Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ISO ISO
9001 14001
ISO
45001 SGE
21
Integración de Sistemas y Planificación y Ejecución
de Auditorías
María Dolores Cima Cabal
Integración de Sistemas y
Planificación y Ejecución de
Auditorías
Reservados todos los derechos. Está prohibido, bajo las sanciones
penales y el resarcimiento civil previstos en las leyes, reproducir,
registrar o transmitir esta publicación, íntegra o parcialmente, por
cualquier sistema de recuperación y por cualquier medio, sea
mecánico, electrónico, magnético, electroóptico, por fotocopia o por
cualquier otro, sin la autorización previa por escrito de UNIR.
ISBN: Xxx
Capítulo 3. Guía para la integración de los sistemas de gestión: norma UNE 66177 ……….….. 44
Capítulo 4. Auditorías de sistemas de gestión ISO 900, ISO 14001, ISO 45001 y SGE 21….64
1.1. Introducción
El motivo de que las organizaciones quieran avanzar hacia dicha integración se debe
fundamentalmente a la economía de costes y a una optimización de recursos. Todas estas
normas de los sistemas de gestión se basan en la aplicación del ciclo de la mejora continua
o ciclo Deming o PDCA (plan, do, check, act; en español planificar, hacer, verificar y
actuar) y parten de una fuente común en cuanto a estructura, planificación, desarrollo e
implantación.
Por lo tanto, si en la planificación del sistema integrado de gestión (SIG) tenemos claro
el desarrollo de cada uno de los sistemas, podremos establecer de manera sencilla sus
apartados comunes: los procesos, los recursos, la estructura, las responsabilidades, o
los productos y servicios.
cuanto al desarrollo de sus productos o servicios, en cambio para la ISO 14001, la ISO
45001 y la SGE 21 es fundamental el cumplimiento de toda la normativa existente que
les afecte en materia ambiental, prevención de riesgos laborales y relaciones laborales,
tanto en el ámbito nacional como los tratados internacionales a los que un país se acoja.
Introducción
Precisamente, debido a que la norma ISO 9001 fue el primer estándar desarrollado por
ISO, una amplia mayoría de organizaciones comenzaron implantando un sistema de
gestión de la calidad, con la finalidad de optimizar el rendimiento de producción. A
medida que fue pasando el tiempo, esas empresas vieron nuevas oportunidades de
mejora con los otros sistemas de gestión. Así, con los sistemas de gestión
medioambiental, descubrieron cómo optimizar sus procesos reduciendo la cantidad de
materia prima que se convertía finalmente en residuos y no en producto terminado
listo para ser vendido, lo que conllevaba un ahorro considerable de costes.
Lo mismo sucedió con la prevención de riesgos laborales: ante un mayor control para
prevenir y mejorar las condiciones inseguras que pueden generar riesgos, menor
número de accidentes laborales y, por lo tanto, menores pérdidas económicas
(reducción de bajas laborales, disminución de incidentes con daños en las cosas, etc.).
En último lugar, apareció la responsabilidad social corporativa que, si bien no está tan
extendida en las organizaciones como el resto de las normas y sistemas anteriormente
mencionados, está cada día más en boga, muy especialmente, en organizaciones y
empresas multinacionales y de cierto tamaño.
En este punto, hay que señalar que las primeras en disponer de sistemas de
responsabilidad social empresarial fueron aquellas entidades con una reputación a
cuidar, especialmente con motivo de la actividad que realizan, por ejemplo, bancos,
cajas de ahorro (con motivo de mostrar sus actuaciones en materia de obra social, a lo
que la ley las obliga), empresas productoras de energía (de gas, electricidad, agua, etc.)
o empresas de transporte, entre otros sectores.
Las nuevas versiones de las normas ISO se basan en una estructura denominada de
Alto Nivel (HL por sus siglas en inglés) que busca normalizar y dar uniformidad a las
diferentes normas de sistemas de gestión. La finalidad es adoptar un lenguaje común
que facilite que las organizaciones implementen e integren los diferentes sistemas de
gestión, a través de unos elementos comunes que consisten en la unificación de la
estructura, términos y definiciones principales.
Es decir, esta estructura común facilita que muchas empresas se planteen realizar su
integración en un SIG con la finalidad de conseguir unos objetivos comunes que
satisfagan a los diferentes grupos de interés.
No obstante, también es importante aclarar que cada una de las normas no incluyen
requisitos específicos de otros sistemas de gestión, sin embargo, sí que permiten alinear
o integrar su propio sistema de gestión con los requisitos de sistemas de gestión
relacionados. Por tanto, esta estructura común se complementa con requisitos
específicos de los diferentes ámbitos de aplicación.
Las normas ISO 9001, ISO 14001 e ISO 45001 incluyen dicha estructura que está
compuesta por:
0. Introducción
1. Objeto y campo de aplicación
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
5. Liderazgo
6. Planificación
7. Apoyo
8. Operación
9. Evaluación del desempeño
10. Mejora
Por otra parte, y más recientemente, han aparecido diversos estándares de satisfacción
en materia de responsabilidad social corporativa, como la norma SGE21, de Forética, la
norma SA8000 (Social Accountability) o el GRI (Global Reporting Iniciative). Estas
normas tienen carácter voluntario para las empresas, responden a modelos
internacionales de gestión, y son avaladas por entidades de certificación.
Todos estos sistemas tienen orígenes distintos, como hemos visto y su desarrollo ha
estado condicionado por diferentes partes interesadas por lo que pueden aplicarse de
manera independiente. Sin embargo, las coincidencias en sus principios, sus enfoques,
sus filosofías y sus requisitos de gestión, sus procesos y sus componentes facilitan su
integración en un sistema de gestión único.
El modelo que se plantee debe tener una clara la visión orientada hacia el cliente como
premisa principal. Todos los sistemas tienen en común que inciden en la planificación
de estos. Aspectos comunes a todos los sistemas:
Así podemos determinar que en los sistemas de gestión nos encontramos con
elementos comunes como son:
» Los procesos.
» Los recursos.
» La estructura.
» Las responsabilidades.
» Los productos y servicios.
Los sistemas se componen de diferentes elementos como los procesos, las estructuras,
los procedimientos y que a su vez requieren una actuación directa del personal,
cobrando especial interés su formación, compromiso y toma de conciencia.
Los sistemas de gestión empresarial suelen están conformados por subsistemas que se
basan en unos principios comunes para la gestión integrada, que se basan en los 7
principios de los sistemas de calidad:
» Enfoque al cliente. Hay que equilibrar la satisfacción de los clientes (calidad), los
intereses del personal de la organización (seguridad laboral), los de la sociedad y los
de las partes interesadas (medioambiente y responsabilidad social corporativa).
» Compromiso con las personas. La participación de todas las partes que forman
parte de la organización es esencial para asegurar la eficacia del SIG. Además, su
motivación es fundamental para tener una implicación en su implantación.
Pero hay que tener en cuenta que, a pesar de los numerosos beneficios comentados, las
organizaciones también se pueden encontrar con dificultades en el proceso de
integración. Entre las más mencionadas destacan la pérdida de la propia identidad de
cada uno de los sistemas de gestión, la falta de recursos materiales y humanos, la falta
de apoyo de las administraciones públicas o la falta de recursos.
SISTEMA DE
SISTEMA SISTEMA DE SISTEMA DE GESTIÓN
GESTIÓN ÉTICA
DE GESTIÓN GESTIÓN DE LA SEGURIDAD Y
Y SOCIALMENTE
DE CALIDAD MEDIOAMBIENTAL SALUD EN EL
RESPONSABLE
ISO 9001 ISO 14001 TRABAJO ISO 45001
SGE 21
Similitudes entre las normas ISO 9001, ISO 14001, ISO 45001 y SGE21
Por tanto, la compatibilidad de las normas permite desarrollar el sistema de gestión integrado.
