User:   Psswd:   Psswd? | Regístrese en portalcalidad!
portalcalidad.com índice del foro
   Auditorías de certificación ISO 9001
  

Redacción de no conformidades

  • Páginas vistas: 12135
  • Positivos: 6
  • Negativos: 0
Compartir esta página:  twitter  facebook
  • wilvivas
    Redacción de no conformidades
    • 18/12/10 18:26
    • Moderador
    • Imagen de wilvivas
    • Registrad@: 22/04/09
    • Desde: Poza Rica, México
    • Posts: 1745
    (5/0)
    39.4%

    Hace un me se llevó aquí en México el foro anual del IMNC (Instituto Mexicano de Normalización y Certificación) enfocado a la ISO/DIS 19011 donde entre otras cosas se recalcó la manera de redactar las no conformidades y me gustaría compartir esta información con los miembros del portal ya que lo considero un tema importante y bastante controversial:

    • Una no conformidad bien documentada está integrada por tres partes:
    •  
    • 1. La evidencia de auditoría para apoyar el hallazgo del auditor;
    • 2. Un registro del requisitofrente al cual se detecta la no conformidad;
    • 3. La declaración de no conformidad
    •  
    • La evidencia de auditoría es el primer elemento que se debe identificar y documentar, si no existe evidencia de auditoría no existe no conformidad. si existe evidencia se debe documentar como una no conformidad y no mitigar con otra clasificación, por ejemplo:

    • * Observaciones;
    • * Oportunidades de mejora;
    • * Recomendaciones
    •  
    • El siguiente paso que necesitará dar el auditor es identificar y registrar el requisito específico que no se está cumpliendo, si el auditor no puede identificar un requisito, entonces no puede declarar una no conformidad, las fuentes de los requisitos:
    •  
    • * Pueden estar especificados en ISO 9001;
    • * Pueden ser del sistema de gestión de la organización (requisitos internos);
    • * En los reglamentos aplicables o por el cliente de la organización.
    •  
    • La parte final (y más importante) de la documentación de una no conformidad, es realizar la redacción de no conformidad. La declaración de no conformidad conduce el análisis de las causas, la corrección y la acción correctiva por parte de la oganzación, de modo que es necesario que sea precisa, la declaración de no conformidad debería:
    •  
    • * Ser auto-explicativa y estar relacionada con el aspecto del sistema;
    • * No ser ambigu, ser linguisticamente correcta y tan concisa como sea posible;
    • * No ser una repetición de la declaración de la evidencia de auditoría ni utilizarse en lugar de la evidencia de auditoría.
    •  

    Espero que con esto podamos guiarnos un poco en el proceso de levantamiento de no conformidades.

    Saludos.

    _________________
    Ing. Wilbert Arturo Vivas Torrez
    Veritas et Triumphus
    Director

    -----------------------------------------

    Consultorías en sitio o a distancia
    ISO 9001
    ISO 14001
    OHSAS 18001
    FSSC 22000
    ISO/IEC 17025
    Calidad de Servicio para el Pequeño Comercio

    -----------------------------------------

    Movil: +52 (782) 124 7227

    Información y venta de servicios:

    email: veritas.et.triumphus@gmail.com

    Sígueme: www.facebook.com/veritasettriumphus

    Lo importante no es tener la respuesta, sino hacer la pregunta correcta.
    Wilbert Vivas
  • one
    Re: Redacción de no conformidades
    • 19/12/10 14:30
    • Moderador
    • Imagen de one
    • Registrad@: 25/11/09
    • Desde: Madrid/España
    • Posts: 2518
    (0/0)
    ???

    Aqui en España Wilbert, ENAC ya hace tiempo que explicitó que las no conformidades se redacten de esa manera.

    Esperemos que a partir de ahora los auditores sean más uniformes para la redacción y una no conformidad se convierta en algo inexcrutable, como a veces pasa con las que ponen aqui los foreros que son incomprensibles.

    Saludos

    Rafael

    _________________
    Saludos

    Rafael

    Moderador de Portal Calidad

    One Economic&Quality Consulting

    Consultoría de la Calidad y Medioambiente-Implantación y auditoría

    Diseñamos su software de Calidad y Ambiental

    WEB : www.oneconsulting.es

    MAIL : contacto@oneconsulting.es

    FACEBOOK : https://www.facebook.com/OneEconomicQualityConsulting

    BLOG : http://oneconsulting.blogcindario.com/2010/04/00002-bienvenidos-al-blog-de-one-economic-quality-consulting.html

    Auditor Calidad Certificado IRCA
    Auditor Medioambiental Certificado IEMA
  • Gilberth
    Re: Redacción de no conformidades
    • 21/12/10 5:31
    • Imagen de Gilberth
    • Registrad@: 30/12/08
    • Desde: Venezuela
    • Posts: 292
    (0/0)
    ???

