Auditando la acción preventiva

Transcripción

1 International Organization for Standardization International Accreditation Forum Auditando la acción preventiva 1) Introdución La cláusula de la norma ISO 9000:2000 define la acción preventiva como acción tomada para eliminar la causa de una no conformidad potencial u otra situación potencialmente indeseable. Esto puede ser considerado como una acción tomada para prevenir que suceda una no conformidad. Sin embargo, si no existe una no conformidad con que empezar, y si la acción preventiva es eficaz, el status quo se mantiene. Esto presenta la dificultad de auditar un proceso del que el resultado deseado es mantener el status quo. Frecuentemente existe confusión sobre las diferencias entre los términos corrección, acción correctiva y acción preventiva (refiérase a la ISO 9000:2000 para las definiciones), y también en relación a las actividades de la organización con respecto a cada una de ellas. Auditar los procesos de corrección y acción correctiva de una organización es relativamente simple, porque los resultados y eficacia de estos procesos están normalmente bien definidos (i.e. si la organización ya ha identificado una no conformidad, es relativamente simple para un auditor evaluar el proceso que la organización usó, o está planeando usar, para corregirla, y si será eficaz o no para evitar que la no conformidad vuelva a ocurrir); sin embargo, auditar los procesos de acción preventiva, es frecuentemente más complejo. 2) Directriz de auditoría 2.1) La ISO 9001:2000 requiere que la organización tenga un procedimiento documentado para la acción preventiva. Nota: La combinación de los procedimientos documentados de acción correctiva y acción preventiva en un solo documento del SGC es aceptable, pero no es recomendado. Si están combinados, entonces es importante que el auditor verifique que la organización entienda claramente la diferencia entre las intenciones de la acción correctiva y de la acción preventiva. 2.2) La norma requiere que este procedimiento documentado incluya:

2 a) Cómo la organización determina las no conformidades potenciales y sus causas. Ejemplos típicos incluyen: Análisis de tendencias de los procesos y características del producto (resultado del proceso de análisis de datos). Un empeoramiento de la tendencia podría indicar que si no se toma una acción, la no conformidad podría ocurrir Alarmas para dar un aviso anticipado de una operación fuera de control que se aproxima Seguimiento a la percepción del cliente, con sistemas de retroalimentación tanto formales como informales Análisis de tendencias en capacidad de proceso, utilizando técnicas estadísticas Continuos análisis de modo de falla y efecto para procesos y productos (este es un requisito de la TS 16949, para la industria automotriz, por ejemplo) Evaluación de no conformidades que hayan ocurrido en circunstancias similares pero para otros productos, procesos, otras partes de la organización o hasta en otras organizaciones. A través de actividades planificadas tanto para situaciones predecibles (por ejemplo expansiones, mantenimiento, cambios de personal vea también la norma ISO 9001 en la cláusula 5.4.2b) como para situaciones no predecibles (como problemas naturales que ocurren como huracanes, terremotos, inundaciones, etc.) La cláusula 8.5.3, de la norma ISO 9004:2000 Prevención de pérdidas, da otros ejemplos. (Nota: esta directriz de la norma ISO 9004 no es mandataria). b) Una evaluación de la necesidad de una acción preventiva. Los métodos usados en la evaluación pueden incluir: el enfoque de análisis de riesgos El análisis de falla de modo y efecto mencionado en (a) anteriormente. (Nota: Ninguno de estos enfoques o metodologías son requisitos de la norma ISO 9001:2000.) c) Cómo la organización determina qué acción es requerida, y cómo es implementada. El auditor debe buscar evidencia de que: la organización ha analizado la causa de no conformidades potenciales. (el uso de diagramas de causa y efecto así como otras herramientas de calidad pueden ser apropiadas para esto). Las acciones requeridas son desplegadas en todas las partes relevantes de la organización y en el tiempo adecuado

3 Hay definiciones claras de las responsabilidades para la identificación, evaluación, implementación y revisión de las acciones preventivas d) Registros de los resultados de las acciones Qué registros se mantienen? Son apropiados y dan un reflejo verídico de los resultados? Han sido controlados de acuerdo con la cláusula de la norma ISO 9001:2000? e) Una revisión de las acciones preventivas tomadas Las acciones fueron eficaces (se previno que la no conformidad vuelva a ocurrir y hubo algún beneficio adicional)? Hay la necesidad de continuar con las acciones preventivas del modo como están? deberían cambiarse, o es necesario planificar nuevas acciones? 2.3) Frecuentemente hay discusiones filosóficas significantes entre el auditor y la organización acerca de dónde termina la acción correctiva y donde inicia la acción preventiva. Por ejemplo, si una no conformidad es detectada en el proceso A, las acciones tomadas para prevenir futuras no conformidades en los procesos B, C y D son acciones preventivas, o simplemente están dentro del alcance de las acciones correctivas tomadas para el proceso A?. El auditor debe evitar tomar parte en estas discusiones y concentrarse en si las acciones fueron o no eficaces. El etiquetado de las acciones tomadas es de importancia secundaria!!!

4 International Organization for Standardization International Accreditation Forum El alcance de la norma ISO 9001:2000, Alcance del Sistema de Gestión de la Calidad (SGC) y el Alcance de la certificación La norma ISO 9001:2000 en la cláusula 1 Alcance, define el alcance de la norma misma. Esto no debe ser confundido con el alcance del SGC, que es un término comúnmente utilizado para describir los procesos, productos (y / o servicios), y las instalaciones, departamentos, divisiones, etc., de la organización a los cuales la organización aplica un SGC formal. (Nota, este no necesariamente incluye todos los procesos, productos, instalaciones, departamentos, o divisiones, etc., de la organización). El alcance del SGC debe estar basado en la naturaleza de los productos de la organización y sus procesos de realización, el resultado de una evaluación de riesgo, consideraciones comerciales, y requisitos contractuales y reglamentarios. Aunque la norma ISO 9001:2000 es genérica, y aplicable a todas las organizaciones (sin importar el tipo, tamaño y categoría de producto), bajo ciertas circunstancias, una organización pudiera excluir el cumplimiento con algunos requisitos específicos de la norma ISO 9001:2000 (de la cláusula 7), y le es permitido declarar conformidad con la norma. Esto es porque se ha reconocido que no todos los requisitos en esta cláusula de la norma son relevantes para todas las organizaciones. La misma norma ISO 9001:2000 permite estas exclusiones a través de la cláusula 1.2 Aplicación. Consecuentemente, el alcance de la certificación abarca el alcance del SGC, así como cualquier requisito de la norma ISO 9001 excluido según lo descrito. Ya que los términos alcance del SGC y alcance de la certificación frecuentemente se usan indistintamente, esto puede llevar a una confusión cuando un cliente o usuario final está tratando de identificar qué partes de una organización ha sido certificada en ISO 9001, qué líneas de productos o

5 procesos están cubiertos por el SGC, o qué requisitos de la norma ISO 9001 han sido excluidos. Para disipar ese tipo de confusión y para permitir la identificación de que ha sido certificado, el alcance de la certificación debe claramente definir: el alcance del SGC (incluyendo detalles de las líneas de producto y sus instalaciones, departamentos, divisiones, etc., relacionados que están cubiertos por el SGC). los principales procesos de la organización para la realización del producto o actividades de prestación del servicio (como diseño, manufactura y entrega), para las líneas de producto que están cubiertas. cualquier requisito de la norma ISO 9001 que haya sido excluido. (Debe resaltarse que el alcance de la certificación no es lo mismo que el certificado que se otorga a la organización después de haber demostrado exitosamente su conformidad con la norma ISO El certificado normalmente incluirá una descripción sintetizada del alcance de la certificación, pero no los detalles de los requisitos de la 9001 que hayan sido excluidos; sin embargo, este pudiera incluir una nota para referir al hecho de que las exclusiones están detalladas en el manual de calidad de la organización.) Es esencial que la organización haga un borrador de la declaración del alcance de la certificación antes de solicitar la certificación. Este debe entonces ser analizado por el Cuerpo de Certificación durante la etapa 1 de la auditoría para planificar apropiadamente la etapa 2 de la auditoría. (Referirse al documento La necesidad de un enfoque de dos etapas para la auditoría ) Es responsabilidad del auditor: asegurar que la declaración final del alcance de certificación no esté engañoso; verificar que el alcance solo se refiere a los procesos, productos, instalaciones, departamentos, o divisiones, etc. de la organización que fueron evaluados durante la auditoría de certificación; y verificar que este enfoque define cualquier exclusión de los requisitos de la norma ISO 9001, y que la justificación a esas exclusiones se proporciona y es razonable. Como una medida adicional para combatir la confusión potencial entre los clientes y usuarios finales, el alcance de la certificación debe estar claramente definido en el Manual de la Calidad de la organización y cualquier documento de disponibilidad pública (esto incluye, por ejemplo el material promocional y de mercadeo). El alcance de la certificación nunca debe incluir declaraciones promocionales.

6 El ISO/TC 176/SC 2 ha desarrollado el documento N524 El paquete de introducción y soporte ISO 9000: Directrices sobre la subcláusula 1.2 Aplicación de la norma ISO 9001:2000 para proporcionar a los usuarios la información sobre la intención de la cláusula 1.2 Aplicación de la norma ISO 9001:2000, incluyendo algunos ejemplos típicos de su uso en situaciones prácticas. (El documento N524 está disponible para descargarse sin cargos en la dirección Adicionalmente, la IAF ha publicado sus Directrices IAF sobre la aplicación de la norma ISO 9001:2000, versión 2, que también debe servir de referencia.

7 International Organization for Standardization International Accreditation Forum Cómo auditar los procesos de alta dirección Al reconocer que auditar a la alta dirección pudiera ser un punto sensitivo, este documento proporciona la directriz para esta categoría de auditoría. Los auditores deben involucrar a la alta dirección en la auditoría, por ejemplo, invitarlos a la reunión de apertura y cierre, permitir suficiente tiempo en el plan de auditoría para entrevistar a la alta dirección, discutir los hallazgos directamente con ellos, buscar evidencia de compromiso. Es importante cambiar el enfoque de atención de sólo al gerente de calidad, hacia la alta dirección de la organización. Los auditores deben considerar las actividades de la alta dirección como procesos y deben auditarlas como tales. Fase de planificación El auditor necesita identificar los procesos de alta dirección y a) entender a la organización y su estructura organizacional revisando información como los organigramas, reportes anuales, planes de negocios, perfiles de la compañía, documentos editados, páginas electrónicas, b) hacer una provisión en el plan de auditoría para entrevistar a la alta dirección con la finalidad de recolectar información relevante sobre su compromiso con el SGC, c) entender la cultura de la organización y su alta dirección para poder determinar su impacto en el plan de auditoría y hacer los ajustes apropiados. d) tomar un enfoque profesional en su propia apariencia, determinando el código de vestimenta de la organización, e) planear el tiempo para la entrevista con la alta dirección para asegurar la conveniencia y la puntualidad. Un auditor con experiencia limitada en auditoría no debería ser asignado para entrevistar a la alta dirección. Conduciendo la auditoría Algunos métodos comunes para evaluar el compromiso de la alta dirección son:

8 1. Entrevistas con la alta dirección Utilizando la terminología de negocio apropiada para la alta dirección, el auditor puede hacer preguntas relevantes que a) busquen obtener evidencia de la conciencia de la alta dirección y su compromiso hacia la calidad y su relevancia hacia los objetivos generales de la organización y el sistema de gestión, b) establezcan evidencia de conformidad a los requisitos de la norma ISO 9001 sobre la responsabilidad de la dirección. 2. Recolección y corroboración de evidencia El equipo auditor debe estar constantemente buscando oportunidades de corroborar las respuestas recibidas de la alta dirección cuando se le entrevistó. Esto incluye: a) disponibilidad y relevancia de políticas y objetivos b) el establecimiento de ligas entre las políticas y los objetivos c) obtención de evidencia de que esas políticas y objetivos son eficaces y están entendidos a través de toda la organización d) asegurar que las políticas y objetivos son apropiados para la mejora continua del sistema de gestión de la calidad y asegurar la satisfacción del cliente. e) determinar si la alta dirección está involucrada en las revisiones por la dirección. Pudiera necesitarse entrevistas y recolección de evidencia adicionales para proporcionar la corroboración necesaria. El equipo auditor debe asegurar que cualquier evidencia adicional del compromiso de la alta dirección se recolecta. El equipo auditor debe revisar la evidencia recolectada, para asegurar que la información sea completa y precisa para proporcionar confianza al escribir la conclusión. Reporte de auditoría Los auditores deben preparar sus reportes de auditoría de manera que los hagan apropiados para la presentación a la alta dirección de las organizaciones. Pudiera ser adecuado presentar un resumen ejecutivo del reporte de auditoría, apropiado para la presentación a la alta dirección y las partes interesadas clave de la organización. El resumen ejecutivo debe sobresaltar los hallazgos clave, tanto positivos como negativos e identificar las oportunidades de mejora.

9 International Organization for Standardization International Accreditation Forum Introducción Date: 8 December 2006 Directriz en aspectos culturales en la auditoría Durante el curso de su carrera, los auditores pudieran ser requeridos para auditar organizaciones con una amplia diferencia en sus culturas corporativas internas, y varias culturas étnicas, sociales, económicas, políticas o religiosas. Es importante para los auditores ser sensibles a estos aspectos culturales con el fin de evitar posibles conflictos, pero al mismo tiempo mantener la imparcialidad al realizar la auditoría y lograr los objetivos de la auditoría. Los auditores también necesitan ser capaces de expresarse en términos que sean entendidos, especialmente donde el lenguaje es uno de los aspectos. Es importante recordar que es responsabilidad del auditor ajustarse a las habilidades de lenguaje del auditado y que la falta de habilidades de lenguaje del auditado no debe ser perjudicial para el resultado de la auditoría. También, pudiera haber diferentes aspectos culturales y de lenguaje en partes separadas de una organización, por ejemplo en las corporaciones multinacionales. Directiz Los aspectos culturales necesitan ser considerados durante todas las fases de la auditoría. 1) Planificación de la auditoría a. El mejor lugar para empezar a considerar posibles aspectos culturales en la auditoría es durante la fase de planificación. Esto pudiera incluir: i. La selección del equipo de auditoría (características personales incluyendo el género; habilidades de lenguaje; habilidades sociales; conflictos culturales potenciales). ii. Calendario de auditoría (el respeto al horario de trabajo típico, tradiciones, días festivos, horarios de comida, horarios de oración, etc. siempre que sea posible). iii. Considerar la necesidad de traducción independiente y considerar el tiempo extra necesario. iv. Hacer conciencia en el equipo auditor de cualquier área potencial con una sensibilidad cultural. b. Cuando sea posible, es deseable utilizar auditores que estén familiarizados con el lenguaje y costumbres locales. Alternativamente, pudiera ser apropiado buscar una directriz/consejo antes de conducir la auditoría. 1 of 3

10 c. Cualquier aspecto cultural significante debe ser evaluado durante la auditoría en su primera etapa (ver documento sobre auditoría en 2 etapas) y pudiera ser apropiado el hacer modificaciones antes de la auditoría en segunda etapa y auditorías subsecuentes. 2) Cultura interna corporativa Todas las organizaciones son diferentes y no existe una cultura corporativa estándar. La cultura interna pudiera ser independiente de la cultura externa en la que la organización existe. Existen muchos aspectos que necesitan ser considerados. Los siguientes son algunos ejemplos. a) Grado de formalidad / Código de vestido Los auditores pudieran ser puestos en una desventaja psicológica si el o ella están vestidos muy informal, y muchos cuerpos de certificación tienen códigos de vestido para cubrir esto. Igualmente importante, sin embargo, y muchas veces no considerado, es la posibilidad de que los auditores estén sobre vestidos, corriendo el riesgo de no sentirse cómodos, o inhibiendo al auditado afectando el resultado de la auditoría. Un tip útil cuando se prepare la auditoría es vestir como los directores de la organización. Auditar una granja en un país tropical requiere un código de vestido totalmente diferente que auditar un banco en una capital financiera en un clima frío. Las visitas de pre auditoría, auditorías en fase 1 y el sentido común son herramientas útiles para determinar el estilo de vestimenta apropiado. b) Jerarquía organizacional Es importante reconocer que formal no necesariamente significa bien y que informal no necesariamente significa mal. Algunas de las organizaciones exitosas son muy informales en su estilo gerencial y, en particular, sus interacciones jerárquicas y comunicaciones. Los auditores necesitan ser sensitivos al protocolo organizacional con respecto a las jerarquías organizacionales, pero no deben inhibirse para comunicarse directamente con la persona que realiza el trabajo. La tendencia a solo hablar con el gerente debe evitarse a toda costa, aunque pudiera ser necesario dar al gerente algún tiempo extra cara a cara, para evitar situaciones embarazosas. c) Enfoque hacia los hallazgos de auditoría negativos Es importante para todas las no conformidades identificadas durante la auditoría que sean documentadas y presentadas de manera apropiada a la organización (ver el documento guía Documentando una no conformidad ). Algunas culturas organizacionales son muy sensibles y defensivos a los reportes de no conformidad, y en algunas situaciones, la Dirección busca culpar a la persona responsable. Esto puede generar una tensión durante la auditoría, pero no debe detener a los auditores de levantar no conformidades. Pudiera sin embargo, ser apropiado el reenfatizar el hecho de que la auditoría va dirigida a verificar el Sistema y no a los individuos, esto debió haberse mencionado durante la reunión de apertura. 2 of 3

11 3. Cultura Externa (local o regional). No es realista proporcionar una directriz detallada de todas las situaciones culturales que los auditores pudieran enfrentar, sin embargo una directriz básica siempre es útil. Esta pudiera incluir por ejemplo: Lenguaje Hábitos de comida y bebida Inequidades sociales Sensibilidad de género Estilo de vestimenta Lenguaje corporal Auto respeto y orgullo nacional (y en particular la actitud hacia recibir no conformidades) Creencias religiosas, fechas y festividades religiosas Costumbres locales Aspectos políticos sensibles En general, la regla dorada para los auditores es nunca verse involucrados en discusiones religiosas o políticas, pero estar atento a éstas y a otros aspectos culturales antes de la auditoría puede ayudar a prevenir situaciones penosas o de conflicto a mayor escala. Los auditores deben siempre tratar de acomodarse a la cultura local, pero al hacerlo, deben asegurarse de que esto no afecta la objetividad de la auditoría ni sus resultados. 3 of 3

12 International Organization for Standardization International Accreditation Forum Auditando los requisitos reglamentarios La norma ISO 9001:2000 requiere que la organización identifique y controle los requisitos reglamentarios aplicables a sus productos (incluyendo servicios). Es opción de la organización cómo hacer esto dentro de su SGC. La organización debe demostrar que los requisitos reglamentarios aplicables a sus productos y servicios han sido propiamente identificados, están disponibles y son de fácil recopilación. Los auditores necesitan estar concientes de los requisitos reglamentarios generales y específicos aplicables a los productos / servicios incluidos en el alcance del SGC. Durante la fase de preparación de la auditoría, el equipo auditor debe obtener información relevante de fuentes internas o externas sobre estos requisitos reglamentarios. Esto los habilitará para poder hacer un juicio sobre la adecuación del SGC en el cumplimiento de estos requisitos. Estos requisitos necesitan ser identificados e integrados en las actividades de gestión de recursos y realización del producto. Durante la fase de auditoría, el equipo auditor debe: Asegurarse que la organización tiene una metodología establecida para la identificación y actualización de los requisitos reglamentarios aplicables. Asegurarse que estos requisitos reglamentarios son utilizados como entradas de proceso cuando se da seguimiento a las salidas de los procesos para ver su cumplimiento. Asegurarse que cualquier declaración de cumplimiento a normas, requisitos regulatorios, etc. está demostrada apropiadamente por la organización. si se encuentra evidencia, durante la auditoría, de que una información específica sobre requisitos reglamentarios no fue tomada en cuenta, los auditores deben levantar una no conformidad. Los auditores también deben levantar una no conformidad si se identifica directamente un incumplimiento con estos requisitos. Los auditores deben evitar hacer declaraciones acerca de qué requisitos reglamentarios son aplicables a los productos o servicios de la organización, o sobre los métodos de cumplimiento, para prevenir posibles responsabilidades legales. Se pueden levantar no conformidades solamente en el caso de identificar deficiencias en el sistema o violaciones directas con respecto a requisitos reglamentarios aplicables a los productos o servicios de la organización. Sin embargo, si se detecta de manera incidental durante la auditoría una no conformidad con otro tipo de requisitos reglamentarios (por ejemplo de salud e

13 higiene ocupacional, ambiental, etc.), este hecho no puede ser ignorado por el equipo auditor. Esto debe ser reportado sin demora al auditado y, si es requerido, al cliente de la auditoría.

14 International Organization for Standardization International Accreditation Forum Auditoría que agrega valor Qué es una auditoría que agrega valor? Escuchamos mucho acerca de la importancia de agregar valor durante una auditoría a sistemas de gestión de la calidad, pero qué significa esto realmente?, es posible agregar valor sin comprometer la integridad de la auditoría al proporcionar una consultoría? En principio, todas las auditorias deben agregar valor, pero no siempre es este el caso. Este documento trata de proporcionar una guía sobre cómo una auditoría puede agregar valor para las diferentes partes involucradas, y sobre varias situaciones que normalmente se encuentran en el contexto de auditorías de segunda y tercera parte. Sistemas de gestión de la calidad que agregan valor Existen varias definiciones de valor en los diccionarios, pero todas se enfocan en el concepto de algo que es útil. Agregar valor por lo tanto significa hacer algo más útil. Algunas organizaciones han utilizado la serie de normas ISO 9000 para desarrollar sistemas de gestión de la calidad que están integrados en su manera de hacer negocios, y son útiles en ayudarlos a lograr sus objetivos estratégicos de negocio - en otras palabras éstos agregan valor a la organización. Por el contrario otras organizaciones simplemente han creado una serie de procedimientos y registros burocráticos que no reflejan la realidad de la manera como la organización trabaja realmente, y simplemente agregan costo, sin ser útiles. En otras palabras, éstos no agregan valor. Es cuestión de enfoque: Un enfoque que no agrega valor pregunta: Qué procedimientos tenemos que escribir para obtener la certificación ISO 9000? Un enfoque que agrega valor pregunta: Cómo podemos usar nuestro sistema de gestión de la calidad basado en ISO 9001:2000 para que nos ayude a mejorar nuestro negocio? Cómo agregar valor durante el proceso de auditoría? Cómo podemos asegurar que la auditoría es útil para la organización en el mantenimiento y mejora de su SGC? (Debemos reconocer, sin embargo, que pudieran existir otras perspectivas que necesitan tomarse en consideración.)

