miércoles, 13 de marzo de 2019

CÓMO ESTRUCTURAR UN EQUIPO DE AUDITORÍA INTERNA

La auditoría interna es la herramienta más eficaz para verificar la conformidad del SGC con los requisitos solicitados por la norma ISO, y, así, definir acciones de mejora. 

Debido a ello, estructurar un equipo de auditoría interna es una tarea que requiere considerar factores de evaluación muy precisos.

Al conformar un equipo de auditoría interna, es necesario establecer el número ideal de auditores, que, sin importar el tamaño de la organización, debe ser por lo menos de dos personas. Esto resulta imprescindible si pensamos que las normas de auditoría generalmente aceptadas nos indican que “un auditor no puede auditar su propio trabajo”.

Debemos pensar también en que, un equipo de auditoría interna puede estar formado por profesionales pertenecientes a organizaciones dedicadas a prestar el servicio de auditoría. No dejaría de ser una auditoría interna, ya que el contratante es la organización auditada.

Veamos, a continuación, una breve guía sobre cómo conformar un equipo de auditoría interna.

Cómo estructurar un equipo de auditoría interna

Como ya hemos mencionado, una primera consideración deberá ser conformar el equipo de auditoría interna según el recurso humano disponible o tercerizar la tarea en una organización especializada en tal servicio.

Por supuesto, es necesario evaluar la conveniencia de tal decisión. Contar con un equipo de auditoría interna de planta en la organización, facilita y flexibiliza la práctica de auditorías en el momento en que el sistema lo requiera.

Otra ventaja de conformar un equipo de auditoría interna propio es que se asegura el conocimiento para la organización y la transferencia efectiva del mismo a un número considerable de empleados.

Características del equipo de auditoría interna

Los equipos de trabajo se constituirán de acuerdo con las características, objetivos y plazos de cada trabajo, haciendo especial énfasis en:
  • El conocimiento y la experiencia de los candidatos, no solo con respecto a los procesos internos de la empresa, sino en cuanto a los requisitos de la norma evaluada.
  • El número de miembros del equipo, de tal forma que exista rotación que asegure a todos la oportunidad de conocer las diversas áreas o unidades de la organización.
  • El número de miembros que participarán en la auditoría interna debe ser proporcional al volumen de trabajo, el número de áreas o departamentos o ubicaciones de la organización.
Conformar un Equipo de Auditoría Interna requiere considerar el perfil, el número y las capacidades de los miembros. Aprenda cómo hacerlo hoy
El perfil del auditor interno

Ser parte del equipo de auditoría interna de la organización es una distinción que resulta honorífica, pero que también involucra grandes responsabilidades. Por ello, el perfil del auditor interno es exigente y riguroso:
  • Debe ser un ser humano integro.
  • Debe ser competente y contar con la formación profesional adecuada para la tarea.
  • Debe demostrar independencia con respecto al área auditada.
  • Debe demostrar compromiso con el cumplimiento de las estrategias y los objetivos de la organización.
  • Debe ser un profesional dinámico que haga uso de los recursos disponibles para cumplir su tarea.
  • Debe poseer habilidades de comunicación y socialización.
  • Debe ser ágil, proactivo y proyectado hacia el futuro.
  • Debe promover la mejora organizacional.
La formación como factor clave en el éxito de un equipo de auditoría interna

Es normal que una organización no encuentre dentro de sus colaboradores, aunque estos sean muchos, dos o más que cumplan con las características para proceder de manera efectiva con una auditoría interna. 

Es preciso que para ello cuenten con el conocimiento necesario de los procesos de la organización y también de los requisitos y puntos clave de la norma ISO evaluada.

En estos casos, la recomendación es implementar programas de formación y capacitación consistentes con la necesidad de la organización.

Tomado de: https://www.escuelaeuropeaexcelencia.com/

CLÁUSULA 7.5 INFORMACIÓN DOCUMENTADA EN ISO 9001:2015


Información documentada en ISO 9001:2015 es lo que antes conocíamos como documentos y registros. La expresión “información documentada” es un término común que encontramos en todas las normas que se han adherido al Anexo SL, como ISO 9001.
A pesar de la nueva terminología, los requisitos de la cláusula 7.5 – información documentadas en ISO 9001:2015 – no difieren mucho de lo solicitado en la versión 2008, lo que hace que las modificaciones apenas impacten sobre las las actividades de control de documentos.



