1. La auditoría de gestión de sistemas ISO
En este contexto, todas las organizaciones que cuentan con un sistema de gestión han de someterse a auditorías periódicas. El fin de estas auditorías de sistemas de gestión no es otro que evaluar que, en la actividad cotidiana de la empresa, se están cumpliendo correctamente todos los requisitos que solicita una de las múltiples normas ISO existentes. Todo ello juega en beneficio de la empresa u organización.
Así, se puede definir una auditoría como un proceso sistemático, independiente y documentado que trata de obtener evidencias, para evaluarlas de forma objetiva, con el fin de determinar el grado en el que se cumplen los criterios de una norma en cuestión. Pueden ser criterios legales, obligaciones contractuales, de procedimientos, etc. Las empresas y organizaciones implementan sistemas de gestión a partir de normas internacionales (llamadas ISO), que funcionan como un estándar para garantizar que esa empresa u organización cumple con determinados requisitos legales, de eficacia o de calidad. Estos sistemas de gestión pueden ser de Calidad (cuyo estándar es la norma ISO 9001:2015), de Medio Ambiente (ISO 14001:2015) o de Seguridad y Salud en el trabajo (ISO 45001:2018), entre otras.
De esta forma, la auditoría se constituye como una herramienta de mejora continua de la empresa. No existe un ganador, ni el auditor ni el auditado, ya que los resultados de la auditoría ayudarán a la organización a implementar medidas de mejora en sus sistemas de gestión. Además, la auditoría no sólo beneficia a la empresa, sino también a cada individuo, sea directivo o empleado, afectado por la misma, ya que le ayudará a mejorar su desarrollo y realización en el trabajo. Concretamente, le servirá para saber qué estaba haciendo bien o mal, y cómo podría mejorarlo.
2. ISO 19011: De la versión 2011 a la versión 2018
Uno de los cambios más importantes de esta última actualización es la inclusión del enfoque basado en riesgos. Esto implica tener en cuenta, a la hora de diseñar el programa de auditoría, los riesgos y oportunidades relacionados con el contexto del auditado que pueden afectar al logro de los objetivos establecidos en la auditoría. Por tanto, la ISO 9011:2018 insta a informar de estos riesgos al cliente de la auditoría y a establecer los requisitos de recursos que pueden ser necesarios para que sean tratados adecuadamente.
La versión de 2018 también amplía los requisitos generales de competencia que deben cumplir los auditores. Es decir, qué habilidades deben poseer y cómo han de realizar las auditorías. Además, se ha renovado la terminología, para reflejar el proceso de la auditoría y no “el objeto”, incluyendo conceptos como “requerimiento”, “proceso” o
“auditoría combinada”. Por otra parte, en la evolución de la normativa internacional desde el año 2011 al 2018, también se eliminó uno de los anexos, en el que se mostraban ejemplos de conocimientos y habilidades que debían tener los auditores.
Si bien, estas novedades que afectan a los expertos en Gestión de Riesgos que realizan auditorías de sistemas de gestión no tienen por qué seguirse a rajatabla. De hecho, la propia normativa específica que, aunque pretende ser un documento que se aplique a “un amplio rango de usuarios potenciales”, dichos usuarios, “pueden aplicar esta orientación al desarrollar sus propios requisitos relacionados con auditorías”.
No se trata por tanto de una norma con rango de ley ni que sea de obligado cumplimiento. La norma ISO 19011 establece cómo han de realizarse las auditorías para evaluar el cumplimiento de un sistema de gestión ISO en una empresa u organización. La última versión de esta normativa internacional es la de 2018, que estableció diferentes novedades respecto a su predecesora, que había sido publicada en el año 2011. Su renovación, como indica la propia normativa, responde a la publicación de nuevas normas de sistemas de gestión en los últimos años. Por este motivo, “es necesario considerar un enfoque más amplio para la auditoría de los sistemas de gestión, así como de proporcionar una orientación más genérica”, indica el texto de la versión de 2018.
