Inicio / CÓMO REALIZAR UN PROGRAMA DE AUDITORÍA BASADO EN ISO 19011:2018

CÓMO REALIZAR UN PROGRAMA DE AUDITORÍA BASADO EN ISO 19011:2018

Por: Ing. Victor Cuervo

MS Consultores S.A.S.

 

El programa de auditoría es una herramienta que ha perdido o no ha tenido importancia en las organizaciones que tienen un sistema de gestión implementado. Algunas de las causas que llevan a esto son:

  • No se entiende el objetivo del programa de auditoría.
  • Se confunde con el plan de auditoría y no se realiza. Programa de auditoría y plan de auditoría son dos herramientas diferentes, independientes y complementarias. Una no reemplaza la otra.
  • Se hace igual al plan de auditoría, con alguna pequeña variación.
  • Se diseña erróneamente.
  • No es usado por el equipo auditor para la planificación de la auditoría interna.
  • No se realiza o aprueba en conjunto con el cliente de la auditoría.
  • A lo anterior, el cliente de la auditoría no le da la importancia que requiere.

Entre otras muchas razones, hacen que el programa de auditoría pierda su valor en un proceso de auditorías a sistemas de gestión.

En el presente blog abordaremos algunas recomendaciones para elaborar un programa de auditoría y recobre el valor que necesita.

Antes que nada, recordemos que el programa de auditoría es una herramienta definida en la norma ISO 19011:2018 y es elaborada por la persona o las personas que tienen la responsabilidad y competencia para su elaboración.  

El programa de auditoría según la definición de la ISO 9000:2015 es: Detalles acordados para un conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico.

ELABORACIÓN DEL PROGRAMA DE AUDITORÍA

Tenga en cuenta que para la elaboración del programa de auditoría debe tener en cuenta como mínimo la siguiente información:

  1. Objetivos. Cuando se define el objetivo de un programa de auditoría no podemos caer en el mismo error de siempre colocar como objetivo “eterno”: “evaluar la conformidad del sistema de gestión de calidad con base en ISO 9001” o la norma de sistema de gestión que sea o colocar un (1) solo objetivo, recuerda que se puede colocar varios y diferentes objetivos y diferentes criterios de sistemas de gestión. El programa de auditoría debe dar respuesta a las necesidades del cliente de la auditoría (que por lo regular es la alta dirección o gerencia), a lo anterior, ¿Qué se debe hacer cuando uno tiene un cliente? regularmente uno lo primero que hace con un cliente es preguntarle cuáles son sus necesidades, entonces, ¿cuántas personas en la elaboración de un programa de auditoría, le preguntan a su cliente de auditoría (alta dirección): ¿Qué necesidades tiene para este ciclo de auditorías?, y una vez tienen esa respuesta, la usa como insumo para definir los objetivos del programa de auditoría.? Creo que no muchos gestores de programas de auditorías lo hacen, ¿entonces que debemos hacer? Lo primero para elaborar un programa de auditorías internas, es preguntar al cliente de la auditoría sus necesidades y con base en eso se definen los objetivos del programa de auditoría. Algunos ejemplos de objetivos de programa de auditoría que nos entrega la norma ISO 19011:2018 son:
  • identificar las oportunidades para la mejora del sistema de gestión y de su desempeño;
  • evaluar la capacidad del auditado para determinar su contexto;
  • evaluar la capacidad del auditado para determinar los riesgos y oportunidades, y para identificar e implementar acciones eficaces para tratarlos;
  • cumplir todos los requisitos pertinentes, por ejemplo los requisitos legales y reglamentarios, los compromisos de cumplimiento, los requisitos de certificación con una norma de sistemas de gestión;
  • obtener y mantener la confianza en la capacidad de un proveedor externo;
  • determinar la adecuación, idoneidad y eficacia continuas del sistema de gestión del
    auditado;
  • evaluar la compatibilidad y la alineación de los objetivos del sistema de gestión con la dirección estratégica de la organización.

Una vez tengo definido objetivos, estos deben ser medibles y si son medibles, es porque tienen un mecanismo para medir y asegurarme de que se han alcanzado dichos objetivos. Entonces debo medir el cumplimiento del objetivo y la implementación del programa. ¿Cuántos lo hacen?