Diferencias entre las normas ISO 9001, ISO 14001, ISO45001 y SGE 21
Gestión de la
Gestión de la Gestión del Gestión ética de
Objeto de la norma seguridad y
calidad medioambiente la empresa
salud
Cumplir la
Cumplir con la
Cumplir con la normativa para
normativa Cumplir con la
normativa que eliminar o
vigente en legislación MA
afecta al minimizar los
Requisitos legales prevención de la – RRLL1 y con
producto/servicio riesgos que
contaminación y los códigos
/partes pueden afectar
requisitos legales éticos
interesadas a los
ambientales.
trabajadores
Identificación de
No Si Si Si
aspectos e impactos
Preparación y respuesta
No Si Si Si
ante emergencias
Tabla 1. Diferencias entre las normas ISO 9001, ISO 14001, ISO45001 y SGE 21.
La norma UNE 66177. Sistemas de gestión. Guía para la integración de los sistemas de
gestión propone en su anexo D algunos ejemplos de documentos y procesos que son
comunes a los sistemas de gestión de calidad, medioambiente y prevención de riesgos
laborales. No obstante, es preciso tener presente que dicha norma aún no ha sido
adaptada a la estructura de alto nivel (HLS) que comparten la ISO 9001:2015, la ISO
14001:2015 y la ISO 45001:2018.
Es decir, la norma UNE 66177 contempla, por una parte, los requisitos y estructuras de
las versiones anteriores de las normas ISO 9001 e ISO 14001 que actualmente se
encuentran en vigor y, por la otra, de la norma OHSAS 18001, que ha sido sustituida
por la ISO 45001.
Todo lo anterior implica que en un futuro próximo tendrá que adecuarse a las nuevas
versiones de cada una de las normas de sistemas de gestión en vigor, para poder ver las
compatibilidades y relaciones actuales.
» Calidad
o Fichas de procesos específicas de calidad e instrucciones de trabajo: satisfacción
del cliente y otras partes interesadas.
o Instrucciones técnicas asociadas a las fichas de procesos (implementación y
seguimiento y medición).
o Compras.
» Medioambiente
o Identificación y evaluación de los aspectos ambientales. Determinación de los
impactos ambientales asociados a los aspectos ambientales.
o Control operacional (por ejemplo, gestión de residuos, control de emisiones
atmosféricas, utilización de energías renovables).
o Instrucciones técnicas asociadas a las fichas de procesos (implementación y
seguimiento y medición).
o Preparación y respuesta frente a emergencias.
Las normas ISO 9001, ISO 14001 e ISO 45001 ponen de manifiesto la necesidad de que
las organizaciones identifiquen los procesos y sus interacciones. Para ello, se puede
acudir a un mapa de procesos, que es un diagrama gráfico que nos muestra la
Por tanto, a la hora de realizar un SIG se debe elaborar un mapa de procesos donde se
tengan en cuenta todos los procesos y los requisitos de las normas de sistemas de
gestión que se integran. Es decir, para cada proceso identificado hay que analizar la
influencia que tiene dicho proceso respecto a las diferentes áreas de gestión y
determinar la finalidad de ese proceso, no solo en términos de cumplimiento de los
requerimientos del cliente, sino en base al cumplimiento de requisitos
medioambientales, de seguridad y salud en el trabajo, y de gestión ética y socialmente
responsable.
Finalmente, cabe señalar que las nuevas versiones de las normas ISO 9001, ISO 14001 e
ISO 45001 plantean la relación entre la estructura común de alto nivel y el ciclo PDCA
como un proceso con sus entradas (contexto de la organización) y sus salidas
(resultados previstos del sistema de gestión).
Figura 2. Representación de la estructura de la norma ISO 9001 con el ciclo PHVA. Fuente: UNE-EN ISO
9001:2015.
Figura 3. Representación de la estructura de la norma ISO 14001 con el ciclo PHVA. Fuente: UNE-EN ISO
14001:2015.
Figura 4. Representación de la estructura de la norma ISO 45001 con el ciclo PHVA. Fuente: UNE-EN ISO
45001:2015.
2.1. Introducción
Las normas ISO evolucionan de una manera clara hacia la homogeneización de los
diferentes sistemas de gestión, asumen de manera clara el círculo Deming, PDCA,
como herramienta de mejora de los sistemas, lo cual favorece desde un inicio el trabajo
de la integración.
Con la SGE 21, hemos desarrollado de manera separada en segundo epígrafe con sus
similitudes y sus diferencias con los otros tres sistemas de gestión ya que por su
configuración, estructura y objetivos, abarca en parte al resto de sistemas englobando
dentro de sí gran parte de los componentes de estos pero tiene diferencias específicas
como la política anticorrupción, cuyos criterios van más allá de la elaboración del
producto o servicio que se desarrolle.
Tal y como ya hemos estado viendo en la anterior unidad, los sistemas de gestión se
hallan interrelacionados entre sí. Las normas ISO se han homogeneizado hacia la
estructura de alto nivel (HSL), lo que facilita de forma sustancial la integración de los
sistemas.
Las normas ISO 9001, 14001 y 45001 de sistemas de gestión siguen, como se
comentaba la denominada Estructura de Alto Nivel (HLS), que busca alinear las normas a
través de una estructura común, un texto común y términos y definiciones comunes, para
de esta manera facilitar a las organizaciones la integración de los distintos sistemas,
aumentando el valor añadido de las normas para las empresas. En la tabla 1 se puede ver
cómo es la Estructura de Alto Nivel.
1. Introducción.
2. Objeto y campo de aplicación.
3. Normas para la consulta.
4. Contexto de la organización.
5. Liderazgo.
6. Planificación.
7. Apoyo.
8. Operación.
9. Evaluación del desempeño.
10. Mejora.
A continuación se presenta una tabla donde se pueden observar los vínculos entre las
normas ISO 9001, ISO 14001 e ISO 45001.
Hasta ahora, se han establecido paralelismos en la tabla previa, entre los principales
sistemas de gestión (ISO 9001, ISO 14001 e ISO 45001). Sin embargo, no se debe
perder de vista otro sistema de gestión estudiado en unidades precedentes: el sistema
de gestión ética y responsable o sistema de gestión de la responsabilidad social
corporativa o empresarial.
Promover un uso racional y eficaz de los recursos naturales, sin comprometer las
necesidades de la actividad.
Fuente: http://www.curso-mir.com/Archivos/politica-social-y-de-medio-ambiente.pdf
Por otro lado, el enfoque hacia la gestión de riesgos y oportunidades se hace patente
en los cuatro sistemas de gestión estudiados, por lo que sería otro de los aspectos
comunes a integrar.
Por tanto, en este punto, también es posible integrar los objetivos de la gestión ética,
en la gestión general de la empresa y, por supuesto, en un sistema integrado de
gestión que contemple calidad, medioambiente y riesgos laborales.
Es por todo ello que resulta de gran importancia llevar a cabo una adecuada
identificación de los grupos de interés de la organización o empresa. En este punto
aparece una de las especificidades de la norma SGE 21, como es la divulgación de
información no financiera. Periódicamente la organización debe publicar un informe
de desempeño.
En cuanto a las auditorías internas, es otro de los aspectos compartido con los otros
tres sistemas, ya que, en todos ellos, deben llevarse a cabo auditorías para
comprobar el correcto funcionamiento y detectar posibles anomalías de este y así
poder aplicar acciones para subsanarlas. Hay que tener en cuenta que a diferencia
del resto de normas, la SGE 21 fija su periodicidad al señalar que deben ser
realizadas anualmente.
Por último, todos los sistemas de gestión analizados comparten también el apartado
referido a la revisión por la dirección y mejora continua.
La revisión por la dirección se hace imprescindible para poder detectar las posibles
áreas de mejora en busca de la mejora continua tanto del sistema, como del
desempeño de la organización. Nuevamente hay que resaltar, que a diferencia de las
normas ISO, la SGE 21 fija la periodicidad de la revisión por la dirección en un año.
Dentro de la primera área de gestión de la norma SGE 21, hay un aspecto que se
podría decir que es específico de este sistema, como es la necesidad de definir una
política anticorrupción. La finalidad básica de esta política anticorrupción es evitar
que se den supuestos de soborno o extorsión, para lo que deben establecerse normas
a la hora de emitir y recibir regalos.
Uno de los apartados más largos, que incluye un mayor número de requisitos en la
norma SGE 21 es el de «Personas que integran la organización».
Otros apartados que se incluyen en la norma SGE 21 son los relacionados con el
área de clientes: innovación responsable, calidad y excelencia, información
responsable de productos y servicios, acceso a productos y servicios y publicidad y
marketing responsable.
