viernes, 25 de noviembre de 2022

Registro de los hallazgos en la auditoría

En un artículo anterior os expliqué en qué consistían los hallazgos en una auditoría de los sistemas de gestión, además de sus aspectos y categorías. Podéis consultarlo en el siguiente enlace: Hallazgos de la auditoría: concepto, aspectos y categorías. Es importante entender el concepto para conocer cómo se deben registrar y sobre todo, cómo aplicar las medidas necesarias para que su tratamiento sirva para mejorar el sistema y hacer la gestión de la empresa más eficiente y efectiva.

En este artículo nos centraremos en explicar cómo se deben registrar los diferentes hallazgos encontrados durante el proceso de la auditoría, y qué información se debe incluir en el Informe de auditoría.

Como determinamos en el artículo anterior podemos clasificar las evidencias en: descripción de las evidencias conformes, no conformidades (mayores y menores), observaciones, oportunidades (o acciones de mejora) y puntos fuertes. Todos estos hallazgos se deben describir y dejar constancia mediante un registro en el informe de auditoría. Para ello, en el propio informe se destina un apartado del mismo al desarrollo de cada uno de las categorías de hallazgos.

Con la finalidad de considerar los diferentes aspectos que debemos tener en cuenta para registrar y tratar los hallazgos encontrados en un proceso de auditoría de los sistemas de gestión, consideraremos como referencia los anexos A.18.2 "Registros de conformidades", el A.18.3 "registro de no conformidades" y, finalmente, el A.18.4 "Tratamiento de los hallazgos relacionados con múltiples criterios" correspondientes a la norma ISO 19011:2018 "Directrices para la auditoría de los sistemas de gestión." 

Registro de conformidades

La norma recomienda incluir en el registro los siguientes aspectos:

- "La descripción de o la referencia a los criterios de auditoría respecto a los cuales se muestra la conformidad".  Se refiere a la referencia o descripción del requisito que es de aplicación en la evidencia encontrada. Por ejemplo, durante un proceso de auditoría basado en la norma ISO 9001:2015, el auditor al verificar la información documentada y mediante también preguntas concretas a la Dirección, determina que la empresa cumple con el requisito descrito en el apartado 4.1 "Comprensión de la organización y de su contexto" de dicha norma, lo deberá indicar. Eso es para cada uno de los requisitos de la norma por la que se esté auditando. Si necesitás más información de la metodología a seguir para auditar el requisito que nos va a servir de ejemplo en este artículo, podéis consultar en el siguiente enlace: ¿Cómo auditar el contexto de la organización y las necesidades y expectativas de las partes interesadas?

- "La evidencia de la auditoría para respaldar la conformidad y la eficacia, si es aplicable." Una vez indicado el requisito (apartado de la norma) que se ha verificado, se debe describir y detallar cómo se ha realizado; es decir, las referencias de los documentos que se han comprobado, las entrevistas a los trabajadores que se han realizado para verificar su cumplimiento, y los hallazgos encontrados durante todo este proceso, ya sean positivos o negativos.

- "La declaración de conformidad, si es aplicable". Por otro lado, una vez que se ha explicado cómo ha sido el proceso de verificación de ese determinado requisito de la norma, debe existir una valoración de conformidad de dicho requisito.

A este registro de conformidades, en el informe de auditoría, se suele denominar descripción del proceso de auditoría, o bien descripción de la evolución de la auditoría, o equivalente. En este apartado, se identifica y analiza el cumplimiento por parte del auditado de cada uno de los requisitos de la norma de referencia. El orden puede variar dependiendo del criterio del auditor. En algunos casos, se describe en orden de ejecución durante el proceso de auditoría; en cambio, en la mayoría se suele seguir el orden según los requisitos dentro de la norma. En este segundo caso, requiere que el auditor en el momento de hacer el informe, recopile y ordene todas las evidencias y hallazgos encontrados para incorporarlos al informe de auditoría. Para obtener más información respecto a cómo se puede realizar podéis consultar el siguiente artículo: ¿Cómo preparar la reunión de cierre de la auditoría?

Registro de no conformidades

Una vez se obtiene la descripción concreta de todos los hallazgos encontrados durante el proceso de auditoría, respaldados por las evidencias objetivas, se realiza un registro recopilando las no conformidades encontradas, tanto mayores como menores. Es importante, que se describan y expliquen por parte del auditor de una forma adecuada y entendible para los auditados, ya que se tendrán un plazo de tiempo limitado para encontrar soluciones para corregir las desviaciones encontradas.

