Programa de auditoría vs. Plan de auditoría

Comparación  entre el Programa de Auditoría de sistemas de gestión y el plan de auditoría

En un reciente taller para Auditores Internos de sistemas de gestión se presentó la duda de cómo determinar las diferencias entre el Programa de Auditoría y el Plan de auditoría. Para quienes tenemos muchos años manejando el tema de las auditorías internas, sus métodos y prácticas aceptadas, y que están reflejadas en las normas ISO tanto de sistemas de gestión como la norma ISO 19011 nos parece evidente la diferencia, sin embargo para quienes se están iniciando en llevar adelante las auditorías internas en sus organizaciones parece no estar tan claro a qué nos referimos en cada caso.

 Cuando hablamos de un Programa de auditoría, nos referimos a describir la forma planificada y sistemática cómo se realizan una o varias auditorías internas en una organización. En particular, las referentes a los sistemas de gestión. El programa de auditoría contempla la planificación, la implementación y seguimiento a las auditorías que se realizan en un período dado. En la planificación, se determina el objetivo del programa, su alcance y los criterios de auditoría que se aplicarán para las diversas auditorías a realizar, así como el cronograma (generalmente tentativo) con las fechas cuando se realizarán las diferentes auditorías.

En la norma ISO 9001:2015 se indican otros aspectos a establecer en un programa de auditoría, tales como: procedimientos y métodos de auditoría, las responsabilidades de quien gestiona el programa y de los miembros de los equipos auditores que vayan a realizar las auditorías individuales, los criterios de selección de sus miembros, los riesgos de la auditoría, la presentación de los resultados de las auditorías, entre otros elementos.

Como información documentada, el programa de auditoría puede documentarse en la categoría de “documento”, a fin de describir los elementos y actividades de dicho programa.  Finalmente, el programa se revisa periódicamente para adecuarse a las necesidades de la organización y de los clientes de la auditoría. 

Ahora bien, cuando hablamos de un Plan de auditoría, nos referimos a un registro que incluye la planificación de una auditoría individual. Este plan se deriva del Programa de auditoría en su fase de implementación. El plan de auditoría incluye el objetivo, el alcance y los criterios de auditoría aplicables a esa auditoría en particular, y que están considerados en el programa como parte de su objetivo general. Pero también se incluyen otros detalles importantes como: el lugar y fecha de realización de la auditoría individual, el calendario y horario de las diversas actividades, los riesgos potenciales que pueden afectar el desarrollo de la auditoría,los miembros del equipo auditor que participarán y los representantes del auditado que deben estar presentes durante la realización de la auditoría, entre otros.

El plan se elabora en la fase inicial previa a la auditoría en el sitio y debería comunicarse al auditado para que sea de su conocimiento y se pueda realizar algún ajuste cuando sea necesario antes de iniciar el proceso.

La forma y el contenido del plan pueden variar según las necesidades de la organización y los requisitos establecidos en el programa de auditoría, no obstante, en ISO 19011:2018 se proporcionan orientaciones a este respecto

En conclusión, el programa de auditoría constituye el marco general para la realización de las diferentes auditorías internas, y en el mismo se incluyen las disposiciones necesarias para su planificación, implementación y revisión. Por otro lado, el Plan de Auditoría es un documento que se elabora cada vez que se vaya a realizar cualquier auditoría y su contenido se deriva de lo establecido en el programa de auditoría. Además, este plan es comunicado al auditado a fin de que se puedan tomar las previsiones del caso.

Cualquier comentario o inquietud sobre lo aquí presentado pueden dejarlos en los comentarios a la entrada de este foro.

QUALITYPS Nº 46

LOS AUDITORES DE SISTEMAS DE GESTIÓN

o Los auditores son las personas calificadas para llevar a cabo las auditorías de sistemas de gestión. Ellos deberían contar con la educación, la formación y la experiencia, así como los atributos personales y las habilidades necesarias para asegurar el éxito del proceso. Así mismo, debería asegurarse de mantener actualizadas estas competencias.

o -El apoyo que pueda proporcionar la Alta Dirección para la formación y el desarrollo de auditores internos va creando equipos de auditores que, en conjunto con auditados bien dispuestos, podrán sacar mayor provecho de los procesos de auditoría bajo un enfoque GANAR-GANAR.

o Las auditorías internas son una actividad demasiado importante para dejarlo bajo la responsabilidad de una sola persona. El equipo de auditorías internas de una organización debería tener de 2 a 6 personas con la preparación adecuada y, al menos una de ellas debería estar calificada para desempeñar el rol de líder del equipo auditor.

