“Cómo
agregar valor en el proceso de auditoría”
¿Que es
una auditoría que “agrega valor”?
Escuchamos mucho acerca de la
importancia de “agregar valor” durante una auditoría de sistemas de gestión de
la calidad, pero ¿qué significa esto realmente?, ¿es posible agregar valor sin
comprometer la integridad de la auditoría al proporcionar una consultoría? En
principio, todas las auditorias deben agregar valor, pero no siempre es este el
caso.
Este documento trata de proporcionar
una guía sobre que constituye una “auditoría que agrega valor”, y de varias
situaciones que normalmente se encuentran en el contexto de auditorías de
segunda y tercera parte.
Sistemas de gestión de la calidad
que “agregan valor”
Existen varias definiciones de
“valor” en los diccionarios, pero todas se enfocan en el concepto de algo que
es útil. “Agregar valor” por lo tanto significa hacer algo
más útil. Algunas
organizaciones han utilizado la serie de normas ISO 9000 para desarrollar
sistemas de gestión de la calidad que están integrados en su manera de hacer
negocios, y son útiles en ayudarlos a lograr sus objetivos
estratégicos de negocio - en otras
palabras éstos agregan valor a la organización. Por el contrario
otras organizaciones simplemente han creado una serie de procedimientos y
registros burocráticos que no reflejan la realidad de la manera como la
organización trabaja realmente, y simplemente agregan costo, sin ser útiles. En
otras palabras, éstos no “agregan valor”.
Es cuestión de enfoque:
Un enfoque que no agrega valor
pregunta: “¿Qué procedimientos tenemos que escribir para obtener la
certificación ISO 9000?”
Un enfoque que agrega valor
pregunta: “¿Cómo podemos usar nuestro sistema de gestión de la calidad basado
en ISO 9001:2000 para que nos ayude a mejorar nuestro negocio?”
Lo que nos lleva a la pregunta sobre
“auditorías que agregan valor”
¿Cómo podemos asegurar que la
auditoría es útil para la organización en el mantenimiento y mejora de nuestro
SGC?.
Debemos
reconocer, sin embargo, que pudieran existir otras perspectivas que necesitan
tomarse en consideración. Una “auditoría de tercera parte que agrega valor” nos
debe ayudar a:
§
A la organización
certificada
−
proporcionando
información a la alta dirección sobre la habilidad de la organización para
lograr los objetivos estratégicos.
−
identificando problemas
que, si se resuelven, mejorarán el desempeño de la organización.
−
identificando
oportunidades de mejora y áreas posibles de riesgo.
§
Los clientes de la
organización aumentando la habilidad de la organización para proporcionar
productos conformes.
§
Al cuerpo de
certificación mejorando la credibilidad del proceso de certificación de 3.
parte.
El enfoque
de “agregar valor” debiera ser una función del nivel de madurez de la cultura
de calidad de la organización, y de que tanto su SGC excede los requisitos de
la norma ISO 9001:2000. La cultura de calidad incluye el grado de conciencia,
compromiso y actitud colectiva así como el desempeño de la organización con
respecto a la calidad. Si nos referimos a la figura 1, podemos conceptualmente
separar a las organizaciones en cuatro zonas diferentes como sigue:
Zona 1:
(Baja madurez de la “cultura de calidad”; no conforme con la norma ISO
9001:2000)
Zona 2:
(“Cultura de calidad “Madura”; no conforme con la norma ISO 9001:2000)
Zona 3:
(Baja madurez de la “cultura de calidad”; conforme con la norma ISO 9001:2000)
Zona 4:
(“Cultura de calidad “Madura”; conforme con la norma ISO 9001:2000)
Zona
1: (Baja
madurez de la “cultura de calidad”; no conforme con la norma ISO 9001:2000)
Para una organización que tiene muy
poco o nada de “cultura de calidad” y no está conforme con la norma ISO
9001:2000, la expectativa de una “auditoría que agrega valor” pudiera ser que
la organización quisiera recibir lineamiento de “cómo”
implementar el sistema de gestión de la calidad y/o resolver cualquier no
conformidad levantada. Aquí, el auditor debe tener mucho cuidado, porque una
auditoría de tercera parte ese lineamiento pudiera generar seguramente un
conflicto de intereses, y contravenir la Guía ISO/IEC 62 Requisitos para los cuerpos de
acreditación y certificación. Lo que el auditor puede hacer, sin
embargo, es asegurarse de que donde sea que se encuentren no conformidades, el
auditado tenga un claro entendimiento de qué es lo que la norma
requiere, y por qué la no conformidad se levantará. Si la
organización puede reconocer que resolviendo esas no conformidades la llevarán
a mejorar su desempeño, entonces es más seguro creer en y comprometerse con el
proceso de certificación. Es importante, sin embargo, que todas las no conformidades
identificadas sean reportadas, de modo que la organización claramente entienda
que necesita hacer para cumplir los requisitos de la norma ISO 9001:2000.
Mientras algunas organizaciones
pudieran no quedar totalmente satisfechas con un resultado de auditoría que no
resulte en una certificación, los clientes de la organización (quienes reciben
el producto de la organización) seguramente considerarán esto como una
auditoría que “agrega valor” desde su perspectiva. Desde la perspectiva del
cuerpo de certificación, fallar en reportar todas las no conformidades
detectadas y/o proporcionar directrices en cómo implementar el sistema de
gestión de calidad, no agrega valor a la credibilidad de la profesión del
auditor o del proceso de certificación.
Debemos reconocer que la discusión
anterior se relaciona solamente con auditorías de tercera parte
(certificación). No hay razón por la que una auditoría de segunda parte
(evaluación de proveedores) no deba agregar valor proporcionando directrices a la organización
de cómo implementar su sistema de gestión de la calidad. Es más, bajo estas
circunstancias, esas directrices (si están bien fundamentadas), sin duda serán
útiles para ambas organizaciones y sus clientes.
Zona
2: (“Cultura
de calidad Madura”; no conforme con la norma ISO 9001:2000)
Para una organización que tiene una
“cultura de calidad” madura, pero poca conciencia de y/o no conformidad con los
requisitos de la norma ISO 9001:2000, la expectativa básica para una “auditoría
que agregue valor” probablemente será similar a la de la Zona 1. Además, sin embargo,
la organización seguramente tendrá mucha más expectativa hacia el auditor. Para poder agregar valor,
el auditor debe entender el modo en que las prácticas existentes de la
organización cumplen con los requisitos de la norma ISO 9001:2000. En otras
palabras, entender los procesos de la organización en el contexto de la norma
ISO 9001:2000, y no, por ejemplo, requerir que la organización redefina sus
procesos y documentación para alinearse a la estructura de las cláusulas de la
norma.
La
organización debería, por ejemplo, basar su sistema de gestión en modelos de
excelencia de negocio, o herramientas de gestión total de la calidad como
Hoshin Kanri (Gestión por política), Despliegue de la función de calidad,
Análisis de modo de falla y efecto, metodología de seis sigma, programas de 5S,
Resolución de problemas sistemático, Círculos de calidad y otros. El auditor
que “agrega valor” debe, como mínimo, estar conciente de las metodologías de la
organización, y ser capaz de ver hasta donde son eficaces en el cumplimiento de
los requisitos de la norma ISO 9001:2000 para esa organización en particular.
También es importante que el auditor
no se “intimide” por el aparente alto grado de sofisticación de la
organización. Mientras que la organización quizá este usando esas herramientas
como parte de una filosofía general de calidad total, aún puede haber huecos en
el modo en que las herramientas están siendo empleadas. Por lo tanto, el
auditor debe tener la habilidad para identificar cualquier problema sistemático
y levantar las no conformidades apropiadas. En estas situaciones, el auditor
pudiera ser acusado de ser pedante o aún burocrático, por eso es importante
poder demostrar la relevancia de las no conformidades que se están levantando.
Zona 3: (Baja madurez de la “cultura de
calidad”; conforme con la norma ISO
9001:2000)
Una organización que ha sido
certificada en una de las normas de la serie ISO 9000 por un período
significativo de tiempo puede ser capaz de demostrar un alto nivel de
conformidad con la norma ISO 9001:2000, pero al mismo tiempo no tener realmente
implementada una “cultura de calidad” a través de la organización. Típicamente,
el SGC pudiera haber sido implementado bajo presión de los clientes, y
construido alrededor de los requisitos de la norma en vez de que sobre las
necesidades y expectativas propias de la organización. Como resultado, el SGC
puede ser operado en paralelo con el modo de que la organización realiza sus
operaciones de rutina, generando redundancias e ineficiencias, pero no
necesariamente no conformidades.
El primer
objetivo de un “auditor que agrega valor” en estos casos debe ser el actuar
como un catalizador de la organización para reconstruir su sistema de gestión
de la calidad basado en ISO 9000, e integrar el sistema dentro de sus
operaciones diarias. Aunque el auditor de tercera parte no puede dar
recomendaciones de cómo cumplir con los requisitos de la norma ISO 9001:2000,
es aceptable y además buena práctica el motivar y estimular (no requerir) a la
organización a ir más allá de los requisitos de la norma. Las preguntas que
haga el auditor (y el modo como las pregunta) pueden dar pistas valiosas para
la organización de cómo el SGC puede hacerse más eficiente y útil. La
identificación por parte del auditor de “oportunidades de mejora” debe incluir
los modos en que la eficacia del SGC puede mejorarse, pero también pueden ver
oportunidades de mejora en eficiencia.
Zona 4: (“cultura de calidad Madura”; conforme con la norma ISO 9001:2000)
Para una
organización que tiene una cultura de calidad madura y ha sido certificada en
una de las normas de la serie ISO 9000 por un período significativo de tiempo,
la expectativa de una “auditoría que agregue valor” será la más retadora para
un auditor. Una queja común de este tipo de organización es que las “visitas
rutinarias de vigilancia” de los auditores pueden ser superfluas, y agregan muy
poco valor desde el punto de vista de la organización. En estos casos, la alta
dirección se convierte en un cliente importante para el proceso de
certificación. Por tanto es importante para el auditor el tener un claro
entendimiento de los objetivos de negocio estratégicos de la organización, y de
ser capaz de poner la auditoría del SGC en ese contexto. El auditor necesita
dedicar tiempo para discutir los detalles con la alta dirección para definir
sus expectativas para el SGC. En muchos casos las no conformidades se pudieran
relacionar a que la organización no haya implementado las políticas y objetivos
de la alta dirección, aún y cuando los requisitos mínimos de la norma ISO
9001:2000 se hayan cubierto.
Algunos consejos para auditar
agregando valor.
1) Planificación de la auditoría:
a. Entender las
expectativas y cultura corporativa del auditado
b. ¿Alguna
preocupación a ser cubierta (resultado de auditorías previas)?
c. Análisis de
riesgos del sector industrial específico de la organización.
d. Pre-evaluación de
requisitos reglamentarios
e. Selección
apropiada del equipo auditor para lograr los objetivos de la auditoría
f. Asignación del
tiempo adecuada
2) Técnica de auditoría:
a.
Enfocarse más a los procesos, y menos en los procedimientos. Algunos procedimientos
documentados, instrucciones de trabajo, listas de verificación, etc. pudieran
ser necesarios para la planeación y control de los procesos de la organización,
pero lo fundamental debe ser el proceso.
b.
Enfocarse más en los resultados, y menos en los registros. De la misma manera, algunos
registros pudieran ser necesarios para que la organización proporcione
evidencia objetiva de que los procesos son eficaces (generando los resultados
planificados) pero el auditor que agrega valor debe estar conciente de y dar
crédito a otras formas de evidencia.
c. Recuerde los 8 Principios de Gestión de la Calidad
d.
