Además de los objetivos de negocio que fijan cada año, las organizaciones también persiguen metas como obtener la certificación de una norma ISO, implementar Sistemas de Gestión y mejorar su capacidad de cumplimiento en diversas áreas, como calidad, medio ambiente, seguridad y salud en el trabajo o seguridad de la información.
Lograr la certificación de una norma ISO contribuye a alcanzar los objetivos comerciales. Pero también asegura la operabilidad de la organización en un marco de seguridad normativo y regulatorio en las áreas que aborda el estándar que se adopta.
La Escuela Europea de Excelencia acaba de lanzar el nuevo curso Transición a ISO/IEC 27001:2022, que está diseñado para ayudar a prepararse para la transición a la nueva versión de 2022 de ISO/IEC 27001.
Las señales de alerta contra el fraude se refieren a situaciones o condiciones indeseables que contribuyen constantemente al fraude, el despilfarro y el abuso de recursos.
Todas las organizaciones se enfrentan alriesgo de fraude, que puede ser interno o externo. Los riesgos internos provienen de personas dentro de la organización que pueden usar su posición para enriquecerse mediante la apropiación indebida de recursos y activos, propiedad de la organización. Por otro lado, los riesgos externos provienen de funcionarios gubernamentales, clientes y contratistas que pueden tratar de obtener dinero ilegalmente.
Un primer punto a tener en cuenta acerca de la capacitación interna para la implementación de sistemas ISO es que aunque no es obligatoria, sí es recomendable y aporta importantes beneficios.
Si se está implementando una norma con personal interno para quien el cumplimiento de ISO no es su principal conjunto de habilidades, la formación específica en los estándares ISO puede ser beneficiosa para comprender el proceso con más profundidad, acelerar el proyecto y sacar el máximo partido a la implementación.
En nuestro artículo previo acerca de los pasos a seguir para realizar la auditoría de un SGSI explicamos, por un lado, los factores a considerar para preparar la auditoría interna al Sistema de Gestión de Seguridad de la Información. Y, por otro, la secuencia de actividades a seguir para hacerla efectiva.
En esta ocasión, ampliamos esta información preliminar con recomendaciones útiles para optimizar el resultado de la auditoría de un SGSI en la práctica.
La auditoría de compliance es la fórmula adecuada para evaluar y comprobar que una organización cumple con todas sus obligaciones voluntarias o reglamentarias. El Cumplimiento es importante para las organizaciones por dos razones: el impacto financiero que tiene el incumplimiento y la necesidad de proteger la reputación y el valor de la marca.
Hablar de evaluar el cumplimiento implica considerar demasiadas áreas. Una auditoría de compliance total podría llegar a ser interminable si no se pone la lupa sobre puntos críticos estratégicos.
Integrar múltiples sistemas de gestión es una opción cada vez más acogida por un mayor número de organizaciones. Adoptar un modelo de gestión integrado implica invertir tiempo, dinero, recursos humanos y tecnológicos, pero los beneficios superan los costes, lo que explica el crecimiento de adhesiones.
Más allá de los beneficios, integrar múltiples sistemas de gestión es un camino lógico para seguir. Tres razones, que además involucran beneficios directos, justifican esta afirmación.
La política de seguridad y salud en el trabajo es un documento obligatorio en ISO 45001 y su importancia es indiscutible. Es la política la que permite a la Alta Dirección declarar y afirmar su compromiso con la seguridad y bienestar de sus empleados.
La política de seguridad y salud en el trabajo es solicitada en la cláusula 5.2 de la norma. El documento, sin embargo, debe contener declaraciones sobre otros temas relacionados con la Seguridad y la Salud de los trabajadores, además del compromiso de la Alta Dirección.
La auditoría interna de sistemas de calidad es un requisito obligatorio para las organizaciones que esperan certificar su gestión basada en el estándar ISO 9001. Al auditar el Sistema de Gestión de la Calidad, la organización verifica la conformidad con los requisitos de la norma.
Esto es especialmente importante, antes de llegar a la auditoría de certificación. La auditoría interna de sistemas de calidad evidencia problemas que se pueden resolver antes de enfrentar al auditor externo y que, de hecho, resultarían incómodos si apareciesen en ese momento crítico.
Pero la auditoría interna de sistemas de calidad basados en la norma ISO 9001 también ofrece beneficios después de que el sistema obtiene la certificación. Los informes de un auditor interno generan confianza en la Alta Dirección y promueven la mejora continua del Sistema, lo cual es un requisito de la norma.
¿Cómo realizar la auditoría interna de sistemas de calidad basados en ISO 9001?
Este tipo de evaluaciones pueden ser efectuadas por auditores internos, formados dentro de la organización. Estos profesionales pueden estar dedicados a esa única función o ser esta una tarea accesoria a otras, como suele ocurrir en organizaciones pequeñas.
Los auditores internos de calidad, experimentados o novatos, encontrarán interesante un decálogo de recomendaciones para obtener el mejor provecho de una auditoría interna de sistemas de calidad basados en ISO 9001:
1. Preparar y planificar
La práctica de una auditoría a un SGC basado en ISO 9001 requiere tiempo, disponibilidad de algunos empleados, recursos tecnológicos y un plan. Esto implica diseñar un cronograma, asegurar la presencia de los empleados que serán entrevistados, alertar a los que deban proveer documentación o informes, garantizar la asignación de dispositivos u otro tipo de recursos tecnológicos…
Todo ello hace parte del plan de trabajo. La planificación se hace de acuerdo con el alcance y el objetivo de la auditoría. Esta puede ser apenas para un área, limitada a determinados requisitos del estándar, o general, abordando todos los capítulos del estándar.
