El auditor interno

Cuando un auditor realiza una auditoría interna se le denomina auditor interno. No aparece este término en ISO 9000 ni en ISO 9001, pero sí en ISO 19011:2018 (4 e). Es designado por el responsable de la gestión del programa de auditoría entre el personal de la empresa para desempeñar el rol de auditor interno (normalmente a tiempo parcial). Como cualquier persona que participa en el sistema de gestión de la calidad, ha de ser competente (ISO 9001:2015, 7.2) para cumplir con los objetivos de la auditoría por sus conocimientos y habilidades personales. También ha de ser independiente, imparcial, objetivo y estar concienciado en aspectos de la calidad (7.3). Suele pertenecer a la plantilla de la empresa donde se audita, pero se puede contratar externamente. Puede participar en auditorías a proveedores de la empresa.

En función de su competencia, el auditor interno se puede clasificar en los siguientes grados o categorías. El auditor interno provisional con experiencia profesional apropiada y formación de auditor interno, pero sin suficientes auditorías internas realizadas en prácticas. También se le suele denominar auditor en formación o en prácticas. El auditor interno (único o en equipo) tiene formación de auditor interno y con suficientes auditorías en prácticas realizadas con supervisión de un auditor competente. El auditor interno líder tiene competencia de auditor interno y con suficientes auditorías realizadas como auditor líder en prácticas supervisadas por un auditor líder competente. Cuántas son suficientes auditorías lo debe establecer la empresa, normalmente en su procedimiento de auditoría interna.

La auditoría interna

La auditoría interna es la solicitada por la propia empresa, por eso se llaman de “primera parte”. Por su posibilidad de profundizar al disponer de más tiempo, tiene mayor utilidad como ayuda a la gestión. Son obligatorias según ISO 9001:2015, que recomienda utilizar ISO 19011 como norma de referencia para las auditorías internas. Forman parte del programa de auditoría interna de la empresa, que abarca todas las auditorías internas a realizar en las diversas sedes de la empresa (en las que esté implantada la norma) en un periodo de tiempo (habitualmente un año). Las realizan los auditores internos, que pueden pertenecer a la empresa o ser contratados por ella. Existen auditorías internas no referidas a los sistemas de gestión normalizados ISO, por ejemplo, de aspectos contables.

La auditoría interna es un instrumento de la función control de la gestión encargada de obtener información para la dirección de la empresa sobre el funcionamiento de un área (proceso, departamento, etc.) y determinar si está haciéndolo de la forma planificada, siguiendo los procedimientos establecidos. Esta información puede resultar de utilidad en el caso de que los resultados del área no sean satisfactorios y sea necesario investigar las causas.

Sin embargo, hay que tener en cuenta que la auditoría interna solo (cuando su objetivo es la comprobación de la conformidad) va a informar de si los procedimientos son seguidos correctamente o no, pero en los resultados del área pueden intervenir otros factores aparte de los procedimientos seguidos. Por lo tanto, puede ser necesaria una investigación complementaria de otros factores influyentes (personal, maquinaria, materiales, etc.) para aportar luz sobre las causas reales del funcionamiento del área. En cualquier caso, el informe de la auditoría interna va a ser un documento útil en la investigación.

Los auditores: sus tipos y grados

Un auditor es la persona que lleva a cabo una auditoría. (ISO 9000:2015, 3.13.15). De su competencia y de sus cualidades personales dependen los resultados de la auditoría. Puede formar parte de un equipo y estar apoyado por expertos técnicos. En el equipo pueden participar auditores en prácticas.

Se suelen clasificar en dos tipos: auditor (de certificación o no) y auditor interno. Según el tipo de auditoría participa un tipo de auditor. En las de primera parte el alcance de la auditoría suele ser una parte del sistema de gestión y las lleva a cabo un auditor interno propio de la empresa o contratado. Las de segunda parte suelen abarcar todo el sistema de gestión y las realiza el auditor del cliente ya sea propio o contratado. Las de tercera parte normalmente tienen por alcance todo el sistema de gestión y las llevan a cabo los auditores pertenecientes a una entidad independiente (de certificación o no) de la empresa auditada.

Grados de auditores
Según el nivel de competencia del auditor se suelen considerar unos grados en función de la formación y la experiencia. El auditor provisional tiene formación, pero no experiencia como auditor. El auditor tiene formación y experiencia como auditor. El auditor líder tiene la formación del auditor y experiencia específica como auditor líder. Esta graduación se puede utilizar también para los auditores internos.

Tipos de auditoría

Atendiendo al criterio de quien la solicita y realiza existen tres tipos de auditorías. Una es interna y las otras externas. La auditoría de primera parte (interna) la solicita la empresa, que también la realiza utilizando auditores propios o contratados. La auditoría de segunda parte (externa) la solicita un cliente de la empresa y la realiza un cliente actual o potencial; normalmente previo a la firma de un contrato o para el control de su cumplimiento. La auditoría de tercera parte (externa) la solicita la empresa o una autoridad reglamentaria y la lleva acabo una entidad auditora independiente, habitualmente con la finalidad de certificación.