Use el enfoque de “Planear – Hacer – Comprobar – Ajustar” para evaluar la
eficacia de los procesos de la organización.
i. ¿El proceso ha
sido planeado?
ii. ¿Se ha realizado de
acuerdo a lo planeado?
iii. ¿Se han logrado los resultados planificados?
iv. ¿Las oportunidades
de mejora han sido identificadas e implementadas?
- Corrigiendo no conformidades
- Identificando las causas raíz de los problemas e
implementando acciones correctivas
- Innovando
e. Adopte un enfoque “holístico” para la
recolección de evidencias durante la auditoría, en lugar de enfocarse en las
cláusulas individuales de la norma ISO 9001:2000.
3) Análisis y decisión
a. Ponga los hallazgos en perspectiva
(Evaluación de riesgo / “sentido común”).
b. Relacione los hallazgos al efecto sobre la
habilidad de la organización para proporcionar productos conformes (Vea la
norma ISO 9001:2000 cláusula 1.1).
4) Reporte y seguimiento
a. Uso sensitivo de los reportes de no
conformidad / observaciones / oportunidades de mejora
i. Pudiera requerirse un enfoque diferente dependiendo
de la madurez de la organización (Zonas 1, 2, 3 y 4), y de la actitud del
auditado hacia el proceso de auditoría
- Proactivo
- Reactivo
ii.
Asegurese de tomar en cuenta cualquier aspecto cultural
iii. ¿La solución propuesta por la
organización sera útil?
b. Los
reportes deben ser objetivos y enfocados a la “audiencia” correcta (La alta
dirección probablemente tendrá expectativas que son diferentes a aquellas de
las que tenga el representante de la dirección)
Traducción libre de NC.
No oficial -Documentos oficiales disponibles en:
www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2
(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE
AUDITORIA)
Página
Principal
AUDITANDO
LA COMPETENCIA DEL PERSONAL
Y
LA
EFICACIA DE LAS ACCIONES DE CAPACITACIÓN
La siguiente información se proporciona a los auditores que
realicen auditorias de certificación para guiarlos en el entendimiento de los requisitos
de competencia y eficacia del entrenamiento de la norma ISO 9001:2001.
Estos requisitos son usualmente auditados como parte del proceso
de realización de un producto y no de manera aislada. Sin embargo, se reconoce
que algunas organizaciones tendrán procesos de recursos humanos por separado
donde mucha de la evidencia necesaria se encontrará.
Es importante identificar las actividades típicas asociadas con la
competencia del personal y la eficacia de las acciones tomadas para satisfacer
las necesidades de competencia, para dar una guía a los auditores sobre el tipo
de evidencia que deben buscar y proporcionar ejemplos cuando sea apropiado.
Para
satisfacer los requisitos de la norma ISO 9001:2000 sobre los aspectos antes
mencionados, una organización necesitará hacer varias cosas:
§
Identificar que competencias son
requeridas por el personal que desarrolla el trabajo que pudiera afectar la
calidad
§
Identificar que personal que ya
realiza el trabajo tiene las competencias requeridas
§
Decidir que competencias adicionales
son requeridas
§
Decidir como esas competencias
adicionales se van a obtener – entrenando al personal (externamente o
internamente), entrenamiento teórico o práctico, contratando nuevo personal
competente, asignación del personal competente existente a diferentes tareas
§
Entrenar, contratar o reasignar
personal
§
Revisar la eficacia de las acciones
tomadas para satisfacer las necesidades de competencia
§
Revisar periódicamente la
competencia del personal
A través del proceso, se requiere que la organización mantenga los
registros apropiados de educación, entrenamiento, habilidades y experiencia.
Sin embargo, la norma ISO 9001:2000 no especifica como el proceso será
establecido o la naturaleza exacta de los registros a mantener.
Al auditar el cumplimiento de una organización con los requisitos
de competencia y evaluación del entrenamiento, un auditor típicamente debería
buscar evidencia de que los siguientes tópicos se han cumplido:
1 –
Una organización
necesita identificar que competencias son requeridas por el personal que
realiza el trabajo que afecta la calidad.
Directriz –
El objetivo del auditor
debe ser determinar si existe un enfoque sistemático establecido para
identificar esas competencias y verificar que el enfoque es eficaz. El
resultado del proceso pudiera ser una lista, un registro, una base de datos, un
plan de recursos humanos, un plan de desarrollo de competencias, un contrato,
un plan de proyecto o producto, etc.
Inicialmente se pudieran tener entrevistas con la alta dirección
para asegurar que ellos entienden la importancia de la identificación de las
competencias requeridas. Estas pudieran también ser una fuente potencial de
información para nuevas actividades o cambios en procesos que pudieran llevar a
competencias diferentes.
Una revisión de las competencias pudiera también ser necesaria
cuando se esta considerando un nuevo contrato o cotización y una evidencia de
esto pudiera encontrarse en los registros relacionados. Los requisitos de
competencias pudieran estar incluidos en documentos de contrato donde las
actividades de los subcontratistas pueden tener un impacto en los procesos y/o
características de calidad del producto.
Los auditores necesitan determinar si la organización ha
identificado competencias nuevas o necesidades de cambios en ellas durante las
auditorias de seguimiento.
2
– ¿Se asignan personas
competentes a aquellas actividades necesarias para controlar las
características de calidad de sus procesos y productos?
Directriz –
Verifique que alguna forma de evaluación de proceso está
establecida para asegurar que las competencias son apropiadas a las actividades
de la organización y de que el personal seleccionado como competente haya
demostrado esas competencias. También, el proceso debe asegurar que ninguna
deficiencia quede sin una acción y la eficacia del personal sea medida.
Verifique que las actividades que afectan la calidad sean desarrolladas por
personas seleccionadas como competentes. Se debe obtener evidencia durante la
auditoría con un énfasis en aquellos procesos, actividades, tareas y productos
donde la intervención humana pudiera tener un impacto mayor. El auditor pudiera
revisar descripciones de puesto, probar o inspeccionar actividades, dar
seguimiento a las actividades, ver los registros de las revisiones por la
dirección, las definiciones de responsabilidades y autoridades, los registros
de las no conformidades, los reportes de auditorías, las quejas de los
clientes, los registros de validación de procesos, etc.
3- La organización necesita
evaluar la eficacia de las acciones tomadas para satisfacer las necesidades de
competencia.
Directriz –
La organización pudiera utilizar varias técnicas incluyendo
“actuación”, revisión de colegas, observación, revisiones de los registros de entrenamiento
de los empleados, entrevistas (ver ISO 19011 Tabla 2 para más ejemplos). El
método de evaluación particular más apropiado dependerá de muchos factores. Por
ejemplo, solo verificar que un curso de entrenamiento se terminó exitosamente,
se pudieran revisar los registros de entrenamiento pero esto solamente no
proporciona evidencia de que el entrenado sea competente. Sin embargo este
mismo método pudiera no ser aceptable para evaluar si un auditor se desempeña
satisfactoriamente o no durante una auditoría y esto pudiera requerir de
observación, revisión por colegas, entrevistas, etc. La organización pudiera
también demostrar esto a través de una combinación de educación, entrenamiento
y/o experiencia de trabajo.
4 –
Mantenimiento de
competencia.
Directriz –
El auditor necesita
verificar que está implementada alguna forma eficaz de dar seguimiento al
proceso y se actúa así. Algunas maneras de hacer esto incluye un proceso
continuo de desarrollo profesional como el descrito en la norma ISO 19011, evaluaciones
regulares del personal y su desempeño y la inspección, prueba o auditoría
regular de producto de los que los individuos o grupos son responsables. Los
cambios frecuentes en requisitos de competencia pudiera indicar que una
organización es proactiva en mantener los niveles de desempeño de su personal.
Traducción libre de NC. No oficial
-Documentos oficiales disponibles en:
www.iaf.nu y
www.bsi.org.uk/iso-tc176-sc2
(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE
AUDITORIA)
Página
Principal
Auditando los procesos de
retroalimentación del cliente
1) Introducción
El proceso
de retroalimentación del cliente es una parte crítica del sistema de gestión de
la calidad, y por lo tanto debe recibir una atención adecuada durante una
auditoría de tercera parte. La retroalimentación del cliente es uno de los
indicadores primarios de desempeño que puede ser utilizado para juzgar la
eficacia general del SGC. Por lo tanto, es importante para el auditor verificar
que:
a) Las
entradas a este proceso incluya datos relevantes, representativos y confiables.
b) Estos
datos se analizan eficazmente, y
c) La
salida de este proceso proporciona información útil para la revisión por la
dirección y otros procesos del SGC, para aumentar la satisfacción del cliente y
llevar hacia la mejora continua.
2) ¿Cuáles son los requisitos?
2.1) El objetivo
general de la norma ISO 9001:2000, como lo establece la cláusula 1.1 es
especificar los requisitos para un sistema de gestión de la calidad para cuando
una organización:
(a)
necesita demostrar su capacidad para proporcionar de forma coherente productos
que satisfagan los requisitos del cliente y los reglamentarios aplicables,
y
(b)
aspira a aumentar la satisfacción del cliente a través de la aplicación
eficaz del sistema, incluidos los procesos para la mejora continua del sistema
y el aseguramiento de la conformidad con los requisitos del cliente y los
reglamentarios aplicables.
2.2) La cláusula 7.2.3 requiere que la organización “determinar
e implementar disposiciones eficaces para la comunicación con los clientes,relativas
a ………… la retroalimentación del cliente, incluyendo sus quejas.”
2.3) La cláusula 8.2.1 de la norma ISO 9001:2000
establece:
“Como una de las medidas del desempeño del sistema de
gestión de la calidad, la organización debe realizar el seguimiento de la
información relativa a la percepción del cliente con respecto al
cumplimiento de sus requisitos por parte de la organización. Deben determinarse
los métodos para obtener y utilizar dicha información.”
El documento de guía sobre terminología del
ISO/TC176 (ISO/TC176/SC2/N526R) enfatiza
que dar seguimiento significa “observar, supervisar y mantener bajo
revisión; medir o probar a intervalos”. Es importante que los auditores
reconozcan que no hay un requisito específico en la norma ISO 9001:2000 en su cláusula 8.2.1 para que
la organización realice encuestas formales de satisfacción del cliente, u otras
medidas de satisfacción del cliente, aunque esto puede obviamente ser una
herramienta útil en el seguimiento de las percepciones del cliente. Por eso es
importante que la organización trate de ver las cosas desde la perspectiva del
cliente, y de seguimiento a las percepciones del cliente; La medición de
la satisfacción del cliente puede ser apropiada en algunas situaciones,
pero este no es un requisito directo de la norma.
NOTA: Además
de estas referencias específicas a los procesos de retroalimentación del
cliente, hay varias referencias indirectas a través de toda la norma, de las
que el auditor necesita tomar en cuenta. Algunos ejemplos incluyen la
retroalimentación como parte del proceso de diseño y desarrollo; proceso de
validación y otros.
3) ¿Que debe ser cubierto cuando se audita los
procesos de retroalimentación del cliente?
La retroalimentación del cliente es un proceso.
Necesitamos auditarlo como un proceso, no como una “cláusula de
la norma”. Necesitamos evaluar el modo en como el proceso es gestionado (ver la
cláusula 4.1.c de la norma ISO 9001:2000, y su habilidad para proporcionar
información significativa con la cual juzgar la eficacia general
del SGC. El definir el modo en el que la organización obtiene esta
retroalimentación (“el método) es decisión de la organización
El
auditor debe por lo tanto estar atento a los muchos factores que pueden afectar
el enfoque de la organización, y debe reconocer que no hay una “receta” dada.
