Auditorías de segunda parte: seguridad en las compras y contrataciones (2)

Como continuación a la entrada sobre auditorías que publicamos hace algunos días, en esta entrada vamos a dar un repaso a los distintos tipos de auditoría que existen y después hablaremos sobre las auditorías internas. Tal como indicamos, más adelante profundizaremos en las auditorías de segunda parte y hablaremos sobre sus efectos en el incremento de la seguridad desde los procesos de compras y contratación.

Con independencia del marco normativo que pueda resultar de aplicación (ISO 27001, ISO 9001, ISO 20000-1 o la norma que sea, incluso una combinación de ellas) las auditorías se pueden clasificar en auditorías de primera, de segunda y de tercera parte en función de su origen y objetivos.

Además, desde el punto de vista de su programación podemos distinguir entre auditorías ordinarias o programadas y auditorías extraordinarias, las cuáles suelen llevarse a cabo entre dos auditorías ordinarias para realizar comprobaciones ulteriores, frecuentemente ligadas a la confirmación del cierre de problemas identificados en la auditoría ordinaria anterior. También pueden ser motivo de inicio de una auditoría extraordinaria la confirmación o sospecha de posibles problemas de cierta relevancia o impacto o la introducción de cambios importantes en los procesos de negocio (reingenierías de procesos, adquisición de nueva tecnología, cambios en CRMs y ERPs, fusiones, reformas, traslados, ampliaciones, implantaciones, etc.).

Pero volvamos al enfoque del origen y objetivos de las auditorías, que es el que nos interesa ahora, y empecemos por las auditorías de primera parte.

Las auditorías de primera parte son también conocidas como auditorías internas. Resumiendo y sin acudir a definiciones de norma, que ya sabemos cómo las gastan, podríamos decir que son las auditorías que se realizan “con fines internos” y persiguen como objetivos el ofrecer un autodiagnóstico del funcionamiento, implantación y grado de desempeño de los procesos internos, detectar posibles incumplimientos, incoherencias o desperdicios (ya sea de tiempo o materiales) y, con todo esto identificado y registrado, actuar en consecuencia. También constituyen una buena ocasión para la identificación de buenas prácticas y para fijarlas y extenderlas a otras áreas o procesos de la organización.

Teniendo siempre en mente la misión y objetivos de la organización, una auditoría interna sirve no sólo para detectar incumplimientos con respecto a los métodos operativos previstos si no también, especialmente, para identificar consumos de recursos que no aportan valor o son reducibles. Es decir: para la evaluación tanto de la eficacia como de la eficiencia de los procesos internos. Importante. También constituyen un buen marco para la evaluación del cumplimiento reglamentario y para elevar, por tanto, los niveles de seguridad legal y evitar las consecuencias de posibles incumplimientos como pueden ser denuncias, sanciones económicas, paralización de la actividad, responsabilidades civiles y penales, etc. en función del sector de actividad.

Las auditorías internas o de primera parte pueden ser realizadas por la propia organización o por personal experto externo a la misma contratado ad hoc, sin que por ello dejen de ser internas.

Salvo excepciones, las empresas que no están certificadas no suelen pasar auditorías internas si bien es precisamente en estas empresas en las que, cuando se llevan a cabo, suelen ser muy completas y rigurosas. Puede resultar paradójico pero, por el contrario, en las empresas que sí disponen de certificaciones las auditorías internas con frecuencia se enfocan y abordan de manera equivocada ya que suelen convertirse en un fin en sí mismo; se da por bueno el mero hecho de poder presentar a un auditor externo un informe que justifique que se ha realizado una auditoría interna, sin que en realidad ésta haya tenido lugar o se haya realizado de manera superficial, sin que se hayan evaluado aspectos relacionados con la eficiencia de los procesos de negocio y, por tanto, sin que sirvan para mucho más. Craso error. Durante mis años como auditor de certificación pasaron por mis manos montones de informes de auditoría interna carentes de contenido cuya única finalidad y razón de ser era precisamente la de dar cumplimiento al requisito impuesto por las normas. O intentarlo.