La mayor modificación que se produce es que ahora necesitaremos ver los documentos de otras formas y en formatos más diversos y flexibles.


Información documentada en ISO 9001:2015 – ¿Qué dice la norma?


El requisito 7.5.1 de ISO 9001:2015 trata sobre las generalidades de la información documentada.

El sistema de gestión de la calidad de la organización debe incluir:

a) Información documentada, requerida por esta norma.

b) Información documentada, determinada por la organización como necesaria, para la eficacia del sistema de gestión de la calidad.

Nota: La extensión de la información documentada a un sistema de gestión de la calidad puede diferir de una organización a otra, debido a:
  • El perfil de la organización y su tipo de actividad, procesos, productos y servicios.
  • La complejidad de los procesos y sus interacciones.
  • La competencia de las personas.
Esta documentación es la información que debe ser controlada y mantenida por la organización en el formato en el que está contenida. Esto significa que si la organización decide guardar información en imágenes, por ejemplo, tendrá que controlar y mantener ese formato, observando las medidas necesarias para ello.

¿La imagen tendrá un código?, ¿se dispone de una ubicación adecuada para almacenar, identificar y gestionar la imagen, de tal forma que resulte accesible para las personas que eventualmente la necesiten?


Información documentada en ISO 9001:2015 – ¿Qué información debemos preservar?

Aparte de los formatos que se decida utilizar, es necesario conservar la información pertinente en los siguientes casos:
  • Sistema de gestión de la calidad, incluidos los casos.
  • Información creada para que la organización pueda operar (documentación).
  • Evidencia de resultados alcanzados (registros).
Uno de los objetivos de la revisión 2015 de ISO 9001 es que las organizaciones cuenten con la información más relevante para el logro de sus resultados. Esto significa tener la información necesaria para apoyar el crecimiento de la organización y evidenciar estos resultados.

De esta forma, entendemos la información documentada en ISO 9001:2015 como parte del apoyo necesario para desarrollar la estrategia de negocios de la organización.

A partir de este cambio de enfoque es necesario hacer una revisión crítica de los documentos existentes, e identificar oportunidades para optimizar el sistema, suprimir, fusionar o crear documentos, si es necesario. La labor puede iniciarse con estas preguntas:
  • ¿Todos los documentos contribuyen al cumplimiento de la planificación estratégica?
  • ¿Todos son entradas, salidas o parte de un proceso que incorpora un indicador? Es decir, ¿contribuyen a algún resultado relevante en la organización?
  • ¿Entrega algún valor relevante para las partes interesadas?
Finalmente, para comprender mejor los cambios presentados en la sección 7.5 es importante identificar la diferencia entre documentos y registros: un documento es información utilizada para respaldar una operación organizacional efectiva y eficiente.

Un registro es evidencia sobre un evento pasado. Los registros consisten en cualquier información que se recopile durante la operación del SGC de la organización. Los registros son hechos y, por ello, no deberían cambiar. Si surgen nuevos hechos que contradigan los hechos antiguos —un error identificado—, entonces se debe abordar el hecho anterior y registrar el hecho nuevo.


Tomado de: https://www.escuelaeuropeaexcelencia.com

ISO 19600 Y LA GESTIÓN DEL COMPLIANCE


Toda organización, por grande o pequeña que sea, requiere de un cumplimiento normativo obligado que a veces es difícil de gestionar. 
De esta necesidad surge la ISO 19600 sobre la Gestión del Compliance, que permite cumplir con requisitos legales, estándares, códigos de industria y demás requerimientos normativos que pueda llegar a tener una empresa.


La ISO 19600 no es una norma certificable, como es el caso de otros estándares, pero sirve de valiosa herramienta para gestionar adecuadamente las exigencias legales, siendo de mayor importancia cuanto mayor sea el marco regulatorio de aplicación en la organización, ya que del cumplimiento de las mismas, dependerá su prestigio y supervivencia.