De ellos, se analizarán los que entran dentro de particularidades de la SGE 21, esto
es, la información responsable de productos y servicios, en primer lugar. En este
punto, la norma es coincidente con la normativa aplicable en España sobre la
identificación inequívoca del producto o servicio, información veraz, condiciones
de compra que no den lugar a dudas, garantías y servicios postventa y cauce para
las reclamaciones de clientes.
Así pues, una organización que decida implantar la SGE 21 aquí, ese apartado lo
debe cumplir, no ya solo por esta norma, sino ante todo, por el cumplimiento de la
normativa legal aplicable.
» Proveedores
» Gestión ambiental
Otra de las áreas de gestión de la norma SGE 21 se refiere al entorno ambiental, es decir,
a todo lo relativo a la identificación de actividades e impactos ambientales, programa de
gestión ambiental, plan de riesgos ambientales y estrategia frente al cambio climático.
Está claro que en este caso, la integración con la ISO 14001, resulta muy sencilla.
» Inversores
» Competencia
3.1. Introducción
La norma UNE 66177 es una guía para la integración de los sistemas de gestión que se
basa en el ciclo de mejora continua. Es de carácter voluntario y, aunque se enfoca en
concreto hacia los sistemas de gestión de la calidad, del medioambiente y de la
seguridad y salud en el trabajo, por ser los más extendidos, es totalmente aplicable a
cualquier otro. Como indica la propia norma, su finalidad no es reemplazar a los
sistemas de gestión existentes, sino facilitar el proceso de integración de estos.
Por tanto, facilita las directrices para elaborar, implantar y evaluar el proceso de
integración de las normas de los sistemas de gestión de aquellas organizaciones que
hayan elegido esta estrategia para mejorar la eficacia y eficiencia de los sistemas de
gestión implantados de manera independiente.
Cabe reseñar que la norma UNE 66177:2005 es una norma que aún no se ha adaptado
(en cuanto a contenidos) a los nuevos cambios de las normas de sistemas de gestión y
no ha acondicionado su contenido a la nueva estructura de alto nivel (HL) que tienen
todas las normas de sistemas de gestión nuevas y revisadas.
La norma UNE 66177 es una herramienta útil para facilitar el proceso de implantación
conjunta de sistemas de gestión de la calidad, medioambiente y seguridad y salud en el
trabajo, bien de modo parcial, o bien de modo completo. La finalidad de dicha norma es
incorporar los elementos necesarios para integrar conjuntamente las diferentes normas
de sistemas de gestión, optimizando con ello su eficacia y rentabilidad operativa.
Sin embargo, en ningún momento esta norma se propone sustituir a las normas ya
existentes sobre gestión de los distintos sistemas mencionados, sino que su carácter es
meramente facilitador y optimizador de la gestión de estos.
Figura 1. Aplicación del ciclo de mejora continua a la integración de sistemas de gestión. Fuente: UNE
66177:2005.
Para poder realizar una integración de los sistemas de gestión adecuada es muy
importante analizar el contexto en el que nuestra organización se halla inmersa. Es
decir, se deben determinar las cuestiones tanto internas como externas que pueden
afectar a su capacidad para conseguir sus logros en el SIG. Estas cuestiones pueden ser
positivas (oportunidades) o negativas (riesgos).
Existen diferentes metodologías que permiten analizar esta situación de partida. Entre
estas técnicas, la más utilizada es el análisis DAFO (Debilidades, Amenazas,
Fortalezas y Oportunidades).
El análisis del contexto permite determinar el grado de integración más adecuado para
cada organización. Para ello, se deben considerar los siguientes aspectos, tanto a título
individual, como de modo interrelacionado:
Una vez establecido el análisis de cada uno de los aspectos anteriores, el paso siguiente
es determinar el mejor método de integración a utilizar.
Métodos
Veremos, según esta norma, tres posibles métodos que son escalonados y
complementarios y que pueden aplicarse de modo progresivo:
Figura 2. Selección del método de integración más adecuado. Fuente: UNE 66177:2005.
» Método básico
» Método avanzado
» Método experto
Así el nivel de madurez expresa también la capacidad para la gestión de los procesos de
la organización, y puede determinarse utilizando la evaluación de la norma que nos
indicará su experiencia y eficiencia en él los sistemas de gestión, así como la
organización y estructura que la empresa tiene para cumplir con éxito los objetivos.
» Inicial
o Cuando la actividad de la entidad se realiza de manera incompleta y ni siquiera se
documenta adecuadamente.
o No se tiene en cuenta al cliente.
o No se han desarrollado procesos
o No se han desarrollado tampoco las responsabilidades referidas a los procesos.
» Básico
o Existe en la organización una aproximación al sistema.
o Se documenta adecuadamente y hay evidencias de seguimiento y revisión para la
mejora.
o Existe evaluación de los proveedores.
o Cumple al menos con la ISO 9001.
» Avanzado
o Se dispone de un sistema que puede denominarse estable.
o Existen datos suficientes para el seguimiento y la revisión del plan de mejora.
o Se han identificado las actividades y procesos con sus outputs e inputs.
o Los procesos se mejoran continuamente.
o Existen indicadores de procedimientos.
o Los objetivos planteados son cuantitativos, se puede medir, existe un indicador
para su seguimiento.
o Hay un conocimiento general de los procedimientos por los trabajadores.
» Experto
o Se enfatiza y realiza una revisión continua.
o Hay personal asignado para el desarrollo de las acciones.
o Se desarrollan tanto indicadores como planteamientos de objetivos.
o Hay evidencias de revisión por la dirección y de autoevaluaciones de mejora.
o Los proveedores están involucrados.
o Se revisa continuamente el desarrollo de los procesos.
» Premio
o El mejor desarrollo en la empresa.
o Se desarrollan estrategias de benchmaking.
o Se realiza control de la satisfacción de las partes interesadas.
o Se adoptan medidas tras las revisiones del sistema, así como derivados de la
actividad como acción de mejora continua.
Después de establecer el grado del nivel del grado de madurez, se combina dicho
resultado con los niveles (alto, medio o bajo) obtenidos del resto de las variables:
» Complejidad.
» Alcance.
» Riesgo.
De este modo al final damos con el nivel más apropiado para cada organización de
integración de sistemas, es decir, estableciendo una tabla de doble entrada donde se
correlacionen todos los factores mencionados (ver figura 6).
La norma UNE 66177 incluye un gráfico muy ilustrativo, que reproducimos aquí, y que
define el camino para seleccionar el método de integración idóneo para cada
organización:
Figura 3. Diagrama de flujo para identificar el método de integración más adecuado. Fuente: UNE 66177:2005.
La norma UNE 66177 propone un mapa de procesos tipo para la integración de los
sistemas de calidad, medioambiente y seguridad y salud en el trabajo. Es necesario
considerar, que hoy en día esta norma no está actualizada ya que no tiene en cuenta las
nuevas versiones de las normas ISO 9001 e ISO 14001, ni tampoco tiene en cuenta la
ISO 45001.
Sin embargo, se puede tomar como base este modelo, adaptándolo en base a la
estructura en común de las normas de sistemas de gestión vigentes y, además,
incluyendo en los diferentes procesos identificados de la organización, los requisitos
definidos en la SGE 21.
Figura 4. Ejemplo de un mapa de procesos para un SIG: calidad, medioambiente, y seguridad y salud laboral.
Fuente: UNE 66177:2005.
Basándonos en la norma UNE 66177, el plan de integración debe contener, entre otros,
los siguientes aspectos:
Este compromiso de la alta dirección se hace mucho más evidente y necesario cuando la
organización vaya a aplicar un método de integración avanzado, ya que, en los métodos
de integración básico y experto, los cambios no suelen ser grandes.
Para que la alta dirección preste dicho apoyo, debe serle presentado un informe sobre
la integración, que bien puede ser el propio plan de integración, o bien, un resumen de
este, que responda a las cuestiones más arriba planteadas en el plan de integración.