Nunca me cansaré de decir que una auditoría interna respaldada por la dirección y llevada a cabo con tiempo y rigor es una herramienta de mejora potente y barata que permite volver la vista atrás sin necesidad de detener la nave e identificar tanto carencias, errores, incumplimientos y aspectos mejorables como buenas prácticas en la empresa. Estas informaciones recogidas y bien presentadas en un informe de auditoría completo y estructurado permiten fijarse en lo importante, reorientar esfuerzos y ahorrar recursos o hacerlos más productivos, mejorando eficacia y eficiencia, con sus consecuentes repercusiones en la mejora de los costes. Las auditorías internas no hay que hacerlas porque lo indiquen las normas de gestión; las normas de gestión las recetan (todas ellas, sin excepción) por lo útiles que pueden resultar y por todo lo que pueden reportar a la organización, certificaciones y auditorías externas a parte. Cualquier organización debería pasar auditorías internas con independencia de que pueda disponer o no de certificaciones externas. Si no se dispone de recursos propios para llevarlas a cabo pueden subcontratarse a profesionales cualificados, con quienes habría que ser muy exigente. Insistir en que las auditorías internas pueden resultar baratas si las comparamos con los beneficios que pueden reportar.

A diferencia de las auditorías de certificación que tienen una duración previamente pactada por contrato, generalmente muy limitada y que no se puede exceder, las auditorías internas son en cambio mucho más flexibles en este aspecto fundamental que es el del dimensionamiento temporal. Yo puedo programar una auditoría a un área determinada de mi organización y asignarle un slot de, digamos, una jornada completa. Pero nada me impide, ante determinados hallazgos y si las circunstancias lo aconsejan, alargarla sobre la marcha con una o más jornadas adicionales para aumentar el nivel de muestreo, para entrar en el detalle de un posible problema detectado en un proyecto o una línea de producto o para evaluar minuciosamente los pormenores de una nueva práctica introducida recientemente vía procedimiento o vía tecnología, por ejemplo. También es posible, a diferencia de lo que sucede con las auditorías externas, interrumpir la auditoría un día por cuestiones de agenda de los afectados para retomarla unos días después, justo donde se quedó.

En S2 Grupo disponemos de cuatro certificaciones: 9001, 27001, 20000-1 e I+D+i, y quizá dentro de unos meses dispongamos de alguna más y a mí me corresponde programar y liderar las auditorías internas. A modo de curiosidad les contaré que programamos nuestras auditorías internas aplicando criterios formales de dimensionamiento de auditorías y apuntando siempre hacia los valores máximos indicados en las tablas, pero además yo me reservo el derecho de extenderme todo lo que considere necesario hasta que he evaluado en profundidad la totalidad de las actividades previstas y me he quedado tranquilo. Otra cuestión es que a mis compañeros y amigos les pueda gustar más o menos, pero nosotros lo planteamos así contando con el respaldo de la Dirección porque entendemos que es bueno para la empresa. Y realmente lo es.

Por último cabe destacar que los procesos de auditoría interna y los informes derivados sirven a la Dirección para tomarle el pulso a los procesos de negocio constituyendo por tanto una entrada más, una entrada importante, para la toma de decisiones. La próxima entrada de la serie lo dedicaremos a hablar de nuevo acerca de las auditorías de tercera parte; espero que les haya resultado interesante.

Comments

  1. Una entrada muy aclaradora y reveladora, muy bien enfocada!

    Me ha sido muy útil.

    Muchas gracias!

Trackbacks

  1. […] Como continuación a la entrada sobre auditorías que publicamos hace algunos días, en esta entrada vamos a dar un repaso a los distintos tipos de auditoría que existen y después hablaremos sobre las auditorías internas.  […]