Subido por fernanda perri

Clase 1 - formato descargable 2022

Anuncio
Introducción
Objetivos del curso
•
•
Saber qué es una Auditoría de Calidad.
Saber cómo realizar el programa, desarrollo y análisis de Auditorías Internas de la
Calidad.
•
Desarrollar aptitudes actitudinales para llevar adelante una Auditoría Interna de la
Calidad.
•
Poder asociar una situación a un requisito normativo.
•
Conocer los registros de auditorías, incluyendo la redacción de desvíos e informes.
NOTA: Es requisito para la realización de este curso, haber cursado satisfactoriamente el de
“Introducción a las Normas ISO 9000”. Se sugiere hacer un repaso de dicho curso y haber
comprendido la estructura y el contenido de la Norma ISO 9001:2015.
Temas a tratar
1. Generalidades
2. Requisitos de la Norma ISO 9001:2015
3. Auditoría Interna del Sistema de Gestión de la Calidad
4. Gestión de un Programa de Auditorías
5. Realización de la Auditoría
6. Preparación, aprobación y distribución del Informe de Auditoría
7. Competencia y evaluación de los auditores
8. Ejercicios de comprensión
9. Conclusiones
1. Generalidades
Son cada vez más las organizaciones que desean demostrar que tienen capacidad para cumplir
con los requisitos del cliente.
Para ello parten de la base de implementar un Sistema de Gestión de la Calidad según normas
ISO 9000, con lo que no sólo logran satisfacer las necesidades del cliente, sino también
superarlas y mejorar continuamente la eficacia de la organización.
La implementación de este tipo de sistemas de gestión requiere de un control continuo, con el
objeto de verificar, mediante un proceso sistemático, que se cumplen las Políticas establecidas
1
por la organización en lo referente a calidad. Ese control se realiza por medio de auditorías
internas de la calidad.
Resaltamos el alcance del curso, que abarca las auditorías internas, que si se realizan
adecuadamente garantiza el mantenimiento y la mejora del sistema de gestión de la calidad. Las
auditorías externas, en cambio, si bien colaboran con dichos objetivos son eventos puntuales y
tienen otro tipo de carácter.
2. Requisitos de la Norma ISO 9001:2015
La Norma ISO 9001:2015 en el Capítulo 9 “Evaluación de Desempeño”, establece distintos
enfoques para realizar el seguimiento y medición del sistema de gestión de la calidad, con el
objeto de demostrar la conformidad con los requisitos del producto, asegurarse de la
conformidad del sistema de gestión de la calidad, y mejorar continuamente la eficacia del
sistema de gestión de la calidad.
Vemos que plantea hacer el seguimiento y la medición, desde cuatro aspectos diferentes:
1°. Satisfacción del cliente. Mide desde el punto de vista del cliente: Permite ver cuál es la
percepción del cliente respecto del cumplimiento de sus requisitos (Apartado 9.1.2 “Satisfacción
del cliente”). Es un enfoque externo a la organización misma.
2°. Auditoría Interna. Mide desde el punto de vista interno: Es el modo de autoevaluación del
sistema de gestión de la calidad (Apartado 9.2 “Auditoría interna”). Es un enfoque interno a la
organización.
3°. Análisis y Evaluación. Refiere al análisis de la información obtenida de cada uno de los
procesos del sistema de gestión y su evaluación respecto de la conformidad de los
productos/servicios; el desempeño y la eficacia del sistema de gestión de la calidad; el
desempeño de los proveedores. (Apartado 9.1.3 “Análisis y Evaluación”). NV: O TODO O NADA,
VER
4º. Revisión por la Dirección. Se trata de una actividad periódica y sistemática donde las
máximas autoridades revisan el sistema de gestión de la calidad para garantizar su conveniencia,
adecuación, eficacia y alineación con la dirección estratégica (Apartado 9.3 “Revisión por la
Dirección”).
El enfoque que nos interesa en este curso es el de Auditoría Interna.
La Norma ISO 9001:2015 requiere que se lleven a cabo auditorías internas del sistema de gestión
de la calidad, a intervalos planificados, para determinar si el sistema de gestión de la calidad
cumple con los requisitos normativos y los requisitos propios de la Organización y si se mantiene
de manera eficaz.
Se recomienda seguir la sistemática de la Norma ISO 19011, que da las directrices para la
realización de auditorías de sistemas de gestión.
Veremos en los siguientes puntos qué implica la realización de las auditorías internas.
2
3. Auditoría Interna del Sistema de Gestión de la Calidad
3.1. ¿Qué es una auditoría?
Formalmente, según la definición normativa:
Una auditoría es un proceso sistemático, independiente y documentado para obtener
evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en
que se cumplen los criterios de auditoría.
