Generación de Hallazgos de la Auditoría.
La evidencia de la auditoría debería evaluarse frente a los criterios de auditoría para determinar los hallazgos de la auditoría. Los hallazgos de la auditoría pueden indicar conformidad o no conformidad con los criterios de auditoría. Cuando lo especifique el plan de auditoría, los hallazgos de una auditoría individual deberían incluir la conformidad y las buenas prácticas junto con la evidencia que los apoya, las oportunidades de mejora y cualquier recomendación para el auditado.
La parte más trascendente del informe de auditoría está constituida por los hallazgos.
Un hallazgo de auditoria es cualquier evento, registro, documento, declaración en definitiva cualquier cosa que aparece durante la auditoría y que servirá para evaluar si se cumple o no se cumple lo que se está auditando.
¿Qué es hallazgo?
Es una narración explicativa y lógica de los hechos detectados en el examen de auditoría, referente a deficiencias, desviaciones, irregularidades, errores, debilidades, fortalezas y/o necesidades de cambio.
Es toda información que a juicio del auditor le permite identificar hechos o circunstancias importantes que inciden en la gestión de una entidad o programa bajo examen y que merecen ser comunicados en el informe.
Es el resultado de la comparación que se realiza entre un criterio y la situación actual encontrada, durante el examen a una entidad, área o proceso.
Tipos de Hallazgos.
- No conformidad: Incumplimiento de un requisito especificado.
- Observación: Situación que potencialmente puede afectar el sistema de gestión.
Niveles de hallazgos de auditoría interna.
Una forma para definir los niveles de hallazgos de auditoría interna es utilizar un enfoque basado en el riesgo. Esto ha ganado impulso en años recientes porque elimina parcialmente las conjeturas o sesgos asociados con la experiencia del auditor.
Aunque el enfoque basado en el riesgo es más detallado, aún requiere capacitación y experiencia del auditor. En última instancia, es el auditor quien decidirá el nivel de gravedad asociado con el hallazgo en la auditoría.
No obstante, el enfoque basado en el riesgo proporciona mayor transparencia al proceso, ya que se basa en el esquema de impacto y probabilidad de ocurrencia. Con este enfoque, un auditor puede identificar dos niveles de hallazgos en una auditoría interna:
Mayor.
Una no conformidad mayor ocurre cuando hay una falla significativa en uno o más procesos del Sistema de Gestión, o cuando no se siguen las políticas y controles establecidos. Este tipo de hallazgo podría tener un impacto negativo o causar problemas para obtener o mantener la certificación del Sistema.
Este nivel de no conformidad requiere acciones correctivas inmediatas, ya que representa un riesgo potencial grave. Si no se aborda adecuadamente, podría convertirse en una no conformidad crítica.
Menor.
Una no conformidad menor ocurre cuando se identifican faltas que no tienen un impacto inmediato en el sistema de gestión. Este tipo de hallazgo puede tratarse de una oportunidad de mejora, y aunque no representa un riesgo inmediato, si no se toman las acciones correctivas necesarias, podría convertirse en una no conformidad mayor en el futuro.
El enfoque basado en el riesgo permite al auditor priorizar los hallazgos según su gravedad y frecuencia de ocurrencia, ayudando a determinar si es necesaria una acción correctiva o simplemente una recomendación para mejora.
Incumplimientos más comunes.
- Documentación no encontrada
- Competencias de recurso humano no evaluada
- Controles implementados inadecuados
- No conformidades por auditorías internas sin cierre eficaz
- Acciones correctivas sin revisión de la dirección
- Deficiencia en metodología de análisis de riesgo
- Incumplimiento de procedimientos
No Conformidad.
Incumplimiento de un requisito:
- Evidencia de diferencias entre los procedimientos y/o los criterios de auditoría.
- Evidencia de diferencias entre procedimientos y prácticas operativas.
- Falta de evidencia de soporte de la implementación de los requisitos de la norma.
- Falta de evidencia para demostrar continuidad en la implementación de los procesos del sistema.
“Tratamiento de la NC”.
