De auditado a auditor: Guía para entender el proceso de certificación

Estas reflexiones proceden de Linda Porter, experimentada auditora de NQA. Gracias a su amplia experiencia en auditorías, Linda conoce de primera mano los retos y las oportunidades que puede plantear el proceso de certificación.

Mi primera experiencia en auditoría fue cuando era contable en prácticas e iba a las oficinas de los clientes a ayudar al auditor a tomar muestras de facturas y conciliarlas con sus libros de contabilidad o sistemas financieros.

Un cambio en mi carrera me llevó a dar soporte a un software de impuestos de sociedades y contabilidad legal. Hubo una auditoría ISO 9001 y me seleccionaron para explicar el proceso de creación y gestión de tickets de soporte. Recuerdo que estaba muy nerviosa y que sentía mucha presión sobre mis hombros, que entonces eran muy jóvenes.

Por supuesto, la auditoría fue bien, el auditor fue amable y mi parte de la auditoría se aprobó con nota. Después de la auditoría me pregunté por qué había estado tan nerviosa, después de todo, sólo estaba explicando cómo hacía mi trabajo. No era un examen y no había preguntas trampa. En el peor de los casos, si se hubiera planteado alguna no conformidad, a la larga habría beneficiado a mi trabajo.

También me di cuenta de que la auditoría no la supera una sola persona, sino que requiere que toda la empresa ponga de su parte, ya sea siguiendo los procesos y procedimientos, vigilándolos o planteando oportunidades de mejora.

Después de esa auditoría me pidieron que me ocupara del sistema de gestión de la calidad y me formé como auditor interno. Posteriormente me convertí en Compliance Manger, responsable de las normas ISO 9001, ISO 27001 y 20000-1. Después de tres años decidí convertirme en evaluador regional de NQA, por lo que entiendo perfectamente lo desalentador y estresante que puede ser el proceso de auditoría. Para que lo sea un poco menos, permítanme darles una visión general de lo que pueden esperar durante el proceso de certificación.

El proceso de certificación

Preparación

Aproximadamente 4-6 semanas antes de la auditoría programada, el auditor se presentará y proporcionará un plan de auditoría para la duración de la misma. El plan incluirá las cláusulas obligatorias (4-10) que deben auditarse en cada visita, así como algunos procesos y los controles del Anexo A de la norma ISO 27001.

Esta es una oportunidad para asegurarse de que las personas adecuadas están disponibles para ser auditadas y de que los horarios están anotados en las agendas, para que todos puedan planificar su trabajo en consecuencia y no se sientan presionados o estresados si se les pregunta el día de la auditoría. Como auditores, sabemos que usted dirige una empresa y nos adaptamos a ello en la medida de lo posible, así que no piense que el plan de auditoría es rígido, hay flexibilidad siempre que todo esté cubierto en algún momento de la visita.

Por ejemplo, en el control 7.14 del Anexo A - Eliminación segura o reutilización de equipos, yo comprobaría que los soportes de almacenamiento que contienen información confidencial se han borrado de forma segura y se han destruido, lo que se demuestra con la actualización del registro de activos, tal vez con la emisión de un ticket para borrar el activo y con un certificado de eliminación segura que cumpla las normas RAEE y GDPR de la UE. También examinaría toda la documentación pertinente, como políticas, procedimientos o informes de auditoría interna.

Disponer de esta información permite que la auditoría se desarrolle de forma más fluida y menos estresante. Existe la idea errónea de que los auditores buscan problemas y no conformidades que plantear, y que disponer de más tiempo durante la auditoría les dará más oportunidades de encontrar problemas. Nuestra función es confirmar el cumplimiento de las normas, y lo hacemos buscando pruebas. Si se pierde tiempo, pueden surgir no conformidades por falta de pruebas o aumentar el tiempo de auditoría y los días necesarios para garantizar que se cubren todas las cláusulas obligatorias.

El día de la auditoría

Independientemente del tipo de auditoría, cada visita comenzará con una reunión de apertura.

Se trata de presentar formalmente a todos los participantes en la auditoría, confirmar la norma auditada, el ámbito de aplicación y si hay exclusiones. También se habla de la confidencialidad y de los requisitos de salud y seguridad. A continuación se revisa el plan de auditoría y se reitera que se trata de una auditoría por muestreo. Si tiene alguna duda sobre el plan de auditoría, lo mejor es plantearla de inmediato para poder discutirla y mitigarla de la mejor manera posible.
 

Tipos de auditoría

Auditoría de fase 1

Una auditoría de primera fase sirve para evaluar si su empresa está preparada para la auditoría completa que determinará si puede certificarse conforme a la norma elegida. Es una oportunidad para conocer mejor su empresa, el contexto del negocio y revisar los documentos y procedimientos clave para asegurarse de que cumplen los requisitos de la norma. Si se considera que no cumplen los requisitos, se explicará y señalará en el informe de auditoría, y se planteará un "Área de Preocupación" (AoC). En esta fase también se plantean oportunidades de mejora. Estas áreas de preocupación deben revisarse y corregirse antes de la auditoría de la segunda fase; de lo contrario, la auditoría de la segunda fase no conducirá a la certificación.