Este comité de integración realizará reuniones de modo periódico, a las que acudirán
los responsables de los procesos implicados en la integración. Entre otros asuntos, en
estas reuniones se concretará el plan de comunicaciones para dar a conocer el proyecto
e involucrar a todo el personal, la nueva interrelación de los procesos al llevar a cabo la
integración, las responsabilidades, la elaboración y revisión de los procesos y su
información documentada, etc.
La norma UNE 66177 aconseja en la medida de lo posible, redactar un solo manual que
recoja todo el sistema integrado de gestión, y revisar todos aquellos procesos que sean
susceptibles de ser integrados, a fin de sistematizar y facilitar el control de toda la
gestión.
La norma UNE 66177 recomienda que las oportunidades de mejora que se vayan
encontrando se gestionen conforme al procedimiento general de mejora de la
organización. También manifiesta la necesidad de aplicar el enfoque basado en
procesos a dichas acciones de mejora, siempre que sea posible, en vez de considerarlas
por separado en cada sistema de gestión.
De hecho, resulta más ventajoso revisar el sistema integrado que cada sistema
individualmente, puesto que permite:
La finalidad es hacerse una idea de si la empresa cuenta con los recursos necesarios y la
estructura necesaria para abordar una integración de sus sistemas de gestión.
No
Preguntas Cumple Parcialmente
cumple
AENOR (2015). UNE-EN ISO 66177: Sistemas de gestión. Guía para la integración de
los sistemas de gestión. Madrid: UNE.
4.1. Introducción
Después de conocer a fondo los sistemas de gestión de las normas certificables de las
familias de ISO 9001, ISO 14001, ISO 45001 y SGE 21, se va a profundizar en las
auditorías como instrumentos que evalúan el funcionamiento adecuado del sistema de
gestión de una organización respecto a dichas normas de referencia.
Por tanto, la auditoría tiene la finalidad de comprobar que los sistemas de gestión
implementados en la organización cumplen con todos los requisitos definidos en cada
una de las normas en cuestión. También determina la eficacia y eficiencia de dicho
sistema de gestión, en base al cumplimiento de unos objetivos previamente definidos.
Estos conceptos son útiles y comunes a los distintos sistemas de gestión que puede
tener una empresa u organización.
Los objetivos para desarrollar una auditoría pueden ser múltiples. A continuación, se
detallan algunos de ellos:
En cuanto a las razones para realizar una auditoría, al igual que objetivos, puede haber
muchas, y cada organización tiene las suyas propias. Seguidamente, se enuncian
algunas de ellas:
Por tanto, la empresa que implanta un sistema de gestión está obligada a realizar auditorías
internas en función del ámbito de su sistema de gestión implantado.
Las auditorías internas del sistema se tienen que ejecutar de manera continua,
sistemática, planificada y programada. Se realizan por auditores internos debidamente
capacitados e independientes. De hecho, el principio básico de la independencia es
esencial, porque los auditores no deben evaluar su propio trabajo, ya que al conocerlo
tan bien pueden pasar por alto aspectos en los que nunca hubieran pensado y que un
Así, por ejemplo, este tipo de auditorías son altamente frecuentes en la industria
automovilística, donde cuentan con un gran número de proveedores que fabrican, a su vez,
pequeñas partes que posteriormente se incorporan al producto final (automóvil) y, por
tanto, el fabricante y responsable de la puesta en el mercado a disposición del consumidor
final debe asegurarse convenientemente de los estándares que incorpora a su producto, de
modo que no se den fallos de calidad o se eviten en la medida de lo posible.
Se podrían enumerar múltiples ejemplos de este tipo de auditoría, por ejemplo, una
entidad que desea certificar su sistema de gestión éticamente responsable teniendo
como estándar la norma SGE 21. Así, a la organización en cuestión, acudiría un equipo
auditor autorizado por Forética para auditar esta norma y verificar que está
efectivamente implantada y en funcionamiento.
Los requisitos o factores de éxito que deben cumplirse para que un proceso de auditoría
concluya satisfactoriamente son los siguientes:
Seguidamente, se muestra un esquema muy visual y práctico de los pasos que suelen
darse al llevar a cabo una auditoría (figura 1).
Existen muchos motivos por los cuales una organización puede querer obtener un
certificado de su sistema de gestión. Facilitar la mejora en sus procesos, aumentar su
imagen externa, mejorar rendimiento y rentabilidad, acceder a mercados cada vez más
globalizados y competitivos son algunas de las ventajas, entre otras, que podría
conseguir.
Solicitud de certificado
Recopilación de información
de la documentación
NO
¿Es adecuada?
Auditoría de
SÍ renovación
Auditoría in situ.
Auditorías de
seguimiento
¿Ex isten no
conformidades?
SÍ
Plan de no
conformidades
NO
SÍ Emisión del
¿Cumple?
certificado
Una vez realizada la auditoría, se emite un informe sobre la misma, donde se indica si
se han evidenciado o no, no conformidades dentro del sistema de gestión. Si existen no
conformidades, la organización deberá responder adjuntando las correspondientes
acciones correctoras. Una vez revisadas por la entidad auditora, se dictaminaría, si
procede, el certificado pretendido o no y, en su caso, si procediera, se expediría a favor
de la organización auditada, que con él demostraría haber superado con éxito el
proceso de certificación.
5.1. Introducción
El objetivo de este tema consiste en conocer las normas que se deben tomar como base
para realizar exitosamente las auditorías internas.
Por lo tanto, a lo largo de esta unidad se verán las distintas familias de normas que se
han de manejar para llevar a cabo auditorías de estos sistemas y las particularidades de
cada una de ellas.
La familia ISO 9000 está constituida por un conjunto de normas que se basan en la
gestión de la calidad. Busca gestionar la satisfacción del cliente mediante el
cumplimiento de sus requisitos y las regulaciones aplicables en sus productos y
servicios.
Dentro de esta familia de normas, la ISO 9001 establece los requisitos para la implantación
de un sistema de gestión de calidad y, por tanto, es la norma que hay que seguir a la hora de
llevar a cabo las auditorías, tanto internas (que son requisito de la propia norma) como de
certificación del sistema a través de una entidad certificadora que debe estar acreditada y
ser independiente. Será esta entidad la que finalmente determine si procede o no procede
expedir certificado de conformidad con dicha norma, esto es, lo que generalmente se
conoce con el nombre de certificado ISO 9001.
Sin embargo, es cierto que las organizaciones tienden a solicitar la certificación, ya que
es una ayuda importante como herramienta de marketing y de garantía para sus
clientes, ya que mejora su reputación e imagen.
Norma Significado
Lleva a cabo una descripción de principios y fundamentos en que se basa el sistema
ISO de gestión de la calidad.
9000 Define la terminología utilizada en los sistemas de gestión de la calidad.
Sirve de apoyo técnico a los sistemas de gestión de la calidad.
Determina los requisitos exigibles a los sistemas de gestión aplicables a toda
organización que desee demostrar su capacidad para elaborar productos o prestar
servicios, que cumplan las exigencias de sus clientes y las reglamentarias.
ISO 9001
Es el único modelo de la familia de normas ISO 9000 que puede ser certificable de
forma voluntaria por una entidad externa acreditada.
Finalidad principal: la satisfacción del cliente.
Facilita directrices que tienen en cuenta, tanto la eficacia como la eficiencia del
sistema de gestión de la calidad.
ISO Aunque no es certificable, resulta muy útil a modo de guía en la implantación del
9004
sistema de gestión de la calidad según ISO 9001.
Objetivo primordial: la mejora en la gestión de la organización.
Tabla 1. Familia de Normas ISO 9000.
Al margen de estas normas, se dispone de otras normas ISO sobre diferentes aspectos
relacionados con la gestión de calidad, tales como gestión de proyectos, sistemas de
medición, directrices para la documentación del sistema de gestión de la calidad, etc.
