Manual de Auditoria de Los Sistemas de Gestion 2013

Manual de auditoría

de los sistemas de gestión

2.a edición

Michel Jonquières

Título original: Manuel de l ’audit des systèmes de management à l ’usage des auditeurs et des audités

Autor: Michel Jonquières

© AFNOR, 2006ISBN: 2-12-475520-X

Título en castellano: Manual de auditoría de los sistemas de gestión (2.a edición)

Traducción: amm - Business Translation Center, S.L.

© AENOR (Asociación Española de Normalización y Certificación), 2010

Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte,

sin la previa autorización escrita de AENOR.

ISBN: 978-84-8143-654-9

Depósito Legal: M-4725-2010

Impreso en España - Printed in Spain

Edita: AENOR

Maqueta y diseño de cubierta: AENOR

Imprime: AENOR

Nota: AENOR no se hace responsable de las opiniones expresadas por el autor en esta obra.

Génova, 6. 28004 Madrid • Tel.: 902 102 201 • Fax: 913 103 695

[email protected] • www.aenor.es

Agradecimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11

1. Cuestiones generales relativas a la auditoría de los sistemas de gestión . . 13

1.1. Auditoría de los sistemas de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.1.1. Definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

1.1.2. Tipología de las auditorías del sistema de gestión . . . . . . . . . . . 16

1.1.3. Sectores de la auditoría de los sistemas de gestión . . . . . . . . . . 17

1.2. Fundamentos de la auditoría de los sistemas de gestión . . . . . . . . . . . . 20

1.2.1. Terminología de la auditoría de los sistemas de gestión ambiental . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20

1.2.2. Principios generales de la auditoría de los sistemas de gestión . . 22

1.2.3. Objetivos de la auditoría de gestión . . . . . . . . . . . . . . . . . . . . . 24

1.2.4. Principales momentos de la auditoría de los sistemas de gestión . . 27

1.2.5. Programas de auditoría de los sistemas de gestión . . . . . . . . . . 27

1.3. Requisitos de las normas de los sistemas de gestión en materia de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38

1.3.1. Requisitos de la Norma UNE-EN ISO 9001:2008 . . . . . . . . . . . 38

1.3.2. Requisitos de la Norma UNE-EN ISO 14001:2004 . . . . . . . . . . 39

1.4. Norma UNE-EN ISO 19011:2002 . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

1.4.1. Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 40

1.4.2. Contenido de la Norma UNE-EN ISO 19011:2002 . . . . . . . . . 42

Índice

2. Auditoría interna (auditoría de primera parte) . . . . . . . . . . . . . . . . . . . . . 45

2.1. Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

2.1.1. Ámbito de aplicación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 46

2.1.2. Duración de una auditoría interna . . . . . . . . . . . . . . . . . . . . . . 47

2.1.3. Equipo auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

2.2. Preparación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 47

2.2.1. Lectura de ciertos elementos del sistema de gestión . . . . . . . . . . 48

2.2.2. Realización del plan de auditoría . . . . . . . . . . . . . . . . . . . . . . . 49

2.2.3. Redacción por adelantado de un cuestionario . . . . . . . . . . . . . . 50

2.3. Realización de una auditoría interna . . . . . . . . . . . . . . . . . . . . . . . . . . 51

2.3.1. Reunión de apertura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 52

2.3.2. Identificación de las constataciones de la auditoría . . . . . . . . . . 52

2.3.3. Reunión de síntesis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 56

2.3.4. Reunión de cierre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 58

2.4. Postauditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

2.4.1. Informe de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 59

2.4.3. Seguimiento de la auditoría interna . . . . . . . . . . . . . . . . . . . . . 61

3. Auditoría de segunda o tercera parte (auditoría de certificación) . . . . . . . . 63

3.1. Inicio . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

3.1.1. Origen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 64

3.1.2. Certificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

3.2. Preparación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

3.2.1. Visita previa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69

3.2.2. Lectura de ciertos elementos del sistema de gestión . . . . . . . . . . 70

3.2.3. Realización del plan de auditoría . . . . . . . . . . . . . . . . . . . . . . . 70

3.2.4. Redacción por adelantado de un cuestionario . . . . . . . . . . . . . . 71

3.3. Celebración . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73


3.3.2. Identificación de las constataciones de la auditoría . . . . . . . . . . 74

3.3.3. Reunión de síntesis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77

3.4. Reunión de cierre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 78

6 Manual de auditoría de los sistemas de gestión

3.5. Postauditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

3.5.1. Informe de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

3.5.2. Concesión de la certificación . . . . . . . . . . . . . . . . . . . . . . . . . . 82

3.5.3. Seguimientos de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . 82

3.5.4. Postcertificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83

4. Auditores . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

4.1. ¿Ser, o no ser auditor? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89

