viernes, 18 de octubre de 2019

ISO 19011 Y LOS DIFERENTES TIPOS DE AUDITORÍAS DE UN SISTEMA DE GESTIÓN


La nueva versión de la norma ISO 19011 sobre Directrices para el desarrollo de una auditoría, fue publicada en agosto de 2018.

Considerando la gran cantidad de normas ISO, hay varias de ellas que nos podemos encontramos más habitualmente, como son la norma ISO 9001 de calidad, ISO 14001 de medio ambiente o ISO 45001 de seguridad y salud laboral.

Estas normas certificables, deben seguir una serie de pasos necesarios para obtener finalmente el certificado y, así, obtener reconocimiento la empresa usuaria.

Estos pasos, llevan a la implementación de la norma en forma de Sistema de Gestión, el cual requiere de un seguimiento y control, para verificar el cumplimiento de la norma o normas que hayan sido implementadas.

Y es aquí, donde la ISO 19011 entra en acción, ofreciendo las directrices para conocer la forma de auditar el sistema de gestión, especialmente para las auditorías internas o de primera parte o las referentes a proveedores o de segunda parte.

Por tanto, es la norma ISO 19011 la que nos dice cómo auditar los sistemas de gestión, teniendo que haber sido actualizada precisamente por las recientes versiones publicadas de otras normas, y así adaptarse a la estructura HLS y otras modificaciones.

Criterios a considerar frente a una auditoría

La ISO 19011 establece una serie de criterios que hay que considerar a la hora de afrontar una auditoría, independientemente que sea parcial o completa.

Así, podemos mencionar:
  • Debe incluir los requisitos que hayan sido definidos en la norma o normas implementadas.
  • Considerar las políticas y demás requisitos que hayan sido identificados clave por las partes interesadas.
  • Evidentemente, los requisitos legales y otros requisitos.
  • Revisar los procesos (o el proceso de interés) que hayan sido definidos por la organización o, en el caso de auditoría de segunda parte, por las partes interesadas.
  • Hay que tener en cuenta las planificaciones establecidas para las salidas de un sistema de gestión (según el mapa de procesos elaborado previamente).
Así, la norma ISO 19011 proporciona una serie de orientaciones que sirven para todo tipo de empresas, ya sean grandes o pequeñas o de diferentes actividades.

De esta manera, las auditorías se podrán programar y planificar en función de la empresa a auditar.

Por supuesto, lo más usual es que en empresas grandes, se disponga de un equipo de auditores encargados de estas auditorías.

Mientras que para empresas pequeñas, suelen ser auditores individuales, bien pudiendo ser propio de la empresa o contratado externamente para la auditoría interna. Matizar que, cuando se trata de un auditor propio de la empresa, éste no podrá auditar su propio departamento.

Tipos de auditorías

Anteriormente, hemos mencionado ya dos de los tres tipos de auditorías que se pueden llevar a cabo y para las que sirve de guía la ISO 19011.

Estas son, las auditorías de primera parte o auditorías internas y las auditorías de segunda parte de auditoría de proveedores o de las partes interesadas.

El tercer tipo, se trata de las auditorías de tercera parte o de certificación, que son las propias para la obtención del certificado.

Auditorías de primera parte o auditorías internas

Este tipo de auditorías, son llevadas a cabo por la misma empresa, con la finalidad de revisar si se han implementado correctamente todos los requisitos de la norma implementada y, de esta manera, el desempeño del sistema de gestión implementado es el adecuado.

Además, los reportes obtenidos de estas auditorías, sirven como input más para el análisis de la revisión por la dirección y como consideración en la mejora continua.

Por tanto, es uno de los requisitos de cualquiera de las normas sobre sistemas de gestión implementadas.

Auditorías de segunda parte o auditorías de proveedores o partes interesadas

Este tipo de auditorías ya son consideradas como externas. Estas son desarrolladas cuando la organización tiene interés en conocer a un tercero, normalmente se trata de proveedores o subcontratistas.

El objetivo de este tipo de auditorías es determinar si los servicios a contratar son adecuados o conformes a los requisitos establecidos en el sistema de gestión implementado.



Auditorías de tercera parte o auditorías de certificación

Para este tipo de auditorías, sirve como referencia la norma ISO/IEC 17021-1, la cual proporciona una serie de requisitos para la auditoría de sistemas de gestión para la certificación de terceras partes.

Este tipo de auditorías son realizadas por los organismos de certificación acreditados, previa solicitud de la empresa.

Una vez superada esta auditoría, se obtiene la certificación en el sistema de gestión implementado.


