guias de buenas prÁcticas de auditoria iso 9001
TRANSCRIPT
GUIAS DE BUENAS PRÁCTICAS DE AUDITORIA ISO 9001
Introducción
El siguiente documento es una traducción libre no oficial, realizada por la Oficina Nacional de Normalización (NC) de los documentos elaborados por el Grupo de Prácticas de Auditoria de sistemas de gestión de la calidad (www.iso.org/tc176/ISO9001AuditingPracticesGroup), recientemente fusionado con el Grupo de Prácticas de Auditoria de Acreditación, adscrito al Comité Técnico 176 de la ISO – Gestión de la Calidad y Aseguramiento de la Calidad (ISO/TC 176) y el Foro Internacional de Acreditación (IAF), conformado por expertos y auditores. Los documentos originales vigentes se publican oficialmente en idioma inglés en el sitio web de IAF (http://www.iaf.nu/) y en el del ISO/TC 176 (www.bsi.org.uk/iso-tc176-sc2) y pretenden brindar ayuda para auditar de forma eficaz los requisitos de los sistemas de gestión de la calidad (SGC).
La información contenida en estos documentos está disponible al público con fines educativos y de comunicación, pudiendo ser de utilidad para auditores, consultores y especialistas en materia de calidad. Las ideas, ejemplos y explicaciones dadas en ellos reflejan un acercamiento basado en proceso, esencial para auditar los requisitos de la norma ISO 9001 en su versión del año 2000. Estos documentos reflejan el enfoque actual consensuado de varios puntos de vista diferentes al auditar un SGC y por tanto no agotan todas las especificidades de un sector o industria particular, por lo que no constituyen requisitos, sino guías o directrices generales acerca de cómo abordar la auditoria de los aspectos que constituyen requisitos del SGC.
Agradecemos todo comentario o sugerencia de parte de los lectores sobre la necesidad de abordar nuevos temas por el Grupo de Prácticas de Auditoria, a través de la participación de NC como integrante del mismo. Los comentarios y dudas dirigirlas a la dirección de correo electrónico: [email protected]
Abreviaturas empleadas:
RNC- Reporte de No conformidad
1
SGC- Sistema de gestión de la calidad
CRB- Organismo de certificación (del inglés “Certification/Registration Body”)
Otros documentos guías de apoyo para consulta:
“Conjunto de documentos para la introducción y el soporte de la serie de Normas ISO 9000" Documentos guías del ISO/TC 176 SC2 (traducidos de forma consensuada por el Grupo de Traducción de Normas al Español adscrito al ISO/TC 176 – STTG):
o N524 – Orientación sobre el apartado 1.2 "Aplicación” de la Norma ISO 9001:2000
o N525 – Orientación sobre los requisitos de documentación de ISO 9001:2000.
o N544 – Orientación sobre el Concepto y Uso del Enfoque basado en procesos para los sistemas de gestión
o N630 – Orientación sobre los procesos contratados externamente
IAF-PL-01-012 Directrices de la IAF sobre la aplicación de la norma ISO 9001:2000 (versión 2)
2
El listado de guías elaboradas por temas que se muestra a continuación, está vinculado a los documentos para facilitar su acceso, por lo que sólo debe pulsar el botón del ratón sobre el título para verlo en pantalla.
1. La necesidad de un enfoque de dos etapas para la auditoria
2. Identificación de los procesos como se pretende en la norma ISO 9001:2000
3. Entendiendo el enfoque basado en procesos
4. Determinación de los procesos “apropiados”
5. Auditando los requisitos “cuando sea aplicable”
6. Demostrando conformidad con la norma
7. Vinculando la auditoria a un asunto particular, actividad o proceso del sistema general
8. Auditando la mejora continua
9. Auditar un SGC que tiene una documentación mínima
10. Cómo auditar los procesos de la alta dirección
11. El papel y valor de las listas de verificación para auditoria
12. El alcance de la norma ISO 9001:2000, alcance del sistema de gestión de la calidad y la definición del alcance de la certificación
13. Cómo agregar valor durante un proceso de auditoría
14. Auditando la competencia del personal y la eficacia de las acciones de capacitación
15. Auditando los requisitos reglamentarios
16. Auditando la política y los objetivos de la calidad
17. Auditando el control de los dispositivos de seguimiento y medición
18. Uso eficaz de la norma ISO 19011
19. Auditando los procesos de retroalimentación del cliente
20. Documentando una no conformidad
21. Guía para la revisión y cierre de no conformidades
22. Auditando la acción preventiva
23. Auditando las comunicaciones internas
24. Auditando la eficacia de la auditoria interna
3
25. Auditando organizaciones de servicio
26. Imparcialidad del auditor de tercera parte y conflictos de intereses
27. Auditando sistemas de gestión en base electrónica .
28. Auditando la gestión de los recursos
29. Auditando las comunicaciones con los clientes
30. Auditando los procesos de Diseño y Desarrollo
31. Código de ética y conducta del auditor
32. Guía sobre aspectos culturales de la auditoria
4
La necesidad de un enfoque de dos etapas para la auditoría
Para auditar la norma ISO 9001:2000 es necesario que los auditores obtengan un buen entendimiento del sistema de gestión de la calidad (SGC) del auditado y de la naturaleza de su negocio. Es por esto que es benéfico para la organización que sea visitada con anterioridad a la auditoría de certificación y para que se realice la primera etapa de la auditoría.
Esta 1° etapa de auditoría es primeramente para entender el alcance y planificar la auditoría de certificación (la etapa 2 de la auditoría) y para permitir que el auditor obtenga un entendimiento de la organización. Por ejemplo, para obtener un conocimiento de su SGC, políticas, objetivos, riesgos, procesos, localidades, etc. También se pudiera utilizar para que el cuerpo de auditoría comunique sus necesidades y expectativas al auditado.
Las actividades desarrolladas en la etapa 1 de la auditoría preliminar incluyen:
La identificación de los riesgos clave para el negocio y los aspectos regulatorios relacionados y su cumplimiento
Una evaluación de si los procesos definidos por el auditado son adecuados para cumplir sus objetivos y los requisitos de los clientes
Conducir una revisión documental
Esta revisión debe determinar si la documentación del SGC de la organización cubre adecuadamente todos los requisitos de la norma ISO 9001:2000. La revisión normalmente debería ser realizada en las instalaciones del auditado ( a menos que otra cosa se solicite y justifique). Como resultado de esta actividad, se debe proporcionar un reporte que resalte cualquier área de deficiencia. Como parte de la revisión documental, el auditor debe evaluar la extensión y la disponibilidad de procedimientos de soporte y descripciones de proceso. Recolectar la información necesaria de acuerdo con el alcance del SGC de la organización, los procesos y su ubicación.