    Respecto a este tema traigo la siguiente situación  en la que me gustaría leer los aportes de tan distinguidos miembros de este portal.

     

    Hace un tiempo, los auditores eran una especie de gurús, cuya palabra se asemejaba a la palabra de dios y las organizaciones decían amen a lo que fuera que viniera del Sr. Auditor, en consecuencia al mundo globalizado, el acceso a la información, las organizaciones empezaron a valerse de estos medios para mejorar su comprensión acerca de los SGC y su aplicación (cosa que me parece genial).

    Tal comprensión de los SGC ha llevado a los auditados a refutar los criterios del auditor (que por mucho que se esfuerce por ser objetivo es un ser humano, por lo que su juicio lleva siempre un grado de subjetividad "los únicos que son totalmente objetivos son los objetos y los vectores..."). Esto me parece muy bien, pues escrutar un requisito de tal manera, que los resultados traigan beneficios a la organización es lo que todos perseguimos.

    Sin embargo, pienso que en reiteradas ocasiones, en el afán de demostrar cuanto sabemos, hay auditados que no logran discernir entre lo mucho que conocen, y lo mucho más que hay por conocer (robando pensamiento socrático), y llegan a cerrarse a una oportunidad que se le presenta cuando un hallazgo es no conforme o potencialmente no conforme con los criterios de la auditoría, registrado por los auditores como "no conformidad" u "observación".

     

    Así, nos encontramos en algunas  auditorías, los auditados (eruditos del internet y otros medios)  no se aceptan las no conformidades porque en "su sistema" las cosas se hacen  "como ellos lo han declarado”. No sabes cuantas veces he escuchado "así es como nosotros lo declaramos", y llegamos a un punto en el que ni la norma, ni los clientes, ni los requisitos legales y reglamentarios, ni los requisitos internos de la empresa nos permiten determinar el no cumplimiento, sino que el no cumplimiento está en el conocimiento formal, la tan golpeada competencia del auditor.

    Te voy a dar un ejemplo:

    Estuve en un centro de datos en el que no se tenían protecciones contra descargas atmosféricas, representando esto un riesgo importante para la  información que ahí se maneja porque el niveles isoceráunico (nivel de incidencia de rayos, dato publicado por la NASA) de la región es bastante alto. Aquí viene a ponerse a prueba la teoría... el requisito que estaban incumpliendo era la cláusula 7.5.4 Propiedad del cliente, pues los datos que eran propiedad del cliente no estaban siendo adecuadamente "cuidados" (protegidos es el término más adecuado). Sin embargo, eso no "lo habían declarado así en su SGC", habían considerado un conjunto de riesgos y habían establecido controles para ello, pero la protección contra descargas atmosféricas (rayos) no. En las leyes de mi país, no hay nada respecto a protecciones contra descargas atmosféricas para centros de datos, los clientes (bancos, entidades gubernamentales, instituciones privadas, ONG´s) no tienen ni la menor idea de cómo se protegen los centros de datos por lo que ni la menor posibilidad que entre sus requisitos encontraremos algo al respecto. Sólo me quedaba, como criterio, mis conocimientos, la opinión de expertos en la materia (que he leído y consultado directamente) y los datos de la NASA...

    Ahora bien, la discusión al respecto duró aproximadamente una hora, en una auditoría 4 días y apenas íbamos por el segundo... total que lo tuve que dejar como una observación, al fin y al cabo, "muchos rayos han caído y ningún dato se ha perdido", que sería equivalente a decir, "para qué tener un sistema contra incendios si esto nunca se ha incendiado!!!!!" (tan bruto yo)

     

    Bien, me extendí un poco para que podemos discutir este punto y que me den sus impresiones y experiencias, para nutrir mejor mis argumentos cuando se tenga que "hilar fino" en una auditoría, puesto que hay sistemas, en el que comprobar que los procesos están determinados, los procedimientos se aplican, la competencia del personal es la adecuada y se le hace seguimiento a los procesos y a los productos.. ya es tarea un tanto superada...