Debe entonces tomar en consideración factores como:
§
el tamaño y
complejidad de la organización
§
el grado de
sofisticación de los productos y clientes
§
el riesgo asociado
al producto
§
la diversidad de la
base de clientes
3.1)
Antes de auditar el proceso de retroalimentación del cliente (fase de
preparación)
El auditor necesita estar atento a
las características específicas de los productos de la organización que
pudieran tener un impacto en la satisfacción del cliente. Durante la auditoría
el auditor debe estar alerta de indicadores que pudieran sugerir la
satisfacción o no satisfacción del cliente y que pudieran servir como entrada a
la auditoría del proceso de retroalimentación del cliente. Algunas buenas
fuentes de esta información pudiera incluir, por ejemplo:
§
Bienes devueltos
por el cliente;
§
Reclamos de
garantía;
§
Facturas revisadas;
§
Notas de crédito;
§
Artículos
disponibles;
§
Sitios web de
clientes;
§
Observación directa
de, o comunicación con el cliente (por ejemplo en una organización de
servicio).
3.2)
Durante el proceso de evaluación
Estos son algunos puntos que un auditor debe cubrir
durante una auditoría al proceso de retroalimentación del cliente:
a)
¿cuál es el resultado deseado de este proceso?¿qué información está disponible
sobre percepciones del cliente?¿cómo es utilizada esta información por la
dirección para iniciar mejoras al producto, los procesos y el SGC?
• ¿Están
cubiertos todas las categorías de clientes en esta información? Es importante
recordar que la organización pudiera tener más de una categoría de clientes –
ver la definición de “cliente” en la norma ISO 9000:2000 cláusula 3.3.5. Por
ejemplo, un fabricante pudiera vender a distribuidores, que venden a
detallistas, que venden al público en general. En este caso la organización
puede necesitar cubrir los tres tipos de clientes y ellos pueden tener
diferentes percepciones. La organización puede estar satisfaciendo a un grupo y
quedando mal con otro.
b)
¿como se recolectan los datos que alimentan el proceso?
Hay muchas maneras en las que una organización puede
dar seguimiento a las percepciones de sus clientes, y el auditor debe evitar
las ideas preconcebidas acerca de cómo se debe hacer esto. Algunos ejemplos de
técnicas que la organización puede usar incluye:
§
evaluaciones cara a cara, que pueden ser apropiadas en muchas
organizaciones de servicio como hoteles – “¿cómo estuvo su estancia con
nosotros?” o restaurantes “espero que haya disfrutado su comida”
§
llamadas telefónicas o visitas realizadas periódicamente o
después de una entrega de productos o servicios
§
cuestionarios o encuestas realizadas por la misma
organización, o
por
investigadores de mercados independientes
§
otros
contactos con clientes, por ejemplo por personal de servicio o instalación
§
investigaciones internas entre el personal de la organización
que tiene contacto con los clientes,
§
evaluación de negocios repetidos
§
seguimiento a cuentas por cobrar, reclamos de garantía, etc.
§
análisis de quejas de clientes
Frecuentemente las quejas son la
única retroalimentación espontánea recibida de los clientes, y estas
deben ser analizadas para buscar tendencias, quejas clave, impactos, etc. Debe
resaltarse, sin embargo, que las quejas de los clientes pueden no ser la única
entrada para dar seguimiento a las percepciones de los clientes. También , el
auditor debe evitar llegar a conclusiones solo por ver quejas específicas e
individuales – estas deben siempre ser puestas en contexto en su impacto
general sobre el SGC.
c)
¿Qué tan confiable es la información?
§
En un mundo ideal,
la organización debe dar seguimiento a las percepciones de todos sus clientes,
pero el costo de hacer esto pudiera ser prohibitivo. Por lo tanto es necesario
verificar el criterio que la organización ha utilizado para el muestreo de sus
clientes, para asegurar que es representativo y refleja el riesgo hacia la
organización y hacia sus clientes.
§
El auditor debe asegurarse
de verificar la información proporcionada comparándola con otra evidencia
obtenida durante el curso de la auditoría (ver 3.1)
§
En algunos casos
pudiera ser apropiado para el auditor verificar la información directamente con
los clientes de la organización, cuidando tener la diplomacia requerida cuando
se hace esto.
d) ¿Cómo
se analizan los datos?
§
La simple
recolección de datos sobre las percepciones de los clientes no es suficiente –
el auditor debe dar seguimiento al proceso, para verificar como se analizan los
datos (ver la cláusula 8.4 de la norma ISO 9001:2000), y que conclusiones se
hacen con respecto a la eficacia del SGC.
·
Hay alguna
tendencia?
·
La situación es
estable, mejora o se deteriora?
·
Las necesidades y
expectativas de los clientes están cambiando?
·
Aunque no es un
requisito de la norma ISO 9001:2000, pudiera ser apropiado preguntar a la
organización sobre las comparaciones de industria o actividades de
“benchmarking”, para poner en perspectiva la retroalimentación del cliente.
e) ¿Cómo se retroalimenta la
información generada por este proceso al SGC como un todo?
·
Las organizaciones
deben utilizar los resultados del proceso de retroalimentación de los clientes
para disparar acciones correctivas o preventivas y como uno de los indicadores
generales del desempeño del SGC. El modo de cómo estos procesos interactúan
debe ser sujeto de auditoría.
·
El auditor debe ser
capaz de reconocer que el resultado del proceso de retroalimentación del
cliente forma una entrada importante para otros procesos del SGC, como el
análisis de datos, procesos de revisión por la dirección y mejora continua.
·
Un auditor que
“agrega valor” debe tratar de asegurar que la organización reconozca los
beneficios que puede proporcionar un buen proceso de retroalimentación de los
clientes y promoverá (pero no puede requerir) que la organización piense más
allá de simplemente “cumplir los requisitos de la norma”
f) ¿Cuales
son las ligas con otros procesos del SGC?
El
auditor debe reconocer que el proceso de retroalimentación del cliente tiene
ligas importantes e interfases con varios procesos del SGC que incluyen, pero
no están limitados a las siguientes cláusulas de la norma:
·
5.6 Revisión por la dirección
·
7.5.2 Validación de procesos
·
7.2.3 Comunicación con el cliente
·
7.3.6 Validación de diseño y desarrollo
·
7.3.7 Cambios al diseño y desarrollo
Traducción
libre de NC. No oficial -Documentos oficiales disponibles en: www.iaf.nu y www.bsi.org.uk/iso-tc176-sc2
(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE
AUDITORIA)
Página
Principal
Documentando una no conformidad
El enfoque de cualquier auditoría a un
sistema de gestión consiste en determinar si el sistema de gestión ha sido
desarrollado, es eficazmente implementado y se mantiene. Una organización es
certificada en base a que se ha implementado eficazmente un sistema de gestión,
que es conforme con los requisitos de la norma ISO 9001:2000. Por lo tanto el
énfasis de una auditoría de sistema de gestión debe estar en verificar la
conformidad, no en documentar no conformidades. Los auditores deben mantener un
enfoque positivo y ver los hechos y no las faltas.
Sin embargo,
cuando la evidencia de auditoría determina que existe una no conformidad,
entonces es muy importante documentar bien la no conformidad. ¿Qué es no
conformidad?, de acuerdo a la definición en la norma ISO 9000: 2005 (3.6.2),
una no conformidad es un incumplimiento de un requisito. Hay tres partes
en una no conformidad bien documentada:
·
la evidencia
de auditoría que soporta los hallazgos del auditor;
·
el requisito
contra el cual la no conformidad se detecta;
·
el enunciado
de la no conformidad.
Si
no hay
evidencia – no hay no conformidad. Si hay evidencia – esta debe ser documentada
como una no conformidad en vez de ser suavizada con otra clasificación (por
ejemplo, “observaciones”, “oportunidades de mejora”, “recomendaciones”, etc.)
Estas son las tres partes de una no conformidad a ser
documentadas, en la práctica real durante una auditoría, la primer parte a ser
identificada y documentada será la evidencia de auditoría. El auditor
competente observará situaciones que el o ella “sienten” que es una no
conformidad, aunque en ese punto en el tiempo, el auditor pudiera no estar 100
por ciento seguro. El auditor competente documentará la evidencia de auditoría,
en sus notas de auditoría como una no conformidad potencial, y buscará caminos
de auditoría adicionales para confirmar si es una no conformidad. La evidencia
de auditoría debe ser documentada con suficiente detalle para que la
organización auditada pueda encontrar y confirmar exactamente lo que el auditor
ha observado.
La siguiente cosa que el
auditor necesitará hacer es identificar y registrar el requisito específico que
no ha sido cubierto. Recuerde, una no conformidad es un incumplimiento de un
requisito, por lo que si el auditor no
puede identificar el requisito, entonces el auditor no puede levantar
una no conformidad. Por ejemplo el
requisito pudiera estar especificado en la norma ISO 9001:2000, en el sistema
de gestión de la organización (requisitos internos), en las regulaciones
legales aplicables, o por los clientes de la organización. Una vez que el
requisito específico es confirmado, este necesita ser documentado. Esto puede
ser tan simple como establecer la norma y la cláusula. Sin embargo, si el
requisito específico que es aplicable a la evidencia de la auditoría es parte
de una cláusula de la norma con varios requisitos, entonces el auditor debe,
además de citar la norma y la cláusula, escribir las palabras específicas del
requisito que es aplicable a la evidencia de la auditoría.
Ahora viene la parte más importante de
documentar una no conformidad, que es el escribir una declaración de la no
conformidad. El enunciado de la no conformidad lleva a la organización al
análisis de la causa, la corrección y la acción correctiva. El enunciado de
la no conformidad debe ser genérico y relacionado con el punto del sistema. El
enunciado de la no conformidad debe ser capaz de expresarse en una, o cuando
mucho, dos oraciones. El enunciado de la no conformidad no debe ser una
repetición de la evidencia de la auditoría o usado en lugar de la evidencia de
auditoría.
Para resumir,
una no conformidad bien documentada tendrá tres partes: la evidencia de
auditoría, el requisito y el enunciado de la no conformidad. Con las tres
partes de la no conformidad bien documentadas, el auditado o, cualquier otra
persona con conocimientos suficientes podrá ser capaz de leer y entender la no
conformidad. Esto servirá también como un registro útil para futuras
referencias.
Traducción libre de NC. No oficial
-Documentos oficiales disponibles en:
www.iaf.nu y
www.bsi.org.uk/iso-tc176-sc2
(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE
AUDITORIA)
Página
Principal
Guía
para la revisión y cierre de las no conformidades
Introducción
El valor que puede proporcionarse a una organización
puede ser aumentado o disminuido por la revisión que un auditor conduce a la
respuesta de la organización a una no conformidad, así como al proceso de
“cierre” que sea aplicado. Un auditor agregará valor asegurándose de que la
organización ha cubierto satisfactoriamente la corrección / el análisis de
causas y la acción correctiva, ya que esto aumentará la probabilidad de que la
organización logre la satisfacción del cliente.
Este documento proporciona una directriz para ayudar
a los auditores en el proceso de revisar y cerrar las no conformidades
levantadas en las auditorías.
Revisión de acciones en respuesta a una no
conformidad
Los auditores de sistemas de gestión
son responsables de revisar la respuesta a las no conformidades y verificar la
eficacia de las acciones tomadas.
Debe haber
tres partes en la respuesta de la organización a una no conformidad:
|
• corrección,
• análisis de la causa, y
• acción correctiva.
|
o
|
• análisis de causa,
• corrección, y
• acción correctiva
|
(Nota; se dan dos secuencias diferentes ya que la
correcta a seguir pudiera depender del tipo de producto, o situación de la no
conformidad. Sin embargo, las tres partes para resolver una no conformidad son
las mismas en cada caso. Por ejemplo, para software, es inconveniente la
implementación de una corrección hasta que la causa sea conocida.
Alternativamente, como un ejemplo de hardware, si una luz de advertencia de “zapatas
desgastadas” se ilumina en un vehículo y usted inmediatamente implementa la
corrección de reemplazar las zapatas antes de examinar si el sensor falló,
pudiera fallar al resolver el problema y habrá desperdiciado tiempo y
recursos.)
