Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Temas a tratar
1. Generalidades
2. Requisitos de la Norma ISO 9001:2015
3. Auditoría Interna del Sistema de Gestión de la Calidad
4. Gestión de un Programa de Auditorías
5. Realización de la Auditoría
6. Preparación, aprobación y distribución del Informe de Auditoría
7. Competencia y evaluación de los auditores
8. Ejercicios de comprensión
9. Conclusiones
1. Generalidades
Son cada vez más las organizaciones que desean demostrar que tienen capacidad para cumplir
con los requisitos del cliente.
Para ello parten de la base de implementar un Sistema de Gestión de la Calidad según normas
ISO 9000, con lo que no sólo logran satisfacer las necesidades del cliente, sino también
superarlas y mejorar continuamente la eficacia de la organización.
1
por la organización en lo referente a calidad. Ese control se realiza por medio de auditorías
internas de la calidad.
Resaltamos el alcance del curso, que abarca las auditorías internas, que si se realizan
adecuadamente garantiza el mantenimiento y la mejora del sistema de gestión de la calidad. Las
auditorías externas, en cambio, si bien colaboran con dichos objetivos son eventos puntuales y
tienen otro tipo de carácter.
Vemos que plantea hacer el seguimiento y la medición, desde cuatro aspectos diferentes:
1°. Satisfacción del cliente. Mide desde el punto de vista del cliente: Permite ver cuál es la
percepción del cliente respecto del cumplimiento de sus requisitos (Apartado 9.1.2 “Satisfacción
del cliente”). Es un enfoque externo a la organización misma.
2°. Auditoría Interna. Mide desde el punto de vista interno: Es el modo de autoevaluación del
sistema de gestión de la calidad (Apartado 9.2 “Auditoría interna”). Es un enfoque interno a la
organización.
3°. Análisis y Evaluación. Refiere al análisis de la información obtenida de cada uno de los
procesos del sistema de gestión y su evaluación respecto de la conformidad de los
productos/servicios; el desempeño y la eficacia del sistema de gestión de la calidad; el
desempeño de los proveedores. (Apartado 9.1.3 “Análisis y Evaluación”). NV: O TODO O NADA,
VER
4º. Revisión por la Dirección. Se trata de una actividad periódica y sistemática donde las
máximas autoridades revisan el sistema de gestión de la calidad para garantizar su conveniencia,
adecuación, eficacia y alineación con la dirección estratégica (Apartado 9.3 “Revisión por la
Dirección”).
El enfoque que nos interesa en este curso es el de Auditoría Interna.
La Norma ISO 9001:2015 requiere que se lleven a cabo auditorías internas del sistema de gestión
de la calidad, a intervalos planificados, para determinar si el sistema de gestión de la calidad
cumple con los requisitos normativos y los requisitos propios de la Organización y si se mantiene
de manera eficaz.
Se recomienda seguir la sistemática de la Norma ISO 19011, que da las directrices para la
realización de auditorías de sistemas de gestión.
Veremos en los siguientes puntos qué implica la realización de las auditorías internas.
2
3. Auditoría Interna del Sistema de Gestión de la Calidad
En lo personal, no creo necesario que haya que aprender nada de memoria dado que, como
decía mi abuelo, “la tinta más débil reemplaza a la memoria más fuerte”, pero dado que esta
definición es la base del curso que acabamos de iniciar, considero que saberla de memoria y
comprender cada uno de los conceptos que encierra, equivale a haber interpretado más de la
mitad del curso.
La Norma ISO 9001:2015 indica que el proceso de auditoría interna debe además se
independiente. La revisión actual dice que “se debe asegurar la objetividad y la imparcialidaddel
proceso de auditoría” (Norma ISO 9001:2015, Apartado 9.2.2). En versiones anteriores decíaque
“el auditor debe ser independiente del área auditada”.
Si bien en la actualidad la restricción es menor, de todos modos, es comprensible que se perdería
objetividad si el auditor verificara su propio trabajo o aquél que él conoce por ser de su área o
por haberlo desarrollado. La independencia es uno de los principios de la auditoría.
Muchas veces la independencia puede verificarse mediante la demostración de que el auditor
no tiene responsabilidades sobre las actividades que audita.