4.1.1. Atributos personales . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 90

4.1.2. Conocimientos y aptitudes . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

4.1.3. Formación inicial, experiencia profesional, formación como auditor y experiencia en auditorías . . . . . . . . . . . . . . . . . . . . . . 92

4.1.4. Mantenimiento y mejora de la competencia . . . . . . . . . . . . . . . 92

4.1.5. Evaluación del auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94

4.1.6. Cualificación y certificación de los auditores . . . . . . . . . . . . . . . 95

4.2. Algunos consejos útiles para los auditores . . . . . . . . . . . . . . . . . . . . . . 96

4.2.1. Cualificación y formulación de las constataciones de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 96

4.2.2. Comportamiento del auditor . . . . . . . . . . . . . . . . . . . . . . . . . . 100

4.2.3. Algunos consejos útiles para los auditores . . . . . . . . . . . . . . . . 100

5. Auditados . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

5.1. Saber ser auditado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 107

5.2. Algunos consejos para los auditados . . . . . . . . . . . . . . . . . . . . . . . . . . 107

5.2.1. Preparación de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . 107


5.2.3. Realización de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . 112

5.2.4. Reunión de cierre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 114

5.2.5. Postauditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 115

6. Perspectivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 117

6.1. Integración de los sistemas de gestión y de auditoría . . . . . . . . . . . . . . 117

6.1.1. Sistemas de gestión integrada . . . . . . . . . . . . . . . . . . . . . . . . . . 117

6.1.2. Auditoría del sistema integrado de gestión . . . . . . . . . . . . . . . . . 118

7Índice

6.2. Desarrollo sostenible de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . 118

6.3. Otras auditorías . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 119

6.4. Certificación futura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 120

Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Anexo A. Lista de normas citadas en el libro . . . . . . . . . . . . . . . . . . . . . . . . . 127

Anexo B. Siglas empleadas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 129


La presente obra es el resultado conjunto de la larga práctica de la apasionante pro-fesión de auditor –de sistemas de gestión y de otros ámbitos igual de cautivadores–y de diversos intercambios con mis colegas auditores, los propios auditados y losparticipantes en cursos de formación y seminarios: muchas gracias a todos ellos.

Agradecimientos

Su organismo adopta un sistema de gestión basado en:

• La Norma UNE-EN ISO 9001:2008 Sistemas de gestión de la calidad. Requi-sitos (ISO 9001:2008).

• La Norma UNE EN ISO 14001:2004 Sistemas de gestión ambiental. Requisitoscon orientación para su uso (ISO 14001:2004).

• Estándar OHSAS 18001:2007 Sistemas de gestión de la seguridad y salud en eltrabajo. Requisitos.

Y se produce un periodo de adaptación al mismo o el sistema de gestión ya haentrado en vigor.

En breve se celebrará la auditoría de certificación –inicial, de seguimiento o derenovación– de tercera parte o simplemente la auditoría interna de dicho sistemade gestión.

• Usted, como responsable del organismo.

• Usted, como auditor interno debutante.

• Usted, como auditor de tercera parte confirmado.

• Usted, como responsable de la calidad y/o ambiental.

• Usted, como director de la calidad y/o ambiental.

• Usted, como miembro del equipo de dirección.

• Usted, como actor del sistema de gestión ambiental.

• Usted, como futuro auditado,…

Introducción


…¿está preparado para la auditoría?:

• ¿Sabe cómo se desarrollará?

• ¿Conoce los límites que el auditor no deberá exceder?

• ¿Conoce su papel en la auditoría?

• ¿Sabe cómo será la postauditoría?

La presente obra tiene un objetivo muy simple: ofrecer respuesta a estas preguntas(y a muchas otras).

Advertencia

• Para evitar que el lector tenga que volver sobre sus pasos constantemente, hemostomado la iniciativa de separar los capítulos 2 “Auditoría interna (auditoría de pri-mera parte)” y 3 “Auditoría de segunda o tercera parte (auditoría de certificación)”,aunque se han introducido algunas redundancias inevitables.

• Esta obra recoge la evolución de los términos y de las definiciones que figuran en laNorma UNE-EN ISO 9000:2005 Sistemas de gestión de la calidad. Fundamentosy vocabulario (ISO 9000:2005).

1.1. Auditoría de los sistemas de gestión

1.1.1. Definiciones

Comenzaremos este capítulo con un enfoque etimológico secuencial, analizandolas definiciones de los términos sistema, gestión, sistema de gestión, sistema de ges-tión de la calidad, sistema de gestión ambiental y auditoría.

Prácticamente todas las definiciones figuran en la Norma UNE-EN ISO 9000:2005Sistemas de gestión de la calidad. Fundamentos y vocabulario (ISO 9000:2005), enconcreto, en el capítulo 3 “Términos y definiciones”.