15 Para agregar valor, una auditoría de tercera parte debe ser útil: Para la organización certificada o proporcionando información a la alta dirección sobre la habilidad de la organización para lograr los objetivos estratégicos. o identificando problemas que, si se resuelven, mejorarán el desempeño de la organización. o identificando oportunidades de mejora y áreas posibles de riesgo. Para los clientes de la organización aumentando la habilidad de la organización para proporcionar productos conformes. Para el cuerpo de certificación mejorando la credibilidad del proceso de certificación de tercera parte. El enfoque de agregar valor debiera ser una función del nivel de madurez de la cultura de calidad de la organización, y de la madurez de su SGC, con respecto a los requisitos de la norma ISO 9001:2000. Si nos referimos a la figura 1, podemos separar conceptualmente a las organizaciones en cuatro zonas diferentes como sigue: Conformity to ISO 9001:2000 Not conforming Conforming Zone 3 Zone 4 Zone 1 Zone 2 Low High Maturity of Quality culture Zona 1: (Baja madurez de la cultura de calidad ; SGC inmaduro, no conforme con la norma ISO 9001:2000) Zona 2: ( Cultura de calidad Madura ; SGC inmaduro, no conforme con la norma ISO 9001:2000) Zona 3: (Baja madurez de la cultura de calidad ; SGC maduro, conforme con la norma ISO 9001:2000) Zona 4: ( Cultura de calidad Madura ; SGC maduro, conforme con la norma ISO 9001:2000)

16 Es importante resaltar que en este contexto: La cultura de calidad incluye el grado de conciencia, compromiso y actitud colectiva así como el desempeño de la organización con respecto a la calidad. La conformidad con la norma ISO 9001:2000 se refiere a la madurez del SGC de la organización, y a la extensión con que cumple con los requisitos de la norma ISO 9001:2000. (Se reconoce que se pudieran identificar no conformidades menores específicas aún en organizaciones que muestran un alto grado de madurez general y conformidad con la norma ISO 9001:2000). Zona 1: (Baja madurez de la cultura de calidad ; SGC inmaduro, no conforme con la norma ISO 9001:2000) Para una organización que tiene muy poco o nada de cultura de calidad y un SGC que no está conforme con la norma ISO 9001:2000, la expectativa de cómo una auditoría podría agregar valor, pudiera ser que la organización quisiera recibir una sugerencia de como implementar el sistema de gestión de la calidad y/o resolver cualquier no conformidad levantada. Aquí, el auditor debe tener mucho cuidado, porque en una auditoría de tercera parte esa sugerencia pudiera generar seguramente un conflicto de intereses, y contravenir la Guía ISO/IEC 62 Requisitos para los cuerpos de acreditación y certificación. Sin embargo, lo que el auditor puede hacer, es asegurarse de que, donde sea que se encuentren no conformidades, el auditado tenga un claro entendimiento de qué es lo que la norma requiere, y por qué la no conformidad se levantará. Si la organización puede reconocer que resolviendo esas no conformidades la llevarán a mejorar su desempeño, entonces es más seguro creer y comprometerse con el proceso de certificación. Es importante, sin embargo, que todas las no conformidades identificadas sean reportadas, de modo que la organización claramente entienda qué necesita hacer para cumplir los requisitos de la norma ISO 9001:2000. Mientras algunas organizaciones pudieran no quedar totalmente satisfechas con un resultado de auditoría que no resulte en una certificación, los clientes de la organización (quienes reciben los productos de la organización) seguramente considerarán esto como una auditoría que agrega valor desde su perspectiva. Desde la perspectiva del cuerpo de certificación, fallar en reportar todas las no conformidades detectadas y/o proporcionar directrices en cómo implementar el sistema de gestión de calidad, no agrega valor a la credibilidad de la profesión del auditor o del proceso de certificación. Debemos reconocer que la discusión anterior se relaciona solamente con auditorías de tercera parte (certificación). No hay razón por la que una auditoría de segunda parte (evaluación de proveedores) no deba agregar valor proporcionando directrices a la organización de cómo implementar su sistema de gestión de la calidad. Es más, bajo estas circunstancias, esas directrices (si están bien fundamentadas), sin duda serán útiles para ambas organizaciones y sus clientes.

17 Zona 2: ( Cultura de calidad Madura ; SGC inmaduro, no conforme con la norma ISO 9001:2000) Para una organización que tiene una cultura de calidad madura, pero un SGC inmaduro que no es conforme con los requisitos de la norma ISO 9001:2000, la expectativa básica de cómo una auditoría pudiera agregar valor probablemente será similar a la de la Zona 1. Además, la organización seguramente tendrá mucha más expectativa hacia el auditor. Para poder agregar valor, el auditor debe entender el modo en que las prácticas existentes de la organización cumplen con los requisitos de la norma ISO 9001:2000. En otras palabras, entender los procesos de la organización en el contexto de la norma ISO 9001:2000, y no, por ejemplo, insistir en que la organización redefina sus procesos y documentación para alinearse a la estructura de las cláusulas de la norma. La organización debería, por ejemplo, basar su sistema de gestión en modelos de excelencia de negocio, o herramientas de gestión total de la calidad como Hoshin Kanri (Gestión por política), Despliegue de la función de calidad, Análisis de modo de falla y efecto, metodología de seis sigma, programas de 5S, Resolución de problemas sistemático, Círculos de calidad y otros. Para agregar valor durante el proceso de auditoría, el auditor debe, como mínimo, estar conciente de las metodologías de la organización, y ser capaz de ver hasta donde son eficaces en el cumplimiento de los requisitos de la norma ISO 9001:2000 para esa organización en particular. También es importante que el auditor no se intimide por el aparente alto grado de sofisticación de la organización. Mientras que la organización quizá este usando esas herramientas como parte de una filosofía general de calidad total, aún puede haber huecos en el modo en que las herramientas están siendo empleadas. Por lo tanto, el auditor debe tener la habilidad para identificar cualquier problema sistemático y levantar las no conformidades apropiadas. En estas situaciones, el auditor pudiera ser acusado de ser pedante o aún burocrático, por eso es importante poder demostrar la relevancia de las no conformidades que se están levantando. Zona 3: (Baja madurez de la cultura de calidad ; SGC maduro, conforme con la norma ISO 9001:2000) Una organización que ha sido certificada en una de las normas de la serie ISO 9000 por un período significativo de tiempo puede ser capaz de demostrar un alto nivel de conformidad con la norma ISO 9001:2000, pero al mismo tiempo no tener realmente implementada una cultura de calidad a través de la organización. Típicamente, el SGC pudiera haber sido implementado bajo presión de los clientes, y construido alrededor de los requisitos de la norma en vez de que sobre las necesidades y expectativas propias de la organización. Como resultado, el SGC pudiera estar operando en paralelo con el modo de que la organización realiza sus operaciones de rutina, generando redundancias e ineficiencias. Para agregar valor en estas circunstancias, el primer objetivo del auditor debe ser el actuar como un catalizador de la organización para reconstruir su sistema de gestión de la calidad basado en ISO 9000, e integrar el sistema dentro de sus operaciones diarias. Aunque el auditor de tercera parte no puede dar recomendaciones de cómo cumplir con los requisitos de la norma ISO 9001:2000, es aceptable y además buena práctica el motivar y estimular (pero no requerir) a la organización a ir más allá de los requisitos de la norma. Las preguntas que haga el auditor (y el modo como las pregunta) pueden dar pistas valiosas para la organización de cómo el SGC puede hacerse más

18 eficiente y útil. La identificación por parte del auditor de oportunidades de mejora debe incluir los modos de cómo la eficacia del SGC puede mejorarse, pero también pueden cubrir oportunidades de mejora en eficiencia. Zona 4: ( cultura de calidad Madura ; SGC maduro, conforme con la norma ISO 9001:2000). Para una organización que tiene una cultura de calidad madura y ha sido certificada en una de las normas de la serie ISO 9000 por un período significativo de tiempo, la expectativa de cómo la auditoría pudiera agregar valor será la más retadora para un auditor. Una queja común de este tipo de organización es que las visitas rutinarias de vigilancia de los auditores pueden ser superfluas, y agregan muy poco valor desde el punto de vista de la organización. En estos casos, la alta dirección se convierte en un cliente importante para el proceso de certificación. Por tanto es importante para el auditor el tener un claro entendimiento de los objetivos de negocio estratégicos de la organización, y de ser capaz de poner la auditoría del SGC en ese contexto. El auditor necesita dedicar tiempo para discutir los detalles con la alta dirección para definir sus expectativas para el SGC e incorporar estas expectativas en el criterio de auditoría. Algunos consejos para el auditor de cómo agregar valor. 1) Planificación de la auditoría: a. Entender las expectativas y cultura corporativa del auditado b. Alguna preocupación a ser cubierta (resultado de auditorías previas)? c. Análisis de riesgos del sector industrial específico de la organización d. Pre-evaluación de requisitos reglamentarios e. Selección apropiada del equipo auditor para lograr los objetivos de la auditoría f. Asignación del tiempo adecuado 2) Técnica de auditoría: a. Enfocarse más a los procesos, y menos en los procedimientos. Algunos procedimientos documentados, instrucciones de trabajo, listas de verificación, etc. pudieran ser necesarios para la planeación y control de los procesos de la organización, pero lo fundamental debe ser el desempeño del proceso. b. Enfocarse más en los resultados, y menos en los registros. De la misma manera, algunos registros pudieran ser necesarios para que la organización proporcione evidencia objetiva de que los procesos son eficaces (generando los resultados planificados) pero el auditor que agrega valor debe estar conciente de dar crédito a otras formas de evidencia. c. Recuerde los 8 Principios de Gestión de la Calidad d. Use el enfoque de Planear Hacer Verificar Ajustar para evaluar la eficacia de los procesos de la organización. i. El proceso ha sido planeado? ii. Se ha realizado de acuerdo a lo planeado? iii. Se han logrado los resultados planificados? iv. Las oportunidades de mejora han sido identificadas e implementadas?

19 Corrigiendo no conformidades Identificando las causas raíz de los problemas e implementando acciones correctivas Identificando tendencias, y la necesidad de accion preventiva Innovando e. Adopte un enfoque holístico para la recolección de evidencias durante la auditoría, en lugar de enfocarse en las cláusulas individuales de la norma ISO 9001: ) Análisis y decisión a. Ponga los hallazgos en perspectiva (Evaluación de riesgo / sentido común ). b. Relacione los hallazgos al efecto sobre la habilidad de la organización para proporcionar productos conformes (Vea la norma ISO 9001:2000 cláusula 1.1). 4) Reporte y seguimiento a. Reporte de hallazgos de auditoría sensatos i. Pudiera requerirse un enfoque diferente dependiendo de : la madurez de la organización (Zonas 1, 2, 3 y 4) el nivel de confianza en el SGC de la organización el riesgo involucrado la actitud y compromiso del auditado hacia el proceso de auditoría Proactivo Reactivo ii. Asegurar que se toma en cuenta cualquier aspecto cultural iii. Enfatizar los hallazgos positivos según sea apropiado iv. La solución propuesta por la organización en respuesta a los hallazgos negativos sera útil? b. Los reportes deben ser objetivos y enfocados a la audiencia correcta (La alta dirección probablemente tendrá expectativas que son diferentes a aquellas de las que tenga el representante de la dirección)

20 Traducción libre realizada por INLAC - Documentos oficiales disponibles en: International Organization for Standardization International Accreditation Forum AUDITANDO LA COMPETENCIA Y LA EFICACIA DE LAS ACCIONES TOMADAS La siguiente información se proporciona para guiar a los auditores que realicen auditorias de certificación en el entendimiento de los requisitos de la cláusula de la norma ISO 9001:2000 sobre competencia y eficacia de las acciones tomadas, por ejemplo el entrenamiento. Estos requisitos son usualmente auditados como parte del proceso de realización de un producto y no de manera aislada. Sin embargo, se reconoce que algunas organizaciones tendrán procesos de recursos humanos por separado donde mucha de la evidencia necesaria se encontrará. Este documento identifica las actividades típicas realizadas por las organizaciones para asegurar la competencia de su personal y para evaluar la eficacia de las acciones tomadas para satisfacer esas necesidades de competencia, y da una guía a los auditores sobre el tipo de evidencia que deben buscar y proporcionar ejemplos cuando sea apropiado. Para satisfacer los requisitos de la norma ISO 9001:2000 sobre los aspectos antes mencionados, una organización necesitará realizar varias cosas: Identificar que competencias son requeridas por el personal que desarrolla el trabajo que afecta la calidad Identificar qué personal que realiza el trabajo tiene las competencias requeridas Decidir que competencias adicionales son requeridas Decidir como esas competencias adicionales se van a obtener entrenando al personal (externamente o internamente), entrenamiento teórico o práctico, contratando nuevo personal competente, asignación del personal competente existente a diferentes tareas Entrenar, contratar o reasignar personal Revisar la eficacia de las acciones tomadas para satisfacer las necesidades de competencia Revisar periódicamente la competencia del personal A través del proceso, se requiere que la organización mantenga los registros apropiados de educación, entrenamiento, habilidades y experiencia. Sin embargo, la norma ISO 9001:2000 no especifica cómo el proceso será establecido o la naturaleza exacta de los registros a mantener.

21 Traducción libre realizada por INLAC - Documentos oficiales disponibles en: Al auditar el cumplimiento de una organización con los requisitos de competencia y evaluación del entrenamiento, un auditor típicamente debería buscar evidencia de que los siguientes tópicos se han cumplido: 1 Una organización necesita identificar qué competencias son requeridas por el personal que realiza el trabajo que afecta la calidad. Directriz El objetivo del auditor debe ser determinar si existe un enfoque sistemático establecido para identificar esas competencias y verificar que el enfoque es eficaz. El resultado del proceso pudiera ser una lista, un registro, una base de datos, un plan de recursos humanos, un plan de desarrollo de competencias, un contrato, un plan de proyecto o producto, etc. Inicialmente se pudieran tener entrevistas con la alta dirección para asegurar que ellos entienden la importancia de la identificación de las competencias requeridas. Estas pudieran también ser una fuente potencial de información sobre nuevas actividades o cambios en procesos que pudieran llevar a requisitos de competencias diferentes en la organización. Una revisión de las competencias pudiera también ser necesaria cuando se esta considerando un nuevo contrato o cotización. Una evidencia de esto pudiera encontrarse en los registros relacionados. Los requisitos de competencias pudieran estar incluidos en documentos del contrato donde las actividades de los subcontratistas pueden tener un impacto en los procesos y/o características de calidad del producto. Los auditores necesitan determinar si la organización ha identificado competencias nuevas o necesidades de cambios en ellas durante las auditorias de seguimiento. 2 Se asignan personas competentes a aquellas actividades necesarias para controlar las características de calidad de sus procesos y productos? Directriz Verifique que alguna forma de evaluación de proceso está establecida para asegurar que las competencias son apropiadas a las actividades de la organización y de que el personal seleccionado como competente haya demostrado esas competencias. También, el proceso debe asegurar que ninguna deficiencia quede sin una acción y la eficacia del personal sea medida. Verifique que las actividades que afectan la calidad sean desarrolladas por personas seleccionadas como competentes. Se debe obtener evidencia durante la auditoría, haciendo énfasis en aquellos procesos, actividades, tareas y productos donde la intervención humana pudiera tener un impacto mayor. El auditor pudiera revisar descripciones de puesto, actividades de prueba o inspección, actividades de seguimiento, los registros de las revisiones por la dirección, las definiciones de responsabilidades y autoridades, los registros de las no conformidades, los reportes de auditorías, las quejas de los clientes, los registros de validación de procesos, etc. 3- La organización necesita evaluar la eficacia de las acciones tomadas para satisfacer las necesidades de competencia. Directriz La organización pudiera utilizar varias técnicas incluyendo actuación, revisión de colegas, observación, revisiones de los registros de entrenamiento de los

22 Traducción libre realizada por INLAC - Documentos oficiales disponibles en: empleados, entrevistas (ver ISO Tabla 2 para más ejemplos). El método de evaluación particular más apropiado dependerá de muchos factores. Por ejemplo, se pueden ver los registros de entrenamiento para verificar que un curso de entrenamiento se terminó exitosamente (pero note, esto solamente no pudiera proporcionar evidencia de que el entrenado es competente). Sin embargo este mismo método pudiera no ser aceptable para evaluar si un auditor se desempeña satisfactoriamente o no durante una auditoría. En su lugar, esto pudiera requerir de observación, revisión por colegas, entrevistas, etc. La organización pudiera demostrar la obtención de la competencia de su personal a través de una combinación de educación, entrenamiento y/o experiencia de trabajo. 4 Mantenimiento de competencia. Directriz El auditor necesita verificar que alguna forma eficaz de dar seguimiento al proceso está implementada y se ha actuado en consecuencia. Algunas maneras de hacer esto incluyen un proceso continuo de desarrollo profesional (como el descrito en la norma ISO 19011), evaluaciones regulares del personal y su desempeño y la inspección, prueba o auditoría regular de producto de los que los individuos o grupos son responsables. Los cambios frecuentes en requisitos de competencia pudieran indicar que una organización es proactiva en mantener los niveles de desempeño de su personal.

23 International Organization for Standardization Forum International Accreditation 1. Introducción. Auditando las comunicaciones con el cliente Un proceso de comunicación eficaz con el cliente contribuye al éxito de cualquier sistema de gestión de la calidad de una organización y al final al éxito de la misma organización. De igual manera, muchos problemas que experimenta una organización con sus clientes frecuentemente puede rastrearse hasta una pobre comunicación. 2. Requisitos y Directriz 2.1 La norma ISO 9001:2000 en la cláusula establece: Comunicación con el cliente La organización debe determinar e implementar disposiciones eficaces para la comunicación con los clientes, relativas a a) la información sobre el producto, b) las consultas, contratos o atención de pedidos, incluyendo las modificaciones, y c) la retroalimentación del cliente, incluyendo sus quejas. 2.2 Existe un documento del GPA (Grupo de prácticas de auditoría) sobre la retroalimentación del cliente y los procesos de quejas de los clientes. 2.3 Otros requisitos de la norma ISO 9001:2000 sobre la comunicación con el cliente: Existen otros requisitos en la norma ISO 9001:2000 donde se hace referencia directa o indirecta a la comunicación con el cliente. La alta dirección debe asegurarse de que los requisitos del cliente se determinan y se cumplen con el propósito de aumentar la satisfacción del cliente (cláusula 5.2) La revisión que hace la organización de los requisitos relacionados al producto antes de comprometerse a proveer el producto al cliente (por ejemplo envío de ofertas, aceptación de contratos o pedidos, aceptación de cambios a los contratos o pedidos); (cláusula 7.2.2).

24 Cuando el cliente no proporciona requisitos documentados, los requisitos del cliente deben ser confirmados por la organización antes de ser aceptadas (cláusula 7.2.2); la organización necesita tener un sistema implementado para obtener esos requisitos. La autorización de uso de producto no conforme por la liberación o aceptación bajo concesión por una autoridad relevante y, cuando sea aplicable, por el cliente (cláusula 8.3b). 2.4 Directriz de la norma ISO 9004:2000 (cláusula 7.2): Procesos relacionados con las partes interesadas La dirección debería asegurarse de que la organización ha definido procesos aceptados mutuamente para la comunicación eficaz y eficiente con los clientes y otras partes interesadas. La organización debería implementar y mantener dichos procesos para asegurarse de la comprensión adecuada de las necesidades y expectativas de las partes interesadas, y para que facilite su traducción a requisitos para la organización Verificando la eficacia de las comunicaciones con los clientes La verificación de la eficacia de la comunicación con el cliente es por tanto un componente crítico para lograr la satisfacción del cliente. Aunque no hay un requisito específico en la norma ISO 9001:2000 para tener un procedimiento documentado, dependiendo del tamaño, complejidad y cultura de la organización, pudiera ser necesario tener uno para poder asegurar una implementación eficaz del proceso de comunicación con el cliente. La norma ISO 9000 define el término cliente como quién recibe el producto. También da ejemplos de clientes incluyendo el usuario final. Muchas organizaciones venden sus productos/servicios a través de distribuidores y minoristas y pudieran no recibir pedidos directamente de los usuarios finales. Es importante que el auditor verifique cómo la organización comunica sobre la calidad de sus productos/servicios a los usuarios finales y también el mecanismo para obtener la retroalimentación (independientemente de las quejas) de los usuarios finales. Se debe reconocer que las necesidades de los distribuidores y minoristas pudieran ser, a veces, diferentes de las de los usuarios finales. 4 El enfoque del auditor 4.1 La comunicación con el cliente cae en tres categorías generales: Comunicación general de la organización a los clientes existentes o potenciales como anuncios o información de mercadotecnia. Información específica relacionada a preguntas de clientes, requisitos o pedidos

25 Comunicación en respuesta a una retroalimentación o queja de un cliente 4.2 Algunos o todos de los siguientes medios de comunicación general con los clientes de la organización pudiera ser observado por el auditor: Información de producto, que incluye Material de promoción Web sites Catálogo de productos Cuando la organización recibe ordenes de los distribuidores y no de los usuarios finales, el auditor debe ver que la información de los productos disponible para los usuarios finales (panfletos, folletos, web sites, etc) describa el producto/servicio adecuadamente y con precisión. El auditor debe también tratar de entender cómo las necesidades del cliente han sido identificadas y cómo llegan a las especificaciones del producto. 4.3 El auditor debiera verificar la información del producto para confirmar que es fácilmente accesible para los clientes o clientes potenciales y proporciona información actualizada y precisa. El auditor pudiera también buscar, por ejemplo, qué tan frecuente se revisa el material promocional, el web site y los catálogos de producto para reflejar los productos y servicios vigentes que se ofrecen y qué medidas toman si un producto en particular es modificado, descontinuado o ya no esta disponible. 4.4 Algunos o todos los siguientes medios de comunicación pudieran observarse con el cliente de la organización: Ofertas, contratos o manejo de pedidos, incluyendo correcciones Cotizaciones Formatos de pedido Confirmación de pedido Corrección de pedido Documentación de envío Facturas Notas de crédito Correo electrónico y correspondencia general Reportes de visitas o notas de los clientes Proceso de gestión de la retroalimentación y quejas de clientes Cartas de respuesta a quejas Reconocimientos 4.5 Existen también otros modos como el auditor puede ver la comunicación de la organización con sus clientes:

26 Durante el proceso de captura de pedidos cuando el cliente proporciona requisitos no documentados, la organización necesita tener un sistema para obtener o confirmar esos requisitos de los clientes antes de aceptar el pedido Durante el proceso de diseño y desarrollo pudiera haber una comunicación considerable entre la organización y el cliente Durante le proceso de autorización de uso de un producto no conforme por liberación o aceptación bajo concesión por una autoridad relevante y cuando sea aplicable, por el cliente 4.6 El auditor debe usar métodos de seguimiento normales para verificar el cumplimiento con los requisitos de comunicación con el cliente de la norma ISO 9001 y cómo la organización se comunica eficazmente con el cliente en la ejecución de oferta, contrato o pedidos.