Hacer un borrador de la documentación de la futura certificación, incluyendo el enunciado del alcance
Planificar la auditoría de certificación (etapa 2), incluyendo los requisitos para la selección del equipo auditor.
Obtener evidencia de que han sido planeadas auditorías internas y revisiones por la dirección, o eficazmente realizadas
Verificar que el SGC está implementado y listo para la auditoría de etapa 2, incluyendo en nivel apropiado de documentos y de registros de soporte.
Si el sistema tiene alguna deficiencia, el auditor debe notificarlo en el reporte de auditoría, de modo que la organización tenga la oportunidad de rectificar las deficiencias antes de su auditoría de certificación (2° etapa).
5
Acordar la fecha de la auditoría 2° etapa
Identificación de los procesos como se pretende en la norma ISO 9001:2000
Distinguiendo entre los conceptos de proceso y actividad
Si el auditado no puede distinguir entre los conceptos de proceso y actividad, el auditor puede brevemente explicar la diferencia de acuerdo a la norma ISO 9000:2000 como una información de soporte. El auditor debe ser capaz de adaptarse a la situación del auditado. Es responsabilidad del auditor el entender el sistema y enfoque del auditado.
Durante la auditoría, el auditor debe determinar si es un problema solamente de diferencia de terminología o si existe una falta real de implementación del enfoque basado en procesos por el auditado, en cuyo caso pudiera haber necesidad de emitir un reporte de no conformidad ya que el auditado no ha implementado completamente el requisito establecido en la norma ISO 9001:2000, Cláusula 4.1. Si simplemente es un problema de terminología, no habrá necesidad de emitir un RNC si todos los requisitos del la cláusula 4.1 se satisfacen.
El auditado tiene el derecho de usar su propia terminología, demostrando que los requisitos de la norma se cumplen. El auditor debe mentalmente desarrollar una lista de referencia cruzada para asegurar la consistencia y tener un mejor entendimiento.
Un proceso tiene definidos objetivos, entradas, salidas, actividades y recursos
Si el auditado no entiende que un proceso en este sentido debe tener definido (pero no necesariamente mensurable) objetivos, entradas, salidas, actividades y recursos, trate reformulando las preguntas al auditado evitando el uso de lenguaje de Gestión de Calidad, ejemplo, ¿pudiera explicarme sus operaciones aquí?, ¿cuáles son los trabajos básicos que se realizan en su departamento?, ¿qué información necesita usted para empezar a trabajar?, ¿de donde viene?, ¿quién recibe el resultado de su trabajo?,¿cómo sabe si ha hecho correctamente su trabajo?, etc.
Esto debe ayudar al auditor a establecer si los procesos (según la norma ISO 9001: 2000) están definidos, tienen entradas, salidas y objetivos claros y así.
Los procesos deben ser analizados, dárseles seguimiento y/o medirlos y mejorarlos
Si después de aplicar las técnicas de auditoría mencionadas anteriormente, y en la ausencia de cualquier registro u otras pruebas para demostrar que los procesos son analizados y/o se les da seguimiento y/o son medidos y/o mejorados, debe considerarse una no conformidad a una parte de la cláusula 4.1 de la norma ISO 9001:2000
El auditado / auditor considera que cada cláusula o sub cláusula de la norma ISO 9001:2000 debe ser definida como un proceso por separado
Si el auditor considera esto como el enfoque correcto, se le debe referir a los documentos relevantes de ISO, (particularmente el N544) que claramente indican lo contrario. Si el auditado considera esto como el enfoque correcto, es recomendable utilizar las técnicas señaladas anteriormente en la segunda sección.
6
¿El enfoque basado en procesos como se describe en la introducción es un requisito de la norma ISO 9001: 2000?
La descripción del enfoque basado en procesos en la introducción de la norma ISO 9001:2000 es puramente informativa y no una serie de requisitos adicionales.
Traducción libre de NC. No oficial -Documentos oficiales disponibles en: http://www.iaf.nu/ y www.bsi.org.uk/iso-tc176-sc2
(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)
7
Ayudando al auditor a interpretar el enfoque basado en procesos
Si el auditor no entiende o malinterpreta el enfoque basado en procesos, hay que dirigirlo a fuentes reconocidas de información, como la norma ISO 9000:2000 y las guías ISO en los conceptos y uso del enfoque de procesos para los sistemas de gestión (ISO/TC176/SC2 N 648)
El cuerpo de certificación debe asegurar que todos sus auditores hayan recibido el entrenamiento suficiente sobre los nuevos requisitos de la norma ISO 9001:2000, en particular en el enfoque basado en procesos. Por tanto, el auditor debe comprender que varios pasos son necesarios, incluyendo lo siguiente:
determinar los procesos y las responsabilidades necesarias para lograr los objetivos de la calidad de la organización;
determinar y proporcionar los recursos e información necesaria;
establecer y aplicar los métodos de seguimiento y/o medición y análisis de cada proceso;
establecer y aplicar un proceso de mejora continua de la eficacia del SGC.
El concepto del enfoque basado en procesos debe ser tan bien entendido por el auditor que no este limitado por la terminología de la norma; el auditado pudiera usar una más o menos diferente. El auditor debe estar conciente de que la aplicación del enfoque basado en procesos será diferente de una organización a otra, dependiendo del tamaño y complejidad de la organización y sus actividades. Se debe dar una consideración especial en la situación de las pequeñas y medianas empresas (PYMEs), de modo que el auditor no espere tantos procesos en el SGC.
Ayudando al auditado a interpretar el enfoque basado en procesos
Si el auditor se encuentra con una total mala interpretación del auditado, esta situación debe ser identificada normalmente en la primera etapa de auditoría.
El auditor debe referir al auditado a las fuentes reconocidas de información, como las indicadas en la sección anterior.
En particular el documento N648 establece los pasos en el enfoque basado en procesos y proporciona una directriz útil con ejemplos.
El auditado debe también poner suficiente consideración a
la identificación de los objetivos del proceso,
la planificación del proceso,
la disponibilidad de registros adecuados.
8
El auditado pudiera tener identificados muchos procesos; alguno o todos ellos son actividades que no cumplen con los requisitos de un proceso en el sentido en el que la norma ISO 9001:2000 utiliza el concepto. Si es así, el auditor debe en la primera etapa de auditoría proponer al auditado que desarrolle una redefinición de sus procesos basado en, por ejemplo, lo critico de las actividades. Esto puede ser particularmente relevante para las pequeñas y medianas empresas.
Si por excepción, el mal entendido no se detecta hasta la segunda etapa de la auditoría, se debe levantar un RNC. El auditor entonces tiene que considerar las posibilidades de acuerdo con las reglas del cuerpo de certificación involucrado, por ejemplo, continuar con la auditoría, reauditar después o aún la terminación de la auditoría.