Cuestiones generales relativas a la auditoría de

los sistemas de gestión1

3.2.1 sistema: Conjunto de elementos mutuamente relacionados o que interactúan.

3.2.2 sistema de gestión: Sistema (3.2.1) para establecer la política y los objetivosy para lograr dichos objetivos.

NOTA – Un sistema de gestión de una organización (3.3.1) podría incluir diferentes sistemasde gestión, tales como un sistema de gestión de la calidad (3.2.3), un sistema de gestiónfinanciera o un sistema de gestión ambiental.

3.2.3 sistema de gestión de la calidad: Sistema de gestión (3.2.2) para dirigir ycontrolar una organización (3.3.1) con respecto a la calidad (3.1.1).

UNE-EN ISO 9000:2005

La definición anterior presenta un gran interés por la riqueza de sus términos, yaque contiene todas las ideas fundamentales en las que se basa cualquier sistema degestión.

La principal idea que deberá retenerse es que el sistema de gestión ambiental, de lacalidad y de otros ámbitos no son elementos libres e independientes entre sí, sinoque, en realidad, son subsistemas que pertenecen a un sistema global de gestión delorganismo. Por tanto, dependen unos de otros y, al mismo tiempo, comparten ele-mentos comunes y específicos.


3.2.6 gestión: Actividades coordinadas para dirigir y controlar una organización(3.3.1).

3.8 sistema de gestión ambiental, SGA: Parte del sistema de gestión de una orga-nización (3.16), empleada para desarrollar e implementar su política ambiental(3.11) y gestionar sus aspectos ambientales (3.6).

NOTA 1 – Un sistema de gestión es un grupo de elementos interrelacionados usados para esta-blecer la política y los objetivos y para cumplir estos objetivos.

NOTA 2 – Un sistema de gestión incluye la estructura de la organización, la planificación deactividades, las responsabilidades, las prácticas, los procedimientos (3.19), los procesos y losrecursos.

UNE-EN ISO 14001:2004

3.9.1 auditoría: Proceso (3.4.1) sistemático, independiente y documentado paraobtener evidencias de la auditoría (3.9.4) y evaluarlas de manera objetiva con el finde determinar el grado en que se cumplen los criterios de auditoría (3.9.3).

NOTA 1 – Las auditorías internas, denominadas en algunos casos auditorías de primera parte,se realizan por o en nombre de la propia organización (3.3.1) para la revisión por la direc-ción y otros fines internos, y puede constituir la base para la declaración de conformidad(3.6.1) de una organización. En muchos casos, particularmente en organizaciones pequeñas,la independencia puede demostrarse al estar libre el auditor de responsabilidades en la activi-dad que se audita.

NOTA 2 – Las auditorías externas incluyen lo que se denomina generalmente auditorías desegunda y tercera parte. Las auditorías de segunda parte se llevan a cabo por partes que tienen


Esta definición contiene términos clave como: sistemático, independiente, docu-mentado, etc., sobre los que volveremos a lo largo de toda la obra.

Por su parte, Michel Joras, en su obra Les Fondamentaux de l’audit, publicada enÉditions Préventique, emplea la definición adoptada por la comisión IFACI/IAS(Institut Français des Auditeurs Internes/Institut de l’Audit Social), a saber: “Procesoespecífico del examen y de la evaluación de las actividades de una organizaciónbasada en un sistema de referencia y cuyas conclusiones pueden conllevar propues-tas de mejora relativas a la regularidad y/o al rendimiento”.

El término auditoría, que Michel Joras (véase la referencia que figura a continua-ción) califica de palabra “comodín”, es a la vez “la expresión de un proceso, de unamisión, de una función, de una profesión, de un informe o de un documento, deun balance, de un diagnóstico, de una evaluación, etc.”.

Para concluir y volviendo al plano etimológico, cabe señalar que en latín el verboaudire significa tanto oír como escuchar.

15Cuestiones generales relativas a la auditoría de los sistemas de gestión

un interés en la organización, tal como los clientes (3.3.5), o por otras personas en su nombre.Las auditorías de tercera parte se llevan a cabo por organizaciones auditoras independientes y externas, tales como las que proporcionan la certificación/registro de conformidad con lasNormas ISO 9001 o ISO 14001.

NOTA 3 – Cuando se auditan juntos dos o más sistemas de gestión (3.2.2), se denomina“auditoría combinada”.

NOTA 4 – Cuando dos o más organizaciones auditoras cooperan para auditar a un únicoauditado (3.9.8), se denomina “auditoría conjunta”.

3.14 auditoría interna: Proceso sistemático, independiente y documentado paraobtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de deter-minar la extensión en que se cumplen los criterios de auditoría del sistema de gestiónambiental fijado por la organización (3.16).

NOTA 1 – En muchos casos, particularmente en organizaciones pequeñas, la independenciapuede demostrarse al estar libre el auditor de responsabilidades en la actividad que se audita.

