3.

1 AUDITORÍA POR PROCESOS

El mejor modo en que el auditor puede ayudar a la organización para entender el enfoque a
procesos, es realizar la auditoría por procesos.

- Planificación de la auditoría por procesos. Esta fase adquiere una relevancia clave. Debe
tomar como referencia principal, los procesos de la organización que son necesarios para la
actividad objeto del alcance de la certificación. Para ello, debe obtenerse la información
suficiente sobre el detalle de dichos procesos, en las etapas previas a la planificación:

Auditoría inicial: Auditorías de seguimiento y renovación:

 Solicitud de la oferta  Información de la última auditoría
 Revisión técnica de la oferta  Cambios comunicados por la organización
 Elaboración del programa de auditoría  Revisión del programa de auditoría
 Contactos con el cliente para la  Contactos con el cliente para la planificación
planificación

En consecuencia, la matriz del plan de auditoría reflejará los procesos que realmente ha

Página 2 de 61
 definido la organización en su sistema de gestión de la calidad.

Con carácter general, el plan de auditoría establecerá una secuencia de actividades acorde al
ciclo PDCA:

1º. Procesos propios de la planificación estratégica

2º. Procesos operacionales

3º. Procesos de soporte

4º. Procesos de seguimiento, medición y mejora

- Realización de la auditoría por procesos. Las actividades de investigación se abordarán

proceso a proceso, adecuando este enfoque a las particularidades organizativas
(interlocutores, áreas y departamentos, procedimientos, etc…). Los criterios indicados para el
apartado 4.4 Sistema de gestión de la calidad y sus procesos, se explican las líneas de
investigación que hemos de seguir en cada uno de los procesos auditados.

3.2 AUDITORÍA DE LOS RIESGOS Y OPORTUNIDADES

El concepto de pensamiento basado en el riesgo que incorpora ISO 9001 en su versión 2015,
pretende establecer un enfoque preventivo, inherente al sistema de gestión y por tanto, a todos
sus procesos. La implementación de cualquier elemento del sistema de gestión de la calidad,
debe incluir este pensamiento basado en el riesgo.

Con tal premisa, el auditor debe también orientar la auditoría sobre el carácter preventivo que la
organización muestra en su manera de gestionar.

La aplicación de esa perspectiva global sobre los riesgos y oportunidades por parte de la
organización, ha de evidenciarse en dos ámbitos:

a) Riesgos y oportunidades derivados del contexto. Al analizar las cuestiones externas

e internas y las partes interesadas que afectan al SGC, la organización debe
determinar qué riesgos y oportunidades se derivan de esa información y cómo pueden
afectar, negativa o positivamente, al sistema (ver detalle en el apartado 6.1 de este
documento).

b) Riesgos y oportunidades específicos de cada proceso. Al planificar cualquier proceso

del SGC y establecer cuáles son los resultados que debe obtener, la organización debe
determinar los riesgos y oportunidades que pueden tener un impacto, negativo o
positivo, en el logro de esos resultados (ver detalle en el apartado 4.4 de este
documento).

En todos los casos, debe poder trazarse cuáles son las acciones y decisiones que se incluyen en el
sistema de gestión para abordar dichos riesgos y oportunidades. La organización tiene toda la
libertad para posicionarse respecto a cada uno de los riesgos identificados, como crea oportuno:

 evitar el riesgo;
 aceptarlo para aprovechar una oportunidad;
 eliminar la fuente del riesgo;
 alterar la probabilidad de ocurrencia;
 minimizar las consecuencias;
 compartir el riesgo con otras partes;

Página 3 de 61
  asumir el riesgo.

3.3 INFORMACIÓN DOCUMENTADA NECESARIA

La norma permite a la organización un alto grado de flexibilidad, en cuanto a la información

documentada que debe mantener y conservar en su sistema de gestión de la calidad. El auditor
debe valorar en el transcurso de toda la auditoría, si la información documentada es eficaz.

En cuanto al tipo de soporte, es perfectamente válido el uso de material impreso, audiovisual

(fotografía, video, cintas y discos,…) informático o electrónico (archivos de texto, bases de datos,
imágenes, programas, sistemas,…), figuras (maquetas, juegos,…), etc…

Las referencias que se recogen en el texto de la norma sobre la información documentada, son
de dos tipos:

Aquellos requisitos o conjuntos de requisitos para los que se requiere que la organización
mantenga información documentada. Se trata de la información documentada necesaria para
establecer cómo llevar a cabo la actividad correspondiente (documentos).

Aquellos requisitos o conjuntos de requisitos para los que se requiere que la organización
conserve información documentada. Se trata de la información documentada necesaria para
evidenciar cómo se ha llevado a cabo la actividad correspondiente (registros).

El carácter prescriptivo de la norma recae más en la necesidad de conservar evidencias como

información documentada, que en la de establecer documentos previamente a la realización de
los procesos. Pero siempre es la organización la que debe decidir, en cualquiera de las dos
categorías, cuáles son sus necesidades adicionales a las requeridas por la norma.

3.4 TIPOS DE EVIDENCIAS

De manera complementaria a la información documentada, la norma utiliza con frecuencia el

término “determinar”.

 Determinación: actividad para averiguar una o más características y sus valores

característicos.
(UNE EN ISO 9000 SGC. Fundamentos y vocabulario)

 Determinar:
tr. Fijar los términos de algo.
tr. Distinguir, discernir.
tr. Señalar, fijar algo para algún efecto.
tr. Tomar resolución. U.t.c. prnl.
tr. Hacer tomar una resolución.
(Real Academia Española)

Cuando un requisito de la norma indica “la organización debe determinar…” y no se acompaña

expresamente de la necesidad de mantener o conservar información documentada, no
necesariamente debe generar un documento o registro.

Ahora bien, estamos igualmente ante requisitos que deben cumplirse para demostrar
conformidad con la Norma UNE EN ISO 9001:2015, y por tanto debe haber evidencias que
respalden ese cumplimiento. Tales evidencias deben ser:

 Suficientes, para demostrar el resultado requerido.

 Objetivas, no sujetas a posibles interpretaciones o juicios.

Página 4 de 61
  Relevantes, es decir, lo suficientemente significativas respecto al hecho que se pretende
demostrar.

La evidencia del cumplimiento puede apoyarse en: métodos y prácticas llevadas a cabo de forma
consistente en la organización, datos, información conocida y expresada por las personas de la
organización, conclusiones verificables a través del análisis, etc…

Otras definiciones en la Norma UNE EN ISO 9000, nos pueden ser útiles:

 Datos: Hechos sobre un objeto

 Información: Datos que poseen significado
 Evidencia objetiva: Datos que respaldan la existencia o veracidad de algo.

Nota 1: La evidencia objetiva puede obtenerse por medio de la observación, medición,

ensayo u otros medios.
Nota 2: La evidencia objetiva con fines de auditoría generalmente se compone de
registros, declaraciones de hechos u otra información que son pertinentes para los
criterios de auditoría y verificables.
(UNE EN ISO 9000 SGC. Fundamentos y vocabulario)

1 CRITERIOS DE AUDITORÍA (POR APARTADO DE LA NORMA)

0 Introducción
0.1 Generalidades

Aunque los apartados introductorios de la norma no establecen requisitos para la organización, su

contenido puede ayudarnos a destacar cuáles deben ser los principios básicos que rijan un SGC, y
que debemos tener en cuenta en las auditorías:

- El objeto de un SGC continua siendo el de ayudar a la organización a proporcionar productos y

servicios conformes, y a aumentar la satisfacción del cliente.

- El SGC debe ser una herramienta estratégica, que ayude a la organización, a detectar riesgos
y oportunidades en el marco de su contexto.

- La flexibilidad en la estructura y documentación del SGC debe ser una premisa respetada por
el auditor.

- El enfoque a procesos debe ser el marco de funcionamiento del SGC. Su implantación es

necesaria para garantizar la conformidad con la norma.

- Entenderemos el pensamiento basado en el riesgo como una orientación global que debe
estar patente en todo el SGC. Si la organización comprende y aplica este modo de gestionar,
será capaz de determinar de forma continuada y sistemática, los factores que pueden
dificultar la consecución de los resultados pretendidos (riesgos) o aprovechar aquellas
condiciones que le ayuden a obtenerlos (oportunidades). El ejercicio de esta reflexión le
permitirá planificar acciones que fortalezcan la eficacia del SGC.

- El ciclo PDCA sigue ofreciéndonos una secuencia lógica de gestión de la mejora, que debemos
constatar en los distintos ámbitos del SGC en cada proceso.

0.2 Principios de la gestión de la calidad

Página 5 de 61
Conviene tener presente, tanto por parte de la organización auditada como por parte del auditor,
cuáles son los principios de la gestión de la calidad. Podemos encontrar su descripción en la
Norma UNE/EN ISO 9000:2015 Sistemas de gestión de la Calidad. Fundamentos y vocabularios.
La declaración y base racional de cada principio, son los siguientes:

1. Enfoque al cliente: el foco principal de la gestión de la calidad es cumplir los requisitos del
cliente y tratar de exceder las expectativas del cliente. El éxito sostenido se alcanza cuando
una organización atrae y conserva la confianza de los clientes y de otras partes interesadas.
Cada aspecto de la interacción del cliente proporciona una oportunidad de crear más valor
para el cliente. Entender las necesidades actuales y futuras de los clientes y de otras partes
interesadas contribuye al éxito sostenido de la organización.

2. Liderazgo: los líderes en todos los niveles establecen la unidad de propósito y la dirección y
crean condiciones en las que las personas se implican en el logro de los objetivos de la calidad
de la organización. La creación de la unidad de propósito y la dirección y gestión de las
personas permiten a una organización alinear sus estrategias, políticas, procesos y recursos
para lograr sus objetivos.

3. Compromiso de las personas: Las personas competentes, facultadas e implicadas en todos

los niveles de la organización son esenciales para aumentar la capacidad de la organización
de crear y entregar valor. Para gestionar una organización de manera eficaz y eficiente, es
importante respectar e implicar activamente a todas las personas en todos los niveles. El
reconocimiento, el otorgamiento de autoridad (empoderamiento) y la mejora de la
competencia facilitan la implicación de las personas en el logro de los objetivos de la calidad
de la organización.

4. Enfoque basado en procesos: Se alcanzan resultados coherentes y previsibles de manera

más eficaz y eficiente cuando las actividades se entienden y gestionan como procesos
interrelacionados que funcionan como un sistema coherente. El SGC se compone de procesos
interrelacionados. Entender cómo este sistema produce los resultados permite a una
organización optimizar el sistema y su desempeño.

5. Mejora: Las organizaciones exitosas tienen un foco continuo en la mejora. La mejora es

esencial para que una organización mantenga los niveles actuales de desempeño, para que
reaccione a los cambios en sus condiciones internas y externas y para que cree nuevas
oportunidades.

6. Toma de decisiones basada en la evidencia: Las decisiones basadas en el análisis y la

evaluación de datos e información tienen mayor probabilidad de producir los resultados
deseados. La toma de decisiones puede ser un proceso complejo, y siempre implica cierta
incertidumbre. Con frecuencia implica múltiples tipos y fuentes de elementos de entrada, así
como su interpretación, que puede ser subjetiva. Es importante entender las relaciones de
causa y efecto y las consecuencias no previstas potenciales. El análisis de los hechos, de la
evidencia y de los datos conduce a una mayor objetividad y confianza en la toma de
decisiones.

7. Gestión de las relaciones: Para el éxito sostenido, las organizaciones gestionan sus
relaciones con las partes interesadas, tales como los proveedores. Las partes interesadas
pertinentes influyen en el desempeño de una organización. Es más probable lograr el éxito
sostenido cuando una organización gestiona las relaciones con sus partes interesadas para
optimizar el impacto en su desempeño. La gestión de las relaciones con proveedores y socios
es de particular importancia.

Página 6 de 61
0.3 Enfoque a procesos

El enfoque a procesos se considera como el pilar fundamental para el desempeño de un sistema

de gestión de la calidad; el principio básico para que cualquier tipo de organización obtenga los
resultados pretendidos, de forma coherente con su estrategia.

La aplicación eficaz del enfoque requiere incorporar el ciclo PDCA en los distintos tipos de
procesos: estratégicos, de apoyo y operacionales:

(Plan) Planificar: definir cuál debe ser el resultado ofrecido por el proceso, y establecer las
actividades, recursos y responsabilidades necesarios para lograrlo.

(Do) Hacer: llevar a cabo las actividades planificadas en los términos previstos.

(Check) Verificar: tras la ejecución del proceso, realizar el seguimiento y medición sobre los
resultados alcanzados y valorar su adecuación sobre los objetivos planificados.

(Act) Actuar: tomar acciones para corregir las posibles desviaciones encontradas, o bien para
mejorar los resultados previstos inicialmente.

0.4 Relación con otras normas de sistemas de gestión

Es habitual que realicemos la auditoría en una misma organización respecto a diferentes sistemas
de gestión. Estos sistemas comparten requisitos comunes, recursos y responsabilidades para su
implementación y funcionamiento, por lo que es siempre deseable perseguir una auditoría
integrada. El procedimiento PE-DTC-002 recoge en su anexo H, los criterios para la realización de
auditorías integradas.

La Estructura de Alto Nivel adoptada por ISO 9001:2015 facilita esta labor al proporcionar para
todas las normas de sistemas de gestión:
- un índice común de capítulos y cláusulas;
- los textos comunes para la descripción de requisitos genéricos;
- las definiciones de los términos que son utilizados por diferentes SG.

1 Objeto y campo de aplicación

La versión de la Norma UNE EN ISO 9001:2015 ha potenciado la aplicabilidad de sus requisitos a

cualquier tipo de organización. En este apartado se incluye expresamente la provisión de los
servicios al cliente, en el mismo plano que el suministro de producto: “…capacidad para
proporcionar regularmente un producto o servicio que satisfaga los requisitos del cliente…”.

Tal propósito queda patente en toda la extensión de la norma, con un planteamiento y redacción
de cada apartado, que facilita su aplicación por todo tipo de organizaciones.

La norma indica que “todos los requisitos de esta Norma Internacional son genéricos y se
pretende que sean aplicables a todas las organizaciones…” sin hacer mención alguna a posibles
exclusiones. Cualquier imposibilidad en la aplicación de alguno de ellos, vendrá dado por las
particularidades específicas de un sistema de gestión (por su alcance), y no por el campo de
aplicación general de la norma. Por ello, los criterios para contemplar estas condiciones especiales
en las que podría no ser viable la aplicación de un requisito, se recogen en la cláusula 4.3
Determinación del alcance del sistema de gestión de la calidad.

Página 7 de 61
2 Referencias normativas

La única norma cuya consulta se considera como necesaria para poder aplicar ISO 9001:2015,
es:
ISO 9000:2015 Sistemas de gestión de la Calidad. Fundamentos y vocabulario.

3 Términos y definiciones

Los términos y definiciones que son necesarios para la aplicación de este documento, están
incluidos en ISO 9000:2015 Sistemas de gestión de la Calidad. Fundamentos y vocabulario.

4 Contexto de la organización

4.1 Comprensión de la organización y de su contexto

4.2 Comprensión de las necesidades y expectativas de las partes

interesadas Propósito de los requisitos

La organización debe determinar la información sobre el contexto, para utilizarla en la

planificación del sistema de gestión de la calidad (capítulo 6). Cuanto mejor sea la información y
el seguimiento de la organización sobre esta información, mejor se adecuará su sistema de
gestión, a la realidad en la que opera.
Un buen análisis del contexto debería ofrecer información sobre algunos de los riesgos y
oportunidades (apartado 6.1) que deben ser considerados en el SGC.

Los conceptos clave son:

- Cuestiones externas e internas: factores y circunstancias, que pueden afectar a la eficacia del
sistema de gestión. Algunas de estas cuestiones pueden ofrecer oportunidades para el
establecimiento de objetivos, ayudar a la toma de decisiones relativas a la inversión y
asignación de recursos, condicionar el modo en que se lleven a cabo los procesos, etc…

- Partes interesadas: personas, colectivos u organizaciones que pueden afectar a la actividad de

la organización, o bien pueden resultar (o sentirse) afectadas por dicha actividad. El cliente es
la principal parte interesada de un sistema de gestión de la calidad, pero la norma requiere un
enfoque más amplio.

Las necesidades y expectativas de las partes interesadas podrían convertirse en requisitos del
sistema de gestión de la calidad, bien porque la organización los considere convenientes para su
desempeño, o bien porque sean necesarios para suministrar productos o servicios conformes
(requisitos legales, de asociaciones sectoriales, corporativos, etc…).

