PDCA:

un modelo para realizar

auditoría internas

Paul C. Palmes

Título original: Process Driven Comprehensive AuditingNew Way to Conduct ISO 9001:2008 Internal AuditsSecond Edition

Autor: Paul C. Palmes

© ASQ Quality Press, 2009ISBN: 978-0-87389-754-9

Título en castellano: PDCA: un modelo para realizar auditoría internas

Traducción: Carmelo Sánchez González

© AENOR (Asociación Española de Normalización y Certificación), 2010

Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte,sin la previa autorización escrita de AENOR.

ISBN: 978-84-8143-697-6

Depósito Legal: M-39547-2010

Impreso en España - Printed in Spain

Edita: AENOR

Maqueta y diseño de cubierta: AENOR

Imprime: AENOR

Nota: AENOR no se hace responsable de las opiniones expresadas por el autor en esta obra.

Génova, 6. 28004 Madrid • Tel.: 902 102 201 • Fax: 913 103 695

comercial@aenor.es • www.aenor.es

Índice

Prólogo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5

Agradecimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9

1. El viaje del auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11Auditoría de cumplimiento frente al enfoque PDCA . . . . . . . . . . . . . . . . . . . 12La auditoría del ascensor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13Cumplir con su cliente: la alta dirección . . . . . . . . . . . . . . . . . . . . . . . . . . . 15La conexión con el cliente . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17La alta dirección y la planificación estratégica de riesgos . . . . . . . . . . . . . . . 18La vista desde la cima . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19Auditoría PDCA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21Resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 22

2. Planificar, hacer: el comienzo del ciclo PDCA . . . . . . . . . . . . . . . . . . . . . . 23Planificar (Plan) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24Hacer (Do) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 27

3. Verificar, actuar y el modelo de proceso: completar el ciclo . . . . . . . . . . . 29Verificar (Check) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 29Actuar (Act) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 34

4. PDCA como proceso: cómo sacarle el máximo partido a un buen plan . . . 37

5. Integración de los sistemas de ISO 9001:2008 y sus procesos . . . . . . . . . 43

6. El apartado 4.1 de ISO 9001:2008 y PDCA: una perspectiva más amplia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49La conexión con el apartado 7.1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 54

7. ¿Qué preguntas se podrían hacer en una auditoría PDCA? . . . . . . . . . . . 57

8. El modelo de auditoría PDCA: una herramienta genérica de auditoría PDCA de ISO 9001:2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Página 1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 65Parte I: Planificar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66

Sección 1: motivación y riesgo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 66Sección 2: plan del proceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67Sección 3: principales personas implicadas . . . . . . . . . . . . . . . . . . . . . . 67Sección 4: método de evaluación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 67

Parte II: Hacer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69Sección 1: las entradas del proceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . 69Sección 2: el plan de trabajo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70Sección 3: las salidas del proceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70

Parte III: Verificar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Parte IV: Actuar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71Parte V: Apoyo a los procesos de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . 73Parte VI: Resumen de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 74

9. Integración de detalles específicos de ISO en la auditoría . . . . . . . . . . . . . 79La guía PDCA de ISO 9001:2008 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80

PDCA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 80Leyenda a pie de página . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 81El plan de la guía PDCA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 82

Pero, ¡si no son preguntas! . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83El proceso de colocación en la guía PDCA . . . . . . . . . . . . . . . . . . . . . . . . . 84Elementos con función doble . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87Inspecciones y actuaciones sobre sus salidas . . . . . . . . . . . . . . . . . . . . . . . . 88Actuar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 88

Conclusiones y observaciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 89El final del viaje . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 91

Apéndice A. Auditoría basada en procesos . . . . . . . . . . . . . . . . . . . . . . . . . 93

Apéndice B. Sistemas de gestión de la calidad. Requisitos . . . . . . . . . . . . . . 105

Apéndice C. Ejemplo de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 125

Glosario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 141

4 PDCA: un modelo para realizar auditoría internas

Este libro se ha escrito pensando en los auditores internos principiantes y tambiénen los auditores con experiencia que buscan un enfoque más coherente. Su obje-tivo es proporcionarles un método para realizar auditorías enormemente eficaces queresulte fácil de entender. La comunidad de la calidad de hoy en día está confusacon respecto al enfoque apropiado que hay que adoptar para realizar las “auditoríasbasadas en procesos” y los encargados de la formación de auditores aún no handescubierto una técnica sencilla para educar y formar a los nuevos auditores. En lugarde eso, la mayoría de los programas de formación de auditores son poco más queuna continuación de los antiguos programas, los cuales eran confusos, desconcer-tantes y, con frecuencia, irrelevantes para los estudiantes.

En mis casi 21 años de experiencia en la profesión de la calidad, he observado que lamayoría de los auditores internos son trabajadores de base en sus organizaciones.Trabajadores de planta, personal de mantenimiento y oficinistas ocasionales com-ponen la lista promedio de auditores internos de la mayoría de las empresas. Aun-que no suelen proceder del departamento de la calidad, comienzan su experienciacomo nuevos auditores intentando captar los detalles y las sutilezas de su sistemade gestión de la calidad (SGC). De hecho, la mayoría de los programas de forma-ción de auditores internos de 16 horas dedican la mayor parte del primer día a expli-car y a examinar el SGC, lo que contribuye a la confusión y a la frustración de losestudiantes que normalmente no están acostumbrados a digerir rápidamente unainformación tan concentrada y detallada. Por si fuera poco, el segundo día suele serun ejercicio de role-play en el que se le pide al estudiante nuevo que prepare una audi-toría simulada de una empresa ficticia con graves problemas. Después de este ejer-cicio, se supone que el estudiante frustrado se ha transformado en un auditor cuali-ficado, preparado para enfrentarse al mundo real de la auditoría interna.

