La asignación de roles y responsabilidades en ISO 14001 aparece en la cláusula 5.3 del estándar de gestión ambiental. La norma indica, en el mismo epígrafe, que es la Alta Dirección la encargada de realizar la tarea.
Además de asignar roles y responsabilidades en ISO 14001, la Alta Dirección también necesita informar y comunicar sobre ello a las personas que reciben las asignaciones y a los empleados en todos los niveles de la organización.
La auditoría de compliance es la fórmula adecuada para evaluar y comprobar que una organización cumple con todas sus obligaciones voluntarias o reglamentarias. El Cumplimiento es importante para las organizaciones por dos razones: el impacto financiero que tiene el incumplimiento y la necesidad de proteger la reputación y el valor de la marca.
Hablar de evaluar el cumplimiento implica considerar demasiadas áreas. Una auditoría de compliance total podría llegar a ser interminable si no se pone la lupa sobre puntos críticos estratégicos.
Los controles del Anexo A de ISO/IEC 27001 son, en una definición muy concisa, las prácticas o acciones que debe implementar y ejecutar la organización, si de acuerdo con su gestión de riesgos de seguridad de información, ha identificado amenazas susceptibles de ser prevenidas o eliminadas utilizando cualquiera de estos controles.
Así, se infiere que los controles del Anexo A de ISO 27001 no son todos de obligatorio uso. La norma ISO 27001 solo requiere que la organización implemente los que sean necesarios, de acuerdo con los riesgos que ha identificado, su gravedad y su probabilidad de ocurrencia.
Integrar múltiples sistemas de gestión es una opción cada vez más acogida por un mayor número de organizaciones. Adoptar un modelo de gestión integrado implica invertir tiempo, dinero, recursos humanos y tecnológicos, pero los beneficios superan los costes, lo que explica el crecimiento de adhesiones.
Más allá de los beneficios, integrar múltiples sistemas de gestión es un camino lógico para seguir. Tres razones, que además involucran beneficios directos, justifican esta afirmación.
El Gerente de Riesgos o Risk Managerocupa una posición estratégica dentro de una organización moderna. Su tarea no se limita a predecir eventos desafortunados e informar sobre ellos. El Gerente de Riesgos debe asumir diferentes roles para desempeñar su trabajo con eficacia.
A continuación, explicamos cuáles son esas competencias y roles que deben asumir los profesionales del área de gestión de riesgos en la actualidad.
La política de seguridad y salud en el trabajo es un documento obligatorio en ISO 45001 y su importancia es indiscutible. Es la política la que permite a la Alta Dirección declarar y afirmar su compromiso con la seguridad y bienestar de sus empleados.
La política de seguridad y salud en el trabajo es solicitada en la cláusula 5.2 de la norma. El documento, sin embargo, debe contener declaraciones sobre otros temas relacionados con la Seguridad y la Salud de los trabajadores, además del compromiso de la Alta Dirección.
La auditoría interna de sistemas de calidad es un requisito obligatorio para las organizaciones que esperan certificar su gestión basada en el estándar ISO 9001. Al auditar el Sistema de Gestión de la Calidad, la organización verifica la conformidad con los requisitos de la norma.
Esto es especialmente importante, antes de llegar a la auditoría de certificación. La auditoría interna de sistemas de calidad evidencia problemas que se pueden resolver antes de enfrentar al auditor externo y que, de hecho, resultarían incómodos si apareciesen en ese momento crítico.
Pero la auditoría interna de sistemas de calidad basados en la norma ISO 9001 también ofrece beneficios después de que el sistema obtiene la certificación. Los informes de un auditor interno generan confianza en la Alta Dirección y promueven la mejora continua del Sistema, lo cual es un requisito de la norma.
¿Cómo realizar la auditoría interna de sistemas de calidad basados en ISO 9001?