3. Tipos de auditoría según ISO 19011
La ISO 19011 establece una orientación sobre cómo han de planificarse y ejecutarse las auditorías, ya sea en empresas públicas como privadas, independientemente de su tamaño, Sin embargo, pueden distinguirse diferentes tipos de auditoría, atendiendo a los siguientes criterios:
Según el origen del equipo auditor
Dependiendo de donde procedan las personas que realizan la auditoría, es posible distingue entre:
· Auditorías internas o de primera parte:
Es cuando la auditoría la realizan personas que pertenecen a la propia empresa. El equipo trata de comprobar que la compañía cumple con los estándares de una terminada norma de gestión que se ha implementado. Además, la auditoría servirá para detectar posibles puntos de mejora y puntos fuertes de la organización.
· Auditorías externas o de segunda parte:
Suelen ser las más habituales. Se da cuando una empresa va a subcontratar a otra o simplemente quiere auditar a uno de sus proveedores, con la idea de ver si la
organización con la que tiene o va a tener relación cumple determinados requisitos (legales, de procesos, etc.). En este caso, el equipo auditor es externo no tiene relación con la empresa que se somete a la auditoría.
· Auditorías de tercera parte o de certificación.
También consiste en una auditoría externa. Sin embargo, en este caso es una Entidad Certificadora independiente la que comprueba que la empresa cumple con una normativa (de producto, servicio o sistema de gestión). En caso de cumplir correctamente con los requisitos de la norma que se ha auditado, la entidad certificadora emitirá un certificado a la compañía. Por ello, a veces son las empresas la que solicitan esta auditoría, porque quieren obtener el certificado de una norma en cuestión.
Si bien, cabe distinguir varios tipos de auditoría dentro de estas:
Auditoría inicial: Con ella se busca obtener la certificación en una norma ISO.
Auditoría de seguimiento: Trata de comprobar que la compañía sigue cumpliendo con los requisitos de una norma.
Auditoría de renovación o de recertificación: Sirve para volver a garantizar que, tras un período de tiempo de unos tres años, la organización sigue cumpliendo con la normativa en la que se había certificado.
Auditoría extraordinaria: Derivada de los resultados de cualquiera de las auditorías anteriores. La idea es evaluar los aspectos que se presentaron como incumplimientos en una auditoría anterior, y comprobar que esas no conformidades se han subsanado.
Según el objeto de la auditoría:
Según esta clasificación se puede distinguir entre:
· Auditorías legales: Consiste en evaluar si la compañía cumplir los requisitos de una determinada norma legal. Por ejemplo, conocer si una empresa está cumpliendo correctamente con la legislación ambiental a nivel autonómico y nacional, o si cuenta con un sistema de prevención de riesgos acorde a las leyes de riesgos laborales de su país.
· Auditoría de producto o servicio: En este caso, se comprueban si las características de un producto o servicio que comercializa la compañía cumple con estándares, como puede ser contar como una Marca Aenor de producto certificado.
· De proceso: En este caso se evalúa un proceso concreto dentro de una compañía, para ver si cumple determinados estándares de una norma o simplemente si es acorde a lo establecido por la propia organización.
· De Sistema de Gestión: Aquí se comprueba el cumplimiento de las características y de los requisitos de una
Norma de Sistema de Gestión.
Todas estas auditorías deben servir como instrumento de mejora continua de la organización. De esta forma, tendrá que ayudar a garantizar que la empresa realmente cuenta con un sistema de gestión, y que este satisface los requisitos de la norma de referencia que se quiere implementar. Además de ello, ha de servir para comprobar que dicho sistema de gestión es eficaz y eficiente y se está aplicando correctamente.
4. Los 7 principios de la auditoría
La normativa ISO 19011 establece una serie de principios que ha de cumplir toda auditoría. El cumplimiento de estos principios permitirá que la auditoría sea una herramienta eficaz y proporcione información útil para que una organización sepa dónde actuar para mejorar su desempeño. En total son siete los principios a seguir en una auditoría:
1. Integridad. Según este principio, los auditores y las personas que gestionan un programa de auditoría deberían desempeñar su trabajo de forma ética, con honestidad y responsabilidad. Además, han de emprender actividades de auditoría “sólo si son competentes para hacerlo” y desempeñar su trabajo de manera imparcial.