27 International Organization for Standardization International Accreditation Forum Auditando la comunicación interna 1. Introducción. Un proceso de comunicación interna eficaz contribuye al éxito del sistema de gestión de la calidad de cualquier organización. A la inversa, muchos de los problemas que ocurren con el sistema de gestión de la calidad de las organizaciones se pueden rastrear, frecuentemente, a una pobre comunicación. 2. Requisitos y Directriz 2.1 La norma ISO 9001:2000 cláusula establece lo siguiente: Comunicación Interna La alta dirección debe asegurarse de que se establecen los procesos de comunicación apropiados dentro de la organización y de que la comunicación se efectúa considerando la eficacia del sistema de gestión de la calidad. Este es uno de varios requisitos que han sido plasmados en la norma ISO 9001:2000 donde un enfoque preciso SI / NO pudiera no ser adecuado para evaluar la implementación eficaz del proceso de comunicación interna dentro de una organización. 2.2 Otros requisitos de la norma ISO 9001:2000 sobre comunicación interna: Existen otros requisitos en la norma ISO 9001:2000 donde la alta dirección tiene una responsabilidad de comunicar al personal de la organización sobre: La política y los objetivos de calidad La importancia de cumplir tanto los requisitos de los clientes como con los regulatorios La promoción de la toma de conciencia sobre los requisitos de los clientes a través de toda la organización 1 of 4

28 Las responsabilidades definidas del personal y la conciencia de la relevancia e importancia de sus actividades y cómo ellos contribuyen al logro de los objetivos de calidad Cuando los requisitos del producto cambian, asegurarse que el personal relevante sea informado de los cambios. 2.3 Directriz de la norma ISO 9004:2000 (cláusula 5.5.3): La alta dirección de la organización debería definir e implementar un proceso eficaz y eficiente para la comunicación de la política de la calidad, los requisitos de calidad, los objetivos de la calidad y los logros. Proporcionar esta información puede ayudar a la mejora del desempeño de la organización y compromete directamente a las personas en el logro de los objetivos de la calidad. La dirección debería promover activamente la retroalimentación y la comunicación del personal de la organización como un medio para su participación. Es importante notar que esta directriz de la norma ISO 9004 no es auditable, pero proporciona datos adicionales sobre la relevancia de la comunicación interna. 3. Verificando la eficacia de las comunicaciones internas Hay dos componentes principales en los requisitos de la cláusula de la norma ISO 9001:2000 que tienen que ser verificados: a) Que los procesos de comunicación apropiados hallan sido establecidos en la organización, incluyendo : la identificación del personal entre quienes la comunicación debe ocurrir; la información a ser comunicada; los medios por los que se debe lograr; el método seleccionado para dar seguimiento a su eficacia; la documentación y los registros necesarios para verificar que haya ocurrido; que el proceso de comunicación esté sujeto a la mejora continua; b) Que la comunicación se esté dando y es relativa a la eficacia del sistema de gestión de la calidad. En la búsqueda de evidencía de procesos eficaces de comunicación, el auditor pudiera necesitar observar en la organización, algunos de los puntos siguientes, o todos según sea apropiado, que: la alta dirección, los empleados a todos los niveles en la organización y los proveedores, generan, reciben y responden las comunicaciones; la información a ser comunicada está claramente definida, es apropiada y precisa al propósito de la comunicación; 2 of 4

29 los medios utilizados para la comunicación son apropiados al nivel de educación y otras habilidades de aquellos a los que se espera reciban la información y actúen en consecuencia. se da seguimiento para asegurar que la información comunicada se utilizó y se alcanzaron los resultados deseados. Están disponibles los procedimientos y registros necesarios para demostrar que la comunicación ocurre, es eficaz y sujeta a mejora continua. Aunque no es un requisito el tener un procedimiento documentado, dependiendo del tamaño, complejidad y cultura de la organización pudiera ser necesario el tener uno para asegurar la implementación eficaz. 4. El enfoque de los auditores Uno o todos los medios de comunicación de información siguientes dentro de la organización pudieran ser observados por el auditor: Comunicación directa de la dirección en las áreas de trabajo Reuniones de equipo y otras reuniones, como aquellas para el reconocimiento de logros Periódicos murales Correo electrónico, intranet y páginas electrónicas Revistas o periódicos internos de la compañía Reuniones de personal Cartas o notas individuales El auditor pudiera ser capaz de juzgar la eficacia de los procesos de comunicación interna : Entrevistando a los empleados para determinar que tan concientes están de la política, los objetivos y el desempeño del sistema de gestión. Evaluando las causas de las no conformidades y los procesos de acción correctiva de la organización. La necesidad de una acción correctiva se pudiera ligar o trazar hacia unos procesos de comunicación interna débiles? Evaluando la relevancia y prontitud de la emisión de la información. La información que se está comunicando no tiene valor si se hace fuera de tiempo. Examinando los mecanismos de retroalimentación dentro de la organización, por ejemplo entrevistas o revisiones cara a cara, encuestas a empleados, etc. Evaluando los programas de entrenamiento e inducción en la organización. Estos programas deben contener la información de cómo opera el sistema de gestión de la calidad. Viendo las minutas de las reuniones que contengan puntos de comunicación interna. 3 of 4

30 5. Evaluación de la conformidad de la organización con los requisitos de la norma ISO 9001:2000. Es cuestionable que un auditor pueda determinar la eficacia de los procesos de comunicación interna de la organización durante una simple sesión de auditoría o intervalo de tiempo. Se requiere un enfoque más global (holístico) durante toda la auditoría y además no necesita ser incluido como un punto separado en el plan de auditoría. Los equipos de auditoría deben planear una revisión colaborativa de este aspecto. Igualmente cuestionable es que se pueda determinar la eficacia de los procesos de comunicación interna de la organización solamente de una fuente dentro de la organización. La conformidad con los requisitos de la norma ISO 9001:2000 solamente pueden ser determinados al final de la auditoría, después de la evaluación de la evidencia de auditoría (y después de lograr un consenso con los otros miembros del equipo). 4 of 4

31 Traducción libre realizada por INLAC. Documentos oficiales disponibles en : International Organization for Standardization International Accreditation Forum Auditando el control de los dispositivos de seguimiento y medición La siguiente información se proporciona como una guía para auditar los procesos asociados con el control de dispositivos de seguimiento y medición, y para ayudar en la evaluación de justificaciones para la exclusión de la cláusula 7.6 del alcance del sistema de gestión de la calidad de la organización. Al auditar los procesos de seguimiento y medición, es importante que el auditor entienda la diferencia entre seguimiento y medición : seguimiento implica la observación, supervisión, mantener bajo revisión (utilizando dispositivos de seguimiento); puede involucrar mediciones o pruebas a intervalos, especialmente con el propósito de regular o controlar medición considera la determinación de una cantidad física, magnitud o dimensión (utilizando equipo de medición). Aunque equipo de medición es definido en la cláusula de la norma ISO 9000:2005 como instrumento de medición, software, patrón de medición, material de referencia o equipos auxiliares o combinación de ellos necesarios para llevar a cabo un proceso de medición, la norma solamente requiere que el equipo de medición sea calibrado cuando éste es utilizado para propósitos de medición para proporcionar la evidencia de la conformidad del producto con los requisitos determinados ya sea para mediciones de producto o proceso. Los equipos y dispositivos pueden ser usados para indicar, dar seguimiento o medir. El mismo equipo podría ser usado para estas tres funciones. Por ejemplo en algunas industrias un manómetro puede ser usado: como un indicador (e.g. para asegurar la presencia de presión); como un dispositivo de seguimiento (e.g. para asegurar que la presión es estable y el proceso está bajo control); y como equipo de medición (e.g. cuando el valor preciso de la presión es importante para la calidad del producto). Sin embargo, el nivel de control depende del uso intencionado, lo que determina cuándo el equipo de medición debe ser calibrado o verificado. La profundidad y

32 Traducción libre realizada por INLAC. Documentos oficiales disponibles en : grado de tal confirmación pudiera variar, dependiendo de la naturaleza de los productos, servicios y riesgos relacionados. En los casos donde la organización hace uso de equipo de medición, se debe obtener evidencia de que las necesidades metrológicas relacionadas a los procesos de producción o servicio hayan sido identificadas / especificadas apropiadamente y que los sistemas de medición hayan sido diseñados y son operados y mantenidos de forma que cumplan las necesidades metrológicas aplicables. Los auditores deben confirmar que, además de proporcionar los registros de calibración necesarios y asegurarse de la incertidumbre de medición relacionada y la trazabilidad, la organización está conciente de, y ha implementado, según sea apropiado, un sistema de confirmación metrológica adecuado, como lo describe la norma ISO para la extensión y tipos de medición realizada. Algunas organizaciones como Hoteles, Restaurantes, Centros de Educación, Consultores, Servicios Públicos, entre otros desempeñan actividades de seguimiento y medición utilizando como dispositivos de seguimiento y medición encuestas, exámenes, cuestionarios, reportes estadísticos, etc, debido a la naturaleza de su producto. Estos dispositivos deben ser controlados y validados según su naturaleza para asegurar que éstos proporcionan un medio consistente de seguimiento y medición de los procesos, producto/servicio y satisfacción del cliente. Es apropiado ver estos dispositivos mientras se audita la conformidad con la cláusula 8.2 Seguimiento y medición. Si una organización puede demostrar un control apropiado de estos dispositivos bajo esta cláusula, el auditor necesita entender que no todos los requisitos relativos a la cláusula 7.6 pudieran ser aplicables a esos dispositivos. El auditor necesita entender como la organización desempeña el proceso de control y el impacto que la información, obtenida del uso de esos dispositivos, tiene en este proceso de control. Cuando el impacto es relevante, los auditores deben evaluar aspectos como: Como la organización valida que el dispositivo de seguimiento y medición es consistente con los requisitos de seguimiento y medición. Como la organización asegura la validez de la información La competencia del responsable de diseñar el dispositivo de seguimiento y medición Como la organización valida la consistencia de los resultados De la descripción anterior, la organización debe ser capaz de decidir si todos o parte de los requisitos de la cláusula 7.6 pudieran ser excluidos o no. Se puede obtener más explicación y ejemplos del Manual ISO: ISO 9001:2000 para Pequeñas empresas Que hacer, Consejos del ISO/TC 176.

33 International Organization for Standardization International Accreditation Forum Demostrando conformidad con la norma Desarrollar la auditoría sobre las cláusulas de la norma v.s. Desarrollar la auditoría sobre los procesos del auditado. Cuando se evalúa la conformidad con la norma, las listas de verificación para auditoría pudieran no ser suficientes. Al final de la auditoría, el auditor debe estar convencido si todos los requisitos de la norma se satisfacen o no. Tratar de mostrar la conformidad a una norma lleva a la gente hacia el uso de una lista de verificación donde el auditor es capaz de verificar los requisitos de la norma uno a uno, asegurándose que todos los requisitos han sido cubiertos. Este enfoque básico de llenar una lista de verificación es una manera fácil de asegurar que todos los requisitos de la norma han sido revisados. Sin embargo, considerando el enfoque de la norma ISO 9001:2000, desarrollar una auditoría sobre una lista de verificación genérica pudiera no permitir al auditor recolectar evidencia de la eficacia de las interfaces entre los procesos. En algunas situaciones, deshacerse completamente de la lista de verificación (o lista de preguntas de auditoría) no sería posible, particularmente si se necesita demostrar a terceras partes la evidencia de conformidad a la norma (ejemplo, cuerpos de acreditación). Es importante usar una lista de verificación de manera apropiada y en el tiempo adecuado como herramienta para dar seguimiento a los requisitos de la norma a ser cubiertos. Cuál es un muestreo adecuado? No hay una fórmula estadística o matemática para establecer el número correcto de muestras a ser tomadas durante una auditoría. Definir el número de muestras (por ejemplo, una, cinco o más muestras de registros para un requisito en particular) a ser tomado para confirmar el cumplimiento a los requisitos no es eficiente y no asegura el cumplimiento. Es claro el hecho de que al incrementar el número de muestras tomadas, el auditor tiene una mayor confianza sobre el estado de la implementación del SGC. Un muestreo adecuado en este texto se refiere al muestreo tomado durante las entrevistas en el lugar y los registros revisados para construir una confianza de que el SGC del auditado esta implementado como se describe. El muestreo en multi-plantas o el muestreo de las unidades organizacionales de una compañía están cubiertas en el Anexo II de la Guía de la IAF en la aplicación de la Guía 62 ISO/IEC, con los días auditor en el lugar y la fórmula de muestreo multi-plantas.

34 El auditor necesita desarrollar entrevistas y verificar registros y evidencias durante la entrevista. El número de muestras a tomarse depende de la complejidad del proceso, y en la calidad de la información recibida del auditado durante la entrevista. Es también importante que el auditor mantenga el horario establecido en el plan de auditoría. Al final del día, el auditor necesita sentirse tranquilo de que las muestras y las evidencias objetivas vistas son representativas de modo que pueda llegar a una conclusión apropiada sobre la implementación del SGC. Registrando la información de la auditoría La norma ISO y la directriz de la IAF sobre la aplicación de la Guía 62 ISO/IEC explican lo que un reporte de auditoría debe contener. Sin embargo, es importante notar que el reporte de auditoría hacia el auditado, debe contener solamente información importante para el auditado como son la información sobre posibles mejoras, observaciones positivas y las no conformidades a la norma. Reiterar y explicar los requisitos de la norma pudiera no ser lo que el auditado este buscando. Pudiera ser un requisito para el auditor demostrar la secuencia en la que se desarrolló la auditoría, algunas veces llamada ruta de auditoría. La utilización de notas de auditoría es un modo muy eficiente para el auditor de registrar la auditoría. La principal desventaja de usar las notas de auditoría es que tienden a ser un modo muy personal de registrar la información durante la auditoría y los niveles de detalle de registro y estilo varía mucho de un auditor a otro. La lista de verificación asegura algo de uniformidad en el desarrollo de los auditores. Sin embargo, el auditor nunca debe olvidarse de utilizar su tiempo en auditar y no en llenar listas de verificación y hacer notas.

35 International Organization for Standardization International Accreditation Forum Determinación de los procesos apropiados Terminología Donde la terminología utilizada por el auditado es diferente a la utilizada por el auditor, el auditor debe entender los conceptos en la norma ISO 9001:2000, utilizar la norma ISO 9000:2005 y hacer una referencia cruzada mental o escrita entre la terminología del auditado y la suya propia para los mismos conceptos evitando el uso de vocabulario de Gestión de la calidad. La definición de proceso Si la definición de proceso no es interpretada de la misma manera por el auditor y el auditado, el auditor debe buscar entender el punto de vista del auditado y no imponer el suyo a menos que sea claro (soportado por suficiente evidencia objetiva) que los requisitos de la norma no se cumplen. Lo mismo es verdad si el auditor cree que ciertos procesos no han sido identificados correctamente o no se encuentran. Exclusiones El auditor debe referirse a la cláusula 1.2 de la norma ISO 9001:2000, el documento ISO/TC 176/SC 2/ N524 Orientación acerca del apartado 1.2 Aplicación de la norma ISO 9001:2000 para obtener una mayor directriz, y el documento Alcance del APG. El auditor debe obtener evidencia objetiva de que el auditado no puede excluir un requisito específico antes de llegar a una conclusión. Es una Buena práctica utilizar la norma ISO 9000:2005 Fundamentos y vocabulario y el documento ISO/TC 176/SC 2/N524 como soporte para explicar sus argumentos al auditado.

36 International Organization for Standardization International Accreditation Forum Introducción Date: 8 December 2006 Directriz en aspectos culturales en la auditoría Durante el curso de su carrera, los auditores pudieran ser requeridos para auditar organizaciones con una amplia diferencia en sus culturas corporativas internas, y varias culturas étnicas, sociales, económicas, políticas o religiosas. Es importante para los auditores ser sensibles a estos aspectos culturales con el fin de evitar posibles conflictos, pero al mismo tiempo mantener la imparcialidad al realizar la auditoría y lograr los objetivos de la auditoría. Los auditores también necesitan ser capaces de expresarse en términos que sean entendidos, especialmente donde el lenguaje es uno de los aspectos. Es importante recordar que es responsabilidad del auditor ajustarse a las habilidades de lenguaje del auditado y que la falta de habilidades de lenguaje del auditado no debe ser perjudicial para el resultado de la auditoría. También, pudiera haber diferentes aspectos culturales y de lenguaje en partes separadas de una organización, por ejemplo en las corporaciones multinacionales. Directiz Los aspectos culturales necesitan ser considerados durante todas las fases de la auditoría. 1) Planificación de la auditoría a. El mejor lugar para empezar a considerar posibles aspectos culturales en la auditoría es durante la fase de planificación. Esto pudiera incluir: i. La selección del equipo de auditoría (características personales incluyendo el género; habilidades de lenguaje; habilidades sociales; conflictos culturales potenciales). ii. Calendario de auditoría (el respeto al horario de trabajo típico, tradiciones, días festivos, horarios de comida, horarios de oración, etc. siempre que sea posible). iii. Considerar la necesidad de traducción independiente y considerar el tiempo extra necesario. iv. Hacer conciencia en el equipo auditor de cualquier área potencial con una sensibilidad cultural. b. Cuando sea posible, es deseable utilizar auditores que estén familiarizados con el lenguaje y costumbres locales. Alternativamente, pudiera ser apropiado buscar una directriz/consejo antes de conducir la auditoría. 1 of 3

37 c. Cualquier aspecto cultural significante debe ser evaluado durante la auditoría en su primera etapa (ver documento sobre auditoría en 2 etapas) y pudiera ser apropiado el hacer modificaciones antes de la auditoría en segunda etapa y auditorías subsecuentes. 2) Cultura interna corporativa Todas las organizaciones son diferentes y no existe una cultura corporativa estándar. La cultura interna pudiera ser independiente de la cultura externa en la que la organización existe. Existen muchos aspectos que necesitan ser considerados. Los siguientes son algunos ejemplos. a) Grado de formalidad / Código de vestido Los auditores pudieran ser puestos en una desventaja psicológica si el o ella están vestidos muy informal, y muchos cuerpos de certificación tienen códigos de vestido para cubrir esto. Igualmente importante, sin embargo, y muchas veces no considerado, es la posibilidad de que los auditores estén sobre vestidos, corriendo el riesgo de no sentirse cómodos, o inhibiendo al auditado afectando el resultado de la auditoría. Un tip útil cuando se prepare la auditoría es vestir como los directores de la organización. Auditar una granja en un país tropical requiere un código de vestido totalmente diferente que auditar un banco en una capital financiera en un clima frío. Las visitas de pre auditoría, auditorías en fase 1 y el sentido común son herramientas útiles para determinar el estilo de vestimenta apropiado. b) Jerarquía organizacional Es importante reconocer que formal no necesariamente significa bien y que informal no necesariamente significa mal. Algunas de las organizaciones exitosas son muy informales en su estilo gerencial y, en particular, sus interacciones jerárquicas y comunicaciones. Los auditores necesitan ser sensitivos al protocolo organizacional con respecto a las jerarquías organizacionales, pero no deben inhibirse para comunicarse directamente con la persona que realiza el trabajo. La tendencia a solo hablar con el gerente debe evitarse a toda costa, aunque pudiera ser necesario dar al gerente algún tiempo extra cara a cara, para evitar situaciones embarazosas. c) Enfoque hacia los hallazgos de auditoría negativos Es importante para todas las no conformidades identificadas durante la auditoría que sean documentadas y presentadas de manera apropiada a la organización (ver el documento guía Documentando una no conformidad ). Algunas culturas organizacionales son muy sensibles y defensivos a los reportes de no conformidad, y en algunas situaciones, la Dirección busca culpar a la persona responsable. Esto puede generar una tensión durante la auditoría, pero no debe detener a los auditores de levantar no conformidades. Pudiera sin embargo, ser apropiado el reenfatizar el hecho de que la auditoría va dirigida a verificar el Sistema y no a los individuos, esto debió haberse mencionado durante la reunión de apertura. 2 of 3

38 3. Cultura Externa (local o regional). No es realista proporcionar una directriz detallada de todas las situaciones culturales que los auditores pudieran enfrentar, sin embargo una directriz básica siempre es útil. Esta pudiera incluir por ejemplo: Lenguaje Hábitos de comida y bebida Inequidades sociales Sensibilidad de género Estilo de vestimenta Lenguaje corporal Auto respeto y orgullo nacional (y en particular la actitud hacia recibir no conformidades) Creencias religiosas, fechas y festividades religiosas Costumbres locales Aspectos políticos sensibles En general, la regla dorada para los auditores es nunca verse involucrados en discusiones religiosas o políticas, pero estar atento a éstas y a otros aspectos culturales antes de la auditoría puede ayudar a prevenir situaciones penosas o de conflicto a mayor escala. Los auditores deben siempre tratar de acomodarse a la cultura local, pero al hacerlo, deben asegurarse de que esto no afecta la objetividad de la auditoría ni sus resultados. 3 of 3

39 Traducción libre realizada por INLAC. Documentos oficiales disponibles en : International Organization for Standardization International Accreditation Forum Introducción Directriz para la revisión y cierre de las no conformidades El valor que puede proporcionarse a una organización puede ser aumentado o disminuido por la revisión que un auditor conduce a la respuesta de la organización a una no conformidad, así como al proceso de cierre que sea aplicado. Un auditor agregará valor asegurándose de que la organización ha cubierto satisfactoriamente la corrección / el análisis de causas y la acción correctiva, ya que esto aumentará la probabilidad de que la organización logre la satisfacción del cliente. Este documento proporciona una directriz para ayudar a los auditores en el proceso de revisar y cerrar las no conformidades levantadas en las auditorías. Revisión de acciones en respuesta a una no conformidad Los auditores de sistemas de gestión son responsables de revisar la respuesta a las no conformidades y verificar la eficacia de las acciones tomadas. Debe haber tres partes en la respuesta de la organización a una no conformidad: corrección, o análisis de causa, análisis de la causa, y corrección, y acción correctiva. acción correctiva (Nota; se dan dos secuencias diferentes ya que pudiera depender del tipo de producto, o situación de la no conformidad cuál es la correcta a seguir. Sin embargo, las tres partes para resolver una no conformidad son las mismas en cada caso. Por ejemplo, para software, es inconveniente la implementación de una corrección hasta que la causa sea conocida. Alternativamente, como un ejemplo de hardware, si una luz de advertencia de balatas desgastadas se ilumina en un vehículo y usted inmediatamente implementa la corrección de reemplazar las balatas antes de examinar si el sensor falló, pudiera fallar al resolver el problema y habrá desperdiciado tiempo y recursos.) La fuente que autoriza a realizar el enunciado inicial son algunas definiciones pertinentes en la norma ISO 9000: 2000.

40 Traducción libre realizada por INLAC. Documentos oficiales disponibles en : No conformidad: incumplimiento a un requisito (ISO 9000:2000, cláusula 3.6.2) Corrección: acción tomada para eliminar una no conformidad detectada (ISO 9000:2000, cláusula 3.6.6) Acción correctiva: acción tomada para eliminar la causa de una no conformidad detectada u otra situación indeseable (ISO 9000: 2000, cláusula 3.6.5) Se debe esperar tanto la corrección como la acción correctiva cuando se detecta una no conformidad. La corrección es una acción para eliminar una no conformidad detectada, Por ejemplo, la corrección pudiera involucrar el reemplazo del producto no conforme con un producto conforme o reemplazar un procedimiento obsoleto con la versión vigente, etc. La definición de acción correctiva es acción para eliminar la causa de la no conformidad detectada. La acción correctiva no puede ser tomada sin primero hacer una determinación de la causa de la no conformidad. Existen muchos métodos y herramientas disponibles para que una organización pueda determinar la causa de una no conformidad desde una simple tormenta de ideas hasta técnicas más complejas de resolución sistemática de problemas ( por ejemplo, análisis de causas raíz, diagramas de pescado, los cinco por qué, etc.). Un auditor debe estar familiarizado con el uso apropiado de estas herramientas. La extensión y eficacia de la acción correctiva depende de la identificación de la verdadera causa raíz. En algunos casos esto ayudará a una organización a identificar y minimizar no conformidades similares en otras áreas. Al revisar la respuesta de una organización a una no conformidad, el auditor debe confirmar que la documentación y la evidencia objetiva para las tres partes corrección, causa y acción correctiva - se proporcionan por la organización, y son apropiadas, antes de aceptar la respuesta. Elementos importantes a verificar en el proceso de revisión incluyen: declaraciones de acciones; son claras y concisas? descripción de acciones; son completas y referencian con precisión documentos, procedimientos específicos, etc. según sea apropiado? el uso de la forma del pasado (fue, estuvo, ha sido), como un indicador de que las acciones tomadas han sido completadas. la fecha de terminación de las acciones correctivas; fechas pasadas deben encontrarse como indicador de que las acciones han sido tomadas (las fechas que indican acción futura no son una buena práctica). evidencia que soporte el hecho de que la acción correctiva ha sido total y eficazmente implementada y que la acción correctiva ha sido desempeñada en la forma en que estaba descrita. Adicionalmente, el auditor debería verificar que la organización se ha asegurado que la acción correctiva tomada no ha creado por si misma mayores problemas relacionados con la calidad del producto o la implementación del SGC.

41 Traducción libre realizada por INLAC. Documentos oficiales disponibles en : Debe notarse que tanto la corrección como la acción correctiva no son siempre apropiadas y que la corrección o la acción correctiva por si solas pudieran ser suficientes. Esto pudiera suceder, por ejemplo, en casos en que se puede demostrar que la no conformidad fue absolutamente accidental, y la probabilidad de que vuelva a ocurrir es muy baja. La acción correctiva eficaz debe prevenir que la no conformidad vuelva a ocurrir eliminando la causa. Sin embargo, la acción correctiva no debe confundirse con la acción preventiva. La definición de acción preventiva es como sigue: Acción preventiva: acción para eliminar la causa de una no conformidad potencial o una situación indeseable (ISO 9000:2000, cláusula 3.6.4) Se debe notar que la acción preventiva por la naturaleza de su definición no es aplicable a no conformidades ya detectadas. Sin embargo un análisis de las causas de las no conformidades detectadas pudiera identificar no conformidades potenciales en una escala más amplia en otras áreas de la organización y proporcionar una entrada para una acción preventiva. Cierre de no conformidades Ya que las no conformidades tienden a ser individuales en su naturaleza, se puede utilizar una amplia variedad de métodos o actividades para cerrarlas. Por ejemplo, algunas requerirán un examen directo en el lugar (lo que pudiera requerir la necesidad de visitas adicionales al lugar), mientras otras pudieran cerrarse de manera remota (por la revisión de documentación relevante que se envíe como evidencia). Antes de decidir el acuerdo para cerrar una no conformidad, el auditor líder (o auditor cuando actúa solo) debería revisar lo que la organización hizo con respecto a la corrección / análisis de la causa y los resultados logrados a través de la acción correctiva. El auditor líder necesita asegurar que existe evidencia objetiva (incluyendo documentación de soporte) para demostrar que la acción correctiva descrita ha sido completamente implementada y es eficaz en prevenir que la no conformidad vuelva a ocurrir. Solamente cuando la situación sea satisfactoria debería cerrarse la no conformidad.

42 International Organization for Standardization International Accreditation Forum Auditando el proceso de Diseño y Desarrollo El objetivo de auditar el proceso de diseño y desarrollo es determinar hasta donde es gestionado y controlado para lograr productos que cumplan con el uso intencionado y los requisitos especificados. Es necesario hacer notar que para las organizaciones de servicio, el enfoque a diseño y desarrollo podría ser diferente al de las organizaciones tradicionales de manufactura (ver guía sobre Auditoría a organizaciones de servicio). Generalmente, el proceso de diseño y desarrollo consiste en los pasos mostrados en la figura 1. Cada paso tiene resultados específicos que cubren tanto los aspectos comerciales como los técnicos del diseño y desarrollo de un producto. Figura 1 Diagrama del proceso de Diseño y Desarrollo Los auditores deben establecer qué proyectos de diseño y desarrollo se han tomado y se están tomando. Los auditores deben seleccionar un número de proyectos suficiente para permitir auditar todas las fases del proceso de diseño.

