¿Qué es una auditoría de sistemas de gestión?
Probablemente, hayas escuchado en tu trabajo la frase “tenemos auditoría” y todo el mundo se pone a buscar, actualizar o incluso “crear” documentos y registros que se supone deberían estar. Pero ¿De qué tratan las auditorías? ¿Quiénes la realizan? ¿Por qué se ponen a trabajar tan arduamente antes de atenderlas? Para responder estas preguntas debemos entender primero algunos conceptos.
¿Sabes que es la Certificación y por qué es importante?
¿Qué es una auditoría?
De acuerdo con la ISO 9000:2015 Fundamentos y vocabulario, una auditoría es:
“Proceso sistemático, independiente y documentado para obtener evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría”.
Sin embargo, al leer esta definición podría no estar del todo claro su significado, por lo cual vamos a desglosarlo un poco.
En primer punto nos dice que es un proceso, al ser un proceso significa que requiere elementos de entrada, estos elementos de entrada serán transformados en salidas mediante una serie de actividades. En un proceso de auditoría la entrada más común sería la necesidad de revisar qué tanto cumple un sistema de gestión contra los requisitos de una ISO, esta necesidad a través de diferentes actividades será transformada en un informe que contenga en qué grado está cumpliendo el sistema de gestión (incluidas las no conformidades).
Procesos Sistemáticos de una Auditoría
El siguiente punto establece que el proceso es sistemático, lo que significa que sigue o se ajusta a un sistema, en este caso se refiere a que se va a seguir los requisitos de la norma ISO en cuestión y se ajustará a los procedimientos establecidos por la propia empresa.
Procesos Independiente de una Auditoría
Después nos dice que es un proceso independiente, en este caso hace referencia al principio de auditoría “Independencia”, que de acuerdo con la ISO 19011:2018 significa que se debe actuar de una manera libre de sesgo y conflicto de intereses y para las auditorías internas, los auditores deberían ser independientes de la función que se audita, si es posible. Que de manera más simple sería que no deberías auditar tu propio trabajo ni a personas u organizaciones que pudieran afectar tu toma de decisiones.
Procesos Sistemáticos de una Auditoría
El otro punto de la definición establece que es un proceso documentado, que de manera simple significa que debe existir evidencia documental de todas las actividades que se realicen, los ejemplos más comunes son: el programa de auditoría, el plan o agenda de auditoría, listas de asistencia, listas de verificación, notas de auditoría, informe de auditoría, registro de las no conformidades y evidencia documental revisada.
Obtención de Evidencias
La siguiente parte del concepto establece que se deben obtener evidencias objetivas, que son datos que respaldan la existencia o veracidad de algo, que puede obtenerse por medio de la observación, medición, ensayo o por otros medios y generalmente se compone de registros, declaraciones de hechos u otra información que son pertinentes para los criterios de auditoría y verificables. Un ejemplo claro para entenderlo sería lo siguiente:
Si una empresa dice que ha comunicado su política de la calidad, la evidencia objetiva podría ser la política publicada en su página web o pegada en carteles en toda la organización.
Evaluación de Evidencias
El concepto también establece que las evidencias deben ser evaluadas de manera objetiva, esto se refiere a que su evaluación no debe verse influida por el criterio del auditor, ni por el criterio del auditado, sino por parámetros previamente establecidos en el propio procedimiento de auditoría.
Por último, el concepto establece que se debe determinar el grado en que se cumplen los criterios de auditoría, es decir, que de acuerdo con los criterios de auditoría (la norma ISO en cuestión) vamos a declarar si se están cumpliendo o no los requisitos establecidos y darles una clasificación a los incumplimientos (no conformidades).
¿Cuáles son los tipos de auditorías?
Podrás encontrar diferentes clasificaciones de las auditorías dependiendo del autor, pero aquí veremos la clasificación oficial establecida en la norma ISO 19011:2018 Directrices para la realización de auditorías a los sistemas de gestión y es la siguiente:
Auditorías de primera parte
Son aquellas realizadas por la propia organización, normalmente llamadas auditorías internas, donde se realiza la revisión del sistema de gestión entre las áreas de la empresa, cuidando siempre la imparcialidad e independencia. También es válido efectuar la contratación de una empresa externa para que haga la auditoría interna.