2. Presentación imparcial. Establece la obligación de informar con veracidad y exactitud. De esta forma los hallazgos, conclusiones e informes de la auditoría “deberían reflejar con veracidad y exactitud las actividades de auditoría”, según señala la propia ISO 19011. Este principio trata de garantizar una correcta comunicación entre auditor y auditado durante todo el proceso de la auditoría.
3. Debido cuidado profesional. La finalidad de este principio es que los auditores procedan con el debido cuidado, de acuerdo con la importancia de la tarea que desempeñan y la confianza depositada en ellos por el cliente de la auditoría y por otras partes interesadas. Para ello, una de las claves es tener las competencias necesarias para “hacer juicios razonados en todas las situaciones de la auditoría”.
4. Confidencialidad. Según la ISO 19011, los auditores deberían proceder con discreción en el uso y la protección de la información adquirida en el curso de sus tareas. De esta forma, la información recopilada en la auditoría no debe usarse para perjudicar los intereses del auditado ni usarse en contra de ningún trabajador de la compañía.
5. Independencia. Además de ser imparciales, los auditores “deberían ser independientes de la actividad que se audita siempre que sea posible, y en todos los casos deberían actuar de una manera libre de sesgo y conflicto de intereses.”, según recoge el texto de la normativa. En el caso de que se trata de auditorías internas, el auditor “los auditores deberían ser independientes de la función que se audita, si es posible”, y mantener en todo momento la objetividad.
6. Enfoque basado en la evidencia. Hace referencia a que el resultado y las conclusiones de la auditoría han de ser verificables. En general, deberían basarse
en muestras de la información disponible, ya que una auditoría se lleva a cabo durante un periodo de tiempo delimitado y con recursos finitos.
7. Enfoque basado en riesgos. Es una de las novedades que incluye la ISO 19011 en su versión de 2018. De esta forma, el enfoque basado en riesgos debería influir sustancialmente en la planificación, la realización y la presentación de informes de la auditoría “a fin de asegurar que las auditorías se centran en asuntos que son importantes para el cliente de la auditoría y para alcanzar los objetivos del programa de auditoría”.
5. Roles y Responsabilidad en la auditoría
Auditor: Ha de cumplir con los requisitos de la auditoría aplicable. Además, debe saber transmitir y aclarar al auditado los requisitos en base a los que se va a llevar a cabo la auditoría. Es decir, informarle acerca de qué se va auditar, cuándo lo va a hacer, etc. Otra de las características que ha de tener el auditor es documentar todos sus hallazgos y recoger y analizar las evidencias que sean relevantes y suficientes para establecer conclusiones sobre el sistema de gestión del auditado. El auditor también es responsable de dar el tratamiento de confidencialidad adecuado a la documentación y tratar con discreción la información “privilegiada” obtenida.
Auditor jefe: Este miembro del equipo de la auditoría es el responsable de planificar los trabajos de auditoría, preparar los documentos de trabajo y dar instrucciones al equipo auditor. Se trata del principal responsable de todo el proceso de la auditoría. Por lo tanto, debe tener autoridad suficiente para resolver todos los imprevistos que se vayan planteando durante la auditoría (por ejemplo, en el caso en el que dos miembros del equipo no se pongan de acuerdo respecto a un aspecto de la auditoría). Además, el auditor jefe ha de ser el encargado de comunicar al auditado las no conformidades que detecte, para que las intente solventar. También, debe ser el portavoz del equipo auditor a la hora de presentar el informe con las conclusiones de la auditoría. A la hora de realizar una auditoría según la norma ISO 19011, han de establecerse diferentes roles, para que queda miembro del equipo de la auditoría asuma una serie de responsabilidades respecto a la misma. Algunos de estos roles y responsabilidades son:
Cliente: Es quien pone en marcha todo el proceso de auditoría. Puede ser, por ejemplo, una central farmacéutica que contrata a una empresa para que audite una de sus plantas de producción. Por lo tanto, determina qué empresa llevará a cabo la auditoría, así como el alcance de la misma y en base a qué normas o especificaciones va a ser evaluado el sistema de gestión.
