Auditorías internas en ISO 9001 en un área de proyectos de tecnología de información

1. Introducción

Como parte del mantenimiento de un Sistema de Gestión de la Calidad (SGC) certificado bajo el estándar ISO 9001, es necesario planificar y realizar auditorías internas periódicamente. Una auditoría es un proceso sistemático, independiente y documentado para obtener evidencias objetivas y evaluarlas de manera imparcial con el fin de determinar el grado en que se cumplen los criterios de auditoría (ISO, 2018). La principal finalidad de estos ejercicios es obtener información para verificar la conformidad con:

1. Los requisitos propios de la organización para su SGC.

2. Los requisitos de la Norma Internacional.

3. Corroborar si se implementa y mantiene eficazmente el SGC (ISO, 2015).

En la dependencia universitaria se integró un equipo auditor que cuenta con “un procedimiento definido para este fin, que contempla la planeación, realización y seguimiento de las auditorías” (Ventura, 2024). Este procedimiento ha tenido una constante evolución desde 2011 cuando por primera vez y bajo el estándar ISO 9000, la dependencia universitaria certificó su método de trabajo para la administración de proyectos y para el desarrollo de software, y se incorporaron buenas prácticas técnicas y de gestión bajo un proceso de mejora continua y estándares de calidad (UNAM, 2011).

Desde el año 2022 se han aplicado pautas de auditoría para sistemas de gestión definidas en la norma ISO 19011:2018, lo que implica revisar y actualizar anualmente el procedimiento correspondiente en cada ciclo de mejora, y considerar las actualizaciones en la dinámica de la gestión de los proyectos que se han presentado en la dependencia universitaria. Desde 2022 la metodología que se describe en este reporte ha sido el referente para identificar mejoras y emitir recomendaciones que permitan madurar y fortalecer el SGC y, en consecuencia, el desarrollo de los proyectos de tecnologías de información al interior de la dependencia universitaria.

El objetivo de este reporte es compartir las principales fases involucradas en la planeación y realización de las auditorías internas que han contribuido a mantener y fortalecer un SGC con un alcance orientado a la gestión y desarrollo de proyectos de tecnologías de la información.

2. Desarrollo

Si bien realizar auditorías internas es un requisito para conservar la certificación ISO 9001, es necesario conceptualizarlas desde una perspectiva de mejora para identificar puntos relevantes que permitan optimizar y ajustar la operación de los procesos. La auditoría interna cobra especial valor al estar en una posición que permite tener una visión de toda la entidad y sus diversos componentes, lo que permite identificar y evaluar riesgos clave, tanto actuales como futuros, para apoyar al liderazgo en lograr su misión (Larmett, 2023).

Los resultados de las auditorías internas en la dependencia universitaria que realiza proyectos de tecnologías de información, han permitido identificar aspectos que a los auditores externos, en una visita periódica, les puede ser difícil reconocer, entre ellos: profesionalismo, experiencia o dedicación al trabajo y resultados. Es decir, las auditorías internas pueden lograr mayor conocimiento y sensibilidad de la operación cotidiana, y su importancia en la obtención de los resultados esperados en cada proyecto.

Pero no basta con introducir la función de auditoría interna en la organización, independientemente de la importancia que se le dé. Es necesario aclarar el papel del proceso de auditoría para que su propósito quede claro y nunca se identifique como el preludio de sanciones: una imagen negativa puede afectar el desempeño de la auditoría (Sbriz, 2023). Por lo anterior, es que en la dependencia universitaria se maneja la siguiente metodología (Figura 1) para las auditorías internas que, en conjunto con la participación de todos los involucrados en el SGC, ha permitido sustentar la certificación de manera ininterrumpida y con un mínimo de hallazgos en las auditorías externas.