Prólogo

Por desgracia, este enfoque no funciona de forma satisfactoria y suele ser bastantecontraproducente, debido a los siguientes hechos:

• La formación tradicional de los auditores se centra en el cumplimiento y noen las técnicas de auditoría basada en procesos. Hasta ahora, un modelo deauditoría basada en procesos que fuera fácil de entender era solamente un con-cepto remoto y difícil de enseñar.

• La formación para auditores que se centra principalmente en los elementos dela Norma ISO 9001 tendrá como resultado inevitable intimidar al auditorprincipiante, en lugar de capacitarle. Al enfrentarse a una montaña de infor-mación cuidadosamente redactada y con aspecto técnico, la emoción de suvoluntarismo es sustituida rápidamente por otras emociones menos expansi-vas, como el cansancio, la impotencia y la frustración. Ninguna de esas sensa-ciones conduce al aprendizaje.

• Los auditores suelen ser elegidos entre las personas más inquisitivas, brillan-tes y responsables de la organización. Se merecen que la formación que reci-ban tenga un enfoque que apele a esos rasgos positivos, en lugar de forzarlesesencialmente a memorizar una cantidad de información apabullante antes depoder aplicarla como auditores. Lo peor de todo es la formación que básica-mente les convence de que nunca llegarán a captar la información básica, seguidade ejercicios sin sentido que sólo representan de forma marginal las condi-ciones que se dan en la vida real.

Este libro utiliza un nuevo enfoque basado en la buena disposición del alumnopara aprender y contribuir a la empresa como auditor interno, simplificando una seriecompleja de acciones. Esto se consigue mediante el examen y la aplicación guiada del“ciclo PDCA” de Shewhart y Deming. PDCA1, Plan, Do, Check, Act (PHVA, Plani-ficar, Hacer, Verificar, Actuar), es la base de la Norma ISO 9001:2008, aunque hastaahora había estado relegado a un segundo plano como enfoque básico de audito-ría. Sin embargo, la potencia de PDCA es, ante todo, su capacidad para ser com-prendido con facilidad. Cuando se reutiliza para formar a los auditores nuevos, PDCAproporciona un modelo coherente y fácil de seguir a la hora de realizar una autén-tica auditoría basada en procesos. Para conseguir los mejores resultados en una audi-toría, la exhaustividad es fundamental, y PDCA es un enfoque exhaustivo para lamejora de cualquier proceso.

Combinando una serie de preguntas generales extraídas de muchos elementos de laNorma ISO 9001:2008 con una guía de referencia cruzada de determinados elementos

PDCA: un modelo para realizar auditoría internas6

1 Nota del editor: por criterios técnicos, durante toda la publicación se utilizarán las siglas de laversión en inglés.

como compras, diseño, control de producción y calibración, los métodos presentadosen este libro ofrecen un punto de partida práctico y sencillo para los auditores prin-cipiantes y para las personas ya familiarizadas con los detalles de la Norma ISO9001:2008. Aquellos que ya han adoptado este enfoque consideran en su inmensamayoría que es superior a los métodos anteriores, no sólo por la simplicidad de sudiseño, sino también porque el auditor no se centra exclusivamente en la conformi-dad con la Norma ISO 9001:2008.

En lugar de eso, el auditor novel comienza el examen del desempeño de los proce-sos realizando una pregunta sencilla a partir de la cual fluyen todas las demás.

La falta de valor real de muchos programas de auditoría interna ha sido la conse-cuencia alarmante y desafortunada de la obsesión por cumplir con “la carta” en lugarde ser la sustancia y la intención del SGC de una organización. Poner todos los pun-tos sobre las íes o comprobar que todas las órdenes de compra estén firmadas tieneun valor marginal en comparación con el descubrimiento de una mejora importantecomo resultado de una auditoría significativa. También tienen su lugar las evidenciasde los planes y las actividades que simplemente son análogas a elementos de la NormaISO 9001:2008. Sin embargo, la evidencia de esos mismos elementos funcionandodentro de la organización unida al análisis y la planificación de mejoras son muchomás significativas para la alta dirección, al igual que una sostenibilidad duradera. Elenfoque de este libro está diseñado para buscar y notificar la excelencia en los pro-cesos, así como los puntos débiles, a la hora de cumplir este objetivo.

Los autores de la Norma ISO 9001:2008 eligieron PDCA porque ofrece una hojade ruta para la mejora continua. También se puede decir que es una hoja de ruta queconduce a un programa de auditoría interna que mejora de forma continua y quese comprende fácilmente. Los auditores principiantes necesitan toda la ayuda que seles pueda ofrecer. Este libro es un intento sincero de ofrecer a los auditores y a lasempresas para las que trabajan una oportunidad de conseguir éxitos rápidamente,independientemente de su experiencia previa como auditores o de los conocimien-tos de su SGC particular.

7Prólogo

La inspiración de este libro se produjo en una conversación cenando con JanineJohnson, antigua directora regional para el medio-oeste de QMI/SAI Global. Mientras hablábamos, cada vez veíamos más claro que estábamos tan interesados enel potencial de la revisión de 2000 de ISO 9001 como consternados por la falta deinnovación y atención a la formación de los auditores internos. En el momento de publicar este libro, nuestra relación había evolucionado hasta el punto de haberescrito juntos varios artículos para revistas y haber participado juntos en conferen-cias por todo el país. Nuestra valoración de la formación habitual del auditor y elconocimiento y la adopción generalizados de “el enfoque basado en procesos” dentrode las organizaciones sigue siendo un área de preocupación continua.

