Documentos de Académico
Documentos de Profesional
Documentos de Cultura
sistemas de gestión.
ISO 19011:2018
Directrices para la auditoría de sistemas de gestión. ISO 19011:2018
Contenido
1 Introducción
1.1 Antecedentes
Si analizamos etimológicamente la palabra auditoría, vemos que viene del latín audito
“sentido del oído” o audire “oir” por tanto, está relacionada con un concepto auditivo,
al igual que la palabra “auditor” el latín auditor, -toris, “el que escucha” Según
algunos autores para entender por qué utilizamos el término auditoría nos tenemos
que remontar varios la época griega, los gobernantes enviaban a funcionarios para
comprobar la carga que se descargaba de los barcos y la que se declaraba, es decir,
la que pagaba impuestos.
1.2 Características
Desde su origen, las auditorías en base a su objetivo han basado sus metodologías
en tres fundamentos:
Independencia
Objetividad
Lo que el auditor valora no lo hace bajo su opinión subjetiva, es bajo los requisitos
de un estándar o norma que el auditado “previamente” ha elegido.
Integridad
Esto implica que, el auditor y el auditado debe evitar cualquier posible conflicto de
interés entre ambas partes u organizaciones para las que trabajan.
Voluntariedad
Posiblemente, muchas organizaciones nos dirán, que han implantado el sistema por
que un cliente o una administración se lo pedía, no por que quisieran. La
voluntariedad implica que, el auditado implanto un sistema voluntariamente porque
quería trabajar para ese cliente o porque quería desarrollar una actividad regulada.
No obstante, el auditor debe tener en cuenta de que, aunque la alta dirección decida
voluntariamente auditarse (o implantar el sistema), para el resto de los miembros de
la organización la auditoría es una imposición.
Os lo digo, para que deis un repaso a los temas, los documentos, las firmas.
• Vamos, los papeles, que preparemos los papeles.
No podría ser que la culpa sea que la auditoría no ha sido capaz de transmitirle al
empresario el valor de ésta. Posiblemente, si el informe se limita a recordarle al
auditado lo que ya sabe o pedirle cosas que no generan valor añadido, todo ello
basándose en una seguramente exhaustiva revisión de documentos y no le da
realmente información sobre el desempeño del sistema, la auditoría será
simplemente un mero trámite o examen que debemos pasar.
Previamente deberíamos analizar que busca el auditor y el auditado con una auditoría
ya que, La auditoría es una herramienta de gestión, no es un objetivo en sí, por ello,
Por ello, como lo que debería buscar el auditado es valor de la información, sin
embargo, en muchos casos, el auditado lo que busca es pasar la auditoría y disponer
de una certificación, homologación, etc. lo cual no quiere decir que también tenga
interés en la información de la auditoría para mejorar su sistema.
Cuando te inicias en los trabajos de consultoría ves al auditor como la persona que
tiene capacidad de valorar tu trabajo, como un examinador ante el cual tienes que
aprobar. Has asesorado a un cliente y esperas que éste obtenga aquello que buscaba:
la certificación.
Por ello, anhelas ser auditor, considerando a éstos como el vértice superior de la
pirámide profesional del consultor.
Posiblemente, los que nos iniciamos en la auditoría hace años, tuvimos más fácil
conseguir la cualificación, el mercado demandaba más auditores de los que se
existían, incluso, desde un punto de vista teórico, fuimos más autodidactas a través
de la lectura, aprendiendo de nuestros compañeros auditores, etc., pero en el fondo
nos fue más fácil.
Por otra parte, a los auditores, les pedimos experiencia que solo pueden adquirir a
través de asistir a auditorías como observador. Sin embargo, las consultoras y
auditoras no suelen facilitarles que vayan incluso pagándose sus gastos.
consideración por el hecho de que “está haciendo una auditoría”, por ello, para mí,
el auditor, es simplemente “el profesional que está haciendo una auditoría”.
Por eso, cuando definimos lo que es el auditor, realmente lo que debemos definir las
competencias que debe tener un profesional para realizar auditorías.
1.7 El profesional
Auditor
Equipo auditor
“Una o más personas que llevan a cabo una auditoría con el apoyo, si es necesario
de expertos técnicos”
Independencia.
Cuando llevamos un rato mirando al mismo punto dejamos de verlo, nuestra mente
se desconecta. Cuando llevamos haciendo algo mucho tiempo damos por hecho de
que esa es la forma de hacerlo. Las personas y las organizaciones actuamos así, por
ello de vez en cuando necesitamos que alguien que viene de fuera nos mire y nos
diga. Y ese es el auditor. No es más listo, ni está más preparado que los miembros
de la organización que audita simplemente miran desde fuera, sin los propios vicios
de la organización y sin depender su trabajo del mejor o peor resultado que
encuentre. Pero aquí viene el cambio, no sólo debe mirar lo que está mal, también
debe valorar lo que está bien y los posibles puntos de mejora, es decir debe dar valor
añadido a la organización.
Objetividad
El auditor no cobra más o está mejor o peor considerado por que abra o no muchas
no conformidades; no va a comisión. El auditor no percibe ningún perjuicio o beneficio
del resultado de la auditoría. En consecuencia, puede ser totalmente objetivo (no
confundir “objetivo” con “exigente”).
El olfato de la experiencia
El auditor ha visto de todo, bueno y malo. Incluso en muchos casos lo ha hecho. Esto
le permite tener eso que se denomina entre los auditados “olfato o puntería”. El
auditor nunca se sorprende por casos mal hechas, si se sorprende por cosas
novedosas, especialmente bien hechas, con buenos resultados, etc. Los fallos
siempre son los mismos. Hablamos de un diseño de sistema que nace con sus puntos
fuertes y débiles y, en consecuencia, genera que los fallos siempre se produzcan en
los mismos aspectos (los puntos débiles).
Esta aparente puntería, permite aprovechar el conocimiento del auditor. Éste localiza,
más fácilmente, los puntos débiles del sistema, incluso por muy escondidos que
estén.
1.10 Evolución
Hace años, las salas donde se realizaban las auditorías acaban llenas de carpetas y
papeles, los registros y documentos nos desbordaban. En la actualidad, las auditorías
las realizamos sobre documentos que tenemos en la intranet, el ordenador, etc.,
prácticamente no movemos papel.
Está claro que los registros en formato papel o en formato digital los podemos evaluar
desde la oficina, pero el resultado, el desempeño del sistema en muchos casos no.
Por ejemplo, desde el despacho podemos evaluar si los trabajadores han hecho
formación (registros de asistencia, certificados, etc.), pero no podremos valorar si
están formados. Para esto último tendremos que ver cómo trabajan (bajar al tajo).
Desde que las normas siguen la estructura del Anexo SL, todas ellas son mucho más
parecidas. De tal forma que quien conoce una de ellas, prácticamente las conoce
todas. Las normas han pasado a crear concepto de gestión a través de los requisitos
y han deja de definir el cómo centrándose en el que.
Con los últimos cambios, para poder implantar o auditar un sistema de gestión de
acuerdo con norma, el conocimiento se ha desplazado del “expertis de la gestión” al
“expertis de proceso”, convirtiéndose el primero en transversal.
En el apartado 3 del Anexo A de la norma ISO 190011 se indica que los auditores
“deberían aplicar su juicio profesional durante el proceso de auditoría y evitar
concentrarse en los requisitos específicos de cada capítulo de la norma”. Es decir, el
La estructura repetitiva en las normas hace que sea mucho más fácil entender por
las organizaciones que no hay que repetir las cosas y que la transversalidad entre
mucha documentación es fundamental para crear sistemas integrados y no
burocratizados.