2. Preparar los cuestionarios
La recopilación de evidencia se efectúa haciendo uso de diversas metodologías. La inspección de documentos es una de ellas, así como las entrevistas a empleados propietarios de procesos clave.
Muchos auditores, en especial los que no cuentan con suficiente experiencia, tienen problemas con las entrevistas. Una razón recurrente para que ello ocurra es la falta de preparación de cuestionarios.
Los entrevistados perciben la falta de preparación del auditor. Las preguntas deben ser precisas, coherentes y referentes al proceso. Es importante trabajar en la redacción, evitando cuestionamientos inquisitivos e intimidantes. En algunos casos, basta con solicitar una descripción de cómo se lleva a cabo el proceso a diario.
3. Recopilar evidencia de conformidad, no evidencia de culpabilidad
Los auditores pueden sentirse tentados a tratar de encontrar culpables y tratarlos como infractores. El objetivo de la auditoría interna de sistemas de calidad es recopilar evidencia de la conformidad con los requisitos del sistema.
Dentro de ese proceso se encontrarán problemas, no conformidades y otros hallazgos que, por supuesto, deben ser informados y documentados, pero no juzgados o censurados por el auditor. No es el momento, y no es la persona competente para hacerlo.
4. Seguir el programa
El plan de trabajo, el cronograma y la lista de verificación guían al auditor interno durante la evaluación. Con frecuencia, los auditores encuentras problemas que abren otros caminos.
Esto no es negativo. Pero es importante que esos hallazgos se mencionen y se programe otra auditoría para explorar esas posibilidades. En la auditoría actual, el evaluador debe ceñirse al programa, al plan preparado, al cronograma y al alcance y objetivos específicos del momento.
5. Ser empático con los auditados
Es común que los auditores asuman una posición dominante sobre sus auditados y establezcan barreras que dificultan la comunicación. Los auditados suelen sentirse intimidados ante la práctica de una auditoría por el solo hecho de ser una evaluación de su trabajo y una búsqueda de problemas o procedimientos mal ejecutados.
Es natural que los empleados se sientan inhibidos y cohibidos. Un auditor poco empático no ayuda mucho en ese momento. El resultado es un bloqueo que impide obtener declaraciones útiles para identificar problemas o para obtener evidencia de conformidad. Los empleados necesitan sentirse cómodos con el auditor y tener la libertad de expresar lo que piensan y lo que sucede a diario mientras desarrollan sus tareas.
Los problemas de empatía no siempre provienen del auditor. Es justo reconocer que hay empleados que no se toman muy bien la auditoría. Pero la responsabilidad de profesionalismo y dominio de la situación recae sobre el auditor. Él es el profesional que está obligado a mantener el control. Antes que caer en una discusión o un intercambio de voces acaloradas, lo más prudente es tomar nota para incluir una glosa en el informe de auditoría.
7. Tomar notas procedentes
En los tres anteriores consejos se invita al auditor a tomar notas y consignarlas en el informe de auditoría. La capacidad para tomar buenas notas, que después serán el objetivo de otra auditoría, o que desencadenen investigaciones útiles para mejorar el sistema, es una habilidad que agrega alto valor al trabajo de un auditor interno de calidad.
Las notas deben ser procedentes, claras, argumentadas y concisas. Las buenas notas generan auditorías futuras relevantes e importantes para el propósito general de esta tarea: obtener la mejora continua del sistema.
8. Realizar una reunión de cierre de auditoría
Algunos auditores no consideran imprescindible la reunión de cierre de auditoría. Para los auditados, para la organización, para los encargados del Sistema de Gestión de la Calidad, y para el mismo auditor, es una oportunidad para reforzar conceptos, estrechar lazos con los auditados, explicar algunos puntos que pudieron quedar inconclusos o aclarar hallazgos.
Muchos auditores aprovechan la oportunidad para explicar las razones por las que determinados eventos formarán parte del informe final, y que esto no tome por sorpresa a los auditados, generando inconformidad o rechazo hacia el trabajo del auditor.
9. Producir pronto el informe de la auditoría interna de sistemas de calidad
La distancia en el tiempo, entre el momento en que se realiza la auditoría y el momento en que se presenta el informe definitivo a la Alta Dirección, es inversamente proporcional a la eficacia de la actividad.
A mayor tiempo, menor eficacia. Lo ideal sería entregar informes definitivos de la auditoría interna de sistemas de calidad, al día siguiente en que se ejecuta la reunión de cierre. 48 horas resultan aceptables.
10. Hacer seguimiento a la implementación de acciones correctivas
La auditoría interna de sistemas de calidad no concluye con la presentación del informe. El auditor debe monitorear y hacer seguimiento a la implementación de las acciones correctivas que el mismo indica en los informes a la Alta Dirección.
Las acciones correctivas no siempre buscan solucionar problemas. Algunas de ellas buscan mejorar la gestión, lo cual, se reafirma, es uno de los objetivos de la auditoría interna de sistemas de calidad.
La Transformación Digital, que lleva a la automatización de Sistemas de Gestión, facilita la realización de auditorias internas y a la producción de informes eficaces. La mejora de la gestión de la calidad es así una consecuencia apenas natural. La formación es otro elemento esencial.
Formación para impulsar el Sistema de Gestión de Calidad
Calidad es un área prioritaria dentro de la oferta formativa de la Escuela Europea de Excelencia. El Diplomado en Gestión de la Calidad ISO 9001:2015 es un programa integral que aborda todos los aspectos de la gestión, incluida la auditoría.
Los alumnos del Diplomado, como los del Curso, además de recibir su acreditación como expertos y como auditores internos, encuentran una gran facilidad para obtener la Certificación ERCA – Registro Europeo de Auditores Certificados —, que les permite trabajar en cualquier país de Europa o de América Latina. Inscríbete ahora.
