Auditoríasdesistemasdegestiónenempresas

Apellidos,nombre GarcíaOrtega,Beatriz(beagaror@doctor.upv.es)

Departamento DepartamentodeOrganizacióndeEmpresas

Centro EscuelaTécnicaSuperiordeIngenieríaIndustrialUniversitatPolitècnicadeValència

Página1de9

1 ResumendelasideasclaveEn este objeto de aprendizaje vamos a presentar los criterios básicos en el desarrollo deauditorías de un sistema de gestión, de utilidad tanto desde el punto del auditor como delauditado:

Característicasdelobjetodeaprendizaje

1. Introducciónalasauditoríasdelossistemasdegestión

2. Criteriosaseguiryaspectosaconsiderarenlarealizacióndeestasauditorías

3. Formación útil tanto para el auditor como para elauditado

Tabla1.Característicasdelobjetodeaprendizaje.

2 ObjetivosLosobjetivosdeesteartículoson:

§ Aprenderenquéconsisteunaauditoríadeunsistemadegestión.

§ Conocercómoprepararunaauditoría.

§ Conocercómodesarrollarunaauditoría.

3 IntroducciónLarealizacióndeunaauditoríaesunprocesodegranrelevanciaencualquierorganización.Eselmomentoenelqueunterceroevalúaelcorrectofuncionamientodeunáreaodetoda laorganizaciónfrentealosrequisitosdeunestándardefinidoenelsistemadegestión.

Enlaprácticalaspartesevaluadassepuedensentirsometidasdealgúnmodoaexamen,yestopuede generar ansiedad o recelos. En realidad, los resultados de una auditoría debenconsiderarsecomounaentradaparaelanálisisdelaplanificacióndelnegocio,paraidentificarnecesidadesyendefinitivahandeentendersecomounaoportunidaddemejora.

Las auditorías son por tanto útiles para todas las organizaciones independientemente de sutamaño y pueden ser llevadas a cabo por un equipo auditor o por un auditor de formaindividual.

Aquínoscentraremosen lasauditorías internas, realizadasdentrode lapropiaempresaporpersonasoequiposindependientesalsistemaaauditar,conocidascomo‘deprimeraparte’,yen aquellas realizadas por las organizaciones a sus proveedores externos y a otras partesinteresadasexternas,o‘desegundaparte’.Estosdosprimerostiposdeauditoríassetratanen

Página2de9

laNormaENISO19011:2018.Porotrolado,laNormaISO/IEC17021-1presentalasauditoríasdesistemasdegestiónparalacertificacióndeterceraparte,consusdiferentesconnotaciones.

Enlatabla2serecogenestostrestiposdeauditoría:

Auditoríadeprimeraparte Auditoríadesegundaparte Auditoríadeterceraparte

Auditoríainterna Auditoríaexternadeproveedor

Auditoríadecertificacióny/oacreditación

-Auditoríaexternadeotraparteinteresada(otro

stakeholder)

Auditoríalegaloreglamentaria

Tabla2.Tiposdistintosdeauditorías.Fuente:ISO19011:2018

Notar que una auditoría no se puede improvisar. Requiere de un proceso previo depreparaciónque influirádecisivamenteensucorrectaejecución, independientementede losresultadosobtenidos.

4 DesarrolloParaempezar,esimportanteconocervariosconceptossegúnlaUNE-ENISO19011.Estosson:

Auditoría:Esunprocesosistemático, independienteydocumentadoparaobtenerevidenciasobjetivasyevaluarlasdeformaobjetivaconelfindedeterminarelgradoenquesecumplenloscriteriosdeauditoría.

¿Yquésonlasevidenciasobjetivas?Sondatosquerespaldanlaexistenciaoveracidaddealgo.

¿Yloscriteriosdeauditoría?Sonelconjuntoderequisitosusadoscomoreferenciafrentealoscualessecomparanlasevidenciasobjetivas.

Figura1.EvidenciasobjetivasvsCriteriosdeauditoría

Fuente:Elaboraciónpropia

Auditado:Organizaciónqueesauditadaensutotalidadoparte.

Equipoauditor:Unaomáspersonasque llevana cabounaauditoría. Si esnecesario conelapoyodeexpertos.

Clientedeauditoría:Organizaciónopersonaquesolicitaunaauditoría.Enocasionesclientedeauditoríayauditadonosonlomismo.

Alcancedeauditoría:Extensiónylímitesdelaauditoría.Loquehayqueauditar.

