Auditoría interna, un traje a medida

Cuando realizamos una auditoría interna solemos utilizar el formato que nuestro sistema de gestión prevé sin revisar ciertos aspectos formales que deben cumplirse para que dicha auditoría interna pueda ser considerada como tal.

Lo mismo nos ocurre cuando la auditoría interna es realizada por un proveedor de servicios externo; normalmente admitimos el informe de auditoría confiando en la validez del trabajo realizado.

¿Qué requisitos debe cumplir una auditoría interna?

Un aspecto básico, que puede parecer obvio, es que la auditoría debe cumplir los requisitos que la organización haya establecido para el proceso de auditoría interna. Esto significa que cuando la organización ha contratado externamente la auditoría interna, la entidad que va a ejecutar la auditoría interna debe cumplir los criterios y sistemática que su cliente ha establecido para dicho proceso; en particular:

  • Requisitos establecidos para la competencia de auditor interno. El auditor externo que vaya a realizar una auditoría interna debe disponer de la experiencia, formación, etc. que establece el proceso de su cliente. Y el cliente (aplicando el punto 7.2.b de ISO 9001:2015), asegurarse de que el auditor dispone de dicha competencia solicitando la información documentada que así lo evidencie.
  • Definición de los criterios de auditoría. De acuerdo con la definición del epígrafe 3.13.7 de ISO 9000:2015, criterios de auditoría es el conjunto de políticas, procedimientos o requisitos usados como referencia frente a la cual se compara la evidencia de auditoría. 

El proceso de auditoría requiere (epígrafe 9.2.2.b) de ISO 9001:2015) que los criterios de auditoría estén definidos. Suele ser habitual que dichos criterios se encuentren en el informe de auditoría. En todo caso, deben definirse y poder identificarse cuando el proceso de auditoría interna se audite.

Los criterios de auditoría interna son, por una parte, la norma de referencia a la que da respuesta el sistema de gestión auditado (ISO 9001:205, ISO 14001:2015, etc.) y por otra, el conjunto de políticas, procedimientos y, en general, información documentada que establece los requisitos del sistema de gestión auditado y que, en muchas ocasiones, suele recogerse en un listado de documentación aplicable, tanto interna como externa, así como los requisitos legales de aplicación a las actividades, productos y servicios de la organización.

  • Identificación del alcance de la auditoría interna. Al igual que el punto anterior, suele ser el informe de auditoría el documento que indica el alcance de la auditoría realizada; entendiendo por alcance lo indicado en el epígrafe 3.13.5 de ISO 9000:2015, la extensión y los límites de la auditoría, que incluye una descripción de las ubicaciones, las unidades de la organización, las actividades y los procesos.

Bien en el informe o en otro documento, el alcance debe estar definido y explicitado de tal modo que pueda identificarse cuando la auditoría interna sea auditada.

  • Sistemática definida para la realización de la auditoría interna. En ocasiones el proceso puede incluir la cumplimentación de un check list específico, la emisión de un plan de auditoría, etc., de los que es necesario disponer para demostrar la conformidad con el proceso de auditoría interna.
  • Forma en que van a informarse los resultados de la auditoría. Si la organización establece un formato concreto para informar a la dirección correspondiente de los resultados de la auditoría, debe utilizarse el formato establecido, no el propio de la entidad externa que realiza la auditoría.

En definitiva, y como decíamos al principio, una  auditoría debe cumplir los requisitos que la organización haya establecido para el proceso de auditoría interna para que pueda ser considerada como tal.