Para facilitar la comprensión del capítulo 4 y el modo en que debemos auditarlo, sugerimos
continuar a su término, con la lectura del apartado 6.1 Acciones para abordar riesgos y
oportunidades

Página 8 de 61
Investigación del auditor Ejemplos y evidencias

Preg: ¿qué hace la organización para conocer el El interlocutor explicará y mostrará qué medios,
contexto? herramientas, procesos o sistemáticas se
utilizan para determinar la información del contexto.
El contexto de la organización debe estar No existen requisitos metodológicos en la Norma,
relacionado con la planificación estratégica: pero son prácticas habituales:
objetivos, asignación de recursos, políticas,
 análisis DAFO;
decisiones de inversión, oportunidades de
negocio, etc…). Por tanto, lo más apropiado es  análisis de la competencia;
revisar esta información en la fase inicial de la
auditoría y con la alta dirección.  estudios de mercado y de opinión;
 medios de comunicación y publicaciones;
Después se debe comprobar que la información
obtenida, ha sido utilizada en la planificación del  asistencia a ferias y convenciones;
resto de los procesos, cuando es pertinente.  reuniones entre los principales conocedores del
contexto en la organización,
 etc…

Aunque no se requiere información documentada

sobre el método seguido para comprender el
contexto, debe existir evidencia de la información
resultante.

Investigación del auditor Ejemplos y evidencias

Preg: ¿cuáles son las cuestiones externas e internas Se podrá haber identificado la influencia de algunos
que se han determinado y cómo afectan al SGC? cuestiones externas como:

Es la propia organización la que debe determinar

 situación económica (evolución de precios del
cuáles son las cuestiones internas, externas y partes
producto y materias primas, mercado exterior,
interesadas pertinentes para su sistema de gestión
índices de consumo, disponibilidad de crédito,…)
de la calidad.
 aspectos sociológicos (hábitos de consumo,
Debemos entender como pertinentes, aquellas cambios en las expectativas, modas y tendencias,
cuestiones externas o internas que tienen una clara uso de redes sociales,…)
relación con el producto, servicio o la satisfacción
del cliente.  competidores (cuotas de mercado, fusiones,
producto y precios de la competencia, percepción
Una cuestión externa o interna debe considerarse de mi cliente sobre el competidor,…)
como pertinente si el hecho de no considerarla en el  evolución tecnológica (herramientas de gestión,
SGC, genera algún riesgo significativo para el éxito innovación en equipos, patentes,…)
de la organización.
 marco político, legal y reglamentario (estabilidad
Debe tenerse siempre presente en la auditoría, política, inversiones públicas, cambios en los
cierto grado de libertad y flexibilidad de la requisitos legales, subvenciones,…)
organización sobre la información considerada como
pertinente. Como cuestiones internas, por ejemplo:

 resultados conseguidos (beneficios, facturación,

deuda, inversiones,…)
 estructura de la organización (niveles jerárquicos,
barreras departamentales,…)
 cultura y métodos de trabajo (trabajo en equipo,

Página 9 de 61
 enfoque a procesos, gestión por proyectos,…)
 clima laboral (motivación, absentismo,
expectativas de desarrollo profesional, salarios,...)
 desempeño tecnológico (estado de los equipos,
adecuación de los sistemas de información,
seguridad de la información,…)

Puede comprobarse que se ha considerado esta

información en el SGC, de muchos modos:
 En el establecimiento de objetivos de calidad,
 En la determinación de riesgos y oportunidades, y
la planificación de acciones para abordarlos,
 En decisiones de inversión tecnológica,
 Con cambios en la organización,
 Con prácticas de benchmarking,
 Implantando herramientas para identificar
requisitos legales,…

Página 10 de 61
Investigación del auditor Ejemplos y evidencias

Preg: ¿cuáles son las partes interesadas Encontraremos como partes interesadas
relacionadas con el SGC y cómo le afectan? pertinentes para la organización (además del
cliente):
Una parte interesada debe considerarse como
pertinente si el hecho de no satisfacer sus
 Proveedores;
necesidades o expectativas, genera algún riesgo
significativo para el éxito de la organización.  Administraciones Públicas y reguladores;

No es suficiente con pedir una relación de partes  Asociaciones empresariales o sectoriales;

interesadas: debe comprobarse que se han  Socios, accionistas, o grupo corporativo;
determinado sus expectativas y necesidades.
 Aliados tecnológicos;
Valoraremos cómo estas partes interesadas pueden  Patrocinadores;
estar afectando al SGC; debe tenerse siempre
presente en la auditoría, cierto grado de libertad y  Personal de la organización…
flexibilidad de la organización sobre la información
considerada como pertinente.
Para cada una de ellas debería indicarse, cuáles son
Sin embargo, en algunos casos existen requisitos sus expectativas y los requisitos que se han
ineludibles de determinadas partes interesadas: por considerado como pertinentes.
ejemplo, los requisitos legales relativos al producto
o servicio.

Investigación del auditor Ejemplos y evidencias

Preg: ¿cómo se realiza el seguimiento y revisión de Las evidencias sobre el seguimiento del contexto,
esta información? serán los sucesivos planes de gestión, la información
recogida en la revisión por la dirección, revisión de
La revisión de esta información debe ser adecuada a DAFO, nuevos informes, etc…
las características del contexto y la periodicidad con
la que se planifica la estrategia de la organización.

Tipos de hallazgos

 No hay evidencias objetivas de que se hayan determinado las cuestiones externas o internas
pertinentes
 No hay evidencias objetivas de que se hayan determinado las partes interesadas pertinentes
 No hay evidencias objetivas de que se hayan determinado los requisitos pertinentes de las
partes interesadas
 La indicación de una NC basada en que la organización no haya determinado en su SGC
alguna cuestión externa, interna, parte interesada o requisito de parte interesada, solo se
recogerá, cuando de manera objetiva el auditor tiene evidencias de su pertinencia. En ese
caso, dichas evidencias quedarán descritas en la redacción de la NC.
Ejemplo1: la organización es miembro de una asociación sectorial que establece un plazo de
respuesta a las reclamaciones de clientes, y la asociación no está determinada como parte
interesada, o el requisito no está contemplado en el SGC:
NC: “No puede evidenciarse que se haya determinado como parte interesada pertinente al
SGC, la Asociación de Fabricantes de AAAAA, de la que la organización forma parte”.

Página 11 de 61
 NC: “No puede evidenciarse que se haya determinado como requisito pertinente al SGC, el
plazo de respuesta a las reclamaciones de clientes aplicable por la pertenencia a la
Asociación de Fabricantes de AAAA”.
Ejemplo 2: No se consideran las necesidades y expectativas de determinados “tipos de
clientes” (por ejemplo, usuario final cuando no es éste el que compra directamente a la
organización).
NC: “No puede evidenciarse que se haya determinado las expectativas y necesidades del
usuario final, como cliente de la organización.
Si no son muy claros los fundamentos sobre la pertinencia de una cuestión del contexto o
parte interesada, el hallazgo se identificará como observación u oportunidad de mejora, con
una redacción adecuada a tal categorización.
 No hay evidencias del seguimiento y revisión de la información (cuestiones externas o
internas, partes interesadas y requisitos pertinentes).
 La periodicidad del seguimiento o revisión de la información del contexto, no es adecuada al
grado en que ésta evoluciona. En este tipo de casos y de manera general, el hallazgo se
categorizará como observación u oportunidad de mejora.

4.3 Determinación del alcance del sistema de gestión de la

calidad Propósito de los requisitos

Es necesario determinar claramente, las actividades incluidas en el SGC y los centros en los que
se realizan.

Como premisa general, todos los requisitos de la norma están definidos para que puedan ser
aplicables por cualquier tipo de organización, independientemente de su actividad y de sus
características.

Investigación del auditor Ejemplos y evidencias

Preg: ¿dónde queda determinado el alcance del Debe existir información documentada en la que se
SGC? indique la actividad incluida en el alcance. Por
ejemplo:
No resulta procedente excluir procesos o etapas de
la realización del producto o servicio, por ejemplo:
 Manual de calidad,
el diseño, la comercialización, el servicio posventa…
 Política de la calidad,
Preg: ¿se ha excluido la aplicación de algún
requisito de la norma?; ¿cuáles son las razones  Misión y visión de la organización…
para ello?
La información documentada debe incluir las
Determinadas particularidades del SGC, como un exclusiones de requisitos de la norma que no sea
alcance muy reducido, la simplicidad de la actividad, posible aplicar, y su justificación. Es decir, las
o una estructura organizativa muy básica, podrían razones por las que no pueden aplicarse.
ser motivos por los que determinado requisito de la
norma no fuera aplicable, es decir, no fuera posible
su aplicación.

Esto solo debe admitirse si la organización no tiene

capacidad ni responsabilidad para la aplicación de un

Página 12 de 61
requisito, y siempre que ello no afecte a la
conformidad del producto o servicio ni a la
satisfacción del cliente.

El criterio mencionado no hace distinción alguna en

función del capítulo de la norma al que pertenezca el
requisito excluido. No obstante, parece más
probable encontrar estas situaciones en relación con
los requisitos operacionales.

Tipos de hallazgos

 Ausencia de información documentada que recoja el alcance del SGC.

 La exclusión improcedente de un requisito. Si el auditor detecta circunstancias en las que el
requisito es aplicable, debe identificarlo como NC.
 Ausencia de justificación documentada sobre una exclusión.

4.4 Sistema de gestión de la calidad y sus

procesos Propósito de los requisitos

Este apartado muestra las fases de la gestión por procesos. Su correcta aplicación permitirá a la
organización comprender y gestionar sus actividades como procesos interrelacionados, con una
clara orientación a resultados.

En cada proceso, debemos seguir las siguientes líneas de investigación:

Página 13 de 61
Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cómo está determinado el proceso El tipo y grado de información documentada debe
(información documentada, responsables, entradas ser suficiente para evidenciar la información que
y salidas, interrelaciones)? requiere la norma para cada proceso.
Encontraremos diversos soportes para ello:
El grado de agrupación de los procesos debe
permitir su gestión controlada, y dependerá de su
 Mapa de procesos,
relevancia, número de personas que intervienen, la
capacidad para realizar el seguimiento y medición,  Fichas de procesos,
etc…
 Flujogramas,
No deben existir dudas sobre las responsabilidades  Aplicaciones informáticas,
en la gestión de los procesos y los recursos
asignados para su funcionamiento.  Procedimientos documentados,
 Instrucciones
El auditor utilizará la información documentada que
defina los procesos como una ayuda para su  Listas de chequeo,…
comprensión, pero debe observar in situ, la
ejecución de los mismos.

Las interrelaciones entre los distintos procesos

merecen una revisión especial, ya que en caso de no
estar correctamente definidas, pueden ser origen de
no conformidades.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cuáles son los resultados esperados del

Los resultados esperados pueden quedar definidos
proceso?
en:
Preg.: ¿Dichos resultados se basan en las  Especificaciones de producto,
necesidades y expectativas del cliente y de las
partes interesadas pertinentes?  Compromisos de calidad,
 Plazos de gestión,
El foco de la investigación debe dirigirse a los
resultados del proceso. Para evaluar su eficacia se  Plazos de respuesta,
tendrá en cuenta la información existente sobre la  Información entregable al cliente (interno o
satisfacción del cliente. externo) del proceso,…

Debe evaluarse la tendencia y evolución de los El responsable del proceso debe conocer los
resultados. resultados de la satisfacción del cliente relativos a
su desempeño (si los hubiera), y demostrar el
Para procesos internos, se comprobará que los análisis y acciones tomadas en el ámbito de su
resultados son adecuados a las necesidades del responsabilidad.
cliente interno.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cuáles son los riesgos y oportunidades que

No existen requisitos sobre la metodología a utilizar,
pueden afectar a la consecución de los resultados
pero podemos encontrar muy diferentes técnicas
previstos?
para determinar los riesgos y oportunidades:
(Ver apartado 3.2 AUDITORÍA DE LOS RIESGOS
Y OPORTUNIDADES de este documento)  AMFE,

Entenderemos por riesgo, una situación incierta que  Análisis DAFO,

podría afectar negativamente a la consecución de

Página 14 de 61
los resultados del proceso.
 Tormenta de ideas,
Una oportunidad viene dada por determinadas  Matriz de probabilidad / consecuencia,…
condiciones que de producirse, favorecerían la
consecución de los resultados del proceso. El modo en que se hayan determinado los riesgos y
oportunidades podría ser tan simple como una
Los riesgos y oportunidades son una información reunión entre los principales conocedores del
más del proceso. Deben haberse tenido en cuenta al proceso, que dé lugar a un acta, o bien a través del
definir y planificar el proceso, con el fin de uso de alguna técnica de análisis y evaluación de
garantizar en la mayor medida posible la riesgos (AMFE, APPCC, Matriz de Riesgos,…).
consecución de los resultados esperados. El grado de información documentada que muestre
esta información será acorde a la del resto del
Es importante auditar este punto en todos los proceso.
procesos, con las personas que tengan más
responsabilidad en ellos. Debemos poder comprobar en cada proceso que se
ha realizado el ejercicio para la determinación de los
riesgos y oportunidades. El resultado debe ser la
identificación de determinados riesgos y
oportunidades y el establecimiento de las medidas
orientadas a abordar los riesgos y oportunidades.

Investigación del auditor Ejemplos y evidencias

Las acciones planificadas pueden ser:

Preg.: ¿Qué tipo de incertidumbre (riesgo) es
aceptable e inaceptable en el proceso?  Directrices establecidas en una política de la
organización (p. ej. cobrar por adelantado),
Preg.: ¿Qué medidas y acciones planificadas se
llevan a cabo para abordar los riesgos y  Establecer un nuevo indicador en un proceso para
oportunidades? prevenir un resultado no deseado,
 Definir determinados criterios de control sobre un
Las medidas deben ir orientadas a evitar el riesgo, proveedor,
aceptarlo para aprovechar una oportunidad, eliminar  Establecer alianzas con terceros,…
la fuente del riesgo, alterar la probabilidad de
ocurrencia, minimizar las consecuencias, compartir  Objetivos para perseguir una oportunidad,
el riesgo con otras partes, o asumir el riesgo. Serán  Búsqueda de información externa a la
en cualquier caso acciones planificadas e integradas organización,
en el SGC.
 Inversiones, dotación de recursos,
 Cambios organizativos, etc…
Cuando la única medida tomada ante la
determinación de un riesgo, sea su aceptación como
tal, deberá presentarse evidencia de que se trata de
una decisión tomada por quien tiene la
responsabilidad y autoridad suficiente en el proceso

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cómo se realiza el seguimiento y medición En el apartado 9.1 Seguimiento, medición, análisis y
del proceso? evaluación recogemos ejemplos de las evidencias
correspondientes.
Preg.: ¿Cómo se realiza el análisis y la toma de
acciones para mejorar el proceso?

En el apartado 9.1 Seguimiento, medición, análisis y

evaluación desarrollamos las comprobaciones a
realizar sobre este aspecto.

Página 15 de 61
Tipos de hallazgos

 Debe evitarse la indicación de una NC basada en la insuficiencia de información documentada

en un proceso. Cuando el auditor estima que se da esta circunstancia, debe buscar evidencias
de la falta de control de dicho proceso y de la no obtención de los resultados previstos.
 Sistemáticas observadas por el auditor que no responden a las establecidas en el proceso.
 Ineficiencias en las interrelaciones: problemas en el flujo de información, conflicto entre
responsabilidades, indeterminación de los límites de los procesos, etc…
 Resultados no conformes de un proceso, que no se han identificado como tales
 Resultados no conformes de un proceso para los que no se evidencia análisis ni acciones
 Reclamaciones o resultados negativos de satisfacción del cliente, para los que no se evidencia
análisis ni acciones.
 Ausencia de métodos de seguimiento y medición en el proceso.
 Ineficacia del método de seguimiento y medición (ver apartado 9.1 Seguimiento, medición,
análisis y evaluación)
 Falta de evidencias sobre la determinación de riesgos y oportunidades en el proceso.
 Falta de evidencias sobre la planificación de acciones para abordar los riesgos y
oportunidades.
 Debe evitarse la indicación de una NC basada en la no determinación de un riesgo específico
en un proceso. Si el auditor estima que el riesgo u oportunidad puede ser relevante, lo
expresará en el informe, como una observación u oportunidad de mejora.
 Debe verificarse si los hallazgos encontrados en determinado proceso, pueden extrapolarse a
otras actividades. De igual modo, debe constatarse, que la organización aborda este enfoque
transversal en la aplicación de las auditorías internas y la gestión de las no conformidades y
acciones correctivas.