43 A continuación se da una guía de cómo auditar las diferentes etapas del proceso de diseño y desarrollo, pero debe resaltarse que pudiera no ser posible auditar todas las etapas para todos los proyectos seleccionados. Auditando la necesidad del diseño y desarrollo La necesidad de diseño y desarrollo se genera en varias fuentes, incluyendo: La planificación estratégica de la organización Inteligencia e investigación de mercado Reportes de servicio Retroalimentación y demandas de clientes Cambios en procesos Nuevas tecnologías Proveedores Los auditores deben evaluar si las organizaciones tienen establecidas y en funcionamiento, actividades para revisar esas necesidades. Aunque no es un requisito de la norma, es muy útil revisar como se toma la decisión de iniciar un diseño y desarrollo, i.e. se han considerado los riesgos y las implicaciones de costo y se han consultado las funciones (internas y externas) relevantes. Auditando la planificación del diseño y desarrollo Los puntos siguientes deben ser considerados cuando se audite la función de planificación: Cuál es el flujo general del proceso de diseño y desarrollo? cómo está descrito? qué recursos y competencias son requeridos? qué parte del diseño será subcontratada? quién es responsable y las autoridades están definidas? Cómo están identificadas las interfases (internas y externas) entre varios grupos y como se gestionan? están definidos los puntos de verificación, validación y revisión? están identificadas las metas y tiempos? se da seguimiento a la implementación y eficacia del plan? se actualiza el plan y se comunica a las funciones relevantes según sea necesario? Auditando las entradas de diseño y desarrollo Cuando se auditan las entradas de diseño y desarrollo, los auditores deben desarrollar un entendimiento de cómo la organización define sus propias entradas basándose en: El producto y los procesos de la organización Aspectos financieros, ambientales y de seguridad e higiene Riesgos e impactos organizacionales Requisitos y expectativas de los clientes Requisitos reglamentarios

44 Los auditores deben evaluar los riesgos y las implicaciones posibles para la satisfacción del cliente y los aspectos que la organización pudiera encontrar si alguna entrada relevante no es considerada. Auditando el proceso de diseño y desarrollo y las revisiones de diseño Los auditores deben verificar que todo el proceso de diseño y desarrollo sea controlado de acuerdo con el plan original de la organización, sea revisado y que las revisiones de diseño tengan lugar en las fases apropiadas según lo planeado. Los siguientes aspectos deben ser considerados por los auditores cuando examinen el proceso de revisión: las revisiones ocurren en las fases planeadas a través del proceso de diseño? las revisiones se realizan de manera sistemática involucrando a los representantes de las funciones concernientes con la fase que se está revisando? se han considerado todas las entradas originales y cualquier otra nueva? los resultados esperados originales siguen siendo relevantes o se han identificado resultados con revisiones? se han revisado las entradas y resultados con revisiones y han sido aprobadas por aquellos con responsabilidad y autoridad relevantes (incluyendo al cliente cuando sea apropiado)? se han logrado los objetivos de diseño relevantes? existen registros adecuados de las revisiones? Auditando los resultados de diseño y desarrollo Los resultados del diseño y desarrollo deben cumplir con las necesidades identificadas para ser capaces de asegurar que el producto resultante pueda cumplir con su uso intencionado. Los resultados pueden incluir información relevante sobre lo siguiente: Compras Producción Aseguramiento de la calidad Información para la provisión de servicio y mantenimiento del producto y debe ser proporcionada de manera que facilite el desempeño de las actividades de verificación y validación. Los auditores deben obtener evidencia de los proyectos seleccionados para confirmar que: Está disponible la evidencia respecto a la terminación de las fases de diseño y desarrollo El proceso de diseño y desarrollo se ha terminado para la fase bajo revisión Los resultados de diseño y desarrollo han sido confirmados

45 Auditando la verificación del diseño y desarrollo La verificación del diseño y desarrollo tiene la intención de proporcionar la certidumbre de que los resultados de una actividad de diseño y desarrollo han cumplido los requisitos de entrada para esa actividad como se muestra en la figura 2. Figura 2 La verificación puede comprender actividades como: Desempeñar cálculos alternativos Comparar una especificación nueva de diseño con una especificación de diseño similar ya probada Realizar demostraciones incluyendo prototipos, simulaciones o pruebas Revisión de los documentos antes de su emisión Los auditores deben considerar que las actividades de verificación de diseño y desarrollo deben proporcionar la confianza de que: Las verificaciones requeridas son planificadas y se realizan según sea apropiado durante el proceso de diseño y desarrollo El diseño y desarrollo terminado es aceptable y los resultados son consistentes y trazables con los requisitos iniciales El diseño y desarrollo terminado es el resultado de la implementación de una secuencia apropiada de eventos, entradas, salidas, interfases, flujo lógico, asignación de tiempo, etc El diseño y desarrollo proporciona seguridad, y cumple con otros requisitos y entradas de diseño Se cuenta con evidencia para demostrar que los resultados de esa verificación y cualquier acción adicional ha sido registrada y confirmada cuando se completaron las acciones

46 Los auditores deben determinar que solamente los resultados de diseño y desarrollo verificados han sido remitidos para las fases siguientes, según sea apropiado. Auditando la validación de diseño y desarrollo La validación del diseño y desarrollo es la confirmación por medio de un examen y la proporción de evidencia de que un requisito particular para un uso intencionado específico se cubre, en otras palabras es el proceso de confirmar que el producto final será capaz de cumplir o cumple con las necesidades del cliente al usarlo. Los métodos de validación deben estar especificados como parte del proceso de planificación del diseño y desarrollo aunque estos puedan ser modificados durante la realización del diseño y desarrollo. Para muchos productos y/o servicios, la validación es un proceso relativamente simple. Un ejemplo puede ser un nuevo diseño de muebles de oficina, el cual puede ser validado por la prueba de un prototipo seguido de prueba de ejemplos iniciales del producto terminado. En muchas otras situaciones, la validación de diseño puede ser más compleja. Los productos o componentes, utilizados en sistemas eléctricos o electrónicos por ejemplo, tienen que cumplir con muchos requisitos de funcionamiento dependiendo de su uso por otras organizaciones de diseño de sistemas. En esa situación, la validación de diseño puede hacerse solamente cuando la información apropiada es obtenida de aquellas organizaciones de diseño de sistemas o de varios usuarios del producto o componente. En otras situaciones pudiera ser muy difícil realizar la validación del diseño ya que esta función es realizada por el cliente u otras organizaciones. En estos casos, la planificación del diseño y desarrollo debe prever como obtener, si es posible, la información requerida. Los auditores deben asegurarse de que: Existen registros para confirmar que las validaciones se han realizado La validación fue realizada de acuerdo con los aspectos planificados para la validación La validación indica que el producto resultante es capaz de cumplir los requisitos de la especificación Cuando sea práctico, la validación se ha realizado antes de la entrega o implementación del producto Existen registros de cualquier acción necesaria para corregir los no cumplimientos con las entradas de diseño y desarrollo y las razones de estas desviaciones. Cuando la validación no puede realizarse antes de la entrega o implementación, los auditores deben asegurarse que estas actividades se realizan en la oportunidad más próxima, como en la entrega de una planta o fábrica compleja, y ésta sea comunicada al cliente. Los auditores deben determinar que solamente los resultados de diseño y desarrollo validados son entregados para uso de los clientes.

47 Auditando los cambios en diseño y desarrollo Los cambios en el diseño y desarrollo realizados durante el proceso de diseño necesitan estar controlados. Los auditores deben considerar lo siguiente: las fuentes y requisiciones de los cambios están adecuadamente identificados y comunicados? el impacto de cualquier cambio es evaluado? se ha realizado cualquier prueba o ensayo de diseño donde sea apropiado? Se han evaluado los efectos de los cambios, en partes constituyentes y productos ya entregados? se ha dado la aprobación apropiada antes de que un cambio sea implementado? (esto pudiera incluir aprobaciones legales o aprobaciones por el cliente) los cambios están totalmente documentados y los registros incluyen información con respecto a cualquier acción adicional necesaria?

48 Traducción libre realizada por INLAC -Documentos oficiales disponibles en: International Organization for Standardization International Accreditation Forum Documentando una no conformidad El enfoque de cualquier auditoría a un sistema de gestión de la calidad es determinar si el sistema de gestión ha sido desarrollado, implementado y esta siendo mantenido eficazmente. Una organización se certifica con base a que se ha implementado eficazmente un sistema de gestión de la calidad que es conforme con los requisitos de la norma ISO 9001:2000. Por lo tanto el énfasis de una auditoría de sistema de gestión de la calidad debe ser verificar la conformidad, no el documentar no conformidades. Los auditores deben mantener un enfoque positivo y ver los hechos y no las faltas. Sin embargo, cuando la evidencia de auditoría determina que existe una no conformidad, entonces es muy importante que la no conformidad sea documentada correctamente. Qué es una no conformidad?, de acuerdo a la definición en la norma ISO 9000:2005 (3.6.2), una no conformidad es: incumplimiento de un requisito. Hay tres partes en una no conformidad bien documentada: la evidencia de auditoría que soporta los hallazgos del auditor; un registro del requerimiento contra el cual la no conformidad se detecta; el enunciado de la no conformidad. Aunque estas tres partes necesitan ser abarcadas, en la práctica real, es la evidencia de auditoría la que primeramente debe ser identificada y documentada. Esto es porque un auditor competente observará situaciones que siente pudieran ser una no conformidad potencial durante una auditoría, aunque no se esté 100% seguro en ese momento. El auditor competente documentará entonces la evidencia de auditoría de la no conformidad potencial en sus notas de auditoría antes de seguir pistas adicionales para confirmar si realmente es una no conformidad. Si no hay evidencia no hay no conformidad. Si si hay evidencia esta debe ser documentada como una no conformidad en vez de ser suavizada con otra clasificación (por ejemplo, observaciones, oportunidades de mejora, recomendaciones, etc.). A largo plazo, ni la organización, ni sus clientes, ni el cuerpo de certificación se benefician por el uso de clasificaciones suaves, ya que se tiene el riesgo de haber dado a la no conformidad una baja prioridad para acción correctiva.

49 Traducción libre realizada por INLAC -Documentos oficiales disponibles en: La evidencia de auditoría debe ser documentada con suficiente detalle para que la organización auditada pueda encontrar y confirmar exactamente lo que el auditor ha observado. La siguiente cosa que el auditor necesitará hacer es identificar y registrar el requisito específico que no ha sido cubierto. Recuerde, una no conformidad es un incumplimiento a un requisito, por lo que si el auditor no puede identificar el requisito, entonces el auditor no puede levantar una no conformidad. Los requisitos pueden venir de muchas fuentes, por ejemplo estos requisitos pudieran estar especificados en la norma ISO 9001:2000, en el sistema de gestión de la organización (requisitos internos), en las regulaciones legales aplicables, o por los clientes de la organización. Una vez que la no conformidad contra un requisito específico es confirmada, esta necesita ser documentada. Esto puede ser tan simple como referenciar la norma y la cláusula específica. (Nota: La norma ISO 9001:2000 contiene cláusulas que incluyen más de un requisito. Es importante que el auditor claramente identifique y registre el requisito específico relativo a la no conformidad, por ejemplo transcribiendo de la norma el texto exacto del requisito que es aplicable a la evidencia de la auditoría. Esto puede también aplicarse a las otras fuentes de requisitos). La parte final (y más importante) de documentar una no conformidad, es la escritura de la declaración de la no conformidad. El enunciado de la no conformidad dirige el análisis de la causa, la corrección y la acción correctiva que realice la organización, por eso ésta necesita ser precisa. El enunciado de la no conformidad debe: ser autoexplicativo y relacionado a la parte correspondiente del sistema no ser ambiguo, lingüísticamente correcto y lo más conciso posible no ser una repetición de la evidencia de la auditoría o utilizado en lugar de la evidencia de auditoría. Para resumir, una no conformidad bien documentada tendrá tres partes: la evidencia de auditoría, el requisito y el enunciado de la no conformidad. Si las tres partes de la no conformidad están bien documentadas, el auditado o cualquier otra persona con conocimientos suficientes podrá ser capaz de leer y entender la no conformidad. Esto servirá también como un registro útil para futuras referencias. Con el objeto de proporcionar trazabilidad, facilitar el progreso de las revisiones y evidenciar la terminación de las acciones correctivas, es esencial que las no conformidades sean registradas y documentadas de una manera sistemática. Una manera simple de lograr esto es a través del uso de un formato de Reporte de No Conformidad (RNC). Vea en el anexo A un ejemplo de un tipo de este formato.

50 Traducción libre realizada por INLAC -Documentos oficiales disponibles en: Anexo A Ejemplo de un formato de Reporte de No Conformidad (RNC) RNC # Cliente Folio No Función/Area/Proceso: Planta: Norma y cláusula: Sección 1- Detalles de la No Conformidad: Descripción Auditor : Fecha: Reconocimiento del representante de la organización: Sección 2- Plan de acción Propuesto por el Auditado (Adjunte hojas si se requiere) Categoría: Análisis de causa raíz ( Cómo / Por qué pasó?): Corrección (arreglo inmediato) con fechas de terminación: Acción Correctiva (para prevenir la reocurrencia) con fechas de terminación: Revisión y aceptación del plan de acción correctiva por el Auditor : Representante del auditado: Fecha: Sección 3- Detalles de la verificación por el Auditor de la implementación del plan de acción Sección 4- RNC cerrada por Auditor el (fecha): Nombre del auditor líder:

51 International Organization for Standardization International Accreditation Forum Auditando la eficacia de la auditoría interna 1. Introducción Las organizaciones que buscan un sistema de gestión de la calidad adecuado y eficaz necesitan realizar auditorías internas para asegurar que el SGC funciona como se quiere y para identificar las ligas débiles en el sistema así como las oportunidades de mejora potenciales. La auditoría interna actúa como mecanismo de retroalimentación para la alta dirección, ésta puede darle a la alta dirección y a otras partes interesadas la seguridad de que el sistema cumple los requisitos de la norma ISO 9001:2000. El cómo se maneje el proceso de auditoria interna es un factor clave para asegurar la eficacia de un sistema de gestión de la calidad. 2. Requisitos y Directriz 2.1 La norma ISO 9001:2000 cláusula establece lo siguiente: Auditoría interna Se debe planificar un programa de auditorías tomando en consideración el estado y la importancia de los procesos y las áreas a auditar, así como los resultados de auditorías previas. Este requisito tiene la intención de enfocar el programa de auditoría interna hacia aquellos procesos y áreas donde la historia indica que han ocurrido problemas, o donde parece que los problemas continuarán, y/o ocurrirán (debido a la naturaleza de los mismos procesos). Estos problemas pudieran resultar de aspectos como factores humanos, capacidad de proceso, sensibilidad de medición, cambio en requisitos de los clientes, cambios en el ambiente de trabajo, etc. Los procesos con alto nivel de riesgo de deficiencias o no conformidades deben tener prioridad en el programa de auditoría interna. Se debe dar una atención especial a los procesos donde el alto nivel de riesgo es influenciado por factores tales como: - consecuencias severas por la falla de capacidad del proceso; - no satisfacción del cliente; - no cumplimiento con requisitos reglamentarios del producto (o proceso) ISO & IAF 2005 All rights reserved 1

52 2.2 La norma ISO 9004:2000 Cláusula La alta dirección debería asegurarse del establecimiento de un proceso de auditoría interna eficaz y eficiente para evaluar las fortalezas y debilidades del sistema de gestión de la calidad. El proceso de auditoría interna actúa como una herramienta de gestión para la evaluación independiente de cualquier proceso o actividad designado. El proceso de auditoría interna proporciona una herramienta independiente aplicable para obtener evidencias objetivas de que se han cumplido los requisitos existentes, dado que la auditoría interna evalúa la eficacia y la eficiencia de la organización. Esta directriz de la norma ISO 9004 fuerza la necesidad de usar eficientemente los recursos cuando se realizan auditorías internas. (Nota: esta directriz de la norma ISO 9004 no es un requisito auditable en una evaluación de la ISO 9001). 3. Directriz de auditoría Cuando los auditores de tercera parte examinen los procesos de auditoría interna, deben evaluar aspectos tales como: - las competencias que son requeridas para la auditoría y cómo son aplicadas. - el análisis de riesgo desarrollado por la organización (si hay alguno) en la planificación de las auditorías internas, - el grado de involucramiento de la alta dirección en el proceso de auditoría interna. - la directriz dada por la norma ISO (pero advierta que la norma ISO 9001:2000 no requiere que la organización utilice la norma ISO 19011), y - el modo que el resultado del proceso de auditoría interna es utilizado por la organización para evaluar la eficacia de su SGC y para identificar las oportunidades de mejoras. Un auditor de tercera parte necesita: a) evaluar el enfoque de la organización para identificar las áreas críticas así como otros parámetros; Por ejemplo, si la organización ha identificado: sus procesos que son críticos para la calidad del producto, sus procesos complejos, o aquellos que necesitan atención especial sus procesos que necesiten que el personal esté calificado sus procesos que necesiten un seguimiento detallado de los parámetros de proceso sus actividades de seguimiento y medición que requieren una calibración frecuente y/o verificación; sus actividades y procesos que ocurren sobre múltiples lugares y/o que son de labor intensiva, etc. procesos donde han ocurrido problemas o están en riesgo los indicadores de desempeño de proceso establecidos que definen las medidas de eficacia y eficiencia, y si estas mediciones están alineadas con los objetivos o metas globales de la organización La organización utiliza esta información cuando establecen la frecuencia de auditoría de esos procesos y actividades? b) evaluar la competencia de los auditores internos de la organización y los equipos de auditoría; Debe existir evidencía de que la organización: ha identificado los requisitos de competencia para sus auditores internos, ISO & IAF 2005 All rights reserved 2

53 ha proporcionado el entrenamiento apropiado tiene implementado un proceso para dar seguimiento al desempeño de sus auditores internos y equipo de auditoría incluye personal en sus equipos de auditoría que tengan el conocimiento específico apropiado del sector (de modo que sean capaces de identificar cuando la probabilidad de una desviación en un proceso o actividad en particular puede llevar a una consecuencia significativa en la calidad del producto) También se debe realizar una evaluación de qué tanto los auditores internos entienden el riesgo inherente en la confiabilidad que se puede poner en el resultado del proceso de auditoría si ellos: fallan en considerar algo que es material para el resultado de la auditoría, seleccionan un rango de muestreo no apropiado sopesan de manera no apropiada la evidencia recolectada, o se desvían del plan de auditoría y los procedimientos de auditoría interna. c) evaluar la planificación de las auditorías; La organización debe ser capaz de maximizar el uso de los recursos disponibles durante la conducción de las actividades de la auditoría interna. Esto puede facilitarse por la adopción de un enfoque basado en el riesgo en la planificación de las auditorías internas. Debe cuestionarse si la organización (durante su proceso de auditoría interna) ha considerado el uso del enfoque basado en riesgo en el desarrollo del plan de la auditoría interna, para asegurar el uso eficaz y eficiente de los recursos. Esto también debe asegurar que el riesgo inherente de falla de la auditoría en el proceso de auditoría, y de los resultados de la auditoría, se minimice. La organización debe tener un proceso para utilizar los resultados de auditorías anteriores en la planificación de auditorías internas futuras. d) buscar evidencia de que la organización ha implementado un programa de auditoría interna eficaz. Tomando en cuenta los factores anteriores, y examinando si el proceso de auditoría interna está llevando al SGC a una mejora tangible, el auditor de 3 ra parte debe ser capaz de formarse un juicio de qué tanto la organización ha implementado un programa de auditoría interna eficaz y si el resultado de las auditorías internas proporciona evidencia para el análisis de la eficacia del SGC. ISO & IAF 2005 All rights reserved 3

54 International Organization for Standardization International Accreditation Forum El alcance de la norma ISO 9001:2000, Alcance del Sistema de Gestión de la Calidad (SGC) y el Alcance de la certificación La norma ISO 9001:2000 en la cláusula 1 Alcance, define el alcance de la norma misma. Esto no debe ser confundido con el alcance del SGC, que es un término comúnmente utilizado para describir los procesos, productos (y / o servicios), y las instalaciones, departamentos, divisiones, etc., de la organización a los cuales la organización aplica un SGC formal. (Nota, este no necesariamente incluye todos los procesos, productos, instalaciones, departamentos, o divisiones, etc., de la organización). El alcance del SGC debe estar basado en la naturaleza de los productos de la organización y sus procesos de realización, el resultado de una evaluación de riesgo, consideraciones comerciales, y requisitos contractuales y reglamentarios. Aunque la norma ISO 9001:2000 es genérica, y aplicable a todas las organizaciones (sin importar el tipo, tamaño y categoría de producto), bajo ciertas circunstancias, una organización pudiera excluir el cumplimiento con algunos requisitos específicos de la norma ISO 9001:2000 (de la cláusula 7), y le es permitido declarar conformidad con la norma. Esto es porque se ha reconocido que no todos los requisitos en esta cláusula de la norma son relevantes para todas las organizaciones. La misma norma ISO 9001:2000 permite estas exclusiones a través de la cláusula 1.2 Aplicación. Consecuentemente, el alcance de la certificación abarca el alcance del SGC, así como cualquier requisito de la norma ISO 9001 excluido según lo descrito. Ya que los términos alcance del SGC y alcance de la certificación frecuentemente se usan indistintamente, esto puede llevar a una confusión cuando un cliente o usuario final está tratando de identificar qué partes de una organización ha sido certificada en ISO 9001, qué líneas de productos o

55 procesos están cubiertos por el SGC, o qué requisitos de la norma ISO 9001 han sido excluidos. Para disipar ese tipo de confusión y para permitir la identificación de que ha sido certificado, el alcance de la certificación debe claramente definir: el alcance del SGC (incluyendo detalles de las líneas de producto y sus instalaciones, departamentos, divisiones, etc., relacionados que están cubiertos por el SGC). los principales procesos de la organización para la realización del producto o actividades de prestación del servicio (como diseño, manufactura y entrega), para las líneas de producto que están cubiertas. cualquier requisito de la norma ISO 9001 que haya sido excluido. (Debe resaltarse que el alcance de la certificación no es lo mismo que el certificado que se otorga a la organización después de haber demostrado exitosamente su conformidad con la norma ISO El certificado normalmente incluirá una descripción sintetizada del alcance de la certificación, pero no los detalles de los requisitos de la 9001 que hayan sido excluidos; sin embargo, este pudiera incluir una nota para referir al hecho de que las exclusiones están detalladas en el manual de calidad de la organización.) Es esencial que la organización haga un borrador de la declaración del alcance de la certificación antes de solicitar la certificación. Este debe entonces ser analizado por el Cuerpo de Certificación durante la etapa 1 de la auditoría para planificar apropiadamente la etapa 2 de la auditoría. (Referirse al documento La necesidad de un enfoque de dos etapas para la auditoría ) Es responsabilidad del auditor: asegurar que la declaración final del alcance de certificación no esté engañoso; verificar que el alcance solo se refiere a los procesos, productos, instalaciones, departamentos, o divisiones, etc. de la organización que fueron evaluados durante la auditoría de certificación; y verificar que este enfoque define cualquier exclusión de los requisitos de la norma ISO 9001, y que la justificación a esas exclusiones se proporciona y es razonable. Como una medida adicional para combatir la confusión potencial entre los clientes y usuarios finales, el alcance de la certificación debe estar claramente definido en el Manual de la Calidad de la organización y cualquier documento de disponibilidad pública (esto incluye, por ejemplo el material promocional y de mercadeo). El alcance de la certificación nunca debe incluir declaraciones promocionales.

56 El ISO/TC 176/SC 2 ha desarrollado el documento N524 El paquete de introducción y soporte ISO 9000: Directrices sobre la subcláusula 1.2 Aplicación de la norma ISO 9001:2000 para proporcionar a los usuarios la información sobre la intención de la cláusula 1.2 Aplicación de la norma ISO 9001:2000, incluyendo algunos ejemplos típicos de su uso en situaciones prácticas. (El documento N524 está disponible para descargarse sin cargos en la dirección Adicionalmente, la IAF ha publicado sus Directrices IAF sobre la aplicación de la norma ISO 9001:2000, versión 2, que también debe servir de referencia.

57 International Organization for Standardization Accreditation Forum International El papel y valor de las listas de verificación para auditoría Introducción Este documento proporciona información del papel y uso de las listas de verificación para auditoría para soportar activamente el proceso de auditoría. Mientras que el documento está primordialmente dirigido para organizaciones de auditoría externa (incluyendo cuerpos de certificación), la información puede también ser usada por cualquier organización que realice auditorías internas. La necesidad de las listas de verificación: Al ver las normas actuales de auditoría, la norma ISO hace referencia a la Preparación de documentos de trabajo en la cláusula Lo siguiente es un extracto de esta cláusula: Los miembros del equipo auditor deberían revisar la información pertinente a las tareas asignadas y preparar los documentos de trabajo que sean necesarios como referencia y registro del desarrollo de la auditoría. Tales documentos de trabajo pueden incluir: listas de verificación y planes de muestreo de auditoría, y formularios para registrar información, tal como evidencias de apoyo, hallazgos de auditoría y registros de las reuniones. El uso de listas de verificación y formularios no debería restringir la extensión de las actividades de auditoría, que pueden cambiarse como resultado de la información recopilada durante la auditoría.