Evidenciasobjetivas

Criteriosdeauditoría

Página3de9

Programa de auditoría: Es el acuerdo sobre la auditoría o auditorías planificadas para undeterminadotiempoydirigidasaunpropósitoespecífico.

Plandeauditoría:Descripcióndelasactividadesydelosdetallesacordadosdeunaauditoría.

Hallazgosdelaauditoría:Resultadodelaevaluacióndelaevidenciaobjetivarecopiladafrentealoscriteriosdeauditoría.

Figura2.Hallazgodelaauditoría

Fuente:Elaboraciónpropia

Requisito:Necesidadoexpectativaestablecida,generalmenteimplícitauobligatoria.

Conformidad:Cumplimientodeunrequisito.

Noconformidad:Incumplimientodeunrequisito.

Conclusionesdelaauditoría:Eselresultadodelaauditoría,trasconsiderarlosobjetivosdelaauditoríaytodosloshallazgosdelaauditoría.

4.1 PrincipiosdeauditoríaUna auditoría debe basarse en 7 principios: integridad, imparcialidad, exactitud,confidencialidad,independencia,enfoqueenlaevidenciayenfoqueenriesgos.

1) Integridad: Profesionalidad en cuanto al desempeño de la actividad de formaética,honestay responsabley ser imparcial igualqueevitar cualquier influencia,asícomodisponerdelacompetenciasuficienteparadesarrollarunaauditoría.

2) Imparcialidad: Obligación de informar con veracidad y honestidad de cualquierelementodeldesarrollodelaauditoría.

3) Exactitud:Elauditordebeserconscientedelaresponsabilidadllevadaacaboporloquedebeemitirjuiciosrazonadasconcriterio.Cuidadoprofesional.

4) Confidencialidad: La información a la que se accede durante una consultoríainternaalaorganizaciónporloqueelprincipiodeconfidencialidadesimportanterespetarloencuantoalaproteccióndelainformacióncríticaosensible.

5) Independencia: Este principio se basa en el hecho de disponer de la máximaobjetividad posible en cuanto a no tener conflicto de intereses con el área uorganizaciónauditada.

Evidenciasobjetivas

Criteriosdeauditoría

Hallazgode

auditoría

Página4de9

6) Enfoque basado en la evidencia: De modo que las conclusiones alcanzadas sebasenenevidenciasfiablesyreproducibles.

7) Enfoquebasadoenriesgos:Esteprincipioinfluyeenelhechodequeelprocesodeauditoríasebaseenaquelloselementosquesonimportantesparaelclientedelaauditoríayenconsecuenciaconlosobjetivosdefinidosenelprograma.Elenfoquebasado en riesgos es de hecho la principal aportación de la versión 2018 de laNormaUNE-ENISO19011.

4.2 ProgramadeauditoríaDesdeel áreade calidady antesde iniciar cualquier auditoríaes fundamental establecerpreviamenteunprogramadeauditoría.Setratadeunaprogramacióndelasauditoríasquesevanarealizarenunaorganización.

Eneldesarrollodelprogramadeauditoríaesimportanteincluiraspectoscomo:

• Objetivosdelprogramadeauditoría.

• Determinación y evaluación de los riesgos y oportunidades del programa deauditoría.

• Establecerelprogramaensí,incluyendo:

o Rolesyresponsabilidadesdelosgestoresdelprogramadeauditoría.

o Competenciasdelosgestoresdelprogramadeauditoría.

o Extensióndelprogramadeauditoría.

o Determinacióndelosrecursosdelprogramadeauditoría.

• Implementacióndelprogramadeauditoría.

• Seguimientodelprogramadeauditoría.

• Revisiónymejoradelprogramadeauditoría.

LagestióndelprogramadeauditoríasenbasealaISO19011,contienecuatroetapas:

1. Planificar:Seestablecenlosobjetivos(característicasyrequisitosde losprocesos,productos y/o servicios y proyectos, requerimientos del sistema y de laorganizacióny/orequerimientos legales,necesidadesyexpectativasde losgruposde interés (internos y externos. Se determinan y evalúan también riesgos yoportunidades para el auditado y se establece el programa de auditoría (roles yresponsabilidades, competencia de los responsables del programa de auditorías,extensióndelprogramaydeterminaciónderecursos).

2. Hacer: Se lleva a cabo la implementación de la planificación operacional y lacoordinacióndelasactividades.

3. Verificar: Realizar el seguimiento o monitorización de que se cumplen loscalendarios, el desempeño del equipo auditor, la capacidad para implementar elplan, el feedback de todas las partes (cliente, auditores, técnicos, otros, etc.).Validezdelainformacióndocumentada.

