Guias de Las Buenas Practicas de Auditorias

GUIAS DE BUENAS PRÁCTICAS DE AUDITORIA
Introducción
El siguiente documento es una traducción libre no oficial, realizada por la Oficina Nacional de
Normalización (NC) de los documentos elaborados por el Grupo de Prácticas de Auditoria de
sistemas de gestión de la calidad (www.iso.org/tc176/ISO9001AuditingPracticesGroup),
recientemente fusionado con el Grupo de Prácticas de Auditoria de Acreditación, adscrito al
Comité Técnico 176 de la ISO – Gestión de la Calidad y Aseguramiento de la Calidad (ISO/TC
176) y el Foro Internacional de Acreditación (IAF), conformado por expertos y auditores. Los
documentos originales vigentes se publican oficialmente en idioma inglés en el sitio web de IAF
(http://www.iaf.nu/) y en el del ISO/TC 176 (www.bsi.org.uk/iso-tc176-sc2) y pretenden brindar
ayuda para auditar de forma eficaz los requisitos de los sistemas de gestión de la calidad
(SGC).
La información contenida en estos documentos está disponible al público con fines educativos y
de comunicación, pudiendo ser de utilidad para auditores, consultores y especialistas en
materia de calidad. Las ideas, ejemplos y explicaciones dadas en ellos reflejan un
acercamiento basado en proceso, esencial para auditar los requisitos de la norma ISO 9001 en
su versión del año 2000. Estos documentos reflejan el enfoque actual consensuado de varios
puntos de vista diferentes al auditar un SGC y por tanto no agotan todas las especificidades de
un sector o industria particular, por lo que no constituyen requisitos, sino guías o directrices
generales acerca de cómo abordar la auditoria de los aspectos que constituyen requisitos del
SGC.
Agradecemos todo comentario o sugerencia de parte de los lectores sobre la necesidad de

abordar nuevos temas por el Grupo de Prácticas de Auditoria, a través de la participación de
NC como integrante del mismo. Los comentarios y dudas dirigirlas a la dirección de correo
electrónico: agustin@ncnorma.cu
Abreviaturas empleadas:
RNC- Reporte de No conformidad
SGC- Sistema de gestión de la calidad
OC- Organismo de certificación
Otros documentos guías de apoyo para consulta:

• “Conjunto de documentos para la introducción y el soporte de la serie de Normas ISO 9000"
Documentos guías del ISO/TC 176 SC2 (traducidos de forma consensuada por el Grupo de
Traducción de Normas al Español adscrito al ISO/TC 176 – STTG):
o N524 – Orientación sobre el apartado 1.2 "Aplicación” de la Norma ISO 9001:2000
o N525 – Orientación sobre los requisitos de documentación de ISO 9001:2000.
o N544 – Orientación sobre el Concepto y Uso del Enfoque basado en procesos para los sistemas
de gestión
o N630 – Orientación sobre los procesos contratados externamente
• IAF-PL-01-012 Directrices de la IAF sobre la aplicación de la norma ISO 9001:2000 (versión 2)
El listado de guías elaboradas por temas que se muestra a continuación, está
vinculado a los documentos para facilitar su acceso, por lo que sólo debe pulsar el
botón del ratón sobre el título para verlo en pantalla.
1. La necesidad de un enfoque de dos etapas para la auditoria

2. Identificación de los procesos como se pretende en la norma ISO 9001:2000
3. Entendiendo el enfoque basado en procesos
4. Determinación de los procesos “apropiados”
5. Auditando los requisitos “cuando sea aplicable”
6. Demostrando conformidad con la norma
7. Vinculando la auditoria a un asunto particular, actividad o proceso del sistema
general
8. Auditando la mejora continua
9. Auditar un SGC que tiene una documentación mínima
10. Cómo auditar los procesos de la alta dirección
11. El papel y valor de las listas de verificación para auditoria
12. El alcance de la norma ISO 9001:2000, alcance del sistema de gestión de la
calidad y la definición del alcance de la certificación
13. Cómo agregar valor durante un proceso de auditoría
14. Auditando la competencia del personal y la eficacia de las acciones de
capacitación
15. Auditando los requisitos reglamentarios
16. Auditando la política y los objetivos de la calidad
17. Auditando el control de los dispositivos de seguimiento y medición
18. Uso eficaz de la norma ISO 19011
19. Auditando los procesos de retroalimentación del cliente
20. Documentando una no conformidad
21. Guía para la revisión y cierre de no conformidades
22. Auditando la acción preventiva
23. Auditando las comunicaciones internas
24. Auditando la eficacia de la auditoria interna
25. Auditando organizaciones de servicio
26. Imparcialidad del auditor de tercera parte y conflictos de intereses
27. Auditando sistemas de gestión en base electrónica.
28. Auditando la gestión de los recursos
29. Auditando las comunicaciones con los clientes
30. Auditando los procesos de Diseño y Desarrollo
31. Código de ética y conducta del auditor
32. Guía sobre aspectos culturales de la auditoria
33. ¡El resultado es importante!
La necesidad de un enfoque de dos etapas para la auditoría
Para auditar la norma ISO 9001:2000 es necesario que los auditores obtengan un
buen entendimiento del sistema de gestión de la calidad (SGC) del auditado y de la
naturaleza de su negocio. Es por esto que es benéfico para la organización que sea
visitada con anterioridad a la auditoría de certificación y para que se realice la primera
etapa de la auditoría.
Esta 1° etapa de auditoría es primeramente para entender el alcance y planificar la
auditoría de certificación (la etapa 2 de la auditoría) y para permitir que el auditor
obtenga un entendimiento de la organización. Por ejemplo, para obtener un
conocimiento de su SGC, políticas, objetivos, riesgos, procesos, localidades, etc.
También se pudiera utilizar para que el cuerpo de auditoría comunique sus
necesidades y expectativas al auditado.
Las actividades desarrolladas en la etapa 1 de la auditoría preliminar incluyen:
• La identificación de los riesgos clave para el negocio y los aspectos regulatorios
relacionados y su cumplimiento
• Una evaluación de si los procesos definidos por el auditado son adecuados para
cumplir sus objetivos y los requisitos de los clientes
• Conducir una revisión documental
• Esta revisión debe determinar si la documentación del SGC de la organización
cubre adecuadamente todos los requisitos de la norma ISO 9001:2000. La revisión
normalmente debería ser realizada en las instalaciones del auditado ( a menos que
otra cosa se solicite y justifique). Como resultado de esta actividad, se debe
proporcionar un reporte que resalte cualquier área de deficiencia. Como parte de la
revisión documental, el auditor debe evaluar la extensión y la disponibilidad de
procedimientos de soporte y descripciones de proceso. Recolectar la información
necesaria de acuerdo con el alcance del SGC de la organización, los procesos y
su ubicación.
• Hacer un borrador de la documentación de la futura certificación, incluyendo el
enunciado del alcance
• Planificar la auditoría de certificación (etapa 2), incluyendo los requisitos para la
selección del equipo auditor.
• Obtener evidencia de que han sido planeadas auditorías internas y revisiones por
la dirección, o eficazmente realizadas
• Verificar que el SGC está implementado y listo para la auditoría de etapa 2,
incluyendo en nivel apropiado de documentos y de registros de soporte.
Si el sistema tiene alguna deficiencia, el auditor debe notificarlo en el reporte
de auditoría, de modo que la organización tenga la oportunidad de rectificar las
deficiencias antes de su auditoría de certificación (2° etapa).
• Acordar la fecha de la auditoría 2° etapa
Traducción libre de NC. No oficial -Documentos oficiales disponibles en: http://www.iaf.nu/ y
www.bsi.org.uk/iso-tc176-sc2
(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)
Identificación de los procesos como se pretende en la norma ISO

9001:2000
Distinguiendo entre los conceptos de proceso y actividad
Si el auditado no puede distinguir entre los conceptos de proceso y actividad, el auditor
puede brevemente explicar la diferencia de acuerdo a la norma ISO 9000:2000 como
una información de soporte. El auditor debe ser capaz de adaptarse a la situación del
auditado. Es responsabilidad del auditor el entender el sistema y enfoque del auditado.
Durante la auditoría, el auditor debe determinar si es un problema solamente de
diferencia de terminología o si existe una falta real de implementación del enfoque
basado en procesos por el auditado, en cuyo caso pudiera haber necesidad de emitir
un reporte de no conformidad ya que el auditado no ha implementado completamente
el requisito establecido en la norma ISO 9001:2000, Cláusula 4.1. Si simplemente es
un problema de terminología, no habrá necesidad de emitir un RNC si todos los
requisitos del la cláusula 4.1 se satisfacen.
El auditado tiene el derecho de usar su propia terminología, demostrando que los
requisitos de la norma se cumplen. El auditor debe mentalmente desarrollar una lista
de referencia cruzada para asegurar la consistencia y tener un mejor entendimiento.
Un proceso tiene definidos objetivos, entradas, salidas, actividades y recursos
Si el auditado no entiende que un proceso en este sentido debe tener definido (pero no
necesariamente mensurable) objetivos, entradas, salidas, actividades y recursos, trate
reformulando las preguntas al auditado evitando el uso de lenguaje de Gestión de
Calidad, ejemplo, ¿pudiera explicarme sus operaciones aquí?, ¿cuáles son los
trabajos básicos que se realizan en su departamento?, ¿qué información necesita
usted para empezar a trabajar?, ¿de donde viene?, ¿quién recibe el resultado de su
trabajo?,¿cómo sabe si ha hecho correctamente su trabajo?, etc.
Esto debe ayudar al auditor a establecer si los procesos (según la norma ISO 9001:
2000) están definidos, tienen entradas, salidas y objetivos claros y así.
Los procesos deben ser analizados, dárseles seguimiento y/o medirlos y
mejorarlos
Si después de aplicar las técnicas de auditoría mencionadas anteriormente, y en la
ausencia de cualquier registro u otras pruebas para demostrar que los procesos son
analizados y/o se les da seguimiento y/o son medidos y/o mejorados, debe
considerarse una no conformidad a una parte de la cláusula 4.1 de la norma ISO
9001:2000
El auditado / auditor considera que cada cláusula o sub cláusula de la norma ISO
9001:2000 debe ser definida como un proceso por separado
Si el auditor considera esto como el enfoque correcto, se le debe referir a los
documentos relevantes de ISO, (particularmente el N544) que claramente indican lo
contrario. Si el auditado considera esto como el enfoque correcto, es recomendable
utilizar las técnicas señaladas anteriormente en la segunda sección.
¿El enfoque basado en procesos como se describe en la introducción es un
requisito de la norma ISO 9001: 2000?
La descripción del enfoque basado en procesos en la introducción de la norma ISO
9001:2000 es puramente informativa y no una serie de requisitos adicionales.
Ayudando al auditor a interpretar el enfoque basado en procesos
Si el auditor no entiende o malinterpreta el enfoque basado en procesos, hay que
dirigirlo a fuentes reconocidas de información, como la norma ISO 9000:2000 y las
guías ISO en los conceptos y uso del enfoque de procesos para los sistemas de
gestión (ISO/TC176/SC2 N 648)
El cuerpo de certificación debe asegurar que todos sus auditores hayan recibido el
entrenamiento suficiente sobre los nuevos requisitos de la norma ISO 9001:2000, en
particular en el enfoque basado en procesos. Por tanto, el auditor debe comprender
que varios pasos son necesarios, incluyendo lo siguiente:
• determinar los procesos y las responsabilidades necesarias para lograr los
objetivos de la calidad de la organización;
• determinar y proporcionar los recursos e información necesaria;
• establecer y aplicar los métodos de seguimiento y/o medición y análisis de cada
proceso;
• establecer y aplicar un proceso de mejora continua de la eficacia del SGC.
El concepto del enfoque basado en procesos debe ser tan bien entendido por el
auditor que no este limitado por la terminología de la norma; el auditado pudiera usar
una más o menos diferente. El auditor debe estar conciente de que la aplicación del
enfoque basado en procesos será diferente de una organización a otra, dependiendo
del tamaño y complejidad de la organización y sus actividades. Se debe dar una
consideración especial en la situación de las pequeñas y medianas empresas
(PYMEs), de modo que el auditor no espere tantos procesos en el SGC.
Ayudando al auditado a interpretar el enfoque basado en procesos
Si el auditor se encuentra con una total mala interpretación del auditado, esta situación
debe ser identificada normalmente en la primera etapa de auditoría.
El auditor debe referir al auditado a las fuentes reconocidas de información, como las
indicadas en la sección anterior.
En particular el documento N648 establece los pasos en el enfoque basado en
procesos y proporciona una directriz útil con ejemplos.
El auditado debe también poner suficiente consideración a
• la identificación de los objetivos del proceso,
• la planificación del proceso,
• la disponibilidad de registros adecuados.
El auditado pudiera tener identificados muchos procesos; alguno o todos ellos son
actividades que no cumplen con los requisitos de un proceso en el sentido en el que la
norma ISO 9001:2000 utiliza el concepto. Si es así, el auditor debe en la primera etapa
de auditoría proponer al auditado que desarrolle una redefinición de sus procesos
basado en, por ejemplo, lo critico de las actividades. Esto puede ser particularmente
relevante para las pequeñas y medianas empresas.
Si por excepción, el mal entendido no se detecta hasta la segunda etapa de la
auditoría, se debe levantar un RNC. El auditor entonces tiene que considerar las
posibilidades de acuerdo con las reglas del cuerpo de certificación involucrado, por
ejemplo, continuar con la auditoría, reauditar después o aún la terminación de la
auditoría.
¿Cómo evaluar si el auditado no ha implementado el enfoque basado en
procesos?
El auditor debe determinar si es una falta de implementación real o formal, o algo en
intermedio. Una falta real de implementación pudiera caracterizarse por ejemplo en un
flujo de información y/o de producto no claro entre las funciones, tiempos de entrega
largos o inconsistentes desde la solicitud hasta la entrega de los productos, además
de la ausencia de objetivos de proceso y análisis.
El otro extremo pudiera ser cuando todas las actividades de importancia para una
calidad definida de productos se encuentran bien implementadas e interrelacionadas,
incluyendo, por ejemplo, compras, y la responsabilidad de las líneas de producto
desde la requisición hasta el transporte final están establecidas, pero el concepto del
enfoque basado en procesos no se utiliza. Si todos los requisitos en la cláusula 4.1
son de hecho cubiertos, no debe levantarse un RNC con referencia a esa cláusula.
Sin embargo, si la descripción de las interfases es deficiente en la documentación de
calidad parecería que existe una no conformidad con la cláusula 4.2.2.
Si el auditado ha fallado en uno o más de los requisitos en la cláusula 4.1 se debe
levantar un RNC. Dependiendo de la extensión e importancia de la no conformidad, el
auditor tiene que considerar las posibilidades de acuerdo con las reglas del cuerpo de
certificación involucrado, por ejemplo, continuar con la auditoría, reauditar o hasta
terminar.
¿Qué debe considerar el auditor cuando audita un proceso?
El auditor debe plantear preguntas basadas en la definición de un proceso en la norma
ISO 9001:2000 pero transformarla para la situación actual de modo que el auditado
pueda entender que es lo que el auditor quiere saber. Algunos de esos ingredientes
básicos son:
• el objetivo: ¿cuál es la intención del proceso?
• la entrada: ¿qué es lo que va a ser tratado? ¿de dónde viene?
• las actividades: ¿qué se hace en esos pasos particulares?
• la salida: ¿qué sucede con la entrada? ¿cuál es el resultado? ¿a dónde va? ¿el
resultado está alineado con el objetivo/intención?
• los recursos: ¿qué es necesario para las actividades en términos de personal,
información, equipo, etc.? ¿los recursos necesarios están disponibles?
• el seguimiento/medición: ¿a que se le da seguimiento o se mide para ver que las
actividades se desarrollan como se pretende? ¿Los parámetros seleccionados
para dar seguimiento o medir son adecuados? ¿existe algún arreglo particular
como una inspección?
• el análisis: ¿que se hace con la información recolectada del seguimiento o la
medición de las actividades? ¿quién lo realiza?
• la mejora: ¿la mejora del proceso esta incluida en el programa de auditoría como
mejora continua? El auditor debe darse cuenta de que no todos los procesos
pueden ser mejorados simultáneamente; el auditor debe priorizar.
Para obtener información general, el auditor debe encontrar quién es el responsable

del proceso, pero debe estar conciente de que la norma ISO 9001:2000 no requiere un
“dueño de proceso” formal”.
Procesos versus subprocesos
No hay un requisito en la norma ISO 9001:2000 o una regla generalmente aceptada de
que tan simple puede ser un proceso. Si todos los requisitos en la cláusula 4.1 se
cumplen, el auditor debe respetar cualquier razón sobre el diseño de los procesos que
el auditado le muestre.
Donde un proceso muy complejo puede ser dividido en dos o más procesos menos
complejos, cada uno de los cuales cumpla con los requisitos de la cláusula 4.1, el
auditor pudiera presentar esto como una posibilidad pero no como una recomendación
- lo último puede ser interpretado como una consultoría y pudiera interpretarse como
una responsabilidad no deseada del auditor.
Diferencia entre documentación e implementación
El manual de calidad /documentación pudiera, en una fase preparatoria, llevar al
auditor a creer que los sistemas están implementados según el enfoque basado en
procesos, pero la realidad en el sitio de trabajo pudiera ser lo opuesto.
En este caso el auditor encontraría una falta de implementación caracterizada por
• las funciones esenciales o departamentos del auditado operan con unas
interacciones débiles,
• ausencia de un análisis del proceso
• una falta de mejora continua.
Esto sería una no conformidad contra los requisitos de la cláusula 4.1 y un RNC
probablemente debería levantarse. Dependiendo de la extensión e importancia de la
no conformidad, el auditor también tiene que considerar las posibilidades de acuerdo a
las reglas del cuerpo de certificación.
Desacuerdo entre el auditor y el auditado sobre cual es la manera “correcta” de
implementar el enfoque basado en procesos
No existe una manera universalmente “correcta” de implementar el enfoque basado en
procesos. El auditor y el auditado deben estar concientes de que la aplicación del
enfoque basado en procesos será diferente de organización a organización,
dependiendo el tamaño y la complejidad de la organización y sus actividades. Se debe
dar una consideración especial a las pequeñas y medianas empresas, para que el
auditor no requiera o defina muchos procesos de modo que la aplicación del enfoque
basado en procesos resulte una barrera en vez de un beneficio para estas empresas.
Si todos los requisitos de la cláusula 4.1 se cumplen no se debe levantar un RNC.
El auditor y el auditado deben entender que lo que realmente importa es que el
auditado
• opere con un flujo de actividades bien definido, consistente, eficaz y eficiente,
incluyendo la mejora continua para lograr la satisfacción de las partes interesadas,
• tenga una clara estrategia de futuro, y
• tenga el derecho de discordar con la posible interpretación subjetiva que haga el
auditor sobre los requisitos de la norma


Determinación de los procesos “apropiados”
Terminología
Donde la terminología utilizada por el auditado es diferente a la utilizada por el
auditor, el auditor debe entender los conceptos en la norma ISO 9001:2000
utilizar la norma ISO 9000:2000 y hacer una referencia cruzada mental o
escrita entre la terminología del auditado y la suya propia para los mismos
conceptos evitando el uso de vocabulario de Gestión de la calidad.
La definición de proceso
Si la definición de proceso no es interpretada de la misma manera por el
auditor y el auditado, el auditor debe buscar entender el punto de vista del
auditado y no imponer el suyo a menos que sea claro (soportado por suficiente
evidencia objetiva) que los requisitos de la norma no se cumplen. Lo mismo es
verdad si el auditor cree que ciertos procesos no han sido identificados
correctamente o no se encuentran.
Exclusiones
El auditor debe referirse a la cláusula 1.2 de la norma ISO 9001:2000, y
posiblemente al documento N648 para obtener una guía mayor. El auditor
debe obtener evidencia objetiva de que el auditado no puede excluir un
requisito específico antes de alcanzar su conclusión. Es una Buena práctica
utilizar la norma ISO 9000:2000 Fundamentos y vocabulario y el documento
N648 como soporte para explicar sus argumentos al auditado.
Auditando los requisitos “cuando sea aplicable”
El cliente debe determinar los “requisitos que marcan cuando sea aplicable”, ya
que estos afectarán su habilidad para satisfacer los requisitos de sus clientes.
Una clave es referirse a la norma ISO 9001:2000 Alcance 1.1 a) “necesita
demostrar su capacidad para proporcionar de forma coherente productos que
satisfagan los requisitos del cliente y los reglamentarios aplicables”.
Un auditor debe asegurar que los requisitos con “cuando sea aplicable” sean
realmente “aplicables” en relación al alcance propuesto o actual. Por tanto la
base para auditar debe ser contra este criterio y esto forma la referencia para
cuando se decida que es aplicable o no. ¿Este requisito agrega valor a este
elemento de confianza, sin que se cumpla el elemento “cuando sea aplicable”?
¿Se agrega el riesgo de que la organización no pueda cumplir con los
requisitos del cliente? y también se pudiera ser más específico que requisitos
del cliente, ya que se puede incluir las expectativas del consumidor final o de la
cadena de demanda.
La necesidad de la experiencia para hacer un juicio en un aspecto técnico

El cuerpo auditor debe ser capaz de demostrar que el auditor tiene el
conocimiento necesario del sector, la competencia y las habilidades de
auditoría. El auditor debe ser capaz de demostrar el conocimiento del proceso y
aplicar sus habilidades en evaluar los requisitos “cuando sea aplicable” si son o
no aplicables.
El auditor necesitará entender cómo los requisitos “cuando sea aplicable”
entran en el contexto de cómo el proceso es desarrollado y los resultados
esperados de éste y auditar con la evidencia objetiva para demostrar que el
sistema es eficaz y los requisitos se cumple consistentemente.
Un cuerpo de certificación debe por lo tanto tener el proceso establecido para
asegurar que el auditor tiene las habilidades específicas para la organización
que será auditada.
Demostrando conformidad con la norma

“Desarrollar la auditoría sobre las cláusulas de la norma” v.s. “Desarrollar
la auditoría sobre los procesos del auditado”
Cuando se evalúa la conformidad con la norma, las listas de verificación

para auditoría pudieran no ser suficiente.
Al final de la auditoría, el auditor debe estar convencido de que todos los
requisitos de la norma se satisfacen o no.
Mostrar la conformidad a una norma lleva a todo el mundo a una lista de
verificación donde el auditor es capaz de verificar los requisitos de la norma
uno a uno, asegurándose que todos los requisitos han sido cubiertos. Este
enfoque básico de llenar una lista de verificación es una manera fácil de
asegurar que todos los requisitos de la norma han sido revisados. Sin embargo,
considerando el enfoque de la norma ISO 9001:2000, desarrollar una auditoría
sobre una lista de verificación genérica pudiera no permitir al auditor recolectar
evidencia de la eficacia de las interfaces entre los procesos.
Deshacerse completamente de la lista de verificación (o lista de preguntas de
auditoría) no sería posible, particularmente si se necesita demostrar a terceras
partes la evidencia de conformidad a la norma (ejemplo, cuerpos de
acreditación). Es importante usar una lista de verificación de manera apropiada
y en el tiempo adecuado como herramienta para dar seguimiento a los
requisitos de la norma a ser cubiertos.
¿Cuál es el muestreo adecuado?
No hay una fórmula estadística o matemática para establecer el número
correcto de muestras a ser tomadas durante una auditoría. Definir el número de
muestras (por ejemplo, una, cinco o más muestras de registros para un
requisito en particular) a ser tomado para confirmar el cumplimiento a los
requisitos no es eficiente y no asegura el cumplimiento. Es claro un hecho de
que al incrementar el número de muestras tomadas, el auditor tiene una mayor
confianza sobre el estado de la implementación del SGC. “Un muestreo
adecuado” en este texto se refiere al muestreo tomado durante las entrevistas
en el lugar y los registros revisados para construir una confianza de que el SGC
del auditado esta implementado como se describe.
El muestreo en multi-sitios o el muestreo de las unidades organizacionales de
una compañía están cubiertas en el Anexo II de la Guía de la IAF en la
aplicación de la Guía 62 ISO/IEC, con los días auditor en el lugar y la fórmula
de muestreo multi-sitios.
El auditor necesita desarrollar entrevistas y verificar registros y evidencias
durante la entrevista. El número de muestras a tomarse depende de la
complejidad del proceso, y en la calidad de la información recibida del auditado
durante la entrevista. Es también importante que el auditor mantenga el horario
establecido en el plan de auditoría. Al final del día, el auditor necesita sentirse
tranquilo de que las muestras y la evidencia objetiva vista son representativas
de modo que pueda llegar a una conclusión apropiada sobre la implementación
del SGC.
Registrando la información de la auditoría
La norma ISO 19011 y la directriz de la IAF sobre la aplicación de la Guía 62

ISO/IEC explican lo que un reporte de auditoría debe contener. Sin embargo,
es importante notar que el reporte de auditoría hacia el auditado, debe contener
solamente información importante para el auditado. La información sobre
posibles mejoras, observaciones positivas y las no conformidades a la norma
son muy importantes para el auditado. Reiterar y explicar los requisitos de la
norma pudiera no ser lo que el auditado este buscando.
Pudiera ser un requisito para el auditor demostrar la secuencia en la que se
desarrolló la auditoría, algunas veces llamado la ruta de auditoría. La utilización
de notas de auditoría es un modo muy eficiente para el auditor de registrar la
auditoría. Una gran desventaja de usar las notas de auditoría es que son un
modo muy personal de registrar la información durante la auditoría y el detalle y
estilo varía mucho de un auditor a otro.
La lista de verificación asegura algo de uniformidad en el desarrollo de los
auditores. Sin embargo, el auditor nunca debe olvidarse de utilizar su tiempo en
auditar y no en llenar listas de verificación y hacer notas.
Vinculando la auditoría a un asunto particular, actividad

o proceso del sistema general
El auditor no debe perder de vista la dirección general de la auditoría, y quedar
atrapado por detalles superfluos. Es importante que el auditor mantenga la
atención en la información proporcionada por el auditado en el manual de
calidad o la documentación donde el auditado ha definido la interacción de los
procesos. Las entrevistas deben también ser desarrolladas de modo que los
auditores deban determinar la entrada y la salida de los procesos a ser
auditados.
Manteniendo en mente el mapa de procesos del auditado se debe asegurar
que el auditor será capaz de determinar la importancia del proceso que está
auditando en cualquier momento, y podrá entonces ser capaz de mantener la
visión de la dirección general de la auditoría. Esto también ayudará al auditor a
entender los vínculos entre procesos.
Durante una auditoría, el auditor tiene una oportunidad de verificar la
descripción del auditado de la interrelación de sus procesos. El auditor debe
tomar algunas muestras para ver si las descripciones son un reflejo apropiado
de la interrelación real de los procesos, ya que esto ayudará a determinar si la
descripción del proceso es adecuada.

