AUDITORIAS INTERNAS

Uno de los requisitos de la norma iso 9001 8.2.2 , veremos el tema de la planificación de las auditorias, la realización y finalmente el reporte de hallazgos que podamos identificar en las audit internas.

PLANIFICACION DE LAS AUDITORIAS

9001 nos pide de que nuestras auditorías internas tienen que serrealizadas de manera planificada y a ciertos intervalos de tiempo , el intervalo de tiempo va a depender de cu de sus org. Nos pide tbn q se debe planificar lo que se llama programa de auditorías internas , tbn nos habla acerca de la selección de los auditores, si bien es cierto no nos dice cuál debería ser lacompetencia de estos sres AUDITORES pero lo q si es que debemosasegurarnos es de la imparcialidad del proceso de auditoría, dicho de otra manera, los auditores no deberían auditar su propio trabajo o proceso, no ser juez y parte, tbn 9001 me indica tener un proced documentado que forma parte de uno de los 6 proced documentados y finalmente me dice que se tiene quemantener los registros asociado a este proceso de auditorías internas , la norma no indica cómo implementarlo , tenemos de ayuda la iso 19011 y cuya versión actual corresponde al año 2011, esta norma me indica directrices pautas q me pueden ayudara elaborar mi procedimiento documentado de auditorías internas ,me habla sobre la planificación de las auditorias sobre el programa de auditorías tbn me habla sobre la competencia y la evaluación de los auditores y justamente tomaremos como referencias esta norma para desarrollar este capítulo de auditorías .

Programa de auditorías, por definición un prog de aud son detalles acordados para un conjunto que puede ser de uno o más audit q estoy planificando para mi org a ser realizadas en un lapso de tiempo , por ej un año tener un programa anual de auditorías internas o simplemente un programa anual de auditorías, ya dentro de ese prog se puede explicar si tengo auditorías internas o si son externas o se segunda parte etc., incluso cual es el propósito y objetivo de cu de ellas,

entonces vamos a tener que elaborar este prog de auditorías, miren que tan planificado es este proceso de auditorías q con mucha org ya en el mes de noviembre o diciembre yo voy elaborando para mi org este prog de auditorías para todo el prox año, de esta forma me da chance a prepararme para yo ejecutar cu de estas auditorías programadas

Que información puedo incluir en un programa de auditorías: todo aquello que me permita realmente prepararme organizarme para ejecutar luego cu de ellas p ej podríamos incluir en el programa los objetivos de cu de estas auditorías , repito que puede ser uno a lo largo de todo el año o pueden ser más 2, 3 o 4 , cada cuanto tiempo auditar depende de cada org, hay una parte de la norma que indica a tomar como referencia los procesos tal vez resultados de auditorías previas no salieron muy bien, estos pueden ser los elegidos a ser auditados de manera más continua a lo largo de un año, podría ser un criterioa tomar en cuenta . Otra información a incluir en mi programa será el alcance, si voy a incluir todo mi sistema de gc o solo voy a auditar algunos procesos de ella en una primera oportunidad y en una segunda completo con los otros procesos, eso tendré que elegir, cuánto durará cu de las auditorias un día, una semana, de que va a depender eso? Del tamaño de mi procesoy de la cantidad de auditores que vayan a participar en la auditoria. Mi prog de3 auditorias no solo puede servir para incluir ahí las auditorías internas que es a lo q la norma haceinterna o auditorias de primera parte, sino tbn podemos aprovechar el prog siempre y cuando ya tenga que hacer auditorias de segunda parte a mis proveedores o que reciba por parte de los organismos certificadores porque yo ya estoy certificado con iso 9001 y tenga que visualizar en que fechas sevan a realizar estas auditorías externas o de seguimiento o incluso las auditorias de recertificación , allí puedo aprovechar este programa, tener un calendario por meses por semanas donde se pueda visualizar cuando nos toca la auditoria. Tbn podemos incluir en este prog los nombres de cu delos auditores que van a participar , podríamos incluir los recursos que necesitamos para realizar las auditorias por ejm cuando nos toca auditar diferentes sedes y necesitamos viajar,necesitamos considerar esos costos de viaje y transporte, toda esa información se puede colocar en el prog de auditoria. Pero

es típico ver en las org incluyen en su programa solo 2 grandes rubros : lo que voy a auditar los procesos, áreas y las posibles semanas o meses en los cuales voy a realizar esas auditorias, pero ya que se tiene es mejor agregar mayor información, cuando yo mejor planifique las cosas con anticipación voy a obtener mejores resultados porque me va a permitir prepararme y contar con los recursos necesarios,. En otro ejm de programa vemos que han aumentado códigos q van a realizar 5 auditorías a realizarse en mayo, vemos q se auditará un solo proceso. Se puede dar como sugerencia si se van a realizar varias auditorias en un mes juntar todas las auditoríasinternas definiendo las fechas y en otro ejm hacer otra auditoria, este registro tbn me indica el dato de los requisitosde la norma 9001 que van a ser auditado a cada uno de los procesos q se han nombrado, tbn hay otra columna para colocar recursos y la duración de cu de ellas