UNE-EN ISO 14001:2004

1.1.2. Tipología de las auditorías del sistema de gestión

Las auditorías se pueden clasificar en torno a diversos ejes temáticos. Sin embargo,en este caso, optaremos por remitirnos a la tipología tradicional empleada en lasnormas de los sistemas de gestión.

En el apartado 2.8.2 “Auditorías del sistema de gestión de la calidad” de la NormaUNE-EN ISO 9000:2005 se presenta una tipología de auditoría a tres niveles:

Asimismo, cabe asociar el calificativo auditoría interna o auditoría externa a quienjuzga el sistema auditado:

• La auditoría se calificará como auditoría interna si el propio organismoemite el juicio en relación con sus propias necesidades.

Por el contrario, si se trata de un organismo externo reconocido (acreditado, porejemplo, en el caso de las auditorías de tercera parte) se denominará auditoríaexterna. Asimismo, pueden emplearse otros adjetivos:

• Auditoría común o auditoría combinada (auditoría simultánea de un sistemade gestión de la calidad y de un sistema de gestión ambiental, por ejemplo).

• Auditoría conjunta o auditoría compuesta (“Uno o más auditores quellevan a cabo una auditoría, con el apoyo, si es necesario, de expertos técnicos)”[Norma UNE-EN ISO 9000:2005 (apartado 3.9.1) y de la Norma UNE-EN ISO 19011:2002 (apartado 3.1)].


2.8.2 Auditorías del sistema de gestión de la calidad. Las auditorías se utilizanpara determinar el grado en que se han alcanzado los requisitos del sistema de ges-tión de la calidad. Los hallazgos de las auditorías se utilizan para evaluar la eficaciadel sistema de gestión de la calidad y para identificar oportunidades de mejora.

Las auditorías de primera parte son realizadas con fines internos por la organizacióno en su nombre, y pueden constituir la base para la auto-declaración de conformi-dad de una organización.

Las auditorías de segunda parte son realizadas por los clientes de una organización opor otras personas en nombre del cliente.

Las auditorías de tercera parte son realizadas por organizaciones externas independientes.Dichas organizaciones, usualmente acreditadas, proporcionan la certificación o registrode conformidad con los requisitos contenidos en normas tales como la ISO 9001.

La Norma ISO 19011 proporciona orientación en el campo de las auditorías.


1.1.3. Sectores de la auditoría de los sistemas de gestión

Es habitual decir que una auditoría es un “trío”:

• El contratante de la auditoría.

• El auditado.

• El equipo auditor.

Según la Norma UNE-EN ISO 19011:2002, por cliente de la auditoría se enten-derá “organización o persona que solicita una auditoría”.

Asimismo, esta definición se complementa mediante una nota en la que se estableceque “el contratante puede ser el propio auditado o cualquier otro organismo queesté jurídica o contractualmente facultado para solicitar una auditoría”.

Así, es, por ejemplo, el caso de las auditorías de certificación de tercera parte de lossistemas de gestión que un organismo impone contractualmente a sus proveedoreso, incluso, de las auditorías de planta (auditoría calificada como “de due diligence”)que, por ejemplo, lleva a cabo un candidato comprador antes de otorgar la escri-tura de compra en el marco de un contrato.

Visto lo cual, las definiciones de los términos “auditado” y “auditor” son muy sen-cillas:

Siempre a tenor de la Norma UNE-EN ISO 19011:2002,


3.7 auditado: Organización que es auditada.

UNE-EN ISO 19011:2002

3.8 auditor: Persona con la competencia (3.14) para llevar a cabo una audito-ría (3.1).

3.9 equipo auditor: Uno o más auditores (3.8) que llevan a cabo una auditoría(3.1), con el apoyo, si es necesario, de expertos técnicos (3.10).

NOTA 1 – A un auditor del equipo auditor se le designa como líder del mismo.

NOTA 2 – El equipo auditor puede incluir auditores en formación.

Entre las responsabilidades de los auditores figuran las siguientes competencias:

• No apartarse del ámbito de aplicación de la auditoría.

• Demostrar objetividad.

• Reunir y analizar las pruebas pertinentes que basten para extraer las conclu-siones relativas al sistema de gestión.

• No bajar la guardia ante ningún indicativo que podría influir en las conclu-siones de la auditoría o, de manera eventual, requerir una auditoría comple-mentaria.

• Actuar, en toda circunstancia, de forma ética.

• Ajustarse a los requisitos aplicables a la auditoría.

• Comunicar y manifestar explícitamente dichos requisitos.

• Preparar y cumplir de manera eficaz las tareas encomendadas.

• Anotar las observaciones.

• Participar en la redacción del informe de auditoría.

• Garantizar la confidencialidad.

• Colaborar con el responsable de la auditoría.

