¿Evidencia Objetiva?

¿Evidencia Objetiva?

Uno de los conceptos más importantes que un auditor de sistemas de gestión debe tener claro si quiere realizar una auditoría profesional es el de “evidencia objetiva”. En base a experiencia pasada, puedo afirmar que no todos los auditores entienden claramente el concepto.

¿Por qué es importante este concepto? – Si hay evidencia objetiva ¡no puede haber discusión sobre el hallazgo!

Pero para “levantar” una no conformidad (ISO 9000:2015 – 3.6.9), ¿es necesario asegurarse de tener evidencia objetiva de que realmente existe el incumplimiento de un requisito? Aquí es donde la ISO no es tan clara como debería ser. En la ISO 9001:2015 (y también en las versiones anteriores) no se menciona que la evidencia deba ser objetiva, aunque en la ISO 9000:2015, el término se define:

3.8.3 Evidencia objetiva: “Datos que respaldan  la existencia o veracidad de algo.

Ese “algo”es lo que la ISO 9000:2015 llama “Hallazgo de la auditoría” y define así:

3.13.9 Hallazgos de la auditoría: “Resultado de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría”.

Fíjense que dice “evidencia”y no “evidencia objetiva”. Si vamos a la ISO 19011 – la biblia del auditor – para aclarar esto, no encontramos la palabra “objetiva” relacionada con “evidencia”en ninguna parte. Pero sí encontramos algo relacionado, empezando por los “Principios de Auditoría”:

ISO 19011:2011 – Principios de auditoría – Enfoque basado en la evidencia: “… La evidencia de la auditoría debe ser verificable…”.  

ISO 9000:2015 – 3.13.8 Evidencia de la auditoría: “Registros, declaraciones de hechos o cualquier otra información que es pertinente para los criterios de auditoría y que es verificable”.

¡Bien!, si es “verificable”, entonces esa evidencia debe ser “objetiva”. Este concepto viene reforzado más adelante cuando se habla de la recopilación y verificación de la información:

ISO 19011:2011 – 6.4.6 Recopilación y verificación de la información: … “Sólo la información que es verificable debería aceptarse como evidenciade la auditoría”.

¿Por qué es necesario tener claro este concepto? Pues, porque la evidencia de la auditoría  es una de las cosas que el auditor debe incluir al registrar la no conformidad:

ISO 19011:2011 – B.8.3 Registro de no conformidades: “Para los registros de las no conformidades, debería considerarse lo siguiente:

  • La descripción de los criterios de auditoría o referencia a los mismos
  • La declaración de no conformidad
  • La evidencia de la auditoría
  •  Los hallazgos de la auditoría relacionados, si es aplicable”.

Parece simple, ¿verdad? Un hallazgo es válido (y así podemos afirmar que hay conformidad o no conformidad) cuando la evidencia de auditoría es “verificable” y, por lo tanto, “objetiva”.

Vamos a comprobar que lo tenemos claro con algunos ejemplos. La evidencia objetiva podría ser:

  1. Una declaración de hechos, como p.e.: “Durante el turno de la mañana, no se ha medido la presión del reactor X02 cada hora como lo establece el procedimiento PR01.”
  2. Una observación, como p.e.: “Se encontraron varias unidades del componente Y en 3 de 9 cajas del componente X”.
  3. Una documentación, como p.e.: “Al revisar 5 muestras de “Órdenes de Liberación” (OL-03, OL-09, OL-13, OL-17, OL-23), se comprobó que 3 de ellas (OL-09, OL-013 Y OL-23) no contenían la firma del Supervisor de Control de Calidad, tal como lo requiere la Instrucción IT-45/2”.

En esos casos:

  • 1 < La declaración de hechos no puede verificarse porque la evidencia no existe. (El auditor probablemente lo redactaría así: No se ha encontrado evidencia de medición de la presión del reactor X02 cada hora durante el turno de la mañana como lo establece el procedimiento PR01”). Otro caso sería si la lectura de la presión debería haberse registrado en papel u otro medio y el auditor no ha encontrado dichos registros.
  • 2 < La observación (evidencia visual) solo podría ser evidencia objetiva si el auditor consigue que el auditado o el guía estén de acuerdo y lo respalden.
  • 3 < Los registros mencionados, con los detalles de Instrucción de Trabajo, Nº de registro y cantidad constituyen claramente evidencia objetiva.