¿Cómo evaluar si el auditado no ha implementado el enfoque basado en procesos?
El auditor debe determinar si es una falta de implementación real o formal, o algo en intermedio. Una falta real de implementación pudiera caracterizarse por ejemplo en un flujo de información y/o de producto no claro entre las funciones, tiempos de entrega largos o inconsistentes desde la solicitud hasta la entrega de los productos, además de la ausencia de objetivos de proceso y análisis.
El otro extremo pudiera ser cuando todas las actividades de importancia para una calidad definida de productos se encuentran bien implementadas e interrelacionadas, incluyendo, por ejemplo, compras, y la responsabilidad de las líneas de producto desde la requisición hasta el transporte final están establecidas, pero el concepto del enfoque basado en procesos no se utiliza. Si todos los requisitos en la cláusula 4.1 son de hecho cubiertos, no debe levantarse un RNC con referencia a esa cláusula.
Sin embargo, si la descripción de las interfases es deficiente en la documentación de calidad parecería que existe una no conformidad con la cláusula 4.2.2.
Si el auditado ha fallado en uno o más de los requisitos en la cláusula 4.1 se debe levantar un RNC. Dependiendo de la extensión e importancia de la no conformidad, el auditor tiene que considerar las posibilidades de acuerdo con las reglas del cuerpo de certificación involucrado, por ejemplo, continuar con la auditoría, reauditar o hasta terminar.
¿Qué debe considerar el auditor cuando audita un proceso?
El auditor debe plantear preguntas basadas en la definición de un proceso en la norma ISO 9001:2000 pero transformarla para la situación actual de modo que el auditado pueda entender que es lo que el auditor quiere saber. Algunos de esos ingredientes básicos son:
el objetivo: ¿cuál es la intención del proceso?
la entrada: ¿qué es lo que va a ser tratado? ¿de dónde viene?
las actividades: ¿qué se hace en esos pasos particulares?
la salida: ¿qué sucede con la entrada? ¿cuál es el resultado? ¿a dónde va? ¿el resultado está alineado con el objetivo/intención?
9
los recursos: ¿qué es necesario para las actividades en términos de personal, información, equipo, etc.? ¿los recursos necesarios están disponibles?
el seguimiento/medición: ¿a que se le da seguimiento o se mide para ver que las actividades se desarrollan como se pretende? ¿Los parámetros seleccionados para dar seguimiento o medir son adecuados? ¿existe algún arreglo particular como una inspección?
el análisis: ¿que se hace con la información recolectada del seguimiento o la medición de las actividades? ¿quién lo realiza?
la mejora: ¿la mejora del proceso esta incluida en el programa de auditoría como mejora continua? El auditor debe darse cuenta de que no todos los procesos pueden ser mejorados simultáneamente; el auditor debe priorizar.
Para obtener información general, el auditor debe encontrar quién es el responsable del proceso, pero debe estar conciente de que la norma ISO 9001:2000 no requiere un “dueño de proceso” formal”.
Procesos versus subprocesos
No hay un requisito en la norma ISO 9001:2000 o una regla generalmente aceptada de que tan simple puede ser un proceso. Si todos los requisitos en la cláusula 4.1 se cumplen, el auditor debe respetar cualquier razón sobre el diseño de los procesos que el auditado le muestre.
Donde un proceso muy complejo puede ser dividido en dos o más procesos menos complejos, cada uno de los cuales cumpla con los requisitos de la cláusula 4.1, el auditor pudiera presentar esto como una posibilidad pero no como una recomendación - lo último puede ser interpretado como una consultoría y pudiera interpretarse como una responsabilidad no deseada del auditor.
Diferencia entre documentación e implementación
El manual de calidad /documentación pudiera, en una fase preparatoria, llevar al auditor a creer que los sistemas están implementados según el enfoque basado en procesos, pero la realidad en el sitio de trabajo pudiera ser lo opuesto.
En este caso el auditor encontraría una falta de implementación caracterizada por
las funciones esenciales o departamentos del auditado operan con unas interacciones débiles,
ausencia de un análisis del proceso
una falta de mejora continua.
Esto sería una no conformidad contra los requisitos de la cláusula 4.1 y un RNC probablemente debería levantarse. Dependiendo de la extensión e importancia de la no conformidad, el auditor también tiene que considerar las posibilidades de acuerdo a las reglas del cuerpo de certificación.
10
Desacuerdo entre el auditor y el auditado sobre cual es la manera “correcta” de implementar el enfoque basado en procesos
No existe una manera universalmente “correcta” de implementar el enfoque basado en procesos. El auditor y el auditado deben estar concientes de que la aplicación del enfoque basado en procesos será diferente de organización a organización, dependiendo el tamaño y la complejidad de la organización y sus actividades. Se debe dar una consideración especial a las pequeñas y medianas empresas, para que el auditor no requiera o defina muchos procesos de modo que la aplicación del enfoque basado en procesos resulte una barrera en vez de un beneficio para estas empresas. Si todos los requisitos de la cláusula 4.1 se cumplen no se debe levantar un RNC.
El auditor y el auditado deben entender que lo que realmente importa es que el auditado
opere con un flujo de actividades bien definido, consistente, eficaz y eficiente, incluyendo la mejora continua para lograr la satisfacción de las partes interesadas,
tenga una clara estrategia de futuro, y
tenga el derecho de discordar con la posible interpretación subjetiva que haga el auditor sobre los requisitos de la norma
Determinación de los procesos “apropiados”
Terminología
Donde la terminología utilizada por el auditado es diferente a la utilizada por el auditor, el auditor debe entender los conceptos en la norma ISO 9001:2000 utilizar la norma ISO 9000:2000 y hacer una referencia cruzada mental o escrita entre la terminología del auditado y la suya propia para los mismos conceptos evitando el uso de vocabulario de Gestión de la calidad.
La definición de proceso
Si la definición de proceso no es interpretada de la misma manera por el auditor y el auditado, el auditor debe buscar entender el punto de vista del auditado y no imponer el suyo a menos que sea claro (soportado por suficiente evidencia objetiva) que los requisitos de la norma no se cumplen. Lo mismo es verdad si el auditor cree que ciertos procesos no han sido identificados correctamente o no se encuentran.
Exclusiones
El auditor debe referirse a la cláusula 1.2 de la norma ISO 9001:2000, y posiblemente al documento N648 para obtener una guía mayor. El auditor debe obtener evidencia objetiva de que el auditado no puede excluir un requisito específico antes de alcanzar su conclusión. Es una Buena práctica utilizar la norma ISO 9000:2000 Fundamentos y vocabulario y el documento N648 como soporte para explicar sus argumentos al auditado.
