No es ésta la primera vez que hablamos en este blog sobre auditorías, especialmente en su relación con los procesos y entidades de certificación. En el pasado hemos hablado sin mordernos demasiado la lengua del doble juego de las entidades de certificación, del doble juego de los auditores de las entidades de certificación, así como de algunos aspectos del proceso de certificación de la seguridad (parte I y parte II)
Durante las próximas semanas iremos publicando algunas entradas sobre este asunto, pero desde un punto de vista de la propia auditoría. Es nuestra intención en primer lugar reflexionar sobre el concepto de auditoría. En próximas entradas pasaremos aunque sea de puntillas por los distintos tipos de auditoría que existen en función de su origen y objetivos y, finalmente, profundizaremos en las auditorías de segunda parte como herramienta para elevar los niveles de calidad y seguridad de los procesos de negocio desde los procesos de compras y contratación, tanto en la dimensión de su eficacia como en la de su eficiencia y de ahorro de costes y problemas.
A estas alturas ya todos sabemos bien de qué va el tema y la mayoría seguramente hasta hemos “sufrido” auditorías en primera persona. No obstante vamos meternos en materia ofreciendo en primer lugar una aproximación al concepto de auditoría. Desde el punto de vista formal, la normativa de gestión define la auditoría como un “proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría”.
Vale. De acuerdo. Pero esta definición, seguramente correcta desde el punto de vista formal, resulta a todas luces insuficiente ya que una vez leída cualquiera puede quedarse igual que al principio. O peor. Además, la misma definición introduce ruido incluyendo dos veces el propio término que intenta definir. Resumiendo: si no sabes qué es y en qué consiste una auditoría con total seguridad seguirás sin saberlo después de leer la definición de la norma.
Por otro lado, el diccionario de la RAE define el término auditoría como “Empleo de auditor” y para el término auditor indica “Que realiza auditorías” por lo que el casi infalible diccionario oficial tampoco nos sirve de gran ayuda en este caso.
Vamos pues a intentar aclarar el concepto ofreciendo una aproximación más práctica.
Una auditoría, con independencia de sus objetivos (los cuáles pueden ser muy diferentes en función del tipo de auditoría, hablaremos de ello) consiste o debería consistir en un examen metódico, concienzudo, riguroso, independiente, completo y repetible el cual es realizado a una organización o a una parte de la misma (un proceso, un departamento, una línea de fabricación, un programa de clientes, un contrato, un proyecto, etc.).
Vamos por partes:
- Examen: efectivamente, aunque una auditoría es mucho más que una simple evaluación no deja de tener una buena dosis de examen y como tal suele entenderlo, en general, la parte auditada, con sus preocupaciones, sus nervios y su estrés incluidos. Por fortuna no siempre es así; también hay auditados que tienen claro el objetivo de la auditoría, que facilitan el trabajo al máximo y que llegan incluso a sentirse cómodos durante todo el proceso. Esto es lo deseable ya que facilita mucho el trabajo al auditor y la auditoría resulta más provechosa, además de hacerla desde el punto de vista personal sin duda más agradable.
- Metódico: para llevar a cabo con garantías una auditoría ésta debe ser realizada por una persona debidamente capacitada, bien entrenada y con experiencia, abarcando la totalidad del alcance previsto (muy ligado a los objetivos de la auditoría de los que insisto en que hablaremos más adelante) y aplicando técnicas de auditoría, de una manera sistemática y sin dejar lugar a la improvisación.
- Concienzudo y riguroso: además de las capacidades, entrenamiento y experiencia de la(s) persona(s) responsable(s) de llevar a cabo la auditoría, es decir, de las aptitudes de los auditores, hay que tener muy en cuenta también su actitud, la cual es directamente proporcional a la profesionalidad de las personas. Desde el punto de vista técnico el trabajo de auditoría resulta más o menos complejo en función de las actividades objeto de evaluación; obviamente no es lo mismo auditar un proceso comercial sencillo o la gestión de un pequeño almacén de recambios que auditar los procesos de explotación de una empresa de servicios TIC o el proceso de I+D en una empresa de diseño aeronáutico, por ejemplo.
Pero con independencia de la posible complejidad inherente a la actividad, la auditoría puede convertirse en una tarea ardua, delicada, tediosa, en ocasiones incluso tensa e ingrata, por lo que a veces lo que te piden cuerpo y mente es no andar metiéndote en camisas de once varas, no emplearte a fondo y pasar deprisa y sin profundizar demasiado sobre algunas actividades o procesos concretos. Esta postura, sin duda mucho más cómoda, es la elegida en ocasiones por los auditores quienes, obviamente, no estarán haciendo bien su trabajo. También puede resultar más cómodo para la parte auditada la cual pocas veces se quejará por no ser auditada con todo el rigor y extensión deseables, de la misma manera que nunca nadie se quejará de un precio demasiado bajo, de un sueldo demasiado elevado o de que no se le haya llevado la grúa el coche habiéndolo dejado mal aparcado.