Auditando la mejora continua

¿Cuánta mejora es « suficiente »?
Debe enfatizarse que el requisito en la norma ISO 9001:2000 es para la mejora
continua de la eficacia del SGC. No hay un requisito explícito para mejorar los
procesos aunque es claro que esto sería un factor importante en el logro de la
mejora continua de la eficacia del SGC.
La mejora continua emana de los objetivos fijados por la alta dirección, los que
deben estar en relación con al menos los siguientes puntos: la mejora de la
eficiencia interna de la organización para permanecer económicamente
competitiva, las necesidades individuales de los clientes y el nivel de
desempeño que el mercado normalmente espera.
Por ejemplo, en ciertas áreas como el sector aeronáutico, el “rango aceptable”
de producto no conforme entregado es cero por ciento, entonces no sería
normal esperar cualquier “mejora” a este rango. Sin embargo, sería normal
esperar para la compañía tener objetivos que lleven a la mejora de la eficiencia
interna y su competitividad (ejemplo: a través de la innovación).
Por tanto el auditor debe buscar identificar que el auditado haya intentado
establecer la correlación entre estos 3 factores “Objetivos corporativos –
necesidades de los clientes – expectativas del mercado”. Así que, es decisión
de la compañía el balancear la necesidad de mejorar la eficiencia interna y la
necesidad de progresar con el desempeño externo (aunque los dos están
frecuentemente muy relacionados). Ninguno aisladamente puede considerarse
como “suficiente” o “no suficiente”.
Un área que puede ser problemática para el auditor es el conocer que es una
referencia de mercado razonable. En el ejemplo anterior de la aeronáutica, si la
compañía anuncia que ha mejorado del 50% de producto no conforme
entregado al 40%, esto demostraría mejora continua, pero sería difícilmente
aceptable dado el sector industrial. Sin embargo, si anuncia que ha fijado un
objetivo de mejorar del 0,50% al 0,40%, esto sería mucho más cercano a la
norma del mercado.
La única solución real para el auditor es verificar cómo la organización ha
determinado este rango propuesto de mejora, cómo han evaluado el riesgo
asociado y cómo éste se relaciona con los requisitos del cliente y el
seguimiento a la retroalimentación sobre la satisfacción del cliente. Sería casi
imposible el levantar un RNC sobre “falta de suficiente mejora continua”.
¿Qué tipo de información es relevante y donde la podemos encontrar?
El auditor tiene que verificar como los objetivos corporativos generales han sido
traducidos a requisitos internos a través de los procesos apropiados y como
estos requisitos son comunicados y se les da seguimiento. Entonces, el auditor
debe buscar evidencia de que la organización está analizando datos
provenientes del seguimiento del proceso, tendiendo a evaluar la eficiencia del
proceso y/o la mejora del resultado del proceso. Un punto que debe ser
especialmente examinado es la consistencia del modo en que la mejora de
cualquier proceso contribuye al cumplimento de los objetivos generales, para
asegurar que no se está en conflicto.
El tipo de información a ser buscada es dictada por el modo en que los
objetivos corporativos son traducidos en objetivos específicos. Por ejemplo:
una compañía establece un objetivo de reducir las quejas de los clientes en un
30%. El análisis de la alta dirección muestra que el 50% de las quejas son
sobre las entregas atrasadas. El auditor debe naturalmente buscar evidencia
de cómo la compañía, primero que nada, ha integrado y analizado aspectos
clave de su programación y planificación de sus procesos y sus interfases para
reducir las demoras.
¿Mejora de los procesos o mejora del SGC?
El auditor debe recordar que no sería realista para la compañía progresar en
todos los frentes simultáneamente, ya que toda mejora es el resultado de una
inversión de algún tipo, y es una tarea de la alta dirección el asignar
prioridades. El auditor debe buscar asegurar que los objetivos son consistentes
en lo general y coherentes con la trilogía de factores mencionados
anteriormente; Sin embargo, la ausencia de una política y/o objetivos que
soporten la mejora continua de alguna naturaleza es claramente una no
conformidad con la norma. De manera similar la ausencia de cualquier mejora
en al menos uno de estos aspectos sería considerado como indicativo de que
la política de calidad de la compañía no está alineada con la norma ISO 9001:
2000.
Una advertencia: no hay un requisito de que la compañía deba establecer
objetivos para mejorar en todos sus procesos en algún tiempo. Como en el
ejemplo anterior de reducir las quejas de los clientes, algunos procesos
pudieran no ser vistos por la alta dirección como que contribuyan
significativamente en la reducción de los retrasos y es normal entonces que la
compañía no se concentraría en estas áreas.
Si la alta dirección ha establecido un objetivo (realista) para un proceso y no
hay evidencia de mejora, esta información pudiera integrarse en la revisión por
la dirección de modo que la alta dirección pueda decidir que tipo de acción es
apropiada – por ejemplo – reajustar el objetivo o proporcionar otros medios
para impactar en el proceso.


Auditar un SGC que tiene una documentación mínima
Puede existir un desacuerdo en la ausencia de ciertos procedimientos
documentados donde el auditado presenta solamente un manual de calidad y
los seis procedimientos documentados mencionados específicamente en la
norma ISO 9001:2000.
El auditado pudiera argumentar que la norma ISO 9001 sólo requiere seis
procedimientos documentados. Las diferencias en el punto de vista entre el
auditor y el auditado pueden surgir de las diferencias de la interpretación de los
requisitos de la norma ISO 9001 contenidos en la cláusula 4.2.1 y la nota
relacionada que establece:
4.2.1 Generalidades
La documentación del sistema de gestión de la calidad debe incluir:
....
d) los documentos necesitados por la organización para asegurarse de la eficaz
planificación, operación y control de sus procesos,
NOTA 2 La extensión de la documentación del sistema de gestión de la calidad puede diferir de
una organización a otra debido a:
a) el tamaño de la organización y el tipo de actividades;
b) la complejidad de los procesos y sus interacciones, y
c) la competencia del personal.
El lector debe hacer referencia a la guía dada en el documento ISO/TC 176/SC
2/N 525R ISO 9000 Paquete de introducción y soporte: Orientación acerca de
los requisitos de documentación de la Norma ISO 9001:2000
El auditor debe requerir información de la operación actual de los procesos y
subsecuentemente hacer más preguntas, registrar las respuestas y observar al
personal en todos los niveles, incluyendo personal administrativo, dueños de
procesos y operadores, y así confirmar si el estado actual del trabajo es
conforme a las descripciones dadas.
De ahí, la necesidad de cualquier documentación debe ser evaluada a la luz de
la necesidad observada de consistencia y el papel que esta documentación
pudiera jugar en evitar algún riesgo significativo identificado.
Como auditar los procesos de alta dirección

Al reconocer que auditar a la alta dirección pudiera ser un punto sensitivo, este
documento proporciona la directriz para ésta categoría de auditoría.
Los auditores deben involucrar a la alta dirección en la auditoría, por ejemplo, invitarlos
a la reunión de apertura y cierre, permitir suficiente tiempo en el plan de auditoría para
entrevistar a la alta dirección, discutir los hallazgos directamente con ellos, buscar
evidencia de compromiso. Es importante cambiar el enfoque de atención de sólo al
gerente de calidad hacia la alta dirección de la organización.
Las actividades de dirección deben ser consideradas como procesos.
Fase de planificación
El auditor necesita identificar los procesos de alta dirección y
a. entender a la organización y su estructura organizacional revisando información,
como los organigramas, reportes anuales, planes de negocios, perfiles de la
compañía, documentos editados, paginas electrónicas,
b. hacer una provisión en el plan de auditoría para recolectar información relevante
sobre el compromiso de la alta dirección directamente de, o haciendo entrevistas
a, la alta dirección,
c. entender la cultura de la organización y su alta dirección para poder determinar su
impacto en el plan de auditoría – y hacer los ajustes apropiados. Por lo tanto, un
auditor con experiencia limitada en auditorías no debe ser asignado para
entrevistar a la alta dirección,
d. tomar un enfoque profesional en su apariencia determinando el código de
vestimenta de la organización,
e. planear el tiempo para la entrevista con la alta dirección para asegurar el lugar y la
puntualidad.
Conduciendo la auditoría
Algunos métodos comunes para evaluar el compromiso de la alta dirección:
1. Entrevistas con la alta dirección
El auditor puede, utilizando la terminología de negocio apropiada para la alta dirección,
hacer preguntas relevantes que
a) busquen obtener evidencia de la conciencia de la alta dirección y su compromiso
hacia la calidad y su relevancia hacia los objetivos generales de la organización y
el sistema de gestión,
b) establezcan evidencia de conformidad a los requisitos de la responsabilidad de la
dirección.
2. Recolección y corroboración de evidencia
El equipo auditor debe estar constantemente buscando oportunidades de corroborar
las respuestas recibidas de la alta dirección cuando se entreviste. Esto incluye:
a) disponibilidad y relevancia de políticas y objetivos
b) el establecimiento de vínculos entre las políticas y los objetivos
c) obtención de evidencia de que esas políticas y objetivos son eficaces y entendidos
a través de toda la organización
d) asegurar que las políticas y objetivos son apropiados para la mejora continua del
sistema de gestión de la calidad y asegurar la satisfacción del cliente.
e) e) asegurar el involucramiento de la alta dirección en la revisión por la dirección.
Para proporcionar esa confianza pudiera necesitarse entrevistas adicionales y
recolección de evidencia.
El equipo auditor debe asegurar que cualquier evidencia adicional del
compromiso de la alta dirección sea recolectada.
Revisar la evidencia recolectada para asegurar que la información sea
completa y precisa para proporcionar confianza al escribir la conclusión.
Reporte de auditoría
Los auditores deben preparar sus reportes de auditoría de manera que los
hagan apropiados para la presentación a la alta dirección de las
organizaciones. Pudiera ser adecuado presentar un resumen ejecutivo del
reporte de auditoría, apropiado para la presentación a la alta dirección y las
partes interesadas clave de la organización. El resumen ejecutivo debe
destacar los hallazgos clave, tanto positivos como negativos e identificar las
oportunidades de mejora.

El papel y valor de las listas de verificación para auditoría

Introducción
Este documento proporciona información del papel y uso de las listas de verificación
para auditoría para soportar activamente el proceso de auditoría. Mientras que el
documento está primordialmente dirigido para organizaciones que realizan auditorías
externas incluyendo cuerpos de certificación, la información puede también igualmente
ser usada por cualquier organización que realice auditorías internas.
La necesidad de las listas de verificación
Al ver la norma actual de auditoría ISO 19011 se hace referencia a “Preparación de los
documentos de trabajo” en la cláusula 6.4.3. Lo siguiente es un extracto de esta
cláusula:
“Los miembros del equipo auditor deberían revisar la información pertinente a las tareas
asignadas y preparar los documentos de trabajo que sean necesarios como referencia y
registro del desarrollo de la auditoría. Tales documentos de trabajo pueden incluir:
• listas de verificación y planes de muestreo de auditoría, y
• formularios para registrar información, tal como evidencias de apoyo, hallazgos de
auditoría y registros de las reuniones.
El uso de listas de verificación y formularios no debería restringir la extensión de las
actividades de auditoría, que pueden cambiarse como resultado de la información
recopilada durante la auditoría.”
El uso de la lista de verificación para auditoría
Aunque no siempre es requerida en las normas de sistemas de gestión, las listas de
verificación para auditoría son solo una herramienta disponible de la “caja de
herramientas” del auditor. Muchas organizaciones las usarán para asegurar que la
auditoría al menos cubrirá los requisitos como se definan en el alcance de la auditoría.
Un ejemplo de enfoque de auditoría se muestra a continuación:
Resulta beneficioso auditar desde el sistema de gestión de la organización hacia los requisitos.
Una lista de verificación puede ser empleada para asegurarse de que todos los requisitos
relevantes de ISO 9001 han sido abordados.
Ventajas
La literatura disponible en el mercado resalta lo siguiente con respecto al uso de listas
de verificación para auditorías:
1. Las listas de verificación si se desarrollan para una auditoría específica y se usan
correctamente:
a. Promueven la planificación de la auditoría.
b. Aseguran un enfoque consistente de auditoría.
c. Actúan como plan de muestreo y controlador de tiempo.
d. Sirven como ayuda a la memoria.
e. Proporcionan un archivo para las notas recolectadas durante el proceso de
auditoría (notas de la auditoría de campo)
2. Las listas de verificación para auditoría necesitan ser desarrolladas para
proporcionar asistencia al proceso de auditoría.
3. Los auditores necesitan ser entrenados en el uso de las listas de verificación
particulares y enseñarles como usarlas para obtener el máximo de información
utilizando buenas técnicas de cuestionamiento.
4. Las listas de verificación deben asistir a un auditor a desempeñarse mejor
durante el proceso de auditoría.
5. Las listas de verificación ayudan a asegurar que la auditoría se realice de manera
sistemática y comprehensiva y se obtenga evidencia adecuada.
6. Las listas de verificación pueden proporcionar la estructura y continuidad que
asegure que el alcance de la auditoría se ha seguido.
7. Las listas de verificación pueden proporcionar un medio de comunicación y un
lugar para registrar datos para usar como futura referencia.
8. Una lista de verificación completa proporciona evidencia objetiva de que la
auditoría se desarrolló.
9. Una lista de verificación puede proporcionar un registro de que el SGC fue
examinado.
10. Las listas de verificación pueden ser utilizadas como información base para
planificar futuras auditorías.
11. Las listas de verificación pueden proporcionarse al auditado antes de la auditoría
en el sitio.
Desventajas
En contraste, cuando las listas de verificación para auditoría no están disponibles o
están pobremente preparadas surgen los siguientes aspectos como preocupación:
1. La lista de verificación puede ser vista como arma de intimidación por el auditado.
2. El enfoque de la lista de verificación puede ser muy estrecho en alcance para
identificar las áreas específicas con problemas.
3. Las listas de verificación son una herramienta de ayuda para el auditor, pero
puede ser restrictiva si se utiliza como el único mecanismo de soporte del auditor.
4. Las listas de verificación no deben ser un sustituto del plan de auditoría.
5. Una lista de verificación utilizada por un auditor inexperto pudiera no ser capaz de
comunicar claramente que es lo que el auditor esta buscando.
6. Las listas de verificación pobremente preparadas pueden dilatar la auditoría
debido a duplicaciones y repeticiones.
7. Las listas de verificación genéricas, no reflejan el sistema de gestión específico
de la organización y pudieran no agregar valor e interferir con la auditoría.
Conclusión
En resumen, existen ventajas y desventajas en el uso de las listas de verificación para
auditorias. Depende de muchos factores, incluyendo las necesidades de los clientes,
las restricciones de tiempo y costos, la experiencia del auditor y los requisitos del
esquema del sector. Los auditores deben evaluar el valor de la lista de verificación
como una ayuda en el proceso de auditoría y considerar su uso como una herramienta
funcional.

El alcance de la norma ISO 9001:2000, Alcance del sistema de gestión de la

calidad y la definición del alcance de la certificación
La norma ISO 9001:2000 en la cláusula 1 “Alcance”, define el alcance de la

norma misma. Esto no debe ser confundido con el alcance del SGC, que es un
término comúnmente usado en el contexto de la certificación del SGC para
describir los procesos de la organización y los productos para los que aplica el
SGC.
La norma ISO 9001:2000 es genérica, y aplicable a todas las organizaciones, sin
importar el tipo, tamaño y categoría de producto. Se reconoce, sin embargo, que
no todos los requisitos de esta norma necesariamente serán relevantes para
todas las organizaciones. Bajo ciertas circunstancias, una organización pudiera
excluir algunos requisitos específicos de la norma ISO 9001:2000 de su SGC. La
norma ISO 9001:2000 permite exclusiones para esas organizaciones a través de
la cláusula 1.2 “Aplicación”.
El alcance del SGC debe basarse en la naturaleza de los productos de la
organización y sus procesos de realización, el resultado del análisis de riesgos,
consideraciones comerciales y los requisitos contractuales, legales y
regulatorios.
La organización debe primeramente hacer un borrador de la declaración del
alcance en la etapa de la aplicación y debe ser, entonces, analizada
cuidadosamente por el Cuerpo de Certificación durante la etapa 1 de la auditoría
(referirse al documento “La necesidad de un enfoque de dos etapas para la
auditoría”) para planificar apropiadamente la etapa 2 de la auditoría.
El alcance debe identificar claramente todos los procesos principales que llevan
a la realización/entrega del producto, como los de diseño, manufactura y entrega
de los productos o servicios identificados. Esta completa descripción aplicará a
una organización que cubre todos los requisitos de la sección 7 de la norma ISO
9001:2000, mientras solo parte de esta descripción será usada en caso de
exclusiones a los requisitos (ver cláusula 1.2), según sea apropiado.
El alcance debe definir en general pero en términos suficientemente claros los
productos y/o servicios y los procesos cubiertos por la certificación.
Es responsabilidad del auditor asegurar que la declaración final del alcance no
confunde y de verificar que el alcance solo refiera a las áreas/actividades
evaluadas durante la auditoría de certificación.
Si solo una parte de los procesos/productos de la organización es cubierta por el
SGC, esto debe estar claramente reflejado en el enunciado del alcance, ya sea
en forma de exclusión o limitación.
Más aún, esto debe estar claramente definido en el Manual de Calidad de la
organización y cualquier documento de disponibilidad pública, para evitar
confundir a los clientes y usuarios finales (esto incluye, por ejemplo el material
promocional y de mercadeo).
En caso de exclusión de un requisito, el auditor debe verificar que la exclusión
es apropiada al alcance de la certificación y está justificada.
El alcance de la certificación nunca debe incluir declaraciones promocionales.
El ISO/TC 176/SC 2 ha desarrollado el documento N524 “El paquete de
introducción y soporte ISO 9000: Directrices sobre la subcláusula 1.2
“Aplicación” de la norma ISO 9001:2000” para proporcionar a los usuarios la
información sobre la intención de la cláusula 1.2 “Aplicación” de la norma ISO
9001:2000, incluyendo algunos ejemplos típicos de su uso en situaciones
prácticas. (El documento N524 está disponible para descargarse sin cargos en la
dirección www.bsi.org.uk/iso-tc176-sc2). Adicionalmente, la IAF ha publicado sus
“Directrices IAF sobre la aplicación de la norma ISO 9001:2000, versión 2. que
también debe servir de referencia.