Contenido de la ISO 19600

Los aspectos fundamentales de la ISO 19600 los podemos resumir en estos 12 puntos:
  • Alcance: como en el resto de sistemas de gestión, en la ISO 19600 también deben determinarse los límites y aplicabilidad del Compliance, para lo que debe tener en cuenta el contexto interno y externo, las expectativas de las partes interesadas y sus obligaciones de Compliance. Estas últimas considerarán:
- Los requisitos de Compliance: marco normativo de obligado cumplimiento.
- Los compromisos de Compliance: aquellas regulaciones no obligatorias, pero sí beneficiosas (por ejemplo, normas ISO)
  • Liderazgo: en la cláusula 5.1 de la norma, se estipulan una serie de acciones que debe realizar la alta dirección, que implican más que mostrar liderazgo o realizar una declaración de intenciones.
  • Roles y responsabilidades: deben establecerse en todas las estructuras y niveles de la organización, incluidos los empleados y la dirección.
  • Gestión del riesgo: en este punto, se debe considerar la ISO 31000 sobre los principios y directrices para la Gestión Riesgo, al considerarse esta fase la más compleja y crítica de Compliance.
  • Competencia: el personal debe estar formado y sensibilizado en materia de Compliance.
  • Cultura: el órgano de gobierno y la alta dirección deben tener un compromiso claro con el Compliance, para poder desarrollar una cultura de Compliance en la organización.
  • Comunicación: debe desarrollarse un plan de comunicación en materia de Compliance, en el que se desarrolle el qué comunicar, cuándo, quién y cómo.
  • Documentación: como en el resto de Sistemas de Gestión, en la ISO 19600 también debe generarse una serie de documentación, como políticas, procedimientos, informes, etc)
  • Operación: en la ISO 19600 debe establecerse un control y seguimiento de los riesgos que ayude a gestionarlos y mitigarlos, es decir, a tratar el riesgo.
  • Evaluación del desempeño: una vez se haya implementado el Sistema de Gestión basado en la ISO 19600, se debe seguir, medir, analizar y evaluar su funcionamiento, destacando la importancia a este respeto, de métricas e indicadores.
  • Auditoría interna y revisión del sistema por la dirección: al igual que en el resto de normas ISO, deben realizarse auditorías internas y de revisión del sistema por la dirección.
  • Mejora continua: mejorar siempre el Sistema de Gestión de Compliance de la ISO 19600 con ayuda del feedback obtenido de las mediciones realizadas en la fase anterior.
Qué ocurre si no aplico la Gestión de Compliance de la ISO 19600

Con la última reforma del Código Penal, se ha impuesto como requisito legal indispensable la gestión del Compliance, ya que los tribunales han comenzado a sancionar, con responsabilidad penal, a empresas que por no haber tomado las pertinentes medidas de control, han caído en delitos o incumplimientos que podrían haberse evitado o dificultado en cuanto a la comisión del delito. 

La ISO 19600 permite realizar una gestión del Compliance con la que evitar sanciones que podrían dificultar la rentabilidad y posicionamiento de la empresa, mientras que tenerlo implantado, permitiría una tranquilidad añadida al administrador, que podría dedicarse a otros aspectos del negocio, como ventas, gestión o a la sociedad.

Puede ser necesario, que para la gestión del Compliance se cuente con profesionales que sean verdaderos expertos en esta área, y no sólo porque tenga la cualificación de abogado, sino que tengan formación acreditada como “compliance officer”.

Áreas de una organización más afectadas por la gestión del Compliance

A pesar de que la gestión del Compliance afecta a la totalidad de la empresa, ya que una negligencia puede proceder de cualquiera de las áreas, hay algunas cuya importancia es más relevante. Así tenemos:
  • Programas de concienciación de la plantilla
  • Certificación de implantación de políticas para la prevención de delitos según establece la normativa ISO 19601 – modelo AENOR).
  • Plan de Compliance según la norma ISO 19600.
  • Plan de Buen Gobierno y Responsabilidad Social.
  • Certificación de prácticas anti-soborno conforme a ISO 37001.
  • Evaluación de Riesgos legales y jurídicos en la empresa.


Tomado de: https://www.isotools.org