Auditorías de segunda parte
Son aquellas hechas por alguna de las partes interesadas de la organización, regularmente por clientes o proveedores. En los casos más comunes, un cliente que quiera asegurarse de que tu organización tiene un buen sistema de gestión y que puedes proporcionarle productos o servicios de calidad recurrirá a hacerte auditorías de segunda parte.
Auditorias de tercera parte
Son aquellas ejecutadas por un organismo de evaluación de la conformidad o por una autoridad gubernamental. Por otra parte, las autoridades gubernamentales te pueden auditar para revisar si estás cumpliendo con una Ley, reglamento o norma oficial.
Importancia de las auditorías
Las auditorías son un método de evaluación que nos proporciona indicadores acerca de qué tanto cumple nuestro sistema de gestión y se mide a través de los hallazgos de auditoría, es decir, entre más hallazgos tengamos en la auditoría, más necesitamos mejorar nuestro sistema de gestión. Esto no significa que los hallazgos de auditoría sean malos, todo lo contrario, nos ayudan a mejorar continuamente nuestro sistema de gestión. Lo realmente malo es que no hagamos nada para corregir los hallazgos de las auditorías.
“Aprendemos más de nuestros errores que de nuestros aciertos”
Clasificación de los hallazgos
Es importante que le preguntes a la persona que te audita cuál es su criterio de clasificación de los hallazgos, aunque en teoría se deberían clasificar de la siguiente forma de acuerdo con las ISO 9000:2015 y la ISO 17021-1:2015:
- Conformidad: Cumplimiento de un requisito
- No conformidad: Incumplimiento de un requisito
- Oportunidad de mejora: Cumplimiento débil de un requisito, que es susceptible a mejora
Y a su vez, las no conformidades se pueden clasificar en:
- No conformidad Mayor: Incumplimiento de un requisito que afecta a la capacidad del sistema de gestión para lograr los resultados previstos (ver nuestro artículo sobre resultados previstos)
Las no conformidades pueden ser clasificadas en las siguentes:
- Si existe una duda significativa de que se haya implementado un control eficaz de proceso, o de que los productos o servicios cumplan los requisitos especificados;
- una cantidad de no conformidades menores asociadas al mismo requisito o cuestión podría demostrar una desviación sistemática y, por tanto, constituye una no conformidad mayor.
- No conformidad menor: Incumplimiento de un requisito que no afecta la capacidad del sistema de gestión para lograr los resultados previstos (ver nuestro artículo sobre resultados previstos)
- Observación: No conformidad menor que se detecta en una muestra no relevante, por ejemplo, de 10 documentos comprobados, solo 1 no cumple con los requisitos.
Varias observaciones asociadas al mismo requisito pueden constituir una no conformidad menor.
Consecuencias de no pasar una auditoría
Dependiendo del tipo de auditoría es la consecuencia y podrían ser, más no limitarse a:
Auditorías de primera parte (internas)
Las consecuencias normalmente se limitan a tener que realizar una acción correctiva exhaustiva para verificar la no conformidad, aunque dependiendo de la exigencia de cada organización podrían ser más graves.
Auditorías de segunda parte,
Las consecuencias son más severas y podrían resultar en la pérdida de una relación comercial importante, como u cliente.
Auditorías de tercera parte
Conllevan a consecuencias de impacto económico alto, si es una auditoría de certificación o acreditación se deben proceder pagos adicionales para que el organismo vuelva a evaluar las acciones correctivas que planteamos, escalando hasta tener que repetir el ejercicio de auditoría y por ende, volver a pagar el servicio de certificación o acreditación (que no es barato).
Es por lo anterior que cuando escuchamos la frase “vamos a tener auditoría” todas las personas se pongan tan activas.
[…] Auditorías Internas, que son y como realizarlas. Clic aquí. […]
[…] ¿Qué es una auditoría de certificación? […]