“Cómo agregar valor en el proceso de auditoría”
¿Que es una auditoría que “agrega valor”?
Escuchamos mucho acerca de la importancia de “agregar valor” durante una auditoría
de sistemas de gestión de la calidad, pero ¿qué significa esto realmente?, ¿es posible
agregar valor sin comprometer la integridad de la auditoría al proporcionar una
consultoría? En principio, todas las auditorias deben agregar valor, pero no siempre es
este el caso.
Este documento trata de proporcionar una guía sobre que constituye una “auditoría
que agrega valor”, y de varias situaciones que normalmente se encuentran en el
contexto de auditorías de segunda y tercera parte.
Sistemas de gestión de la calidad que “agregan valor”
Existen varias definiciones de “valor” en los diccionarios, pero todas se enfocan en el
concepto de algo que es útil. “Agregar valor” por lo tanto significa hacer algo más
útil. Algunas organizaciones han utilizado la serie de normas ISO 9000 para
desarrollar sistemas de gestión de la calidad que están integrados en su manera de
hacer negocios, y son útiles en ayudarlos a lograr sus objetivos estratégicos de
negocio - en otras palabras éstos agregan valor a la organización. Por el contrario
otras organizaciones simplemente han creado una serie de procedimientos y registros
burocráticos que no reflejan la realidad de la manera como la organización trabaja
realmente, y simplemente agregan costo, sin ser útiles. En otras palabras, éstos no
“agregan valor”.
Es cuestión de enfoque:
Un enfoque que no agrega valor pregunta: “¿Qué procedimientos tenemos que escribir
para obtener la certificación ISO 9000?”
Un enfoque que agrega valor pregunta: “¿Cómo podemos usar nuestro sistema de
gestión de la calidad basado en ISO 9001:2000 para que nos ayude a mejorar nuestro
negocio?”
Lo que nos lleva a la pregunta sobre “auditorías que agregan valor”
¿Cómo podemos asegurar que la auditoría es útil para la organización en el
mantenimiento y mejora de nuestro SGC?.
Debemos reconocer, sin embargo, que pudieran existir otras perspectivas que
necesitan tomarse en consideración. Una “auditoría de tercera parte que agrega valor”
nos debe ayudar a:
 A la organización certificada
− proporcionando información a la alta dirección sobre la habilidad de la
organización para lograr los objetivos estratégicos.
− identificando problemas que, si se resuelven, mejorarán el desempeño de la
organización.
− identificando oportunidades de mejora y áreas posibles de riesgo.
 Los clientes de la organización aumentando la habilidad de la organización para
proporcionar productos conformes.
 Al cuerpo de certificación mejorando la credibilidad del proceso de certificación de
3. parte.
El enfoque de “agregar valor” debiera ser una función del nivel de madurez de la
cultura de calidad de la organización, y de que tanto su SGC excede los requisitos de
la norma ISO 9001:2000. La cultura de calidad incluye el grado de conciencia,
compromiso y actitud colectiva así como el desempeño de la organización con
respecto a la calidad. Si nos referimos a la figura 1, podemos conceptualmente
separar a las organizaciones en cuatro zonas diferentes como sigue:
Zona 1: (Baja madurez de la “cultura de calidad”; no conforme con la norma ISO

9001:2000)
Zona 2: (“Cultura de calidad “Madura”; no conforme con la norma ISO
9001:2000)
Zona 3: (Baja madurez de la “cultura de calidad”; conforme con la norma ISO
9001:2000)
Zona 4: (“Cultura de calidad “Madura”; conforme con la norma ISO 9001:2000)
Zona 1: (Baja madurez de la “cultura de calidad”; no conforme con la norma ISO

9001:2000)
Para una organización que tiene muy poco o nada de “cultura de calidad” y no está
conforme con la norma ISO 9001:2000, la expectativa de una “auditoría que agrega
valor” pudiera ser que la organización quisiera recibir lineamiento de “cómo”
implementar el sistema de gestión de la calidad y/o resolver cualquier no conformidad
levantada. Aquí, el auditor debe tener mucho cuidado, porque una auditoría de tercera
parte ese lineamiento pudiera generar seguramente un conflicto de intereses, y
contravenir la Guía ISO/IEC 62 Requisitos para los cuerpos de acreditación y
certificación. Lo que el auditor puede hacer, sin embargo, es asegurarse de que donde
sea que se encuentren no conformidades, el auditado tenga un claro entendimiento de
qué es lo que la norma requiere, y por qué la no conformidad se levantará. Si la
organización puede reconocer que resolviendo esas no conformidades la llevarán a
mejorar su desempeño, entonces es más seguro creer en y comprometerse con el
proceso de certificación. Es importante, sin embargo, que todas las no conformidades
identificadas sean reportadas, de modo que la organización claramente entienda que
necesita hacer para cumplir los requisitos de la norma ISO 9001:2000.
Mientras algunas organizaciones pudieran no quedar totalmente satisfechas con un
resultado de auditoría que no resulte en una certificación, los clientes de la
organización (quienes reciben el producto de la organización) seguramente
considerarán esto como una auditoría que “agrega valor” desde su perspectiva. Desde
la perspectiva del cuerpo de certificación, fallar en reportar todas las no conformidades
detectadas y/o proporcionar directrices en cómo implementar el sistema de gestión de
calidad, no agrega valor a la credibilidad de la profesión del auditor o del proceso de
certificación.
Debemos reconocer que la discusión anterior se relaciona solamente con auditorías de
tercera parte (certificación). No hay razón por la que una auditoría de segunda parte
(evaluación de proveedores) no deba agregar valor proporcionando directrices a la
organización de cómo implementar su sistema de gestión de la calidad. Es más, bajo
estas circunstancias, esas directrices (si están bien fundamentadas), sin duda serán
útiles para ambas organizaciones y sus clientes.
Zona 2: (“Cultura de calidad Madura”; no conforme con la norma ISO 9001:2000)
Para una organización que tiene una “cultura de calidad” madura, pero poca
conciencia de y/o no conformidad con los requisitos de la norma ISO 9001:2000, la
expectativa básica para una “auditoría que agregue valor” probablemente será similar
a la de la Zona 1. Además, sin embargo, la organización seguramente tendrá mucha
más expectativa hacia el auditor. Para poder agregar valor, el auditor debe entender
el modo en que las prácticas existentes de la organización cumplen con los requisitos
de la norma ISO 9001:2000. En otras palabras, entender los procesos de la
organización en el contexto de la norma ISO 9001:2000, y no, por ejemplo, requerir
que la organización redefina sus procesos y documentación para alinearse a la
estructura de las cláusulas de la norma.
La organización debería, por ejemplo, basar su sistema de gestión en modelos de
excelencia de negocio, o herramientas de gestión total de la calidad como Hoshin
Kanri (Gestión por política), Despliegue de la función de calidad, Análisis de modo de
falla y efecto, metodología de seis sigma, programas de 5S, Resolución de problemas
sistemático, Círculos de calidad y otros. El auditor que “agrega valor” debe, como
mínimo, estar conciente de las metodologías de la organización, y ser capaz de ver
hasta donde son eficaces en el cumplimiento de los requisitos de la norma ISO
9001:2000 para esa organización en particular.
También es importante que el auditor no se “intimide” por el aparente alto grado de
sofisticación de la organización. Mientras que la organización quizá este usando esas
herramientas como parte de una filosofía general de calidad total, aún puede haber
huecos en el modo en que las herramientas están siendo empleadas. Por lo tanto, el
auditor debe tener la habilidad para identificar cualquier problema sistemático y
levantar las no conformidades apropiadas. En estas situaciones, el auditor pudiera ser
acusado de ser pedante o aún burocrático, por eso es importante poder demostrar la
relevancia de las no conformidades que se están levantando.
Zona 3: (Baja madurez de la “cultura de calidad”; conforme con la norma ISO
9001:2000)
Una organización que ha sido certificada en una de las normas de la serie ISO 9000
por un período significativo de tiempo puede ser capaz de demostrar un alto nivel de
conformidad con la norma ISO 9001:2000, pero al mismo tiempo no tener realmente
implementada una “cultura de calidad” a través de la organización. Típicamente, el
SGC pudiera haber sido implementado bajo presión de los clientes, y construido
alrededor de los requisitos de la norma en vez de que sobre las necesidades y
expectativas propias de la organización. Como resultado, el SGC puede ser operado
en paralelo con el modo de que la organización realiza sus operaciones de rutina,
generando redundancias e ineficiencias, pero no necesariamente no conformidades.
El primer objetivo de un “auditor que agrega valor” en estos casos debe ser el actuar
como un catalizador de la organización para reconstruir su sistema de gestión de la
calidad basado en ISO 9000, e integrar el sistema dentro de sus operaciones diarias.
Aunque el auditor de tercera parte no puede dar recomendaciones de cómo cumplir
con los requisitos de la norma ISO 9001:2000, es aceptable y además buena práctica
el motivar y estimular (no requerir) a la organización a ir más allá de los requisitos de
la norma. Las preguntas que haga el auditor (y el modo como las pregunta) pueden
dar pistas valiosas para la organización de cómo el SGC puede hacerse más eficiente
y útil. La identificación por parte del auditor de “oportunidades de mejora” debe incluir
los modos en que la eficacia del SGC puede mejorarse, pero también pueden ver
oportunidades de mejora en eficiencia.
Zona 4: (“cultura de calidad Madura”; conforme con la norma ISO 9001:2000)
Para una organización que tiene una cultura de calidad madura y ha sido certificada en
una de las normas de la serie ISO 9000 por un período significativo de tiempo, la
expectativa de una “auditoría que agregue valor” será la más retadora para un auditor.
Una queja común de este tipo de organización es que las “visitas rutinarias de
vigilancia” de los auditores pueden ser superfluas, y agregan muy poco valor desde el
punto de vista de la organización. En estos casos, la alta dirección se convierte en un
cliente importante para el proceso de certificación. Por tanto es importante para el
auditor el tener un claro entendimiento de los objetivos de negocio estratégicos de la
organización, y de ser capaz de poner la auditoría del SGC en ese contexto. El auditor
necesita dedicar tiempo para discutir los detalles con la alta dirección para definir sus
expectativas para el SGC. En muchos casos las no conformidades se pudieran
relacionar a que la organización no haya implementado las políticas y objetivos de la
alta dirección, aún y cuando los requisitos mínimos de la norma ISO 9001:2000 se
hayan cubierto.
Algunos consejos para auditar agregando valor.
1) Planificación de la auditoría:
a. Entender las expectativas y cultura corporativa del auditado
b. ¿Alguna preocupación a ser cubierta (resultado de auditorías previas)?
c. Análisis de riesgos del sector industrial específico de la organización.
d. Pre-evaluación de requisitos reglamentarios
e. Selección apropiada del equipo auditor para lograr los objetivos de la
auditoría
f. Asignación del tiempo adecuada
2) Técnica de auditoría:
a. Enfocarse más a los procesos, y menos en los procedimientos. Algunos
procedimientos documentados, instrucciones de trabajo, listas de verificación, etc.
pudieran ser necesarios para la planeación y control de los procesos de la
organización, pero lo fundamental debe ser el proceso.
b. Enfocarse más en los resultados, y menos en los registros. De la misma manera,
algunos registros pudieran ser necesarios para que la organización proporcione
evidencia objetiva de que los procesos son eficaces (generando los resultados
planificados) pero el auditor que agrega valor debe estar conciente de y dar crédito
a otras formas de evidencia.
c. Recuerde los 8 Principios de Gestión de la Calidad
d. Use el enfoque de “Planear – Hacer – Comprobar – Ajustar” para evaluar la eficacia
de los procesos de la organización.
i. ¿El proceso ha sido planeado?
ii. ¿Se ha realizado de acuerdo a lo planeado?
iii. ¿Se han logrado los resultados planificados?
iv. ¿Las oportunidades de mejora han sido identificadas e implementadas?
- Corrigiendo no conformidades
- Identificando las causas raíz de los problemas e implementando
acciones correctivas
- Innovando
e. Adopte un enfoque “holístico” para la recolección de evidencias durante la
auditoría, en lugar de enfocarse en las cláusulas individuales de la norma ISO
9001:2000.
3) Análisis y decisión
a. Ponga los hallazgos en perspectiva (Evaluación de riesgo / “sentido común”).
b. Relacione los hallazgos al efecto sobre la habilidad de la organización para
proporcionar productos conformes (Vea la norma ISO 9001:2000 cláusula 1.1).
4) Reporte y seguimiento
a. Uso sensitivo de los reportes de no conformidad / observaciones / oportunidades de
mejora
i. Pudiera requerirse un enfoque diferente dependiendo de la madurez de la
organización (Zonas 1, 2, 3 y 4), y de la actitud del auditado hacia el proceso de
auditoría
- Proactivo
- Reactivo
ii. Asegurese de tomar en cuenta cualquier aspecto cultural
iii. ¿La solución propuesta por la organización sera útil?
b. Los reportes deben ser objetivos y enfocados a la “audiencia” correcta (La alta
dirección probablemente tendrá expectativas que son diferentes a aquellas de las
que tenga el representante de la dirección)

AUDITANDO LA COMPETENCIA DEL PERSONAL

Y LA EFICACIA DE LAS ACCIONES DE CAPACITACIÓN
La siguiente información se proporciona a los auditores que realicen auditorias de
certificación para guiarlos en el entendimiento de los requisitos de competencia y eficacia
del entrenamiento de la norma ISO 9001:2001.
Estos requisitos son usualmente auditados como parte del proceso de realización de un
producto y no de manera aislada. Sin embargo, se reconoce que algunas organizaciones
tendrán procesos de recursos humanos por separado donde mucha de la evidencia
necesaria se encontrará.
Es importante identificar las actividades típicas asociadas con la competencia del personal
y la eficacia de las acciones tomadas para satisfacer las necesidades de competencia,
para dar una guía a los auditores sobre el tipo de evidencia que deben buscar y
proporcionar ejemplos cuando sea apropiado.
Para satisfacer los requisitos de la norma ISO 9001:2000 sobre los aspectos antes
mencionados, una organización necesitará hacer varias cosas:
 Identificar que competencias son requeridas por el personal que desarrolla el trabajo
que pudiera afectar la calidad
 Identificar que personal que ya realiza el trabajo tiene las competencias requeridas
 Decidir que competencias adicionales son requeridas
 Decidir como esas competencias adicionales se van a obtener – entrenando al
personal (externamente o internamente), entrenamiento teórico o práctico, contratando
nuevo personal competente, asignación del personal competente existente a diferentes
tareas
 Entrenar, contratar o reasignar personal
 Revisar la eficacia de las acciones tomadas para satisfacer las necesidades de
competencia
 Revisar periódicamente la competencia del personal
A través del proceso, se requiere que la organización mantenga los registros apropiados
de educación, entrenamiento, habilidades y experiencia. Sin embargo, la norma ISO
9001:2000 no especifica como el proceso será establecido o la naturaleza exacta de los
registros a mantener.
Al auditar el cumplimiento de una organización con los requisitos de competencia y
evaluación del entrenamiento, un auditor típicamente debería buscar evidencia de que los
siguientes tópicos se han cumplido:
1 – Una organización necesita identificar que competencias son requeridas por
el personal que realiza el trabajo que afecta la calidad.
Directriz – El objetivo del auditor debe ser determinar si existe un enfoque sistemático
establecido para identificar esas competencias y verificar que el enfoque es eficaz. El
resultado del proceso pudiera ser una lista, un registro, una base de datos, un plan de
recursos humanos, un plan de desarrollo de competencias, un contrato, un plan de
proyecto o producto, etc.
Inicialmente se pudieran tener entrevistas con la alta dirección para asegurar que ellos
entienden la importancia de la identificación de las competencias requeridas. Estas
pudieran también ser una fuente potencial de información para nuevas actividades o
cambios en procesos que pudieran llevar a competencias diferentes.
Una revisión de las competencias pudiera también ser necesaria cuando se esta
considerando un nuevo contrato o cotización y una evidencia de esto pudiera encontrarse
en los registros relacionados. Los requisitos de competencias pudieran estar incluidos en
documentos de contrato donde las actividades de los subcontratistas pueden tener un
impacto en los procesos y/o características de calidad del producto.
Los auditores necesitan determinar si la organización ha identificado competencias nuevas
o necesidades de cambios en ellas durante las auditorias de seguimiento.
2 – ¿Se asignan personas competentes a aquellas actividades necesarias para
controlar las características de calidad de sus procesos y productos?
Directriz – Verifique que alguna forma de evaluación de proceso está establecida para
asegurar que las competencias son apropiadas a las actividades de la organización y de
que el personal seleccionado como competente haya demostrado esas competencias.
También, el proceso debe asegurar que ninguna deficiencia quede sin una acción y la
eficacia del personal sea medida. Verifique que las actividades que afectan la calidad sean
desarrolladas por personas seleccionadas como competentes. Se debe obtener evidencia
durante la auditoría con un énfasis en aquellos procesos, actividades, tareas y productos
donde la intervención humana pudiera tener un impacto mayor. El auditor pudiera revisar
descripciones de puesto, probar o inspeccionar actividades, dar seguimiento a las
actividades, ver los registros de las revisiones por la dirección, las definiciones de
responsabilidades y autoridades, los registros de las no conformidades, los reportes de
auditorías, las quejas de los clientes, los registros de validación de procesos, etc.
3- La organización necesita evaluar la eficacia de las acciones tomadas para
satisfacer las necesidades de competencia.
Directriz – La organización pudiera utilizar varias técnicas incluyendo “actuación”, revisión
de colegas, observación, revisiones de los registros de entrenamiento de los empleados,
entrevistas (ver ISO 19011 Tabla 2 para más ejemplos). El método de evaluación particular
más apropiado dependerá de muchos factores. Por ejemplo, solo verificar que un curso de
entrenamiento se terminó exitosamente, se pudieran revisar los registros de entrenamiento
pero esto solamente no proporciona evidencia de que el entrenado sea competente. Sin
embargo este mismo método pudiera no ser aceptable para evaluar si un auditor se
desempeña satisfactoriamente o no durante una auditoría y esto pudiera requerir de
observación, revisión por colegas, entrevistas, etc. La organización pudiera también
demostrar esto a través de una combinación de educación, entrenamiento y/o experiencia
de trabajo.
4 – Mantenimiento de competencia.
Directriz – El auditor necesita verificar que está implementada alguna forma eficaz de dar
seguimiento al proceso y se actúa así. Algunas maneras de hacer esto incluye un proceso
continuo de desarrollo profesional como el descrito en la norma ISO 19011, evaluaciones
regulares del personal y su desempeño y la inspección, prueba o auditoría regular de
producto de los que los individuos o grupos son responsables. Los cambios frecuentes en
requisitos de competencia pudiera indicar que una organización es proactiva en mantener
los niveles de desempeño de su personal.

Auditando los requisitos reglamentarios

Es totalmente responsabilidad de la organización el identificar y describir como su
SGC cumple con los requisitos reglamentarios aplicables a sus productos y
servicios.
La organización debe demostrar que los requisitos reglamentarios aplicables a sus
productos y servicios han sido propiamente identificados, están disponibles y son de
fácil recopilación.
Los auditores necesitan estar concientes de los requisitos reglamentarios generales y
específicos aplicables a los productos incluyendo los del campo de aplicación del SGC
para poder hacer un juicio de qué tanto es adecuado el SGC establecido por la
organización para cumplir con esos requisitos. Estos requisitos necesitan estar
identificados e integrados en la gestión de recursos y las actividades de realización del
producto de la organización.
Durante la fase de preparación de la auditoría, el equipo auditor debe obtener de
fuentes internas o externas la información relevante sobre los requisitos
reglamentarios aplicables a los productos cubiertos por el alcance de la certificación.
Durante la fase de auditoría, el equipo auditor debe:
 Asegurar que la organización tiene una metodología establecida para la
identificación y actualización de los requisitos reglamentarios aplicables.
 Asegurar que estos requisitos reglamentarios son utilizados como “entradas de
proceso” cuando se da seguimiento a las “salidas de los procesos” para ver su
cumplimiento.
 Asegurar que cualquier declaración de cumplimiento a normas, requisitos
regulatorios, etc. está demostrada apropiadamente por la organización.
 Levantar una no conformidad si se encuentra evidencia, durante la auditoría, de
que una información específica sobre requisitos reglamentarios no fue tomada en
cuenta.
 Levantar una no conformidad si se identifica directamente un no cumplimiento con
estos requisitos.
Los auditores deben evitar hacer declaraciones acerca de qué requisitos
reglamentarios son aplicables a los productos o servicios de la organización, o sobre
los métodos de cumplimiento, para prevenir posibles responsabilidades legales.
Se pueden levantar no conformidades solamente en el caso de identificar deficiencias
en el sistema o violaciones directas con respecto a requisitos reglamentarios
aplicables a los productos o servicios de la organización.
Sin embargo, si se detecta de manera coincidental durante la auditoría una no
conformidad con otro tipo de requisitos reglamentarios (por ejemplo de salud e higiene
ocupacional, ambiental, etc.), este hecho no puede ser ignorado por el equipo auditor y
debe hacérselo notar a la alta dirección – para que tome las medidas necesarias - y a
la dirección del Cuerpo de Certificación, para su información, utilizando un modo de
información separado del reporte de auditoría.

Auditando la política y los objetivos de la calidad

Auditando la política de calidad
La política de calidad y su despliegue eficaz solamente se puede valorar
basándose en los resultados generales de la auditoría.
Los métodos de auditoría deben incluir:
 Entrevista con la alta dirección para entender su enfoque y compromiso
hacia la calidad.
 Evaluación, a través de los registros de las revisiones por la dirección, el
compromiso e involucramiento de la alta dirección en el establecimiento,
implementación, seguimiento y actualización de la política de calidad.
 Valorar si la alta dirección ha “traducido” eficazmente la Política de Calidad
en palabras entendibles y directrices hacia todos los niveles de la
organización, con sus objetivos correspondientes a cada función / nivel
aplicable.
 Conducir entrevistas con el personal para verificar si ellos han tomado la
conciencia apropiada, el entendimiento y conocimiento del modo como la
política de calidad de la organización se relaciona con su propia
actividad, sin importar los términos utilizados por esas personas para
expresar su entendimiento.
 Buscar la evidencia de la difusión eficaz de la política de calidad por una
comunicación apropiada.
Auditando los Objetivos de la calidad
El auditor necesita verificar que los Objetivos de la calidad generales de la
organización han sido definidos; que ellos reflejan la política de calidad, y son
coherentes e integrados con los objetivos generales del negocio, incluyendo las
expectativas de los clientes. El equipo auditor debe verificar que existe una
alineación sustancial y compatibilidad entre los objetivos de la calidad y los
objetivos generales del negocio. Si este no es el caso, los auditores deben
analizar más a fondo el compromiso de la alta dirección con la calidad.
Los Objetivos de la calidad necesitan ser medibles y estar documentados.
No existe un modo específico de documentar los objetivos de la calidad, estos
pudieran aparecer en los Planes de Negocio, resultados de las revisiones por la
dirección, Presupuestos anuales, etc. ..... Depende de cada equipo auditor el
autosatisfacerse de que los objetivos estén adecuadamente documentados.
Los auditores deben obtener evidencia del modo en que los Objetivos de la
calidad estén diseminados en cascada de manera apropiada a través de la
estructura organizacional y los procesos, ligando los objetivos estratégicos
generales con los objetivos gerenciales y hasta los objetivos operacionales
específicos.
Es recomendable que los objetivos de la calidad documentados sean
examinados en la etapa de revisión documental de la auditoría.
Antes del final de la auditoría, el equipo auditor debe satisfacerse de que los
objetivos de la calidad son realistas y que la organización ha asignado al
personal responsable los recursos apropiados para cumplir sus objetivos. Es
apropiado muestrear estos objetivos en todos los niveles de la organización.
Los objetivos de la calidad no son estáticos y necesitan actualizarse a la luz del
clima del negocio actual y la búsqueda de la mejora continua. El equipo auditor
debe verificar si el desempeño global de la organización refleja la directriz de la
política de calidad y cumple razonablemente los objetivos de la calidad.
Los auditores deben tener en mente que los objetivos pueden ser medidos de
manera cuantitativa o cualitativa. También deben recordar que existe una liga
clara entre el aspecto dinámico de la revisión de la política de calidad y los
objetivos de la calidad con el compromiso de la organización con la mejora
continua.

Auditando el control de los dispositivos de seguimiento y

medición
La información siguiente se provee como guía para auditar los procesos

asociados con el control de los dispositivos de seguimiento y medición, así
como para ayudar en la evaluación de justificaciones para la exclusión de la
cláusula 7.6 del alcance del sistema de gestión de calidad de una organización.
Este documento provee directrices para auditar el control de dispositivos físicos
y no para ser usado por evaluar la validez de salidas intangibles por atributos
cualitativos de procesos tales como la educación, adiestramiento y estudios de
satisfacción de cliente. Cuando los exámenes, las encuestas, los cuestionarios
para evaluación de desempeño, etc. sean considerados como “dispositivos de
seguimiento” se sugiere que deban ser controlados (y auditados) como parte
de la validación de los procesos (vea cláusula 7.5.2).
Cuando se auditan los procesos de seguimiento y medición, es importante para

los auditores entender la diferencia entre “dar seguimiento” y “medir”:
• dar seguimiento implica observación, supervisión, mantenimiento bajo
revisión (usando dispositivos de seguimiento); pudiendo involucrar la
medición o el ensayo a intervalos, sobre todo con el propósito de
regulación o control.
• medir considera la determinación de una cantidad física, magnitud o
dimensión (usando equipos de medición).
Mientras "equipo de medición" se define en ISO 9000 cláusula 3.10.4 como

"instrumento de medición, software, patrón de medición, material de referencia
o equipos auxiliares o combinación de ellos necesarios para llevar a cabo un
proceso de medición”, la norma sólo exige calibrar el "equipo de medición”
cuando se usa con el propósito de medir "… para proporcionar evidencia de la
conformidad del producto con determinados requisitos", o bien del proceso.
Los equipos y los dispositivos pueden usarse para indicar, dar seguimiento o
medir. Un mismo equipo podría ser empleado para las tres funciones.
Por ejemplo, en algunas industrias, un manómetro puede usarse:

• como un indicador (por ejemplo, para asegurarse de que hay presión);
• como un dispositivo de seguimiento (por ejemplo, para asegurarse de
que la presión es estable y el proceso está bajo control); y
• como equipo de medición (por ejemplo, dónde el valor exacto de la
presión sea importante para la calidad de producto).
Sin embargo, el nivel de control depende del uso previsto, el que determina si
debe o no calibrarse o verificarse. La profundidad y grado de tal confirmación
puede variar, dependiendo de la naturaleza de los productos, servicios y
riesgos relacionados.
En aquellos casos donde la organización hace uso de equipos de medición,

debe obtenerse evidencia de que las necesidades metrológicas relacionadas
con la producción o los procesos de servicio han sido propiamente
identificadas/especificadas y que los sistemas de medición se han diseñado,
operado y mantenido de forma tal, que satisfagan las necesidades metrológicas
aplicables.
Los auditores deben confirmar que, además de proporcionar los registros de

calibración necesarios y el aseguramiento de la incertidumbre y trazabilidad
relacionadas de las mediciones, la organización sea consciente de, y haya
implementado, como le sea apropiado, un sistema de confirmación metrológica
como se describe en ISO 10012, adecuado a la extensión y tipos de
mediciones realizados.
De lo dicho anteriormente se desprende que la organización debe ser capaz de

decidir si puede excluir o no, los requisitos de la cláusula 7.6, de forma total o
parcial.
Explicaciones adicionales y ejemplos se brindan en el Manual de la ISO: ISO

9001:2000 para Pequeños Negocios - Qué hacer, Consejos del ISO/TC 176.