En cuanto al responsable de la auditoría:

• Definir los requisitos relativos a la organización de la auditoría.

• Respetar los requisitos aplicables a la auditoría, así como las demás disposi-ciones oportunas.

• Preparar la auditoría, actualizar los documentos de trabajo e impartir las ins-trucciones al equipo auditor.

• Revisar los documentos relativos a las actividades del sistema de gestiónambiental existentes para determinar su grado de adecuación.

• Identificar inmediatamente tras la auditoría las no conformidades mayores.

• Identificar todo obstáculo importante al que se haya hecho frente en el trans-curso de la auditoría.

• Comunicar las conclusiones de la auditoría de forma clara, definitiva e inme-diata.

• Responsabilizarse de todas las fases de la auditoría en su conjunto.


• Participar en la selección de los demás miembros del equipo auditor.

• Elaborar el plan de auditoría junto con los demás miembros del equipo auditor.

• Moderar el transcurso de la auditoría.

• Mediar en todo desacuerdo que se produzca en el seno del equipo auditor ocon el auditado.

• Representar al equipo auditor frente a la dirección del auditado.

• Presentar el informe de auditoría. Se recuerda que la Norma UNE- EN ISO14012:1996 ha quedado anulada por la Norma UNE-EN ISO 19011:2002.

Además, también existen otras personas que pueden formar parte de la auditoría,como, por ejemplo, expertos técnicos, observadores o incluso guías para el equipoauditor.

Deberá tenerse en cuenta que los observadores o los guías podrán asistir a la misma,pero no participar en ella. Más adelante, nos referiremos de nuevo a las posibles difi-cultades que se asocian a la presencia de observadores en las auditorías.

Así se precisa en el apartado 6.5.3 de la Norma UNE-EN ISO 19011:2002.

Por otra parte, en dicho apartado se prevén las responsabilidades de los guías deauditoría, a saber:


3.10 experto técnico: Persona que aporta conocimientos o experiencia específicosal equipo auditor (3.9).

NOTA 1 – El conocimiento o experiencia específicos son los relacionados con la organización,el proceso o la actividad a auditar, el idioma o la orientación cultural.

NOTA 2 – Un experto técnico no actúa como un auditor (3.8) en el equipo auditor (3.9).

UNE-EN ISO 19011:2002

6.5.3 Papel y responsabilidades de los guías y observadores. Los guías y observa-dores pueden acompañar al equipo auditor, pero no forman parte del mismo. Nodeberían influir ni interferir en la realización de la auditoria.

Cuando el auditado designe guías, éstos deberían asistir al equipo auditor y actuarcuando lo solicite el líder del equipo auditor. Sus responsabilidades pueden incluir lassiguientes:

a) establecer los contactos y horarios para las entrevistas;

Hay que reconocer que, pese a todo, es poco frecuente recurrir a los guías.

1.2. Fundamentos de la auditoría de lossistemas de gestión

1.2.1. Terminología de la auditoría de los sistemas degestión ambiental

La terminología de las auditorías empleada en este libro entraña el conocimiento yel dominio de algunos términos. Dichos términos están extraídos del capítulo 3“Términos y definiciones” de la Norma UNE-EN ISO 19011:2002.

Como comentario adicional a esta nota, resulta interesante precisar que el sistemade referencia de la auditoría debe limitarse, como es evidente, a los requisitos veri-ficables. Así, por ejemplo, el capítulo 4 de una norma como la UNE-EN ISO14001:2004 sí es auditable, mientras que, por el contrario, el Anexo A de la misma


b) acordar las visitas a partes específicas de las instalaciones o de la organización;

c) asegurarse de que las reglas concernientes a los procedimientos relacionados conla protección y la seguridad de las instalaciones son conocidos y respetados porlos miembros del equipo auditor;

d) ser testigos de la auditoría en nombre del auditado; y

e) proporcionar aclaraciones o ayudar en la recopilación de la información.

3.11 programa de auditoría: Conjunto de una o más auditorías (3.1) planificadaspara un periodo de tiempo determinado y dirigidas hacia un propósito específico.

NOTA – Un programa de auditoría incluye todas las actividades necesarias para planificar,organizar y llevar a cabo las auditorías (3.1).

3.2 criterios de auditoría: Conjunto de políticas, procedimientos o requisitos.

NOTA – Los criterios de auditoría se utilizan como una referencia frente a la que se compara laevidencia de la auditoría (3.3).

UNE-EN ISO 19011:2002

no lo es (de ahí su carácter informativo, tal y como su propio nombre indica). Deeste modo, el capítulo 4 está redactado en términos de requisitos (“la organizacióndebe establecer, documentar…”), mientras que el Anexo A no lo está.

Por lo general, el campo de auditoría define el ámbito de aplicación (por ejemplo:“Diseño y fabricación de…”), mientras que el emplazamiento aporta las coordena-das geográficas necesarias (por ejemplo: “Planta de…”).

