El documento describe los procedimientos para documentar, evaluar y tratar las no conformidades encontradas durante una auditoría. Explica que una no conformidad bien documentada incluye la evidencia, el requisito incumplido y la declaración de la no conformidad. También cubre cómo graduar las no conformidades y el proceso de análisis de causas, acciones correctivas y de seguimiento para resolverlas.
Auditoria interna evaluación de evidencias y no conformidades
1. CONTENIDO:
Tabla de contenido
CONTENIDO:..................................................................................................................................1
DOCUMENTANDO UNA NO CONFOMIDAD............................................................................................... 1
Documentando una no conformidad........................................................................................................1
AnexoA – Ejemplo de un formato de Reporte de No Conformidad (RNC)................................................... 4
EVALUACIÓN DE EVIDENCIAS Y NO CONFORMIDADES(TENGO QUE HACER UNA AUDITORÍA INTERNA X)....5
Redacción de las No Conformidades ........................................................................................................5
Graduación de las no conformidades .......................................................................................................6
TRATAMIENTO DE NO CONFORMIDADES .................................................................................................7
BIBLIOGRAFIA....................................................................................................................................... 10
DOCUMENTANDO UNA NO CONFOMIDAD
Traducción libre realizada por INLAC -Documentos oficiales disponibles en :
www.iso.org/tc176/ISO9001AuditingPracticesGroup
International Organization for Standardization International Accreditation Forum
Documentando una no conformidad
El enfoque de cualquier auditoría a un sistema de gestión es determinar si el sistema de
gestión ha sido desarrollado, eficazmente implementado y está siendo mantenido. Una
organización se certifica en base a que se ha implementado eficazmente un sistema de
gestión que es conforme con los requisitos de la norma ISO 9001. Por lo tanto el énfasis
de una auditoría de sistema de gestión debe ser verificar la conformidad, no el
documentar no conformidades.
Los auditores deben mantener un enfoque positivo y ver los hechos y no las faltas.
2. Sin embargo, cuando la evidencia de auditoría determina que existe una no
conformidad,
entonces es muy importante que la no conformidad sea documentada correctamente.
¿Qué es una no conformidad?, de acuerdo a la definición en la norma ISO 9000 (3.6.2),
una no conformidad es: “un no cumplimiento a un requisito.”
Hay tres partes en una no conformidad bien documentada:
1. la evidencia de auditoría que soporta los hallazgos del auditor;
2. un registro del requerimiento contra el cual la no conformidad se detecta;
3. el enunciado de la no conformidad.
Aunque estas tres partes necesitan ser abarcadas, en la práctica real, es la evidencia de
auditoría la que primeramente debe ser identificada y documentada. Esto es porque un
auditor competente observará situaciones que “siente” pudieran ser una no conformidad
potencial durante una auditoría, aunque no se esté 100 % seguro en ese momento. El
auditor competente documentará entonces la evidencia de auditoría de la no conformidad
potencial en sus “notas de auditoría” antes de seguir pistas adicionales para confirmar si
realmente es una no conformidad.
Si no hay evidencia – no hay no conformidad.
Si si hay evidencia – esta debe ser documentada como una no conformidad en vez de
ser suavizada con otra clasificación (por ejemplo, “observaciones”, “oportunidades de
mejora”, “recomendaciones”, etc.).
A largo plazo, ni la organización, sus clientes, ni el cuerpo de certificación se benefician
por el uso de clasificaciones suaves, ya que se tiene el riesgo de haber dado a la no
conformidad una baja prioridad para acción correctiva.
La evidencia de auditoría debe ser documentada con suficiente detalle para que la
organización auditada pueda encontrar y confirmar exactamente lo que el auditor ha
observado.
La siguiente cosa que el auditor necesitará hacer es identificar y registrar el requisito
específico que no ha sido cubierto.
Recuerde, una no conformidad es un no cumplimiento a un requisito, por lo que si el
auditor no puede identificar el requisito, entonces el auditor no puede levantar una no
conformidad.
Los requisitos pueden venir de muchas fuentes, por ejemplo estos requisitos pudieran
estar especificados en la norma ISO 9001en el sistema de gestión de la organización
(requisitos internos), en las regulaciones legales aplicables, o por los clientes de la
organización.
3. Una vez que la no conformidad contra un requisito específico es confirmada, esta necesita
ser documentada. Esto puede ser tan simple como referenciar la norma y la cláusula
específica.
(Nota: La norma ISO 9001contiene cláusulas que incluyen más de un requisito. Es
importante que el auditor claramente identifique y registre el requisito específico
relativo a la no conformidad, por ejemplo transcribiendo de la norma el texto exacto
del requisito que es aplicable a la evidencia de la auditoría. Esto puede también
aplicarse a las otras fuentes de requisitos.)