o Es probable que los auditores internos no sigan con tanto rigor las directrices establecidas en ISO 19011:2011 para Las auditorías de sistemas de gestión. Ellos conocen mejor la Organización, sus procesos y a sus compañeros de trabajo.

o Es esencial que los auditores internos mantengan informada a la Alta Dirección (cliente) sobre el estado de avance de las acciones correctivas y de los resultados de las auditorías de seguimiento que se realicen.

o No obstante la formación que pueda proporcionarse al auditor, nada reemplaza el conocimiento directo adquirido por la experiencia.

o Los auditores externos pueden tener una percepción más objetiva de la situación, y la mayoría de ellos poseen mayor experiencia sobre la manera de llevar a cabo el proceso. También, con los auditores externos, se tiende a lograr mayor imparcialidad en las apreciaciones al evaluar las evidencias recolectadas.

o Por su parte, los auditores internos poseen un mayor conocimiento sobre la Organización y sus problemas, y tienen mayor accesibilidad a la información requerida. También, disponen de más tiempo para recolectar las evidencias y para realizar las demás actividades de la auditoría.

o Conducta del auditor. El auditor debe actuar en todo momento bajo los principios de objetividad e imparcialidad que exige este proceso. En primer lugar, la conducta ética caracterizada por el profesionalismo, la confianza, la integridad, la confidencialidad y la discreción. En segundo termino la veracidad y exactitud en la información que se proporcione, basada en las evidencias que así lo demuestren.

o Calificación del auditor. Cada auditor debe tener la calificación apropiada según sea su rol en el proceso, ya sea como líder del equipo auditor, o como simple auditor calificado. Los requisitos para la calificación y evaluación de los auditores están establecidos en la sección 7 de la norma ISO 19011:2011.

o Conocimientos y habilidades. Es importante que las personas que conduzcan las auditorías de calidad posean una buena comprensión de los procesos, del sistema auditado, de los principios y métodos eficaces, así como también de los requisitos para llevar a cabo la auditoría. Además deben dominar las técnicas para el análisis de los datos, técnicas para el manejo de entrevistas, la comunicación oral y la preparación de informes.

o Atributos personales. Aunque la preparación académica y la experiencia profesional es fundamental, la personalidad y el carácter del auditor también lo son. se necesitan personas maduras en su actitud, equilibradas en su juicio, e imparciales en sus apreciaciones con autoestima, tenacidad, sensibilidad, libres de prejuicios y con alta capacidad para trabajar bajo presión. Por la naturaleza de estos procesos, los auditores deben contar además con un buen trato en sus relaciones humanas para facilitar la comunicación y obtención de las evidencias que llevarán a los resultados de la auditoría.

o RECOPILADO POR: José Manuel Sarmiento M.
o Febrero 2012

EL ESTADO Y LA IMPORTANCIA DE LOS PROCESOS Y LAS ÁREAS DEL SGC A SER AUDITADAS

Los procesos de auditoría interna tienen limitaciones de tiempo para su ejecución, por lo tanto es necesario establecer en la planificación aquellos procesos y aquellas áreas donde es necesario poner atención a la hora de planificar la auditoría interna.

• El estado o status es la situación del proceso o área a auditar. Esta situación puede establecerse si es un proceso o área de bajo o regular desempeño donde se está realizando mejoras y se hace necesario incluirlos en la auditoría para el seguimiento de los avances de la implementación de las mismas. Puede ser también un proceso o área que ha provocado problemas recientemente o hay evidencias de su no conformidad. Por ejemplo, en una empresa existe un programa de formación sin embargo se han notado problemas en el cumplimiento de estos programas al no darse los cursos previstos y cuando se dan no se dictan en la fecha prevista. Entonces, se debería tomar en cuenta esto para incluir los procesos de formación en la planificación de la auditoría interna. Por el contrario, pudiera haber procesos o áreas de buen desempeño que pudieran ser auditadas según el tiempo disponible.

• En cuanto a la importancia, se deberían considerar aquellos procesos que tienen decisiva importancia en la eficacia del SGC. Por supuesto, en el caso de las empresas certificadas, en busca de la Certificación o sujetas a la exigencia por parte de los clientes de la conformidad del SGC con la norma ISO 9001, se deberían considerar todos los procesos involucrados en los requisitos de ISO 9001. Sin embargo, hay procesos o áreas que pudieran tener un cierto impacto en la satisfacción de los requisitos del producto, que pudieran ser auditados o no según sea necesario. Esto es lo que se refiere a ser considerados al elaborar el plan de auditoría. Sería muy sencillo tomar los requisitos ISO 9001 únicamente, pero esto no es necesariamente suficiente PARA ASEGURAR LA EFICACIA DEL sgc.