Se recomienda encarecidamente disponer de una copia de la norma ISO aplicable a la que remitirse y de cualquier norma de apoyo pertinente; por ejemplo, la norma ISO 27002:2022 puede utilizarse como referencia para determinar e implantar controles para el tratamiento de los riesgos de seguridad de la información para la norma ISO 27001:2022.

Auditoría de fase 2 / Auditoría de recertificación

Estas auditorías abarcan todas las cláusulas y controles, por lo que su duración es mayor. También incluyen los procesos dentro del ámbito de la certificación.

De nuevo, habrá una reunión inicial para explicar el plan de la auditoría, cuyos detalles se habrán enviado de antemano. Como hay que cubrir todos los aspectos, el tiempo dedicado a cada cláusula, control y proceso puede ser menor que en una auditoría de vigilancia.

La auditoría por muestreo tiene por objeto encontrar pruebas de cumplimiento y ofrecer oportunidades de mejora.

Durante la auditoría, el auditor jefe mantendrá a todos informados de los hallazgos o preocupaciones. Siempre se explicarán y debatirán en profundidad para garantizar que la interpretación de las pruebas es correcta. La decisión del auditor jefe es definitiva, pero existe un proceso de apelación si no está de acuerdo con la evaluación.

Una vez finalizada la auditoría, se celebra una reunión de clausura a la que se invita a todas las partes interesadas. En ella se confirma la norma auditada, el alcance de la auditoría, la evaluación final y la recomendación de certificación. Se discuten los posibles hallazgos y el proceso para resolverlos.

Los resultados de las auditorías distintas de la primera fase incluyen:

No conformidades mayores: un incumplimiento significativo de los requisitos de la norma ISO, una desviación más grave de los resultados previstos del sistema de gestión que una no conformidad menor, o múltiples no conformidades menores que demuestren un problema sistémico o una incapacidad para mantener la conformidad con la norma. Por ejemplo, no realizar copias de seguridad periódicas. Estas no conformidades deben resolverse en un plazo de 10 días y pueden requerir una visita especial para garantizar que se han aplicado medidas correctoras eficaces y se ha eliminado la causa raíz, antes de que pueda expedirse un certificado.

No conformidades menores: un incumplimiento de los requisitos de la norma ISO que no afecta significativamente al sistema de gestión; por lo general, se trata de incidentes aislados que se solucionan fácilmente. Por ejemplo, falta de documentación o documentación incompleta. Las soluciones deben acreditarse en un plazo de 90 días.

Cada no conformidad debe documentarse en un Plan de Acción Correctiva (Formulario CAP's) y detalla cómo se abordará la no conformidad, la eliminación de la causa raíz y las pruebas para confirmar que se ha completado. Como ya se ha mencionado, puede ser necesaria una visita especial para verificar que la acción correctiva ha sido eficaz. Esto debe completarse antes de que pueda expedirse o reexpedirse un certificado para una auditoría de recertificación.


Otro hallazgo es una OFI, u oportunidad de mejora. Se trata de recomendaciones de mejora que deben anotarse en el registro de OFI y documentarse las consideraciones al respecto. No tienen por qué aplicarse necesariamente, aunque los motivos deben documentarse para su revisión durante la próxima auditoría externa.

Después de la auditoría

Una vez finalizada la auditoría, el auditor jefe dispone de 48 horas para elaborar el informe de auditoría completo. Cualquier duda o pregunta sobre el informe debe comunicarse al auditor lo antes posible. El informe de auditoría se envía a revisión técnica y, una vez finalizada ésta y subsanadas las posibles no conformidades, normalmente en un plazo de dos semanas, se expide el certificado.

Ciclo de auditoría

Una vez que ha recibido su certificado ISO, entra en el ciclo de auditoría de tres años. La auditoría anual verifica que el sistema de gestión se mantiene y sigue cumpliendo la norma ISO.

La primera auditoría tras la certificación es la Vigilancia Uno, la segunda la Vigilancia Dos y la tercera se conoce como auditoría de recertificación.

En cada auditoría deben cubrirse las cláusulas obligatorias y, a lo largo de los tres años, deben auditarse todos los procesos y controles. Estas cláusulas se recogen en la matriz trienal que figura al final del informe de auditoría y sirven de orientación sobre lo que se abordará en las próximas auditorías, aunque pueden cambiar siempre que, a lo largo de los tres años, se aborden todos los aspectos al menos una vez.
 

Resumen

La planificación es clave para sacar el máximo partido de las auditorías. Haga preguntas, las auditorías son para que usted se asegure de que sus procesos funcionan. Aunque los auditores no pueden ofrecer asesoramiento, sí pueden sugerir oportunidades de mejora.

El proceso de auditoría está diseñado para obtener pruebas de conformidad, no para pillarle. Disfrute del proceso y recuerde que los auditores entienden que usted también dirige un negocio y serán todo lo flexibles que puedan.

Después de la auditoría, es crucial abordar las no conformidades con prontitud y eficacia. Esto no sólo garantiza el cumplimiento, sino que también contribuye a la mejora continua de sus procesos. Recuerde que las auditorías son una herramienta valiosa para mejorar la calidad y la eficacia general de sus operaciones, así como para garantizar la certificación de la norma ISO.

Si quiere más información sobre la certificación, póngase en contacto con nosotros o solicite presupuesto de certificación online.