Uso eficaz de la norma ISO 19011

La norma ISO 19011:2002 ha reemplazado a la serie de normas ISO 10011 y
proporciona directrices para auditar sistemas de gestión de calidad. La norma contiene
opciones relativas a métodos de auditoría y competencias de los auditores pero el
contenido no es mandatorio. La directriz tiene la intención de ser flexible y la aplicación
puede diferir de acuerdo al tamaño, naturaleza y complejidad de la organización a ser
auditada. Es decisión de cada cuerpo de certificación de tercera parte utilizar las
directrices que considere apropiadas a sus necesidades y relevantes a sus prácticas
propias de trabajo.
La norma se divide en varias secciones incluyendo las siguientes:
Principios de auditoría
El auditor debe estar familiarizado con los 5 principios de auditoría y aplicarlos al
proceso de auditoría.
Gestión de un programa de auditoría
Esta será generalmente responsabilidad de la dirección del cuerpo de certificación
de tercera parte y no del auditor individual. Los auditores deben estar concientes
que los programas de auditoría son seguidos y revisados a intervalos apropiados.
Los auditores deben proporcionar datos de entrada para la mejora de los
programas de auditoría.
Actividades de auditoría
Esta directriz enfatiza la importancia de y las técnicas para la planificación,
conducción y reporte de una auditoría y es de particular relevancia para el auditor.
Los auditores deben estar familiarizados con la sección 6 de la norma ISO 19011.
Competencia y evaluación de los auditores
La directriz sobre la competencia y evaluación de los auditores da un nuevo
énfasis en la importancia de la competencia del individuo y del equipo auditor en
vez del criterio de cualificación para auditores que estaba en la norma ISO 10011-
2.
La competencia ahora es definida como los atributos personales y aptitud
demostrada para aplicar conocimientos y habilidades. Se da ahora, menos
importancia en los niveles de educación prescritos, la experiencia de trabajo y
auditoría y número de auditorías realizadas. Estas ahora se utilizan como
entradas a los conocimientos y habilidades necesarias para la competencia de un
auditor.
Mucho de esta directriz será utilizada por los cuerpos de certificación de tercera
parte cuando establezcan sus propios criterios de competencia para los auditores.
Sin embargo, los auditores individuales deben estar concientes del contenido de
esta sección de modo que puedan mantener, mejorar y trabajar dentro de su
competencia profesional.
Se puede encontrar ayuda práctica a través de las directrices y se dan ejemplos y
clarificaciones adicionales en varios tópicos aunque algunos no pudieran ser
aplicables a auditorías de tercera parte.
Auditando los procesos de retroalimentación del cliente

1) Introducción
El proceso de retroalimentación del cliente es una parte crítica del sistema de gestión
de la calidad, y por lo tanto debe recibir una atención adecuada durante una auditoría
de tercera parte. La retroalimentación del cliente es uno de los indicadores primarios
de desempeño que puede ser utilizado para juzgar la eficacia general del SGC. Por lo
tanto, es importante para el auditor verificar que:
a) Las entradas a este proceso incluya datos relevantes, representativos y confiables.
b) Estos datos se analizan eficazmente, y
c) La salida de este proceso proporciona información útil para la revisión por la
dirección y otros procesos del SGC, para aumentar la satisfacción del cliente y llevar
hacia la mejora continua.
2) ¿Cuáles son los requisitos?
2.1) El objetivo general de la norma ISO 9001:2000, como lo establece la cláusula 1.1
es especificar los requisitos para un sistema de gestión de la calidad para cuando una
organización:
(a) necesita demostrar su capacidad para proporcionar de forma coherente
productos que satisfagan los requisitos del cliente y los reglamentarios
aplicables, y
(b) aspira a aumentar la satisfacción del cliente a través de la aplicación eficaz del
sistema, incluidos los procesos para la mejora continua del sistema y el aseguramiento
de la conformidad con los requisitos del cliente y los reglamentarios aplicables.
2.2) La cláusula 7.2.3 requiere que la organización “determinar e implementar
disposiciones eficaces para la comunicación con los clientes,relativas a ………… la
retroalimentación del cliente, incluyendo sus quejas.”
2.3) La cláusula 8.2.1 de la norma ISO 9001:2000 establece:
“Como una de las medidas del desempeño del sistema de gestión de la calidad, la
organización debe realizar el seguimiento de la información relativa a la
percepción del cliente con respecto al cumplimiento de sus requisitos por parte de la
organización. Deben determinarse los métodos para obtener y utilizar dicha
información.”
El documento de guía sobre terminología del ISO/TC176 (ISO/TC176/SC2/N526R)
enfatiza que dar seguimiento significa “observar, supervisar y mantener bajo revisión;
medir o probar a intervalos”. Es importante que los auditores reconozcan que no hay
un requisito específico en la norma ISO 9001:2000 en su cláusula 8.2.1 para que la
organización realice encuestas formales de satisfacción del cliente, u otras medidas de
satisfacción del cliente, aunque esto puede obviamente ser una herramienta útil en el
seguimiento de las percepciones del cliente. Por eso es importante que la organización
trate de ver las cosas desde la perspectiva del cliente, y de seguimiento a las
percepciones del cliente; La medición de la satisfacción del cliente puede ser
apropiada en algunas situaciones, pero este no es un requisito directo de la norma.
NOTA: Además de estas referencias específicas a los procesos de retroalimentación del cliente, hay
varias referencias indirectas a través de toda la norma, de las que el auditor necesita tomar en cuenta.
Algunos ejemplos incluyen la retroalimentación como parte del proceso de diseño y desarrollo; proceso
de validación y otros.
3) ¿Que debe ser cubierto cuando se audita los procesos de retroalimentación

del cliente?
La retroalimentación del cliente es un proceso. Necesitamos auditarlo como un
proceso, no como una “cláusula de la norma”. Necesitamos evaluar el modo en como
el proceso es gestionado (ver la cláusula 4.1.c de la norma ISO 9001:2000, y su
habilidad para proporcionar información significativa con la cual juzgar la eficacia
general del SGC. El definir el modo en el que la organización obtiene esta
retroalimentación (“el método) es decisión de la organización
El auditor debe por lo tanto estar atento a los muchos factores que pueden afectar el
enfoque de la organización, y debe reconocer que no hay una “receta” dada. Debe
entonces tomar en consideración factores como:
 el tamaño y complejidad de la organización
 el grado de sofisticación de los productos y clientes
 el riesgo asociado al producto
 la diversidad de la base de clientes
3.1) Antes de auditar el proceso de retroalimentación del cliente (fase de
preparación)
El auditor necesita estar atento a las características específicas de los productos de la
organización que pudieran tener un impacto en la satisfacción del cliente. Durante la
auditoría el auditor debe estar alerta de indicadores que pudieran sugerir la
satisfacción o no satisfacción del cliente y que pudieran servir como entrada a la
auditoría del proceso de retroalimentación del cliente. Algunas buenas fuentes de esta
información pudiera incluir, por ejemplo:
 Bienes devueltos por el cliente;
 Reclamos de garantía;
 Facturas revisadas;
 Notas de crédito;
 Artículos disponibles;
 Sitios web de clientes;
 Observación directa de, o comunicación con el cliente (por ejemplo en una
organización de servicio).
3.2) Durante el proceso de evaluación
Estos son algunos puntos que un auditor debe cubrir durante una auditoría al proceso
de retroalimentación del cliente:
a) ¿cuál es el resultado deseado de este proceso?¿qué información está disponible
sobre percepciones del cliente?¿cómo es utilizada esta información por la dirección
para iniciar mejoras al producto, los procesos y el SGC?
• ¿Están cubiertos todas las categorías de clientes en esta información? Es
importante recordar que la organización pudiera tener más de una categoría de
clientes – ver la definición de “cliente” en la norma ISO 9000:2000 cláusula 3.3.5.
Por ejemplo, un fabricante pudiera vender a distribuidores, que venden a detallistas,
que venden al público en general. En este caso la organización puede necesitar
cubrir los tres tipos de clientes y ellos pueden tener diferentes percepciones. La
organización puede estar satisfaciendo a un grupo y quedando mal con otro.
b) ¿como se recolectan los datos que alimentan el proceso?
Hay muchas maneras en las que una organización puede dar seguimiento a las
percepciones de sus clientes, y el auditor debe evitar las ideas preconcebidas acerca
de cómo se debe hacer esto. Algunos ejemplos de técnicas que la organización puede
usar incluye:
 evaluaciones cara a cara, que pueden ser apropiadas en muchas
organizaciones de servicio como hoteles – “¿cómo estuvo su estancia con
nosotros?” o restaurantes “espero que haya disfrutado su comida”
 llamadas telefónicas o visitas realizadas periódicamente o después de una
entrega de productos o servicios
 cuestionarios o encuestas realizadas por la misma organización, o por
investigadores de mercados independientes
 otros contactos con clientes, por ejemplo por personal de servicio o instalación
 investigaciones internas entre el personal de la organización que tiene
contacto con los clientes,
 evaluación de negocios repetidos
 seguimiento a cuentas por cobrar, reclamos de garantía, etc.
 análisis de quejas de clientes
Frecuentemente las quejas son la única retroalimentación espontánea recibida de los
clientes, y estas deben ser analizadas para buscar tendencias, quejas clave, impactos,
etc. Debe resaltarse, sin embargo, que las quejas de los clientes pueden no ser la
única entrada para dar seguimiento a las percepciones de los clientes. También , el
auditor debe evitar llegar a conclusiones solo por ver quejas específicas e individuales
– estas deben siempre ser puestas en contexto en su impacto general sobre el SGC.
c) ¿Qué tan confiable es la información?
 En un mundo ideal, la organización debe dar seguimiento a las percepciones de
todos sus clientes, pero el costo de hacer esto pudiera ser prohibitivo. Por lo
tanto es necesario verificar el criterio que la organización ha utilizado para el
muestreo de sus clientes, para asegurar que es representativo y refleja el riesgo
hacia la organización y hacia sus clientes.
 El auditor debe asegurarse de verificar la información proporcionada
comparándola con otra evidencia obtenida durante el curso de la auditoría (ver
3.1)
 En algunos casos pudiera ser apropiado para el auditor verificar la información
directamente con los clientes de la organización, cuidando tener la diplomacia
requerida cuando se hace esto.
d) ¿Cómo se analizan los datos?
 La simple recolección de datos sobre las percepciones de los clientes no es
suficiente – el auditor debe dar seguimiento al proceso, para verificar como se
analizan los datos (ver la cláusula 8.4 de la norma ISO 9001:2000), y que
conclusiones se hacen con respecto a la eficacia del SGC.
• Hay alguna tendencia?
• La situación es estable, mejora o se deteriora?
• Las necesidades y expectativas de los clientes están cambiando?
• Aunque no es un requisito de la norma ISO 9001:2000, pudiera ser apropiado
preguntar a la organización sobre las comparaciones de industria o actividades
de “benchmarking”, para poner en perspectiva la retroalimentación del cliente.
e) ¿Cómo se retroalimenta la información generada por este proceso al SGC como un
todo?
• Las organizaciones deben utilizar los resultados del proceso de
retroalimentación de los clientes para disparar acciones correctivas o
preventivas y como uno de los indicadores generales del desempeño del SGC.
El modo de cómo estos procesos interactúan debe ser sujeto de auditoría.
• El auditor debe ser capaz de reconocer que el resultado del proceso de
retroalimentación del cliente forma una entrada importante para otros procesos
del SGC, como el análisis de datos, procesos de revisión por la dirección y
mejora continua.
• Un auditor que “agrega valor” debe tratar de asegurar que la organización
reconozca los beneficios que puede proporcionar un buen proceso de
retroalimentación de los clientes y promoverá (pero no puede requerir) que la
organización piense más allá de simplemente “cumplir los requisitos de la
norma”
f) ¿Cuales son las ligas con otros procesos del SGC?
El auditor debe reconocer que el proceso de retroalimentación del cliente tiene ligas
importantes e interfases con varios procesos del SGC que incluyen, pero no están
limitados a las siguientes cláusulas de la norma:
• 5.6 Revisión por la dirección
• 7.5.2 Validación de procesos
• 7.2.3 Comunicación con el cliente
• 7.3.6 Validación de diseño y desarrollo
• 7.3.7 Cambios al diseño y desarrollo

Documentando una no conformidad
El enfoque de cualquier auditoría a un sistema de gestión consiste en

determinar si el sistema de gestión ha sido desarrollado, es eficazmente
implementado y se mantiene. Una organización es certificada en base a que se
ha implementado eficazmente un sistema de gestión, que es conforme con los
requisitos de la norma ISO 9001:2000. Por lo tanto el énfasis de una auditoría
de sistema de gestión debe estar en verificar la conformidad, no en documentar
no conformidades. Los auditores deben mantener un enfoque positivo y ver los
hechos y no las faltas.
Sin embargo, cuando la evidencia de auditoría determina que existe una no
conformidad, entonces es muy importante documentar bien la no conformidad.
¿Qué es no conformidad?, de acuerdo a la definición en la norma ISO 9000:
2005 (3.6.2), una no conformidad es un incumplimiento de un requisito.
Hay tres partes en una no conformidad bien documentada:
• la evidencia de auditoría que soporta los hallazgos del auditor;
• el requisito contra el cual la no conformidad se detecta;
• el enunciado de la no conformidad.
Si no hay evidencia – no hay no conformidad. Si hay evidencia – esta debe ser
documentada como una no conformidad en vez de ser suavizada con otra
clasificación (por ejemplo, “observaciones”, “oportunidades de mejora”,
“recomendaciones”, etc.)
Estas son las tres partes de una no conformidad a ser documentadas, en la
práctica real durante una auditoría, la primer parte a ser identificada y
documentada será la evidencia de auditoría. El auditor competente observará
situaciones que el o ella “sienten” que es una no conformidad, aunque en ese
punto en el tiempo, el auditor pudiera no estar 100 por ciento seguro. El auditor
competente documentará la evidencia de auditoría, en sus notas de auditoría
como una no conformidad potencial, y buscará caminos de auditoría
adicionales para confirmar si es una no conformidad. La evidencia de auditoría
debe ser documentada con suficiente detalle para que la organización auditada
pueda encontrar y confirmar exactamente lo que el auditor ha observado.
La siguiente cosa que el auditor necesitará hacer es identificar y registrar el
requisito específico que no ha sido cubierto. Recuerde, una no conformidad es
un incumplimiento de un requisito, por lo que si el auditor no puede
identificar el requisito, entonces el auditor no puede levantar una no
conformidad. Por ejemplo el requisito pudiera estar especificado en la norma
ISO 9001:2000, en el sistema de gestión de la organización (requisitos
internos), en las regulaciones legales aplicables, o por los clientes de la
organización. Una vez que el requisito específico es confirmado, este necesita
ser documentado. Esto puede ser tan simple como establecer la norma y la
cláusula. Sin embargo, si el requisito específico que es aplicable a la evidencia
de la auditoría es parte de una cláusula de la norma con varios requisitos,
entonces el auditor debe, además de citar la norma y la cláusula, escribir las
palabras específicas del requisito que es aplicable a la evidencia de la
auditoría.
Ahora viene la parte más importante de documentar una no conformidad, que
es el escribir una declaración de la no conformidad. El enunciado de la no
conformidad lleva a la organización al análisis de la causa, la corrección y
la acción correctiva. El enunciado de la no conformidad debe ser genérico y
relacionado con el punto del sistema. El enunciado de la no conformidad debe
ser capaz de expresarse en una, o cuando mucho, dos oraciones. El enunciado
de la no conformidad no debe ser una repetición de la evidencia de la auditoría
o usado en lugar de la evidencia de auditoría.
Para resumir, una no conformidad bien documentada tendrá tres partes: la
evidencia de auditoría, el requisito y el enunciado de la no conformidad. Con
las tres partes de la no conformidad bien documentadas, el auditado o,
cualquier otra persona con conocimientos suficientes podrá ser capaz de leer y
entender la no conformidad. Esto servirá también como un registro útil para
futuras referencias.
Guía para la revisión y cierre de las no conformidades

Introducción
El valor que puede proporcionarse a una organización puede ser aumentado o
disminuido por la revisión que un auditor conduce a la respuesta de la
organización a una no conformidad, así como al proceso de “cierre” que sea
aplicado. Un auditor agregará valor asegurándose de que la organización ha
cubierto satisfactoriamente la corrección / el análisis de causas y la acción
correctiva, ya que esto aumentará la probabilidad de que la organización logre
la satisfacción del cliente.
Este documento proporciona una directriz para ayudar a los auditores en el
proceso de revisar y cerrar las no conformidades levantadas en las auditorías.
Revisión de acciones en respuesta a una no conformidad
Los auditores de sistemas de gestión son responsables de revisar la respuesta a
las no conformidades y verificar la eficacia de las acciones tomadas.
Debe haber tres partes en la respuesta de la organización a una no conformidad:
• corrección, • análisis de causa,
• análisis de la causa, y o • corrección, y
• acción correctiva. • acción correctiva
(Nota; se dan dos secuencias diferentes ya que la correcta a seguir pudiera depender del tipo
de producto, o situación de la no conformidad. Sin embargo, las tres partes para resolver una
no conformidad son las mismas en cada caso. Por ejemplo, para software, es inconveniente la
implementación de una corrección hasta que la causa sea conocida. Alternativamente, como
un ejemplo de hardware, si una luz de advertencia de “zapatas desgastadas” se ilumina en un
vehículo y usted inmediatamente implementa la corrección de reemplazar las zapatas antes de
examinar si el sensor falló, pudiera fallar al resolver el problema y habrá desperdiciado tiempo
y recursos.)
La fuente que autoriza a realizar el enunciado inicial son algunas definiciones
pertinentes en la norma ISO 9000: 2000.
No conformidad: incumplimiento de un requisito (ISO 9000:2005, cláusula
3.6.2)
Corrección: acción tomada para eliminar una no conformidad detectada (ISO
9000:2005, cláusula 3.6.6)
Acción correctiva: acción tomada para eliminar la causa de una no
conformidad detectada u otra situación indeseable (ISO 9000: 2005, cláusula
3.6.5)
Cuando se detecta una no conformidad cabe esperar tanto la corrección como la
acción correctiva.
La “corrección” es una acción para eliminar una no conformidad detectada, Por
ejemplo, la corrección pudiera involucrar el reemplazo del producto no conforme
con un producto conforme o reemplazar un procedimiento obsoleto con la versión
vigente, etc.
La definición de “acción correctiva” es “acción para eliminar la causa de la no
conformidad detectada”. La acción correctiva no puede ser tomada sin primero
hacer una determinación de la causa de la no conformidad. Existen muchos
métodos y herramientas disponibles para determinar la causa de una no
conformidad, desde una simple tormenta de ideas hasta técnicas más complejas
de solución sistemática de problemas (por ejemplo, análisis de causas raíz,
diagramas de espina de pescado, “los cinco por qué”, etc.). Un auditor debe estar
familiarizado con el uso apropiado de estas herramientas. La extensión y eficacia
de la acción correctiva depende de la identificación de la verdadera causa raíz. En
algunos casos esto ayudará a una organización a identificar y minimizar no
conformidades similares en otras áreas.
Al revisar la respuesta de una organización a una no conformidad, el auditor debe
confirmar que la documentación y la evidencia objetiva para las tres partes –
corrección, causa y acción correctiva -se proporcionan por la organización, y son
apropiadas, antes de aceptar la respuesta. Elementos importantes a verificar en el
proceso de revisión incluyen:
 declaraciones de acciones; ¿son claras y concisas?
 descripciones de acciones; ¿son completas y refieren con precisión
documentos, procedimientos específicos, etc. según sea apropiado?
 el uso de la forma verbal en pasado (fue, estuvo, ha sido), como un indicador
de que las acciones tomadas han sido completadas.
 la fecha de terminación de las acciones correctivas; fechas pasadas deben
encontrarse como indicador de que las acciones han sido tomadas (las fechas
que indican acción futura no son una buena práctica).
 evidencia que soporte el hecho de que la acción correctiva ha sido total y
eficazmente implementada y que la acción correctiva ha sido desempeñada en
la forma en que estaba descrita.
Adicionalmente, el auditor debería verificar que la organización se ha
asegurado que la acción correctiva tomada no ha creado por si misma
mayores problemas relacionados con la calidad del producto o la
implementación del SGC.
Debe notarse que tanto la corrección como la acción correctiva no son siempre
apropiadas y que la corrección o la acción correctiva por si solas pudieran ser
suficientes. Esto pudiera suceder, por ejemplo, en casos en que se puede
demostrar que la no conformidad fue absolutamente accidental, y la probabilidad
de que vuelva a ocurrir es muy baja.
La acción correctiva eficaz debe prevenir que la no conformidad vuelva a ocurrir
eliminando la causa. Sin embargo, la acción correctiva no debe confundirse con la
acción preventiva. La definición de acción preventiva es como sigue:
Acción preventiva: acción para eliminar la causa de una no conformidad
potencial o una situación indeseable (ISO 9000:2005, cláusula 3.6.4)
Se debe notar que la acción preventiva por la naturaleza de su definición no es
aplicable a no conformidades ya detectadas. Sin embargo un análisis de sus
causas pudiera identificar no conformidades potenciales en una escala más amplia
en otras áreas de la organización y proporcionar una entrada para una acción
preventiva.
Cierre de no conformidades
Ya que las no conformidades tienden a ser individuales en su naturaleza, se puede
utilizar una amplia variedad de métodos o actividades para cerrarlas. Por ejemplo,
algunas requerirán un examen directo en el lugar (lo que pudiera requerir la
necesidad de visitas adicionales al lugar), mientras otras pudieran cerrarse de
manera remota (por la revisión de documentación relevante que se envíe como
evidencia).
Antes de decidir el acuerdo para cerrar una no conformidad, el auditor líder (o
auditor cuando actúa solo) debería revisar lo que la organización hizo con respecto
a la corrección / análisis de causa y los resultados logrados a través de la acción
correctiva. El auditor líder necesita asegurarse de que existe evidencia objetiva
(incluyendo documentación de soporte) para demostrar que la acción correctiva
descrita ha sido completamente implementada y es eficaz en prevenir que la no
conformidad vuelva a ocurrir. Solamente cuando la situación sea satisfactoria
debería cerrarse la no conformidad.

Auditoría de la acción preventiva

1) Introducción
ISO 9000:2000, cláusula 3.6.4, define la acción preventiva como la “acción para
eliminar la causa de una no conformidad potencial u otra situación potencial no
deseada”.
Esto se puede considerar como una acción adoptada para evitar que se
presente una no conformidad. Sin embargo, si no hay una no conformidad con
la cual empezar y si la acción preventiva es eficaz, se mantendrá el status quo.
Esto origina la dificultad de auditar un proceso para el cual la salida deseada es
mantener el status quo.
Con frecuencia existe confusión sobre las diferencias entre los términos
corrección, acción correctiva y acción preventiva (por favor consulte ISO
9000:2000 para sus definiciones formales) y también con relación a las
actividades de una organización con respecto a cada una de ellas.
La auditoria de los procesos de corrección y acción correctiva de la
organización es relativamente sencilla porque los resultados y la eficacia de
estos procesos por lo general están bien definidos (es decir, si la organización
ya ha identificado una no conformidad, es relativamente fácil para un auditor
evaluar el proceso utilizado por la organización, o que se planifica por usar para
corregirla y si esto será o no eficaz para evitar que se vuelva a presentar la no
conformidad); no obstante, la auditoría de los procesos de acción preventiva
usualmente es más compleja.
2) Guía de auditoria
2.1) ISO 9001:2000 requiere que la organización tenga un procedimiento
documentado para la acción preventiva.
Nota: Se acepta la combinación de procedimientos documentados de acción correctiva y
acción preventiva en un solo documento del SGC, pero no es recomendable. Si están
combinados, entonces es importante que el auditor verifique que la organización entiende
claramente la diferencia entre el propósito de las acciones correctivas y preventivas.
2.2) La norma exige que este procedimiento documentado incluya:
a) Cómo determina la organización las no conformidades potenciales y
sus causas.
Los ejemplos comunes incluyen los siguientes:
• Análisis de tendencia para las características de los procesos y los
productos (resultado del proceso de análisis de datos). Una tendencia
hacia el empeoramiento puede indicar que si no se adopta ninguna
acción, podría presentarse una no conformidad.
• Alarmas para brindar advertencia temprana de que se aproximan
condiciones operativas “fuera de control”.
• Monitoreo de la percepción del cliente mediante sistemas de
retroalimentación tanto formales como informales.
• Análisis de tendencias para la capacidad de los procesos, usando
técnicas estadísticas.
• Análisis de modo de falla y efecto continuos para los procesos y los
productos (este es un requisito de ISO/TS 16949, por ejemplo, para la
industria automotriz).
• Evaluación de las no conformidades que hayan ocurrido en
circunstancias similares, pero para otros productos, procesos, u otras
partes de la organización o incluso en otras organizaciones.
• Planificación completa de actividades tanto para situaciones predecibles
(por ejemplo, debido a expansión, mantenimiento o cambios de personal
- véase ISO 9001, cláusula 5.4.2b)) como impredecibles (por ejemplo,
fenómenos naturales como huracanes, terremotos, inundaciones etc.).
• ISO 9004:2000, cláusula 8.5.3, Prevención de pérdidas (Loss prevention)
suministra otros ejemplos (Nota: esta directriz de ISO 9004 no es obligatoria).
b) Una evaluación de la necesidad de acción preventiva.