¡Sabíamos que tenía que haber una forma mejor de hacer las cosas! Unos mesesdespués, en una habitación de hotel desde la que se veían los rascacielos de Seattle,la respuesta apareció de forma repentina: el enfoque basado en procesos y PDCA,descritos uno detrás del otro en la norma, también se podían conectar para formaruna herramienta que enseñase cómo realizar una auténtica auditoría basada en pro-cesos.

Gracias, Janine. Desde ese momento hasta ahora, tengo mucho que agradecerte porla terminación de este proyecto. A mis colegas del Comité Técnico 176 de EstadosUnidos por los ánimos ofrecidos, especialmente a Dan Harper y J. P. Russell, y a Paul O’Mara y Matt Meinholz de ASQ Quality Press, mi agradecimiento más sin-cero. Mis colegas de Subcomité 3 de ISO, Grupo de Trabajo 11 (Tommie Johanssonde Suecia, Gordon Hawley del Reino Unido, nuestra Denise Robitaille y KevinFoley de Australia) también se merecen una mención especial por su apoyo desde elprimer momento y sus sabios consejos en las conversaciones sobre PDCA desdeBucarest hasta Sydney.

Agradecimientos

Wayne Voorhees, cuyo único deseo para cada uno de sus empleados es que alcan-cemos nuestros sueños, se merece una mención especial como líder ejemplar denivel 5. Su apoyo y aliento, junto con el de mis amigos “Northern Pipers”, espe-cialmente Kristin Munro y toda la buena gente de Otter Tail Corporation, me hansustentado de muchas maneras en los últimos años.

Y a los Pegster, siempre dispuestos a escuchar, leer, editar y asesorar a lo largo de lavida de este proyecto, mi máxima gratitud.

He leído cientos de agradecimientos en muchos libros, y todos ellos parecen termi-nar con el mismo reconocimiento de un fracaso: la imposibilidad de incluir a todaslas personas que han contribuido y han apoyado el esfuerzo realizado para termi-nar esta clase de proyectos. Sin embargo, aún no he leído ninguno que le incluyesea usted, el lector. Este proyecto estará completo cuando usted haya terminado su pri-mera auditoría auténtica basada en procesos. Me gustaría poder agradecer a la mayo-ría de los lectores la finalización de este trabajo, que da vida a una metodología nuevaque creció en respuesta a una conversación apasionada durante una cena.

Por último, que todo esto se haya podido reunir de forma tan asombrosa ratifica unaverdad maravillosa, una fuerza de vida especial: las coincidencias no existen. Graciasal Espíritu que despierta y nutre las posibilidades ilimitadas que hay en todos nos-otros.

10 PDCA: un modelo para realizar auditoría internas

Un viaje de miles de kilómetros debe empezar con un solo paso.

LAO-TZU (604-531 a.C.), El libro del Tao

La norma de gestión de la calidad ISO 9001:2008 reconoce que, al contrario de loque se cree, el primer paso no es el comienzo del viaje. La revisión de 2008 deja claroque cuando se trata de una organización de categoría mundial, en realidad dar el pri-mer paso es lo segundo que sucede. De hecho, a medida que aumenta el grado deriesgo, el diseño de la norma ayuda a las organizaciones a proceder con cuidado, apensar en lo que quieren hacer, y quizás a probar sus suposiciones antes de darrealmente ese primer paso decisivo.

Steven Covey, en su libro Los 7 hábitos de la gente altamente efectiva llama al auténticoprimer paso de cualquier viaje “la primera creación”. Pensamos en lo que vamos ahacer, adónde vamos y todas las demás cuestiones que tendremos que considerarantes de iniciar la mayoría de las acciones de la vida. La primera creación es simple-mente un pensamiento: está en la mente. Es la visión del artista de cómo será un cua-dro mucho antes de que la primera pincelada toque el lienzo. La primera creación esla idea, el pensamiento, la inspiración y el plan para hacer que suceda.

El plan es lo primero; en realidad el “viaje” ya está decidido antes de dar ese primerpaso. En el lenguaje empresarial moderno, el auténtico primer paso suele ser la reu-nión (o reuniones) de planificación. Los elementos de acción, que habitualmente sonel siguiente paso, son las cosas que se deben hacer después de esas reuniones. La revi-sión del año 2000 de la Norma ISO 9001 puso mucho énfasis en la planificación paraintentar evitar que las organizaciones pasen rápidamente a la acción sin considerartodos los problemas. En otras palabras, para que pensasen en todas las implicacio-nes que puede tener un viaje antes de hacerlo, independientemente de la distancia.

El viaje del auditor1

PDCA: un modelo para realizar auditoría internas12

La planificación no sólo es una buena práctica de la calidad, sino también una buenapráctica empresarial. Si una organización hace una buena planificación y actúa enconsecuencia, las probabilidades de éxito son bastante buenas. La alta calidad y losbuenos negocios están relacionados, y el énfasis que pone la Norma ISO 9001:2008en el enfoque al cliente y la implicación de la alta dirección depende de la implica-ción de esas entidades en el proceso de planificación. Después de todo, la alta direc-ción es la responsable de las decisiones de planificación de la empresa, y los clientesson quienes compran y utilizan las cosas que resultan de toda esa planificación. Porello, como tanto los negocios como la calidad dependen y triunfan con una planifi-cación eficaz, las operaciones de categoría mundial suelen caracterizarse por buscarla mejora continua de esos planes.