Normalmente, la suma de los términos definidos anteriormente permiten redactarel certificado otorgado por el organismo de certificación de tercera parte (por ejem-plo: “Diseño y fabricación de… en la planta de…”).


3.3 evidencia de la auditoría: Registros, declaraciones de hechos o cualquier otrainformación que son pertinentes para los criterios de auditoría (3.2) y que son verifi-cables.

NOTA – La evidencia de la auditoría puede ser cualitativa o cuantitativa.

3.4 hallazgos de la auditoría: Resultados de la evaluación de la evidencia de laauditoría (3.3) recopilada frente a los criterios de auditoría (3.2).

NOTA – Los hallazgos de la auditoría pueden indicar tanto conformidad o no conformidad conlos criterios de auditoría (3.2) como oportunidades de mejora.

3.5 conclusiones de la auditoría: Resultado de una auditoría (3.1), que propor-ciona el equipo auditor (3.9) tras considerar los objetivos de la auditoría y todos loshallazgos de la auditoría (3.4).

3.12 plan de auditoría: Descripción de las actividades y de los detalles acordadosde una auditoría (3.1).

3.13 alcance de la auditoría: Extensión y límites de una auditoría (3.1).

NOTA – El alcance de la auditoría incluye generalmente una descripción de las ubicaciones,las unidades de la organización, las actividades y los procesos, así como el periodo de tiempocubierto.

UNE-EN ISO 19011:2002

1.2.2. Principios generales de la auditoría de lossistemas de gestión

En el capítulo 4 de la Norma UNE-EN ISO 19011:2002, se desarrollan los princi-pios generales de la auditoría de los sistemas de gestión.

Cabe resaltar que el contenido del mismo no concuerda con el título, ya que con-cretamente se refiere a los principios aplicables a los auditores, más que a los prin-cipios de la auditoría.

La Norma UNE-EN ISO 19011:2002 pone de relieve cinco principios fundamen-tales, que son:

• Conducta ética: “El fundamento de la profesionalidad”.

• Presentación ecuánime: “La obligación de informar con veracidad y exac-titud”.

• Debido cuidado profesional: “La aplicación de diligencia y juicio al auditar”.

• Independencia: “La base para la imparcialidad de la auditoría y la objetivi-dad de las conclusiones de la auditoría”.

• Enfoque fundado en la evidencia: “El método racional para alcanzar conclu-siones de la auditoría fiables y reproducibles en un proceso de auditoría sis-temático”.

Los tres primeros principios conciernen directamente a los auditores y, comoresulta evidente, están íntimamente ligados a las cualidades personales de todoauditor; cualidades personales recogidas en el apartado 7.2 “Atributos personales”de la Norma UNE-EN ISO 19011:2002 y en el apartado 4.1.1 de la presenteobra.

Asimismo, el primer párrafo del apartado 4 se refiere también a que “los auditorestrabajan con independencia los unos de los otros y llegan a conclusiones similaresen circunstancias similares”.

Sin embargo, esta afirmación contradice plenamente el carácter necesariamente noexhaustivo de cualquier auditoría; lo que, por otra parte, acentúa el párrafo antepe-núltimo del mismo apartado (apartado relativo a las pruebas), indicando que laspruebas “se apoyan en muestras de la información disponible, en la medida en laque toda auditoría se lleva a cabo en un plazo y con unos recursos limitados”.

Los dos últimos principios (independencia y enfoque fundado en las pruebas) sepueden aplicar al propio proceso de auditoría.


Es necesario recordar que las Normas UNE-EN ISO 14001:2004 y UNE-EN ISO9001:2008 requieren que, de forma periódica, se lleven a cabo auditorías internas(véase el apartado 1.3 de la presente obra).

Asimismo, deberá tenerse en cuenta que el apartado 4.5.5 “Auditoría interna” delreferente OHSAS 18001:2007 relativo a los sistemas de gestión de seguridad y salud en el trabajo es bastante similar a los requisitos que prevén las normasUNE-EN ISO 9001:2008 y UNE-EN ISO 14001:2004.

El criterio relativo a la independencia del auditor plantea un problema, sobre todoen el caso de los pequeños organismos (tales como las pymes [Pequeñas y Media-nas Empresas] o las micropymes, por ejemplo). En efecto, en el apartado 8.2.2 dela Norma UNE-EN ISO 9001:2008 se precisa que “la selección de los auditores yla realización de las auditorías deben asegurar la objetividad e imparcialidad delproceso de auditoría”.

