No es ésta la primera vez que hablamos en este blog sobre auditorías, especialmente en su relación con los procesos y entidades de certificación. En el pasado hemos hablado sin mordernos demasiado la lengua del doble juego de las entidades de certificación, del doble juego de los auditores de las entidades de certificación, así como de algunos aspectos del proceso de certificación de la seguridad (parte I y parte II)

Durante las próximas semanas iremos publicando algunas entradas sobre este asunto, pero desde un punto de vista de la propia auditoría. Es nuestra intención en primer lugar reflexionar sobre el concepto de auditoría. En próximas entradas pasaremos aunque sea de puntillas por los distintos tipos de auditoría que existen en función de su origen y objetivos y, finalmente, profundizaremos en las auditorías de segunda parte como herramienta para elevar los niveles de calidad y seguridad de los procesos de negocio desde los procesos de compras y contratación, tanto en la dimensión de su eficacia como en la de su eficiencia y de ahorro de costes y problemas.

A estas alturas ya todos sabemos bien de qué va el tema y la mayoría seguramente hasta hemos “sufrido” auditorías en primera persona. No obstante vamos meternos en materia ofreciendo en primer lugar una aproximación al concepto de auditoría. Desde el punto de vista formal, la normativa de gestión define la auditoría como un “proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría”.

Vale. De acuerdo. Pero esta definición, seguramente correcta desde el punto de vista formal, resulta a todas luces insuficiente ya que una vez leída cualquiera puede quedarse igual que al principio. O peor. Además, la misma definición introduce ruido incluyendo dos veces el propio término que intenta definir. Resumiendo: si no sabes qué es y en qué consiste una auditoría con total seguridad seguirás sin saberlo después de leer la definición de la norma.

Por otro lado, el diccionario de la RAE define el término auditoría como “Empleo de auditor” y para el término auditor indica “Que realiza auditorías” por lo que el casi infalible diccionario oficial tampoco nos sirve de gran ayuda en este caso.

Vamos pues a intentar aclarar el concepto ofreciendo una aproximación más práctica.

Una auditoría, con independencia de sus objetivos (los cuáles pueden ser muy diferentes en función del tipo de auditoría, hablaremos de ello) consiste o debería consistir en un examen metódico, concienzudo, riguroso, independiente, completo y repetible el cual es realizado a una organización o a una parte de la misma (un proceso, un departamento, una línea de fabricación, un programa de clientes, un contrato, un proyecto, etc.).

Vamos por partes:

• Examen: efectivamente, aunque una auditoría es mucho más que una simple evaluación no deja de tener una buena dosis de examen y como tal suele entenderlo, en general, la parte auditada, con sus preocupaciones, sus nervios y su estrés incluidos. Por fortuna no siempre es así; también hay auditados que tienen claro el objetivo de la auditoría, que facilitan el trabajo al máximo y que llegan incluso a sentirse cómodos durante todo el proceso. Esto es lo deseable ya que facilita mucho el trabajo al auditor y la auditoría resulta más provechosa, además de hacerla desde el punto de vista personal sin duda más agradable.
• Metódico: para llevar a cabo con garantías una auditoría ésta debe ser realizada por una persona debidamente capacitada, bien entrenada y con experiencia, abarcando la totalidad del alcance previsto (muy ligado a los objetivos de la auditoría de los que insisto en que hablaremos más adelante) y aplicando técnicas de auditoría, de una manera sistemática y sin dejar lugar a la improvisación.
• Concienzudo y riguroso: además de las capacidades, entrenamiento y experiencia de la(s) persona(s) responsable(s) de llevar a cabo la auditoría, es decir, de las aptitudes de los auditores, hay que tener muy en cuenta también su actitud, la cual es directamente proporcional a la profesionalidad de las personas. Desde el punto de vista técnico el trabajo de auditoría resulta más o menos complejo en función de las actividades objeto de evaluación; obviamente no es lo mismo auditar un proceso comercial sencillo o la gestión de un pequeño almacén de recambios que auditar los procesos de explotación de una empresa de servicios TIC o el proceso de I+D en una empresa de diseño aeronáutico, por ejemplo.