El concepto de desempeño
En el apartado 4 del Anexo A de ISO 19011, “Resultado del desempeño”, indica que
el auditor debería centrase en el resultado conjunto del sistema, más que en el
resultado específico de un determinado proceso.
El tamaño importa
Los requisitos que debe cumplir, en relación con una determinada norma, una
organización no es diferentes en función de tamaño de la organización, pero si debe
tenerse en cuenta en la forma que se gestiona, documentan, revisan, etc. éstos.
En el apartado 4 del Anexo A de ISO 19011, se indica que, a estos efectos, “la
ausencia de un proceso o de documentación puede ser importante en una
organización de alto riesgo o compleja, pero no tan importante en otras
organizaciones”.
Mayor participación
Consecuencia de dar menor valor a los registros y más a la realidad del desempeño,
la observación y el análisis implica una mayor participación del conjunto de los
miembros de la organización y resto de partes interesadas.
Los miembros de la organización, bien como sujetos pasivos, al ser observados, como
sujetos activos al ser entrevistados. La entrevista se convierte en un elemento de
trabajo básico para el auditor por lo que debe disponer de las competencias
necesarias para su desarrollo, análisis y valoración.
Cada propietario de una carpeta (persona con acceso a dicha carpeta) se hace
propietario de la información existente en ésta, su veracidad, conservación, etc. lo
cual le implica un mayor cumplimiento de las funciones que le asigna el sistema.
Cuando alguien necesita información de su carpeta debe solicitársela por lo que tiene
que tenerla adecuadamente.
Requisitos
La norma nos da las actividades, funciones, etc. que debemos definir, desarrollar e
implantar, si queremos cumplir con su modelo. Estas exigencias, es lo que
denominamos requisitos.
El concepto de requisito debe analizarse desde una visión realista y no formal. Por
ello, debemos preguntarnos que pretende el objetivo y no como se desarrolla. Por
ejemplo, no es sólo importante si se investigan todos los sucesos y se registra su
investigación, si no la calidad de dicha investigación, si se toman acciones y éstas
son eficaces.
Enfoque a procesos
Este enfoque debe ser la base del desarrollo de la auditoría. Como indica el punto 2
del Anexo A de la norma ISO 19011, los auditores deben comprender que auditar un
sistema de gestión es “auditar los procesos de una organización y sus interacciones
en relación con una o más normas de sistemas de gestión”.
Información documentada
Sin embargo, esta aparente complejidad refleja una madurez de los sistemas, los
sistemas (al menos documentalmente) se diseñan para la practicidad y no para la
comodidad del auditor.
2 ISO 19011
2.1 Introducción
Los cambios fundamentales con respecto a la anterior edición, tal y como se indica
en su prólogo son:
Prologo europeo
Declaración
Prologo
0. Introducción
1. Objeto y Campo de aplicación
2. Normas para consulta
3. Términos y definiciones
4. Principios de auditoría
5. Gestión del programa de auditoría
5.1. Generalidades
5.2. Establecimiento de los objetos del programa de auditoría
5.3. Determinación de la evaluación de riesgos del programa de auditoría
5.4. Establecimiento del programa de auditoría
5.4.1. Roles y responsabilidades de las personas responsables del programa
de auditoría.
5.4.2. Competencias de las personas responsables del programa de
auditoría.
5.4.3. Establecimiento de la Extensión del programa de auditoría.
5.4.4. Determinación de los recursos del programa de auditoría.
5.5. Implementación del programa de auditoría.
5.5.1. Generalidades
5.5.2. Definición de los objetivos, el alcance y los criterios para una
auditoría individual.
5.5.3. Selección y determinación de los métodos de auditoría.
5.5.4. Selección de miembros del equipo auditor.
5.5.5. Asignación de responsabilidad al líder del equipo auditor para una
auditoría individual.
5.5.6. Gestión de los resultados del programa de auditoría.
5.5.7. Gestión y conservación de los registros del programa de auditoría.
5.6. Seguimiento del programa de auditoría.
5.7. Revisión y mejora del programa de auditoría.
6. Realización de las auditorías.
6.1. Generalidades
6.2. Inicio de la auditoría
6.2.1. Generalidades
Bibliografía.
Auditoría
Tipo Descripción
Internas Denominadas en algunos casos auditoría de primera parte, se realizan
por auditores internos o externos en nombre de la propia organización.
Externas Incluyen lo que se denomina auditorías de segunda y tercera parte. Las
auditorías de segunda parte se llevan a cabo por partes que tienen
interés en la organización, tales como los clientes.
Las auditorías de tercera parte se llevan a cabo por organizaciones
auditoras independientes, tales como las que otorgan
certificación/registro de conformidad o agencias gubernamentales.
Auditoría combinada
Auditoría llevada a cabo conjuntamente a un único auditado en dos o más sistemas
de gestión, también denominada auditoría integrada.
Programa de auditoría
Acuerdo para un conjunto de una o más auditorías planificadas para un periodo de
tiempo determinado y dirigidas hacia un propósito específico.
Alcance de la auditoría
Extensión y límites de la auditoría, incluye generalmente una descripción de las
ubicaciones físicas, las unidades organizativas, las actividades y los procesos, así
como el periodo de tiempo cubierto.
Plan de auditoría
Descripción de las actividades y de los detalles acordados de una auditoría.
Criterios de auditoría
Conjunto de requisitos usados como referencia frente a la cual se compara la
evidencia objetiva (requisitos legales o de una norma).
Evidencia objetiva
Datos que respaldan la existencia o veracidad de algo. Puede obtenerse por medio
de la observación, medición, ensayo o por otros medios.
Evidencia de la auditoría
Registro, declaraciones de hechos o cualquier otra información que es pertinente para
los criterios de auditoría y que es verificable.
Hallazgos de la auditoría
Resultado de la evaluación de la evidencia de la auditoría recopilada frente a los
criterios de auditoría. Los hallazgos pueden indicar conformidad o no conformidad.
Conclusiones de la auditoría
Resultado de una auditoría, tras considerar los objetivos de la auditoría y todos los
hallazgos de la auditoría.
Auditado
Organización que es auditada en su totalidad o partes.
Sistema de gestión
Conjunto de elementos de una organización interrelacionados o que interactúan para
establecer políticas, objetivos y procesos para lograr estos objetivos.
No conformidad
Incumplimiento de requisitos.
Independencia
El auditor debe ser independiente de la actividad auditada, actuando de una manera
libre de sesgos y conflictos de interés.
3 Conceptos de auditoría
3.1 Introducción
Una evaluación del presente, teniendo en cuenta el pasado con el fin de prever el
futuro
No es una inspección
sistema para evitar los posibles aciertos y fallos a lo largo del tiempo, así como,
analizar los posibles puntos débiles y fuertes que nos den información para la mejora
continua del sistema.
Es sistemática
Es independiente
Analiza resultados
La auditoría no es un simple examen de cómo se llevan a cabo las actividades, analiza
los resultados, es decir, el reflejo de la eficacia del sistema de gestión para que
basándose en éstos la dirección de la empresa pueda evaluar la efectividad de las
actuaciones.
Es objetiva
El resultado de la auditoría se basa en las denominadas evidencias de auditoría. A
través de las cuales el auditor avala sus conclusiones, no pudiendo basarlas, en
ningún caso, en apreciaciones. En consecuencia, el auditor tendrá en muchos casos
que realizar verificaciones de los procesos que le permitan avalar la información o
datos incluidos en los registros y documentos.