En definitiva, todo esto va a depender de las exigencias de los clientes, de las necesidades de la Organización y de los resultados de las auditorías anteriores.
Si existen procesos y áreas que no han tenido problemas y han estado conformes, podría tomarse la decisión de no auditarlos en aras de otros procesos y áreas que, por su estado actual y su importancia, tienen prioridad. Algunos de ellos pudieran no presentar problemas Pero si son áreas claves para la calidad (en otras palabras, sumamente importantes) entonces aún habiendo estado conformes, de todas maneras se incluyen. Por ejemplo, si hablamos de la formación, pudiera no incluirse en la planificación si no hay evidencias de fallas en su desempeño, mientras que la medición de la satisfacción del cliente regularmente ha estado conforme pero, aún así, se incluye en la auditoría.
Las evidencias del cumplimiento de este requisito de ISO 9001 (El estado y la importancia de los procesos y las áreas a auditar) deben reflejarse en los programas, los planes de auditoría o en los registros de la auditoría que se elaboren al respecto. A menudo la selección de los procesos y las áreas a auditar se reflejan en los registros de la Revisión por la Dirección, una vez considerados los objetivos de la calidad, los problemas de calidad y los resultados de auditorías anteriores.
Claro que todo esto es válido en auditorías internas. En auditorías de certificación, los criterios pudieran ser otros. Las auditorías de certificación toman en consideración los procesos y las áreas que involucran los requisitos de la norma de referencia.

LAS OBSERVACIONES DE AUDITORÍA

Dentro de un proceso de auditoría de certificación, la organización debe estar muy atenta a las observaciones que hayan surgido de la auditoría. Éstas pueden haber sido en gran número, sobretodo en sistemas jóvenes, es decir, en sistemas que se están certificando por primera vez, ya que habrá muchos resquicios de la norma a los cuales no se les da la debida importancia en ese momento, debido a que la auditoría se centra en el cumplimiento de los requisitos ineludibles de la certificación.

A medida que se va haciendo el recorrido, el auditor va obteniendo los hallazgos de auditoría. Éstos pueden generar conformidades, no conformidades, observaciones u oportunidades de mejora. Todos los hallazgos de auditoría deben ser registrados y es fundamental que éstos sean comunicados al auditado, especialmente si se consideran no conformidades, allí mismo donde sean encontrados para que éste las comprenda y reconozca como exacto el hallazgo. El auditor no debería retirarse de un sector donde ha detectado una No conformidad o una Observación sin habérselo explicado a quien ha auditado y asegurarse que ha sido debidamente comprendido.

A menudo se da el caso de que la situación derivada del hallazgo de auditoría no merezca una No Conformidad, sin embargo, ese hallazgo podrá ser catalogado como una Observación por el equipo auditor. Esta observación constituye sólo un llamado de alerta para una situación que tal vez podría subsanarse con relativa facilidad, aunque, de persistir, podría derivar en una falla importante en un requisito de la norma en futuras auditorías.

Mientras que las No Conformidades deben ser analizadas por el auditado, proponer un plan correctivo y fijar un plazo para su levantamiento, las observaciones deben ser también analizadas por la organización, aunque las acciones correctivas de las mismas serán verificadas en la próxima auditoría de mantenimiento.

La organización no puede ignorar lo que ha merecido una observación del equipo auditor. Con frecuencia, el auditado centra su atención en atender las no conformidades por ser decisivas para obtener o mantener la certificación no obstante, también debe analizarlas observaciones luego de la auditoría con la misma minuciosidad con la que se analiza una no conformidad, incluso habiendo obtenido la certificación, de modo de presentar en la próxima auditoría las acciones correctivas que se tomaron al respecto. Una observación no considerada o que no haya podido ser subsanada será seguramente una No Conformidad en la próxima auditoría.

Para concluir, la organización no debería sentirse decepcionada por la presencia de No Conformidades y mucho menos por las observaciones encontradas. Las acciones correctivas que todas ellas generan, son parte de la mejora continua a la cual se ha comprometido la Organización, y ayudan a aceitar el mecanismo del sistema de gestión.