  Pero con independencia de la posible complejidad inherente a la actividad, la auditoría puede convertirse en una tarea ardua, delicada, tediosa, en ocasiones incluso tensa e ingrata, por lo que a veces lo que te piden cuerpo y mente es no andar metiéndote en camisas de once varas, no emplearte a fondo y pasar deprisa y sin profundizar demasiado sobre algunas actividades o procesos concretos. Esta postura, sin duda mucho más cómoda, es la elegida en ocasiones por los auditores quienes, obviamente, no estarán haciendo bien su trabajo. También puede resultar más cómodo para la parte auditada la cual pocas veces se quejará por no ser auditada con todo el rigor y extensión deseables, de la misma manera que nunca nadie se quejará de un precio demasiado bajo, de un sueldo demasiado elevado o de que no se le haya llevado la grúa el coche habiéndolo dejado mal aparcado.

  Es aquí donde entra en juego la profesionalidad del auditor antes mencionada. El auditor tiene que auditar a conciencia y con rigor pese a la dificultad técnica y a lo peliagudo de las situaciones con las que tenga que lidiar. No es admisible mirar para otro lado ni pasar de puntillas por un tema, relajando el nivel de muestreo o eligiendo registros a priori más cómodos o menos problemáticos de auditar (diseños sencillos, contratos de poco importe, proyectos de poca entidad, actividades con poca complejidad técnica, etc.) aunque no hacerlo te pueda complicar y mucho la vida.

• Independiente: el de la independencia es un requisito importante y que también tiene relación con la profesionalidad y honestidad del auditor. Los auditores han de ser independientes y no tener responsabilidades ni intereses sobre la organización o procesos auditados. Es una de las reglas básicas del juego: no se puede ser juez y parte. Una auditoría que incumpla el requisito de independencia incumple las normas de gestión, como no puede ser de otra manera. Sin embargo, también es cierto y está ampliamente demostrado que puede resultar mucho más provechosa y eficaz una auditoría llevada a cabo por un auditor experto, riguroso, honesto y profesional, aunque no sea independiente de la organización o proceso auditados, que una llevada a cabo por un auditor con menor capacidad y experiencia, con una actitud inadecuada o que no dispone del tiempo suficiente, por mucha independencia que pueda demostrar.

  Si el auditor tiene algún tipo de vínculo con el ámbito de la auditoría puede que se pierda la deseable visión externa, pero no necesariamente se tiene que perder el rigor ni la imparcialidad si se trata de una persona honesta, ecuánime y que actúa con total imparcialidad. El problema es que eso sólo lo sabe él. De ahí que resulte imprescindible el requisito de la independencia. Una reflexión: si usted perdiese su cartera con sus datos de contacto y mil euros en su interior, ¿quién preferiría que la encontrase?, ¿una persona de su círculo y con recursos o un desconocido que pasa apuros económicos y no llega a final de mes? Yo preferiría que la encontrase una persona honesta que me la devolviese intacta. Por ello para una auditoría yo prefiero a una persona preparada, con una gran dosis de prurito profesional y con el tiempo suficiente, aunque pudiera no ser tan independiente. Y es que el hábito no hace al monje; profesionalidad y honestidad van con la persona.

• Completo: si asumimos que el equipo auditor cuenta con las aptitudes necesarias y las actitudes adecuadas ya sólo resta que dicho equipo auditor disponga del tiempo necesario para desarrollar su trabajo en toda su extensión. Hay que resaltar que en toda auditoría el tiempo es un factor fundamental para alcanzar los objetivos esperados. De hecho se trata de la tercera dimensión de una auditoría (aptitud, actitud, tiempo). No sólo debe abarcarse todas las actividades incluidas en el alcance previsto para la auditoría si no que además deben auditarse en profundidad. Es algo obvio por lo que huelgan demasiadas explicaciones acerca de la importancia del factor tiempo en una auditoría.