58 El uso de la lista de verificación para auditoría: Aunque no siempre es requerida en las normas de sistemas de gestión, las listas de verificación para auditoría son solo una herramienta disponible de la caja de herramientas del auditor. Muchas organizaciones las usarán para asegurar que la auditoría al menos cubrirá los requisitos como se definan en el alcance de la auditoría. Un ejemplo de enfoque de auditoría se muestra enseguida: Auditar desde el Sistema de gestión hacia los requisitos de la norma ISO 9001:2000 D E S E M P E Ñ O & C U M P L I M I E N T O ISO 9001:2000 Requisitos Sistema de Gestión de la organización C U M P L I M I E N T O Uso de listas de verif. para auditar los requisitos en el sistema de gestión de la organización Es benéfico auditar desde el sistema de gestión de la organización hacia los requisitos, la lista de verif. se puede utilizar para asegurar que los requisitos relevantes de la norma ISO 9001 se cubrieron Ventajas: La literatura disponible en el mercado resalta lo siguiente con respecto al uso de listas de verificación para auditoría: 1. Las listas de verificación si se desarrollan para una auditoría específica y se usa correctamente: a. Promueve la planificación de la auditoría. b. Asegura un enfoque consistente de auditoría. c. Actúa como plan de muestreo y controlador de tiempo. d. Sirve como ayuda a la memoria. e. Proporciona un archivo para las notas recolectadas durante el proceso de auditoría (notas del campo de auditoría) 2. Las listas de verificación para auditoría necesitan ser desarrolladas para proporcionar asistencia al proceso de auditoría. 3. Los auditores necesitan ser entrenados en el uso de las listas de verificación particulares y enseñarles como usarlas para obtener el máximo de información utilizando buenas técnicas de cuestionamiento.

59 4. Las listas de verificación deben asistir a un auditor a desempeñarse mejor durante el proceso de auditoría. 5. Las listas de verificación ayudan a asegurar que la auditoría se realice de manera sistemática y comprehensiva y se obtenga evidencia adecuada. 6. Las listas de verificación pueden proporcionar la estructura y continuidad que asegure que el alcance de la auditoría se ha seguido. 7. Las listas de verificación pueden proporcionar un medio de comunicación y un lugar para registrar datos para usar como futura referencia. 8. Una lista de verificación completa proporciona evidencia objetiva de que la auditoría se desarrolló. 9. Una lista de verificación puede proporcionar un registro de que el SGC fue examinado. 10. Las listas de verificación pueden ser utilizadas como información base para planificar futuras auditorías. 11.Las listas de verificación pueden proporcionarse al auditado antes de la auditoría en sitio. Desventajas En contraste, cuando las listas de verificación para auditoría no están disponibles o están pobremente preparadas surgen los siguientes aspectos de preocupación: 1. La lista de verificación puede ser vista como arma de intimidación por el auditado. 2. El enfoque de la lista de verificación puede ser muy estrecho en alcance para identificar las áreas específicas con problemas. 3. Las listas de verificación son una herramienta de ayuda para el auditor, pero puede ser restrictiva si se utiliza como el único mecanismo de soporte del auditor. 4. Las listas de verificación no deben ser un sustituto del plan de auditoría. 5. Una lista de verificación utilizada por un auditor inexperto pudiera no ser capaz de comunicar claramente que es lo que el auditor esta buscando. 6. Las listas de verificación pobremente preparadas pueden hacer lenta la auditoría debido a duplicaciones y repeticiones. 7. Las listas de verificación genéricas, no reflejan el sistema de gestión específico de la organización y pudieran no agregar valor e interferir con la auditoría. 8. Las listas de verificación con un enfoque cerrado minimiza a preguntas de evaluación únicas. Conclusión Existen ventajas y desventajas en el uso de las listas de verificación para auditorias. Depende de muchos factores, incluyendo las necesidades de los clientes, las restricciones de tiempo y costos, la experiencia del auditor y los requisitos del esquema del sector. Los auditores deben evaluar el valor de la lista de verificación como una ayuda en el proceso de auditoría y considerar su uso como una herramienta funcional.

60 Traducción libre realizada por INLAC -Documentos oficiales disponibles en: International Organization for Standardization International Accreditation Forum La necesidad de un enfoque de dos etapas para la auditoría Para auditar la norma ISO 9001:2000 es necesario que los auditores obtengan un buen entendimiento del sistema de gestión de la calidad (SGC) del auditado y de la naturaleza de su negocio. Es por esto que es benéfico para la organización que sea visitada con anterioridad a la auditoría de certificación y para que se realice la primera etapa de la auditoría. Esta 1 etapa de auditoría es primeramente para definir el alcance y planificar la auditoría de certificación (la etapa 2 de la auditoría) y para permitir que el auditor obtenga un entendimiento de la organización. Por ejemplo, para obtener un conocimiento de su SGC, políticas, objetivos, riesgos, procesos, localidades, etc. También se pudiera utilizar para que el cuerpo de auditoría comunique sus necesidades y expectativas al auditado. Las actividades desarrolladas en la etapa 1 de la auditoría incluyen: La identificación de los riesgos clave para el negocio y los aspectos regulatorios relacionados y su cumplimiento. Una evaluación de si los procesos definidos por el auditado son adecuados para cumplir sus objetivos y los requisitos de los clientes. Conducir una revisión documental. Esta revisión debe determinar si la documentación del SGC de la organización cubre adecuadamente todos los requisitos de la norma ISO 9001:2000. La revisión normalmente debería ser realizada en las instalaciones del auditado (a menos que se solicite y justifique algo distinto). Como resultado de esta actividad, se debe proporcionar un reporte que resalte cualquier área de deficiencia. Como parte de la revisión documental, el auditor debe evaluar la extensión y la disponibilidad de procedimientos de soporte y descripciones de proceso. Recolectar la información necesaria de acuerdo con el alcance del SGC de la organización, los procesos y ubicación. Hacer un borrador de la documentación de la futura certificación, incluyendo el enunciado del alcance

61 Traducción libre realizada por INLAC -Documentos oficiales disponibles en: Planificar la auditoría de certificación (etapa 2), incluyendo los requisitos para la selección del equipo auditor. Obtener evidencia de que se han planificado auditorías internas y revisiones por la dirección, o han sido eficazmente realizadas Verificar que el SGC está implementado y listo para la etapa 2 de la auditoría, incluyendo el nivel apropiado de documentos y de registros de soporte. Si el sistema tiene alguna deficiencia, el auditor debe notificarlo en el reporte de auditoría, de modo que la organización tenga la oportunidad de rectificar las deficiencias antes de su auditoría de certificación (2 etapa). Acordar la fecha de la auditoría 2 etapa

62 International Organization for Standardization International Accreditation Forum Entendiendo el enfoque a proceso Ayudando al auditor a interpretar el enfoque a proceso Si el auditor no entiende o mal entiende el enfoque a proceso, hay que dirigirlo a fuentes reconocidas de información, como la norma ISO 9000:2005 y las guías ISO en los conceptos y uso del enfoque de procesos para los sistemas de gestión documento ISO/TC176/SC2 N 544 disponible en: El cuerpo de certificación debe asegurar que todos sus auditores hayan recibido el entrenamiento suficiente sobre los requisitos de la norma ISO 9001:2000, en particular en el enfoque a proceso. Por tanto, el auditor debe comprender que varios pasos son necesarios, incluyendo los siguientes: - determinar los procesos y las responsabilidades necesarias para lograr los objetivos de la calidad de la organización; - determinar y proporcionar los recursos e información necesaria; - establecer y aplicar los métodos de seguimiento y/o medición y análisis de cada proceso; - establecer y aplicar un proceso de mejora continua de la eficacia del SGC. El concepto del enfoque a proceso debe ser muy bien entendido por el auditor que no este limitado por la terminología de la norma; sin embargo, el auditado pudiera usar una terminología propia diferente. El auditor debe estar conciente de que la aplicación del enfoque a proceso será diferente de una organización a otra, dependiendo del tamaño y complejidad de la organización y sus actividades. Se debe dar una consideración especial en la situación de las micro y pequeñas empresas, de modo que el auditor no espere tantos procesos en el SGC. Ayudando al auditado a interpretar el enfoque a procesos Si el auditor se encuentra con un completo mal entendimiento del auditado, esta situación debe normalmente ser identificada en la primera etapa de auditoría. El auditor debe referir al auditado a las fuentes reconocidas de información, como las indicadas en la sección anterior. (En particular el documento ISO/TC176/SC2 N 544 que establece los pasos en el enfoque a procesos y proporciona una directriz útil con ejemplos). El auditor debe también poner suficiente consideración a - el establecimiento de los objetivos del proceso,

63 - la planificación del proceso, - la disponibilidad de registros adecuados. El auditado frecuentemente identifica muchos procesos; alguno o todos ellos son actividades que no cumplen con los requisitos de un proceso en el sentido en el que la norma ISO 9001:2000 utiliza el concepto. Si es así, el auditor debe proponer durante la auditoría de primera etapa, que el auditado desarrolle una redefinición de sus procesos basado en, por ejemplo, lo crítico de las actividades. Esto puede ser particularmente relevante para las pequeñas y medianas empresas.

64 International Organization for Standardization International Accreditation Forum Fecha: 12 de diciembre de 2005 Grupo de Prácticas de Auditoria ISO 9001 Guía sobre: AUDITORÍA DE LA GESTIÓN DE LOS RECURSOS Los auditores deberían verificar que los recursos necesarios para implementar, mantener y mejorar el sistema de gestión de la calidad se gestionan adecuadamente. Esto implica que la organización debe identificar, planificar, utilizar, poner a disposición, monitorear y cambiar los recursos adecuados según sea necesario. Se recomienda que la gestión de los recursos no se audite por separado. Independientemente de la forma en que la organización esté estructurada e identifique sus procesos, los auditores deberían poder verificar la gestión adecuada y eficaz de los recursos para lograr los resultados planificados. Es importante que los auditores verifiquen si la organización ha evaluado el desempeño anterior y actual (por ejemplo, usando el análisis costo - beneficio, la evaluación de riesgo, etc.) al decidir qué recursos se deben asignar. La gestión de los recursos se puede evaluar mediante entrevistas con la alta dirección y otro personal responsable para verificar que se han instaurado los procesos adecuados. Sin embargo, es necesario que esto tenga el soporte de la evidencia objetiva recolectada durante toda la auditoría. La evidencia se puede obtener en diferentes etapas de la auditoria - revisando entradas, desempeño de procesos y resultados. Esto se ha de llevar a cabo al auditar todos los procesos y la documentación de procesos y sistemas relacionados tales como: compromiso y responsabilidades de la dirección; proceso de revisión por la dirección; procesos de realización del producto, incluyendo el control de productos no conformes, acciones correctivas y preventivas y mejora continua. Los auditores deberían evitar hacer juicios subjetivos sobre la adecuación de los recursos asignados por la organización y que limiten su función a la evaluación de la eficacia del proceso de gestión de los recursos. ISO & IAF 2005 Todos los derechos reservados 1

65 Los auditores deberían verificar que se suministran y mantienen los recursos humanos, la infraestructura (energía, agua, mantenimiento de instalaciones y equipos, comunicaciones, tecnología de la información, etc.) y el ambiente de trabajo (temperatura, iluminación, vibración, ruido, etc.) de forma consistente con la política y los objetivos de calidad y que contribuyen al cumplimiento de los requisitos del producto. Si se observa que la organización no ha tenido en cuenta la gestión eficaz de los recursos, lo cual puede ocasionar un producto que no satisface los requisitos relacionados, esto se debería tratar como una no conformidad, cuya magnitud debería estar relacionada con el riesgo asociado. Para mayor información sobre el Grupo de Prácticas de Auditoría ISO 9001, por favor consulte el documento: Introducción al Grupo de Prácticas de Auditoría ISO 9001 (Introduction to the ISO 9001 Auditing Practices Group). El Grupo de Prácticas de Auditoría ISO 9001 utilizará la retroalimentación por parte de los usuarios para determinar si es recomendable desarrollar documentos de guía adicionales o si los existentes se deberían revisar. Los comentarios sobre los documentos o las presentaciones se pueden enviar a la siguiente dirección de correo electrónico: [email protected]. Los demás documentos y presentaciones del Grupo de Prácticas de Auditoría ISO 9001 se pueden descargar de los siguientes sitios Web: Exoneración de responsabilidad Este documento no se ha sometido a un proceso de aprobación por parte de la Organización Internacional de Normalización (ISO), el Comité Técnico ISO 176, ni el Foro Internacional de Acreditación (IAF). La información contenida aquí está disponible con propósitos educativos y de comunicación. El Grupo de Prácticas de Auditoría ISO 9001 no es responsable de los errores, omisiones ni otras obligaciones que se puedan originar en el suministro o posterior uso de dicha información. ISO & IAF 2005 Todos los derechos reservados 2

66 International Organization for Standardization Forum International Accreditation Auditando la Gestión de recursos Los auditores deben verificar que los recursos necesarios para implementar, mantener y mejorar el sistema de gestión de la calidad son adecuadamente gestionados. Esto significa que los recursos apropiados han sido identificados, planificados, puestos a disposición, utilizados, vigilados y cambiados según lo necesario por la organización. Se recomienda que la gestión de recursos no sea auditada de manera aislada. Independientemente del modo en que la organización este estructurada e identifique sus procesos, los auditores deben ser capaces de verificar la adecuación y gestión eficaz de los recursos para lograr los resultados planificados. Es importante que los auditores verifiquen si la organización ha evaluado el desempeño pasado y presente (e.g. utilizando análisis de costobeneficio, análisis de riesgos) cuando deciden qué recursos serán asignados. La gestión de los recursos puede ser evaluada por entrevistas con la alta dirección y otro personal responsable de verificar que los procesos adecuados estén operando. Estas necesidades, sin embargo, deben estar soportadas por evidencia objetiva recolectada durante la auditoría. La evidencia puede ser obtenida en diferentes fases de la auditoría revisando entradas, desempeño de los procesos y los resultados. Esto tiene que ser realizado cuando se auditan todos los procesos y sistemas relacionados así como la documentación del proceso, como: Las responsabilidades y compromisos de la dirección El proceso de revisión por la dirección Los procesos de realización del producto incluyendo el control de los productos no conformes, las acciones correctivas y preventivas y la mejora continua. Los auditores deben evitar hacer juicios subjetivos sobre la adecuación de la asignación de los recursos por la organización y debe limitar su papel a la evaluación de la eficacia del proceso de gestión de recursos. Los auditores deben verificar que los recursos humanos, la infraestructura (energía, agua, mantenimiento de edificios y equipos, comunicaciones, tecnología de la información, etc.) y el ambiente de trabajo (temperatura,

67 iluminación, vibración, ruido, etc.) hayan sido proporcionados y mantenidos de manera consistente con la política de calidad y los objetivos así como que hayan contribuido a la conformidad con los requisitos del producto. Si se encuentra que la gestión eficaz de los recursos no ha sido tomada en cuenta por la organización pudiendo resultar en no satisfacer un requisito de producto relacionado, esto puede ser tratado como una no conformidad, la magnitud de esto pudiera relacionarse al riesgo asociado.

68 International Organization for Standardization Forum International Accreditation Auditando la Gestión de recursos Los auditores deben verificar que los recursos necesarios para implementar, mantener y mejorar el sistema de gestión de la calidad son adecuadamente gestionados. Esto significa que los recursos apropiados han sido identificados, planificados, puestos a disposición, utilizados, vigilados y cambiados según lo necesario por la organización. Se recomienda que la gestión de recursos no sea auditada de manera aislada. Independientemente del modo en que la organización este estructurada e identifique sus procesos, los auditores deben ser capaces de verificar la adecuación y gestión eficaz de los recursos para lograr los resultados planificados. Es importante que los auditores verifiquen si la organización ha evaluado el desempeño pasado y presente (e.g. utilizando análisis de costobeneficio, análisis de riesgos) cuando deciden qué recursos serán asignados. La gestión de los recursos puede ser evaluada por entrevistas con la alta dirección y otro personal responsable de verificar que los procesos adecuados estén operando. Estas necesidades, sin embargo, deben estar soportadas por evidencia objetiva recolectada durante la auditoría. La evidencia puede ser obtenida en diferentes fases de la auditoría revisando entradas, desempeño de los procesos y los resultados. Esto tiene que ser realizado cuando se auditan todos los procesos y sistemas relacionados así como la documentación del proceso, como: Las responsabilidades y compromisos de la dirección El proceso de revisión por la dirección Los procesos de realización del producto incluyendo el control de los productos no conformes, las acciones correctivas y preventivas y la mejora continua. Los auditores deben evitar hacer juicios subjetivos sobre la adecuación de la asignación de los recursos por la organización y debe limitar su papel a la evaluación de la eficacia del proceso de gestión de recursos. Los auditores deben verificar que los recursos humanos, la infraestructura (energía, agua, mantenimiento de edificios y equipos, comunicaciones, tecnología de la información, etc.) y el ambiente de trabajo (temperatura,

69 iluminación, vibración, ruido, etc.) hayan sido proporcionados y mantenidos de manera consistente con la política de calidad y los objetivos así como que hayan contribuido a la conformidad con los requisitos del producto. Si se encuentra que la gestión eficaz de los recursos no ha sido tomada en cuenta por la organización pudiendo resultar en no satisfacer un requisito de producto relacionado, esto puede ser tratado como una no conformidad, la magnitud de esto pudiera relacionarse al riesgo asociado.

70 International Organization for Standardization International Accreditation Forum Identificación de procesos 1. Distinguiendo entre los conceptos de un proceso y una actividad Si el auditado no puede distinguir entre los conceptos de un proceso y una actividad, el auditor puede brevemente explicar las diferencias utilizando el fundamento (cláusula 2.4) y la definición (3.4.1) en la norma ISO 9000:2005 como una información de soporte. El auditor debe ser capaz de adaptarse a la situación del auditado. Es responsabilidad del auditor el entender el sistema y enfoque del auditado. Durante la auditoría, el auditor debe determinar si es un problema solamente de diferencia de terminología o si existe una falta real de implementación del enfoque a proceso por el auditado, en cuyo caso pudiera haber necesidad de emitir un reporte de no conformidad ya que el auditado no ha implementado completamente el requisito establecido en la norma ISO 9001:2000, Cláusula 4.1. Si simplemente es un problema de terminología, no habrá necesidad de emitir un RNC si todos los requisitos del la cláusula 4.1 se satisfacen. El auditado tiene el derecho de usar su propia terminología, demostrando que los requisitos de la norma se cumplen. El auditor debe mentalmente desarrollar una lista de referencia cruzada para asegurar la consistencia y tener un mejor entendimiento. 2. Un proceso tiene definidos objetivos, entradas, salidas, actividades y recursos Si el auditado no entiende que un proceso debe tener definido (pero no necesariamente mensurable) objetivos, entradas, salidas, actividades y recursos, el auditor debe tratar de reformular las preguntas al auditado evitando el uso de lenguaje de Gestión de la Calidad, ejemplo, pudiera explicarme sus operaciones aquí?, cuáles son los trabajos básicos que se realizan en su departamento?, qué información necesita usted para comenzar a trabajar?, de dónde viene dicha información?, quién recibe el resultado de su trabajo?, cómo sabe si ha hecho correctamente su trabajo?, etc. Esto debe ayudar al auditor a establecer si los procesos (según la norma ISO 9001:2000) están definidos, tienen entradas, salidas y objetivos claros, etc. 3. Los procesos deben ser analizados, debe dárseles seguimiento y/o medirlos y mejorarlos Si después de aplicar las técnicas de auditoría mencionadas anteriormente, y en la ausencia de cualquier registro u otras pruebas para demostrar que los procesos son analizados y/o se les da seguimiento y/o son medidos y/o mejorados, debe

71 considerarse una no conformidad a una parte de la cláusula 4.1 de la norma ISO 9001: El auditado / auditor considera que cada cláusula o sub cláusula de la norma ISO 9001:2000 debe ser definida como un proceso por separado Si el auditor considera esto como el enfoque correcto, se le debe referir a los documentos relevantes de ISO, (particularmente el ISO/TC 176/SC 2/N544) que claramente indica lo contrario. Si el auditado considera esto como el enfoque correcto, es recomendable utilizar las técnicas señaladas anteriormente en la segunda sección. 5. El enfoque a proceso, como se describe en la introducción en la norma ISO 9001:2000 es un requisito de la norma? La descripción del enfoque a procesos en la introducción de la norma ISO 9001:2000 es puramente informativa y no introduce una serie de requisitos adicionales por si misma. La cláusula 4.1 especifica los pasos necesarios para implementar un enfoque a proceso con respecto a los procesos de un sistema de gestión de calidad, la nota en la cláusula 4.1 proporciona ejemplos de los procesos necesarios para el sistema de gestión de la calidad. Las metodologías de auditoría deben ser orientadas, de modo que facilite el análisis de los procesos de la organización.

72 Traducción libre realizada por INLAC. Documentos oficiales disponibles en : International Organization for Standardization International Accreditation Forum Ligando la auditoría a un asunto, actividad o proceso particular sobre el sistema general El auditor no debe perder de vista la dirección general de la auditoría, y quedar atrapado por detalles superfluos. Es importante que el auditor mantenga la atención en la información proporcionada por el auditado en el manual de calidad o la documentación donde el auditado ha definido la interacción de los procesos. Las entrevistas deben también ser desarrolladas de modo que los auditores puedan determinar la entrada y la salida de los procesos a ser auditados. Manteniendo en mente el mapa de procesos del auditado se debe asegurar que el auditor será capaz de determinar la importancia del proceso que está auditando en cualquier momento, y podrá entonces ser capaz de mantener la visión de la dirección general de la auditoría. Esto también ayudará al auditor a entender la liga entre los procesos. Durante una auditoría, el auditor tiene una oportunidad de verificar la descripción del auditado de la interrelación de sus procesos. El auditor debe tomar algunas muestras para ver si las descripciones son un reflejo apropiado de la interrelación real de los procesos, ya que esto ayudará a determinar si la descripción del proceso es adecuada.

73 Traducción libre realizada por INLAC. Documentos oficiales disponibles en : International Organization for Standardization International Accreditation Forum Ligando la auditoría a un asunto, actividad o proceso particular sobre el sistema general El auditor no debe perder de vista la dirección general de la auditoría, y quedar atrapado por detalles superfluos. Es importante que el auditor mantenga la atención en la información proporcionada por el auditado en el manual de calidad o la documentación donde el auditado ha definido la interacción de los procesos. Las entrevistas deben también ser desarrolladas de modo que los auditores puedan determinar la entrada y la salida de los procesos a ser auditados. Manteniendo en mente el mapa de procesos del auditado se debe asegurar que el auditor será capaz de determinar la importancia del proceso que está auditando en cualquier momento, y podrá entonces ser capaz de mantener la visión de la dirección general de la auditoría. Esto también ayudará al auditor a entender la liga entre los procesos. Durante una auditoría, el auditor tiene una oportunidad de verificar la descripción del auditado de la interrelación de sus procesos. El auditor debe tomar algunas muestras para ver si las descripciones son un reflejo apropiado de la interrelación real de los procesos, ya que esto ayudará a determinar si la descripción del proceso es adecuada.

