetivos de calidad han sido planeados,
implementados, controlados y mejorados
considerará los requisitos de múltiples cláusulas.
El uso de una versión electrónica de la norma
puede ayudar a identificar las referencias cruzadas
importantes.
El ISO 9001:2000 requiere que los procesos sean
identificados (4.1.a) y su secuencia e interacción
sean determinadas (4.1.b). La Cláusula 4.2.2.c
declara que las interacciones del proceso deben ser
descritas en su manual de calidad.
La Planeación de la Auditoria debe identificar las
ligas del proceso y asegurar que estos rastros de la
auditoria sean las indicaciones por evaluaciones
más efectivas de su sistema de gestión de calidad.
5. ENFOCAR EN LOS REQUISITOS
NUEVOS Y MODIFICADOS.
Las compañías de investigación de mercados, a
menudo se rastrea el uso de ciertas palabras
clave en periódicos y revistas comerciales, para
determinar el nivel general de interés y aceptación
de nuevos temas.
Si nos enfocamos en el recuento de palabras en el
ISO 9001:2000 comparado con el ISO 9001:1994,
notamos un cambio dramático en el énfasis de
algunas áreas importantes:
• La palabra cliente se utiliza 48 veces en vez de
18 veces.
• Satisfacción del Cliente aparece 8 veces
comparada a solo una vez.
• Las palabras Plan, Planeado y Planeación se
repite 32 veces contra 20 veces.
• Objetivo de Calidad se encuentra 11 veces en vez
de solo dos.
• Mejorar y Mejora se incluyen 21 veces en vez de
solo una vez.
Ya que los auditores que trabajan con las casas
certificadoras han pasado por la capacitación de
transición a la nueva norma, naturalmente se van a
enfocar en los requisitos nuevos y modificados
cuando evalúen su sistema.
Por lo tanto, sus propios auditores internos
también deben dar una atención especial a estas
áreas al determinar la conformidad al ISO
9001:2000.
6. EVALUAR LA EFECTIVIDAD
DEL SISTEMA.
La mayoría de los auditores encuentran
relativamente fácil evaluar la conformidad de un
proceso definido o documentado a los requisitos
de la norma. Incluso perciben relativamente fácil si
la práctica actual se asemeja al proceso definido o
documentado.
Sin embargo, los auditores a menudo tienen
problemas, o simplemente pasan por alto, evaluar
que tan bien el proceso se está llevando a cabo en
la práctica.
Cada situación de auditoria debe ser examinada
desde tres perspectivas:
1. Intención: “¿Ha dicho lo que hace?”
¿Expresan correctamente su enfoque los
procesos definidos o documentados?
2. Implementación: “¿Ha hecho lo que dijo?”
¿Demuestran conformidad las prácticas
observadas y registradas con la intención
declarada?
3. Efectividad: “¿Lo ha hecho bien?”
¿Los resultados del proceso indican que los
éxitos deseados se han logrado?
El ISO 9000:2000 define la “efectividad” como el
alcance que logran las actividades planeadas y si se
cumplen los resultados planeados. En otras
palabras, para juzgar la efectividad, usted no sólo
debe ver la conformidad de un proceso, sino
también comparar sus resultados con sus objetivos.
Sin embargo, se debe hacer notar que el ISO
9001:2000 requiere de un sistema efectivo, no
necesariamente uno eficiente. Eficiencia es la
relación entre el resultado logrado y los recursos
utilizados, y es cubierto sólo en las pautas del ISO
9004:2000 para la Mejora en el Desempeño. Vale la
pena hacer notar que los auditores internos se
beneficiarán mucho al tener un profundo
entendimiento del ISO 9004:2000. Esta norma es
excelente y no se debe pasar por alto.
Hablando de mejora, no la pase por alto. Un
proceso puede estar definido, bien utilizado y ser
efectivo, no obstante, puede ser desarrollado para
proveer mejores resultados y mayor éxito a los
negocios.
7. RECUERDE A LOS AUDITORES CÓMO
VERIFICAR LA CONFORMIDAD.
Los auditores internos a menudo se atienen sólo a
los documentos y registros como evidencia de
conformidad del proceso y no entrevistan al
personal adecuadamente, ni observan las
operaciones.
Después de determinar el criterio de la auditoria
(requisitos), la evidencia objetiva debe ser reunida