Si el criterio de clasificación es el objeto auditado existen otros tipos de auditoría: de producto, de proceso, de proyecto, de contrato, etc.

Los elementos claves de una auditoría

En una auditoría existen unas partes constitutivas de gran importancia, por lo que el auditor las ha de tener muy en cuenta. 

Los elementos claves de una auditoría y sus relaciones son:

•  Alcance o ámbito (*)

Establece la extensión y los límites de la auditoría al definir con precisión la o las entidades (u objetos) a auditar: las ubicaciones (pueden ser virtuales), las unidades organizativas (empresa, divisiones, departamentos, secciones, etc.), los procesos, las actividades, los productos y servicios, los proyectos. También se puede incluir el periodo de tiempo que abarcará.

•   Objetivos de la auditoría

Resultados que se persiguen alcanzar al realizar la auditoría. Se deberán relacionar con el alcance.

•   Criterios de auditoría (*)

Conjunto de requisitos utilizados como referencia frente a la cual se comparan las evidencias objetivas. Pueden formar parte de las políticas, procedimientos, instrucciones de trabajo u otros documentos de la empresa (documentados o no). También son los requisitos que son aplicables a la actividad (leyes, normas, contratos, etc.) en relación con la calidad. En el caso de los requisitos legales y reglamentarios, se utilizan los términos cumplimiento/incumplimiento en lugar de conformidad/no conformidad.

•   Evidencias (objetivas) de la auditoría (*)

Datos y hechos que respaldan la existencia o veracidad de algo. Suelen estar incluido en registros, declaraciones de hechos o cualquier otra información que es pertinente para los criterios de auditoría y que es verificable. Pueden ser cualitativas (ej.: no se dispone de un registro de la revisión del sistema por la dirección en el año 2020) o cuantitativas (ej.: se detectan 26 paquetes sin etiquetas de identificación).

•   Hallazgos de la auditoría (*)

Resultados de la evaluación de las evidencias de auditoría frente a los criterios de auditoría. Un hallazgo puede referirse (dependiendo del objetivo) tanto a una conformidad como a una no conformidad; a un riesgo identificado; a una buena práctica; a una oportunidad de mejora. 

•   Conclusiones de la auditoría (*)

Resultados de una auditoría, tras considerar los hallazgos de la auditoría y valorarlos en relación con los objetivos de la auditoría.

(*) Definiciones basadas en la norma ISO 9000:2015 y en ISO 19011:2018.

 

La auditoría, desmenuzada

La auditoría es una actividad de investigación que recopila información para la toma de decisiones. Proporciona información sin sesgo y basada en evidencias objetivas sobre cómo se está gestionando una empresa respecto a determinados aspectos.

Para evaluar la información recopilada se utilizan los criterios de auditoría. En el ámbito de los sistemas de gestión normalizados (SGN) , que es el que aquí nos ocupa, los criterios de auditoría principales son las normas ISO (9001, 14001, 45001…), afines o derivadas.

Para comprender con precisión el concepto de auditoría es conveniente utilizar la definición contenida en ISO 9000:2015 apdo. 3.13.1, que se analiza seguidamente desglosada en sus términos. 

Proceso sistemático, independiente y documentado...
La auditoría es un proceso, es decir, una secuencia de actividades que produce un resultado, en este caso información.
Sistemático indica que se realiza siguiendo un orden y un método, que se puede llamar procedimiento.
Independiente significa que es realizado por alguien que no es responsable de lo auditado. Documentado indica que su ejecución y resultados se recogen en documentos.

... para obtener evidencias objetivas...
Las evidencias objetivas son, según ISO 9000:2015 (apdo. 3.8.3) datos que respaldan la existencia o veracidad de algo. En el caso de una auditoría son, por ejemplo: registros, declaraciones de hechos o cualquier otra información que son pertinentes para los criterios de auditoría y que son verificables.

... y evaluarlas de manera objetiva...
La evaluación consiste en valorar la importancia de los hechos recopilados y objetiva implica que no influyan opiniones, emociones, prejuicios u otro tipo de sesgo personal. Para ello es imprescindible ajustarse a los criterios de auditoría.

... con el fin de determinar el grado en que se cumplen los criterios de auditoría.
Comprobar el cumplimiento de los criterios de auditoría es la finalidad principal de una auditoría. El “grado” de conformidad se puede medir por el número y naturaleza de las no conformidades encontradas. No existe una escala universal para medirlo, por lo cual queda al juicio profesional del auditor su calificación.

Notas formativas Audit 9000

Comienzan aquí y ahora una serie de publicaciones denominadas Notas formativas para la divulgación de temas sobre auditorías y auditores. Destinadas a todas las personas interesadas en temas relacionados con la auditoría de los sistemas de gestión normalizados, especialmente ISO 9000.

Estas notas se verán en su mayoría recopiladas y ampliadas en próximos artículos. Esperamos que sean de utilidad a los lectores y seguidores de Audit 9000, de los que serán muy bienvenidos sus comentarios y sugerencias.

Nota. Estas notas también aparecen en la página Audit 9000 de LinkedIn.