A menudo, las personas de las organizaciones afrontan las auditorías, ya sean internas o externas, como si fueran al campo de batalla o a un juicio. La auditoría es una de las herramientas que tienen los sistemas de gestión para evidenciar la conveniencia, adecuación y eficacia del mismo, así como su nivel de cumplimiento con respecto a un criterio o requisito.
Así pues, es una “herramienta de mejora” y no de “tortura“. A continuación, compartimos algunas de las preguntas más frecuentes que nuestros clientes nos realizan durante el proceso de implantación y de auditoría de sus sistemas de gestión de calidad, medio ambientes, seguridad y salud laboral u organización saludables, entre otros.
¿Cuál es la diferencia entre las auditorías y las inspecciones?
Estas dos herramientas se suelen confundir debido a que, en ocasiones, comparten algunos elementos y formatos. Una inspección es el “examen de un objeto de evaluación de la conformidad y determinación de su conformidad con los requisitos detallados o, sobre la base del juicio profesional, con los requisitos generales”. En una inspección se analiza un proceso, equipo o sistema (objeto) valorando cómo está funcionando justo en ese momento, no antes ni después. Es un análisis del cumplimiento de unos requisitos en un momento puntual.
En la auditoría se analiza el funcionamiento de un sistema de gestión, por lo que dicho análisis no puede ser realizado de forma puntual. En las auditorías no se busca el cumplimiento o incumplimiento en un determinado momento, sino que se busca la eficacia del sistema a lo largo de un periodo de tiempo. En cambio, la inspección se limita más al presente y a la reparación del fallo, sin profundizar en las causas que lo produjeron.
¿Por qué el auditor no puede hacer consultoría durante la auditoría?
En algunas ocasiones los auditados comentan su malestar porque el auditor sabe cómo solucionar las desviaciones, pero no les dice cómo hacerlo. La explicación es sencilla: el auditor no puede cruzar la línea hacia la consultoría porque, si la medidas o acciones que aconseja al auditado no funcionan adecuadamente, en la siguiente auditoría tendría que registrar una no conformidad contra sí mismo; o incluso no registrarla.
En el primer caso perdería uno de los principios de la auditoría, la independencia; en el segundo, habría perdido otro: la objetividad. Cuando el auditor ejerce de consultor deja de ser una parte ajena al proceso del auditado: está implicado. Por eso, el auditor interno no debe formar parte de manera directa de los procesos que audita. Y un auditor externo no debe ser consultor del auditado.
¿Cuánto tiempo debe durar una auditoría y qué muestreo se selecciona en caso de ser necesario?
El número de jornadas de auditoría va a depender de la naturaleza y contexto de la organización, la complejidad de sus procesos, los requisitos legales que le sean de aplicación, o el número de emplazamientos y de trabajadores, entre otras variables.
Pero, si se aplica el sentido común, en la mayoría de los casos no es posible dedicar semanas a una auditoría (incluso meses en organizaciones grandes). Así pues, habrá que seleccionar una muestra. El hecho de no auditar la organización en toda su extensión no significa que los resultados de la auditoría no sean significativos. Se debe recordar que una auditoría es una “foto” del sistema de gestión en un momento dado. Esta foto, si la selección de la muestra ha sido adecuada, será una imagen fiel que representa lo que pasa en un día cualquiera en la organización. Por lo tanto, si se han establecido bien los objetivos y el alcance de la auditoría, así como un plan de auditoría representativo de todos los procesos y requisitos a auditar, el número de jornadas será siempre el adecuado.
¿La auditoría en remoto significa que la auditoría se va a realizar únicamente en línea?
No. Cuando se habla de auditoría presencial o auditoría remota, se está haciendo referencia a una metodología de auditoría, no a una modalidad completa de auditoría. De hecho, también existe el concepto de auditoría semipresencial. Lo normal en una auditoría actual es combinar ambas metodologías, sobre todo cuando ya se conocen la empresa, sus procesos y sus sistemas de gestión.
Por ejemplo, la revisión de toda la información documentada se puede hacer en remoto, y la auditoría de los procesos operativos para los requisitos de control operacional se suele hacer de manera presencial. Pero esto siempre depende de la naturaleza del proceso. El uso de las nuevas tecnologías, abre nuevas posibilidades.
Con estas metodologías se evitan muchos riesgos del programa de auditoría asociados a los desplazamientos y a la localización de los auditores con respecto a las empresas a auditar. Y, como en la auditoría presencial, la fiabilidad de la auditoría no queda en entredicho si el método es adecuado, objetivo y deja trazabilidad de las evidencias.