En resumen, evidencia objetiva existe cuando el auditor, si se le cuestiona, puede fácilmente volver al punto donde encontró la evidencia y mostrarla. Si esto no es posible, no tiene evidencia objetiva. Al describir la evidencia objetiva a la hora de redactar una no conformidad, el auditor debe cuidar de describirla de manera clara, concisa y verificable. Pero esto lo veremos en otro artículo.

Las Auditorías Internas Pueden Ser Rentables

Las Auditorías Internas Pueden Ser Rentables

La mayoría de las empresas certificadas bajo la ISO 9001 (la actual del 2008 o la nueva del 2015) realizan auditorías internas porque lo obliga la Norma. En muchas empresas he encontrado que las auditorías internas se realizan sólo con el propósito de verificar el cumplimiento de los requisitos de la Norma y las expectativas de la Dirección son bajas. Generalmente ven las auditorías como un mal necesario y un gasto para el negocio en vez de una inversión. Como el certificado es exigido generalmente por los clientes (no hay obligación de implantar un Sistema de Gestión de la Calidad y mucho menos certificarlo), la Dirección a veces piensa que manteniendo un programa de auditorías internas como parte de su SGC se reduce el riesgo de que algún auditor de certificación encuentre más problemas y levante informes de no conformidad que eventualmente puedan llegar al oído de clientes y competidores. Históricamente, la Dirección ha aceptado el alto coste del programa de auditorías internas que aporta muy pocos resultados tangibles  a la empresa, limitándose solo a verificar el cumplimiento de los requisitos de la Norma. Y ¡eso es exactamente lo que obtienen!

Estrategias para Auditorías Internas

No es muy difícil para una empresa ir más allá del cumplimiento de la Norma y obtener grandes beneficios. Con los mismos recursos se puede obtener mucha más información valiosa y se podrá establecer una relación clara entre estas actividades y los costes/beneficios de la empresa. Si la empresa decide ir más allá del cumplimiento de la Norma, los objetivos de la auditoría interna podrían ser, por ejemplo:

  • Determinar si el SGC implantado es o sigue siendo adecuado para los propósitos de la empresa
  • Identificar fortalezas y debilidades en su desempeño, que podría aprovecharse por un lado o reducir su impacto por el otro.
  • Comprobar si la velocidad de respuesta a las necesidades del cliente o del negocio son las esperadas.
  • Comprobar si la tendencia de los resultados apoya la dirección estratégica de la organización.

Ir más allá del cumplimiento y añadir también la evaluación del desempeño, implica un cambio en la manera de pensar de la Dirección. Ahora la auditoría interna puede ser vista como una estrategia de la Dirección para obtener más beneficios para la empresa y prevenir problemas potenciales, proporcionándole información útil para la toma de decisiones eficaces, contribuyendo así positivamente a los resultados del negocio.

Auditando no sólo la eficacia (objetivo de la Norma) sino también la eficiencia (objetivos del propietario del negocio) es posible saber en todo momento el desempeño del SGC y del negocio. Pero la Dirección no solo quiere saber lo que ha pasado o lo que está pasando – también quiere saber en qué dirección va la empresa para así poder tomar decisiones que afecten su desempeño futuro. No es lo mismo que el auditor informe que “el Proceso X está fallando y se incumple la cláusula 7.1.3”, en vez de “El Proceso X está fallando y podría causar a corto plazo reclamaciones de clientes y costes relevantes de mantenimiento extraordinario”. Saber las tendencias de los procesos relevantes del negocio es una información valiosa que permite tomar acciones oportunas para evitar costes no previstos y otras situaciones indeseables.

La Norma, en la cláusula 9.2.1 indica el propósito de la auditoría interna de esta manera:

En la misma podemos notar dos cosas:

  1. Se da más importancia a la conformidad con los requisitos propios de la organización colocándola en primer lugar, seguida por la conformidad con los requisitos de la Norma.
  2. La auditoría interna debe proporcionar información acerca de si el SGC se implementa y mantiene eficazmente (= se cumple lo planificado). Pero, la empresa, para satisfacer los propietarios o accionistas, debe también comprobar que los requisitos propios de la organización también se han implementado y se mantienen de manera eficiente (= sin gastar más recursos de lo presupuestado).

