Auditorías internas
Para cualquier organización que apueste por la excelencia, las auditorías internas basadas en riesgos son una de las pruebas a las que tienen que enfrentarse para poder, por decirlo de alguna manera, evaluarse.
Para cualquier organización que apueste por la excelencia, las auditorías internas basadas en riesgos son una de las pruebas a las que tienen que enfrentarse para poder, por decirlo de alguna manera, evaluarse.
Los Sistemas de Gestión de Seguridad de la Información, también conocidos como SGSI, deben contemplar la ejecución de auditorías internas para garantizar que el sistema cumple con los requisitos según los cuales se haya establecido.
A modo de introducción se podría afirmar que el Informe COSO (Committee Of Sponsoring Organizatións of the Treadway Commission) en 1992 es el padre de lo que hoy en día entendemos por un Sistema de Control Interno. Este define el control interno, describe sus componentes y aporta una serie de parametrizaciones mediante las cuales un determinado sistema de información puede ser evaluado. Además, dicho documento incluye una guía para informar al público del control interno y provee una serie de materiales que los gerentes, auditores y otros profesionales pueden utilizar para evaluar un sistema de control interno.
En el artículo de hoy, vamos a hablar de uno de los elementos que afectan a la mayoría de las empresas, las auditorías internas.
Después de años de espera, concretamente desde la última versión realizada en 2002, tenemos desde hace menos de un año la nueva actualización en español de la UNE EN ISO 19011: “Directrices para la auditoría de los sistemas de gestión”.
Pensamos que es importante definir el fundamento de esta norma dado la relevancia que creemos que tiene, para posteriormente centrarnos en sus diferencias y actualizaciones con su versión anterior y los beneficios que podemos sacar de ella.
Podemos definir la UNE EN ISO 19011 como una norma centrada en la orientación sobre los principios de auditoría, la gestión de programas de auditoría, la realización de auditorías de sistemas de gestión, así como sobre la competencia de los auditores.
Después de dejar delimitada la norma podemos adentrarnos en sus diferencias con la versión antigua, y es que han conseguido ajustarse a los nuevos tiempos y a la actualidad de los Sistemas de Gestión, facilitando y clarificando los principios básicos para la realización de las auditorias.
La principal diferencia con respecto a la anterior se encuentra en el ámbito de acción, dado que antes solo establecía las directrices para la auditoría de los sistemas de gestión de la calidad y/o ambiental, en la actualidad es aplicable a todos los sistemas de gestión: calidad, seguridad alimentaria, I+D+i, tecnologías de la información y seguridad, etc.
El segundo y último contraste del que vamos a referirnos es de a qué tipo de auditorías era aplicable, debido a que en su anterior forma solo trabaja en auditorias de primera (auditorías internas) como de segunda (auditorias que los clientes realizan a sus proveedores) o de tercera (auditoría la solicita la empresa a un organismo independiente y reconocido); Ahora mismo ha delimitado su marco de aplicación a auditorias de primera y tercera parte.
A parte de lo especificado anteriormente la UNE EN ISO 19011 ha revisado, mejorado e incluido novedades en su contenido que vamos a pasar a enumerar:
Por ultimo destacar algo que se presupone, UNE EN ISO 19011 se aplica a cualquier tipo de organización, de cualquier tamaño, sin importar en el sector en el que opere siempre y cuando realicen auditorías internas o externas de sistemas de gestión.
Las empresas que instauran sistemas de gestión tienen en las auditorias un instrumento para la mejora continua de la empresa, no solo porque detectan las no conformidades, sino porque son capaces de reconocer oportunidades perfeccionamiento de su entidad.
ISOTools es una herramienta que le permite acceder al auditor a toda la documentación desde un mismo sitio. Permitiendo escribir el informe de auditoría en la misma herramienta, creando las No Conformidades indicadas por el auditor, asimismo estableciendo una Acción Correctiva para resolver la No Conformidad.
Continuando con el serial sobre auditoría interna, vamos a ver uno de los puntos clave de la preparación de la auditoría, el muestreo de datos.