Acerca de los auditores de certificación

Comentando acerca de los auditores de certificación, deberíamos tener claro varios elementos presentes en el proceso de certificación. Por un lado, unas normas de referencia, por ejemplo, ISO 9001, y por el otro, un sistema de gestión de calidad implementado y documentado. Pero, en el medio de ellos estamos nosotros, las personas, unos operando ese sistema tal como está diseñado, implementado y documentado, y por el otro, los auditores de certificación, quienes verifican la conformidad del sistema con respecto a los documentos de referencia. Las personas de ambos lados tienen sus criterios de cómo se aplican los requisitos de la norma, producto de su educación, formación habilidades y experiencias, lo que conocemos como competencias.

Para bien o para mal, esos son los lentes que tenemos las personas para realizar la evaluación del trabajo que se lleva a cabo en la Organización y de cómo se cumplen los requisitos de las normas.

Los auditores cuentan con las herramientas necesarias para desarrollar su trabajo de manera eficaz. Sus competencias y cualidades personales se desarrollan en la medida que aumenta su experiencia. En primer lugar, existen cursos de formación de auditores, luego, tiene a su disposición más de 30 documentos denominados Buenas prácticas de auditoría desarrollados por el Auditing Practice Group del comité ISO TC 176, mediante los cuales se trata de minimizar el componente subjetivo y dictar pautas acerca de como interpretar en particular la norma ISO 9001. Adicionalmente, muchas de esas orientaciones sirven también para las auditorías de otros sistemas de gestión.

Uno de los aspectos acerca de la experiencia del auditor que me parece fundamental es haber trabajado en la implementación de algún sistema de gestión, es decir, haber estado "del otro lado de la calle", e incluso haber sido parte del ente auditado. Eso le permite tener una visión amplia y mente abierta a la hora de auditar, lo cual es una de las cualidades esenciales de un buen auditor.

Por último, deberíamos estar claros que como auditados estamos sujetos, aunque no lo queramos, a los juicios del auditor. Él es un ser humano como lo somos nosotros, y pueden tener un punto de vista diferente acerca de algún tema puntual de la auditoría, pero es el auditor quien determina la no conformidad, no el auditado, ni tampoco es un debate que se establece hasta llegar a un resultado por consenso. Puede ser que en un momento dado no tenga los criterios claros, pero el debería presentar sus resultados debidamente sustentados y para ello cuenta con las herramientas necesarias que hemos mencionado.

QUALITYPS Nº 18

ACERCA DE LA CERTIFICACIÓN

o La certificación de calidad es el reconocimiento otorgado por un organismo de certificación externo, que verifica de una manera seria, transparente y detallada la conformidad del sistema de gestión de calidad de la empresa, o también de los productos y/o servicios que ofrece, con respecto a los requisitos de la norma de referencia para tal certificación.


o La implementación de un sistema de gestión de calidad eficaz en una organización demuestra de manera transparente, la preocupación real de la Dirección y de su personal por la mejora continua, la eficiencia, la eficacia y la calidad. Por consiguiente,la empresa que valora la calidad de sus procesos, productos y/o servicios también valorará la certificación de su SGC.


o Para obtener la certificación de su Sistema de gestión de Calidad, la Organización se somete a un proceso de evaluación basado en la realización de auditorías externas por parte de un organismo de certificación, un ente autónomo que proporciona el reconocimiento de la organización ante sus clientes, proveedores, accionistas y la colectividad en general.


o la certificación reconoce que la empresa dispone en la práctica de un sistema de gestión de la calidad eficaz, lo cual proporciona a los clientes y otras partes interesadas un grado adecuado de confianza en la capacidad de la organización para cumplir los requisitos establecidos para los productos y/o servicios de la empresa.


o La gestión de la calidad desarrolla su trabajo manteniendo el foco en el cliente, informándose de cuáles son sus necesidades y expectativas, para luego, lograr la plena satisfacción de sus requisitos y buscar continuamente la mejora de la calidad


o A través de una visión sistémica, la organización se ve y se concibe como un ser vivo, donde todos los departamentos deberían trabajar de forma interconectada, interactuando y relacionándose entre sí , a fin de unir sus fuerzas, conocimientos, capacidades y talentos en pro de la calidad.


o La certificación también es de gran valor para la Alta Dirección de la organización ya que, mediante la evaluación sistemática de todos los aspectos del Sistema de Gestión de Calidad y sus procesos de trabajo, se pueden detectar las desviaciones en todas las etapas de la realización del producto y que, una vez corregidas, aportarán numerosos beneficios a la empresa.


o La práctica de la gestión de la calidad debería ir continuamente en pro de las oportunidades para mejorar el desempeño de la organización y de lograr y mantener la certificación.


o La organización debería preocuparse por el desempeño de los procesos claves, y siempre estar atento a lo que atañe a la evaluación, realizando mediciones, análisis de registros y seguimiento de los indicadores, actuando de manera preventiva y correctiva, siempre premiando la mejora continua de la calidad de sus productos y/o servicios.