En lo personal, no creo necesario que haya que aprender nada de memoria dado que, como
decía mi abuelo, “la tinta más débil reemplaza a la memoria más fuerte”, pero dado que esta
definición es la base del curso que acabamos de iniciar, considero que saberla de memoria y
comprender cada uno de los conceptos que encierra, equivale a haber interpretado más de la
mitad del curso.
Veamos cada una de sus partes: proceso – sistemático – independiente – documentado –
evidencias de la auditoría – evidencias objetivas – criterios de auditoría.
Hemos analizado en desarrollos anteriores el concepto de proceso.
Para que exista un proceso debe haber una transformación de una o más entradas en una o más
salidas, y debe haber capacidad de medición de resultados (de eficacia y/o eficiencia) del
proceso mismo. En este caso, el resultado es el informe de auditoría, en donde queda
claramente documentado cuáles son los requisitos normativos que se cumplen y cuáles los que
no se cumplen.
Cuando la norma refiere a que dicho proceso debe ser sistemático, está indicando que debe
haber un método definido para realizar las auditorías internas.
Establecer una sistemática para la realización de una actividad, implica haber analizado cuál es
la mejor manera de hacerla y capacitar a todos los actuantes para que implementen el método
elegido. La Norma ISO 9001:2015 en el Apartado 9.2.2, como ya dijimos más arriba, recomienda
seguir la sistemática de la Norma ISO 19011.
La Norma ISO 9001:2015 indica que el proceso de auditoría interna debe además se
independiente. La revisión actual dice que “se debe asegurar la objetividad y la imparcialidaddel
proceso de auditoría” (Norma ISO 9001:2015, Apartado 9.2.2). En versiones anteriores decíaque
“el auditor debe ser independiente del área auditada”.
Si bien en la actualidad la restricción es menor, de todos modos, es comprensible que se perdería
objetividad si el auditor verificara su propio trabajo o aquél que él conoce por ser de su área o
por haberlo desarrollado. La independencia es uno de los principios de la auditoría.
Muchas veces la independencia puede verificarse mediante la demostración de que el auditor
no tiene responsabilidades sobre las actividades que audita.
Otro de los requisitos es que el proceso de auditoría interna sea documentado.
En el apartado 9.2.2, la Norma ISO 9001:2015 hace referencia a la obligación de conservar
información documentada acerca del cumplimiento de las auditorías.
Recordemos que “conservar información documentada” implica demostrar, a través de
documentos (generalmente registros), la evidencia de conformidad con los requisitos.
Entonces, debemos demostrar el cumplimiento del programa de auditorías (por ejemplo, con el
informe de los resultados de la auditoría interna)
3
Las evidencias de la auditoría son los registros, declaraciones de hechos o cualquier otra
información verificable, sea cualitativa o cuantitativa, que puede ser comparada con los criterios
de auditoría para verificar si éstos se cumplen.
Las evidencias objetivas son los datos que respaldan la existencia o veracidad de un hecho, ya
sea referido al cumplimiento o al incumplimiento de algún requisito normativo. Estas evidencias
objetivas pueden obtenerse por medio de la observación, medición, ensayo, prueba u otros
medios que permitan al auditor tener no sólo la certeza del cumplimiento o incumplimiento,
sino también una forma de demostrar su existencia.
Llamamos criterios de auditoría al conjunto de políticas, procedimientos o requisitos que se
utilizan como una referencia (aquéllos cuyo cumplimiento se espera, basados en los requisitos
normativos) contra los cuales se comparan las evidencias obtenidas durante la auditoría.
Son parte de los criterios de auditoría:
• Los requisitos de la(s) norma(s) de referencia (p. ej.: ISO 9001:2015, ISO 14001:2015, u
otra norma aplicable).
• Las Políticas definidas por la organización (en congruencia con las normas aplicables).
•
•
Los Procedimientos y demás documentos redactados con el objeto de sistematizar el
cumplimiento de los requisitos normativos (Manual de la Calidad, Política de la Calidad,
Procedimientos Generales, Instructivos, otros).
Requisitos de los clientes y demás partes interesadas.
•
Cualquier otro requisito que la organización prometa o garantice su cumplimiento.
Por lo tanto, la auditoría es una actividad que transforma datos, obtenidos mediante un método
sistemático, en donde el auditor es independiente de lo que se audita, en un resultado que se
presenta documentado, en donde quedan evidenciados cuáles son los requisitos qué se
cumplen (o no), respecto de las normas o documentos utilizados como referencia.
Para desarrollar este proceso, el auditor debe estar capacitado, y debe haber realizado alguna
auditoría bajo la supervisión y de un auditor experimentado. Desarrollaremos este punto en
forma detallada más adelante.
3.2. Principios de auditoría
Adherir a los principios de auditoría y adoptarlos, es un requisito indispensable para llegar a
conclusiones de auditoría pertinentes, suficientes y fiables, y para lograr que los auditores
trabajen en forma independiente, pero con capacidad para alcanzar conclusiones similares en
circunstancias similares.