11
Auditando los requisitos “cuando sea aplicable”
El cliente debe determinar los “requisitos que marcan cuando sea aplicable”, ya que estos afectarán su habilidad para satisfacer los requisitos de sus clientes. Una clave es referirse a la norma ISO 9001:2000 Alcance 1.1 a) “necesita demostrar su capacidad para proporcionar de forma coherente productos que satisfagan los requisitos del cliente y los reglamentarios aplicables”.
Un auditor debe asegurar que los requisitos con “cuando sea aplicable” sean realmente “aplicables” en relación al alcance propuesto o actual. Por tanto la base para auditar debe ser contra este criterio y esto forma la referencia para cuando se decida que es aplicable o no. ¿Este requisito agrega valor a este elemento de confianza, sin que se cumpla el elemento “cuando sea aplicable”?¿Se agrega el riesgo de que la organización no pueda cumplir con los requisitos del cliente? y también se pudiera ser más específico que requisitos del cliente, ya que se puede incluir las expectativas del consumidor final o de la cadena de demanda.
La necesidad de la experiencia para hacer un juicio en un aspecto técnico
El cuerpo auditor debe ser capaz de demostrar que el auditor tiene el conocimiento necesario del sector, la competencia y las habilidades de auditoría. El auditor debe ser capaz de demostrar el conocimiento del proceso y aplicar sus habilidades en evaluar los requisitos “cuando sea aplicable” si son o no aplicables.
El auditor necesitará entender cómo los requisitos “cuando sea aplicable” entran en el contexto de cómo el proceso es desarrollado y los resultados esperados de éste y auditar con la evidencia objetiva para demostrar que el sistema es eficaz y los requisitos se cumple consistentemente.
Un cuerpo de certificación debe por lo tanto tener el proceso establecido para asegurar que el auditor tiene las habilidades específicas para la organización que será auditada.
Demostrando conformidad con la norma
“Desarrollar la auditoría sobre las cláusulas de la norma” v.s. “Desarrollar la auditoría sobre los procesos del auditado”
Cuando se evalúa la conformidad con la norma, las listas de verificación para auditoría pudieran no ser suficiente.
Al final de la auditoría, el auditor debe estar convencido de que todos los requisitos de la norma se satisfacen o no.
12
Mostrar la conformidad a una norma lleva a todo el mundo a una lista de verificación donde el auditor es capaz de verificar los requisitos de la norma uno a uno, asegurándose que todos los requisitos han sido cubiertos. Este enfoque básico de llenar una lista de verificación es una manera fácil de asegurar que todos los requisitos de la norma han sido revisados. Sin embargo, considerando el enfoque de la norma ISO 9001:2000, desarrollar una auditoría sobre una lista de verificación genérica pudiera no permitir al auditor recolectar evidencia de la eficacia de las interfaces entre los procesos.
Deshacerse completamente de la lista de verificación (o lista de preguntas de auditoría) no sería posible, particularmente si se necesita demostrar a terceras partes la evidencia de conformidad a la norma (ejemplo, cuerpos de acreditación). Es importante usar una lista de verificación de manera apropiada y en el tiempo adecuado como herramienta para dar seguimiento a los requisitos de la norma a ser cubiertos.
¿Cuál es el muestreo adecuado?
No hay una fórmula estadística o matemática para establecer el número correcto de muestras a ser tomadas durante una auditoría. Definir el número de muestras (por ejemplo, una, cinco o más muestras de registros para un requisito en particular) a ser tomado para confirmar el cumplimiento a los requisitos no es eficiente y no asegura el cumplimiento. Es claro un hecho de que al incrementar el número de muestras tomadas, el auditor tiene una mayor confianza sobre el estado de la implementación del SGC. “Un muestreo adecuado” en este texto se refiere al muestreo tomado durante las entrevistas en el lugar y los registros revisados para construir una confianza de que el SGC del auditado esta implementado como se describe.
El muestreo en multi-sitios o el muestreo de las unidades organizacionales de una compañía están cubiertas en el Anexo II de la Guía de la IAF en la aplicación de la Guía 62 ISO/IEC, con los días auditor en el lugar y la fórmula de muestreo multi-sitios.
El auditor necesita desarrollar entrevistas y verificar registros y evidencias durante la entrevista. El número de muestras a tomarse depende de la complejidad del proceso, y en la calidad de la información recibida del auditado durante la entrevista. Es también importante que el auditor mantenga el horario establecido en el plan de auditoría. Al final del día, el auditor necesita sentirse tranquilo de que las muestras y la evidencia objetiva vista son representativas de modo que pueda llegar a una conclusión apropiada sobre la implementación del SGC.
Registrando la información de la auditoría
La norma ISO 19011 y la directriz de la IAF sobre la aplicación de la Guía 62 ISO/IEC explican lo que un reporte de auditoría debe contener. Sin embargo, es importante notar que el reporte de auditoría hacia el auditado, debe contener
13
solamente información importante para el auditado. La información sobre posibles mejoras, observaciones positivas y las no conformidades a la norma son muy importantes para el auditado. Reiterar y explicar los requisitos de la norma pudiera no ser lo que el auditado este buscando.
Pudiera ser un requisito para el auditor demostrar la secuencia en la que se desarrolló la auditoría, algunas veces llamado la ruta de auditoría. La utilización de notas de auditoría es un modo muy eficiente para el auditor de registrar la auditoría. Una gran desventaja de usar las notas de auditoría es que son un modo muy personal de registrar la información durante la auditoría y el detalle y estilo varía mucho de un auditor a otro.
La lista de verificación asegura algo de uniformidad en el desarrollo de los auditores. Sin embargo, el auditor nunca debe olvidarse de utilizar su tiempo en auditar y no en llenar listas de verificación y hacer notas.
Vinculando la auditoría a un asunto particular, actividad
o proceso del sistema general
El auditor no debe perder de vista la dirección general de la auditoría, y quedar atrapado por detalles superfluos. Es importante que el auditor mantenga la atención en la información proporcionada por el auditado en el manual de calidad o la documentación donde el auditado ha definido la interacción de los procesos. Las entrevistas deben también ser desarrolladas de modo que los auditores deban determinar la entrada y la salida de los procesos a ser auditados.
Manteniendo en mente el mapa de procesos del auditado se debe asegurar que el auditor será capaz de determinar la importancia del proceso que está auditando en cualquier momento, y podrá entonces ser capaz de mantener la visión de la dirección general de la auditoría. Esto también ayudará al auditor a entender los vínculos entre procesos.
Durante una auditoría, el auditor tiene una oportunidad de verificar la descripción del auditado de la interrelación de sus procesos. El auditor debe tomar algunas muestras para ver si las descripciones son un reflejo apropiado de la interrelación real de los procesos, ya que esto ayudará a determinar si la descripción del proceso es adecuada.
Auditando la mejora continua
¿Cuánta mejora es « suficiente »?