Este tipo de evaluaciones pueden ser efectuadas por auditores internos, formados dentro de la organización. Estos profesionales pueden estar dedicados a esa única función o ser esta una tarea accesoria a otras, como suele ocurrir en organizaciones pequeñas.
Los auditores internos de calidad, experimentados o novatos, encontrarán interesante un decálogo de recomendaciones para obtener el mejor provecho de una auditoría interna de sistemas de calidad basados en ISO 9001:
1. Preparar y planificar
La práctica de una auditoría a un SGC basado en ISO 9001 requiere tiempo, disponibilidad de algunos empleados, recursos tecnológicos y un plan. Esto implica diseñar un cronograma, asegurar la presencia de los empleados que serán entrevistados, alertar a los que deban proveer documentación o informes, garantizar la asignación de dispositivos u otro tipo de recursos tecnológicos…
Todo ello hace parte del plan de trabajo. La planificación se hace de acuerdo con el alcance y el objetivo de la auditoría. Esta puede ser apenas para un área, limitada a determinados requisitos del estándar, o general, abordando todos los capítulos del estándar.
2. Preparar los cuestionarios
La recopilación de evidencia se efectúa haciendo uso de diversas metodologías. La inspección de documentos es una de ellas, así como las entrevistas a empleados propietarios de procesos clave.
Muchos auditores, en especial los que no cuentan con suficiente experiencia, tienen problemas con las entrevistas. Una razón recurrente para que ello ocurra es la falta de preparación de cuestionarios.
Los entrevistados perciben la falta de preparación del auditor. Las preguntas deben ser precisas, coherentes y referentes al proceso. Es importante trabajar en la redacción, evitando cuestionamientos inquisitivos e intimidantes. En algunos casos, basta con solicitar una descripción de cómo se lleva a cabo el proceso a diario.
3. Recopilar evidencia de conformidad, no evidencia de culpabilidad
Los auditores pueden sentirse tentados a tratar de encontrar culpables y tratarlos como infractores. El objetivo de la auditoría interna de sistemas de calidad es recopilar evidencia de la conformidad con los requisitos del sistema.
Dentro de ese proceso se encontrarán problemas, no conformidades y otros hallazgos que, por supuesto, deben ser informados y documentados, pero no juzgados o censurados por el auditor. No es el momento, y no es la persona competente para hacerlo.
4. Seguir el programa
El plan de trabajo, el cronograma y la lista de verificación guían al auditor interno durante la evaluación. Con frecuencia, los auditores encuentras problemas que abren otros caminos.
Esto no es negativo. Pero es importante que esos hallazgos se mencionen y se programe otra auditoría para explorar esas posibilidades. En la auditoría actual, el evaluador debe ceñirse al programa, al plan preparado, al cronograma y al alcance y objetivos específicos del momento.
5. Ser empático con los auditados
Es común que los auditores asuman una posición dominante sobre sus auditados y establezcan barreras que dificultan la comunicación. Los auditados suelen sentirse intimidados ante la práctica de una auditoría por el solo hecho de ser una evaluación de su trabajo y una búsqueda de problemas o procedimientos mal ejecutados.
Es natural que los empleados se sientan inhibidos y cohibidos. Un auditor poco empático no ayuda mucho en ese momento. El resultado es un bloqueo que impide obtener declaraciones útiles para identificar problemas o para obtener evidencia de conformidad. Los empleados necesitan sentirse cómodos con el auditor y tener la libertad de expresar lo que piensan y lo que sucede a diario mientras desarrollan sus tareas.
Los problemas de empatía no siempre provienen del auditor. Es justo reconocer que hay empleados que no se toman muy bien la auditoría. Pero la responsabilidad de profesionalismo y dominio de la situación recae sobre el auditor. Él es el profesional que está obligado a mantener el control. Antes que caer en una discusión o un intercambio de voces acaloradas, lo más prudente es tomar nota para incluir una glosa en el informe de auditoría.