Principios referidos a los auditores:
• Integridad. Es el fundamento de la profesionalidad.
Aplica no sólo para ser auditor, sino para todos aquellos que formen parte del proceso
de auditoría. La confianza, integridad, confidencialidad, responsabilidad y discreción
son esenciales para auditar.
• Presentación imparcial. El auditor tiene la obligación de informar con veracidad y con
exactitud. Los hallazgos, conclusiones e informes de la auditoría deben reflejar con
veracidad y exactitud las actividades de la auditoría. Deben incluir también tanto los
problemas suscitados durante la auditoría, como las opiniones divergentes y problemas
sin resolver entre auditor y auditado. La comunicación debe ser veraz, objetiva, clara y
completa.
• Debido cuidado profesional. Se requiere diligencia y juicio al auditar.
Los auditores deben proceder con el debido cuidado, de acuerdo con la importancia de
4
•
la tarea que desempeñan y la confianza depositada en ellos por el cliente de la
auditoría. Un factor importante para ello es tener la competencia necesaria para
cumplir la función de auditor.
Confidencialidad. El auditor debe proceder con discreción respecto del uso y protección
de la información adquirida durante el proceso de auditoría. Debe evitar el uso
inapropiado de la misma para beneficio propio o de terceros.
Principios referidos a la auditoría:
• Independencia.
Es la base para la imparcialidad de la auditoría y la objetividad de las conclusiones. Los
auditores deben ser, como dijimos más arriba, independientes de la actividad auditada,
y deben estar libres de conflicto de intereses con el auditado. Deben mantener una
actitud objetiva durante el proceso de auditoría para asegurar que las conclusiones de
la auditoría están basadas en evidencias objetivas.
• Enfoque basado en la evidencia.
Debe aplicarse un método racional y sistemático para alcanzar conclusiones de
auditoría tanto confiables como reproducibles. Las evidencias de la auditoría deben
ser verificables. Deben estar basadas en información disponible durante el período en
que se desarrolla la auditoría. Un muestreo apropiado aumenta la confianza en las
conclusiones de la auditoría.
• Enfoque basado en el riesgo.
Este enfoque debería afectar la planificación, realización e informe de las auditorías
para asegurar que están enfocadas en asuntos que son significativos para quién
solicitó la auditoría y para lograr los objetivos del programa de auditoría.
El proceso que describiremos durante este curso para llevar adelante la auditoría de un sistema
de gestión, está basado en estos principios y orientado a su cumplimiento.
3.3. Tipos de auditoría
Según cuál sea la relación entre el equipo auditor y el auditado, podemos identificar distintos
tipos de auditoría.
• Auditorías Internas. También llamadas “Auditorías de 1ª Parte”. Son realizadas por la
propia organización, con fines internos, para verificar el grado de cumplimiento de los
requisitos normativos aplicables. En algunos casos, principalmente cuando no se
dispone de auditores internos que puedan demostrar su independencia, las
organizaciones optan por contratar auditores externos a la organización para la
realización de las auditorías, pero es importante comprender que siguen siendo
auditorías internas, y deben ser realizadas en cumplimiento con los procedimientos y
demás disposiciones internas de la organización (criterios, registros, perfil del auditor, u
otros).
• Auditorías Externas: Pueden ser “Auditorías de 2ª Parte” o “Auditorías de 3ª Parte”.
En ambos casos son realizados por auditores externos a la organización.
- Auditorías de 2ª Parte: Son las auditorías que los clientes realizan a la organización.
Hay una relación de intereses en este tipo de auditorías dado que puede definir la
compra o no de productos o servicios como resultado de la auditoría, o la
incorporación de la organización como proveedor.
- Auditorías de 3ª Parte: Son las auditorías realizadas por organizaciones externas e
independientes a la organización auditada, sin intereses internos o de 2ª parte
(clientes, proveedores, otras partes interesadas). Estas organizaciones son entes
5
certificadores, acreditados para realizar este tipo de auditorías y entregar evidencias
del cumplimiento de la organización auditada con los requisitos normativos de
referencia.
4. Norma para el desarrollo de auditorías
La norma vigente para la realización de auditorías es la Norma ISO 19011:2018 “Guía para
auditorías de sistemas de gestión”.
Esta norma es aplicable para la realización de auditorías de cualquier sistema de gestión, ya sea
de calidad, ambiental, seguridad de las personas u otro. Incluye la sistemática para realizar
auditorías de una sola norma o auditorías conjuntas de dos o más normas.
En este curso nos inclinaremos a dar un sesgo hacia la Calidad, en las aplicaciones y ejemplos.
De todos modos, considero que cabe señalar el concepto de “conjunto”, cuando una
organización decide la implementación de dos o más normas. En estos casos es importante
destacar la necesidad de implementar un único sistema de gestión, basado en los requisitos de
ambas normas, en vez de dos sistemas de gestión independientes.