     

    Saludos Cordiales

     

    Gilberth

     

    _________________

    Gilberth Araujo

    @csaica

  • one
    Re: Redacción de no conformidades
    • 21/12/10 12:46
    • Moderador
    • Imagen de one
    • Registrad@: 25/11/09
    • Desde: Madrid/España
    • Posts: 2518
    (1/0)
    ???

    Muy interesante la reflexión que planteas Gilberth.

    Efectivamente nos encontramos muchas veces con esa situación que describes, pero hemos de ser autocríticos. Si mucha gente tiene a los consultores y auditores por profesionales que aparecen te dicen cuatro cosas y cobran una barbaridad por decir obviedades, será porque durante mucho tiempo han existido este tipo de profesionales y empresas. Yo mismo he sufrido este tipo de trabajos cuando estaba trabajando por cuenta ajena. Ahora bien eso no quiere decir que todos sean o seamos asi. Hemos pasado de un época en la que el consultor-auditor era Dios y cobraba como tal, a un época de crisis generalizada en la que el cliente es mucho más riguroso y exigente y no está dispuesto a pagar a ese tipo de profesional.

    Por otro lado efectivamente, también han cambiado los clientes. Ahora todos creen que son expertos en todo y con mirar en google creen que lo van a saber todo. Yo mismo puedo contar que un arquitecto que me pidió presupuesto, llegó a decirme que él mismo se podía implantar el sistema y que nadie le iba a poner una No Conformidad, porque SOY ARQUITECTO. Como vemos, gente estúpida hay por todas partes.

    Ahora bien, el tema de los clientes que recurren las no conformidades, yo creo que es en parte culpa de los auditores. Antes e incluso ahora como vemos a través de este foro, muchas veces las NC, son mal redactadas y mal explicadas a los auditados. Incluso muchas veces vemos aqui que son claramente recurribles. Esto es porque los auditores, que por norma no pueden hacer consultoría, tampoco intentan hacer una labor pedagógica con el auditado y acaban siendo simples notarios de lo que ven. Para mi un buen auditor es el que detecta los errores, y los comunica y explica para que el auditado pueda saber en que se ha equivocado y que ha de hacer para resolverlo. A mi personalmente ese es el tipo de auditor que me gusta. Para mi la mayor satisfacción en una implantación o auditoría es cuando el cliente, te dice que ha aprendido mucho gracias a tu trabajo.

    Saludos

    Rafael

    _________________
    Saludos

    Rafael

    Moderador de Portal Calidad

    One Economic&Quality Consulting

    Consultoría de la Calidad y Medioambiente-Implantación y auditoría

    Diseñamos su software de Calidad y Ambiental

    WEB : www.oneconsulting.es

    MAIL : contacto@oneconsulting.es

    FACEBOOK : https://www.facebook.com/OneEconomicQualityConsulting

    BLOG : http://oneconsulting.blogcindario.com/2010/04/00002-bienvenidos-al-blog-de-one-economic-quality-consulting.html

    Auditor Calidad Certificado IRCA
    Auditor Medioambiental Certificado IEMA
  • wilvivas
    Re: Redacción de no conformidades
    • 22/12/10 23:08
    • Moderador
    • Imagen de wilvivas
    • Registrad@: 22/04/09
    • Desde: Poza Rica, México
    • Posts: 1745
    (0/0)
    ???

    Tal como ambos plantean, la epoca del "es que el auditor dijo que así" ya paso, esto gracias en gran parte a la globalización y evolución de los sistemas de información, sin embago en teoría (en negritas) un auditor debería saber dar consultorías antes de desempeñar dicho cargo puesto que sólo conociendo el otro lado de la moneda podrá desempeñarse de manera correcta, en efecto como menciona Rafael gente de todo tipo nos podremos encontrar, sin embargo me planteo un cuestionamiento a modo de reflexión: ¿Si ellos pueden implementar un SG, por qué solicitan una cotización? es contradictorio, sin embargo sucederá en más de una ocasión.

    El punto está en que un auditor es un juez que decide si cumplimos o no con lo que se está haciendo y él al recabar evidencia y redactar las NC debe guiar de cierta manera a la organización del cómo corregir dichas desviaciones de lo contrario bien podríamos decir que no sirve de nada una auditoría que no añade valor, esto claro tomando en consideración que no podemos utilizar nuestro criterio para establecer si se hace bien o no algo, puesto que cada forma de actuar beneficia de diferentes formas a las organizaciones, no todas son iguales. 