El elemento de auditoría interna de la revisión de 2008 de la Norma ISO 9001 men-ciona las palabras planificado o planificar cuatro veces. Un plan del proceso deauditoría documentado no sólo es necesario, sino que la duración planificada deltiempo entre las auditorías y los requisitos de planificación del propio sistema degestión de la calidad también se debe crear en el alcance de las auditorías internas.La norma no sólo requiere que los auditores examinen lo que hace la organización,sino también que investiguen sobre qué tipo de planificación se ha diseñado parahacer el trabajo. Éste es un punto importante, porque aunque muchos asuman quela auditoría consiste básicamente en determinar si el personal está haciendo su tra-bajo según algún plan, la norma señala que el propio plan es tan importante comolas cosas que hace el personal.

Auditoría de cumplimiento frente al enfoque PDCA

Una vez más, vemos que resulta esencial dedicar algo de tiempo a planificar antes de actuar. Sin embargo, las auditorías internas tradicionales suelen dedicarse más aexaminar lo que se está haciendo realmente dentro de una organización que a ave-riguar en qué consiste el plan que se diseñado para hacerlo. A este enfoque se le suelellamar auditoría de cumplimiento. El auditor examina cuidadosamente lo que estásucediendo y compara esas actividades con los elementos apropiados dentro de lanorma. El único valor real que tiene este enfoque es determinar si la organizaciónestá actuando o no según unas directrices definidas exhaustivamente.

Por ejemplo, un auditor puede preguntar: “¿Se ha establecido un programa de cali-bración y hay registros del equipo calibrado?”. La respuesta habitual que se suele darambas partes de esta pregunta es “sí”. Con esto no hemos aprendido nada sobre elplan de calibración global y menos aún sobre si se está midiendo y se ha determi-nado que está funcionando eficazmente. Lo mismo se puede decir de los demáselementos que requieren que estén disponibles determinadas herramientas o que se

1. El viaje del auditor 13

hayan documentado procesos específicos. Hay quien llama a esos elementos los “deben”. A lo largo de la Norma ISO 9001:2008, la frase “la organización debe” aparece muchas veces. La auditoría de cumplimiento busca cada uno de esos “debe” y básicamente los utiliza como una lista de comprobación de sí/no.

En otro ejemplo la norma deja claro que la organización debe explicar su proceso deauditoría en un procedimiento documentado y que deben estar definidos los criteriosde la auditoría, el alcance, la frecuencia y los métodos. Teniendo en cuenta esos requi-sitos, una auditoría de cumplimiento primero investiga si el proceso de auditoría hasido documentado. Una vez más, es una cuestión de sí/no. A continuación, el audi-tor examina el propio documento para determinar si trata los “criterios de la audito-ría”. Esto también conduce a una respuesta de sí/no, ya que los criterios de la audi-toría se explican o no se explican en el proceso. Una y otra vez pasamos por el alcancede la auditoría, la frecuencia y los métodos, pero preguntamos simplemente: “¿Estádefinido en el proceso escrito?”. Al asumir que la respuesta a todo lo anterior siem-pre es sí, el auditor es libre de pasar al siguiente conjunto “debe” para hacer las con-sideraciones apropiadas, cada una por separado, que tendrán relativamente poca impor-tancia o impacto en la capacidad de la organización para mejorar.

La auditoría de cumplimiento es fácil de enseñar, fácil de supervisar y fácil de pasarpor alto para las organizaciones que están buscando auténticas oportunidades paramejorar. A menudo, toda la repercusión que tiene la realización de una auditoría decumplimiento es haber hecho un seguimiento correctivo y disciplinario. Si se haencontrado una fisura en el sistema, se supone que la acción correctiva es necesaria,independientemente de la importancia de la infracción. Las conclusiones tediosasdevalúan todo el proceso de la auditoría y su reputación como herramienta de mejorase pone en cuestión.

Para lograr auténticas mejoras interactivas y significativas, las empresas de catego-ría mundial necesitan algo más que el resultado típico de la auditoría de cumpli-miento. Requieren auditorías internas que cuenten una historia completa, no sólo loque está conforme o no con la norma.

La auditoría del ascensor

Por ejemplo, imaginemos una auditoría de cumplimiento de una hilera de ascen-sores de hotel. El auditor ha desarrollado cuidadosamente un plan de auditoría yuna lista de comprobación de elementos basados en los manuales de servicio y enla documentación suministrada por el hotel. Éste está muy preocupado por la expe-riencia de los huéspedes y a lo largo de su manual de políticas expresa el apoyo yel compromiso con “una experiencia del cliente positiva” y que “los huéspedes

tienen derecho a un servicio por encima de la media”. La satisfacción global delhuésped es un objetivo definido claramente.

Los manuales de servicio del ascensor y sus expectativas de funcionamiento tambiénestán definidos claramente y se convierten en los principales objetivos de investiga-ción de la auditoría. Después de todo, el auditor piensa que si se cumplen las especi-ficaciones, el resultado debería ser equivalente al objetivo del servicio excepcional.

Llega el día de la auditoría y el auditor se dedica a confirmar que la puerta de cadaascensor se cierra a los cinco segundos de pulsar el botón del piso. El auditor deter-mina que, de hecho, la luz de cada piso se ilumina a medida que la cabina asciendey desciende, y que la “interfaz inteligente” entre los ascensores funciona correcta-mente. Es decir, cuando un ascensor llega a un piso solicitado, los demás ascenso-res ya no responden a esa llamada y pueden desplazarse a otros pisos. Una y otra vez,cabina por cabina, el auditor prueba atentamente cada ascensor y concluye que todoestá bien.