Acostumbro a decir que el ocupante de un puesto de trabajo debe saber perfectamente cuáles
son sus funciones y responsabilidades, y estar capacitado para desarrollarlas, pero no
necesariamente debe saber que una u otra tarea es un requisito de una u otra norma.
Veámoslo con un ejemplo:
Un operario del sector Empaque sabe que todos los productos deben estar identificados, qué
información debe contener la etiqueta del producto, cómo debe ser el embalaje para un cliente
u otro, y sabe además qué hacer en caso de derrame de algún producto en su sector y en qué
tacho (por color) depositar cada tipo de residuo (si es industrial, si contiene aceites, si son
papeles, etc.). Pero no necesariamente tiene que saber que los primeros requerimientos
responden a la Norma ISO 9001 y el resto a la Norma 14001, simplemente son los requisitos de
ese puesto de trabajo.
5. Gestión de un Programa de Auditorías
5.1. Generalidades
Un “programa de auditoría” incluye todas las auditorías planificadas para un período
determinado de tiempo (en general, anual) que se realizarán con un objetivo específico.
Veremos más adelante con detalle, cuáles pueden ser los objetivos de una auditoría.
En esta capacitación, vamos a referirnos específicamente a auditorías internas del sistema de
gestión de la calidad.
El programa de auditorías debe incluir auditorías a todos los procesos del SGC y todos los
requisitos normativos aplicables (en nuestro caso, de la Norma ISO 9001:2015).
En algunos casos, por ejemplo en PyMES y empresas pequeñas, puede ser que al realizar el
programa de auditorías internas, sólo sea necesario realizar una auditoría de todos los procesos
y todos los requisitos normativos, a lo largo del año. Igualmente debe programarse, como iremos
viendo a lo largo de este capítulo.
6
Cuando las empresas son más grandes o tienen varios sitios, en general ya no se puede
programar una única auditoría (por la disponibilidad de auditores internos, temas de logística,
recursos u otros) y el programa abarca varias auditorías a lo largo del año, cubriendo con ellas
todos los requerimientos.
Otras veces, las organizaciones prefieren hacer auditorías escalonadas a lo largo del año, a
diferentes procesos y requisitos normativos, de manera de estar todo el tiempo en estado de
alerta frente a alguna auditoría.
Además, como los resultados de las auditorías deben considerarse para la programación o reprogramación de las actividades, puede suceder que algún proceso requiera más de una
auditoría a lo largo del año, mientras que otros una sola. Todo esto se debe ver reflejado en el
"Programa Anual de Auditorías" o documento similar.
Cuando nos encontremos cerca de la fecha programada de una auditoría, lo que haremos es el
"Plan de Auditoría", en donde quedarán descriptas las actividades y detalles acordados de esa
auditoría: fecha, alcance, auditores asignados, roles, procesos a auditar, y otros puntos más, que
veremos con detalle en los próximos puntos.
La idea de esta introducción era que quede claro la diferencia entre el "Programa de Auditoría"
y un "Plan de Auditoría".
Como hablamos de "Gestión de un Programa de Auditorías", recuerden que gestión es:
organizar, dirigir, controlar. Por lo tanto, vamos a describir en este capítulo como organizar,
dirigir y controlar todas las actividades relacionadas con las auditorías internas, de manera de
poder programarlas a lo largo del año.
Siguiendo con los conceptos de sistemas de gestión, la realización de auditorías internas es
también un proceso del SGC, con sus entradas y salidas, sus objetivos y sus mediciones de
eficacia y eficiencia. Por ello también es aplicable (y necesario) el ciclo PHVA = Planificar – Hacer
– Verificar – Actuar, referido en el capítulo 0.3.2 de la Norma ISO 9001:2015 (y otras normas de
sistemas de gestión).
La organización debe definir también quién será el responsable de llevar adelante la gestión del
programa de auditoría, garantizando que se cumplan todos los pasos de planificación y
realización. En la mayoría de las organizaciones esta responsabilidad recae sobre el Responsable
del SGC: esta función es la que realiza el programa y planes de auditoría, garantiza su
cumplimiento y que se alcancen los resultados esperados.
Por este motivo, en adelante diremos directamente “el Responsable del SGC debe...”, pero
entiendan que nos referimos a la persona dentro del SGC que tiene la responsabilidad de llevar
adelante esta gestión.
En el siguiente gráfico podemos ver cómo es el proceso de la Gestión de un Programa de
Auditoría. Luego, describiremos cada elemento del diagrama de flujo. A lo largo del Capítulo 5
veremos todas las actividades referentes al Programa de Auditoría y en el Capítulo 6 lo
relacionado a la realización o ejecución de la auditoría.
7
5.2 Establecimiento de los objetivos del Programa de Auditorías
Es importante que quede claro que nos estamos refiriendo expresamente al "programa de
auditoría", a los objetivos que buscamos con el establecimiento e implementación de este
programa. Por supuesto que el fin último es el cumplimiento de los objetivos del SGC, pero en
este caso el programa en sí tiene sus propios objetivos, que deben estar alineados con la
dirección estratégica, la política de la calidad y los objetivos del SGC.