Igual que la Norma UNE-EN ISO 14001:2004, que, por su parte, obvia volunta-riamente el criterio de independencia (sólo se refiere a “la objetividad e imparciali-dad “); prueba de lo cual es el primer párrafo del apartado A.5.5, a tenor del cual“las auditorías internas del sistema de gestión ambiental pueden realizarse por per-sonal interno de la organización o por personas externas seleccionadas por la orga-nización, que trabajan en su nombre. En cualquier caso, las personas que realizanla auditoría deberían ser competentes y deberían estar en posición de hacerlo enforma imparcial y objetiva”.

La última frase del segundo párrafo del apartado 8.2.2 de la Norma UNE-EN ISO9001:2008 resume esta medida restrictiva que precisa (como es evidente, cabríadecir) que “los auditores no deben auditar su propio trabajo”.

El último principio mencionado, “enfoque fundado en la evidencia”, resume por sísolo la esencia de las posibles complicaciones de toda auditoría: la búsqueda de evi-dencias.

Tales evidencias de auditoría (véase la definición del apartado 3.3 de la NormaUNE-EN ISO 19011:2002) son los “registros, declaraciones de hechos o cual-quier otra información que son pertinentes para los criterios de auditoría y que sonverificables”.

Los datos de partida brutos verdaderamente propios de una auditoría son las veri-ficaciones que se han efectuado en el transcurso de la misma y que pueden, ade-más, ser cuantitativos y/o cualitativos.

En todos los párrafos y los apartados de la Norma UNE-EN ISO 19011:2002, secitan los cinco principios fundamentales antedichos y que se desarrollarán en losdistintos apartados de esta obra.


A primera vista, puede parecer que el capítulo de la Norma UNE-EN ISO19011:2002 relativo a los principios generales de la auditoría es demasiado sibi-lino, pero encierra en sí mismo los principales hechos que condenan al “fracaso”una auditoría.

Por ello, los principios de la auditoría volverán a surgir cuando examinemos másadelante las condiciones que garantizan el éxito de la auditoría de cualquier sistemade gestión.

1.2.3. Objetivos de la auditoría de gestión

La Norma UNE-EN ISO 9000:2005 concreta:

Los objetivos de las auditorías difieren, como es normal, según el tipo de auditoría.

En el primer párrafo de la introducción de la Norma UNE-EN ISO 19011:2002,se pone de manifiesto “la importancia de las auditorías como una herramienta degestión para el seguimiento y la verificación de la implementación eficaz de una polí-tica de organización para la gestión de la calidad y/o ambiental. Asimismo, en dichoapartado se hace hincapié en que “las auditorías son también una parte esencial delas actividades de evaluación de la conformidad, tal como la certificación/registro, yde la evaluación y vigilancia de la cadena de suministro”.

Por su parte, la Norma UNE-EN ISO 14001:2004 vincula estrechamente la audi-toría con la dirección del organismo debido al sesgo que conlleva intrínsecamentela revisión de la dirección y mediante las siguientes sugerencias:

• Deberá garantizarse la realización de auditorías periódicas “… proporcionarinformación a la dirección sobre los resultados de las auditorías.” (véase elapartado 4.5.5 “Auditoría interna”).

• “Los resultados de las auditorías internas y evaluaciones de cumplimientocon los requisitos legales y otros requisitos que la organización suscriba”(véase el apartado 4.6 “Revisión por la dirección”).


2.8.2 Auditorías del sistema de gestión de la calidad. Las auditorías se utilizanpara determinar el grado en que se han alcanzado los requisitos del sistema de gestión de la calidad. Los hallazgos de las auditorías se utilizan para evaluar laeficacia del sistema de gestión de la calidad y para identificar oportunidades demejora.

Sucede lo mismo con los apartados 5.6.2 “Información de entrada para la revisión”y 8.2.2 “Auditoría interna” de la Norma UNE-EN ISO 9001:2008.

Por tanto, se pueden precisar ciertos objetivos de toda auditoría (interna o externa)de un sistema de gestión, como, por ejemplo:

• Se puede determinar que satisface los requisitos del sistema de referenciaseleccionado en relación con la auditoría (como, por ejemplo, una norma delsistema de gestión UNE-EN ISO 9001:2008 o UNE-EN ISO 14001:2004,en el caso de la auditoría de conformidad con una norma en concreto, lalegislación y la normativa aplicables en el marco de conformidad reglamen-taria o sencillamente el buen funcionamiento de las medidas adoptadas inter-namente por el organismo [respeto de los procedimientos, instrucciones oconsignas, entre otros, de todo o parte de los servicios]).

• También se puede garantizar la correcta implantación de principios talescomo la prevención de la contaminación (en el caso de las normas de sis-temas de gestión ambiental) o del dominio de la subcontratación (porejemplo, en lo que respecta a los requisitos de los sistemas de gestión dela calidad).

• Se puede determinar la capacidad del sistema adoptado para satisfacer losobjetivos previstos en este ámbito.

