Auditorías de segunda parte: seguridad en las compras y contrataciones (6)

(Véase primera parte, segunda parte, tercera parte, cuarta parte y quinta parte)

Tal como anticipamos en un anterior post de la serie podemos hablar de dos tipos de auditorías de segunda parte en función de su objetivo:

  • Por un lado y en primer lugar están las auditorías iniciales de selección proveedores, que se realizan previamente a la contratación y precisamente para la elección del más idóneo de entre un elenco de posibles candidatos.
  • En segundo lugar están las auditorías de seguimiento para la evaluación del desempeño del proveedor o subcontratista seleccionado. Estas auditorías se realizan periódicamente dentro del marco de una relación contractual ya establecida y tienen como objetivo principal el de verificar el cumplimiento de todos los extremos acordados por ambas partes, tanto en términos de calidad como de plazos y seguridad (al final podemos considerar todo calidad).

En esta entrada hablaremos de las auditorías iniciales de selección de proveedores dejando las de evaluación del desempeño para una próxima entrada.

El primer paso para abordar una auditoría inicial de selección de proveedores es determinar tanto su alcance como los criterios de auditoría, es decir, los límites de la cancha y las reglas del juego. En una auditoría para la certificación de un SGSI, por poner un ejemplo, el alcance será el que defina la empresa y los criterios de auditoría consistirán en los requisitos de la norma ISO 27001 más los requisitos establecidos en la documentación del SGSI a auditar (políticas de seguridad, procedimientos, instrucciones, controles seleccionados) y más toda la legislación que pueda resultar de aplicación a las actividades objeto de contratación o relacionadas con las mismas.

En una auditoría de segunda parte no hay a priori normas de aplicación por lo que los criterios de auditoría hay que definirlos ad hoc y acodarlos por ambas partes antes de comenzar el trabajo de campo. Se puede usar como marco de referencia una norma de sistema de gestión (o parte de la misma) o incluso una norma de producto o servicio. Cada organización es muy libre de establecer los criterios que considere necesarios en función de sus intereses y de las necesidades de sus procesos de negocio pero, en cualquier caso, habrá que acordarlos expresamente. Recalcar la importancia de considerar la legislación aplicable ya que debe formar parte ineludible de los criterios de auditoría.

Para definir los criterios de auditoría cabría, en primer lugar, plantearse la siguiente pregunta: ¿qué características del producto/servicio a contratar son importantes para el negocio? (recordemos que estamos hablando de productos/servicios estratégicos o con gran impacto en el negocio); dicho de otra manera: ¿cuáles son las necesidades y requisitos del producto o servicio a contratar, en términos de nivel de servicio? Es necesario obtener una respuesta clara y completa a esta pregunta.

Consecuentemente y a continuación cabría preguntarse: ¿qué interesa conocer de los posibles proveedores?; ¿qué debe constatarse in situ por medio de la observación de actividades y el análisis de registros? ¿El cumplimiento de plazos? ¿La capacidad de producción? ¿El nivel cumplimiento de SLAs con otros clientes? ¿La infraestructura tecnológica? ¿La carga de los recursos? ¿El DRP? ¿La revisión final previa a cada entrega? ¿La experiencia y solvencia técnica de personas clave de la organización? ¿El volumen de reclamaciones y los motivos de las mismas? ¿Lo que piensan sobre la organización sus clientes? Etcétera.
Se me ocurren muchas más preguntas relevantes para decidir sobre la selección o no de un proveedor y para concretar la relación contractual con el mismo y casi todas ellas tienen algo en común: la respuesta a estas preguntas no suelen encontrarse en los catálogos, las presentaciones comerciales, las demos y las visitas de cortesía, en las que sólo le enseñarán lo que ellos quieran que vea y sólo le contarán cosas buenas (y probablemente no siempre ciertas). Una auditoría supone un enfoque muy diferente y proporciona un marco formal para la comprobación de gran cantidad de información relevante y normalmente transparente, así como la veracidad y alcance de todas las bondades proclamadas en la puesta en escena comercial de la organización.

Hay pues una gran variedad y cantidad de información relevante susceptible de comprobar en una auditoría inicial de segunda parte. Si a la hora de plantearse los criterios de auditoría no se sabe muy bien por dónde empezar, y como ya está casi todo inventado, sugiero echar mano de la norma ISO 9001; podemos considerarla como un repositorio de buenas prácticas de gestión universalmente aceptadas por lo que puede consistir en un buen punto de partida general. Y puede complementarse, si es necesario, con requisitos de otras normas o guías susceptibles de aplicación (ISO 27001, ISO 28000, ISO 20000-1, TIA 942…). Por pedir que no quede pero hay una regla de oro: los criterios de auditoría deben versar siempre sobre aspectos relevantes de los productos/servicios objeto de contratación.