5 Liderazgo

5.1 Liderazgo y compromiso

Propósito de los requisitos

Entenderemos por alta dirección, la persona o grupo de personas que dirigen y controlan una
organización al más alto nivel. Si el alcance del SGC comprende sólo una parte de la
organización, la alta dirección hará referencia a quienes dirigen y controlan esa parte.

Aunque la alta dirección puede delegar autoridades en el SGC, debe asumir la responsabilidad
última sobre su desempeño.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cómo podemos evidenciar la implicación y Ejemplos de cómo puede quedar patente la
compromiso de la alta dirección con el SGC? implicación de la alta dirección:

Página 16 de 61
La pregunta debería poder ser realizada a la alta
 Despliegue de la estrategia (plan estratégico,
dirección. Para ello, el auditor jefe debe programar
objetivos de negocio…) en el SGC.
la reunión con la alta dirección en el plan de
auditoría, acordando con la antelación necesaria su  Inclusión en la memoria anual de los aspectos
disponibilidad. En cualquier caso deben comprobarse más significativos del SGC y de sus resultados,
las evidencias de su participación y toma de
decisiones en el SGC.  Informes internos emitidos por la dirección,
 Difusión de la revisión del sistema,
El auditor debe enfocar su evaluación sobre tres
cuestiones básicas:  Participación en el análisis de problemas,
 Intervención en la gestión de reclamaciones,
 Rendición de cuentas. Debemos entender este
concepto como el de responsabilidad con una  Reuniones periódicas con los empleados en las
orientación al logro de los resultados previstos, que se explican los logros del sistema y las áreas
y de la cual, la alta dirección responder ante el de mejora,
resto de la organización y partes interesadas. Es  Participación en foros y encuentros relativos a la
decir, de algún modo debe ser visible esa calidad, etc…
implicación y compromiso.

 Dirección estratégica acorde a política y

objetivos de la calidad. Para evaluar este
requisito debemos conocer cuál es la dirección
estratégica de la organización (planes de
gestión, políticas generales, objetivos
estratégicos,…).

 Integración de los requisitos del SGC en los

procesos de negocio. Las actividades,
responsabilidades y decisiones que rigen el día a
día, deben formar parte del SGC. Deben
tomarse decisiones por parte de la alta dirección
sobre el SGC, y a su vez, éste generar
información relevante para la toma de
decisiones.

Tipos de hallazgos

 El establecimiento de los objetivos de calidad no se integra en la estrategia de la organización.

 No hay evidencias de la participación de la alta dirección en el SGC: establecimiento de
objetivos, análisis de información, toma de decisiones, dotación de recursos, revisión del
sistema.

5.1.2 Enfoque al cliente

Propósito de los requisitos

La alta dirección debe demostrar su implicación con respecto al enfoque al cliente. Es decir,
asegurarse del cumplimiento de aquellos requisitos del SGC más directamente relacionados con el
cliente:

- 4.2 Comprensión de las necesidades y expectativas de las partes interesadas (para los distintos
tipos de clientes)
- 6.1 Acciones para abordar riesgos y oportunidades (cuando éstos afectan a la conformidad del
producto o servicio).
- 8.2 Requisitos para los productos y servicios.

Página 17 de 61
- 9.1.2 Satisfacción del cliente

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Qué hace la alta dirección para mantener un

 Objetivos de la organización relacionados con las
correcto enfoque al cliente, en la organización?
necesidades y expectativas del cliente.
Además de tratar este aspecto con la alta dirección,  Uso de la información obtenida en los contactos
el auditor intentará recabar información durante con el cliente (visitas comerciales, reuniones de
toda la auditoría sobre: planificación, cierres de proyecto, participación del
cliente en el diseño de producto, etc…)
 Qué vías se utilizan para detectar los cambios
en las expectativas del cliente.  Segmentación de clientes y diferenciación de sus
 Cómo las personas que intervienen en procesos expectativas, incluyendo a los clientes “no
intermedios, conocen la repercusión de su directos”: consumidor, usuario final, minorista,
actividad en el cliente. beneficiario,…
 Encuestas de satisfacción, que pregunten sobre la
 Cómo se evidencia la gestión eficaz de las expectativa: ¿qué le importa al cliente del
quejas del cliente y la predisposición del producto o servicio?
personal para recabarlas. Si “no hay
reclamaciones” por la vía establecida, debemos  Acciones emprendidas como consecuencia de la
indagar en los registros cotidianos de información obtenida sobre la satisfacción del
comunicación con el cliente. Esta información, y cliente (encuestas, quejas, etc...)
las acciones que se establezcan deben formar  Cambios en el método para obtener información
parte de la revisión por la dirección. sobre la satisfacción del cliente, cuando éste no
sea efectivo.
 Cómo se difunde la información sobre las
expectativas y la satisfacción del cliente, a la
organización.

Tipos de hallazgos
 Si fuera patente y generalizada la no vinculación de la alta dirección con los aspectos
mencionados en el apartado anterior, podría dar lugar a una NC contra el apartado 5.1.2,
pero si la carencia de evidencias se encuentra en determinado aspecto de los citados,
asignaremos los hallazgos a los apartados de la norma más directamente afectados: 4.2, 6.1,
8.2.1, 8.2.2, 8.2.3, 9.1.2

5.2 Política

Propósito de los requisitos

El mensaje más relevante a transmitir por una política de la calidad es el compromiso. Debe
quedar lo suficientemente claro, el propósito de cumplir los requisitos del sistema de gestión de la
calidad y la determinación para la mejora continua.

Investigación del auditor Ejemplos y evidencias

 Política documentada, con la información

Además de comprobar que la definición de la política
requerida por la norma.

Página 18 de 61
es acorde a lo requerido por la norma, verificaremos
 Revisiones de la política para adecuarla a cambios
cómo se mantiene adecuada al contexto y estrategia
relevantes en el SGC
de la organización en cada momento, especialmente
en SGC con un largo recorrido temporal o cuando  Alineamiento entre los objetivos de la calidad y la
sabemos que han existido cambios relevantes en la política.
organización.
Preg.: ¿Cómo se difunde la política de la calidad?  Comunicaciones internas / externas
 Publicación en intranet / web externa
Una comunicación interna eficaz logrará que el
mensaje de la alta dirección sea conocido y  Reuniones con el personal de la organización
entendido por la organización. Lo comprobaremos
muestralmente en las entrevistas realizadas durante
la auditoría. Será la propia organización la que determine la
conveniencia de difundir la política a determinadas
Preg.: ¿Se ha puesto la política de la calidad a partes interesadas.
disposición de alguna de las partes interesadas?

Tipos de hallazgos

 La política de la calidad no evidencia… (cualquiera de los contenidos indicados en el apartado

5.2.1)
 No existen evidencias de la comunicación de la política de la calidad en la organización.
 No se ha evidenciado que la política de la calidad sea conocida y entendida (indicando en la
redacción las áreas de la organización en las que se detecta).
 Como criterio general, no se indicará NC debido a que la organización no haya puesto la
política a disposición de determinadas partes interesadas (a menos que existan circunstancias
claras y objetivas que lo hagan pertinente).

5.3 Roles, responsabilidades y autoridades en la

organización Propósito de los requisitos

Las funciones y responsabilidades deben estar claramente definidas. Las personas de la

organización deben conocer cuál es su papel en el sistema de gestión de la calidad y en los
procesos que lo conforman. Del mismo modo, debe conocerse también cuál es la autoridad
correspondiente para llevar a cabo las funciones asignadas.

Investigación del auditor Ejemplos y evidencias

 Descripciones de puestos, organigramas,

Preg.: ¿Cómo / dónde se asignan las
manuales de acogida…;
responsabilidades y autoridades en la organización?
 Inclusión en procedimientos o fichas de procesos;
Las características organizativas pueden llegar a ser
muy dispares. Cuanto más numerosas y complejas  Acciones formativas;
sean las interrelaciones entre áreas y/o procesos,  Periodos de prueba supervisados, en los que se
más necesario es constatar que la descripción de realizan las actividades;
funciones, responsabilidades y autoridades sea
inequívoca.  Flujos de tareas definidos en los sistemas de
información;
Las comprobaciones adquieren especial relevancia  Restricciones de acceso y gestión de permisos en
cuando se han producido cambios organizativos o se los sistemas de información;
afrontan nuevas líneas de negocio.

Página 19 de 61
Debe trazarse la información obtenida al auditar
este apartado con la relativa al 7.2 Competencia,
para comprobar que las responsabilidades
relevantes del SGC tienen claramente definidas sus
necesidades de competencia.

Tipos de hallazgos

 Las personas entrevistadas no son conscientes de sus responsabilidades en determinado

proceso.
 Se detectan contradicciones en la asignación de responsabilidades.
 Se detectan actividades sin realizar por no estar asignadas a sus responsables.
 Existen responsabilidades que no se han actualizado ante cambios organizativos.

6 Planificación

6.1 Acciones para abordar riesgos y

oportunidades Propósito de los requisitos

Este apartado está directamente vinculado con el 4.4 Sistema de gestión de la calidad y sus
procesos.

La planificación del SGC, es el modo en que se definen todos sus procesos (responsabilidades,
actividades a realizar, recursos necesarios, métodos de seguimiento y medición, etc…) con el
objeto de cumplir los requisitos.

Aunque la planificación del SGC se lleva a cabo en la implementación inicial del SGC, debe ser
continuamente adecuada a la realidad en la que opera la organización. Para ello, debe
contemplar:
a) La información obtenida sobre el contexto de la organización: cuestiones externas, internas,
partes interesadas, y los requisitos pertinentes de dichas partes interesadas.
b) Los riesgos y oportunidades que pueden afectar al logro de sus resultados previstos.
c) Las acciones para abordar los riesgos y oportunidades que se han determinado.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cómo se utiliza la información del contexto

en el SGC? Ejemplo: En el análisis del contexto, se ha
determinado como un factor interno importante, la
No es suficiente con evidenciar un “listado de creciente necesidad de desarrollos informáticos que
factores externos e internos” (4.1), ni un informe en no pueden ser abordados internamente. Podría
el que se recojan las partes interesadas y los como consecuencia de ello, haberse establecido una
requisitos considerados como pertinentes (4.2). El alianza tecnológica con un consultor TIC, para
auditor debe comprobar que hay un análisis sobre afrontar dicha necesidad, lo que requerirá una
su repercusión en el sistema, y que se tiene en planificación de reuniones, asignación de recursos y
cuenta dicha información a la hora de planificar los priorización de proyectos a desarrollar.
procesos.

Página 20 de 61
 Ejemplo: Al reflexionar sobre la normativa
relacionada con nuestra actividad (cuestión externa
Preg.: ¿Qué riesgos y oportunidades se han
del contexto), podría haberse destacado, la reciente
determinado como consecuencia del análisis del
constitución de un comité para la elaboración de una
contexto?
norma, que previsiblemente, modificará los
(Ver apartado 3.2 AUDITORÍA DE LOS RIESGOS
requisitos de nuestro producto. No realizar un
Y OPORTUNIDADES de este documento)
seguimiento adecuado sobre el proyecto supondrá
un riesgo en la planificación de la producción.
Del análisis realizado para cumplir los apartados 4.1
y 4.2 (p. ej. un DAFO) sería lógico haber Ejemplo: Otro factor del contexto que se ha podido
determinado algunos riesgos y oportunidades para determinar, es cierto grado de desactualización de
el SGC. las tecnologías utilizadas por la organización
(cuestión interna). Ello supone un riesgo a la hora
de dar respuesta a la creciente demanda de los
clientes.

Investigación del auditor Ejemplos y evidencias

Las acciones planificadas para abordar los riesgos y

Preg.: ¿Qué acciones se han planificado para
oportunidades pueden ser de diverso tipo:
abordar esos riesgos / oportunidades?
 Objetivos de calidad;
Comprobaremos cuáles han sido las decisiones y
acciones planificadas para los distintos riesgos y  Políticas de marketing y comerciales;
oportunidades. Puede haberse priorizado la toma de  Políticas de recursos humanos;
acciones para los riesgos más significativos. En este
caso, dichas decisiones deben ser manifiestas en el  Proyectos de mejora;
SGC.  Decisiones de inversión;
 Cambios en la organización;
 Modificaciones en los productos y servicios;
 Modificaciones en los procesos;
 etc...
Ejemplos: Respecto a los riesgos indicados en el
cuadro anterior, nuestro cliente podría haber
decidido participar activamente en la elaboración de
la nueva norma. Esta decisión podría no solo reducir
el riesgo del desconocimiento sobre los cambios
futuros en el producto, sino incluso convertir esta
nueva circunstancia en una oportunidad: influir en
los posibles cambios para que favorezcan a la
organización, o al menos poder adelantar su
implantación. De igual modo, parecería lógico
asignar determinadas inversiones con el objeto de
modernizar los sistemas tecnológicos.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cómo se evalúa si las acciones para abordar

los riesgos y oportunidades están siendo eficaces? Al menos en la revisión por la dirección,
comprobaremos cómo la organización evalúa la
La organización debe periódicamente, valorar si las eficacia de las acciones y la adecuación de los
acciones planificadas están siendo eficaces. Como riesgos y oportunidades determinados en el SGC.
consecuencia de esa valoración, el auditor

Página 21 de 61
constatará si se revisa la determinación de riesgos o
la planificación de las acciones.

Tipos de hallazgos

 No existe una relación clara entre la información derivada del contexto (4.1 y 4.2) y su
aplicación en el SGC.
 No se han contemplado en el SGC (en cualquiera de sus procesos), determinados requisitos
de partes interesadas.
 El enfoque de la organización a los riesgos y oportunidades, no es global en el SGC. (Por
ejemplo, se consideran solo los riesgos del producto, los riesgos de los procesos
operacionales, etc...).
 No se encuentran evidencias sobre cuáles son las acciones planificadas y decisiones para
abordar los riesgos y oportunidades que se han determinado.
 No se puede evidenciar si las acciones están siendo eficaces y si la organización ha evaluado
dicha eficacia.
 Con carácter general no se identificará como NC, la no determinación de un riesgo /
oportunidad en concreto. Se recogerán este tipo de hallazgos como observaciones u
oportunidades de mejora.

6.2 Objetivos de la calidad y planificación para

lograrlos Propósito de los requisitos

Un objetivo de la calidad establece un determinado resultado a lograr. Puede ser de tipo

estratégico, específico para un proyecto, orientado a mejorar el desempeño de un proceso, las
características de un producto, o determinado atributo de un servicio.

La esencia de un objetivo de la calidad es obtener una mejora en el SGC, y por tanto, una mejora
que afecte de algún modo al grado de conformidad del producto o servicio, y a la satisfacción del
cliente.

Los objetivos de la calidad deben mostrar que son compatibles con el contexto y con la dirección
estratégica de la organización (ver apartado 5.1.1-b) de la norma), además de ser coherentes
con la política de la calidad. Es decir, deben formar parte del conjunto de objetivos estratégicos
de la organización y estar relacionados con ellos.

Investigación del auditor Ejemplos y evidencias

 Establecimiento y planificación de objetivos en

Preg.: ¿Cuáles son los objetivos de la calidad?
cualquier tipo de soporte documentado (informes,
herramientas informáticas, cuadro de mando, plan
Han de ser medibles, y por tanto debe existir algún
estratégico, etc…).
tipo de indicador que ofrezca su grado de
consecución.

Aunque con carácter general no deben admitirse

como objetivos de la calidad, el mero cumplimiento
de requisitos, podrían establecerse determinados
objetivos encaminados a mejorar el modo en que se
alcanza dicho cumplimiento (por ejemplo, la
implantación de una herramienta para la

Página 22 de 61
identificación y actualización de los requisitos legales
del producto o servicio).

Preg.: ¿Cómo podemos evidenciar su planificación y

seguimiento?

Es necesario poder evidenciar la planificación de los

objetivos. En ella debe establecerse: las acciones a
realizar, sus responsables, los recursos necesarios,
el periodo de tiempo en que debe ser realizada cada
acción y método por el que se evaluará su resultado.

La periodicidad del establecimiento de objetivos y de

su seguimiento no tiene por qué ser única, sino que
debería adecuarse a la naturaleza de cada uno de
ellos

Resulta fundamental poder constatar cuál es la

evaluación que se realiza sobre su grado de
consecución, así como las acciones derivadas de
esta evaluación.

Tipos de hallazgos

 No se han establecido los objetivos de la calidad (o no con la periodicidad establecida).

