Auditar el enfoque basado en riesgo es un reto para los auditores internos y para los organismos de certificación especializados en ISO 9001:2015. Tanto unos como otros tienen que dejar de usar técnicas tradicionales de gestión de riesgos e imponer métodos creativos e innovadores a sus clientes si desean demostrar la conformidad con el requisito de la norma.
Este punto consiste en comprobar que la organización ha tenido en mente en todo momento el riesgo y no necesariamente han de existir documentos que lo demuestren.
El proceso de auditoría ISO 9001 al auditar el enfoque basado en riesgo
Empecemos por comprender lo que hacen los auditores. En teoría, deben reunir evidencia objetiva para evaluar la conformidad de una organización con los requisitos de la norma ISO 9001. Esto significa que deben existir dos entradas en el proceso de auditoría: los requisitos y las evidencias.
Los requisitos de ISO 9001:2015
al auditar el enfoque basado en riesgos
Para auditar el enfoque basado en riesgo, uno necesita “pensar” en el riesgo al implementar, administrar, mantener y mejorar un SGC. Específicamente, la norma señala la necesidad de evaluar los riesgos en las siguientes áreas:
- Al determinar el contexto de la organización.
- Al determinar los procesos necesarios para el SGC.
- Al atender a los riesgos asociados con la conformidad del producto o servicio.
- Al atender a los riesgos posteriores a la entrega.
La intención parece ser que la organización, de manera autónoma, determine el nivel de rigor que requiere implementar este requisito de acuerdo con su grado de apetencia ante el riesgo.
Las evidencias al auditar el enfoque basado en riesgo
Si intentamos comprender qué es “evidencia objetiva”, podemos concluir que se trata de las pruebas que se recopilan más allá de las opiniones y el sesgo del auditor, y que un tercero podría confirmar en una fecha posterior.
Durante décadas, los auditores han sido capacitados para creer que las únicas formas aceptables de evidencia son los documentos y los registros. Esto no es absolutamente cierto. Otras formas de obtener evidencia objetiva son:
- Observación directa del trabajo de una o múltiples partes.
- Recolección de evidencia oral, en entrevistas y conversaciones.
- Sonidos, olores, evidencia táctil.
La cuestión es que la norma no exige documentar estas evaluaciones por lo que, al auditar el enfoque basado en riesgo, los auditores deben evitar la dependencia de documentos, registros y procedimientos. Algunos, que creen que no es posible auditar de otra manera que en base a documentos, deberían detenerse un momento a examinar nuevos puntos de vista y nuevas tendencias.
El trabajo de los auditores en #ISO9001 se centra en el #EnfoqueBasadoRiesgo. Descubre cómo hacerlo. Share on XAlgunas ideas para auditar el enfoque basado en riesgo en ISO 9001
Esta falta de concreción y de documentación conduce a que el auditor debe hallar evidencia tangible de un concepto intangible. Parece complejo, pero existen algunas ideas para lograrlo:
Documentar conversaciones u observaciones
Cuando empleamos evidencias que no son documentadas como las derivadas de conversaciones u observaciones, estas deben documentarse por el auditor para que queden bien reflejadas y cualquiera pueda saber de dónde vienen sus conclusiones.
Veamos un ejemplo de cómo se vería una conversación documentada en un informe de auditoría:
Entrevista con el Vicepresidente de Ingeniería: “La alta dirección indicó que durante el desarrollo e implementación del SGC se tendrían en cuenta riesgos específicos que afectaran a los requisitos mínimos de calidad solicitados por el cliente, la disponibilidad de mano de obra local y la recurrencia de problemas presentados de forma histórica con los servicios públicos. Como consecuencia se estableció el conjunto de procesos actual y la definición de los objetivos de calidad del sistema. Por ejemplo, el proceso de mantenimiento, anteriormente estaba integrado al área de producción, pero ahora es un proceso independiente que se administra con criterio técnico y basado en el riesgo que consideran los profesionales encargados”.
En este ejemplo, el testimonio rendido por el Vicepresidente se puede considerar evidencia objetiva, ya que puede ser confirmado por varios terceros de forma posterior. De hecho, de la entrevista se desprenden otros testimonios de apoyo que pueden demostrar la veracidad de las afirmaciones, sin necesidad de registros o documentos que lo demuestren.
Demostrar la no conformidad
Si es difícil para algunos auditores demostrar la conformidad, cuanto más lo será demostrar la no conformidad. Pues no lo es tanto. En la práctica, aparecen declaraciones que las confirmen. Veamos un ejemplo ya documentado por el auditor en este sentido:
Entrevista con el CEO: “hubo poca comprensión del riesgo y la alta dirección admite que no se han considerado muchos riesgos evidentes al desarrollar el SGC”.
Esto bastaría para demostrar la no conformidad. Pero, en el caso de que el entrevistado no “confiese”, una nota del auditor en tal sentido tendría que bastar: “la alta dirección no pudo nombrar los riesgos a afrontar ni las acciones que se planean tomar para abordar esos riesgos”.
Auditar intangibles puede ser en un principio novedoso y parecer complejo de abordar, pero es posible. La formación en el tema específico del enfoque basado en el riesgo puede ayudar.
Taller ISO 9001:2015 Enfoque Basado en Riesgos
El Enfoque Basado en Riesgos es la gran novedad que incorpora ISO 9001:2015. A la vez es un tema que requiere de un aprendizaje práctico. Por este motivo, la Escuela Europea de Excelencia ha programado el Taller ISO 9001:2015 Enfoque Basado en Riesgos, para que, desde la práctica, los alumnos asimilen este tema que entraña algunas complejidades, y entiendan la importancia de utilizar herramientas como FEMA o AMFE.
Si estás interesado en mejorar tus capacidades en ISO 9001 a través de este taller, solo tienes que inscribirte aquí.