top of page
Buscar

Cómo realizar una auditoría interna usando ISO 19011 / Parte 1

  • Foto del escritor: Lizzy
    Lizzy
  • 28 feb 2022
  • 6 Min. de lectura

Introducción


En todos los estándares de Sistemas de Gestión emitidos por la Organización Internacional de Normalización (ISO), y normas que se relacionan con ellas, existe la obligación de realizar auditorías internas a los procesos de la empresa.


Estos requisitos se encuentran en cada una de las normas, es decir, ISO 27001, ISO 20000, ISO 9001, ISO 14001, ISO 45001, ISO 13485, IATF 16949 y AS9100, y son relativamente iguales independientemente del estándar del que se trate.


Los requisitos para la auditoría interna proporcionan un método para verificar que el sistema que se ha implementado está funcionando como lo han planeado en tu organización.


El proceso de auditoría interna está destinado a ayudarte a mantener la observación en tus procesos, revisar lo que sucede en estos y garantizar que cumplan con lo planificado, de acuerdo con los requerimientos de la norma ISO, así como con las políticas y procedimientos implementados por la organización. Además, las auditorías internas proporcionan información sobre la implementación y mantenimiento efectivos del Sistema de Gestión. Cada estándar requiere que realices auditorías internas, pero no brindan detalles sobre cómo implementar dicha auditoría interna, ya que puede haber diferentes formas de auditar dependiendo de las necesidades de tu organización.


Para un proceso más detallado para la realización de auditorías, existe la norma ISO 19011:2018: directrices para la auditoría Sistemas de Gestión. Esta norma es emitida por la ISO como el principal método para realizar auditorías de un Sistema de Gestión, y es el estándar utilizado para capacitar a los auditores de certificación. Entonces, usar ISO 19011 te permite entender cómo el auditor de certificación mirará tu Sistema de Gestión cuando lleve a cabo la auditoría de certificación.


¿Por qué ISO 19011?


Como comenté, ISO 19011 es el estándar que define cómo realizar una auditoría para un Sistema de Gestión. Este es el documento según el cual los auditores de certificación están capacitados y se espera que se alineen, pero también es una guía útil sobre cómo realizar cualquier auditoría del Sistema de Gestión, incluidas las auditorías internas.


Esta norma nos dice que, una auditoría interna es una auditoría realizada por, o en nombre de, la organización para revisar el Sistema de Gestión. Básicamente, esto significa que puede utilizar a sus propios empleados para realizar una auditoría interna, o puede contratar a alguien externo para realizar la auditoría interna. Por otra parte, la auditoría externa es una auditoría realizada por un tercero en su propio nombre: en el mundo ISO, la auditoría de terceros más común es la auditoría de certificación realizada por los organismos de certificación.


También puedes entender la diferencia entre auditorías internas y externas de la siguiente manera: los resultados de la auditoría interna se utilizará solo internamente en tu empresa, mientras que los resultados de la auditoría externa o la auditoría de terceros también se puede usar públicamente, por ejemplo, si tu empresa se somete a la auditoría de certificación y si tu empresa obtiene el certificado, este certificado es un documento público, lo que significa que puede ser presentado a otros externos a tu organización como lo pueden ser tus clientes.


Asimismo, no podemos perder de vista que el objetivo principal de la auditoría interna es mejorar el Sistema de Gestión de tu empresa, mientras que el propósito de la auditoría de certificación es en realidad diferente; su propósito es averiguar si tu empresa cumple con el estándar (Norma ISO), lo que conduce automáticamente a la emisión del certificado. Sin embargo, uno de los fines de la auditoría interna podría ser preparar a los empleados para la auditoría de certificación, usando el mismo formato y lineamientos que en la auditoría interna.


¿Qué hay de nuevo en ISO 19011:2018?


El mayor cambio en ISO 19011:2018 es la introducción de la auditoría basada en riesgos a los principios de la gestión de la auditoría del sistema. Este cambio se alinea con las actualizaciones de los estándares ISO para alinearse con el Anexo SL, que trae la evaluación del riesgo y la elaboración de planes para abordar el riesgo en los Sistemas de Gestión. Este mismo pensamiento sobre el riesgo ahora es parte de cómo pensamos en auditar los procesos del Sistema de Gestión.


Riesgo, tal como se define en la ISO, es el efecto de la incertidumbre, y la planificación para hacer frente a la incertidumbre en la auditoría, es una adición útil a los principios de la auditoria. Al planificar el proceso de auditoría, debemos comprender la incertidumbre que forma parte del proceso, las consecuencias potenciales y la probabilidad de ocurrencia de eventos, y cómo estos afectarán la auditoría.


