...Hace algún tiempo, durante una auditoría interna, mantuve una conversación con uno de mis compañeros de trabajo sobre las No Conformidades que puede poner la Entidad de Certificación durante su Auditoría.
La cuestión aquí está en que, por lo general, cuando existe una No Conformidad (en adelante NC) localizada durante la Auditoría Interna, en teoría, la Entidad de Certificación no podrá abrir una NC si se ha generado la correspondiente Acción Correctiva (en adelante AC), y se ha asignado el plazo para su resolución, aún cuando a fecha de la auditoría de certificación no se haya cerrado tal AC.
Ahora bien, esto no es del todo cierto. Supongamos que durante la Auditoría Interna se ha localizado un NC por incumplimiento de la LOPD (quien redacte esa NC dependerá del procedimiento de Auditoría Interna correspondiente), símplemente, no se ha hecho hasta el momento de la auditoría interna absolutamente nada al respecto de la protección de datos de carácter personal y esto supone un incumplimiento del control 15.1.4. A quien corresponda tal responsabilidad generará la NC y de ésta se derivará una AC a la que se le asignará un plazo posterior a la de la Auditoría de Certificación (esto es un supuesto ilustrativo).
Cuando el Auditor de Certificación llega a las instalaciones del auditado, comprobará las no conformidades, en concreto verá el incumplimiento legal y hará el rastreo hasta la acción correctiva correspondiente. Una vez visto que el plazo está asignado y a fecha de la auditoría no se ha solventado dicha no conformidad pondrá una NC Mayor y se acabó el sello (al menos de momento). Digo al menos de momento porque la certificadora puede dejar un plazo prudencial para que la empresa auditada presente evidencias del cierre de dicha no conformidad mayor, solicitando en dicho momento su certificación.
La comentada anteriormente no es la única situación en la que se puede poner una NC sobre una NC ya detectada por la auditoría interna sino que existen muchas más, tantas como situaciones que supongan un riesgo evidente para la seguridad de la Organización y que puedan, por ende, constituir una NC mayor, sobre las cuales se haya levantado una NC fruto de la auditoría interna y cuya AC no se haya cerrado a fecha de la Auditoría de Certificación (valga como ejemplo el que expuse en este post).
Esta circunstancia hace patente una necesidad latente de trasladar al Auditado a la entrega del informe de Auditoría Interna la importancia de cerrar determinadas acciones correctivas antes de la fecha de realización de la Auditoría de Certificación. Subrayar las No Conformidades más importantes puede hacerse de varias formas pero quizá una que puede ayudar a familiarizar al Auditado con la Auditoría de Certificación es la distinción entre NC mayores y NC menores en el correspondiente documento descriptivo del procedimiento de Auditoría Interna, dando una nueva arma al auditor para señalarle al auditado, "usted tiene que cerrar esto antes de la Auditoría de Certificación y al resto puede asignarles un plazo que vaya más allá de la fecha en que ésta se realice".
Otro aspecto que resulta de relevancia es la planificación de dicha Auditoría Interna. Si durante dicha auditoría se encuentran varias NC mayores que deben cerrarse antes de la Auditoría de Certificación y la Interna no se ha planificado con la suficiente antelación, el tiempo de reacción ante las NC mayores interpuestas en la Auditoría Interna será muy corto. Los planes de acción a llevar a cabo ante una NC mayor puede variar en dificultad y tiempo necesario para su realización de forma que es conveniente planificar con el suficiente adelanto la Auditoría Interna con el objeto de disponer de una ventana de tiempo más amplia para reaccionar ante las NC mayores.
Salu2!
(post corregido a instancias de comentarios en el mismo por un anónimo que me hicieron ver dos partes en las que la información carecía del rigor necesario. Gracias a Anonimo por sus comentarios)
5 comentarios:
Muy bueno. Me ha resultado muy interesante.