    Por otro lado el ejemplo que bien plantea Gilberth me hizo razonar y leer hasta darle interpretación a la norma (se agradece este tipo de cuestiones) y mi respuesta sería que la norma si solicita proteger lo datos, sin embargo no establece a qué niveles de protección, para tu ejemplo un respaldo semanal o diario en un disco duro externo podría ayudar a proteger los datos de las descargas ya que éste no está siempre expuesto a ese factor, por otro lado en la norma se sobreentiende que toda información está expuesta a deterioro y a pérdida, de hecho sólo solicita registrar e informar al cliente cuando un dato se considere inadecuado para su uso por cualquier razón, aquí es donde podríamos establecer que no es necesario tener protección sofisticada y hasta cierto punto costosa, recordemos que la estructura de un SGC está influenciado por muchos aspectos, entre ellos el económico, así mismo para cada proceso es la misma empresa que determina criterios y métodos para una eficaz operación y control de los mismos.

    Saludos.

    _________________
    Ing. Wilbert Arturo Vivas Torrez
    Veritas et Triumphus
    Director

    -----------------------------------------

    Consultorías en sitio o a distancia
    ISO 9001
    ISO 14001
    OHSAS 18001
    FSSC 22000
    ISO/IEC 17025
    Calidad de Servicio para el Pequeño Comercio

    -----------------------------------------

    Movil: +52 (782) 124 7227

    Información y venta de servicios:

    email: veritas.et.triumphus@gmail.com

    Sígueme: www.facebook.com/veritasettriumphus

    Lo importante no es tener la respuesta, sino hacer la pregunta correcta.
    Wilbert Vivas
  • Gilberth
    Re: Redacción de no conformidades
    • 23/12/10 5:53
    • Imagen de Gilberth
    • Registrad@: 30/12/08
    • Desde: Venezuela
    • Posts: 292
    (0/0)
    ???

    Estoy de acuerdo con wilvivas, para poder ser auditor al menos se debe implementar un SG y conocer desde ese lado de la mesa los pormenores,  y la importancia que tiene para el negocio este tipo de esquemas. Uno de los puntos en los que más se resisten algunos directores es por qué invertir tanto en calibraciones por ejemplo. Pues bien un auditor "simple" (aquel que no ha implementado SG) le diría, "eso es un requisito de la norma, he dicho!!" y con la misma los directores (en ocasiones) dicen "pues al sipote con la norma yo he hecho mucho dinero sin necesidad de saber cuan precisa es esa regla!!"(y razón tiene).

    En definitiva estamos en tiempo de crisis y los involucrados en este mundillo tenemos que darle el peso que se merece los SG y las NC en las auditorías son una fuente importante para la mejora continua. Como auditor, antes de decidirme a registrar una no conformidad, me hago un patrón de lo que esperaría como plan de acciones, si (en mi criterio) considero que eso le fortalecerá al SG y beneficiará a la organización la redacto, si no, prefiero seguir indagando hasta encontrar argumentos de fuerza.

     

    Ahora quiero aclarar sobre el ejemplo que día en mi post anterior. El lugar de los hechos era un centro de datos, la protección de los datos es  la razón de ser del negocio. No estamos hablando de cualquier cantidad de datos, estamos hablando de un Backbound de 20 GB/s, por ahí pasan todas las transacciones bancarias de al menos 6 de los bancos más grandes del país (todas sus sucursales). Imagínense que están en una tranquila tarde de lluvia haciendo una transferencia de 4000 USD para pagar las  vacaciones con su pareja, y en eso, su cuenta se quede en blanco y no se realizó la transferencia (siendo muy trágico por supuesto) El banco va a pedir explicaciones a este centro de datos, y te aseguro que tus 4000 USD no van aparecer por ningún lado si el transciente que generó un rayo que cayó a esa hora en el techo del centro de datos es de una magnitud mediana.

    Si bien, la norma no habla de grados de protección,  si dice que se debe cuidar la propiedad del cliente, y ese deber de cuidar va a depender del riesgo en el que esté la propiedad del cliente. En este caso la probabilidad de que se afectara a propiedad del cliente es muy alta, y el plan de acciones (que yo me estaba esperando conociendo algunas soluciones) no requería de una inversión tan grande como para resistirse de la manera como lo hicieron

     

    Saludos

    Gilberth

    _________________

    Gilberth Araujo

    @csaica