¿Quiénes participan de la auditoria? Aparte de los que van a serauditados

El equipo auditor, este equipo va a estar formado por auditores y si tenemos un grupo de auditores hay alguien que deberá ser el líder del equipo se llamara el auditor líder, si el equipo auditor está formado por un solo auditor pues él mismo asumirá la función de auditor líder . El equipo auditor puede ser

fortalecido por un experto técnico o tbn llamado especialista, no es usual poner a un especialista pq se entiende que el equipoauditor está formado por auditores que trabajan dentro de la orgo q en nombre de ella vienen a auditar nuestra org ent se entiende q conocen el rubro o negocio, pero sin embargo suponiendo q nos subcontratan a otra org donde no conocemos el rubro o negocio dela org, ent allí se es necesario contar conel apoyo de este experto técnico q es alguien q no necesariamente sea auditor o no conozca la norma 9001 pero si debe conocer mucho del rubro o el negocio de la org y sirva como apoyo al auditor.

Tbn forma parte del equipo , un guía , por ejm cuando se trata de auditorías externas y no conocemos las instalaciones de la org, el guía acompaña o guía al equipo auditor por todas las instalaciones.

Tbn podemos contar por los llamados observadores p ej en caso deque hay personas dentro de la org q desean ser auditores y han recibido capacitaciones, pero prefieren q la primera vez no auditar sino observar como parte del entrenamiento, entonces sellaman auditor observador, y como tal no va a poder auditar, no puede definir hallazgos nada simplemente observa el proceso de la auditoria.

¿Todos podemos ser auditores internos de nuestro sistema de gestión de la calidad requerimos alguna competencia?

9001 no nos habla de la competencia , solamente habla de asegurar la imparcialidad, la objetividad, pero para ello nosotros como org podemos definir ciertas competencia s, si revisamos la norma iso 19011 allí encontramos que hay directrices, buenas practicas que a manera de sugerencia donde invitan a considerar conocimientos habilidades que deben tener los auditores en Gral. P ej que los auditores deben conocer a cerca de los métodos de auditoria , tbn a cerca del procedimiento y de los principios de las auditorias , tbn debe conocer el contexto de la org, debería saber a cerca de los requisitos legales o reglamentarios aplicables al producto e incluso debe conocer el sistema de gestión o de los documentos que conforman el sgc, es lo mínimo q debería saber.

Además de los conocimientos tbn se habla acerca de los atributos, atributos personales, p ejm esperamos que los auditores internos sean diplomáticos, éticos, observadores, perceptivos y hasta seguros de sí mismos , ellos que forman parte de la org y q van a realizar auditorías a procesos que no son los suyos , deberían tener estos atributos, pq pueden pasar o ej, si hay un auditor que está auditando a un proceso X dondeel líder de ese proceso o el jefe del área involucrada en ese proceso tiene un nivel de amistad con el auditor podría ser unacausa para que el auditor se inhiba a la hora de encontrar un hallazgo y declararlo y eso no debe pasar , entonces la profesionalidad, la integridad, la honestidad del auditor tiene que verse reflejado en este o en otras posibles cosas que pueden pasar dentro del proceso de auditoría,.

Link para ver video para ver una simulación de auditoria de sgc con iso 9001, van a observar a la persona que actúa en el papel de auditor se enfrenta a ciertas situaciones con algunos auditados y van a ver como es el trato de él hacia estas personas, ahí podemos dar cuenta como es importante q el auditor debe mantener ciertos atributos personales .

Además de tener en consideración las posibles competencias que el auditor debería tener , la norma 19011 nos invita a que estos auditores puedan ser evaluados en su desempeño, e inclusonos pone a manera de ejm cuales pueden ser los métodos de evaluación, tbn hay exámenes para evaluar si el auditor tiene los conocimientos suficientes como para ejecutar las auditorías internas, tbn está el tema para hacer una retroalimentación de su desempeño, p ejm el auditor a la hora de realizar su trabajo puede estar acompañado de un auditor con más experiencia y este auditor va a evaluar el desempeño del auditor, para luego darle una especie de feedback o retroalimentación y decirle p ej “tú has tenido el sgte desempeño, en estas cosas te manejas muy bien o en otras tienes q corregir esto”.

Tbn en el tema de evaluación se debe revisar como el auditor ha elaborado su informe, como se ha preparado a través de listas de verificación cómo ha redactado los hallazgos , una vez terminado el proceso, alguien con más experiencia va a ir a

revisar esta documentación y de acuerdo a ella le dará un feed back al auditor, el teme a de la evaluación está relacionada a encontrar mejoras y no con fin de castigar, dentro de esta parte de la evaluación.