Los métodos empleados en la evaluación podrían incluir:
• Enfoques de análisis de riegos.
• Análisis del modo de falla y efecto, tal como ya se mencionó en (a).
(Nota: ninguno de estos enfoques o metodologías son requisitos de ISO 9001:2000.)
c) Cómo determina la organización la acción que se requiere y cómo
se implementa.
Un auditor debería buscar evidencia de que:
• la organización ha analizado las causas de las no conformidades
potenciales (el uso de diagramas de causa y efecto y otras herramientas
de calidad podría ser apropiado para esto).
• las acciones requeridas son desplegadas en todas las partes pertinentes
de la organización y de manera oportuna.
• existen definiciones claras de las responsabilidades de identificación,
evaluación, implementación y revisión de las acciones preventivas.
d) Registros de los resultados de las acciones adoptadas.

• ¿Qué registros se conservan?
• ¿Son apropiados y el reflejo real de los resultados?
• ¿Se controlan de acuerdo con lo indicado en ISO 9001:2000, cláusula
4.2.4?
e) Una revisión de las acciones preventivas adoptadas.

• ¿Fueron eficaces las acciones (es decir, ¿se evitó que ocurriera una no
conformidad y hubo beneficios adicionales?)?
• ¿Es necesario continuar con las acciones preventivas tal como están?
• ¿Se deberían cambiar o es necesario planificar acciones nuevas?
2.3) A menudo se presenta la discusión “filosófica” entre el auditor y la

organización sobre dónde termina la acción correctiva y dónde empieza la
acción preventiva. Por ejemplo, si se detecta una no conformidad en el proceso
“A” ¿se adoptan acciones para evitar no conformidades futuras mediante las
acciones preventivas de los procesos “B”, “C” y “D” o simplemente están dentro
del alcance de las acciones correctivas adoptadas para el proceso “A”? El
auditor debería evitar que estas discusiones lo desvíen y concentrarse en si las
acciones fueron eficaces o no. ¡El “etiquetado” de las acciones adoptadas tiene
importancia secundaria!

Auditando las comunicaciones internas
1. Introducción
Un proceso eficaz de comunicación interna contribuye al éxito del sistema de
gestión de la calidad de cualquier organización. Por el contrario, muchos de los
problemas que se presentan en el sistema de gestión de la calidad de una
organización con frecuencia tienen su origen en una comunicación deficiente.
2. Requisitos y Guía
2.1 ISO 9001:2000, cláusula 5.5.3 establece lo siguiente:
“Comunicación interna
La alta dirección debe garantizar que se han establecido los procesos
adecuados de comunicación dentro de la organización y que la
comunicación tiene lugar con respecto a la eficacia del sistema de gestión
de la calidad.”
Este es uno de varios requisitos que se han introducido en ISO 9001:2000 en
donde un enfoque definitivo (“SI/NO”) puede no ser adecuado para evaluar la
implementación eficaz del proceso de comunicación interna dentro de una
organización.
2.2 Otros requisitos de ISO 9001:2000 con relación a la comunicación interna:
Existen otros requisitos en ISO 9001:2000 en donde la alta dirección tiene la
responsabilidad de comunicarse con las personas dentro de la organización
con respecto a:
• La política y los objetivos de la calidad.
• La importancia de cumplir los requisitos del cliente así como los
reglamentarios.
• La promoción de la toma de conciencia sobre los requisitos del cliente en
toda la organización.
• Las responsabilidades definidas de las personas y la conciencia sobre la
pertinencia e importancia de sus actividades, y la forma en que ellas
contribuyen al logro de los objetivos de calidad.
• Cuando se producen cambios en los requisitos del producto, asegurar
que el personal pertinente conozca dichos cambios.
2.3 Guía de ISO 9004:2000 (cláusula 5.5.3):
“La dirección de la organización debería definir e implementar un proceso
eficaz y eficiente para comunicar la política, los requisitos, los objetivos y
los logros de la calidad. El suministro de tal información puede ayudar a
mejorar el desempeño de la organización e involucra directamente a su
personal en la consecución de los objetivos de la calidad. La dirección
debería fomentar activamente la retroalimentación y la comunicación de las
personas de la organización como una forma de involucrarlas”.
Es importante anotar que esta directriz de ISO 9004 no se audita, pero
proporciona mayor comprensión sobre la importancia de la comunicación
interna.
3. Verificación de la eficacia de la comunicación interna
Existen dos componentes principales de los requisitos de ISO 9001:2000,
cláusula 5.5.3, que se deben verificar:
a) Que se hayan establecido procesos adecuados de comunicación dentro de
la organización, incluyendo:
• identificación de las personas entre quienes se debe producir la
comunicación,
• información que se debe comunicar;
• medios para lograrlo;
• método seleccionado para monitorear su eficacia;
• documentación y registros necesarios para verificar que se ha tenido
lugar;
• proceso de comunicación sujeto a mejora continua.
b) Que la comunicación tiene lugar y se relaciona con la eficacia del sistema
de gestión de la calidad.
Al buscar evidencia de procesos eficaces de comunicación, puede ser
necesario que el auditor observe algunos o todos de los siguientes aspectos,
según sea apropiado para la organización:
• la alta dirección, los empleados en todos los niveles de la organización y
los contratistas generan, reciben y responden las comunicaciones;
• la información que se ha de comunicar está claramente definida, es
apropiada y exacta para los propósitos de la comunicación;
• los medios utilizados para la comunicación son apropiados para el grado
de educación y otras habilidades de quienes se espera que reciban y
actúen según la información suministrada;
• el monitoreo tiene lugar para asegurar que se actúa sobre la información
comunicada y se logra el resultado deseado;
• están disponibles los procedimientos y registros necesarios para
demostrar que la comunicación ha tenido lugar, es eficaz y está sujeta a
mejora continua.
Aunque no hay requisito específico para un procedimiento documentado,
dependiendo del tamaño, la complejidad y la cultura de la organización puede
ser necesario tenerlo con el objeto de garantizar su implementación eficaz.
4. El enfoque de auditor
El auditor puede observar algunos o todos los siguientes medios de
comunicación de la información dentro de la organización:
• La dirección lleva la comunicación a las áreas de trabajo.
• Reuniones informativas del equipo y otras reuniones como aquellas para
el reconocimiento de logros.
• Murales.
• Correo electrónico, red interna (intranet) y sitios Web.
• Revistas o boletines informativos de la compañía o internos.
• Reuniones del personal.
• Cartas o anuncios individuales.
El auditor puede juzgar la eficacia de los procesos de comunicación interna de
la organización mediante:
• Entrevistas con los empleados para determinar su conocimiento de la
política, los objetivos y el desempeño del sistema de gestión.
• Evaluación de las causas de las no conformidades y los procesos de
acción correctiva de la organización. ¿Podría vincularse/ rastrearse la
necesidad de acción correctiva hasta procesos deficientes de
comunicación interna?
• Evaluación de la pertinencia y las fechas significativas de la información
presentada. La información que se comunica no tiene valor si es
obsoleta.
• Examen de los mecanismos de retroalimentación dentro de la
organización, por ejemplo, revisiones o entrevistas individualizadas,
encuestas a los empleados, etc.
• Evaluación de los programas de entrenamiento e inducción dentro de la
organización. Estos programas deberían contener información de la
forma como opera el sistema de gestión de la calidad.
• Observación de actas de reuniones que contengan elementos de
comunicación interna.
5. Evaluación de la conformidad de la organización con los requisitos de
ISO 9001:2000
Existen dudas de si un auditor puede determinar la eficacia de los procesos de
comunicación interna de la organización durante una sola sesión de auditoria o
“espacio de tiempo”. Esto requiere un enfoque más holístico durante toda la
auditoria, pero no es necesario incluirlo en el plan de ésta. Los equipos
auditores deberían planificar una revisión, en colaboración, de este aspecto.
De forma similar existen dudas de si se puede determinar la eficacia de los
procesos de comunicación de la organización únicamente a partir de una
fuente en la organización.
La conformidad con los requisitos de ISO 9001:2000 sólo se debería
determinar al final de la auditoria, después de evaluar la evidencia de (y
después de llegar al consenso con los otros miembros del equipo).

Auditando la eficacia de la auditoria interna

1. Introducción
Las organizaciones que buscan un sistema de gestión de calidad adecuado y
eficaz necesitan realizar auditorías internas para asegurar que el SGC funciona
como se quiere y para identificar las ligas débiles en el sistema así como las
oportunidades de mejora potenciales. La auditoría interna actúa como
mecanismo de retroalimentación para la alta dirección, ésta puede darle a la
alta dirección y a otras partes interesadas la seguridad de que el sistema
cumple los requisitos de la norma ISO 9001:2000. El cómo se maneje el
proceso de auditoria interna es un factor clave para asegurar la eficacia de un
sistema de gestión de calidad.
2. Requisitos y Directriz
2.1 La norma ISO 9001:2000 cláusula 8.2.2 establece lo siguiente:
8.2.2 Auditoría interna
“Se debe planificar un programa de auditorías tomando en consideración el
estado y la importancia de los procesos y las áreas a auditar, así como los
resultados de auditorías previas.”
Este requisito tiene la intención de enfocar el programa de auditoría interna
hacia aquellos procesos y áreas donde la historia indica que han ocurrido
problemas, o donde parece que los problemas continuarán, y/o parece que
ocurrirán (debido a la naturaleza de los mismos procesos). Estos problemas
pudieran resultar de aspectos como factores humanos, capacidad de proceso,
sensibilidad de medición, cambio en requisitos de los clientes, cambios en el
ambiente de trabajo, etc.
Los procesos con alto nivel de riesgo de deficiencias o no conformidades
deben tener prioridad en el programa de auditoría interna.
Se debe prestar una atención especial a los procesos donde el alto nivel de
riesgo es influenciado por factores tales como:
- consecuencias severas por la falla de capacidad de proceso;
- no satisfacción del cliente;
- no cumplimiento con requisitos reglamentarios del producto (o proceso)
2.2 La norma ISO 9004:2000 Cláusula 8.2.1.3
“La alta dirección debería asegurarse del establecimiento de un proceso de
auditoría interna eficaz y eficiente para evaluar las fortalezas y debilidades del
sistema de gestión de la calidad. El proceso de auditoría interna actúa como
una herramienta de gestión para la evaluación independiente de cualquier
proceso o actividad designado. El proceso de auditoría interna proporciona una
herramienta independiente aplicable para obtener evidencias objetivas de que
se han cumplido los requisitos existentes, dado que la auditoría interna evalúa
la eficacia y la eficiencia de la organización.”
Esta directriz de la norma ISO 9004 fuerza la necesidad de usar eficientemente
los recursos cuando se realizan auditorías internas. (Nota: esta directriz de la
norma ISO 9004 no es un requisito auditable en una evaluación de la ISO
9001).
3. Directriz de auditoría
Cuando los auditores de tercera parte examinen los procesos de auditoría
interna, deben evaluar aspectos tales como:
- las competencias que son requeridas para la auditoría y como son aplicadas.
- el análisis de riesgo desarrollado por la organización (si hay alguno) en la
planificación de las auditorías internas,
- el grado de involucramiento de la alta dirección en el proceso de auditoría
interna.
- la directriz dada por la norma ISO 19011 (pero advierta que la norma ISO
9001:2000 no requiere que la organización utilice la norma ISO 19011), y
- el modo que el resultado del proceso de auditoría interna es utilizado por la
organización para evaluar la eficacia de su SGC y para identificar las
oportunidades de mejoras.
Un auditor de tercera parte necesita:
a) evaluar el enfoque de la organización para identificar las áreas críticas así
como otros parámetros;
Por ejemplo, si la organización ha identificado:
• sus procesos que son críticos para la calidad del producto,
• sus procesos complejos, o aquellos que necesitan atención especial
• sus procesos que necesiten que el personal esté calificado
• sus procesos que necesiten un seguimiento detallado de los parámetros de
proceso
• sus actividades de seguimiento y medición que requieren una calibración
frecuente y/o verificación;
• sus actividades y procesos que ocurren sobre múltiples lugares y/o que son
de labor intensiva, etc.
• Procesos donde han ocurrido problemas o están en riesgo
• y los indicadores de desempeño de proceso establecidos que definen las
medidas de eficacia y eficiencia, y si estas mediciones están alineadas con
los objetivos o metas globales de la organización
¿La organización utiliza esta información cuando establecen la frecuencia de
auditoría de esos procesos y actividades?
b) evaluar la competencia de los auditores internos de la organización y los
equipos de auditoría;
Debe existir evidencía de que la organización:
• ha identificado los requisitos de competencia para sus auditores internos,
• ha proporcionado el entrenamiento apropiado
• tiene implementado un proceso para dar seguimiento al desempeño de sus
auditores internos y equipos de auditoría
• incluye personal en sus equipos de auditoría que tengan el conocimiento
específico apropiado del sector (de modo que sean capaces de identificar
cuando la probabilidad de una desviación en un proceso o actividad en
particular puede llevar a una consecuencia significativa en la calidad del
producto)
También se debe evaluar qué tanto los auditores internos entienden del riesgo
inherente en la confiabilidad que se puede poner en el resultado del proceso de
auditoría si ellos:
• fallan en considerar algo que es material para el resultado de la auditoría,
• seleccionan un rango de muestreo no apropiado
• sopesan de manera no apropiada la evidencia recolectada, o
• se desvían del plan de auditoría y los procedimientos de auditoría interna.
c) evaluar la planificación de las auditorías;
La organización debe ser capaz de maximizar el uso de los recursos
disponibles durante la conducción de las actividades de la auditoría interna.
Esto puede facilitarse por la adopción de un enfoque basado en el riesgo en
la planificación de las auditorías internas.
Debe cuestionarse si la organización (durante su proceso de auditoría
interna) ha considerado el uso del enfoque basado en riesgo en el
desarrollo del plan de la auditoría interna, para asegurar el uso eficaz y
eficiente de los recursos. Esto también debe asegurar que el riesgo
inherente de falla de la auditoría en el proceso de auditoría, y de los
resultados de la auditoría, se minimice.
La organización debe tener un proceso para utilizar los resultados de
auditorías anteriores en la planificación de auditorías internas futuras.
d) buscar evidencía de que la organización ha implementado un programa de
auditoría interna eficaz.
Tomando en cuenta los factores anteriores, y examinando si el proceso de
auditoría interna está llevando al SGC a una mejora tangible, el auditor de
3. parte debe ser capaz de formarse un juicio de que tanto la organización
ha implementado un programa de auditoría interna eficaz y si el resultado
de las auditorías internas proporciona evidencia para el análisis de la
eficacia del SGC.

Auditando organizaciones de servicio

1. Introducción
Aunque la norma ISO 9001:2000 tiene la intención de ser aplicable a toda clase
de organizaciones sin importar el tipo, tamaño o producto proporcionado, hay
un número de características de las organizaciones de servicio que requieren
una atención específica durante una auditoría de tercera parte.
Consecuentemente, este documento va dirigido a proporcionar a los auditores
las directrices para auditar el cumplimiento de los requisitos de la norma ISO
9001:2000 en las organizaciones de servicio. Se hace particular énfasis en los
requisitos de la cláusula 7.3 Diseño y desarrollo, cláusula 7.5.2 Validación de
procesos para producción y prestación del servicio y la cláusula 8.3 Control del
producto no conforme.
2. Organizaciones de servicio
De acuerdo con la norma ISO 9000:2005, en la cláusula 3.4.2 Producto:
“Un servicio es el resultado de llevar a cabo necesariamente al menos una actividad
en la interfaz entre el proveedor y el cliente) y generalmente es intangible. La
prestación de un servicio puede implicar, por ejemplo:
1.  una actividad realizada sobre un producto tangible suministrado por el cliente
(por ejemplo, reparación de un automóvil);
2.  una actividad realizada sobre un producto intangible suministrado por el
cliente (por ejemplo, la declaración de ingresos necesaria para preparar la
devolución de los impuestos);
3.  la entrega de un producto intangible (por ejemplo, la entrega de información
en el contexto de la transmisión de conocimiento);
4.  la creación de una ambientación para el cliente (por ejemplo, en hoteles y
restaurantes)”
La mayoría de las organizaciones tienen un elemento de servicio en su
producto. Esto pudiera variar de casi el 100% de servicio (en el caso de una
firma de abogados, por ejemplo), a un componente relativamente muy pequeño
en el caso de una organización de manufactura que proporciona, por ejemplo,
servicio post venta.
3. Directriz de auditoría
3.1 Diseño y desarrollo del servicio
Cuando se considera la aplicabilidad o no de la cláusula 7.3 de la norma ISO
9001:2000 a una organización de servicio, es importante recordar la definición
de “Diseño y desarrollo”, que de acuerdo con la norma ISO 9000:2000 cláusula
3.4.4 es “el conjunto de procesos que transforma los requisitos en
características especificadas”. También, de acuerdo a ISO 9000:2000
requisitos son “necesidad o expectativa establecida, generalmente implícita u
obligatoria” y características del servicio son rasgos diferenciadores que
pueden incluir:
• sensoriales, (por ejemplo, relacionadas con el olfato, el tacto, el gusto, la
vista y el oído);
• de comportamiento, (por ej., cortesía, honestidad, veracidad);
• de tiempo, (por ej., puntualidad, confiabilidad, disponibilidad);
• ergonómicas, (por ej., características fisiológicas, o relacionadas con la
seguridad humana);
• tangibles, (por ej., características medibles; estas pudieran ser tanto las
características del medio físico usado para dar el servicio, por ej. la velocidad
máxima de un avión, o del ambiente en el cuál el servicio se proporciona, por
ej. la temperatura interior o facilidades de una aeronave).
Es muy común para las organizaciones considerar solamente el componente
tangible de su producto cuando tratan los requisitos de la cláusula 7.3,
olvidando que el diseño y desarrollo del producto intangible (el servicio mismo)
debería ser el foco principal. Adicionalmente, la organización necesitará diseñar
como el servicio será proporcionado a sus clientes.
Si la organización propone justificar la exclusión del diseño y desarrollo de su
SGC, el auditor debe hacer una evaluación cuidadosa de la justificación a la luz
de lo anterior. El auditor debe también examinar si la organización tiene un
proceso de diseño y desarrollo eficaz que defina suficientemente las
características de su servicio, y de sus procesos de entrega de servicio, que
son necesarios para cumplir con las necesidades y expectativas de los clientes.
3.2 Validación de los procesos de producción y prestación del servicio
En términos de los procesos necesarios para realizar el servicio, se pueden
identificar dos tipos de procesos de servicio:
• los que involucran al cliente en la realización del servicio mismo (entrega
en tiempo real) y
• aquellos en que el resultado es entregado al cliente después de la
realización del proceso.
Utilizando el ejemplo de un hotel, los procesos de “registro” y “salida” del
huésped pudieran probablemente involucrar la entrega en “tiempo real” del
servicio, mientras que la limpieza de la habitación del huésped pudiera
generalmente ser “entregado” al cliente solamente después de completar el
proceso (que pudiera ser sujeto de una inspección y reproceso si fuera
necesario, para corregir cualquier no conformidad).
Procesos similares pueden también encontrarse en organizaciones de
manufactura que proporcionan servicios relacionados a sus productos, por
ejemplo, el manejo de reclamo de garantías; la reparación de los productos por
unidades de servicio de la organización; o actividades de mantenimiento de
producto desarrolladas en las instalaciones de los clientes.
Aquellos procesos que involucran entregas en tiempo real, y son realizadas
directamente en interfase con la organización / cliente rara vez pueden (si
acaso) tener el resultado (“el servicio”) verificado por un seguimiento o
medición antes de ser “entregados” al cliente. Por lo tanto, esos procesos están
sujetos a una validación de acuerdo a los requisitos de la cláusula 7.5.2 de la
norma ISO 9001:2000. Esto es esencial para prevenir que ocurran no
conformidades.
Para asegurar el control adecuado sobre la calidad del servicio proporcionado,
el auditor debe:
• entender las características del servicio, los procesos de prestación del
servicio, y sus criterios de aceptación, según los defina la organización (esto
debe ser hecho durante la fase 1 de la auditoría)
• determinar como se ha realizado la validación de los procesos de provisión
de servicio en “tiempo real” (o cualquier otro proceso que requiera
validación) y si esto ha tomado en cuenta los riesgos asociados;
• evaluar si las herramientas, entrenamiento y empoderamiento apropiados
se han proporcionado al personal involucrado
Para muchas industrias de servicio, el servicio proporcionado es instantáneo
( vía procesos en “tiempo real”), lo que no les permite realizar inspecciones
antes de entregar ese servicio. El pensamiento de Calidad, dice que el modo
más eficaz en costo de hacer negocios es aplicando la filosofía de “procesos
especiales” a TODOS los procesos: mientras más organizaciones tengan sus
procesos correctos, el menor número de organizaciones necesitarán
preocuparse del resultado de sus procesos. Por lo tanto no es muy deseable
que esta cláusula pueda ser excluida.
3.3 Control de producto no conforme
En los casos de procesos de servicio que directamente involucran al cliente, “el
control del producto no conforme” (cláusula 8.3) es la manera como la
organización trata con las no conformidades en la provisión del servicio hasta
que la acción correctiva apropiada es definida e implementada.
Donde se identifica una no conformidad, el auditor debe examinar:
• si el personal involucrado está suficientemente empoderado con la autoridad
para decidir la disposición del servicio, por ejemplo:
o inmediatamente terminar el servicio
o reemplazar el servicio proporcionado
o ofrecer una alternativa
• los procesos de quejas y reclamos de la organización
• cualquier corrección temporal que sea implementada para mitigar el efecto de
la no conformidad (por ej. reembolso, crédito, ascensos, etc.)
• la identificación, segregación y reemplazo de equipo, proveedores o ambiente
relevantes para el servicio,
Esto permitirá al auditor juzgar si el control de dicho producto no conforme es
eficaz.
Nota: En estas situaciones el sistema de gestión de calidad debería tener previsto la
captura de datos en la información de no conformidades y retroalimentación, en los
niveles de dirección apropiados, para la definición e implementación eficaz de
acciones correctivas.
Para los casos en que los resultados del servicio se entrega después de la
realización del proceso, el “control de producto no conforme” pudiera basarse
en el seguimiento y técnicas de inspección usuales. Se necesitará evidencia
para ver la adecuación e implementación eficaz de esas técnicas.
Imparcialidad del auditor de tercera parte y conflicto de

intereses
La imparcialidad y la objetividad de los auditores son prerrequisitos básicos