Entonces, debemos demostrar el cumplimiento del programa de auditorías (por ejemplo, con el
informe de los resultados de la auditoría interna)
3
Las evidencias de la auditoría son los registros, declaraciones de hechos o cualquier otra
información verificable, sea cualitativa o cuantitativa, que puede ser comparada con los criterios
de auditoría para verificar si éstos se cumplen.
Las evidencias objetivas son los datos que respaldan la existencia o veracidad de un hecho, ya
sea referido al cumplimiento o al incumplimiento de algún requisito normativo. Estas evidencias
objetivas pueden obtenerse por medio de la observación, medición, ensayo, prueba u otros
medios que permitan al auditor tener no sólo la certeza del cumplimiento o incumplimiento,
sino también una forma de demostrar su existencia.
Llamamos criterios de auditoría al conjunto de políticas, procedimientos o requisitos que se
utilizan como una referencia (aquéllos cuyo cumplimiento se espera, basados en los requisitos
normativos) contra los cuales se comparan las evidencias obtenidas durante la auditoría.
Para desarrollar este proceso, el auditor debe estar capacitado, y debe haber realizado alguna
auditoría bajo la supervisión y de un auditor experimentado. Desarrollaremos este punto en
forma detallada más adelante.
4
la tarea que desempeñan y la confianza depositada en ellos por el cliente de la
auditoría. Un factor importante para ello es tener la competencia necesaria para
cumplir la función de auditor.
• Confidencialidad. El auditor debe proceder con discreción respecto del uso y protección
de la información adquirida durante el proceso de auditoría. Debe evitar el uso
inapropiado de la misma para beneficio propio o de terceros.
El proceso que describiremos durante este curso para llevar adelante la auditoría de un sistema
de gestión, está basado en estos principios y orientado a su cumplimiento.
3.3. Tipos de auditoría
Según cuál sea la relación entre el equipo auditor y el auditado, podemos identificar distintos
tipos de auditoría.
• Auditorías Internas. También llamadas “Auditorías de 1ª Parte”. Son realizadas por la
propia organización, con fines internos, para verificar el grado de cumplimiento de los
requisitos normativos aplicables. En algunos casos, principalmente cuando no se
dispone de auditores internos que puedan demostrar su independencia, las
organizaciones optan por contratar auditores externos a la organización para la
realización de las auditorías, pero es importante comprender que siguen siendo
auditorías internas, y deben ser realizadas en cumplimiento con los procedimientos y
demás disposiciones internas de la organización (criterios, registros, perfil del auditor, u
otros).
• Auditorías Externas: Pueden ser “Auditorías de 2ª Parte” o “Auditorías de 3ª Parte”.
En ambos casos son realizados por auditores externos a la organización.
- Auditorías de 2ª Parte: Son las auditorías que los clientes realizan a la organización.
Hay una relación de intereses en este tipo de auditorías dado que puede definir la
compra o no de productos o servicios como resultado de la auditoría, o la
incorporación de la organización como proveedor.
5
certificadores, acreditados para realizar este tipo de auditorías y entregar evidencias
del cumplimiento de la organización auditada con los requisitos normativos de
referencia.
Esta norma es aplicable para la realización de auditorías de cualquier sistema de gestión, ya sea
de calidad, ambiental, seguridad de las personas u otro. Incluye la sistemática para realizar
auditorías de una sola norma o auditorías conjuntas de dos o más normas.
En este curso nos inclinaremos a dar un sesgo hacia la Calidad, en las aplicaciones y ejemplos.
De todos modos, considero que cabe señalar el concepto de “conjunto”, cuando una
organización decide la implementación de dos o más normas. En estos casos es importante
destacar la necesidad de implementar un único sistema de gestión, basado en los requisitos de
ambas normas, en vez de dos sistemas de gestión independientes.
Acostumbro a decir que el ocupante de un puesto de trabajo debe saber perfectamente cuáles
son sus funciones y responsabilidades, y estar capacitado para desarrollarlas, pero no
necesariamente debe saber que una u otra tarea es un requisito de una u otra norma.
El programa de auditorías debe incluir auditorías a todos los procesos del SGC y todos los
requisitos normativos aplicables (en nuestro caso, de la Norma ISO 9001:2015).