La parte final (y más importante) de documentar una no conformidad, es la escritura de la
declaración de la no conformidad.
El enunciado de la no conformidad dirige el análisis de la causa, la corrección y la
acción correctiva que realice la organización, por eso ésta necesita ser precisa.
El enunciado de la no conformidad debe:
ser autoexplicativo y relacionado a la parte correspondiente del sistema
no ser ambiguo, lingüísticamente correcto y lo más conciso posible
no ser una repetición de la evidencia de la auditoría o usado en lugar de la
evidencia de auditoría.
Para resumir, una no conformidad bien documentada tendrá tres partes:
la evidencia de auditoría,
el requisito y
el enunciado de la no conformidad.
Si las tres partes de la no conformidad están bien documentadas, el auditado o, cualquier
otra persona con conocimientos suficientes podrá ser capaz de leer y entender la no
conformidad.
Esto servirá también como un registro útil para futuras referencias.
Con el objeto de proporcionar trazabilidad, facilitar el progreso de las revisiones y
evidenciar la terminación de las acciones correctivas, es esencial que las no
conformidades sean registradas y documentadas de una manera sistemática. Una
manera simple de lograr esto es a través del uso de un formato de Reporte de No
Conformidad (RNC). Por favor vea en el anexo A un ejemplo de un tipo de este formato.
4. Anexo A – Ejemplo de un formato de Reporte de No
Conformidad (RNC)
RNC # Cliente Folio No
Función/Area/Proceso: Planta:
Norma y cláusula:
Sección 1- Detalles de la No Conformidad:
Descrip
ción
Auditor : Reconocimiento del representante de
la organización:
Categoría:
Fecha:
Sección 2- Plan de acción Propuesto por el
Auditado
(Adjunte hojas si se
requiere)
Análisis de causa raíz (¿Cómo / Porqué pasó?):
Corrección (arreglo inmediato) con fechas de terminación:
Acción Correctiva (para prevenir la reocurrencia) con fechas de terminación:
Revisión y aceptación del plan de acción correctiva por el “Auditor”:
Representante del auditado: Fecha:
Sección 3- Detalles de la verificación por el “Auditor” de la implementación del plan de acción
Sección 4- RNC cerrada por “Auditor” el (fecha): Nombre del auditor líder:
5. EVALUACIÓN DE EVIDENCIAS Y NO CONFORMIDADES
(TENGO QUE HACER UNA AUDITORÍA INTERNA X)
Evaluar estas evidencias obtenidas y definir su conformidad o no.
EVIDENCIA es todo hecho que objetivamente queda establecido durante la
auditoría, pudiendo ser su origen:
Registros / Documentos
Declaración confirmada
Cualquier información que es verificable
Estas evidencias de auditoría deben ser evaluadas frente a los criterios de
auditoría, esto es, frente al conjunto de requisitos que sirven de referencia.
El resultado de esta evaluación constituye el hallazgo de auditoría.
De este modo, el hallazgo de auditoría puede tener un resultado positivo o
negativo:
– Positivo: Se demuestra cumplimiento con respecto al criterio de auditoría
(conformidad)
– Negativo: Se demuestra incumplimiento respecto al criterio de auditoría (no
conformidad)
El proceso completo se comprende mejor con un ejemplo:
Evidencia: Los equipos PA-03, PA-05 y MT-01 han sido utilizados fuera del
periodo de verificación / calibración (inspecciones PPI-02, PPI-03 y PPI-06).
Evaluación: Negativo. La organización incumple el apartado 7.6 a) de la
Norma ISO 9001:2008 y su propio procedimiento PP-0301.
Hallazgo: La organización no ha calibrado algunos equipos de inspección
antes de su utilización (No conformidad).
Recordar que la auditoría evalúa el grado en el que el sistema de gestión
es eficaz y no únicamente detecta hallazgos negativos.
Redacción de las No Conformidades
Redactar las no conformidades es uno de los aspectos más críticos de la
auditoría, por ello, el auditor debe tener una buena capacidad de expresión
escrita, porque debe hacer un registro exacto de los hechos observados,
indicando cuantas evidencias apoyen el hallazgo o hallazgos.
La redacción de la no conformidad debe ser lo más exacta y precisa posible.
La redacción de la no conformidad deberá incluir:
El hallazgo de auditoría
Las evidencias de auditoría que la sustentan, o al menos ejemplos
significativos
El criterio de auditoría que se incumple (requisito exacto)
EJEMPLO:
6. Por seguir con el ejemplo anterior:
Hallazgo: La organización no ha calibrado algunos equipos de inspección
antes de su utilización
Evidencia: Equipos PA-03, PA-05 y MT-01
Criterio: Punto 7.6 a) de la Norma ISO 9001:2008 y su propio procedimiento
PP-0301
Redacción final: La organización no ha calibrado algunos equipos de
inspección antes de su utilización, como los Equipos PA-03, PA-05 y MT-01,
incumpliendo el Punto 7.6 a) de la Norma ISO 9001:2008 y su propio
procedimiento PP-0301.