Es periódica
Los sistemas de gestión son implantados en un determinado momento, para una
organización y unas necesidades empresariales. Los cambios en la organización, los
procesos, las personas, etc., pueden generar que lo que hoy es adecuado deje de
serlo. Igualmente, los sistemas, aun no existiendo cambios, pueden degradarse o
perder su efectividad consecuencia de la confianza que la empresa tiene en el buen
funcionamiento del mismo. Las auditorías, al ser periódicas, deben impedir el
desajuste entre el sistema y la realidad.
No busca culpables
La auditoría busca, a través del análisis del pasado, soluciones para el futuro.
Analizando los fallos del sistema, no de las personas que los cometieron, pues si así
fue, lo hicieron porque el sistema se lo permitió.
Cuando en una determinada actuación existe una discrepancia entre los requisitos y
la forma de llevarse a cabo por parte de la empresa, se ha realizado un hallazgo,
pero éste no implica la existencia de una desviación, ya que una empresa no tiene
porqué cumplir todos los requisitos de una norma o reglamento, pueden existir
aspectos que no requieren ser aplicados dada su forma de trabajo, proceso
productivo, etc.
Conformidades
Por ejemplo, una empresa que debe realizar una medición legalmente una vez al año
y la realiza dos veces, existe una discrepancia entre la exigencia o requisito (anual)
y lo que realiza la organización (dos veces al año), pero esto no refleja un
incumplimiento o no conformidad.
No conformidades
Para la localización de los hallazgos, el auditor debe recabar información a través de:
Entrevistas;
Observaciones;
Revisión de la información documentada.
La evidencia consiste en una disposición mental del auditor por la cual queda libre de
cualquier duda significativa respecto a la opinión que tiene que emitir en su informe
(conclusiones de la auditoría). Debiendo esta disposición mental estar acompañada
de pruebas documentales o físicas, de realidades que son indubitables
independientemente de las personas que las perciban.
Entrevistas;
Observaciones;
Revisión de la información documentada.
Uno de los problemas con los que se encuentra el auditor es definir hasta dónde
llegar en la obtención de las evidencias. No podemos establecer criterios específicos,
si bien el auditor tendrá en todo momento presente que la evidencia debe ser
suficiente y adecuada, no debiendo perseguir la mejor evidencia posible, sino la más
adecuada.
La observación
Los documentos del sistema van a indicar cómo ha sido diseñado el mismo,
especificando la forma de llevar a cabo las distintas acciones.
La revisión de los documentos tiene como objetivo evaluar si el sistema está diseñado
de acuerdo con los estándares que le son de aplicación, ya que, de no ser así, las
acciones posteriormente realizadas tampoco estarán de acuerdo con los requisitos.
La revisión de los registros, sin embargo, tendrá por objetivo analizar si las
actuaciones que deben haber sido realizadas por la empresa lo han sido y justificado.
El registro es la descripción escrita de una acción realizada, es decir, son las pruebas
documentales de conformidad con los requerimientos especificados por el sistema.
Con la revisión de estos estamos buscando pruebas objetivas de la realización de las
actividades especificadas en los documentos internos y externos.
La entrevista
El auditor va a recibir una gran cantidad de información mediante las entrevistas que
va a mantener con el personal de la empresa. Muchos autores consideran que es la
forma más importante de obtención de información, no olvidemos, que tal y como
indicamos en el primer Módulo, el vocablo auditoría viene de “oír”.
Las distintas formas que tiene el auditor para validar la información obtenida a través
de las entrevistas son:
Existen algunos aspectos o requisitos que por sus características pueden ser más
complejos en la realización de la auditoría que vamos a analizar a continuación en
base a lo indicado en el anexo de la norma ISO 19001.
Auditoría de cumplimiento
En este caso nos referimos a las auditorías o parte de esta que tiene relación con la
comprobación de requisitos legales (apartado 7 Anexo ISO 19011). En está el auditor
debe identificar si el auditor dispone de procesos eficaces para:
a) Identificar los requisitos legales y reglamentarios y otros requisitos con los que
está comprometido.
b) Cómo se identifican los requisitos reglamentarios y sus modificaciones.
c) Si dispone de personal competente para la gestión de los requisitos legales.
d) Si gestiona adecuadamente la información documentada que justifica
legalmente su cumplimiento (autorizaciones, certificaciones, etc.)
e) Gestionar sus actividades, productos y servicios para lograr el cumplimiento de
estos requisitos.
f) Se incluye en las auditorías internas la evaluación del cumplimiento de
requisitos legales.
g) Cómo se gestionan los posibles incumplimientos.
h) Evaluar su estado de cumplimiento (grado de implementación)
Las normas no establecen las metodologías que deben o pueden ser utilizadas en el
análisis del contexto, por lo que no existe un criterio de auditoría más allá de que se
haya analizado y el análisis sea adecuado.
El auditor debe evaluar que se ha desarrollado el análisis y que sus resultados son
tenidos en cuenta en el desarrollo del sistema. Para ello, los auditores deberían tener
en consideración (apartado 8 del Anexo ISO 19011) la existencia de evidencias
objetivas relativas a:
a) Las políticas
b) Los objetivos
4 La comunicación
4.1 Introducción
Comunicar. (Del lat. Communicare.) tr. Hacer a otro partícipe de lo que uno tiene.
2. Descubrir, manifestar o hacer saber a uno alguna cosa. 3. Trasmitir señales
mediante un código común al emisor y al receptor.
Comunicativo, va. (Del lat. Communicativus.) Adj. Que tiene aptitud o inclinación
y propensión natural a comunicar a otro lo que posee.
El hablante pensó
El hablante dijo (el filtro se quedó con esto y aquello)
El oyente transmitió
El lenguaje oral,
El lenguaje gestual,
La imagen y
Las preguntas
1
Oratoria, el arte de hablar, disertar y convencer, el Drac, 1996, pag.50
2
Epiteto (55-135 después de Cristo)
La voz es una característica de cada persona, con ella hemos nacido y por lo tanto
tendemos a pensar que no es educable. Sin embargo, ésta puede ser perfectamente
educada. El auditor no requiere, en general, educar su voz, pero sí debe tener unas
ciertas nociones sobre cómo utilizar y sacar el mejor provecho. Todos, en algún
momento, hemos comentado que voz más agradable o desagradable tiene una
persona. En muchos casos no es realmente un problema físico de la persona que
habla, es una mala utilización de sus facultades.
A través de la voz transmitimos no sólo las palabras que decimos, también indicamos
al oyente nuestro estado de ánimo. Muchas veces hemos escuchado “lo dijo con un
tono”.
En la entrevista debemos cuidar nuestro tono de voz, ya que puede generar una
impresión que no es la deseada por parte del auditor. Igualmente debemos regular
nuestra intensidad. Saber controlarla es sumamente importante una intensidad no
adecuada puede generar cansancio en el receptor. Una alta intensidad hará creer al
entrevistado que estamos gritando por algo, generalmente enojo. Una intensidad
baja exigirá un gran esfuerzo a nuestro interlocutor para escucharnos, y por lo tanto
cansancio.
El auditor debe jugar con la intensidad y el tono de su voz, para dar mayor o menor
énfasis a las palabras que está utilizando, de acuerdo con la importancia de lo que
está diciendo, pero sin incurrir en el vicio de la exageración, que puede hacerle caer
en la ampulosidad y la grandilocuencia, desaprovechando su efecto. Con el énfasis
sólo buscamos la atención del entrevistado en determinados aspectos.
El gesto puede en muchos casos suplir a las palabras. Somos capaces de entender
una película muda, si bien, el gesto adquiere fuerza cuando se utiliza
simultáneamente al leguaje oral. Los gestos pueden ser intencionados o no. Los
primeros los podemos utilizar en determinados momentos, aunque no debemos
planificarlos, no estamos interpretando el papel de una película, y por lo tanto,
resultarían forzados.