Por lo tanto, al planificar una auditoría, debes observar los procesos que se auditarán y comprender qué podría salir mal incluyendo los dos tipos de riesgo: riesgo de que no se logren los objetivos de la auditoría y riesgo de que la auditoría perjudique o afecte el proceso. Por ejemplo, si el propietario del proceso está realizando cambios importantes en un subproceso (como la aprobación del proveedor de un subproceso que forma parte del proceso de compra), esto podría significar que no podrías auditar adecuadamente esta parte del proceso, ya que los registros no coincidirán con el nuevo proceso. De hecho, realizar esta auditoría cuando se está cambiando el proceso podría desperdiciar recursos que se utilizarían mejor para ayudar a verificar el nuevo proceso después de la implementación, algo que podría beneficiar mucho al propietario del proceso. Por lo tanto, necesitas tener en cuenta este tipo de aspectos al planificar la auditoría.


Otro cambio al estándar ISO 19011 es el diagrama de flujo del proceso incluido en el estándar. En las versiones anteriores de la norma había figuras separadas para mostrar el flujo del programa de auditoría y el flujo del proceso de auditoría. Si bien estos diagramas de flujo eran buenos, la nueva figura ahora muestra ambos procesos en el mismo diagrama de flujo para que puedas ver fácilmente la interacción entre los dos procesos: cuando el proceso de auditoría es parte de implementar el programa de auditoría, y donde la información de las auditorías de proceso fluye para el monitoreo del programa de auditoría.


Principios de auditoría ISO 19011

Para que la auditoría sea una herramienta eficaz para la organización y para que los datos recopilados sean precisos y útiles, hay siete principios que deben incluirse en el programa de auditoría. Estos principios te ayudan a proporcionar conclusiones que sean relevantes, consistentes y útiles, y se espera que todos los miembros de la auditoría sigan estos principios durante la actividad de auditoría.


Integridad: los auditores deben ser éticos, honestos y responsables. Si no es competente para auditar un proceso, debido a una falta de comprensión, entonces tienes que parar. Las auditorías deben realizarse de manera imparcial para que sean justas e imparciales.

Recuerda, estás auditando para confirmar la conformidad con los requisitos, no estás buscando errores.

Presentación justa: la auditoría debe informar la verdad, con precisión y objetividad. Todas las declaraciones de auditoría deben basarse en hechos comprobables y no en la opinión del auditor. Los informes de auditoría deben ser oportunos, claros y completos para que los hechos puedan ser actuados en caso de ser necesario. Si hay un problema en un proceso, esto debe indicarse claramente durante el proceso de auditoría, no ignorarlos durante la auditoría y limitarse a reportarlos en el informe de auditoría.

Debido cuidado profesional: es esencial hacer juicios razonables basados ​​en la importancia de la tarea. Si auditas una función o proceso crítico, mirar más profundamente y tomar más muestras es una buena manera de asegurarte de verificar minuciosamente.

Confidencialidad: los auditores pueden ver información que no está destinada a ser ampliamente conocida, como información financiera, información o registros de personal. Esta información debe utilizarse adecuadamente para la auditoría y no debe divulgarse o utilizarse de manera inapropiada.

Independencia: los auditores no deben auditar su propio trabajo y, cuando sea posible, no deben auditar las actividades que están significativamente involucrados. En el estándar ISO 19011 se señala que esto puede ser difícil en organizaciones más pequeñas, pero que se debe hacer todo lo posible para eliminar el sesgo.

Enfoque basado en evidencia: similar a la presentación fiel, el auditor necesita tener hechos verificables para respaldar sus resultados y conclusiones de la auditoría. Estos hechos en su mayoría provienen de actas del proceso, pero también pueden ser declaraciones de hechos por personal informado u observaciones de actividades. Si no hay evidencia de una no conformidad, entonces no se debe plantear una no conformidad.

Enfoque basado en el riesgo: es importante considerar los riesgos y las oportunidades en la auditoría para garantizar que se concentre en asuntos significativos. Recuerda los dos tipos de riesgos que deben abordarse: los riesgos que los objetivos de que la auditoría no se cumplirá, y el riesgo de que la auditoría afecte negativamente al proceso auditado.


¿Quieres conocer más del tema? En nuestra segunda parte hablaremos de las Características del auditor bajo el enfoque de ISO 19011.



¿Te interesaría participar en el curso de Auditor Interno bajo la ISO 19011:2018 para implementar y/o mejorar tu proceso de auditoria interna?




Comments

bottom of page