Al definir los objetivos del programa de auditoría, se debe considerar:
•
Necesidades y expectativas de las partes interesadas.
•
Requisitos de productos, procesos, servicios, y los cambios que hayan tenido.
•
Requisitos del SGC.
•
Nivel de desempeño y madurez del SGC: cumplimiento de objetivos, ocurrencia de no
conformidades.
•
Riesgos y oportunidades identificados dentro del SGC.
•
Resultados de auditorías previas.
En función de esta información, se puede plantear para las diferentes actividades del programa
de auditoría, un único objetivo u objetivos diferentes para cada una de ellas. Por ejemplo, se
puede planificar:
•
Una auditoría para evaluar todo el SGC, o varias auditorías para evaluar en cada una de
ellas diferentes procesos.
8
•
Una auditoría para verificar sólo el cumplimiento de uno o algunos requisitos
normativos, p. ej.: contexto, riesgos y oportunidades, en todos los procesos del SGC.
•
Auditorías de seguimiento (follow-up) después de cada auditoría, para verificar la toma
de acciones eficaces para el tratamiento de los hallazgos de auditoría.
Siempre recordando que lo importante es que el Programa de Auditoría garantice que se van a
auditar todos los procesos y todos los requisitos normativos, a lo largo del año.
5.3 Determinación y evaluación de los riesgos y oportunidades del Programa de Auditoría
En este punto nos estamos refiriendo a los riesgos y oportunidades (para facilitar, indicaré RyO)
relacionados con el contexto del auditado, que pueden ser asociados con la realización de la
auditoría.
El Responsable del SGC debe identificar estos RyO en el momento de realizar el Programa de
Auditoría, para poder solicitar los recursos necesarios para que puedan ser abordados
apropiadamente.
Los riesgos asociados a la auditoría pueden ser alguno de los siguientes:
o
Planificación: P. ej., fallar al definir los objetivos de la auditoría, su alcance,
cantidad de auditorías, duración, cronograma, otros.
o Recursos: P. ej., que no alcance el tiempo planificado, no contar con los recursos
logísticos o para realización de auditorías remotas, otros.
o Selección del equipo auditor: P. ej., competencia inadecuada para llevar a cabo
la auditoría.
o Implementación: P. ej., dificultades en la coordinación de las auditorías
programadas; fallas en la confidencialidad y seguridad de la información;
conflicto de intereses entre auditor y auditado.
o Control de la información documentada: P. ej., errores de los auditores al
requerir información documentada, necesaria para contar con evidencias
objetivas de los hallazgos; fallas en la protección de los informes de auditoría.
o Monitoreo, revisión y mejora del programa de auditoría: P. ej., fallas en el
seguimiento de las salidas esperadas del programa de auditoría.
o Disponibilidad y cooperación del auditado: P. ej., no disponibilidad y/o falta de
cooperación del auditado durante la auditoría; no presentación de la
documentación solicitada como evidencia.
Las oportunidades identificadas para mejorar el programa de auditoría podrían ser:
o
Unificar en una sola visita a un sitio o instalación, varias auditorías para mejorar
la eficiencia de la actividad.
o
Minimizar tiempos y distancias de desplazamientos durante las auditorías.
o
Capacitar a los auditores internos para que alcancen el nivel de competencia
necesario.
o
Ajustar las fechas de auditoría a la disponibilidad del personal clave a ser
auditado.
o
Reemplazar auditorías presenciales por auditorías remotas, cuando no se vea
afectado el cumplimiento de los objetivos del programa de auditoría.
9
5.4. Establecimiento del Programa de Auditoría
5.4.1 Roles y responsabilidades del Responsable del SGC
El Responsable del SGC, como responsable de gestionar el Programa de Auditoría, debe:
o
Establecer el alcance del programa de auditoría en función de los objetivos
propuestos (ver 5.2)
o
Determinar el contexto y RyO que podrían afectar el cumplimiento del
programa de auditoría, para abordarlos en la medida que sea apropiado.
o
Asegurar la competencia de los auditores seleccionados para realizar la
auditoría, definiendo los roles y responsabilidades de cada uno de ellos.
o
Establecer todos los procesos relevantes para llevar a cabo el Programa de
auditoría. P. ej.:
▪
Inclusión en el Programa de Auditorías de todas las auditorías a
realizar. Registro de fechas y otros datos en las agendas
correspondientes.
▪
Definición de objetivos, alcance, criterios de la auditoría (norma
contra la cual se auditará), métodos de auditoría y selección del
equipo auditor.
▪
Evaluación de los auditores.
▪
Establecimiento de procesos de comunicación, previo y durante
la auditoría.
