Después de mucho esfuerzo, tenemos la nueva norma de auditorías internas ISO 19011:2018 compatible con las versiones que se han adaptado al anexo SL (Alto nivel), entre ellas la norma ISO 9001:2015 (calidad), ISO 14001:2015 (ambiental), ISO 45001:2018 (seguridad y salud en el trabajo), ISO 27001:2013 (seguridad de la información), ISO 55001:2014 (gestión de activos), ISO 50001 (gestión de la energía), ISO 20000-1:2018 (servicios de tecnología y comunicación), ISO 37001:2016 (antisoborno) e ISO 22000:2018 (alimentos).
Uno de los principales cambios en las nuevas versiones es la disminución de los documentos obligatorios, estos se identifican ahora con la denominación “mantener información documentada”. Pero este hecho trae consigo un reto importante para los auditores internos: auditar teniendo como guía únicamente el modelo de gestión y no un manual, procedimiento o instructivo (que ya no son obligatorios). Las empresas pueden contar con estos documentos y la auditoría se haría de manera tradicional, pero ¿cómo auditar cuando la organización ha decidido no tener estos documentos?
Vamos a encaminarnos a responder esta pregunta apoyados en la nueva versión y en nuestra experiencia como auditores internos. En primer lugar, la norma ISO 19011:2018 plantea un nuevo concepto, en el numeral 6.4.7 Recopilación y verificación de información, denominado “juicio profesional”:
con una ampliación del concepto en el anexo A3, así:
En segundo lugar, el juicio profesional recae en la competencia del auditor. Su Educación, formación o experiencia, combinados con los 9 principios de la auditoría: Integridad, presentación imparcial, debido cuidado profesional, confidencialidad, independencia, enfoque basado en la evidencia y enfoque basado en riesgos. Deben permitir al auditor tomar una decisión sobre la conformidad o no conformidad de lo que esté auditando.
El anexo plantea que el buen juicio profesional de auditor interno, con lleva éste que no debería concentrarse en la literalidad de los requisitos sino en la intención de los mismos.
Cada modelo tiene su intención que debe ser el norte de la toma de la decisión:
- ISO 9001:2015 (satisfacción del cliente),
- ISO 14001:2015 (controlar los impactos ambientales),
- ISO 45001:2018 (Mejor salud y propender por menos accidentes de los trabajadores),
- ISO 27001:2013 (Minimización de incidentes a la seguridad de la información),
- ISO 55001:2014 (correcto ciclo de vida del activo),
- ISO 50001 (mejorar el consumo, uso y eficiencia energética),
- ISO 20000-1:2018 (prestar un servicio según los Acuerdos de Servicio),
- ISO 37001:2016 (evitar la corrupción),
- ISO 22000:2018 (garantizar la inocuidad de los alimentos).
Planteamos el siguiente mecanismo para realizar una auditoría, en la que no se cuenta con manuales, procedimientos o instructivos, en cuatro pasos:
- Solicitar al auditado cómo han definido las actividades para cumplir un requisito. Esta información debe ser registrada por el auditor.
- Confirmación de la información suministrada. Consiste en contrastar diferentes opiniones sobre el mismo requisito, observar la infraestructura física o de software en el caso de que sea pertinente, analizar información que tenga que ver de manera indirecta con el tema auditado. Otra información no documentada tiene que ver con la configuración, el ordenamiento espacial de la organización en los casos que amerite.
- Tomar una decisión sobre la no conformidad o no conformidad. Decidir teniendo en cuenta la intención de cada modelo. No al perfeccionismo.
- En caso de no conformidad, documentar el hallazgo.
Conozca un poco más de los modelos que se han acogido al anexo SL
ISO 9001:2015 Gestión de calidad
ISO 14001:2015 Gestión ambiental
ISO 45001:2018 Seguridad y salud en el trabajo
ISO 27001:2013 Seguridad de la información
ISO 50001:2018 Gestión de la energía
ISO 37001:2016 Gestión antisoborno
ISO 22000:2018 Gestión Inocuidad