Figura 1

Etapas para el desarrollo de una auditoría interna de un sistema de gestión de la calidad ISO 9001 en un área de proyectos de TIC

La metodología descrita incluye las principales prácticas de auditoría interna, y va más allá al considerar la adecuación al contexto universitario de una dependencia que administra proyectos de tecnologías de información de diversa naturaleza, como pueden ser el desarrollo de software a la medida, la gestión de eventos académicos, y las auditorías a sistemas informáticos, entre otros. A través de los ciclos de mejora, el responsable puede contribuir a la maduración del procedimiento, para que los ejercicios de auditoría interna se desarrollen de forma más eficiente y simplificada.

2.1 Metodología

a. Integración del equipo auditor

Una auditoría interna involucra la participación de un equipo auditor con competencias verificables en el estándar ISO 9001:2015, así como en la planeación, ejecución e interpretación de resultados obtenidos. En lo que respecta a la dependencia universitaria, su equipo de auditores se ha transformado en los últimos años. Al principio de la obtención de la certificación, el equipo auditor lo integraban un promedio de 10 colaboradores. Actualmente, consta de dos colaboradores con una alta especialización y experiencia en el estándar ISO 9001:2015, así como en el funcionamiento del SGC.

b. Definición del programa anual de auditoría interna

Esta actividad se realiza en conjunto con los responsables de losprocedimientos de auditoría interna, mejora continua y con al menos un representante del Comité Directivo conformado por la dirección del área universitaria y sus subdirectores. El principal insumo de este programa son los hallazgos identificados en la auditoría externa del año anterior, pero también se consideran puntos detonadores, que los responsables de procedimiento reconocen como susceptibles a una revisión más detallada, como pueden ser una actualización reciente en la operación del SGC, riesgos probables o bien un interés especial manifestado por el Comité Directivo.

c. Definición y aplicación de las listas de verificación

A partir del programa anual de auditoría interna validado y autorizado por el Comité Directivo, el responsable del procedimiento de auditoría verifica la disponibilidad del equipo auditor en las fechas planificadas para la aplicación de las auditorías. Posteriormente, se asigna un auditor líder, quien coordina las actividades y recursos necesarios para el desarrollo de la auditoría. En el caso de la dependencia universitaria, la información asociada a los proyectos y servicios se localiza en soporte electrónico, por lo que un primer paso es gestionar y verificar el acceso a los repositorios.

Una vez que se tiene acceso a la información, se verifica el alcance de la auditoría en curso y el equipo auditor construye las listas de verificación que son la base para contrastar lo esperado con la ejecución de cada proyecto, y los productos de trabajo intermedios y finales. La construcción de las listas de verificación se realiza en total apego al alcance de la auditoría interna, que puede considerar la revisión del cumplimiento de requisitos de la norma, el apego a procedimientos o un aspecto específico de interés para la dependencia universitaria dentro del alcance del SGC. Como se puede observar en la Figura 2, se muestran los elementos generales que conforman una lista de verificación; su contenido y extensión están en apego a los criterios de evaluación aplicables.

Figura 2

Ejemplo de los elementos generales de una lista de verificación

Durante el desarrollo de esta actividad, el auditor interno demuestra su capacidad de abstracción y análisis de la información, así como su experiencia en la aplicación de las auditorías. La revisión debe ir más allá de verificar un requisito textual: el punto es constatar el espíritu de la norma en el sentido de que cada elemento contribuya a mejorar la calidad y por ende, la implementación debe estar de acuerdo con una mejora real y no con un mero seguimiento. Es en la construcción y corroboración de las listas de verificación que un auditor interno transmuta su conocimiento del estándar y lo contrasta con los resultados generados de las actividades del proyecto. Adicionalmente, es parte de la labor de un auditor interno identificar las exclusionesy actuar con la debida ética y objetividad al realizar las revisiones.

Las listas de verificación se corroboran a través de diversos mecanismos, en el caso de la entidad universitaria, se realizan revisiones cruzadas entre la información documental que se localiza en los repositorios electrónicos y se contrasta con entrevistas a los equipos de trabajo que participan en los proyectos. En el caso de información que por su naturaleza es repetitiva, se realizan muestreos para verificar su conformidad.