Además de realizar una programación de auditorías, tbn debemosrealizar un plan de auditorías, entonces primero tendríamos un programa de auditoria y ahora tenemos un plan , en el plan de auditoria detallamos de manera puntual cada una de las actividades o de los detalles acordados para realizar una auditoría. La programación era simplemente definir cuantas auditorias y de qué tipo etc. van a realizarse en una org a lo largo de un periodo largo , y van a tomar cada una de ellas una de ellas y las va a planificar y esa planificación las va a colocar en un documento al que vamos a llamar plan de auditoria , en su mat de lectura hay ejm de plan de auditoria interna.

Qué tipo de información se considera dentro de un plan de auditoria? La norma 19011 nos da una serie de datos que podríamos incluir entre ellas puede ser ejm cuáles son los objetivos de esta auditoría interna , para que se está realizando, p ej un objetivo puede ser “evaluar el nivel de implementación de mi sgc” si recién estoy implementando i quiero ver en qué nivel esta, y si ya tengo tiempo con el sgc elobjetivo puede ser “evaluar la eficacia del sgc” . Dentro del plan tbn es importante que esté definido el alcance , que va a cubrir esta auditoría, la totalidad de los procesos? O solo algunos, tbn sería importante q estén definidos allí cuales sonlos criterios de la auditoria, que son? El auditor cuando va a hacer la auditoria no va hacerla en cuanto o de acuerdo a lo que él se imaginara encontrar en una org, sino se va a basar en criterios y estos criterios podrían ser p ej los procedimientos, las políticas de la org, en Gral. Toda la documentación del sgc, estos criterios podrían ser los requisitos de la norma 9001, o los req legales y reglamentarios asociados al producto de esta org es decir, yo como auditor voy a basarme en esos criterios y en base a eso voy a ir contrastando ciertas evidencias para ver si estos se cumplen respectos a estos criterios q estoy definiendo.

Ya q tengo q comunicar q cosa se va a hacer dentro de la auditoria interna ent voy a incluir dentro de mi plan un cronograma de actividades , en ese cronograma de actividades vaa haber fechas horarios y otras actividades q el equipo auditor vera en el proceso: reuniones , horarios para refrigerio , u horarios para diferentes procesos siendo lo más específico posible, tipos de auditorías, responsables, rol de cu de ellos, este plan de auditoria debería realizarse con cierta anticipación y entregarse comunicarse con anticipación a la org q va a ser auditado, pq cada auditado cuando reciba la comunicación y lea y sepa cuando le van a auditar , y el tiempo,entonces la org debe estar disponible en ese horario o solicitarel cambio de horario o fecha de acuerdo a lo requiera.

REALIZACION DE LAS AUDITORIAS INTERNAS

Antes de acercarnos al lugar donde nos toque auditar, es bueno que hayamos preparado un documento al cual le llamaremos documento de verificación, es una propuesta de nuestra norma iso 19011, el día que iré a auditar, no sólo tendré que llevar estas listas de verificación , sino tbn no debo olvidarme llevarla norma iso 9001 pq va a ser uno de los criterios bajo las cuales voy a realizar la auditoria , tbn debo llevar formatos dela propia org para poder redactar los hallazgos si es que definamos una no conformidad cuando hallamos alguna desviación ,debo tener a la mano el formato para poder registrar esta información, tampoco se debe olvidar si es que a la org le aplica requisitos reglamentarios ps tbn formaran parte de mis criterios de la auditoria, la documentación de la org la voy a tener a disposición.

La lista de verificación: cuando ya tenemos nuestro plan de auditoria , ya con muchos días de anticipación, semanas o 15 días lo hemos distribuido a toda la org, y llegamos al procesos q nos toca auditar y sabemos q tenemos una hora , por donde empiezo?, que pido primero?, a quien le pregunto primero?, que registros coy a pedir-‘, para no estar en blanco o improvisar enese momento, es mejor que antes de llegar ahí haya hecho una posible lista de preguntas o haya podido ir distribuyéndome en el tiempo y ver si me dieron una hora en esa hora a cuantos

podría entrevistar es decir una especie de guía o ayuda memoria, lo podría hacer en una cuadernito o en una hojita cualquiera , pero para darle la formalidad del caso podría ya laorg haber preparado un formato especial para ello y le vamos a bautizar con el nombre de lista de verificación, entonces tendremos ahí nuestras referencias, y luego cuando estamos ya con nuestro auditado y él nos va mostrando sus documentos, sus registros (31:23) y vamos a observar las actividades que él realiza y debemos tomar nota, entonces usamos las listas de verificación para allí ir registrando nuestras notas de auditoria, nos va a permitir que quede registrado cuales son lasevidencias que estamos encontrando , estas listas de verificación que cada auditor va manejando finalmente queda comolistas del proceso va a quedar como evidencia del desempeño delauditor, ahí veremos si ha trabajado todos los puntos que se había planificado auditar , si ha cumplido con los tiempos, si su org no ha contemplado el uso de listas de verificación y si los auditores internos están realizando por primera vez una auditoria, les recomendaría que si consideren o tomen en cuenta el uso de una lista de verificación, tal vez ya con el tiempo ycon experiencia se vuelvan hábiles y no dependan de listas de verificación, en la sgte lámina tenemos un ejm de listas de verificación