La fuente
que autoriza a realizar el enunciado inicial son algunas definiciones
pertinentes en la norma ISO 9000: 2000.
No conformidad: incumplimiento de un requisito (ISO 9000:2005, cláusula 3.6.2)
Corrección: acción tomada para eliminar una no
conformidad detectada (ISO 9000:2005, cláusula 3.6.6)
Acción correctiva: acción tomada para eliminar la
causa de una no conformidad detectada u otra situación indeseable (ISO 9000:
2005, cláusula 3.6.5)
Cuando se detecta una no
conformidad cabe esperar tanto la corrección como la acción correctiva.
La
“corrección” es una acción para eliminar una no conformidad detectada, Por
ejemplo, la corrección pudiera involucrar el reemplazo del producto no conforme
con un producto conforme o reemplazar un procedimiento obsoleto con la versión
vigente, etc.
La definición de “acción
correctiva” es “acción para eliminar la causa de la no conformidad detectada”.
La acción correctiva no puede ser tomada sin primero hacer una determinación de
la causa de la no conformidad. Existen muchos métodos y herramientas
disponibles para determinar la causa de una no conformidad, desde una simple
tormenta de ideas hasta técnicas más complejas de solución sistemática de
problemas (por ejemplo, análisis de
causas raíz, diagramas de espina de pescado, “los cinco por qué”, etc.). Un
auditor debe estar familiarizado con el uso apropiado de estas herramientas. La
extensión y eficacia de la acción correctiva depende de la identificación de la
verdadera causa raíz. En algunos casos esto ayudará a una organización a
identificar y minimizar no conformidades similares en otras áreas.
Al revisar la respuesta
de una organización a una no conformidad, el auditor debe confirmar que la
documentación y la evidencia objetiva para las tres partes – corrección,
causa y acción correctiva -se proporcionan por la organización, y son
apropiadas, antes de aceptar la respuesta. Elementos importantes a verificar en
el proceso de revisión incluyen:
§
declaraciones de acciones; ¿son
claras y concisas?
§
descripciones de acciones; ¿son
completas y refieren con precisión documentos, procedimientos específicos, etc.
según sea apropiado?
§
el uso de la forma verbal en pasado
(fue, estuvo, ha sido), como un indicador de que las acciones tomadas han sido
completadas.
§
la fecha de terminación de las
acciones correctivas; fechas pasadas deben encontrarse como indicador de que
las acciones han sido tomadas (las fechas que indican acción futura no son una
buena práctica).
§
evidencia que soporte el hecho de
que la acción correctiva ha sido total y eficazmente implementada y que la
acción correctiva ha sido desempeñada en la forma en que estaba descrita.
Adicionalmente, el
auditor debería verificar que la organización se ha asegurado que la acción
correctiva tomada no ha creado por si misma mayores problemas relacionados con
la calidad del producto o la implementación del SGC.
Debe notarse que tanto
la corrección como la acción correctiva no son siempre apropiadas y que la
corrección o la acción correctiva por si solas pudieran ser suficientes. Esto
pudiera suceder, por ejemplo, en casos en que se puede demostrar que la no
conformidad fue absolutamente accidental, y la probabilidad de que vuelva a
ocurrir es muy baja.
La acción correctiva
eficaz debe prevenir que la no conformidad vuelva a ocurrir eliminando la
causa. Sin embargo, la acción correctiva no debe confundirse con la acción
preventiva. La definición de acción preventiva es como sigue:
Acción preventiva: acción para eliminar la causa de
una no conformidad potencial o una situación indeseable (ISO
9000:2005, cláusula 3.6.4)
Se debe notar que la
acción preventiva por la naturaleza de su definición no es aplicable a no
conformidades ya detectadas. Sin embargo un análisis de sus causas pudiera
identificar no conformidades potenciales en una escala más amplia en otras
áreas de la organización y proporcionar una entrada para una acción preventiva.
Cierre de no conformidades
Ya que las no
conformidades tienden a ser individuales en su naturaleza, se puede utilizar
una amplia variedad de métodos o actividades para cerrarlas. Por ejemplo,
algunas requerirán un examen directo en el lugar (lo que pudiera requerir la
necesidad de visitas adicionales al lugar), mientras otras pudieran cerrarse de
manera remota (por la revisión de documentación relevante que se envíe como
evidencia).
Antes de decidir el
acuerdo para cerrar una no conformidad, el auditor líder (o auditor cuando
actúa solo) debería revisar lo que la organización hizo con respecto a la
corrección / análisis de causa y los resultados logrados a través de la acción
correctiva. El auditor líder necesita asegurarse de que existe evidencia
objetiva (incluyendo documentación de soporte) para demostrar que la acción
correctiva descrita ha sido completamente implementada y es eficaz en prevenir
que la no conformidad vuelva a ocurrir. Solamente cuando la situación sea
satisfactoria debería cerrarse la no conformidad.
Traducción libre de NC.
No oficial -Documentos oficiales disponibles en:
www.iaf.nu y
www.bsi.org.uk/iso-tc176-sc2
(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE
AUDITORIA)
Página
Principal
Auditoría de la acción
preventiva
1)
Introducción
ISO
9000:2000, cláusula 3.6.4, define la acción preventiva como la “acción para
eliminar la causa de una no conformidad potencial u otra situación potencial no
deseada”.
Esto
se puede considerar como una acción adoptada para evitar que se presente una no
conformidad. Sin embargo, si no hay una no conformidad con la cual empezar y si
la acción preventiva es eficaz, se mantendrá el status quo. Esto origina
la dificultad de auditar un proceso para el cual la salida deseada es mantener
el status quo.
Con
frecuencia existe confusión sobre las diferencias entre los términos
corrección, acción correctiva y acción preventiva (por favor consulte ISO
9000:2000 para sus definiciones formales) y también con relación a las
actividades de una organización con respecto a cada una de ellas.
La
auditoria de los procesos de corrección y acción correctiva de la organización es
relativamente sencilla porque los resultados y la eficacia de estos procesos
por lo general están bien definidos (es decir, si la organización ya ha
identificado una no conformidad, es relativamente fácil para un auditor evaluar
el proceso utilizado por la organización, o que se planifica por usar para
corregirla y si esto será o no eficaz para evitar que se vuelva a presentar la
no conformidad); no obstante, la auditoría de los procesos de acción preventiva
usualmente es más compleja.
2)
Guía de auditoria
2.1) ISO 9001:2000
requiere que la organización tenga un procedimiento documentado para la acción
preventiva.
Nota: Se acepta la combinación de procedimientos
documentados de acción correctiva y acción preventiva en un solo documento del
SGC, pero no es recomendable. Si están combinados, entonces es importante que
el auditor verifique que la organización entiende claramente la diferencia
entre el propósito de las acciones correctivas y preventivas.
2.2)
La norma exige que este procedimiento documentado incluya:
a) Cómo determina la organización las no conformidades
potenciales y sus causas.
Los ejemplos comunes incluyen los siguientes:
·
Análisis de tendencia para las características de los
procesos y los productos (resultado del proceso de análisis de datos). Una
tendencia hacia el empeoramiento puede indicar que si no se adopta ninguna
acción, podría presentarse una no conformidad.
·
Alarmas para brindar advertencia temprana de que se
aproximan condiciones operativas “fuera de control”.
·
Monitoreo de la percepción del cliente mediante
sistemas de retroalimentación tanto formales como informales.
·
Análisis de tendencias para la capacidad de los
procesos, usando técnicas estadísticas.
·
Análisis de modo de falla y efecto continuos para los
procesos y los productos (este es un requisito de ISO/TS 16949, por ejemplo,
para la industria automotriz).
·
Evaluación de las no conformidades que hayan ocurrido
en circunstancias similares, pero para otros productos, procesos, u otras
partes de la organización o incluso en otras organizaciones.
·
Planificación completa de actividades tanto para
situaciones predecibles (por ejemplo, debido a expansión, mantenimiento o
cambios de personal - véase ISO 9001, cláusula 5.4.2b)) como impredecibles (por
ejemplo, fenómenos naturales como huracanes, terremotos, inundaciones etc.).
·
ISO 9004:2000, cláusula 8.5.3, Prevención de
pérdidas (Loss prevention) suministra otros ejemplos
(Nota: esta directriz de ISO 9004 no es obligatoria).
b) Una evaluación de la necesidad de acción preventiva.
Los métodos empleados en la evaluación podrían incluir:
·
Enfoques de análisis de riegos.
·
Análisis del modo de falla y efecto, tal como ya se
mencionó en (a).
(Nota:
ninguno de estos enfoques o metodologías son requisitos de ISO 9001:2000.)
c) Cómo determina la organización la acción que se requiere y
cómo se implementa.
Un auditor debería buscar evidencia de que:
·
la organización ha analizado las causas de las no
conformidades potenciales (el uso de diagramas de causa y efecto y otras
herramientas de calidad podría ser apropiado para esto).
·
las acciones requeridas son desplegadas en todas las
partes pertinentes de la organización y de manera oportuna.
·
existen definiciones claras de las responsabilidades
de identificación, evaluación, implementación y revisión de las acciones
preventivas.
d) Registros de los resultados de las acciones adoptadas.
·
¿Qué registros se conservan?
·
¿Son apropiados y el reflejo real de los resultados?
·
¿Se controlan de acuerdo con lo indicado en ISO
9001:2000, cláusula 4.2.4?
e) Una revisión de las acciones preventivas adoptadas.
·
¿Fueron eficaces las acciones (es decir, ¿se evitó que
ocurriera una no conformidad y hubo beneficios adicionales?)?
·
¿Es necesario continuar con las acciones preventivas
tal como están?
·
¿Se deberían cambiar o es necesario planificar
acciones nuevas?
2.3)
A menudo se presenta la discusión “filosófica” entre el auditor y la
organización sobre dónde termina la acción correctiva y dónde empieza la acción
preventiva. Por ejemplo, si se detecta una no conformidad en el proceso “A” ¿se
adoptan acciones para evitar no conformidades futuras mediante las acciones
preventivas de los procesos “B”, “C” y “D” o simplemente están dentro del
alcance de las acciones correctivas adoptadas para el proceso “A”? El auditor
debería evitar que estas discusiones lo desvíen y concentrarse en si las
acciones fueron eficaces o no. ¡El “etiquetado” de las acciones adoptadas tiene
importancia secundaria!
Traducción libre de NC.
No oficial -Documentos oficiales disponibles en:
www.iaf.nu y
www.bsi.org.uk/iso-tc176-sc2
(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE
AUDITORIA)
Página Principal
Auditando las comunicaciones
internas
1.
Introducción
Un
proceso eficaz de comunicación interna contribuye al éxito del sistema de
gestión de la calidad de cualquier organización. Por el contrario, muchos de
los problemas que se presentan en el sistema de gestión de la calidad de una
organización con frecuencia tienen su origen en una comunicación deficiente.
2.
Requisitos y Guía
2.1
ISO 9001:2000, cláusula 5.5.3 establece lo siguiente:
“Comunicación interna
La alta
dirección debe garantizar que se han establecido los procesos adecuados de
comunicación dentro de la organización y que la comunicación tiene lugar con
respecto a la eficacia del sistema de gestión de la calidad.”
Este
es uno de varios requisitos que se han introducido en ISO 9001:2000 en donde un
enfoque definitivo (“SI/NO”) puede no ser adecuado para evaluar la
implementación eficaz del proceso de comunicación interna dentro de una
organización.
2.2
Otros requisitos de ISO 9001:2000 con relación a la comunicación interna:
Existen
otros requisitos en ISO 9001:2000 en donde la alta dirección tiene la
responsabilidad de comunicarse con las personas dentro de la organización con
respecto a:
·
La política y los objetivos de la calidad.
