John Roskam, formador Senior de LRQA
En un mundo en el que la normativa, la tecnología, los riesgos empresariales y las expectativas de las partes interesadas cambian constantemente, afectando a la prestación de servicios de la organización, un programa de auditoría eficaz y basado en los riesgos es más importante que nunca. Las normas de gestión ISO también establecen requisitos al respecto en la sección 9.2.2 sobre auditoría interna: "La organización debe planificar, establecer, aplicar y mantener (un) programa(s) de auditoría (...), teniendo en cuenta la importancia de los procesos implicados, los cambios que afecten a la organización y los resultados de auditorías anteriores."
Sin embargo, los participantes en mis cursos de formación me siguen diciendo que las organizaciones establecen programas de auditoría con un ciclo fijo, a menudo basado en el periodo de validez de un certificado ISO. Se elabora entonces un programa para tres años, en el que cada proceso o apartado ISO se somete a prueba al menos una vez cada tres años, "porque la ISO así lo exige". La consecuencia de este tipo de programa "fundido en hormigón" es que las auditorías dedican demasiado tiempo a los procesos menos relevantes, mientras que los riesgos reales quedan sin exponer y, por tanto, se descubren tarde o no se descubren en absoluto.
Este enfoque dificulta la proactividad y puede conducir a una falsa sensación de seguridad. Por ello, en los cursos de formación de LRQA ayudamos a los auditores a desarrollar una mentalidad diferente: no auditar para cumplir las normas, sino para identificar los riesgos reales y abordar las oportunidades.
Los principios básicos de un programa de auditoría basado en el riesgo
Un enfoque basado en el riesgo garantiza que las auditorías se centren en las áreas que tienen mayor impacto en la organización. Pero, ¿cómo ponerlo en práctica? ¿Y cómo asegurarse de que las auditorías no sean un mero mecanismo de control "porque lo exige la ISO", sino que aporten un valor real?
Un programa de auditoría basado en el riesgo requiere una forma diferente de pensar. Estos son los principios básicos que destaco en mis sesiones de formación:
1. Identificar los riesgos reales
Un programa de auditoría basado en el riesgo comienza con un análisis exhaustivo del mismo. Esto significa examinar los factores internos y externos que afectan a la organización, como los cambios en la legislación y la normativa, la tecnología, la evolución del mercado o las expectativas de las partes interesadas. Además, se identifican los procesos más críticos para la organización en relación con los aspectos que son importantes para ella. Piense en la satisfacción del cliente, la calidad del producto, la seguridad (alimentaria), el impacto medioambiental, etc.
2. Garantizar la flexibilidad frente a la rigidez
Resulta práctico empezar por establecer un programa inicial de auditoría, dando cabida a todos los procesos, programando los procesos importantes con mayor frecuencia (y en ejecución con mayor profundidad) que los menos importantes.
Además, el programa debe tener margen para adaptarse a las circunstancias cambiantes. Piense, por ejemplo, en un nuevo proveedor, un cambio de legislación o un incidente que se haya producido. Hay que dejar franjas horarias libres para responder a estos cambios, lo que aporta flexibilidad y capacidad de recuperación.
3. Centrarse en la eficacia, no sólo en la conformidad
Una auditoría basada en el riesgo debe ir más allá de la comprobación del cumplimiento por parte de los empleados. El párrafo de ISO también es claro al respecto "9.2.1 La organización debe realizar auditorías internas a intervalos planificados para obtener información sobre si el SGC (....) cumple: a) los requisitos propios de la organización (...) y b) se ha implantado y mantenido eficazmente."
Por supuesto, es importante determinar en qué medida se cumplen los acuerdos (y si no es así, cuál es la razón (a menudo válida)). Pero la "prueba del pudín" es si esto hace que un proceso sea eficaz. ¿Cuál es el resultado previsto, qué objetivos se han fijado? Una buena pregunta es ¿Qué aspecto tiene lo bueno? ¿Y qué se ha hecho para conseguirlo (es decir, qué riesgos se han reconocido y mitigado)?
4. Implicar al Comité Ejecutivo
Las auditorías no son independientes, sino que forman parte de la "capacidad de autolimpieza" de la organización. Las buenas auditorías internas aportan información valiosa para la toma de decisiones estratégicas. Los resultados de las auditorías internas no son en vano uno de los componentes fijos que un Consejo de Administración debe incluir durante la Revisión de la Gestión como base para introducir mejoras.
Por lo tanto, un programa de auditoría basado en el riesgo requiere una consulta periódica entre el equipo de auditoría interna y el Consejo de Administración. ¿Qué le preocupa al Consejo de Administración, qué le gustaría que se investigara, qué quiere saber con certeza, qué le despierta curiosidad, etc.? Cuanto más específica sea la necesidad de la Dirección, más específicas podrán ser las auditorías internas. Ventaja adicional: ¡la posibilidad de que los informes de auditoría interna desaparezcan sin leer en los cajones es muy pequeña!
El papel cambiante del auditor interno
Las auditorías eficaces basadas en el riesgo también requieren un cambio en el papel del auditor y, por tanto, en las competencias necesarias. Entre ellas se incluyen la conciencia organizativa y de riesgo (comprender cómo funciona una organización en su contexto y dónde están los verdaderos puntos débiles), el pensamiento crítico y curioso y el cuestionamiento (no solo observar las normas, sino también tener curiosidad por la razón y el impacto) y las habilidades de comunicación (ser capaz de cambiar de marcha a todos los niveles de la organización, comunicar claramente los resultados de la auditoría al Consejo de Administración, a la dirección y a los empleados).
Por eso es tan importante la formación. En los cursos de formación de LRQA trabajamos mucho con casos prácticos y ejercicios interactivos, de modo que los auditores no solo adquieren conocimientos, sino que aprenden a aplicarlos directamente.
En resumen: las auditorías deben aportar valor añadido
Un programa de auditoría basado en el riesgo no es una moda, sino una evolución necesaria para las organizaciones que realmente quieren controlar el riesgo. Ayuda a desplegar las auditorías de forma más estratégica y a centrarse en lo que realmente importa. Hay que alejarse de la planificación tradicional y rígida y centrarse en los riesgos reales. Esto requiere una forma diferente de pensar, pero en última instancia proporciona auditorías que no sólo controlan, sino que también contribuyen a mejorar el rendimiento y la mejora continua de la organización.
¿Quiere saber más sobre cómo LRQA puede ayudar a su organización con las auditorías basadas en riesgos?