Dentro de los gestos podemos destacar los faciales o mímicos. La expresión refleja
de nuestro estado de ánimo, transmitiendo a nuestro entrevistado cómo estamos
interpretando su información, pudiendo ir modificando su discurso sobre la base de
nuestra expresión. Igualmente, la expresión del entrevistado nos denotará su
preocupación, firmeza de lo que nos dice, etc.
La mímica es uno de gestos más controlables, si bien es preciso darse cuenta de que
los estamos utilizando para reprimirlos. Al contrario que un actor de teatro, los cuales
refuerzan su interpretación a través de los gestos, el auditor debe esconder sus
gestos, ocultando la interpretación que está dando a lo que percibe, pero aprovechar
las señales que le envía su interlocutor, ya que, intuitivamente, se suelen interpretar
de forma correcta.
4.4 La imagen
La imagen del auditor no sólo está relacionada con su vestimenta. La forma de llegar
a la empresa, de transportar sus papeles es importante, el presentarse con los
papeles revueltos debajo del brazo va a transmitir una cierta idea de desorden que
pondrá en entredicho la profesionalidad del auditor. Igualmente, si la documentación
de la empresa aparece desordenada, arrugada y maltratada, daremos una sensación
de despreocupación ante documentos que para la empresa son muy importantes.
Un buen auditor debe ser capaz de descubrir los hechos rápidamente, pues si el
auditado detecta que para localizar la información el auditor divaga, pensará que está
perdiendo su tiempo.
Existe una serie de técnicas, basadas en distintos tipos de preguntas, que permiten
realizar este proceso de forma más fácil, cómoda y rápida.
Preguntas abiertas
¿Cuál es la política?
¿Cómo se realiza el análisis del contexto?
¿Cómo se lleva a cabo la evaluación de riesgos y oportunidades?
Son utilizadas para obtener una información global sobre un tema, pues permiten al
entrevistado desarrollar su respuesta, pudiendo el auditor, en función de esta,
detectar posibles interpretaciones y desviaciones del sistema, dirigiendo las
posteriores preguntas.
Preguntas cerradas
En general, son utilizadas para obtener una información concreta, ante una
suposición del auditor. No deben ser utilizadas con exceso pues transmite una
sensación inquisitorial ya que suelen poner al auditado entre la espada y la pared.
Preguntas de precisión
Preguntas silenciosas
Durante una entrevista el silencio es un arma poderosa. Cuando el auditor, ante una
respuesta, permanece callado, el auditado entiende que se espera una mejor
explicación o respuesta que la dada, procediendo a dar una mayor información sin
que el auditor se lo solicite.
Preguntas de opinión
Son aquellas que solicitan un punto de vista, generalmente una opinión. No deben
realizarse ya condicionan la repuesta del auditado. Por ejemplo:
Preguntas capciosas
No deben ser utilizadas ya que transmiten una opinión del auditado que, de forma
capciosa, pretende sonsacar información que el auditor intuye, pero no es capaz de
localizar.
Preguntas hipotéticas
diseño del sistema. El auditor debe conocer los riesgos que asume cuando las utiliza,
no debiendo abusar de ellas.
No-preguntas
Vistas las preguntas que el auditor puede utilizar, es preciso analizar el proceso
mediante el cual, a través de las preguntas, el auditor llega a una conclusión. La
técnica utilizada es el uso de preguntas en embudo, cuya misión es ir centrando el
tema hasta alcanzar conclusiones suficientes. Los pasos para dar son:
1. Antes de iniciar las preguntas, el auditor debe centrar al entrevistado, con el fin
de que entienda el porqué de estas:
2. Se comienza con preguntas abiertas que nos permitan obtener una información
generalizada de la sistemática de actuación.
4. Una vez centrado el tema se procede a realizar preguntas cerradas que fijen
definitivamente la información.
Este proceso lógico utiliza una vía deductiva que va de lo genérico a lo concreto, si
bien en algunos momentos el auditor tendrá que utilizar el proceso contrario,
inductivo o ascendente, que va de lo concreto a lo genérico. Esto ocurrirá cuando el
auditor, generalmente consecuencia de la revisión de un registro, detecte algún tipo
de discrepancia que le haga intuir un fallo del sistema, por lo que tendrá que analizar
todo el proceso del que genera dicho registro.
Vemos que existen diversos tipos de preguntas, cada una de ellas más o menos
adecuada en cada caso. El auditor debe aprender a utilizarlas adecuadamente, sin
olvidar que, “hasta los mejores de vez en cuando se equivocan”.
4.7 Escuchar
Hemos visto la forma de hacer las preguntas, pero es importante tener en cuenta la
actuación, aparentemente pasiva, que las acompaña: escuchar la respuesta; algo
poco habitual en muchos auditores.
4.8 El entorno
5. No realizar la entrevista en ambientes ruidosos en los que sea difícil oírse Las
entrevista suelen realizarse en la propia fábrica, exigiendo elevar el tono de voz,
lo que hace muy incómodo la comunicación, por lo que tiende a hacerse rápida y
desordenada, en consecuencia, mal.
presencia de los superiores suele ser difícil, en estos casos, el auditor debe
analizar el porqué de algunas respuestas, intentando deducir el sesgo introducido.
El error humano es consubstancial con el hombre, por lo tanto, con el auditor. Sin
embargo, cada día se nos permite o admite una menor capacidad de equivocación,
más cuando estamos realizando actuaciones de las que dependen vidas humanas o
pueden conllevar riesgos legales.
5 El riesgo de la auditoría
5.1 Introducción
Ahora bien, es la libertad que la normas dan al auditor, al igual que al auditado, la
que genera el posible error, consecuencia, en muchos casos, de la falta de recursos
ligada a la limitación del tratamiento de información, un equivocado razonamiento o
una distorsión de la realidad.
5.2 El muestreo
Por ejemplo, si tenemos 1000 trabajadores que deben haber realizar un curso
podemos analizar diferentes factores:
Por ello, debemos definir que buscamos con el análisis para poder definir población
y muestra.
Aparentemente definir la población es muy fácil, pero en muchos casos puede ser
más complicado de lo que pensamos.
Basado en juicio
Uno de los inconvenientes del muestreo basado en juicio es que no puede haber
estimación estadística de la incertidumbre en los hallazgos de la auditoria y en las
conclusiones alcanzadas.
Estadístico
Cuando un auditor enjuicia la forma de realizar una actividad por parte de una
organización, como ya hemos visto, lo hace basándose en una serie de hallazgos que
se sustentan en una serie de evidencias objetivas. Mientras el auditor comprueba el
funcionamiento del sistema, evaluando la política, los procedimientos, la
organización, los controles, etc., realizados por la empresa, no puede aplicar técnicas
matemáticas o estadísticas, tendrá que utilizar sus conocimientos, experiencia, etc.,
por lo que debe revisar la totalidad del sistema.
Una vez elegida la población, por ejemplo, las quejas y reclamaciones, los sucesos
ocurridos, etc., debe definirse las características del ítem de esa población; que
puede ser de dos tipos: cualitativa o cuantitativa. En el primer caso intentamos
averiguar si los elementos de la población poseen o no una cierta característica, es
decir, cumple las condiciones establecidas, por ejemplo: si los pedidos han sido
revisados por el responsable de compras. En el segundo caso, será el resultado de
una medida de los elementos de la población, por ejemplo: el resultado de las
mediciones realizadas.
Uno de los problemas que se plantea en las auditarías es conocer la distribución del
universo para poder determinar la distribución de la muestra y sus características.