Una No Conformidad es un incumplimiento de un requisito del sistema, sea este especificado o no. Se conoce como requisito una necesidad o expectativa establecida, generalmente explícita u obligatoria.
Una no conformidad es una situación en la que aparece un fallo o un error en una empresa debido a que no se han ejecutado bien los procesos que se han establecido. Por tanto cualquier error o fallo interno en una organización se puede considerar, a priori, una no conformidad
CLASIFICACIÓN DE NO CONFORMIDADES.
NO CONFORMIDAD MAYOR.
NO CONFORMIDAD MENOR.
¿Cómo se trata una no conformidad?.
Pasos a seguir:
Determinar una acción de contención o de acción inmediata.
Detener la No Conformidad.
Detectar cuál es la causa raíz que generó la No Conformidad.
Establecer las acciones correctivas.
Determinar las actividades que prevengan la recurrencia de la No Conformidad
La redacción de no conformidades es una parte muy importante dentro del proceso de auditoría.
¿Qué debe hacer el auditor?.
- Conocer y manejar con exactitud los criterios de auditoría.
- Estar bien seguro de los hechos.
- Identificar la naturaleza de la no conformidad.
Cuáles van a ser los objetivos que vamos a conseguir si aplicamos estas pautas:
En primer lugar que el auditado entienda de manera inequívoca la magnitud y la gravedad de la incidencia, que pueda dar una prioridad y agilizar la resolución a cada NC.
En segundo lugar que el auditor pueda categorizar las NC para garantizar un correcto juicio de las mismas.
Y por último garantizar un correcto seguimiento de las NC.
Una no conformidad se debe dividir en cuatro grandes bloques para su redacción:
MAGNITUD / DESCRIPCIÓN / REFERENCIA / EVIDENCIA OBJETIVA.
MAGNITUD:
Va a ser la dimensión o tamaño del incumplimiento detectado y lo vamos a diferenciar según sea:
A) Hecho casual, puntual o si por lo contrario es generalizado o sistemático, para lo que podremos usar las siguientes inicios de frase:
- En todos los casos se detecta …
- En la mayoría de los casos se detecta…
- Con carácter general …
- En algún caso…
- En “x” casos de “y” casos examinados se detecta…
- En el caso…
- En el proceso…
- En el proyecto…
B) Ausencia, incumplimiento total o parcial de un requisito, en este caso te propongo los siguientes ejemplos:
- El sistema de gestión no contempla la aplicación del punto tal de la norma cual sobre el tratamiento del producto no conforme.
- El procedimiento de mantenimiento implantado no se ha tenido en cuenta los equipos de la zona de semiprocesados.
DESCRIPCIÓN:
Donde redactaremos que es lo que realmente no se cumple, momento que tendremos en cuenta que debe ser: Legible, evitando las faltas de ortografía, usar una la misma terminología usada en las normas de referencia.
Claridad y concreción: El contenido de la no conformidad debe ser inequívoco y no dar lugar a posibles interpretaciones semánticas. Del mismo modo debe aportar una idea correcta de la situación para que alguien ajeno a la redacción pueda tomar decisiones al respecto. Debe evitarse una redacción reiterativa y con expresiones que dificulten su comprensión.
Te propongo unos ejemplos que debes evitar:
- Hay o habría que…
- Se debe o debería…
- Considero adecuado o no considero correcto…
- No está suficientemente documentado…
- Se considera insuficiente…
Utiliza estructuras definidas y objetivas tales como
BIEN: no se presenta evidencia objetiva de… MAL : no se ha podido verificar…
BIEN: en los registros analizados… MAL : en ningún registro…
BIEN: no se ha aportado… MAL : no disponen de…
EVIDENCIAS:
Es la prueba objetiva que sustenta la descripción anterior, lugar exacto donde has detectado la NC. En la medida de lo posible las evidencias deben venir respaldadas por:
- Identificación de los registros.
- Identificación de los equipos.
- Identificación de los documentos del sistema, etc.
REFERENCIA:
Donde debes dejar claro si la NC se trata de un incumplimiento de un requisito concreto de la norma de referencia que estás auditando o un incumplimiento de un requisito establecido en la documentación de la empresa.