Lam 17 nos muestra un campo donde anotamos consideraciones, es la parte en la cual nos vamos preparando en casa de cómo distribuir mi tiempo, y en una columna ponemos lo que vamos viendo o encontrando o las evidencias que vamos detectando enotro lugar datos de la auditoria, fecha, el tema del nombres de auditores, cada uno puede diseñar el suyo propio, pueden agregarcolumna de distribución del tiempo, de requisitos , actividades a cu de los procesos que se va a auditar, mientras más datos es mejor.

Cuando se inicia la auditoria, la norma iso propone realizar una reunión inicial, esta reunión inicial se conoce como reuniónde apertura, en esta reunión el líder del equipo auditor presidela reunión, se sugiere q el líder haga la presentación del equipo auditor, eso no está en el plan, pero es un tema de formalidad y además para conformar el rol de cu de ellos q estánparticipando del proceso de auditoría y conformar el alcance criterios y objetivos de la auditoria, damos repaso al plan confirmando q todo lo q se ha colocado está conforme o si hay algún inconveniente o hay algo q se tenga q cambiar en el plan,.En esa reunión debe estar presente el equipo auditor además todos los responsables o líderes de cada proceso, la alta dirección, el representante de la ad, si algún líder no pudiera estar, ser recomendaría q el representante de la ad le explique lo que se va a explicar en la reunión de apertura,. El auditor líder presenta el proceso de la auditoria, comenta el objetivo la metodología y explica que se puede encontrar, hallazgos o cosas q se están haciendo bien o mal para poder hacer las correcciones y las acciones correctivas a las áreas. Tbn en esta reunión se puede confirmar la disponibilidad de los recursos, en la etapa de planificación y programación ya se havisto la disponibilidad de recursos si nuestra auditoria involucra visitar sedes q están en otros puntos como se dispondrá el transporte, o si se debe entrar a cierta área que requiere el uso de cierto equipo. Tbn se puede comentar acerca de los riesgos, que pasaría si algo en el plan no se cumple, está colocado en el plan cuanto se va a demorar cada auditor , se trata de no dejar nada al azar si ocurriera algo ya tendremosuna respuesta o acción. Tbn otro punto es los canales de comunicación para transmitir los resultados de la auditoria debehaber una comunicación constante. Tbn el tema de la

confidencialidad por ejm si nos invitan a ser auditores externos, la alta dirección puede decidir contratar auditores externos y lo subcontratan para que con los propios proced formatos de la org realicen una auditoria en su nombre, p ej si alguien de fuera que tiene mucha experiencia en auditoria va a realizar una en mi org pero podría poner en duda el tema de si brindarle toda la información y luego pueda hacer mal uso de esainformación, ahí va el tema de asegurar la confidencialidad, se puede establecer en la reunión que de repente no se tome fotografías, menos que se filme, y si alguien quisiera tomar fotos para su evidencia pues la redacción de una evidencia en palabras tiene que reflejar lo que fuera una fotografía y no pq esté prohibido si no pq además de expresar el tema de la confidencialidad debemos tbn se debe parecerlo entonces de preferencia tomar fotos o grabar , pq el auditado puede sentirseintimidado o inseguro frente a una grabadora y puede desconfiar.Terminando la reunión de apertura, cada auditor se dirige a donde le toca auditar según el plan cu de ellos ira recogiendo evidencias o recogiendo información a través de entrevistas, revisión de doc, análisis, observación de las actividades que realiza este personal, puede hacerlo en las diferentes operaciones realizadas , en el comportamiento y el desempeño de las personas, en loso productos en los instrumentos de medición,las condiciones ambientales, por ello es un atributo que el auditor sea muy observador y muy preguntón, tienen que hacerlo pq es la única forma de recolectar información, se sugiere q las preguntas sean relevantes, pq muchas veces los tiempos q nosvan a asignar para realizar las auditorías internas a cu de los procesos , son tiempos cortos por lo tanto tenemos q centrarnos en tratar de buscar información relevante, de hecho no vamos a poder auditar la totalidad del proceso o de la documentación o poder entrevistar a la totalidad de las personas , lo q vamos a realizar es un muestreo y ese muestreoserá tal que nos permita sobre el obtener evidencia, sacar conclusiones posteriormente, . Las preguntas debería ser como una conversación regular, finalmente el auditado no debería sentirse como una persona a la cual estén interrogándole o el acusado, a pesar de la figura de auditor y auditado, ellos son un equipo q están tratando de identificar aspectos de mejora y de confirmar que las cosas se están haciendo tal cual se ha

