Ministerio de Ciencia Tecnología y Medio Ambiente
Oficina Nacional de Normalización

Página Principal

 GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA

 

Introducción

 

El siguiente documento es una traducción libre no oficial, realizada por la Oficina Nacional de Normalización (NC) de los documentos elaborados por el Grupo de Prácticas de Auditoria de sistemas de gestión de la calidad (www.iso.org/tc176/ISO9001AuditingPracticesGroup), recientemente fusionado con el Grupo de Prácticas de Auditoria de Acreditación, adscrito al Comité Técnico 176 de la ISO – Gestión de la Calidad y Aseguramiento de la Calidad (ISO/TC 176) y el Foro Internacional de Acreditación (IAF), conformado por expertos y auditores. Los documentos originales vigentes se publican oficialmente en idioma inglés en el sitio web de IAF (www.iaf.nu) y en el del ISO/TC 176 (www.bsi.org.uk/iso-tc176-sc2) y pretenden brindar ayuda para auditar de forma eficaz los requisitos de los sistemas de gestión de la calidad (SGC).

 

La información contenida en estos documentos está disponible al público con fines educativos y de comunicación, pudiendo ser de utilidad para auditores, consultores y especialistas en materia de calidad. Las ideas, ejemplos y explicaciones dadas en ellos reflejan un acercamiento basado en proceso, esencial para auditar los requisitos de la norma ISO 9001 en su versión del año 2000. Estos documentos reflejan el enfoque actual consensuado de varios puntos de vista diferentes al auditar un SGC y por tanto no agotan todas las especificidades de un sector o industria particular, por lo que no constituyen requisitos, sino guías o directrices generales acerca de cómo abordar la auditoria de los aspectos que constituyen requisitos del SGC.

 

Agradecemos todo comentario o sugerencia de parte de los lectores sobre la necesidad de abordar nuevos temas por el Grupo de Prácticas de Auditoria, a través de la participación de NC como integrante del mismo. Los comentarios y dudas dirigirlas a la dirección de correo electrónico: agustin@ncnorma.cu

 

Abreviaturas empleadas:

RNC- Reporte de No conformidad

SGC- Sistema de gestión de la calidad

CRB- Organismo de certificación (del inglés “Certification/Registration Body”)

 

Otros documentos guías de apoyo para consulta:

 

·         Conjunto de documentos para la introducción y el soporte de la serie de Normas ISO 9000" Documentos guías del ISO/TC 176 SC2 (traducidos de forma consensuada por el Grupo de Traducción de Normas al Español adscrito al ISO/TC 176 – STTG): 

o        N524 – Orientación sobre el apartado 1.2 "Aplicación” de la Norma ISO 9001:2000

o        N525 – Orientación sobre los requisitos de documentación de ISO 9001:2000.

o        N544 – Orientación sobre el Concepto y Uso del Enfoque basado en procesos para los sistemas de gestión

o        N630 – Orientación sobre los procesos contratados externamente

·         IAF-PL-01-012 Directrices de la IAF sobre la aplicación de la norma ISO 9001:2000 (versión 2)


 

El listado de guías elaboradas por temas que se muestra a continuación, está vinculado a los documentos para facilitar su acceso, por lo que sólo debe pulsar el botón del ratón sobre el título para verlo en pantalla.

 

1.      La necesidad de un enfoque de dos etapas para la auditoria

  1. Identificación de los procesos como se pretende en la norma ISO 9001:2000
  2. Entendiendo el enfoque basado en procesos
  3. Determinación de los procesos “apropiados”
  4. Auditando los requisitos “cuando sea aplicable”
  5. Demostrando conformidad con la norma
  6. Vinculando la auditoria a un asunto particular, actividad o proceso del sistema general
  7. Auditando la mejora continua
  8. Auditar un SGC que tiene una documentación mínima
  9. Cómo auditar los procesos de la alta dirección
  10. El papel y valor de las listas de verificación para auditoria
  11. El alcance de la norma ISO 9001:2000, alcance del sistema de gestión de la calidad y la definición del alcance de la certificación
  12. Cómo agregar valor durante un proceso de auditoría
  13. Auditando la competencia del personal y la eficacia de las acciones de capacitación
  14. Auditando los requisitos reglamentarios
  15. Auditando la política y los objetivos de la calidad
  16. Auditando el control de los dispositivos de seguimiento y medición
  17. Uso eficaz de la norma ISO 19011
  18. Auditando los procesos de retroalimentación del cliente
  19. Documentando una no conformidad
  20. Guía para la revisión y cierre de no conformidades
  21. Auditando la acción preventiva
  22. Auditando las comunicaciones internas
  23. Auditando la eficacia de la auditoria interna
  24. Auditando organizaciones de servicio
  25. Imparcialidad del auditor de tercera parte y conflictos de intereses
  26. Auditando sistemas de gestión en base electrónica.
  27. Auditando la gestión de los recursos
  28. Auditando las comunicaciones con los clientes
  29. Auditando los procesos de Diseño y Desarrollo
  30. Código de ética y conducta del auditor
  31. Guía sobre aspectos culturales de la auditoria

 

 Página Principal

La necesidad de un enfoque de dos etapas para la auditoría

 

Para auditar la norma ISO 9001:2000 es necesario que los auditores obtengan un buen entendimiento del sistema de gestión de la calidad (SGC) del auditado y de la naturaleza de su negocio. Es por esto que es benéfico para la organización que sea visitada con anterioridad a la auditoría de certificación y para que se realice la primera etapa de la auditoría.

Esta 1° etapa de auditoría es primeramente para entender el alcance y planificar la auditoría de certificación (la etapa 2 de la auditoría) y para permitir que el auditor obtenga un entendimiento de la organización. Por ejemplo, para obtener un conocimiento de su SGC, políticas, objetivos, riesgos, procesos, localidades, etc. También se pudiera utilizar para que el cuerpo de auditoría comunique sus necesidades y expectativas al auditado.

Las actividades desarrolladas en la etapa 1 de la auditoría preliminar incluyen:

·         La identificación de los riesgos clave para el negocio y los aspectos regulatorios relacionados y su cumplimiento

·         Una evaluación de si los procesos definidos por el auditado son adecuados para cumplir sus objetivos y los requisitos de los clientes

·         Conducir una revisión documental

·         Esta revisión debe determinar si la documentación del SGC de la organización cubre adecuadamente todos los requisitos de la norma ISO 9001:2000. La revisión normalmente debería ser realizada en las instalaciones del auditado ( a menos que otra cosa se solicite y justifique). Como resultado de esta actividad, se debe proporcionar un reporte que resalte cualquier área de deficiencia. Como parte de la revisión documental, el auditor debe evaluar la extensión y la disponibilidad de procedimientos de soporte y descripciones de proceso. Recolectar la información necesaria de acuerdo con el alcance del SGC de la organización, los procesos y su ubicación.

·         Hacer un borrador de la documentación de la futura certificación, incluyendo el enunciado del alcance

·         Planificar la auditoría de certificación (etapa 2), incluyendo los requisitos para la selección del equipo auditor.

·         Obtener evidencia de que han sido planeadas auditorías internas y revisiones por la dirección, o eficazmente realizadas

·         Verificar que el SGC está implementado y listo para la auditoría de etapa 2, incluyendo en nivel apropiado de documentos y de registros de soporte.

Si el sistema tiene alguna deficiencia, el auditor debe notificarlo en el reporte de auditoría, de modo que la organización tenga la oportunidad de rectificar las deficiencias antes de su auditoría de certificación (2° etapa).

·         Acordar la fecha de la auditoría 2° etapa

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

Página Principal
Identificación de los procesos como se pretende en la norma ISO 9001:2000

Distinguiendo entre los conceptos de proceso y actividad

Si el auditado no puede distinguir entre los conceptos de proceso y actividad, el auditor puede brevemente explicar la diferencia de acuerdo a la norma ISO 9000:2000 como una información de soporte. El auditor debe ser capaz de adaptarse a la situación del auditado. Es responsabilidad del auditor el entender el sistema y enfoque del auditado.

Durante la auditoría, el auditor debe determinar si es un problema solamente de diferencia de terminología o si existe una falta real de implementación del enfoque basado en procesos por el auditado, en cuyo caso pudiera haber necesidad de emitir un reporte de no conformidad ya que el auditado no ha implementado completamente el requisito establecido en la norma ISO 9001:2000, Cláusula 4.1. Si simplemente es un problema de terminología, no habrá necesidad de emitir un RNC si todos los requisitos del la cláusula 4.1 se satisfacen.

El auditado tiene el derecho de usar su propia terminología, demostrando que los requisitos de la norma se cumplen. El auditor debe mentalmente desarrollar una lista de referencia cruzada para asegurar la consistencia y tener un mejor entendimiento.

Un proceso tiene definidos objetivos, entradas, salidas, actividades y recursos

Si el auditado no entiende que un proceso en este sentido debe tener definido (pero no necesariamente mensurable) objetivos, entradas, salidas, actividades y recursos, trate reformulando las preguntas al auditado evitando el uso de lenguaje de Gestión de Calidad, ejemplo,  ¿pudiera explicarme sus operaciones aquí?, ¿cuáles son los trabajos básicos que se realizan en su departamento?, ¿qué información necesita usted para empezar a trabajar?, ¿de donde viene?, ¿quién recibe el resultado de su trabajo?,¿cómo sabe si ha hecho correctamente su trabajo?, etc.

Esto debe ayudar al auditor a establecer si los procesos (según la norma ISO 9001: 2000) están definidos, tienen entradas, salidas y objetivos claros y así.

Los procesos deben ser analizados, dárseles seguimiento y/o medirlos y mejorarlos

Si después de aplicar las técnicas de auditoría mencionadas anteriormente, y en la ausencia de cualquier registro u otras pruebas para demostrar que los procesos son analizados y/o se les da seguimiento y/o son medidos y/o mejorados, debe considerarse una no conformidad a una parte de la cláusula 4.1 de la norma ISO 9001:2000

El auditado / auditor considera que cada cláusula o sub cláusula de la norma ISO 9001:2000 debe ser definida como un proceso por separado

Si el auditor considera esto como el enfoque correcto, se le debe referir a los documentos relevantes de ISO, (particularmente el N544) que claramente indican lo contrario. Si el auditado considera esto como el enfoque correcto, es recomendable utilizar las técnicas señaladas anteriormente en la segunda sección. 

¿El enfoque basado en procesos como se describe en la introducción es un requisito de la norma ISO 9001: 2000?

La descripción del enfoque basado en procesos en la introducción de la norma ISO 9001:2000 es puramente informativa y no una serie de requisitos adicionales. 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

 

Ayudando al auditor a interpretar el enfoque basado en procesos

Si el auditor no entiende o malinterpreta el enfoque basado en procesos, hay que dirigirlo a fuentes reconocidas de información, como la norma ISO 9000:2000 y las guías ISO en los conceptos y uso del enfoque de procesos para los sistemas de gestión (ISO/TC176/SC2 N 648)

 

El cuerpo de certificación debe asegurar que todos sus auditores hayan recibido el entrenamiento suficiente sobre los nuevos requisitos de la norma ISO 9001:2000, en particular en el enfoque basado en procesos. Por tanto, el auditor debe comprender que varios pasos son necesarios, incluyendo lo siguiente:

·         determinar los procesos y las responsabilidades necesarias para lograr los objetivos de la calidad de la organización;

·         determinar y proporcionar los recursos e información necesaria;

·         establecer y aplicar los métodos de seguimiento y/o medición y análisis de cada proceso;

·         establecer y aplicar un proceso de mejora continua de la eficacia del SGC.

El concepto del enfoque basado en procesos debe ser tan bien entendido por el auditor que no este limitado por la terminología de la norma; el auditado pudiera usar una más o menos diferente. El auditor debe estar conciente de que la aplicación del enfoque basado en procesos será diferente de una organización a otra, dependiendo del tamaño y complejidad de la organización y sus actividades. Se debe dar una consideración especial en la situación de las pequeñas y medianas empresas (PYMEs), de modo que el auditor no espere tantos procesos en el SGC.

Ayudando al auditado a interpretar el enfoque basado en procesos

Si el auditor se encuentra con una total mala interpretación del auditado, esta situación debe ser identificada normalmente en la primera etapa de auditoría.

El auditor debe referir al auditado a las fuentes reconocidas de información, como las indicadas en la sección anterior.

En particular el documento N648 establece los pasos en el enfoque basado en procesos y proporciona una directriz útil con ejemplos.

El auditado debe también poner suficiente consideración a 

·         la identificación de los objetivos del proceso,

·         la planificación del proceso,

·         la disponibilidad de registros adecuados.

El auditado pudiera tener identificados muchos procesos; alguno o todos ellos son actividades que no cumplen con los requisitos de un proceso en el sentido en el que la norma ISO 9001:2000 utiliza el concepto. Si es así, el auditor debe en la primera etapa de auditoría proponer al auditado que desarrolle una redefinición de sus procesos basado en, por ejemplo, lo critico de las actividades. Esto puede ser particularmente relevante para las pequeñas y medianas empresas.

Si por excepción, el mal entendido no se detecta hasta la segunda etapa de la auditoría, se debe levantar un RNC. El auditor entonces tiene que considerar las posibilidades de acuerdo con las reglas del cuerpo de certificación involucrado, por ejemplo, continuar con la auditoría, reauditar después o aún la terminación de la auditoría.

 

¿Cómo evaluar si el auditado no ha implementado el enfoque basado en procesos?

El auditor debe determinar si es una falta de implementación real o formal, o algo en intermedio. Una falta real de implementación pudiera caracterizarse por ejemplo en un flujo de información y/o de producto no claro entre las funciones, tiempos de entrega largos o inconsistentes desde la solicitud hasta la entrega de los productos, además de la ausencia de objetivos de proceso y análisis.

El otro extremo pudiera ser cuando todas las actividades de importancia para una calidad definida de productos se encuentran bien implementadas e interrelacionadas, incluyendo, por ejemplo, compras, y la responsabilidad de las líneas de producto desde la requisición hasta el transporte final están establecidas, pero el concepto del enfoque basado en procesos no se utiliza. Si todos los requisitos en la cláusula 4.1 son de hecho cubiertos, no debe levantarse un RNC con referencia a esa cláusula.

Sin embargo, si la descripción de las interfases es deficiente en la documentación de calidad parecería que existe una no conformidad con la cláusula 4.2.2.

Si el auditado ha fallado en uno o más de los requisitos en la cláusula 4.1 se debe levantar un RNC. Dependiendo de la extensión e importancia de la no conformidad, el auditor tiene que considerar las posibilidades de acuerdo con las reglas del cuerpo de certificación involucrado, por ejemplo, continuar con la auditoría, reauditar o hasta terminar.

¿Qué debe considerar el auditor cuando audita un proceso?

El auditor debe plantear preguntas basadas en la definición de un proceso en la norma ISO 9001:2000 pero transformarla para la situación actual de modo que el auditado pueda entender que es lo que el auditor quiere saber. Algunos de esos ingredientes básicos son:

·         el objetivo: ¿cuál es la intención del proceso? 

·         la entrada: ¿qué es lo que va a ser tratado? ¿de dónde viene?

·         las actividades: ¿qué se hace en esos pasos particulares?

·         la salida: ¿qué sucede con la entrada? ¿cuál es el resultado? ¿a dónde va? ¿el resultado está alineado con el objetivo/intención?

·         los recursos: ¿qué es necesario para las actividades en términos de personal, información, equipo, etc.? ¿los recursos necesarios están disponibles?

·         el seguimiento/medición: ¿a que se le da seguimiento o se mide para ver que las actividades se desarrollan como se pretende? ¿Los parámetros seleccionados para dar seguimiento o medir son adecuados? ¿existe algún arreglo particular como una inspección?

·         el análisis: ¿que se hace con la información recolectada del seguimiento o la medición de las actividades? ¿quién lo realiza?

·         la mejora: ¿la mejora del proceso esta incluida en el programa de auditoría como mejora continua? El auditor debe darse cuenta de que no todos los procesos pueden ser mejorados simultáneamente; el auditor debe priorizar. 

 Para obtener información general, el auditor debe encontrar quién es el responsable del proceso, pero debe estar conciente de que la norma ISO 9001:2000 no requiere un “dueño de proceso” formal”.

Procesos versus subprocesos

No hay un requisito en la norma ISO 9001:2000 o una regla generalmente aceptada de que tan simple puede ser un proceso. Si todos los requisitos en la cláusula 4.1 se cumplen, el auditor debe respetar cualquier razón sobre el diseño de los procesos que el auditado le muestre.

Donde un proceso muy complejo puede ser dividido en dos o más procesos menos complejos, cada uno de los cuales cumpla con los requisitos de la cláusula 4.1, el auditor pudiera presentar esto como una posibilidad pero no como una recomendación -  lo último puede ser interpretado como una consultoría y pudiera interpretarse como una responsabilidad no deseada del auditor.

Diferencia entre documentación e implementación

El manual de calidad /documentación pudiera, en una fase preparatoria, llevar al auditor a creer que los sistemas están implementados según el enfoque basado en procesos, pero la realidad en el sitio de trabajo pudiera ser lo opuesto.

En este caso el auditor encontraría una falta de implementación caracterizada por 

·         las funciones esenciales o departamentos del auditado operan con unas interacciones débiles,

·         ausencia de un análisis del proceso

·         una falta de mejora continua.

Esto sería una no conformidad contra los requisitos de la cláusula 4.1 y un RNC probablemente debería levantarse. Dependiendo de la extensión e importancia de la no conformidad, el auditor también tiene que considerar las posibilidades de acuerdo a las reglas del cuerpo de certificación.

Desacuerdo entre el auditor y el auditado sobre cual es la manera “correcta” de implementar el enfoque basado en procesos

No existe una manera universalmente “correcta” de implementar el enfoque basado en procesos. El auditor y el auditado deben estar concientes de que la aplicación del enfoque basado en procesos será diferente de organización a organización, dependiendo el tamaño y la complejidad de la organización y sus actividades. Se debe dar una consideración especial a las pequeñas y medianas empresas, para que el auditor no requiera o defina muchos procesos de modo que la aplicación del enfoque basado en procesos resulte una barrera en vez de un beneficio para estas empresas. Si todos los requisitos de la cláusula 4.1 se cumplen no se debe levantar un RNC.