0. Introducción
1. Objeto y campo de aplicación
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
4.1. Comprensión de la organización y su contexto
4.2. Comprensión de las necesidades y expectativas de las partes interesadas
4.3. Determinar el alcance del sistema de gestión de la calidad
4.4. Sistemas de Gestión de la calidad
5. Liderazgo
5.1. Liderazgo y compromiso
5.2. Política de calidad
5.3. Roles, responsabilidades, responsabilidades y autoridades
6. Planificación
6.1. Acciones para abordar riesgos y oportunidades
6.2. Objetivos de calidad y planificación para lograrlos
6.3. Planificación de los cambios
7. Apoyo
7.1. Recursos
7.2. Competencia
7.3. Toma de Conciencia
7.4. Comunicación
7.5. Información documentada
8. Operación
8.1. Planificación y control operativo
8.2. Requisitos para los productos y servicios
8.3. Diseño y desarrollo de los productos y servicios
8.4. Control de la prestación externa de bienes y servicios
8.5. Desarrollo de los procesos, productos y servicios suministrados externamente
8.6. Producción y provisión del servicio
8.7. Liberación de productos y servicios
La familia ISO 14000 aborda diversos aspectos de la gestión ambiental. Esto es lo que
la organización hace para minimizar los efectos negativos que sus actividades causan en
el ambiente y mejorar continuamente su gestión medioambiental.
Dentro de las normas que conforman esta numerosa serie, existen dos que se centran
en sistemas de gestión ambiental: la ISO 14001:2015 (Sistemas de gestión ambiental.
Requisitos con orientación para su uso) y la ISO 14004:2004 (Sistemas de gestión
ambiental. Directrices generales sobre principios, sistemas y técnicas de apoyo). El
resto de las normas se concentran en aspectos ambientales específicos, tales como el
análisis del ciclo de vida, etiquetado y declaraciones ambientales, comunicación y
auditoría.
Norma Significado
Dentro de esta familia de normas ISO 14000, existen otras normas que tratan sobre
diferentes aspectos relacionados con la gestión de medioambiental, tales como la
evaluación ambiental de sitios y organizaciones, etiquetas y declaraciones ambientales,
ecodiseño, análisis y evaluación del riesgo ambiental, etc.
0. Introducción
1. Objeto y campo de aplicación
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
4.1. Comprensión de la organización y de su contexto
4.2. Comprensión de las necesidades y expectativas de las partes interesadas
4.3. Determinación del alcance del sistema de gestión ambiental
4.4. Sistema de gestión ambiental
5. Liderazgo
5.1. Liderazgo y compromiso
La norma ISO 45001 es la primera norma internacional que establece los requisitos
para la implantación y certificación de un sistema de gestión de la seguridad y salud en
el trabajo (SGSST). Esta norma comenzó su andadura en el año 2013 con la creación del
Comité Técnico ISO /PC 283 Occupational Health and Safety Management Sistems -
Requirements. Tras un largo camino, la norma se publicó finalmente en marzo del año
2018.
La norma ISO 45001 ofrece algunas ventajas entre las que se encuentran las siguientes:
La norma ISO 45001, al igual que la ISO 9001 de gestión de calidad o la ISO 14001 de
gestión ambiental, sigue la denominada estructura de alto nivel (HLS por sus siglas en
inglés), recogiendo en su punto 9.2 la necesidad de llevar a cabo auditorías del SGSST a
intervalos planificados.
Los contenidos a auditar son los que componen la propia ISO 45001, cuyo índice se
recoge en la tabla 5, así como los establecidos por el sistema de gestión de la seguridad
y salud en el trabajo de cada organización.
0. Introducción
1. Objeto y campo de aplicación
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
4.1. Comprensión de la organización y de su contexto
4.2. Comprensión de las necesidades y expectativas de las partes interesadas
4.3. Determinación del alcance del sistema de gestión de la SST
4.4 Sistema de gestión de la SST
5. Liderazgo y participación de los trabajadores
5.1 Liderazgo y compromiso
5.2 Política de la SST
5.3 Roles, responsabilidades, rendición de cuentas y autoridades en la organización
5.4 Consulta y participación de los trabajadores
6. Planificación
6.1 Acciones para abordar riesgos y oportunidades
6.2. Objetivos de SST y planificación para lograrlos
7. Apoyo
7.1. Recursos
7.2. Competencia
7.3. Toma de conciencia
7.4. Comunicación
7.5. Información documentada
8. Operación
8.1. Planificación y control operacional
La norma SGE 21 presenta los criterios que permiten establecer, implantar y evaluar el
sistema de gestión ética y socialmente responsable establecido por Forética. Un amplio
número de profesionales, empresas, académicos y ONG colaboran en el fomento de una
gestión responsable plasmando todo ese conocimiento en la norma de empresa SGE 21,
convirtiéndose así en una norma que representa a todos los grupos de interés.
La norma SGE21, al igual que las normas ISO 9001, 14001 y 45001, es una norma
certificable. Su certificación implica la puesta en valor de la gestión ética y socialmente
responsable ante todos los grupos de interés de la organización. Así, la organización
demuestra haber superado una auditoría independiente de certificación para las nueve
áreas de gestión en las que se divide la norma.
Las nueve áreas de gestión en las que se estructura la norma SGE 21 son las
siguientes:
» Gobierno de la organización.
» Personas que integran la organización.
» Clientes.
» Proveedores y cadena de suministro.
» Entorno social.
» Entorno ambiental.
» Inversores.
» Competencia.
» Administraciones públicas.
1. Introducción
2. Objeto
3. Ámbito
4. Documentos de referencia
5. Descripción
6. Áreas de gestión
6.1. Gobierno de la organización
6.1.1. Política de Responsabilidad Social
6.1.2. Código de conducta
6.1.3. Comité de Responsabilidad Social
6.1.4. Responsable de gestión ética/responsabilidad social
6.1.5. Gestión de riesgos
6.1.6. Plan de responsabilidad social
6.1.7. Relación y diálogo con los grupos de interés
6.1.8. Política anticorrupción
6.1.9. Auditoría interna
6.1.10. Revisión por la dirección y mejora continua
6.1.11. Divulgación de información no financiera
6.2. Personas que integran la organización
6.2.1. Derechos Humanos
6.2.2. Igualdad de oportunidades y no discriminación
De primera parte o auditorías internas. Son las exigidas en cada una de las
normas de gestión como requisito del propio sistema de gestión, tal y como se ha
comentado. Estas auditorías se llevan a cabo por la organización para lo siguiente:
De segunda parte. Son llevadas a cabo, por ejemplo, por uno de los clientes de la
organización que desea conocer los procesos de elaboración del producto que esta le
provee.
A la hora de llevar a cabo las auditorías de las normas de los sistemas de gestión, se
puede acudir a la norma ISO 19011: Directrices para la auditoría de los sistemas de
gestión. Esta norma se puede aplicar a cualquier tipo de organización y todo tipo de
auditorías, proporcionando una orientación relativa a lo siguiente:
6.1. Introducción
Al fin y al cabo, los auditores deben tener la competencia necesaria para hacer cumplir
el programa de auditoría.
En la norma ISO 19011:2018 se señala que los auditores deberían poseer las cualidades
suficientes como para poder desarrollar las auditorías y que les permita realizar el
trabajo conforme a los principios de auditoría descritos en el capítulo 4 de la ISO 19011.
Los auditores deberán mostrar una actitud profesional. Durante el desarrollo de las
actividades de auditoría su comportamiento debe ser el siguiente:
Queda claro, como se ha venido comentando a lo largo del capítulo, que los auditores
deben tener los conocimientos y habilidades necesarios para obtener los resultados
previstos en las auditorías que lleven a cabo. Así, también es de esperar que los
auditores como tal posean unos conocimientos y habilidades genéricas y comunes, a la
vez que unos conocimientos y habilidades específicos de alguna disciplina y sector de
actividad.
Los conocimientos y habilidades concretos para cada área serían los siguientes:
» Planificación:
o Comprender los riesgos y las oportunidades asociados con la auditoría y los
principios del enfoque basado en riesgos para la auditoría.
o Planificar y organizar el trabajo eficazmente.
o Llevar a cabo la auditoría dentro del horario acordado.
o Establecer prioridades y centrarse en los asuntos de importancia.
» Desarrollo:
o Recopilar información a través de entrevistas eficaces, escuchando, observando y
revisando documentos, registros y datos.
o Entender y considerar las opiniones de los expertos.
o Entender lo apropiado del uso de técnicas de muestreo y sus consecuencias para
la auditoría.
o Verificar la relevancia y exactitud de la información recopilada.
o Hay que confirmar que la evidencia de la auditoría es suficiente y apropiada para
apoyar los hallazgos y conclusiones de la auditoría.