8 9
de cuatro diferentes maneras para lograr
auditorias más completas y efectivas:
1. Entrevistar al personal
Basado en su planeación de la auditoria y las
preguntas de la lista de verificación, pregunte a los
empleados acerca de sus trabajos. Escuche lo que le
dicen. Vea si sus explicaciones concuerdan con el
proceso definido. Utilice preguntas abiertas para
obtener respuestas más completas. No tenga miedo
de retar y sondear o seguir un rastro de auditoria
para ver hacia dónde lo lleva. Hablar con las
personas es la mejor manera posible para
comprobar su conocimiento y entendimiento de los
procesos y subprocesos en los cuales están
involucradas.
2. Observar operaciones.
Ayude a su propio entendimiento del proceso al
observar cómo se lleva a cabo. Vea si las prácticas
que está observando cumplen con los requisitos.
Usted descubrirá que las personas que está
entrevistando están más relajadas cuando usted
permite que demuestren su trabajo. Además, las
auditorias internas serán menos desorganizadas,
ya que el trabajo se está concluyendo.
3. Revisar documentos.
Pregunte a las personas que está entrevistando
qué documentos utilizan en su trabajo. Puede
encontrar documentos y formas diferentes a los
identificados en su planeación de auditoria. Vea si
los documentos están adecuadamente controlados
y disponibles para su uso. Haga referencia a los
documentos para ayudarle a seguir el trabajo que
se está llevando a cabo. Verifique que los registros
descritos en los documentos se están reuniendo y
controlando correctamente. También acentúe la
necesidad para el uso de la documentación y
siempre trate de encontrar mejores y más efectivas
maneras para administrar y controlar los procesos
que se están evaluando.
4. Examinar los registros.
Cuando entrevista a las personas y observa las
operaciones, usted está determinando cómo se
lleva a cabo usualmente el proceso. Sin embargo,
también querrá verificar que el proceso ha estado
10
en conformidad desde la última auditoria. La mejor
manera para evaluar prácticas anteriores es
examinar los registros de las operaciones pasadas.
También puede probar qué lecciones, si existen, se
pueden aprender de los datos y la información
contenida dentro de esos registros. Asegúrese que
tanto esos datos como la información se estén
utilizando positivamente para el beneficio de la
organización.
Utilizando estos métodos, los hechos descubiertos
deben ser cuidadosamente registrados en sus notas
de auditoria. Analice esta evidencia para reportar
el grado de conformidad (o no conformidad).
Los auditores no pueden entrevistar a cada
persona, observar cada actividad, revisar cada
documento o evaluar cada registro. Deben buscar
muestras representativas que permitan llegar a un
juicio detallado. Ya que las auditorias son limitadas
debido al muestreo, las no conformidades en el
sistema pueden seguir existiendo más allá de las
identificadas y reportadas. Sin embargo, con el
tiempo y las auditorias bien planeadas, la
probabilidad de descubrir problemas en futuras
auditorias mejora considerablemente.
8. SABER COMO EVALUAR UN
PROCESO SIN DOCUMENTOS.
El ISO 9001:2000 sólo requiere específicamente de
seis procedimientos. Los procedimientos requeridos
por cláusula son:
4.2.3 - Control de Documentos
4.2.4 - Control de Registros
8.2.2 - Auditoria Interna
8.3 - Control de Producto No Conforme
8.5.2 - Acción Correctiva
8.5.3 - Acción Preventiva
El ISO 9001:2000 Cláusula 4.2.1.d declara que se
necesitan otros documentos para la planeación
efectiva del proceso, de la operación y del control,
y que también deben ser incluidos. Por lo tanto, las
organizaciones sólo deben desarrollar el nivel de
documentación que necesiten basándose en la
complejidad del proceso, la competencia del
personal y el tamaño de la organización.
11
Con el requisito de menos procedimientos
documentados, los auditores deben mejorar sus
técnicas de entrevistas para comprender y tomar
notas del proceso definido. Pregunte al gerente del
área si existe algún documento guía para las
actividades asignadas al personal. Si no, solicite al
gerente que explique el proceso y cómo se capacita
al personal. Confirme su comprensión y utilice el
proceso definido por el gerente como el criterio de
la auditoria.
Los auditores siempre deben respaldar la evidencia
antes de hacer juicios de conformidad. Esto es
especialmente importante con procesos
indocumentados. Revise cómo se planea el proceso,
se capacita al personal, se despliegan las prácticas,
se controlan las condiciones, se logran los
resultados, se mantienen los registros, se mejora el
proceso y como la información del desempeño y
mejora la retroalimentación a la dirección para su
consideración y posible acción.
9. MEJORE LAS PRÁCTICAS ACTUALES
DE SU AUDITORIA INTERNA.
Las organizaciones con un programa existente de
auditoria interna deben revisar sus resultados para
asegurarse que los objetivos de las auditorias se
están cumpliendo y para identificar las
oportunidades de mejora.
Hágase las siguientes preguntas:
• ¿Se cumplen los calendarios y programas de
nuestra auditoria interna?
• ¿Nuestros planes se enfocan hacia la satisfacción
del cliente?
• ¿Qué tan bien están cumpliendo los
departamentos con los requisitos?