El informe de la auditoría concluye que el sistema de ascensores es seguro y que fun-ciona de forma coherente y dentro de las especificaciones indicadas. En el informese menciona un problema, una luz indicadora de piso fundida. Salvo eso, el auditorconcluye que todo se encuentra dentro de lo aceptable.

Por desgracia, como agente de satisfacción del cliente, el sistema de ascensores no lograproporcionar de forma constante una experiencia satisfactoria a los huéspedes del hoteldurante las horas de la mañana, especialmente cuando hay eventos grandes que requie-ren paradas en muchos pisos en un breve espacio de tiempo. Nuestro auditor falló ala hora de probar el sistema de ascensores “bajo tensión”, ya que prefirió fiarse de lasespecificaciones. Como resultado, la auditoría realizada a las 15:00 en un día entresemana proporcionó una supervisión de la conformidad, pero no le ofreció al hotel unainformación realmente significativa que le permitiera mejorar la experiencia del cliente.

La auditoría PDCA (PHVA, Planificar, Hacer, Verificar, Actuar) sí que satisface estanecesidad al examinar los procesos individuales dentro de las organizaciones comosi fueran eslabones de una cadena, cada uno de ellos dependiente de los demás, y consu propio plan para minimizar el riesgo y para hacer el mejor trabajo posible.

Mientras que la auditoría de cumplimiento lo primero que hace es preguntar si laempresa cumple los requisitos de ISO 9001:2008, el primer paso de la auditoría PDCAes examinar la organización. A diferencia de la auditoría de cumplimiento, el enfoquePDCA está diseñado para determinar en primer lugar si el proceso que está siendo exa-minado funciona de forma planificada para satisfacer las necesidades de la organizacióny de sus clientes. La belleza de este enfoque reside en que si el proceso está funcionandorealmente según se ha planificado y cumple las necesidades de los clientes, entoncestambién debe estar conforme con los requisitos importantes de ISO.

14 PDCA: un modelo para realizar auditoría internas

Una vez identificada un área específica, el equipo de auditoría diseña una auditoríaque primero examina el plan establecido para gestionar los riesgos en esa área. Puestoque la norma presta una gran atención a la planificación, muchos de esos elemen-tos están incorporados en esta etapa de la auditoría. No hay que olvidar que el pro-pio plan es tan importante como las cosas que hace la gente. Pero lo exclusivo de laauditoría PDCA es que esos mismos elementos de planificación se aplican a variasáreas dentro de una misma organización. El enfoque PDCA reconoce que, hastacierto punto, cada departamento dentro de la organización desarrolla un plan parahacer su trabajo. Para el auditor interno, esto significa que la organización ahorapuede utilizar el mismo conjunto básico de preguntas de planificación en cada unade sus auditorías y, por consiguiente, hacer un seguimiento continuado de la plani-ficación dentro de su sistema operativo.

La misma circunstancia se da dentro de cada una de las tres fases restantes de unaauditoría PDCA: al hacer, al verificar y al actuar. Dentro de cada una de esas fases elauditor utiliza una lista de preguntas genéricas (extraídas de la Norma ISO 9001:2008)que se aplican a cualquier área que se esté examinando. Este enfoque ayuda a los audi-tores principiantes y avanzados a realizar cada auditoría con mayor confianza y conla seguridad de que su trabajo incluirá más de uno o dos de los elementos de PDCAdentro del área que inspeccionen. Y lo que es más importante, la esencia de la audi-toría PDCA es que el auditor ahora sigue la progresión natural de la planificación:dar esos primeros pasos, verificar el terreno y, por último, embarcarse en el viaje.

La auditoría PDCA va mucho más allá de los “debe”, ya que guía al auditor por elproceso de investigar la robustez de un eslabón crucial en la cadena de la organiza-ción: el eslabón que reconoce las necesidades del cliente y que proporciona produc-tos para satisfacerlas.

Cumplir con su cliente: la alta dirección

Al ser un sistema empresarial, la salud y la seguridad de la implementación de ISO9001:2008 dentro de una organización es, o ciertamente debería ser, una preocu-pación principal de la alta dirección. Como auditores, trabajamos dentro de este sis-tema, sondeando, inspeccionando y notificando su desempeño. Si uno o más pro-cesos son débiles o ineficaces, el sistema también lo será. Los auditores examinan losprocesos, interesándose por su planificación, su seguridad y su eficacia. La alta direc-ción necesita examinadores minuciosos que le ofrezcan información sólida para tomarlas mejores decisiones.

Si el sistema es débil y los procesos son poco fiables, lo más seguro es que se formendepartamentos silos, bien provistos y protegidos. Estos departamentos pueden trabajar

151. El viaje del auditor

en equipo, pero sólo dentro de su unidad. Suelen tener una actitud muy protec-tora. No son parte de una cadena interconectada e interdependiente porque hanaprendido la dura lección de que otros elementos de dentro de la organización noson de confianza. Cuando la alta dirección se aísla de ellos, o simplemente no logradirigirlos, el liderazgo cae en manos de sus responsables. En ese momento, en lugarde que todo el mundo trabaje por un fin común, cada departamento trabaja para suspropios fines. Ésa no es una buena práctica y, una vez más, la alta dirección nece-sita datos sólidos para realizar las mejoras necesarias. Mediante los métodos de laauditoría PDCA, los auditores internos pueden y deben proporcionar esta valiosainformación.