La ISO 9001:2015, cláusula 10.3 Mejora continua, dice:

“La organización debe mejorar continuamente la conveniencia, adecuación y eficacia del sistema de gestión de la calidad”,

pero ya desde el año 2003, el Grupo de Prácticas de Auditoría ISO/TV176/IAF ISO9001, en su reunión en Sydney, Australia, declaraba que era también conveniente añadir:

“… y asegurar que se han cumplido los objetivos financieros y de negocio de la organización”.

y, por supuesto, incluir ese punto en la auditoría interna. (El Modelo Sydney)

Como pueden ver, no basta que un SGC sirva para asegurar “que se proporcionen productos y servicios que satisfagan los requisitos del cliente y los legales y reglamentarios aplicables” y, además, “aspirar a aumentar la satisfacción del cliente a través de la aplicación eficaz del sistema”. Es necesario – yo diría indispensable – para la empresa, al mismo tiempo asegurar que esa aplicación sea eficiente, en el sentido financiero y del negocio.

Aproveche entonces la herramienta de la auditoría interna en beneficio de la empresa y no solo para presentar una muestra de cumplimiento de la Norma (“Se han auditado todos los Departamentos y no se han encontrado no conformidades”) al auditor externo de turno.

Todo el conocimiento de mi organización al alcance de mi mano

Todo el conocimiento de mi organización al alcance de mi mano

La nueva ISO 9001:2015 trae un nuevo requisito en el también nuevo capítulo 7. Apoyo. Se trata de la cláusula 7.1.6 Conocimientos de la organización. En esta cláusula la Norma requiere que la organización “determine los conocimientos necesarios para la operación de los procesos y para lograr la conformidad de los productos y servicios”, y añade que dichos conocimientos “deben mantenerse y ponerse a disposición en la medida en que sea necesario o lo que es lo mismo “justo a tiempo”. Este requisito me ha hecho recordar un artículo de Javier Martínez, Gerente de ‘Gestión del Conocimiento Catenaria’ de hace algunos años, cuando todavía la nueva Norma estaba en desarrollo. Lo reproduzco integro porque podría aclarar de qué trata la gestión del conocimiento y la manera de implantarla en la empresa.

“¿Cuando vas a hacer una tarea que forma parte de tu trabajo, dispones de todo el conocimiento de tu empresa para hacerla de la mejor manera posible? Imagino que sí. ¿No siempre? ¿Pocas veces? ¿Por qué?

Meses atrás, un compañero de trabajo nos envió un mail en el que nos anunciaba una desagradable noticia: Durante una visita a un cajero automático, le clonaron la tarjeta y le vaciaron el sueldo completo de su cuenta bancaria. El mail contenía todos los detalles de cómo sucedió el incidente y también qué precauciones hay que tomar para evitarlo. ¿Podemos estar seguros de que quienes leímos ese correo aprendimos y estamos a salvo de sufrir el mismo desastre? Las cosas no son tan simples. Todas las personas que están leyendo esta columna cuentan con un área en su cerebro llamada memoria que cumple básicamente 2 funciones imprescindibles para vivir una vida normal:

  1. Gestionar el conocimiento: La memoria les provee el conocimiento necesario para resolver cada una de las tareas que enfrentan durante cada segundo de su vida y les permite tomar las decisiones adecuadas. Si de repente una persona no es capaz de atarse los zapatos o realizar una llamada desde su celular, asumimos que olvidó cómo hacer algo que sabía perfectamente, lo que significa que debe tener algún problema grave en su memoria.
  2. Aprender: La memoria registra y sistematiza todo lo que le ocurre a su dueño para que se encuentre disponible en el futuro en el momento que sea necesario. Para que el conocimiento esté en la memoria, previamente ha debido llegar allá de alguna manera (proceso que denominamos aprendizaje) y desde luego, ha tenido que ser almacenado y etiquetado para su uso posterior bajo algún criterio que facilite su reutilización y que generalmente desconocemos.

Eso sí, podemos estar seguros de que nuestra memoria no almacena documentos Word o Pdf y que cuando vamos a llamar por teléfono, de alguna manera misteriosa nos provee de conocimiento para hacerlo y no del que hace falta para preparar una paella, dirigir una sesión de coaching o invertir en bolsa. El sueño de todo trabajador es contar con conocimiento experto al alcance de la mano para resolver todas las tareas que le toca hacer y más que nada, los imprevistos y problemas que le surjan. ¿Será realmente una quimera que cada integrante de una empresa cuente con el conocimiento adecuado en el momento exacto para tomar la decisión correcta?