• ¿Estamos identificando la principal causa del
problema?
• ¿Nuestros auditores internos están redactando
bien los reportes de auditoria?
12
• ¿Se redactan clara y sencillamente las no
conformidades para ser entendidas fácilmente?
• ¿Estamos felicitando al personal por sus buenas
prácticas?
• ¿Estamos identificando las oportunidades de
mejora?
• ¿Cuánto tiempo está tomando para cerrar las
acciones correctivas de la auditoria?
• ¿Qué retroalimentación estamos recibiendo de
nuestras auditorias?
Utilice la actualización de su proceso de auditoria
interna como una oportunidad para tomar
acciones correctivas y preventivas y encuentre la
principal causa del problema. Revise los reportes de
auditorias pasadas y vea si está satisfecho con las
prácticas actuales y la consistencia del auditor.
Lleve a cabo sesiones de capacitación con sus
auditores para revisar las declaraciones de no
conformidades redactadas previamente e
identificar qué referencias a las cláusulas deben
haber sido utilizadas para el ISO 9001:2000. Haga la
sugerencia a sus auditores de seguir los siguientes 6
Cs para tener informaciones bien redactadas.
1. Completar – incluir el requisito específico y
evidencia objetiva.
2. Corregir – cuidar de transmitir la información
correctamente y con exactitud.
3. Conciso - expresar la declaración tan
brevemente y sucintamente como sea posible.
4. Claro – utilizar palabras familiares y
terminología fáciles de entender.
13
5. Categorizar – si se utiliza, identificar su
gravedad (mayor, menor o inquietud).
6. Confirmar – verificar que la información que se
necesita para la acción correctiva esté
establecida.
Por supuesto, los auditores internos deben
preparar las formas y reportes de auditorias como
se ha prescrito por sus propios procedimientos para
la auditoria. Recuérdeles que deben evaluar para
conformidad (no para no conformidad) y compartir
algunos comentarios positivos en sus reportes para
estimular si una conformidad ha mejorado.
10. PROGRAME SUS AUDITORIAS
INTERNAS DE DIFERENTES
FORMAS.
El propósito de un plan (programa) es planear el
tipo y número de auditorias, así como identificar y
proporcionar los recursos necesarios para dirigirlas.
El modelo de Planear-Hacer-Revisar-Actuar puede
ser aplicado a la administración de auditorias
internas:
Planear: Definir el programa de auditoria.
Hacer: Implementar el programa de auditoria.
Revisar: Revisar el programa de auditoria.
Actuar: Perfeccionar el programa de auditoria.
Los auditores necesitan entender en que forma la
estructura de cláusulas y requisitos del ISO
9001:2000 afectarán sus planes de auditoria. En vez
de evaluar por cláusula, la organización puede
decidir auditar por área funcional o por proceso.
14
Una sugerencia anterior describe la necesidad de
tomar en cuenta los requisitos de cláusulas
múltiples para poder evaluar completamente una
actividad en particular. Organizar auditorias por
cláusula puede limitar la evaluación a sólo un
punto de conexión de los requisitos para un
proceso de planear, hacer, revisar y actuar.
Programar auditorias por área funcional
promoverá un examen de todos los requisitos
pertinentes (cláusulas) para el alcance específico
del proceso. Si los resultados de la auditoria indican
problemas con una cláusula en particular a través
de múltiples áreas, se puede programar una
auditoria suplementaria.
Otro método para evaluar es rastrear las órdenes
de los clientes río hacia bajo (o avisos de embarque
río hacia arriba) a través del flujo para evaluar las
interfases de departamento y los resquicios del
proceso. Las auditorias pueden ser también
programadas para un contrato específico o
proyecto para únicamente evaluar las áreas
involucradas.
Recuerde que los procesos clave de negocios
tienden a fluir a través de una organización y, en
consecuencia, pueden tocar muchas actividades y
departamentos. Otros procesos pueden fluir más
verticalmente dentro de una organización. Solo
por esta razón es muy importante entender las
interfases dentro de los procesos y subprocesos de
su negocio y, por consiguiente, planear sus
auditorias.
Recuerde que el ISO 9001:2000 requiere que las
auditorias sean planeadas tomando como base el
estado y la importancia de las áreas que van a ser
evaluadas, así como los resultados de auditorias
anteriores. Las auditorias internas de áreas críticas
o las áreas que tienen una actuación pobre deben
ser programadas más frecuentemente.
Si el alcance de su sistema ha cambiado
recientemente basado en exclusiones permisibles
(ver cláusula 1.2) o subcontratación (ver cláusula
4.1), asegúrese que sus auditorias internas sean
programadas y planeadas para proporcionar una
cobertura completa del sistema.
15
 EUA
BSI Management Systems

12110 Sunset Hills Road

Suite 140
Reston, VA 20190
EUA

Tel: 1 800 862 4977

703 437 9000
Fax: 703 437 9001

Mexico
BSI Management Systems

Paseo de la Reforma 90 - 4o Piso

Colonia Juarez 06600 México, D.F.
México

Tel: (55) 5535 6782

Fax: (55) 5535 6252

Sistemas de Gestión inquiry@bsiamericas.com

www.bsiamericas.com/mexico

de Calidad

BSIMEX43/MS/0504/S

Formando el futuro

BSI Group: Normas • Información • Capacitación • Inspección • Pruebas • Evaluación • Certificación