Ejemplos:
Magnitud: En todos los casos analizados (proyecto X, Y, Z e W) se detecta……
Magnitud: En 5 de las 9 ocasiones en las que se ha superado los valores límite de los indicadores……
Descripción: ….que no se ha llevado a cabo la inspección de los trabajos realizados…
Descripción: ….no se han establecido acciones correctivas……
Evidencia: ….. en las obras de excavación…
Evidencia: ….ejemplo en el indicador de plazos de entrega e indicador de devoluciones……
Referencia: según el procedimiento X del sistema
Referencia: según establece el punto 9.2 de la norma.
Redacción de las No Conformidades.
- La Evidencia: Lista de hallazgos, respaldados con evidencias objetivas o atestiguadas por el auditado
- La Referencia: Al requisito de la norma y/o manual o procedimiento. Un requisito a la vez, el que más aplica
- La Conclusión: Genérica, breve, precisa y aceptada por el auditado
- No Conformidad: Incumplimiento a un requisito de la Norma auditada.
- Observación: Hallazgo detectado en Auditoría que podría generar una no conformidad si no es tratado
- Oportunidad de Mejora: Son situaciones que no representan incumplimiento, pero pueden ser revisadas por la organización, cuando lo estime conveniente para mejorar la eficacia del proceso
¿Cómo redactamos?
El enunciado de la no conformidad debe:
- Ser autoexplicado y relacionado a la parte correspondiente del sistema.
- No ser ambiguo, lingüísticamente correcto y lo más conciso posible.
- No ser una repetición de la evidencia de la auditoría o utilizando en lugar de la evidencia de auditoría.
Pautas para redactar una no conformidad eficaz.
Es importante tener en cuenta el propósito con el que se elabora una no conformidad. Más allá de cumplir con el requisito de la norma, redactar una no conformidad permite al auditado tomar medidas para corregir la falla y eliminar la causa.
Para lograr el objetivo es preciso seguir algunas pautas:
Describir el problema con detalles: para que el auditado pueda investigar por qué se está presentando la no conformidad debe conocer con todos los detalles la forma en que se detectó el problema.
Mencionar el requisito: es necesario asegurar que la persona que abordará el problema comprenda cuál es el requisito de ISO que se está incumpliendo.
Incluir evidencia de auditoría: es necesario incluir la o las evidencias de auditoría que comprueban la existencia de la no conformidad. La evidencia es, para el auditado, el punto de partida de la investigación que lo llevará a descubrir la causa raíz del problema.
Cualquier información adicional que el auditor considere importante será bienvenida a la hora de redactar una no conformidad encontrada en una auditoría de la norma ISO.
¿Qué no debemos mencionar a la hora de redactar una no conformidad?:
Adjudicar culpas o responsabilidades.
Determinar soluciones.
Aunque no existe un formato de uso obligatorio para redactar una no conformidad, existe un modelo que garantiza el cumplimiento de las pautas que hemos mencionado. Este modelo se conoce como “debería ser / como se encontró”.
Debería ser: es una declaración de lo que se esperaba encontrar en el proceso. Si no es posible escribir una declaración “debería ser” con respecto a un proceso, es poco probable que realmente estemos frente a una no conformidad.
Como se encontró: en esta parte declaramos el hallazgo que no cumple con el requisito/planificación, registrando así mismo la evidencia y toda la información pertinente que apoye la existencia de la no conformidad.
Recomendaciones para Redactar correctamente las No conformidades de Auditorías.
- Evitar Palabras Imprecisas.
- Evitar Nombres de Empleados.
- Evitar Doble Requisito.
Recomendaciones para redactar no conformidades.
Reporte debe contener como mínimo:
- Una visión general del hallazgo
- Descripción completa y precisa de lo observado
- Ejemplos de la evidencia de auditoría
- Referencia a la cláusula del estándar/documento de la organización
- Explicación de los requisitos de la cláusula/documento
- Las discrepancias deben atribuirse solamente a una cláusula de la norma, la más aplicable
- En ocasiones, la única referencia es la documentación de la organización