  1. Riesgos y Oportunidades asociadas con el programa y sus respectivas acciones. Los riesgos y oportunidades a tratar están relacionadas con el contexto de la organización y la capacidad para cumplir los objetivos. Los riesgos están relacionados con:
  • la planificación, por ejemplo el fracaso a la hora de establecer objetivos pertinentes de auditoría y al determinar el alcance, número, duración, ubicaciones y calendario de las auditorías;
  • los recursos, por ejemplo conceder insuficiente tiempo, equipos y/o formación para desarrollar el programa de auditoría o para realizar una auditoría;
  • la selección del equipo auditor, por ejemplo insuficiente competencia general para realizar auditorías eficazmente;
  • la comunicación, por ejemplo procesos/canales de comunicación externos/internos ineficaces;
  • la implementación, por ejemplo una coordinación ineficaz de las auditorías con el programa de auditoría, o no tener en cuenta la seguridad y confidencialidad de la información;
  • el control de la información documentada, por ejemplo determinación ineficaz de la información documentada necesaria requerida por los auditores y las partes interesadas pertinentes, fracaso a la hora de proteger adecuadamente los registros de auditoría para demostrar la eficacia del programa de auditoría;
  • el seguimiento, revisión y mejora del programa de auditoría, por ejemplo seguimiento ineficaz de los resultados del programa de auditoría;
  • la disponibilidad y la cooperación del auditado y la disponibilidad de evidencias a muestrear.

Las oportunidades para mejorar el programa de auditoría pueden incluir:

  • permitir llevar a cabo múltiples auditorías en una única visita;
  • minimizar el tiempo y las distancias viajando a la sede;
  • igualar el nivel de competencia del equipo auditor con el nivel de competencia necesario para alcanzar los objetivos de la auditoría;
  • alinear las fechas de la auditoría con la disponibilidad del personal clave del auditado.
  1. Alcance: El alcance se define para cada auditoría no es para todo el programa de auditoría. El alcance está relacionado con las actividades, procesos, sedes y límites de la auditoría. El equipo auditor debe tener en cuenta este alcance como los límites para realizar su auditoría, sus preguntas, revisiones y evaluaciones, no pueden superar este alcance.
  1. Calendario: La cantidad de auditorías, la intensidad horaria y la frecuencia deben ser definidas por la persona o personas que gestionan el programa de auditoría, con base en diferentes factores tales como: Resultados de auditorías previas, alcance (sedes, ubicación), criterio, disciplina y sector, los riesgos y las oportunidades, las necesidades del cliente de auditoría, el grado de control que desea ejercer la organización y muchos otros factores.
  1. Tipos de Auditoría: Las auditorías pueden ser Internas o externas. Entre esas están auditorías internas, a proveedores o de clientes, gubernamentales o del organismo de certificación.
  1. Criterios de Auditoría: Un criterio es el documento normativo que contiene las especificaciones o requisitos a auditar. Ejemplo: norma:  ISO 9001 o requisito legal o procedimiento interno, etc.

Recuerden que se pueden auditar diferentes criterios a la vez y así mismo deberá ser la competencia del equipo auditor. Se pueden hacer auditorías combinadas entre ISO 9001 (Calidad) e ISO 14001 (Ambiental), entre otros, de acuerdo a la necesidades de la empresa.

  1. Métodos de Auditoría: Entre los métodos de auditoría a aplicar la norma ISO 19011:2018 en su Anexo A define varios ejemplos de métodos presenciales y virtuales que requieren o se pueden hacer bajo interacción con o sin el personal auditado, tales como:

 

Métodos

Presencial

Virtual

Interacción con los auditados

  • Entrevistas
  • Aplicación de listas de chequeo y cuestionarios
  • Revisión documental
  • Muestreo

A través de herramientas de comunicación:

  • Entrevistas
  • Observación del trabajo realizado
  • Aplicar listas de chequeo y cuestionarios
  • Revisión documental

Sin interacción con los auditados

  • Revisión documental
  • Observación
  • Visita a las instalaciones
  • Aplicación de listas de chequeo
  • Muestreo a verificación de productos
  • Revisión documental.
  • Observación del trabajo.
  • Análisis de la información.