  Es este aspecto uno de los tendones de Aquiles de los esquemas de certificación sobre los que ya escribimos en este mismo blog: los auditores de las entidades de certificación frecuentemente están vendidos ya que se les suele dejar bastante menos tiempo del requerido para poder llevar a cabo una auditoría con las debidas garantías. Este hecho es consecuencia del mercadeo de certificados del que ya hablamos en su día. Además, la falta de tiempo, unida al necesario prurito profesional antes indicado, tiene una componente importante de desgaste personal y profesional lo cual termina por llevar a algunas personas, como es comprensible, a adoptar la actitud cómoda (e inadecuada) mencionada más arriba. Para que la auditoría resulte de utilidad los criterios de muestreo aplicados deben asegurar que la muestra elegida es representativa. Una vez seleccionados los registros a auditar hay que auditarlos concienzudamente. Además, finalmente habrá repasar y analizar las notas tomadas durante el trabajo de campo (páginas y páginas en ocasiones), revisar algunos documentos, realizar algunas comprobaciones finales y registrar los resultados del trabajo de campo en un informe completo. Y para todo esto hace falta tiempo. Bastante tiempo.

• Repetible: por último, un concepto un tanto más teórico es el de la repetibilidad de la auditoría. La idea es que, como consecuencia de todo lo indicado anteriormente (es decir: si se han hecho las cosas como Dios manda), el resultado de una auditoría debería ser prácticamente el mismo y deberían identificarse los mismos problemas y virtudes con independencia de que la pudiese llevar a cabo un equipo auditor u otro diferente. También que una auditoría llevada a cabo con rigor y con el tiempo suficiente debería arrojar los mismos resultados si (aunque carezca de sentido) fuese realizada dos veces consecutivas; los informes de dos auditorías consecutivas o de dos auditorías realizadas por diferentes equipos auditores deberían identificar los mismos problemas y virtudes (± un pequeño delta ligado a la incertidumbre inherente a todo proceso de muestreo). Otra cosa no tendría sentido. Insistir en que la repetibilidad es consecuencia directa de todo lo anterior (compleción, metodología, profesionalidad, rigor, etc.).

Bien: pues, como ya dijimos, si una auditoría es realizada conforme a la aproximación indicada en este artículo su resultado puede reportar muchos beneficios en función de los objetivos perseguidos por la misma. Sirva este artículo como introducción. En próximas entregas haremos un repaso a los diferentes tipos de auditoría y hablaremos sobre la aplicación de técnicas de auditoría a los procesos de compras y contratación y sobre los beneficios que pueden reportar.

En un post publicado hace unos cuantos días reflexionábamos acerca de ciertos peligros de la red. Comentábamos que es fácil encontrar en Internet multitud de opciones de ocio y entretenimiento y grandes ofertas de bienes y servicios, por desgracia no todas reales o seguras. Tenemos acceso a un mundo interminable de grandes ofertas y auténticas oportunidades a golpe de click, algunas tan increíbles que son capaces de “anestesiar” nuestros sistemas de alerta, haciéndonos elevar el umbral de riesgo que estamos dispuestos a asumir y convirtiéndonos, por tanto, en más vulnerables.

Al mismo tiempo, comentábamos que el gran público no entiende, en general, de cuestiones de seguridad e inseguridad ligada a las nuevas tecnologías. Sin duda todos sabemos mucho más acerca de las posibilidades que nos brindan las nuevas tecnologías que de los peligros a los que nos exponemos en su utilización cotidiana. El conocimiento sobre los peligros y amenazas asociados a las nuevas tecnologías siempre irá a por detrás del conocimiento y utilización de las mismas, y no precisamente a rebufo.

Los usuarios somos conscientes de que a la otra parte del teclado y la pantalla existen ciertos “peligros” pero la mayoría no sabemos muy bien en qué consisten. Por otro lado tendemos a pensar que “algo” o “alguien”, sin saber muy bien qué o quién (seguramente algún tipo de administración o algún organismo más o menos oficial) debe ocuparse y preocuparse de protegernos y asistirnos en caso de problemas. Pero la realidad es que no sabemos mucho más.

[Read more…]

No tengo a mano datos concretos sobre denuncias de phishing. Tampoco sobre estimaciones acerca de ataques exitosos que no son denunciados que, a buen seguro, contribuirían significativamente a incrementar el número total de casos. Lo que sí sé es que por los rincones de la red cuelgan y seguirán colgando numerosos anzuelos y que hay y seguirá habiendo personas que los muerdan. Voy a reflexionar, con este y otras entradas que le seguirán, sobre algunos factores que contribuyen a ello.

