Tradicionalmente los auditores, tanto internos como externos, usan la norma, punto por punto, para auditar los sistemas de gestión. Pero desde que se incluyó en la Norma ISO 9001, la gestión por procesos, ¿no crees que tiene mucho más sentido hacer las auditorías por procesos?
Los últimos datos publicados por ISO nos reflejan el alto número de empresas que han certificado sus sistemas de gestión. En muchos casos estas organizaciones tienen varios sistemas de gestión diferentes que tratan o han tratado de integrar. La realidad es que diferentes normas ISO aunque tienen requisitos aparentemente comunes, también contienen términos y definiciones que son, en algunos casos sutilmente y en otros sustancialmente, diferentes. Al final el resultado es que tenemos sistemas que no hablan el mismo idioma, y por tanto, difícilmente integrables.
Para acabar con esta torre de babel ISO ha publicado el ANNEX SL (anteriormente Guía ISO 83). Con él, ISO, nos da el marco para un sistema de gestión genérico que pueda incluir (tras añadir los requisitos particulares de cada uno de ellos) calidad, medio ambiente, seguridad alimentaria, seguridad de la información, continuidad del negocio y gestión de la energía.
El Annex SL es un documento para desarrollar o modificar Estándares de Sistemas de Gestión, pero hay partes que para ti es muy interesante conocerlas, ya que te van a ayudar a comprender mejor los requisitos de las normas que ya lo aplican, como las futuras ISO 9001:2015 e ISO 14001:2015 que ya están siendo revisadas siguiéndolo.
Como ya se ha comentado, el objetivo de este documento es mejorar la coherencia y alineación de todas las normas ISO de sistemas de gestión, así que expone una única estructura de alto nievel, un texto común (y fundamental) idéntico y unas definiciones básicas también comunes.
Estructura común de alto nivel:
Específico para cada norma
Específicas para cada norma
Aparte de las específicas para cada norma, las comunes son:
3.01 organización
persona o grupo de personas que tiene sus propias funciones con responsabilidades, autoridades y relaciones para alcanzar sus objetivos (3.08)
Nota 1: El concepto de organización incluye, pero no se limita a comerciante, empresa, corporación, firma, empresa, autoridad, asociación, la caridad o institución, o parte o combinación de los mismos, ya sea incorporada o no, pública o privada.
3.02 parte interesada (término preferido). partes interesadas (término admitido)
persona u organización (3.01) que puede afectar, verse afectadas por, o se perciben a sí mismas afectadas por una decisión o actividad.
3.03 requisito
necesidad o expectativa establecida, generalmente implícita u obligatoria.
NOTA 1: «Generalmente implícita» significa que es habitual o una práctica común para la organización y las partes interesadas, que la necesidad o expectativa bajo consideración está implícito.
NOTA 2: Un requisito especificado es aquel que se manifestó, por ejemplo, en la información documentada.
3.04 sistema de gestión
conjunto de elementos interrelacionados o que interactúan de una organización (3.01) para establecer políticas (3.07) y objetivos (3.08) y procesos (3.12), para lograr esos objetivos.
NOTA 1: Un sistema de gestión puede abordar una sola disciplina o varias disciplinas.
NOTA 2: Los elementos del sistema incluyen la estructura de la organización, funciones y responsabilidades, la planificación, operación, etc
NOTA 3: El alcance de un sistema de gestión puede incluir la totalidad de la organización, específico y funciones identificadas de la organización, las secciones específicas e identificadas de la organización, o uno o más funciones a través de un grupo de organizaciones.
3.05 alta dirección
persona o grupo de personas que dirige y controla a una organización (3.01) al más alto nivel
NOTA 1: La alta dirección tiene la facultad de delegar la autoridad y proporcionar los recursos dentro de la organización.
NOTA 2 a la entrada: si el alcance del sistema de gestión (3.04) cubre sólo una parte de una organización y de arriba la gestión se refiere a aquellos que dirigen y controlan esa parte de la organización.