En este punto, el mundo de la auditoría se cruza con el de la estadística propiamente dicha, de modo que antes de entrar en materia veamos qué es y de qué está compuesto:
Pero, ¿A partir de cuántos de esos aspectos a auditar podemos considerar que una muestra es significativa?
Va a depender del grado de riesgo que se esté dispuesto a asumir, o bien, como es más habitual, de la inversión en recursos y tiempo que se esté dispuesto a invertir, ya que a mayor número muestral, mayor tiempo de dedicación y recursos.
La auditoría interna puede ser del total de la organización, de los procesos relacionados con un área, producto o departamento concreto o bien estar orientada a un proceso determinado dentro del sistema de gestión.
En el caso de que se tratara de una auditoría del total de la organización, podría ser una opción el establecer esta muestra por conglomerados, es decir, dividiendo el sistema en sus apartados naturales y asignando a cada uno un número muestral de ítems a revisar o realizar una auditoria interna de todos los procesos de la Organización, y en cada proceso será auditado el responsable del proceso y las personas involucradas. En este caso, se revisará todo el proceso en todos sus puntos de la norma (Diseño y Desarrollo, Satisfacción, Mejora continua, etc.. siempre y cuando en aquellos puntos de la norma que le aplique, excluyendo aquellos que no apliquen)
Otra buena opción es que, una vez definido el alcance de la auditoría, el máximo responsable de la auditoría, o su coordinador, facilite a los auditores lo que se conoce como un “paquete de auditoría” con todo lo necesario para que el auditor conozca a la perfección qué es lo que debe auditar. Este paquete de auditoría se compondría de lo siguiente:
Una vez inmersos dentro del proceso de auditoría, es de suma importancia que el auditor se asegure de que las muestras representativas se seleccionan al azar. Por ejemplo, si estamos auditando el proceso de mejora continua de la Organización, revisando todas las acciones correctivas, podremos extraer planes PAC (Planes de acción correctiva) de cada una de las entradas del proceso, que podrían ser:
El auditor debe evitar en todo momento preguntar al auditado por un ejemplo ya que siempre intentará darle el mejor que tenga, sino que será el auditor el que diga “enséñeme el registro XX” . En el caso en que el auditado nos proponga una muestra representativa, deberemos asegurarnos de ampliarla y extraer más muestras al azar.
Continuando los post destinados a las Auditorías Internas vamos a tratar hoy sobre la preparación de la misma.
Es una de las fases más críticas, sobre todo porque los auditores internos no suelen estar todo el año realizando auditorías, sino que es una labor muy puntual dentro del resto de sus labores dentro de la empresa. Para que el auditor desarrolle con éxito y confianza el proceso es imprescindible prepararlo muy bien. No sólo es necesario formar, sino también entrenar a los auditores.
Los pasos fundamentales a la hora de la preparación de la auditoría interna se pueden resumir en:
Si para preparar la auditoría interna somos metódicos y hacemos caso a estos siete consejos seguro que la eficacia de la auditoría será mucho mayor así como la confianza del auditor interno.
Antes de continuar adentrándonos en las técnicas de auditoría, no queremos dejar de pasar por alto un paso previo muy importante que es la selección del equipo auditor.
En primer lugar es saber el número de auditores aproximado que debe de manejar nuestra empresa. Normalmente no nos vamos a poder permitir mantener un número de auditores internos en nómina, dedicados exclusivamente a estas labores por lo que serán empleados que ya desempeñan otras funciones.
Finalmente nos gustaría reseñar algunas cualidades, características o atributos que debe de recoger un auditor eficaz, según lo especificado en la ISO 19011.
La entrevista es una de las técnicas de auditoría que vamos a repasar en esta serie de post sobre las Auditorías Internas de un Sistema de Gestión de Calidad.
Según la RAE una entrevista es un encuentro y conversación entre dos o más personas para tratar sobre un asunto determinado. En nuestro caso la entrevista es el encuentro entre el auditor o los auditores y el auditado o los auditados para tratar sobre el proceso objeto de la auditoría.
Ventajas de la entrevista:
Desventajas: