Auditorías a distancia. Auditando desde casa y en pijama 2ª parte

Auditorías a distancia. Auditando desde casa y en pijama 2ª parte

En enero de 2014, hace más de 6 años, publicamos un post titulado “Auditando… desde casa y en pijama. Las auditorías del futuro”. Hoy parece que la COVID-19 va a ser el desencadenante de unos cambios radicales en la forma de hacer las auditorías de los sistemas de gestión, o por lo menos de una parte de ellas.

¿Se pueden hacer las auditorías a distancia?

Para las auditorías de certificación existe un documento de la IAF (International Accrditation Forum) que establece los requisitos para un correcto uso de las tecnologías de la información y comunicación en las auditorías de certificación IAF MD 4 .

En este documento se dan ejemplos del uso de la tecnología durante las auditorías, como reuniones por teleconferencia, evaluación de documentos mediante acceso remoto, grabación de información y evidencias mediante video, o proporcionar acceso visual a ubicaciones remotas.

Seguro que ya sabéis que las entidades de certificación acreditada se han puesto las pilas, y en un tiempo récor han desarrollado procedimientos de auditorías a distancia, para poder seguir prestando el servicio sin dejar de aportar valor.

Y ¿qué hay de las auditorías internas? ¿Pueden realizarse a distancia?

Os podemos contar cómo las estamos haciendo nosotros.

1. Las tratamos como una presencial, cubriendo las mismas actividades:

  • Plan de auditoría.
  • Reunión de apertura.
  • Revisión documental.
  • Recopilar y verificar la información.
  • Generar los hallazgos de auditoría.

Además, fijamos previamente con nuestros clientes las herramientas TIC que vamos a utilizar. Si es posible, utilizamos las herramientas corporativas del cliente, a las que nos dan acceso temporal, para que la información no salga de sus servidores y se pueda asegurar su confidencialidad lo máximo posible.

2. Normas y claúsulas:

Como te puedes imaginar aquí está el quid de la cuestión.
En las normas ISO 9001:2015, ISO 14001:2015 e ISO 45001:2018, las clausulas 4, 5, 6, 7, 9 y 10, se pueden auditar a distancia asegurando la disponibilidad de las personas que forman la organización del cliente, para ser entrevistados.
¿Qué ocurre con las clausulas 8 de estas normas? Pues depende de las actividades que realicen, pero en general no se puede asegurar que auditar a distancia cumpla con los objetivos de la auditoría.

En resumen, para nosotros, no ha sido posible realizar auditorías interna 100% a distancia, siempre planificamos una parte presencial (aproximadamente un 80% del tiempo a distancia y un 20%)

Algunos de los argumentos que mencionábamos en 2014, a favor del uso de auditorías a distacia, eran:

  • Un porcentaje importante del tiempo de una auditoría es empleado por los auditores en revisar documentos y hablar con los empleados claves de la organización auditada en función de la norma de que se trate.
  • Las tecnologías actuales permiten un contacto directo con el auditado en tiempo real y la transmisión inmediata de cualquier tipo de documentación o imagen.
  • Sólo un porcentaje del tiempo es realmente empleado por los auditores en recorrer las instalaciones, inspeccionar visualmente los procesos, hablar con los operarios, etc.
  • El ahorro económico de plantear sistemas mixtos en los que una parte de la auditoría se haga a distancia sería muy significativo.

Ninguno de esos argumentos ha cambiado en 2020, más bien las tecnologías de comunicación han mejorado en prestaciones y han abaratado su precio.

Argumentos poderosos en contra también existían, y existen, y por eso muchas entidades de certificació están desarrollando urgentemente directrices para abordar convenientemente aspectos como:

  • Proporción de tiempos adecuada entre la parte presencial y la parte “a distancia”.
  • Gestión de la confidencialidad de la información manejada “a distancia”.
  • Gestión segura de los registros generados en el proceso de auditoría.
  • Problemas tecnológicos con las conexiones de auditores y auditados.
  • Mayor dificultad para profundizar en las investigaciones y seguir la trazabilidad en el proceso de auditoría.

Por último, hay que destacar que el uso de las tecnologías puede ser útil, pero es imposible auditar a empresas que en estos momentos no están realizando sus actividades de forma habitual. ¿Cómo auditar un hotel por ejemplo … si están cerrados?

Es una lástima que estas metodologías tengan que ponerse al día en unas pocas semanas o meses y en una situación especialmente complicada, pero parece que lo que se está desarrollando actualmente llega para quedarse y, servirá de base para que en el futuro las auditorías tengan proporcionalmente una mayor parte a distancia.

En resumen, parece que la COVID 19 ha desencadenado la revisión de todos estos aspectos y el debate está candente sobre el método futuro de desarrollar las auditorías de sistemas de gestión. ¿Es una idea razonable incrementar la parte a distancia de las auditorías?. Por el contrario, ¿auditar así iría en contra de la calidad técnica de las auditorías? ¿Puede ser adecuado pero sólo para determinadas normas o sectores?. ¿Qué opinas tú? Te espero en los comentarios.

 

La implantación de ISO 9001 2015 partiendo de cero

La implantación de ISO 9001 2015 partiendo de cero

Se ha hablado mucho de cómo transitar a ISO 9001 2015, de análisis GAP o de los cambios en la norma; pero qué ocurre si no tienes implantado ningún sistema de gestión previo. Sigue leyendo y te explicamos cómo haríamos nosotros la implantación de ISO 9001 2015 partiendo de cero.

1 DIAGNÓSTICO

Para empezar, tienes que saber de dónde partes, qué tienes, para no trabajar el doble.

Sé que hemos dicho que partimos de cero, pero no te equivoques, seguro que hay muchas cosas de las que ya estás haciendo y que te valen para el sistema de gestión de calidad de tu organización.

Estudiar la situación actual de tu empresa para comprobar qué estás haciendo y qué documentación conservas de ello. Seguro que te sorprendes de que, en muchos casos, sólo necesitarás pequeñas modificaciones para adaptarlo a los requisitos de la norma.

De este diagnóstico también sacarás una información muy valiosa, la identificación de los requisitos reglamentarios que afectan a la actividad de tu organización.

Así que ya sabes, haz una auditoría de diagnóstico de tu organización antes de empezar a preparar documentos como un loco.

2 DISEÑO, DOCUMENTACIÓN E IMPLANTACIÓN DE LOS REQUISITOS

Para esta fase, y siguiendo el nuevo esquema que ha introducido ISO 9001:2015, te recomendamos hacer un análisis del contexto de tu organización.

Tal y como te explicamos en la entrada El análisis PEST, una herramienta para analizar el contexto en ISO 9001:2015 ¿Quién se ha llevado mi ISO?” la Cláusula 4 de la revisión 2015 contiene una serie de nuevos requisitos que obligan a definir el contexto de la organización, a determinar por qué la organización está dónde está. Este es un cambio fundamental, ya que esta definición será el punto de partida y la base para el Sistema de Gestión de Calidad (SGC). Este es el principio.

Puedes utilizar el análisis PEST, o cualquier otro con el que sientas más cómodo, o conozcas mejor,

El siguiente paso a dar, es la definición y la comprensión de las necesidades y expectativas de las partes interesadas.

Las partes interesadas son aquellas con los que la empresa guarda relación y que influyen o pueden influir en su buen o mal funcionamiento.

Con la enumeración y definición de los intereses de tus partes interesadas se pueden definir los posibles puntos de intervención, dificultades y oportunidades. Te puedes ayudar con nuestra entrada “Quién marca el rumbo de tu organización ¿Tus Grupos de interés?

Ya estás en condiciones de determinar el alcance de tu sistema de gestión, que además deberás documentarlo, tal y como exige la norma en el punto 4.3 Determinación del alcance del sistema de gestión de la calidad

Después de definir el alcance tienes que definir tu Política de Calidad, siguiendo las directrices que marca el punto 5.2 Política de calidad.

Y seguidamente tienes que determinar los roles, y asignar las responsabilidades y autoridades, asegurándote de que se comunican, y se entienden dentro de la organización.