» Finalización:
o Evaluar aquellos factores que puedan afectar a la fiabilidad de los hallazgos y
conclusiones de la auditoría.
o Utilizar los documentos de trabajo para registrar las actividades de la auditoría.
o Documentar los hallazgos de auditoría y preparar informes de auditoría
apropiados.
o Mantener la confidencialidad y seguridad de la información, datos, documentos y
registros.
o Comunicar efectivamente, oralmente y por escrito (ya sea personalmente o a
través del uso de intérpretes y traductores). Esta habilidad también tendrá que
estar presente durante la planificación y desarrollo de la auditoría.
Contexto organizacional
Capacitan al auditor para ser consciente y trabajar dentro de los requisitos legales y
contractuales de la organización. Es necesario tener en cuenta que ser consciente de
estos requisitos no implica ser experto en temas legales, ya que no se trata de una
auditoría de cumplimiento legal. Los conocimientos y habilidades del auditor deben
cubrir los siguientes aspectos:
El líder del equipo auditor tiene la responsabilidad de llevar a cabo la auditoría hasta
que finalice. Por lo tanto, es un elemento clave en las auditorías.
Para poder obtener dichas competencias deberá tener una experiencia adicional en
auditoría. Para ello, tendría que haber realizado diferentes auditorías bajo la
orientación de un líder de auditoría diferente.
Además, los auditores líderes deberán poseer los conocimientos y habilidades comunes
y específicos de la disciplina a auditar y del sector de actividad, vistas en los apartados
anteriores.
La ISO 19011, en su apartado 7.6, señala que los auditores y los líderes del equipo
auditor deberían mejorar continuamente su competencia.
Las actividades para el continuo desarrollo profesional deberían tener en cuenta lo siguiente:
La norma ISO 19011 especifica que se deben seleccionar dos o más métodos de
evaluación de los señalados en la tabla siguiente, teniendo en cuenta lo siguiente:
Educación
Entrenamiento
Revisión de Verificar los antecedentes Empleo
registros de auditor. Credenciales profesionales
Evaluación del desempeño
Evaluación entre pares
Encuestas
Cuestionarios
Proporcionar información sobre Referencias personales
Retroalimentación cómo se percibe el desempeño Recomendaciones
del auditor. Quejas
Evaluación del desempeño
6.7. Registros
Expresión oral
Respeto
Manejo del tiempo
Diplomático
Observador
Actuar con firmeza
Claridad y seguridad al realizar las preguntas
Eficacia para identificación de hallazgos en la auditoría
PUNTUACIÓN TOTAL
Evaluado por: Firma Fecha
CALIFICACIÓN
□ APTO □ NO APTO
6.8. Responsabilidades
En todo proceso de auditoría, tanto el auditor como el líder del equipo de auditoría
deben tener unas responsabilidades que se van a analizar a continuación.
El líder del equipo auditor tiene las siguientes responsabilidades definidas en la norma
ISO 19011:2018:
Auditores
Guías y observadores
Tanto los guías como los observadores pueden acompañar al equipo auditor durante la
auditoría con la previa autorización del auditor líder, del auditado o cliente de la
auditoría según el caso.
AENOR (2018). Norma Internacional ISO 19011: Directrices para la auditoría de los
sistemas de gestión. Madrid: AENOR.
7.1. Introducción
La auditoría debe ser un proceso muy cuidado y documentado en detalle. De este modo,
cuando se realice el llamado trabajo de campo, no hay que olvidarse de revisar ningún
punto importante y recopilar adecuadamente todas las evidencias que lleven,
posteriormente, a conocer la existencia de no conformidades y, en su caso, acciones
correctoras o preventivas.
Las razones para realizar una auditoría pueden ser variadas, por ejemplo:
Esta preparación y planificación de la auditoría supone una serie de pasos a dar que
constituyen los diferentes epígrafes de este capítulo:
Los objetivos del programa de auditoría deben tener en cuenta las necesidades y
expectativas de todas las partes interesadas, las características y requisitos de los
procesos, los productos, los requisitos de las normas de sistemas de gestión, la
necesidad de evaluar a los proveedores externos, el nivel de madurez del sistema de
gestión que se va a auditar, la ocurrencia de no conformidades y quejas por parte de los
clientes, el nivel de desempeño del auditado, los riesgos y oportunidades identificados
para el auditado y los resultados de anteriores auditorías.
Existen varios factores que pueden indican que hay que modificar el programa de
auditoría:
» Los hallazgos de auditoría.
» El nivel evidenciado de eficacia y el nivel de madurez del sistema de gestión
auditado.
» La eficacia del programa de auditoría.
» El alcance de la auditoría o del programa de auditoría.
» Cambios en el sistema de gestión auditado.
» Cambios en las normas, en los requisitos legales, contractuales o cualquier requisito
que le aplique a la organización.
» Cambio de proveedor.
» Conflictos de interés identificados.
Edición
Página
El primer paso para dar inicio la auditoría es determinar el alcance y los objetivos de la
auditoría. No todas las auditorías son uniformes, ya que no todas persiguen idénticos
fines y tampoco tienen igual alcance.
Así, hay organizaciones que tan solo pretenden certificar uno o varios departamentos
de esta, pero no toda la organización al completo. Del mismo modo, una organización
puede tener implantados diversos sistemas de gestión: calidad, medioambiente,
seguridad y salud laboral, responsabilidad social, innovación, seguridad en la
información, etc. Y la auditoría no siempre tiene por qué revisar al mismo tiempo todos
esos sistemas.
Además, como ya se ha visto, pueden existir distintos tipos de auditorías, por ejemplo,
las siguientes:
Por tanto, el alcance de la auditoría en cuestión dependerá del tipo de auditoría del que
se trate, siendo coherente con el programa de auditoría y con los objetivos de esta. El
alcance debe constar de manera clara e inequívoca en el programa de auditoría que
hayan pactado la organización auditada y el equipo auditor, e incluye los límites de la
auditoría, la duración, el lugar, las actividades y los procesos a auditar, así como la
temporalización de la auditoría.
Según se trate de una auditoría interna o externa, el alcance también será diferente.
» Las auditorías de segunda parte se llevan a cabo por partes que tienen un interés
en la organización, tales como los clientes, o por otras personas en su nombre.
» Las auditorías de tercera parte se llevan a cabo por organizaciones auditoras
independientes y externas, como es el caso de las entidades acreditadas que
proporcionan la acreditación/registro de conformidad con una norma específica de
sistema de gestión: ISO 9001, ISO 14001, ISO 45001, etc.
Respecto de los objetivos de la auditoría, no son otra cosa que los fines que la
organización o quien contrata la auditoría, en su caso, persigue conseguir tras la
finalización de esta. En función de quién contrate la auditoría, se tendrán distintos
fines u objetivos.
La norma ISO 19011 facilita la tarea de la selección, tanto del equipo de auditor como
del líder de dicho equipo. Esta norma, de carácter voluntario, describe la determinación
de las competencias de los auditores y la metodología de evaluación de estos.
Concretamente, el capítulo 7 de dicha norma orienta sobre los criterios para fijar cuál
es el nivel de competencia requerido para los miembros del equipo auditor, así como
los procesos de selección de estos.
El proceso de asegurar la competencia global del equipo auditor debería incluir los
siguientes pasos:
En primer lugar, para preparar la auditoría hay que revisar toda la información
documentada referida al sistema de gestión auditado, siempre respetando los límites de
dicha auditoría. A este tipo de documentación se le denomina información
documentada revisada.
» Permisos y licencias.
» Repertorios normativos y reglamentarios aplicables a la organización, que deberán
estar al día.
Para llevar a cabo una auditoría es necesario previamente realizar una planificación
tomando un enfoque basado en riesgos. Es decir, se deben considerar los riesgos
que se pueden generar al realizar la auditoría para el auditado.
» La organización auditada.
» El cliente o contratista de la auditoría, si es distinto del auditado.
» El equipo auditor.
A la hora de planificar la auditoría es muy importante que el auditor líder considere los
riesgos que se pueden generar si no se consiguen los objetivos definidos para la
auditoría en el caso de que se realice una planificación ineficaz, así como los riesgos
creados por la propia auditoría. También hay que tener en cuenta todas las
oportunidades para mejorar la eficacia y eficiencia de la auditoría.