En algunos casos, por ejemplo en PyMES y empresas pequeñas, puede ser que al realizar el
programa de auditorías internas, sólo sea necesario realizar una auditoría de todos los procesos
y todos los requisitos normativos, a lo largo del año. Igualmente debe programarse, como iremos
viendo a lo largo de este capítulo.
6
Cuando las empresas son más grandes o tienen varios sitios, en general ya no se puede
programar una única auditoría (por la disponibilidad de auditores internos, temas de logística,
recursos u otros) y el programa abarca varias auditorías a lo largo del año, cubriendo con ellas
todos los requerimientos.
Otras veces, las organizaciones prefieren hacer auditorías escalonadas a lo largo del año, a
diferentes procesos y requisitos normativos, de manera de estar todo el tiempo en estado de
alerta frente a alguna auditoría.
Además, como los resultados de las auditorías deben considerarse para la programación o re-
programación de las actividades, puede suceder que algún proceso requiera más de una
auditoría a lo largo del año, mientras que otros una sola. Todo esto se debe ver reflejado en el
"Programa Anual de Auditorías" o documento similar.
Cuando nos encontremos cerca de la fecha programada de una auditoría, lo que haremos es el
"Plan de Auditoría", en donde quedarán descriptas las actividades y detalles acordados de esa
auditoría: fecha, alcance, auditores asignados, roles, procesos a auditar, y otros puntos más, que
veremos con detalle en los próximos puntos.
La idea de esta introducción era que quede claro la diferencia entre el "Programa de Auditoría"
y un "Plan de Auditoría".
La organización debe definir también quién será el responsable de llevar adelante la gestión del
programa de auditoría, garantizando que se cumplan todos los pasos de planificación y
realización. En la mayoría de las organizaciones esta responsabilidad recae sobre el Responsable
del SGC: esta función es la que realiza el programa y planes de auditoría, garantiza su
cumplimiento y que se alcancen los resultados esperados.
Por este motivo, en adelante diremos directamente “el Responsable del SGC debe...”, pero
entiendan que nos referimos a la persona dentro del SGC que tiene la responsabilidad de llevar
adelante esta gestión.
7
5.2 Establecimiento de los objetivos del Programa de Auditorías
Es importante que quede claro que nos estamos refiriendo expresamente al "programa de
auditoría", a los objetivos que buscamos con el establecimiento e implementación de este
programa. Por supuesto que el fin último es el cumplimiento de los objetivos del SGC, pero en
este caso el programa en sí tiene sus propios objetivos, que deben estar alineados con la
dirección estratégica, la política de la calidad y los objetivos del SGC.
• Una auditoría para evaluar todo el SGC, o varias auditorías para evaluar en cada una de
ellas diferentes procesos.
8
• Una auditoría para verificar sólo el cumplimiento de uno o algunos requisitos
normativos, p. ej.: contexto, riesgos y oportunidades, en todos los procesos del SGC.
• Auditorías de seguimiento (follow-up) después de cada auditoría, para verificar la toma
de acciones eficaces para el tratamiento de los hallazgos de auditoría.
Siempre recordando que lo importante es que el Programa de Auditoría garantice que se van a
auditar todos los procesos y todos los requisitos normativos, a lo largo del año.
El Responsable del SGC debe identificar estos RyO en el momento de realizar el Programa de
Auditoría, para poder solicitar los recursos necesarios para que puedan ser abordados
apropiadamente.
o Unificar en una sola visita a un sitio o instalación, varias auditorías para mejorar
la eficiencia de la actividad.
o Minimizar tiempos y distancias de desplazamientos durante las auditorías.
o Capacitar a los auditores internos para que alcancen el nivel de competencia
necesario.
o Ajustar las fechas de auditoría a la disponibilidad del personal clave a ser
auditado.
o Reemplazar auditorías presenciales por auditorías remotas, cuando no se vea
afectado el cumplimiento de los objetivos del programa de auditoría.
9
5.4. Establecimiento del Programa de Auditoría
5.4.1 Roles y responsabilidades del Responsable del SGC
El Responsable del SGC, como responsable de gestionar el Programa de Auditoría, debe:
10
o Información relacionada con el auditado: contexto, partes interesadas, sus
necesidades y expectativas, líneas de negocios, productos, servicios, procesos.
o Requisitos legales aplicables.
o Gestión de Riesgos y Oportunidades
o Tecnologías de la información y la comunicación (TICs), necesarios para llevar
a cabo la auditoría.
o Desarrollo profesional continuo.