Ahora te toca bailar con la más fea, el cambio de la norma que más folios ha rellenado, y es la determinación de  los riesgos y las oportunidades que son necesario abordar, y planificar:

a) las acciones para abordar esos riesgos y oportunidades

b) la manera de integrar e implementar las acciones en los procesos del SGC (subcláusula 4.4 Sistema de gestión del calidad y sus procesos); y evaluar la eficacia de estas acciones.

Una vez que has terminado el análisis riesgos tienes que pasar a la definición de los procesos, definiendo y asignando los recursos necesarios, la competencia (y su adquisición si fuera necesario), la toma de conciencia, la comunicación y el control de la información documentada del sistema de gestión.

Qué te queda: Planificar, definiendo objetivos, metas y acciones para la obtención de los mismos. Como siempre tus objetivos tienen que ser coherentes con la política de calidad, ser medibles, tener en cuenta los requisitos aplicables, ser objeto de seguimiento, comunicarse y actualizarse según corresponda.

A estas alturas habrás desarrollado casi toda la estructura de tu sistema de gestión, ya que al realizar la definición de los procesos, habrás detectado la necesidad de utilizar equipos de medición, el control de productos o servicios no conformes y su liberación, etc.

Si has ido comunicando e implementando los procesos dentro de tu organización, deberás dejar pasar un tiempo, para que empiece a funcionar (no menos de un mes) para hacer los últimos ajustes.

3 AUDITORÍA INTERNA

Ya estás en la recta final.

Queda hacer la auditoría interna. Con ella y los resultados del análisis del sistema:

  • Análisis de cuestiones internas y externas pertinentes al SGC
  • Información sobre el desempeño y la eficacia del SGC
  • La adecuación de los recursos
  • La eficacia de las acciones tomadas para abordar los riesgos y oportunidades
  • Las oportunidades de mejora

Tienes que realizar la Revisión por la Dirección.

Y ya está, deja pasar un tiempo prudencial para resolver las no conformidades que hayas podido encontrarte en la auditoría interna, y para tener bien definidas las acciones que salen de la Revisión por la Dirección y…ya puedes llamar a la certificadora.

En resumen:

Implantación ISO 9001 2015

Nos encantaría saber con qué dudas y problemas te estás encontrando, así que te animamos a comentárnoslo para que te podamos echar una mano con ellos.

Ya sabes, si te ha gustado, ¡compártelo!

El análisis PEST, una herramienta para analizar el contexto en ISO 9001:2015 ¿Quién se ha llevado mi ISO?

El análisis PEST, una herramienta para analizar el contexto en ISO 9001:2015 ¿Quién se ha llevado mi ISO?

Aquí hoy yo te voy a hablar del análisis PEST (es el acrónimo de Políticos, Económicos, Sociales y Tecnológicos), una herramienta para analizar el contexto en ISO 9001:2015, de las muchas que hay. Puedes utilizar otras maneras de hacerlo, yo utilizo esta, porque me resulta fácil y cómoda.

Sé que estás hecho un lío, no haces más recibir información sobre la nueva norma ISO 9001:2015. Recibes información de tu entidad de certificación, te has comprado la norma y te la has leído. Y la verdad es que te has quedado como estabas, no sabes por dónde empezar. Pues yo te recomendaría que empezaras por el principio.

Como ya vimos en la entrada  El contexto de la organización en la norma ISO 9001:2015. Cláusula 4, la Cláusula 4 de la revisión 2015 contiene una serie de nuevos requisitos que obligan a definir el contexto de la organización, a determinar por qué la organización está dónde está. Este es un cambio fundamental, ya que esta definición será el punto de partida y la base para el Sistema de Gestión de Calidad (SGC). Este es el principio.

Otra de las herramientas que también se suelen utilizar es la matriz DAFO (o DOFA) que sirve para analizar Debilidades, Amenazas, Fortalezas y Oportunidades. Pero yo para el contexto uso PEST, debido a que lo que se debe analizar es esencialmente externo, es más práctico para estudiar o evaluar el marco en el que se encuentra mi empresa, y la matriz DAFO mide más una unidad de negocio, una idea o una propuesta. A mi me resulta, esta última, más útil como complemento del análisis PEST, para realizar la evaluación de riesgos.