Graduación de las no conformidades
Cada programa de auditoria, tiene sus propios esquemas y procedimientos de
auditoría. En ellos, es común que se definan criterios de graduación de las no
conformidades detectadas con el fin de facilitar la comprensión de las
conclusiones de la auditoría.
Los criterios de graduación permiten la categorización cualitativa de las no
conformidades. Esta graduación de las no conformidades suele basarse en
combinaciones que conjugan:
La gravedad del problema detectado o efecto de la no conformidad en la
eficacia del sistema de gestión de la calidad
Su amplitud o alcance de la no conformidad dentro del sistema
Su frecuencia o el carácter sistemático o puntual de su aparición
Los criterios de graduación son muy variados en función de las necesidades
del cliente de auditoría. En general, los más utilizados son:
Graduación 2 Niveles
Pudiendo ser el sistema:
No Conformidades Mayores y menores
No conformidades y Observaciones
No conformidades y desviaciones
Graduación 3 Niveles
No conformidades Críticas, Mayores y menores
No conformidades Categoría 1, Categoría 2 y Categoría 3
Independientemente del sistema elegido, debe quedar claro cuando la no
conformidad es sistemática y generalizada o cuando es puntual y localizada.
En ISO Calidad 2000 tenemos un sistema de cuatro niveles según el siguiente
esquema:
No Conformidad: Incumplimiento grave o reiterado de un punto de las normas
de referencia y / o del Sistema de Gestión.
Desviación: Incumplimiento puntual de un punto de las normas de referencia y
/ o del Sistema de Gestión.
Observación: Evidencias encontradas que pueden generar en un futuro una
No Conformidad.
Acción de Mejora: Propuesta de cambios al Sistema de Gestión para mejorar
su eficiencia.
7. TRATAMIENTO DE NO CONFORMIDADES
Esto es una pequeña guía en la que se explica cómo deben tratarse las No
Conformidades de Auditorias para corregirlas y, además, para intentar obtener
el máximo rendimiento a estas acciones de mejora.
Es recomendable que no sólo la empleéis para las No Conformidades de
Auditoria, sino para cualquier No Conformidad del Sistema de Gestión. Se
incluye una columna con un ejemplo para aclarar la sistemática.
Indicar que, aunque el ejemplo está relacionado con situaciones de
emergencia, este sistema es válido para el tratamiento de No Conformidades
de cualquier sistema de gestión basado en normas ISO y similares. El Sistema
es el siguiente:
FASE EJEMPLO
Detección: Este es el principio de toda
No Conformidad, la detección.
Una vez identificada, se debe redactar
de forma que incluya tres partes
básicas: la evidencia, que demuestra
que está mal o no se ha obtenido el
resultado esperado; el documento del
sistema, que indica cómo se debe hacer
con referencia, si la hay, a los registros;
y el punto de la norma de referencia.
En la No conformidad también se debe
indicar la fecha y la persona que lo ha
detectado.
13/04/2013 No se ha realizado el simulacro
semestral de la delegación DL5 establecido en
el PG.07.02 en contra del punto de la norma
ISO 14001 4.4.7. y OHSAS 4.4.7. Lo detecta el
Auditor Interno.
Análisis del Efecto: Se comprueba que
efecto ha tenido y se actúa sobre éste
para repararlo. A este tipo de acciones
se les llama Acciones Reparadoras y
suelen ser inmediatas. Se les puede
asignar un responsable y un plazo.
Efecto: Sin prueba periódica semestral
Acción Reparadora: 15/04/2013 Se ha realizar
el simulacro. Responsable de la Delegación.
8. Análisis de la Causa: Se comprueba
cuáles son las causas que han motivado
esa No Conformidad. Para realizar este
análisis hay muchas técnicas (Ishikawa,
Pareto, etc), pero lo importante es
identificar todas aquellas que hayan
podido tener una relación con la No
Conformidad. Después, seanalizan y se
determina cuáles de estas causas son
las que han tenido una relación
más directa con la No Conformidad.
Causas:
1. Al responsable de la delegación se le
había pasado por carga de trabajo
elevada.
2. El Director de Sistemas no tiene
obligación de revisar los simulacros.
3. Tanto ISO 14001 como OHSAS 18001
indican que se deben realizar pruebas
periódicas cuando sea factible.
Causas con relación directa: la primera y la
segunda.
Acción Correctiva: Es la acción que se
emprende para actuar sobre las causas
que han tenido una relación más directa
sobre la No Conformidad. Como pueden
ser varias, se pueden emprender varias
acciones correctivas para una misma No
Conformidad. Se deben
asignar responsables y plazos.