Según las recomendaciones del anejo A.18.3 de la norma ISO 19011:2018, la información que deberíamos incorporar en el apartado del informe de auditoría donde se detallen las no conformidades sería la siguiente:

- "La descripción de los criterios de auditoría o la referencia a los mismos." Es decir, el requisito o apartado de la norma de referencia al cual nos referimos. Siguiendo con el ejemplo anterior, apartado 4.1 "Comprensión de la organización y de su contexto" de la norma ISO 9001:2015.

- "La evidencia de la auditoría." Se tendrán que aportar las evidencias documentales o testimoniales que respalden la posible desviación o incumplimiento del requisito de la norma. Para que lo entendáis mejor, seguiremos con el mismo ejemplo. Imaginaros que la empresa dispone de un procedimiento donde explica la metodología a seguir para identificar el contexto de la organización, en el que se expone, que de forma anual la Dirección de la empresa elaborará el registro ABC "Identificación del contexto de la organización" y que posteriormente, tendrá que analizarlo y tomar las decisiones oportunas en la reunión de la revisión del sistema.  Al auditar este requisito de la norma, se verifica que la empresa si dispone de un protocolo concreto para el cumplimiento del requisito, pero este año, no ha rellenado el registro en cuestión. Por lo tanto, deberá describir que no se ha encontrado evidencia del registro ABC. 

- "La declaración de no conformidad." Como estamos en el apartado de registro de no conformidades, se tendrá que indicar su evaluación: mayor o menor. En este ejemplo, si únicamente se han olvidado por el motivo que sea rellenar el registro, pero cada año se ha ido haciendo, y relacionado con ello se ha evaluado el cumplimiento de otros tantos requisitos, además que la empresa dispone de la metodología y medios para cumplir con ello, se suele evaluar como una no conformidad menor. 

- "Los hallazgos de la auditoría relacionados, si es aplicable". Relacionados con una no conformidad se pueden asociar algunos otros hallazgos, que se asocian con algunas otras no conformidades. Por lo tanto, es posible incorporarlos en la descripción. En el ejemplo que nos ocupa, si este año la empresa no ha realizado el registro de identificación del contexto de la organización, lo más probable es que tampoco se analice dicho registro en la reunión de la revisión del sistema, ni se deje constancia en el acta, tal y como se requiere en el requisito correspondiente en el apartado 9.3 Revisión por la dirección de la norma ISO 9001:2015.

Tratamiento de los hallazgos relacionados en auditorías combinadas

En algunas ocasiones, cuando se realizan auditorías de sistemas integrados, llamadas auditorías combinadas, si el auditor está capacitado para ello, se suele auditar a la vez el mismo requisito de dos o tres normas diferentes. Debemos recordar que las normas ISO en las que se basan los sistemas de gestión, disponen de la misma estructura, y consecuentemente de unos requisitos comunes.

En estos casos el auditor puede registrar los hallazgos de dos maneras diferentes, que deben acordarse con el auditado, según las recomendaciones que se describen en el anejo A.18.4 "Tratamiento de los hallazgos relacionados con múltiples criterios" de la norma ISO 19011:2018, y éstas son las siguientes:

- "Hallazgos separados para cada criterio". Aunque se realice una auditoría combinada y un único informe de auditoría, se separan las no conformidades de cada uno de los sistemas de gestión aunque sea asociado al mismo requisito. Es decir, se suele aprovechar el mismo apartado destinado al registro de no conformidades, en el que aparece una tabla en la que se indica el número de NC y al sistema de gestión al que pertenece, además de la referencia al requisito, descripción y evidencias. Particularmente, soy partidaria de realizarlo de esta manera, ya que considero que es más claro para ambas partes.

- "Un único hallazgo, combinando las referencias a los múltiples criterios". Aunque la forma más habitual es la anterior, también nos podemos encontrar esta forma, en la que se suele indicar la referencia al requisito de la norma (apartados en común) y la descripción de ambas no conformidades dentro de la misma en la que cada apartado se refiere a un sistema de gestión.  El problema es que este criterio sólo sirve para requisitos en común de los diferentes sistemas de gestión auditar, para requisitos específicos se deberá crear una no conformidad para cada sistema de gestión de forma individual.

En la siguiente tabla disponéis de un resumen visual de lo que se ha tratado en este artículo.

Finalmente, la manera en que el auditado tiene que presentar las acciones correctoras de los diferentes sistemas de gestión auditados de forma conjunta, se deberá acordar con el auditor. Puede realizar un pliego por cada sistema de gestión, o bien un pliego por informe de auditoría.


No hay comentarios:

Publicar un comentario