El cerebro humano está configurado para realizar esas 2 funciones, gestionar el conocimiento y aprender, de forma natural y bastante efectiva. Sin embargo, no podemos decir lo mismo de las organizaciones. El principal problema es que las organizaciones no tienen cerebro, no fueron diseñadas para hacerse cargo de estas 2 funciones básicas. Sin embargo, las empresas acumulan gran cantidad de conocimiento (razón por la que son exitosas) pero no tienen mucha información sobre el mismo y por tanto, no saben cómo gestionarlo. El punto de partida es muy simple y tiene que ver con una herramienta de uso extendido: Los procesos. Toda organización necesita reflexionar sobre 3 aspectos fundamentales:

  1. Qué hace cada miembro de la empresa,
  2. Qué es importante para hacer lo que debe hacer y
  3. Qué necesita para hacerlo de la manera que mejores resultados produzca.

No estamos hablando de ciencia ficción. Un ejemplo muy sencillo y al mismo tiempo cotidiano es analizar cómo opera el dispositivo que mucha gente ya utiliza en su coche para desplazarse por la ciudad: el GPS. El GPS se basa en algunas premisas simples pero que son poco comunes entre las herramientas de gestión que se utilizan diariamente en las empresas:

  • Siempre que esté disponible, el GPS cuenta con información precargada (mapa) de la ciudad o del territorio que te interesa. En el caso de la empresa, debe contar precisamente con la información que mencionamos respecto a qué se hace (procesos), cómo se hace, qué da mejores resultados (buenas prácticas), qué hay que tratar de evitar (errores), quienes son los que mejor desempeño tienen (expertos), etc.
  • El GPS necesita saber dónde estás para entregarte la información que necesitas en el punto exacto en que te encuentras. Para poder hacerlo, se apoya en 3condiciones:
  • Que cada persona lleve consigo el GPS, lo que hace tiempo que dejó de ser un problema ya que la mayoría lo llevamos en el bolsillo incorporado en el Smartphone.
  • El GPS requiere a su vez un sistema de comunicación permanente, algo que facilitan los cientos de satélites que llevan años orbitando la tierra.
  • Lo más importante: Necesita saber qué necesitas, es decir, donde estás y donde quieres ir, para ofrecerte lo que te hace falta porque sin conocer tus objetivos, el sistema resulta inútil.

Esto mismo se puede hacer en tu empresa. Una vez que sabes en qué parte de la cadena de valor y en qué proceso concreto se encuentra una persona, le puedes entregar lo que necesita. Por tanto, la clave consiste en identificar qué necesita cada persona para hacer su trabajo, sistematizarlo, precargarlo y actualizarlo permanentemente para que el sistema aprenda.

Ahora bien, hay una característica primordial que explica el éxito del GPS que tiene mucho que ver con la forma en que funciona nuestro cerebro. El GPS te trae la información just in time, solo la que necesitas y en el momento que la necesitas para tomar una decisión. Al contrario de lo que creemos, no tiene sentido perder el tiempo en ir a buscar información sino que es la información la que nos debe encontrar a nosotros cuando la necesitamos, lo que significa un cambio radical respecto de los sistemas de información y de la organización de la misma. Ahora ya saben porque tenemos tantos problemas con los portales, las intranets, los ERPs, CRMs, etc…

Hoy el GPS no es inteligente, solo te provee información y no conocimiento ya que no es capaz de conducir el coche por ti pero no tardaremos mucho en que eso ocurra. Pero al igual que el GPS tiene precargadas las calles de tu ciudad, precargar las tareas que haces y lo que necesitas para poder hacerlas en el GPS de tu empresa debería resultar muy fácil ya que se ejecutan a cada minuto y la empresa cuenta con un stock gigantesco de tareas realizadas del que no saca ningún partido. Esas tareas son realizadas por miles de personas, miles de veces a lo largo de miles de días lo que supone miles de éxitos y miles de errores. Eso sí, tendrá que aprender continuamente (registrar y cargar las innovaciones que ocurran cada día y que puedan ser de utilidad para la organización) algo que hoy no hacen.

Si esta hipótesis es cierta, si existe la información (se genera todos los días y en muchos casos es el corazón y la esencia de la empresa), se cuenta con el mapa de procesos y evidentemente existe la tecnología: ¿Por qué no tienes en tu empresa un GPS que te guie en el trabajo? ¿Existe la posibilidad de que las personas sean más eficientes, más competentes y estén menos expuestas a cometer errores? ¿Podría este GPS corporativo ayudar a mejorar la productividad y manejar adecuadamente los riesgos llevando a las personas la información que necesitan en el momento justo? No me cabe duda alguna.”