Tomado de: https://www.isotools.org

ISO 19600:2015 PARA SISTEMAS DE GESTIÓN DE COMPLIANCE


A finales del año 2015, el Organismo Internacional sobre Normalización (ISO) publicó la versión final de la ISO 19600 sobre Compliance Management Systems (CMS). 
Esta norma internacional se ha transformado en el modelo más actual de normas empleadas exclusivamente a la gestión del cumplimiento.

Con la norma ISO 19600 se ha logrado consolidar la tendencia de elaborar normativas específicas sobre este tema, en lugar de hacer uso a contextos generales. Tras su publicación oficial, cualquier persona interesada en conocer los elementos imprescindibles de un CMS no tiene que recurrir a ámbitos de referencia generales como por ejemplo el framework de COSO o el GRC Capability model de OCEG.



La disponibilidad de normativas internacionales sobre CMS está creciendo, lo que por su parte implica la falta de justificación de sustentar modelos carentes o particulares. Los avances en cuanto al grado de especialización de Compliance están siendo vertiginosos, tanto es así que ya existen postgrados universitarios dedicados a ello.

Con la nueva ISO 19600, las organizaciones tendrán en uso una herramienta especializada para identificar y gestionar los riesgos a los que hacen frente por posibles incumplimientos de obligaciones.

Las organizaciones tienen la necesidad real de estar dotadas de sistemas o modelos de gestión encaminados a reducir los riesgos de incumplimiento, es decir, reducir los riesgos de sufrir sanciones, multas, contingencias, etc. lo que viene siendo pérdidas económicas.

La ISO 19600 se fundamente en los principios de buena gobernanza, proporcionalidad, transparencia y sostenibilidad. Es por ello, que estos modelos o sistemas de gestión no pueden ser invariables, dependerán de diversos aspectos como puede ser el tamaño, estructura, naturaleza y complejidad de la organización.

Se trata de una normativa internacional que va a aportar importantes ventajas, entre las que destacamos:
  • Establecimiento de buenas prácticas en temas de gestión de compliance.
  • Simplificación de la gestión de riesgos.
  • Es aplicable a cualquier tipo de organización y es totalmente compatible con el resto de normas ISO para los Sistemas de Gestión, por lo que su aplicación se verá facilitada.

¿Qué contiene la norma ISO 19600?
  • Directrices que orientan sobre la implementación, evaluación, mantenimiento y mejora de un Sistema de Gestión Compliance eficaz y eficiente.
  • Recomendaciones sobre los aspectos que una organización debería considerar para garantizar el cumplimiento de su política de compliance y que cuenta con la capacidad para asumir sus obligaciones.
  • Una descripción sobre la necesidad de mantener actualizada la formación relacionada con el compliance, para los profesionales dedicados a esta materia cuando tengan lugar cambios a nivel organizacional, legislativo o en los compromisos existentes con las partes interesadas.
  • Información sobre la integración del desempeño en compliance en la evaluación del desempeño de los trabajadores o en la revisión de acuerdos de contratación externa para garantizar que se consideran obligaciones en esta materia.
Como ya hemos visto es una norma que podrá ser aplicada a cualquier organización, aunque eso sí, es necesario que las organizaciones se decidan por su implementación con sentido común y sabiendo que se trata de una decisión sostenible en el tiempo.

Implantar la ISO 19600, al igual que ocurre con normas como ISO 9001 para los Sistemas de Gestión de la Calidad o la ISO 14001 para los Sistemas de Gestión Ambientales, debe ser una decisión que surja desde la alta dirección de la organización, con el objetivo de mejorar y no por los beneficios económicos que implica.

La norma ISO 19600 está configurada como un documento de colaboración para la alta dirección y responsables de cumplimiento de la organización y tiene la finalidad de asegurar la cultura ética e integridad de todas sus acciones.

Hacerle frente a la legislación sin ayuda de la norma ISO 19600 puede suponer importantes fracasos debido a la incomprensión de la incomprensión legislativa. No considerar estos aspectos puede ocasionar sanciones que pueden mermar e incluso paralizar el desarrollo de una organización.

Sentar las bases del compliance, por otra parte, permite a los líderes de las organizaciones tener más tiempo y recursos para dedicarse a buscar el éxito de su organización.

La implementación de la ISO-19600 estará considerada como una señal de diferenciación de las buenas organizaciones y empresas de futuro, ya que el asentamiento de sus bases hace posible a los líderes tener más tiempo y recursos para trabajar por el éxito de su compañía.

Tomado de: https://www.isotools.org