 Los objetivos establecidos no son medibles, es decir, no concretan el resultado a lograr.
 Los objetivos establecidos no están relacionados con la conformidad del producto o servicio ni
con la satisfacción del cliente.
 No se han comunicado los objetivos a las personas implicadas en su cumplimiento.
 No se evidencia la planificación de los objetivos (o cualquiera de los aspectos que conforman
la planificación: acciones a llevar a cabo, responsables, recursos necesarios, plazos, método
de evaluación.
 No se ha realizado el seguimiento de los objetivos (o no con la periodicidad establecida).
 No se evidencia la evaluación sobre el logro de los objetivos, o las acciones y decisiones
derivadas de tal evaluación.

6.3 Planificación de los

cambios Propósito de los

requisitos

Resulta poco probable en la realidad de las organizaciones, que no se produzcan cambios de

mayor o menor calado, con un impacto en el SGC. La norma requiere a la organización que
gestione los cambios en su SGC, desde dos perspectivas:

a) Cómo se planifican los cambios

b) Cómo se controlan los efectos de los cambios sobre el sistema

Investigación del auditor Ejemplos y evidencias

Página 23 de 61
Preg.: ¿Cómo se han planificado los cambios Las evidencias que debemos esperar sobre la
producidos por la situación XXX? planificación y control de los cambios variarán en
Preg.: ¿Cómo han afectado estos cambios al SGC? función de su impacto en el SGC. La forma de
Preg.: ¿Qué actuaciones han sido necesarias para abordar estas situaciones puede consistir en:
mantener la conformidad del SGC?
 Metodologías de gestión de proyectos
Durante la auditoría, el equipo auditor debe evaluar
cómo han afectado los cambios en los distintos  Testeos y validaciones del funcionamiento de un
procesos. nuevo equipo o sistema

Cuando se pueda comprobar el conocimiento por  Cambios en la documentación

parte de la organización, sobre los cambios que  Grupos de trabajo
posteriormente se iban a producir, deben solicitarse
evidencias de la planificación llevada a cabo.  Auditorías específicas
 Reasignación de recursos y responsabilidades
Del mismo modo, cuando los cambios ya han tenido
lugar, el auditor debe valorar su impacto en el  Acciones formativas o de comunicación
desempeño de los procesos y en el cumplimiento de
requisitos, y comprobar si los controles han sido
suficientes para garantizar los resultados.

Algunos ejemplos de las situaciones de cambio que

con cierta frecuencia encontraremos en las
auditorías son:

- Reestructuración de direcciones, áreas,

departamentos;
- Expedientes de regulación de empleo;
- Cambios societarios, compras, fusiones…;
- Internacionalización y/o deslocalización
geográfica de procesos o centros de actividad;
- Desarrollo de nuevas aplicaciones informáticas;
- Cambios regulatorios que afectan al producto o
servicio ofrecido;
- Adaptación del SGC a nuevos requisitos (p. ej.
tras la revisión de la norma)
- etc…

Tipos de hallazgos

 Para identificar una NC respecto a este apartado de la norma, debemos refrendarla con las
evidencias de cómo ha afectado dicho cambio al sistema.

Ejemplo: No hay evidencias de que se hayan planificado los cambios que la nueva aplicación
informática XXX, ha supuesto en el SGC: desactualización de la ficha de proceso P-01, y
nuevo método de medición de los indicadores i1, i2 i2,…

 Debe indicarse en el apartado correspondiente del informe de auditoría “Cambios significativos

del sistema con respecto a la anterior visita”, la información más relevante en este sentido,
así como una valoración general sobre la gestión del cambio por parte de la organización.

7 Apoyo

7.1 Recursos

Página 24 de 61
7.1.1 Generalidades

7.1.2 Personas

Propósito de los requisitos

La organización debe realizar una valoración sobre qué recursos (personas, infraestructura,
condiciones ambientales, recursos de seguimiento y medición, y conocimiento) son necesarios en
su SGC, y por tanto en todos sus procesos. Estos recursos deben ser adecuados para cumplir los
requisitos del producto o servicio y aumentar la satisfacción del cliente.

Debe considerarse en qué situaciones se cuenta con recursos externos a la organización.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Qué recursos son necesarios para llevar a En función de la complejidad de cada proceso, las
cabo este proceso? evidencias sobre la determinación de los recursos
necesarios deberán ser más necesarias.
La adecuación de los recursos disponibles en el SGC Encontraremos esta información en:
debe ser un aspecto evaluado de forma continua
durante toda la auditoría, y con el enfoque a
 Las planificaciones de producción o del servicio
procesos que se indicaba en el apartado 4.4.
 Organigramas
Las comprobaciones del auditor deben enfocarse
especialmente en:  Documentación de los procesos
 Informes de dimensionamiento de plantilla
- Resultados del proceso en situaciones “pico” de
demanda (plazos de entrega, tiempos de  Etc…
espera, etc…)
- Actuaciones de la organización en bajas de Adicionalmente, la revisión por la dirección debe
personal, sustituciones por vacaciones, etc… proporcionar decisiones y acciones en relación con la
- Cómo afectan los cambios organizativos a los necesidad de recursos.
resultados de los procesos
- Proyectos de expansión (internacionalización,
aumento de red comercial y operativa)
- Lanzamiento de nuevos productos o servicios
- Etc…

Tipos de hallazgos

 Como criterio general, las posibles NC respecto a este requisito, se redactarán contra la falta
de determinación de recursos (especialmente en situaciones como las descritas en el cuadro
anterior).
 Para establecer una NC que indique que los recursos asignados no son suficientes, deben ser
muy claras e irrebatibles, las evidencias que demuestren:

- el incumplimiento de un requisito
- que la causa del incumplimiento es la insuficiencia de recursos.
 No se recoge en la revisión por la dirección (como entrada y salida) la adecuación de los
recursos.

7.1.3 Infraestructura

Propósito de los requisitos

Página 25 de 61
La organización debe determinar, proporcionar y mantener la infraestructura que requieren los
procesos para alcanzar sus resultados: el conjunto de edificios, instalaciones, equipos,
maquinaria, servicios de apoyo y tecnologías.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Qué infraestructura es necesaria para este La información que encontraremos será muy
proceso? diferente en función de la actividad y los tipos de
procesos a los que la infraestructura dará soporte:
El auditor debe admitir todo tipo de soporte
 Inventarios de equipos
documental que establezca la infraestructura de la
organización.  Inventarios de maquinaria
 Presupuestos
 Balances
 Memorias
 Contratos de compra
 Proyectos de obras
 Etc…

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cómo se planifica el mantenimiento de la Los tipos de mantenimiento que podemos encontrar
infraestructura? son:

Preg.: ¿Qué intervenciones de mantenimiento se  Mantenimiento correctivo: Reparación de

han realizado? averías y solución de incidencias, en el
momento en que ocurren. Aunque no responde
La existencia de áreas específicas de mantenimiento a una planificación previa de las intervenciones,
en la mayoría de las organizaciones hace que si el volumen de incidencias es elevado puede
habitualmente puedan auditarse de manera ser necesaria una gestión planificada de las
“centralizada” estos requisitos. No obstante hay que mismas (criterios de prioridad, plazos de
incidir de nuevo en el enfoque a procesos que actuación, etc…).
debemos adoptar en la auditoría: la metodología a
seguir debería ser la observación y valoración en  Mantenimiento preventivo: se planifican
cada proceso de la infraestructura utilizada revisiones periódicas de los equipos y
(equipos, instalaciones, sistemas informáticos, etc…) maquinaria para reducir el número de averías y
y la comprobación posterior de las actividades de programar el tiempo dedicado a dichas
planificación y realización de mantenimiento, que se revisiones cuando menos costoso sea para el
gestionen en el área responsable. ciclo productivo.

 Mantenimiento predictivo: se programan las

actuaciones de mantenimiento con criterios
basados en el conocimiento técnico sobre el
equipo o maquinaria y su condición en cada
momento. Requiere un seguimiento y análisis
sobre determinadas variables del
funcionamiento (análisis de aceites,
termografías, análisis de vibraciones, etc…).

Los requisitos de este apartado aplican también a la

Página 26 de 61
infraestructura necesaria para gestionar la Las acciones de mantenimiento sobre los sistemas
información: redes, equipos, programas informáticos de información, se basan normalmente en resolución
y sistemas de información. de incidencias, protección contra software malicioso,
administración y control de accesos, política de
correo electrónico, control de acceso a internet,
capacidad de las redes y de los servidores,
protección de los datos mediante copias de
seguridad, etc…

Tipos de hallazgos

 Discrepancias entre la infraestructura determinada y la existente.

 No definición del tipo de mantenimiento necesario para la infraestructura.
 No realización de las intervenciones de mantenimiento planificadas.
 No se recoge en la revisión por la dirección (como entrada y salida) la adecuación de los
recursos.

7.1.4 Ambiente para la operación de los

procesos Propósito de los requisitos

El objeto de este apartado es garantizar que las condiciones en las que operan los procesos, son
adecuadas para la conformidad del producto o servicio.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Existen unas condiciones ambientales Algunos ejemplos de procesos que requieren unas
específicas en este proceso, necesarias para que el condiciones ambientales para la calidad del producto
producto / servicio sea conforme? son:
 Sector alimentario: transporte y almacenamiento
Preg.: ¿Se mantienen esas condiciones?
de alimentos, salado, deshidratación,
refrigeración, congelación, pasteurización,
No debe abordarse la auditoría de este requisito
esterilización, etc…
desde la perspectiva de seguridad y salud laboral,
bajo la cual, la finalidad es la seguridad de la  Salas blancas, utilizadas en sectores como el
persona que realiza la actividad. aeroespacial, microelectrónica, farmacéutica,
productos sanitarios, etc…
Tradicionalmente hemos enfocado la aplicación de
estos requisitos a los factores físicos del ambiente También encontraremos actividades de servicios
(temperatura, luz, humedad, ruido, etc…), cuando que requieren un control sobre las condiciones
estos tienen un impacto relevante en el producto o ambientales. Por ejemplo:
servicio. El auditor debe conocer los requisitos
aplicables, que suelen responder a reglamentación  Espacios de atención al público
específica sectorial. En este tipo de casos, la  Quirófanos
evaluación de la conformidad resultará sencilla, ya
que la información evidenciada responderá a datos  Colegios
medibles.  Museos
 Etc…

Actividades en las que los factores psicológicos o

Sin embargo, una orientación más amplia del

Página 27 de 61
requisito, incluye factores ambientales de tipo sociolaborales pueden tener un impacto relevante
psicológico o sociolaboral (nota informativa de la (asumiendo una gran variedad de escenarios
norma), cuya medición no es tan objetiva y/o situaciones) serían:
factible ni para la organización ni para el auditor.
Este condicionante sobre la evaluación de la
 Atención de reclamaciones
conformidad, limita la labor del auditor a hacer
entender a la organización la posible influencia de  Urgencias hospitalarias
estos aspectos sobre el producto o servicio final
(Ver siguiente apartado: “Tipos de hallazgos”).  Control aéreo
 Fuerzas de seguridad
 Etc...

Tipos de hallazgos

 No se han considerado en el SGC, factores ambientales exigidos por la reglamentación del

sector
 Las mediciones sobre las condiciones ambientales ofrecen incumplimientos de los valores
requeridos, sin evidencia del análisis y toma de acciones correspondientes.
 Con carácter general, para los factores ambientales de tipo psicológico o sociolaboral (nota
informativa de la norma), el auditor indicará las oportunidades de mejora u observaciones que
considere oportunas, pero difícilmente se podrán categorizar como NC.

7.1.5 Recursos de seguimiento y

medición Propósito de los requisitos

El objeto del apartado 7.1.5 es asegurar que los resultados obtenidos a través del seguimiento y
medición del producto o servicio, son fiables. Entenderemos por seguimiento y medición del
producto o servicio:

 Seguimiento: determinar el estado de un producto o servicio en diferentes etapas de su

realización, a través de la supervisión, verificación u observación.

 Medición: proceso para determinar el valor de una magnitud (cantidad, dimensión, etc…)

Respecto a la trazabilidad de las mediciones, consiste en poder relacionar la medición con un

patrón de referencia; por ejemplo, con las unidades de medida del Sistema Internacional de
Unidades, a través de una cadena continua de comparaciones. Cuando la trazabilidad es
necesaria (porque la requiera el cliente, la regulación del producto o servicio, o por necesidad de
la propia organización) la norma requiere verificar o calibrar (o ambas opciones) el equipo, es
decir, comparar sus mediciones con las realizadas por un patrón.

La diferencia entre verificación y calibración es la siguiente:

 La verificación consiste en comparar el resultado que mide nuestro equipo de medición, con
el obtenido por un patrón de referencia. Si los resultados coinciden, podemos considerar que
nuestro equipo queda verificado.

 La calibración requiere adicionalmente, que en esa comparación se evalúen los errores de

medida, información que en algunas circunstancias puede ser esencial.

Página 28 de 61
Investigación del auditor Ejemplos y evidencias

Preg.: ¿Sobre qué características del producto o Algunos ejemplos de características del producto o
servicio se realiza el seguimiento y medición? servicio susceptibles de requerir seguimiento y
medición son:
Debemos conocer si existen requisitos legales o del
cliente, que requieran mediciones de algunas
 Temperatura de producto alimenticio
características del producto o servicio. En otros
casos, valorar si los criterios de la propia  Dimensiones de piezas
organización para controlar el producto o servicio,
son adecuados.  Color de la pintura aplicada al producto
 Aroma de un perfume
 Amabilidad de un operador telefónico
 Tiempo de espera en un centro de información
 Etc…

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Qué recursos se están utilizando para

Podemos encontrar:
realizar ese seguimiento y medición?
 Equipos e instrumentos para medir características
No debemos limitar la auditoría a los equipos e físicas: higrómetro, micrómetro, termómetro,
instrumentos de medición y por tanto, a las báscula, etc…
mediciones físicas del producto o servicio. Los
recursos destinados al seguimiento y medición del  Software para analíticas y ensayos, para cálculos
producto o servicio pueden ir desde la observación de parámetros, o para el seguimiento de las
o supervisión personal de un trabajador que realiza características de un servicio (plazos, precios…).
determinada tarea, hasta la utilización de  Métodos de observación, inspección o supervisión:
instrumental de alta precisión. monitorización de llamadas, acompañamiento in
situ, compra misteriosa, etc…

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cómo se asegura que los recursos utilizados Los controles sobre el seguimiento y medición
para el seguimiento y medición son adecuados y pueden ser:
que los resultados son fiables?
 Pruebas de homogeneización de criterios de los
Debemos valorar si los métodos utilizados son
supervisores, inspectores, observadores…
adecuados a las necesidades y expectativas de las
partes interesadas, y a la confianza que pueda  Validaciones de los procesos de seguimiento y
necesitar la organización sobre la validez de la medición.
característica medida.
 Comprobaciones muestrales de resultados,
Cuando es necesaria la trazabilidad de la medición, obteniéndolos por vías alternativas.
la disyuntiva entre la verificación y la calibración,  Etapas de prueba del software.
dependerá fundamentalmente de la existencia de
requisitos sobre el método a seguir, pero también  Asegurando la trazabilidad de las mediciones
de otras cuestiones como: el número de equipos (mediante verificación o calibración). Siguiente
utilizados para el mismo tipo de medición, la cuadro.
frecuencia y condiciones de uso, el índice de errores

Página 29 de 61
y su repercusión en el cliente, etc… La opción
elegida podría ser también una combinación de
ambos métodos.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cómo se controlan los equipos cuando es El modo en que se puede evidenciar la
necesario mantener la trazabilidad de la medición trazabilidad de una calibración sería:
(calibración, verificación)?
1. Cuando la calibración es externa:
En este punto, hay que tener en cuenta durante la
 Si el laboratorio está acreditado, mediante
auditoría, los criterios establecidos por ENAC respecto a
informe o certificado de calibración con la
evaluar la validez de la trazabilidad.
marca de acreditación o el logotipo del
(Ver documento NT-62:
organismo acreditado.
[Link]
e93c-40fe-b1e4-3c33410ebb89):  Si el laboratorio no está acreditado, nuestro
cliente deberá tener definido un proceso de
La primera condición es que el instrumento cuente con evaluación del laboratorio contratado (según
unas características de medida (precisión, exactitud, apartado 8.4 de la norma), que tenga en
sensibilidad, rango de medida...) apropiadas al fin cuenta, al menos, la siguiente información
previsto. sobre el alcance de la actividad del
laboratorio:
Lo más habitual es que la calibración de un equipo se
realice externamente. En este caso, consideraremos que - ensayos, evaluaciones y calibraciones
el instrumento dispone de trazabilidad a patrones de específicas para las que está calificado.
medida nacionales o internacionales cuando ha sido - equipos utilizados.
calibrado por uno de los siguientes organismos: - métodos y normas utilizados para la
calibración.
(A) Un laboratorio acreditado para la calibración en
cuestión por un Organismo de Acreditación firmante del 2. Cuando la calibración es interna: el área o
acuerdo de reconocimiento mutuo de ILAC (por ejemplo, laboratorio interno debe tener definido en el
ENAC) SGC, el alcance de las calibraciones que
realiza y el proceso seguido, incluyendo al
(B) Un Instituto Nacional de Metrología de los que se menos:
incluyen en el Apéndice C de la base de datos del
Acuerdo de Reconocimiento Mutuo del CIPM
[Link]  La competencia del personal.
 Los ensayos que se realizan y equipos
utilizados
 Las normas y métodos de proceso
utilizados

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Son adecuadas las características de medida Por ejemplo:

del equipo, a su uso previsto?
 La incertidumbre del equipo es adecuada al
intervalo de valores en el que podemos admitir la
Esta valoración debe ser realizada por la
magnitud medida (tolerancia).
organización que auditamos y confirmar que el
equipo de medición es válido para las mediciones  El rango de medidas para las que se realiza la
que se realizan con él. No es el laboratorio quien calibración es coherente con las mediciones del
decide su aptitud. equipo en la organización.
 Las condiciones ambientales en las que se utiliza
el equipo habitualmente (si pueden condicionar

Página 30 de 61
 los resultados de las medidas), se han tenido en
cuenta en la calibración.