El resultado de aplicar las listas de verificación es identificar hallazgos. En el contexto de un SGC, éstos se clasifican en oportunidades de mejora, no conformidades y acciones correctivas. El tratamiento que corresponde a cada uno corresponde a lo especificado en la norma ISO 9001:2015, así como a la interpretación del requisito en la implementación del SGC.

d. Interpretación y comunicación de resultados

El auditor líder en conjunto con el equipo auditor verifica los resultados con el responsable de Mejora Continua para corroborar que no existan interpretaciones incorrectas. Si existe alguna controversia, se revisa detalladamente el hallazgo en el que se presenta la confusión. Una vez que las dos partes están conformes con los resultados, éstos son comunicados a todos los colaboradores. El comunicado es a través de correo electrónico y se reitera la disposición del equipo auditor para aclarar cualquier duda o comentario.

e. Seguimiento y solución de hallazgos.

El auditor líder da seguimiento al registro y solución de los hallazgos identificados en conjunto con el responsable de mejora y el resto de los involucrados. En el caso de la dependencia universitaria, el seguimiento es a través de una herramienta informática que permite la gestión del hallazgo, las actividades para su resolución, así como el personal a cargo de subsanarlo. En la Tabla 1 se muestran algunos ejemplos de la comunicación de los hallazgos identificados. El equipo auditor da prioridad a transmitir hallazgos propositivos, con la finalidad de fortalecer el funcionamiento del SGC y sus procedimientos asociados.

Tabla 1

Ejemplos de hallazgos identificados en las auditorías internas

Redacción del hallazgo	Clasificación
En las actividades del procedimiento se indica que debe existir un registro formal de cierre del proyecto. Se debe integrar el documento que puede ser un acta de cierre, documento de transferencia, oficio o correo electrónico, según aplique a la naturaleza del proyecto.	No conformidad
Se identificaron minutas de las sesiones de trabajo, sin embargo no se localiza la firma autógrafa de los asistentes. Se sugiere evaluar la necesidad de una firma autógrafa o bien sustituirlo por un mecanismo electrónico.	Oportunidad de mejora
En consideración al inicio de una nueva administración en la dependencia, se invita a realizar una reflexión para que la acciones de mejora que se emprendan en el marco del Sistema de Gestión de la Calidad (SGC), sean orientadas a plantear soluciones e iniciativas que permitan responder a la nueva realidad por la que se transita, para contar con una herramienta viva que aporte un valor significativopara todos y permita enfrentar los retos futuros.	Recomendación

Nota. En los ejemplos se realizaron ajustes de redacción para salvaguardar la confidencialidad de la información de la dependencia universitaria.

f. Evaluación del equipo auditor

Al finalizar el ciclo anual de auditorías internas se realiza una evaluación a los dos roles principales: auditor líder y auditor interno con una herramienta informática la cual está calibrada de acuerdo a los diversos niveles de competencias técnicas y asociadas directamente, en este caso, a la aplicación de técnicas de auditoría para el SGC, así como aspectos relacionados con la comprensión y aplicación del estándar ISO 9001:2015. Adicionalmente, la cultura organizacional en la dependencia universitaria presta especial atención a las competencias humanas que cobran relevancia en un perfil de auditor interno. Con los resultados obtenidos se identifican oportunidades de capacitación en aspectos técnicos y humanos que permitan fortalecer los conocimientos y resultados obtenidos de los ejercicios de auditoría interna.

2.2 Resultados

La aplicación de las auditorías internas bajo la metodología detallada en este documento vigente desde 2022, ha favorecido la gestión, la operación y los resultados del SGC. Lo anterior se traduce en el mantenimiento de la certificación ISO 9001 con un número de hallazgos en las auditorías externas realizadas por el ente auditor con un significativo decremento, sin hallazgos mayores y no conformidades (Tabla 2). Adicionalmente, ha permitido la formación de colaboradores en el perfil de auditor interno inherente a la gestión de este procedimiento.