3.06 eficacia
medida en que las actividades planificadas se realizan y los resultados planificados se logran
3.07 política
intenciones y dirección de una organización (3.01) expresadas formalmente por la alta dirección (3.05)
3.09 riesgo
efecto de la incertidumbre
NOTA 1: Un efecto es una desviación de lo esperado – positivo o negativo.
NOTA 2: La incertidumbre es el estado, aunque sea parcial, de la carencia de información relacionada con, la comprensión o conocimiento de un evento, su consecuencia, o probabilidad.
NOTA 3: El riesgo se caracteriza a menudo por referencia a posibles eventos (Guía ISO 73, 3.5.1.3) y consecuencias (Guía ISO 73, 3.6.1.3), o una combinación de estos.
NOTA 4: El riesgo se expresa a menudo en términos de una combinación de las consecuencias de un evento (incluyendo cambios en las circunstancias) y la probabilidad asociada (Guía ISO 73, 3.6.1.1) de ocurrencia.
3.10 competencia
capacidad de aplicar los conocimientos y habilidades para lograr los resultados deseados
3.11 información documentada
información que debe ser controlada y mantenida por una organización (3.01) y el medio de que está contenido
NOTA 1: Información documentada puede ser en cualquier formato y los medios de comunicación y desde cualquier fuente.
NOTA 2: Información documentada puede referirse a
3.12 proceso
conjunto de actividades mutuamente relacionadas o que interactúan, las cuales transforman entradas en salidas
3.13 rendimiento
resultado medible
NOTA 1: El rendimiento puede relacionarse con hallazgos cuantitativos o cualitativos
NOTA 2: El rendimiento puede relacionarse con la gestión de las actividades, los procesos (3.12), los productos (incluyendo servicios), sistemas u organizaciones (3,01).
3.14 externalizar (verbo)
establecer un acuerdo por el cual una organización externa (3.01) realiza parte de las funciones o preoceso (3.12) de una organización
NOTA 1: una organización externa está fuera del alcance del sistema de gestión (3,04), aunque la función externalizada o proceso está dentro del alcance.
3.15 seguimiento
determinar el estado de un sistema, un proceso (3.12) o una actividad
NOTA: Para determinar el estado puede haber una necesidad de comprobar, supervisar u observar de forma independiente.
3.16 medición
proceso (3.12) para determinar un valor
3.17 auditoría
proceso sistemático, independiente y documentado (3.12) para obtener evidencias de la auditoría y evaluarlas objetivamente a fin de determinar el grado en que se cumplen los criterios de auditoría
NOTA 1: Una auditoría puede ser una auditoría interna (primera parte) o una auditoría externa (segunda parte o tercera),y puede ser una auditoría combinada (la combinación de dos o más disciplinas).
NOTA 2: «Evidencia de auditoría» y «criterios de auditoría» se definen en la norma ISO 19011.
3.18 conformidad
cumplimiento de un requisito (3.03)
3.19 disconformidad
incumplimiento de un requisito (3.03)
3.20 corrección
acción para eliminar una no conformidad detectada (3.19)
3.21 acciones correctivas
acciones para eliminar la causa de una no conformidad (3.19) y para prevenir su recurrencia
3.22 la mejora continua
actividad recurrente para mejorar el rendimiento (3.13)
4.1 Comprender la organización y su contexto
La organización debe determinar los problemas externos e internos que son relevantes para su propósito y que afectan su capacidad para lograr el resultado(s) deseado(s) de su sistema de gestión XXX.
4.2 Comprensión de las necesidades y expectativas de las partes interesadas
La organización debe determinar
4.3 Determinación del ámbito de aplicación del sistema de gestión XXX
La organización debe determinar los límites y aplicabilidad del sistema de gestión XXX para establecer su alcance.
Al determinar este alcance, la organización debe considerar:
El alcance deberá estar disponible como información documentada.
4.4 sistema de gestión XXX
La organización debe establecer, implementar, mantener y mejorar continuamente un sistema de gestión XXX, incluyendo los procesos necesarios y sus interacciones, de conformidad con los requisitos de esta Norma Internacional.
5.1 Liderazgo y compromiso
La alta dirección debe demostrar su liderazgo y compromiso con respecto al sistema de gestión XXX para:
NOTA: la referencia a los «negocios» en esta norma debe interpretarse en sentido amplio incluyendo las actividades que son fundamentales para los objetivos de supervivencia de la organización.
5.2 Política
La alta dirección debe establecer una política de XXX que:
La política deberá XXX:
5.3 funciones, responsabilidades y autoridades de la Organización
La alta dirección debe asegurarse de que las responsabilidades y autoridades para las funciones relevantes son asignadas y comunicadas dentro de la organización.
La alta dirección debe asignar la responsabilidad y autoridad para:
a) garantizar que el sistema de gestión XXX se ajusta a los requisitos de esta Norma Internacional , e
b ) informar sobre el desempeño del sistema de gestión XXX a la alta dirección
6.1 Acciones para abordar los riesgos y oportunidades
Al planificar el sistema de gestión XXX, la organización debe considerar los temas a los que se hace referencia en 4.1 y a los requisitos indicados en 4.2 y determinar los riesgos y oportunidades que necesitan ser abordados para:
La organización debe planificar :
a) Acciones para hacer frente a estos riesgos y oportunidades, y
b ) la forma de
6.2 objetivos y planificación para alcanzarlos
La organización debe establecer objetivos XXX en las funciones y niveles pertinentes.
Los objetivos XXX deberán:
La organización conservará información documentada sobre los objetivos de XXX.
Al planificar cómo alcanzar sus objetivos XXX , la organización debe determinar:
7.1 Recursos
La organización debe determinar y proporcionar los recursos necesarios para el establecimiento,implementación, mantenimiento y mejora continua del sistema de gestión XXX .
7.2 Competencia
La organización debe:
Las acciones aplicables pueden incluir, por ejemplo: la oferta de formación, tutorías, la reasignación de las personas empleadas en la actualidad; o la contratación de personas competentes.
7.3 Conciencia
Las Personas que realizan los trabajo a bajo el mando de la Organización deben ser conscientes de:
7.4 Comunicación
La Organización debe determinar la necesidad de comunicaciones internas y externas, pertinentes al Sistema de Gestión XXX incluyendo:
7.5 Información documentada
7.5.1 Generales
El Sistema de Gestión de la Organización XXX debe incluir:
NOTA: El alcance de la información documentada para un sistema de gestión XXX puede diferir de una organización a otra debido a
7.5.2 Creación y actualización
Al crear y actualizar la información documentada de la organización debe asegurarse apropiadamente de:
7.5.3 Control de la información documentada
Información documentada requerida por el sistema de gestión de XXX y de esta Norma Internacional debe ser controlada para asegurar
Para el control de la información documentada, la organización debe tratar las siguientes actividades, según corresponda:
La información documentada de origen externo que la organización determine que es para la planificación y operación del sistema de gestión XXX se identificarán en su caso, y será controlada
NOTA El acceso implica una decisión sobre el permiso sólo para ver la información documentada, o el permiso y la autoridad para ver y cambiar la información documentada, etc.
8.1 Planificación y control operacional
La organización debe planificar, ejecutar y controlar los procesos necesarios para cumplir requisitos, y para poner en práctica las acciones determinadas en el punto 6.1, mediante:
La organización debe controlar los cambios planificados y examinar las consecuencias de la no deseada de los cambios, tomando medidas para mitigar los posibles efectos adversos, según sea necesario.
La organización debe asegurarse de que los procesos externalizados se controlan.
9.1 Seguimiento, medición, análisis y evaluación
La organización debe determinar:
La organización conservará información documentada apropiada como evidencia de los resultados.
La organización debe evaluar el desempeño XXX y la eficacia de la XXX del sistema de gestión.