Tipos de hallazgos

 No se han determinado y/o proporcionado recursos de seguimiento y medición para el control

de características importantes del producto o servicio. Para identificar este hallazgo como NC,
el auditor debe haber constatado:
a) que existen requisitos de partes interesadas, que requieren dicho control.
b) que existen desviaciones recurrentes en las características del producto o servicio,
respecto a los valores previstos.
Si no se cumple alguna de las dos condiciones, el hallazgo se categorizará como observación u
oportunidad de mejora.
 El recurso de seguimiento o medición determinado para el control de una característica del
producto o servicio, no es adecuado. Para la categorización (NC, Obs, OM) de este tipo de
hallazgo, se seguirá el mismo criterio que en el punto anterior.
 El certificado de calibración externa no es adecuado a la finalidad prevista del equipo
calibrado, por no presentar información suficiente (incertidumbre, rango de medida, etc…) o
no ser ésta, adecuada al uso previsto.
 Se realiza una calibración externa por un laboratorio no acreditado, y sin un proceso eficaz de
evaluación sobre dicho laboratorio (NC).

7.1.6 Conocimientos de la organización

Propósito de los requisitos

La organización debe considerar el conocimiento como un recurso más, y como tal, puede
requerir un grado de control y gestión. El objetivo es mantener el conocimiento necesario y
hacer que esté disponible para quien lo necesita en la organización.

Investigación del auditor Ejemplos y evidencias

Posibles evidencias que darían respuesta al

Preg.: ¿Cómo se aprovechan las experiencias y requisito serían:
aprendizajes que surgen de la actividad productiva?
 Realización de reuniones de seguimiento;
Preg.: ¿Qué ocurre con el conocimiento sobre XXXX
 Realización de foros internos de debate;
si el Sr. González deja la organización?
 Documentación compartida;
El requisito tienen especial importancia en
situaciones como las siguientes:  Registro de lecciones aprendidas tras el cierre de
proyectos;

 Cuando la realización del producto o servicio se  Identificación de las fuentes externas de

gestiona como un proyecto; conocimiento;

 Cuando la evolución el producto o servicio es alta  Protección de la propiedad intelectual;

(avance tecnológico, cambios en expectativas del  Distribución de publicaciones;
cliente, et…);
 Presentación de casos de éxito;
 Cuando la rotación del personal es elevada;
 Difusión interna sobre nuevos proyectos
 Cuando determinados conocimiento se atesora en abordados;
pocas personas.

Página 31 de 61
Si no existe en otros elementos del SGC ninguna  Integración de los sistemas de información;
evidencia sobre cómo la organización determina,
 Etc…
mantiene y pone a disposición de quien lo necesita,
los conocimientos necesarios para la conformidad
del producto o servicio, debemos requerir al menos,
cómo se trata este recurso específico, en la revisión
por la dirección: recordemos que en esta revisión
debe incluirse (como entrada y salida) la adecuación
de los recursos.

Tipos de hallazgos

 El auditor constata que se ha producido una pérdida o desaprovechamiento de conocimiento

necesario para la conformidad del producto o servicio, o bien que dicho conocimiento no ha
podido ser utilizado por las personas que lo requerían.
 Durante la auditoría de los procesos, no se evidencia ninguna sistemática para mantener y
poner a disposición el conocimiento necesario, y no se trata este requisito en la revisión por la
dirección (como un recurso específico).

7.2 Competencia

Propósito de los requisitos

Entenderemos como competencia, la capacidad de aplicar el conocimiento y la experiencia, para

alcanzar los resultados previstos. Tienen cabida en este concepto tanto las habilidades,
formación, experiencia como la educación.

La organización debe determinar la competencia necesaria para realizar los trabajos que afectan
al SGC, y tener una sistemática para asegurar que las personas (tanto si pertenecen a la
organización como si son externas) disponen de la competencia definida. Ha de evaluarse si las
acciones emprendidas para facilitar la competencia, son eficaces.

Investigación del auditor Ejemplos y evidencias

Podremos encontrar la información en perfiles de

Preg.: ¿Cuáles son las competencias del personal puestos o cualquier otro soporte utilizado por la
para los distintos puestos y responsabilidades? organización auditada. En la mayor parte de las
ocasiones, la información se centraliza en RRHH.
Debemos verificar la aplicación de estos requisitos
para los distintos procesos del SGC. Durante la Las competencias definidas podrán ser:
auditoría de cada actividad, recopilaremos cuáles
son las funciones y responsabilidades de mayor
 Estudios académicos
relevancia para el SGC y preguntaremos por las
competencias que requieren dichos puestos.  Cualificaciones oficiales

Las competencias deben estar definidas, tanto si las  Conocimientos técnicos

personas que realizan estos trabajos pertenecen a la  Conocimientos sectoriales
organización, como si se contratan externamente.
 Experiencia profesional
El auditor valorará si el grado de descripción de las  Periodos en prácticas o en prueba
competencias es adecuado a las funciones para las
que se identifican. Cuando se recurre de forma  Habilidades personales
excesivamente genérica a las titulaciones  Idiomas
académicas, la información podría ser insuficiente.

Página 32 de 61
  Etc…

Investigación del auditor Ejemplos y evidencias

La sistemática recopilará las necesidades de

Preg.: ¿Cómo se detectan las necesidades de
adquisición de competencias del propio personal, de
formación?, ¿Qué acciones formativas se han
sus responsables, de la dirección, de los clientes y
realizado?
otras partes interesadas, etc…
Tanto la organización como el equipo auditor deben Lo más habitual es que la organización planifique
admitir como parte de estas acciones, aquellas que parte de las acciones formativas (p. ej. anualmente)
en el transcurso de la actividad se utilizan para y vaya completando esta planificación según surgen
reforzar capacidades como: comunicación personal, nuevas necesidades.
gestión del tiempo, procesos de toma de Encontraremos acciones como:
decisiones, conocimiento de productos, uso de
equipos, herramientas y aplicaciones informáticas,
etc…  Cursos de formación
 Aprendizaje de idiomas
Es importante que al determinar las necesidades de
competencias, se definan los objetivos que se  Tutorizaciones
pretenden cubrir.  Redistribución de tareas
 Rotación de puestos
 Planes de carrera personalizados
 Etc…

Investigación del auditor Ejemplos y evidencias

La organización evaluará la eficacia de las acciones

Preg.: ¿Cuál era el resultado pretendido con la
a través de:
realización de las acciones formativas? ¿Cómo se
evalúa la eficacia de las acciones?  Cuestionarios

El auditor valorará en qué grado, la organización  Evaluaciones del desempeño

había determinado cuáles eran los objetivos de las  Valoraciones de quien ha recibido la formación
acciones formativas, ya que este debe ser la
referencia para comprobar si las acciones han sido  Valoraciones de los responsables directos,
eficaces.  Etc…

Lo más adecuado es que la evaluación de la eficacia

sea realizada por quien detectó la necesidad de la
acción formativa.

Tipos de hallazgos

 No se han determinado las competencias necesarias para alguna de las responsabilidades /

funciones significativas del SGC.
 La determinación de competencias no es adecuada a los trabajos realizados en el puesto. Para
categorizar este hallazgo como NC, los fundamentos del auditor deben basarse en requisitos
relativos a las funciones desempeñadas por el personal auditado.
Por ejemplo: No resulta adecuada la competencia proporcionada a los auditores internos del
SGC, al basarse en la norma ISO 9001:2008, cuando la implantación del sistema se ha
realizado con referencia a ISO 9001:2015.

Página 33 de 61
 No se dispone por parte del personal que realiza una función, de la competencia definida
como necesaria, y no puede evidenciarse la planificación para proporcionar dicha
competencia.
 No hay evidencias de la evaluación de la eficacia de las acciones emprendidas para
proporcionar la competencia.

7.3 Toma de conciencia

Propósito de los requisitos

Este apartado muestra la importancia de asegurar que las personas de la organización (o que
trabajan para la organización) sean conscientes de lo que se pretende con el SGC, y de su
contribución para lograrlo.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cuál es el grado de implicación del personal Existen una serie de condiciones y valores de la
que trabaja en (o para) la organización? organización que ayudan a la toma de conciencia de
las personas:
Resulta adecuado realizar esta pregunta a la alta
dirección, o a los responsables de los procesos,
 Una comunicación interna eficaz
aunque solo sirva para dejar patente la relevancia
de este aspecto.  El trabajo en equipo

Conceptos como la toma de conciencia, motivación e  Promover la participación del personal en las
implicación de las personas son tan intangibles, que labores fundamentales del SGC
resulta difícil evaluarlos de manera objetiva. Sin  Orientación a la consecución de objetivos…
embargo, el auditor apreciará en su trabajo de
investigación, el grado de toma de conciencia que
muestran sus interlocutores.

Tipos de hallazgos

 Este tipo de factores pueden ser objeto de comentarios (oportunidades de mejora, fortalezas
u observaciones) por parte del auditor en un informe de auditoría, pero difícilmente
indicaremos expresamente una NC relativa a la falta de toma de conciencia de las personas.
 Si existe un problema de implicación en la organización, detectaremos incumplimientos claros
en la realización de su trabajo y en diferentes requisitos del SGC.

7.4 Comunicación

Propósito de los requisitos

Este apartado requiere a la organización que las comunicaciones internas y externas relativas al
SGC estén claramente determinadas y que sean eficaces.

Página 34 de 61
La comunicación con el cliente, debido a su intrínseca vinculación con los procesos operacionales,
se trata más específicamente en el apartado 8.2 de la norma.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Qué comunicaciones (externas / internas) se Los modos más comunes de llevar a cabo las
realizan en este proceso? comunicaciones son:

ISO 9001 no requiere establecer un proceso de

 Correo electrónico
comunicación, pero el auditor deberá evaluar la
eficacia de las comunicaciones en cada proceso  Reuniones
auditado.
 Videoconferencia
Verificaremos no solo la adecuación de la  Webs
información que se transmite, sino también cuándo
se realiza, los medios utilizados, si los destinatarios  Publicaciones internas y externas
son los idóneos, etc…  Redes Sociales

El avance tecnológico en las comunicaciones,  Memorias

requiere una dedicación especial por parte del  Etc…
auditor a estos aspectos: los medios disponibles son
cada vez más diversos, lo que sin duda facilita la
transmisión de la información, pero aumenta
también la probabilidad de errores, duplicidades,
etc…

Las deficiencias en la comunicación pueden ser

motivo también de riesgos y tener consecuencias de
gran impacto: por ejemplo, por el efecto difusor que
tiene una página web o las publicaciones en redes
sociales.

Tipos de hallazgos

 Retrasos, errores en el contenido,

 Ausencia de comunicación interna sobre algunas decisiones (organizativas, asignación de
responsabilidades, objetivos, etc…).
 Directrices contradictorias.
 Ineficiencias causadas por la dispersión geográfica
 Ineficiencias de comunicación en las interfaces de los procesos
 Ineficiencias de comunicación interdepartamentales en procesos transversales

7.5 Información documentada

(Ver epígrafe 3.3 de esta instrucción)

Propósito de los requisitos

Los requisitos para la información documentada se resumen en los siguientes:

Página 35 de 61
 Identificación de la información documentada al crearla o actualizarla;
 Adecuación del soporte para su uso;
 Revisión y aprobación de la información documentada antes de su distribución;
 Disponibilidad para quien la necesita;
 Protección sobre su confidencialidad y seguridad;
 Distribución y acceso adecuados (permisos, control de acceso, etc…);
 Mantenimiento en condiciones adecuadas (archivo, conservación, almacenamiento,
custodia…);
 Control de los cambios (p. ej., mediante números de versión);
 Identificación y control de la información documentada de carácter externo;
 Protección de la información documentada que evidencie la actividad (registros), sobre
cualquier alteración no intencionada o no controlada.

Página 36 de 61
Investigación del auditor Ejemplos y evidencias

(Ver epígrafe 3.3 de esta instrucción)

Tipos de hallazgos

 Desactualización de la información documentada.

 No disponibilidad de la información documentada por personas de la organización que la
necesitan.
 No identificación de la información documentada externa.
 Documentos necesarios para el SGC pero cuyo control no está asegurado.

8 Operación

8.1 Planificación y control

operacional Propósito de los

requisitos

El objetivo del apartado 8.1 es establecer la información mínima necesaria que hay que
considerar a la hora de planificar los procesos operacionales, es decir, aquellos cuyo resultado es
el producto o servicio. La referencia inequívoca debe ser siempre el resultado del proceso que se
pretende obtener.

Para el cumplimiento de estos requisitos hay que mantener también los criterios establecidos
tanto en el apartado 4.4 SGC y sus procesos, como en el capítulo 6 Planificación del SGC (en
especial la consideración de los riesgos y oportunidades).

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cuál es el resultado previsto para este Las características para las cuales deben
proceso?, ¿qué requisitos debe cumplir el producto / establecerse los requisitos pueden ser:
servicio?
 Físicas
El auditor debe constatar con claridad cuáles son las  Composición química
características previstas para el producto o servicio  Criterios de funcionamiento
(del producto final o el obtenido en las fases  Seguridad
intermedias de su elaboración), y los valores que  Higiénico-sanitarios
resultan aceptables para la organización.  Etc…

Cuando el resultado de un proceso consiste en un

Ejemplos de atributos de los servicios son:
servicio al cliente, tienen que haberse definido de
antemano las características del servicio y sus
criterios de aceptación. Aunque en estos casos no  Trato cordial
siempre es fácilmente delimitar las actividades  Información
propias del proceso de los resultados percibidos por  Tiempo de atención
el cliente, la perspectiva del auditor debe considerar  Etc…
siempre la visión del cliente.
De un modo similar, cuando lo suministrado al
Página 37 de 61
cliente es un producto tangible, debemos también
considerar si están definidas las características del
servicio que pudiera ofrecerse conjuntamente:
servicio de atención, plazo de entrega, resolución de
incidencias, servicio posventa, etc…

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Qué riesgos y oportunidades pueden afectar (Ver apartado 6.1)

a la obtención de los resultados previstos?, ¿con qué
acciones planificadas se abordan?

(Ver apartado 6.1)

Investigación del auditor Ejemplos y evidencias

Asignación a los procesos de:

Preg.: ¿Qué recursos son necesarios para llevar a
cabo el proceso?  Sistemas informáticos
 Nº de personas (propias y subcontratadas)
Además de las actividades necesarias para llevar a  Equipos y maquinaria
cabo el proceso, deben estar determinados los  Instalaciones
recursos que se destinan a su funcionamiento,  Elementos de transporte
incluyendo la subcontratación de personal,  Etc…
arrendamiento de maquinaria, alquiler de locales,
etc…

(Ver apartado 7.1)

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cómo se realiza el seguimiento y medición El tipo de evidencias que encontraremos para dar
del proceso?, ¿qué indicadores se han definido para respuesta a todas estas cuestiones serán:
evaluar su eficacia?
 Especificaciones
La organización debe haber determinado qué  Procedimientos
aspectos del proceso va a medir y qué indicadores  Diagramas de flujo
ofrecerán la información sobre su capacidad y  Fichas de proceso
desempeño (tasas de errores, tiempos de espera,  Cuadros de mando
etc…). Deben estar también designados los  Fichas de indicadores
responsables de realizar el seguimiento y medición,  Etc…
así como los responsables de analizar los datos y
tomar acciones para corregir desviaciones.