El auditor y el auditado deben entender que lo que realmente importa es que el auditado

·         opere con un flujo de actividades bien definido, consistente, eficaz y eficiente, incluyendo la mejora continua para lograr la satisfacción de las partes interesadas,

·         tenga una clara estrategia de futuro, y

·         tenga el derecho de discordar con la posible interpretación subjetiva que haga el auditor sobre los requisitos de la norma

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

 

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

 

Determinación de los procesos “apropiados”

Terminología

Donde la terminología utilizada por el auditado es diferente a la utilizada por el auditor, el auditor debe entender los conceptos en la norma ISO 9001:2000 utilizar la norma ISO 9000:2000 y hacer una referencia cruzada mental o escrita entre la terminología del auditado y la suya propia para los mismos conceptos evitando el uso de vocabulario de Gestión de la calidad.

La definición de proceso

Si la definición de proceso no es interpretada de la misma manera por el auditor y el auditado, el auditor debe buscar entender el punto de vista del auditado y no imponer el suyo a menos que sea claro (soportado por suficiente evidencia objetiva) que los requisitos de la norma no se cumplen. Lo mismo es verdad si el auditor cree que ciertos procesos no han sido identificados correctamente o no se encuentran.

Exclusiones

El auditor debe referirse a la cláusula 1.2 de la norma ISO 9001:2000, y posiblemente al documento N648 para obtener una guía mayor.  El auditor debe obtener evidencia objetiva de que el auditado no puede excluir un requisito específico antes de alcanzar su conclusión. Es una Buena práctica utilizar la norma ISO 9000:2000 Fundamentos y vocabulario y el documento N648 como soporte para explicar sus argumentos al auditado.

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

 

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

Auditando los requisitos  “cuando sea aplicable”

 

El cliente debe determinar los “requisitos que marcan cuando sea aplicable”, ya que estos afectarán su habilidad para satisfacer los requisitos de sus clientes. Una clave es referirse a la norma ISO 9001:2000 Alcance 1.1 a) “necesita demostrar su capacidad para proporcionar de forma coherente productos que satisfagan los requisitos del cliente y los reglamentarios aplicables”.

Un auditor debe asegurar que los requisitos con “cuando sea aplicable” sean realmente “aplicables” en relación al alcance propuesto o actual. Por tanto la base para auditar debe ser contra este criterio y esto forma la referencia para cuando se decida que es aplicable o no. ¿Este requisito agrega valor a este elemento de confianza, sin que se cumpla el elemento “cuando sea aplicable”?¿Se agrega el riesgo de que la organización no pueda cumplir con los requisitos del cliente? y también se pudiera ser más específico que requisitos del cliente, ya que se puede incluir las expectativas del consumidor final o de la cadena de demanda.


La necesidad de la experiencia para hacer un juicio en un aspecto técnico

El cuerpo auditor debe ser capaz de demostrar que el auditor tiene el conocimiento necesario del sector, la competencia y las habilidades de auditoría. El auditor debe ser capaz de demostrar el conocimiento del proceso y aplicar sus habilidades en evaluar los requisitos “cuando sea aplicable” si son o no aplicables.

El auditor necesitará entender cómo los requisitos “cuando sea aplicable” entran en el contexto de cómo el proceso es desarrollado y los resultados esperados de éste y auditar con la evidencia objetiva para demostrar que el sistema es eficaz y los requisitos se cumple consistentemente. 

Un cuerpo de certificación debe por lo tanto tener el proceso establecido para asegurar que el auditor tiene las habilidades específicas para la organización que será auditada.

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

Demostrando conformidad con la norma

“Desarrollar la auditoría sobre las cláusulas de la norma” v.s. “Desarrollar la auditoría sobre los procesos del auditado”

Cuando se evalúa la conformidad con la norma, las listas de verificación para auditoría pudieran no ser suficiente.

Al final de la auditoría, el auditor debe estar convencido de que todos los requisitos de la norma se satisfacen o no.

Mostrar la conformidad a una norma lleva a todo el mundo a una lista de verificación donde el auditor es capaz de verificar los requisitos de la norma uno a uno, asegurándose que todos los requisitos han sido cubiertos. Este enfoque básico de llenar una lista de verificación es una manera fácil de asegurar que todos los requisitos de la norma han sido revisados. Sin embargo, considerando el enfoque de la norma ISO 9001:2000, desarrollar una auditoría sobre una lista de verificación genérica pudiera no permitir al auditor recolectar evidencia de la eficacia de las interfaces entre los procesos.

Deshacerse completamente de la lista de verificación (o lista de preguntas de auditoría) no sería posible, particularmente si se necesita demostrar a terceras partes la evidencia de conformidad a la norma (ejemplo, cuerpos de acreditación). Es importante usar una lista de verificación de manera apropiada y en el tiempo adecuado como herramienta para dar seguimiento a los requisitos de la norma a ser cubiertos.

¿Cuál es el muestreo adecuado?

No hay una fórmula estadística o matemática para establecer el número correcto de muestras a ser tomadas durante una auditoría. Definir el número de muestras (por ejemplo, una, cinco o más muestras de registros para un requisito en particular) a ser tomado para confirmar el cumplimiento a los requisitos no es eficiente y no asegura el cumplimiento. Es claro un hecho de que al incrementar el número de muestras tomadas, el auditor tiene una mayor confianza sobre el estado de la implementación del SGC. “Un muestreo adecuado” en este texto se refiere al muestreo tomado durante las entrevistas en el lugar y los registros revisados para construir una confianza de que el SGC del auditado esta implementado como se describe.

El muestreo en multi-sitios o el muestreo de las unidades organizacionales de una compañía están cubiertas en el Anexo II de la Guía de la IAF en la aplicación de la Guía 62 ISO/IEC, con los días auditor en el lugar y la fórmula de muestreo multi-sitios.

El auditor necesita desarrollar entrevistas y verificar registros y evidencias durante la entrevista. El número de muestras a tomarse depende de la complejidad del proceso, y en la calidad de la información recibida del auditado durante la entrevista. Es también importante que el auditor mantenga el horario establecido en el plan de auditoría. Al final del día, el auditor necesita sentirse tranquilo de que las muestras y la evidencia objetiva vista son representativas de modo que pueda llegar a una conclusión apropiada sobre la implementación del SGC.

Registrando la información de la auditoría

La norma ISO 19011 y la directriz de la IAF sobre la aplicación de la Guía 62 ISO/IEC explican lo que un reporte de auditoría debe contener. Sin embargo, es importante notar que el reporte de auditoría hacia el auditado, debe contener solamente información importante para el auditado. La información sobre posibles mejoras, observaciones positivas y las no conformidades a la norma son muy importantes para el auditado. Reiterar y explicar los requisitos de la norma pudiera no ser lo que el auditado este buscando.

Pudiera ser un requisito para el auditor demostrar la secuencia en la que se desarrolló la auditoría, algunas veces llamado la ruta de auditoría. La utilización de notas de auditoría es un modo muy eficiente para el auditor de registrar la auditoría. Una gran desventaja de usar las notas de auditoría es que son un modo muy personal de registrar la información durante la auditoría y el detalle y estilo varía mucho de un auditor a otro.

La lista de verificación asegura algo de uniformidad en el desarrollo de los auditores. Sin embargo, el auditor nunca debe olvidarse de utilizar su tiempo en auditar y no en llenar listas de verificación y hacer notas.

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

 

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

Vinculando la auditoría a un asunto particular, actividad

o proceso del sistema general

El auditor no debe perder de vista la dirección general de la auditoría, y quedar atrapado por detalles superfluos. Es importante que el auditor mantenga la atención en la información proporcionada por el auditado en el manual de calidad o la documentación donde el auditado ha definido la interacción de los procesos. Las entrevistas deben también ser desarrolladas de modo que los auditores deban determinar la entrada y la salida de los procesos a ser auditados.

Manteniendo en mente el mapa de procesos del auditado se debe asegurar que el auditor será capaz de determinar la importancia del proceso que está auditando en cualquier momento, y podrá entonces ser capaz de mantener la visión de la dirección general de la auditoría. Esto también ayudará al auditor a entender los vínculos entre procesos.

Durante una auditoría, el auditor tiene una oportunidad de verificar la descripción del auditado de la interrelación de sus procesos. El auditor debe tomar algunas muestras para ver si las descripciones son un reflejo apropiado de la interrelación real de los procesos, ya que esto ayudará a determinar si la descripción del proceso es adecuada.

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

 

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

  

 Página Principal

Auditando la mejora continua

¿Cuánta mejora es « suficiente »?

Debe enfatizarse que el requisito en la norma ISO 9001:2000 es para la mejora continua de la eficacia del SGC. No hay un requisito explícito para mejorar los procesos aunque es claro que esto sería un factor importante en el logro de la mejora continua de la eficacia del SGC.

La mejora continua emana de los objetivos fijados por la alta dirección, los que deben estar en relación con al menos los siguientes puntos: la mejora de la eficiencia interna de la organización para permanecer económicamente competitiva, las necesidades individuales de los clientes y el nivel de desempeño que el mercado normalmente espera.

Por ejemplo, en ciertas áreas como el sector aeronáutico, el “rango aceptable” de producto no conforme entregado es cero por ciento, entonces no sería normal esperar cualquier “mejora” a este rango. Sin embargo, sería normal esperar para la compañía tener objetivos que lleven a la mejora de la eficiencia interna y su competitividad (ejemplo: a través de la innovación).

Por tanto el auditor debe buscar identificar que el auditado haya intentado establecer la correlación entre estos 3 factores “Objetivos corporativos – necesidades de los clientes – expectativas del mercado”. Así que, es decisión de la compañía el balancear la necesidad de mejorar la eficiencia interna y la necesidad de progresar con el desempeño externo (aunque los dos están frecuentemente muy relacionados). Ninguno aisladamente puede considerarse como “suficiente” o “no suficiente”.

Un área que puede ser problemática para el auditor es el conocer que es una referencia de mercado razonable. En el ejemplo anterior de la aeronáutica, si la compañía anuncia que ha mejorado del 50% de producto no conforme entregado al 40%, esto demostraría mejora continua, pero sería difícilmente aceptable dado el sector industrial. Sin embargo, si anuncia que ha fijado un objetivo de mejorar del 0,50% al 0,40%, esto sería mucho más cercano a la norma del mercado. 

La única solución real para el auditor es verificar cómo la organización ha determinado este rango propuesto de mejora, cómo han evaluado el riesgo asociado y cómo éste se relaciona con los requisitos del cliente y el seguimiento a la retroalimentación sobre la satisfacción del cliente. Sería casi imposible el levantar un RNC sobre “falta de suficiente mejora continua”.

¿Qué tipo de información es relevante y donde la podemos encontrar?

El auditor tiene que verificar como los objetivos corporativos generales han sido traducidos a requisitos internos a través de los procesos apropiados y como estos requisitos son comunicados y se les da seguimiento. Entonces, el auditor debe buscar evidencia de que la organización está analizando datos provenientes del seguimiento del proceso, tendiendo a evaluar la eficiencia del proceso y/o la mejora del resultado del proceso. Un punto que debe ser especialmente examinado es la consistencia del modo en que la mejora de cualquier proceso contribuye al cumplimento de los objetivos generales, para asegurar que no se está en conflicto.

El tipo de información a ser buscada es dictada por el modo en que los objetivos corporativos son traducidos en objetivos específicos. Por ejemplo: una compañía establece un objetivo de reducir las quejas de los clientes en un 30%. El análisis de la alta dirección muestra que el 50% de las quejas son sobre las entregas atrasadas. El auditor debe naturalmente buscar evidencia de cómo la compañía, primero que nada, ha integrado y analizado aspectos clave de su programación y planificación de sus procesos y sus interfases para reducir las demoras.

¿Mejora de los procesos o mejora del SGC?

El auditor debe recordar que no sería realista para la compañía progresar en todos los frentes simultáneamente, ya que toda mejora es el resultado de una inversión de algún tipo, y es una tarea de la alta dirección el asignar prioridades. El auditor debe buscar asegurar que los objetivos son consistentes en lo general y coherentes con la trilogía de factores mencionados anteriormente; Sin embargo, la ausencia de una política y/o objetivos que soporten la mejora continua de alguna naturaleza es claramente una no conformidad con la norma. De manera similar la ausencia de cualquier mejora en al menos uno de estos aspectos sería considerado como indicativo de que la política de calidad de la compañía no está alineada con la norma ISO 9001: 2000.

Una advertencia: no hay un requisito de que la compañía deba establecer objetivos para mejorar en todos sus procesos en algún tiempo. Como en el ejemplo anterior de reducir las quejas de los clientes, algunos procesos pudieran no ser vistos por la alta dirección como que contribuyan significativamente en la reducción de los retrasos y es normal entonces que la compañía no se concentraría en estas áreas.

Si la alta dirección ha establecido un objetivo (realista) para un proceso y no hay evidencia de mejora, esta información pudiera integrarse en la revisión por la dirección de modo que la alta dirección pueda decidir que tipo de acción es apropiada – por ejemplo – reajustar el objetivo o proporcionar otros medios para impactar en el proceso.

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

 

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

Auditar un SGC que tiene una documentación mínima

Puede existir un desacuerdo en la ausencia de ciertos procedimientos documentados donde el auditado presenta solamente un manual de calidad y los seis procedimientos documentados mencionados específicamente en la norma ISO 9001:2000.

El auditado pudiera argumentar que la norma ISO 9001 sólo requiere seis procedimientos documentados. Las diferencias en el punto de vista entre el auditor y el auditado pueden surgir de las diferencias de la interpretación de los requisitos de la norma ISO 9001 contenidos en la cláusula 4.2.1 y la nota relacionada que establece:

4.2.1 Generalidades

La documentación del sistema de gestión de la calidad debe incluir:

....

d) los documentos necesitados por la organización para asegurarse de la eficaz planificación, operación y control de sus procesos,

NOTA 2 La extensión de la documentación del sistema de gestión de la calidad puede diferir de una organización a otra debido a:

a) el tamaño de la organización y el tipo de actividades;

b) la complejidad de los procesos y sus interacciones, y

c) la competencia del personal.

El lector debe hacer referencia a la guía dada en el documento  ISO/TC 176/SC 2/N 525R ISO 9000 Paquete de introducción y soporte: Orientación acerca de los requisitos de documentación de la Norma ISO 9001:2000

El auditor debe requerir información de la operación actual de los procesos y subsecuentemente hacer más preguntas, registrar las respuestas y observar al personal en todos los niveles, incluyendo personal administrativo, dueños de procesos y operadores, y así confirmar si el estado actual del trabajo es conforme a las descripciones dadas.

De ahí, la necesidad de cualquier documentación debe ser evaluada a la luz de la necesidad observada de consistencia y el papel que esta documentación pudiera jugar en evitar algún riesgo significativo identificado.

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

 

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 Página Principal

Como auditar los procesos de alta dirección

 

Al reconocer que auditar a la alta dirección pudiera ser un punto sensitivo, este documento proporciona la directriz para ésta categoría de auditoría.

Los auditores deben involucrar a la alta dirección en la auditoría, por ejemplo, invitarlos a la reunión de apertura y cierre, permitir suficiente tiempo en el plan de auditoría para entrevistar a la alta dirección, discutir los hallazgos directamente con ellos, buscar evidencia de compromiso. Es importante cambiar el enfoque de atención de sólo al gerente de calidad hacia la alta dirección de la organización.

Las actividades de dirección deben ser consideradas como procesos.

Fase de planificación

El auditor necesita identificar los procesos de alta dirección y

a.      entender a la organización y su estructura organizacional revisando información, como los organigramas, reportes anuales, planes de negocios, perfiles de la compañía, documentos editados, paginas electrónicas,

b.      hacer una provisión en el plan de auditoría para recolectar información relevante sobre el compromiso de la alta dirección directamente de, o haciendo entrevistas a, la alta dirección,

c.      entender la cultura de la organización y su alta dirección para poder determinar su impacto en el plan de auditoría – y hacer los ajustes apropiados. Por lo tanto, un auditor con experiencia limitada en auditorías no debe ser asignado para entrevistar a la alta dirección,

d.      tomar un enfoque profesional en su apariencia determinando el código de vestimenta de la organización, 

e.      planear el tiempo para la entrevista con la alta dirección para asegurar el lugar y la puntualidad.

Conduciendo la auditoría 

Algunos métodos comunes para evaluar el compromiso de la alta dirección:

1. Entrevistas con la alta dirección 

El auditor puede, utilizando la terminología de negocio apropiada para la alta dirección, hacer preguntas relevantes que 

a)      busquen obtener evidencia de la conciencia de la alta dirección y su compromiso hacia la calidad  y su relevancia hacia los objetivos generales de la organización y el sistema de gestión,

b)      establezcan evidencia de conformidad a los requisitos de la responsabilidad de la dirección.

2. Recolección y corroboración de evidencia

El equipo auditor debe estar constantemente buscando oportunidades de corroborar las respuestas recibidas de la alta dirección cuando se entreviste. Esto incluye:

a)      disponibilidad y relevancia de políticas y objetivos

b)      el establecimiento de vínculos entre las políticas y los objetivos 

c)      obtención de evidencia de que esas políticas y objetivos son eficaces y entendidos a través de toda la organización 

d)      asegurar que las políticas y objetivos son apropiados para la mejora continua del sistema de gestión de la calidad y asegurar la satisfacción del cliente.

e)      e) asegurar el involucramiento de la alta dirección en la revisión por la dirección.

Para proporcionar esa confianza pudiera necesitarse entrevistas adicionales y recolección de evidencia.

El equipo auditor debe asegurar que cualquier evidencia adicional del compromiso de la alta dirección sea recolectada.

Revisar la evidencia recolectada para asegurar que la información sea completa y precisa para proporcionar confianza al escribir la conclusión.

