Muchas empresas llegan a la auditoría de certificación sin haber hecho una auditoría interna completa — o habiéndola hecho con el mismo equipo que implementó el sistema, lo que implica que nadie evaluó con objetividad lo que realmente funciona y lo que no. Entender para qué sirve cada tipo de auditoría y en qué momento del ciclo aplicarla es la base de una gestión de HyS que avanza en lugar de repetir los mismos errores.

Auditoría interna: el requisito que más se hace mal

La auditoría interna es un requisito explícito de la cláusula 9.2 de ISO 45001. La norma exige que la organización realice auditorías internas a intervalos planificados para determinar si el sistema de gestión de SST es conforme con los requisitos propios de la organización y con los requisitos de la norma, y si está implementado y mantenido eficazmente. No es una evaluación informal — es una evaluación sistemática con metodología, criterios definidos y evidencia documentada.

Los problemas frecuentes con la auditoría interna son tres. El primero es que la hace la misma persona que implementó y opera el sistema, lo que genera un conflicto de objetividad: es difícil auditar con rigor algo que uno mismo construyó. El segundo es que se hace deprisa y sin la planificación adecuada, cubriendo superficialmente todos los requisitos en lugar de profundizar en las áreas de mayor riesgo. El tercero es que se documenta como si todo estuviera bien para que "no quede mal el sistema", cuando el objetivo real de la auditoría interna es identificar los problemas antes de que los encuentre el auditor externo.

Un principio que los auditores internos competentes conocen: una auditoría interna sin hallazgos no es una buena auditoría — es una auditoría superficial. Todo sistema tiene oportunidades de mejora. Si la auditoría no las encuentra, el auditor no hizo bien su trabajo.

Auditoría externa de certificación: qué esperar y cómo funciona

La auditoría de certificación la realiza un organismo de certificación acreditado (IRAM, Bureau Veritas, SGS, TÜV, DNV, entre otros en Argentina). Tiene dos etapas: la Etapa 1 y la Etapa 2. La Etapa 1 es una revisión documental — el auditor evalúa si el sistema está documentado con los requisitos de la norma, si el alcance es apropiado y si la organización está lista para la Etapa 2. La Etapa 2 es la auditoría de campo: el auditor verifica en la práctica que el sistema documentado se implementa realmente en las operaciones.

En la Etapa 2, el auditor no se limita a revisar documentos en la oficina del responsable de HyS. Hace recorridos de planta u obra, entrevista a trabajadores de distintos niveles (desde operarios hasta la dirección), verifica condiciones reales de trabajo y examina registros de los últimos meses. Los hallazgos se clasifican como no conformidades mayores, menores u observaciones. Una no conformidad mayor bloquea la certificación hasta su cierre; una menor permite la certificación sujeta a cierre dentro de un plazo acordado.

Auditoría sombra: la herramienta más subestimada de la preparación

La auditoría sombra no es un requisito de la norma — es una práctica de preparación inteligente. Consiste en contratar a un auditor externo independiente (no el organismo de certificación) para que realice una evaluación del sistema con la misma metodología y criterios que usará el auditor de certificación. El resultado es una simulación realista de lo que va a ocurrir en la auditoría real, con suficiente anticipación como para cerrar los hallazgos que se identifiquen.

La auditoría sombra tiene dos momentos de mayor valor. El primero es en las semanas previas a la auditoría de certificación inicial: permite identificar los hallazgos que el equipo interno no ve porque está demasiado cerca del sistema. El segundo es en los meses previos a la auditoría de seguimiento anual o la recertificación: permite detectar si el sistema se degradó desde la última auditoría y qué acciones correctivas son prioritarias antes de la llegada del auditor del organismo.

Comparativa de los tres tipos: cuándo usar cada uno

Aspecto Auditoría Interna Auditoría Externa (cert.) Auditoría Sombra
Quién la realiza Personal interno o externo contratado por la organización Organismo certificador acreditado Consultor externo independiente
Objetivo principal Verificar conformidad interna; detectar mejoras Certificar o confirmar conformidad con ISO 45001 Preparar para la auditoría externa; detectar brechas
¿Es requisito ISO? Sí — cláusula 9.2 Sí — para obtener/mantener la certificación No — es una práctica voluntaria
Momento óptimo Periódicamente a lo largo del año; antes de auditorías externas Según el ciclo del organismo certificador 4-8 semanas antes de auditoría externa
Resultado Informe de auditoría con conformidades y no conformidades Certificado ISO 45001 o listado de no conformidades a cerrar Informe con hallazgos probables y recomendaciones priorizadas

Cómo planificar las auditorías internas durante el año

ISO 45001 no define la frecuencia de las auditorías internas pero exige que sean a "intervalos planificados". La práctica habitual es una auditoría interna anual como mínimo, aunque en organizaciones más grandes o con mayor complejidad de riesgo se realizan dos o más auditorías por año con foco en distintas áreas o cláusulas.

El programa de auditoría interna anual debe considerar: las áreas de mayor riesgo (que merecen más frecuencia de auditoría), los resultados de auditorías anteriores (las áreas con hallazgos recurrentes necesitan más atención), los cambios en procesos o en la organización, y el calendario de auditorías externas (la auditoría interna debe completarse con suficiente anticipación para cerrar los hallazgos antes de que llegue el auditor externo).

La competencia del auditor interno: qué necesita saber y cómo acreditarlo

ISO 45001 exige que los auditores internos sean competentes. Esto no significa necesariamente tener un curso específico (aunque se recomienda), pero sí implica conocer la norma con profundidad suficiente para evaluar conformidad, conocer las técnicas de auditoría (recopilación de evidencia, entrevistas, muestreo de registros) y tener la objetividad para auditar áreas en las que no tienen responsabilidad directa. Si el responsable de HyS es el único que podría hacer la auditoría interna pero también es quien implementó y opera todo el sistema, lo más razonable es contratar un auditor externo para las auditorías internas — que es distinto al organismo certificador.

Verificando acceso…

¿Preferís hablar directamente? Escribinos por WhatsApp →