En primer lugar.

A cualquiera le puede costar entender y distinguir entre un mensaje de warning correcto y un falso positivo. Y cuando digo cualquiera, quiero decir exactamente eso. A menudo, no hay una manera inmediata o sencilla de saber si una alerta de nuestro navegador corresponde a un “ataque” real, una mala configuración, un certificado caducado, un navegador sin actualizar, etc. Lo que ocurre a menudo es que el usuario “de a pie” se encuentra navegando tranquilamente por la red y no sabe qué significa ni, por tanto, qué hacer cuando se le muestra en pantalla una ventana como ésta:

[Read more…]

Algunas profesiones despiertan pocas simpatías: árbitro, auditor, informático de sistemas… Y, en ocasiones, esa poca simpatía puede ser recíproca y lo mejor que se puede hacer cuando a uno le toca ejercer una de estas profesiones es intentar pasar desapercibido. Nunca un árbitro será noticia ni saldrá en la portada de ningún diario por lo bien que lo ha hecho durante el último partido aunque ciertamente su actuación haya sido impecable y hasta sirva como ejemplo y material de entrenamiento y formación para futuros árbitros. Sin embargo, cualquier árbitro aspira cada semana a convertirse en noticia de telediario por el mero hecho de cometer un fallo, un simple error, quizá un único fallo en todo un partido.

Con la profesión de informático de sistemas a veces puede pasar algo parecido; si todo funciona a la perfección nadie se acordará de usted ni del gran trabajo que pueda estar desempeñando. Es más: si la organización es mediana/grande mucha gente no sabrá lo que hace ni cómo se llama (ni cómo se llama usted ni cómo se llama lo que hace), quizá ni que existe. Ahora bien, si cae la red o si el equipo de un usuario empieza a ir demasiado lento o si simplemente no se puede imprimir, por poner algunos ejemplos, ese mismo usuario necesitará echar la culpa a alguien, aunque no lo conozca. A los de informática, así en general. Nos guste o no esto es así o casi.

Y no sólo parece injusto sino que además lo es pero a continuación les voy a contar una anécdota vivida no como informático sino como usuario. Y es que, en realidad, hay gente que se gana la mala fama a pulso y contribuye a que nuestra profesión se afiance entre esas que antes decíamos que despiertan pocas simpatías. Hagamos cuanto esté en nuestra mano para evitarlo. Si cuando todo funciona a la perfección nadie se acuerda de los informáticos se podría decir que hacerlo bien sería equivalente a pasar desapercibido lo cual, dicho sea de paso, nada tiene que ver con escaquearse. Hagamos pues lo posible por que todo funcione y pasar desapercibidos. Y el que quiera aplausos y olés del gran público y sobadas de chepa que se dedique a otra cosa. Aún así, y por bien que lo hagamos, con total seguridad algún día algo fallará y los usuarios se quejarán…

Lo que les cuento a continuación verán que se trata de cualquier cosa menos de pasar desapercibido. Vista con la perspectiva del tiempo transcurrido la anécdota me resulta casi graciosa. Pero en el momento no lo fue en absoluto y les puedo asegurar que contó con el rechazo y la antipatía de un buen número de usuarios entre los cuáles yo mismo me encontraba. Por aquel entonces yo trabajaba en una organización con una sede central en Madrid y con una serie de delegaciones repartidas por toda España. Y no ejercía de informático.
En cierta ocasión el departamento de sistemas se reservó el derecho de tomar el control de los PCs en remoto de manera unilateral sin estar justificado y sin previo aviso. Entenderán que no despertasen grandes simpatías entre los demás compañeros.

Aunque no deja de ser una injerencia, a algunos afortunados le resultó transparente la operación porque dio la casualidad de que se encontraban ausentes de sus puestos en el momento en que intervenían sus PCs. Pero el resto de los compañeros de entrada se llevaron un buen susto, para después mostrar abiertamente su fastidio por ver su trabajo interrumpido, al comprobar sorprendidos cómo el ratón cobraba vida propia en la pantalla y empezaba a moverse arriba y abajo abriendo ventanas, seleccionando opciones y aplicando cambios y cómo aparecían y se ejecutaban comandos en el prompt del sistema, comandos tecleados por alguien que se encontraba sentado a centenares de kilómetros de allí, alguien que no había tenido la decencia de enviar un e-mail unos días antes explicando a los compañeros, que en los próximos días desde Sistemas iban a proceder a conectarse en remoto con nuestros equipos para instalar o configurar tal o cual servicio o aplicación o tal medida de seguridad. Ni tan siquiera de hacer simple llamada telefónica informando a los afectados acerca del comienzo del show.