9.2 Auditoría interna
La organización debe realizar auditorías internas a intervalos planificados para proporcionar información sobre si el sistema de gestión XXX ;
a) cumple:
b ) se ha implementado y mantiene de manera eficaz
La organización debe:
a) planificar, establecer, implementar y mantener un programa ( s ) de auditoría (s) , incluida la periodicidad ,métodos, responsabilidades, requisitos de planificación y presentación de informes. El programa ( s ) de auditoría,tener en cuenta la importancia de los procesos en cuestión y los resultados de anteriores auditorías;
b ) definir los criterios de auditoría y el alcance de cada auditoría
c ) seleccionar los auditores y las auditorías de conducta para asegurar la objetividad y la imparcialidad del proceso de auditoría
d) garantizar que los resultados de las auditorías se reportan a la gerencia correspondiente y
e) retener información documentada como evidencia de la implementación del programa de auditoría y la auditoría resulta
9.3 Revisión por la dirección
La alta dirección debe revisar el sistema de gestión XXX de la organización, planficando intervalos, para asegurarse de su conveniencia, adecuación y eficacia.
La revisión por la dirección debe incluir la consideración de:
a) el estado de las acciones de las revisiones por la dirección previas
b) los cambios en los problemas externos e internos que son relevantes para el sistema de gestión XXX
c) la información sobre el desempeño XXX, incluyendo las tendencias en:
d) las oportunidades de mejora continua
Las salidas de la revisión por la dirección deben incluir decisiones relacionadas con las oportunidades de mejora continua y la necesidad de cambios en el sistema de gestión XXX.
La organización conservará información documentada como evidencia de los resultados de revisiones por la dirección.
10.1 No conformidad y acciones correctivas
Cuando se produce una no conformidad , la organización deberá:
a) reaccionar a la no conformidad , y en su caso
b ) evaluar la necesidad de acciones para eliminar las causas de la no conformidad , con el fin de que no vuelva a producirse o se que se produzca en otros lugares, mediante
c ) poner en práctica las medidas oportunas
d ) revisar la eficacia de las medidas correctivas adoptadas; y
e) realizar cambios en el sistema de gestión XXX , si es necesario
Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas .
La organización conservará información documentada como evidencia de:
10.2 Mejora continua
La organización debe mejorar continuamente la conveniencia, adecuación y eficacia de la Sistema de gestión de XXX.
En el futuro , todos los nuevos sistemas de gestión tendrán el mismo ‘look and feel’ gracias al Anexo SL. Así, las organizaciones que desarrollen sus sistemas de gestión podrán concentrar sus esfuerzos en el desarrollo de los requisitos específicos de su disciplina (claúsula 8 – Operación)
Para los implementadores de sistemas de gestión les proporcionará un marco general del sistema de gestión en el que pueden escoger y elegir, de las normas específicas, de la disciplina que necesitan incluir. Desaparecerán los conflictos y duplicaciones, confusiones y malos entendidos entre diferentes sistemas de gestión, ya que todas las ISO serán coherentes y compatibles.
Para los auditores de sistemas de gestión , significará que para la auditoría habrá un conjunto básico de requisitos genéricos que deben abordarse , no importa qué disciplina, abordando el conjunto básico común de requisitos con capacitación adicional para los requisitos específicos de cada disciplina.
Los grandes números de cláusula y los títulos de todas las normas de sistemas de gestión ISO serán idénticos, tales como la introducción , los términos y definiciones y funcionamiento. La introducción , el alcance y las referencias normativas tendrán contenido que es específico de cada disciplina y cada norma puede tener su propia bibliografía.
En general , hay una reorganización de los requisitos del sistema de gestión en esta estructura y algunas normas de sistemas de gestión ya han migrado con éxito a esta nueva estructura.
Si quieres más información aquí tienes el ANNEX, SL : http://www.iso.org/sites/directives/directives.html#toc_marker-76
También comentarte que parte de este artículo ha sido tomado de Introducing Annex SL (publicado por Colin MacNee en la web de IRCA: http://www.irca.org/en-gb/resources/INform/archive/issue35/Technical/Introducing-Annex-SL/)
¿Cansado de tener tantos documentos en tu Sistema de Gestión que la mayor parte de tu tiempo te lo pasas rellenando papeles?
Adelgazar tu Sistema de Gestión es posible y sin dietas milagro, sólo siguiendo lo que nos pide la Norma ISO 9001 y teniendo un poco de sentido común.