Las personas que llevan a cabo el proceso, deben

disponer de la información necesaria para ello.

Es además muy importante (como ya se explicó en

el apartado 6.3 de la norma), que las situaciones de
cambio que puedan afectar a los procesos
operativos, sean también planificadas y/o
controladas.

Página 38 de 61
Si la organización auditada o determinada línea de
negocio, no presenta una actividad repetitiva ni fácil
de sistematizar, puede ser conveniente una
planificación específica. Esto ocurre en sectores cuya
gestión está orientada a proyectos con carácter
temporal: construcción, ingeniería, consultoría, etc…
En tales circunstancias, debemos evidenciar que se
cubre la misma información antes descrita, con las
particularizaciones que requiera el proyecto.

Tipos de hallazgos

 Falta de definición en los requisitos del producto o servicio. Por las características de la
prestación de servicios, se trata de un hallazgo particularmente habitual en estas actividades.
Para indicar NC en este aspecto, el auditor deberá recoger evidencias que ofrezcan una
significativa disparidad en las características relevantes del servicio ofrecido.
 Falta de definición de los criterios de aceptación (p. ej. valores esperados de los indicadores).
 No se han determinado riesgos / oportunidades que puedan afectar a los resultados del
proceso.
 No se han establecido acciones planificadas para abordar los riesgos / oportunidades.
 Problemas de capacidad del proceso, por inadecuación de recursos (especialmente en
momentos “pico” de actividad).
 Los indicadores determinados para la medición no son representativos del desempeño del
proceso.
 No están claras las responsabilidades para el seguimiento, medición o análisis de los
resultados del proceso

8.2 Requisitos para los productos y servicios

8.2.1 Comunicación con el cliente
8.2.2 Determinación de los requisitos para los productos y servicios
8.2.3 Revisión de los requisitos para los productos y servicios

Propósito de los requisitos

La información objeto de estos tres apartados es la relativa a los requisitos del producto o
servicio, información que como hemos visto anteriormente, se determina a la hora de planificar el
proceso operativo, y que se ofrece a los clientes en la fase comercial.

La organización, antes de asumir el compromiso que suponen estos requisitos, debe asegurarse
de su capacidad productiva, competencia, cumplimiento de legislación, etc…

La información sobre el producto o servicio debe ser compartida y acordada con el cliente (o
cliente potencial), antes de su provisión.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Quiénes son los interlocutores con el cliente Posibles métodos para intercambiar información con
respecto a los requisitos del producto o servicio? el cliente son:

Página 39 de 61
¿Qué canales de información y de atención a
consultas y quejas, se utilizan?  Reuniones con el cliente
 Centros de atención telefónica
Debemos verificar que los medios utilizados para la  Aplicaciones web (pedidos, quejas, sugerencias…)
comunicación con el cliente son eficaces y que las  Hojas de reclamaciones
utilizan las personas adecuadas para transmitir la  Direcciones de correo electrónico
información.  Redes sociales
 Etc…
Descartemos que puedan estar ofreciéndose al
cliente informaciones contradictorias por distintas
vías. Ejemplos de información relativa a las situaciones de
emergencia pueden ser:
Si los canales establecidos para la atención de las
quejas no ofrecen información, debe comprobarse si  La retirada de producto por detectarse situaciones
por otras vías (correo electrónico, reuniones con de riesgo para la seguridad del usuario.
clientes, etc…) existen comunicaciones de este tipo,
que no son tratadas como tales.  La suspensión temporal o definitiva de un
servicio.
Cuando el producto o servicio incluye entre sus
requisitos, cualquier protocolo de actuación ante  Protocolos de evacuación en instalaciones donde
situaciones de emergencia, esta información se presta el servicio.
también debe formar parte de la comunicación con
el cliente  Etc…

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Qué se está ofreciendo a los clientes?, Normalmente, encontraremos la información en

¿dónde se recogen los requisitos del producto o ofertas, contratos, pliegos de condiciones,
servicio? proyectos, pedidos, catálogos, publicidad, etc… con
información del tipo:
Los requisitos deben ser lo suficientemente claros. El
auditor dedicará especial atención a:  Identificación del producto (modelo,
denominación, marca, etc...);
 La información del producto o servicio ofrecida por  Características;
distintos canales de venta (p. ej. tienda física y  Prestaciones;
web).  Garantías;
 Instrucciones para el uso;
 Los anexos a los contratos.  Especificaciones del cliente;
 Precio (incluyendo descuentos, impuestos, etc...);
 Las modificaciones en las condiciones iniciales.  Condiciones de pago;
Todos los cambios en los requisitos deben quedar  Plazos de entrega de producto o de prestación de
documentados y ser conocidos tanto por el un servicio;
cliente, como por las personas de la organización  Cláusulas o condicionados que requieran
implicadas. compromisos del cliente;
 Etc...
 La publicidad engañosa.

 Información sobre el precio (descuentos,

impuestos, promociones, etc…).

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Quién revisa esta información (p. ej. las En ocasiones, se establecen requisitos del producto
ofertas) antes de ser comunicada al cliente o servicio, de forma generalizada para un gran
número de clientes (catálogos, tarifas,
Debe estar asignada la responsabilidad y autoridad condicionados generales, etc…). La revisión tendrá

Página 40 de 61
suficiente para revisar: que la información es veraz, lugar al aprobar la información y en sus
comprensible y completa; que incluye las posibles modificaciones.
diferencias entre lo que solicita el cliente y lo que
ofrece la organización; y que existe capacidad para En otros casos, encontraremos un suministro a
cumplir con el compromiso. medida para un cliente, que requerirá una revisión
específica del contrato.
Aunque el resultado de la revisión debe ser
conservado como información documentada, su Podríamos auditar también, determinados tipos de
realización tendrá que adecuarse al modo en que se negocio donde los pedidos no están documentados y
ofrece el producto o servicio. han de entregarse de forma inmediata, circunstancia
que requerirá una confirmación del pedido y el
Es importante comprobar que los cambios registro de su revisión por parte del personal que lo
producidos en las condiciones inicialmente atiende.
acordadas, siguen también un proceso de revisión.

Tipos de hallazgos

 Especificación insuficiente de los requisitos (por el cliente y la organización).

 Poca transparencia en determinadas condiciones del producto o servicio.
 Compromisos en ofertas que no son revisados por los responsables designados.
 Modificaciones de las condiciones iniciales, que no son revisadas o documentadas.
 Problemas de coordinación entre distintos interlocutores con el cliente.
 Información insuficiente en los canales de recepción de las quejas

8.3 Diseño y desarrollo de los productos y

servicios Propósito de los requisitos

Utilizamos ambos términos (diseño y desarrollo) conjuntamente, porque el alcance de esta

actividad se extiende, no únicamente a la definición de nuevas características en el producto o
servicio, sino también a todas las consideraciones necesarias para el proceso de producción o
prestación del servicio.

Los requisitos no son exigibles al diseño de procesos. Los cambios a incorporar en los procesos
pueden ser abordados simplemente con los requisitos del apartado 8.1

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Son aplicables los requisitos del diseño y Algunos ejemplos en los que deben aplicarse los
desarrollo a esta organización? requisitos del diseño y desarrollo son:

En cuanto a la aplicabilidad los requisitos, éstos  Cualquier tipo de organización que crea nuevas
deben asumirse siempre que la organización tenga líneas de producto o servicio.
capacidad y/o responsabilidad para modificar las
especificaciones del producto o servicio (igual que  Al modificarse la composición de un producto
para cualquier otro requisito de la norma). (características físicas, de seguridad, de aspecto,
etc…).
En organizaciones de servicios, encontramos una
dificultad añadida: la coincidencia que en muchos  Cuando se introducen modificaciones en un
casos se produce entre el servicio y el proceso para servicio (hostelería, transporte, comercialización,

Página 41 de 61
su prestación, puede confundir respecto a cuál de etc…).
los dos ámbitos es objeto del diseño y desarrollo.
Como criterio general, cualquier cambio en el  Cuando el producto o servicio se ofrece de
servicio (o en el proceso de su prestación) que sea o manera individualizada al cliente (construcción,
pueda ser percibido por el cliente, será objeto de ingeniería, consultoría, etc…).
considerarse como diseño y desarrollo.

Por tanto, las características y complejidad del

diseño pueden ser tan diversas que debemos auditar
con la mayor flexibilidad posible, la forma en que se
implementa.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cómo se lleva a cabo el proceso de diseño y La planificación del diseño y desarrollo se puede
desarrollo en la organización? documentar en:

La planificación debe ser adecuada a la complejidad  Aplicaciones informáticas específicas para la

del diseño, pero como hitos mínimos debe recoger planificación y gestión de proyectos
los controles del diseño que establece la propia
norma: revisiones, verificación, validación. Debe  Formatos Excel, Project, etc…
indicar quién va a realizar cada tarea.
 Actas de reunión
En procesos que requieren un plazo de tiempo
extenso, tan importante como la planificación inicial,  Etc…
es su seguimiento y el registro de las modificaciones
que puedan ser incorporadas al plan. Las evidencias documentales de los controles del
diseño (revisiones, verificación y validación) deben
Los elementos de entrada deben estar mostrar su resultado.
documentados en el detalle necesario para expresar
cuáles son los requisitos que debe cumplir el En procesos sencillos de diseño, los distintos tipos
producto o servicio diseñado, incluidos los de control (revisión, verificación, validación) podrían
necesarios para su utilización. ser coincidentes y ofrecer el resultado en un mismo
registro.
El auditor comprobará que existe comunicación
eficaz entre las distintas interfaces del proceso de Si no es posible una validación completa anterior a
diseño y desarrollo, y que se establecen revisiones la entrega del producto o servicio, puede
en los puntos más relevantes del proceso. completarse la validación con métodos como la
retroalimentación del cliente.
Las salidas del diseño deben ser adecuadas al
proceso de fabricación del producto o prestación del
servicio.

La verificación debe trazar con claridad que las

salidas del diseño cumplen los requisitos que se
habían definido como entradas del diseño.

El auditor comprobará que en la validación se han

considerado las condiciones de uso, lo más fielmente
posible.

Tipos de hallazgos

 La organización ha determinado en su alcance la no aplicabilidad de los requisitos de diseño y

desarrollo, cuando se constata que se determinan o modifican, por parte de la propia
organización, las características del producto o servicio.
 No se mantiene información documentada sobre el proceso de diseño y desarrollo.

Página 42 de 61
 Los registros asociados a los controles del proceso (revisiones, verificación, validación) no
ofrecen los resultados obtenidos.
 La validación del diseño y desarrollo no se realiza en condiciones de uso ni las reproduce,
cuando hay constancia de que ello es posible.

8.4 Control de los procesos, productos y servicios suministrados

externamente Propósito de los requisitos

Los requisitos de este apartado son aplicables a la compra de producto y a la subcontratación de

servicios o procesos de la organización. Aunque se subcontrate un proceso de la organización,
éste sigue formando parte del alcance del SGC.

El control sobre la provisión externa puede resumirse con el siguiente diagrama:

EVVAALLUUAACCIIÓ SELECCIÓN SEGUIMIENTO DESEMPEÑO REEVALUACIÓN

ÓNN

Criterios de evaluación inicial:

Elección del proveedor Tipo y grado de control Criterios de reevaluación
y toma de decisiones
 Experiencia previa
 Auditorías
 Reconocimiento mercado
 Inspecciones en recepción  Analizar datos del seguimiento
 Capacidad suministro
 Seguimiento indicadores  Establecer acciones de mejora
 Etc...
 Etc...  Decisiones sobre
mantenimiento del proveedor

Figura 01 – Control de proveedores

Página 43 de 61
Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cómo se realizan las compras y Aunque la realización de los pedidos y compras
subcontratación de servicios y procesos? pueda estar centralizada, la especificación de las
mismas debe provenir del usuario de la organización
Debe verificarse cuál es la sistemática de la que solicita o requiere el producto / servicio /
organización para comprobar, antes de la proceso:
comunicación al proveedor, que los requisitos del
producto / servicio / proceso, son adecuados.  Especificaciones de productos, piezas, equipos,
etc…
Entre estos requisitos deben establecerse los
correspondientes a las condiciones en las que se  Formatos de pedido
entregará el producto o servicio (plazos, envases y
embalajes, lugar de entrega…)
 Contratos con proveedores
De igual modo, deben incluirse cuando proceda, los
requisitos correspondientes a la competencia y  Acuerdos marco
cualificación necesarios del personal.
 Etc…

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cómo se realiza el seguimiento de los Debe conservarse información documentada sobre el
proveedores?, ¿qué criterios de evaluación y control de proveedores. Los criterios de evaluación
reevaluación se utilizan? inicial, reevaluación y las decisiones tomadas
pueden mostrarse en:
La información al proveedor debe incluir (además de
la relativa a la compra o subcontratación), qué  Informes de la organización
métodos de seguimiento va a realizar la
organización sobre su desempeño y los criterios a  Hojas de cálculo
utilizar.
 Aplicaciones informáticas
Al auditar los criterios para la evaluación, selección,
seguimiento y reevaluación de los proveedores,  Pliegos de contratación
debe estar especialmente presente el concepto del
riesgo, dado el impacto que la provisión externa  Contratos
puede llegar a tener sobre el producto final y el
cliente.  Etc…

Debe comprobarse que los criterios de evaluación se

orientan a garantizar el cumplimiento de los
requisitos del producto o servicio.

La decisión sobre el tipo y grado de control a

realizar, puede tener en consideración, el control
que realiza el propio proveedor sobre su suministro.

Tipos de hallazgos

 Se establece como único criterio de evaluación del proveedor, el impacto económico de la

compra (precio, descuentos…).
 No podemos constatar que se haya informado al proveedor del control y seguimiento que le

Página 44 de 61
 aplica la organización.
 Se constata el suministro externo por parte de proveedores para los que no se evidencia la
aplicación de criterios de evaluación.
 No hay evidencias de qué acciones y decisiones se derivan de la evaluación de los
proveedores.

8.5 Producción y provisión del servicio

8.5.1 Control de la producción y la provisión del

servicio Propósito de los requisitos

El conjunto de requisitos recogido en el apartado 8.5 (8.5.1 a 8.5.6) están relacionados con la
actividad operativa de la organización, es decir con la realización del producto o servicio.

El control de la producción y la provisión del servicio (8.5.1), es necesario para asegurar que se
ofrecen al cliente productos y servicios conformes. Para garantizar dicho control, la organización
establece, en la medida en que necesite: información documentada, recursos e implementación
para el seguimiento y medición, infraestructura, condiciones ambientales adecuadas,
competencia de las personas, la validación y revalidación de los procesos (cuando sus resultados
no puedan ser medidos adecuadamente), acciones para evitar errores humanos y actividades de
liberación (comprobar la conformidad final del producto o servicio), entrega y posteriores a la
entrega.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Dónde / cómo podemos ver definido el Los procesos pueden estar establecidos, por ejemplo
proceso? en:

En cuanto a la información documentada que se  Procedimientos documentados

requiera para cada proceso, el auditor debe respetar  Diagramas de flujo
la flexibilidad que la norma ofrece a la organización.  Fichas de proceso
No obstante, tanto los procesos como la información  Listas de chequeo
necesaria para su control (resultados esperados,  Planos
método para su seguimiento y medición, criterios de  Esquemas e imágenes
aceptación,…), deben estar de algún modo  Aplicaciones informáticas
establecidos en el SGC.  Etc…

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Qué aspectos del proceso son los Ver apartado 9.1.1 Seguimiento, medición,
relevantes?, ¿se realiza el seguimiento y medición análisis y evaluación - Generalidades
sobre ellos?, ¿qué ocurre si dejamos de realizar la
medición del indicador xxxx?

Debe comprobarse que el seguimiento y medición

del proceso es realmente una herramienta, y que su
gestión es dinámica: los indicadores han de ser
representativos del desempeño del proceso y los
resultados deben dar lugar a su análisis y toma de
acciones.