planificado , entonces miremos bajo ese enfoque, el auditor y auditado no están enfrentados. Cuando se hace las preguntas no se debe sugerir respuestas, tbn podría ser otra recomendación, cuando Uds. puedan visualizar el video anterior q las preguntas q realiza el auditor son como una conversación normal, no se espera que el día de la auditoria se paren todas las actividades en la empresa, sino debe trabajar como un día cualquiera. Hay tipos de pregunta q uno como auditor debe ir matizando mientras va conversando con sus auditados, tbn se habla de las preguntas abiertas como por ejm en que consiste suproceso? Y acerca de las actividades que conforman su proceso , “muéstreme los registros o evidencias de q ese equipo que Uds. está utilizando esta calibrado”, son preguntas abiertas que permite q el auditado pueda dar una respuesta amplia y q ud puede ir tomando esa información y comparándola con los criterios de auditoria , pero tbn puede haber preguntas cerradasy directas que permita que el auditado pueda responder con palabra s muy cortas o breves o simplemente con un sí o con un no: “conoce ud la política de la calidad de la construcción”, “como se siente involucrado con esta política en sus actividadesdía a día”, tbn tenemos las preguntas aclaratorias , hay algunosauditados que les gusta explayarse y eso es bueno (51:35) para entenderlo mejor, pero no es bueno hacer las preguntas aclaratorias continuamente pq el auditado podría pensar que se le está haciendo repetir la información.

Tbn tenemos las preguntas hipotéticas p ej si está auditando y pregunta al prs q trabaja en la gestión comercial si es q le puede mostrar el último registro de las quejas de los clientes, y él le dice que no tienen quejas y q nunca se han quejado, de hecho eso puede ser cierto, y le dice que si en ese momento sonara el teléfono y fuera un cliente q está muy enojado y llamapara quejarse: cuál sería el proceso que Ud. Sigue , y claro laorg seguramente tiene un procedimiento, documentado o no pero hay una forma de hacerlo, seguramente tiene tbn establecido un formato, pero cómo responde?, como gestiona las quejas de los clientes?.

Una vez terminada todas las entrevistas, las auditorias que ya estaban planificadas , pues hay que terminar el proceso y lo vamos a hacer con una reunión que en esta ocasión se va a

llamar reunión de cierre , entre reunión de apertura y reunión de cierre, mientras se han ido llevando estas auditorías, es posible y es recomendable de que el equipo auditor tenga reuniones , en el día podría tener una y hasta 2 reuniones puede ser de 15 o 20 min donde ellos puedan intercambiar y revisar información , pq estamos auditando todos a un solo sistema de gestión de la calidad , solamente que cu está yendo a visitar diferentes procesos, entonces sí es recomendable q en su plan incluyan este tipo de reuniones, pero la última la vamosa llamar reunión de cierre o reunión final y básicamente esta reunión servirá para q el auditor líder pueda expresar o comunicar una vez más los resultados de esta auditoría, los hallazgos encontrados, y es una vez más porque cuando Uds. vayana visitar cu de los procesos que les toca, es muy recomendable de que antes de retirarse de ese proceso para irse a otro, Uds.deben decirle al líder del proceso :”estos han sido los hallazgos en su proceso, ha habido cosas q están muy bien, q se están cumpliendo muy bien, es más se resaltan se diferencian de otras y las podemos llamar fortalezas, sin embargo ha habido algunas desviaciones que se encontraron y son estas y las empiezan a declarar …” y así en cada proceso que les toque, y ya cuando llegue la reunión de cierre, la verdad es que ya todosconocen los resultados , pero básicamente es una formalidad para dar lectura a todos los hallazgos encontrados en el procesode la auditoria, tbn va a ser oportuno que una vez terminado de declarar y de presentar todos los hallazgos ud puede dar una conclusión de la auditoria esa conclusión va a estar asociado al objetivo de la auditoria, si el objetivo de la auditoria fue ver el nivel de implementación del sistema de gc entonces finalmente que podemos concluir?, que tanto avance tenemos?, si estamos ya en la parte de planificación? O a lo mejor ya tenemosla parte muy sólida de hacer el seguimiento , la medición, los análisis, como estamos? O a lo mejor si el objetivo de la auditoria fue evaluar la eficacia, como conclusión de esta auditoría que podemos decir al respecto de la eficacia?.