7. Tomar notas procedentes
En los tres anteriores consejos se invita al auditor a tomar notas y consignarlas en el informe de auditoría. La capacidad para tomar buenas notas, que después serán el objetivo de otra auditoría, o que desencadenen investigaciones útiles para mejorar el sistema, es una habilidad que agrega alto valor al trabajo de un auditor interno de calidad.
Las notas deben ser procedentes, claras, argumentadas y concisas. Las buenas notas generan auditorías futuras relevantes e importantes para el propósito general de esta tarea: obtener la mejora continua del sistema.
8. Realizar una reunión de cierre de auditoría
Algunos auditores no consideran imprescindible la reunión de cierre de auditoría. Para los auditados, para la organización, para los encargados del Sistema de Gestión de la Calidad, y para el mismo auditor, es una oportunidad para reforzar conceptos, estrechar lazos con los auditados, explicar algunos puntos que pudieron quedar inconclusos o aclarar hallazgos.
Muchos auditores aprovechan la oportunidad para explicar las razones por las que determinados eventos formarán parte del informe final, y que esto no tome por sorpresa a los auditados, generando inconformidad o rechazo hacia el trabajo del auditor.
9. Producir pronto el informe de la auditoría interna de sistemas de calidad
La distancia en el tiempo, entre el momento en que se realiza la auditoría y el momento en que se presenta el informe definitivo a la Alta Dirección, es inversamente proporcional a la eficacia de la actividad.
A mayor tiempo, menor eficacia. Lo ideal sería entregar informes definitivos de la auditoría interna de sistemas de calidad, al día siguiente en que se ejecuta la reunión de cierre. 48 horas resultan aceptables.
10. Hacer seguimiento a la implementación de acciones correctivas
La auditoría interna de sistemas de calidad no concluye con la presentación del informe. El auditor debe monitorear y hacer seguimiento a la implementación de las acciones correctivas que el mismo indica en los informes a la Alta Dirección.
Las acciones correctivas no siempre buscan solucionar problemas. Algunas de ellas buscan mejorar la gestión, lo cual, se reafirma, es uno de los objetivos de la auditoría interna de sistemas de calidad.
La Transformación Digital, que lleva a la automatización de Sistemas de Gestión, facilita la realización de auditorias internas y a la producción de informes eficaces. La mejora de la gestión de la calidad es así una consecuencia apenas natural. La formación es otro elemento esencial.
Formación para impulsar el Sistema de Gestión de Calidad
Calidad es un área prioritaria dentro de la oferta formativa de la Escuela Europea de Excelencia. El Diplomado en Gestión de la Calidad ISO 9001:2015 es un programa integral que aborda todos los aspectos de la gestión, incluida la auditoría.
Los alumnos del Diplomado, como los del Curso, además de recibir su acreditación como expertos y como auditores internos, encuentran una gran facilidad para obtener la Certificación ERCA – Registro Europeo de Auditores Certificados —, que les permite trabajar en cualquier país de Europa o de América Latina. Inscríbete ahora.
La práctica de la auditoría interna de seguridad de la información es un tema que despierta interés aún antes de la implementación formal del Sistema de Gestión basado en la norma ISO 27001.
La auditoría interna de seguridad de la información, para profesionales y organizaciones que han hecho el tránsito completo, desde la planificación de la implementación hasta la certificación del sistema, puede ser algo rutinario ahora.
El control operacional en ISO 14001 es abordado en la cláusula 8 del estándar —Planificación y control operativos— que trata sobre la definición e implementación de controles. La definición de controles efectivos garantiza el alcance del objetivo principal de la gestión basada en ISO 14001: mitigar o eliminar el impacto negativo que causa la operación de la organización en el medio ambiente.
Esto explica por sí solo la importancia del control operacional en ISO 14001. Por ello, es imprescindible tomar todas las precauciones necesarias para definir e implementar los controles de manera inteligente y eficiente.