Reporte de auditoría 

Los auditores deben preparar sus reportes de auditoría de manera que los hagan apropiados para la presentación a la alta dirección de las organizaciones. Pudiera ser adecuado presentar un resumen ejecutivo del reporte de auditoría, apropiado para la presentación a la alta dirección y las partes interesadas clave de la organización. El resumen ejecutivo debe destacar los hallazgos clave, tanto positivos como negativos e identificar las oportunidades de mejora. 

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

 

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

 

El papel y valor de las listas de verificación para auditoría

Introducción

Este documento proporciona información del papel y uso de las listas de verificación para auditoría para soportar activamente el proceso de auditoría. Mientras que el documento está primordialmente dirigido para organizaciones que realizan auditorías externas incluyendo cuerpos de certificación, la información puede también igualmente ser usada por cualquier organización que realice auditorías internas.

La necesidad de las listas de verificación

Al ver la norma actual de auditoría ISO 19011 se hace referencia a “Preparación de los documentos de trabajo” en la cláusula 6.4.3. Lo siguiente es un extracto de esta cláusula:

“Los miembros del equipo auditor deberían revisar la información pertinente a las tareas asignadas  y preparar los documentos de trabajo que sean necesarios como referencia y registro del desarrollo de la auditoría. Tales documentos de trabajo pueden incluir:

·      listas de verificación y planes de muestreo de auditoría, y

·      formularios para registrar información, tal como evidencias de apoyo, hallazgos de auditoría y registros de las reuniones.

El uso de listas de verificación y formularios no debería restringir la extensión de las actividades de auditoría, que pueden cambiarse como resultado de la información recopilada durante la auditoría.”

El uso de la lista de verificación para auditoría

Aunque no siempre es requerida en las normas de sistemas de gestión, las listas de verificación para auditoría son solo una herramienta disponible de la “caja de herramientas” del auditor. Muchas organizaciones las usarán para asegurar que la auditoría al menos cubrirá los requisitos como se definan en el alcance de la auditoría.

Un ejemplo de enfoque de auditoría se muestra a continuación:

Resulta beneficioso auditar desde el sistema de gestión de la organización hacia los requisitos. Una lista de verificación puede ser empleada para asegurarse de que todos los requisitos relevantes de ISO 9001 han sido abordados.

Ventajas

La literatura disponible en el mercado resalta lo siguiente con respecto al uso de listas de verificación para auditorías:

1.       Las listas de verificación si se desarrollan para una auditoría específica y se usan correctamente:

a.   Promueven la planificación de la auditoría.

b.   Aseguran un enfoque consistente de auditoría.

c.   Actúan como plan de muestreo y controlador de tiempo.

d.   Sirven como ayuda a la memoria.

e.  Proporcionan un archivo para las notas recolectadas durante el proceso de auditoría (notas de la auditoría de campo)

2.         Las listas de verificación para auditoría necesitan ser desarrolladas para proporcionar asistencia al proceso de auditoría.

3.         Los auditores necesitan ser entrenados en el uso de las listas de verificación particulares y enseñarles como usarlas para obtener el máximo de  información utilizando buenas técnicas de cuestionamiento. 

4.         Las listas de verificación deben asistir a un auditor a desempeñarse mejor durante el proceso de auditoría.

5.         Las listas de verificación ayudan a asegurar que la auditoría se realice de manera sistemática y comprehensiva y se obtenga evidencia adecuada.

6.         Las listas de verificación pueden proporcionar la estructura y continuidad que asegure que el alcance de la auditoría se ha seguido.

7.         Las listas de verificación pueden proporcionar un medio de comunicación y un lugar para registrar datos para usar como futura referencia.

8.         Una lista de verificación completa proporciona evidencia objetiva de que la auditoría se desarrolló.

9.         Una lista de verificación puede proporcionar un registro de que el SGC fue examinado.

10.     Las listas de verificación pueden ser utilizadas como información base para planificar futuras auditorías.

11.     Las listas de verificación pueden proporcionarse al auditado antes de la auditoría en el sitio. 

Desventajas

En contraste, cuando las listas de verificación para auditoría no están disponibles o están pobremente preparadas surgen los siguientes aspectos como preocupación:

1.         La lista de verificación puede ser vista como arma de intimidación por el auditado.

2.         El enfoque de la lista de verificación puede ser muy estrecho en alcance para identificar las áreas específicas con problemas.

3.         Las listas de verificación son una herramienta de ayuda para el auditor, pero puede ser restrictiva si se utiliza como el único mecanismo de soporte del auditor.

4.         Las listas de verificación no deben ser un sustituto del plan de auditoría.

5.         Una lista de verificación utilizada por un auditor inexperto pudiera no ser capaz de comunicar claramente que es lo que el auditor esta buscando.

6.         Las listas de verificación pobremente preparadas pueden dilatar la auditoría debido a duplicaciones y repeticiones. 

7.         Las listas de verificación genéricas, no reflejan el sistema de gestión específico de la organización y pudieran no agregar valor e interferir con la auditoría.

Conclusión

En resumen, existen ventajas y desventajas en el uso de las listas de verificación para auditorias. Depende de muchos factores, incluyendo las necesidades de los clientes, las restricciones de tiempo y costos, la experiencia del auditor y los requisitos del esquema del sector. Los auditores deben evaluar el valor de la lista de verificación como una ayuda en el proceso de auditoría y considerar su uso como una herramienta funcional.

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

El alcance de la norma ISO 9001:2000, Alcance del sistema de gestión de la calidad y la definición del alcance de la certificación

La norma ISO 9001:2000 en la cláusula 1 “Alcance”, define el alcance de la norma misma. Esto no debe ser confundido con el alcance del SGC, que es un término comúnmente usado en el contexto de la certificación del SGC para describir los procesos de la organización y los productos para los que aplica el SGC.

La norma ISO 9001:2000 es genérica, y aplicable a todas las organizaciones, sin importar el tipo, tamaño y categoría de producto. Se reconoce, sin embargo, que no todos los requisitos de esta norma necesariamente serán relevantes para todas las organizaciones. Bajo ciertas circunstancias, una organización pudiera excluir algunos requisitos específicos de la norma ISO 9001:2000 de su SGC. La norma ISO 9001:2000 permite exclusiones para esas organizaciones a través de la cláusula 1.2 “Aplicación”.

El alcance del SGC debe basarse en la naturaleza de los productos de la organización y sus procesos de realización, el resultado del análisis de riesgos, consideraciones comerciales y los requisitos contractuales, legales y regulatorios.

La organización debe primeramente hacer un borrador de la declaración del alcance en la etapa de la aplicación y debe ser, entonces, analizada cuidadosamente por el Cuerpo de Certificación durante la etapa 1 de la auditoría (referirse al documento “La necesidad de un enfoque de dos etapas para la auditoría”) para planificar apropiadamente la etapa 2 de la auditoría.

El alcance debe identificar claramente todos los procesos principales que llevan a la realización/entrega del producto, como los de diseño, manufactura y entrega de los productos o servicios identificados. Esta completa descripción aplicará a una organización que cubre todos los requisitos de la sección 7 de la norma ISO 9001:2000, mientras solo parte de esta descripción será usada en caso de exclusiones a los requisitos (ver cláusula 1.2), según sea apropiado.

El alcance debe definir en general pero en términos suficientemente claros los productos y/o servicios y los procesos cubiertos por la certificación.

Es responsabilidad del auditor asegurar que la declaración final del alcance no confunde y de verificar que el alcance solo refiera a las áreas/actividades evaluadas durante la auditoría de certificación.

Si solo una parte de los procesos/productos de la organización es cubierta por el SGC, esto debe estar claramente reflejado en el enunciado del alcance, ya sea en forma de exclusión o limitación.

Más aún, esto debe estar claramente definido en el Manual de Calidad de la organización y cualquier documento de disponibilidad pública, para evitar confundir a los clientes y usuarios finales (esto incluye, por ejemplo el material promocional y de mercadeo).

 

En caso de exclusión de un requisito, el auditor debe verificar que la exclusión es apropiada al alcance de la certificación y está justificada.

El alcance de la certificación nunca debe incluir declaraciones promocionales.

El ISO/TC 176/SC 2 ha desarrollado el documento N524 “El paquete de introducción y soporte ISO 9000: Directrices sobre la subcláusula 1.2 “Aplicación” de la norma ISO 9001:2000” para proporcionar a los usuarios la información sobre la intención de la cláusula 1.2 “Aplicación” de la norma ISO 9001:2000, incluyendo algunos ejemplos típicos de su uso en situaciones prácticas. (El documento N524 está disponible para descargarse sin cargos en la dirección www.bsi.org.uk/iso-tc176-sc2). Adicionalmente, la IAF ha publicado sus “Directrices IAF sobre la aplicación de la norma ISO 9001:2000, versión 2. que también debe servir de referencia.

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

 

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

“Cómo agregar valor en el proceso de auditoría”

¿Que es una auditoría que “agrega valor”?

Escuchamos mucho acerca de la importancia de “agregar valor” durante una auditoría de sistemas de gestión de la calidad, pero ¿qué significa esto realmente?, ¿es posible agregar valor sin comprometer la integridad de la auditoría al proporcionar una consultoría? En principio, todas las auditorias deben agregar valor, pero no siempre es este el caso.

Este documento trata de proporcionar una guía sobre que constituye una “auditoría que agrega valor”, y de varias situaciones que normalmente se encuentran en el contexto de auditorías de segunda y tercera parte.

Sistemas de gestión de la calidad que “agregan valor”

Existen varias definiciones de “valor” en los diccionarios, pero todas se enfocan en el concepto de algo que es útil. “Agregar valor” por lo tanto significa hacer algo más útil.  Algunas organizaciones han utilizado la serie de normas ISO 9000 para desarrollar sistemas de gestión de la calidad que están integrados en su manera de hacer negocios, y son útiles en ayudarlos a lograr sus objetivos estratégicos de negocio -  en otras palabras éstos agregan valor a la organización. Por el contrario otras organizaciones simplemente han creado una serie de procedimientos y registros burocráticos que no reflejan la realidad de la manera como la organización trabaja realmente, y simplemente agregan costo, sin ser útiles. En otras palabras, éstos no “agregan valor”.

Es cuestión de enfoque:

Un enfoque que no agrega valor pregunta: “¿Qué procedimientos tenemos que escribir para obtener la certificación ISO 9000?”

Un enfoque que agrega valor pregunta: “¿Cómo podemos usar nuestro sistema de gestión de la calidad basado en ISO 9001:2000 para que nos ayude a mejorar nuestro negocio?”

Lo que nos lleva a la pregunta sobre “auditorías que agregan valor”

¿Cómo podemos asegurar que la auditoría es útil para la organización en el mantenimiento y mejora de nuestro SGC?.

Debemos reconocer, sin embargo, que pudieran existir otras perspectivas que necesitan tomarse en consideración. Una “auditoría de tercera parte que agrega valor” nos debe ayudar a:

§      A la organización certificada

     proporcionando información a la alta dirección sobre la habilidad de la organización para lograr los objetivos estratégicos.

     identificando problemas que, si se resuelven, mejorarán el desempeño de la organización. 

     identificando oportunidades de mejora y áreas posibles de riesgo.

§      Los clientes de la organización aumentando la habilidad de la organización para proporcionar productos conformes.

§      Al cuerpo de certificación mejorando la credibilidad del proceso de certificación de 3. parte.

El enfoque de “agregar valor” debiera ser una función del nivel de madurez de la cultura de calidad de la organización, y de que tanto su SGC excede los requisitos de la norma ISO 9001:2000. La cultura de calidad incluye el grado de conciencia, compromiso y actitud colectiva así como el desempeño de la organización con respecto a la calidad. Si nos referimos a la figura 1, podemos conceptualmente separar a las organizaciones en cuatro zonas diferentes como sigue:

Zona 1: (Baja madurez de la “cultura de calidad”; no conforme con la norma ISO 9001:2000)

Zona 2: (“Cultura de calidad “Madura”; no conforme con la norma ISO 9001:2000)

Zona 3: (Baja madurez de la “cultura de calidad”; conforme con la norma ISO 9001:2000)

Zona 4: (“Cultura de calidad “Madura”; conforme con la norma ISO 9001:2000)

 

Zona 1: (Baja madurez de la “cultura de calidad”; no conforme con la norma  ISO 9001:2000)

Para una organización que tiene muy poco o nada de “cultura de calidad” y no está conforme con la norma ISO 9001:2000, la expectativa de una “auditoría que agrega valor” pudiera ser que la organización quisiera recibir lineamiento de “cómo” implementar el sistema de gestión de la calidad y/o resolver cualquier no conformidad levantada. Aquí, el auditor debe tener mucho cuidado, porque una auditoría de tercera parte ese lineamiento pudiera generar seguramente un conflicto de intereses, y contravenir la Guía ISO/IEC 62 Requisitos para los cuerpos de acreditación y certificación. Lo que el auditor puede hacer, sin embargo, es asegurarse de que donde sea que se encuentren no conformidades, el auditado tenga un claro entendimiento de qué es lo que la norma requiere, y por qué la no conformidad se levantará. Si la organización puede reconocer que resolviendo esas no conformidades la llevarán a mejorar su desempeño, entonces es más seguro creer en y comprometerse con el proceso de certificación. Es importante, sin embargo, que todas las no conformidades identificadas sean reportadas, de modo que la organización claramente entienda que necesita hacer para cumplir los requisitos de la norma ISO 9001:2000.

Mientras algunas organizaciones pudieran no quedar totalmente satisfechas con un resultado de auditoría que no resulte en una certificación, los clientes de la organización (quienes reciben el producto de la organización) seguramente considerarán esto como una auditoría que “agrega valor” desde su perspectiva. Desde la perspectiva del cuerpo de certificación, fallar en reportar todas las no conformidades detectadas y/o proporcionar directrices en cómo implementar el sistema de gestión de calidad, no agrega valor a la credibilidad de la profesión del auditor o del proceso de certificación. 

Debemos reconocer que la discusión anterior se relaciona solamente con auditorías de tercera parte (certificación). No hay razón por la que una auditoría de segunda parte (evaluación de proveedores) no deba agregar valor  proporcionando directrices a la organización de cómo implementar su sistema de gestión de la calidad. Es más, bajo estas circunstancias, esas directrices (si están bien fundamentadas), sin duda serán útiles para ambas organizaciones y sus clientes.

Zona 2: (“Cultura de calidad Madura”; no conforme con la norma ISO 9001:2000)

Para una organización que tiene una “cultura de calidad” madura, pero poca conciencia de y/o no conformidad con los requisitos de la norma ISO 9001:2000, la expectativa básica para una “auditoría que agregue valor” probablemente será similar a la de la Zona 1. Además, sin embargo, la organización seguramente tendrá mucha más expectativa  hacia el auditor. Para poder agregar valor, el auditor debe entender el modo en que las prácticas existentes de la organización cumplen con los requisitos de la norma ISO 9001:2000. En otras palabras, entender los procesos de la organización en el contexto de la norma ISO 9001:2000, y no, por ejemplo, requerir que la organización redefina sus procesos y documentación para alinearse a la estructura de las cláusulas de la norma.

La organización debería, por ejemplo, basar su sistema de gestión en modelos de excelencia de negocio, o herramientas de gestión total de la calidad como Hoshin Kanri (Gestión por política), Despliegue de la función de calidad, Análisis de modo de falla y efecto, metodología de seis sigma, programas de 5S, Resolución de problemas sistemático, Círculos de calidad y otros. El auditor que “agrega valor” debe, como mínimo, estar conciente de las metodologías de la organización, y ser capaz de ver hasta donde son eficaces en el cumplimiento de los requisitos de la norma ISO 9001:2000 para esa organización en particular.

También es importante que el auditor no se “intimide” por el aparente alto grado de sofisticación de la organización. Mientras que la organización quizá este usando esas herramientas como parte de una filosofía general de calidad total, aún puede haber huecos en el modo en que las herramientas están siendo empleadas. Por lo tanto, el auditor debe tener la habilidad para identificar cualquier problema sistemático y levantar las no conformidades apropiadas. En estas situaciones, el auditor pudiera ser acusado de ser pedante o aún burocrático, por eso es importante poder demostrar la relevancia de las no conformidades que se están levantando.

Zona 3: (Baja madurez de la “cultura de calidad”;  conforme con la norma ISO 9001:2000)

Una organización que ha sido certificada en una de las normas de la serie ISO 9000 por un período significativo de tiempo puede ser capaz de demostrar un alto nivel de conformidad con la norma ISO 9001:2000, pero al mismo tiempo no tener realmente implementada una “cultura de calidad” a través de la organización. Típicamente, el SGC pudiera haber sido implementado bajo presión de los clientes, y construido alrededor de los requisitos de la norma en vez de que sobre las necesidades y expectativas propias de la organización. Como resultado, el SGC puede ser operado en paralelo con el modo de que la organización realiza sus operaciones de rutina, generando redundancias e ineficiencias, pero no necesariamente no conformidades.

El primer objetivo de un “auditor que agrega valor” en estos casos debe ser el actuar como un catalizador de la organización para reconstruir su sistema de gestión de la calidad basado en ISO 9000, e integrar el sistema dentro de sus operaciones diarias. Aunque el auditor de tercera parte no puede dar recomendaciones de cómo cumplir con los requisitos de la norma ISO 9001:2000, es aceptable y además buena práctica el motivar y estimular (no requerir) a la organización a ir más allá de los requisitos de la norma. Las preguntas que haga el auditor (y el modo como las pregunta) pueden dar pistas valiosas para la organización de cómo el SGC puede hacerse más eficiente y útil. La identificación por parte del auditor de “oportunidades de mejora” debe incluir los modos en que la eficacia del SGC puede mejorarse, pero también pueden ver oportunidades de mejora en eficiencia.