Acción Correctiva:
1. Rebajar la carga de otros trabajos al
Responsable de la Delegación de forma
que se le permita llevar adecuadamente
el Sistema de Gestión. Si esto no es
posible, delegar algunas de las funciones
de esta persona en personal de la oficina.
Responsable: Director de Sistemas.
Plazo: 1 mes.
2. Establecer un sistema por el cual el
Director de Sistemas revise
periódicamente la realización de los
simulacros. Responsable: Director de
Sistemas. Plazo: 1 mes.
Acciones Preventivas: Para no
desaprovechar la identificación de las
causas, se pueden establecer acciones
de mejora sobre las causas que no han
tenido una relación tan directa con la No
Conformidad. Se deben asignar
responsables y plazos.
Acción Preventiva sobre la tercera causa:
Establecer en el Sistema de Gestión las
situaciones de emergencias en las cuales no es
factible realizar un simulacro. Para este tipo de
situaciones proponer un sistema mediante
Check List que permita comprobar la correcta
actuación según el Procedimiento PG.07.02.
Responsable: Director de Sistemas. Plazo: 3
meses.
Seguimiento de las acciones
emprendidas: Se debe indicar la
evolución de las medidas propuestas
(acciones correctivas y preventivas),
Seguimiento:
1. 10/05/2013 El Departamento de Gestión
de Sistemas de la Central va a asumir
parte de las funciones de los
9. incluyendo las personas que las están
realizando y las fechas de estas
acciones implantadas.
responsables de delegación según el
Organigrama Revisión: 8 del 05/05/2013.
2. 10/05/2013 El Director de Sistemas
revisará mensualmente el cumplimiento
de los plazos para la realización de los
simulacros según el nuevo registro
RPG.07.02d “Planificación de Simulacros
por delegación”
3. 09/07/2013 El Director de Sistema ha
revisado el Plan General de Emergencias
y se ha establecido que para las
situaciones relativas a catástrofes
naturales (terremotos, inundaciones, etc)
y atentados terroristas, no es factible la
realización de un simulacro. Por este
motivo, cuando se realicen simulacros
que incluyan situaciones de evacuación,
se comprobará el procedimiento de
emergencias según el nuevo Chek List
RPG.07.02e que permite la revisión de
forma teórica de las situaciones de
catástrofes naturales y atentados.
Verificación de la Eficacia y Cierre:
En este punto se trata de determinar si
cada una de las acciones propuestas ha
sido eficaz, es decir, ha obtenido el
resultado esperado y se ha
eliminado/controlado esa causa de la
No Conformidad. Se debe indicar el
responsable que establece dicha
eficacia y la fecha.
Cuando la acción ha sido eficaz, se
procede a su cierre, indicando que ha
sido eficaz, la persona que hace dicho
cierre y la fecha.
Si la acción no ha sido eficaz, se debe
indicar la No Conformidad que se ha
abierto.
Después, se procede a su cierre,
indicando que NO ha sido eficaz, la
persona que hace dicho cierre y la
fecha.
En esta nueva No Conformidad se
deberá realizar un nuevo estudio de las
causas, tomando como información de
Verificaciones y cierre:
1. 15/05/2013 Desde que el Departamento
de Gestión de Sistemas de la Central ha
asumido las nuevas competencias, no se
han producido No Conformidades
relativas a planificación de situaciones de
emergencias, pero si se han producido en
cuanto a identificación de estas
situaciones en las nuevas obras
contratadas. ACCIÓN NO EFICAZ, se
relaciona con Informe de No Conformidad
INC 21Dl3 e INC 31Dl6. Director de
Sistemas. Fecha de cierre: 15/05/2013.
2. 15/05/2013 El Director de Sistemas ya ha
comprobado que se están cumpliendo los
plazos para la realización de los
simulacros de las siete delegaciones.
ACCIÓN EFICAZ. Director de Sistemas.
Fecha de cierre: 15/06/2013.
3. 17/07/2013 En los cinco simulacros que
han incluido evacuaciones, se ha
comprobado mediante el Check List
RPG.07.02e la correcta preparación
antes las situaciones de emergencias
10. partida las causas y acciones ya
identificadas e implantadas.
provocadas por catástrofes naturales y
atentados. Director de Sistemas. Fecha
de cierre: 17/09/2013.
BIBLIOGRAFIA
http://www.inlac.org/Doc/Doc_ISO-TS-
176_04_11/Documentando_una_no_conformidad_rev.pdf
http://isocalidad2000.com/2013/08/09/evaluacion-de-evidencias-y-no-
conformidades-tengo-que-hacer-una-auditoria-interna-y-no-se-por-donde-
empezar-x/
http://isocalidad2000.com/2013/05/28/tratamiento-de-no-conformidades-lo-
hago-bien/