Tomado del artículo “Toda la inteligencia de la organización a mi alcance” de Javier Martínez, Gerente de Gestión del Conocimiento Catenaria (jmartinez@catenaria.cl | www.catenaria.cl)

Auditando la Gestión del Riesgo

Auditando la Gestión del Riesgo

La gestión del riesgo está bien establecida en muchos aspectos operacionales y financieros de las organizaciones. Del mismo modo, la gestión de la calidad y del medio ambiente desde hace mucho tiempo ha tenido un elemento de gestión de riesgos implícito.

Las últimas revisiones de las normas ISO 9001 e ISO 14001 se basan en la estructura de alto nivel requerida por el Anexo SL de la ISO, que en la cláusula 6 contiene un requisito explícito de “acciones para abordar los riesgos y oportunidades”. Como parte de la transición obligatoria a las normas revisadas con el fin de mantener la certificación, en los próximos dos años las organizaciones tendrán que hacer frente a estos nuevos requisitos.

Aunque no hay escasez de enfoques y herramientas de gestión de riesgos, la ISO 31000:2009 puede proporcionar una base sólida genérica para establecer un proceso de gestión de riesgos (identificación, análisis, evaluación, tratamiento, seguimiento, revisión y mejora continua del riesgo). Aunque no contenga requisitos, ni es una norma  contra la cual certificarse, la ISO 31000:2009 es ya aplicada ampliamente para la continuidad del negocio y seguridad de la información y, sin duda, muchas empresas grandes la convertirán en referencia común para la gestión del riesgo en el contexto de las normas ISO 9001 e ISO 14001. La mediana y pequeña empresa también podría aprovechar los conceptos básicos allí definidos y adaptarlos a las necesidades de ese tipo de empresas.

Para cumplir con los requisitos de la ISO 9001:2015, una organización necesita “planificar e implementar acciones para abordar los riesgos y las oportunidades” afirma la Norma en ‘0.3.3 Pensamiento basado en riesgos’. Aunque la cláusula 6.1.2 especifica que la organización “debe planificar acciones para abordar los riesgos y las oportunidades”, no hay requisitos en cuanto a métodos formales para la gestión del riesgo ni se requiere un proceso documentado de la gestión del riesgo.  Bajo los requisitos de la cláusula 6.1, la organización es responsable de la aplicación del ‘pensamiento basado en riesgos’ y de las acciones que toma para abordar esos riesgos, incluyendo si conserva o no información documentada como evidencia de su cumplimiento.

Y ¿cómo afecta esto al auditor interno o al auditor externo? ¿De qué manera obtendrá evidencia del cumplimiento de los requisitos en la cláusula 6.1? En principio, el auditor externo no tendrá más remedio que usar su sentido común, considerando el contexto de la organización que está auditando pero, al mismo tiempo, deberá ser capaz de reconocer si la manera de abordar los riesgos y oportunidades de la organización es válida y le permite a esta una cobertura óptima de sus problemas y oportunidades potenciales. El responsable de calidad y de medio ambiente, que normalmente es también auditor interno, tiene la gran oportunidad de asesorar a los responsables de los diferentes procesos, acerca de cómo “abordar los riesgos y oportunidades” y acerca de cómo documentar las acciones que toma al respecto.

Será muy interesante ver los resultados. ¿Alguien se atreve a dar sugerencias al respecto?

Eficacia de las Auditorías Internas

Eficacia de las Auditorías Internas

Las organizaciones que desean tener un sistema de gestión de la calidad adecuado y eficaz deben realizar auditorías internas para asegurar que el sistema funciona tal como estaba previsto.

Las auditorías internas sirven para identificar aspectos débiles del sistema así como oportunidades potenciales de mejora y como un mecanismo de retroalimentación para la alta dirección. La forma en que se gestiona el proceso de auditorías internas es un factor clave para asegurar la eficacia del sistema de gestión de la calidad. Sin embargo, en muchas organizaciones la auditoría interna solo se utiliza para satisfacer al auditor de turno y no para beneficio de la empresa.