Con el Análisis PEST lo que hago es examinar el impacto de aquellos factores externos que están fuera del control de mi empresa, pero que pueden afectar a su desarrollo futuro. Mi organización, no sólo ya para cumplir con los requisitos de ISO 9001:2015, sino por su propia supervivencia debe conocer y analizar las tendencias y las posiciones de sus competidores, para poder anticiparse, siempre que sea posible.

En el Análisis PEST definiremos cuatro factores clave que pueden tener una influencia directa sobre la evolución del negocio:

análisis PEST ISO 9001:2015

Factores políticos: aquellos que tienen que ver la estabilidad gubernamental y las distintas políticas generales que lleven a cabo las administraciones públicas en aspectos como fiscalidad, comercio exterior o bienestar social. Incluimos aquí también los factores administrativos, legales y reguladores dentro de los cuales la empresa debe operar, aunque hay modelos que los analizan aparte.
Factores económicos:  los relacionados a la naturaleza y la dirección del sistema económico donde se desenvuelve la empresa y viene dada por sus principales indicadores económicos (principalmente macroeconómicos).
Factores sociales:  Recoge tanto las creencias, valores, actitudes y formas de vida de las personas que forman parte de la sociedad en la que se enmarca la empresa como las diferentes condiciones culturales, ecológicas, demográficas, religiosas, educativas y étnicas del sistema social en su conjunto.
Factores tecnológicos:  El marco científico y tecnológico en el que una organización desarrolla su actividad.

Cómo aplicar la herramienta. Pues consta de dos fases. En la primera de ellas lo que haces es elaborar una lista de los factores clave para tu empresa, para después valorar cada uno de esos factores, dándoles la importancia que merecen.

En esta tabla te dejo algunos de los factores clave que se suelen tener en cuenta, pero puede haber algunos que no estén aquí y que para tu análisis sean fundamentales, así  que usa esta tabla como guía, no como verdad absoluta:

Factores PEST

Y para la segunda etapa, en esencia, lo que yo hago es para cada uno de los aspectos (políticos, económicos, sociales y tecnológicos) responder a cuatro preguntas básicas:

¿Cuáles son los factores que pueden tener relevancia en el sector en el que desarrolla su actividad mi empresa? 

¿Cuáles de entre estos factores relevantes tienen un impacto importante para mi empresa?

¿Cuál es la evolución prevista de estos factores en un horizonte temporal de 3-5 años? 

¿Qué riesgos o oportunidades genera para mí la evolución prevista de dichos factores?

Vamos a verlo mejor con un ejemplo, vamos a hacer el análisis para HAZA Consejeros Técnicos. ¿Dónde estamos ubicados? En Madrid, España. Dónde esté enclavada tu empresa determina en gran modo los factores políticos que le afectan, no es lo mismo la estabilidad política que existe en España que en Venezuela.  El tipo de gobierno y la estabilidad del mismo, es un factor que tiene relevancia para nosotros.

Pero es que en España estamos pasando un periodo de crisis, que ha traído como consecuencia una reducción del gasto público. A menos gasto público menos subvenciones para que las organizaciones implanten sistemas de gestión. Así que sí, la reducción del gasto público es un factor que puede tener un impacto importante para mi empresa.

¿Qué perspectivas temporales existen? Pues el próximo domingo hay unas elecciones y puede que cambie el gobierno y que para los próximos cuatro años tengamos un gobierno más intervencionista u otro con más perspectivas de gasto. Pues parece que sí, que un cambio de gobierno también es un factor que puede tener influencia para HAZA.

Y así, voy avanzando en el análisis PEST.

Puedes registrar los resultados en una tabla con puntuaciones o valores, con los que puedas hacer comparaciones:

Valoración factores PEST

Por último, comentarte que esta herramienta es cuantitativa y subjetiva, así que diferentes análisis darán, probablemente distintos resultados, y que, el análisis PEST, al ser una herramienta de definición de entorno general vas a identificar los factores que van a influir en el desarrollo de la empresa y que pueden condicionar el negocio de la misma. Por todo esto, te recomiendo que varias personas de tu organización realicen el análisis, y luego se ponga en común en una reunión, los resultados serán mucho más interesantes.

Te invitamos a comentar tus experiencias con el análisis PEST, y si te ha gustado compártelo en las redes sociales.