74 International Organization for Standardization International Accreditation Forum Date: 8 December 2006! Los resultados importan! 1. Introducción El ISO 9000 Advisory Group (compuesto por representantes del ISO/TC 176, ISO/CASCO, ISO/COPOLCO, IPC y de IAF) ha hecho recientemente varias recomendaciones para afrontar la creciente preocupación de que las organizaciones certificadas no están entregando de manera consistente productos conformes con los requisitos de los clientes (ref. ISO 9001:2000 cláusula 1.1.) El siguiente artículo de Jack West, publicado originalmente en la edición de julio 2006 de la revista Quality Digest, cubre este tópico y enfatiza el tema de que Los resultados importan La conformidad con los requisitos individuales de la norma ISO 9001:2000 como el control de documentos, control de registros, la competencia del personal y la calibración del equipo de medición es importante, pero no debe ser el foco central de un sistema de gestión de la calidad. Estos deben ser vistos como un medio para lograr los resultados deseados, que es un producto conforme de manera consistente. 2. El artículo de Jack West Se dice frecuentemente que una organización puede tener un buen sistema de gestión de calidad (SGC) conforme con la norma ISO 9001 y aún así producir basura. Esta observación se deriva de la distinción perfectamente válida entre una certificación de tercera parte del SGC y la certificación de producto. Certificar un SGC no es una garantía absoluta de que el producto realizado por la organización certificada estará conforme con los requisitos. Sin embargo, la norma ISO 9001 contiene muchos requisitos que, en su conjunto, deben proporcionar un aseguramiento razonable de que el resultado del sistema cumplirá con los requisitos de los clientes. La norma ISO 9001 requiere que la política de la calidad de la organización incluya un compromiso de cumplir los requisitos y continuamente mejore su SGC. La norma requiere que el diseño del producto sea validado para asegurar que ellos cumplirán ISO & IAF 2006 All rights reserved 1

75 los requisitos dados para la aplicación deseada. La norma ISO 9001 también requiere que el producto sea verificado para asegurar que cumple con los requisitos. La identificación y cumplimiento de los requisitos de los clientes es un tema consistente a través de la norma ISO Por ejemplo, uno de los resultados esperados de una revisión por la dirección es una decisión sobre producto que no cumpla con los requisitos de los clientes. Cláusulas de la norma ISO 9001 que demuestran que Los resultados importan 1.1 "Alcance" Esta Norma Internacional especifica los requisitos para un sistema de gestión de la calidad, cuando una organización (a) necesita demostrar su capacidad para proporcionar de forma coherente productos que satisfagan los requisitos del cliente y los reglamentarios aplicables, y (b) aspira a aumentar la satisfacción del cliente a través de la aplicación eficaz del sistema, incluidos los procesos para la mejora continua del sistema y el aseguramiento de la conformidad con los requisitos del cliente y los reglamentarios aplicables. 5.2 "Enfoque al cliente" "La alta dirección debe asegurarse de que los requisitos del cliente se determinan y se cumplen con el propósito de aumentar la satisfacción del cliente (ver y 8.2.1)." 5.3 "Política de la calidad" "La alta dirección debe asegurarse de que la política de la calidad b) incluye un compromiso de cumplir con los requisitos y de mejorar continuamente la eficacia del sistema de gestión de la calidad, " "Resultados de la revisión" "Los resultados de la revisión por la dirección deben incluir todas las decisiones y acciones relacionadas con b) la mejora del producto en relación con los requisitos del cliente, y 6.1 "Provisión de recursos" "La organización debe determinar y proporcionar los recursos necesarios para: b) aumentar la satisfacción del cliente mediante el cumplimiento de sus requisitos "Determinación de los requisitos relacionados con el producto" "La organización debe determinar a) los requisitos especificados por el cliente, incluyendo los requisitos para las actividades de entrega y las posteriores a la misma, b) los requisitos no establecidos por el cliente pero necesarios para el uso especificado o para el uso previsto, cuando sea conocido, c) los requisitos legales y reglamentarios relacionados con el producto, y ISO & IAF 2006 All rights reserved 2

76 d) cualquier requisito adicional determinado por la organización.." "Elementos de entrada para el diseño y desarrollo" "Deben determinarse los elementos de entrada relacionados con los requisitos del producto y mantenerse registros (véase 4.2.4). Estos elementos de entrada deben incluir: a) los requisitos funcionales y de desempeño, " "Validación del diseño y desarrollo" "Se debe realizar la validación del diseño y desarrollo de acuerdo con lo planificado (véase 7.3.1) para asegurarse de que el producto resultante es capaz de satisfacer los requisitos para su aplicación especificada o uso previsto, cuando sea conocido. " "Satisfacción del cliente" "Como una de las medidas del desempeño del sistema de gestión de la calidad, la organización debe realizar el seguimiento de la información relativa a la percepción del cliente con respecto al cumplimiento de sus requisitos por parte de la organización. " "Seguimiento y medición del producto" "La organización debe medir y hacer un seguimiento de las características del producto para verificar que se cumplen los requisitos del mismo.. " Material tomado de la norma ISO 9001:2000, utilizado con el permiso de la ISO Necesitamos poner un alto a perpetuar el mito de que las organizaciones en verdad pueden estar conformes con la norma ISO 9001 y continuar produciendo productos que no cumplen los requisitos de los clientes. Las organizaciones certificadas en ISO 9001 y los auditores igualmente tienden a enfocarse en cumplir los detalles de la norma ISO 9001 y frecuentemente pierden de vista los requisitos básicos. Nunca pierdan de vista el producto!. El que una organización esté conforme con la norma ISO 9001 debe significar para los clientes de la organización que ésta consistentemente le proporcionará productos que cumplan con sus requisitos. Debemos estar seguros que nuestros sistemas entregan producto conforme a nuestros clientes. La norma lo requiere, y la credibilidad en la certificación en ISO 9001 lo demanda. Son los resultados de nuestro SGC los que le importan a nuestros clientes. Nota: Este artículo resume varios conceptos importantes relacionados con la norma ISO 9001:2000 que son explicados en mayor detalle en el libro: ISO 9001:2000 Explained, Second Edition by Charles A. Cianfrani, Joseph J. Tsiakals and John E. (Jack) West (ASQ Quality Press, 2001). A cerca del autor John E. (Jack) West es un consultor, business advisor y autor de más de 30 años de experiencia en una amplia variedad de industrias. ISO & IAF 2006 All rights reserved 3

77 International Organization for Standardization International Accreditation Forum Qué tanta mejora es suficiente? Auditando la mejora continua Debe enfatizarse que el requisito en la norma ISO 9001:2000 es para la mejora continua de la eficacia del SGC. La mejora continua emana de los objetivos fijados por la alta dirección, los que deben incluir (al menos): la mejora de la eficiencia interna (para que la organización permanezca económicamente competitiva), las necesidades individuales de los clientes y el nivel de desempeño que el mercado normalmente espera. Por ejemplo, en el sector aeronáutico, el rango aceptable de producto no conforme entregado es cero por ciento, entonces no sería útil para la organización el establecer objetivos para una mejora a este rango. Sin embargo, sería útil para la compañía tener objetivos que lleven a la mejora de la eficiencia interna y su competitividad (ejemplo: a través de la innovación). Por tanto el auditor debe buscar identificar si el auditado ha intentado establecer objetivos que establezcan la correlación entre los 3 factores: Objetivos corporativos, necesidades de los clientes y expectativas del mercado. Así que, es decisión de la compañía el balancear la necesidad de mejorar la eficiencia interna y la necesidad de progresar con el desempeño externo (aunque los dos están frecuentemente muy relacionados). Ninguno aisladamente puede considerarse como suficiente o no suficiente. Un área que puede ser problemática para el auditor es conocer que es una referencia de mercado razonable. Continuando con el ejemplo anterior de la aeronáutica, si la compañía anuncia que ha mejorado de un nivel del 50% de producto no conforme entregado al 40%, esto demostraría mejora continua, pero sería difícilmente aceptable dado el rango normal de cero por ciento del sector industrial. Sin embargo, si anuncia que ha fijado un objetivo de mejorar su desempeño del 0,50% al 0,40%, esto sería mucho más cercano a la norma del mercado. La única solución real para el auditor es verificar cómo la organización ha determinado este rango de mejora propuesto, cómo han evaluado el riesgo asociado y cómo éste se relaciona con los requisitos del cliente y el seguimiento a la retroalimentación sobre la satisfacción del cliente. Sería casi imposible el levantar un RNC que establezca no hay suficiente mejora continua. Qué tipo de información es relevante y dónde la podemos encontrar? El auditor tiene que verificar cómo los objetivos corporativos generales han sido traducidos a requisitos internos a través de los procesos apropiados y como estos requisitos son

78 comunicados y se les da seguimiento. Entonces, el auditor debe buscar evidencia de que la organización está analizando datos provenientes del seguimiento del proceso y si toman estos resultados para evaluar la eficiencia del proceso y/o la mejora del resultado del proceso. Un punto que debe ser especialmente examinado es la consistencia del modo en que la mejora de cualquier proceso contribuye al cumplimento de los objetivos generales, para asegurar que esto no causará conflicto en el logro de otros objetivos. El tipo de información que un auditor necesita buscar, es evidencia de cómo los objetivos corporativos son traducidos en objetivos específicos del SGC. Por ejemplo: una compañía pudiera establecer un objetivo de reducir las quejas de los clientes en un 30%. El análisis de la alta dirección muestra que el 50% de las quejas son sobre las entregas atrasadas. El auditor debe buscar evidencia de que la organización está dando seguimiento y analizando los aspectos clave de las actividades de programación y planificación, de sus procesos y sus interfases, para reducir las demoras. Mejora de los procesos o mejora del SGC? El auditor debe recordar que no sería realista para la compañía progresar en todos las mejoras potenciales simultáneamente. Cada mejora requerirá del compromiso de recursos, los cuales pudieran necesitar ser priorizados por la alta dirección, especialmente donde se necesitan inversiones. El auditor debe buscar cómo se aseguran que los objetivos son consistentes en lo general y coherentes con la trilogía de factores mencionados anteriormente; Hay que recordar que, la ausencia de una política y/o objetivos relacionados con la mejora continua es claramente una no conformidad con la norma. De manera similar la ausencia de cualquier mejora en al menos uno de estos aspectos, sería considerado como indicativo de que la política de la calidad de la compañía no está alineada con la norma ISO 9001:2000. Una advertencia: no hay un requisito de que la compañía deba establecer objetivos para mejorar en todos sus procesos en algún tiempo. Como en el ejemplo anterior de reducir las quejas de los clientes, algunos procesos pudieran no ser vistos por la alta dirección como que contribuyan significativamente en la reducción de los retrasos y es normal entonces, que la compañía no se concentraría en estas áreas. Si la alta dirección ha establecido un objetivo (realista) para un proceso y no hay evidencia de mejora, esta información debe llevarse a la revisión por la dirección de modo que la alta dirección pueda decidir qué tipo de acción es apropiada por ejemplo reajustar el objetivo o proporcionar otros medios para impactar en el proceso.

79 International Organization for Standardization International Accreditation Forum Auditando organizaciones de servicio 1. Introducción Aunque la norma ISO 9001:2000 tiene la intención de ser aplicable a toda clase de organizaciones sin importar el tipo, tamaño o producto proporcionado, hay un número de características de las organizaciones de servicio que requieren una atención específica durante una auditoría de tercera parte. Consecuentemente, este documento va dirigido a proporcionar a los auditores las directrices para auditar el cumplimiento de las organizaciones de servicio con los requisitos de la norma ISO 9001:2000. Se da particular énfasis a los requisitos de la cláusula 7.3 Diseño y desarrollo, cláusula Validación de procesos para producción y prestación del servicio y la cláusula 8.3 Control del producto no conforme. 2. Organizaciones de servicio De acuerdo con la norma ISO 9000:2000, cláusula Producto: Un servicio es el resultado de llevar a cabo necesariamente al menos una actividad en la interfaz entre el proveedor y el cliente y generalmente es intangible. La prestación de un servicio puede implicar, por ejemplo: - una actividad realizada sobre un producto tangible suministrado por el cliente (por ejemplo, reparación de un automóvil); - una actividad realizada sobre un producto intangible suministrado por el cliente (por ejemplo, la declaración de ingresos necesaria para preparar la devolución de los impuestos); - la entrega de un producto intangible (por ejemplo, la entrega de información en el contexto de la transmisión de conocimiento); - la creación de una ambientación para el cliente (por ejemplo, en hoteles y restaurantes). La mayoría de las organizaciones tienen un elemento de servicio en su producto. Esto pudiera variar de casi el 100% de servicio (en el caso de una firma de abogados, por ISO & IAF 2005 All rights reserved 1

80 ejemplo), a un componente relativamente muy pequeño en el caso de una organización de manufactura que proporciona, por ejemplo, servicio post venta. 3. Directriz de auditoría 3.1 Diseño y desarrollo del servicio Cuando se considera la aplicabilidad o no de la cláusula 7.3 de la norma ISO 9001:2000 a una organización de servicio, es importante recordar la definición de Diseño y desarrollo, que de acuerdo con la norma ISO 9000:2000 cláusula es el conjunto de procesos que transforma los requisitos en características especificadas. También, de acuerdo a ISO 9000:2000 requisitos son necesidades o expectativas establecidas, generalmente implícitas u obligatorias y características del servicio son rasgos diferenciadores que pueden incluir: sensoriales, (e.g., relacionadas con el olfato, el tacto, el gusto, la vista y el oído); de comportamiento, (por ejemplo, cortesía, honestidad, veracidad); de tiempo, (por ejemplo, puntualidad, confiabilidad, disponibilidad); ergonómicas, (por ejemplo, características fisiológicas, o relacionadas con la seguridad humana); tangibles, (por ejemplo, características medibles; estas pudieran ser tanto las características del medio físico usado para dar el servicio, e.g. la velocidad máxima de un avión, o del ambiente en el cuál el servicio se proporciona, e.g. la temperatura interior o facilidades de una aeronave). Es muy común para las organizaciones considerar solamente el componente tangible de su producto cuando tratan los requisitos de la cláusula 7.3, olvidando que el diseño y desarrollo del producto intangible (el servicio mismo) debería ser el foco principal. Adicionalmente, la organización necesitará diseñar cómo el servicio será proporcionado a sus clientes. Si la organización propone justificar la exclusión del diseño y desarrollo de su SGC, el auditor debe hacer una evaluación cuidadosa de la justificación a la luz de lo anterior. El auditor debe también examinar si la organización tiene un proceso de diseño y desarrollo eficaz que defina suficientemente las características de su servicio, y de sus procesos de entrega del servicio, que son necesarios para cumplir con las necesidades y expectativas de los clientes. 3.2 Validación de los procesos de producción y prestación del servicio En términos de los procesos necesarios para realizar el servicio, podemos identificar dos tipos de procesos de servicio: aquellos que involucran al cliente en la realización del servicio mismo (entrega en tiempo real) y aquellos en que el resultado es entregado al cliente después de la realización del proceso ISO & IAF 2005 All rights reserved 2

81 Utilizando el ejemplo de un hotel, los procesos de registro y salida del huésped pudieran probablemente involucrar la entrega en tiempo real del servicio, mientras que la limpieza de la habitación del huésped pudiera generalmente ser entregado al cliente solamente después de completar el proceso (que pudiera ser sujeto de una inspección y retrabajo si fuera necesario, para corregir cualquier no conformidad). Procesos similares pueden también encontrarse en organizaciones de manufactura que proporcionan servicios relacionados a sus productos, por ejemplo, el manejo de reclamo de garantías; la reparación de los productos por unidades de servicio de la organización; o actividades de mantenimiento de producto desarrolladas en las instalaciones de los clientes. Aquellos procesos que involucran entregas en tiempo real, y son realizadas directamente en interfase con la organización / cliente rara vez pueden (si acaso) tener el resultado ( el servicio ) verificado por un seguimiento o medición subsecuente antes de ser entregados al cliente. Por lo tanto, esos procesos están sujetos a una validación de acuerdo a los requisitos de la cláusula de la norma ISO 9001:2000. Esto es esencial para prevenir que ocurran no conformidades. Para asegurar el control adecuado sobre la cualidad del servicio proporcionado, el auditor debe: -entender las características del servicio, los procesos de prestación del servicio, y sus criterios de aceptación, según los defina la organización (esto debe ser hecho durante la fase 1 de la auditoría) -determinar cómo se ha realizado la validación de los procesos de provisión de servicio en tiempo real (o cualquier otro proceso que requiera validación) y si esto ha tomado en cuenta los riesgos asociados; evaluar si las herramientas, entrenamiento y empoderamiento apropiados se han proporcionado al personal involucrado Para muchas industrias de servicio, el servicio proporcionado es instantáneo (vía procesos en tiempo real ), lo que no les permite realizar inspecciones antes de entregar ese servicio. El pensamiento de Calidad, dice que el modo más eficaz en costo de hacer negocios es aplicando la filosofía de procesos especiales a TODOS los procesos: mientras más organizaciones tengan sus procesos correctos, el menor número de organizaciones necesitarán preocuparse del resultado de sus procesos. Por lo tanto no es muy deseable que esta cláusula pueda ser excluida. 3.3 Control de producto no conforme En los casos de procesos de servicio que directamente involucran al cliente, el control del producto no conforme (cláusula 8.3) es la manera como la organización trata con las no conformidades en la provisión del servicio hasta que la acción correctiva apropiada es definida e implementada. Donde se identifica una no conformidad, el auditor debe examinar: si el personal involucrado está suficientemente empoderado con la autoridad para decidir la disposición del servicio, por ejemplo: ISO & IAF 2005 All rights reserved 3

82 inmediatamente terminar el servicio reemplazar el servicio proporcionado ofrecer una alternativa los procesos de quejas y reclamos de la organización cualquier corrección temporal que sea implementada para mitigar el efecto de la no conformidad (e.g. reembolso, crédito, ascensos, etc.) la identificación, segregación y reemplazo de equipo, proveedores o ambiente relevantes para el servicio. Esto permitirá al auditor juzgar si el control de dicho producto no conforme es eficaz. Nota: En estas situaciones el sistema de gestión de la calidad debería tener previsto la captura de datos en la información de no conformidades y retroalimentación, en los niveles de dirección apropiados, para la definición e implementación eficaz de acciones correctivas. Para los casos en que los resultados del servicio se entregan después de la realización del proceso, el control de producto no conforme pudiera basarse en el seguimiento y técnicas de inspección usuales. Se necesitará evidencia para ver la adecuación e implementación eficaz de esas técnicas. ISO & IAF 2005 All rights reserved 4

83 International Organization for Standardization International Accreditation Forum Auditando la política y los objetivos de la calidad Auditando la política de calidad La política de la calidad y su despliegue eficaz solamente se puede valorar basándose en los resultados generales de la auditoría. Los métodos de auditoría deben incluir: - Entrevista con la alta dirección para entender su enfoque y compromiso hacia la calidad. - Evaluación, a través de los registros de las revisiones por la dirección, del compromiso e involucramiento de la alta dirección en el establecimiento, implementación, seguimiento y actualización de la política de la calidad. - Valorar si la alta dirección ha traducido eficazmente la Política de Calidad en palabras entendibles y directrices hacia todos los niveles de la organización, con sus objetivos correspondientes a cada función / nivel aplicable. - Conducir entrevistas con el personal para verificar si ellos han tomado conciencia, entienden y conocen adecuadamente el modo cómo la política de la calidad de la organización se relaciona con su propia actividad, sin importar los términos utilizados por esas personas para expresar su entendimiento. - Buscar evidencia de una difusión eficaz de la política de la calidad por una comunicación apropiada. Auditando los Objetivos de la calidad El equipo auditor necesita verificar que los Objetivos de la calidad generales de la organización han sido definidos; que ellos reflejan la política de la calidad, son coherentes, alineados y compatibles con los objetivos generales del negocio, incluyendo las expectativas de los clientes. El equipo auditor debe verificar que exista una alineación sustancial y compatibilidad entre los objetivos de la calidad y los objetivos generales del negocio. Si este no es el caso, los auditores deben analizar más a fondo el compromiso de la alta dirección con la calidad.

84 Los Objetivos de la calidad necesitan ser medibles y estar documentados. No existe un modo específico de documentar los objetivos de la calidad, estos pudieran aparecer en los Planes de Negocio, resultados de las revisiones por la dirección, Presupuestos anuales, etc. Depende de cada equipo auditor el autosatisfacerse de que los objetivos estén adecuadamente documentados. Los auditores deben obtener evidencia del modo en que los Objetivos de calidad estén diseminados en cascada de manera apropiada a través de la estructura organizacional y los procesos, ligando los objetivos estratégicos generales con los objetivos gerenciales y hasta los objetivos operacionales específicos. Es recomendable que los objetivos de la calidad documentados sean examinados en la etapa de revisión documental de la auditoría. Antes de finalizar la auditoría, el equipo auditor debe quedar satisfecho de que los objetivos de la calidad son realistas y que la organización ha asignado al personal responsable y los recursos apropiados para cumplir sus objetivos. Es apropiado muestrear estos objetivos en todos los niveles de la organización. Los objetivos de la calidad no son estáticos y necesitan actualizarse a la luz del clima del negocio actual y la búsqueda de la mejora continua. El equipo auditor debe verificar si el desempeño global de la organización refleja la directriz de la política de la calidad y cumple razonablemente los objetivos de la calidad. Los auditores deben tener en mente que los objetivos pueden ser medidos de manera cuantitativa o cualitativa. También deben recordar que existe una liga clara entre el aspecto dinámico de la revisión de la política de la calidad y los objetivos de la calidad con el compromiso de la organización con la mejora continua.

85 Herramientas de dinamización Este capítulo aporta algunas herramientas para trabajar en torno a tres aspectos bien definidos Cómo desarrollar reuniones. Se analizará tanto lo que se debe tener en cuenta a la hora de convocar una reunión, como el procedimiento más correcto para desarrollarlas. El papel de la persona encargada de coordinar las reuniones. De técnicas participativas. Qué son, cómo aplicarlas y algunos ejemplos. Qué debemos tener en cuenta para preparar y coordinar una reunión? Para que una reunión sea eficiente además de eficaz, hay que tener en cuenta tres momentos importantes para su adecuado desarrollo: Antes de la reunión Comprobar que sus objetivos están claros y justifican su necesidad. Concretar los temas a tratar o puntos del orden del día, ordenarlos según su importancia y prever el tiempo que se necesitará para su desarrollo. Identificar a las personas que deben participar. Elegir el lugar, fecha y hora más adecuados para su desarrollo, de acuerdo con las circunstancias de quienes van a participar, la urgencia e importancia del tema, etc. Difundir la convocatoria y la información necesaria para que las personas convocadas puedan preparársela adecuadamente. Manual para la introducción de la perspectiva de género y juventud al desarrollo rural 55

86 Herramientas de dinamización Comprobar que las personas previstas que van a participar conocen la convocatoria, los objetivos de la reunión, la información previa, etc. Preparar la reunión: la documentación y materiales necesarios, la introducción y preguntas de cada punto a tratar, la información complementaria que pueda necesitarse, la disposición y condiciones de la sala de reunión, etc. Durante la reunión Comenzar a la hora anunciada (como mucho, guardar 15 minutos de cortesía si es que faltara mucha gente). Si es preciso, la persona responsable de dirigir la reunión puede presentarse e invitar a que se presente brevemente el resto del grupo. En el caso de que ya se conozcan, no está mal recordar los nombres y las razones por las que participan en la reunión. Presentar el programa de trabajo, de acuerdo con el orden del día previamente difundido y recordar los objetivos de la reunión. Introducir, directamente o por medio de la persona que vaya a tratar el punto, uno por uno los temas a tratar, antes de abrir el diálogo. Hacerlo con brevedad y claridad, utilizando, si es que ello facilita la comprensión, cuadros, gráficos, transparencias, proyecciones de vídeo, etc. Cuidar que el diálogo se produzca de forma ordenada, que las intervenciones sean breves y claras, que todo el mundo exponga su opinión, que no se desvíe la atención del tema tratado, etc. Si el tema es complejo y el grupo numeroso, puede trabajarse discutiéndolo en subgrupos, lo que ayudará a enriquecer el diálogo y facilitará una mayor participación e implicación. Tomar nota, preferiblemente en papelógrafo, de las opiniones que se vayan exponiendo. Recordar las conclusiones alcanzadas antes de cerrar un tema y pasar al siguiente. Si la reunión es muy larga es aconsejable hacer un descanso o pausa cada dos horas. 56 Manual para la introducción de la perspectiva de género y juventud al desarrollo rural

87 Herramientas de dinamización Debe controlarse el tiempo. Si un debate se prolonga excesivamente, debe interrumpirse. Hay que distribuir el tiempo disponible entre los temas a tratar, de acuerdo con su número e importancia. Deben sintetizarse las conclusiones alcanzadas, recordando los compromisos y acuerdos adoptados antes de concluir la reunión. Recoger opiniones y sugerencias para mejorar reuniones futuras. Agradecer la participación y aportaciones a todo el grupo. Concluir la reunión a la hora prevista. Después de la reunión Elaborar una "memoria" con las conclusiones y acuerdos alcanzados. Distribuir la memoria entre quienes participaron en la reunión, esto les ayudará a recordar las conclusiones y a preparar las próximas. Evaluarla comprobando si se han alcanzado los objetivos previstos, valorando las sugerencias y toma decisiones para mejorar en el futuro la eficacia y satisfacción de otras reuniones. Manual para la introducción de la perspectiva de género y juventud al desarrollo rural 57