Requisitos y directrices

La ISO 9001 requiere: “Se debe planificar un programa de auditorías tomando en consideración el estado y la importancia de los procesos y las áreas a auditar, así como los resultados de auditorías previas”.  Este requisito tiene la intención de enfocar el programa de auditorías internas en aquellos procesos y áreas donde hay antecedentes de la ocurrencia de problemas, o donde es probable que existan o puedan existir problemas. Estos problemas pueden provenir de temas tales como factores humanos, capacidad de los procesos, cambios en los requisitos de los clientes o cambios en el ambiente de trabajo.

Estos procesos con altos niveles de riesgo de no conformidades deberían tener prioridad en el programa de auditorías. Se debería prestar particular atención (por ejemplo, aumentando la frecuencia de auditorías) a los procesos donde el nivel alto de riesgo está influenciado por:

  • consecuencias graves de fallos relacionados con la capacidad de los procesos
  • insatisfacción de los clientes
  • incumplimiento con requisitos legales y reglamentarios (aplicables al producto o al proceso).


Evaluación del proceso de auditoría interna

El responsable del programa de auditorías internas debería asegurarse de que se han tomado en cuenta los siguientes aspectos:

  • El grado de implicación de la alta dirección en el proceso de auditoría interna
  • El análisis de riesgos realizado al planificar el programa de auditorías. Por ejemplo, se han identificado los procesos que:
    • son críticos para la calidad del producto
    • necesitan una atención especial
    • deben ser validados
    • han tenido resultados deficientes en auditorías anteriores
>  necesitan personal cualificado
    • necesitan un seguimiento cercano a ciertos parámetros
    • operan en diferentes localidades o son intensivos en mano de obra, etc.
  • La competencia necesaria de los auditores internos, por ejemplo:
  • se han identificado los requisitos de competencia
  • se les ha suministrado la formación apropiada
  • poseen conocimiento específicos del sector
  • entienden los riesgos de producir resultados inadecuados si:
  • utilizan un muestreo inapropiado
  • le dan un peso inapropiado a la evidencia recopilada
  • se desvían del plan y de los procedimientos internos de auditoría
  • La manera cómo se analizarán los resultados de la auditoría para evaluar la   eficacia de sistema de gestión e identificar las oportunidades de mejora
  • El establecimiento de indicadores de desempeño alineados con los objetivos y metas de la organización
  • La utilización de los resultados de auditorías previas para establecer la frecuencia de auditorías futuras a los diferentes procesos

Tomando en cuenta los factores mencionados y comprobando que el proceso de auditoría interna conduce a mejoras tangibles del Sistema de Gestión, es como el responsable de calidad y la alta dirección pueden juzgar si la organización ha implantado un programa de auditorías internas eficaz cuyos resultados suministran evidencia útil para establecer la eficacia y eficiencia del SGC y aportan información relevante para la toma de decisiones.

Consideraciones básicas para una auditoría interna eficaz

  • La ISO 9001 es la herramienta NO el objetivo.
  • El sistema debe trabajar para la empresa y no la empresa para el sistema
  • Las auditorías no son solo para ver si en el Sistema de Calidad se cubren las cláusulas de la Norma. También deben suministrar evidencia de que se cumplen los planes operacionales y demás requisitos del sistema establecidos por la empresa, de manera tal que sea posible afirmar que el sistema está implantado y es eficaz y eficiente.
  • El no realizar una auditoría a los procesos siguiendo una pista de auditoría, es la causa principal de la ineficacia de las auditorías.
  • No existe una definición en la ISO 9000:2005 acerca de lo que constituye una “pista de auditoría”. La APG la define como: “un enfoque sistemático para la recopilación de evidencias con base en muestras específicas, para verificar que los resultados de procesos interrelacionados cumplen lo planificado”. Una definición más simple podría ser: “Examen de una actividad por una persona cualificada, siguiendo la pista dejada por el proceso”.
  • Si no se entiende el proceso que se está auditando, no es posible realizar una auditoría profesional.

Ref.: Directrices de la APG (Grupo de Prácticas de Auditoría).

El Grupo de Prácticas de Auditoría ISO 9001 es un grupo informal de expertos en sistemas de gestión de la calidad, auditores y profesionales miembros del IAF y del Comité Técnico ISO/TC 176 “Gestión y Aseguramiento de la Calidad”.  Este grupo ha desarrollado un conjunto de guías y presentaciones que contienen explicaciones sobre las auditorías de sistemas de gestión de la calidad, y reflejan el enfoque por procesos que es esencial para auditar los requisitos de la norma ISO 9001.