Para empezar: ¿sabes cual es la documentación mínima en ISO 9001?. Es más ¿sabes realmente lo qué es un documento según ISO 9001:2008?
DOCUMENTO: información y su medio de soporte. EJEMPLO Registro (3.7.6), especificación (3.7.3), procedimiento documentado, plano, informe, norma.
NOTA 1 El medio de soporte puede ser papel, disco magnético, óptico o electrónico, fotografía o muestra patrón o una combinación de éstos.
NOTA 2 Con frecuencia, un conjunto de documentos, por ejemplo especificaciones y registros, se Denominan «documentación».
NOTA 3 Algunos requisitos (por ejemplo, el requisito de ser legible) están relacionados con todos los tipos de documentos, aunque puede haber requisitos diferentes para las especificaciones (por ejemplo, el requisito de estar controlado por revisiones) y los registros (por ejemplo, el requisito de ser recuperable).
PROCEDIMIENTO: Forma especificada para llevar a cabo una actividad o un proceso.
NOTA 1 Los procedimientos pueden estar documentados o no.
NOTA 2 Cuando un procedimiento está documentado, se utiliza con frecuencia el término “procedimiento escrito” o “procedimiento documentado”. El documento (3.7.2) que contiene un procedimiento puede denominarse «documento de procedimiento».
REGISTRO: documento que presenta resultados obtenidos o proporciona evidencia de actividades desempeñadas (acta reunión, orden de compra, etc.).
DOCUMENTACIÓN MÍNIMA EN ISO 9001
La documentación necesaria, independientemente del tipo de soporte que apliquemos viene definida en la norma ISO 9001:2008 :
Como toda buena dieta, tenemos que empezar por ponernos una meta. ¿Cuál va a ser la nuestra? Ajustarnos a algunos de los objetivos principales de la documentación de una organización, independientemente de que tenga o no implementado un Sistema de Gestión formal ( según el módulo de orientación del Subcomité ISO/TC 176/SC 2)
a) Comunicación de la información: como una herramienta para la comunicación y la transmisión de la información. El tipo y la extensión de la documentación dependerá de la naturaleza de los productos y procesos de la organización, del grado de formalidad de los sistemas de comunicación y de la capacidad de las personas para comunicarse dentro de la organización, así como de su cultura.
b) Evidencia de la conformidad: aporte de evidencia de que lo planificado se ha llevado a cabo realmente.
c) Compartir conocimientos: para difundir y preservar las experiencias de la organización. Un ejemplo típico sería una especificación técnica, que puede utilizarse como base para el diseño y desarrollo de un nuevo producto.
Los requisitos en cuanto a procedimientos los mínimos que la norma exige son:
Que en realidad se quedan en 3:
¿El resto de los procedimientos…los necesitas todos? Aquí llega el sentido común. ¿Necesitas todos los demás procedimientos?
Está claro que si trabajas en una gran organización, o los procesos que se desarrollan en ella son muy complejos, vas a necesitar procedimientos documentales adicionales relacionados con la producción, por lo menos. Pero si tu caso es el de una organización pequeña, puedes trabajar sin más procedimientos, siempre y cuando sea capaz (tu organización) de proporcionar evidencia objetiva (de demostrar) que el Sistema de gestión de la Calidad ha sido implementado eficazmente.
Revisa, empezando por los que hace más tiempo que no se tocan (es síntoma de que son poco útiles ya que nadie los actualiza), pero sigue por los demás. Mira si es necesario dar tanto detalle o si de verdad, para probar la correcta implantación de tu sistema son necesarios tantos procedimientos.
Vamos a acabar hablado de registros, los que nos exige la Norma son:
Son muchos, ¿verdad? ¡Cuántos papelitos a rellenar! De esos, contéstame tú, cuáles tienen que ir ligados a procedimientos o tienen que tener una plantilla específica que rellenar.