En general, salvo grandes empresas, el número de registros es pequeño o muy
disperso. Por ejemplo, una empresa con 500 trabajadores puede tenerlos agrupados
en veinte o treinta puestos de trabajo. Analizar la evaluación de riesgos obligaría a
elegir, dentro de la población (20-30 puestos), la muestra representativa. Ahora bien,
¿debe darse la misma importancia a un puesto de alto riesgo, como a uno de bajo
riesgos?, o contabilizarse igual un puesto ocupado por cien trabajadores, que un
puesto con tres, etc.
En cada caso, el auditor deberá seleccionar el método que considere más adecuado,
aunque en caso de estratos con un número de ítems muy variables la segunda opción
parece la más lógica.
Con los criterios anteriormente vistos, no hemos valorado los errores existentes, los
hemos considerado un mero valor numérico, sin embargo, no todas las evidencias
encontradas tienen la misma importancia en el funcionamiento del sistema.
El auditor debe decidir cómo valorar, en cada caso, los criterios de aceptación o
rechazo. Un determinado error en la decisión del auditor puede ser aceptable para
determinadas actuaciones, pero ser muy alto, y, por tanto, inaceptable en otras.
Todo sistema tiene unos riesgos inherentes consecuencia de su propio diseño; ningún
sistema es diseñado sin errores de funcionamiento, por lo que tendrá que tener una
sistemática de control, que, habitualmente, evitará que ciertos fallos inherentes en
el sistema se localicen y corrijan. Sin embargo, los controles pueden no ser capaces
de eliminar todos los fallos del sistema. Éstos son los fallos que la auditoría debe
detectar. Tal y como se representa en el esquema anterior.
6.1 Introducción
Los estándares, consecuencia de la necesidad de ser válidos para los diversos tipos
de organizaciones y situaciones, son modelos o patrones generalistas.
Inclusive para el auditor más experto sería impensable realizar la auditoría utilizando
como documento de trabajo el propio estándar, ya que requeriría no solo una gran
memoria, sino una gran capacidad de organización mental que le asegurara no
olvidar ninguno de los requisitos. Pero, aun disponiendo de esa capacidad, el esfuerzo
mental sería muy elevado. En especial cuando la auditoría la llevarán a cabo varios
auditores y tuvieran que repartirse las distintas actividades a verificar. El auditor, en
consecuencia, necesita documentos de trabajo que le permita realizar su actividad
de forma sistemática, ordenada y consecuente.
Las cuestiones incluidas en las listas de comprobación deben dar respuesta a los
diversos criterios del estándar, en función del que se confecciona. En muchos casos,
es el propio requisito transformado en pregunta.
Estándar Cuestión
Análisis del contexto ¿Ha analizado el contesto la organización?
Además, una lista de comprobación bien realizada, debe desarrollar preguntas que
especifican criterios no claramente establecidos en la norma pero que el auditor debe
tener en cuenta.
Muchas listas de comprobación son una relación de preguntas a las que el auditor
contestará positiva o negativamente, o indicando si no aplica. Pudiendo añadir en la
propia lista algún tipo de observación. El formato de sus columnas será:
El auditor debe elaborar las preguntas de forma que una respuesta “SI” implique
cumplimiento y una “NO” refleje un incumplimiento. De tal forma que una simple
revisión de la lista, localizando las preguntas marcadas con “NO” nos indica de forma
rápida los incumplimientos del sistema.
el estándar es su lista y no el estándar. Por muy buenas listas de las que disponga el
auditor, nunca debe dejar de manejar el estándar, fundamentalmente para auditores
nobeles, es bueno referenciar en las listas el apartado del estándar con el que se
relaciona cada pregunta.
Una vez definido el tipo de lista de comprobación, el auditor procede a elaborar sus
preguntas, situándolas en la lista ordenadamente. El orden de colocación de las
preguntas estará de acuerdo con como prevea el auditor desarrollar la auditoría. De
forma que no tenga que desplazarse durante una entrevista, investigación, etc.,
desordenadamente a lo largo de la lista. Aunque el auditor puede establecer su propio
criterio de ordenación, existen dos sistemas habituales:
Estas listas ordenan las preguntas en grupos que responden a temas o criterios del
estándar, por ejemplo:
Organización,
Evaluación de riesgos y oportunidades,
Formación,
Consulta,
Etc.
De forma que el auditor cada vez que quiere analizar un aspecto del estándar, tiene
todas las cuestiones agrupadas. Presentan problemas para evaluar temas que son
realizados por varias unidades organizativas de la empresa, ya que el auditor no
tendrá un criterio definido sobre el cumplimiento o no de un estándar hasta haber
realizado la auditoría de todos los departamentos, divisiones, etc., afectados.
Registro de la auditoría
Al igual que el auditor exige a presentación de registros que validen las evidencias,
la lista sirve de registro de los aspectos auditados, los resultados obtenidos y la
valoración de los mismos para el auditor que, en algún momento, tendrá que ser
evaluado o auditado por la administración, su empresa, etc.
Garantía de objetividad
El uso de la lista de comprobación asegura al auditado que la auditoría ha sido
realizada de forma objetiva e independiente, sin la interpretación particular del
auditor en función del desarrollo de la auditoría.
No existe ninguna regla o práctica para hacer estas anotaciones; cada auditor, de
forma libre, se acostumbra a un tipo de documento, en muchos casos consecuencia
de la formación que recibió. Hay auditores que utilizan la propia lista de
comprobación, sus márgenes o el reverso de las páginas que la conforman. Otros
anexan simples hojas en blanco al final de la lista, el flujograma o la matriz. En ambos
casos, el auditor hará libremente sus anotaciones, dibujos, gráficos, etc., sin ningún
tipo de cortapisa, regla, etc.; está utilizando un documento de trabajo, para su uso
particular.
6.6 El archivo
El archivo también será muy útil al auditor cuando vaya a auditar a una empresa con
posterioridad. El uso de los informes, registros, etc., de la anterior auditoría le va a
permitir reducir el tiempo de preparación y refrescar la información que obtuvo sobre
la empresa en las anteriores auditorías.
El archivo contendrá todos los documentos suministrados por la empresa, salvo que
le solicite su devolución, las listas de comprobación, los flujogramas, cartas, hojas
de registro, informes, etc., que hayan sido utilizados o generados consecuencia de la
auditoría. Debiendo estar organizado de forma que le permita localizar de forma
rápida la documentación buscada.
7 Cuantificación de resultados
7.1 Introducción
El auditor puede utilizar métodos de cuantificación, sin olvidar que los estándares
sobre los que se hacen las auditorías no lo requieren. Al cuantificar, simplemente,
ayudamos a la empresa a valorar los resultados de su auditoría. La obtención de un
determinado valor no implica dar mayor o menor importancia a las no conformidades
y observaciones, ya que todas ellas deben ser solventadas.
Para la cuantificación el auditor puede utilizar muchos métodos, todos ellos requieren
el uso de listas de comprobación, dado que la valoración tiene que realizarse sobre
cuestiones o preguntas concretas. Todos los métodos asignan un valor a cada
pregunta, diferenciándose en la forma de asignar o computar los posibles valores de
cada una de ellas.
Donde
Respecto al número de preguntas “n”, puede ocurrir que alguna de ellas no sea
aplicable, por lo que el valor de “n”, sería el correspondiente al número de preguntas
que sean de aplicación. Igualmente, cuando por cualquier circunstancia, un auditor
añada algún tipo de cuestión o pregunta a la lista de requisitos, se deberá
incrementar el valor de “n”.