Entonces es importante no sólo declarar los hallazgos, los resultados obtenidos que podrían ser a lo mejor conformidades , no conformidades, si no tbn las conclusiones de la auditoria sería bueno tbn aclarar sobre el muestreo, por más q en la reunión de apertura lo hayamos expresado, pero siempre es bueno

en el sentido de que la auditoria es realmente un proceso usado por muestreo, no podemos auditar la totalidad, es muy complicado, es mucha información, son muchas personas, entonces todos los hallazgo que hemos obtenido van a corresponder a la muestra que hemos tomado, esto quiere decir que si ud. Como auditor estuvo auditando un proceso x y le toco ver un file grueso y tomo de ello una muestra ejem 5 y de esos 5 encontró que todo estaba muy bien que todo se cumplía muy bien que estaba todo conforme , sin embargo podría darse el caso que mástarde venga otro auditor o días después y tbn vaya auditar el mismo proceso y vaya a tomar el mismo file con la cantidad de registros, pero es poco probable que tome exactamente las muestras que el auditor anterior tomó, puede tomar otros porque el muestreo es aleatoria básicamente , y al tomar otras podría detectar ahí incumplimientos, no conformidades, entonces los resultados dependen de la toma de muestras que haya realizado elauditor. En la reunión de cierre se va a hablar acerca del informe porque de momento la reunión de cierre es verbal sin embargo hay q tener los registros de los resultados, p ej un reporte de auditoria, cuando lo voy a entregar y a quien]? Si dentro de mi plan de auditoria yo contemple que toda una tarde voy a hacer el informe pues bien, pq ¿ pq en la reunión de cierre q se hace yo ya tengo listo mi informe y lo dejo, pero sin embargo si yo como auditor líder no tuve tiempo de asignarme unas horas para elaborar el informe , ent en la reunión de cierre diré que el informe escrito será entregado porejm en un lapso no mayor a 5 días , o de acuerdo a lo que el procedimiento que la propia org diga pq eso tbn puede estar ya planificado. tbn sería oportuno que el auditor líder comente enla reunión de cierre si ya los auditados pueden empezar a trabajar los hallazgos q los auditores hemos encontrado, muchas org en sus procedimientos establecen plazos , algo así como “si se detectara alguna no conformidad, el auditor tendrá un plazo de … ”, otros no consideran plazo pq consideran que pueden haberno conformidades q sean muy simples o muy rápidas de trabajarlas pero tbn pueden haber otras q se demoren muchos meses , entonces prefieren no hablar nada de los plazos, pero sila respuesta en auditoria interna es que se tienen establecidos,el auditor líder en esta reunión de cierre podrá establecer y recordar: que en nuestro procedimiento de auditorías internas

recordemos que hay un plazo para q ud como auditado pueda trabajar estos hallazgos .

En la lámina nro. 23 vimos q el auditor líder expresaba en la reunión de cierre los hallazgos encontrados en el proceso de auditoría, estos hallazgos q de alguna manera deben ser clasificados y necesariamente tienen q ser reportados van a sertema de esta sesión.

EL REPORTE DE HALLASGOS

Qué tipo de hallazgo podría haber encontrado o detectado el auditor en nuestra org, . Si es una auditoria interna, los tiposde hallazgos ya deberían estar definidos muy probablemente en elprocedimiento de auditorías internas por ejm, cada org si desea hace una clasificación de los hallazgos.

Pero q nos dice la norma 19011 al respecto, solamente habla de q cuando el auditor vaya a contrastar las evidencias q está encontrando frente a los criterios de auditoria los va a cruzar y va a ver si existe un cumplimiento o no cumplimiento, una conformidad o una no conformidad p ej si la norma iso 9001 en sureq 6.2.2 letra e me indica mantener los registros de la competencia del personal en base a educación formación experiencia, y yo como auditor estoy detectando de q la org no mantiene estos registros, ento eso lo contrasto con lo que dice los criterios de auditoria norma 9001 y digo que si la norma dice algo y no se está cumpliendo por lo tanto hay un incumplimiento y este incumplimiento le llamaremos no conformidad, si fuese lo contrario y se estuviera cumpliendo entonces existe una conformidad , 19011 no dice solo eso, sin embargo tbn aclara que cada org podría hacer una tipificación ouna clasificación de sus hallazgos, y sí, algunos declaran que en su org las no conformidades pueden ser de tipo mayor o menor,o podrían haber simples observaciones , o podrían detectar oportunidades de mejora o lo pueden llamar fortalezas y debilidades y van a colocar solo el nombre y la definición q la org le da a cu de estos nombres, caso similar ocurre con los orgde certificación , los q realizan auditorías externas o de tercera parte, aenor, sgs, bureau veritas, tbn tienen sus clasificaciones de hallazgos.

Por definición una no conformidad es simplemente un no cumplimiento de un requisito.