▪
Resolución de disputas y manejo de quejas de los auditados,
respecto del desarrollo de la auditoría.
▪
Realización de auditorías de seguimiento, si se considera
necesario.
▪
Informes de resultados (qué se informa, quién, a quién, cómo).
o
Determinar los recursos necesarios para llevar a cabo el programa de auditoría
y asegurar su provisión.
o
Asegurar que la información documentada referente a la realización de
auditorías, esté actualizada y disponible. P. ej.: Procedimiento para la
realización de Auditorías Internas, registros asociados: Programa, Planes,
Informes, check-list, otros.
o
Monitorear, revisar y mejorar el programa de auditoría.
o
Comunicar el Programa de Auditoría y los Planes de Auditoría a las partes
pertinentes, con la suficiente anticipación para contar con la disponibilidad de
las personas clave en cada proceso.
5.4.2 Competencias del Responsable del SGC
Para llevar a cabo el Programa de Auditoría, el Responsable del SGC debería tener la
competencia necesaria para gestionarlo, incluyendo conocimientos de:
o
o
Los principios de auditoría (ver Capítulo 4)
La/s Norma/s a auditar. En nuestro caso hablamos de la Norma ISO 9001:2015.
10
o
o
o
o
o
Información relacionada con el auditado: contexto, partes interesadas, sus
necesidades y expectativas, líneas de negocios, productos, servicios, procesos.
Requisitos legales aplicables.
Gestión de Riesgos y Oportunidades
Tecnologías de la información y la comunicación (TICs), necesarios para llevar
a cabo la auditoría.
Desarrollo profesional continuo.
5.4.3 Alcance de un Programa de Auditoría
Al determinar el alcance del programa de auditoría, o sea: procesos a auditar, sitios a auditar,
cantidad de auditorías anuales, qué se audita en cada auditoría, requisitos normativos a auditar
en cada proceso, cantidad de veces que se auditará cada proceso durante el año y demás, el
Responsable del SGC deberá tener en cuenta uno o más de los siguientes factores:
o
El objetivo del Programa de Auditoría.
o
La/s Norma/s a auditar.
o
El número, importancia, complejidad, similaridad y ubicación de las actividades
a ser auditadas.
o
Los factores que influyen en la eficacia del SGC.
o
Resultados de auditorías internas y externas previas, y de la Revisión por la
Dirección. P. ej., el análisis de estos resultados puede llevar a definir que cierto
proceso deberá ser auditado nuevamente, o establecer frecuencia trimestral
para la auditoría a otros procesos, o definir auditorías extraordinarias para
verificar el cierre eficaz de los hallazgos registrados en auditor&íacute;as
previas.
o
Cuestiones culturales, sociales, de lenguaje.
o
Quejas o reclamos de clientes u otras partes interesadas.
o
Cambios significativos del contexto del auditado, sus operaciones, RyO,
productos o servicios.
o
No-conformidades internas de productos o servicios.
5.4.4 Determinación de los recursos del Programa de Auditoría
El Responsable del SGC deberá determinar los recursos necesarios para llevar a cabo el
Programa de Auditoría, y para ello debería considerar:
o
Los recursos financieros y de tiempo necesarios.
o
Los métodos de auditoría aplicables.
o
La disponibilidad de los auditores que tengan competencia apropiada para
realizar la auditoría.
o
El alcance del programa de auditoría, sus RyO asociados.
o
Costos y tiempos de viajes, hoteles, manutención, traslados y demás aspectos
logísticos necesarios para realizar la auditoría.
o
Disponibilidad de TICs.
o
Disponibilidad de información documentada solicitada previa a la auditoría.
11
o
Requerimientos relacionados con las instalaciones: autorizaciones de
seguridad, ingreso de equipos informáticos y teléfonos, antecedentes, equipos
de protección personal (EPP), otros según sea requerido.
5.5 Implementación del Programa de Auditoría
5.5.1 Generalidades
Una vez que el Programa de Auditoría haya sido establecido por el Responsable del SGC (ver
5.4.3) y los recursos necesarios hayan sido determinados (ver 5.4.4), se debe realizar la
planificación operacional y la coordinación de todas las actividades incluidas en el programa.
El Responsable del SGC debe:
o
Comunicar a las partes afectadas el Programa de Auditoría, incluyendo los RyO
identificados. Asimismo, debe mantenerlos informados acerca del progreso del
programa, a lo largo del tiempo.
o
Definir: objetivos, alcance y criterios para cada auditoría individual dentro del
programa (si el programa incluye una única auditoría en todo el año, esto queda
definido cuando se establece el Programa Anual).
o
Seleccionar los métodos de auditoría a utilizar (dependiendo de si la auditoría
es presencial o remota; realización de entrevistas; uso de listas de chequeo;
revisión documental con participación del auditado o sin ella; muestreo de
productos, servicios, actividades de los procesos; observación de realización del
trabajo; análisis de registros y resultados; otros).
o
Coordinar y agendar las auditorías y otras actividades relevantes.
o
Asegurar la competencia de los auditores (ver 5.5.4).
o
Proveer los recursos necesarios (ver 5.4.4).
o
Asegurar que se cumpla el Programa de Auditoría, abordando los riesgos
operacionales, oportunidades y cuestiones relacionadas que surjan durante la
implementación del programa.
o
Asegurar que la información documentada pertinente a las actividades de
auditoría está gestionada y mantenida (ver 5.5.7).
o
Definir e implementar los controles necesarios (ver 5.6) para el seguimiento del
programa de auditoría.
o
Revisar el programa de auditoría con el fin de identificar oportunidades para su
mejora.