para una auditoria coherente y eficaz.
Este documento ilustra las buenas prácticas de comportamiento en beneficio
de los auditores y de los organismos encargados de evaluar el comportamiento
del auditor, por ejemplo, los organismos de certificación/registro (OC) y los
organismos de acreditación. (Consultar también el documento ISO/PAS
17001).
1. Alcance
1.1 La intención global de la certificación es brindar confianza a todas las
partes que confían en la certificación. Los principios importantes para inspirar
confianza son independencia, imparcialidad y competencia, tanto en acción
como en apariencia.
1.2 Este documento concierne únicamente a aspectos relacionados con las
amenazas y protecciones de la independencia e imparcialidad del auditor.
2. Compromiso del organismo de certificación (OC) con la imparcialidad
2.1 La estructura organizacional y los procedimientos del OC que emplea a los
auditores deberían poder demostrar cómo se cumple el requisito primario de la
IMPARCIALIDAD.
2.2 El OC debería demostrar, por medio de políticas, procedimientos y
entrenamiento, la manera en que trata las presiones y otros factores que
pueden comprometer, o se puede esperar razonablemente que comprometan,
la objetividad del auditor y que pudiera provenir de una amplia variedad de
actividades, relaciones y otras circunstancias, así como en diferentes
cualidades y características personales de los auditores, las cuales pueden ser
fuente de sesgo.
3. Amenazas a la imparcialidad del auditor
3.1 Las amenazas a la imparcialidad del auditor son fuentes de sesgo potencial
que pudieran comprometer, o razonablemente se puede esperar que
comprometan, la habilidad del auditor de hacer observaciones y conclusiones
de auditoría sin sesgos.
Debido a que las amenazas pueden comprometer, o cabe esperar
razonablemente que comprometan, la habilidad del auditor para hacer
observaciones y conclusiones de auditoría sin sesgos, el OC debería identificar
y analizar los efectos de las amenazas que son fuente de sesgo potencial.
3.2 Las amenazas son impuestas por diferentes tipos de actividades,
relaciones y otras circunstancias. Para entender la naturaleza de esas
amenazas y su impacto potencial en la imparcialidad del auditor, el OC debería
identificar los tipos de amenazas impuestas por actividades específicas,
relaciones u otras circunstancias. La siguiente lista brinda ejemplos de los tipos
de amenazas que pudieran crear presiones, y otros factores que pudieran
acarrear comportamiento de auditoría sesgado.
Aunque la lista no es exhaustiva ni excluyente, ilustra la amplia variedad de
tipos de amenazas que el OC necesita tomar en consideración cuando analiza
los aspectos de imparcialidad e independencia del auditor.
- Amenazas por interés propio — amenazas que surgen de auditores que
actúan en su propio interés. El interés propio incluye los intereses
emocionales, financieros u otros intereses personales. Los auditores pueden
favorecer, consciente o inconscientemente, esos intereses propios sobre su
interés por realizar una auditoría de un sistema de gestión. Por ejemplo, las
relaciones del OC con sus clientes crean un interés financiero propio porque
los clientes pagan las tarifas del OC. Los auditores también tienen intereses
financieros propios, si tienen participación en la gestión financiera de un
auditado, ya sea como asociado, accionista u otra forma, y pudieran tener un
interés financiero o emocional propio si existe una relación de familiaridad
entre los miembros del auditor y el auditado.
- Amenazas por auto-revisión — amenazas que surgen de la revisión del
trabajo realizado por los auditores o por sus colegas. se originan en
auditores que revisan el trabajo. Puede ser más difícil evaluar sin sesgo el
trabajo de la propia organización que el de cualquier otra persona u
organización. Por lo tanto, una amenaza por auto-revisión se puede originar
cuando los auditores revisan opiniones y decisiones que ellos u otros en su
organización han tomado.
- Amenazas por familiaridad (o confianza) — amenazas que provienen de
auditores influidos por una relación cercana con un auditado. Tal amenaza
está presente si los auditores no son suficientemente escépticos de las
afirmaciones de un auditado y, como resultado, aceptan muy fácilmente el
punto de vista del auditado debido a su familiaridad o confianza con él. Por
ejemplo, una amenaza por familiaridad se puede originar cuando un auditor
tiene una relación personal o profesional muy estrecha o de mucho tiempo
con un auditado.
- Amenazas de intimidación — amenazas que surgen en auditores que están
coaccionados, o que creen que lo están, abierta o en secreto, por el
auditado o por otras partes interesadas. Dicha amenaza se puede originar,
por ejemplo, si un auditor o un OC es amenazado con ser reemplazado por
un desacuerdo en la aplicación que hace un auditado de un requisito
específico del documento normativo utilizado como referencia para la
auditoría.
- Amenaza por defensa (por ej. un organismo o su personal que actúa en
apoyo, o en oposición a un auditado que a su vez es su cliente, en la
solución de una disputa o un litigio).
- Amenazas por competición (por ejemplo entre el auditado evaluado y un
experto técnico contratado).
4 Protecciones a la imparcialidad del auditor
4.1 El OC debería establecer protecciones que mitiguen o eliminen las
amenazas a la imparcialidad del auditor. Estas protecciones pudieran incluir
prohibiciones, restricciones, políticas, procedimientos, prácticas, normas,
reglas, acuerdos institucionales y condiciones ambientales. Éstas se deberían
revisar con regularidad para asegurar la continuidad de su aplicabilidad.
NOTA 1. Las protecciones existen en el entorno en el cual se conducen las auditorías
o pueden ser impuestas por personas independientes con poder de decisión como
respuesta a las amenazas derivadas por diferentes actividades, relaciones u otras
circunstancias. Una forma en que las protecciones pueden ser descritas es por el
lugar donde ellas se encuentran.
4.2 Ejemplos de protecciones que existen en el entorno en el cual se realizan
las auditorías incluyen:
- el valor que el OC y los auditores individuales dan a su reputación;
- programas de acreditación para los OC que evalúan el cumplimiento de toda
la organización con las normas profesionales y los requisitos reglamentarios
con relación a la imparcialidad;
- supervisión general por parte de los comités y las estructuras de dirección
del OC (por ejemplo juntas directivas) con respecto al cumplimiento de los
criterios de imparcialidad;
- otros aspectos del gobierno corporativo, incluyendo la cultura del OC que da
soporte al proceso de certificación y a la imparcialidad del auditor;
- reglas, normas y códigos de conducta profesional que rigen el
comportamiento de los auditores;
- la creación de sanciones, y la posibilidad de tales acciones, por parte de
organismos de acreditación/IAF y otros; y
- la responsabilidad legal que enfrenta el OC.
4.3 Ejemplos de protecciones que existen en los organismos de certificación
como parte del sistema de gestión de un OC incluyen:
- mantenimiento de una cultura en el OC que enfatice la expectativa de que
los auditores actuarán según el interés más amplio, y la importancia de las
buenas auditorías y de la imparcialidad del auditor;
- mantenimiento de un entorno y una cultura profesionales en el OC que
apoyen el comportamiento, que sea consistente con la imparcialidad del
auditor, de todo el personal;
- sistemas de gestión que incluyan políticas, procedimientos y prácticas
relacionadas directamente con el mantenimiento de la imparcialidad del
auditor;
- otras políticas, procedimientos y prácticas como aquellas relacionadas con
rotación del personal, auditorías interna y requisitos de consultoría interna
sobre asuntos técnicos; y
- contratación de personal, entrenamiento, promoción, retención, y políticas,
procedimientos y prácticas de recompense que enfaticen la importancia de
la imparcialidad del auditor, las amenazas potenciales impuestas por
diversas circunstancias que pueden enfrentar los auditores en el OC, y la
necesidad de que los auditores evalúen su imparcialidad con respecto a un
cliente específico después de considerar las protecciones instauradas para
mitigar o eliminar tales amenazas.
Otra forma de describir las protecciones es por su naturaleza. Los ejemplos
incluyen:
- protecciones preventivas — por ejemplo, un programa de inducción para
auditores contratados recientemente que haga énfasis en la importancia de
la imparcialidad;
- protecciones que se relacionan con amenazas que se originan en
circunstancias específicas - por ejemplo, prohibiciones de algunas relaciones
laborales entre los miembros de la familia del auditor y los clientes del OC, y
- protecciones cuyos efectos son disuadir las violaciones de otras
protecciones castigando a los infractores - por ejemplo, una política de
tolerancia cero que permita a los organismos de acreditación suspender o
retirar inmediatamente la acreditación.
4.5 Una forma alternativa en la cual se pueden describir las protecciones es por
la medida en que éstas restringen las actividades o relaciones que se
consideran amenazas para la imparcialidad del auditor, como prohibir a los
auditores brindar consultoría a los clientes que ellos auditan.
4.6 Al evaluar la imparcialidad de sus auditores un OC debería tomar en
consideración los siguientes aspectos:
- las presiones y otros factores que pueden resultar en, o se espera
razonablemente que resulten, en un comportamiento de auditoria sesgado -
descrito aquí como amenazas a la imparcialidad del auditor;
- los controles que pueden eliminar o reducir los efectos de esas presiones y
otros factores – aquí descritos como protecciones para la imparcialidad del
auditor;
- la importancia de dichas presiones y otros factores y la eficacia de tales
controles; y
- la probabilidad de que las presiones y otros factores, después de considerar
la eficacia de los controles, alcancen un nivel en el que comprometan, o se
pueda esperar razonablemente que comprometan, la capacidad de un
auditor para mantener un comportamiento de auditoría sin sesgo.
5. Evaluación del nivel del riesgo de imparcialidad
Los OC deberían evaluar el nivel del riego de imparcialidad teniendo en cuenta
los tipos y la importancia de las amenazas a la imparcialidad del auditor y los
tipos y eficacia de las protecciones.
Este principio básico describe un proceso mediante el cual los OC deberían
identificar y evaluar el nivel del riesgo de imparcialidad que se origina en
diferentes actividades, relaciones u otras circunstancias.
NOTA 1. El nivel del riesgo de imparcialidad se puede expresar como un punto
en una cadena que va desde “ningún riesgo” hasta “riesgo máximo”. Una forma
de describir estos puntos extremos, los segmentos de la cadena de
imparcialidad que están entre estos puntos extremos y la probabilidad de
comprometer la objetividad que corresponde a los puntos extremos y a los
segmentos es la siguiente:
Tabla 1 — Nivel del riesgo de imparcialidad.
Ningún Riesgo Algún Riesgo Riesgo

riesgo remoto riesgo Alto máximo
El El
El
compromis El El compromis
compromis
o de la compromis compromis o de la
o de la
objetividad o de la o de la objetividad
objetividad
es objetividad objetividad es
es
virtualment es posible es probable virtualment
improbable
e posible e seguro
Probabilidad creciente de comprometer la objetividad 

NOTA 2. Aunque no se puede medir con precisión el nivel de riesgo de cualquier
actividad específica, relación u otra circunstancia que puede imponer una amenaza a
la imparcialidad del auditor, se puede describir como perteneciente a uno de los
segmentos o a uno de los puntos extremos de la cadena del riego de imparcialidad.
6. Determinación de la aceptabilidad del nivel del riesgo de imparcialidad
6.1 Los OC deberían determinar si el nivel del riesgo de imparcialidad está en
una posición aceptable en la cadena del riesgo de imparcialidad. Los OC
también deberían evaluar la aceptabilidad del nivel del riesgo de imparcialidad
que se origina en actividades específicas, relaciones u otras circunstancias.
Esta evaluación requiere que ellos juzguen si las protecciones eliminan o
mitigan adecuadamente las amenazas a la imparcialidad del auditor impuestas
por dichas actividades, relaciones u otras circunstancias. Si no lo hacen, los
OC deberían decidir qué protecciones adicionales (incluyendo la prohibición) o
combinación de protecciones reducirían el riesgo, y la probabilidad
correspondiente de comprometer la objetividad, hasta un nivel aceptable.
6.2 Dados algunos factores en el entorno en el cual tienen lugar las auditorías -
por ejemplo, que el auditor sea pagado por el auditado - el riesgo de
imparcialidad no se puede eliminar totalmente y, por lo tanto, los OC siempre
aceptan algún riesgo de que la objetividad del auditor se vea comprometida. No
obstante, en presencia de amenazas a la imparcialidad del auditor, los OC
únicamente deberían tomar en consideración como aceptable un nivel muy
bajo de riesgo.
Únicamente una probabilidad pequeña de comprometer la objetividad es
coherente tanto con la definición como con la meta de imparcialidad del auditor.
6.3 Algunas amenazas a la imparcialidad del auditor pueden afectar sólo a
algunos individuos o grupos dentro de un OC y la importancia de algunas
amenazas puede ser diferente para individuos o grupos diferentes. Para
garantizar que el riesgo está en un nivel bajo aceptable, es recomendable que
los OC identifiquen a los individuos o grupos afectados por las amenazas a la
imparcialidad así como la importancia de dichas amenazas. Tipos diferentes de
protecciones pueden ser adecuados para individuos o grupos diferentes
dependiendo de sus funciones en la auditoría.
6.4 Los OC deberían garantizar que los beneficios que resultan de la reducción
del riesgo de imparcialidad, imponiendo protecciones adicionales, exceda los
costos de dichas protecciones.
Aunque los beneficios y los costos son a menudo difíciles de cuantificar e
identificar, es conveniente que los OC los tomen en consideración cuando
toman decisiones sobre los aspectos de imparcialidad del auditor.
NOTA. Diversas partes soportan diferentes costos para mantener la imparcialidad del
auditor. Algunos de esos costos se relacionan directamente con el desarrollo,
mantenimiento y cumplimiento de las protecciones, incluyendo el costo de los
controles de calidad del OC relacionados con la imparcialidad y los costos
relacionados con los sistemas de acreditación y autorregulación de la imparcialidad
del auditor. También pueden existir otros costos indirectos del mantenimiento de la
imparcialidad del auditor, algunas veces denominados “costos de segundo orden” o
“consecuencias involuntarias”. Aquellos costos relacionados con las posibles
reducciones en la calidad de la auditoria y con otros resultados negativos pueden
originarse en las protecciones que prohíben o restringen las actividades y relaciones
del auditor. Por ejemplo, las restricciones de las actividades de
consultoría/entrenamiento del auditor pueden reducir el atractivo del OC como
empleador y resultar en reducciones en la calidad de la auditoria. Los costos directos
e indirectos del mantenimiento de la imparcialidad del auditor se pueden ver afectados
por muchas variables, incluyendo el número de individuos en una organización que
estará afectado por una salvaguarda. Debido a que la imparcialidad de los auditores
es importante no sólo por derecho propio, sino que también facilita el aseguramiento
de que se cumplen los intereses amplios del público, los OC deberían considerar los
efectos de segundo orden o consecuencias involuntarias que van más allá del impacto
directo de sus decisiones sobre la imparcialidad de los auditores.
7. Aspectos estructurales y organizacionales
7.1 Además de los aspectos indicados anteriormente, es necesario que la
imparcialidad del auditor tenga protección adicional ubicándola dentro de una
estructura organizacional que garantice la implementación de las protecciones
requeridas. La estructura organizacional debería ser tal que el OC pueda
demostrar su imparcialidad a una tercera parte informada y desinteresada.
7.2 La estructura y la organización seleccionadas por el OC para cumplir estos
objetivos deberían ser transparentes y apoyar el desarrollo y la aplicación de
los procesos necesarios para cumplir dichos objetivos. Se recomienda que
estos procesos incluyan:
- entendimiento de las necesidades y las expectativas de los clientes y otras
partes involucradas;
- establecimiento de la política y los objetivos de la organización;
- determinación de los procesos y las responsabilidades necesarios para
lograr los objetivos;
- determinación y suministro de la infraestructura y los recursos necesarios
para lograr los objetivos;
- establecimiento y aplicación de los métodos para determinar la eficiencia y
eficacia de cada proceso;
- identificación de los conflictos de intereses potenciales tanto de la
organización como del individuo, y los medios para su identificación y
tratamiento;
- determinación de medios para prevenir no conformidades y eliminar sus
causas; y
- establecimiento y aplicación de un proceso para la mejora continua de los
procesos anteriores.
Nota: Aunque las directrices de este documento se presentan con énfasis en los
auditores del OC, se pueden aplicar consideraciones similares (con la debida
adaptación) a los auditores de los organismos de acreditación.

Auditando sistemas de gestión en base electrónica

1. Introducción
La creciente dependencia de las organizaciones en medios electrónicos para la
operación y control de sus sistemas de gestión, requiere que los organismos de
certificación y sus auditores vean nuevos enfoques para asegurar que las
auditorías serán eficaces y eficientes. Ellos necesitarán redefinir el modo como
los procesos y los documentos relacionados (incluyendo los registros) van a ser
evaluados para verificar su conformidad con el criterio de auditoría.
Este documento ha sido desarrollado para dar unas directrices generales para
la realización de auditorías a sistemas de gestión que estén totalmente
basados en sistemas electrónicos o tengan un alto grado de su documentación
en medios electrónicos. También proporciona directrices para los organismos
de certificación y auditores para considerar como un complemento a las
actividades de planificación y preparación normal que pudieran ocurrir antes de
una auditoría.
Este documento se enfoca a aquellos requisitos de la norma ISO 9001 donde
existe la posibilidad de utilizar documentos, registros, etc, electrónicos y
también donde el acceso a esos documentos/registros pudiera estar controlado
por sistemas electrónicos.
Este documento va dirigido a auditores de sistemas de gestión que tienen una
amplia y variada experiencia con respecto a sistemas de gestión en base
electrónica (SGBE) – por ej. sistemas de gestión que son dependientes de
documentos electrónicos, datos y aplicaciones de software para su operación
normal. Sin embargo, está escrito en un estilo que también permitirá ser
utilizado por aquellos que solamente tienen una experiencia limitada en
computadoras y SGBE.
Sin importar si es un organismo de certificación de tercera parte, un organismo
de acreditación o una función de auditoría interna, quién realice la auditoría (“la
organización auditora”) es responsable de asegurar la eficacia del proceso de
auditoría para el SGBE. Este documento utiliza la guía proporcionada en la
norma ISO 19011, y sugiere enfoques que pudieran ser utilizados por auditores
de ISO 9001, y otras normas de sistemas de gestión, con la intención de
verificar la conformidad con la norma referenciada. Los auditores y las
organizaciones auditoras deben hacer los ajustes necesarios para asegurar un
enfoque apropiado a como desarrollan los pasos del proceso de auditoría
indicados en la norma ISO 19011.
Debe resaltarse que la destreza en auditar SGBE (Sistemas de gestión en base
electrónica) no debe verse como una excusa para reducir la duración de la
auditoría, sino como un medio de optimización de la eficacia y eficiencia de la
auditoría.
No se pretende que este documento proporcione directrices para auditar los
controles asociados con la seguridad de la información del SGBE. Aquellos
interesados en otro tipo de controles asociados con la seguridad de la
información se sugiere que se dirijan al documento ISO/IEC 17799 que es una
norma para estos temas.
2. Iniciación y planificación de la auditoría
Durante la fase de iniciación de la auditoría (Auditoría fase 1) la organización
auditora debe determinar la estructura de la organización a ser auditada, y el
grado en que su sistema de gestión está basado electrónicamente. Una
organización multisitio con un SGBE centralizado, o una organización “virtual”,
requerirá diferentes planes de auditoría y métodos que una organización de un
solo sitio y/o una organización física.
La organización auditora y el auditado deben acordar como los auditores
accederán y utilizarán el SGBE.
Esto pudiera involucrar el considerar:
• Permitir que los miembros del equipo auditor tengan oportunidad de
familiarizarse con el SGBE del auditado (incluyendo la programación de
suficiente tiempo dentro del plan de auditoría para esa orientación)
• Políticas del auditado para el uso de la infraestructura de Tecnología de la
información (TI).
• Instrucciones para acceder, y las licencias de seguridad para acceder y los
documentos y registros organizacionales pertinentes
• Los seguros y procesos para asegurar que los auditores protejan la
confidencialidad de los documentos y registros electrónicos durante y
después de la auditoría.
La organización auditora debe asegurar que existe la competencia suficiente
dentro de su equipo auditor seleccionado para realizar una evaluación eficaz
del SGBE.
3. Revisión documental
Dependiendo de si el auditado tiene la habilidad para hacer que su
documentación esté disponible a través de una aplicación basada en red o a
través de transmisión por correo electrónico, la organización auditora pudiera
conducir parte o toda la revisión documental de manera remota; ya sea en línea
o por descarga de la documentación electrónica enviada por correo electrónico.
Dependiendo de los factores técnicos o de seguridad, pudiera no ser factible el
conducir una revisión total del SGBE de la organización en línea o por la
transmisión de documentos relevantes por correo electrónico, antes de llegar al
sitio. En estos casos, sería necesario que las actividades de preparación de la
auditoría que requieran la revisión de documentos electrónicos se realizaran en
las instalaciones del auditado durante la fase 1 de auditoría.
4. Actividades de realización en sitio
El enfoque para los SGBE dependerá ampliamente de hasta donde la
evidencia requerida para determinar la conformidad está en forma de registros
electrónicos.
Durante las actividades de realización en el sitio, la ruta del auditor debe incluir
típicamente la ubicación física del proceso que está auditando. Sin embargo,
con un SGBE el tiempo requerido para confirmar la evidencia para determinar
si se cumplen o no los requisitos, pudiera emplearse en una computadora o
estación de trabajo que pudiera estar o no localizada cerca del proceso en
cuestión.
Cuando las estaciones de trabajo computarizadas están en áreas remotas que
no son accesibles para la ubicación física de operación del proceso, el tiempo
real de auditoría en la ubicación física del proceso pudiera reducirse. Sin
embargo, el tiempo total de evaluación pudiera no necesariamente reducirse
dado que la revisión de la evidencia electrónica pudiera ocurrir antes y/o
después de confirmar la existencia del proceso físico.
En los casos donde la estación de trabajo de la computadora es remoto, se
debe dar una consideración especial al tiempo requerido de traslado hacia y
desde la ubicación física del proceso.
Cuando el proceso es dependiente de la intervención humana, el auditor debe
evaluar los métodos empleados para la interacción entre el proceso físico y el
medio electrónico para asegurar la precisión de la información asociada.
5. Auditando el control de los documentos electrónicos.
Los documentos electrónicos que establecen políticas y procedimientos del
sistema de gestión pueden estar en una gran variedad de formatos
dependiendo de las aplicaciones de software que son utilizados por la
organización para generar los documentos. Los archivos electrónicos pueden
incluir formatos como texto, html, pdf, etc. Las hojas de cálculo y los formatos
de bases de datos son también considerados “documentos” electrónicos y
están sujetos a los elementos de control del sistema de gestión a auditar.
Dada la relativa facilidad con que los usuarios pueden ahora crear hojas de
cálculo electrónicas y otros documentos electrónicos, los auditores deben
asegurar que las políticas que gobiernan los controles que aplican a la
documentación del sistema de gestión, en general también se apliquen a los
documentos electrónicos a través de los procedimientos adecuados.
Las organizaciones necesitan emplear métodos adecuados y eficaces dentro
del ambiente electrónico para asegurar la adecuada revisión, aprobación,
publicación y distribución de la documentación de su sistema de gestión. Estos
deben ser consistentes con los métodos para el desarrollo y modificación de
documentos electrónicos.
En muchos casos las medidas de control de documentos pudieran también ser
características estándar de la aplicación del software usados para su creación.
Por lo tanto los auditores deben entender esos controles de aplicación
específicos al grado de que estos sean utilizados como base para la
conformidad a la norma de sistema de gestión aplicable.
Dado el incremento de capacidad para modificar, actualizar, reformar y de
cierta forma mejorar los documentos dentro de un sistema de gestión
electrónico, los auditores deben poner particular atención en los elementos de
control como la identificación de documentos y el nivel de revisión de los
documentos.
Como el medio electrónico facilita el incremento de modificaciones a
documentos, los auditores deben verificar que los controles empleados para la
gestión de documentos obsoletos sean considerados dentro de las políticas y
procedimientos de control de documentos de la organización.
Los auditores deben verificar que la documentación del SGBE existe para
proporcionar orientación a los usuarios respecto a los aspectos funcionales y
de control asociados a los documentos electrónicos. Adicionalmente, los
requisitos en el “punto de uso” asociados con las normas de sistema de gestión
aplicables, típicamente se cubrirán en parte por las políticas de acceso a
documentos de la organización. Los auditores deben entender las políticas y
procedimientos de la organización que tratan sobre los privilegios de los
usuarios ya que estos son factores importantes para comprender
apropiadamente los procesos de la organización.
La comunicación electrónica externa con proveedores, clientes y otras partes
interesadas pudieran involucrar el intercambio de documentos. Dado que estos
documentos externos pudieran contener parámetros clave que especifican el
funcionamiento de los procesos de la organización, los auditores deben
verificar el grado en que estos documentos son formalmente introducidos y
controlados dentro del sistema de gestión en base electrónica.
6. Auditando el control de los registros electrónicos
Los registros electrónicos consisten en los datos de los resultados de los
procesos combinados con los formatos electrónicos que contienen los datos.
Estos formatos electrónicos van desde una simple hoja electrónica a las
aplicaciones de base de datos más complejas.
Los auditores deben estar concientes de que los elementos de control que
establecen las organizaciones para las formas electrónicas no son
necesariamente los mismos que los que aplican a los registros electrónicos.
Por ejemplo, con respecto a la “Identificación”, en el caso de formas
electrónicas, el término se refiere a la nomenclatura del formato electrónico
mismo. Cuando la “identificación” es considerada en el caso de un registro
electrónico, esta se refiere al uso único del formato electrónico para un grupo
dado de datos.
Los auditores deben revisar los métodos empleados por la organización para la
captura de datos, con la finalidad de asegurar que las actividades de
introducción de datos proporciona la suficiente confianza en su exactitud.
Cuando se evalúa los controles de la organización con respecto al almacenaje
de registros, los auditores deben verificar si las organizaciones tienen un
entendimiento de su capacidad de almacenamiento contra:
• El rango de generación de registros
• Las políticas de retención de registros y tiempos asociados
• El rango de disposición de registros,
ya que estos factores pudieran impactar el funcionamiento apropiado del
SGBE.
Dado que la base de conocimientos y el desempeño de la organización pudiera
estar casi totalmente en registros electrónicos, los auditores deben revisar los
enfoques de la organización para seguridad de la información contenida en
medios electrónicos. Para más información sobre Seguridad de la Información
ver la norma ISO/IEC 17799.
7. Recursos Organizacionales
Conforme las organizaciones emigran al uso de SGBE, el papel de las
funciones de TI (tecnología de la información) se tornan vitales. Los auditores
deben verificar si las organización ha dedicado los recursos de TI apropiados
(incluyendo la infraestructura) para asegurar que el SGBE opera continua y
eficazmente.
Los auditores deben también verificar si la organización tiene definidos
apropiadamente el nivel de interacción, soporte e involucramiento del personal
de TI en aspectos asociados con el establecimiento, documentación,
implementación y mantenimiento del SGBE.
Como parte de la verificación de la asignación de los recursos apropiados, los
auditores deben evaluar como la organización cubre la competencia requerida
del personal para operar el equipo (hardware) y el software para correr el
SGBE.
Durante el establecimiento de un SGBE, es una práctica común que sistemas
paralelos (manuales y electrónicos) estén funcionando por un período de
tiempo que permita a los usuarios su adaptación. En estos casos el auditor
debe verificar los enfoques de la organización para asegurar que el SGBE ha
sido realmente asimilado y utilizado por el personal de la organización.
La complejidad de la infraestructura de TI de las organizaciones variará,
dependiendo de la naturaleza y complejidad de los negocios. Los auditores
deben verificar los procedimientos y políticas de mantenimiento del sistema de
la organización para su plataforma de TI. También, los auditores deben verificar
como la organización cubre los incidentes de paros del sistema, ya que esto
impactará el funcionamiento normal del SGBE. Los auditores deben evaluar si
la organización tiene o no sistemas formales de respaldo, y si éstos se revisan
y prueban periódicamente en su adecuación o no.
En relación al software, los auditores deben verificar los controles establecidos
para el software interno, el software externo, las licencias de software y las
actualizaciones del software. Ya que el software puede ser considerado un
documento electrónico dinámico, las directrices dadas con anterioridad para
auditar los documentos pudieran también ser aplicables a éste.
Dependiendo de que tanto la organización utilice software para su SGBE, los
auditores deben revisar la funcionalidad de las aplicaciones y su relación con
los elementos del sistema de gestión definidos en el criterio aplicable.
Como los factores ambientales pudieran impactar en el funcionamiento de una
plataforma de TI, las organizaciones deben tener medidas para protegerse
contra esos factores. Esto puede variar desde la necesidad de adecuar las
instalaciones hasta la necesidad de tener fuentes ininterrumpibles de energía
(UPS). Los auditores deben evaluar si los controles de la organización toman
en cuenta aspectos como el mantenimiento de instalaciones, temperatura,
humedad, etc, en la medida que estos amenacen la operación del SGBE.
8. Comunicación electrónica interna y externa
Dado que las opciones disponibles y la facilidad de uso en la comunicación
electrónica aumenta, las organizaciones deben asegurar que el sistema de
gestión documentado cubre estos medios, según sea necesario, para asegurar
consistencia en su utilización para satisfacer los requisitos de su SGBE y la
norma de sistema de gestión aplicable.
Cuando se utilizan intranets, e-mails y mensajes instantáneos para satisfacer
los requisitos del SGBE, los auditores deben verificar las políticas y
procedimientos que cubran las circunstancias bajo las cuales estos medios
pudieran se empleados. Adicionalmente, si los resultados de la comunicación
electrónica interna serán utilizados para satisfacer los criterios de auditoría, los
auditores deben verificar que las políticas y procedimientos para el control de
registros se hayan aplicado.
Cuando la organización dependa de su infraestructura de TI para las
comunicaciones electrónicas con sus clientes (por ej. para e-comercio),
proveedores (e-provisión), sitios remotos y otras partes interesadas, el auditor
debe verificar que la metodología, políticas y procedimientos para esas
comunicaciones y transacciones asociadas están formalmente cubiertas dentro
del SGBE.
9. Sistemas de gestión multi-sitios
Las organizaciones que operan a través de múltiples sitios (o desde una central
a ubicaciones satélites) normalmente mantienen comunicaciones y comparten
políticas, procedimientos y datos de procesos entre sus varias ubicaciones via
electrónica, como el Internet, intranets, e-mail y Messenger.
Cuando la plataforma TI y su software de aplicación asociado se utilizan para
compartir información que es pertinente al criterio de auditoría, los auditores
deben entender los diferentes medios de red que se emplean en la
organización en la medida que sea necesario para juzgar si el SGBE cumple
con el criterio de auditoría.
Los auditores deben verificar si los controles sobre un sistema de gestión multi
sitio son cubiertos y establecidos apropiadamente dentro de las políticas y
procedimientos de la organización.
10. Competencia del auditor
La confiabilidad del proceso de auditoría para un SGBE dependerá de la
habilidad de los auditores para entender las tendencias en la Tecnología de la
Información ya que las organizaciones dependen cada vez más del software
para dar seguimiento y controlar sus operaciones.
Las organizaciones auditoras deben tomar las medidas necesarias, incluyendo
la provisión de entrenamiento, para cubrir las necesidades generales e
individuales de su base de auditores con respecto a:
• Tendencias generales en Tecnología de la Información que pudiera impactar
la operación de los sistemas de gestión
• Consideraciones especiales de auditoría para cada asignación de auditoría
tomada.
Como las innovaciones en el sector TI son relativamente rápidas comparadas
con los cambios en los criterios de auditoría, los auditores y las organizaciones
auditoras se ven retadas con la necesidad de tener un entendimiento práctico
de las tendencias asociadas y como ellas pudieran ser aplicables y utilizadas
dentro de un SGBE.
A la luz de las innovaciones que influencian el funcionamiento de un SGBE, las
organizaciones auditoras deben determinar si la experiencia necesaria para ser
eficaces en una auditoría dada, se encuentra en el equipo auditor mismo o
cuándo se requerirá la asistencia de un experto técnico.