Zona 4: (“cultura de calidad Madura”;  conforme con la norma ISO 9001:2000)

Para una organización que tiene una cultura de calidad madura y ha sido certificada en una de las normas de la serie ISO 9000 por un período significativo de tiempo, la expectativa de una “auditoría que agregue valor” será la más retadora para un auditor. Una queja común de este tipo de organización es que las “visitas rutinarias de vigilancia” de los auditores pueden ser superfluas, y agregan muy poco valor desde el punto de vista de la organización. En estos casos, la alta dirección se convierte en un cliente importante para el proceso de certificación. Por tanto es importante para el auditor el tener un claro entendimiento de los objetivos de negocio estratégicos de la organización, y de ser capaz de poner la auditoría del SGC en ese contexto. El auditor necesita dedicar tiempo para discutir los detalles con la alta dirección para definir sus expectativas para el SGC. En muchos casos las no conformidades se pudieran relacionar a que la organización no haya implementado las políticas y objetivos de la alta dirección, aún y cuando los requisitos mínimos de la norma ISO 9001:2000 se hayan cubierto.

Algunos consejos para auditar agregando valor.

1) Planificación de la auditoría:

                        a.   Entender las expectativas y cultura corporativa del auditado 

                        b.   ¿Alguna preocupación a ser cubierta (resultado de auditorías previas)?

                        c.   Análisis de riesgos del sector industrial específico de la organización. 

                        d.   Pre-evaluación de requisitos reglamentarios 

                        e.   Selección apropiada del equipo auditor para lograr los objetivos de la auditoría

                        f.   Asignación del tiempo adecuada

2) Técnica de auditoría:

a. Enfocarse más a los procesos, y menos en los procedimientos. Algunos procedimientos documentados, instrucciones de trabajo, listas de verificación, etc. pudieran ser necesarios para la planeación y control de los procesos de la organización, pero lo fundamental debe ser el proceso.

b. Enfocarse más en los resultados, y menos en los registros. De la misma manera, algunos registros pudieran ser necesarios para que la organización proporcione evidencia objetiva de que los procesos son eficaces (generando los resultados planificados) pero el auditor que agrega valor debe estar conciente de y dar crédito a otras formas de evidencia. 

c.  Recuerde los 8 Principios de Gestión de la Calidad

d. Use el enfoque de “Planear – Hacer – Comprobar – Ajustar” para evaluar la eficacia de los procesos de la organización.

      i.    ¿El proceso ha sido planeado?

      ii.   ¿Se ha realizado de acuerdo a lo planeado?

      iii. ¿Se han logrado los resultados planificados?

      iv.  ¿Las oportunidades de mejora han sido identificadas e implementadas?

            - Corrigiendo no conformidades 

            - Identificando las causas raíz de los problemas e implementando acciones correctivas

            - Innovando

e.  Adopte un enfoque “holístico” para la recolección de evidencias durante la auditoría, en lugar de enfocarse en las cláusulas individuales de la norma ISO 9001:2000. 

3) Análisis y decisión 

a.    Ponga los hallazgos en perspectiva (Evaluación de riesgo / “sentido común”).

b.  Relacione los hallazgos al efecto sobre la habilidad de la organización para proporcionar productos conformes (Vea la norma ISO 9001:2000 cláusula 1.1).

4) Reporte y seguimiento 

a.  Uso sensitivo de los reportes de no conformidad / observaciones / oportunidades de mejora

i. Pudiera requerirse un enfoque diferente dependiendo de la madurez de la organización (Zonas 1, 2, 3 y 4), y de la actitud del auditado hacia el proceso de auditoría

                                                   -  Proactivo

                                                   -  Reactivo

   ii.  Asegurese de tomar en cuenta cualquier aspecto cultural

  iii. ¿La solución propuesta por la organización sera útil?

b. Los reportes deben ser objetivos y enfocados a la “audiencia” correcta (La alta dirección probablemente tendrá expectativas que son diferentes a aquellas de las que tenga el representante de la dirección)

 
Traducción libre de NC. No oficial -Documentos oficiales disponibles en:
www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

AUDITANDO LA COMPETENCIA DEL PERSONAL

Y LA EFICACIA DE LAS ACCIONES DE CAPACITACIÓN

La siguiente información se proporciona a los auditores que realicen auditorias de certificación para guiarlos en el entendimiento de los requisitos de competencia y eficacia del entrenamiento de la norma ISO 9001:2001.

Estos requisitos son usualmente auditados como parte del proceso de realización de un producto y no de manera aislada. Sin embargo, se reconoce que algunas organizaciones tendrán procesos de recursos humanos por separado donde mucha de la evidencia necesaria se encontrará.

Es importante identificar las actividades típicas asociadas con la competencia del personal y la eficacia de las acciones tomadas para satisfacer las necesidades de competencia, para dar una guía a los auditores sobre el tipo de evidencia que deben buscar y proporcionar ejemplos cuando sea apropiado.

Para satisfacer los requisitos de la norma ISO 9001:2000 sobre los aspectos antes mencionados, una organización necesitará hacer varias cosas:

§       Identificar que competencias son requeridas por el personal que desarrolla el trabajo que pudiera afectar la calidad

§       Identificar que personal que ya realiza el trabajo tiene las competencias requeridas

§       Decidir que competencias adicionales son requeridas

§       Decidir como esas competencias adicionales se van a obtener – entrenando al personal (externamente o internamente), entrenamiento teórico o práctico, contratando nuevo personal competente, asignación del personal competente existente a diferentes tareas

§       Entrenar, contratar o reasignar personal

§       Revisar la eficacia de las acciones tomadas para satisfacer las necesidades de competencia

§       Revisar periódicamente la competencia del personal

A través del proceso, se requiere que la organización mantenga los registros apropiados de educación, entrenamiento, habilidades y experiencia. Sin embargo, la norma ISO 9001:2000 no especifica como el proceso será establecido o la naturaleza exacta de los registros a mantener. 

Al auditar el cumplimiento de una organización con los requisitos de competencia y evaluación del entrenamiento, un auditor típicamente debería buscar evidencia de que los siguientes tópicos se han cumplido:

1 – Una organización necesita identificar que competencias son requeridas por el personal que realiza el trabajo que afecta la calidad. 

Directriz – El objetivo del auditor debe ser determinar si existe un enfoque sistemático establecido para identificar esas competencias y verificar que el enfoque es eficaz. El resultado del proceso pudiera ser una lista, un registro, una base de datos, un plan de recursos humanos, un plan de desarrollo de competencias, un contrato, un plan de proyecto o producto, etc.

Inicialmente se pudieran tener entrevistas con la alta dirección para asegurar que ellos entienden la importancia de la identificación de las competencias requeridas. Estas pudieran también ser una fuente potencial de información para nuevas actividades o cambios en procesos que pudieran llevar a competencias diferentes.

Una revisión de las competencias pudiera también ser necesaria cuando se esta considerando un nuevo contrato o cotización y una evidencia de esto pudiera encontrarse en los registros relacionados. Los requisitos de competencias pudieran estar incluidos en documentos de contrato donde las actividades de los subcontratistas pueden tener un impacto en los procesos y/o características de calidad del producto.

Los auditores necesitan determinar si la organización ha identificado competencias nuevas o necesidades de cambios en ellas durante las auditorias de seguimiento.

2 – ¿Se asignan personas competentes a aquellas actividades necesarias para controlar las características de calidad de sus procesos y productos?

Directriz – Verifique que alguna forma de evaluación de proceso está establecida para asegurar que las competencias son apropiadas a las actividades de la organización y de que el personal seleccionado como competente haya demostrado esas competencias. También, el proceso debe asegurar que ninguna deficiencia quede sin una acción y la eficacia del personal sea medida. Verifique que las actividades que afectan la calidad sean desarrolladas por personas seleccionadas como competentes. Se debe obtener evidencia durante la auditoría con un énfasis en aquellos procesos, actividades, tareas y productos donde la intervención humana pudiera tener un impacto mayor. El auditor pudiera revisar descripciones de puesto, probar o inspeccionar actividades, dar seguimiento a las actividades, ver los registros de las revisiones por la dirección, las definiciones de responsabilidades y autoridades, los registros de las no conformidades, los reportes de auditorías, las quejas de los clientes, los registros de validación de procesos, etc.

3- La organización necesita evaluar la eficacia de las acciones tomadas para satisfacer las necesidades de competencia.

Directriz – La organización pudiera utilizar varias técnicas incluyendo “actuación”, revisión de colegas, observación, revisiones de los registros de entrenamiento de los empleados, entrevistas (ver ISO 19011 Tabla 2 para más ejemplos). El método de evaluación particular más apropiado dependerá de muchos factores. Por ejemplo, solo verificar que un curso de entrenamiento se terminó exitosamente, se pudieran revisar los registros de entrenamiento pero esto solamente no proporciona evidencia de que el entrenado sea competente. Sin embargo este mismo método pudiera no ser aceptable para evaluar si un auditor se desempeña satisfactoriamente o no durante una auditoría y esto pudiera requerir de observación, revisión por colegas, entrevistas, etc. La organización pudiera también demostrar esto a través de una combinación de educación, entrenamiento y/o experiencia de trabajo.

4 – Mantenimiento de competencia.

Directriz – El auditor necesita verificar que está implementada alguna forma eficaz de dar seguimiento al proceso y se actúa así. Algunas maneras de hacer esto incluye un proceso continuo de desarrollo profesional como el descrito en la norma ISO 19011, evaluaciones regulares del personal y su desempeño y la inspección, prueba o auditoría regular de producto de los que los individuos o grupos son responsables. Los cambios frecuentes en requisitos de competencia pudiera indicar que una organización es proactiva en mantener los niveles de desempeño de su personal.

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

 

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

Auditando los requisitos reglamentarios

Es totalmente responsabilidad de la organización el identificar y describir como su SGC cumple con los requisitos reglamentarios aplicables a sus productos y servicios.

La organización debe demostrar que los requisitos reglamentarios aplicables a sus productos y servicios han sido propiamente identificados, están disponibles y son de fácil recopilación.

Los auditores necesitan estar concientes de los requisitos reglamentarios generales y específicos aplicables a los productos incluyendo los del campo de aplicación del SGC para poder hacer un juicio de qué tanto es adecuado el SGC establecido por la organización para cumplir con esos requisitos. Estos requisitos necesitan estar identificados e integrados en la gestión de recursos y las actividades de realización del producto de la organización.

Durante la fase de preparación de la auditoría, el equipo auditor debe obtener de fuentes internas o externas la información relevante sobre los requisitos reglamentarios aplicables a los productos cubiertos por el alcance de la certificación.

Durante la fase de auditoría, el equipo auditor debe:

§   Asegurar que la organización tiene una metodología establecida para la identificación y actualización de los requisitos reglamentarios aplicables.

§   Asegurar que estos requisitos reglamentarios son utilizados como “entradas de proceso” cuando se da seguimiento a las “salidas de los procesos” para ver su cumplimiento.

§   Asegurar que cualquier declaración de cumplimiento a normas, requisitos regulatorios, etc. está demostrada apropiadamente por la organización.

§   Levantar una no conformidad si se encuentra evidencia, durante la auditoría, de que una información específica sobre requisitos reglamentarios no fue tomada en cuenta.

§   Levantar una no conformidad si se identifica directamente un no cumplimiento con estos requisitos.

Los auditores deben evitar hacer declaraciones acerca de qué requisitos reglamentarios son aplicables a los productos o servicios de la organización, o sobre los métodos de cumplimiento, para prevenir posibles responsabilidades legales.

Se pueden levantar no conformidades solamente en el caso de identificar deficiencias en el sistema o violaciones directas con respecto a requisitos reglamentarios aplicables a los productos o servicios de la organización.

Sin embargo, si se detecta de manera coincidental durante la auditoría una no conformidad con otro tipo de requisitos reglamentarios (por ejemplo de salud e higiene ocupacional, ambiental, etc.), este hecho no puede ser ignorado por el equipo auditor y debe hacérselo notar a la alta dirección – para que tome las medidas necesarias -  y a la dirección del Cuerpo de Certificación, para su información, utilizando un modo de información separado del reporte de auditoría.

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

 

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

Auditando la política y los objetivos de la calidad

Auditando la política de calidad

La política de calidad y su despliegue eficaz solamente se puede valorar basándose en los resultados generales de la auditoría.

Los métodos de auditoría deben incluir:

§         Entrevista con la alta dirección para entender su enfoque y compromiso hacia la calidad.

§         Evaluación, a través de los registros de las revisiones por la dirección, el compromiso e involucramiento de la alta dirección en el establecimiento, implementación, seguimiento y actualización de la política de calidad.

§         Valorar si la alta dirección ha “traducido” eficazmente la Política de Calidad en palabras entendibles y directrices hacia todos los niveles de la organización, con sus objetivos correspondientes a cada función / nivel aplicable.

§         Conducir entrevistas con el personal para verificar si ellos han tomado la conciencia apropiada, el entendimiento y conocimiento del modo como la política de calidad de la organización se relaciona con su propia actividad, sin importar los términos utilizados por esas personas para expresar su entendimiento.

§         Buscar la evidencia de la difusión eficaz de la política de calidad por una comunicación apropiada.

 Auditando los Objetivos de la calidad

El auditor necesita verificar que los Objetivos de la calidad generales de la organización han sido definidos; que ellos reflejan la política de calidad, y son coherentes e integrados con los objetivos generales del negocio, incluyendo las expectativas de los clientes. El equipo auditor debe verificar que existe una alineación sustancial y compatibilidad entre los objetivos de la calidad y los objetivos generales del negocio. Si este no es el caso, los auditores deben analizar más a fondo el compromiso de la alta dirección con la calidad.

Los Objetivos de la calidad necesitan ser medibles y estar documentados.

No existe un modo específico de documentar los objetivos de la calidad, estos pudieran aparecer en los Planes de Negocio, resultados de las revisiones por la dirección, Presupuestos anuales, etc. ..... Depende de cada equipo auditor el autosatisfacerse de que los objetivos estén adecuadamente documentados.

Los auditores deben obtener evidencia del modo en que los Objetivos de la calidad estén diseminados en cascada de manera apropiada a través de la estructura organizacional y los procesos, ligando los objetivos estratégicos generales con los objetivos gerenciales y hasta los objetivos operacionales específicos.

Es recomendable que los objetivos de la calidad documentados sean examinados en la etapa de revisión documental de la auditoría.

Antes del final de la auditoría, el equipo auditor debe satisfacerse de que los objetivos de la calidad son realistas y que la organización ha asignado al personal responsable los recursos apropiados para cumplir sus objetivos. Es apropiado muestrear estos objetivos en todos los niveles de la organización.

Los objetivos de la calidad no son estáticos y necesitan actualizarse a la luz del clima del negocio actual y la búsqueda de la mejora continua. El equipo auditor debe verificar si el desempeño global de la organización refleja la directriz de la política de calidad y cumple razonablemente los objetivos de la calidad.

Los auditores deben tener en mente que los objetivos pueden ser medidos de manera cuantitativa o cualitativa. También deben recordar que existe una liga clara entre el aspecto dinámico de la revisión de la política de calidad y los objetivos de la calidad con el compromiso de la organización con la mejora continua.

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

 

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

Auditando el control de los dispositivos de seguimiento y medición

 

La información siguiente se provee como guía para auditar los procesos asociados con el control de los dispositivos de seguimiento y medición, así como para ayudar en la evaluación de justificaciones para la exclusión de la cláusula 7.6 del alcance del sistema de gestión de calidad de una organización.  

 

Este documento provee directrices para auditar el control de dispositivos físicos y no para ser usado por evaluar la validez de salidas intangibles por atributos cualitativos de procesos tales como la educación, adiestramiento y estudios de satisfacción de cliente. Cuando los exámenes, las encuestas, los cuestionarios para evaluación de desempeño, etc. sean considerados como “dispositivos de seguimiento” se sugiere que deban ser controlados (y auditados) como parte de la validación de los procesos (vea cláusula 7.5.2). 

 

Cuando se auditan los procesos de seguimiento y medición, es importante para los auditores entender la diferencia entre “dar seguimiento” y “medir”:

·             dar seguimiento implica observación, supervisión, mantenimiento bajo revisión (usando dispositivos de seguimiento); pudiendo involucrar la medición o el ensayo a intervalos, sobre todo con el propósito de regulación o control. 

·             medir considera la determinación de una cantidad física, magnitud o dimensión (usando equipos de medición). 

 

Mientras "equipo de medición" se define en ISO 9000 cláusula 3.10.4 como "instrumento de medición, software, patrón de medición, material de referencia o equipos auxiliares o combinación de ellos necesarios para llevar a cabo un proceso de medición”, la norma sólo exige calibrar el "equipo de medición” cuando se usa con el propósito de medir "… para proporcionar evidencia de la conformidad del producto con determinados requisitos", o bien del proceso.

 

Los equipos y los dispositivos pueden usarse para indicar, dar seguimiento o medir. Un mismo equipo podría ser empleado para las tres funciones.  

 

Por ejemplo, en algunas industrias, un manómetro puede usarse:  

·             como un indicador (por ejemplo, para asegurarse de que hay presión);  

·             como un dispositivo de seguimiento (por ejemplo, para asegurarse de que la presión es estable y el proceso está bajo control); y  

·             como equipo de medición (por ejemplo, dónde el valor exacto de la presión sea importante para la calidad de producto). 

 

Sin embargo, el nivel de control depende del uso previsto, el que determina si debe o no calibrarse o verificarse. La profundidad y grado de tal confirmación puede variar, dependiendo de la naturaleza de los productos, servicios y riesgos relacionados. 

 

En aquellos casos donde la organización hace uso de equipos de medición, debe obtenerse evidencia de que las necesidades metrológicas relacionadas con la producción o los procesos de servicio han sido propiamente identificadas/especificadas y que los sistemas de medición se han diseñado, operado y mantenido de forma tal, que satisfagan las necesidades metrológicas aplicables. 

 

Los auditores deben confirmar que, además de proporcionar los registros de calibración necesarios y el aseguramiento de la incertidumbre y trazabilidad relacionadas de las mediciones, la organización sea consciente de, y haya implementado, como le sea apropiado, un sistema de confirmación metrológica como se describe en ISO 10012, adecuado a la extensión y tipos de mediciones realizados. 