·
La importancia de cumplir los requisitos del cliente
así como los reglamentarios.
·
La promoción de la toma de conciencia sobre los
requisitos del cliente en toda la organización.
·
Las responsabilidades definidas de las personas y la
conciencia sobre la pertinencia e importancia de sus actividades, y la forma en
que ellas contribuyen al logro de los objetivos de calidad.
·
Cuando se producen cambios en los requisitos del
producto, asegurar que el personal pertinente conozca dichos cambios.
2.3
Guía de ISO 9004:2000 (cláusula 5.5.3):
“La
dirección de la organización debería definir e implementar un proceso eficaz y
eficiente para comunicar la política, los requisitos, los objetivos y los
logros de la calidad. El suministro de tal información puede ayudar a mejorar
el desempeño de la organización e involucra directamente a su personal en la
consecución de los objetivos de la calidad. La dirección debería fomentar
activamente la retroalimentación y la comunicación de las personas de la
organización como una forma de involucrarlas”.
Es
importante anotar que esta directriz de ISO 9004 no se audita, pero proporciona
mayor comprensión sobre la importancia de la comunicación interna.
3.
Verificación de la eficacia de la comunicación interna
Existen
dos componentes principales de los requisitos de ISO 9001:2000, cláusula 5.5.3,
que se deben verificar:
a) Que se hayan establecido
procesos adecuados de comunicación dentro de la organización,
incluyendo:
·
identificación de las personas entre quienes se debe
producir la comunicación,
·
información que se debe comunicar;
·
medios para lograrlo;
·
método seleccionado para monitorear su eficacia;
·
documentación y registros necesarios para verificar
que se ha tenido lugar;
·
proceso de comunicación sujeto a mejora continua.
b) Que la comunicación
tiene
lugar y se relaciona con la eficacia del sistema de gestión de la
calidad.
Al
buscar evidencia de procesos eficaces de comunicación, puede ser necesario que
el auditor observe algunos o todos de los siguientes aspectos, según sea
apropiado para la organización:
·
la alta dirección, los empleados en todos los niveles
de la organización y los contratistas generan, reciben y responden las
comunicaciones;
·
la información que se ha de comunicar está claramente
definida, es apropiada y exacta para los propósitos de la comunicación;
·
los medios utilizados para la comunicación son
apropiados para el grado de educación y otras habilidades de quienes se espera
que reciban y actúen según la información suministrada;
·
el monitoreo tiene lugar para asegurar que se actúa sobre
la información comunicada y se logra el resultado deseado;
·
están disponibles los procedimientos y registros
necesarios para demostrar que la comunicación ha tenido lugar, es eficaz y está
sujeta a mejora continua.
Aunque
no hay requisito específico para un procedimiento documentado, dependiendo del
tamaño, la complejidad y la cultura de la organización puede ser necesario
tenerlo con el objeto de garantizar su implementación eficaz.
4. El
enfoque de auditor
El
auditor puede observar algunos o todos los siguientes medios de comunicación de
la información dentro de la organización:
·
La dirección lleva la comunicación a las áreas de
trabajo.
·
Reuniones informativas del equipo y otras reuniones
como aquellas para el reconocimiento de logros.
·
Murales.
·
Correo electrónico, red interna (intranet) y sitios
Web.
·
Revistas o boletines informativos de la compañía o
internos.
·
Reuniones del personal.
·
Cartas o anuncios individuales.
El
auditor puede juzgar la eficacia de los procesos de comunicación interna de la organización
mediante:
·
Entrevistas con los empleados para determinar su
conocimiento de la política, los objetivos y el desempeño del sistema de
gestión.
·
Evaluación de las causas de las no conformidades y los
procesos de acción correctiva de la organización. ¿Podría vincularse/
rastrearse la necesidad de acción correctiva hasta procesos deficientes de
comunicación interna?
·
Evaluación de la pertinencia y las fechas
significativas de la información presentada. La información que se comunica no
tiene valor si es obsoleta.
·
Examen de los mecanismos de retroalimentación dentro
de la organización, por ejemplo, revisiones o entrevistas individualizadas,
encuestas a los empleados, etc.
·
Evaluación de los programas de entrenamiento e
inducción dentro de la organización. Estos programas deberían contener
información de la forma como opera el sistema de gestión de la calidad.
·
Observación de actas de reuniones que contengan
elementos de comunicación interna.
5.
Evaluación de la conformidad de la organización con los requisitos de ISO
9001:2000
Existen
dudas de si un auditor puede determinar la eficacia de los procesos de
comunicación interna de la organización durante una sola sesión de auditoria o
“espacio de tiempo”. Esto requiere un enfoque más holístico durante toda la auditoria,
pero no es necesario incluirlo en el plan de ésta. Los equipos auditores
deberían planificar una revisión, en colaboración, de este aspecto.
De
forma similar existen dudas de si se puede determinar la eficacia de los
procesos de comunicación de la organización únicamente a partir de una fuente
en la organización.
La
conformidad con los requisitos de ISO 9001:2000 sólo se debería determinar al
final de la auditoria, después de evaluar la evidencia de (y después de llegar
al consenso con los otros miembros del equipo).
Traducción libre de NC.
No oficial -Documentos oficiales disponibles en:
www.iaf.nu y
www.bsi.org.uk/iso-tc176-sc2
(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE
AUDITORIA)
Página
Principal
Auditando la eficacia de la
auditoria interna
1. Introducción
Las organizaciones que buscan un sistema de
gestión de calidad adecuado y eficaz necesitan realizar auditorías internas
para asegurar que el SGC funciona como se quiere y para identificar las ligas
débiles en el sistema así como las oportunidades de mejora potenciales. La
auditoría interna actúa como mecanismo de retroalimentación para la alta
dirección, ésta puede darle a la alta dirección y a otras partes interesadas la
seguridad de que el sistema cumple los requisitos de la norma ISO 9001:2000. El
cómo se maneje el proceso de auditoria interna es un factor clave para asegurar
la eficacia de un sistema de gestión de calidad.
2. Requisitos y Directriz
2.1 La norma ISO 9001:2000 cláusula 8.2.2
establece lo siguiente:
8.2.2
Auditoría interna
“Se
debe planificar un programa de auditorías tomando en consideración el estado y
la importancia de los procesos y las áreas a auditar, así como los resultados
de auditorías previas.”
Este requisito tiene la intención de
enfocar el programa de auditoría interna hacia aquellos procesos y áreas donde
la historia indica que han ocurrido problemas, o donde parece que los problemas
continuarán, y/o parece que ocurrirán (debido a la naturaleza de los mismos
procesos). Estos problemas pudieran resultar de aspectos como factores humanos,
capacidad de proceso, sensibilidad de medición, cambio en requisitos de los
clientes, cambios en el ambiente de trabajo, etc.
Los procesos con alto nivel de riesgo de
deficiencias o no conformidades deben tener prioridad en el programa de
auditoría interna.
Se debe prestar una atención especial a
los procesos donde el alto nivel de riesgo es influenciado por factores tales
como:
- consecuencias severas por la falla de
capacidad de proceso;
- no satisfacción del cliente;
- no cumplimiento
con requisitos reglamentarios del producto (o proceso)
2.2 La norma ISO 9004:2000 Cláusula
8.2.1.3
“La
alta dirección debería asegurarse del establecimiento de un proceso de
auditoría interna eficaz y eficiente para evaluar las fortalezas y debilidades
del sistema de gestión de la calidad. El proceso de auditoría interna actúa
como una herramienta de gestión para la evaluación independiente de cualquier
proceso o actividad designado. El proceso de auditoría interna proporciona una
herramienta independiente aplicable para obtener evidencias objetivas de que se
han cumplido los requisitos existentes, dado que la auditoría interna evalúa la
eficacia y la eficiencia de la organización.”
Esta directriz de la norma ISO 9004
fuerza la necesidad de usar eficientemente los recursos cuando se realizan
auditorías internas. (Nota: esta directriz de la norma ISO 9004 no es un
requisito auditable en una evaluación de
la ISO 9001).
3. Directriz de auditoría
Cuando los auditores de tercera parte
examinen los procesos de auditoría interna, deben evaluar aspectos tales como:
- las competencias que son
requeridas para la auditoría y como son aplicadas.
- el análisis de riesgo
desarrollado por la organización (si hay alguno) en la planificación de las
auditorías internas,
- el grado de involucramiento
de la alta dirección en el proceso de auditoría interna.
- la directriz dada por la
norma ISO 19011 (pero advierta que la norma ISO 9001:2000 no requiere que la
organización utilice la norma ISO 19011), y
- el modo que el resultado del proceso de auditoría interna
es utilizado por la organización para evaluar la eficacia de su SGC y para
identificar las oportunidades de mejoras.
Un auditor de tercera parte necesita:
a) evaluar el enfoque de la organización
para identificar las áreas críticas así como otros parámetros;
Por
ejemplo, si la organización ha identificado:
·
sus
procesos que son críticos para la calidad del producto,
·
sus
procesos complejos, o aquellos que necesitan atención especial
·
sus procesos
que necesiten que el personal esté calificado
·
sus
procesos que necesiten un seguimiento detallado de los parámetros de proceso
·
sus
actividades de seguimiento y medición que requieren una calibración frecuente
y/o verificación;
·
sus
actividades y procesos que ocurren sobre múltiples lugares y/o que son de labor
intensiva, etc.
·
Procesos
donde han ocurrido problemas o están en riesgo
·
y
los indicadores de desempeño de proceso establecidos que definen las medidas de
eficacia y eficiencia, y si estas mediciones están alineadas con los objetivos
o metas globales de la organización
¿La organización utiliza esta información
cuando establecen la frecuencia de auditoría de esos procesos y actividades?
b) evaluar la competencia de los
auditores internos de la organización y los equipos de auditoría;
Debe
existir evidencía de que la organización:
·
ha
identificado los requisitos de competencia para sus auditores internos,
·
ha
proporcionado el entrenamiento apropiado
·
tiene
implementado un proceso para dar seguimiento al desempeño de sus auditores
internos y equipos de auditoría
·
incluye
personal en sus equipos de auditoría que tengan el conocimiento específico
apropiado del sector (de modo que sean capaces de identificar cuando la
probabilidad de una desviación en un proceso o actividad en particular puede
llevar a una consecuencia significativa en la calidad del producto)
También se debe evaluar qué tanto los
auditores internos entienden del riesgo inherente en la confiabilidad que se
puede poner en el resultado del proceso de auditoría si ellos:
• fallan en considerar algo que es
material para el resultado de la auditoría,
• seleccionan un rango de muestreo no
apropiado
• sopesan de manera no apropiada la
evidencia recolectada, o
• se desvían del plan de
auditoría y los procedimientos de auditoría interna.
c) evaluar la planificación de las
auditorías;
La
organización debe ser capaz de maximizar el uso de los recursos disponibles
durante la conducción de las actividades de la auditoría interna. Esto puede
facilitarse por la adopción de un enfoque basado en el riesgo en la
planificación de las auditorías internas.
Debe
cuestionarse si la organización (durante su proceso de auditoría interna) ha
considerado el uso del enfoque basado en riesgo en el desarrollo del plan de la
auditoría interna, para asegurar el uso eficaz y eficiente de los recursos.
Esto también debe asegurar que el riesgo inherente de falla de la auditoría en
el proceso de auditoría, y de los resultados de la auditoría, se minimice.
La
organización debe tener un proceso para utilizar los resultados de auditorías
anteriores en la planificación de auditorías internas futuras.
d) buscar evidencía de que la
organización ha implementado un programa de auditoría interna eficaz.
Tomando
en cuenta los factores anteriores, y examinando si el proceso de auditoría
interna está llevando al SGC a una mejora tangible, el auditor de 3. parte
debe ser capaz de formarse un juicio de que tanto la organización ha
implementado un programa de auditoría interna eficaz y si el resultado de las
auditorías internas proporciona evidencia para el análisis de la eficacia del
SGC.