Una vez obtenidos los datos resultados de cada apartado, es bastante gráfico
representarlos en un gráfico de barras como el siguiente, en el que podemos ver
fácilmente cual son los puntos fuertes y débiles de la empresa:
Con la valoración lineal todas las preguntas tienen el mismo peso en el resultado de
la auditoría. Para evitar esto, se utiliza la valoración ponderada, mediante la cual
asignamos un peso determinado a cada aspecto a evaluar.
Conocer los requisitos que debe cumplir un sistema presenta ciertos problemas de
interpretación. Valorar la importancia de cada uno de los requisitos para alcanzar los
objetivos del sistema es difícil, cada técnico, consultor o auditor puede ponderarlo de
forma distinta, por lo que sólo podremos comparar resultados alcanzados con la
misma ponderación. Mientras que, con la valoración lineal, la implantación de un
sistema que cumple un determinado valor porcentual si puede ser comparado con
otro.
Para ponderar una lista de verificación, debemos asignar un peso a cada una de las
preguntas, eligiendo los valores entre un intervalo no muy amplios, por ejemplo: 1 a
3 ó 1 a 5. Siendo siempre las preguntas con más relación con el desempeño del
sistema más importantes las de máximo valor.
Donde
Al igual que en la valoración lineal los resultados de la auditoría pueden ser valorados
por apartados, pudiendo conocer los puntos fuertes y débiles. Pudiendo en este caso
ponderar cada apartado al igual que lo hemos hecho para cada una de las cuestiones
de la lista.
8 El informe
8.1 Introducción
Las conclusiones de la auditoría (apartado 6.4.9.2 de ISO 19011) deben incluir, como
mínimo:
El auditor debe cuidar la redacción de este, una vez entregado es la única constancia
de su trabajo, además, es el documento que la empresa auditada, la administración,
las empresas certificadoras, etc. disponen para comprender como está siendo
desempeño del sistema, no debiendo requerirse el posterior concurso del auditor para
explicar o aclarar lo indicado en el mismo.
Existen auditores con gran capacidad de escritura mientras que otros tienen serios
problemas para elaborar informes más o menos claros. Igualmente, ocurre con su
longitud ya que, con la misma información, número de observaciones y no
conformidades, etc. se puede elaborar informes de mayor o menor longitud.
La norma ISO 190011 nos indica en su apartado 6.5.1. que el informe de auditoría
debería “proporcionar un registro completo, preciso. Conciso y claro de la auditoría,
y debería incluir o hacer referencia a lo siguiente:
8.3 Estructura
debe olvidar que la calidad del informe no depende de su diseño gráfico, sino de su
contenido. La estructura del informe debe seguir una serie de pautas:
7. Declaración de confidencialidad
Los datos o información que la empresa pone a disposición del grupo auditor son
estrictamente confidenciales. Hemos indicado en otro Módulo que el auditado
puede exigir una declaración de confidencialidad. Aun habiéndola entregado, a
petición del auditado o no, en el informe debe incluirse una declaración de
confidencialidad. Como, por ejemplo:
“Cualquier información obtenida durante la auditoría por parte del grupo auditor
será tratada de forma estrictamente confidencial, no pudiendo ser desvelada a
terceras personas sin autorización previa de la empresa”.
8.4 Contenido
El informe, como cualquier tipo de registro, debe contener los trabajos realizados y
los resultados obtenidos y, por lo tanto, estará relacionado directamente con el objeto
y alcance de la auditoría. No siendo una simple transcripción de las entrevistas,
información, hechos observados, etc., pues no se pretende reproducir los trabajos
realizados, sino transmitir a su lector el grado de cumplimiento del sistema, indicando
de forma clara los hallazgos detectados.
Objeto
El objeto del presente informe es indicar los trabajos realizados y los resultados
obtenidos durante la auditoría del Sistema de Gestión de XXXXX realizada a
EMPRESA, S.A. de conformidad con la norma YYYYY.
Alcance
Documentos de referencia
En ambos casos, el auditor debe reflejar, no sólo el documento utilizado, sino también
la edición, fecha o referencia que lo defina claramente, por ejemplo:
Realización o desarrollo
Este apartado es el contenido básico del informe, en él se reflejan todos los trabajos
realizados y las conclusiones obtenidas, expresando, de una forma estándar, la
opinión profesional sobre el estado de la empresa en materia de prevención.
Aunque el desarrollo de todo el informe debe ser cuidado por el auditor, este apartado
debe serlo en especial, en él se reflejan los aspectos básicos de la auditoría, en
contraposición de aspectos más formales reflejados en el resto de los apartados. No
confundiendo importancia con longitud o número de páginas, el auditor debe ser lo
más conciso posible, claro y entendible, debe redactarse el informe pensando en que
no sólo va a ser leído por personas especializadas o técnicas, que necesariamente no
conocen el lenguaje técnico. Su redacción no puede introducir elementos subjetivos
o literarios que puedan inducir a confusión e impidan una interpretación uniforme de
las conclusiones.
Tras el cual se irán analizando los distintos apartados o requisitos del estándar.
Teniendo en cuenta los siguientes criterios:
Tal y como nos indicó el jefe del Almacén, Don Raúl Pérez, durante un tiempo no
determinado, aproximadamente un año, los detectores de incendios no habían
funcionado adecuadamente. Él lo había comunicado al Servicio de Prevención,
pero no se le hizo caso.
No utilizar expresiones que indiquen duda o falta de confianza por parte del
auditor, como:
En apariencia,
Parece ser,
Según hemos oído…
Cuando se quiera describir las actividades llevadas a cabo por parte del
auditado, con el fin de dar una mejor compresión a los posteriores hallazgos,
ésta debe ser lo más escueta y corta posible. Por ejemplo, no se debe utilizar un
párrafo como el siguiente:
Realmente ésta sería la estructura más adecuada para una “no conformidad”, aunque
sólo sería imprescindible incluir el incumplimiento, la introducción del requisito
incumplido refuerza la no conformidad ante el auditado y la inclusión de las evidencias
objetivas da una mayor credibilidad a la no conformidad.
Un ejemplo sería:
“El sistema de prevención no asegura que todos los trabajadores de nuevo ingreso
en la empresa reciban la formación adecuada para los riesgos de su puesto de
trabajo, tal y como indica el artículo 17 de la Ley de Prevención de Riesgos Laborales
pues se han encontrado trabajadores en el taller, las oficinas y el almacén, con fechas
de ingreso de más de seis meses de antigüedad sin que hayan recibido formación en
materia de prevención”
casos estos errores se deben a la inexperiencia del auditor, pero en muchos otros es
consecuencia de la falta de comprensión y diferenciación entre ambos aspectos. En
este sentido, podemos decir que una forma de valorar la capacidad del auditor suele
estar en su capacidad de redacción del informe, tanto en forma como en contenido.
No obstante, este criterio que ha sido una copia del concepto de “certificación de
sistemas” está teniendo más un valor comercial que un valor técnico y en
consecuencia, en un determinado momento, como por ejemplo una actuación judicial
puede representar problemas al auditor y en especial auditado.
Por último, en caso de seguir este tipo de graduaciones, debe quedar muy claro en
el propio informe cuál han sido los criterios seguidos por el equipo auditor para llegar
a clasificar cada incumplimiento de la forma que lo ha sido.
Conclusiones
9 El proceso de auditoría
9.1 Introducción
La auditoría exige seguir una serie de pasos ordenados y sistemáticos que garanticen
su eficacia, facilitando la consecución de los objetivos perseguidos. La realización del
trabajo a través de una serie de etapas lógicas, cada una de las cuales se constituye
como previa y necesaria para la siguiente, y, a su vez, independiente entre sí, nos
asegura el éxito en el desempeño de nuestra función de auditor.
del proceso debe ser llevado por parte del auditor de una forma adecuada, el éxito
de la auditoría puede ser puesto en peligro si no se hace así.
