Ya estamos aquí de nuevo...
...Hace algún tiempo, durante una auditoría interna, mantuve una conversación con uno de mis compañeros de trabajo sobre las No Conformidades que puede poner la Entidad de Certificación durante su Auditoría.
La cuestión aquí está en que, por lo general, cuando existe una No Conformidad (en adelante NC) localizada durante la Auditoría Interna, en teoría, la Entidad de Certificación no podrá abrir una NC si se ha generado la correspondiente Acción Correctiva (en adelante AC), y se ha asignado el plazo para su resolución, aún cuando a fecha de la auditoría de certificación no se haya cerrado tal AC.
Ahora bien, esto no es del todo cierto. Supongamos que durante la Auditoría Interna se ha localizado un NC por incumplimiento de la LOPD (quien redacte esa NC dependerá del procedimiento de Auditoría Interna correspondiente), símplemente, no se ha hecho hasta el momento de la auditoría interna absolutamente nada al respecto de la protección de datos de carácter personal y esto supone un incumplimiento del control 15.1.4. A quien corresponda tal responsabilidad generará la NC y de ésta se derivará una AC a la que se le asignará un plazo posterior a la de la Auditoría de Certificación (esto es un supuesto ilustrativo).
Cuando el Auditor de Certificación llega a las instalaciones del auditado, comprobará las no conformidades, en concreto verá el incumplimiento legal y hará el rastreo hasta la acción correctiva correspondiente. Una vez visto que el plazo está asignado y a fecha de la auditoría no se ha solventado dicha no conformidad pondrá una NC Mayor y se acabó el sello (al menos de momento). Digo al menos de momento porque la certificadora puede dejar un plazo prudencial para que la empresa auditada presente evidencias del cierre de dicha no conformidad mayor, solicitando en dicho momento su certificación.
La comentada anteriormente no es la única situación en la que se puede poner una NC sobre una NC ya detectada por la auditoría interna sino que existen muchas más, tantas como situaciones que supongan un riesgo evidente para la seguridad de la Organización y que puedan, por ende, constituir una NC mayor, sobre las cuales se haya levantado una NC fruto de la auditoría interna y cuya AC no se haya cerrado a fecha de la Auditoría de Certificación (
valga como ejemplo el que expuse en este post).
Esta circunstancia hace patente una necesidad latente de trasladar al Auditado a la entrega del informe de Auditoría Interna la importancia de cerrar determinadas acciones correctivas antes de la fecha de realización de la Auditoría de Certificación. Subrayar las No Conformidades más importantes puede hacerse de varias formas pero quizá una que puede ayudar a familiarizar al Auditado con la Auditoría de Certificación es la distinción entre NC mayores y NC menores en el correspondiente documento descriptivo del procedimiento de Auditoría Interna, dando una nueva arma al auditor para señalarle al auditado, "usted tiene que cerrar esto antes de la Auditoría de Certificación y al resto puede asignarles un plazo que vaya más allá de la fecha en que ésta se realice".
Otro aspecto que resulta de relevancia es la planificación de dicha Auditoría Interna. Si durante dicha auditoría se encuentran varias NC mayores que deben cerrarse antes de la Auditoría de Certificación y la Interna no se ha planificado con la suficiente antelación, el tiempo de reacción ante las NC mayores interpuestas en la Auditoría Interna será muy corto. Los planes de acción a llevar a cabo ante una NC mayor puede variar en dificultad y tiempo necesario para su realización de forma que es conveniente planificar con el suficiente adelanto la Auditoría Interna con el objeto de disponer de una ventana de tiempo más amplia para reaccionar ante las NC mayores.
Salu2!
(post corregido a instancias de comentarios en el mismo por un anónimo que me hicieron ver dos partes en las que la información carecía del rigor necesario. Gracias a Anonimo por sus comentarios)