Auditado: Es la compañía o persona que se somete al proceso de auditoría. Su principal responsabilidad es colaborar en todo lo posible con los auditores. Esto implica poner los medios necesarios para que la auditoría sea efectiva y eficiente y disponer de guías que acompañen al equipo auditor por las instalaciones. En este caso, sin embargo, los guías no deben influir nunca en el resultado de la auditoría.
Además, el auditado, debe comunicar a los miembros más representativos de su organización que se va a realizar una auditoría en su empresa, detallando los principales objetivos de la misma. Una vez que la auditoría haya finalizado, el auditado también será el responsable de establecer y poner en marcha las acciones correctoras que se desprendan del informe de auditoría. Especialmente, en los casos en los que se hayan detectado incumplimientos que impidan obtener el certificado en una norma ISO para la compañía.
6. Cualidades para ser un buen auditor
La normativa ISO 19011 reserva uno de sus apartados a indicar las competencias que han de tener los auditores, y cómo se deberían evaluar a los mismos, con la finalidad de garantizar que las auditorías de sistemas de gestión se llevan a cabo correctamente.
De esta forma, ser un buen auditor pasa por poseer una serie de atributos personales, conocimientos y habilidades, así como una determinada formación y experiencia laboral como auditor.
En lo que respecta a la experiencia laboral, el auditor ha de tener experiencia en una función técnica, “de gestión o profesional que haya implicado el ejercicio del juicio, solución de problemas y comunicación con otro personal directivo o profesional, compañeros, clientes y/u otras partes interesadas”, como recoge el texto de la normativa internacional.
Por otro lado, el auditor debería haber completado una formación como auditor y tener experiencia en auditorías, obtenida bajo la dirección y orientación de un auditor con competencia como líder del equipo auditor en la misma disciplina.
Por último, la normativa también pone en valor la importancia el desarrollo profesional continuo del auditor, de forma que mantenga y renueve sus competencias. Esta formación permanente debería tener en cuenta “los cambios en las necesidades de las personas y de las organizaciones, la práctica de la auditoría, las normas y otros requisitos”.
7. Seis fases para la ejecución de la auditoría
Además de detallar los principios que deben regir las auditorías, así como las responsabilidades que cada parte implicada debe asumir durante las mismas, la ISO 19011 también aclara en su capítulo 6 cómo ha de realizarse la auditoría. Es decir, especifica las distintas fases para ejecutar correctamente una auditoría de sistema de gestión.
En total pueden distinguirse hasta 6 fases diferenciadas, que debe conocer todo auditor:
1. Inicio de la auditoría:
La primera fase para poner en marcha un programa de auditorías consiste en establecer un contacto con el auditado. De esta forma, el líder del equipo auditor tendrá, entre otras tareas, que proporcionar información pertinente a la persona o empresa auditada sobre los objetivos de la auditoría, el alcance que tendrá la misma, los criterios, los métodos que se utilizará y la composición del equipo auditor, incluyendo a los expertos técnicos. Por otro lado, se tendrá que determinar la viabilidad de la auditoría, para garantizar que se va a poder desempeñar correctamente y alcanzar los objetivos previstos. Objetivos que pueden ir desde comprobar que la empresa está implementando correctamente un sistema de gestión de la calidad, o que un proceso de trabajo concreto cumple con los estándares que quiere implementar la compañía. Para valorar esta viabilidad un factor a tener en cuenta será, por ejemplo, que se cuente con el tiempo y los recursos adecuados para llevar a cabo la auditoría.