Una vez recibida la información indicada en el punto anterior, el auditor debe valorar
la viabilidad o no de poder desarrollar la auditoría.
La auditoría debe ser llevada a cabo por uno o varios auditores, adecuando su número
y características al propósito y alcance de esta, así como, y las características del
auditado y el alcance de la auditoría (apartado 6.3.3. de ISO 19011).
Cuando la auditoría la lleva a cabo un solo auditor, éste asume todas las
responsabilidades del desarrollo de esta, si la auditoría la llevan a cabo varios
auditores, uno de ellos debe hacerse responsable de su dirección, normalmente
denominado auditor líder o jefe. Éste será el que decida el número y preparación
técnica con que deben contar los miembros del equipo. Proceso nada fácil, que debe
ser llevado, en cada caso, basándose en los datos con los que cuenta el auditor.
No existen criterios para definir el número de persona que deben formar el equipo,
siendo responsabilidad del auditor jefe definir cuántos y cuáles serán sus
componentes. El auditor jefe debe definir su número en función de las necesidades,
teniendo en cuenta varios criterios:
A los especialistas se les elige para auditar o asesorar en algún aspecto técnico
específico, por lo que no es preciso que estén durante toda la auditoría, solamente
durante el tiempo necesario para auditar los aspectos que requieren de su
especialización.
El auditor jefe debe poner especial cuidado en la elección del equipo, ya que el éxito
o fracaso de la auditoría depende de la elección del equipo adecuado. Teniendo en
cuenta que un equipo puede tener éxito en una auditoría y fracasar en la realización
de otra, por lo cual, no sólo se tendrá en cuenta la preparación o capacidad técnica
del equipo, deben analizarse aspectos subjetivos como compatibilidad de caracteres,
igualdad de interpretación de normas, reglamentos, etc.
Una vez definido el equipo auditor, el auditor líder debe asignarle a cada uno de los
miembros en función de las tareas que le sean asignadas.
Esta fase se desarrolla desde la llegada a la empresa hasta la reunión final. Al igual
que en la fase de preparación, la ejecución de la auditoría tiene una sistemática
establecida que debe ser desarrollada por el equipo auditor. Ésta se basará en
métodos ampliamente contrastados.
Las actividades para desarrollar por parte del equipo auditor durante la fase de
ejecución son:
Los aspectos para tener en cuenta por parte del auditor jefe en el desarrollo de la
reunión inicial son:
Presentaciones
A la reunión inicial, además del equipo auditor, deben asistir por parte de la empresa
auditada las personas responsables de las actividades o áreas a auditar. Las cuales,
en general, deben haber sido seleccionadas por parte del auditor, si bien la empresa
cuenta con absoluta libertad para decidir quién o quiénes van a acudir. Siendo
preferible el exceso que el defecto de asistentes. A modo de guía, deberían acudir las
siguientes personas: Representantes de la alta dirección de la empresa, responsables
del sistema, responsables de las áreas o actividades a auditar (directores de división,
jefes de departamento, etc.).
Que la auditoría tiene carácter muestral, por lo que aun habiéndose declarado
por parte del equipo auditor una determinada actuación como conforme, pueden
existir actuaciones no revisadas, pudiendo no ser conformes.
Silas no conformidades se van a clasificar y que serán puestos en conocimiento
de los guías en el momento de su establecimiento.
Que el mayor o menor número de no conformidades no tiene una correlación
con el estado del desempeño, lo que debemos tener en cuenta es la importancia
de las no conformidades.
Que, de las conclusiones de la auditoría, posteriormente plasmados en el
informe, se les informará en la reunión final.
El auditor líder debe explicar el propósito y alcance de la auditoría. Aunque éste esté
perfectamente aclarado entre el auditor y su interlocutor en la empresa, puede ocurrir
que alguno de los asistentes a la reunión no lo conozca. No debiéndose sorprender
el equipo auditor, si durante la reunión inicial, existe algún tipo de discusión entre
los miembros de la empresa sobre el alcance y propósito de esta.
Independientemente del número de personas con las que va a tratar el equipo audito,
sus miembros van a ser acompañados a lo largo de la auditoría por personal de la
empresa, a los que denominaremos guías. Un guía debe conocer los procesos de la
empresa, las personas, las instalaciones, etc., de forma que pueda facilitar la labor
del equipo auditor. En general será personal de la organización involucrada en la
gestión del sistema.
Agenda
Confidencialidad
El auditor jefe debe explicar a los miembros de la empresa que todos los datos e
información que sean puestos en conocimiento del grupo auditor como consecuencia
de su investigación son de carácter estrictamente confidencial
Aclaraciones y preguntas
Una vez realizadas todas las explicaciones, se procederá a aclarar todas aquellas
preguntas que los miembros de la empresa puedan requerir.
Independientemente de las visitas específicas que cada uno de los miembros del
equipo auditor realicen a las distintas áreas de la empresa durante la auditoría, es
conveniente que todo el equipo realice una visita general a la empresa. Durante esta
visita podrán hacerse una idea general de los distintos procesos, instalaciones,
riesgos, etc., lo cual va a permitirles una mejor realización de la auditoría.
Una vez realizada la reunión inicial y la visita a la empresa, cada auditor comenzará
a realizar su trabajo con los interlocutores que le hayan correspondido. Comenzando
la búsqueda de evidencias que permitan establecer el grado de conformidad del
sistema de gestión de la empresa.
criterio adoptado por el equipo auditor puede afectar a la interpretación de los futuros
trabajos a realizar durante el resto de la auditoría.
Al final del día o comienzo del siguiente, es conveniente realizar una reunión con los
miembros de la empresa implicados o una representación de estos, en muchos casos,
simplemente los responsables del sistema.
Esta reunión, cuya duración no debe superar los 15 minutos, será realizada con
posterioridad a la reunión del equipo auditor, informándose al auditado de los
siguientes aspectos:
Debe tenerse en cuenta que todos los hallazgos transmitidos durante las reuniones
diarias pueden sufrir modificación en las conclusiones, la ampliación de información
puede dar lugar a cambios estas por parte del equipo auditor. En la mayoría de los
casos, la propia información suministrada es utilizada por la empresa para realizar
modificaciones o correcciones rápidas que permitan dar por corregidas al hallazgo,
no obstante, está circunstancia constará en el informe.
El equipo auditor debe tener en cuenta que estas reuniones se convocan para el
beneficio propio y de la empresa, por lo que no deben de generar en un
enfrentamiento. Si el equipo auditor estaba equivocado en sus conclusiones, la
organización tendrá motivación para corregirle o ayudarle, si realmente existía un
problema, la investigación adicional que se suscita ayudará para reforzar el hecho.
En ambos casos, ambas partes ganan.
Durante la reunión final (la norma ISO 19011 lo denomina en su apartado 6.4.9.1.
“preparación para la reunión de cierre), el auditor líder repasa todos los aspectos
auditados de forma ordenada, indicando cada auditor en la parte que le corresponda
los hallazgos encontrados y las conclusiones que ha extraído. El resto del equipo
aportará aquella información que pueda modificar o ratificar las conclusiones
expuestas, para evitar los sesgos producidos por la información parcial que puede
disponer un determinado auditor.
La reunión final de cierre formaliza el cierre de la auditoría y tiene por misión informar
a la empresa sobre el resultado a través de la exposición de los hallazgos y las
conclusiones de la auditoría (apartado 6.4.10. de ISO 19011). Normalmente esta
reunión suele realizarse la última tarde de la auditoría, debiendo planificarse el equipo
auditor adecuadamente ya que, en muchos casos, los problemas de horarios de
vuelos, trenes, etc., pueden hacer que la reunión deba realizarse de forma
apresurada, en consecuencia “mal”.