o A través del ciclo PHVA (Planificar, Hacer, Verificar y Actuar) o ciclo de Shewhart, la empresa planea, definiendo indicadores, objetivos y métodos para lograr la certificación. También realiza todos sus trabajos de conformidad con las normas técnicas establecidas, verifica, monitorea y controla el desempeño de todos los procesos. El ciclo se cierra al actuar de acuerdo a los resultados obtenidos, haciendo girar de nuevo el ciclo PHVA mediante la realización de una nueva planificación para adecuar la política y los objetivos de calidad a los cambios que se produzcan


o La certificación posee un innegable valor para que la empresa permanezca no solo sólida en el mercado, sino que escale altos "vuelos". Esta visión estratégica no sólo asegura la satisfacción plena del cliente, sino que garantiza la continuidad de sus productos y/o servicios, proporcionando un diferencial, en un mercado de difícil supervivencia, y también es un prerrequisito para la solidez y el crecimiento futuro de la organización


o Las organizaciones que obtienen la certificación de su SGC pueden operar en el mercado diferenciándose de sus competidores y destacándose con un cierto nivel de credibilidad. En consecuencia, se vuelven más competitivas y pueden ganar más y más “cuotas" de mercado.


o Mediante la certificación, la organización adquiere ante sus clientes y otras partes interesadas un sentido de responsabilidad, transparencia y ética en el cumplimiento de sus obligaciones, y con la participación, el compromiso y la dedicación de su personal en el desarrollo de sus actividades la organización podrá alcanzar sus objetivos y conseguir cada vez más fortalecer y expandir sus negocios.

AUDITAR LOS PROCESOS DE SEGUIMIENTO Y MEDICIÓN

Al auditar los procesos de seguimiento y medición, es importante que el auditor entienda la diferencia entre seguimiento y medición.

 Realizar seguimiento implica observación, supervisión, mantenimiento bajo revisión, (usando equipos de seguimiento); esto puede involucrar la medición o ensayos a intervalos, especialmente para efectos de la regulación o el control.

 El proceso de medición es el conjunto de operaciones que permite determinar una cantidad física, magnitud o dimensión (utilizando para ello un equipo de medición) (ver ISO 9001:2005, sección 3.10.2).

 Los equipos de medición se definen en ISO 9000:2005, sección 3.10.4 como un instrumento de medición, software, patrón de medida, material de referencia, equipo auxiliar o una combinación de éstos, que son necesarios para llevar a cabo un proceso de medición.

La calibración de un equipo de medición solo es requisito cuando es utilizado con el propósito de medir para proveer evidencias de la conformidad de un producto con los requisitos determinados, ya sea por la medición del producto o del proceso.

Los equipos o los aparatos pueden ser usados como una indicación, para el seguimiento o la medición. El mismo equipo podría ser utilizado para estas tres funciones. Por ejemplo, en algunas industrias, un medidor de presión puede ser utilizado así:

o Como un indicador, para asegurar que la presión está presente,
o Como un aparato de seguimiento, para asegurar que el proceso es estable y la presión está bajo control y,
o Como un equipo de medición, cuando un valor preciso de la presión es importante para la calidad del producto.

Sin embargo, el nivel de control depende del uso que se le dará al equipo y determina si debería ser calibrado o verificado. La profundidad y grado de esta confirmación puede variar, dependiendo de la naturaleza del producto, los servicios y los riesgos relacionados. En aquellos casos donde la Organización haga uso de equipos de m edición, se debe obtener evidencia de que las necesidades metrológicas de los procesos de producción o de servicio han sido identificados/especificados apropiadamente y, que los sistemas de medición han sido diseñados y son operados y mantenidos de manera tal que se cumplan las necesidades metrológicas aplicables.
El auditor debería confirmar que, además de la provisión de los registros de calibración necesarios y el aseguramiento de la incertidumbre y la trazabilidad relacionados con la medición. La Organización está pendiente de y tiene implementado, como sea apropiado, un sistema de confirmación metrológica adecuado a los tipos y a la extensión de la medición utilizada, tal como se describe en ISO 10012. La confirmación metrológica se define en ISO 9000:2005, sección 3.10.3, como el conjunto de operaciones necesarias para asegurar que el equipo de medición cumple con los requisitos para su uso previsto.
A partir de la descripción anterior, la Organización debería ser capaz de decidir si puede excluir todos los requisitos de la cláusula 7.6 o parte de ellos.