Respecto de los contenidos del plan de auditoría, es preciso que trate o haga
referencia, al menos, lo siguiente:
» Objetivos.
» Alcance.
» Criterios de auditoría.
» Personal involucrado, incluido el representante o representantes de la organización
auditada.
» Ubicaciones de la auditoría.
» Familiarización con las instalaciones y procesos de la organización auditada (por
ejemplo, mediante visitas a las instalaciones, revisión de las tecnologías, etc.).
» Métodos de auditoría y técnicas de muestreo adecuados.
» Información documentada de referencia.
» Componentes del equipo auditor y sus funciones y responsabilidades.
PLAN DE AUDITORÍA
Objetivo
Alcance
Criterios
Auditor jefe
Equipo auditor
Fecha Hora Actividad Observaciones Auditado Auditor
» Check-list.
» Listas de comprobación.
ISO 9001-2015 SÍ NO
4. Contexto de la organización
Una vez determinados los hallazgos en la auditoría, que pueden indicar la conformidad
o no conformidad con los criterios de auditoría, se tendrán que registrar las no
conformidades a subsanar y la evidencia que las apoya.
8.1. Introducción
Los métodos para la realización de una auditoría dependerán de los objetivos, del
alcance, así como de los criterios definidos en la misma, teniendo además en cuenta su
duración y ubicación.
Así mismo, la realización de la auditoría conlleva que intervengan personas con diferentes
responsabilidades en el sistema de gestión de la organización.
Para que la auditoría que se realice de manera remota sea viable, podría depender del
grado de confianza entre el auditor y el auditado, es por ello por lo que los métodos a
utilizar deben ser equilibrados y adecuados para lograr los objetivos del programa.
Proceso de auditoría
Debe ser el auditor quien determine el proceso de auditoría, de tal manera que la
estructura de esta puede ser en dos procesos:
o Registros.
o Almacenamiento de datos.
o Informes, seguimientos, etc.
Formulación de preguntas
» Planear la visita:
o Asegurar permiso y acceso a aquellos sitios de las instalaciones del auditado que
se van a visitar, de acuerdo con el alcance de la auditoría.
o Facilitar la información adecuada a los auditores (por ejemplo, a través de una
reunión informativa), en materia de seguridad, salud (por ejemplo, cuarentena),
salud ocupacional y normas culturales para la visita, incluyendo vacunación y
autorizaciones solicitadas y recomendadas, si se aplican.
o Confirmar con el auditado que cualquier equipo de protección individual (EPI)
requerido estará disponible para el equipo auditor, si se aplica.
» Actividades en el sitio:
o Evitar cualquier interrupción innecesaria de los procesos operacionales.
o Hay que asegurar que el equipo auditor está usando adecuadamente el EPP
(equipo de protección personal).
o Hay que asegurar que los procedimientos de emergencia son comunicados (por
ejemplo, salidas de emergencia, puntos de encuentro, etc.).
o Programar la comunicación para minimizar la interrupción.
o Adaptar el tamaño del equipo auditor y el número de guías y observadores de
acuerdo con el alcance de la auditoría, a fin de evitar interferencia con los
procesos operacionales tanto como sea posible.
o No tocar o manipular ningún equipo, a menos que le sea explícitamente
permitido, aunque sea competente o tenga licencia para hacerlo.
o Si ocurre un incidente durante la visita al sitio, el líder del equipo auditor debería
revisar la situación con el auditado y, si es necesario, con el cliente de auditoría, y
debería llegar a un acuerdo respecto a si la auditoría debería ser interrumpida,
reprogramada o continuada.
o Si se van a tomar fotos o realizar vídeos, debe de solicitarse autorización a la gerencia
con anticipación y tener en cuenta los temas de seguridad y confidencialidad. Es
necesario evitar tomar fotografías de personas individuales sin su consentimiento
previo.
o Al sacar copias de documentos de cualquier clase, debe solicitarse permiso con
antelación y tener muy en cuenta los temas de confidencialidad y seguridad.
o Al tomar notas, debe evitarse recolectar información personal a menos que esto
sea requerido por los objetivos o criterios de la auditoría.
Realización de entrevistas
Las entrevistas son uno de los medios importantes para recolectar información y
deberían ser llevadas a cabo de manera tal que sean adaptadas a la situación y a la
persona entrevistada, ya sea frente a frente o por otros medios de comunicación.
» Efectuar las entrevistas a personas con niveles y funciones apropiadas que lleven a
cabo actividades o tareas que se encuentren dentro del alcance de la auditoría.
» Realizar las entrevistas durante horas normales de trabajo cuando sea posible, en el sitio
habitual de trabajo de la persona entrevistada.
» Necesidad de tranquilizar a la persona que se va a entrevistar antes y durante la
entrevista.
» Explicar la razón de la entrevista y cualquier nota tomada.
» Las entrevistas pueden ser iniciadas solicitando a las personas que describan su
trabajo.
» Seleccionar cuidadosamente el tipo de pregunta usada (por ejemplo, abierta,
cerrada, conducente).
» Los resultados de la entrevista deberían ser resumidos y revisados con la persona
entrevistada.
» Agradecer a la persona entrevistada su participación y cooperación.
Técnicas de muestreo
Cuando los registros, por ejemplo, son muy abundantes y es muy costoso o no es práctico
revisar toda la información disponible durante la auditoría o incluso geográficamente
puede estar muy desperdigada, se puede efectuar un muestro. El muestreo supone analizar
de manera aleatoria parte de los documentos para poder evaluar la evidencia a fin de poder
concluir las características que se intentan evidenciar.
El objetivo del muestreo en auditoría es proveer información tal que el auditor tenga la
confianza de que se podrán alcanzar los objetivos de la auditoría.
Se corren determinados riesgos en este proceso, ya que los resultados pueden no ser
representativos y las conclusiones pueden no ser reales.
Muestreo estadístico
» Los elementos clave que afectarán al plan de muestreo de auditoría son los
siguientes:
o El tamaño de la organización.
o El número de auditores competentes.
o La frecuencia de las auditorías durante el año.
El auditor líder, en las auditorías externas, debe iniciar la auditoria con una reunión de
apertura. En esta reunión se debe contar con el personal de la empresa, presididos por el
director general y el representante de la dirección (en las nuevas versiones de la 9001 y
14001 del 2015 y 45001:2018 no existe el representante de la dirección. Se asignan
responsabilidades y autoridades similares).
En esta reunión el auditor líder debe confirmar el alcance del proceso de auditoría y los
objetivos de esta, así como el plan de la auditoría que va a llevarse a cabo. En una
auditoría interna suele ser menos formal todo el proceso.
La reunión debe celebrarse con la dirección del auditado o, en su caso, con la presencia
de los responsables de las funciones o de los procesos en los que se van a auditar.
El auditor experto debe generar confianza y precisar desde el principio los conceptos
básicos de la auditoría, así como exponer la logística que se va a utilizar, presentar a
los miembros del equipo de auditoría, siguiendo con cuestiones más técnicas como las
siguientes:
» Revisión del alcance, los objetivos y el plan de auditoría y acordar los horarios de la
auditoria.
» Planificación: objetivos y alcance (áreas a las que afectará).
» Criterios de auditoría que se utilizarán.
» Canales de comunicación entre el equipo auditor y el auditado.
» Facilitar información al auditado sobre el progreso de la auditoría.
» Personas implicadas (equipo auditor, así como observadores, guías e intérpretes
cuando sea necesario).
» Plan de auditoría.
» Dejar claro la confidencialidad del proceso.
» Hay que aclarar la disponibilidad de los recursos e instalaciones que necesita el
equipo auditor por parte del auditado, así como también solventar las necesidades
que surjan por parte del equipo auditor.
Tras la reunión de apertura es interesante realizar una visita por las instalaciones de la
organización para que el auditor se haga una idea de sus procesos y ubicación.
Los guías nombrados por el auditado deberían ayudar al equipo auditor y actuar a
petición del líder del equipo. Entre sus responsabilidades se pueden enumerar las
siguientes:
» Ayudar a los auditores a identificar a los individuos que van a participar en las
entrevistas y confirmar los tiempos.