5.4.3 Alcance de un Programa de Auditoría
Al determinar el alcance del programa de auditoría, o sea: procesos a auditar, sitios a auditar,
cantidad de auditorías anuales, qué se audita en cada auditoría, requisitos normativos a auditar
en cada proceso, cantidad de veces que se auditará cada proceso durante el año y demás, el
Responsable del SGC deberá tener en cuenta uno o más de los siguientes factores:
11
o Requerimientos relacionados con las instalaciones: autorizaciones de
seguridad, ingreso de equipos informáticos y teléfonos, antecedentes, equipos
de protección personal (EPP), otros según sea requerido.
12
Entonces, cuando nos aproximamos a la fecha de esa única auditoría anual o de cada una de las
auditorías programadas, es necesario planificar esa auditoría, de manera que esté lineada con
el Programa de Auditoría, sus objetivos, alcance y demás.
El objetivo de una auditoría podría ser (siempre alineado con 5.2) cumplir con uno o más de los
siguientes puntos:
Las auditorías internas pueden ser presenciales, remotas o una combinación de ambas. La
elección de cómo se realizará cada una dependerá de los RyO que se identifiquen, que podrían
afectar el cumplimiento de los objetivos para esa auditoría.
Para asegurar la competencia del equipo auditor, se debe tener en cuenta la competencia
necesaria para alcanzar los objetivos de esa auditoría. Puede ser que entre todo el equipo se
alcance esa competencia o que uno de los auditores ya la tenga.
La cantidad de auditores que realizarán una auditoría depende de: la competencia general del
equipo auditor, la complejidad de la auditoría y/o tipo y complejidad de los procesos auditados,
si es presencial o remota, si es conjunta con más de una norma de referencia, si se puede
asegurar la objetividad e imparcialidad de los auditores, la capacidad del equipo auditor para
interactuar con el auditado, el contexto, el lenguaje de la auditoría y características sociales y
culturales del auditado, y otros.
Podrá incluirse dentro del equipo a auditores en entrenamiento, pero deberán participar bajo la
dirección de un auditor.
13
o Objetivos, criterios y alcance de la auditoría.
o Procesos y métodos asociados.
o Composición del equipo auditor.
o Detalles de contacto con el auditado, ubicaciones, tiempos, duración de la
auditoría.
o Recursos necesarios para la realización de la auditoría.
o Información necesaria para abordar los RyO identificados, para el logro de los
objetivos de la auditoría.
o Lenguaje de la auditoría (si aplica).
o Contenido del informe de la auditoría y a quién debe entregarlo.
o Asuntos relacionados con la confidencialidad y la seguridad de la información.
o Cualquier arreglo sobre salud, seguridad o ambiente de trabajo.
o Requisitos para el desplazamiento o acceso a los diferentes sitios de la auditoría.
o Resultados de auditorías previas, para que pueda realizar su seguimiento.
14
auditores y del auditor líder; registros de mantenimiento y mejora de
competencia.
5.6 Seguimiento del Programa de Auditoría
El Responsable del SGC debería asegurarse de evaluar:
En función de los resultados de dicha evaluación, se deben aprovechar las lecciones aprendidas
y utilizarse como datos de entrada para la mejora del programa.
15
o Registros del programa de auditoría: P. ej.: si se completaron todos los registros
establecidos, están completos, claros y con las evidencias objetivas requeridas
(tanto para los cumplimientos como para los incumplimientos).
o Métodos de auditoría nuevos o alternativos: debería identificarse la necesidad
de adquisición o adaptación a nuevos métodos de auditoría, si fuera necesario,
en función del contexto cambiante a nivel global, por ejemplo, la incorporación
de auditorías remotas.
o Métodos alternativos para la evaluación de los auditores: p. ej., en función de
los resultados alcanzados, de su eficacia en cumplir con el plan de auditoría y
los procedimientos establecidos, y otros.
o Eficacia de las acciones para abordar los RyO de la auditoría: se debe verificar
que las acciones tomadas para contener, minimizar o eliminar los riesgos, o para
potenciar las oportunidades identificadas, fueron eficaces y los riesgos no
afectaron el cumplimiento de la auditoría, así como las oportunidades lo
favorecieron.
16