 

De lo dicho anteriormente se desprende que la organización debe ser capaz de decidir si puede excluir o no, los requisitos de la cláusula 7.6, de forma total o parcial.  

 

Explicaciones adicionales y ejemplos se brindan en el Manual de la ISO: ISO 9001:2000 para Pequeños Negocios - Qué hacer, Consejos del ISO/TC 176. 

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

 

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 Página Principal

Uso eficaz de la norma ISO 19011

La norma ISO 19011:2002 ha reemplazado a la serie de normas ISO 10011 y proporciona directrices para auditar sistemas de gestión de calidad. La norma contiene opciones relativas a métodos de auditoría y competencias de los auditores pero el contenido no es mandatorio. La directriz tiene la intención de ser flexible y la aplicación puede diferir de acuerdo al tamaño, naturaleza y complejidad de la organización a ser auditada. Es decisión de cada cuerpo de certificación de tercera parte utilizar las directrices que considere apropiadas a sus necesidades y relevantes a sus prácticas propias de trabajo.

La norma se divide en varias secciones incluyendo las siguientes:

Principios de auditoría

El auditor debe estar familiarizado con los 5 principios de auditoría y aplicarlos al proceso de auditoría.

Gestión de un programa de auditoría

Esta será generalmente responsabilidad de la dirección del cuerpo de certificación de tercera parte y no del auditor individual. Los auditores deben estar concientes que los programas de auditoría son seguidos y revisados a intervalos apropiados. Los auditores deben proporcionar datos de entrada para la mejora de los programas de auditoría.

Actividades de auditoría

Esta directriz enfatiza la importancia de y las técnicas para la planificación, conducción y reporte de una auditoría y es de particular relevancia para el auditor. Los auditores deben estar familiarizados con la sección 6 de la norma ISO 19011.

Competencia y evaluación de los auditores

La directriz sobre la competencia y evaluación de los auditores da un nuevo énfasis en la importancia de la competencia del individuo y del equipo auditor en vez del criterio de cualificación para auditores que estaba en la norma ISO 10011-2.  

La competencia ahora es definida como los atributos personales y aptitud demostrada para aplicar conocimientos y habilidades. Se da ahora, menos importancia en los niveles de educación prescritos, la experiencia de trabajo y auditoría y número de auditorías realizadas. Estas ahora se utilizan como entradas a los conocimientos y habilidades necesarias para la competencia de un auditor.

Mucho de esta directriz será utilizada por los cuerpos de certificación de tercera parte cuando establezcan sus propios criterios de competencia para los auditores. Sin embargo, los auditores individuales deben estar concientes del contenido de esta sección de modo que puedan mantener, mejorar y trabajar dentro de su competencia profesional.

Se puede encontrar ayuda práctica a través de las directrices y se dan ejemplos y clarificaciones adicionales en varios tópicos aunque algunos no pudieran ser aplicables a auditorías de tercera parte.

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

 

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

Auditando los procesos de retroalimentación del cliente

1) Introducción

El proceso de retroalimentación del cliente es una parte crítica del sistema de gestión de la calidad, y por lo tanto debe recibir una atención adecuada durante una auditoría de tercera parte. La retroalimentación del cliente es uno de los indicadores primarios de desempeño que puede ser utilizado para juzgar la eficacia general del SGC. Por lo tanto, es importante para el auditor verificar que:

a) Las entradas a este proceso incluya datos relevantes, representativos y confiables.

b) Estos datos se analizan eficazmente, y 

c) La salida de este proceso proporciona información útil para la revisión por la dirección y otros procesos del SGC, para aumentar la satisfacción del cliente y llevar hacia la mejora continua.

2) ¿Cuáles son los requisitos?

2.1) El objetivo general de la norma ISO 9001:2000, como lo establece la cláusula 1.1 es especificar los requisitos para un sistema de gestión de la calidad para cuando una organización:

(a) necesita demostrar su capacidad para proporcionar de forma coherente productos que satisfagan los requisitos del cliente y los reglamentarios aplicables, y

(b) aspira a aumentar la satisfacción del cliente a través de la aplicación eficaz del sistema, incluidos los procesos para la mejora continua del sistema y el aseguramiento de la conformidad con los requisitos del cliente y los reglamentarios aplicables.

2.2) La cláusula 7.2.3 requiere que la organización determinar e implementar disposiciones eficaces para la comunicación con los clientes,relativas a ………… la retroalimentación del cliente, incluyendo sus quejas.”

2.3) La cláusula 8.2.1 de la norma ISO 9001:2000 establece:

“Como una de las medidas del desempeño del sistema de gestión de la calidad, la organización debe realizar el seguimiento de la información relativa a la percepción del cliente con respecto al cumplimiento de sus requisitos por parte de la organización. Deben determinarse los métodos para obtener y utilizar dicha información.”

El documento de guía sobre terminología del ISO/TC176  (ISO/TC176/SC2/N526R) enfatiza que dar seguimiento significa “observar, supervisar y mantener bajo revisión; medir o probar a intervalos”. Es importante que los auditores reconozcan que no hay un requisito específico en la norma  ISO 9001:2000 en su cláusula 8.2.1 para que la organización realice encuestas formales de satisfacción del cliente, u otras medidas de satisfacción del cliente, aunque esto puede obviamente ser una herramienta útil en el seguimiento de las percepciones del cliente. Por eso es importante que la organización trate de ver las cosas desde la perspectiva del cliente, y de seguimiento a las percepciones del cliente; La medición de la satisfacción del cliente puede ser apropiada en algunas situaciones, pero este no es un requisito directo de la norma.

NOTA: Además de estas referencias específicas a los procesos de retroalimentación del cliente, hay varias referencias indirectas a través de toda la norma, de las que el auditor necesita tomar en cuenta. Algunos ejemplos incluyen la retroalimentación como parte del proceso de diseño y desarrollo; proceso de validación y otros.

3) ¿Que debe ser cubierto cuando se audita los procesos de retroalimentación del cliente?

La retroalimentación del cliente es un proceso. Necesitamos auditarlo como un proceso, no como una “cláusula de la norma”. Necesitamos evaluar el modo en como el proceso es gestionado (ver la cláusula 4.1.c de la norma ISO 9001:2000, y su habilidad para proporcionar información significativa con la cual juzgar la eficacia general del SGC. El definir el modo en el que la organización obtiene esta retroalimentación (“el método) es decisión de la organización

El auditor debe por lo tanto estar atento a los muchos factores que pueden afectar el enfoque de la organización, y debe reconocer que no hay una “receta” dada. Debe entonces tomar en consideración factores como:

§      el tamaño y complejidad de la organización

§      el grado de sofisticación de los productos y clientes

§      el riesgo asociado al producto

§      la diversidad de la base de clientes

3.1) Antes de auditar el proceso de retroalimentación del cliente (fase de preparación)

El auditor necesita estar atento a las características específicas de los productos de la organización que pudieran tener un impacto en la satisfacción del cliente. Durante la auditoría el auditor debe estar alerta de indicadores que pudieran sugerir la satisfacción o no satisfacción del cliente y que pudieran servir como entrada a la auditoría del proceso de retroalimentación del cliente. Algunas buenas fuentes de esta información pudiera incluir, por ejemplo:

§      Bienes devueltos por el cliente;

§      Reclamos de garantía;

§      Facturas revisadas;

§      Notas de crédito;

§      Artículos disponibles;

§      Sitios web de clientes;

§      Observación directa de, o comunicación con el cliente (por ejemplo en una organización de servicio).

3.2) Durante el proceso de evaluación

Estos son algunos puntos que un auditor debe cubrir durante una auditoría al proceso de retroalimentación del cliente:

a) ¿cuál es el resultado deseado de este proceso?¿qué información está disponible sobre percepciones del cliente?¿cómo es utilizada esta información por la dirección para iniciar mejoras al producto, los procesos y el SGC?

   ¿Están cubiertos todas las categorías de clientes en esta información? Es importante recordar que la organización pudiera tener más de una categoría de clientes – ver la definición de “cliente” en la norma ISO 9000:2000 cláusula 3.3.5. Por ejemplo, un fabricante pudiera vender a distribuidores, que venden a detallistas, que venden al público en general. En este caso la organización puede necesitar cubrir los tres tipos de clientes y ellos pueden tener diferentes percepciones. La organización puede estar satisfaciendo a un grupo y quedando mal con otro.

b) ¿como se recolectan los datos que alimentan el proceso?

Hay muchas maneras en las que una organización puede dar seguimiento a las percepciones de sus clientes, y el auditor debe evitar las ideas preconcebidas acerca de cómo se debe hacer esto. Algunos ejemplos de técnicas que la organización puede usar incluye:

§         evaluaciones cara a cara, que pueden ser apropiadas en muchas organizaciones de servicio como hoteles – “¿cómo estuvo su estancia con nosotros?” o restaurantes “espero que haya disfrutado su comida”

§         llamadas telefónicas o visitas realizadas periódicamente o después de una entrega de productos o servicios

§         cuestionarios o encuestas realizadas por la misma organización, o por investigadores de mercados independientes

§         otros contactos con clientes, por ejemplo por personal de servicio o instalación

§         investigaciones internas entre el personal de la organización que tiene contacto con los clientes,

§         evaluación de negocios repetidos

§         seguimiento a cuentas por cobrar, reclamos de garantía, etc.

§         análisis de quejas de clientes

Frecuentemente las quejas son la única retroalimentación espontánea recibida de los clientes, y estas deben ser analizadas para buscar tendencias, quejas clave, impactos, etc. Debe resaltarse, sin embargo, que las quejas de los clientes pueden no ser la única entrada para dar seguimiento a las percepciones de los clientes. También , el auditor debe evitar llegar a conclusiones solo por ver quejas específicas e individuales – estas deben siempre ser puestas en contexto en su impacto general sobre el SGC.

c) ¿Qué tan confiable es la información?

§   En un mundo ideal, la organización debe dar seguimiento a las percepciones de todos sus clientes, pero el costo de hacer esto pudiera ser prohibitivo. Por lo tanto es necesario verificar el criterio que la organización ha utilizado para el muestreo de sus clientes, para asegurar que es representativo y refleja el riesgo hacia la organización y hacia sus clientes.

§   El auditor debe asegurarse de verificar la información proporcionada comparándola con otra evidencia obtenida durante el curso de la auditoría (ver 3.1)

§   En algunos casos pudiera ser apropiado para el auditor verificar la información directamente con los clientes de la organización, cuidando tener la diplomacia requerida cuando se hace esto.

d) ¿Cómo se analizan los datos?

§      La simple recolección de datos sobre las percepciones de los clientes no es suficiente – el auditor debe dar seguimiento al proceso, para verificar como se analizan los datos (ver la cláusula 8.4 de la norma ISO 9001:2000), y que conclusiones se hacen con respecto a la eficacia del SGC.

·      Hay alguna tendencia?

·      La situación es estable, mejora o se deteriora?

·      Las necesidades y expectativas de los clientes están cambiando?

·      Aunque no es un requisito de la norma ISO 9001:2000, pudiera ser apropiado preguntar a la organización sobre las comparaciones de industria o actividades de “benchmarking”, para poner en perspectiva la retroalimentación del cliente.

e) ¿Cómo se retroalimenta la información generada por este proceso al SGC como un todo?

·      Las organizaciones deben utilizar los resultados del proceso de retroalimentación de los clientes para disparar acciones correctivas o preventivas y como uno de los indicadores generales del desempeño del SGC. El modo de cómo estos procesos interactúan debe ser sujeto de auditoría.

·      El auditor debe ser capaz de reconocer que el resultado del proceso de retroalimentación del cliente forma una entrada importante para otros procesos del SGC, como el análisis de datos, procesos de revisión por la dirección y mejora continua.

·      Un auditor que “agrega valor” debe tratar de asegurar que la organización reconozca los beneficios que puede proporcionar un buen proceso de retroalimentación de los clientes y promoverá (pero no puede requerir) que la organización piense más allá de simplemente “cumplir los requisitos de la norma”

f) ¿Cuales son las ligas con otros procesos del SGC?

El auditor debe reconocer que el proceso de retroalimentación del cliente tiene ligas importantes e interfases con varios procesos del SGC que incluyen, pero no están limitados a las siguientes cláusulas de la norma:

·         5.6 Revisión por la dirección 

·         7.5.2 Validación de procesos 

·         7.2.3 Comunicación con el cliente

·         7.3.6 Validación de diseño y desarrollo 

·         7.3.7 Cambios al diseño y desarrollo

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

Documentando una no conformidad

El enfoque de cualquier auditoría a un sistema de gestión consiste en determinar si el sistema de gestión ha sido desarrollado, es eficazmente implementado y se mantiene. Una organización es certificada en base a que se ha implementado eficazmente un sistema de gestión, que es conforme con los requisitos de la norma ISO 9001:2000. Por lo tanto el énfasis de una auditoría de sistema de gestión debe estar en verificar la conformidad, no en documentar no conformidades. Los auditores deben mantener un enfoque positivo y ver los hechos y no las faltas.

Sin embargo, cuando la evidencia de auditoría determina que existe una no conformidad, entonces es muy importante documentar bien la no conformidad. ¿Qué es no conformidad?, de acuerdo a la definición en la norma ISO 9000: 2005 (3.6.2), una no conformidad es un incumplimiento de un requisito. Hay tres partes en una no conformidad bien documentada:

·  la evidencia de auditoría que soporta los hallazgos del auditor;

·  el requisito contra el cual la no conformidad se detecta;

·  el enunciado de la no conformidad.

Si no hay evidencia – no hay no conformidad. Si hay evidencia – esta debe ser documentada como una no conformidad en vez de ser suavizada con otra clasificación (por ejemplo, “observaciones”, “oportunidades de mejora”, “recomendaciones”, etc.)

Estas son las tres partes de una no conformidad a ser documentadas, en la práctica real durante una auditoría, la primer parte a ser identificada y documentada será la evidencia de auditoría. El auditor competente observará situaciones que el o ella “sienten” que es una no conformidad, aunque en ese punto en el tiempo, el auditor pudiera no estar 100 por ciento seguro. El auditor competente documentará la evidencia de auditoría, en sus notas de auditoría como una no conformidad potencial, y buscará caminos de auditoría adicionales para confirmar si es una no conformidad. La evidencia de auditoría debe ser documentada con suficiente detalle para que la organización auditada pueda encontrar y confirmar exactamente lo que el auditor ha observado. 

La siguiente cosa que el auditor necesitará hacer es identificar y registrar el requisito específico que no ha sido cubierto. Recuerde, una no conformidad es un incumplimiento de un requisito, por lo que si el auditor no puede identificar el requisito, entonces el auditor no puede levantar una no conformidad. Por ejemplo el requisito pudiera estar especificado en la norma ISO 9001:2000, en el sistema de gestión de la organización (requisitos internos), en las regulaciones legales aplicables, o por los clientes de la organización. Una vez que el requisito específico es confirmado, este necesita ser documentado. Esto puede ser tan simple como establecer la norma y la cláusula. Sin embargo, si el requisito específico que es aplicable a la evidencia de la auditoría es parte de una cláusula de la norma con varios requisitos, entonces el auditor debe, además de citar la norma y la cláusula, escribir las palabras específicas del requisito que es aplicable a la evidencia de la auditoría.

Ahora viene la parte más importante de documentar una no conformidad, que es el escribir una declaración de la no conformidad. El enunciado de la no conformidad lleva a la organización al análisis de la causa, la corrección y la acción correctiva. El enunciado de la no conformidad debe ser genérico y relacionado con el punto del sistema. El enunciado de la no conformidad debe ser capaz de expresarse en una, o cuando mucho, dos oraciones. El enunciado de la no conformidad no debe ser una repetición de la evidencia de la auditoría o usado en lugar de la evidencia de auditoría.

Para resumir, una no conformidad bien documentada tendrá tres partes: la evidencia de auditoría, el requisito y el enunciado de la no conformidad. Con las tres partes de la no conformidad bien documentadas, el auditado o, cualquier otra persona con conocimientos suficientes podrá ser capaz de leer y entender la no conformidad. Esto servirá también como un registro útil para futuras referencias.

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

 

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal
Guía para la revisión y cierre de las no conformidades

Introducción

El valor que puede proporcionarse a una organización puede ser aumentado o disminuido por la revisión que un auditor conduce a la respuesta de la organización a una no conformidad, así como al proceso de “cierre” que sea aplicado. Un auditor agregará valor asegurándose de que la organización ha cubierto satisfactoriamente la corrección / el análisis de causas y la acción correctiva, ya que esto aumentará la probabilidad de que la organización logre la satisfacción del cliente.

Este documento proporciona una directriz para ayudar a los auditores en el proceso de revisar y cerrar las no conformidades levantadas en las auditorías.

Revisión de acciones en respuesta a una no conformidad

Los auditores de sistemas de gestión son responsables de revisar la respuesta a las no conformidades y verificar la eficacia de las acciones tomadas.

Debe haber tres partes en la respuesta de la organización a una no conformidad: 

• corrección,

• análisis de la causa, y

• acción correctiva.

o

• análisis de causa,

• corrección, y

• acción correctiva

 

(Nota; se dan dos secuencias diferentes ya que la correcta a seguir pudiera depender del tipo de producto, o situación de la no conformidad. Sin embargo, las tres partes para resolver una no conformidad son las mismas en cada caso. Por ejemplo, para software, es inconveniente la implementación de una corrección hasta que la causa sea conocida. Alternativamente, como un ejemplo de hardware, si una luz de advertencia de “zapatas desgastadas” se ilumina en un vehículo y usted inmediatamente implementa la corrección de reemplazar las zapatas antes de examinar si el sensor falló, pudiera fallar al resolver el problema y habrá desperdiciado tiempo y recursos.)

La fuente que autoriza a realizar el enunciado inicial son algunas definiciones pertinentes en la norma ISO 9000: 2000.  