Página5de9

4. Actuar: Revisar el programa para ver si se cumplen los objetivos. Y en casonecesariomejorarelprogramaenbasealaexperienciaadquirida.

Figura3.Programadeauditoría.Fuente:Elaboraciónpropia

En algunas organizaciones con escasos recursos el programa de auditoría se limita a uncalendariooagendadóndeseindicanalgunascaracterísticasdelasauditoríasquesevanarealizarcómo:

• Procesosaauditar

• Normasdelsistemadegestiónorequisitos

• Frecuencia

• Tiposdeauditorías,internasoexternas

• Fechasparalarealizacióndeestasauditorías

4.3 MétodospararealizarunaauditoríaUnaauditoríapuederealizarseatravésdediferentesmétodosdeauditoría.Laseleccióndeunmétodouotropararealizarunaauditoríadependedelosobjetivosdelaauditoría,delalcance,deladuraciónydelaubicación.

Lacombinacióndediferentesmétodosdeauditoríapuedefavorecerlaeficienciayeficaciadelaauditoríaensíydesusresultados.

•Seguimiento•Revisiónymejora

•Implementación•Establecerobjetivos•Determinaryevaluarriesgosyoportunidades•Establecerelprograma

PLANIFICAR HACER

VERIFICARACTUAR

Página6de9

Algunosdelosprincipalesmétodosdeauditoríason:

Gradodeinteracciónentreelauditoryel

auditado

Ubicacióndelauditor

Insitu Adistancia

Coninteracciónhumana

Realizarentrevistas.

Completarlistasdeverificaciónycuestionariosconlaparticipacióndelauditado.Checklist.

Revisarlosdocumentosconlaparticipacióndelauditado.

Muestrear.

Atravésdemediosdecomunicacióninteractivos:

-Realizarentrevistas

-Observareltrabajorealizadoconunguíaadistancia

-Completarlistasdeverificaciónycuestionarios.Checklist

-Revisarlosdocumentosconlaparticipacióndelauditado

Sininteracciónhumana

Revisardocumentos(registros,análisisdedatos,etc.).

Observareltrabajodesempeñado.

Realizarvisitasalsitio.

Completarlistasdeverificación.Checklist.

Muestrear.

Revisardocumentos(registros,análisisdedatos,etc.).

Observareltrabajodesempeñadoatravésdemediosdevigilancia.

Analizarlosdatos.

Tabla3.Métodosdeauditorías.Fuente:ISO19011:2018

4.4 RealizacióndeunaauditoríaLa realización de una auditoría corresponde al equipo auditor encabezado por el auditorlíder. El auditor líder será el encargado de contactar con la organización a auditar paraestablecerlascondicionesdetrabajo.

Laejecucióndelaauditoríasepuederesumirenlassiguientesetapas:

Página7de9

Figura4.Etapasdeunaauditoría.Fuente:Elaboraciónpropia

• Iniciación:Primercontactoentreelauditoryauditado.Enesteprimercontactoserecuerdanalgunosaspectoscomo:el responsablede laauditoría, losobjetivos,elalcancey lanormaoestándaraseguir, losmétodosyprocedimientosaseguir,elcalendario,losmétodosautilizarylasáreasdemayorinterésparaelauditado.Asícomosedeterminalaviabilidaddelaauditoría.

• Preparación:Serealizalarevisióndeladocumentación(documentosyregistrosdelsistema de gestión y el informe de la auditoría anterior) e información facilitadaparacontextualizar laauditoríaa realizar.Unavezcomprobada laviabilidadde laauditoría y con un enfoque basado en riesgos, el líder de la auditoría elabora elplandeauditoría.Elplandeauditoríacontienelossiguientespuntos:losobjetivos,el alcance, los criterios y la documentación de referencia, los lugares (físicos ovirtuales), fechas y actividades a realizar durante la auditoría, los métodos deauditoría utilizados, los roles y responsabilidades del equipo auditor y laadjudicaciónderecursos.Así,comolapreparacióndeladocumentaciónnecesariapara llevar a cabo la auditoría: check list, detalles de muestreo, informaciónaudiovisual,etc.

• Realización:Larealizacióndelaauditoríacomprendevaríasfases.

Reunióndeaperturaen laque se realizaunapresentación formalde la auditoríaentreelequipoauditoryelauditadoy/osudirección.Deestemodo,seconfirmapor todoselplandeauditoría, sepresentaalequipoauditory seaseguraque sepuedenrealizartodaslasactividadesplanificadasenlaauditoría.