Debe enfatizarse que el requisito en la norma ISO 9001:2000 es para la mejora continua de la eficacia del SGC. No hay un requisito explícito para mejorar los
14
procesos aunque es claro que esto sería un factor importante en el logro de la mejora continua de la eficacia del SGC.
La mejora continua emana de los objetivos fijados por la alta dirección, los que deben estar en relación con al menos los siguientes puntos: la mejora de la eficiencia interna de la organización para permanecer económicamente competitiva, las necesidades individuales de los clientes y el nivel de desempeño que el mercado normalmente espera.
Por ejemplo, en ciertas áreas como el sector aeronáutico, el “rango aceptable” de producto no conforme entregado es cero por ciento, entonces no sería normal esperar cualquier “mejora” a este rango. Sin embargo, sería normal esperar para la compañía tener objetivos que lleven a la mejora de la eficiencia interna y su competitividad (ejemplo: a través de la innovación).
Por tanto el auditor debe buscar identificar que el auditado haya intentado establecer la correlación entre estos 3 factores “Objetivos corporativos – necesidades de los clientes – expectativas del mercado”. Así que, es decisión de la compañía el balancear la necesidad de mejorar la eficiencia interna y la necesidad de progresar con el desempeño externo (aunque los dos están frecuentemente muy relacionados). Ninguno aisladamente puede considerarse como “suficiente” o “no suficiente”.
Un área que puede ser problemática para el auditor es el conocer que es una referencia de mercado razonable. En el ejemplo anterior de la aeronáutica, si la compañía anuncia que ha mejorado del 50% de producto no conforme entregado al 40%, esto demostraría mejora continua, pero sería difícilmente aceptable dado el sector industrial. Sin embargo, si anuncia que ha fijado un objetivo de mejorar del 0,50% al 0,40%, esto sería mucho más cercano a la norma del mercado.
La única solución real para el auditor es verificar cómo la organización ha determinado este rango propuesto de mejora, cómo han evaluado el riesgo asociado y cómo éste se relaciona con los requisitos del cliente y el seguimiento a la retroalimentación sobre la satisfacción del cliente. Sería casi imposible el levantar un RNC sobre “falta de suficiente mejora continua”.
¿Qué tipo de información es relevante y donde la podemos encontrar?
El auditor tiene que verificar como los objetivos corporativos generales han sido traducidos a requisitos internos a través de los procesos apropiados y como estos requisitos son comunicados y se les da seguimiento. Entonces, el auditor debe buscar evidencia de que la organización está analizando datos provenientes del seguimiento del proceso, tendiendo a evaluar la eficiencia del proceso y/o la mejora del resultado del proceso. Un punto que debe ser especialmente examinado es la consistencia del modo en que la mejora de cualquier proceso contribuye al cumplimento de los objetivos generales, para asegurar que no se está en conflicto.
15
El tipo de información a ser buscada es dictada por el modo en que los objetivos corporativos son traducidos en objetivos específicos. Por ejemplo: una compañía establece un objetivo de reducir las quejas de los clientes en un 30%. El análisis de la alta dirección muestra que el 50% de las quejas son sobre las entregas atrasadas. El auditor debe naturalmente buscar evidencia de cómo la compañía, primero que nada, ha integrado y analizado aspectos clave de su programación y planificación de sus procesos y sus interfases para reducir las demoras.
¿Mejora de los procesos o mejora del SGC?
El auditor debe recordar que no sería realista para la compañía progresar en todos los frentes simultáneamente, ya que toda mejora es el resultado de una inversión de algún tipo, y es una tarea de la alta dirección el asignar prioridades. El auditor debe buscar asegurar que los objetivos son consistentes en lo general y coherentes con la trilogía de factores mencionados anteriormente; Sin embargo, la ausencia de una política y/o objetivos que soporten la mejora continua de alguna naturaleza es claramente una no conformidad con la norma. De manera similar la ausencia de cualquier mejora en al menos uno de estos aspectos sería considerado como indicativo de que la política de calidad de la compañía no está alineada con la norma ISO 9001: 2000.
Una advertencia: no hay un requisito de que la compañía deba establecer objetivos para mejorar en todos sus procesos en algún tiempo. Como en el ejemplo anterior de reducir las quejas de los clientes, algunos procesos pudieran no ser vistos por la alta dirección como que contribuyan significativamente en la reducción de los retrasos y es normal entonces que la compañía no se concentraría en estas áreas.
Si la alta dirección ha establecido un objetivo (realista) para un proceso y no hay evidencia de mejora, esta información pudiera integrarse en la revisión por la dirección de modo que la alta dirección pueda decidir que tipo de acción es apropiada – por ejemplo – reajustar el objetivo o proporcionar otros medios para impactar en el proceso.
Auditar un SGC que tiene una documentación mínima
Puede existir un desacuerdo en la ausencia de ciertos procedimientos documentados donde el auditado presenta solamente un manual de calidad y los seis procedimientos documentados mencionados específicamente en la norma ISO 9001:2000.
El auditado pudiera argumentar que la norma ISO 9001 sólo requiere seis procedimientos documentados. Las diferencias en el punto de vista entre el auditor y el auditado pueden surgir de las diferencias de la interpretación de los requisitos de la norma ISO 9001 contenidos en la cláusula 4.2.1 y la nota relacionada que establece:
16
4.2.1 Generalidades
La documentación del sistema de gestión de la calidad debe incluir:
....
d) los documentos necesitados por la organización para asegurarse de la eficaz planificación, operación y control de sus procesos,
NOTA 2 La extensión de la documentación del sistema de gestión de la calidad puede diferir de una organización a otra debido a:
a) el tamaño de la organización y el tipo de actividades;
b) la complejidad de los procesos y sus interacciones, y
c) la competencia del personal.
El lector debe hacer referencia a la guía dada en el documento ISO/TC 176/SC 2/N 525R ISO 9000 Paquete de introducción y soporte: Orientación acerca de los requisitos de documentación de la Norma ISO 9001:2000
El auditor debe requerir información de la operación actual de los procesos y subsecuentemente hacer más preguntas, registrar las respuestas y observar al personal en todos los niveles, incluyendo personal administrativo, dueños de procesos y operadores, y así confirmar si el estado actual del trabajo es conforme a las descripciones dadas.
De ahí, la necesidad de cualquier documentación debe ser evaluada a la luz de la necesidad observada de consistencia y el papel que esta documentación pudiera jugar en evitar algún riesgo significativo identificado.