2. Preparación de las actividades de la auditoría:
El siguiente paso para ejecutar la auditoría según la ISO 19011 es realizar una revisión de la información documentada que tiene la empresa a la que se va a
auditar. Se trata de tener en cuenta, por ejemplo, documentos y registros del sistema de gestión, así como a informes de auditoría previos. En base a esta documentación registrada, se procederá a la planificación de la auditoría. Una planificación que, según la última versión de la ISO 19011, debería considerar los riesgos de la propia auditoría. Es decir, los posibles obstáculos que pueden surgir y poner en peligro los objetivos que se persiguen con la auditoría. La planificación “debería facilitar la programación en el tiempo y la coordinación eficientes de las actividades de auditoría a fin de alcanzar los objetivos eficazmente”, señala el texto de la norma internacional. La preparación de la auditoría también pasa por asignar las tareas del equipo auditor. De esta forma, el líder del equipo auditor debería asignar a cada miembro del equipo la responsabilidad para auditar procesos, actividades, funciones o lugares específicos y, según sea apropiado, la autoridad para la toma de decisiones.
3. Realización de las actividades de la auditoría:
Esta es la fase central de la auditoría, donde se comienza el trabajo de campo. Por ello, esta parta de la auditoría se puede dividir en los siguientes pasos:
•Asignación de roles y responsabilidades de los guías y los observadores: Los observadores de una auditoría son personas que se están preparando para ser auditores. Por otro lado, los guías son personas expertas que ayudan al auditado en cuestiones muy técnicas. Sin embargo, estos pueden acompañar al equipo auditor, pero no deberían influir en la auditoría.
•Realización de la reunión de apertura: En ella se confirma el acuerdo de todos los participantes (por ejemplo, auditado, equipo auditor) sobre el plan de auditoría y se presenta al equipo auditor con sus respectivos roles, entre otros aspectos. Según la ISO 19011, esta reunión debería estar presidida por el líder del equipo auditor.
•Comunicación durante la auditoría: Durante la auditoría, el líder del equipo auditor debería comunicar periódicamente los progresos de la misma el resto de su equipo. Por otro lado, cuando las evidencias de auditoría disponibles indiquen que los objetivos no son alcanzables, el líder del equipo auditor debería informar de las razones al cliente de la auditoría y al auditado para determinar las acciones de corrección apropiadas, según indica la normativa.
•Recopilación y verificación de la información: La documentación de la auditoría ha de recopilarse mediante un muestreo apropiado y debería verificarse, en la medida de lo posible. Esta información se puede recopilar mediante entrevistas, observación directa de procesos en la compañía o mediante la revisión de la información documentada.
•Generación de hallazgos de la auditoría: Es el proceso en el que se establece si los aspectos analizados en la auditoría cumplen o no con los requisitos del sistema de gestión que la empresa auditada está implantando. En esta fase deberían
registrarse las no conformidades (se llama así cuando no se cumple correctamente un requisito) y la evidencia de la auditoría que las apoya.
-Determinación de las conclusiones de la auditoría: En esta fase se establece una conclusión consensuada por parte del equipo auditor y se realiza una reunión de cierre, en la que está presente el equipo auditor y representantes de la empresa auditada. En ella se presentan los hallazgos y las conclusiones de la auditoría.
4. Preparación y distribución del informe de la auditoría
El informe de la auditoría debería proporcionar un registro completo, preciso, conciso y claro de la auditoría. Debe recoger, entre otros múltiples aspectos, las fechas y lugares en los que se realizaron las actividades de la auditoría, los hallazgos de la misma, así como los criterios utilizados durante la auditoría. Una vez revisado y aceptado, el informe de la auditoría debería “distribuirse a las partes interesadas pertinentes definidas en el programa de auditoría o en el plan de auditoría”, según el texto de la ISO 19011.
5. Finalización de la auditoría
La auditoría se da por finalizada cuando se han realizado las actividades planificadas con el cliente de la auditoría, y cuando se ha emitido el informe con todas las conclusiones de la misma.
6. Actividades de seguimiento de la auditoría
Esta fase será necesaria cuando los resultados de la auditoría indiquen la necesidad de realizar correcciones o detecte oportunidades para la mejora. En este caso, la idea es que el auditado emprenda acciones en un tiempo determinado para subsanar las no conformidades vy, tras ello, sea evaluado de nuevo por parte del auditor. No obstante, como indica la ISO 19011 en su capítulo 6, “el grado de aplicación de las disposiciones de este capítulo depende de los objetivos y del alcance de la auditoría específica”, por lo que las distintas fases no han de seguirse estrictamente.
