Un enfoque de las auditorías internas basado en el riesgo de la calidad permite evaluar la importancia y el rendimiento de cada área a auditar, y utilizar sus resultados para dedicar el tiempo y recursos de auditoría a estas áreas críticas del negocio, basándose en esta evaluación de riesgos, también se puede decidir si ciertas áreas del negocio no necesitan tanta supervisión.
El valor de un enfoque basado en el riesgo suele traducirse en una mayor calidad del resultado, ya que las áreas problemáticas recibirán el tiempo y la atención que necesitan para mejorar, las auditorías de calidad basadas en el riesgo también mejoran la productividad, lo que se traduce en poder dedicar más tiempo a descubrir y resolver problemas que a auditar áreas que ya funcionan bien.
Inicio de la auditoría basada en el riesgo
Para empezar con una auditoría basada en el riesgo, se deberán considerar los siguientes pasos:
Paso 1: Evaluar el riesgo de la organización
Al evaluar el riesgo, se deben considerar los departamentos y procesos que normalmente son auditados, a medida que se trabaja en estas áreas, se puede optar por cuantificar el nivel de riesgo de cada una de ellas, también se pueden utilizar herramientas estándar de análisis de riesgos, como el análisis de peligros, el análisis del árbol de fallos o el análisis de criticidad de los modos de fallo.
Hay muchas áreas que se deben tener en cuenta a la hora de evaluar el riesgo, como por ejemplo:
- Riesgo para la calidad del producto: se deberá clasificar cada departamento o proceso en función de su criticidad en términos de producción segura y de alta calidad.
- Riesgo para el rendimiento: Revisar el historial de no conformidades, retiradas o eventos adversos de cada área que vaya a ser auditada, las áreas con un mayor número de estos incidentes deben recibir una puntuación de riesgo más alta.
- Riesgo de cumplimiento: Examinar las recomendaciones anteriores y realizar un análisis de las deficiencias en los requisitos reglamentarios existentes en todos las ciudades o zonas que se opere, esta puntuación también puede tener en cuenta si el área ha corregido las observaciones de auditorías anteriores.
Una vez que se hayan considerado estas áreas y otras áreas de riesgo específicas del negocio, se pueden combinar las puntuaciones de riesgo individuales para crear una puntuación de riesgo global para cada departamento o proceso.
Esto puede ayudar entender rápidamente las áreas de alto riesgo para que se pueda crear un plan de auditoría en consecuencia, esta evaluación constituye la base del plan de auditoría basado en el riesgo, por lo que se debe documentarse en una lista a medida que se trabaja en ella.
Paso 2: Incorporar el riesgo a su plan de auditoría
Al haberse clasificado el riesgo de cada departamento, probablemente será más fácil tener un plan de auditoría, por lo cual, ahora se debe examinar más detenidamente cada área y su correspondiente puntuación de riesgo.
Una parte clave de la planificación será el calendario de auditorías, las áreas de mayor riesgo tendrán que ser auditadas con mayor frecuencia al menos anualmente, pero posiblemente más a menudo”, para las áreas de bajo riesgo, es importante recordar que no siempre es necesaria una auditoría anual, en cualquier caso, hay que definir la frecuencia con la que se auditará cada departamento en función de la evaluación de riesgos, documentar un calendario y cumplirlo.
Existen otros elementos del plan de auditoría que también se ven afectados por el riesgo, entre ellos se encuentran la duración de la auditoría y el tamaño y la habilidad de equipo de auditoría, es posible que se deban planificar auditorías más largas y detalladas de las áreas de alto riesgo, las áreas que implican productos o procesos más complejos pueden requerir auditores con habilidades o conocimientos especiales.
Paso 3: Ejecución de auditorías basadas en el riesgo
La auditoría basada en el riesgo no termina con el plan de auditoría, una vez que se haya determinado el área a auditar, se puede incorporar un enfoque basado en el riesgo en cada auditoría que se realice, el primer paso es revisar los procedimientos existentes de cada departamento, estos documentos proporcionan un punto de partida para comprender qué procesos considera un departamento de alto riesgo.
Si ya se ha auditado un área anteriormente, se deben revisar los datos que se disponen de las auditorías anteriores y trabajar a partir de ahí, algunos elementos a revisar son:
- Observaciones de auditorías anteriores.
- Planes de acción correctiva anteriores y su eficacia.
- Áreas que no fueron inspeccionadas en auditorías anteriores.
- Defectos, eventos adversos o retiradas de productos relacionados con este departamento.
- Cambios en los procesos o en el personal desde la última auditoría.
Comprender estas áreas ayuda a centrarse en las posibles áreas de preocupación, lo cual ayudará a enfocar las preguntas adecuadamente y a obtener el máximo valor del tiempo de auditoría.
Paso 4: Seguimiento basado en el riesgo
Una vez completada la auditoría, se realizarán recomendaciones o hallazgos, utilizando un enfoque de seguimiento basado en el riesgo, será necesario asignar un nivel de riesgo a cada hallazgo para aclarar cuáles necesitan una respuesta rápida o una moderada.
Esto permite abordar los hallazgos críticos con mayor rapidez, en lugar de limitarse a hacer un seguimiento de los hallazgos en el orden en que se descubrieron, los hallazgos de alto riesgo pueden desencadenar un proceso, mientras que los de bajo riesgo pueden resolverse rápidamente y cerrarse con la auditoría.
Paso 5: Supervisar los cambios en el riesgo
La evaluación inicial de riesgos fue una impresión de los riesgos de calidad, rendimiento y cumplimiento. Los cambios en los productos, los procesos o el historial de defectos harán que esta impresión evolucione con el tiempo, se podrá comprender rápidamente el rendimiento de sus distintos centros y procesos, y modificar su plan de auditoría y otros procesos de calidad en consecuencia.
Implementación de un programa de auditoría basado en el riesgo
La idea de implantar un programa de auditoría basado en el riesgo, o cualquier tipo de proceso basado en el riesgo, puede ser un reto, pero es necesario tener en cuenta que no es necesario cambiar todo el proceso de auditoría de una vez.
Es indispensable abordar un departamento o proceso a la vez, documentar el plan y mantener el programa de auditoría en la dirección correcta.