Cómo hacer una auditoría interna ISO 9001: guía práctica paso a paso

La auditoría interna es uno de los requisitos más importantes de ISO 9001 — y uno de los más mal ejecutados. En la mayoría de las organizaciones, la auditoría interna se convierte en un trámite anual que se hace para cumplir el requisito de la norma y que pocas veces genera mejoras reales en el sistema.

Cuando está bien planificada y ejecutada, la auditoría interna es la herramienta más poderosa del SGC para detectar problemas antes de que llegue el auditor externo, identificar oportunidades de mejora que la operación diaria no ve y verificar que el sistema funciona en la práctica, no solo en el papel.

Qué es una auditoría interna según ISO 9001

ISO 9001 define la auditoría interna en el requisito 9.2. Establece que la organización debe llevar a cabo auditorías internas a intervalos planificados para proporcionar información sobre si el sistema de gestión de calidad es conforme con los requisitos de la norma y los propios de la organización, y si está implementado y mantenido eficazmente.

La norma no especifica con qué frecuencia deben hacerse, pero sí exige que haya un programa de auditorías que considere la importancia de los procesos y los resultados de auditorías previas. En la práctica, la mayoría de las organizaciones hace auditorías internas una vez al año, con algunas haciendo auditorías parciales más frecuentes a los procesos más críticos.

Paso 1: Planificar el programa de auditorías

El programa de auditorías es el plan anual que define qué procesos o áreas se van a auditar, cuándo y con qué frecuencia. El programa debe basarse en la importancia de los procesos para el SGC y en los resultados de auditorías anteriores: los procesos que han mostrado más no conformidades merecen más atención.

• —Identificar todos los procesos del SGC que deben ser auditados
• —Asignar frecuencia según criticidad: procesos clave con mayor frecuencia
• —Distribuir las auditorías a lo largo del año para no acumular todo al final
• —Definir criterios de auditoría: requisitos de ISO 9001 y requisitos internos
• —Asignar auditores con antelación para que puedan prepararse

Paso 2: Preparar la auditoría

Un auditor que llega sin preparación a una auditoría interna solo puede hacer preguntas genéricas. La preparación es lo que convierte una auditoría en una herramienta útil. Incluye revisar los resultados de la auditoría anterior, estudiar el proceso que se va a auditar, identificar los requisitos aplicables de ISO 9001 y preparar una lista de verificación con las preguntas y evidencias que se van a revisar.

Una buena lista de verificación no es un cuestionario de marcar sí/no. Es una guía para una conversación sobre cómo funciona el proceso.

Paso 3: Ejecutar la auditoría

La auditoría comienza con una reunión de apertura donde el auditor explica el objetivo, el alcance y la metodología al responsable del proceso. La ejecución incluye entrevistas con el personal, revisión de documentos y registros, y observación directa de las actividades cuando es posible.

El auditor busca evidencia objetiva: registros que demuestren que el proceso se ejecuta como está documentado, indicadores que muestren el desempeño del proceso, y evidencia del tratamiento de no conformidades anteriores. Lo que el auditor no puede hacer es basar sus hallazgos en opiniones o suposiciones.

Paso 4: Documentar los hallazgos

Los hallazgos de la auditoría se clasifican en no conformidades (incumplimientos concretos de un requisito), observaciones (situaciones que no incumplen un requisito pero que podrían derivar en un problema si no se atienden) y oportunidades de mejora (sugerencias del auditor basadas en buenas prácticas).

El informe de auditoría debe ser claro, específico y basado en evidencia. Una no conformidad bien documentada incluye el requisito incumplido, la evidencia objetiva del incumplimiento y el proceso o área donde se encontró. Sin esa especificidad, el responsable del proceso no puede tomar una acción correctiva efectiva.

Paso 5: Seguimiento de acciones correctivas

La auditoría no termina con el informe. Termina cuando las acciones correctivas derivadas de las no conformidades han sido implementadas y verificadas. Este seguimiento es el que cierra el ciclo de mejora y es, paradójicamente, el paso que más se descuida.

Quién puede ser auditor interno

ISO 9001 requiere que los auditores internos sean competentes e imparciales respecto al área que auditan. No exige una certificación específica, pero sí que tengan conocimiento de la norma, del proceso de auditoría y del proceso que van a auditar. Un curso de formación de auditor interno de 16 a 24 horas es suficiente para la mayoría de los casos.