En mi delegación yo tuve el dudoso honor de que mi equipo fuese el primero. Cuando el ratón comenzó a desplazarse a lo largo y ancho de mi pantalla yo, que contaba con la ventaja sobre algunos de mis compañeros de despacho (químicos, ingenieros, economistas, farmacéuticos…) de ser informático de sistemas, en seguida supe el origen del problema (o mejor dicho creí saberlo, porque cuando empezó la función no podía estar 100% seguro). Así con toda la intención pero también un poco “por si acaso” inmediatamente desconecté mi portátil por las bravas de la red y del suministro eléctrico y desalojé la batería de su emplazamiento. Quince segundos más tarde sonaba el teléfono de mi mesa y un tío de sistemas (¡y encima cabreado!, ¿cabe mayor prepotencia?) me pedía explicaciones sobre lo ocurrido. Yo le dije, no sin un puntito de cinismo y dos de mala leche, que me había asustado y que había pensado que se trataba de uno de esos virus cabrones que se había hecho con el control de mi equipo, pero mira por dónde, afortunadamente, has resultado ser tú. Y a la próxima por favor avisa, camarada, a mí y al resto de mis compañeros, porque además de ahorrarnos sustos innecesarios algunos podemos encontrarnos intentando terminar un informe complicado, preparando una reunión inminente, redactando un e-mail urgente o haciendo algún tipo de transacción o consulta importante, quizá con un cliente al teléfono.

Y es que muy poquitos motivos justificarían el que tú decidas irrumpir en nuestros equipos como un elefante en una tienda de Lladró, por más que te lo permitan la tecnología y tus permisos de superusuario superprivilegiado. Yo voto para que te los revoquen. A ti y a quién te los otorgó. Así que aunque la norma ISO 27002 no diga nada al respecto guardemos las formas, por favor, que ya tenemos bastante con lo que tenemos, ¿no? :)

En el post del otro día fuimos críticos con los esquemas de certificación y nombramos de pasada algunos de sus posibles problemas. Continuamos.

El rigor y la credibilidad de lo que se afirma en un certificado está reñido con varios factores. Entre ellos, tanto con la duración de las auditorías como con la preparación de los auditores y, por tanto, con su coste. También con el rigor a la hora de interpretar y exigir los requisitos contenidos en las normas, por tanto con el número de empresas tanto certificadas como potencialmente certificables y, consecuentemente, con los niveles de ingresos de las entidades de certificación. Podríamos pues decir que la credibilidad de un certificado es o debería ser directamente proporcional al coste de la auditoría. También que la credibilidad de los esquemas de certificación debe tener algún tipo de relación inversamente proporcional al número total de empresas certificables. Si prácticamente cualquier empresa que solicita una certificación la consigue sin mayores problemas esta dimensión de la credibilidad tiende a cero. Es cierto que algunos certificados son denegados o retirados con el tiempo pero suelen ser opciones reservadas para casos flagrantes. Y siempre se puede encontrar alguna entidad dispuesta a certificar casi cualquier cosa. Y es que en el mercado se ofrecen certificaciones a medida, a la baja (en lo técnico y en lo económico) y a la carta y las empresas que consideran la certificación como un fin en sí mismo recurren a ellas. Y la consiguen.

En un mundo en el que nadie regala nada me constan certificaciones de ISO 27001 emitidas por entidades acreditadas que han costado ¡poco más de 1.000€! Es difícil de creer y me refiero al certificado resultante. Si una certificación tan técnica e intrínsecamente tan compleja como ésta puede llegar a rebajarse hasta estos niveles excuso decirles coste y rigor de una certificación de, por ejemplo, una PYME sencilla en base a una norma sencilla.