8. Consejos para la realización de entrevistas durante la auditoría
Estos consejos son:
1. Las entrevistas deberían mantenerse con personas de los niveles y funciones apropiados que desempeñan actividades o tareas dentro del alcance de la auditoría. De esta forma, se tendrá que entrevistar a un directivo, a un empleado o a un asesor técnico en función de lo que se especifique en el plan de auditoría.
2. Las entrevistas deberían llevarse a cabo durante la jornada de trabajo normal y, cuando sea posible, en el lugar de trabajo normal de la persona entrevistada. El objetivo de este consejo es que la entrevista capte de la forma más fiel posible las condiciones en las que la empresa u organización desempeña su actividad diaria.
3. Debería intentarse que la persona entrevistada esté cómoda antes de la entrevista y durante la misma. Un paso clave para ello es que se le explique la razón de la entrevista y se le advierta de las notas que se van a tomar.
4. Las entrevistas pueden iniciarse solicitando a las personas que describan su trabajo.
5. El tipo de preguntas que se realicen al entrevistado han de elegirse cuidadosamente en función de los objetivos de la entrevista. Esto determinará si se le hacen preguntas cerradas o abiertas, o si contendrás indagaciones apreciativas, por ejemplo.
6. Tomar conciencia de la limitación en la comunicación no verbal en los entornos virtuales. En el caso de que la entrevista no se realice cara a cara, la normativa aconseja hacer hincapié en que se use un tipo de preguntas que permita encontrar evidencias objetivas.
7. Los resultados de la entrevista deberían resumirse y revisarse con la persona entrevistada. Por último, según recoge la ISO 19011, “debería agradecerse a las personas entrevistadas su participación y cooperación”.
Una de las actividades clave a la hora de realizar auditorías de sistemas de gestión es sin duda la entrevista. Según la normativa ISO 19011 la entrevista es un medio muy importante para recopilar información.
Por ello, el propio texto de la directiva recoge una serie de consejos y recomendaciones para que los auditores realicen entrevistas de forma más eficiente, adaptándose a la situación y a la persona entrevistada, “sea cara a cara o por otros medios de comunicación”, como puede ser el contacto telefónico o a través del correo electrónico.
9. Glosario de términos en auditorías según ISO 19011:2018
En su actualización de 2018, la normativa internacional ISO 19011 establece nuevos conceptos y términos utilizados para definir diferentes aspectos relativos al proceso de auditorías en las organizaciones. Entre esta nueva terminología podemos encontrar:
Auditoría: proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría.
Auditoría combinada: Cuando se auditan juntos dos o más sistemas de gestión en una misma compañía.
Programa de auditoría: Es el conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico.
Criterios de auditoría: Conjunto de políticas, procedimientos o requisitos que se siguen en la auditoría.
Evidencia de la auditoría: Son registros, declaraciones de hechos o cualquier otra información que son pertinentes para los criterios de auditoría y que son verificables.
Hallazgos de la auditoría: Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría. Los hallazgos de la auditoría pueden indicar conformidad o no conformidad con los criterios de auditoría, u oportunidades de mejora.
Cliente de la auditoría: Es la organización o persona que solicita una auditoría. El cliente de la auditoría puede ser el auditado o cualquier otra organización que tenga derechos reglamentarios o contractuales para solicitar una auditoría.
Sistema de gestión: Se define como el conjunto de elementos de una organización interrelacionados o que interactúan para establecer políticas, objetivos y procesos para lograr estos objetivos.
Acción correctiva: Acción para eliminar la causa de una no conformidad detectada.
Acción preventiva: Acción para eliminar la causa de una no conformidad potencial.
No conformidad: Incumplimiento de un requisito.
Requisito: necesidad o expectativa establecida, generalmente implícita u obligatoria.
Tratamiento de la No Conformidad: Acción encaminada a la eliminación de una No Conformidad.
Fuente: Carlos Boshell