Traducción libre de NC.
No oficial -Documentos oficiales disponibles en:
www.iaf.nu y
www.bsi.org.uk/iso-tc176-sc2
(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE
AUDITORIA)
Página
Principal
Auditando organizaciones de servicio
1. Introducción
Aunque la norma ISO 9001:2000 tiene la
intención de ser aplicable a toda clase de organizaciones sin importar el tipo,
tamaño o producto proporcionado, hay un número de características de las
organizaciones de servicio que requieren una atención específica durante una
auditoría de tercera parte. Consecuentemente, este documento va dirigido a
proporcionar a los auditores las directrices para auditar el cumplimiento de
los requisitos de la norma ISO 9001:2000 en las organizaciones de servicio. Se
hace particular énfasis en los requisitos de la cláusula 7.3 Diseño y
desarrollo, cláusula 7.5.2 Validación de procesos para producción y prestación
del servicio y la cláusula 8.3 Control del producto no conforme.
2. Organizaciones de
servicio
De acuerdo con la norma ISO 9000:2005, en
la cláusula 3.4.2 Producto:
“Un servicio es el resultado de llevar a cabo necesariamente al menos una
actividad en la interfaz entre el proveedor y el cliente) y generalmente es
intangible. La prestación de un servicio puede implicar, por ejemplo:
¾
una actividad realizada sobre un producto tangible suministrado por el
cliente (por ejemplo, reparación de un automóvil);
¾
una actividad realizada sobre un producto intangible suministrado por el
cliente (por ejemplo, la declaración de ingresos necesaria para preparar la
devolución de los impuestos);
¾
la entrega de un producto intangible (por ejemplo, la entrega de
información en el contexto de la transmisión de conocimiento);
¾
la creación de una ambientación para el cliente (por ejemplo, en hoteles y
restaurantes)”
La mayoría de las organizaciones tienen
un elemento de servicio en su producto. Esto pudiera variar de casi el 100% de
servicio (en el caso de una firma de abogados, por ejemplo), a un componente
relativamente muy pequeño en el caso de una organización de manufactura que
proporciona, por ejemplo, servicio post venta.
3. Directriz de auditoría
3.1 Diseño y desarrollo del servicio
Cuando se considera la aplicabilidad o no
de la cláusula 7.3 de la norma ISO 9001:2000 a una organización de servicio, es
importante recordar la definición de “Diseño y desarrollo”, que de acuerdo con
la norma ISO 9000:2000 cláusula 3.4.4 es “el conjunto de procesos que
transforma los requisitos en características especificadas”. También, de
acuerdo a ISO 9000:2000 requisitos son “necesidad o expectativa
establecida, generalmente implícita u obligatoria” y características del
servicio son rasgos diferenciadores que pueden incluir:
·
sensoriales,
(por ejemplo, relacionadas con el olfato, el tacto, el gusto, la vista y el
oído);
·
de
comportamiento, (por ej., cortesía, honestidad, veracidad);
·
de
tiempo, (por ej., puntualidad, confiabilidad, disponibilidad);
·
ergonómicas,
(por ej., características fisiológicas, o relacionadas con la seguridad
humana);
·
tangibles,
(por ej., características medibles; estas pudieran ser tanto las
características del medio físico usado para dar el servicio, por ej. la
velocidad máxima de un avión, o del ambiente en el cuál el servicio se
proporciona, por ej. la temperatura interior o facilidades de una aeronave).
Es muy común para las organizaciones
considerar solamente el componente tangible de su producto cuando tratan los
requisitos de la cláusula 7.3, olvidando que el diseño y desarrollo del
producto intangible (el servicio mismo) debería ser el foco principal.
Adicionalmente, la organización necesitará diseñar como el servicio será
proporcionado a sus clientes.
Si la organización propone justificar la
exclusión del diseño y desarrollo de su SGC, el auditor debe hacer una
evaluación cuidadosa de la justificación a la luz de lo anterior. El auditor
debe también examinar si la organización tiene un proceso de diseño y
desarrollo eficaz que defina suficientemente las características de su
servicio, y de sus procesos de entrega de servicio, que son necesarios para
cumplir con las necesidades y expectativas de los clientes.
3.2 Validación de los procesos de
producción y prestación del servicio
En términos de los procesos necesarios
para realizar el servicio, se pueden identificar dos tipos de procesos de
servicio:
·
los
que involucran al cliente en la realización del servicio mismo (entrega en
tiempo real) y
·
aquellos
en que el resultado es entregado al cliente después de la realización del
proceso.
Utilizando el ejemplo de un hotel, los
procesos de “registro” y “salida” del huésped pudieran probablemente involucrar
la entrega en “tiempo real” del servicio, mientras que la limpieza de la
habitación del huésped pudiera generalmente ser “entregado” al cliente
solamente después de completar el proceso (que pudiera ser sujeto de una
inspección y reproceso si fuera necesario, para corregir cualquier no
conformidad).
Procesos similares pueden también
encontrarse en organizaciones de manufactura que proporcionan servicios
relacionados a sus productos, por ejemplo, el manejo de reclamo de garantías;
la reparación de los productos por unidades de servicio de la organización; o
actividades de mantenimiento de producto desarrolladas en las instalaciones de
los clientes.
Aquellos procesos que involucran entregas
en tiempo real, y son realizadas directamente en interfase con la organización
/ cliente rara vez pueden (si acaso) tener el resultado (“el servicio”)
verificado por un seguimiento o medición antes de ser “entregados” al cliente.
Por lo tanto, esos procesos están sujetos a una validación de acuerdo a los
requisitos de la cláusula 7.5.2 de la norma ISO 9001:2000. Esto es esencial
para prevenir que ocurran no conformidades.
Para asegurar el control adecuado sobre
la calidad del servicio proporcionado, el auditor debe:
·
entender
las características del servicio, los procesos de prestación del servicio, y
sus criterios de aceptación, según los defina la organización (esto debe ser
hecho durante la fase 1 de la auditoría)
·
determinar
como se ha realizado la validación de los procesos de provisión de servicio en
“tiempo real” (o cualquier otro proceso que requiera validación) y si esto ha
tomado en cuenta los riesgos asociados;
·
evaluar si las herramientas,
entrenamiento y empoderamiento apropiados se han proporcionado al personal
involucrado
Para muchas industrias de servicio, el
servicio proporcionado es instantáneo ( vía procesos en “tiempo real”), lo que
no les permite realizar inspecciones antes de entregar ese servicio. El pensamiento
de Calidad, dice que el modo más eficaz en costo de hacer negocios es aplicando
la filosofía de “procesos especiales” a TODOS los procesos: mientras más
organizaciones tengan sus procesos correctos, el menor número de organizaciones
necesitarán preocuparse del resultado de sus procesos. Por lo tanto no es muy
deseable que esta cláusula pueda ser excluida.
3.3 Control de producto no conforme
En los casos de procesos de servicio que
directamente involucran al cliente, “el control del producto no conforme”
(cláusula 8.3) es la manera como la organización trata con las no conformidades
en la provisión del servicio hasta que la acción correctiva apropiada es
definida e implementada.
Donde se identifica una no conformidad,
el auditor debe examinar:
·
si
el personal involucrado está suficientemente empoderado con la autoridad para
decidir la disposición del servicio, por ejemplo:
o
inmediatamente
terminar el servicio
o
reemplazar
el servicio proporcionado
o
ofrecer
una alternativa
·
los
procesos de quejas y reclamos de la organización
·
cualquier
corrección temporal que sea implementada para mitigar el efecto de la no
conformidad (por ej. reembolso, crédito, ascensos, etc.)
·
la identificación, segregación y
reemplazo de equipo, proveedores o ambiente relevantes para el servicio,
Esto
permitirá al auditor juzgar si el control de dicho producto no conforme es
eficaz.
Nota: En estas
situaciones el sistema de gestión de calidad debería tener previsto la captura de
datos en la información de no conformidades y retroalimentación, en los niveles
de dirección apropiados, para la definición e implementación eficaz de acciones
correctivas.
Para los casos en que los resultados del
servicio se entrega después de la realización del proceso, el “control de
producto no conforme” pudiera basarse en el seguimiento y técnicas de
inspección usuales. Se necesitará evidencia para ver la adecuación e
implementación eficaz de esas técnicas.
Traducción libre de NC.
No oficial -Documentos oficiales disponibles en:
www.iaf.nu y
www.bsi.org.uk/iso-tc176-sc2
(RETORNAR
AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)
Página
Principal
Imparcialidad del
auditor de tercera parte y conflictos de intereses
en proceso de traducción
Traducción libre de NC.
No oficial -Documentos oficiales disponibles en:
www.iaf.nu y
www.bsi.org.uk/iso-tc176-sc2
(RETORNAR
AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)
Página Principal
Auditando sistemas de gestión en base
electrónica
1. Introducción
La creciente dependencia de las
organizaciones en medios electrónicos para la operación y control de sus
sistemas de gestión, requiere que los organismos de certificación y sus
auditores vean nuevos enfoques para asegurar que las auditorías serán eficaces y
eficientes. Ellos necesitarán redefinir el modo como los procesos y los
documentos relacionados (incluyendo los registros) van a ser evaluados para
verificar su conformidad con el criterio de auditoría.
Este documento ha sido desarrollado para
dar unas directrices generales para la realización de auditorías a sistemas de
gestión que estén totalmente basados en sistemas electrónicos o tengan un alto
grado de su documentación en medios electrónicos. También proporciona
directrices para los organismos de certificación y auditores para considerar
como un complemento a las actividades de planificación y preparación normal que
pudieran ocurrir antes de una auditoría.
Este documento se enfoca a aquellos
requisitos de la norma ISO 9001 donde existe la posibilidad de utilizar
documentos, registros, etc, electrónicos y también donde el acceso a esos
documentos/registros pudiera estar controlado por sistemas electrónicos.
Este documento va dirigido a auditores de
sistemas de gestión que tienen una amplia y variada experiencia con respecto a
sistemas de gestión en base electrónica (SGBE) – por ej. sistemas de gestión
que son dependientes de documentos electrónicos, datos y aplicaciones de
software para su operación normal. Sin embargo, está escrito en un estilo que también
permitirá ser utilizado por aquellos que solamente tienen una experiencia
limitada en computadoras y SGBE.
Sin importar si es un organismo de
certificación de tercera parte, un organismo de acreditación o una función de
auditoría interna, quién realice la auditoría (“la organización auditora”) es
responsable de asegurar la eficacia del proceso de auditoría para el SGBE. Este
documento utiliza la guía proporcionada en la norma ISO 19011, y sugiere
enfoques que pudieran ser utilizados por auditores de ISO 9001, y otras normas
de sistemas de gestión, con la intención de verificar la conformidad con la
norma referenciada. Los auditores y las organizaciones auditoras deben hacer
los ajustes necesarios para asegurar un enfoque apropiado a como desarrollan los
pasos del proceso de auditoría indicados en la norma ISO 19011.
Debe resaltarse que la destreza en
auditar SGBE (Sistemas de gestión en base electrónica) no debe verse como una
excusa para reducir la duración de la auditoría, sino como un medio de optimización
de la eficacia y eficiencia de la auditoría.
No se pretende que este documento
proporcione directrices para auditar los controles asociados con la seguridad
de la información del SGBE. Aquellos interesados en otro tipo de controles
asociados con la seguridad de la información se sugiere que se dirijan al
documento ISO/IEC 17799 que es una norma para estos temas.
2. Iniciación y planificación de la
auditoría
Durante
la fase de iniciación de la auditoría (Auditoría fase 1) la organización
auditora debe determinar la estructura de la organización a ser auditada, y el
grado en que su sistema de gestión está basado electrónicamente. Una
organización multisitio con un SGBE centralizado, o una organización “virtual”,
requerirá diferentes planes de auditoría y métodos que una organización de un
solo sitio y/o una organización física.
