¿Qué tanto conocemos de Evaluación y Auditoría de la Seguridad Funcional? Puntos comunes y diferencias (Parte II) |
Como indicamos en la
publicación anterior, en esta segunda entrega, trataremos lo relacionado con las
auditorías en el área de la seguridad funcional.
En https://csf-riglethgragel.blogspot.com/2020/06/evaluacion-y-auditoria-de-la-seguridad.html,
se hizo referencia a la definición indicada en la normativa IEC-61511; en esta
oportunidad, tomaremos la del libro “Guidelines for Auditing Process
Safety Management Systems” del CCPS, en el que se define la auditoría como
“Una revisión sistemática e independiente para verificar la conformidad con
lo establecido en pautas o estándares. Emplea un proceso de revisión bien
definido para garantizar consistencia y permitir al auditor llegar a
conclusiones defendibles”.
Las auditorías, en el ámbito de
seguridad funcional, tienen por objetivo determinar si el sistema de gestión de
la seguridad funcional está siendo utilizado y si está actualizado.
Adicional a estas
definiciones, hemos querido ampliar un poco más la información con la intención
de ayudarles a participar, de forma proactiva y consciente, en la mejora de los
procedimientos internos de su organización.
¿Cuál es la
obligatoriedad de realizar las auditorías en seguridad funcional?
Las auditorías
son un requisito de la normativa IEC-61511 (clausula 5 “Gestión de la
Seguridad Funcional”) y, si bien pudiera verse como que no es obligatorio, no
tiene sentido tener un sistema de gestión si el mismo no es auditado para
asegurar la mejora continua. La auditoría nos aporta información valiosa, por
lo que, es determinante para su ejecución, que la organización cuente, obviamente,
con un sistema de gestión de seguridad funcional.
Una recomendación,
no excluyente, es que se realicen durante las fases largas del ciclo de vida de
seguridad, como la de operación y mantenimiento del SIS. Aunque en proyectos
muy largos puede ser beneficioso aplicarla durante el desarrollo de actividades
como la asignación del SIL, el diseño o la implementación del SIS.
¿Qué tan frecuente
se deben realizar las auditorías?
La frecuencia de la
auditoría va de la mano con el impacto potencial de la actividad que se está
auditando y, además, depende de los objetivos del plan de auditoría y la
naturaleza de las operaciones involucradas.
Entre los factores que
se deben considerar para determinar la frecuencia de la auditoría se encuentran:
el nivel de riesgo de la instalación, la madurez del sistema de gestión de
seguridad funcional, los resultados de auditorías previas, el historial de no
conformidades, las políticas de la organización y las normativas de referencia.
¿Debe existir un plan
de auditorías?
Sí, es importante que se realice una planificación conjunta entre el equipo auditor y la organización con el fin de establecer las actividades a desarrollar, fechas de compromiso, tiempo de duración, disponibilidad del personal y definición de los procedimientos a aplicar.
El plan de auditoría debe contener:
- Definición del alcance de la auditoria.
- Planificación de las actividades a desarrollar.
- Definición de la organización, recursos y herramientas.
- Documentación requerida y a entregar.
- Manejo de No Conformidades.
¿Quién debe realizar
las auditorías?
Deben ser realizadas
por personal independiente, es decir, no involucrado en la actividad auditada.
El equipo auditor debe
estar constituido por personal que tenga conocimiento sobre las áreas que se
van a auditar, debe estar capacitado en procesos de auditoría y tener
las habilidades y herramientas adecuadas para auditar efectivamente. En base a
su experticia profesional, debe realizar una revisión de la documentación
utilizada y generada en el marco de la seguridad funcional.
No debe centrarse en medir
el alcance técnico de la información, ni emitir juicios, ni ofrecer
recomendaciones sobre el diseño del sistema de seguridad funcional, sino validar
si se siguieron los lineamientos establecidos. Por ello, el auditor debe tener
la experticia adecuada para determinar las áreas de mejora.
El nivel de
independencia asegura la imparcialidad al momento de emitir observaciones
(tanto positivas como negativas) del proceso de auditoría. Por ejemplo, en el
caso de las auditorías internas, basta con pertenecer a otro departamento u
otra unidad, pero con las competencias adecuadas para cumplir el rol de
auditor.
¿Qué se debe auditar?
Dependiendo de la
etapa o la fase del ciclo de vida que se pretenda auditar, existen una serie de
documentos, planes y procedimientos que son necesarios revisar. En todas las
fases se deben revisar los planes de gestión, verificación y evaluación, los
procedimientos de planificación, evaluaciones (assessment), auditorías internas,
entre otros.
Por ejemplo, para la
fase de operación y mantenimiento, los planes de inspección, prueba y
mantenimiento y los procedimientos del manejo del cambio (MOC), prueba, seguimiento
y desempeño del SIS, entre otros.
De manera general,
se debe confirmar mediante evidencia, la aplicación y uso de cada uno de los
procedimientos mencionados.
¿Cuáles son las actividades incluidas en una auditoría?
Las principales actividades que se realizan son:
- Revisión de procedimientos.
- Entrevistas al personal (gerentes, supervisores, ingenieros, mantenimiento y operadores, entre otros).
- Revisión de documentación, registros o evidencias.
- Auditorías o visitas de campo para validar en sitio la información obtenida durante las entrevistas.
El tema de las
auditorías es muy amplio y podemos profundizar mucho más, mencionar otras
características y elementos, pero al considerar y aplicar lo que hemos señalado,
se pueden obtener buenos resultados y garantizar el éxito de la auditoría.
En la tercera parte
del post, entraremos en materia acerca de las evaluaciones o assessment de
la seguridad funcional.