No conformidad: incumplimiento de un requisito  (ISO 9000:2005, cláusula 3.6.2)

Corrección: acción tomada para eliminar una no conformidad detectada (ISO 9000:2005, cláusula 3.6.6)

Acción correctiva: acción tomada para eliminar la causa de una no conformidad detectada u otra situación indeseable (ISO 9000: 2005, cláusula 3.6.5) 

Cuando se detecta una no conformidad cabe esperar tanto la corrección como la acción correctiva.

La “corrección” es una acción para eliminar una no conformidad detectada, Por ejemplo, la corrección pudiera involucrar el reemplazo del producto no conforme con un producto conforme o reemplazar un procedimiento obsoleto con la versión vigente, etc. 

La definición de “acción correctiva” es “acción para eliminar la causa de la no conformidad detectada”. La acción correctiva no puede ser tomada sin primero hacer una determinación de la causa de la no conformidad. Existen muchos métodos y herramientas disponibles para determinar la causa de una no conformidad, desde una simple tormenta de ideas hasta técnicas más complejas de solución sistemática de problemas  (por ejemplo, análisis de causas raíz, diagramas de espina de pescado, “los cinco por qué”, etc.). Un auditor debe estar familiarizado con el uso apropiado de estas herramientas. La extensión y eficacia de la acción correctiva depende de la identificación de la verdadera causa raíz. En algunos casos esto ayudará a una organización a identificar y minimizar no conformidades similares en otras áreas.

Al revisar la respuesta de una organización a una no conformidad, el auditor debe confirmar que la documentación y la evidencia objetiva para las tres partes – corrección, causa y acción correctiva -se proporcionan por la organización, y son apropiadas, antes de aceptar la respuesta. Elementos importantes a verificar en el proceso de revisión incluyen:

§      declaraciones de acciones; ¿son claras y concisas?

§      descripciones de acciones; ¿son completas y refieren con precisión documentos, procedimientos específicos, etc. según sea apropiado?

§      el uso de la forma verbal en pasado (fue, estuvo, ha sido), como un indicador de que las acciones tomadas han sido completadas.

§      la fecha de terminación de las acciones correctivas; fechas pasadas deben encontrarse como indicador de que las acciones han sido tomadas (las fechas que indican acción futura no son una buena práctica).

§      evidencia que soporte el hecho de que la acción correctiva ha sido total y eficazmente implementada y que la acción correctiva ha sido desempeñada en la forma en que estaba descrita.

Adicionalmente, el auditor debería verificar que la organización se ha asegurado que la acción correctiva tomada no ha creado por si misma mayores problemas relacionados con la calidad del producto o la implementación del SGC.

Debe notarse que tanto la corrección como la acción correctiva no son siempre apropiadas y que la corrección o la acción correctiva por si solas pudieran ser suficientes. Esto pudiera suceder, por ejemplo, en casos en que se puede demostrar que la no conformidad fue absolutamente accidental, y la probabilidad de que vuelva a ocurrir es muy baja. 

La acción correctiva eficaz debe prevenir que la no conformidad vuelva a ocurrir eliminando la causa. Sin embargo, la acción correctiva no debe confundirse con la acción preventiva. La definición de acción preventiva es como sigue:

Acción preventiva: acción para eliminar la causa de una no conformidad potencial o una situación indeseable (ISO 9000:2005, cláusula 3.6.4)

Se debe notar que la acción preventiva por la naturaleza de su definición no es aplicable a no conformidades ya detectadas. Sin embargo un análisis de sus causas pudiera identificar no conformidades potenciales en una escala más amplia en otras áreas de la organización y proporcionar una entrada para una acción preventiva.

Cierre de no conformidades

Ya que las no conformidades tienden a ser individuales en su naturaleza, se puede utilizar una amplia variedad de métodos o actividades para cerrarlas. Por ejemplo, algunas requerirán un examen directo en el lugar (lo que pudiera requerir la necesidad de visitas adicionales al lugar), mientras otras pudieran cerrarse de manera remota (por la revisión de documentación relevante que se envíe como evidencia).

Antes de decidir el acuerdo para cerrar una no conformidad, el auditor líder (o auditor cuando actúa solo) debería revisar lo que la organización hizo con respecto a la corrección / análisis de causa y los resultados logrados a través de la acción correctiva. El auditor líder necesita asegurarse de que existe evidencia objetiva (incluyendo documentación de soporte) para demostrar que la acción correctiva descrita ha sido completamente implementada y es eficaz en prevenir que la no conformidad vuelva a ocurrir. Solamente cuando la situación sea satisfactoria debería cerrarse la no conformidad.

 

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

 

Auditoría de la acción preventiva

 

1) Introducción

ISO 9000:2000, cláusula 3.6.4, define la acción preventiva como la “acción para eliminar la causa de una no conformidad potencial u otra situación potencial no deseada”.

Esto se puede considerar como una acción adoptada para evitar que se presente una no conformidad. Sin embargo, si no hay una no conformidad con la cual empezar y si la acción preventiva es eficaz, se mantendrá el status quo. Esto origina la dificultad de auditar un proceso para el cual la salida deseada es mantener el status quo.

Con frecuencia existe confusión sobre las diferencias entre los términos corrección, acción correctiva y acción preventiva (por favor consulte ISO 9000:2000 para sus definiciones formales) y también con relación a las actividades de una organización con respecto a cada una de ellas.

La auditoria de los procesos de corrección y acción correctiva de la organización es relativamente sencilla porque los resultados y la eficacia de estos procesos por lo general están bien definidos (es decir, si la organización ya ha identificado una no conformidad, es relativamente fácil para un auditor evaluar el proceso utilizado por la organización, o que se planifica por usar para corregirla y si esto será o no eficaz para evitar que se vuelva a presentar la no conformidad); no obstante, la auditoría de los procesos de acción preventiva usualmente es más compleja.

2) Guía de auditoria

2.1) ISO 9001:2000 requiere que la organización tenga un procedimiento documentado para la acción preventiva.

Nota: Se acepta la combinación de procedimientos documentados de acción correctiva y acción preventiva en un solo documento del SGC, pero no es recomendable. Si están combinados, entonces es importante que el auditor verifique que la organización entiende claramente la diferencia entre el propósito de las acciones correctivas y preventivas.

2.2) La norma exige que este procedimiento documentado incluya:

a) Cómo determina la organización las no conformidades potenciales y sus causas.

Los ejemplos comunes incluyen los siguientes:

·    Análisis de tendencia para las características de los procesos y los productos (resultado del proceso de análisis de datos). Una tendencia hacia el empeoramiento puede indicar que si no se adopta ninguna acción, podría presentarse una no conformidad.

·    Alarmas para brindar advertencia temprana de que se aproximan condiciones operativas “fuera de control”.

·    Monitoreo de la percepción del cliente mediante sistemas de retroalimentación tanto formales como informales.

·    Análisis de tendencias para la capacidad de los procesos, usando técnicas estadísticas.

·    Análisis de modo de falla y efecto continuos para los procesos y los productos (este es un requisito de ISO/TS 16949, por ejemplo, para la industria automotriz).

·    Evaluación de las no conformidades que hayan ocurrido en circunstancias similares, pero para otros productos, procesos, u otras partes de la organización o incluso en otras organizaciones.

·    Planificación completa de actividades tanto para situaciones predecibles (por ejemplo, debido a expansión, mantenimiento o cambios de personal - véase ISO 9001, cláusula 5.4.2b)) como impredecibles (por ejemplo, fenómenos naturales como huracanes, terremotos, inundaciones etc.).

·     ISO 9004:2000, cláusula 8.5.3, Prevención de pérdidas (Loss prevention) suministra otros ejemplos (Nota: esta directriz de ISO 9004 no es obligatoria).

b) Una evaluación de la necesidad de acción preventiva.

Los métodos empleados en la evaluación podrían incluir:

·    Enfoques de análisis de riegos.

·    Análisis del modo de falla y efecto, tal como ya se mencionó en (a).

(Nota: ninguno de estos enfoques o metodologías son requisitos de ISO 9001:2000.)

c) Cómo determina la organización la acción que se requiere y cómo se implementa.

Un auditor debería buscar evidencia de que:

·    la organización ha analizado las causas de las no conformidades potenciales (el uso de diagramas de causa y efecto y otras herramientas de calidad podría ser apropiado para esto).

·    las acciones requeridas son desplegadas en todas las partes pertinentes de la organización y de manera oportuna.

·    existen definiciones claras de las responsabilidades de identificación, evaluación, implementación y revisión de las acciones preventivas.

d) Registros de los resultados de las acciones adoptadas.

·    ¿Qué registros se conservan?

·    ¿Son apropiados y el reflejo real de los resultados?

·    ¿Se controlan de acuerdo con lo indicado en ISO 9001:2000, cláusula 4.2.4?

e) Una revisión de las acciones preventivas adoptadas.

·    ¿Fueron eficaces las acciones (es decir, ¿se evitó que ocurriera una no conformidad y hubo beneficios adicionales?)?

·    ¿Es necesario continuar con las acciones preventivas tal como están?

·    ¿Se deberían cambiar o es necesario planificar acciones nuevas?

2.3) A menudo se presenta la discusión “filosófica” entre el auditor y la organización sobre dónde termina la acción correctiva y dónde empieza la acción preventiva. Por ejemplo, si se detecta una no conformidad en el proceso “A” ¿se adoptan acciones para evitar no conformidades futuras mediante las acciones preventivas de los procesos “B”, “C” y “D” o simplemente están dentro del alcance de las acciones correctivas adoptadas para el proceso “A”? El auditor debería evitar que estas discusiones lo desvíen y concentrarse en si las acciones fueron eficaces o no. ¡El “etiquetado” de las acciones adoptadas tiene importancia secundaria!

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 
Página Principal

 

Auditando las comunicaciones internas

 

1. Introducción

Un proceso eficaz de comunicación interna contribuye al éxito del sistema de gestión de la calidad de cualquier organización. Por el contrario, muchos de los problemas que se presentan en el sistema de gestión de la calidad de una organización con frecuencia tienen su origen en una comunicación deficiente.

 

2. Requisitos y Guía

2.1 ISO 9001:2000, cláusula 5.5.3 establece lo siguiente:

“Comunicación interna

La alta dirección debe garantizar que se han establecido los procesos adecuados de comunicación dentro de la organización y que la comunicación tiene lugar con respecto a la eficacia del sistema de gestión de la calidad.”

Este es uno de varios requisitos que se han introducido en ISO 9001:2000 en donde un enfoque definitivo (“SI/NO”) puede no ser adecuado para evaluar la implementación eficaz del proceso de comunicación interna dentro de una organización.

2.2 Otros requisitos de ISO 9001:2000 con relación a la comunicación interna:

Existen otros requisitos en ISO 9001:2000 en donde la alta dirección tiene la responsabilidad de comunicarse con las personas dentro de la organización con respecto a:

·    La política y los objetivos de la calidad.

·    La importancia de cumplir los requisitos del cliente así como los reglamentarios.

·    La promoción de la toma de conciencia sobre los requisitos del cliente en toda la organización.

·    Las responsabilidades definidas de las personas y la conciencia sobre la pertinencia e importancia de sus actividades, y la forma en que ellas contribuyen al logro de los objetivos de calidad.

·    Cuando se producen cambios en los requisitos del producto, asegurar que el personal pertinente conozca dichos cambios.

2.3 Guía de ISO 9004:2000 (cláusula 5.5.3):

“La dirección de la organización debería definir e implementar un proceso eficaz y eficiente para comunicar la política, los requisitos, los objetivos y los logros de la calidad. El suministro de tal información puede ayudar a mejorar el desempeño de la organización e involucra directamente a su personal en la consecución de los objetivos de la calidad. La dirección debería fomentar activamente la retroalimentación y la comunicación de las personas de la organización como una forma de involucrarlas”.

Es importante anotar que esta directriz de ISO 9004 no se audita, pero proporciona mayor comprensión sobre la importancia de la comunicación interna.


3. Verificación de la eficacia de la comunicación interna

Existen dos componentes principales de los requisitos de ISO 9001:2000, cláusula 5.5.3, que se deben verificar:

a) Que se hayan establecido procesos adecuados de comunicación dentro de la organización, incluyendo:

·    identificación de las personas entre quienes se debe producir la comunicación,

·    información que se debe comunicar;

·    medios para lograrlo;

·    método seleccionado para monitorear su eficacia;

·    documentación y registros necesarios para verificar que se ha tenido lugar;

·    proceso de comunicación sujeto a mejora continua.

b) Que la comunicación tiene lugar y se relaciona con la eficacia del sistema de gestión de la calidad.

Al buscar evidencia de procesos eficaces de comunicación, puede ser necesario que el auditor observe algunos o todos de los siguientes aspectos, según sea apropiado para la organización:

·    la alta dirección, los empleados en todos los niveles de la organización y los contratistas generan, reciben y responden las comunicaciones;

·    la información que se ha de comunicar está claramente definida, es apropiada y exacta para los propósitos de la comunicación;

·    los medios utilizados para la comunicación son apropiados para el grado de educación y otras habilidades de quienes se espera que reciban y actúen según la información suministrada;

·    el monitoreo tiene lugar para asegurar que se actúa sobre la información comunicada y se logra el resultado deseado;

·    están disponibles los procedimientos y registros necesarios para demostrar que la comunicación ha tenido lugar, es eficaz y está sujeta a mejora continua.

Aunque no hay requisito específico para un procedimiento documentado, dependiendo del tamaño, la complejidad y la cultura de la organización puede ser necesario tenerlo con el objeto de garantizar su implementación eficaz.

4. El enfoque de auditor

El auditor puede observar algunos o todos los siguientes medios de comunicación de la información dentro de la organización:

·    La dirección lleva la comunicación a las áreas de trabajo.

·    Reuniones informativas del equipo y otras reuniones como aquellas para el reconocimiento de logros.

·    Murales.

·    Correo electrónico, red interna (intranet) y sitios Web.

·    Revistas o boletines informativos de la compañía o internos.

·    Reuniones del personal.

·    Cartas o anuncios individuales.

El auditor puede juzgar la eficacia de los procesos de comunicación interna de la organización mediante:

·    Entrevistas con los empleados para determinar su conocimiento de la política, los objetivos y el desempeño del sistema de gestión.

·    Evaluación de las causas de las no conformidades y los procesos de acción correctiva de la organización. ¿Podría vincularse/ rastrearse la necesidad de acción correctiva hasta procesos deficientes de comunicación interna?

·    Evaluación de la pertinencia y las fechas significativas de la información presentada. La información que se comunica no tiene valor si es obsoleta.

·    Examen de los mecanismos de retroalimentación dentro de la organización, por ejemplo, revisiones o entrevistas individualizadas, encuestas a los empleados, etc.

·    Evaluación de los programas de entrenamiento e inducción dentro de la organización. Estos programas deberían contener información de la forma como opera el sistema de gestión de la calidad.

·    Observación de actas de reuniones que contengan elementos de comunicación interna.

5. Evaluación de la conformidad de la organización con los requisitos de ISO 9001:2000

Existen dudas de si un auditor puede determinar la eficacia de los procesos de comunicación interna de la organización durante una sola sesión de auditoria o “espacio de tiempo”. Esto requiere un enfoque más holístico durante toda la auditoria, pero no es necesario incluirlo en el plan de ésta. Los equipos auditores deberían planificar una revisión, en colaboración, de este aspecto.

De forma similar existen dudas de si se puede determinar la eficacia de los procesos de comunicación de la organización únicamente a partir de una fuente en la organización.

La conformidad con los requisitos de ISO 9001:2000 sólo se debería determinar al final de la auditoria, después de evaluar la evidencia de (y después de llegar al consenso con los otros miembros del equipo).

 

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

 

Auditando la eficacia de la auditoria interna

1. Introducción

Las organizaciones que buscan un sistema de gestión de calidad adecuado y eficaz necesitan realizar auditorías internas para asegurar que el SGC funciona como se quiere y para identificar las ligas débiles en el sistema así como las oportunidades de mejora potenciales. La auditoría interna actúa como mecanismo de retroalimentación para la alta dirección, ésta puede darle a la alta dirección y a otras partes interesadas la seguridad de que el sistema cumple los requisitos de la norma ISO 9001:2000. El cómo se maneje el proceso de auditoria interna es un factor clave para asegurar la eficacia de un sistema de gestión de calidad.

2. Requisitos y Directriz

2.1 La norma ISO 9001:2000 cláusula 8.2.2 establece lo siguiente:

8.2.2 Auditoría interna

“Se debe planificar un programa de auditorías tomando en consideración el estado y la importancia de los procesos y las áreas a auditar, así como los resultados de auditorías previas.”

Este requisito tiene la intención de enfocar el programa de auditoría interna hacia aquellos procesos y áreas donde la historia indica que han ocurrido problemas, o donde parece que los problemas continuarán, y/o parece que ocurrirán (debido a la naturaleza de los mismos procesos). Estos problemas pudieran resultar de aspectos como factores humanos, capacidad de proceso, sensibilidad de medición, cambio en requisitos de los clientes, cambios en el ambiente de trabajo, etc.

Los procesos con alto nivel de riesgo de deficiencias o no conformidades deben tener prioridad en el programa de auditoría interna.

Se debe prestar una atención especial a los procesos donde el alto nivel de riesgo es influenciado por factores tales como:

- consecuencias severas por la falla de capacidad de proceso;

- no satisfacción del cliente;

- no cumplimiento con requisitos reglamentarios del producto (o proceso)

2.2 La norma ISO 9004:2000 Cláusula 8.2.1.3

“La alta dirección debería asegurarse del establecimiento de un proceso de auditoría interna eficaz y eficiente para evaluar las fortalezas y debilidades del sistema de gestión de la calidad. El proceso de auditoría interna actúa como una herramienta de gestión para la evaluación independiente de cualquier proceso o actividad designado. El proceso de auditoría interna proporciona una herramienta independiente aplicable para obtener evidencias objetivas de que se han cumplido los requisitos existentes, dado que la auditoría interna evalúa la eficacia y la eficiencia de la organización.”

Esta directriz de la norma ISO 9004 fuerza la necesidad de usar eficientemente los recursos cuando se realizan auditorías internas. (Nota: esta directriz de la norma ISO 9004 no es un requisito auditable en una evaluación de la ISO 9001).