5.5.2 Definición de objetivos, alcance y criterios para una auditoría individual
Dijimos reiteradas veces, pero va una vez más, que el Programa de Auditoría se realiza para un
período de tiempo, generalmente anual, y que incluye todas las auditorías que se van a realizar
en ese año. Dijimos también que, en función del tamaño de la organización y otros factores, un
Programa de Auditoría puede incluir una única auditoría anual o varias. En ambos casos, lo
primero que hay que garantizar es que con esa auditoría única o con el total de auditorías que
se planifiquen, se auditen todos los procesos y todos los requisitos normativos aplicables, por lo
menos una vez al año.
12
Entonces, cuando nos aproximamos a la fecha de esa única auditoría anual o de cada una de las
auditorías programadas, es necesario planificar esa auditoría, de manera que esté lineada con
el Programa de Auditoría, sus objetivos, alcance y demás.
El objetivo de una auditoría podría ser (siempre alineado con 5.2) cumplir con uno o más de los
siguientes puntos:
o
Determinar el grado de conformidad con todos los requisitos aplicables de la
norma de referencia (ISO 9001:2015), o con alguno de sus requisitos.
o
Evaluar la eficacia y eficiencia del SGC, por ejemplo, a través del cumplimiento
de los Objetivos de la Calidad.
o
Identificar Oportunidades de Mejora para el SGC.
o
Evaluar la adecuación del SGC al contexto actual en el que se encuentra la
organización y la dirección estratégica.
o
Evaluar la capacidad del SGC para establecer y lograr objetivos, abordar
eficazmente los RyO, adaptándose a los cambios de contexto.
5.5.3 Selección y determinación de los métodos de auditoría
El Responsable del SGC debería seleccionar y determinar los métodos más adecuados para
realizar la auditoría de forma eficaz y eficiente, dependiendo de los objetivos, alcance y criterios
definido.
Las auditorías internas pueden ser presenciales, remotas o una combinación de ambas. La
elección de cómo se realizará cada una dependerá de los RyO que se identifiquen, que podrían
afectar el cumplimiento de los objetivos para esa auditoría.
5.5.4 Selección del equipo auditor
El Responsable del SGC debe designar a las personas que formarán parte del equipo auditor,
incluyendo al auditor líder del equipo. Si hay un único auditor, este debe desempeñar todas las
tareas aplicables al auditor líder.
Para asegurar la competencia del equipo auditor, se debe tener en cuenta la competencia
necesaria para alcanzar los objetivos de esa auditoría. Puede ser que entre todo el equipo se
alcance esa competencia o que uno de los auditores ya la tenga.
La cantidad de auditores que realizarán una auditoría depende de: la competencia general del
equipo auditor, la complejidad de la auditoría y/o tipo y complejidad de los procesos auditados,
si es presencial o remota, si es conjunta con más de una norma de referencia, si se puede
asegurar la objetividad e imparcialidad de los auditores, la capacidad del equipo auditor para
interactuar con el auditado, el contexto, el lenguaje de la auditoría y características sociales y
culturales del auditado, y otros.
Podrá incluirse dentro del equipo a auditores en entrenamiento, pero deberán participar bajo la
dirección de un auditor.
5.5.5 Responsabilidades del Auditor Líder en una auditoría individual
Una vez seleccionado el Auditor Líder, el Responsable del SGC deberá garantizar su acceso a la
siguiente información:
13
o
Objetivos, criterios y alcance de la auditoría.
o
Procesos y métodos asociados.
o
Composición del equipo auditor.
o
Detalles de contacto con el auditado, ubicaciones, tiempos, duración de la
auditoría.
o
Recursos necesarios para la realización de la auditoría.
o
Información necesaria para abordar los RyO identificados, para el logro de los
objetivos de la auditoría.
o
Lenguaje de la auditoría (si aplica).
o
Contenido del informe de la auditoría y a quién debe entregarlo.
o
Asuntos relacionados con la confidencialidad y la seguridad de la información.
o
Cualquier arreglo sobre salud, seguridad o ambiente de trabajo.
o
Requisitos para el desplazamiento o acceso a los diferentes sitios de la auditoría.
o
Resultados de auditorías previas, para que pueda realizar su seguimiento.
