Auditoría interna en función del riesgo
Todas las normas ISO se basan en el enfoque PHVA (Planificar > Hacer > Verificar > Actuar).
¿Qué son las auditorías internas?
Las auditorías internas forman parte del elemento "verificar" de este enfoque, ya que se utilizan para comprobar el rendimiento de los procesos planificados. Basándose en el resultado de estas auditorías, la organización puede decidir, con conocimiento de causa, la mejor manera de "actuar" para garantizar el rendimiento, el cumplimiento, la mitigación de riesgos y la mejora.
La definición de una auditoría es: "Proceso sistemático, independiente y documentado para obtener pruebas de auditoría y evaluarlas objetivamente para determinar el grado de cumplimiento de los criterios de auditoría". Una auditoría interna es una auditoría que usted mismo lleva a cabo en su propia organización para ver dónde hay que mejorar. También se conocen como auditorías de primera parte.
Las auditorías internas deben ser realizadas por una persona capacitada, competente e imparcial, que no tenga prejuicios con respecto al proceso o procesos auditados. Esto garantizará que el resultado de la auditoría no se vea afectado por ninguna influencia negativa.
Así que, ahora que sabemos qué es una auditoría interna y quién debe realizarla, ¿cuándo se debe llevar a cabo una auditoría interna y cuál debe ser su alcance?
¿Por qué son importantes las auditorías internas?
Como se ha dicho anteriormente, las auditorías internas son una de las herramientas más útiles de la organización a la hora de supervisar el rendimiento, así que no las complete sólo para dar a su auditor algo que leer en la próxima auditoría externa.
La mayoría de las normas ISO establecen que las auditorías internas deben realizarse a "intervalos planificados". Esto significa que usted decide cuándo es mejor realizarlas. No significa que tengan que hacerse cada mes o cada año, sino cuando resulten más útiles para su organización. Así que no se limite a auditar todo anualmente sin una buena razón.
Sin embargo, esto no significa que no tenga que realizar auditorías internas con regularidad.
La renovada familia de normas ISO se basa en el riesgo. Esto significa que ciertos procesos, o ciertas actividades, que la organización realiza ofrecerán un riesgo potencial más alto que otros. El riesgo al que se hace referencia aquí puede ser un riesgo para la reputación de su organización. Puede estar relacionado con la seguridad. Puede estar relacionado con la satisfacción del cliente o con el rendimiento de los procesos clave.
El riesgo puede estar relacionado con actividades puntuales, como la instalación de nuevas instalaciones o equipos. El traslado de la empresa a una nueva ubicación. La introducción de un nuevo proveedor o subcontratista. O problemas de rendimiento medidos que podrían estar vinculados a eventos específicos, por ejemplo, BREXIT, Covid, accidentes, fugas, etc.
Impulsar la mejora continua
Sobre la base de estos riesgos conocidos, es usted quien debe decidir qué auditar y cuándo. Por ejemplo, si está introduciendo una nueva planta, puede decidir auditar su rendimiento durante los primeros meses de funcionamiento. Esto podría ser para asegurar que está funcionando como la organización había planeado y que está siendo mantenido adecuadamente.
Una auditoría interna eficaz dará a la organización la seguridad de que su inversión en la nueva planta se está realizando y de que está funcionando como se necesita y se espera. También puede poner de manifiesto si el personal que maneja y mantiene el equipo ha recibido la formación adecuada y es plenamente competente.
La auditoría permitiría identificar las posibles deficiencias, que pueden abordarse mediante acciones correctivas o de mejora. En este caso, las justificaciones de la auditoría son claras.
Otro ejemplo podría ser una tendencia negativa que se mide dentro de un proceso determinado. Si un KPI identifica que el rendimiento está disminuyendo, una auditoría interna es una herramienta útil para profundizar en lo que podría estar causando la disminución. Una vez más, los resultados de esta auditoría podrían utilizarse para identificar las deficiencias y permitirle tomar medidas correctivas o de mejora.
Otro ejemplo podría ser después de un accidente, un incidente o una no conformidad. Una vez que se hayan tomado medidas para resolver el problema inicial, podrían realizarse auditorías internas periódicas para evaluar la eficacia continua de estos procesos y determinar si otras medidas podrían beneficiar a la organización.
Encuentre el equilibrio
Así que no se limite a completar las auditorías de forma robótica, cubriendo los mismos procesos, en el mismo momento del año. Piense en lo que necesita auditar y cuándo, y recuerde también que su calendario de auditorías internas es suyo. Puede reorganizar sus auditorías según sus necesidades y utilizarlas de la forma que más le beneficie. Pero, cuando las haya completado, debe asegurarse de auditar lo que tenía previsto auditar.
Los resultados de todas las auditorías, tanto internas como de otro tipo, deben formar parte de la revisión por la dirección. Esta información resultará muy útil para la alta dirección a la hora de tomar las medidas adecuadas que redunden en beneficio de la organización.
Autor - Andrew Bradshaw, Auditor de NQA