Este requisito pude ser un req de la norma 9001 o un req legal opuede ser un req de algún doc del sistema de gestión de la org.En general de cualquier requisito, si es que nosotros detectamosno conformidades la tenemos q reportar y ese reporte , esa redacción debe quedar en algún lugar pq la norma nos va a pedir registros al respectos, entonces de hecho esta org ha tenido q haber implementado y definido su procedimiento documentado al respecto y tbn seguramente algún formato en especial q permita al auditor registrar la no conformidad encontrada, tbn podría ser q la org haya definido las fortalezas, es decir req q si se están cumpliendo en la empresa, todo está conforme pero están más de lo q se esperaba, y la declaran como fortalezas. Pero cuando ud. Redacte el hallazgo o cuando Ud redacte por ejm la no conformidad trate de q su redacción sea clara y entendida portodos, de hecho ud ya lo ha manifestado de manera verbal a su auditado, incluso ya hizo el anuncio en una reunión de cierre ylo tiene en un informe de auditoria por ellos es simplemente trasladar esa redacción a este reporte de hall, la redacción clara concisa tiene que hacer referencia a la evidencia o falta de evidencia encontrada, si es q no existe tal evidencia la no conformidad tampoco existiría. Otra característica a cerca de sus hallazgos es q deben ser trazables , es decir hágase la pregunta: una vez que he redactado y antes de entregárselo al auditado, cualquiera q lo lea podría ir hacia atrás y encontrando efectivamente o comprobando esta no conformidad? Si la respuesta es sí, tenga la seguridad entonces que está bien redactado.

Que datos puedo tomar que me ayude a registrar luego las no conformidades? En la sgte lámina pueden ver una propuesta de esta información:

Datos como la fecha sobre cuando se detectó esta no conformidad , quien la identificó su nombre del auditor, donde detectó la no conformidad, en que proceso o área de trabajo o enqué sede o lugar, tbn puede tener un campo para la redacción de la no conformidad identificando el requisito afectado, si está relacionado a un req de la norma 9001 ud podría escribir dentro de la redacción o en su formato tener un campo destinado para escribir el req de la norma 9001 q se está incumpliendo en ese caso. Luego puede venir un gran campo para q su auditado trabajeel análisis de causas, el tema del análisis del análisis de causas, acciones correctivas, hemos tratado en el cap 6 pero vale la pena recordarlo. Si bien es cierto el auditor encontró una no conformidad lo más fácil sería q el auditado lea la no conformidad y lo arregle inmediatamente , pero la verdad es lo qesperamos es que la org pueda hacer además un análisis de causas, pueda trabajar intentando buscar que cosa originó o sucedió para q esa no conformidad saliera o se evidenciara, es complicado pero se tiene q hacer pq una vez q encontremos la casusa raíz , la acción correctiva q vamos a proponer e implementar va ir orientada a eliminar esta causa raíz, no eliminar el problema o la no conformidad, sino la causa raíz q lo originó, por ejm si el auditor o ud como auditor detectó p ejen un proceso determinado cualquiera que la persona según procedimiento tenia q completar unos datos de seguimiento al

producto y estuvo revisando unos registros y encontró q en una serie de tiempo no se venían llenando estos registros, entonces cuando le entregue esta no conformidad a su auditado, el podrá decir, bueno el auditor no lo encontró, entonces ahora mismo locompleto y lo lleno y según el ya no habría, no conformidad, pero eso vendría a ser simplemente una corrección, es decir, elproblema estaba el incumplimiento ya está todo listo, sin embargo se tiene q hacer un análisis de causas, ir preguntándome y por qué no se llenó que pasó?, podríamos implementar herramientas de los 5 porqués el diagrama de causa efecto, y alguien podría decir que no se completó pq no sabían qtenían q completarlo, nadie les dijo q era importante hacerlo, yporqué no sabían?, pues nadie les había comunicado el procedimiento no dice nada al respecto del llenado de ese formato, y que pasó con el procedimiento pq no dice nada acerca del llenado de ese formato?, pq la persona q elaboro el proced fue el practicante q contratamos hace un mes atrás, no le dijimos, él tomaba nota solo de ello, ent podríamos descubrir q en lugar de decirle al practicante hubiese sido mejor que nosotros mismos trabajemos ese proced, la acción correctiva puede ser entonces determinar que el líder del proceso o las personas que ejecutan y participan de ese proceso pueden ser los encargados de elaborar el mismo, eso va a evitar de q más adelante ese formato deje de ser llenado , estoy inventándome elejm porque cada caso es diferente . Es importante q las personasq vayan a trabajar el análisis de causa raíz correspondan a las personas que están asociadas con la conformidad, de repente invitar a otras q están participando q de repente no son de mi proceso para tratar de encontrar la causa raíz y luego proponerimplementar las acciones correctivas necesarias para evitar q más adelante esta no conformidad vuelva a hacerse presente en la org.