Auditando el proceso de Diseño y Desarrollo1. IntroducciónEl objetivo de auditar el proceso de diseño y desarrollo es determinar hasta dondees gestionado y controlado para lograr productos que cumplan con el usointencionado y los requisitos especificados.Es necesario hacer notar que para las organizaciones de servicio, el enfoque adiseño y desarrollo podría ser diferente al de las organizaciones “tradicionales” demanufactura (ver guía sobre Auditoría a organizaciones de servicio).Antes de discutir en detalle el modo en que el proceso de diseño y desarrollo debeser auditado, es vital para el auditor entender que significa el concepto “Diseño yDesarrollo”. Al mal entender este concepto, muchas organizaciones han excluidoerróneamente este proceso de su sistema de gestión de la calidad.La cláusula 7.3 de la norma ISO 9001 se refiere solamente al diseño y desarrollo deproductos y servicios. En algunas organizaciones puede ser benéfico, mas norequerido, el aplicar la misma metodología para diseñar y desarrollar los procesos.
17
El diseño y desarrollo del producto es el conjunto de procesos que transforman losrequisitos del producto (por ejemplo especificaciones, requisitos reglamentarios yrequisitos especificados por el cliente o implícitos), en características específicas delproducto (“rasgos diferenciadores del producto”). La norma ISO 9000 en la cláusula3.5.1 da los siguientes ejemplos de características de producto:• físicas (por ejemplo, características mecánicas, eléctricas, químicas o biológicas);• sensoriales (por ejemplo, relacionadas con el olfato, el tacto, el gusto, la vista y el oído);• de comportamiento (por ejemplo, cortesía, honestidad, veracidad);• de tiempo (por ejemplo, puntualidad, confiabilidad, disponibilidad);• ergonómicas (por ejemplo, características fisiológicas, o relacionadas con la seguridad de las personas);• funcionales (por ejemplo, velocidad máxima de un avión).Para que el auditor pueda determinar si la organización está de hecho involucradaen diseño y desarrollo, los auditores necesitan establecer quién es responsable dedefinir las características del producto o servicio junto con el cómo y cuándo se llevan a cabo.(nota: esto pudiera aplicar tanto al diseño original como a cambios de diseño posteriores)
Generalmente, el proceso de diseño y desarrollo consiste en los pasos mostrados enla figura 1 siguiente. Cada paso tiene resultados específicos que cubren tanto losaspectos comerciales como los técnicos del diseño y desarrollo de un producto. Enalgunos casos, las organizaciones pudieran ser capaces de justificar la exclusión deciertas sub cláusulas o requisitos individuales de su SGC, sin que necesariamenteexcluyan toda la cláusula. Para una organización con un diseño de productoestablecido desde hace mucho tiempo y bien validado, por ejemplo, la organizaciónpudiera solamente asegurar que los cambios en diseño sean manejados de acuerdocon los requisitos de la cláusula 7.3. Los auditores deben verificar que cualquierexclusión sea válida.Figura 1 – Diagrama del proceso de Diseño y Desarrollo
18
Los auditores deben establecer que proyectos de diseño y desarrollo se han tomadoy se están tomando. Los auditores deben seleccionar un número de proyectossuficiente para permitir auditar todas las fases del proceso de diseño.A continuación se da una guía de cómo auditar las varias etapas del proceso dediseño y desarrollo, pero debe resaltarse que pudiera no ser posible auditar todaslas etapas para todos los proyectos seleccionados.2. Auditando la necesidad del diseño y desarrolloLa necesidad de diseño y desarrollo se genera en varias fuentes, incluyendo:• La planificación estratégica de la organización• Inteligencia e investigación de mercado• Reportes de servicio• Retroalimentación y demandas de clientes• Requisitos legales y reglamentarios nuevos o con cambios• Cambios en procesos• Nuevas tecnologías• ProveedoresLos auditores deben evaluar si las organizaciones tienen establecidas y en funcionamiento, actividades para revisar esas necesidades. Aunque no es un requisito de la norma, es muy útil revisar como se toma la decisión de iniciar un diseño y desarrollo, por ejemplo, ¿se han considerado los riesgos y las implicaciones de costo y se han consultado las funciones (internas y externas) relevantes.?
3. Auditando la planificación del diseño y desarrolloLos puntos siguientes deben ser considerados cuando se audite la función de planificación:• ¿Cuál es el flujo general del proceso de diseño y desarrollo?• ¿cómo está descrito?• ¿qué recursos y competencias son requeridos?
19
• ¿qué parte del diseño será contratada externamente?• ¿quién es responsable y las autoridades están definidas?• ¿Cómo están identificadas las interfases (internas y externas) entre variosgrupos y como se gestionan?• ¿están definidos los puntos de verificación, validación y revisión?• ¿están identificadas las metas y tiempos?• ¿se da seguimiento a la implementación y eficacia del plan?• ¿se actualiza el plan y se comunica a las funciones relevantes según seanecesario?4. Auditando las entradas de diseño y desarrolloCuando se auditan las entradas de diseño y desarrollo, los auditores debendesarrollar un entendimiento de cómo la organización define sus propias entradasbasándose en:• El producto y los procesos de la organización• Aspectos financieros, ambientales y de seguridad e higiene• Riesgos e impactos organizacionales• Requisitos y expectativas de los clientes• Requisitos legales y reglamentarios aplicables al productoLos auditores deben evaluar los riesgos y las implicaciones posibles para la satisfacción del cliente y los aspectos que la organización pudiera encontrar si alguna entrada relevante no es considerada.5. Auditando el proceso de diseño y desarrollo y las revisiones de diseñoLos auditores deben verificar que todo el proceso de diseño y desarrollo seacontrolado de acuerdo con el plan original de la organización, sea revisado y que lasrevisiones de diseño tengan lugar en las fases apropiadas según lo planeado.Los siguientes aspectos deben ser considerados por los auditores cuando examinenel proceso de revisión:• ¿las revisiones ocurren en las fases planeadas a través del proceso de diseño?• ¿las revisiones se realizan de manera sistemática involucrando a los representantes de las funciones concernientes con la fase que se está revisando?• ¿se han considerado todas las entradas originales y cualquier otra nueva?• ¿los resultados esperados originales siguen siendo relevantes o se han identificado resultados con las revisiones?• ¿se han vuelto a revisar las entradas y los resultados con revisiones y han sido aprobadas por aquellos con responsabilidad y autoridad relevantes (incluyendo al cliente cuando sea apropiado)?• ¿el resultado demuestra la adecuación y eficacia del producto diseñado?• ¿se han logrado los objetivos de diseño relevantes?• ¿existen registros adecuados de las revisiones?6. Auditando los resultados de diseño y desarrolloLos resultados del diseño y desarrollo deben cumplir con las necesidadesidentificadas para ser capaces de asegurar que el producto resultante pueda cumplircon su uso intencionado. Los resultados pueden incluir información relevante sobrelo siguiente:• Mercadotecnia, ventas y compras• Producción• Aseguramiento de calidad
20
• Información para la provisión de servicio y mantenimiento del producto después de la entregay debe ser proporcionada de manera que facilite el desempeño de las actividades deverificación y validación.Los auditores deben obtener evidencia de los proyectos seleccionados para confirmar que:• Está disponible la información respecto a la terminación de las fases de diseño y desarrollo• El proceso de diseño y desarrollo se ha terminado para la fase bajo revisión • Los resultados de diseño y desarrollo han sido confirmados7. Auditando la verificación del diseño y desarrolloLa verificación del diseño y desarrollo tiene la intención de proporcionar lacertidumbre de que los resultados de una actividad de diseño y desarrollo hacumplido los requisitos de entrada para esa actividad como se muestra en la figurano 2.
