viernes, 23 de septiembre de 2022

Determinación y evaluación de los riesgos y oportunidades del programa de auditoría

En este artículo se explicará detalladamente qué posibles riesgos y oportunidades pueden darse en un programa de auditoría y que pueden afectar al logro de los objetivos propuestos en la auditoría. 


En artículos anteriores se explicó en qué consiste un Programa de Auditoría, así como su diferencia con un Plan de Auditoría, conceptos que suelen equivocarse o no entenderse muy bien. Podéis consultarlo en el siguiente enlace: Programa y plan de auditoría.


Si recordamos, se puede definir Programa de Auditoría como un documento, el cual se elabora a principio de cada ejercicio, donde se incluyen todas las auditorías e inspecciones que se prevé realizar durante todo el año. Además se debe considerar los objetivos, alcance, recursos, plazo y duración, así como el equipo auditor asignado.


Los responsables de elaborar dicho plan suelen ser los responsables del sistema de gestión, que además deben estar en continua comunicación con el equipo auditor para coordinar tanto el programa como el plan de auditoría, y minimizar así los riesgos y oportunidades que se puedan dar. De este modo, habrá más probabilidades de poder garantizar que se cumplen todos los objetivos establecidos del proceso de auditoría.


por lo tanto, al realizar un Programa de auditoría, es imprescindible tener en cuenta la necesidad e importancia de determinar y evaluar los riesgos y oportunidades de dicho programa. Para ello, una vez más os recomiendo que consultéis el apartado 5.3 de la norma ISO 19011:2018 "Directrices para la auditoría de los sistemas de gestión".

Los posibles riesgos que debemos tener en cuenta son los siguientes:


La planificación. 


Cuando se programa una auditoría, se deben tener en cuenta los objetivos que se deben lograr en esa auditoría, es decir qué se va auditar y cómo se va hacer. La persona o personas que se encarguen de programar la auditoría deben saber que la respuesta a estas dos preguntas implica conocer cómo se va a llevar a cabo la auditoría, el tiempo que se necesita para auditar cada proceso de la empresa, el personal que tiene que estar presente en el proceso, y la disponibilidad de la empresa para esas fechas. 


Por ejemplo, si se programa una auditoría para unas fechas concretas en las que la empresa tiene otros compromisos que atender prioritarios, y como consecuencia gran parte del personal clave para el desarrollo del proceso de auditoría está ausente, en este caso el auditor sería incapaz de poder evaluar y verificar el desempeño de la gestión. Por lo tanto,  no se podría cumplir con los objetivos de la misma. 


Es imprescindible para que una auditoría sea eficaz que sea planificada y programada en función de la extensión, el número, la duración, las localizaciones a auditar y el disponibilidad de los recursos. 


Los recursos


No disponer de los suficientes recursos o bien que estos no estén adecuadamente capacitados / formados para elaborar un programa de auditoría, pone en riesgo que no se realice una buena planificación, y por lo tanto, que no se puedan cumplir con los objetivos de la misma. Los recursos deben disponer de los equipos, tiempo y formación necesaria para poder desarrollar el programa de auditoría de una forma efectiva.


La selección del equipo auditor


La empresa debe establecer una metodología para seleccionar y evaluar al equipo auditor. Para que la auditoría sea efectiva y se cumplan los objetivos, el equipo auditor debe cumplir con los requerimientos de capacitación y experiencia, no sólo en procesos de auditoría, sino en tener, también, un amplio conocimiento de los propios procesos de la empresa. La selección de un auditor que no disponga de la competencia, formación y experiencia necesaria puede poder en riesgo una buena ejecución del proceso de auditoría.


La comunicación


La comunicación entre el responsable del programa, el equipo auditor y los trabajadores de la empresa, es imprescindible para llevar a cabo la auditoría. Se debe coordinar la disponibilidad de los trabajadores clave, la Dirección de la empresa, la adecuación de la información documentada del sistema y el equipo auditor para establecer un calendario que se ajuste a todas las necesidades, para ello es imprescindible una buena y fluida comunicación entre todas las partes interesadas.


La implementación


En el proceso de implementación del programa, se pueden identificar riesgos como, por ejemplo:


- La falta de coordinación entre auditorías. Por ejemplo, para asegurar que el sistema de gestión se mantiene de una forma continua, es aconsejable separar las auditorías del propio sistema. Es decir, si se realiza la auditoría interna justo antes de la auditoría externa (o de certificación) se estará realizando la misma evaluación del estado del sistema 2 veces seguidas (casi en el mismo periodo de tiempo). En cambio si se distribuyen durante el año, por ejemplo una una cada 6 meses, estaremos evaluando el sistema en dos periodos diferentes y nos dará una información de la constancia que tiene el propio sistema.


- No tener en cuenta la seguridad y confidencialidad de la información.


El control de la información documentada

La información documentada del sistema tiene que estar al día y de acorde a las metodologías / procedimientos establecidos en la empresa. Además la información documentada debe ser una evidencia del cumplimiento de los requisitos del sistema de gestión. Si no se realiza un control y gestión adecuada del sistema documental se puede transformar en numerosas no conformidades durante el proceso de la auditoría. Por ese motivo, unas semanas antes de que se lleve a cabo, se debe hacer una revisión completa de ello, y debe coordinarse según el programa de auditoría.

El seguimiento


Es importante que se realice un seguimiento, revisión y mejora del programa de auditoría, debido a que la programación de un proceso de auditoría puede cambiar por diferentes motivos, si no se realiza el seguimiento, puede ser que no se pueda llegar a establecer una buena coordinación por ambas partes, auditor - auditado y los resultados de la auditoría puedan verse afectados. 


La disponibilidad del auditado


Para llevar a cabo una auditoría, el auditor necesita que el auditado coopere y le facilite toda la documentación que le vaya solicitando, y en el caso de necesitar explicaciones para entender o verificar algún proceso se lo puedan proporcionar.


Las oportunidades de mejora del Programa de auditoría pueden ser:


- Auditorías integradas. Permitir llevar a cabo varias auditorías en una única visita. Esto implica un ahorro de coste y de recursos.


- Minimizar el tiempo de auditoría. por ejemplo, si el equipo auditor externo es el mismo de cada año, está capacitado y tiene amplia experiencia en realizar auditorías en la empresa, ya conoce la documentación del sistema, y por lo tanto, necesita menos tiempo para verificar y evaluar durante el proceso de auditoría.


- Igualar el nivel de competencia del equipo auditor con el nivel de competencia necesario para alcanzar los objetivos de la auditoría.


- Alinear las fechas de la auditoría con la disponibilidad del personal clave del auditado. En este caso, contra mejor coordinación y comunicación exista más efectiva será la auditoría, y por lo tanto, mejor herramienta de mejora continua será para la empresa.

En la siguiente tabla podéis observar los diferentes puntos tratados anteriormente:





No hay comentarios:

Publicar un comentario