Según la Norma ISO 9001:2008, la alta dirección, en primer lugar, tiene la obliga-ción de proporcionar claramente las pautas estratégicas en forma de una política dela calidad y objetivos establecidos. A continuación, debe definir el sistema, la seriede procesos que se necesitan para llevar a cabo esos objetivos para lograr la políticade la calidad. Ahora, si cada departamento, independientemente del trabajo especí-fico que haga, está intentando cumplir su parte de lo que hace falta para lograr esosobjetivos, todos deben trabajar en pos de esos objetivos comunes. Para un auditor,los departamentos silos son una indicación de que los objetivos y la política de la cali-dad de la alta dirección necesitan atención y refuerzo. Después de todo, son la visióny el espíritu que guía a la empresa. Juntos, son el gran plan para hacer que todo fun-cione. Y sin la participación de la mayoría, un flujo constante de concentración, com-prensión y participación, las mejoras tardarán mucho en llegar.

Una vez que haya definido el sistema, la alta dirección ya se habrá comprometido allevarlo a cabo. Después de todo, ¿por qué invertirían su tiempo y energía en plani-ficar y reunir un sistema para luego alejarse del viaje real? Es muy poco probable quelos hombres de negocios racionales inviertan en desarrollar lo que creen que es unsistema ganador y luego lo abandonen por falta de confianza o porque no creen fir-memente en su obra. A lo largo de la norma, a la alta dirección se la señala como la“responsable” de planificar, hacer, verificar y actuar sobre la información generadapor el sistema que ella misma ha definido. Si cambiamos la frase “responsabilidad dela dirección por compromiso e implicación de la dirección”, estará clara la diferenciaentre las ediciones de 1994 y 2000/2008 de la Norma ISO 9001. En esta ocasión,ISO es una herramienta empresarial, inestimable para que la empresa gestione susasuntos más importantes. La auditoría PDCA acerca todo el proceso de planifica-ción, implementación, medición y mejora a la atención de las personas que más nece-sitan esta información.

Nota: basándose en su experiencia como auditor o profesional de la calidad, es posible que ustedse pregunte de qué manera un nuevo enfoque de la auditoría puede tener una aplicación directapara la alta dirección dentro de su organización. Es muy probable que, en ciertos escenarios, lasauditorías internas se consideren como una función limitada del departamento de la calidad.

16 PDCA: un modelo para realizar auditoría internas

Pero la diferencia de PDCA reside en su enfoque. En lugar de basarse en una conformidad queafecta a los procesos, al idioma y a los requisitos de ISO, el auditor de PDCA examina directamentelos procesos de su empresa, introduciendo ISO en el debate solamente cuando ayuda a explicar lasprácticas recomendadas. El enfoque de la auditoría PDCA es muy sencillo de utilizar para la altadirección porque además puede ser una herramienta muy valiosa. A medida que lee este libro,piense en aquellas ocasiones en las que la alta dirección estaría agradecida de aprender de los pro-blemas de gestión de los procesos, los problemas de control de los recursos, y muchas de las medi-das operativas importantes que indican progresos o problemas dentro de su organización.

La conexión con el cliente

El objetivo de la alta dirección es sencillo: vender algo o prestar servicios a más clien-tes. Y hay pocas cosas tan básicas como un aspecto fundamental de la relación entreproveedores y clientes: ambos quieren más. Y como cada uno debe saber lo querequiere el otro, es obvio que hacer productos en un sistema con un enfoque prin-cipalmente hacia el interior es lo opuesto a lo que se necesita para lograr el éxito. Sinembargo, un número asombroso de empresas y organizaciones de servicio siguenescuchándose más a sí mismas que a sus clientes. El coste de este mal encauzamientoes la utilización interna de energía que, de otra forma, se reforzaría con la retroali-mentación positiva de una base de clientes leal y creciente. La retroalimentacióndel cliente es lo que confirma el valor del trabajo diario y el liderazgo que creó el sis-tema que lo hace posible todo.

La Norma ISO 9001:2008 comprende que la creación de lealtad y de una presenciapositiva en el mercado requiere un plan que primero intente comprender qué quie-ren los clientes, después diseñe las operaciones para producirlo y, por último, lo entre-gue de la forma más eficiente posible. Dicho de forma sencilla, ISO es en realidadun plan empresarial creado para ofrecer al cliente lo que desea. Como auditores, bus-camos un sistema diseñado y supervisado por la alta dirección y creado para satisfa-cer al cliente. Esta “conexión con el cliente” es algo de lo que los auditores deben serconscientes y deben buscarla mientras realizan su trabajo, independientemente delárea que estén investigando.

Una organización fuerte y de éxito tendrá esa conexión con el cliente; de hecho, cadadepartamento la tendrá. El trabajo irá destinado a explorar cada vez más esa cone-xión, y toda la información que ayude a comprender mejor al cliente será bienvenida,analizada e incorporada en el producto o servicio de la empresa. Una conexión fuertecon el cliente equilibra el pensamiento interno con las preocupaciones externas.Las organizaciones cuyo sistema está dedicado a reforzar el vínculo entre ellas mis-mas y sus clientes hacen mejoras basadas en lo que desean sus clientes. Miran haciael exterior para conocer las reacciones que tienen sus clientes frente a sus productos

171. El viaje del auditor

y luego hacen cambios dentro de la empresa, redirigiendo su trabajo para propor-cionar al cliente más de lo que necesita. Su objetivo común es la satisfacción del clientey algunos departamentos deben trabajar juntos para lograrlo, según los objetivosde la alta dirección. El sistema de auditoría PDCA está diseñado para buscar estaconexión con el cliente y, una vez más, todo empieza con la “primera creación” deCovey: el plan.