Durante la auditoría la comunicación debe ser continua entre el auditor y elauditado para informar del progreso, de los hallazgos relevantes o de cualquierincidencia encontrada al respecto. La disponibilidad y el acceso a la informacióndebeserlatónicapredominanteenunaauditoríademaneraquesepuedallevara

Iniciación

Preparación

Realización

Página8de9

cabo una revisión de la misma para poder disponer de suficientes evidencias ypoderevaluarloscriteriosdelaauditoríaydeterminarloshallazgosdelaauditoría.

Llegandoyaalfinaldelarealizacióndelaauditoríaelequipoauditorsereúnepararevisar los hallazgos, para acordar las conclusiones, preparar recomendaciones sisonnecesariasycomentarelseguimientodelaauditoríayestablecerelcontenidodelasconclusionesparainformardeellasenlareunióndecierre.

La reunión de cierre se realiza para presentar los hallazgos e informar de lasconclusionesconlaformalidadnecesariaestareuniónestápresididaporellíderdelequipo auditor y los responsables de la dirección del auditado así como losresponsables de las áreas o procesos auditados, el cliente de la auditoría, otrosmiembrosdelequipoauditorocualquierotraparte interesadaquedeterminenelauditoroauditado.

Traslareunióndecierreseelaboraunactadeauditoríayenunperíododetiempoacordado se facilita un informe de auditoría fechado y firmado de modo quecontiene el detalle completo, preciso, conciso y claro de las conclusiones de laauditoríaysedistribuyealaspartesinteresadas.

La finalización de la auditoría se produce cuando se han realizado todas lasactividadesplanificadasenlaauditoría.

Lasconclusionesdelaauditoríapuedenindicaraccionescorrectivasopreventivas,que se conocenconel acrónimoCAPA (CorrectiveActionPreventiveAction)odemejora.Estasaccionessonllevadasacaboporelauditadoenuntiempoacordadode modo que el auditado debe informar al equipo auditor del estado de esasaccionesparaqueelequipoauditorpuedaverificarlarealizacióndeesasaccionesysueficaciaenunaauditoríadeseguimiento.

Actividad1:EnocasioneselProgramadeauditoríayelPlandeauditoríaseconfundenyseconsideransinónimos.¿Cuáldeellosseelaboraantes?

Programade

auditoría1º Plandeauditoría2º

Página9de9

5 CierreMedianteesteobjetodeaprendizajehemosvistoquésentidotienenlasauditoríasenlasempresas,cuálessonlosprincipiosbásicosdelasauditoríasdelossistemasdegestión,susfases,cómosepreparanydesarrollan.

Elgráficosiguienterecogeamodoresumenlaestructuradeunaauditoría.

Actividad2:AhoraestamosencondicionesdehacernosalgunaspreguntasparacomprobarquenosquedanclaraslasdiferenciasentreProgramadeauditoríayPlandeauditoría.

• ¿Quées?• ¿Quiénlohace?• ¿Cuándosehace?• ¿Cómosehace?

Programadeauditoría PlandeauditoríaEsunaprogramacióndelasauditoríasprevistasarealizarduranteunperíododetiempo.Esuncalendario.

¿Quées?Esladescripcióndelasactividadesquesevanarealizarenunaauditoría.Esunguion.

Eláreadecalidad ¿Quiénlohace? Elauditorlíder

Anualmente ¿Cuándosehace? Previoalarealizacióndelaauditoría.

Planificando,implementado,verificandoyejecutando ¿Cómosehace? Informando

Página10de9

Gráfico1.Estructuradeunaauditoría.Fuente:elaboraciónpropia

6 BibliografíaNormaISO19011:2018Directricesparalaauditoríadesistemasdegestión.

NormaISO/IEC17021-1:2015Evaluacióndelaconformidad.Requisitosparalosorganismosquerealizanlaauditoríaylacertificacióndesistemasdegestión.

Auditoría

7Principiosbásicos

Programadeauditoría

Planificar

Establecerobjetivos

Determinaryevaluarriesgosyoportunidades

Establecerelprograma

Hacer Implementación

Verificar Seguimiento

Actuar Revisiónymejora

Métodosdeauditoría

Coninteracción/Sininteracción

Insitu/Distancia

Realizaciónauditoría

Iniciación

Preparación

Viabilidad

Plandeauditoría

Realización

Reuniónapertura

Desarrollo Hazllazgo

Reunióndecierre

Conclusiones CAPA

InformeauditoríaSeguimiento