En resumen: hay certificados que resultan poco creíbles. Lo malo es que no hay forma de distinguir los certificados “buenos” de los otros y, al final, todas las certificaciones emitidas son igual de válidas. Así de injusto.

Hace años se nos vendió otra cosa muy distinta acerca de las certificaciones pero la realidad es esta. Y la verdad es que es una lástima. En más de una ocasión he tenido que escuchar que una certificación sirve para poco o para nada. Lo malo es a quién lo he oído decir: a directores y responsables de empresas con sistemas de gestión como Dios manda, porque su certificado vale lo mismo que uno falso. El colmo lo escuché decir al gerente de una empresa dudosamente certificable pero certificada que me dijo, átense los machos, “me lo habéis dado hasta a mí”.

Y ya que nadie se va a tirar piedras sobre su propio tejado cabría aquí una reflexión acerca del papel desempeñado y del nivel de exigencia de ENAC, que es la entidad encargada de definir y exigir los mínimos, responsable de velar por el rigor de los esquemas de certificación y por la correcta actuación de las entidades certificadoras y, por tanto, responsable última de la veracidad de todo lo que se afirma sobre un certificado. El papel desempeñado por ENAC es fundamental. En realidad es la base de todo, pero visto lo visto podríamos decir que hay de un margen de mejora amplio.

Al final parece obvio que la certificación no ha logrado resultar lo que se pretendía cuando empezábamos a trabajar en estos temas, allá por el año 94 ó 95. Consecuentemente, muchas empresas medianas y grandes continúan haciendo auditorías a sus proveedores, que era otro de los beneficios supuestamente reportados por las auditorías de tercera parte: proporcionar confianza y ahorrar a los unos y a los otros los costes y molestias de las auditorías de segunda parte. Pero no.

Si una organización necesita o no una certificación es algo que sabrá o debería saber su dirección. Pero si una organización necesita o no de un buen sistema de gestión no es cuestionable, es una obviedad: seguro que sí.

Afortunadamente llevo muchos años dedicándome a los sistemas de gestión, moviéndome entre normas y documentos de sistemas de multitud de empresas (centenares) y desde todas las ópticas posibles (consultor, director, auditor y otra vez consultor) y les puedo asegurar, tanto por vocación como por experiencia, que soy un auténtico convencido y acérrimo defensor de las bondades que conlleva la implantación de un sistema de gestión bien diseñado, hecho a medida para la empresa, un traje cómodo para la gestión del día a día pero también para no improvisar cuando surja un imprevisto. También soy un firme defensor, en general, de las normas en los que se basan; aunque también les puedo decir que no todas las normas con las que he tenido ocasión de auditar son correctas o están bien escritas, objetivamente hablando.

He sido testigo de la progresión a veces espectacular experimentada por algunas empresas durante los años siguientes a la implantación de su sistema de gestión en base a una norma. También en mi primera etapa como consultor fui testigo de empresas excelentes con sistemas de gestión excelentes que nunca se llegaron a certificar ya que el empresario no vio la necesidad. He visto sistemas de gestión reales, con los que de verdad se gestiona, dejando poco lugar a la improvisación, que tan malas consecuencias suele conllevar. Pero las cosas son como son y también he visto, posiblemente con demasiada frecuencia, sistemas de gestión paralelos, montados casi con la única finalidad de pasar auditorías. Lo malo es que las pasan.

Por ello a usted, como cliente, le diría que elija pero por favor elija bien; compruebe si un potencial proveedor dispone o no de una certificación pero primero: no cometa el error de quedarse sólo en eso y segundo: no descarte a una empresa por no disponer de una certificación si consigue buenas referencias, demostrables, o si posee una buena experiencia pasada. Fíjese también en el alcance del certificado; podría darse el caso de que usted esté contratando servicios no amparados por aquel, se trate o no de un certificado “auténtico”.

Se necesita mucho tiempo y esfuerzo para labrarse una buena reputación que, no obstante, suele resultar bastante frágil. El boca a boca es la mejor publicidad para lo bueno pero también para lo malo (especialmente para lo malo) por lo que si se granjea una mala fama es posible que ya no pueda levantarla ni con grúa. Por ello, a usted, como proveedor, con o sin certificado, le diría que procure dar un buen servicio y no fallar, que no caiga en la tentación de comprometerse a más de lo que puede (ni a nivel técnico ni de capacidad productiva) y que intente cumplir perfectamente tanto plazos como niveles de servicio acordados.