Figura 2
La verificación puede comprender actividades como:• Desempeñar cálculos alternativos• Comparar una especificación nueva de diseño con una especificación de diiseño similar ya probada• Realizar demostraciones incluyendo prototipos, simulaciones o pruebas• Revisión de los documentos antes de su emisiónLos auditores deberían determinar que las actividades de verificación de diseño ydesarrollo proporcionan la confianza de que:• Las verificaciones requeridas son planificadas y las verificaciones se realizan según sea apropiado durante el proceso de diseño y desarrollo
21
• El diseño y desarrollo terminado es aceptable y los resultados son consistentes y trazables con los requisitos iniciales• El diseño y desarrollo terminado es el resultado de la implementación de unasecuencia apropiada de eventos, entradas, salidas, interfases, flujo lógico, asignación de tiempo, etc• El diseño y desarrollo proporciona seguridad, y cumple con otros requisitos yentradas de diseño• Se cuenta con evidencia para demostrar que los resultados de esa verificación y cualquier acción adicional ha sido registrada y confirmada cuando se completaron las accionesLos auditores deberían determinar que solamente los resultados de diseño y desarrollo verificados han sido remitidos para las fases siguientes, según sea apropiado.8. Auditando la validación de diseño y desarrolloLa validación del diseño y desarrollo es la confirmación por medio de un examen y laproporción de evidencia de que un requisito particular para un uso intencionadoespecífico se cubre, en otras palabras ¿es el proceso de validación, capaz deconfirmar que el producto final será capaz de cumplir o cumple con las necesidadesdel cliente cuando esté en uso.?Los métodos de validación deben estar especificados como parte del proceso deplanificación del diseño y desarrollo aunque estos puedan ser modificados durante larealización del diseño y desarrollo.Para muchos productos y/o servicios, la validación es un proceso relativamentesimple. Un ejemplo puede ser un nuevo diseño de muebles de oficina, el cuál puedeser validado por la prueba de prototipos, seguido de una prueba de las muestrasiniciales del producto terminado.Sin embargo, en muchas otras situaciones, la validación de diseño será más compleja. Los productos o componentes, utilizados en sistemas eléctricos oelectrónicos por ejemplo, tienen que cumplir con muchos requisitos de funcionamiento dependiendo de su uso por otras organizaciones de diseño de sistemas. En esa situación, la validación de diseño puede hacerse solamente cuando la información apropiada es obtenida (de preferencia resultados de pruebas formales) de aquellas organizaciones de diseño de sistemas o de varios usuarios del producto o componente.Otro ejemplo de una situación difícil es cuando la validación del diseño es realizadapor el cliente u otras organizaciones externas (por ejemplo para la confirmación deun diseño arquitectónico o de ingeniería).En estas situaciones complejas, la organización necesitará buscar un acuerdo conlas partes externas relevantes en cuanto a cómo se realizará la validación del diseñoy cómo se comunicarán los resultados y con quién. En esa situación, se deberíaincorporar en la planificación del diseño de la organización que la validación deldiseño se hará de esa manera.Los auditores deben asegurar que:• Existen registros para confirmar que las validaciones se han realizado• La validación fue realizada de acuerdo con los aspectos planificados para lavalidación• La validación indica que el producto resultante es capaz de cumplir los requisitos de la especificación
22
• Cuando sea práctico, la validación se ha realizado antes de la entrega o implementación del producto• Existen registros de cualquier acción necesaria para corregir las no conformidades con las entradas de diseño y desarrollo y las razones de estas desviaciones.Cuando la validación no puede realizarse antes de la entrega o implementación, losauditores deben asegurar que estas actividades se realizan en la oportunidad máspróxima, como en la entrega de una planta o fabrica compleja, y ésta sea comunicada al cliente. Los auditores deben determinar que solamente los resultados de diseño y desarrollo validados sean entregados para uso de los clientes.9. Auditando los cambios en diseño y desarrolloLos cambios en diseño y desarrollo hechos durante el proceso de diseño necesitanestar controlados. Los auditores deben considerar lo siguiente:• ¿las fuentes y requisiciones de los cambios están adecuadamente identificados y comunicados?• ¿el impacto de cualquier cambio es evaluado?• ¿ se ha realizado cualquier prueba o ensayo de diseño donde sea apropiado?• ¿Se han evaluado los efectos de los cambios, en partes constituyentes y productos ya entregados?• ¿se ha dado la aprobación apropiada antes de que un cambio sea implementado (esto pudiera incluir aprobaciones legales o aprobaciones por el cliente)?• ¿los cambios están totalmente documentados y los registros incluyen información con respecto a cualquier acción adicional necesaria
Como auditar los procesos de alta dirección
Al reconocer que auditar a la alta dirección pudiera ser un punto sensitivo, este documento proporciona la directriz para ésta categoría de auditoría.
Los auditores deben involucrar a la alta dirección en la auditoría, por ejemplo, invitarlos a la reunión de apertura y cierre, permitir suficiente tiempo en el plan de auditoría para entrevistar a la alta dirección, discutir los hallazgos directamente con ellos, buscar evidencia de compromiso. Es importante cambiar el enfoque de atención de sólo al gerente de calidad hacia la alta dirección de la organización.
Las actividades de dirección deben ser consideradas como procesos.
Fase de planificación
El auditor necesita identificar los procesos de alta dirección y
a. entender a la organización y su estructura organizacional revisando información, como los organigramas, reportes anuales, planes de negocios, perfiles de la compañía, documentos editados, paginas electrónicas,
b. hacer una provisión en el plan de auditoría para recolectar información relevante sobre el compromiso de la alta dirección directamente de, o haciendo entrevistas a, la alta dirección,
23
c. entender la cultura de la organización y su alta dirección para poder determinar su impacto en el plan de auditoría – y hacer los ajustes apropiados. Por lo tanto, un auditor con experiencia limitada en auditorías no debe ser asignado para entrevistar a la alta dirección,
d. tomar un enfoque profesional en su apariencia determinando el código de vestimenta de la organización,
e. planear el tiempo para la entrevista con la alta dirección para asegurar el lugar y la puntualidad.