La organización auditora y el auditado
deben acordar como los auditores accederán y utilizarán el SGBE.
Esto pudiera involucrar el considerar:
·
Permitir que los miembros del equipo
auditor tengan oportunidad de familiarizarse con el SGBE del auditado
(incluyendo la programación de suficiente tiempo dentro del plan de auditoría
para esa orientación)
·
Políticas del auditado para el uso de la
infraestructura de Tecnología de la información (TI).
·
Instrucciones para acceder, y las
licencias de seguridad para acceder y los documentos y registros
organizacionales pertinentes
·
Los seguros y procesos para asegurar que
los auditores protejan la confidencialidad de los documentos y registros
electrónicos durante y después de la auditoría.
La organización auditora debe asegurar
que existe la competencia suficiente dentro de su equipo auditor seleccionado
para realizar una evaluación eficaz del SGBE.
3. Revisión documental
Dependiendo de si el auditado tiene la
habilidad para hacer que su documentación esté disponible a través de una
aplicación basada en red o a través de transmisión por correo electrónico, la
organización auditora pudiera conducir parte o toda la revisión documental de
manera remota; ya sea en línea o por descarga de la documentación electrónica
enviada por correo electrónico.
Dependiendo de los factores técnicos o de
seguridad, pudiera no ser factible el conducir una revisión total del SGBE de
la organización en línea o por la transmisión de documentos relevantes por
correo electrónico, antes de llegar al sitio. En estos casos, sería necesario
que las actividades de preparación de la auditoría que requieran la revisión de
documentos electrónicos se realizaran en las instalaciones del auditado durante
la fase 1 de auditoría.
4. Actividades de realización en sitio
El enfoque para los SGBE dependerá
ampliamente de hasta donde la evidencia requerida para determinar la
conformidad está en forma de registros electrónicos.
Durante las actividades de realización en
el sitio, la ruta del auditor debe incluir típicamente la ubicación física del
proceso que está auditando. Sin embargo, con un SGBE el tiempo requerido para
confirmar la evidencia para determinar si se cumplen o no los requisitos,
pudiera emplearse en una computadora o estación de trabajo que pudiera estar o
no localizada cerca del proceso en cuestión.
Cuando las estaciones de trabajo
computarizadas están en áreas remotas que no son accesibles para la ubicación
física de operación del proceso, el tiempo real de auditoría en la ubicación
física del proceso pudiera reducirse. Sin embargo, el tiempo total de
evaluación pudiera no necesariamente reducirse dado que la revisión de la
evidencia electrónica pudiera ocurrir antes y/o después de confirmar la
existencia del proceso físico.
En los casos donde la estación de trabajo
de la computadora es remoto, se debe dar una consideración especial al tiempo
requerido de traslado hacia y desde la ubicación física del proceso.
Cuando el proceso es dependiente de la
intervención humana, el auditor debe evaluar los métodos empleados para la
interacción entre el proceso físico y el medio electrónico para asegurar la
precisión de la información asociada.
5. Auditando el control de los documentos
electrónicos.
Los documentos electrónicos que
establecen políticas y procedimientos del sistema de gestión pueden estar en
una gran variedad de formatos dependiendo de las aplicaciones de software que
son utilizados por la organización para generar los documentos. Los archivos
electrónicos pueden incluir formatos como texto, html, pdf, etc. Las hojas de
cálculo y los formatos de bases de datos son también considerados “documentos”
electrónicos y están sujetos a los elementos de control del sistema de gestión
a auditar.
Dada la relativa facilidad con que los
usuarios pueden ahora crear hojas de cálculo electrónicas y otros documentos
electrónicos, los auditores deben asegurar que las políticas que gobiernan los
controles que aplican a la documentación del sistema de gestión, en general
también se apliquen a los documentos electrónicos a través de los
procedimientos adecuados.
Las organizaciones necesitan emplear
métodos adecuados y eficaces dentro del ambiente electrónico para asegurar la
adecuada revisión, aprobación, publicación y distribución de la documentación
de su sistema de gestión. Estos deben ser consistentes con los métodos para el
desarrollo y modificación de documentos electrónicos.
En muchos casos las medidas de control de
documentos pudieran también ser características estándar de la aplicación del
software usados para su creación. Por lo tanto los auditores deben entender
esos controles de aplicación específicos al grado de que estos sean utilizados
como base para la conformidad a la norma de sistema de gestión aplicable.
Dado el incremento de capacidad para
modificar, actualizar, reformar y de cierta forma mejorar los documentos dentro
de un sistema de gestión electrónico, los auditores deben poner particular
atención en los elementos de control como la identificación de documentos y el
nivel de revisión de los documentos.
Como el medio electrónico facilita el
incremento de modificaciones a documentos, los auditores deben verificar que
los controles empleados para la gestión de documentos obsoletos sean
considerados dentro de las políticas y procedimientos de control de documentos
de la organización.
Los auditores deben verificar que la
documentación del SGBE existe para proporcionar orientación a los usuarios
respecto a los aspectos funcionales y de control asociados a los documentos
electrónicos. Adicionalmente, los requisitos en el “punto de uso” asociados con
las normas de sistema de gestión aplicables, típicamente se cubrirán en parte
por las políticas de acceso a documentos de la organización. Los auditores
deben entender las políticas y procedimientos de la organización que tratan
sobre los privilegios de los usuarios ya que estos son factores importantes
para comprender apropiadamente los procesos de la organización.
La comunicación electrónica externa con
proveedores, clientes y otras partes interesadas pudieran involucrar el
intercambio de documentos. Dado que estos documentos externos pudieran contener
parámetros clave que especifican el funcionamiento de los procesos de la
organización, los auditores deben verificar el grado en que estos documentos
son formalmente introducidos y controlados dentro del sistema de gestión en
base electrónica.
6. Auditando el control de los registros
electrónicos
Los registros electrónicos consisten en
los datos de los resultados de los procesos combinados con los formatos
electrónicos que contienen los datos.
Estos formatos electrónicos van desde una
simple hoja electrónica a las aplicaciones de base de datos más complejas.
Los auditores deben estar concientes de
que los elementos de control que establecen las organizaciones para las formas
electrónicas no son necesariamente los mismos que los que aplican a los
registros electrónicos. Por ejemplo, con respecto a la “Identificación”, en el
caso de formas electrónicas, el término se refiere a la nomenclatura del
formato electrónico mismo. Cuando la “identificación” es considerada en el caso
de un registro electrónico, esta se refiere al uso único del formato
electrónico para un grupo dado de datos.
Los auditores deben revisar los métodos
empleados por la organización para la captura de datos, con la finalidad de
asegurar que las actividades de introducción de datos proporciona la suficiente
confianza en su exactitud.
Cuando se evalúa los controles de la
organización con respecto al almacenaje de registros, los auditores deben
verificar si las organizaciones tienen un entendimiento de su capacidad de
almacenamiento contra:
• El
rango de generación de registros
•
Las políticas de retención de registros y tiempos asociados
• El
rango de disposición de registros,
ya que estos factores pudieran impactar
el funcionamiento apropiado del SGBE.
Dado que la base de conocimientos y el desempeño
de la organización pudiera estar casi totalmente en registros electrónicos, los
auditores deben revisar los enfoques de la organización para seguridad de la
información contenida en medios electrónicos. Para más información sobre
Seguridad de
la Información
ver la norma ISO/IEC 17799.
7. Recursos Organizacionales
Conforme las organizaciones emigran al
uso de SGBE, el papel de las funciones de TI (tecnología de la información) se
tornan vitales. Los auditores deben verificar si las organización ha dedicado
los recursos de TI apropiados (incluyendo la infraestructura) para asegurar que
el SGBE opera continua y eficazmente.
Los auditores deben también verificar si
la organización tiene definidos apropiadamente el nivel de interacción, soporte
e involucramiento del personal de TI en aspectos asociados con el
establecimiento, documentación, implementación y mantenimiento del SGBE.
Como parte de la verificación de la
asignación de los recursos apropiados, los auditores deben evaluar como la
organización cubre la competencia requerida del personal para operar el equipo
(hardware) y el software para correr el SGBE.
Durante el establecimiento de un SGBE, es
una práctica común que sistemas paralelos (manuales y electrónicos) estén
funcionando por un período de tiempo que permita a los usuarios su adaptación.
En estos casos el auditor debe verificar los enfoques de la organización para
asegurar que el SGBE ha sido realmente asimilado y utilizado por el personal de
la organización.
La complejidad de la infraestructura de
TI de las organizaciones variará, dependiendo de la naturaleza y complejidad de
los negocios. Los auditores deben verificar los procedimientos y políticas de
mantenimiento del sistema de la organización para su plataforma de TI. También,
los auditores deben verificar como la organización cubre los incidentes de
paros del sistema, ya que esto impactará el funcionamiento normal del SGBE. Los
auditores deben evaluar si la organización tiene o no sistemas formales de
respaldo, y si éstos se revisan y prueban periódicamente en su adecuación o no.
En relación al software, los auditores
deben verificar los controles establecidos para el software interno, el
software externo, las licencias de software y las actualizaciones del software.
Ya que el software puede ser considerado un documento electrónico dinámico, las
directrices dadas con anterioridad para auditar los documentos pudieran también
ser aplicables a éste.
Dependiendo de que tanto la organización
utilice software para su SGBE, los auditores deben revisar la funcionalidad de
las aplicaciones y su relación con los elementos del sistema de gestión
definidos en el criterio aplicable.
Como los factores ambientales pudieran
impactar en el funcionamiento de una plataforma de TI, las organizaciones deben
tener medidas para protegerse contra esos factores. Esto puede variar desde la
necesidad de adecuar las instalaciones hasta la necesidad de tener fuentes
ininterrumpibles de energía (UPS). Los auditores deben evaluar si los controles
de la organización toman en cuenta aspectos como el mantenimiento de
instalaciones, temperatura, humedad, etc, en la medida que estos amenacen la
operación del SGBE.
8. Comunicación electrónica interna y
externa
Dado que las opciones disponibles y la
facilidad de uso en la comunicación electrónica aumenta, las organizaciones
deben asegurar que el sistema de gestión documentado cubre estos medios, según
sea necesario, para asegurar consistencia en su utilización para satisfacer los
requisitos de su SGBE y la norma de sistema de gestión aplicable.
Cuando se utilizan intranets, e-mails y
mensajes instantáneos para satisfacer los requisitos del SGBE, los auditores
deben verificar las políticas y procedimientos que cubran las circunstancias
bajo las cuales estos medios pudieran se empleados. Adicionalmente, si los
resultados de la comunicación electrónica interna serán utilizados para
satisfacer los criterios de auditoría, los auditores deben verificar que las
políticas y procedimientos para el control de registros se hayan aplicado.
Cuando la organización dependa de su
infraestructura de TI para las comunicaciones electrónicas con sus clientes
(por ej. para e-comercio), proveedores (e-provisión), sitios remotos y otras
partes interesadas, el auditor debe verificar que la metodología, políticas y
procedimientos para esas comunicaciones y transacciones asociadas están
formalmente cubiertas dentro del SGBE.
9. Sistemas de gestión multi-sitios
Las organizaciones que operan a través de
múltiples sitios (o desde una central a ubicaciones satélites) normalmente
mantienen comunicaciones y comparten políticas, procedimientos y datos de
procesos entre sus varias ubicaciones via electrónica, como el Internet,
intranets, e-mail y Messenger.
Cuando la plataforma TI y su software de
aplicación asociado se utilizan para compartir información que es pertinente al
criterio de auditoría, los auditores deben entender los diferentes medios de
red que se emplean en la organización en la medida que sea necesario para
juzgar si el SGBE cumple con el criterio de auditoría.
