Alcance de la auditoría
¿El alcance de las auditorías permite a las organizaciones obtener beneficios del texto de las normas o “se les va la mano” a los auditores? analiza la importancia del alcance en una auditoría.
Cada una de las “tres normas” requieren que la organización defina y documente el alcance de su sistema de gestión:
- ISO 9001:2000 – La organización debe establecer y mantener un manual de la calidad que incluya
a) el alcance del sistema de gestión de la calidad, incluyendo los detalles y la justificación de cualquier exclusión - ISO 14001:2004 – La organización debe definir y documentar el alcance de su sistema de gestión ambiental
- BS OHSAS 18001:2007 – La organización debe definir y documentar el alcance de su sistema de gestión de salud y seguridad ocupacional
Para cada una de estas normas, porqué es importante para la organización describir en forma exacta su alcance?
- si desea demostrar que tiene la capacidad de satisfacer los requisitos de sus clientes sobre los productos y servicios, sería razonable esperar que el sistema los incluya en su alcance
- en forma similar, si desea demostrar su gestión ambiental, el sistema debe cubrir todo el sitio y toda el ciclo de vida del producto
- finalmente, para la salud y seguridad ocupacional, la organización debería cuidad a sus empleados con un sistema.
Alcance de la organización
Si todo esto es correcto, porqué en las normas ISO, la definición de “organización” (compañía, corporación, firma, empresa) incluye una frase vaga (“o parte o combinación de ellas…”). Esto implica que si yo fuera a ignorar uno de los principios básicos del compromiso de la alta gerencia, mi sistema de gestión podría estar restringido a cualquier área de la organización que yo elija.
Por lo tanto, debemos considerar cuidadosamente el alcance cuando planificamos y conducimos auditorías. Un alcance restringido requiere de un claro conocimiento de la organización, tanto en su actividad de promocionar comercialmente sus capacidades, como en su actividad de seleccionar proveedores basándose en competencias demostradas por medio de certificaciones. Sin embargo, los resultados no siempre son buenos. Basta observar la cantidad de certificados no acreditados o falsos aceptados como prueba de competencia por departamentos de compares de las organizaciones, como para tomar conciencia que la certificación misma no es totalmente comprendida, mucho menos el alcance de la certificación.
Como ejemplo de esta situación, y en mi carácter de gerente general de Megadeath Global Nuclear Processing and Dumping plc, decido certificar mi departamento administrativo según las tres normas, y así no correr el riesgo de someter a la certificación a todo el alcance de las actividades de la compañía, tal como lo permite la definición de “organización”. Aún más, todo organismo de certificación que opera bajo el principio de acceso irrestricto a sus servicios, está obligado a aceptar mi solicitud de certificación. Pocas veces podría verse una tan patente muestra de violación del espíritu de los requisitos y del esquema de certificación en general.
En forma similar, muchos organismos de certificación ofrecen la certificación de sistemas de gestión con un alcance donde una parte importante de los trabajos son realizados fuera de las instalaciones de la organización. ¿Cómo sería posible hacer esto sin visitar el sitio donde se realizan esas actividades?.
Desarrollo de alcances
Puede haber muchas razones genuinas para comenzar con un alcance limitado; muchas organizaciones deciden realizar un proyecto piloto con un sistema de gestión en un área, con un plan de extender la implementación y certificar posteriormente, todas las actividades de la organización. Esta situación puede responder al caso de una empresa de gran tamaño que no desea presentar su sistema de gestión completo para la certificación, para terminar encontrándose con no conformidades mayores en la auditoría inicial, debiendo realizarse una auditoría completa nuevamente .
Extralimitaciones en el alcance – tenga cuidado del auditor muy entusiasta
Lo opuesto también puede suceder cuando un auditor extiende los límites de su autoridad para incluir requisitos fuera de los criterios de auditoría acordados, de los requisitos de la norma, de los requisitos de los clientes y legales y del sistema de gestión documentado de la organización.
Una muestra de esta situación puede ser cuando se presentan no conformidades contra requisitos que no existen, quizás por auditar fuera del alcance del sistema o por no cubrir todo el sistema. Un ejemplo puede ser:
- no conformidades por fallas en la seguridad y salud, haciendo referencia a los cláusulas 6.3 y 6.4 de la norma ISO 9001:2000. En este caso, a no ser que el cliente haya impuesto requisitos adicionales en su contrato, se puede justificar una no conformidad según cualquiera de las dos cláusulas siempre que el auditor pueda demostrar que existe un impacto real sobre la calidad del producto terminado, no un impacto potencial. En el Reino Unido, como individuos, estamos obligados a poner en conocimiento del empleador cualquier falla en la salud y seguridad, pero no como parte de la auditoría al sistema de gestión de la calidad
- una no conformidad puede ser presentada en relación a un objetivo de desempeño del 100% de entregas en plazo (On-time delivery, OTD); el desempeño actual es del 99.8%. En una primera mirada, parece que es un problema genuino; sin embargo, para constituir una no conformidad, se necesitaría realizar investigaciones adicionales para cubrir todo el alcance del sistema de gestión. El auditor necesita profundizar el análisis para verificar si la organización está analizando las causas asignables al no cumplimiento de la meta y/o si está tomando acciones correctivas para mejorar el desempeño en el cumplimento con los plazos acordados con los clientes.
Alcance y planificación de la auditoría
Toda auditoría tiene limitaciones en el tiempo disponible, dentro de un mercado muy competitivo para los organismos de certificación. Es mucha la presión puesta en la reducción de la duración de las auditorías como una forma de poder ofrecer costos de certificación más bajos, pero esto no debería hacerse a costa de bajar la calidad de las auditorías.
Las auditorías siguen siendo actividades que se realizan por muestreo, pero el equipo auditor debe seleccionar las muestras cubriendo todo el alcance de las actividades. De otra manera, la auditoría se termina devaluando y transformando en un commodity que puede ser realizado en una sala de reuniones o fuera del sitio. Dentro del mismo concepto, los requisitos de cada una de las normas mencionadas tienen sentido y sustancia por sí mismo, sin necesidad de agregar nuevos requisitos o auditar fuera del alcance acordado entre las dos partes.
El alcance es vital para la auditoría; debería cubrir todas las áreas pertinentes, actuar como un contrato entre auditor y auditado y establecer los límites acordados .
Sobre el autor
Paul Simpson es miembro del CQI, es el gerente de certificación de un organismo de certificación acreditado pro el UKAS y consultor en temas de gestión en Qualico UK Ltd www.qualico.co.uk
 |  Envíenos ahora su opinión en el Foro Online |