Determinado el alcance y criterios de la auditoría debe obtenerse a continuación la aprobación de la organización a auditar. Además hay que estimar el número de jornadas necesarias y confirmar un calendario de auditoría que contemple también la disponibilidad de los interlocutores clave de la organización. Las auditorías pueden alargarse durante varias jornadas en función del tamaño de la organización y la complejidad de las actividades a auditar pero, por fortuna, en la mayoría de las ocasiones con uno o dos días suele ser suficiente.

Para realizar el trabajo de campo lo ideal es disponer de formación y entrenamiento en técnicas de auditoría y muchas horas de vuelo, cuantas más mejor. Pero como no siempre es posible contar con tal perfil este requisito puede soslayarse con una persona con un buen conocimiento técnico de las actividades auditar, algo de experiencia en gestión, mucho sentido común y ganas de afrontarla.

Durante el trabajo de campo, ya en la organización candidata, hay que comprobar todo lo previsto y pactado de antemano por medio de la observación de actividades, entrevistas y análisis de registros. No hay que dudar de lo que nos puedan contar pero al mismo tiempo tenemos que ser capaces de comprobarlo (y nuestros interlocutores de demostrarlo) y de llegar al fondo de la cuestión. Si va a comparar a varios posibles proveedores debe acordar con cada uno el mismo marco de auditoría y proceder de la misma manera con todos ellos.

Una vez hecho el trabajo de campo hay que analizar toda la información recopilada durante la auditoría, extraerle el jugo y ponerlo negro sobre blanco en un informe de conclusiones. No hay que traerse dudas del trabajo de campo; un buen indicador del correcto desarrollo de una auditoría es el número de dudas o inconcreciones que se le presentan al auditor a la hora de redactar el informe así como el número de dudas que se le puedan plantear al destinatario del mismo en el momento de su lectura.

Posiblemente llegado a este punto tenga una idea muy diferente de la primera impresión que se formó en su día a partir de las presentaciones comerciales de los distintos candidatos.

Al final, el resultado del proceso de una auditoría inicial de selección de proveedores debe ser doble:

    1º disponer de un ranking de los posibles candidatos ordenados de más a menos idóneo.

    2º aprovechar el conocimiento adquirido durante todo el proceso para redactar un buen contrato de servicios que incluya todas las posibles necesidades de nuestro proceso de negocio, atando todos los extremos y eliminando posibles ambigüedades.

Como complemento al proceso del trabajo de campo realizado en las instalaciones de los posibles proveedores una serie de sugerencias:

  • Solicite informes sobre las empresas candidatas. Recomendable hacerlo antes del trabajo de campo ya que puede descartar algún torpedo y ahorrarnos desplazamientos y dedicaciones innecesarias.
  • Solicite algún servicio de prueba o, si hablamos de producto, consiga algunas muestras. Fundamental asegurarse de que las muestras o servicios de prueba pertenecen a la población de los mismos productos/servicios que recibirá una vez contratados y no han sido preparados para que resulten excelentes; en caso contrario descártelos directamente. Si se trata de productos puede ensayarlos usted mismo si dispone de medios o puede enviar algunas muestras a analizar a laboratorios externos.
  • Consiga referencias de clientes de los últimos meses/años de las organizaciones candidatas (no sólo de los “casos de éxito” que le quieran presentar) y recabe su opinión. Antes fíjese bien en el alcance de los servicios contratados. La información ofrecida por clientes actuales y pasados de la organización candidata puede ser valiosísima.

La información obtenida durante el proceso de auditoría inicial de selección de proveedores puede ser mucha y muy importante y a partir de la misma debemos estar en condiciones no sólo de seleccionar la mejor de las opciones si no también de redactar un contrato completo y libre ambigüedades que nos proteja ante posibles incumplimientos, retrasos e interrupciones de nuestros procesos de negocio.

En una próxima entrada hablaremos sobre las auditorías de seguimiento y evaluación de proveedores.

Comments

  1. Estupendo trabajo. Creo que mucha empresas no se toman del todo en serio estas labores.

    Saludos.

Trackbacks

  1. […] Tal como anticipamos en un anterior post de la serie podemos hablar de dos tipos de auditorías de segunda parte en función de su objetivo: Por un lado y en primer lugar están las auditorías inicial…  […]