La alta dirección y la planificación estratégica de riesgos

Sabemos que el plan estratégico global de la alta dirección debe basarse en el cliente.También sabemos que este plan es algo que debemos reconocer en cualquier partede la organización en la que estemos y si funciona veremos cómo aumentan los nive-les de satisfacción del cliente. Esta información puede provenir de muchas fuentesposibles: encuestas directas al cliente, informes de venta, estudios e informes delsector, informes resumen de instalación o envío, y registros o informes del centrode servicios. No se necesita una lista completa, ya que cada organización tendrá supropia descripción de cómo supervisa a sus clientes y aprende de ellos. Basta conpreguntar.

Ahora, dedique un momento a preguntarse por qué es tan importante hacer todoesto en primer lugar. No cabe duda de que es una tontería hacer productos sin saberqué es lo que desea el cliente. Sin embargo, hay que hacer muchas más cosas que seramable con la mano que le da de comer. Cualquier propietario de un negocio sabeque un error importante podría significar tener que enviar a todo el mundo a casay echar el cierre. Lo esencial de la idea de convertir las necesidades del cliente en pro-cesos bien gestionados es encontrar una forma fiable de controlar el riesgo.

El control del riesgo es lo que hace la alta dirección todos los días. Su trabajo es tomardecisiones para distribuir mejor el dinero para pagar al personal, la maquinaria, losedificios y todas las demás cosas que requieren financiación. No suelen llamar a sutrabajo “gestión del dinero”, quizás porque suena más a algo que lleva a cabo de forma rutinaria el departamento financiero. El término más popular es gestión delos recursos, aunque se sigue tratando de dinero, y son ellos los que toman las deci-siones sobre quién o qué lo obtiene y cuánto obtiene.

Esas decisiones son más fáciles de tomar cuando está claro que una inversión pro-porcionará rentabilidad. Lo más obvio es invertir, y lo menos, el riesgo de malgas-tar el dinero. Las auditorías PDCA son una forma excelente de determinar si las inver-siones en procesos se están realizando en realidad de la forma esperada.

18 PDCA: un modelo para realizar auditoría internas

La vista desde la cima

En una ocasión hablé para un grupo de altos directivos: presidentes y directores gene-rales de empresas. Cuando me dirigía a la reunión, buscaba el enfoque perfecto paradirigirme a ellos como grupo. Previamente me habían dicho que esa docena de líde-res empresariales se encontraban en diversas etapas del proceso de desarrollo de susplanes estratégicos, muchos de ellos por segunda o tercera vez en la historia de suempresa. Yo quería encontrar rápidamente sinergias entre ellos y el tema de la charla,el cual era esencialmente la calidad como buena forma de hacer negocios, así queintenté imaginar cómo tomaría las decisiones diarias cada uno de ellos.

Como sabía que un sistema de la calidad bien diseñado proporciona a la alta direc-ción una gran cantidad de información fundamental para tomar buenas decisionesempresariales, decidí empezar por preguntar cuántos de esos líderes empresarialesconfiaban principalmente en los informes y las conversaciones con los demás paratomar decisiones. Como era de esperar, todos ellos tenían en común una fuerte depen-dencia de su grupo de gestión para que les proporcionase la mayoría de la informa-ción que utilizaban para tomar decisiones.

A continuación, les pedí que dedicasen un minuto a pensar sobre qué estaba en juegocuando la mayoría de las decisiones se basaban en informaciones de otras personas.Como hemos hablado anteriormente, hay una respuesta muy básica e universal a estapregunta. Se tomaron su tiempo, pero finalmente se pusieron de acuerdo en que sutrabajo principal era controlar el riesgo a través de las decisiones de dónde, cuándoy cómo gastar el dinero.

Y como todas esas decisiones se basaban en información suministrada por los siste-mas y por otras personas que no eran ellos mismos, tenía sentido que hay que estarrodeado de buenos sistemas y personas que fuesen muy competentes en su trabajo.Además, todo el mundo coincidió en que el riesgo de tomar una mala decisión sereducía en proporción directa a la cantidad de buena información que recibían.

Así que escribí lo siguiente en el tablero de la sala de conferencias:

1. El trabajo de la alta dirección es tomar decisiones.

2. Las decisiones se basan principalmente en la información suministrada a losaltos directivos.

3. Cuanto mejor sea la información, mejor será la decisión.

4. Las decisiones de la alta dirección tratan de las formas de minimizar riesgos.

5. El riesgo se gestiona mediante las decisiones sobre el mejor uso de los recursos.

6. Una buena gestión de los recursos equivale a una buena gestión del riesgo.

191. El viaje del auditor

“Entonces –pregunté–, ¿cuántos de ustedes están rodeados de la mejor informa-ción que permita tomar la mejor decisión sobre dónde invertir los recursos de laempresa para controlar el riesgo?”

Por supuesto, casi todos creían que su grupo de gestión era excepcional y que nor-malmente recibían información fabulosa de forma regular. Como no quería que aban-donasen el tema, volví a incidir sobre qué consideraban información fabulosa, y todossin excepción hablaron de conversaciones e informes sólidos sobre sus problemasoperativos, lo que significaba que sus preocupaciones estaban enfocadas hacia elámbito interno.

“Si la gestión del riesgo es el objetivo –dije yo, colocando el anzuelo cuidadosa-mente–, y la información interna guía sus decisiones, parece que toman principal-mente decisiones sobre cómo protegerse de sí mismos.” En otras palabras, toda laeficiencia y los informes financieros, todas las reuniones para tratar el estado delos proyectos, y todas las revisiones presupuestarias que normalmente consumen lamayoría del tiempo de los altos directivos representan información que surge demediciones y objetivos internos proporcionados por sus consejeros internos másfiables.