Ver apartado 9.1.1 Seguimiento, medición,

análisis y evaluación - Generalidades

Página 45 de 61
Investigación del auditor Ejemplos y evidencias

Preg.: ¿Estamos ante un “proceso especial”? Algunos ejemplos de procesos especiales son:

Debe valorarse si las características del proceso  Procesos químicos

requieren su consideración como proceso especial,  Procesos de tratamiento térmico
es decir si no pueden realizarse actividades de  Producción de fármacos
seguimiento y medición sobre su resultado, antes de  Limpieza e higiene
que éste sea utilizado por el cliente. Encontramos  Atención de consultas
también estas circunstancias en aquellos servicios  Recepción en un hotel
que requieren interactuar con el cliente y cuyo  Impartición de formación
resultado se entrega en tiempo real.  Etc…

En este tipo de procesos, el auditor comprobará el Ejemplos de métodos de validación:

método de validación seguido para asegurar a priori,
que el resultado final del proceso será conforme.  Elaboración de listas de verificación
 Aseguramiento de la competencia o cualificación
de Las personas
 Establecimiento de metodologías específicas de
actuación
 Pruebas piloto
 Etc…

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cómo influye el factor personal en los Algunos procesos pueden requerir:
resultados del proceso?, ¿se han definido
competencias específicas para las actividades?, ¿se  Estudios académicos
intenta evitar el error humano en los procesos?  Cualificaciones oficiales
 Conocimientos técnicos
El auditor valorará cómo afecta la competencia de  Conocimientos sectoriales
las personas en el desempeño de los procesos. Si el  Experiencia profesional
trabajo a realizar requiere cierta cualificación, ésta  Periodos en prácticas o en prueba
debe estar definida en el SGC (ver 7.2). Si la  Habilidades personales
información sobre la competencia y/o cualificación  Idiomas
no se encuentra disponible en el lugar donde se  Etc…
realiza el proceso, se harán posteriormente las
comprobaciones necesarias. Para evitar el error humano podría actuarse
mediante:
Otro de los aspectos a comprobar es el margen que
el proceso ofrece al error humano. La norma  Automatización de tareas
requiere que cuando sea aplicable, se implementen  Generación de alertas
acciones para prevenir el error humano. Esta podría  Técnicas para prevenir errores en las líneas de
ser una de las cuestiones cubiertas por un buen Producción (conocidas como Poka Yoke)
enfoque al riesgo del proceso.  Bloqueos de tramitaciones en los sistemas
informáticos si no se cumplen determinadas
condiciones, etc…

Tipos de hallazgos

 Incumplimientos de requisitos establecidos para los productos o servicios.

 Procesos que no siguen una sistemática determinada y obtienen resultados no controlados.
 Hallazgos relativos al seguimiento y medición del proceso (indicadores poco representativos,

Página 46 de 61
 no definición del valor de aceptación, incumplimiento de la frecuencia de medición, etc…).
Con carácter general, se indicarán este tipo de hallazgos contra el apartado 8.5.1 indicando el
proceso afectado. Si los hallazgos de este tipo son generalizados y afectan a distintos
procesos, podrán referenciarse al apartado 9.1.1 de la norma.

8.5.2 Identificación y

trazabilidad Propósito de los

requisitos

La identificación y trazabilidad del producto o servicio puede venir dada, por requisitos legales o
reglamentarios, por exigencia del cliente o por el interés de la propia organización. Al aplicarse en
las diferentes fases del proceso productivo, se evitan errores organizativos y se facilita que el
resultado final sea conforme.

Para que exista trazabilidad del producto o servicio respecto a sus fases de realización,
necesitamos un sistema de identificación consistente.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Se controla el producto o servicio mediante Posibles métodos de identificación:

algún sistema de identificación?, ¿se identifica el
producto o servicio cuando se le ha realizado una  Marcado especial del producto, del embalaje, o de
actividad de seguimiento y medición? un lote (códigos numéricos, colores, código de
barras, etc…)
El auditor se asegurará de que la identificación del  Etiquetas
producto o servicio es adecuada para conocer el  Documentos adjuntos al producto o servicio
estado de su conformidad, especialmente cuando se  Ubicación segregada
ha realizado alguna actividad de seguimiento y  Gestión informatizada de un servicio (p. ej. estado
medición. de tramitación)
 Identificación del responsable de la prestación de
Preg.: ¿Podemos seguir la huella de un producto o un servicio
servicio y de sus partes intermedias, desde el inicio
de su realización hasta la entrega / después de la
entrega?
Sectores en los que existen requisitos relativos a la
La trazabilidad puede estar relacionada con el origen identificación y trazabilidad:
de los materiales o el histórico de un proceso. El
punto final del ciclo del producto o servicio para el  Sanidad (historias clínicas, componentes de
que la organización debe asegurar su trazabilidad producto sanitario,…)
depende de los requisitos asociados a las actividades  Alimentación (número de lote, ingredientes,
posteriores a la entrega (ver apartado 8.5.5). trazas de composición, etc…)
 Industria aeronáutica
Cuando existen requisitos legales o reglamentarios  Etc…
propios del sector, el auditor debe conocerlos en
profundidad.

Tipos de hallazgos

 El etiquetado de un producto o envase, no recoge la información mínima establecida

reglamentariamente.
 No es posible conocer en qué estado de tramitación o prestación se encuentra un servicio al
cliente.
 No es posible conocer qué persona de la organización ha prestado un servicio o una parte del
Página 47 de 61
 mismo.
 No se garantiza la trazabilidad de las compras o del producto en elaboración, cuando ésta es
un requisito.

8.5.3 Propiedad perteneciente a los clientes o proveedores

externos Propósito de los requisitos

La organización se responsabiliza de proteger la propiedad del cliente o del proveedor. Debe

verificarse en el momento de aceptar el control de la propiedad, que ésta es válida para su
utilización e implementar las medidas necesarias para evitar cualquier deterioro, pérdida o mal
uso del elemento entregado.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Qué tipo de propiedad del cliente o Ejemplos:

proveedor existe en la organización?, ¿está
controlada?  Productos y materiales depositados por un
proveedor de limpieza.
Podemos encontrar múltiples situaciones en las que
la organización debe responsabilizarse de productos,  La maquinaria de obra de un subcontratista.
materiales, equipos, información, etc… que son
propiedad del cliente o de un proveedor.  Las dependencias del cliente en las que la
organización lleva a cabo una instalación.
El auditor incidirá en las posibles propiedades del
proveedor, ya que este aspecto no había sido  Los planos entregados por un cliente para llevar a
recogido hasta la última versión de la norma. cabo la instalación.

En muchos tipos de actividades, adquiere especial  El vehículo entregado por el cliente para su
importancia el cuidado sobre la información del reparación.
cliente o proveedor, que la organización utiliza para
realizar su producto o servicio (p. ejemplo:  La documentación y datos proporcionados por el
entidades financieras, aseguradoras, servicios cliente para la prestación de un servicio por la
médicos, etc…), pudiendo ser aplicable la legislación organización.
sobre la protección de datos de carácter personal.
 Cualquier elemento considerado como propiedad
Si el auditor detecta cualquier pérdida o daño sobre intelectual (material científico, creaciones
este tipo de propiedades, debe investigar cómo se artísticas, maquetas, mapas, programas
ha tratado y si se ha comunicado al cliente / informáticos, publicaciones, etc…).
proveedor.

Tipos de hallazgos

 Cualquier situación en la que la propiedad del cliente o proveedor no está identificada como
tal.
 Deterioros o pérdidas en la propiedad del cliente, sin evidencias sobre cómo ha actuado la
organización.

8.5.4 Preservación

Página 48 de 61
Propósito de los requisitos

Los requisitos afectan no solo al producto o servicio final sino también a las partes que lo
componen. El propósito es mantener inalteradas sus características durante la utilización en el
proceso.

Página 49 de 61
Investigación del auditor Ejemplos y evidencias

Preg.: ¿Son adecuados el embalaje, Protocolos para la manipulación, transporte y

almacenamiento, manipulación, transporte, etc… del almacenamiento de:
producto (final o intermedio)?,
 Alimentos
La aplicación del apartado 8.5.4 queda muy  Productos químicos
condicionada por la naturaleza del producto o  Material radiactivo
servicio ofrecido al cliente.  Productos electrónicos
 Productos sanitarios
Merecen especial vigilancia aquellos productos que  Etc…
requieren controles estrictos: alimentos, productos
sanitarios, productos químicos, material radiactivo, Diseño de envases y embalajes que tenga en cuenta
etc… y en los que podemos encontrar requisitos el tipo de suministro, transporte, o el tiempo que
legales que afectan a su preservación. transcurrirá hasta la entrega.

Se comprobará además, que el envase y embalaje En cuanto a la preservación de la información,

son adecuados al tipo de distribución y transporte, cuando es parte de un producto o servicio:
con el fin de proteger al producto de los riesgos
específicos que pueden darse.  Protección de los informes de pacientes (por
ejemplo, de su confidencialidad)
Un aspecto a vigilar es la posible información del  Uso de servidores informáticos
cliente (quejas) sobre el estado en que recibe el  Controles de acceso
producto.  Copias de seguridad
 Etc…
Cuando la actividad auditada requiere el
almacenamiento de producto, se comprobarán los
controles existentes sobre las entradas, salidas y
stock.

Preg.: ¿Es adecuada la protección y transmisión de

la información que forma parte del producto o
servicio?

En las actividades relacionadas con los servicios

intangibles, el apartado 8.5.4 tiene una aplicación
que también puede ser relevante: la información y
el soporte en el que se entrega dicha información.

Tipos de hallazgos

 Producto almacenado en mal estado.

 Incongruencias entre el stock inventariado y el real.
 Pérdida de información por errores informáticos.
 Incidencias en el transporte / entrega al cliente, sin haber sido detectadas y analizadas.

8.5.5 Actividades posteriores a la

entrega Propósito de los requisitos

Página 50 de 61
Normalmente, la responsabilidad de la organización no termina con la entrega del producto o
servicio, sino que son aplicables determinados requisitos para las actividades posteriores:
garantías de producto, servicios posventa de instalación, reparación, asistencia técnica, etc…
Estos requisitos y los procesos llevados a cabo para su cumplimiento, deben estar identificados en
el SGC.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Qué compromisos ha de asumir la Ejemplos:

organización respecto a las actividades posteriores a
la entrega? ¿Cómo están determinados los procesos  Garantía del producto como requisito legal
necesarios para su cumplimiento?
 Garantías contractuales
Si la organización vende su producto (bienes
muebles) al usuario final, el auditor debe comprobar  Servicios posventa:
el cumplimiento de la legislación para la defensa del
consumidor, respecto a la garantía del producto. En o Instalaciones y/o montaje del producto
el resto de casos (servicios, operaciones entre o Reparaciones
empresas, etc…), se auditarán las posibles garantías o Mantenimiento, inspecciones, limpieza,
contractuales asumidas por la organización. sustitución de piezas, reciclaje…;
o Asesoramiento, formación o asistencia
De igual modo, debe comprobarse el desempeño de técnica
cualquier tipo de servicio posventa. Al igual que para o Información sobre accesorios, productos o
el resto de procesos de la organización, debe servicios relacionados con el adquirido;
determinarse: las actividades comprendidas, los o Atención de consultas y reclamaciones
métodos de seguimiento y medición, los recursos y o Etc…
responsabilidades necesarios, y los riesgos y
oportunidades que pueden afectar a la consecución
de los resultados que se les ha previsto.

No pueden excluirse del alcance del SGC, este tipo

de servicios, si son de aplicación a la actividad de la
organización.

Tipos de hallazgos

 Incumplimiento de cualquier de los requisitos (legales, contractuales o de la propia

organización) relativos a la actividad posterior a la entrega.
 No consideración de las actividades posteriores a la entrega, en el SGC

8.5.6 Control de los cambios

Propósito de los requisitos

Este apartado incide en la relevancia que tienen los requisitos generales expuestos en el 6.3
Planificación de los cambios, cuando dichos cambios afectan al proceso operativo. Se pone el foco
en el control de dichos cambios para que no afecten a la conformidad del producto o servicio.

Página 51 de 61
Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cómo han afectado los últimos cambios

organizativos al producto o servicio? Ejemplos de situaciones para las que debe
¿Cómo podemos ver que se han revisado estos evidenciarse una revisión y control:
cambios?
 Cambios organizativos
El auditor revisará las actuaciones de la organización  Implantación de sistemas informáticos
ante los cambios relevantes que han afectado al  Adquisición de nueva maquinaria
SGC. Debe comprobarse quién y cómo ha revisado  Expedientes de regulación de empleo
dichos cambios y ha tomado las decisiones  Cambios en los requisitos legales
oportunas para garantizar la conformidad del  Etc…
producto o servicio.

Esta revisión y sus resultados deben quedar

documentados.

Tipos de hallazgos

 Falta de evidencias sobre la revisión que hace la organización sobre los cambios. Este tipo de
hallazgo se considerará como NC solo cuando los cambios hayan producido incumplimientos
en los requisitos del producto o servicio. Si no puede evidenciarse dichos incumplimientos,
cualquier indicio de falta de control sobre los cambios solo podría reflejarse como observación
u oportunidad de mejora.

8.6 Liberación de los productos y servicios

8.7 Control de las salidas no conformes

Podemos integrar estos dos epígrafes, y comprobar su cumplimiento conjuntamente en cada uno
de los procesos auditados.

Propósito de los requisitos

De manera planificada, la organización debe verificar si el producto o servicio -o las partes que lo
componen- ha resultado como estaba previsto. Si como consecuencia de esta verificación, se
detecta cualquier desviación respecto a los requisitos definidos, deben establecerse acciones para
controlar las consecuencias de la NC.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Qué tipo de verificaciones hace la Algunos ejemplos de verificación del producto o
organización sobre la conformidad del producto o servicio serían:
servicio?
 Mediciones de las características del producto
En muchas ocasiones, los métodos utilizados para (dimensionales, composición, aspecto…)
evaluar el desempeño de los procesos pueden  Comprobación de la funcionalidad prevista
también ofrecer información sobre la conformidad  Medición de tiempos en la prestación del servicio
del producto o servicio. Esto es especialmente  Verificación de la actuación de las personas
habitual en los procesos de prestación de los durante la prestación del servicio (supervisión,
servicios. mystery shopping…)
Debe constatarse que la verificación queda  Etc…
documentada y que ofrece datos sobre su resultado

Página 52 de 61
(positivo o negativo).

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Qué actuaciones se toman cuando se

detecta un producto o servicio no conforme? Las actuaciones más frecuentes sobre el producto o
servicio no conforme son:
Si el resultado de la verificación no es satisfactorio,
debemos constatar que se ha identificado la  Reprocesos
correspondiente no conformidad, por parte de la  Eliminación
organización.  Autorización bajo concesión (aceptación del
producto o servicio tal y como se ha obtenido, o
Nos aseguraremos de que el producto o servicio en tras su reparación).
el que se ha constatado el problema, ha quedado
identificado como no conforme (ver apartado 8.5.2), La información relativa al producto o servicio no
y se ha evitado su uso indebido. En función de las conforme, debe quedar documentada. Los registros
circunstancias, podrían ser necesarias otras medidas han de identificar:
de contención para limitar los efectos negativos
(separación física del producto, suspender la  Descripción de la NC
fabricación o la provisión del servicio, etc…).  Acciones llevadas a cabo para su tratamiento
 Responsables de dichas acciones
De forma adicional, si la organización detecta
producto o servicio NC posteriormente a su entrega,
debe tomar las acciones apropiadas a los efectos de
la no conformidad, incluyendo la posible información
al cliente.

La información obtenida al auditar este apartado

debe ser trazada con el apartado 10.2 No
conformidad y acción correctiva.

Tipos de hallazgos

 No se realizan adecuadamente las verificaciones sobre el producto o servicio. Se recogerá

este tipo de hallazgo, cuando podemos evidenciar que existen incumplimientos recurrentes
de un requisito del producto o servicio, sin que se controle de forma planificada por parte de
la organización.
 No hay evidencia documentada de las NC del producto o servicio, o de las acciones y
decisiones tomadas para su tratamiento.
 El producto o servicio no conforme no queda identificado como tal.

9 Evaluación del desempeño

9.1 Seguimiento, medición, análisis y evaluación

9.1.1 Generalidades
9.1.3 Análisis y evaluación

Página 53 de 61
Propósito de los requisitos

Al abordar estos apartados de la norma de forma integrada, tenemos la perspectiva final del ciclo
PDCA (o PHVA):

Figura 02 –Ciclo PHVA

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Qué actividades planificadas se realizan

respecto al seguimiento, medición, análisis y
Los métodos de seguimiento, medición y análisis
evaluación del SGC?
suelen enmarcarse en:
Debemos verificar en cada proceso de la
organización, la correcta implementación del ciclo  El control informático de los procesos
PDCA (o PHVA), comprobando que se realizan las  Establecimiento y medición de indicadores
actividades de seguimiento, medición, análisis y  Análisis estadístico de los procesos
evaluación. No obstante, es habitual que estas
responsabilidades (o parte de ellas) se lleven a cabo
de una forma coordinada o centralizada.