Una vez q yo propongo en mi org estas acciones correctivas o correcciones tengo que implementarlas y luego viene una etapa deverificación, alguien que podría ser el auditor interno o podríaser el representante de la dirección va a decir voy a revisar el reporte de las no conformidades, que ya deberían haber sido implementadas”, ahora faltaría un pasito más que es verificar la eficacia de las acciones tomadas que es muy diferente a verificar que las acciones fueron implementadas, el verificar o

revisar la eficacia significa preguntarse que si esas acciones que se implementaron realmente funcionaron, es decir, realmente eliminaron la causa raíz y con eso estoy evitando q la no conformidad vuelva a salir a la luz si la respuesta es sí, entonces podemos dar por cerrado recién el reporte de las no conformidades, para realizar una verificación de la eficacia entonces la lógica nos dice que no podríamos hacerla de un día para otro al día siguiente de haberla implementado no tendría sentido verificar la eficacia , hay q dejar q pase un cierto tiempo pq a lo mejor esta causa raíz no fue la verdadera o no llegamos a encontrar la verdadera causa raíz, y todavía está presente y va hacer de que más adelante vuelva a salir a la luz,toda esta información q debemos plasmar pq es una propuesta q debemos plasmar en un reporte de no conformidad podríamos tenerla s establecidas en un formato similar a este , podría seren papel físico o electrónicos,

Si es en medio físico lo q comúnmente vemos es una serie de estos reportes, una hoja de reporte para cada no conformidad detectada , con lo cual ud se imagina q a lo largo de un periodogrande como un año o tres años , posiblemente se tenga un nro. importante de estos reportes, o puede guardarlo en un solo archivo Excel donde cada fila Excel haga referencia a una no conformidad y cada platilla me haga referencia a toda

información de la fecha , quien identifico la no conf, descripción, seguimiento y verif de eficacia, de modo q me permita filtrar mucha información por ejm un año, y quiero saberel mayor nro de no conformidades, y puedo detectar tal vez de que de 100 reportes de no conformidad durante el 2013 que 70 fueron para producción, si lo llevamos en físico no me permite hacer ese análisis, tbn me permite filtrar en electrónico de unlapso de no conf de un año cual es el requisito de la norma ha sido el q más ha reincidido y seguramente saldrá en diferentes partes, por ejm control de documentos 4.2.3 y para q hago esta investigación , es para tener en cuenta para luego hacer algo para yo no me quedaría satisfecha si el 70% de debilidades han sido detectadas en producción y luego qué? Que se hizo? Esto me sirve para cuando yo haga una nueva programación de auditorías,considere a producción como un proceso que voy a tener que auditar de manera más seguida o tener q hacer una investigaciónmás profunda, me sirve para tomar ciertas decisiones .

Estos reportes de no conformidades ya plasmados en los formatosq la org previamente ha establecido, van a formar parte de los registros de las auditorias, pero además hablamos de q debe existir un informe de auditoría donde no solamente se reporten las no conformidades sino se reporten todos los resultados y todos son tbn lo que sí estuvo conforme o bien hecho y salió como fortaleza, si nuestra org ha definido otro tipo de hallazgos como las observaciones , pues tbn tiene q estar reflejado en ese informe, y que es OBSERVACION? Es aquella situación o actividad que el auditor detecta con signo de preocupación en el sentido de que no es que se esté incumpliendonada , no es una no conformidad, pero sin embargo se detecta q podría pasar q más adelante esta actividad q se está realizando tiene mucho riesgo y puede convertirse luego en una no conformidad real , es casi una invitación a que el auditado pueda hacer una revisión del mismo y pueda tomar acciones preventivas o acciones q eviten q a futuro nazca o aparezca unano conformidad, tratamos de q eso no pase y dejamos en manos del auditor, recordemos q el auditor es independiente del proceso auditado, él puede tener una visión diferente, entonces como conclusión tenemos q vamos a reportar el informe de auditoría de acuerdo a lo que ha establecido la propia org.

Y como será con las auditorías externas, las de tercera parte , las de certificación, ahí tbn es el ente certificador q tiene definido su propio formato de informe, su propio formato para registrar las no conformidades q encuentra tiene sus propios tipos de hallazgos y va a entregar eso a la org auditada y la org auditada va a trabajar o responder al ente certificador en el mismo formato q le han entregado, pero tbn de manera interna podría pasarlo a su propio formato o tener una copia del mismo,

Los entes certificadores tienen su propio procedimiento y te lo van a alcanzar cuando hagan la reunión de apertura o mucho antes , cuando ya firman el contrato entre ambas partes y ahí vaa estar declarado todo el tema del proceso, la metodología los hallazgos, simplemente q ahora nos toca adecuarlos, pero en esta etapa de auditorías internas cu en su propia org va a tenersu propio procedimiento, tendrá sus propios formatos, que más vamos a incluir en nuestro informe además de los resultados?? Pues vamos a copiar lo que ya teníamos expresado en el plan: elalcance de auditoria, los objetivos y criterios de auditoria, el plan de auditoria con la identificación de los auditores que han participado las conclusiones de la auditoria, si se tienen establecidos formatos para la listas de asistencia para reuniónde apertura o de cierre, lista de distribución de informe, a quien se le entrega el informe de auditoría? O a quien el auditor líder le entregaría este informe de auditoría? Podría ser a la alta dirección o representante de la dirección o podría ser a ambos, luego ellos podrían comunicar al personal através de intranet o pueden entregar una copia a cu de los líderes de proceso para q ellos puedan ver los resultados obtenidos y ya empiecen a trabajar sus hallazgos