Tabla 2

Número de hallazgos reportados en las auditorías externas en el período 2017-2023

Hallazgos	2017	2018	2019	2020	2021	2022	2023
No conformidades	1	0	0	0	0	0	0
Observaciones	14	4	2	3	1	2	0
Oportunidades de mejora	3	0	4	0	2	0	1
Total	10	4	6	3	3	2	1

Se realizó la integración de una base documental que incluye los requisitos y prácticas de ISO 9001 que pueden ser replicables en diferentes contextos y alcances. Lo anterior incluye los formatos para el programa anual de auditoría, la agenda de auditoría y las listas de verificación.

La connotación negativa relacionada con la ejecución de una auditoría interna, como un instrumento para evidenciar el trabajo de los colaboradores o bien como un proceso burocrático para dar cumplimiento con la certificación, se ha modificado y hoy en día es vista como una herramienta que se ha adaptado a las necesidades de la dependencia universitaria para garantizar las actividades de administración de proyectos y la calidad de los productos de trabajo generados como parte de la ejecución de los procedimientos.

3. Conclusiones

Se logró que las auditorías internas sean un insumo de información para mejorar un SGC a través de un procedimiento maduro y que es flexible a la naturaleza de los proyectos realizados, permite que sea una práctica útil y eficiente para la entidad universitaria. La simplificación del proceso y la experiencia adquirida por el equipo auditor, ha logrado una reducción en el impacto y la cantidad de los hallazgos obtenidos en las auditorías externas. Es importante resaltar que si bien el procedimiento de auditoría interna es estable y ha madurado en estos años, es necesario sostener el compromiso para continuar fortaleciendo la práctica, y que el equipo auditor mejore su juicio crítico y se mantenga actualizado para que los hallazgos sean relevantes, lo que permitirá perfilar acciones de mejora al sistema y a la dependencia.

Es imperante que las auditorías internas conserven el sentido de ejercicios que proporcionen una visión objetiva, oportuna, clara y completa de la operación de los procedimientos. Lo anterior solo se podrá lograr con el apoyo de las autoridades y el compromiso de los equipos de trabajo que participan en los proyectos. Las auditorías internas conllevan un esfuerzo humano y de recursos para mejorar la eficacia de los procedimientos y garantizar la calidad de los productos de trabajo, por lo anterior en un futuro se debe contar con mayor flexibilidad en su planeación y ejecución para adaptarse a los cambios inherentes y nuevas dinámicas en los equipos de trabajo y formas de colaboración.

Agradecimientos

El contenido de este documento está respaldado por el trabajo de colaboradores que a través de los años han participado en la integración y fortalecimiento del procedimiento de auditoría interna. Los resultados que al día de hoy se han logrado son resultado del apoyo de la dirección y del equipo de trabajo que desde 2011 ha participado en la implementación y mantenimiento de la certificación ISO 9001.

Referencias

Larmett, A. (2023). Internal Audit: Higher Education’s Evolutionary Risk Management Ally. Internal Auditing, 38(6), páginas (14-20). https://login.pbidi.unam.mx:2443/login?qurl=https%3A%2F%2Fwww.proquest.com%2Ftrade-journals%2Finternal-audit-higher-educations-evolutionary%2Fdocview%2F2897063269%2Fse-2%3Faccountid%3D14598

Organización Internacional de Normalización (2018). Directrices para la auditoría de los sistemas de gestión (ISO19011:2018)

Organización Internacional de Normalización (2015). Sistemas de gestión de la calidad - Requisitos. ISO 9001:2015

Sbriz, L. (2023). Agile Manifesto for Internal Audit. ISACA Journal, vol. 2, páginas (1-5). https://www.isaca.org/-/media/files/isacadp/project/isaca/articles/journal/2023/volume-2/agile-manifesto-for-internal-audit_joa_eng_0323.pdf

UNAM. (2011). Entrega la EQA certificación ISO 9001:2008 a la DGTIC de la UNAM. Boletín UNAM-DGCS-497. https://www.dgcs.unam.mx/boletin/bdboletin/2011_497.html

Ventura Miranda, M.T. (2024). Recertificación ISO 9001 en un área de proyectos de tecnología de información. Cuadernos Técnicos Universitarios de la DGTIC, 2 (1), páginas (8 - 18).