En su post creo que hay una serie de afirmaciones demasiado gratuitas que pueden ser "su opinión" pero no por ello, algo generalizable. Quiero comentarle que soy auditor ISO 9001 y a continuación le expongo mis discrepancias:
"Cuando el Auditor de Certificación llega a las instalaciones del auditado, comprobará el informe de auditoría redactado por los auditores internos, verá las no conformidades, en concreto el incumplimiento legal y hará el rastreo hasta la acción correctiva correspondiente (al menos debería hacerlo). Una vez visto que el plazo está asignado y a fecha de la auditoría no se ha cerrado dicha no conformidad pondrá una NC Mayor y se acabó el sello (al menos de momento)."
¿Quién dice que no se pueda solicitar la certificación de una empresa si tiene una no conformidad mayor? Este tipo de NC tienen un periodo corto en el que pueden ser solventadas y si esto ocurre sí se puede solicitar el sello.
La cuestión aquí está en que, por lo general, cuando existe una No Conformidad (en adelante NC) Abierta por la Auditoría Interna.
Creo que confunde usted los procedimientos de auditoría y de gestión de las no conformidades y acciones preventivas/correctivas. El auditor interno lo único que hace es elaborar un informe con los resultados de la auditoría. No tendría porqué redactarlo en forma de no conformidades. ¿Existe alguna restricción en la norma ISO 27001 (que desconozco) sobre cómo debe ser el informe de auditoría?
Lo que debe ocurrir tras entregarse el informe es que se deben generar las acciones oportunas y para ello, el auditado puede elaborar sus propias no conformidades, pero ello no obliga al auditor interno a elaborarlas. El informe de auditoría puede ser un simple informe de revisión donde se indiquen deficiencias, sin tener por qué vincularlas a cláusulas.
Hola,
Ante todo, muchas gracias por tu comentario que me parece enriquecedor para todos aquellos que lleguen hasta él y que sin duda alguna nos ayudará a todos a clarificar algunos puntos.
-En su post creo que hay una serie de afirmaciones demasiado gratuitas que pueden ser "su opinión" pero no por ello, algo generalizable.-
Siento no estar de acuerdo, esto no es mi opinión, puede ser, en todo caso fruto de mi experiencia, de lo que he vivido como consultor y como Auditor, y que expongo con afán de que todo aquel que se encuentra en mi misma situación pueda mejorar, en este caso su procedimiento de auditoría interna, pero no es mi opinión.
-¿Quién dice que no se pueda solicitar la certificación de una empresa si tiene una no conformidad mayor? Este tipo de NC tienen un periodo corto en el que pueden ser solventadas y si esto ocurre sí se puede solicitar el sello.-
Exacto, de echo, yo no he dicho que no se pueda conseguir, puntualizo entre paréntesis "(al menos de momento)". Efectivamente, la Entidad de Certificación puede levantar una No Conformidad en Suspenso y esperar un plan de corrección para dicha NC, pero esto implicaría otra visita y más costes para conseguir la certificación. Como tu mismo dices, si se solventa la NC mayor se puede solicitar el sello, pero si no es así, no hay sello.
-Creo que confunde usted los procedimientos de auditoría y de gestión de las no conformidades y acciones preventivas/correctivas. El auditor interno lo único que hace es elaborar un informe con los resultados de la auditoría. No tendría porqué redactarlo en forma de no conformidades. ¿Existe alguna restricción en la norma ISO 27001 (que desconozco) sobre cómo debe ser el informe de auditoría?-
NO, no existe ninguna restricción más allá de las impuestas por el procedimiento de auditoría interna. El auditor interno deberá someterse al formato de entrega que en dicho procedimiento se exponga, si existe alguno, o podrá utilizar uno propio pero en todo caso deberá garantizar lo recogido en el punto 6:
determinar si los objetivos de control, los controles, los procesos y los procedimientos de este SGSI:
a) cumplen los requisitos de esta norma internacional, así como la legislación y normativa aplicables.
b) cumplen los requisitos de seguridad de la información identificados;
c) se implantan y se mantienen de forma efectiva
d) dan el resultado esperado.