La reunión final debe ser conducida por el auditor líder, que comenzará saludando a
los asistentes, agradeciéndoles su asistencia. En particular a aquellos asistentes que
no estuvieron en la reunión inicial, que suelen coincidir con la alta dirección de la
empresa; gerente, consejero delegado, etc. El auditor jefe debe hacer, previamente,
hincapié en que asistan a la reunión todos los responsables de la empresa afectados
por la auditoría, ya que al ser ellos los responsables de implantar las medidas
correctoras deben entender perfectamente lo que ha encontrado el equipo auditor.
El auditor jefe debe comenzar por exponer los aspectos positivos y después los
negativos, poniéndose en el punto de vista de los auditados. El objetivo de la
auditoría es que las cosas cambien para bien, la organización ya ha realizado un
esfuerzo que agradecerá que le sea reconocido. Una reunión final bien conducida
debe haber transmitido a los miembros de la empresa que el auditor no se ha
dedicado simplemente a buscar fallos o puntos débiles, sino que ha sido capaz de
analizar el sistema de gestión de forma correcta, habiendo captado el verdadero
estado de las cosas. Lo cual es difícil de transmitir, pues en la presentación de
conclusiones los aspectos positivos se suelen generalizar, mientras que los aspectos
negativos se enumeran detalladamente.
El auditor líder deberá dejar claro la validez de los hallazgos, recurriendo en muchos
casos al guía de la empresa para validar los mismos. No debiendo permitir que la
reunión se transforme en una agria discusión, ni realizar cambios en sus conclusiones
que no estén claramente justificados. De lo contrario, demostrará una debilidad que
puede poner en entredicho su profesionalidad, y, por tanto, el resultado de la
auditoría.
Durante la reunión puede surgir por parte del auditado la petición de ayuda para
corregir los problemas detectados. Un auditor no es un consultor que pueda
recomendar acciones correctoras para corregir las no conformidades. Pero si puede
indicarle diferentes formas en las que puede hacerlo, a modo de ejemplo.
10 El programa de auditoría
10.1 Introducción
La extensión del programa de auditoría (apartado 5.1. de ISO 19011) debe adecuarse
a:
10.2 Contenido
Es importante que el programa analice los posibles riesgos de la auditoría, entre los
cuales pueden encontrarse (apartado 5.3. de ISO 19011):
Como hemos visto el programa de auditoría lo que pretende es que éstas sean
realizadas garantizando los objetivos de esta. Por ello su complejidad va a depender
fundamentalmente del tamaño de la organización y el número de auditores que
trabajan bajo el programa.
Como podemos ver el programa de auditoría de una organización salvo que sea muy
grande su programa de auditoría es muy sencillo.
11 La auditoría interna
11.1 Introducción
Todas las normas de gestión exigen que la empresa se audite internamente (también
denominada auditoría de primera parte).
Hemos analizado hasta ahora como el proceso básico de auditoría, pero estos
procesos tienen una serie de características que debemos tener en cuenta a la hora
de la realización de las auditorías internas.
Objetivos de la auditoría.
Fechas, periodicidades, áreas a auditar, etc.
Competencia de los auditores.
Proceso de elaboración del informe.
Distribución del informe.
11.3 Independencia
“para las auditorías internas, los auditores deberían ser independientes de la función
que se audita, si es posible”.
12 El día después
Hasta ahora hemos hablado de la auditoría y su proceso desde el inicio al final. Pero
la auditoría tiene como objetivo no detectar sólo hallazgos, si no que la organización
posteriormente debe tomar las medidas para solventarlos y aprovechar los puntos
de mejora que se detectan en la auditoría.
Una vez recibido el informe por parte del auditado, lo primero que se debe hacer es
analizar los resultados de este de forma serena, ya que las actuaciones a realizar no
pueden ser decididas de forma intempestiva. Este análisis tiene que desarrollarse por
toda la empresa y no sólo por los responsables del sistema.
Dirección de la empresa.
Responsables del sistema.
Responsables de las distintas unidades organizativas de la empresa.
Los miembros de la organización pertinentes.
identificación de la causa del problema debe ser realizada por parte del auditado, él
es quien conoce la empresa, los procesos, las personas, etc.
A modo de ejemplo, una empresa en la que se han detectado diez trabajadores sin
equipos de protección, el problema se resuelve dándole a los diez trabajadores los
equipos necesarios. Sin embargo, la causa que generó el problema: la falta de una
sistemática que asegure que todos y cada uno de los trabajadores reciban los equipos
necesarios; se solventa analizando por qué la sistemática existente no funciona,
modificándola en los puntos o aspectos que falla.
Tanto en el análisis del problema como el de las causas, las medidas a adoptar por
parte de la empresa deben ser recogidas en el Plan de Acciones Correctoras, en el
cual, para cada una de las no conformidades u observaciones, se indicará quién es el
responsable de que se lleve a cabo la medida y los plazos de implantación.
Establecido el Plan de Acciones Correctoras, se debe ir verificando, de forma
periódica, su cumplimiento.
13.1 Introducción
Definir cuáles son las buenas y malas características del auditor es fácil, encontrar
una persona que disponga de todas las buenas y ninguna de las malas, sería
prácticamente imposible.
El auditor debe presentar, como cualquier persona, una serie de cualidades humanas
que le van a ayudar en el desarrollo de su trabajo. Los auditores deben conocerlas
con el fin de potenciar unas y controlar las otras, no como algo imprescindible, sino
como algo deseable.
Deseables No deseables
Cada una de las personas que pretendan dedicarse a la auditoría debe analizarse a
sí mismos, intentando tener el mayor número de cualidades incluidas en la columna
de la izquierda.
También podemos utilizar como referencia respecto a las aptitudes del auditor la
norma ANSI/ASME NQA-1 que incluye la siguiente tabla sobre las cualidades del
auditor3:
CUALIDADES 1 2 3 4 5
Cultura *
Aptitudes profesionales Bases técnicas *
Formación específica *
Experiencia previa *
Comprensión *
Memoria *
Aptitudes intelectuales Intuición *
Capacidad de juicio *
Sentido de la organización *
Detección de errores *
3
Albert Badia Giménez, Calidad: Enfoque ISO 9000. Pág. 293 Ediciones Deusto - Barcelona
Honestidad *
Autocrítica *
Sentido de la responsabilidad *
Discreción *
Firmeza y entereza *
Comportamiento social Disciplina *
Carácter *
Espíritu de equipo *
Iniciativa *
Decisión *
Sociabilidad *
Espíritu de progreso *
Formación *
Salud *
Aptitudes físicas Presencia *
Dinamismo *
Resistencia *
Por otra parte, la norma ISO 19011, define como atributos personales de los
auditores los siguientes:
13.3 Competencia
El auditor debe mantener una serie de competencias que debe mantener a través de
un proceso de adecuación a las nuevas ediciones de la norma, los cambios
tecnológicos, etc.
El conocimiento del sector y las disciplinas auditadas deben deben estar en el equipo
auditor en su conjunto (cuando el auditor actúa sólo debe disponer de todas ellas).
Estas competencias (apartado 7.2.3.3. de ISO 19011) requeridas incluyen, entre
otros:
En resumen, el auditor debe conocer la norma bajo la que realiza la auditoría y los
conocimientos o experiencia sobre el sector que audita.
13.4 Actitudes
No debiendo nunca:
Aceptar que un buen auditor siempre realiza hallazgos que representan fallos o
no conformidades: ¿Por qué todo no puede estar bien?