La especificidad de la actividad y de los riesgos que

le afectan, marcarán las prioridades para que la
organización seleccione los parámetros sobre los
que aplicar el control.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Qué tipo de indicadores se han determinado

Debe existir evidencias sobre:
sobre la eficacia del SGC y cómo se analizan?

Los indicadores de cada proceso deben ser  La definición de indicadores

relevantes (mostrar información significativa), estar  Los resultados del seguimiento y medición
claramente definidos (sin ambigüedades) y ser  El análisis realizado
fácilmente medibles.  Toma de acciones

La periodicidad para la obtención del dato no tiene

por qué coincidir con la de su análisis. A la hora de Los aspectos del SGC sobre los que debe existir un
evaluar el comportamiento de un proceso debemos
análisis por parte de la organización son:
analizar la tendencia de los resultados, más que los
valores concretos en un momento determinado.

Página 54 de 61
  Los productos y servicios no conformes
El auditor se asegurará de que se han establecido  El grado de satisfacción del cliente
los criterios de conformidad para los indicadores  El desempeño y eficacia de los procesos del SGC
definidos, es decir el valor que se espera obtener en  El cumplimiento de las planificaciones
el funcionamiento correcto del proceso. Cuando el  La eficacia de las acciones para abordar riesgos y
indicador no alcanza este valor, debe haber oportunidades;
evidencia de su análisis y toma de acciones, si  El desempeño de los proveedores;
procede.  La necesidad de mejoras en el sistema de gestión
de la calidad.
El análisis de la información debe ser realizada por
Salvo el cumplimiento de las planificaciones, todos
quien conozca la naturaleza del proceso y pueda
los puntos indicados se mencionan explícitamente
entender las posibles alteraciones de su desempeño.
como elementos a analizar en la revisión por la
dirección, por lo que ésta podría ser la evidencia
Debe profundizarse en cómo se analizan las
más clara de su cumplimiento.
desviaciones sobre las planificaciones del SGC
(objetivos, producción y prestación del servicio,
formación, mantenimiento de la infraestructura,
etc…)

Tipos de hallazgos

 Indicadores poco significativos, por no ofrecer información válida para evaluar si el proceso
es eficaz.
 Indicadores cuya definición no es clara o presenta ambigüedades.
 Métodos de cálculo complejos o poco automatizados, que convierten la información en poco
fiable.
 Frecuencias de medición y/o de análisis poco adecuadas para tomar acciones.
 Análisis realizado por quien no tiene la autoridad suficiente para actuar sobre el proceso.
 No haber definido los valores esperados para el indicador, y por tanto, no disponer de un
criterio claro de aceptación.
 Falta de toma de acciones ante desviaciones en el seguimiento y medición.

9.1.2 Satisfacción del cliente

Propósito de los requisitos

El aumento de la satisfacción del cliente es uno de los pilares que conforman el objeto de la
norma ISO 9001.

La satisfacción del cliente radica en sus percepciones y opiniones como consecuencia de la

experiencia de compra. Por tanto, dependerá en gran medida de en qué condiciones se
proporciona el producto o servicio: trato personal, buena disposición, información, resolución de
incidencias, etc...

La organización debe establecer los métodos que le ofrezcan información relevante sobre el grado
de satisfacción de sus clientes. El objetivo debe ser en cualquier caso, disponer de información
suficiente para identificar oportunidades de mejora en la satisfacción de nuestros clientes.

Investigación del auditor Ejemplos y evidencias

Página 55 de 61
Preg.: ¿Conoce la organización cuáles son las
Posibles vías para conocer las necesidades y
necesidades y expectativas de los clientes?
expectativas del cliente y su grado de cumplimiento:
Una buena metodología para realizar el seguimiento
sobre la satisfacción del cliente, debería considerar  Acceder a estudios de opinión e investigación de
cuáles son sus expectativas, y cómo éstas cambian mercados.
a lo largo del tiempo.  Realizar encuestas (personales, telefónicas, por
correo electrónico o vía web, etc…)
Preg.: ¿Qué métodos se utilizan para conocer el  Promover reuniones con los clientes para
grado de satisfacción del cliente? identificar sus necesidades y conocer el grado de
satisfacción.
El auditor debe evaluar si el método elegido ofrece  Establecer canales de comunicación para recoger
información significativa, y si es adecuado a las sus sugerencias.
características del producto o servicio ofrecido, al  Aprovechar el conocimiento del personal de la
tipo de cliente y al modo en que se interactúa con organización que mantiene el contacto directo con
él. el cliente.
 Utilizar la información derivada de las quejas y
Aunque pueden utilizarse fuentes de información reclamaciones
“indirectas” sobre la satisfacción del cliente  Etc…
(tendencia de la facturación, repetición de compra,
cuota de mercado, etc…), debe existir alguna
sistemática que implique la obtención de la opinión
del cliente.

En cuanto a la selección de los clientes, la muestra

debe ser significativa y cubrir los distintos tipos de
clientes de la organización.

Debe auditarse el proceso de análisis de esta

información y cómo se establecen acciones para la
mejora. De igual modo, es relevante verificar cómo
se comunica internamente la información obtenida
sobre la satisfacción del cliente

Tipos de hallazgos

 Los métodos para obtener la información sobre la satisfacción del cliente no cubre
determinados tipos de clientes, o la muestra no es significativa.
 No se cuenta con información suficiente para mejorar la satisfacción del cliente. Las razones
para ello pueden ser:
 Falta de adecuación del método
 Bajo índice de respuesta de los clientes
 Encuestas cuyo contenido no es representativo de las necesidades del cliente
 No hay evidencia de la evaluación de esta información y de las acciones emprendidas (el
hallazgo en este caso, se indicará contra el apartado 9.1.3

9.2 Auditoría interna

Propósito de los requisitos

El objetivo general de la auditoría interna es que la organización conozca el grado de eficacia de

su sistema de gestión; determinar dónde existen problemas, para corregirlos y mejorar el

Página 56 de 61
desempeño de su actividad. Puede además suponer una ayuda importante para identificar riesgos
y oportunidades.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Es eficaz la auditoría interna de la

organización? Determinación de la competencia del auditor
interno. Por ejemplo:
La norma UNE EN ISO 19011 Directrices para la
auditoría de los sistemas de gestión, es la principal  Criterios de auditoría (norma de referencia,
referencia para aplicar este apartado, y su requisitos del cliente, de la organización, y
conocimiento puede ayudar a enfocar la auditoría reglamentarios).
interna como un proceso.
 Metodología de auditoría (técnicas de
La competencia del auditor interno debe estar investigación, planificación y organización del
determinada y ser adecuada al objetivo y alcance de tiempo de auditoría, criterios de muestreo,
la auditoría interna. Con carácter general, dichas categorización de hallazgos, presentación de
competencias deberían demostrar conocimiento resultados, etc…)
sobre:
 Determinadas cualidades personales (capacidad
Si la organización ha adoptado un correcto enfoque de comunicación, trato, imparcialidad, firmeza…)
a procesos, la auditoría interna debería realizarse
también por procesos (ver apartado 3.1 Auditoría
por procesos, de este documento). Las conclusiones de la auditoría deben quedar
soportadas documentalmente y reflejar con claridad:
El alcance del programa de auditorías debe ser
equivalente al alcance del SGC y cubrir todos los  La descripción de cada no conformidad,
requisitos que le aplican. haciendo referencia al requisito que se
incumple.
La planificación ha de ser adecuada a la relevancia  Las evidencias objetivas que apoyan la no
de los procesos y la información existente sobre su conformidad.
desempeño (resultados de auditorías anteriores,  El proceso o procesos afectados.
evolución de los indicadores, reclamaciones de
clientes, etc…), atendiendo además a los intereses
estratégicos. La información sobre la auditoría interna, debe
formar parte de la revisión por la dirección.
Con el objeto de garantizar la objetividad del
proceso de auditoría interna, el equipo auditor debe
ser imparcial. Ello implica, procurar la mayor
independencia posible (en función del tamaño y
estructura de la organización) de los auditores
respecto a la actividad que revisan.

Debe informarse de los resultados de la auditoría a

los responsables de los procesos y a la alta
dirección.

Deben establecerse las correcciones y acciones

correctivas necesarias en un plazo adecuado a su
naturaleza.

Tipos de hallazgos

 La planificación de la auditoría no cubre todo el alcance del SGC.

 No se realizan las auditorías internas de acuerdo a su planificación.

Página 57 de 61
 No hay evidencia de la competencia de los auditores internos.
 No puede garantizarse la imparcialidad del equipo auditor, respecto al trabajo auditado.
 No se determinan los criterios de auditoría (norma de referencia, documentación del SGC,
alguno de los requisitos a cumplir, etc…)
 No se identifican con claridad los hallazgos de auditoría.
 No se comunican los resultados de la auditoría a los responsables de los procesos y a la alta
dirección.
 No se toman acciones correctivas sobre las no conformidades detectadas.

9.3 Revisión por la dirección

Propósito de los requisitos

Se trata de la herramienta más clara que tiene la alta dirección para valorar el desempeño global
del sistema de gestión de la calidad. El resultado debe ser una muestra de cómo la alta dirección
se responsabiliza de los resultados del sistema y toma decisiones para mejorarlos.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Cómo se lleva a cabo el proceso para la

revisión por la dirección? Información documentada que identifique
claramente:
Debemos verificar que la revisión por la dirección no
se limita a una recopilación de información generada  La información tratada (ver 9.3.2 Entradas
por el SGC. Debe evidenciar el análisis realizado para la revisión por la dirección).
sobre la eficacia del sistema y mostrar decisiones
respecto a los cambios que puedan ser  El análisis y la evaluación que realiza la
convenientes, mejoras en el desempeño y dirección.
necesidades de recursos.
 Las decisiones y acciones establecidas sobre
Debemos incidir en que la revisión por la dirección la necesidad de recursos, cambios a
esté alineada con los planes estratégicos de la implementar en el SGC y oportunidades de
organización: la información tratada debe mostrar mejora.
datos relevantes para la alta dirección.

El modo de llevar a cabo la revisión debe ser acorde

al proceso de toma de decisiones de la dirección
(periodicidad de comités, junta directiva, etc…). No
tenemos por qué requerir que el proceso de revisión
quede plasmado en un solo informe, ni que
necesariamente tenga una periodicidad anual. Si la
información ofrecida por el sistema es lo
suficientemente significativa, de forma natural será
tratada en este tipo de reuniones periódicas,
pudiendo asumirse como registros los generados por
el análisis y decisiones realizados de esta forma.

Tipos de hallazgos

 No se cumplen los plazos establecidos en el SGC para la revisión por la dirección.

Página 58 de 61
 No puede evidenciarse que se haya analizado alguno de los elementos de entrada recogidos
en la norma.
 No se toman decisiones ni se establecen acciones en relación con los elementos de salida
recogidos en la norma.

10 Mejora

10.1 Generalidades

10.3 Mejora continua

Propósito de los requisitos

Mejorar el desempeño global de la organización es el principal propósito de un SGC (ver 0.

Introducción)

Normalmente definimos la mejora continua como el resultado progresivo de aplicar con la

recurrencia que requieren, las herramientas que nos ofrece el SGC.

Adicionalmente, existen otros tipos de mejora que también pueden ser facilitadores para la
eficacia del SGC: cambios organizacionales, rediseños radicales de procesos (reingeniería),
cambios tecnológicos, innovación en procesos y productos, etc… La organización debería ser
capaz de identificar estas mejoras en su sistema.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Qué mejoras se han obtenido en el SGC?

Mejoras en los procesos:
La mejora debe ser promovida por la alta dirección
(ver apartado 5.1.1 i), de la norma).  Simplificación de actividades
 Optimización de recursos
La mejora es el fin último de la aplicación del  Comunicación interdepartamental
enfoque a procesos y del ciclo PDCA, por lo que  Reducción de tiempos
debe estar presente en cualquiera de los elementos  Etc…
que conforman el SGC: comprensión del contexto,
revisión por la dirección, auditoría interna, acciones Mejoras en el producto o servicio:
correctivas, pensamiento basado en el riesgo,
relación con los proveedores externos, etc…  Mejor especificación de sus características,
atributos y requisitos
Las actividades de análisis y evaluación sobre los  Requisitos más acordes a las expectativas del
elementos del sistema de gestión que establece el cliente
apartado 9.1.3, deben ofrecer oportunidades para  Etc…
realizar mejoras en los tres pilares de cualquier
sistema de gestión de la calidad: Mejoras en la satisfacción del cliente

 la eficacia y eficiencia de los procesos  Aumento del grado de satisfacción sobre

 la calidad del producto o servicio alguna de las características del producto o
 la satisfacción del cliente servicio
 Felicitaciones
 Etc…

Tipos de hallazgos

Página 59 de 61
Al tratarse de un concepto global a todo el SGC, los hallazgos relativos a la mejora, o la mejora
continua, deberán asignarse al elemento de la norma que más directamente se ve afectado. Por
ejemplo:

 Falta de decisiones o toma de acciones como consecuencia del análisis y evaluación de XXXX
(apartado 9.1.3)
 Al planificar el sistema de gestión de la calidad, no se determinan los riesgos y oportunidades
que es necesario abordar para lograr la mejora.
 Los objetivos de la calidad no se orientan a la mejora del SGC
 No se determinan y proporcionan los recursos necesarios para la mejora continua del SGC
 La auditoría interna no resulta eficaz para mejorar el desempeño del SGC
 El proceso de acciones correctivas no es eficaz, al no solucionar los incumplimientos
detectados por el SGC
 La revisión por la dirección no ofrece como resultado la identificación de oportunidades de
mejora.

10.2 No conformidad y acción

correctiva Propósito de los requisitos

En este apartado se recogen los criterios generales de actuación para cualquier tipo de no
conformidad en el sistema. Ambas herramientas (NC y AC) responden a la lógica esencial de
cualquier sistema de gestión: detectar problemas, corregirlos y trabajar para que no vuelvan a
ocurrir.

Investigación del auditor Ejemplos y evidencias

Preg.: ¿Son eficaces el proceso de detección de no

conformidades y el establecimiento de acciones La organización debería ser capaz de detectar no
correctivas? conformidades de distinto tipo:

Deben auditarse de forma integrada ambas  Producto o servicio que no cumple requisitos
herramientas, como parte de un mismo proceso.  Cambios en las condiciones que no se
informan al cliente
Las fuentes de detección utilizadas por la  Operativas distintas a las planificadas
organización, deberían ser diversas: la auditoría  No realización de un seguimiento o medición
interna, el seguimiento y medición de los procesos, de acuerdo a lo establecido
la verificación del producto o servicio en sus  Falta de análisis y acciones ante un resultado
diferentes fases de realización, la atención a las no deseado
reclamaciones del cliente, etc…  Contratación no controlada con un proveedor
 Falta de control sobre los equipos de
seguimiento y medición
 No mantener constancia de los asuntos
tratados en la revisión por la dirección
 Etc…

La información documentada conservada debe

reflejar:

 La descripción de la no conformidad
 Las correcciones sobre la no conformidad

Página 60 de 61
  La evaluación sobre la necesidad de
establecer AC (análisis de causas, gravedad,
etc…)
 La descripción de las AC cuando sean
necesarias, así como su planificación
 Las evidencias de la implementación
 La comprobación de la eficacia

Tipos de hallazgos
 Si no evidenciamos la fortaleza del proceso de NC y AC, de esta forma tendremos que
plasmar esa carencia en el informe de auditoría, con la categorización que pueda ser más
adecuada.
 Una de las carencias que es frecuente encontrar radica en una errónea interpretación de los
siguientes conceptos:

Corrección: acción para eliminar una no conformidad detectada.

Nota 1: una corrección puede realizarse con anterioridad, simultáneamente, o

después de una acción correctiva.
Nota 2: una corrección puede ser, por ejemplo, un reproceso o una reclasificación.

Acción correctiva: acción para eliminar la causa de una no conformidad y evitar que vuelva
a ocurrir.

Nota 1: puede haber más de una causa para una no conformidad.

(UNE EN ISO 9000 SGC. Fundamentos y vocabulario)

Página 61 de 61