3. Directriz de auditoría

Cuando los auditores de tercera parte examinen los procesos de auditoría interna, deben evaluar aspectos tales como:

- las competencias que son requeridas para la auditoría y como son aplicadas.

- el análisis de riesgo desarrollado por la organización (si hay alguno) en la planificación de las auditorías internas,

- el grado de involucramiento de la alta dirección en el proceso de auditoría interna.

- la directriz dada por la norma ISO 19011 (pero advierta que la norma ISO 9001:2000 no requiere que la organización utilice la norma ISO 19011), y

- el modo que el resultado del proceso de auditoría interna es utilizado por la organización para evaluar la eficacia de su SGC y para identificar las oportunidades de mejoras.

Un auditor de tercera parte necesita:

a) evaluar el enfoque de la organización para identificar las áreas críticas así como otros parámetros;

Por ejemplo, si la organización ha identificado:

·    sus procesos que son críticos para la calidad del producto,

·    sus procesos complejos, o aquellos que necesitan atención especial

·    sus procesos que necesiten que el personal esté calificado

·    sus procesos que necesiten un seguimiento detallado de los parámetros de proceso

·    sus actividades de seguimiento y medición que requieren una calibración frecuente y/o verificación;

·    sus actividades y procesos que ocurren sobre múltiples lugares y/o que son de labor intensiva, etc.

·    Procesos donde han ocurrido problemas o están en riesgo

·    y los indicadores de desempeño de proceso establecidos que definen las medidas de eficacia y eficiencia, y si estas mediciones están alineadas con los objetivos o metas globales de la organización

¿La organización utiliza esta información cuando establecen la frecuencia de auditoría de esos procesos y actividades?

b) evaluar la competencia de los auditores internos de la organización y los equipos de auditoría;

Debe existir evidencía de que la organización:

·    ha identificado los requisitos de competencia para sus auditores internos,

·    ha proporcionado el entrenamiento apropiado

·    tiene implementado un proceso para dar seguimiento al desempeño de sus auditores internos y equipos de auditoría

·    incluye personal en sus equipos de auditoría que tengan el conocimiento específico apropiado del sector (de modo que sean capaces de identificar cuando la probabilidad de una desviación en un proceso o actividad en particular puede llevar a una consecuencia significativa en la calidad del producto)

También se debe evaluar qué tanto los auditores internos entienden del riesgo inherente en la confiabilidad que se puede poner en el resultado del proceso de auditoría si ellos:

• fallan en considerar algo que es material para el resultado de la auditoría,

• seleccionan un rango de muestreo no apropiado

• sopesan de manera no apropiada la evidencia recolectada, o

• se desvían del plan de auditoría y los procedimientos de auditoría interna.

c) evaluar la planificación de las auditorías;

La organización debe ser capaz de maximizar el uso de los recursos disponibles durante la conducción de las actividades de la auditoría interna. Esto puede facilitarse por la adopción de un enfoque basado en el riesgo en la planificación de las auditorías internas.

Debe cuestionarse si la organización (durante su proceso de auditoría interna) ha considerado el uso del enfoque basado en riesgo en el desarrollo del plan de la auditoría interna, para asegurar el uso eficaz y eficiente de los recursos. Esto también debe asegurar que el riesgo inherente de falla de la auditoría en el proceso de auditoría, y de los resultados de la auditoría, se minimice.

La organización debe tener un proceso para utilizar los resultados de auditorías anteriores en la planificación de auditorías internas futuras.

d) buscar evidencía de que la organización ha implementado un programa de auditoría interna eficaz.

Tomando en cuenta los factores anteriores, y examinando si el proceso de auditoría interna está llevando al SGC a una mejora tangible, el auditor de 3. parte debe ser capaz de formarse un juicio de que tanto la organización ha implementado un programa de auditoría interna eficaz y si el resultado de las auditorías internas proporciona evidencia para el análisis de la eficacia del SGC.

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal
 Auditando organizaciones de servicio

1. Introducción

Aunque la norma ISO 9001:2000 tiene la intención de ser aplicable a toda clase de organizaciones sin importar el tipo, tamaño o producto proporcionado, hay un número de características de las organizaciones de servicio que requieren una atención específica durante una auditoría de tercera parte. Consecuentemente, este documento va dirigido a proporcionar a los auditores las directrices para auditar el cumplimiento de los requisitos de la norma ISO 9001:2000 en las organizaciones de servicio. Se hace particular énfasis en los requisitos de la cláusula 7.3 Diseño y desarrollo, cláusula 7.5.2 Validación de procesos para producción y prestación del servicio y la cláusula 8.3 Control del producto no conforme.

2. Organizaciones de servicio

De acuerdo con la norma ISO 9000:2005, en la cláusula 3.4.2 Producto:

“Un servicio es el resultado de llevar a cabo necesariamente al menos una actividad en la interfaz entre el proveedor y el cliente) y generalmente es intangible. La prestación de un servicio puede implicar, por ejemplo:

¾      una actividad realizada sobre un producto tangible suministrado por el cliente (por ejemplo, reparación de un automóvil);

¾      una actividad realizada sobre un producto intangible suministrado por el cliente (por ejemplo, la declaración de ingresos necesaria para preparar la devolución de los impuestos);

¾      la entrega de un producto intangible (por ejemplo, la entrega de información en el contexto de la transmisión de conocimiento);

¾      la creación de una ambientación para el cliente (por ejemplo, en hoteles y restaurantes)”

La mayoría de las organizaciones tienen un elemento de servicio en su producto. Esto pudiera variar de casi el 100% de servicio (en el caso de una firma de abogados, por ejemplo), a un componente relativamente muy pequeño en el caso de una organización de manufactura que proporciona, por ejemplo, servicio post venta.

3. Directriz de auditoría

3.1 Diseño y desarrollo del servicio

Cuando se considera la aplicabilidad o no de la cláusula 7.3 de la norma ISO 9001:2000 a una organización de servicio, es importante recordar la definición de “Diseño y desarrollo”, que de acuerdo con la norma ISO 9000:2000 cláusula 3.4.4 es “el conjunto de procesos que transforma los requisitos en características especificadas”. También, de acuerdo a ISO 9000:2000 requisitos son “necesidad o expectativa establecida, generalmente implícita u obligatoria” y características del servicio son rasgos diferenciadores que pueden incluir:

·      sensoriales, (por ejemplo, relacionadas con el olfato, el tacto, el gusto, la vista y el oído);

·      de comportamiento, (por ej., cortesía, honestidad, veracidad);

·      de tiempo, (por ej., puntualidad, confiabilidad, disponibilidad);

·      ergonómicas, (por ej., características fisiológicas, o relacionadas con la seguridad humana);

·      tangibles, (por ej., características medibles; estas pudieran ser tanto las características del medio físico usado para dar el servicio, por ej. la velocidad máxima de un avión, o del ambiente en el cuál el servicio se proporciona, por ej. la temperatura interior o facilidades de una aeronave).

Es muy común para las organizaciones considerar solamente el componente tangible de su producto cuando tratan los requisitos de la cláusula 7.3, olvidando que el diseño y desarrollo del producto intangible (el servicio mismo) debería ser el foco principal. Adicionalmente, la organización necesitará diseñar como el servicio será proporcionado a sus clientes.

Si la organización propone justificar la exclusión del diseño y desarrollo de su SGC, el auditor debe hacer una evaluación cuidadosa de la justificación a la luz de lo anterior. El auditor debe también examinar si la organización tiene un proceso de diseño y desarrollo eficaz que defina suficientemente las características de su servicio, y de sus procesos de entrega de servicio, que son necesarios para cumplir con las necesidades y expectativas de los clientes.

3.2 Validación de los procesos de producción y prestación del servicio

En términos de los procesos necesarios para realizar el servicio, se pueden identificar dos tipos de procesos de servicio:

·   los que involucran al cliente en la realización del servicio mismo (entrega en tiempo real) y

·   aquellos en que el resultado es entregado al cliente después de la realización del proceso.

Utilizando el ejemplo de un hotel, los procesos de “registro” y “salida” del huésped pudieran probablemente involucrar la entrega en “tiempo real” del servicio, mientras que la limpieza de la habitación del huésped pudiera generalmente ser “entregado” al cliente solamente después de completar el proceso (que pudiera ser sujeto de una inspección y reproceso si fuera necesario, para corregir cualquier no conformidad).

Procesos similares pueden también encontrarse en organizaciones de manufactura que proporcionan servicios relacionados a sus productos, por ejemplo, el manejo de reclamo de garantías; la reparación de los productos por unidades de servicio de la organización; o actividades de mantenimiento de producto desarrolladas en las instalaciones de los clientes.

Aquellos procesos que involucran entregas en tiempo real, y son realizadas directamente en interfase con la organización / cliente rara vez pueden (si acaso) tener el resultado (“el servicio”) verificado por un seguimiento o medición antes de ser “entregados” al cliente. Por lo tanto, esos procesos están sujetos a una validación de acuerdo a los requisitos de la cláusula 7.5.2 de la norma ISO 9001:2000. Esto es esencial para prevenir que ocurran no conformidades.

Para asegurar el control adecuado sobre la calidad del servicio proporcionado, el auditor debe:

·  entender las características del servicio, los procesos de prestación del servicio, y sus criterios de aceptación, según los defina la organización (esto debe ser hecho durante la fase 1 de la auditoría)

·  determinar como se ha realizado la validación de los procesos de provisión de servicio en “tiempo real” (o cualquier otro proceso que requiera validación) y si esto ha tomado en cuenta los riesgos asociados;

·  evaluar si las herramientas, entrenamiento y empoderamiento apropiados se han proporcionado al personal involucrado

Para muchas industrias de servicio, el servicio proporcionado es instantáneo ( vía procesos en “tiempo real”), lo que no les permite realizar inspecciones antes de entregar ese servicio. El pensamiento de Calidad, dice que el modo más eficaz en costo de hacer negocios es aplicando la filosofía de “procesos especiales” a TODOS los procesos: mientras más organizaciones tengan sus procesos correctos, el menor número de organizaciones necesitarán preocuparse del resultado de sus procesos. Por lo tanto no es muy deseable que esta cláusula pueda ser excluida.

3.3 Control de producto no conforme

En los casos de procesos de servicio que directamente involucran al cliente, “el control del producto no conforme” (cláusula 8.3) es la manera como la organización trata con las no conformidades en la provisión del servicio hasta que la acción correctiva apropiada es definida e implementada.

Donde se identifica una no conformidad, el auditor debe examinar:

·  si el personal involucrado está suficientemente empoderado con la autoridad para decidir la disposición del servicio, por ejemplo:

o       inmediatamente terminar el servicio

o       reemplazar el servicio proporcionado

o       ofrecer una alternativa

·  los procesos de quejas y reclamos de la organización

·  cualquier corrección temporal que sea implementada para mitigar el efecto de la no conformidad (por ej. reembolso, crédito, ascensos, etc.)

·  la identificación, segregación y reemplazo de equipo, proveedores o ambiente relevantes para el servicio,

Esto permitirá al auditor juzgar si el control de dicho producto no conforme es eficaz.

Nota: En estas situaciones el sistema de gestión de calidad debería tener previsto la captura de datos en la información de no conformidades y retroalimentación, en los niveles de dirección apropiados, para la definición e implementación eficaz de acciones correctivas.

Para los casos en que los resultados del servicio se entrega después de la realización del proceso, el “control de producto no conforme” pudiera basarse en el seguimiento y técnicas de inspección usuales. Se necesitará evidencia para ver la adecuación e implementación eficaz de esas técnicas.

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

 Imparcialidad del auditor de tercera parte y conflictos de intereses

 

en proceso de traducción

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 
Página Principal

  Auditando sistemas de gestión en base electrónica

1. Introducción

La creciente dependencia de las organizaciones en medios electrónicos para la operación y control de sus sistemas de gestión, requiere que los organismos de certificación y sus auditores vean nuevos enfoques para asegurar que las auditorías serán eficaces y eficientes. Ellos necesitarán redefinir el modo como los procesos y los documentos relacionados (incluyendo los registros) van a ser evaluados para verificar su conformidad con el criterio de auditoría.

Este documento ha sido desarrollado para dar unas directrices generales para la realización de auditorías a sistemas de gestión que estén totalmente basados en sistemas electrónicos o tengan un alto grado de su documentación en medios electrónicos. También proporciona directrices para los organismos de certificación y auditores para considerar como un complemento a las actividades de planificación y preparación normal que pudieran ocurrir antes de una auditoría.

Este documento se enfoca a aquellos requisitos de la norma ISO 9001 donde existe la posibilidad de utilizar documentos, registros, etc, electrónicos y también donde el acceso a esos documentos/registros pudiera estar controlado por sistemas electrónicos.

Este documento va dirigido a auditores de sistemas de gestión que tienen una amplia y variada experiencia con respecto a sistemas de gestión en base electrónica (SGBE) – por ej. sistemas de gestión que son dependientes de documentos electrónicos, datos y aplicaciones de software para su operación normal. Sin embargo, está escrito en un estilo que también permitirá ser utilizado por aquellos que solamente tienen una experiencia limitada en computadoras y SGBE.

Sin importar si es un organismo de certificación de tercera parte, un organismo de acreditación o una función de auditoría interna, quién realice la auditoría (“la organización auditora”) es responsable de asegurar la eficacia del proceso de auditoría para el SGBE. Este documento utiliza la guía proporcionada en la norma ISO 19011, y sugiere enfoques que pudieran ser utilizados por auditores de ISO 9001, y otras normas de sistemas de gestión, con la intención de verificar la conformidad con la norma referenciada. Los auditores y las organizaciones auditoras deben hacer los ajustes necesarios para asegurar un enfoque apropiado a como desarrollan los pasos del proceso de auditoría indicados en la norma ISO 19011.

Debe resaltarse que la destreza en auditar SGBE (Sistemas de gestión en base electrónica) no debe verse como una excusa para reducir la duración de la auditoría, sino como un medio de optimización de la eficacia y eficiencia de la auditoría.

No se pretende que este documento proporcione directrices para auditar los controles asociados con la seguridad de la información del SGBE. Aquellos interesados en otro tipo de controles asociados con la seguridad de la información se sugiere que se dirijan al documento ISO/IEC 17799 que es una norma para estos temas.

2. Iniciación y planificación de la auditoría

Durante la fase de iniciación de la auditoría (Auditoría fase 1) la organización auditora debe determinar la estructura de la organización a ser auditada, y el grado en que su sistema de gestión está basado electrónicamente. Una organización multisitio con un SGBE centralizado, o una organización “virtual”, requerirá diferentes planes de auditoría y métodos que una organización de un solo sitio y/o una organización física.

La organización auditora y el auditado deben acordar como los auditores accederán y utilizarán el SGBE.

Esto pudiera involucrar el considerar:

·  Permitir que los miembros del equipo auditor tengan oportunidad de familiarizarse con el SGBE del auditado (incluyendo la programación de suficiente tiempo dentro del plan de auditoría para esa orientación)

·  Políticas del auditado para el uso de la infraestructura de Tecnología de la información (TI).

·  Instrucciones para acceder, y las licencias de seguridad para acceder y los documentos y registros organizacionales pertinentes

·  Los seguros y procesos para asegurar que los auditores protejan la confidencialidad de los documentos y registros electrónicos durante y después de la auditoría.

La organización auditora debe asegurar que existe la competencia suficiente dentro de su equipo auditor seleccionado para realizar una evaluación eficaz del SGBE.

3. Revisión documental

Dependiendo de si el auditado tiene la habilidad para hacer que su documentación esté disponible a través de una aplicación basada en red o a través de transmisión por correo electrónico, la organización auditora pudiera conducir parte o toda la revisión documental de manera remota; ya sea en línea o por descarga de la documentación electrónica enviada por correo electrónico.

Dependiendo de los factores técnicos o de seguridad, pudiera no ser factible el conducir una revisión total del SGBE de la organización en línea o por la transmisión de documentos relevantes por correo electrónico, antes de llegar al sitio. En estos casos, sería necesario que las actividades de preparación de la auditoría que requieran la revisión de documentos electrónicos se realizaran en las instalaciones del auditado durante la fase 1 de auditoría.

4. Actividades de realización en sitio

El enfoque para los SGBE dependerá ampliamente de hasta donde la evidencia requerida para determinar la conformidad está en forma de registros electrónicos.

Durante las actividades de realización en el sitio, la ruta del auditor debe incluir típicamente la ubicación física del proceso que está auditando. Sin embargo, con un SGBE el tiempo requerido para confirmar la evidencia para determinar si se cumplen o no los requisitos, pudiera emplearse en una computadora o estación de trabajo que pudiera estar o no localizada cerca del proceso en cuestión.

Cuando las estaciones de trabajo computarizadas están en áreas remotas que no son accesibles para la ubicación física de operación del proceso, el tiempo real de auditoría en la ubicación física del proceso pudiera reducirse. Sin embargo, el tiempo total de evaluación pudiera no necesariamente reducirse dado que la revisión de la evidencia electrónica pudiera ocurrir antes y/o después de confirmar la existencia del proceso físico.

En los casos donde la estación de trabajo de la computadora es remoto, se debe dar una consideración especial al tiempo requerido de traslado hacia y desde la ubicación física del proceso.

Cuando el proceso es dependiente de la intervención humana, el auditor debe evaluar los métodos empleados para la interacción entre el proceso físico y el medio electrónico para asegurar la precisión de la información asociada.

5. Auditando el control de los documentos electrónicos.

Los documentos electrónicos que establecen políticas y procedimientos del sistema de gestión pueden estar en una gran variedad de formatos dependiendo de las aplicaciones de software que son utilizados por la organización para generar los documentos. Los archivos electrónicos pueden incluir formatos como texto, html, pdf, etc. Las hojas de cálculo y los formatos de bases de datos son también considerados “documentos” electrónicos y están sujetos a los elementos de control del sistema de gestión a auditar.