• Se pueden verificar la correcta mejora del sistema y su rendimiento;

• Se puede reconocer dicho sistema (como, por ejemplo, la auditorías de certi-ficación de tercera parte de un sistema de gestión según el sistema de refe-rencia UNE-EN ISO 9001:2008).

• …

Como acabamos de referirnos a la certificación, nos remitiremos por un instante alos aspectos positivos de la misma (de tercera parte, por ejemplo) de un sistema degestión y a la cual se pueden asignar ciertos objetivos:

• Examinar los resultados obtenidos tras la implantación del sistema de gestión.

• Contribuir a conquistar (o mantener) una parte del mercado.

• Favorecer la formalización del dominio del organismo en el ámbito certifi-cado.

• Incrementar (o devolver) la motivación del personal.

• Uniformar una (o varias) política(s) del grupo.


• Mejorar la imagen de marca del organismo.

• …

Deberá tenerse en cuenta que algunos de estos aspectos positivos pueden extrapo-larse con facilidad a la auditoría interna (y no sólo a la motivación de los audita-dos). La certificación podría convertirse en objeto de una tipología idéntica a laque se acaba de mencionar, sobre todo en lo siguiente:

• Certificación de primera parte (o autocertificación, también llamada autode-claración de conformidad con una norma).

• Certificación de segunda parte (relación cliente-proveedor, por ejemplo).

• Certificación de tercera parte (muy habitual en la actualidad).

Asimismo, a tenor de lo anterior, deberá recordarse que la versión 2004 de laNorma UNE-EN ISO 14001 permite, de ahora en adelante, autodeclararse con-forme y hacer que un tercero compruebe dicha preferencia.

Sin embargo, lo cierto es que cabe preguntarse cuáles son los “datos de salida” dela auditoría de un sistema de gestión y, en definitiva, para qué sirven.

Toda auditoría de un sistema de gestión deberá servir para garantizar los cuatro ele-mentos fundamentales que aparecen en la figura 1.1.

Llegados a este punto de la reflexión, quizá sea interesante formular una preguntaembarazosa (a la que nos comprometemos a contestar al final del libro: ¿Cómo sepuede medir la eficacia de la auditoría de un sistema de gestión?

Esta sencilla pregunta da pie a toda una problemática que gira en torno a la cues-tión de los indicadores de medición de la eficacia, cuestión en la que profundizare-mos en los apartados 2.4 y 3.4 posteriores.


Figura 1.1. Elementos fundamentales de la auditoría de un sistema de gestión

1. El sistema de gestión en verdad existe.

2. El sistema de gestión satisface los requisitos del sistema de refe-rencia de la auditoría.

3. El sistema de gestión previsto es aplicable.

4. El sistema de gestión se aplica.

1.2.4. Principales momentos de la auditoría de lossistemas de gestión

Por lo general, las auditorías de los sistemas de gestión (ya sean internas o exter-nas, en el ámbito de la calidad, del medio ambiente u otros) podría descomponersede una forma muy sencilla en cuatro fases principales:

• El inicio de la auditoría, más en concreto, el programa de auditoría (oincluso el origen de la auditoría, la “preauditoría”).

• La preparación de la auditoría, es decir, lo que hacen los miembros delequipo auditor antes de comenzar la auditoría.

• La auditoría propiamente dicha o, incluso, según la Norma UNE-EN ISO19011:2002, “las actividades de auditoría in situ”, es decir, la realización dela auditoría (lo que sucede durante la presencia física del equipo auditor).

• La postauditoría o seguimiento de la auditoría (lo que sucede tras la par-tida del equipo auditor).

Como es evidente, el peso de estas cuatro fases varía en función del tipo de audito-ría realizada.

Así, por ejemplo, tras una auditoría interna del sistema de gestión, la fase deseguimiento podría resultar bastante “absorbente” para el equipo auditor; enefecto, la misión de dicho equipo podría consistir en elaborar, junto con el audi-tado, las acciones correctivas que deberá implantar, y efectuar su seguimientohasta que se demuestre su total eficacia. Por el contrario, tras una auditoría de cer-tificación de tercera parte de un sistema de gestión, esta misma fase podrá limi-tarse a la “mera” identificación de las discrepancias (por lo general, muy a menudoacompañada de la validación de las acciones correctivas propuestas); en este caso,la identificación y el seguimiento de las acciones correctivas permanecen total-mente a cargo del auditado.

En los apartados que siguen a continuación se desarrolla el contenido de cada unode estos momentos de importancia.

1.2.5. Programas de auditoría de los sistemas de gestión

Tal como se ha visto tras el examen en detalle de las definiciones (véase apartado1.2.1), toda auditoría se enmarca necesariamente dentro de un programa de audi-toría.


Manual de Auditoria de Los Sistemas de Gestion 2013

Documents

Transcript of Manual de Auditoria de Los Sistemas de Gestion 2013