88 Herramientas de dinamización Dinámica Cómo son nuestras reuniones? Ahora bien, veamos como lo hacemos generalmente. Individualmente responder el siguiente cuestionario. En las reuniones en que participamos... casi nunca 1 algunas veces 2 casi siempre 3 1. Sus contenidos están preparados con antelación y existe un orden del día previo precisando los temas a tratar. 2. Las personas implicadas están convocadas con antelación y disponen de información suficiente sobre los temas a tratar. 3. Los tiempos y horarios necesarios están previstos, evitando todo exceso que inhiba la motivación. 4. Las condiciones materiales, lugar, disposición de asientos, comodidad, medios técnicos, etc., son las adecuadas. 5. Los horarios de comienzo y final son respetados, evitando interferencias e interrupciones no previstas. 6. Existe una persona que modera o coordina la reunión y alguien que toma nota de las conclusiones que se van alcanzando. 7. Si las personas implicadas no se conocen suficientemente, la reunión se inicia con su presentación. 8. Al comienzo, se comprueba que todo el mundo conoce los objetivos y contenidos de la reunión. 9. La reunión se introduce con la presentación esquemática de los temas y de la información básica para poder abordarlos. 10. El tiempo se reparte, según la importancia de cada tema, para garantizar el tratamiento de todos los previstos. 11. Se vela por el cumplimiento de los tiempos establecidos, evitando divagaciones que dispersen la atención. 58 Manual para la introducción de la perspectiva de género y juventud al desarrollo rural

89 Herramientas de dinamización En las reuniones en que participamos... casi nunca 1 algunas veces 2 casi siempre Se invita a todos los participantes a expresar su opinión y todas se escuchan, respetan y valoran. 13. Se controlan y respetan los turnos de palabra, limitando los tiempos de intervención si es preciso o conveniente. 14. Se controla cortésmente a quienes acaparan la palabra y se invita expresamente a opinar a quienes guardan silencio. 15. Se evitan reiteraciones, sintetizando brevemente las opiniones ya expresadas sobre un tema. 16. Se alcanzan conclusiones y se toman acuerdos antes de cerrar un tema. 17. Todas las decisiones adoptadas, y los responsables de su ejecución, se recuerdan antes de concluir la reunión. 18. Se evalúa la reunión antes de acabar y se recogen sugerencias para mejorar las próximas. 19. Se agradece la participación de las personas asistentes, valorando sus aportaciones y sugerencias antes de despedirnos. 20. Posteriormente, se ordenan y pasan a limpio las conclusiones obtenidas, en "actas", resúmenes o "memorias". 21. Se hacen copias y se difunden las conclusiones, garantizando que llegarán a todas las personas que participaron y a otras interesadas. 22. Al comienzo de nuevas reuniones, se recuerdan los acuerdos adoptados en las anteriores y se evalúa su cumplimiento. Una vez contestado, en pequeños grupos analizaremos los resultados y posteriormente se expondrán al plenario, donde se discutirán con el objetivo de analizar nuestra forma habitual de proceder y ver cómo mejorarla. Manual para la introducción de la perspectiva de género y juventud al desarrollo rural 59

90 Herramientas de dinamización Qué debe tener en cuenta la persona que coordina una reunión? La persona que coordina una reunión, fundamentalmente, debe facilitar la comunicación organizando el diálogo y garantizando el adecuado desarrollo de las reuniones para que se cumplan los objetivos propuestos. Sus funciones en una reunión se centran en tres puntos básicos: Preguntar Es la persona que formula las preguntas, y no quién aporta las respuestas, y tiene que hacerlo de forma breve y directa. También es quién introduce el tema o las cuestiones a tratar, y la encargada de dinamizar la participación de las personas asistentes. Recoger Estimula y favorece la reflexión y la expresión, tanto individual como colectiva, facilitando la producción ordenada de ideas, las escucha y las recoge mediante notas escritas, papelógrafo, grabadora, vídeo, etc. Sintetizar Contribuye a sintetizar las ideas expuestas, presentando diferentes alternativas planteadas a lo largo del debate, facilitando la toma de decisiones. Dirigir herramientas de dinamización no es complicado, sólo es cuestión de actuar tranquilamente, con la mayor naturalidad posible y con sentido común. Para ello es necesario confiar en el grupo y su capacidad de reflexión, por lo que hay que observar atentamente cómo va conduciéndose el grupo y sus diferentes miembros para, de ese modo, tener en todo momento una visión clara de lo que ocurre, de las necesidades y demandas del grupo. En aquellos casos en que no sepamos algo o surja un problema que no dominamos, debe decirse claramente, devolviéndole la pregunta al grupo, proponiendo una o varias formas para que éste busque la información precisa (hablando con otras personas, consultando textos o documentos, etc.). Con el tiempo, la experiencia será la que vaya marcando pautas, entonces podremos ver que cuantas más veces trabajemos con grupos menos dificultades y complicaciones encontraremos. 60 Manual para la introducción de la perspectiva de género y juventud al desarrollo rural

91 Guías del Grupo de Práctica de Auditorías de ISO/IAF Relación entre la auditoría a una tarea, actividad o proceso particular con el sistema completo El auditor no debería perder de vista la dirección general de la auditoría y desviarse por detalles superfluos. Es importante que el auditor consulte constantemente el manual u otra documentación donde el auditado haya definido la interacción de sus procesos. Las entrevistas deberían hacerse de manera tal que el auditor pueda determinar las entradas y salidas del proceso que está auditando. Teniendo presente continuamente el mapa de procesos del auditado, el auditor podrá asegurarse de poder determinar la importancia del proceso que esté auditando en cualquier momento, y así podrá mantenerse enfocado en la dirección general de la auditoría. Esto también ayudará al auditor comprender la relación entre los procesos. Durante la auditoría, el auditor tiene la oportunidad de verificar la descripción que hizo el auditado de la relación entre sus procesos. El auditor debería tomar ejemplos para verificar si esas descripciones reflejan la interrelación entre los procesos, pudiendo así determinar si la descripción es adecuada. La auditoría según la norma ISO 9001 requiere que los auditores obtengan una buena comprensión del sistema de gestión de la calidad del auditado y la naturaleza de su negocio. Esta es la razón por la cual en conveniente visitar la organización antes de la auditoría de certificación y realizar una primera etapa de la auditoría. Esta primera etapa es para poder determinar el alcance y planificar la auditoría de certificación (la segunda etapa) y para permitir al auditor obtener una comprensión de la organización, por ejemplo sobre su sistema de gestión de la calidad, políticas, objetivos, riesgos, procesos, sitios, etc. Esta primera etapa puede ser utilizada por el organismo auditor también para comunicar sus necesidades y expectativas al auditado. Las actividades que forman parte de la primera etapa pueden ser: la identificación de los riesgos críticos del negocio y aquéllos relacionados con el cumplimiento de requisitos legales y regulatorios una evaluación de si los procesos identificados por el auditado son los adecuados para cumplir sus objetivos y los requisitos de los clientes un análisis de la documentación, para determinar si cubre todos los requisitos de la norma ISO Este análisis se lleva a cabo, normalmente, en las instalaciones de la organización auditada (a no ser que se requiera y justifique realizarlo en otro lugar). Como resultado de esta actividad se debe emitir un informe donde se identifiquen áreas a ser mejoradas. Como parte de este análisis de la documentación, el auditor debe evaluar el alcance y disponibilidad de documentos de apoyo (procedimientos y descripciones de procesos), recolectando toda la información necesaria respecto al alcance del sistema de gestión de la calidad de la organización auditada, de sus procesos y de los sitios donde desarrolla sus actividades. la elaboración preliminar del texto del futuro certificado, incluyendo la declaración del alcance del sistema de gestión la planificación de la auditoría de certificación (etapa dos), incluyendo los requisitos para la selección del equipo auditor IRCA/250a Página 1 of 2

92 Guías del Grupo de Práctica de Auditorías de ISO/IAF la obtención de evidencias de que las auditorías internas y las revisiones por la dirección han sido efectivamente planificadas y realizadas la verificación de que el sistema de gestión de la calidad ha sido implementado y está listo para la etapa dos de la auditoría, incluyendo el nivel apropiado de documentación y registros. Si el sistema no reúne estas condiciones, el auditor debería indicarlo en su informe, de tal manera que la organización auditada tiene la oportunidad de corregir las deficiencias antes de la auditoría de certificación (etapa dos) el acuerdo sobre la fecha de la etapa dos de la auditoría Este artículo es una versión editada del Relación entre la auditoría a una tarea, actividad o proceso particular con el sistema completo, que puede consultarse en el sitio web del Grupo de Prácticas de Auditoría, y es reproducido por cortesía de ISO y de IAF. Estos documentos fueron desarrollados tomando como referencia buenas prácticas actuales y, por lo tanto, no han sido avalados formalmente como recomendaciones del International Accreditation Forum (IAF) ni como interpretaciones del Comité ISO TC176. Para obtener información sobre el Grupo de Prácticas de Auditoría, se debe consultar: &objAction=browse&sort=name. El grupo de Prácticas de Auditoría ISO 9001 es un grupo informal de expertos en sistemas de gestión de la calidad, auditores y profesionales miembros del IAF y del Comité Técnico ISO/TC 176 Gestión y Aseguramiento de la Calidad. Este grupo ha desarrollado un conjunto de guías y presentaciones que contienen explicaciones sobre las auditorías de sistemas de gestión de la calidad, y reflejan el enfoque por procesos que es esencial para auditar los requisitos de la norma ISO ENERO 2005 IRCA/250a Página 2 of 2

93 International Organization for Standardization International Accreditation Forum Auditando los requisitos reglamentarios La norma ISO 9001:2000 requiere que la organización identifique y controle los requisitos reglamentarios aplicables a sus productos (incluyendo servicios). Es opción de la organización cómo hacer esto dentro de su SGC. La organización debe demostrar que los requisitos reglamentarios aplicables a sus productos y servicios han sido propiamente identificados, están disponibles y son de fácil recopilación. Los auditores necesitan estar concientes de los requisitos reglamentarios generales y específicos aplicables a los productos / servicios incluidos en el alcance del SGC. Durante la fase de preparación de la auditoría, el equipo auditor debe obtener información relevante de fuentes internas o externas sobre estos requisitos reglamentarios. Esto los habilitará para poder hacer un juicio sobre la adecuación del SGC en el cumplimiento de estos requisitos. Estos requisitos necesitan ser identificados e integrados en las actividades de gestión de recursos y realización del producto. Durante la fase de auditoría, el equipo auditor debe: Asegurarse que la organización tiene una metodología establecida para la identificación y actualización de los requisitos reglamentarios aplicables. Asegurarse que estos requisitos reglamentarios son utilizados como entradas de proceso cuando se da seguimiento a las salidas de los procesos para ver su cumplimiento. Asegurarse que cualquier declaración de cumplimiento a normas, requisitos regulatorios, etc. está demostrada apropiadamente por la organización. si se encuentra evidencia, durante la auditoría, de que una información específica sobre requisitos reglamentarios no fue tomada en cuenta, los auditores deben levantar una no conformidad. Los auditores también deben levantar una no conformidad si se identifica directamente un incumplimiento con estos requisitos. Los auditores deben evitar hacer declaraciones acerca de qué requisitos reglamentarios son aplicables a los productos o servicios de la organización, o sobre los métodos de cumplimiento, para prevenir posibles responsabilidades legales. Se pueden levantar no conformidades solamente en el caso de identificar deficiencias en el sistema o violaciones directas con respecto a requisitos reglamentarios aplicables a los productos o servicios de la organización. Sin embargo, si se detecta de manera incidental durante la auditoría una no conformidad con otro tipo de requisitos reglamentarios (por ejemplo de salud e

94 higiene ocupacional, ambiental, etc.), este hecho no puede ser ignorado por el equipo auditor. Esto debe ser reportado sin demora al auditado y, si es requerido, al cliente de la auditoría.

95 International Organization for Standardization International Accreditation Forum Auditando requisitos cuando sea aplicable El auditado debe determinar la aplicación de los requisitos de la norma ISO 9001 cuando sea aplicable, ya que estos afectarán su habilidad para satisfacer los requisitos de sus clientes. (Puede ser útil referir al auditado a la norma ISO 9001:2000 cláusula 1.1 cuando una organización a) necesita demostrar su capacidad para proporcionar de forma coherente productos que satisfagan los requisitos del cliente y los reglamentarios aplicables ). Un auditor debe asegurarse que los requisitos cuando sea aplicable sean realmente aplicables en relación al alcance del sistema de gestión de la calidad del auditado propuesto o actual. Por tanto la base para auditar debe ser contra este criterio que debe formar la referencia para cuando se decida que es aplicable o no. Los puntos que debieran considerarse incluyen: Este requisito agrega valor a este elemento de confianza, sin que se cumpla el elemento cuando sea aplicable? Se aumenta el riesgo de que la organización no pueda cumplir con los requisitos del cliente? (Esto pudiera ser más que un grupo de requisitos específicos del cliente, ya que se puede incluir las demandas y expectativas de consumidores finales, clientes, o de la cadena de demanda.) La necesidad de la experiencia para hacer un juicio en un aspecto técnico El cuerpo auditor debe ser capaz de demostrar que sus auditores tienen el conocimiento necesario del sector, la competencia y las habilidades de auditoría. El auditor debe ser capaz de demostrar el conocimiento del proceso que se va a examinar y ser capaz de aplicar sus habilidades en evaluar los requisitos cuando sea aplicable si son o no aplicables. El auditor necesitará entender cómo los requisitos cuando sea aplicable entran en el contexto de cómo está establecido un proceso y los resultados esperados. Cuando los requisitos no son considerados como aplicables, el auditor deberá proporcionar evidencia objetiva para demostrar que el sistema es eficaz y que los requisitos del cliente se cumplen consistentemente.

96 Un cuerpo de certificación debe tener establecido los procesos para asegurar que un auditor tiene las habilidades específicas para la organización que será auditada.

97 Traducción libre realizada por INLAC. Documentos oficiales disponibles en : International Organization for Standardization International Accreditation Forum Auditando los procesos de retroalimentación del cliente 1) Introducción El proceso de retroalimentación del cliente es una parte crítica del sistema de gestión de la calidad, y por lo tanto debe recibir una atención adecuada durante una auditoría de tercera parte. La retroalimentación del cliente es uno de los indicadores primarios de desempeño que puede ser utilizado para juzgar la eficacia general del SGC. Por lo tanto, es importante para el auditor verificar que: a) Los canales de comunicación de la organización con el cliente promuevan una adecuada toma de conciencia del proceso por el cuál los clientes pueden proporcionar retroalimentación b) las entradas a este proceso incluya datos relevantes, representativos y confiables. c) éstos datos se analizan eficazmente, y d) la salida de este proceso proporciona información útil para la revisión por la dirección y otros procesos del SGC, para aumentar la satisfacción del cliente y llevar hacia la mejora continua. 2) Cuáles son los requisitos? 2.1) El objetivo general de la norma ISO 9001:2000, como lo establece la cláusula 1.1 es especificar los requisitos para un sistema de gestión de la calidad para cuando una organización: (a) necesita demostrar su capacidad para proporcionar de forma coherente productos que satisfagan los requisitos del cliente y los reglamentarios aplicables, y (b) aspira a aumentar la satisfacción del cliente a través de la aplicación eficaz del sistema, incluidos los procesos para la mejora continua del sistema y el aseguramiento de la conformidad con los requisitos del cliente y los reglamentarios aplicables. 2.2) La cláusula requiere a la organización determinar e implementar disposiciones eficaces para la comunicación con los clientes, relativas a la retroalimentación del cliente, incluyendo sus quejas. 2.3) La cláusula de la norma ISO 9001:2000 establece:

98 Traducción libre realizada por INLAC. Documentos oficiales disponibles en : Como una de las medidas del desempeño del sistema de gestión de la calidad, la organización debe realizar el seguimiento de la información relativa a la percepción del cliente con respecto al cumplimiento de sus requisitos por parte de la organización. Deben determinarse los métodos para obtener y utilizar dicha información. El documento de guía sobre terminología del ISO/TC176 (ISO/TC176/SC2/N526R) enfatiza que dar seguimiento significa observar, supervisar y mantener bajo revisión; medir o probar a intervalos. Es importante que los auditores reconozcan que no hay un requisito específico en la norma ISO 9001:2000 en su cláusula para que la organización realice encuestas formales de satisfacción del cliente, u otras medidas de satisfacción del cliente, aunque esto puede obviamente ser una herramienta útil en el seguimiento de las percepciones del cliente. Por eso es importante que la organización trate de ver las cosas desde la perspectiva del cliente, y de seguimiento a las percepciones del cliente; la medición de la satisfacción del cliente puede ser apropiada en algunas situaciones, pero este no es un requisito directo de la norma. NOTA: Además de estas referencias específicas a los procesos de retroalimentación del cliente, hay varias referencias indirectas a través de toda la norma, de las que el auditor necesita tomar en cuenta. Algunos ejemplos incluyen la retroalimentación como parte del proceso de diseño y desarrollo, proceso de validación y otros. 3) Qué debe ser cubierto cuando se auditan los procesos de retroalimentación del cliente? La retroalimentación del cliente es un proceso. Necesita ser auditado como un proceso, no como una cláusula de la norma. Se necesita también, realizar una evaluación del modo en cómo el proceso es gestionado (ver la cláusula 4.1.c de la norma ISO 9001:2000), y su habilidad para proporcionar información significativa con la cual juzgar la eficacia general del SGC. El definir el modo en el que la organización obtiene esta retroalimentación ( el método) es decisión de la organización El auditor debe por lo tanto estar atento a los muchos factores que pueden afectar el enfoque de la organización, y debe reconocer que no hay una receta dada. Debe entonces tomar en consideración factores como: el tamaño y complejidad de la organización el grado de sofisticación de los productos y clientes los riesgos asociados al producto la diversidad de la base de clientes 3.1) Antes de auditar el proceso de retroalimentación del cliente (fase de preparación) El auditor necesita estar atento a las características específicas de los productos de la organización que pudieran tener un impacto en la satisfacción del cliente. Durante la auditoría el auditor debe estar alerta de los indicadores que pudieran sugerir la satisfacción o no satisfacción del cliente y que pudieran servir como entrada a la

99 Traducción libre realizada por INLAC. Documentos oficiales disponibles en : auditoría del proceso de retroalimentación del cliente. Algunas buenas fuentes de esta información pudiera incluir, por ejemplo: Bienes devueltos por el cliente; Reclamos de garantía; Facturas revisadas; Notas de crédito; Artículos disponibles en el medio; Websites de clientes; Observación directa de, o comunicación con el cliente (por ejemplo en una organización de servicio). 3.2) Durante la evaluación del proceso Estos son algunos puntos que un auditor debe cubrir durante una auditoría del proceso de retroalimentación del cliente: a) cuál es el resultado deseado de este proceso? qué información está disponible sobre las percepciones del cliente? cómo es utilizada esta información por la dirección para iniciar mejoras al producto, los procesos y el SGC? Están cubiertas todas las categorías de clientes en esta información? Es importante recordar que la organización pudiera tener más de una categoría de clientes ver la definición de cliente en la norma ISO 9000:2000 cláusula Por ejemplo, un fabricante pudiera vender a distribuidores, que a su vez venden a minoristas, quienes venden al público en general. En este caso la organización puede necesitar cubrir los tres tipos de clientes y ellos pueden tener diferentes percepciones. La organización pudiera estar satisfaciendo a un grupo y quedando mal con otro. b) cómo se recolectan los datos que alimentan el proceso? Hay muchas maneras en las que una organización puede dar seguimiento a las percepciones de sus clientes, y el auditor debe evitar las ideas pre concebidas acerca de cómo se debe hacer esto. Algunos ejemplos de técnicas que la organización puede usar incluye: evaluaciones cara a cara, que pueden ser apropiadas en muchas organizaciones de servicio como hoteles cómo estuvo su estancia con nosotros? o restaurantes espero que haya disfrutado su comida llamadas telefónicas o visitas, realizadas periódicamente o después de una entrega de productos o servicios cuestionarios o encuestas realizadas por la misma organización, o por investigadores de mercados independientes otros contactos con clientes, por ejemplo por personal de servicio o instalación investigaciones internas entre el personal de la organización que tiene contacto con los clientes, evaluación de negocios repetidos

100 Traducción libre realizada por INLAC. Documentos oficiales disponibles en : seguimiento a cuentas por cobrar, reclamos de garantía, etc. análisis de quejas de clientes Frecuentemente las quejas son la única retroalimentación espontánea recibida de los clientes, y éstas deben ser analizadas para buscar tendencias, quejas clave, impactos, etc. Debe resaltarse, sin embargo, que las quejas de los clientes pueden no ser la única entrada para dar seguimiento a las percepciones de los clientes. También, el auditor debe evitar llegar a conclusiones solo por ver quejas específicas e individuales estas deben siempre ponerse en el contexto de su impacto general sobre el SGC. c) Qué tan confiable es la información? En un mundo ideal, la organización daría seguimiento a las percepciones de todos sus clientes, pero el costo de hacer esto pudiera ser prohibitivo. Por lo tanto es necesario verificar el criterio que la organización ha utilizado para el muestreo de sus clientes, para asegurar que es representativo y refleja el riesgo hacia la organización y hacia sus clientes. El auditor debe asegurarse de verificar la información proporcionada comparándola con otra evidencia obtenida durante el curso de la auditoría (ver 3.1) En algunos casos pudiera ser apropiado para el auditor verificar la información directamente con los clientes de la organización, para lo cual se requerirá tener la diplomacia requerida cuando se hace esto. d) Cómo se analizan los datos? La simple recolección de datos sobre las percepciones de los clientes no es suficiente el auditor debe dar seguimiento al flujo de proceso, para verificar como se analizan los datos (ver la cláusula 8.4 de la norma ISO 9001:2000), y qué conclusiones se hacen con respecto a la eficacia del SGC. o Hay alguna tendencia? o La situación es estable, mejora o se deteriora? o Las necesidades y expectativas de los clientes están cambiando? Aunque no es un requisito de la norma ISO 9001:2000, pudiera ser apropiado preguntar a la organización sobre las comparaciones de industria o actividades de benchmarking, para poner en perspectiva la retroalimentación del cliente. e) Cómo se retroalimenta la información generada por este proceso al SGC como un todo? Las organizaciones deben utilizar los resultados del proceso de retroalimentación de los clientes para disparar acciones correctivas o preventivas y como uno de los indicadores generales del desempeño del SGC. El modo de cómo estos procesos interactúan debe ser sujeto de auditoría.

101 Traducción libre realizada por INLAC. Documentos oficiales disponibles en : El auditor debe ser capaz de reconocer que el resultado del proceso de retroalimentación del cliente forma una entrada importante para otros procesos del SGC, como el análisis de datos, procesos de revisión por la dirección y mejora continua. Un auditor que busca agregar valor tratará de asegurar que la organización reconozca los beneficios que puede proporcionar un buen proceso de retroalimentación de los clientes y promoverá (pero no puede requerir) que la organización piense más allá que simplemente cumplir los requisitos de la norma. f) Cuáles son las ligas con otros procesos del SGC? El auditor debe reconocer que el proceso de retroalimentación del cliente tiene ligas importantes e interfases con varios procesos del SGC que incluyen, pero no están limitados a las siguientes cláusulas de la norma: o 5.6 Revisión por la dirección o Validación de procesos o Comunicación con el cliente o Validación de diseño y desarrollo o Cambios al diseño y desarrollo

102 Traducción libre realizada por INLAC. Documentos oficiales disponibles en : International Organization for Standardization International Accreditation Forum Introducción Directriz para la revisión y cierre de las no conformidades El valor que puede proporcionarse a una organización puede ser aumentado o disminuido por la revisión que un auditor conduce a la respuesta de la organización a una no conformidad, así como al proceso de cierre que sea aplicado. Un auditor agregará valor asegurándose de que la organización ha cubierto satisfactoriamente la corrección / el análisis de causas y la acción correctiva, ya que esto aumentará la probabilidad de que la organización logre la satisfacción del cliente. Este documento proporciona una directriz para ayudar a los auditores en el proceso de revisar y cerrar las no conformidades levantadas en las auditorías. Revisión de acciones en respuesta a una no conformidad Los auditores de sistemas de gestión son responsables de revisar la respuesta a las no conformidades y verificar la eficacia de las acciones tomadas. Debe haber tres partes en la respuesta de la organización a una no conformidad: corrección, o análisis de causa, análisis de la causa, y corrección, y acción correctiva. acción correctiva (Nota; se dan dos secuencias diferentes ya que pudiera depender del tipo de producto, o situación de la no conformidad cuál es la correcta a seguir. Sin embargo, las tres partes para resolver una no conformidad son las mismas en cada caso. Por ejemplo, para software, es inconveniente la implementación de una corrección hasta que la causa sea conocida. Alternativamente, como un ejemplo de hardware, si una luz de advertencia de balatas desgastadas se ilumina en un vehículo y usted inmediatamente implementa la corrección de reemplazar las balatas antes de examinar si el sensor falló, pudiera fallar al resolver el problema y habrá desperdiciado tiempo y recursos.) La fuente que autoriza a realizar el enunciado inicial son algunas definiciones pertinentes en la norma ISO 9000: 2000.