Dada la relativa facilidad con que los usuarios pueden ahora crear hojas de cálculo electrónicas y otros documentos electrónicos, los auditores deben asegurar que las políticas que gobiernan los controles que aplican a la documentación del sistema de gestión, en general también se apliquen a los documentos electrónicos a través de los procedimientos adecuados.

Las organizaciones necesitan emplear métodos adecuados y eficaces dentro del ambiente electrónico para asegurar la adecuada revisión, aprobación, publicación y distribución de la documentación de su sistema de gestión. Estos deben ser consistentes con los métodos para el desarrollo y modificación de documentos electrónicos.

En muchos casos las medidas de control de documentos pudieran también ser características estándar de la aplicación del software usados para su creación. Por lo tanto los auditores deben entender esos controles de aplicación específicos al grado de que estos sean utilizados como base para la conformidad a la norma de sistema de gestión aplicable.

Dado el incremento de capacidad para modificar, actualizar, reformar y de cierta forma mejorar los documentos dentro de un sistema de gestión electrónico, los auditores deben poner particular atención en los elementos de control como la identificación de documentos y el nivel de revisión de los documentos.

Como el medio electrónico facilita el incremento de modificaciones a documentos, los auditores deben verificar que los controles empleados para la gestión de documentos obsoletos sean considerados dentro de las políticas y procedimientos de control de documentos de la organización.

Los auditores deben verificar que la documentación del SGBE existe para proporcionar orientación a los usuarios respecto a los aspectos funcionales y de control asociados a los documentos electrónicos. Adicionalmente, los requisitos en el “punto de uso” asociados con las normas de sistema de gestión aplicables, típicamente se cubrirán en parte por las políticas de acceso a documentos de la organización. Los auditores deben entender las políticas y procedimientos de la organización que tratan sobre los privilegios de los usuarios ya que estos son factores importantes para comprender apropiadamente los procesos de la organización.

La comunicación electrónica externa con proveedores, clientes y otras partes interesadas pudieran involucrar el intercambio de documentos. Dado que estos documentos externos pudieran contener parámetros clave que especifican el funcionamiento de los procesos de la organización, los auditores deben verificar el grado en que estos documentos son formalmente introducidos y controlados dentro del sistema de gestión en base electrónica.

6. Auditando el control de los registros electrónicos

Los registros electrónicos consisten en los datos de los resultados de los procesos combinados con los formatos electrónicos que contienen los datos.

Estos formatos electrónicos van desde una simple hoja electrónica a las aplicaciones de base de datos más complejas.

Los auditores deben estar concientes de que los elementos de control que establecen las organizaciones para las formas electrónicas no son necesariamente los mismos que los que aplican a los registros electrónicos. Por ejemplo, con respecto a la “Identificación”, en el caso de formas electrónicas, el término se refiere a la nomenclatura del formato electrónico mismo. Cuando la “identificación” es considerada en el caso de un registro electrónico, esta se refiere al uso único del formato electrónico para un grupo dado de datos.

Los auditores deben revisar los métodos empleados por la organización para la captura de datos, con la finalidad de asegurar que las actividades de introducción de datos proporciona la suficiente confianza en su exactitud.

Cuando se evalúa los controles de la organización con respecto al almacenaje de registros, los auditores deben verificar si las organizaciones tienen un entendimiento de su capacidad de almacenamiento contra:

            • El rango de generación de registros

            • Las políticas de retención de registros y tiempos asociados

            • El rango de disposición de registros,

ya que estos factores pudieran impactar el funcionamiento apropiado del SGBE.

Dado que la base de conocimientos y el desempeño de la organización pudiera estar casi totalmente en registros electrónicos, los auditores deben revisar los enfoques de la organización para seguridad de la información contenida en medios electrónicos. Para más información sobre Seguridad de la Información ver la norma ISO/IEC 17799.

7. Recursos Organizacionales

Conforme las organizaciones emigran al uso de SGBE, el papel de las funciones de TI (tecnología de la información) se tornan vitales. Los auditores deben verificar si las organización ha dedicado los recursos de TI apropiados (incluyendo la infraestructura) para asegurar que el SGBE opera continua y eficazmente.

Los auditores deben también verificar si la organización tiene definidos apropiadamente el nivel de interacción, soporte e involucramiento del personal de TI en aspectos asociados con el establecimiento, documentación, implementación y mantenimiento del SGBE.

Como parte de la verificación de la asignación de los recursos apropiados, los auditores deben evaluar como la organización cubre la competencia requerida del personal para operar el equipo (hardware) y el software para correr el SGBE.

Durante el establecimiento de un SGBE, es una práctica común que sistemas paralelos (manuales y electrónicos) estén funcionando por un período de tiempo que permita a los usuarios su adaptación. En estos casos el auditor debe verificar los enfoques de la organización para asegurar que el SGBE ha sido realmente asimilado y utilizado por el personal de la organización.

La complejidad de la infraestructura de TI de las organizaciones variará, dependiendo de la naturaleza y complejidad de los negocios. Los auditores deben verificar los procedimientos y políticas de mantenimiento del sistema de la organización para su plataforma de TI. También, los auditores deben verificar como la organización cubre los incidentes de paros del sistema, ya que esto impactará el funcionamiento normal del SGBE. Los auditores deben evaluar si la organización tiene o no sistemas formales de respaldo, y si éstos se revisan y prueban periódicamente en su adecuación o no.

En relación al software, los auditores deben verificar los controles establecidos para el software interno, el software externo, las licencias de software y las actualizaciones del software. Ya que el software puede ser considerado un documento electrónico dinámico, las directrices dadas con anterioridad para auditar los documentos pudieran también ser aplicables a éste.

Dependiendo de que tanto la organización utilice software para su SGBE, los auditores deben revisar la funcionalidad de las aplicaciones y su relación con los elementos del sistema de gestión definidos en el criterio aplicable.

Como los factores ambientales pudieran impactar en el funcionamiento de una plataforma de TI, las organizaciones deben tener medidas para protegerse contra esos factores. Esto puede variar desde la necesidad de adecuar las instalaciones hasta la necesidad de tener fuentes ininterrumpibles de energía (UPS). Los auditores deben evaluar si los controles de la organización toman en cuenta aspectos como el mantenimiento de instalaciones, temperatura, humedad, etc, en la medida que estos amenacen la operación del SGBE.

8. Comunicación electrónica interna y externa

Dado que las opciones disponibles y la facilidad de uso en la comunicación electrónica aumenta, las organizaciones deben asegurar que el sistema de gestión documentado cubre estos medios, según sea necesario, para asegurar consistencia en su utilización para satisfacer los requisitos de su SGBE y la norma de sistema de gestión aplicable.

Cuando se utilizan intranets, e-mails y mensajes instantáneos para satisfacer los requisitos del SGBE, los auditores deben verificar las políticas y procedimientos que cubran las circunstancias bajo las cuales estos medios pudieran se empleados. Adicionalmente, si los resultados de la comunicación electrónica interna serán utilizados para satisfacer los criterios de auditoría, los auditores deben verificar que las políticas y procedimientos para el control de registros se hayan aplicado.

Cuando la organización dependa de su infraestructura de TI para las comunicaciones electrónicas con sus clientes (por ej. para e-comercio), proveedores (e-provisión), sitios remotos y otras partes interesadas, el auditor debe verificar que la metodología, políticas y procedimientos para esas comunicaciones y transacciones asociadas están formalmente cubiertas dentro del SGBE.

9. Sistemas de gestión multi-sitios

Las organizaciones que operan a través de múltiples sitios (o desde una central a ubicaciones satélites) normalmente mantienen comunicaciones y comparten políticas, procedimientos y datos de procesos entre sus varias ubicaciones via electrónica, como el Internet, intranets, e-mail y Messenger.

Cuando la plataforma TI y su software de aplicación asociado se utilizan para compartir información que es pertinente al criterio de auditoría, los auditores deben entender los diferentes medios de red que se emplean en la organización en la medida que sea necesario para juzgar si el SGBE cumple con el criterio de auditoría.

Los auditores deben verificar si los controles sobre un sistema de gestión multi sitio son cubiertos y establecidos apropiadamente dentro de las políticas y procedimientos de la organización.

10. Competencia del auditor

La confiabilidad del proceso de auditoría para un SGBE dependerá de la habilidad de los auditores para entender las tendencias en la Tecnología de la Información ya que las organizaciones dependen cada vez más del software para dar seguimiento y controlar sus operaciones.

Las organizaciones auditoras deben tomar las medidas necesarias, incluyendo la provisión de entrenamiento, para cubrir las necesidades generales e individuales de su base de auditores con respecto a:

·  Tendencias generales en Tecnología de la Información que pudiera impactar la operación de los sistemas de gestión

·  Consideraciones especiales de auditoría para cada asignación de auditoría tomada.

Como las innovaciones en el sector TI son relativamente rápidas comparadas con los cambios en los criterios de auditoría, los auditores y las organizaciones auditoras se ven retadas con la necesidad de tener un entendimiento práctico de las tendencias asociadas y como ellas pudieran ser aplicables y utilizadas dentro de un SGBE.

A la luz de las innovaciones que influencian el funcionamiento de un SGBE, las organizaciones auditoras deben determinar si la experiencia necesaria para ser eficaces en una auditoría dada, se encuentra en el equipo auditor mismo o cuándo se requerirá la asistencia de un experto técnico.

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

 Auditando la gestión de los recursos

Los auditores deberían verificar que los recursos necesarios para implementar, mantener y mejorar el sistema de gestión de la calidad se gestionan adecuadamente. Esto implica que la organización debe identificar, planificar, utilizar, poner a disposición, monitorear y cambiar los recursos adecuados según sea necesario.

Se recomienda que la gestión de los recursos no se audite de forma aislada. Independientemente de la forma en que la organización esté estructurada e identifique sus procesos, los auditores deberían poder verificar la gestión adecuada y eficaz de los recursos para lograr los resultados planificados. Es importante que los auditores verifiquen si la organización ha evaluado el desempeño anterior y actual (por ejemplo, usando el análisis costo-beneficio, la evaluación de riesgo, etc.) al decidir qué recursos se deben asignar.

La gestión de los recursos se puede evaluar mediante entrevistas con la alta dirección y otro personal responsable para verificar que se han instaurado los procesos adecuados. Sin embargo, es necesario apoyarse con evidencia objetiva recolectada durante toda la auditoría.

La evidencia se puede obtener en diferentes etapas de la auditoria - revisando entradas, desempeño de procesos y resultados. Esto se ha de llevar a cabo al auditar todos los procesos y la documentación de procesos y sistemas relacionados tales como:

·      compromiso y responsabilidades de la dirección;

·      proceso de revisión por la dirección;

·      procesos de realización del producto, incluyendo el control de productos no conformes, acciones correctivas y preventivas y mejora continua.

Los auditores deberían evitar hacer juicios subjetivos sobre la adecuación de los recursos asignados por la organización y limitar su papel a la evaluación de la eficacia del proceso de gestión de los recursos.

Los auditores deberían verificar que se suministran y mantienen los recursos humanos, la infraestructura (energía, agua, mantenimiento de instalaciones y equipos, comunicaciones, tecnología de la información, etc.) y el ambiente de trabajo (temperatura, iluminación, vibración, ruido, etc.) de forma coherente con la política y los objetivos de calidad y que contribuyen al cumplimiento de los requisitos del producto.

Si se observa que la organización no ha tenido en cuenta la gestión eficaz de los recursos, lo cual puede ocasionar que un producto no satisfaga los requisitos relacionados, esto se debería tratar como una no conformidad, cuya magnitud debería estar relacionada con el riesgo asociado.

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 Página Principal

 Auditando las comunicaciones con el cliente

1. Introducción

Un proceso eficaz de comunicación con el cliente contribuye al éxito del sistema de gestión de la calidad de cualquier organización y principalmente al éxito de la organización en sí. Por el contrario, muchos de los problemas que experimenta una organización con sus clientes tienen su origen en una comunicación deficiente.

2. Requisitos y Guía

2.1 ISO 9001:2000, cláusula 7.2.3 establece lo siguiente:

“Comunicación con el cliente

La organización debe determinar e implementar las disposiciones eficaces para comunicarse con el cliente respecto a:

a) información del producto,

b) manejo de solicitudes de información, contratos o pedidos, incluyendo enmiendas, y

c) retroalimentación del cliente, incluyendo los reclamos del cliente”.

2.2 Se ha publicado un documento del Grupo de Prácticas de Auditoría sobre la auditoría a los procesos de retroalimentación del cliente y reclamos de los clientes.

2.3 Otros requisitos de ISO 9001:2000 con relación a la comunicación con el cliente:

Existen otros requisitos en ISO 9001:2000 en donde se hace referencia directa, o indirecta, a la comunicación con el cliente.

·      La alta dirección debe asegurarse de que los requisitos del cliente están determinados y se cumplen, con el objeto de mejorar la satisfacción del cliente (cláusula 5.2)

·      La revisión de la organización de los requisitos relacionados con el producto realizada antes de comprometerse a suministrar un producto al cliente (por ejemplo, presentación de ofertas, aceptación de contratos o pedidos, aceptación de cambios en los contratos o los pedidos, etc.); (cláusula 7.2.2).

·      Cuando el cliente no proporciona ninguna declaración documentada del requisito, los requisitos del cliente deben ser confirmados por la organización antes de la aceptación (cláusula 7.2.2); es necesario que la organización instaure un sistema para obtener dichos requisitos.

·      Autorización del uso de producto no conforme mediante liberación o aceptación bajo concesión por parte de una autoridad pertinente y, cuando se aplique, por parte del cliente (cláusula 8.3b)).

2.4 Guía de ISO 9004:2000 (cláusula 7.2):

Procesos relacionados con las partes interesadas

La dirección debería asegurarse de que la organización ha definido procesos mutuamente aceptables para comunicarse eficaz y eficientemente con sus clientes y otras partes interesadas. La organización debería implementar y mantener tales procesos para garantizar la comprensión adecuada de las necesidades y las expectativas de sus partes interesadas, y para que se traduzcan en requisitos para la organización…”


3. Verificación de la eficacia de las comunicaciones con el cliente

La verificación de la eficacia de la comunicación con el cliente es, por lo tanto, un componente primordial para lograr la satisfacción del cliente. Aunque no existe un requisito específico en ISO 9001:2000 para un proceso documentado, dependiendo del tamaño, la complejidad y la cultura de la organización, puede ser necesario tener uno para garantizar la implementación eficaz del proceso de comunicación con el cliente.

ISO 9000 define el término “cliente” como el receptor de un producto. Adicionalmente da ejemplos de clientes, incluyendo al “usuario final”.

Muchas organizaciones venden sus productos / servicios a través de distribuidores y minoristas y es probable que no reciban pedidos directamente de los usuarios finales. Es importante para el auditor verificar la manera en que la organización se comunica con los usuarios finales sobre la calidad de su producto/servicio y también el mecanismo para obtener retroalimentación (además de los reclamos) de los usuarios finales. Se debería reconocer que en ocasiones las necesidades de los distribuidores y minoristas pueden ser diferentes de aquellas de los usuarios finales.

4. El enfoque del auditor

4.1 La comunicación con el cliente se divide en tres categorías generales:

·  Comunicación general de la organización con clientes existentes o potenciales - como por ejemplo anuncios publicitarios o información de mercadeo.

·  Información específica relacionada con solicitudes de información, requisitos o pedidos del cliente.

·  Comunicación como respuesta a la retroalimentación y los reclamos del cliente.

4.2 El auditor puede observar algunos o todos los siguientes medios de comunicación general de la organización con el cliente:

Información del producto, que incluye:

·  material publicitario,

·  sitios Web,

·  catálogos del producto.

Cuando la organización recibe pedidos de los distribuidores y no del usuario final, el auditor debería establecer que la información del producto disponible para los usuarios finales (impresos sueltos, folletos, sitios Web, etc.) describe exacta y adecuadamente al producto/servicio. También el auditor debería tratar de establecer la forma como se identifican las necesidades del cliente y cómo se obtienen las especificaciones del producto.

4.3 El auditor verificaría que la información del producto para confirmar que está disponible con facilidad para los clientes o clientes potenciales y que suministra información actualizada y exacta. El auditor también podría preguntar, por ejemplo, qué tan a menudo se revisa el material publicitario, los sitios Web y los catálogos del producto para que reflejen las ofertas actuales de producto de la organización y qué medidas se toman si un producto particular se modifica, descontinúa o ya no está disponible.

4.4 El auditor puede observar algunos o todos de los siguientes medios de comunicación específica de la organización con el cliente:

Manejo de solicitudes de información, contratos o pedidos, incluyendo las enmiendas

·  cotizaciones

·  formularios de pedido

·  confirmación de pedido

·  enmienda del pedido

·  documentación de entrega

·  facturas

·  notas crédito

·  correspondencia general y por correo electrónico

·  informes de visitas o notas de/para el cliente

Proceso de gestión de las reclamaciones y la retroalimentación del cliente

·  Cartas de respuesta a las reclamaciones

·  Reconocimientos

4.5 Existen también casos adicionales en que el auditor experimentará la comunicación de la organización con el cliente:

·  Durante el proceso de pedido cuando el cliente no suministra declaración documentada de los requisitos, es necesario que la organización tenga un sistema para obtener o confirmar estos requisitos del cliente antes de aceptar el pedido.

·  Durante el proceso de diseño/desarrollo puede haber considerable comunicación entre la organización y el cliente.

·  Durante el proceso de autorización del uso de producto no conforme mediante liberación o aceptación según concesión de una autoridad pertinente y, cuando se aplique, del cliente.

4.6 El auditor utilizaría métodos normales de rastreo para verificar la conformidad con los requisitos para la comunicación con el cliente indicados en ISO 9001 y si la organización se comunica eficazmente con el cliente en la ejecución de la solicitud de información, el contrato o el pedido.

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 

 

Página Principal

 Auditando los procesos de Diseño y Desarrollo

 

en proceso de traducción

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 


Página Principal 

 Código de ética y conducta del auditor

 

en proceso de traducción

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

 


Página Principal

 Guía sobre los aspectos culturales de la auditoria

 

en proceso de traducción

 

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)