Los auditores deben verificar si los
controles sobre un sistema de gestión multi sitio son cubiertos y establecidos
apropiadamente dentro de las políticas y procedimientos de la organización.
10. Competencia del auditor
La confiabilidad del proceso de auditoría
para un SGBE dependerá de la habilidad de los auditores para entender las
tendencias en
la
Tecnología de
la Información ya que las organizaciones dependen
cada vez más del software para dar seguimiento y controlar sus operaciones.
Las organizaciones auditoras deben tomar
las medidas necesarias, incluyendo la provisión de entrenamiento, para cubrir
las necesidades generales e individuales de su base de auditores con respecto
a:
·
Tendencias generales en Tecnología de
la Información que
pudiera impactar la operación de los sistemas de gestión
·
Consideraciones especiales de auditoría
para cada asignación de auditoría tomada.
Como las innovaciones en el sector TI son
relativamente rápidas comparadas con los cambios en los criterios de auditoría,
los auditores y las organizaciones auditoras se ven retadas con la necesidad de
tener un entendimiento práctico de las tendencias asociadas y como ellas
pudieran ser aplicables y utilizadas dentro de un SGBE.
A la luz de las innovaciones que
influencian el funcionamiento de un SGBE, las organizaciones auditoras deben
determinar si la experiencia necesaria para ser eficaces en una auditoría dada,
se encuentra en el equipo auditor mismo o cuándo se requerirá la asistencia de
un experto técnico.
Traducción libre de NC.
No oficial -Documentos oficiales disponibles en:
www.iaf.nu y
www.bsi.org.uk/iso-tc176-sc2
(RETORNAR
AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)
Página
Principal
Auditando la gestión de los recursos
Los auditores
deberían verificar que los recursos necesarios para implementar, mantener y mejorar
el sistema de gestión de la calidad se gestionan adecuadamente. Esto implica
que la organización debe identificar, planificar, utilizar, poner a
disposición, monitorear y cambiar los recursos adecuados según sea necesario.
Se recomienda que
la gestión de los recursos no se audite de forma aislada. Independientemente de
la forma en que la organización esté estructurada e identifique sus procesos,
los auditores deberían poder verificar la gestión adecuada y eficaz de los
recursos para lograr los resultados planificados. Es importante que los
auditores verifiquen si la organización ha evaluado el desempeño anterior y
actual (por ejemplo, usando el análisis costo-beneficio, la evaluación de
riesgo, etc.) al decidir qué recursos se deben asignar.
La gestión de los
recursos se puede evaluar mediante entrevistas con la alta dirección y otro
personal responsable para verificar que se han instaurado los procesos
adecuados. Sin embargo, es necesario apoyarse con evidencia objetiva
recolectada durante toda la auditoría.
La evidencia se
puede obtener en diferentes etapas de la auditoria - revisando entradas,
desempeño de procesos y resultados. Esto se ha de llevar a cabo al auditar
todos los procesos y la documentación de procesos y sistemas relacionados tales
como:
·
compromiso y responsabilidades de la dirección;
·
proceso de revisión por la dirección;
·
procesos de realización del producto, incluyendo el control de
productos no conformes, acciones correctivas y preventivas y mejora continua.
Los auditores
deberían evitar hacer juicios subjetivos sobre la adecuación de los recursos
asignados por la organización y limitar su papel a la evaluación de la eficacia
del proceso de gestión de los recursos.
Los auditores
deberían verificar que se suministran y mantienen los recursos humanos, la
infraestructura (energía, agua, mantenimiento de instalaciones y equipos,
comunicaciones, tecnología de la información, etc.) y el ambiente de trabajo
(temperatura, iluminación, vibración, ruido, etc.) de forma coherente con la
política y los objetivos de calidad y que contribuyen al cumplimiento de los
requisitos del producto.
Si
se observa que la organización no ha tenido en cuenta la gestión eficaz de los
recursos, lo cual puede ocasionar que un producto no satisfaga los requisitos
relacionados, esto se debería tratar como una no conformidad, cuya magnitud
debería estar relacionada con el riesgo asociado.
Traducción libre de NC.
No oficial -Documentos oficiales disponibles en:
www.iaf.nu y
www.bsi.org.uk/iso-tc176-sc2
(RETORNAR
AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)
Página
Principal
Auditando las comunicaciones
con el cliente
1.
Introducción
Un proceso
eficaz de comunicación con el cliente contribuye al éxito del sistema de
gestión de la calidad de cualquier organización y principalmente al éxito de la
organización en sí. Por el contrario, muchos de los problemas que experimenta
una organización con sus clientes tienen su origen en una comunicación deficiente.
2.
Requisitos y Guía
2.1 ISO 9001:2000, cláusula 7.2.3
establece lo siguiente:
“Comunicación con el cliente
La organización debe determinar e implementar las
disposiciones eficaces para comunicarse con el cliente respecto a:
a) información del
producto,
b) manejo de solicitudes
de información, contratos o pedidos, incluyendo enmiendas, y
c)
retroalimentación del cliente, incluyendo los reclamos del cliente”.
2.2 Se ha publicado un documento del
Grupo de Prácticas de Auditoría sobre la auditoría a los procesos de
retroalimentación del cliente y reclamos de los clientes.
2.3 Otros requisitos de ISO
9001:2000 con relación a la comunicación con el cliente:
Existen
otros requisitos en ISO 9001:2000 en donde se hace referencia directa, o
indirecta, a la comunicación con el cliente.
·
La alta dirección debe asegurarse de que los
requisitos del cliente están determinados y se cumplen, con el objeto de
mejorar la satisfacción del cliente (cláusula 5.2)
·
La revisión de la organización de los requisitos
relacionados con el producto realizada antes de comprometerse a suministrar un
producto al cliente (por ejemplo, presentación de ofertas, aceptación de
contratos o pedidos, aceptación de cambios en los contratos o los pedidos,
etc.); (cláusula 7.2.2).
·
Cuando el cliente no proporciona ninguna declaración
documentada del requisito, los requisitos del cliente deben ser confirmados por
la organización antes de la aceptación (cláusula 7.2.2); es necesario que la organización
instaure un sistema para obtener dichos requisitos.
·
Autorización del uso de producto no conforme mediante
liberación o aceptación bajo concesión por parte de una autoridad pertinente y,
cuando se aplique, por parte del cliente (cláusula 8.3b)).
2.4 Guía de ISO 9004:2000
(cláusula 7.2):
“Procesos
relacionados con las partes interesadas
La dirección debería asegurarse de que la organización
ha definido procesos mutuamente aceptables para comunicarse eficaz y eficientemente
con sus clientes y otras partes interesadas. La organización debería
implementar y mantener tales procesos para garantizar la comprensión adecuada
de las necesidades y las expectativas de sus partes interesadas, y para que se
traduzcan en requisitos para la organización…”
3.
Verificación de la eficacia de las comunicaciones con el cliente
La
verificación de la eficacia de la comunicación con el cliente es, por lo tanto,
un componente primordial para lograr la satisfacción del cliente. Aunque no
existe un requisito específico en ISO 9001:2000 para un proceso documentado,
dependiendo del tamaño, la complejidad y la cultura de la organización, puede
ser necesario tener uno para garantizar la implementación eficaz del proceso de
comunicación con el cliente.
ISO
9000 define el término “cliente” como el receptor de un producto.
Adicionalmente da ejemplos de clientes, incluyendo al “usuario final”.
Muchas
organizaciones venden sus productos / servicios a través de distribuidores y
minoristas y es probable que no reciban pedidos directamente de los usuarios
finales. Es importante para el auditor verificar la manera en que la
organización se comunica con los usuarios finales sobre la calidad de su
producto/servicio y también el mecanismo para obtener retroalimentación (además
de los reclamos) de los usuarios finales. Se debería reconocer que en ocasiones
las necesidades de los distribuidores y minoristas pueden ser diferentes de
aquellas de los usuarios finales.
4. El
enfoque del auditor
4.1 La comunicación con el
cliente se divide en tres categorías generales:
· Comunicación general de la
organización con clientes existentes o potenciales - como por ejemplo anuncios
publicitarios o información de mercadeo.
· Información específica
relacionada con solicitudes de información, requisitos o pedidos del cliente.
· Comunicación
como respuesta a la retroalimentación y los reclamos del cliente.
4.2 El auditor puede observar
algunos o todos los siguientes medios de comunicación general de la organización
con el cliente:
Información del producto,
que incluye:
· material
publicitario,
· sitios
Web,
· catálogos del producto.
Cuando
la organización recibe pedidos de los distribuidores y no del usuario final, el
auditor debería establecer que la información del producto disponible para los
usuarios finales (impresos sueltos, folletos, sitios Web, etc.) describe exacta
y adecuadamente al producto/servicio. También el auditor debería tratar de
establecer la forma como se identifican las necesidades del cliente y cómo se
obtienen las especificaciones del producto.
4.3 El auditor verificaría que la
información del producto para confirmar que está disponible con facilidad para
los clientes o clientes potenciales y que suministra información actualizada y
exacta. El auditor también podría preguntar, por ejemplo, qué tan a menudo se
revisa el material publicitario, los sitios Web y los catálogos del producto
para que reflejen las ofertas actuales de producto de la organización y qué
medidas se toman si un producto particular se modifica, descontinúa o ya no
está disponible.
4.4 El auditor puede observar
algunos o todos de los siguientes medios de comunicación específica de la
organización con el cliente:
Manejo
de solicitudes de información, contratos o pedidos, incluyendo las enmiendas
· cotizaciones
· formularios
de pedido
· confirmación
de pedido
· enmienda
del pedido
· documentación
de entrega
· facturas
· notas
crédito
· correspondencia
general y por correo electrónico
· informes de visitas o notas
de/para el cliente
Proceso
de gestión de las reclamaciones y la retroalimentación del cliente
· Cartas
de respuesta a las reclamaciones
· Reconocimientos
4.5 Existen también casos adicionales
en que el auditor experimentará la comunicación de la organización con el
cliente:
· Durante el proceso de pedido
cuando el cliente no suministra declaración documentada de los requisitos, es
necesario que la organización tenga un sistema para obtener o confirmar estos
requisitos del cliente antes de aceptar el pedido.
· Durante el proceso de
diseño/desarrollo puede haber considerable comunicación entre la organización y
el cliente.
· Durante
el proceso de autorización del uso de producto no conforme mediante liberación
o aceptación según concesión de una autoridad pertinente y, cuando se aplique,
del cliente.
4.6 El auditor
utilizaría métodos normales de rastreo para verificar la conformidad con los
requisitos para la comunicación con el cliente indicados en ISO 9001 y si la
organización se comunica eficazmente con el cliente en la ejecución de la
solicitud de información, el contrato o el pedido.
Traducción libre de NC.
No oficial -Documentos oficiales disponibles en:
www.iaf.nu y
www.bsi.org.uk/iso-tc176-sc2
(RETORNAR
AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)
Página Principal
Auditando los procesos
de Diseño y Desarrollo
en proceso de traducción
Traducción libre de NC.
No oficial -Documentos oficiales disponibles en:
www.iaf.nu y
www.bsi.org.uk/iso-tc176-sc2
(RETORNAR
AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)
Página Principal
Código de ética y
conducta del auditor
en proceso de traducción
Traducción libre de NC. No
oficial -Documentos oficiales disponibles en:
www.iaf.nu y
www.bsi.org.uk/iso-tc176-sc2
(RETORNAR
AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)
Página Principal
Guía sobre los
aspectos culturales de la auditoria
en proceso de traducción
Traducción libre de NC.
No oficial -Documentos oficiales disponibles en:
www.iaf.nu y
www.bsi.org.uk/iso-tc176-sc2
(RETORNAR
AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)