Es aquí donde entra en juego la profesionalidad del auditor antes mencionada. El auditor tiene que auditar a conciencia y con rigor pese a la dificultad técnica y a lo peliagudo de las situaciones con las que tenga que lidiar. No es admisible mirar para otro lado ni pasar de puntillas por un tema, relajando el nivel de muestreo o eligiendo registros a priori más cómodos o menos problemáticos de auditar (diseños sencillos, contratos de poco importe, proyectos de poca entidad, actividades con poca complejidad técnica, etc.) aunque no hacerlo te pueda complicar y mucho la vida.
- Independiente: el de la independencia es un requisito importante y que también tiene relación con la profesionalidad y honestidad del auditor. Los auditores han de ser independientes y no tener responsabilidades ni intereses sobre la organización o procesos auditados. Es una de las reglas básicas del juego: no se puede ser juez y parte. Una auditoría que incumpla el requisito de independencia incumple las normas de gestión, como no puede ser de otra manera. Sin embargo, también es cierto y está ampliamente demostrado que puede resultar mucho más provechosa y eficaz una auditoría llevada a cabo por un auditor experto, riguroso, honesto y profesional, aunque no sea independiente de la organización o proceso auditados, que una llevada a cabo por un auditor con menor capacidad y experiencia, con una actitud inadecuada o que no dispone del tiempo suficiente, por mucha independencia que pueda demostrar.
Si el auditor tiene algún tipo de vínculo con el ámbito de la auditoría puede que se pierda la deseable visión externa, pero no necesariamente se tiene que perder el rigor ni la imparcialidad si se trata de una persona honesta, ecuánime y que actúa con total imparcialidad. El problema es que eso sólo lo sabe él. De ahí que resulte imprescindible el requisito de la independencia. Una reflexión: si usted perdiese su cartera con sus datos de contacto y mil euros en su interior, ¿quién preferiría que la encontrase?, ¿una persona de su círculo y con recursos o un desconocido que pasa apuros económicos y no llega a final de mes? Yo preferiría que la encontrase una persona honesta que me la devolviese intacta. Por ello para una auditoría yo prefiero a una persona preparada, con una gran dosis de prurito profesional y con el tiempo suficiente, aunque pudiera no ser tan independiente. Y es que el hábito no hace al monje; profesionalidad y honestidad van con la persona.
- Completo: si asumimos que el equipo auditor cuenta con las aptitudes necesarias y las actitudes adecuadas ya sólo resta que dicho equipo auditor disponga del tiempo necesario para desarrollar su trabajo en toda su extensión. Hay que resaltar que en toda auditoría el tiempo es un factor fundamental para alcanzar los objetivos esperados. De hecho se trata de la tercera dimensión de una auditoría (aptitud, actitud, tiempo). No sólo debe abarcarse todas las actividades incluidas en el alcance previsto para la auditoría si no que además deben auditarse en profundidad. Es algo obvio por lo que huelgan demasiadas explicaciones acerca de la importancia del factor tiempo en una auditoría.
Es este aspecto uno de los tendones de Aquiles de los esquemas de certificación sobre los que ya escribimos en este mismo blog: los auditores de las entidades de certificación frecuentemente están vendidos ya que se les suele dejar bastante menos tiempo del requerido para poder llevar a cabo una auditoría con las debidas garantías. Este hecho es consecuencia del mercadeo de certificados del que ya hablamos en su día. Además, la falta de tiempo, unida al necesario prurito profesional antes indicado, tiene una componente importante de desgaste personal y profesional lo cual termina por llevar a algunas personas, como es comprensible, a adoptar la actitud cómoda (e inadecuada) mencionada más arriba. Para que la auditoría resulte de utilidad los criterios de muestreo aplicados deben asegurar que la muestra elegida es representativa. Una vez seleccionados los registros a auditar hay que auditarlos concienzudamente. Además, finalmente habrá repasar y analizar las notas tomadas durante el trabajo de campo (páginas y páginas en ocasiones), revisar algunos documentos, realizar algunas comprobaciones finales y registrar los resultados del trabajo de campo en un informe completo. Y para todo esto hace falta tiempo. Bastante tiempo.
- Repetible: por último, un concepto un tanto más teórico es el de la repetibilidad de la auditoría. La idea es que, como consecuencia de todo lo indicado anteriormente (es decir: si se han hecho las cosas como Dios manda), el resultado de una auditoría debería ser prácticamente el mismo y deberían identificarse los mismos problemas y virtudes con independencia de que la pudiese llevar a cabo un equipo auditor u otro diferente. También que una auditoría llevada a cabo con rigor y con el tiempo suficiente debería arrojar los mismos resultados si (aunque carezca de sentido) fuese realizada dos veces consecutivas; los informes de dos auditorías consecutivas o de dos auditorías realizadas por diferentes equipos auditores deberían identificar los mismos problemas y virtudes (± un pequeño delta ligado a la incertidumbre inherente a todo proceso de muestreo). Otra cosa no tendría sentido. Insistir en que la repetibilidad es consecuencia directa de todo lo anterior (compleción, metodología, profesionalidad, rigor, etc.).
Bien: pues, como ya dijimos, si una auditoría es realizada conforme a la aproximación indicada en este artículo su resultado puede reportar muchos beneficios en función de los objetivos perseguidos por la misma. Sirva este artículo como introducción. En próximas entregas haremos un repaso a los diferentes tipos de auditoría y hablaremos sobre la aplicación de técnicas de auditoría a los procesos de compras y contratación y sobre los beneficios que pueden reportar.