Conduciendo la auditoría
Algunos métodos comunes para evaluar el compromiso de la alta dirección:
1. Entrevistas con la alta dirección
El auditor puede, utilizando la terminología de negocio apropiada para la alta dirección, hacer preguntas relevantes que
a) busquen obtener evidencia de la conciencia de la alta dirección y su compromiso hacia la calidad y su relevancia hacia los objetivos generales de la organización y el sistema de gestión,
b) establezcan evidencia de conformidad a los requisitos de la responsabilidad de la dirección.
2. Recolección y corroboración de evidencia
El equipo auditor debe estar constantemente buscando oportunidades de corroborar las respuestas recibidas de la alta dirección cuando se entreviste. Esto incluye:
a) disponibilidad y relevancia de políticas y objetivos
b) el establecimiento de vínculos entre las políticas y los objetivos
c) obtención de evidencia de que esas políticas y objetivos son eficaces y entendidos a través de toda la organización
d) asegurar que las políticas y objetivos son apropiados para la mejora continua del sistema de gestión de la calidad y asegurar la satisfacción del cliente.
e) e) asegurar el involucramiento de la alta dirección en la revisión por la dirección.
Para proporcionar esa confianza pudiera necesitarse entrevistas adicionales y recolección de evidencia.
El equipo auditor debe asegurar que cualquier evidencia adicional del compromiso de la alta dirección sea recolectada.
Revisar la evidencia recolectada para asegurar que la información sea completa y precisa para proporcionar confianza al escribir la conclusión.
Reporte de auditoría
24
Los auditores deben preparar sus reportes de auditoría de manera que los hagan apropiados para la presentación a la alta dirección de las organizaciones. Pudiera ser adecuado presentar un resumen ejecutivo del reporte de auditoría, apropiado para la presentación a la alta dirección y las partes interesadas clave de la organización. El resumen ejecutivo debe destacar los hallazgos clave, tanto positivos como negativos e identificar las oportunidades de mejora.
El papel y valor de las listas de verificación para auditoría
Introducción
Este documento proporciona información del papel y uso de las listas de verificación para auditoría para soportar activamente el proceso de auditoría. Mientras que el documento está primordialmente dirigido para organizaciones que realizan auditorías externas incluyendo cuerpos de certificación, la información puede también igualmente ser usada por cualquier organización que realice auditorías internas.
La necesidad de las listas de verificación
Al ver la norma actual de auditoría ISO 19011 se hace referencia a “Preparación de los documentos de trabajo” en la cláusula 6.4.3. Lo siguiente es un extracto de esta cláusula:
“Los miembros del equipo auditor deberían revisar la información pertinente a las tareas asignadas y preparar los documentos de trabajo que sean necesarios como referencia y registro del desarrollo de la auditoría. Tales documentos de trabajo pueden incluir:
listas de verificación y planes de muestreo de auditoría, y
formularios para registrar información, tal como evidencias de apoyo, hallazgos de auditoría y registros de las reuniones.
El uso de listas de verificación y formularios no debería restringir la extensión de las actividades de auditoría, que pueden cambiarse como resultado de la información recopilada durante la auditoría.”
El uso de la lista de verificación para auditoría
Aunque no siempre es requerida en las normas de sistemas de gestión, las listas de verificación para auditoría son solo una herramienta disponible de la “caja de herramientas” del auditor. Muchas organizaciones las usarán para asegurar que la auditoría al menos cubrirá los requisitos como se definan en el alcance de la auditoría.
Resulta beneficioso auditar desde el sistema de gestión de la organización hacia los requisitos. Una lista de verificación puede ser empleada para asegurarse de que todos los requisitos relevantes de ISO 9001 han sido abordados.
Ventajas
La literatura disponible en el mercado resalta lo siguiente con respecto al uso de listas de verificación para auditorías:
25
1. Las listas de verificación si se desarrollan para una auditoría específica y se usan correctamente:
a. Promueven la planificación de la auditoría.
b. Aseguran un enfoque consistente de auditoría.
c. Actúan como plan de muestreo y controlador de tiempo.
d. Sirven como ayuda a la memoria.
e. Proporcionan un archivo para las notas recolectadas durante el proceso de auditoría (notas de la auditoría de campo)
2. Las listas de verificación para auditoría necesitan ser desarrolladas para proporcionar asistencia al proceso de auditoría.
3. Los auditores necesitan ser entrenados en el uso de las listas de verificación particulares y enseñarles como usarlas para obtener el máximo de información utilizando buenas técnicas de cuestionamiento.
4. Las listas de verificación deben asistir a un auditor a desempeñarse mejor durante el proceso de auditoría.
5. Las listas de verificación ayudan a asegurar que la auditoría se realice de manera sistemática y comprehensiva y se obtenga evidencia adecuada.
6. Las listas de verificación pueden proporcionar la estructura y continuidad que asegure que el alcance de la auditoría se ha seguido.
7. Las listas de verificación pueden proporcionar un medio de comunicación y un lugar para registrar datos para usar como futura referencia.
8. Una lista de verificación completa proporciona evidencia objetiva de que la auditoría se desarrolló.
9. Una lista de verificación puede proporcionar un registro de que el SGC fue examinado.
10. Las listas de verificación pueden ser utilizadas como información base para planificar futuras auditorías.
11. Las listas de verificación pueden proporcionarse al auditado antes de la auditoría en el sitio.
Desventajas
En contraste, cuando las listas de verificación para auditoría no están disponibles o están pobremente preparadas surgen los siguientes aspectos como preocupación:
1. La lista de verificación puede ser vista como arma de intimidación por el auditado.
2. El enfoque de la lista de verificación puede ser muy estrecho en alcance para identificar las áreas específicas con problemas.
3. Las listas de verificación son una herramienta de ayuda para el auditor, pero puede ser restrictiva si se utiliza como el único mecanismo de soporte del auditor.
4. Las listas de verificación no deben ser un sustituto del plan de auditoría.
26
5. Una lista de verificación utilizada por un auditor inexperto pudiera no ser capaz de comunicar claramente que es lo que el auditor esta buscando.
6. Las listas de verificación pobremente preparadas pueden dilatar la auditoría debido a duplicaciones y repeticiones.
7. Las listas de verificación genéricas, no reflejan el sistema de gestión específico de la organización y pudieran no agregar valor e interferir con la auditoría.
Conclusión
En resumen, existen ventajas y desventajas en el uso de las listas de verificación para auditorias. Depende de muchos factores, incluyendo las necesidades de los clientes, las restricciones de tiempo y costos, la experiencia del auditor y los requisitos del esquema del sector. Los auditores deben evaluar el valor de la lista de verificación como una ayuda en el proceso de auditoría y considerar su uso como una herramienta funcional.
27