 

Los métodos definidos por la organización para sus auditorías internas pueden estar en su procedimiento de auditorías internas o definidos dependiendo del tipo de auditoría a realizar en el programa de auditorías.

  1. Criterios para seleccionar a los miembros del equipo auditor. Para seleccionar al equipo auditor se debe tener en cuenta ante todo la competencia que se requiere para cumplir el objetivo de la auditoría, que no tenga conflicto de intereses con lo que se va a auditar, conocimiento y experiencia en el criterio de auditoría y en el sector de la organización (requisitos legales del sector, productos y servicios). Luego otros aspectos como ubicación, idioma y demás factores.

Asegúrese que todo el equipo auditor tenga la competencia que se necesita ejemplo, si entre los criterios de auditoría están ISO 9001 (Calidad) e ISO 14001 (Ambiental) puede ser que 1 auditor tenga la competencia en ISO 9001 y el otro en ISO 14001 o un solo auditor tenga la competencia en ambas normas. Use el rol de experto técnico en caso que el auditor no tenga la competencia, consiga una persona experta en el tema o sector y que acompañe al equipo auditor en los temas que no son competentes los auditores, así garantiza la competencia de todo el equipo auditor. Recuerde: use los expertos, siempre garantice la competencia del equipo auditor, es factor clave de éxito para los resultados de la auditoría.

Aproveche para programar observadores y guías que sean personas que están en proceso de formación de auditores para que comiencen a tener experiencia en horas de observadores o interacción con los auditores competentes, para futuras auditorías.

Recuerde que el que se seleccione como auditor líder es el auditor con mayor experiencia en el equipo realizando auditorías, que cuente con las habilidades necesarias para las responsabilidades que tiene el líder. Estas responsabilidades del líder están definidas en la norma ISO 19011.

  1. Información documentada pertinente. La información documentada de un proceso de auditoría puede estar relacionada a las actividades desde el programa, inicio de auditoría, apertura, realización de auditoría, informe, hallazgos, acciones correctivas y análisis de estas acciones correctivas. Todo este proceso puede estar definido en el procedimiento de auditorías internas de la organización.

Una vez tengo mi programa de auditoría finalizado por el gestor del programa de auditoría, este debe estar a aprobado por el cliente de la auditoría y cualquier cambio del programa debería ser aprobado por este cliente de la auditoría. Así garantizamos que los resultados de la auditoría realmente le agreguen valor al cliente de la auditoría que regularmente es la alta dirección. Muchas veces vemos que la alta dirección no presta relevancia a la auditoría, una de las causas es que sus resultados no están directamente relacionados con sus necesidades, si aseguramos que el programa y todos sus objetivos están relacionadas con las necesidades del cliente de la auditoría, podríamos asegurar un interés de este, cuando los resultados de estas auditorías se tengan disponibles.

Otra de las malas prácticas en los ejercicios de auditorías internas, es que el auditor líder o el equipo auditor inician o realizan su proceso de auditoría, desconociendo el programa de auditoría. La primera actividad del auditor interno debería ser la solicitud de este programa de auditoría y que, con base en este, él pueda realizar su plan de auditoría, así se asegura la trazabilidad desde la necesidad del cliente de auditoría, objetivos, programa, plan de auditoría, desarrollo de auditoría y sus resultados para presentar a las partes interesadas. Así que si somos el gestor del programa de auditoría entreguemos el programa al auditor líder o si somos el auditor líder pidamos el programa al gestor para asegurar su uso y los buenos resultados de la auditoría.

Anexo a este blog pueden encontrar un ejemplo de programa de auditoría, pero recuerden ustedes pueden rediseñarlo o ajustarlo para que se adecue a las condiciones de la empresa, este solo es un ejemplo genérico.

06-11-2018 |Categoría: General | 0 Comentarios

0 Comentarios

Deja un comentario

Para poder comentar debes ser un cliente registrado, debes iniciar sesión o registrarte.