Auditando la gestión de los recursos

Los auditores deberían verificar que los recursos necesarios para implementar,
mantener y mejorar el sistema de gestión de la calidad se gestionan
adecuadamente. Esto implica que la organización debe identificar, planificar,
utilizar, poner a disposición, monitorear y cambiar los recursos adecuados
según sea necesario.
Se recomienda que la gestión de los recursos no se audite de forma aislada.
Independientemente de la forma en que la organización esté estructurada e
identifique sus procesos, los auditores deberían poder verificar la gestión
adecuada y eficaz de los recursos para lograr los resultados planificados. Es
importante que los auditores verifiquen si la organización ha evaluado el
desempeño anterior y actual (por ejemplo, usando el análisis costo-beneficio, la
evaluación de riesgo, etc.) al decidir qué recursos se deben asignar.
La gestión de los recursos se puede evaluar mediante entrevistas con la alta
dirección y otro personal responsable para verificar que se han instaurado los
procesos adecuados. Sin embargo, es necesario apoyarse con evidencia
objetiva recolectada durante toda la auditoría.
La evidencia se puede obtener en diferentes etapas de la auditoria - revisando
entradas, desempeño de procesos y resultados. Esto se ha de llevar a cabo al
auditar todos los procesos y la documentación de procesos y sistemas
relacionados tales como:
• compromiso y responsabilidades de la dirección;
• proceso de revisión por la dirección;
• procesos de realización del producto, incluyendo el control de productos no
conformes, acciones correctivas y preventivas y mejora continua.
Los auditores deberían evitar hacer juicios subjetivos sobre la adecuación de
los recursos asignados por la organización y limitar su papel a la evaluación de
la eficacia del proceso de gestión de los recursos.
Los auditores deberían verificar que se suministran y mantienen los recursos
humanos, la infraestructura (energía, agua, mantenimiento de instalaciones y
equipos, comunicaciones, tecnología de la información, etc.) y el ambiente de
trabajo (temperatura, iluminación, vibración, ruido, etc.) de forma coherente con
la política y los objetivos de calidad y que contribuyen al cumplimiento de los
requisitos del producto.
Si se observa que la organización no ha tenido en cuenta la gestión eficaz de
los recursos, lo cual puede ocasionar que un producto no satisfaga los
requisitos relacionados, esto se debería tratar como una no conformidad, cuya
magnitud debería estar relacionada con el riesgo asociado.

Auditando las comunicaciones con el cliente

1. Introducción
Un proceso eficaz de comunicación con el cliente contribuye al éxito del
sistema de gestión de la calidad de cualquier organización y principalmente al
éxito de la organización en sí. Por el contrario, muchos de los problemas que
experimenta una organización con sus clientes tienen su origen en una
comunicación deficiente.
2. Requisitos y Guía
2.1 ISO 9001:2000, cláusula 7.2.3 establece lo siguiente:
“Comunicación con el cliente
La organización debe determinar e implementar las disposiciones eficaces para
comunicarse con el cliente respecto a:
a) información del producto,
b) manejo de solicitudes de información, contratos o pedidos, incluyendo
enmiendas, y
c) retroalimentación del cliente, incluyendo los reclamos del cliente”.
2.2 Se ha publicado un documento del Grupo de Prácticas de Auditoría sobre la
auditoría a los procesos de retroalimentación del cliente y reclamos de los
clientes.
2.3 Otros requisitos de ISO 9001:2000 con relación a la comunicación con el
cliente:
Existen otros requisitos en ISO 9001:2000 en donde se hace referencia directa,
o indirecta, a la comunicación con el cliente.
• La alta dirección debe asegurarse de que los requisitos del cliente están
determinados y se cumplen, con el objeto de mejorar la satisfacción del
cliente (cláusula 5.2)
• La revisión de la organización de los requisitos relacionados con el producto
realizada antes de comprometerse a suministrar un producto al cliente (por
ejemplo, presentación de ofertas, aceptación de contratos o pedidos,
aceptación de cambios en los contratos o los pedidos, etc.); (cláusula 7.2.2).
• Cuando el cliente no proporciona ninguna declaración documentada del
requisito, los requisitos del cliente deben ser confirmados por la
organización antes de la aceptación (cláusula 7.2.2); es necesario que la
organización instaure un sistema para obtener dichos requisitos.
• Autorización del uso de producto no conforme mediante liberación o
aceptación bajo concesión por parte de una autoridad pertinente y, cuando
se aplique, por parte del cliente (cláusula 8.3b)).
2.4 Guía de ISO 9004:2000 (cláusula 7.2):
“Procesos relacionados con las partes interesadas
La dirección debería asegurarse de que la organización ha definido procesos
mutuamente aceptables para comunicarse eficaz y eficientemente con sus clientes y
otras partes interesadas. La organización debería implementar y mantener tales
procesos para garantizar la comprensión adecuada de las necesidades y las
expectativas de sus partes interesadas, y para que se traduzcan en requisitos para la
organización…”
3. Verificación de la eficacia de las comunicaciones con el cliente
La verificación de la eficacia de la comunicación con el cliente es, por lo tanto,
un componente primordial para lograr la satisfacción del cliente. Aunque no
existe un requisito específico en ISO 9001:2000 para un proceso documentado,
dependiendo del tamaño, la complejidad y la cultura de la organización, puede
ser necesario tener uno para garantizar la implementación eficaz del proceso
de comunicación con el cliente.
ISO 9000 define el término “cliente” como el receptor de un producto.
Adicionalmente da ejemplos de clientes, incluyendo al “usuario final”.
Muchas organizaciones venden sus productos / servicios a través de
distribuidores y minoristas y es probable que no reciban pedidos directamente
de los usuarios finales. Es importante para el auditor verificar la manera en que
la organización se comunica con los usuarios finales sobre la calidad de su
producto/servicio y también el mecanismo para obtener retroalimentación
(además de los reclamos) de los usuarios finales. Se debería reconocer que en
ocasiones las necesidades de los distribuidores y minoristas pueden ser
diferentes de aquellas de los usuarios finales.
4. El enfoque del auditor
4.1 La comunicación con el cliente se divide en tres categorías generales:
· Comunicación general de la organización con clientes existentes o
potenciales - como por ejemplo anuncios publicitarios o información de
mercadeo.
· Información específica relacionada con solicitudes de información,
requisitos o pedidos del cliente.
· Comunicación como respuesta a la retroalimentación y los reclamos del
cliente.
4.2 El auditor puede observar algunos o todos los siguientes medios de
comunicación general de la organización con el cliente:
Información del producto, que incluye:
· material publicitario,
· sitios Web,
· catálogos del producto.
Cuando la organización recibe pedidos de los distribuidores y no del usuario
final, el auditor debería establecer que la información del producto disponible
para los usuarios finales (impresos sueltos, folletos, sitios Web, etc.) describe
exacta y adecuadamente al producto/servicio. También el auditor debería tratar
de establecer la forma como se identifican las necesidades del cliente y cómo
se obtienen las especificaciones del producto.
4.3 El auditor verificaría que la información del producto para confirmar que
está disponible con facilidad para los clientes o clientes potenciales y que
suministra información actualizada y exacta. El auditor también podría
preguntar, por ejemplo, qué tan a menudo se revisa el material publicitario, los
sitios Web y los catálogos del producto para que reflejen las ofertas actuales de
producto de la organización y qué medidas se toman si un producto particular
se modifica, descontinúa o ya no está disponible.
4.4 El auditor puede observar algunos o todos de los siguientes medios de
comunicación específica de la organización con el cliente:
Manejo de solicitudes de información, contratos o pedidos, incluyendo
las enmiendas
· cotizaciones
· formularios de pedido
· confirmación de pedido
· enmienda del pedido
· documentación de entrega
· facturas
· notas crédito
· correspondencia general y por correo electrónico
· informes de visitas o notas de/para el cliente
Proceso de gestión de las reclamaciones y la retroalimentación del cliente
· Cartas de respuesta a las reclamaciones
· Reconocimientos
4.5 Existen también casos adicionales en que el auditor experimentará la
comunicación de la organización con el cliente:
· Durante el proceso de pedido cuando el cliente no suministra declaración
documentada de los requisitos, es necesario que la organización tenga
un sistema para obtener o confirmar estos requisitos del cliente antes de
aceptar el pedido.
· Durante el proceso de diseño/desarrollo puede haber considerable
comunicación entre la organización y el cliente.
· Durante el proceso de autorización del uso de producto no conforme
mediante liberación o aceptación según concesión de una autoridad
pertinente y, cuando se aplique, del cliente.
4.6 El auditor utilizaría métodos normales de rastreo para verificar la
conformidad con los requisitos para la comunicación con el cliente indicados en
ISO 9001 y si la organización se comunica eficazmente con el cliente en la
ejecución de la solicitud de información, el contrato o el pedido.

Auditando los procesos de Diseño y Desarrollo

1. Introducción
El objetivo de auditor el proceso de diseño y desarrollo es determinar si se
dirige y controla de modo que los productos puedan cumplir su uso planificado
y requisitos especificados.
Es necesario señalar que para las organizaciones de servicio el enfoque al
diseño y desarrollo puede ser diferente al de las organizaciones de producción
“tradicionales” (vea el documento guía sobre Auditoría de Organizaciones de
Servicio).
Antes de analizar en detalle la forma en que se debe auditar el proceso de
diseño y desarrollo, es esencial que el auditor comprenda lo que significa la
frase “Diseño y Desarrollo”. Por interpretar mal este concepto, muchas
organizaciones han cometido el error de excluir este proceso de su sistema de
gestión de la calidad.
El apartado 7 de la ISO 9001:2000 se refiere solamente al diseño y desarrollo
de productos y servicios. En algunas organizaciones puede ser beneficioso,
aunque no se requiere, aplicar la misma metodología al diseño y desarrollo de
procesos.
El diseño y desarrollo del producto es el conjunto de procesos para transformar
requisitos del producto (por ejemplo, especificaciones, requisitos legales y
requisitos específicos o implícitos) en características especificadas del producto
(“rasgos distintivos del producto”). El apartado 3.4.1 de la ISO 9000:2005 da los
siguientes ejemplos de características del producto:
 físicas (p.e., características mecánicas, eléctricas, químicas o biológicas);
 sensoriales (p.e., relacionadas con el olfato, el tacto, la vista, el oído);
 conductuales (p.e., cortesía, honestidad, veracidad);
 temporales (p.e., puntualidad, fiabilidad, disponibilidad);
 ergonómicas (p.e., característica fisiológica o relacionada con la seguridad
de las personas);
 funcionales (p.e., velocidad máxima de un avión).
Para poder determinar si realmente la organización practica el diseño y
desarrollo, es necesario que el auditor establezca quién es responsable de
definir las características del producto o servicio, así como cuándo y cómo se
hace.
Nota:- Esto se puede aplicar a los cambios en el diseño original o el actual
Generalmente, el proceso de diseño y desarrollo consiste en las etapas que se
muestran en la Figura 1 a continuación. Cada etapa tiene entregas específicas
que cubren aspectos tanto comerciales como técnicos del diseño y desarrollo
de un producto. En algunos casos, quizás las organizaciones puedan justificar
la ausencia en sus SGC de determinados sub-apartados o requisitos
individuales sin que necesariamente excluyan el apartado en su totalidad. Por
ejemplo, es posible que una organización con un diseño de producto
establecido y bien validado desde hace tiempo sólo necesite garantizar que los
cambios en el diseño se controlan en conformidad con los requisitos del
apartado 7.3. El auditor debe verificar que todas las exclusiones sean válidas.
Figura 1 – Diagrama del Proceso de Diseño y Desarrollo
El auditor debe establecer qué proyectos de diseño y desarrollo se han

aplicado y los que se están aplicando, y debe seleccionar un número suficiente
de proyectos para poder auditar todas las etapas del proceso de diseño.
A continuación se incluyen orientaciones para auditar las diversas etapas del
proceso de diseño y desarrollo, pero debemos señalar que quizás no sea
posible auditar todas las etapas de todos los proyectos seleccionados.
2. Auditoría de la necesidad del diseño y desarrollo
La necesidad del diseño y desarrollo se genera a partir de una serie de fuentes,
que incluyen:
• la planificación estratégica de la organización;
• los conocimientos y los estudios de mercado;
• los informes de servicio;
• la retroalimentación del cliente y la demanda;
• requisitos legales y regulatorios tanto nuevos como modificados;
• los cambios del proceso;
• las nuevas tecnologías;
• los proveedores.
El auditor debe evaluar si las organizaciones han realizado y realizan
actividades para revisar dichas necesidades. Aunque no es un requisito de la
norma, resulta útil revisar cómo se toma la decisión de proceder con el diseño y
desarrollo, o sea, saber si se han considerado los riesgos y costos y si se han
consultado todas las funciones pertinentes (internas o externas).
3. Auditoría de la planificación del diseño y desarrollo
Se deben considerar los siguientes aspectos cuando se audita la función de
planificación:
• ¿cómo fluye globalmente el proceso de planificación del diseño?
• ¿cómo está descrito?
• ¿qué recursos y competencias se requieren?
• ¿qué parte del diseño se adquirirá de fuentes externas?
• ¿quién es responsable, y, están definidas las autoridades?
• ¿cómo se identifican y controlan las interfaces (internas y externas)
entre los diversos grupos?
• ¿están definidos los puntos requeridos de verificación, validación y
revisión?
• ¿están identificados los sucesos importantes y los cronogramas
principales?
• ¿se monitorea la implementación y la eficacia del plan?
• ¿está actualizado el plan y se comunica a todas las funciones
pertinentes según resulta necesario?
4. Auditoría de los elementos de entrada del diseño y desarrollo
Al auditar los elementos de entrada del diseño y desarrollo, el auditor debe
comprender cómo la organización identifica sus propios elementos de entrada
en base a:
• los productos y procesos de la organización;
• los aspectos financieros, ambientales, y de salud y seguridad;
• los riesgos e impactos organizativos;
• los requisitos y las expectativas del cliente;
• los requisitos legales y regulatorios aplicables al producto.
El auditor debe evaluar los riesgos, las posibles implicaciones para la
satisfacción del cliente y los aspectos que puedan surgir en la organización si
no se tienen en cuenta algunos elementos de entrada pertinentes.
5. Auditoría del proceso de diseño y desarrollo y revisiones del diseño
El auditor debe verificar que el proceso global de diseño y desarrollo se
controla en conformidad con el plan original de la organización que está
sometido a revisión y que las revisiones del diseño y desarrollo se realizan en
las etapas planificadas apropiadas.
El auditor debe considerar los siguientes aspectos cuando examina el proceso
de revisión:
• ¿se hacen las revisiones en las etapas planificadas en todo el proceso
de diseño?
• ¿se hacen las revisiones de modo sistemático y con representantes de
las funciones involucradas en la(s) etapa(s) que se están revisando?
• ¿se han considerado todos los elementos de entrada, tanto originales
como nuevos?
• ¿todavía influyen los elementos de salida originales o se han identificado
otros modificados?
• ¿se han revisado los elementos de entrada y salida modificados y han
sido aprobados por quienes tienen la responsabilidad y autoridad
pertinentes (incluyendo al cliente si fuese apropiado)?
• ¿el resultado demuestra la idoneidad, adecuación y eficacia del producto
diseñado?
• ¿se están cumpliendo los objetivos pertinentes del diseño?
• ¿existen registros adecuados de las revisiones?
6. Auditoría de los elementos de salida del diseño y desarrollo
Los elementos de entrada del diseño y desarrollo deben satisfacer las
necesidades identificadas para garantizar que el producto resultante pueda
cumplir su uso planificado. Los elementos de entrada pueden incluir
información sobre:
• mercadotecnia, ventas y compras;
• producción;
• aseguramiento de la calidad;
• información para proveer el servicio y mantenimiento del producto tras
su entrega, que se debe hacer de modo que permita realizar las tareas
de verificación y validación.
El auditor debe obtener evidencia de los proyectos seleccionados para
confirmar que:
• se dispone de información sobre la culminación de las etapas de diseño
y desarrollo;
• ha concluido el proceso de diseño y desarrollo para la etapa bajo
revisión;
• se han conformado los elementos de salida del diseño y desarrollo.
7. Auditoría de la verificación del diseño y desarrollo
La verificación del diseño y desarrollo tiene como fin ofrecer seguridad de que
los elementos de salida de una actividad de diseño y desarrollo cumplen los
requisitos de los elementos de entrada para esa actividad, como se muestra en
la Figura 2 a continuación.
Figura 2
La verificación puede incluir actividades tales como:

• realizar cálculos adicionales;
• comparar una nueva especificación de diseño con otra similar ya
probada;
• hacer demostraciones que incluyan prototipos, simulaciones o ensayos;
y
• revisar los documentos antes de su emisión.
El auditor debe determinar que las actividades de verificación del diseño y
desarrollo ofrecen confianza en que:
• las verificaciones requeridas están planificadas y la verificación se
realiza como es debido durante el proceso de diseño y desarrollo;
• el diseño o desarrollo completado es aceptable y sus resultados están
en conformidad con los requisitos iniciales y son trazables a los mismos;
• el diseño o desarrollo completado es el resultado de la implementación
de una secuencia adecuada de eventos, elementos de entrada,
elementos de salida, interfaces, flujo lógico, asignación de tiempo, etc.;
• el diseño o desarrollo ofrece seguridad, protección y conformidad con
otros requisitos y elementos de entrada del diseño;
• se dispone de evidencia para demostrar que los resultados de la
verificación y de toda otra acción se han registrado y confirmado al
terminar las acciones.
El auditor debe determinar que solamente los elementos de salida del diseño y
desarrollo que se han verificado pasen a la siguiente etapa, según resulte
apropiado.
8. Auditoría de la validación del diseño y desarrollo
La validación del diseño y desarrollo es la confirmación mediante examen y la
presentación de evidencia de que se han cumplido los requisitos particulares
para el uso planificado específico. En otras palabras, ¿es capaz el proceso de
validación de comprobar que el producto y/o servicio final satisfará o satisface
las necesidades del cliente durante su uso?
Se deben especificar métodos de validación como parte del proceso de
planificación del diseño y desarrollo, aunque se puedan modificar durante la
realización de dicho proceso.
La validación es un proceso relativamente sencillo para muchos productos y/o
servicios. Un ejemplo podría ser un nuevo diseño de mobiliario de oficina, que
se podría validar mediante el ensayo de prototipos y luego de muestras
iniciales del producto terminado.
Sin embargo, en muchas otras situaciones será más complicada la validación
del diseño. Por ejemplo, puede que los productos o componentes utilizados en
los sistemas eléctricos o electrónicos tengan que cumplir varios requisitos de
desempeño establecidos por otras organizaciones de diseño de sistemas. En
tal caso la validación solo se puede hacer cuando se obtienen datos sobre el
desempeño de los productos o componentes (preferiblemente resultados de
ensayo formales) de dichas organizaciones o de los usuarios de los productos
o componentes en cuestión.
Otro ejemplo de situación difícil es cuando la validación del diseño es realizada
por el cliente o alguna otra organización externa (por ejemplo, para confirmar
diseños de arquitectura e ingeniería).
En tales situaciones complejas, la organización necesitará llegar a un acuerdo
con las partes externas pertinentes en cuanto a cómo se realizará la validación
y se comunicarán y compartirán los resultados. En este caso se debe
incorporar una medida en la planificación del diseño y desarrollo de la
organización para completar la validación del diseño de esta manera.
El auditor debe garantizar que:
• existan registros para conformar que se realizaron las validaciones;
• la validación se haya realizado de acuerdo con las medidas planificadas
a tal efecto;
• la validación indique que el producto resultante puede cumplir los
requisitos de la especificación;
• si resulta práctico, la validación se haya realizado antes de la entrega o
implementación; y que
• existan registros de todas las acciones necesarias para corregir la no
conformidad con los elementos de entrada del diseño y desarrollo y las
razones de tales desviaciones.
Si la validación no se puede hacer antes de la entrega o implementación, el
auditor debe garantizar que estas actividades se realicen cuanto antes, por
ejemplo, cuando se comisiona una planta o una fábrica compleja, y que así se
le comunique al cliente. El auditor debe determinar que solamente los
elementos de salida del diseño y desarrollo que se han validado lleguen a
manos del cliente.
9. Auditoría de los cambios al diseño y desarrollo
Es necesario controlar los cambios realizados al diseño y desarrollo durante el
proceso de diseño. El auditor debe tener en cuenta lo siguiente:
• ¿se han identificado y comunicado debidamente las fuentes y solicitudes
del cambio?
• ¿se ha evaluado el impacto de dicho cambio?
• ¿se hace alguna prueba o ensayo adicional del diseño en los casos
apropiados?
• ¿se han evaluado los efectos de los cambios al producto ya entregado o
a sus partes constituyentes?
• ¿se ha dado la aprobación adecuada antes de realizar el cambio (esto
puede incluir una aprobación legal o regulatoria o una aprobación del
cliente)?
• ¿se han documentado totalmente los cambios y se ha incluido
información en los registros sobre toda acción necesaria adicional?

Código de ética y conducta del auditor
1. Introducción
No hay dudas de que por lo general se considera que los Auditores están en
una posición muy poderosa y privilegiada.
Este documento ofrece orientaciones sobre los puntos que es necesario
recordar, pues si los pasamos por alto podrían influir negativamente en la
conducta y el comportamiento ético de un auditor. Este documento es de
interés para los auditores sobre todo cuando un código de conducta no se ha
especificado en los términos y las condiciones del contrato con un empleador.
También incluye un Código de Etica típico.
2. Declaración General
Al promover los elevados parámetros de conducta ética, el auditor deberá:
1) actuar exclusivamente en el mejor interés de la organización empleadora y
sus clientes durante el cumplimiento de sus deberes;
2) comportarse profesionalmente, con honestidad, exactitud, justeza y
responsabilidad;
3) no tergiversar sus calificaciones, competencia o experiencia, ni asumir
tareas fuera del alcance de sus capacidades;
4) tratar de forma confidencial y privada toda la información obtenida con
respecto a las actividades de acreditación identificadas en la organización y
la certificación de organizaciones o individuos específicos, a menos que el
cliente de la organización (si procede) lo autorice por escrito a divulgar
dicha información, y
- no hablará de dicha información con nadie excepto con quien necesite
conocerla con fines legítimos de los procesos de acreditación, registro o
certificación;
- no revelará ningún detalle de los hallazgos de la auditoría, ni durante ni
después del proceso de auditoría;
5) tratar de forma confidencial y privada toda la información obtenida con
respecto a cualquiera de las actividades de las entidades anteriormente
mencionadas cuando dicha información contenga, entre otros:
- algún dispositivo, gráfico, material escrito u otro dato en forma tangible o
intangible, claramente identificado como “confidencial”, relacionado con las
actividades de la organización;
- algún dispositivo, gráfico, material escrito u otro dato en forma tangible o
intangible que se pueda identificar como privado por la naturaleza de su
contenido y/o contexto;
6) tratar de forma confidencial y privada toda la información que se pueda
considerar “confidencial” cuando a partir de un juicio prudente la
organización pueda determinar que dicha información es privada y
confidencial para la organización y reconozca que la organización puede
recibir información que no está claramente identificada como confidencial
pero puede percibirse como tal;
7) no comunicar intencionalmente información falsa o engañosa que pueda
poner en peligro la integridad de los procesos de acreditación, registro y
certificación o las decisiones pertinentes a los mismos;
8) ser capaces de actuar profesionalmente bajo presión adversa por parte del
empleador y de las organizaciones auditadas.
3. Ejemplo de un Código de Etica típico
Para mantener y fomentar el honor, la dignidad y la integridad de la profesión
de evaluación de la conformidad, y a tono con los elevados parámetros de una
conducta ética, admito que:
a) Aspectos generales
1) Seré honesto e imparcial, y serviré con devoción a mi empleador, mis
clientes, el público, y mi organización identificada.
2) Me esforzaré para incrementar la competencia y el prestigio de la
profesión de auditoría.
3) Utilizaré mis conocimientos y habilidades para fomentar el bienestar
humano y promover la seguridad y fiabilidad de los productos y servicios
de uso público.
4) Me empeñaré al máximo para ayudar al trabajo de mi organización.
b) Relaciones con el Público
5) Me empeñaré al máximo para extender con empuje y dinamismo el
conocimiento público sobre el trabajo de cada organización y de sus
miembros que tenga relación con el bienestar público.
6) Seré digno y modesto al explicar mi labor y mis méritos.
7) Iniciaré toda declaración pública que yo pueda emitir con indicaciones
claras sobre la entidad en cuyo nombre se realiza.
c) Relaciones con la Organización, el Empleador y los Clientes
8) Actuaré como fideicomisario para cada organización, empleador y/o
cliente.
9) Informaré a cada organización, empleador o cliente sobre toda relación,
interés o afiliación comercial que pueda influir en mis apreciaciones o
afectar el carácter igualitario de mis servicios.
10) No revelaré información relativa a los asuntos comerciales o procesos
técnicos confidenciales de toda organización, empleador o cliente
presente o pasado sin su consentimiento adecuado.
11) No aceptaré compensación de más de una parte por el mismo servicio sin
el permiso de todas las partes. Si estoy empleado, solamente me
dedicaré a un empleo o práctica de consultoría adicional con el permiso
de mi empleador.
d) Relaciones con los pares (si procede)
12) Velaré por que el mérito del trabajo de otros sea de quien lo merece.
13) Me esforzaré para ayudar al desarrollo y la promoción profesional de mis
empleados o de quienes se encuentran bajo mi supervisión.
14) No competiré injustamente con otros; extenderé mi amistad y confianza a
todos los asociados y a aquellos con quienes tengo relaciones de trabajo.
15) Respetaré la opinión de mis pares y trataré de garantizar que en el
equipo de auditoría prevalezcan la honestidad y la transparencia.
16) Reaccionaré abierta y profesionalmente en caso de un comportamiento
no ético por parte de mis pares.

Guía sobre los aspectos culturales de la auditoria
1. Introducción
Durante su carrera, podría requerirse que el auditor trabaje en organizaciones
con culturas “corporativas” internas totalmente diferentes, así como en diversas
culturas étnicas, sociales, económicas, políticas o religiosas.
Es importante que el auditor se sensibilice con estos aspectos culturales para
evitar posibles conflictos, pero que a la vez permanezca imparcial al realizar la
auditoria y cumplir sus objetivos.
Es necesario también que el auditor se exprese en términos comprensibles,
sobre todo cuando el idioma desempeña una función importante. Es preciso
recordar que el auditor es responsable de ajustarse a las habilidades
idiomáticas del auditado y que la ausencia de dichas habilidades no debe
constituir un prejuicio que afecte el resultado de la auditoría. Además, puede
haber diferentes aspectos culturales y lingüísticos en partes independientes de
una organización, por ejemplo, en corporaciones multinacionales.
Guía
Aspectos culturales que se tendrán en cuenta durante todas las etapas de la
auditoría.
1) Planificación de la auditoría
a. El mejor lugar para comenzar a considerar los posibles aspectos
culturales de la auditoría es durante las etapas de planificación. Este
proceso puede incluir:
i. Selección del equipo auditor (características personales,
incluyendo género, aptitudes idiomáticas, habilidades sociales,
conflictos culturales potenciales).
ii. Programación de la auditoría (con respecto al horario de
trabajo típico, tradiciones, días feriados, horario de comida, horario de
actividades religiosas, etc., siempre que sea posible).
iii. Considerar la necesidad de traducción independiente y de
asignar tiempo adicional.
iv. Poner al equipo auditor al tanto de toda área de sensibilidad
cultural potencial.
b. Siempre que sea posible, es conveniente utilizar auditores
familiarizados con los idiomas y las costumbres locales. Por otra parte,
puede resultar apropiado buscar orientaciones antes de realizar la
auditoría.
c. Se debe evaluar todo aspecto cultural importante durante la Auditoría de
Etapa 1 y puede ser conveniente hacer modificaciones antes de la
Auditoría de Etapa 2 y las subsiguientes.
2) Cultura “corporativa” interna

Todas las organizaciones son diferentes, y no hay una cultura corporativa
“patrón”. La cultura interna puede ser independiente de la cultura externa
donde existe la organización. Hay que tener en cuenta muchos aspectos. A
continuación se mencionan algunos ejemplos.
a) Grado de formalidad / Código de vestir
El auditor puede ponerse en una desventaja psicológica si se viste de manera
demasiado informal, por lo que la mayor parte de los órganos de certificación
aplican códigos de vestir para enfrentar este aspecto. Sin embargo, algo que a
menudo se pasa por alto y es igualmente importante, es la posibilidad de que el
auditor se vista con “demasiada elegancia” y por tanto corra el riesgo de
sentirse incómodo o de inhibir al auditado y afectar el resultado de la auditoría.
Un consejo útil para cuando el auditor se prepara para una auditoría es
“vestirse como los directores de la organización”. Conducir una auditoría en
una granja de un país tropical requiere un código de vestir totalmente diferente
al de una auditoría en un banco de inversiones de una capital financiera
importante con un clima frío. Las visitas pre-auditoría, las auditorías de Etapa 1
y un sentido común elemental son herramientas útiles para determinar el estilo
de vestir adecuado.
b) Jerarquía organizativa
Es importante recordar que formal no necesariamente significa bueno e
informal no necesariamente significa malo. Algunas de las organizaciones
mejor administradas son muy informales en su estilo de dirección y, en
particular, en sus interacciones y comunicaciones jerárquicas.
Es preciso que el auditor se sensibilice con los protocolos organizativos en lo
relativo a las jerarquías, pero no debe dudar en comunicarse directamente con
la persona que realmente realiza el trabajo. Se debe evitar a toda costa la
tendencia a “hablar sólo con el director”, aunque puede ser necesario dedicar
algún tiempo adicional a reunirse con él frente a frente para evitar situaciones
embarazosas.
c) Enfoque a los hallazgos negativos de la auditoría
Es importante documentar adecuadamente todas y cada una de las no
conformidades identificadas durante la auditoría y presentarlas a la
organización (vea también la guía de APG sobre “Documentación de una no
conformidad”). Algunas culturas organizativas son muy sensibles a los informes
sobre no conformidades y adoptan posiciones defensivas, y en algunas
situaciones la dirección puede tratar de culpar a las “personas responsables”.
Esto puede aumentar las tensiones durante la auditoría, pero no debe disuadir
al auditor de sacar a relucir dichas no conformidades. No obstante, puede
resultar apropiado hacer mayor énfasis en el hecho de que la auditoría está
destinada a verificar el sistema y no a los individuos, lo cual se debe haber
mencionado ya durante la reunión de apertura.
3. Cultura externa (local o regional)

No es realista ofrecer orientaciones detalladas sobre todas las situaciones
culturales que el auditor puede tener necesidad de abordar. Sin embargo,
siempre serán útiles algunas orientaciones básicas, entre las que se pueden
incluir, por ejemplo:
• Idioma
• Hábitos de alimentación
• Desigualdades sociales
• Susceptibilidad de géneros
• Estilo de vestir
• Lenguaje corporal
• Amor propio y orgullo nacional (y en particular la actitud al recibir no
conformidades)
• Creencias religiosas y fechas de los festivales o días festivos religiosos más
importantes
• Costumbres locales
• Cuestiones políticas sensibles
En general, la regla de oro para el auditor es nunca involucrarse en debates
religiosos o políticos, pero estar al tanto de estos y de otros aspectos culturales
potenciales antes de la auditoría puede ayudar a evitar situaciones
embarazosas o conflictivas en el futuro.
El auditor siempre debe tratar de adaptarse a la cultura local, pero al hacerlo
debe garantizar que no se afecten la objetividad y el resultado de la auditoría.

¡El resultado es importante!

1. Introducción
El Grupo Asesor ISO 9000 (compuesto por representantes del ISO/TC 176,
ISO/CASCO, ISO/COPOLCO, IPC e IAF) presentó recientemente una serie de
recomendaciones para abordar las crecientes preocupaciones de que las
organizaciones certificadas no están haciendo productos consistentes y
conformes con los requisitos del cliente (ref. apartado 1.1 de la ISO
9001:2000).
El siguiente documento de Jack West, publicado por primera vez en el número

de julio de 2006 de la revisa Quality Digest, aborda este tópico e insiste en el
tema “¡El resultado es importante!”
A pesar de que es importante la conformidad con requisitos individuales de la

ISO 9001:2000 tales como el control de los documentos, el control de los
registros, la competencia del personal y la calibración de los equipos de
medición, no deben ser el centro de atención de un sistema de gestión de la
calidad, sino considerarse como una vía para lograr el resultado deseado, que
es un producto consistente y conforme.
2. El documento de Jack West
A menudo se dice que una organización puede tener un buen sistema de

gestión de la calidad (SGC) conforme con la ISO 9001 y aún así producir
“basura”. Esta observación parte de la distinción perfectamente válida entre el
registro de tercera parte de un SGC y la certificación de productos. La
certificación de un SGC no constituye una garantía absoluta de que el producto
de la organización certificada estará en conformidad con los requisitos. Sin
embargo, la ISO 9001 contiene muchos requisitos que, de conjunto, deben
proveer una garantía razonable de que el resultado de un sistema cumplirá los
requisitos del cliente. La ISO 9001 requiere que la política de la calidad de una
organización incluya los compromisos de cumplir los requisitos y mejorar
continuamente su SGC. La norma requiere que se validen los diseños del
producto para garantizar que cumplan los requisitos para determinadas
aplicaciones. La ISO 9001 también requiere que se verifique el producto para
garantizar que cumple requisitos. La identificación y el cumplimiento de los
requisitos del cliente es un aspecto consistente en toda la ISO 9001. Por
ejemplo, uno de los resultados esperados de una revisión por la Dirección es
una decisión sobre el producto que no cumpla los requisitos del cliente.
Apartados de la ISO 9001 que Demuestran que el Resultado es Importante
1.1 "Alcance" "Esta Norma Internacional especifica requisitos para un sistema de
gestión de la calidad en los casos en que una organización
a) necesita demostrar su capacidad de proveer recursos de forma
consistente que cumplan los requisitos del cliente y otros requisitos
regulatorios aplicables, y
b) desee aumentar la satisfacción del cliente a través de la aplicación
eficaz del sistema, incluyendo los procesos para la mejora continua
del sistema y el aseguramiento de la conformidad con los requisitos
del cliente y otros requisitos regulatorios aplicables."
5.2 "Enfoque al "La alta dirección garantizará que se determinen y se cumplan los
cliente" requisitos del cliente con el fin de aumentar la satisfacción del cliente
(vea 7.2.1 y 8.2.1)."
5.3 "Política de la "La alta dirección garantizará que la política de la calidad …
calidad" b) incluya un compromiso de cumplir los requisitos y mejorar
continuamente la eficacia del sistema de gestión de la calidad …"
5.6.3 "Resultado de "El resultado de la revisión por la Dirección incluirá todas las decisiones y
la revisión" acciones relacionadas con
b) la mejora del producto con respecto a los requisitos del cliente …"
6.1 "Provisión de "La organización determinará y proveerá los recursos necesarios
recursos" b) para aumentar la satisfacción del cliente mediante la satisfacción de
sus requisitos."
7.2.1 "La organización determinará
"Determinación de a) los requisitos especificados por el cliente, incluyendo los requisitos
requisitos relativos de entrega y de las actividades de postventa,
al producto"
b) los requisitos no declarados por el cliente pero necesarios para el
uso especificado o planificado, en caso de que se conozca,
c) los requisitos legales y regulatorios relacionados con el producto, y
d) todo requisito adicional determinado por la organización."
7.3.2 "Elementos "Se determinarán los elementos de entrada relacionados con los
de entrada del requisitos del producto y se mantendrán registros (vea 4.2.4). Estos
Diseño y elementos de entrada incluirán
Desarrollo" a) requisitos funcionales y de desempeño…"
7.3.6 "Validación "La validación del diseño y desarrollo se realizará de acuerdo con las
del Diseño y medidas planificadas (vea 7.3.1) para garantizar que el producto
Desarrollo" resultante pueda cumplir los requisitos para su aplicación especificada o
uso planificado, en caso de que se conozca…"
8.2.1 "Satisfacción "Como una de las medidas del desempeño del SGC, la organización
del cliente" monitoreará la información relacionada con la percepción del cliente en
cuanto a si la organización ha cumplido los requisitos del cliente…"
8.2.4 "Monitoreo y "La organización monitoreará y medirá las características del producto
medición del para verificar que se han cumplido los requisitos del producto…"
producto"
Material tomado de la ISO 9001:2000, utilizado con autorización de la ISO
Es preciso que no sigamos perpetuando el mito de que las organizaciones

pueden realmente estar en conformidad con la ISO 9001 y aún así elaborar
productos que no cumplen los requisitos del cliente. Tanto las organizaciones
registradas con la ISO 9001 como los auditores tienden a concentrarse en la
conformidad con los detalles de la ISO 9001 y a menudo pierden de vista los
requisitos básicos. ¡Nunca pierda de vista al producto! La afirmación de que
una organización está en conformidad con la ISO 9001 debe significar para sus
clientes que puede proveer de forma consistente un producto que cumple los
requisitos del cliente.
Debemos asegurar que nuestros sistemas entreguen productos conformes a
nuestros clientes. La norma lo requiere, y la credibilidad del registro a la ISO
9001 lo exige. Lo que importa para nuestros clientes es el resultado de nuestro
SGC.
Nota: Este artículo resume varios conceptos importantes relacionados con la ISO 9001:2000
que se explican con más detalle en: ISO 9001:2000 Explained, Second Edition por Charles A.
Cianfrani, Joseph J. Tsiakals y John E. (Jack) West (ASQ Quality Press,2001).
Sobre el autor
John E. (Jack) West es un consultor, asesor de negocios y autor con más de 30 años
de experiencia en una amplia gama de industrias.


Guias de Las Buenas Practicas de Auditorias

Загружено:

Сведения о документе

Исходное описание:

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Guias de Las Buenas Practicas de Auditorias

Загружено:

Авторское право:

Доступные форматы

GUIAS DE BUENAS PRÁCTICAS DE AUDITORIA

Agradecemos todo comentario o sugerencia de parte de los lectores sobre la necesidad de

Otros documentos guías de apoyo para consulta:

1. La necesidad de un enfoque de dos etapas para la auditoria

Identificación de los procesos como se pretende en la norma ISO

Para obtener información general, el auditor debe encontrar quién es el responsable

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: http://www.iaf.nu/ y

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

Auditando los requisitos “cuando sea aplicable”

La necesidad de la experiencia para hacer un juicio en un aspecto técnico

Demostrando conformidad con la norma

Cuando se evalúa la conformidad con la norma, las listas de verificación

Registrando la información de la auditoría

La norma ISO 19011 y la directriz de la IAF sobre la aplicación de la Guía 62

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

Vinculando la auditoría a un asunto particular, actividad

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: http://www.iaf.nu/ y

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

Auditando la mejora continua

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: http://www.iaf.nu/ y

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

Como auditar los procesos de alta dirección

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: http://www.iaf.nu/ y

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

El papel y valor de las listas de verificación para auditoría

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: http://www.iaf.nu/ y

El alcance de la norma ISO 9001:2000, Alcance del sistema de gestión de la

La norma ISO 9001:2000 en la cláusula 1 “Alcance”, define el alcance de la

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: http://www.iaf.nu/ y

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

Zona 1: (Baja madurez de la “cultura de calidad”; no conforme con la norma ISO

Zona 1: (Baja madurez de la “cultura de calidad”; no conforme con la norma ISO

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: http://www.iaf.nu/ y

AUDITANDO LA COMPETENCIA DEL PERSONAL

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: http://www.iaf.nu/ y

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

Auditando los requisitos reglamentarios

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: http://www.iaf.nu/ y

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

Auditando la política y los objetivos de la calidad

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: http://www.iaf.nu/ y

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

Auditando el control de los dispositivos de seguimiento y

La información siguiente se provee como guía para auditar los procesos

Cuando se auditan los procesos de seguimiento y medición, es importante para

Mientras "equipo de medición" se define en ISO 9000 cláusula 3.10.4 como

Por ejemplo, en algunas industrias, un manómetro puede usarse:

En aquellos casos donde la organización hace uso de equipos de medición,

Los auditores deben confirmar que, además de proporcionar los registros de

De lo dicho anteriormente se desprende que la organización debe ser capaz de

Explicaciones adicionales y ejemplos se brindan en el Manual de la ISO: ISO

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: http://www.iaf.nu/ y

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

Uso eficaz de la norma ISO 19011

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)

Auditando los procesos de retroalimentación del cliente

3) ¿Que debe ser cubierto cuando se audita los procesos de retroalimentación

Traducción libre de NC. No oficial -Documentos oficiales disponibles en: http://www.iaf.nu/ y

Documentando una no conformidad

El enfoque de cualquier auditoría a un sistema de gestión consiste en

(RETORNAR AL ÍNDICE DE GUÍAS DE BUENAS PRÁCTICAS DE AUDITORIA)