Te voy a poner un ejemplo claro de que no son la misma cosa. Es requisito de la Norma tener registro de la Revisión por la Dirección, pero no tienes que tener una plantilla para hacerla. Puedes hacerla cada año (o cada semestre, trimestre, etc.) como quieras, siempre y cuando no hayas puesto por escrito que la vas a hacer siempre de una determinada manera. Ahí está el error, si pones por escrito que siempre que hagas la Revisión por la Dirección la haces en la plantilla con código X, que has definido… te estás obligando a ti mismo a hacerlo. Y eso pasa con todos.
En resumen, muchos de lo registros del listado anterior ya los tienes como resultado de la actividad diaria de tu organización, no te compliques la vida definiendo unas plantillas nuevas, que hay que rellenar, en muchos casos «además de».
Ya tienes las bases para lanzarte a la operación bikini… ¡A qué esperas!
Cuéntanos si estos consejos te han servido, nosotros también tenemos mucho que aprender todos los días y tu experiencia es imprescindible para ello.
Imagen destacada: www.freepik.es
El término AUDITORÍA en ISO 19011 Directrices para la Auditoría de Sistemas de Gestión define a la auditoría de Sistemas de Gestión como:
Una auditoría de sistema de gestión es una herramienta de gestión, que nos informa sobre el estado y la adecuación del sistema de gestión y nos aporta la confianza de que estamos cumpliendo con los requisitos del mismo. Además nos permite :
Los objetivos de una auditoría deSistema de Gestión son:
Existen diferentes razones para realizar una auditoría de Sistema de Gestión:
Los beneficios que aporta una auditoría de sistema de gestión:
Los principios de la auditoría de Sistemas de gestión son dos: independencia y enfoque basado en la evidencia.
Los dos principales tipos de auditoría son:
Otra clasificación, según la ISO 19001, puede ser según la complejidad del sistema:
La auditoría puede clasificarse también según su alcance y profundidad en:
Según 19011 los hallazgos pueden indicar tanto conformidad o no conformidad con los criterios de auditoría como oportunidades de mejora.
Tipos de Hallazgos
Alcance de la auditoría. Como ejemplo de alcances podemos tener:
Criterio de la auditoría
Plan de auditoría. Como mínimo incluirá:
A lo largo de una auditoría, sea del tipo que sea, se desarrollan diferentes reuniones, con diferentes objetivos cada una de ellas. En algunas participan sólo los auditores y en otras auditores y auditados.
En HAZA somos Auditores de Certificación de Sistemas de Gestión, lo que quiere decir que poseemos todo el conocimiento práctico para realizar auditorías, así que te podemos ayudaros con las tuya. Contacta con nosotros y te haremos un propuesta, sin compromiso, por supuesto.
Si quieres saber más de temas como éste y estar al día de nuestras publicaciones, ¡suscríbete!
Imagen destacada: www.freepik.es
La certificación es el proceso final que culmina el esfuerzo de diseñar, desarrollar e implantar nuestro Sistema de Gestión Ambiental, mediante la comprobación de terceros de que el sistema cumple con la Norma elegida, las políticas, objetivos y requisitos legales correspondientes.
La certificación del Sistema de Gestión Ambiental es un proceso voluntario, cuyo objetivo es demostrar su conformidad a terceros (por un Organismo de Certificación). Con la certificación una empresa acredita y demuestra que cumple con la Norma y que este cumplimiento ha sido verificado por un tercero independiente, emitiendo el correspondiente certificado.
Los pasos a dar por la empresa para certificar un Sistema de Gestión Ambiental quedan reflejados en el siguiente esquema:
La certificación del Sistema de Gestión ambiental es un proceso que tiene dos partes, una interna en la empresa y otra externa, por parte del Organismo de Certificación:
La auditoría de certificación, consta de los siguientes ítemes:
Aunque la certificación es un proceso que culmina el esfuerzo realizado en el diseño, desarrollo e implantación del Sistema, debe mantenerse de forma anual, y realizar su renovación cada tres años.
En el diagrama adjunto se resumen el proceso de certificación habitual según la Norma ISO 14001:2004:
Podemos ayudarte con tu Sistema de Gestión Ambiental, contacta con nosotros y te diremos cómo.
Si quieres saber más de temas como éste y estar al día de nuestras publicaciones, ¡suscríbete!