103 Traducción libre realizada por INLAC. Documentos oficiales disponibles en : No conformidad: incumplimiento a un requisito (ISO 9000:2000, cláusula 3.6.2) Corrección: acción tomada para eliminar una no conformidad detectada (ISO 9000:2000, cláusula 3.6.6) Acción correctiva: acción tomada para eliminar la causa de una no conformidad detectada u otra situación indeseable (ISO 9000: 2000, cláusula 3.6.5) Se debe esperar tanto la corrección como la acción correctiva cuando se detecta una no conformidad. La corrección es una acción para eliminar una no conformidad detectada, Por ejemplo, la corrección pudiera involucrar el reemplazo del producto no conforme con un producto conforme o reemplazar un procedimiento obsoleto con la versión vigente, etc. La definición de acción correctiva es acción para eliminar la causa de la no conformidad detectada. La acción correctiva no puede ser tomada sin primero hacer una determinación de la causa de la no conformidad. Existen muchos métodos y herramientas disponibles para que una organización pueda determinar la causa de una no conformidad desde una simple tormenta de ideas hasta técnicas más complejas de resolución sistemática de problemas ( por ejemplo, análisis de causas raíz, diagramas de pescado, los cinco por qué, etc.). Un auditor debe estar familiarizado con el uso apropiado de estas herramientas. La extensión y eficacia de la acción correctiva depende de la identificación de la verdadera causa raíz. En algunos casos esto ayudará a una organización a identificar y minimizar no conformidades similares en otras áreas. Al revisar la respuesta de una organización a una no conformidad, el auditor debe confirmar que la documentación y la evidencia objetiva para las tres partes corrección, causa y acción correctiva - se proporcionan por la organización, y son apropiadas, antes de aceptar la respuesta. Elementos importantes a verificar en el proceso de revisión incluyen: declaraciones de acciones; son claras y concisas? descripción de acciones; son completas y referencian con precisión documentos, procedimientos específicos, etc. según sea apropiado? el uso de la forma del pasado (fue, estuvo, ha sido), como un indicador de que las acciones tomadas han sido completadas. la fecha de terminación de las acciones correctivas; fechas pasadas deben encontrarse como indicador de que las acciones han sido tomadas (las fechas que indican acción futura no son una buena práctica). evidencia que soporte el hecho de que la acción correctiva ha sido total y eficazmente implementada y que la acción correctiva ha sido desempeñada en la forma en que estaba descrita. Adicionalmente, el auditor debería verificar que la organización se ha asegurado que la acción correctiva tomada no ha creado por si misma mayores problemas relacionados con la calidad del producto o la implementación del SGC.

104 Traducción libre realizada por INLAC. Documentos oficiales disponibles en : Debe notarse que tanto la corrección como la acción correctiva no son siempre apropiadas y que la corrección o la acción correctiva por si solas pudieran ser suficientes. Esto pudiera suceder, por ejemplo, en casos en que se puede demostrar que la no conformidad fue absolutamente accidental, y la probabilidad de que vuelva a ocurrir es muy baja. La acción correctiva eficaz debe prevenir que la no conformidad vuelva a ocurrir eliminando la causa. Sin embargo, la acción correctiva no debe confundirse con la acción preventiva. La definición de acción preventiva es como sigue: Acción preventiva: acción para eliminar la causa de una no conformidad potencial o una situación indeseable (ISO 9000:2000, cláusula 3.6.4) Se debe notar que la acción preventiva por la naturaleza de su definición no es aplicable a no conformidades ya detectadas. Sin embargo un análisis de las causas de las no conformidades detectadas pudiera identificar no conformidades potenciales en una escala más amplia en otras áreas de la organización y proporcionar una entrada para una acción preventiva. Cierre de no conformidades Ya que las no conformidades tienden a ser individuales en su naturaleza, se puede utilizar una amplia variedad de métodos o actividades para cerrarlas. Por ejemplo, algunas requerirán un examen directo en el lugar (lo que pudiera requerir la necesidad de visitas adicionales al lugar), mientras otras pudieran cerrarse de manera remota (por la revisión de documentación relevante que se envíe como evidencia). Antes de decidir el acuerdo para cerrar una no conformidad, el auditor líder (o auditor cuando actúa solo) debería revisar lo que la organización hizo con respecto a la corrección / análisis de la causa y los resultados logrados a través de la acción correctiva. El auditor líder necesita asegurar que existe evidencia objetiva (incluyendo documentación de soporte) para demostrar que la acción correctiva descrita ha sido completamente implementada y es eficaz en prevenir que la no conformidad vuelva a ocurrir. Solamente cuando la situación sea satisfactoria debería cerrarse la no conformidad.

105 International Organization for Standardization International Accreditation Forum Auditar un SGC que tiene una documentación mínima Puede existir un desacuerdo entre un auditor y un auditado sobre la ausencia de ciertos procedimientos documentados, cuando el auditado solamente presenta un manual de la calidad y los seis procedimientos documentados requeridos específicamente por la norma ISO 9001:2000. Las diferencias en el punto de vista entre el auditor y el auditado pueden surgir de las diferencias de la interpretación de los requisitos de la norma ISO 9001 contenidos en la cláusula y la nota relacionada que establece: Generalidades La documentación del sistema de gestión de la calidad debe incluir:... d) los documentos necesitados por la organización para asegurarse de la eficaz planificación, operación y control de sus procesos, NOTA 2 La extensión de la documentación del sistema de gestión de la calidad puede diferir de una organización a otra debido a: a) el tamaño de la organización y el tipo de actividades; b) la complejidad de los procesos y sus interacciones, y c) la competencia del personal. El auditor debe requerir información de los procesos del auditado que están operando y subsecuentemente hacer más preguntas, registrar las respuestas y observar al personal en todos los niveles (incluyendo personal administrativo, dueños de procesos y operadores), para confirmar si el estado actual del trabajo es conforme a las descripciones dadas. De ahí, la necesidad de cualquier documentación debe ser evaluada a la luz de la necesidad observada de consistencia y el papel que cualquier documentación pudiera jugar en evitar algún riesgo significativo identificado. El lector debe hacer referencia a la guía dada en el documento ISO/TC 176/SC 2/N 525, ISO 9000 Paquete de introducción y soporte: Orientación acerca de los requisitos de documentación de la Norma ISO 9001:2000

106 International Organization for Standardization Forum International Accreditation 1. Introducción Auditando sistemas de gestión en base electrónica La creciente dependencia de las organizaciones en medios electrónicos para la operación y control de sus sistemas de gestión, requiere que los cuerpos de certificación y sus auditores vean nuevos enfoques para asegurar que las auditorías serán eficaces y eficientes. Ellos necesitarán redefinir el modo cómo los procesos y los documentos relacionados (incluyendo los registros) van a ser evaluados para verificar su conformidad con el criterio de auditoría. Este documento ha sido desarrollado para dar directrices generales para la realización de auditorías a sistemas de gestión que estén totalmente basados en sistemas electrónicos o tengan un alto grado de su documentación en medios electrónicos. También proporciona directrices para los cuerpos de certificación y auditores para considerar como un complemento a las actividades de planificación y preparación normal que pudieran ocurrir antes de una auditoría. Este documento se enfoca a aquellos requisitos de la norma ISO 9001 donde existe la posibilidad de utilizar documentos, registros, electrónicos y también donde el acceso a esos documentos/registros pudiera estar controlado por sistemas electrónicos. Este documento va dirigido a auditores de sistemas de gestión que tienen una amplia y variada experiencia con respecto a sistemas de gestión en base electrónica (EBMS) e.g. sistemas de gestión que son dependientes de documentos electrónicos, datos y aplicaciones de software para su operación normal. Sin embargo, está escrito en un estilo que también permitirá ser utilizado por aquellos que solamente tienen una experiencia limitada en computadoras y EBMS. Sin importar si es un cuerpo de certificación de tercera parte, un cuerpo de acreditación o una función de auditoría interna, quién realice la auditoría ( la organización auditora ) es responsable de asegurar la eficacia del proceso de auditoría para el EBMS. Este documento utiliza la guía proporcionada en la norma ISO 19011, y sugiere enfoques que pudieran ser utilizados por auditores de ISO 9001, y otras normas de sistemas de gestión, con la intención de verificar la conformidad con la norma referenciada. Los auditores y las

107 organizaciones auditoras deben hacer los ajustes necesarios para asegurar un enfoque apropiado a como desarrollan los pasos del proceso de auditoría indicados en la norma ISO Debe resaltarse que la destreza en auditar EBMS (Sistemas de gestión en base electrónica) no debe verse como una excusa para reducir la duración de la auditoría, sino como un medio de optimización de la eficacia y eficiencia de la auditoría. No se pretende que este documento proporcione directrices para auditar los controles asociados con la seguridad de la información del EBMS. Aquellos interesados en otro tipo de controles asociados con la seguridad de la información se sugiere que se dirijan al documento ISO/IEC que es una norma para estos temas. 2. Iniciación y planificación de la auditoría Durante la fase de iniciación de la auditoría (Auditoría fase 1) la organización auditora debe determinar la estructura de la organización a ser auditada, y el grado en que su sistema de gestión está basado electrónicamente. Una organización multisitio con un EMBS centralizado, o una organización virtual, requerirá diferentes planes de auditoría y métodos que una organización de una sola plaza y/o una organización física. La organización auditora y el auditado deben acordar como los auditores accesarán y utilizarán el EBMS. Esto pudiera involucrar el considerar: Permitir que los miembros del equipo auditor tengan oportunidad de familiarizarse con el EBMS del auditado (incluyendo la calendarización de suficiente tiempo dentro del plan de auditoría para esa orientación) Las políticas del auditado para el uso de la infraestructura de Tecnología de la información. Instrucciones para acceder, y las licencias de seguridad para acceder y los documentos y registros organizacionales pertinentes Los seguros y procesos para asegurar que los auditores protejan la confidencialidad de los documentos y registros electrónicos durante y después de la auditoría. La organización auditora debe asegurar que existe la competencia suficiente dentro de su equipo auditor seleccionado para realizar una evaluación eficaz del EBMS. 3. Revisión documental Dependiendo de su el auditado tiene la habilidad para hacer que su documentación esté disponible a través de una aplicación basada en red o a través de transmisión por correo electrónico, la organización auditora pudiera conducir parte o toda la revisión documental de manera remota; ya sea en línea o por descarga de la documentación electrónica enviada por correo electrónico.

108 Dependiendo de los factores técnicos o de seguridad, pudiera no ser factible el conducir una revisión total del EMBS de la organización en línea o por la transmisión de documentos relevantes por correo electrónico, antes de llegar al sitio. En estos casos, las actividades de preparación de la auditoría que requieran la revisión de documentos electrónicos necesitaría realizarse en las instalaciones del auditado durante la fase 1 de auditoría. 4. Actividades de realización en sitio El enfoque para los sistemas de gestión en base electrónica dependerá ampliamente de que tanto de la evidencia requerida para determinar la conformidad está en forma de registros electrónicos. Durante las actividades de realización en el sitio, el camino del auditor debe incluir típicamente la ubicación física del proceso que está auditando. Sin embargo, con un EBMS el tiempo requerido para confirmar la evidencia para determinar si se cumplen o no los requisitos, pudiera dedicarse en una computadora o estación de trabajo que pudiera estar o no localizada cerca del proceso en cuestión. Cuando las estaciones de trabajo computarizadas están en áreas remotas que no son accesibles para la ubicación física de operación del proceso, el tiempo real de auditoría en la ubicación física del proceso pudiera reducirse. Sin embargo, el tiempo total de evaluación pudiera no necesariamente reducirse dado que la revisión de la evidencia electrónica pudiera ocurrir antes y/o después de confirmar la existencia del proceso físico. En los casos donde la estación de trabajo de la computadora es remoto, se debe dar una consideración especial al tiempo requerido de traslado hacia y desde la ubicación física del proceso. Cuando el proceso es dependiente de la intervención humana, el auditor debe evaluar los métodos empleados para la interacción entre el proceso físico y el medio electrónico para asegurar la precisión de la información asociada. 5. Auditando el control de los documentos electrónicos. Los documentos electrónicos que establecen políticas y procedimientos del sistema de gestión pueden estar en una gran variedad de formatos dependiendo de las aplicaciones de software que son utilizados por la organización para generar los documentos. Los archivos electrónicos pueden incluir formatos como texto, html, pdf, etc. Las hojas de cálculo y los formatos de bases de datos son también considerados documentos electrónicos y están sujetos a los elementos de control del sistema de gestión a auditar. Dada la relativa facilidad con que los usuarios pueden ahora crear hojas de cálculo electrónicas y otros documentos electrónicos, los auditores deben asegurar que las políticas que gobiernan los controles que aplican a la documentación del sistema de gestión, en general también se apliquen a los documentos electrónicos a través de los procedimientos adecuados.

109 Las organizaciones necesitan emplear métodos adecuados y eficaces dentro del ambiente electrónico para asegurar la adecuada revisión, aprobación, publicación y distribución de la documentación de su sistema de gestión. Estos deben ser consistentes con los métodos para el desarrollo y modificación de documentos electrónicos. En muchos casos las medidas de control de documentos pudieran también ser características estándar de la aplicación del software usados para su creación. Por lo tanto los auditores deben entender esos controles de aplicación específicos al grado de que estos sean utilizados como base para la conformidad a la norma de sistema de gestión aplicable. Dado el incremento de capacidad para modificar, actualizar, reformar y de cierta forma mejorar los documentos dentro de un sistema de gestión electrónico, los auditores deben poner particular atención en los elementos de control como la identificación de documentos y el nivel de revisión de los documentos. Como el medio electrónico facilita el incremento de modificaciones a documentos, los auditores deben verificar que los controles empleados para la gestión de documentos obsoletos sean considerados dentro de las políticas y procedimientos de control de documentos de la organización. Los auditores deben verificar que la documentación del EBMS existe para proporcionar orientación a los usuarios respecto a los aspectos funcionales y de control asociados a los documentos electrónicos. Adicionalmente, los requisitos en el punto de uso asociados con las normas de sistema de gestión aplicables, típicamente se cubrirán en parte por las políticas de acceso a documentos de la organización. Los auditores deben entender las políticas y procedimientos de la organización que tratan sobre los privilegios de los usuarios ya que estos son factores importantes para comprender apropiadamente los procesos de la organización. La comunicación electrónica externa con proveedores, clientes y otras partes interesadas pudieran involucrar el intercambio de documentos. Dado que estos documentos externos pudieran contener parámetros clave que especifican el funcionamiento de los procesos de la organización, los auditores deben verificar el grado en que estos documentos son formalmente introducidos y controlados dentro del sistema de gestión en base electrónica. 6. Auditando el control de los registros electrónicos Los registros electrónicos consisten en los datos de los resultados de los procesos combinados con los formatos electrónicos que contienen los datos. Estos formatos electrónicos van desde una simple hoja electrónica a las aplicaciones de base de datos más complejas. Los auditores deben estar concientes de que los elementos de control que establecen las organizaciones para las formas electrónicas no son

110 necesariamente los mismos que los que aplican a los registros electrónicos. Por ejemplo, con respecto a la Identificación, en el caso de formas electrónicas, el término se refiere a la nomenclatura del formato electrónico mismo. Cuando la identificación es considerada en el caso de un registro electrónico, esta se refiere al uso único del formato electrónico para un grupo dado de datos. Los auditores deben revisar los métodos empleados por la organización para la captura de datos, con la finalidad de asegurar que las actividades de introducción de datos proporciona la suficiente confianza en su exactitud. Cuando se evalúa los controles de la organización con respecto al almacenaje de registros, los auditores deben verificar si las organizaciones tienen un entendimiento de su capacidad de almacenamiento contra: El rango de generación de registros Las políticas de retención de registros y tiempos asociados El rango de disposición de registros, ya que estos factores pudieran impactar el funcionamiento apropiado del EBMS. Dado que la base de conocimientos y el desempeño de la organización pudiera estar casi totalmente en registros electrónicos, los auditores deben revisar los enfoques de la organización para seguridad de la información contenida en medios electrónicos. Para más información sobre Seguridad de la Información ver la norma ISO/IEC Recursos Organizacionales Conforme las organizaciones emigran al uso de EBMS, el papel de las funciones de IT (tecnología de la información) se vuelven vitales. Los auditores deben verificar si las organización ha dedicado los recursos de IT apropiados (incluyendo la infraestructura) para asegurar que el EBMS opera continua y eficazmente. Los auditores deben también verificar si la organización tiene definidos apropiadamente el nivel de interacción, soporte e involucramiento del personal de IT en aspectos asociados con el establecimiento, documentación, implementación y mantenimiento del EBMS. Como parte de la verificación de la asignación de los recursos apropiados, los auditores deben evaluar como la organización cubre la competencia requerida del personal para operar el equipo (hardware) y el software para correr el EBMS. Durante el establecimiento de un EBMS, es una práctica común que sistemas paralelos (manuales y electrónicos) estén funcionando por un período de tiempo que permita a los usuarios su adaptación. En estos casos el auditor debe verificar los enfoques de la organización para asegurar que el EBMS ha sido realmente asimilado y utilizado por el personal de la organización.

111 La complejidad de la infraestructura de IT de las organizaciones variará, dependiendo de la naturaleza y complejidad de los negocios. Los auditores deben verificar los procedimientos y políticas de mantenimiento del sistema de la organización para su plataforma de IT. También, los auditores deben verificar como la organización cubre los incidentes de paros del sistema, ya que esto impactará el funcionamiento normal del EBMS. Los auditores deben evaluar si la organización tiene o no sistemas formales de respaldo, y si éstos se revisan y prueban periódicamente en su adecuación o no. En relación al software, los auditores deben verificar los controles establecidos para el software interno, el software externo, las licencias de software y las actualizaciones del software. Ya que el software puede ser considerado un documento electrónico dinámico, las directrices dadas con anterioridad para auditar los documentos pudieran también ser aplicables a éste. Dependiendo de que tanto la organización utilice software para su EBMS, los auditores deben revisar la funcionalidad de las aplicaciones y su relación con los elementos del sistema de gestión definidos en el criterio aplicable. Como los factores ambientales pudieran impactar en el funcionamiento de una plataforma de IT, las organizaciones deben tener medidas para protegerse contra esos factores. Esto puede variar desde la necesidad de adecuar las instalaciones hasta la necesidad de tener fuentes ininterrumpibles de energía (UPS). Los auditores deben evaluar si los controles de la organización toman en cuenta aspectos como el mantenimiento de instalaciones, temperatura, humedad, etc, en la medida que estos amenacen la operación del EBMS. 8. Comunicación electrónica interna y externa Dado que las opciones disponibles y la facilidad de uso en la comunicación electrónica aumenta, las organizaciones deben asegurar que el sistema de gestión documentado cubre estos medios, según sea necesario, para asegurar consistencia en su utilización para satisfacer los requisitos de su EBMS y la norma de sistema de gestión aplicable. Cuando se utilizan intranets, s y mensajes instantáneos para satisfacer los requisitos del EBMS, los auditores deben verificar las políticas y procedimientos que cubran las circunstancias bajo las cuales estos medios pudieran se empleados. Adicionalmente, si los resultados de la comunicación electrónica interna serán utilizados para satisfacer los criterios de auditoría, los auditores deben verificar que las políticas y procedimientos para el control de registros se hayan aplicado. Cuando la organización dependa de su infraestructura de IT para las comunicaciones electrónicas con sus clientes (e.g. para e-commerce), proveedores (e-procurement), sitios remotos y otras partes interesadas, el auditor debe verificar que la metodología, políticas y procedimientos para esas comunicaciones y transacciones asociadas están formalmente cubiertas dentro del EBMS.

112 9. Sistemas de gestión Multi-sitios Las organizaciones que operan a través de multiples sitios (o desde una central a ubicaciones satélites) normalmente mantienen comunicaciones y comparten políticas, procedimientos y datos de procesos entre sus varias ubicaciones via electrónica, como el Internet, extranets, y Messenger. Cuando la plataforma IT y su software de aplicación asociado se utilizan para compartir información que es pertinente al criterio de auditoría, los auditores deben entender los diferentes medios de red que se emplean en la organización en la medida que sea necesario para juzgar si el EBMS cumple con el criterio de auditoría. Los auditores deben verificar si los controles sobre un sistema de gestión multi sitio son cubiertos y establecidos apropiadamente dentro de las políticas y procedimientos de la organización. 10. Competencia del auditor La confiabilidad del proceso de auditoría para un EBMS dependerá de la habilidad de los auditores para entender las tendencias en la Tecnología de la Información ya que las organizaciones dependen cada vez más del software para dar seguimiento y controlar sus operaciones. Las organizaciones auditoras deben tomar las medidas necesarias, incluyendo la provisión de entrenamiento, para cubrir las necesidades generales e individuales de su base de auditores con respecto a: Tendencias generales en Tecnología de la Información que pudiera impactar la operación de los sistemas de gestión Consideraciones especiales de auditoría para cada asignación de auditoría que se tome. Como las innovaciones en el sector IT son relativamente rápidas comparadas con los cambios en los criterios de auditoría, los auditores y las organizaciones auditoras se ven retadas con la necesidad de tener un entendimiento práctico de las tendencias asociadas y como ellas pudieran ser aplicables y utilizadas dentro de un EBMS. A la luz de las innovaciones que influencian el funcionamiento de un EBMS, las organizaciones auditoras deben determinar si la experiencia necesaria para ser eficaces en una auditoría dada, se encuentra en el equipo auditor mismo o cuando se requerirá la asistencia de un experto técnico.

113 Traducción libre realizada por INLAC. Documentos oficiales disponibles en : International Organization for Standardization International Accreditation Forum ISO 9001 Auditing Practices Group Directriz en: Uso eficaz de la norma ISO La norma ISO 19011:2002 ha reemplazado a la serie de normas ISO y proporciona directrices para auditorías de primera, segunda y tercer parte al auditar sistemas de gestión tanto de calidad como ambientales. Aunque mucho de la norma es relevante para auditorías de SGC de tercera parte, no todas sus cláusulas son directamente aplicables. La norma contiene opciones relativas a métodos de auditoría y competencias de los auditores pero el contenido no es mandatorio. La directriz tiene la intención de ser flexible y la aplicación puede diferir de acuerdo al tamaño, naturaleza y complejidad de la organización a ser auditada. Es decisión de cada cuerpo de certificación de tercera parte utilizar las directrices que considere apropiadas a sus necesidades y relevantes a sus prácticas propias de trabajo. La norma se divide en varias secciones incluyendo las siguientes: Principios de auditoría El auditor debe estar familiarizado con los 5 principios de auditoría y aplicarlos al proceso de auditoría. Gestión de un programa de auditoría Esta será generalmente responsabilidad de la dirección del cuerpo de certificación de tercera parte y no del auditor individual. Los auditores deben estar concientes que los programas de auditoría son seguidos y revisados a intervalos apropiados. Los auditores deben proporcionar datos de entrada para la mejora de los programas de auditoría. Actividades de auditoría Esta directriz enfatiza la importancia de y las técnicas para la planificación, conducción y reporte de una auditoría y es de particular relevancia para el auditor. Los auditores deben estar muy familiarizados con la sección 6 de la norma ISO en estos aspectos. Competencia y evaluación de los auditores

114 Traducción libre realizada por INLAC. Documentos oficiales disponibles en : La directriz sobre la competencia y evaluación de los auditores da un nuevo énfasis en la importancia de la competencia del individuo y del equipo auditor en vez del criterio de cualificación para auditores que estaba en la norma ISO La competencia ahora es definida como habilidad demostrada para aplicar conocimientos y aptitudes. Se da ahora, menos importancia en los niveles de educación prescritos, la experiencia de trabajo y auditoría y número de auditorías realizadas. Estas ahora se utilizan como entradas a los conocimientos y habilidades necesarias para la competencia de un auditor. Mucho de esta directriz será utilizada por los cuerpos de certificación de tercera parte cuando establezcan sus propios criterios de competencia para los auditores. Sin embargo, los auditores individuales deben estar concientes del contenido de esta sección de modo que puedan mantener, mejorar y trabajar dentro de su competencia profesional. Se puede encontrar ayuda práctica a través de las directrices y se dan ejemplos y clarificaciones adicionales en varios tópicos aunque algunos no pudieran ser aplicables a auditorías de tercera parte.