Algo muy positivo para su empresa y que sí le puede aportar una auditoría de tercera parte (en función de la fortuna que tenga usted con el auditor que le toque en suerte y del tiempo que le dejen al mismo para hacer su trabajo) es que puede obtener una valiosa visión externa de su organización, no sólo independiente si no también fresca y diferente. Con los auditores pasa lo mismo que con médicos, profesores y pasteleros: los hay buenos, malos y regulares. Un buen equipo auditor, preparado, con tiempo y con ganas, es capaz de hacerle en unos pocos días una radiografía de su empresa que puede aportarle mucho valor. Puede que le pongan ante los ojos algún problema que el día a día le hizo pasar por alto y hasta puede que reciba alguna sugerencia de mejora importante que le ayude a mejorar la calidad y/o la productividad y/o la seguridad de los procesos de su organización, y quizá algún coste asociado.

Una auditoría, ya sea de primera, de segunda o de tercera parte, es una herramienta de gestión potentísima que permite la observación objetiva y minuciosa de multitud de actividades que se desarrollan dentro de la empresa permitiendo fijar y extender las mejores y descartar las que no aportan valor y servir, de verdad, como una base sólida y contrastada para la mejora.

Terminaré diciéndole, por si no lo sabía, que usted puede elegir no sólo la entidad de certificación si no también el auditor que le envían, o al menos recusar al que le asignen inicialmente, por lo que si lo que espera de la auditoría es sacarle su jugo, un jugo por el que paga, y no sólo pasarla a toda costa tendrá la opción de elegir a un auditor de los buenos. En el otro extremo, podría tocarle otro tipo de auditor, ése que no pasa de la superficie y se pasea por las empresas sin cuestionarse nada o casi nada (que haberlos haylos, desde el inicio de los tiempos y, una vez más, sin que nadie haga nada). Así se asegura de conseguir el ansiado certificado, si ése es su objetivo.

Un último consejo si decide certificar su SGSI: mucho ojo con la publicidad que hace del certificado. El objetivo de la publicidad es, obviamente, llamar la atención, algo muy positivo en temas de calidad, responsabilidad social, gestión ambiental, etc. Pero puede que resulte menos positivo o conveniente llamar demasiado la atención en temas relacionados con la seguridad por motivos obvios. Quizá lo mejor con este tipo de certificaciones sea pasar discretamente. Especialmente si usted ha elegido la opción B y no cuenta con el respaldo de un buen SGSI que le pueda garantizar un elevado nivel de seguridad y la continuidad de su negocio.

Soy español y tengo por costumbre pasarme por El Corte Inglés cada cinco de enero a eso de las 20:00 horas. También de llevar mi coche a revisión la última semana de julio.

Hace dos veranos, como cada año, llevé mi coche al taller. Cuando salía de dejarlo caí en la cuenta de que había olvidado indicar a la persona que me atendió que una de las luces de posición no funcionaba. Da igual, pensé. Seguro que se dan cuenta.

Cuando fui a recogerlo a última hora de la tarde, una chica ataviada con una bata tan blanca que en un taller resultaba chocante, casi elegante (parecía más un científico de laboratorio farmacéutico que la recepcionista de un taller de vehículos) me entregó, grapada junto con la factura, una hoja de control de calidad de las intervenciones, “50 controles de calidad”, sobre la que alguien había marcado otras tantas crucecitas y había estampado su firma.

De entrada he de confesar que la blancura inmaculada de la hoja me resultó algo sospechosa para tratarse de un taller de vehículos. No obstante comprobé aliviado que una de las crucecitas de la hoja se correspondía, precisamente, con la revisión del correcto funcionamiento de las luces de posición y que estaba marcada, como todas las demás, en la columna del “OK”. Estupendo, pensé. La recepcionista me explicó el desglose de la factura y todas las intervenciones realizadas a mi vehículo con cierto nivel de detalle y una sonrisa en los labios. A continuación me cobró y me despidió amablemente. La verdad es que me trató de manera impecable.

[Read more…]