5.5.6 Gestión de los resultados del Programa de Auditoría
El Responsable del SGC debe asegurar que se realicen las siguientes actividades:
o
Evaluación del logro de los objetivos establecidos para cada auditoría.
o
Revisión y aprobación de los informes de auditoría, respecto del cumplimiento
del alcance y objetivos de la auditoría.
o
Revisión de la eficacia de las acciones tomadas para el tratamiento de los
hallazgos de la auditoría.
o
Distribución de los informes de auditoría a las personas pertinentes de la
organización (u otras partes interesadas externas, si fuera convenido).
o
Determinación de la necesidad de realización de una auditoría de seguimiento.
o
Determinación de si los hallazgos identificados en una auditoría pueden afectar
otros procesos.
5.5.7 Gestión y mantenimiento de los registros del Programa de Auditoría
El Responsable del SGC debe asegurarse de que los registros se generan, gestionan y mantienen
para demostrar la implementación del Programa de Auditoría.
Los registros pueden incluir:
o
o
o
Registros relacionados con el Programa de Auditoría: Cronograma, objetivos,
alcance, RyO, contexto, revisión de la eficacia del Programa de Auditoría.
Registros relacionados con cada auditoría: Plan de auditoría, informe, hallazgos
con sus evidencias objetivas, informes de no conformidades, informes de
correcciones y acciones correctivas, informes de seguimiento de la auditoría.
Registros relacionados con el equipo auditor: Evidencia de evaluación de
competencia y desempeño de cada auditor; criterios para la selección de los
14
auditores y del auditor líder; registros de mantenimiento y mejora de
competencia.
5.6 Seguimiento del Programa de Auditoría
El Responsable del SGC debería asegurarse de evaluar:
o
El cumplimiento de los cronogramas y objetivos del programa de auditoría: para
determinar si se han alcanzado.
o
El desempeño de los miembros del equipo auditor: para verificar sus
competencias y capacidades.
o
El cumplimiento del plan de auditoría: para verificar la capacidad de los
auditores para cumplir con lo establecido y verificar si es necesario realizar
alguna auditoría extraordinaria (en caso de que el plan no se haya cumplido).
o
La retroalimentación: de los clientes de la auditoría, auditados, auditores, y
otras partes interesadas.
o
La idoneidad y nivel de adecuación de la información documentada: utilizada a
lo largo del proceso de auditoría.
o
La necesidad de modificar el Programa de Auditoría, en función de: hallazgos de
la auditoría; nivel de eficacia y madurez del SGC auditado; eficacia del programa
de auditoría; alcance del sistema auditado; conflictos de intereses identificados,
otros.
5.7 Revisión y mejora del Programa de Auditoría
El Responsable del SGC debería revisar el programa de auditoría para evaluar si se cumplieron
los objetivo planificados.
En función de los resultados de dicha evaluación, se deben aprovechar las lecciones aprendidas
y utilizarse como datos de entrada para la mejora del programa.
El Responsable del SGC debería asegurar que se realiza:
o
La revisión de la implementación general del programa de auditoría.
o
La identificación de las oportunidades de mejora para cada proceso de la gestión
del programa de auditoría.
o
La aplicación de cambios en el programa, de ser necesarios.
o
La revisión del desarrollo profesional continuo de los auditores.
o
El informe de los resultados del programa de auditoría.
La revisión del Programa de Auditoría debería considerar los siguientes puntos:
o
Resultados y tendencias del seguimiento del programa de auditoría. P. ej.:
siempre falta o sobra tiempo; cada vez quedan más procesos sin auditar; se
redujeron los conflictos con los auditores durante las auditorías; la planificación
de los recursos es más eficaz, y otros.
o
Conformidad con los procesos de auditoría: P. ej.: si se cumplió, según lo
establecido, con las condiciones para ser auditor interno; si se respetó el plan
de auditoría establecido, y otros.
15
o
Registros del programa de auditoría: P. ej.: si se completaron todos los registros
establecidos, están completos, claros y con las evidencias objetivas requeridas
(tanto para los cumplimientos como para los incumplimientos).
o
Métodos de auditoría nuevos o alternativos: debería identificarse la necesidad
de adquisición o adaptación a nuevos métodos de auditoría, si fuera necesario,
en función del contexto cambiante a nivel global, por ejemplo, la incorporación
de auditorías remotas.
o
Métodos alternativos para la evaluación de los auditores: p. ej., en función de
los resultados alcanzados, de su eficacia en cumplir con el plan de auditoría y
los procedimientos establecidos, y otros.
o
Eficacia de las acciones para abordar los RyO de la auditoría: se debe verificar
que las acciones tomadas para contener, minimizar o eliminar los riesgos, o para
potenciar las oportunidades identificadas, fueron eficaces y los riesgos no
afectaron el cumplimiento de la auditoría, así como las oportunidades lo
favorecieron.
16
Descargar