¿La existencia de no conformidades en una auditoría significa que no se puede certificar un sistema de gestión?
No. Todo dependerá del impacto que las no conformidades detectadas tengan sobre la efectividad del sistema de gestión para cumplir con los criterios y requisitos auditados.
En la auditoría se recabará la información objetiva necesaria para su valoración. Serán las conclusiones derivadas de la información recogida lo que permitirá establecer si el sistema consigue sus objetivos, aunque con desviaciones, o si no ha alcanzado la madurez necesaria para dar respuesta a los mismos.
¿Tener un sistema de gestión certificado significa que se cumplen todos los requisitos legales aplicables a los procesos y actividades de una organización?
No necesariamente. Aplicando la respuesta a la pregunta anterior, dependerá de su impacto. Como ya se ha comentado, una auditoría es una herramienta de autocontrol del propio sistema de gestión que, en este caso, ha cumplido con su función al detectar incumplimientos legales puntuales. En este sentido, aunque se evidencie que el proceso de cumplimiento legal y su seguimiento no es totalmente eficaz, el propio sistema de gestión tiene sus mecanismos para regularse a través de las no conformidades, las acciones correctivas, los planes de adecuación validados por una autoridad competente, etc.
¿Es obligatorio auditar los sistemas de gestión a la vez si hay más de uno implementado en la organización?
No. Los sistemas de gestión pueden auditarse al mismo tiempo o en auditorías separadas. Incluso estando integrados, pueden auditarse de manera independiente. Aunque resulta evidente que ello no tiene mucho sentido. Precisamente, uno de los valores añadidos que ha proporcionado la estructura de alto nivel ISO es la facilidad en la integración de sistemas de gestión y de su auditoría. La organización puede enfocar la realización de las auditorías en función de su estrategia y su programa de auditorías.
Si un auditor no es adecuado para auditar un sistema de gestión o no hay una buena comunicación o solución de conflictos, ¿cuál es la solución?
La relación entre el auditor y el auditado se basa en la confianza y la profesionalidad. Si el auditado no se encuentra a gusto con el auditor por su manera de ser, por el enfoque de las auditorías o por los continuos desencuentros con el mismo, puede pedir que se sustituya por otro; siempre, claro está, que la empresa tenga contemplado ese riesgo y más auditores cualificados.
Cuando el problema es con un auditor de tercera parte o externo, se deben exponen los motivos justificados a la empresa certificadora, y esta actuará en consecuencia sin ningún tipo de represalia contra el auditado.
¿La auditoría interna debe hacerse de todos los procesos o requisitos a la vez o puede dividirse a lo largo de varias auditorías en el tiempo?
El auditado es siempre quien elige en función de sus necesidades y contexto cómo quiere realizar las auditorías. Las normas de sistemas de gestión dicen que se deben llevar a cabo a intervalos planificados para proporcionar información acerca de la conformidad del sistema de gestión con los requisitos y para verificar que se implementa y mantiene.
Lo normal es hacer la auditoría completa de todos los requisitos y procesos dentro del mismo plan de auditoría, pero cada vez es más frecuente hacer auditorías por capas. Reciben su nombre del requisito de que múltiples “capas” de una organización realicen la misma auditoría. Partiendo de este concepto, muchas empresas dividen sus auditorías de sistemas de gestión en capas o partes que son realizadas por múltiples auditores cualificados a lo largo de todos los procesos. Así, todo el mundo en la organización entiende el proceso, a la vez aumenta la toma de conciencia y la implicación en la solución de las desviaciones.
¿Se pueden resolver los incumplimientos detectados durante la auditoría para evitar no conformidades?
En ocasiones se puede dar la situación de que, ante la detección de una desviación, el auditado la solucione en el transcurso de la auditoría con la intención de que no sea considerada como un hallazgo; por ejemplo, procediendo a la retirada de un equipo de trabajo en malas condiciones, o realizando una formación obligatoria que no se había impartido; y todo ello antes de acabar la auditoría con la intención de que no aparezca en el informe. En este caso, el auditor debe recordar al auditado que, aunque se resuelva durante el transcurso de la auditoría, la finalidad de la misma es valorar la eficacia de los procesos y, por lo tanto, ante fallos sistemáticos que prueben su ineficacia, debe definir acciones correctivas que impidan que tales desviaciones vuelvan a producirse.
En PrevenControl realizamos auditorías de sistemas de gestión ayudando a nuestros clientes a mejorar continuamente sus procesos con nuestra metodología de reconocido prestigio.