» Organizar la logística de acceso a instalaciones específicas del auditado.
» Asegurarse de que el equipo auditor y los observadores conocen y respetan las reglas
relacionadas con la seguridad de la ubicación y los procedimientos de emergencia.
La evidencia de auditoría debería ser evaluada contra los criterios de esta a fin de
determinar los hallazgos. Estos pueden indicar conformidad o no conformidad con los
criterios de la auditoría. Cuando el plan así lo especifique, los hallazgos individuales
deberían incluir conformidad y buenas prácticas junto con su evidencia de soporte,
oportunidades de mejora y recomendaciones para el auditado.
El equipo debería reunirse con la frecuencia que sea necesaria para revisar los hallazgos
a intervalos adecuados durante la auditoría.
Registro de conformidades
Registro de no conformidades
Auditoría Empresa:
_ Interna
Departamento auditado:
_ Certificación
_ Seguimiento Fecha: Nota N.º:
_ Renovación
Norma de aplicación:
Deficiencias observadas:
El equipo auditor debería reunirse antes de la reunión de cierre con el siguiente fin:
Las conclusiones de auditoría pueden tratar aspectos tales como los siguientes:
Se debería llevar a cabo una reunión de cierre, facilitada por el líder del equipo auditor,
para presentar los hallazgos y conclusiones de la auditoría. Entre los participantes de la
reunión de cierre se deberían encontrar la gerencia del auditado y, cuando sea
apropiado, aquellos responsables de las funciones o procesos que han sido auditados.
También pueden incluir al cliente u otras partes interesadas pertinentes. Si es
necesario, el líder del equipo auditor debería prevenir al auditado de las situaciones
encontradas durante la auditoría que pudieran disminuir la confianza en las
conclusiones de esta.
Si está definido en el sistema de gestión o por acuerdo con el cliente de auditoría, los
participantes deberían llegar a un acuerdo sobre el intervalo de tiempo para que el
auditado presente un plan de acción para dar tratamiento a los hallazgos de esta.
El grado de detalle debería ser consistente con la familiaridad del auditado con el
proceso de auditoría. Para algunas situaciones de auditoría, la reunión puede ser formal
y las actas, incluyendo los registros de asistencia deberían conservarse. En otros casos,
como en el caso de auditorías internas, la reunión de cierre es menos formal y puede
consistir solo en comunicar los hallazgos y conclusiones.
Según sea apropiado, se debe explicar lo siguiente al auditado durante la reunión de cierre:
El líder del equipo auditor debería reportar los resultados de acuerdo con los
procedimientos definidos en el programa de auditoría.
» Los objetivos.
» El alcance, particularmente la identificación de las unidades de la organización y de
las unidades funcionales o los procesos auditados.
» Identificación del cliente.
» Identificación del equipo auditor y los participantes del auditado en la auditoría.
» Las fechas y los lugares donde se realizaron las actividades de auditoría.
» Los criterios.
» Los hallazgos de la auditoría y la evidencia relacionada.
» Las conclusiones.
» Una declaración sobre el grado en el cual se han cumplido los criterios de la auditoría.
El informe debería estar fechado, revisado y aprobado, según aplique, de acuerdo con
los procedimientos del programa de auditoría.
Finalización de la auditoría
La auditoría finaliza cuando todas las actividades planeadas hayan sido llevadas a cabo
o acordadas de otro modo con el cliente de auditoría (puede presentarse una situación
inesperada que no permita que la auditoría sea completada de acuerdo con el plan).
Salvo que sea requerido por ley, el equipo auditor y los responsables de la gestión del
programa de auditoría no deberían revelar el contenido de los documentos, cualquier
otra información obtenida durante la auditoría, ni el informe de esta a ninguna otra
parte sin la aprobación explícita del cliente y, cuando sea apropiado, la del auditado. Si
se requiere revelar el contenido de un documento de la auditoría, el cliente y el
auditado deberían ser informados tan pronto como sea posible.
AENOR (2018). Norma Internacional ISO 19011: Directrices para la auditoría de los
sistemas de gestión. Madrid: AENOR.
9.1. Introducción
Por tanto, en este capítulo se verá en detalle cómo se elabora el informe de auditoría, es
decir, se especificará cómo debe ser su estructura y contenido.
Tras haber finalizado la auditoría in situ, es preciso tener una reunión del equipo
auditor donde se analizan las evidencias encontradas y se tratan con el auditor jefe las
oportunidades de mejora y no conformidades detectadas. Seguidamente, él redacta un
listado de los hallazgos detectados identificando claramente la evidencia
correspondiente y qué requisito es aplicable.
Finalizada la reunión del equipo auditor, el auditor jefe dirige la reunión de cierre con
la organización, con el objeto de trasmitir las evidencias de conformidad y no
Durante la realización de una auditoría, una vez que el auditor haya llegado a la
conclusión objetiva de que existe un incumplimiento con respecto a lo establecido en el
sistema o norma de referencia, deberá documentarlo y elaborar una nota de no
» No conformidad.
» Desviación.
» Observación.
Las no conformidades:
Desviación: defecto más leve del sistema de gestión respecto a los requisitos de la norma
con que se audita. Se trata de un incumplimiento puntual de algún requisito de la norma o
de la organización.
Las desviaciones:
Las observaciones:
Estas notas deben ser elaboradas muy conscientemente, manifestando solamente los
hechos encontrados y cuál es, sin lugar a duda, el requerimiento que incumplen, para lo
cual el equipo auditor ha de tomarse suficiente tiempo de reflexión.
Descripción de
Categorización
desviación o no Corrección y
Identificación de la no Cierre
conformidad con su acción
Área auditada conformidad
evidencia correctiva
correspondiente
Área auditada, Incumplimiento No Acuerdo de Constatación de
especificación observado, norma o conformidad acción para la efectividad de
aplicable (norma y procedimiento (NC) eliminar la no la acción
párrafo/ incumplido, evidencias Desviación (D) conformidad correctora
procedimiento, detectadas del detectada y prevista por el
Observación
fecha, núm. de incumplimiento y acción para auditor.
(O)
auditoría y núm. de frecuencia de aparición. eliminar su
nota). Las evidencias y las causa.
pruebas de hallazgo Ambas con los
deben ser objetivas y plazos y
establecidas en base a responsables
lo siguiente:
» Revisión
documental.
» Observación de
hechos.
» Entrevistas/ toma
de notas.
» Muestreo de
registros.
Firma del auditor y
fecha:
» Manejable. Esto quiere decir que debe facilitar su lectura y comprensión. Además,
debe ser conciso, lo más breve posible, lo que no significa que no sea exhaustivo y
completo, pero no debe contener aderezos innecesarios. A la organización auditada
le debe resultar fácil su manejo y comprensión, es decir, hay que dejar muy patente
lo más importante del informe (negrita, subrayado, listas de puntos, etc.).
Núm.
Aspectos que verificar (notas iniciales del auditor)
auditoria:
Fecha
inicio:
Hora
inicio:
Fecha
final:
Hora final:
Auditor/es:
Salvo que sea requerido por la ley, el equipo auditor y los responsables de la gestión del
programa de auditoría no deberán revelar, sin la aprobación explícita del cliente de la
auditoría y, cuando sea apropiado, del auditado, lo siguiente:
Este plan es recomendable que sea sencillo de llevar a cabo. Por ello, es importante
también que los términos de este y el origen de las no conformidades queden
suficientemente claros y el auditado sepa realmente lo que el auditor quiere ver que se
realice.
El auditado
Empresa:
Departamento:
_ No conformidad Fecha:
_ Desviación Norma de referencia:
_ Observación Código:
Descripción:
Acción correctiva
Análisis de la causa:
Descripción de la acción:
El auditor
» Verificará que en el plazo que otorgó al auditado para resolver las no conformidades
se ha presentado el informe de solicitud de las acciones correctivas.
» Verificará que cada una de las evidencias que han dado lugar a la no conformidad
tiene la correlativa evidencia y el formato de solicitud de acción correctiva aprobado.
Auditoría de seguimiento
Durante las auditorías de seguimiento, se debe verificar, entre otras cosas, el estado
de las acciones correctivas llevadas a cabo.