Como el mayor riesgo que puede correr cualquier productor o prestador de unservicio es funcionar de tal manera que se aleje de sus clientes o los olvide, losaltos directivos necesitan información de fuera de la organización, y no sólo delgrupo de gestión estrechamente unido que les suele rodear. Armados con infor-mación sólida sobre lo que es aceptable o no desde la perspectiva del cliente, losaltos directivos pueden trabajar con su personal para decidir sobre un plan queasigne recursos para producir productos o prestar los servicios que los clientesdesean. Sin esta información vital, el riesgo de tomar decisiones equivocadas estácasi asegurado.

Miré a la sala y supe que había dado en el clavo. El plan estratégico de la alta direc-ción tiene que empezar por un conocimiento riguroso de sus clientes y su mer-cado. Una vez establecido este concepto, el resto de mi charla fue bastante sencilla:“Si sabe lo que desean sus clientes, el siguiente paso es crear un plan para propor-cionárselo”.

Como auditores, siempre estamos buscando planes o procesos que se puedantrazar directamente hasta una decisión de hacer las cosas de una determinada manera,basándonos en cuál sería el mayor riesgo para la empresa si se hubiesen hecho deforma diferente. Y el riesgo fundamental es la posibilidad de que el cliente no acepteel producto o el servicio en el que la empresa ha trabajado tanto para proporcio-nárselo.

20 PDCA: un modelo para realizar auditoría internas

Auditoría PDCA

En este libro se tratan las herramientas y los métodos necesarios para llegar a ser ungran auditor o para enseñar a otros auditores a que lo sean. Aunque cada capítuloestá dedicado a un concepto determinado, la aplicación universal de PDCA haceposible un grado elevado de confianza, conocimiento y control de la función deauditoría.

El capítulo 2 y el 3 explican que el ciclo PDCA es el mejor amigo del auditor, ya quese trata de un enfoque sistemático y exhaustivo para examinar los planes de losprocesos, su implementación dentro de su organización y cómo están funcionando.El capítulo 4 visualiza el ciclo PDCA como un proceso completo y explora los pro-cesos que hay establecidos para transformar los planes en realidades.

El capítulo 5 examina cómo se conectan los procesos entre sí en un sistema, unode los cuales es ISO 9001:2008. Examinaremos la norma tal y como estaba pen-sada: como un sistema diseñado para proporcionar a la alta dirección la mejor infor-mación posible para tomar decisiones informadas. El capítulo 6 examina los apar-tados 4.1 y 7.1, los apartados PDCA principales de la norma y su capacidad paracrear mejoras sistémicas.

El capítulo 7 explora los conceptos esenciales y los tipos de preguntas que se suelenrealizar dentro de una auditoría PDCA exhaustiva.

En el capítulo 8 se presenta el modelo de la auditoría PDCA, una herramienta quese puede utilizar para auditar un proceso, un objetivo e incluso la propia política dela calidad.

El capítulo 9 combina el modelo de la auditoría PDCA y la guía PDCA de ISO9001:2008 que se utiliza al auditar áreas específicas dentro de la organización. Lanorma se explica en el lenguaje de PDCA, que permite que incluso el auditor prin-cipiante realice una auditoría significativa y en profundidad. El capítulo 9 com-pleta el proceso de proporcionar valor a la alta dirección y a toda la organiza-ción a través de una auditoría PDCA y el proceso de la acción correctiva y elseguimiento.

Los apéndices completan el estudio de la auditoría PDCA. El modelo de la audi-toría y la guía PDCA de ISO 9001:2008 aparecen respectivamente en los apén-dices A y B. El apéndice C presenta una auditoría realizada en una instalación defabricación de tuberías de PVC, en la que se incluyen explicaciones y referencias alos registros.

211. El viaje del auditor

Resumen

La buena calidad y los buenos negocios empiezan cuando los altos directivos hacenplanes para evitar riesgos inaceptables. Y el mayor riesgo que puede correr cualquierempresa es no conocer qué desean exactamente sus clientes.

Sin embargo, la planificación es mucho más que el primer paso, porque pone enmovimiento lo que será el resto del ciclo PDCA. Todos los componentes de la orga-nización comprenderán que un buen plan es algo que pueden cumplir mientrasrealizan el interminable trabajo de proporcionar productos más aceptables para losclientes. Un buen plan necesita poca promoción, se comprende fácilmente y cogeimpulso rápidamente. Y como es el principio, la P del ciclo PDCA, es especialmenteimportante para establecer el proceso que viene después.

Por supuesto, cuanto mejor sea el plan, mayor será la probabilidad de éxito. El capí-tulo siguiente trata sobre la planificación y el rastro que establece y deja a su paso.Como auditores, nuestro viaje sigue ese rastro a través de la organización, a menudopasando de un departamento a otro, para decidir por nosotros mismos si conducea un mejor control del riesgo y a clientes satisfechos. Nuestro deseo es devolver esainformación a los altos directivos que aprobaron el plan original y contarles lo quehemos aprendido por el camino. Nuestro trabajo probablemente les ayude a deci-dir si el dinero invertido en el plan estaba bien gastado o si se necesita más dineropara alcanzar el resultado deseado. Como resultado de seguir ese rastro, nuestras audi-torías se convierten en herramientas óptimas para las decisiones de la alta direc-ción, generando mejoras en el proceso de planificación y, en última instancia, el éxitode la empresa.

22 PDCA: un modelo para realizar auditoría internas