En concreo en lo referente al apartado a) en la auditoría interna se tiene que reflejar si se cumplen o no los requisitos de la norma y los controles. Esto podría efectivamente exponerse sin levantar la no conformidad de manera formal pero de cualquier modo resulta irrelevante quién la ponga y en todo caso este hecho dependerá directamente del procedimiento de auditoría interna, lo relevante para lo que pretendo exponer en este post es que existe dicha NC y que se ha localizado durante la auditoría interna.
Por clarificar el post parto del supuesto de que en dicho procedimiento se recoge una referencia al formato del informe de auditoría y se expone que es el auditor interno el que expondrá en dicho informe las NCs detectadas.
Por último reiterar mis agradecimientos por tu comentario y ojalá vea más como éste del que todos podemos aprender.
Un saludo.
Estimado Miguel Angel,
Cuando afirmo que muchas afirmaciones son solamente su opinión me refiero a que cualquier circunstancia que se afirme (aunque sea fruto de su experiencia) que no sea establecida por una norma de referencia, no deja de ser una opinión. En mis más de diez años de experiencia he visto todo tipo de auditores y no todos conocen bien las normas que rigen nuestro trabajo.
La auditoría de sistemas de gestión se rige por la norma ISO 19011 y todo aquello que se afirme y que no venga establecido en dicha norma, no deja de ser una desviación.
¿Cuantos años de auditoria le avalan? No se cuan dilatada es su experiencia profesional pero alguno de los términos que utiliza me sorprenden. ¿Qué es una no conformidad en suspenso?
En su contestación también de nuevo afirma cosas que no son un requisito. El auditor de certificación pondrá una no conformidad mayor y la empresa tendrá que cerrarla convenientemente, pero tampoco es necesaria de forma obligatoria una nueva visita.
Mis comentarios solo pretenden hacerle consciente de la necesidad de rigor a la hora de explicar conceptos de los que pretende exponer en su blog porque si no, genera conceptos que son inexactos o erróneos para el resto de lectores.
Hola,
Gracias de nuevo por tu aportación.
Respecto a lo que expones no puedo estar mas de acuerdo. No obstante, si bien es cierto que hice ciertas asunciones en este post en cuanto al procedimiento de auditoría interna, las hice desde la mejor de las intenciones con el objetivo de exponer unas conclusiones que considero de utilidad y desde aquello con lo que trabajo y lo que he visto auditando hasta el momento.
Cierto es que en este mundo hay que andar con pies de plomo y no se puede afirmar nada que esté fuera de las normas de referencia.
Mi experiencia en seguridad de la información no es tan dilatada como la suya con ISO 9001 (es temporalmente imposible por lo que considero la suya una opinión a tener en cuenta sin duda alguna.
En cuanto al término NC en suspenso lo escuché por primera vez en el curso LA ISO 27001 para hacer mención a una NC mayor que levanta la Certificadora y que puede ser retirada si se presenta un plan de corrección de dicha No Conformidad.
Mi intención es aportar, no confundir, si considera que el post no aporta nada más allá de la confusión que expone, por favor, no dude en exponerme aquellas partes que considere no apropiadas (aparte de las que ya ha expuesto) y trato de clarificarlas.
Gracias por el toque de atención en cuanto al rigor necesario que sin duda alguna tendré en cuenta en futuros post, dejándolos lo más claro posible, no realizando asunciones y no saliéndome de la terminología utilizada en 19011 y 27000.
Corregiré el post oportunamente con sus aportaciones a la mayor brevedad posible.
Gracias y no dude en aportar de nuevo cualquier cosa que crea inconveniente por mi parte. Pasamos la vida aprendiendo y las voces de mayor experiencia tienen mucho que enseñarnos.
Un Cordial saludo.
Publicar un comentario