Como indicamos en la publicación anterior, en esta segunda entrega, trataremos lo relacionado con las auditorías en el área de la seguridad funcional.
En https://grupocsf.com/2020/06/evaluacion-y-auditoria-de-la-seguridad.html, se hizo referencia a la definición indicada en la normativa IEC-61511; en esta oportunidad, tomaremos la del libro “Guidelines for Auditing Process Safety Management Systems” del CCPS, en el que se define la auditoría como “Una revisión sistemática e independiente para verificar la conformidad con lo establecido en pautas o estándares. Emplea un proceso de revisión bien definido para garantizar consistencia y permitir al auditor llegar a conclusiones defendibles”.
Las auditorías, en el ámbito de seguridad funcional, tienen por objetivo determinar si el sistema de gestión de la seguridad funcional está siendo utilizado y si está actualizado.
Adicional a estas definiciones, hemos querido ampliar un poco más la información con la intención de ayudarles a participar, de forma proactiva y consciente, en la mejora de los procedimientos internos de su organización.
¿Cuál es la obligatoriedad de realizar las auditorías en seguridad funcional?
Las auditorías son un requisito de la normativa IEC-61511 (clausula 5 “Gestión de la Seguridad Funcional”) y, si bien pudiera verse como que no es obligatorio, no tiene sentido tener un sistema de gestión si el mismo no es auditado para asegurar la mejora continua. La auditoría nos aporta información valiosa, por lo que, es determinante para su ejecución, que la organización cuente, obviamente, con un sistema de gestión de seguridad funcional.
Una recomendación, no excluyente, es que se realicen durante las fases largas del ciclo de vida de seguridad, como la de operación y mantenimiento del SIS. Aunque en proyectos muy largos puede ser beneficioso aplicarla durante el desarrollo de actividades como la asignación del SIL, el diseño o la implementación del SIS.
¿Qué tan frecuente se deben realizar las auditorías?
La frecuencia de la auditoría va de la mano con el impacto potencial de la actividad que se está auditando y, además, depende de los objetivos del plan de auditoría y la naturaleza de las operaciones involucradas.
Entre los factores que se deben considerar para determinar la frecuencia de la auditoría se encuentran: el nivel de riesgo de la instalación, la madurez del sistema de gestión de seguridad funcional, los resultados de auditorías previas, el historial de no conformidades, las políticas de la organización y las normativas de referencia.
¿Debe existir un plan de auditorías?
Sí, es importante que se realice una planificación conjunta entre el equipo auditor y la organización con el fin de establecer las actividades a desarrollar, fechas de compromiso, tiempo de duración, disponibilidad del personal y definición de los procedimientos a aplicar.
El plan de auditoría debe contener:
- Definición del alcance de la auditoria.
- Planificación de las actividades a desarrollar.
- Definición de la organización, recursos y herramientas.
- Documentación requerida y a entregar.
- Manejo de No Conformidades.
¿Quién debe realizar las auditorías?
Deben ser realizadas por personal independiente, es decir, no involucrado en la actividad auditada.
El equipo auditor debe estar constituido por personal que tenga conocimiento sobre las áreas que se van a auditar, debe estar capacitado en procesos de auditoría y tener las habilidades y herramientas adecuadas para auditar efectivamente. En base a su experticia profesional, debe realizar una revisión de la documentación utilizada y generada en el marco de la seguridad funcional.
No debe centrarse en medir el alcance técnico de la información, ni emitir juicios, ni ofrecer recomendaciones sobre el diseño del sistema de seguridad funcional, sino validar si se siguieron los lineamientos establecidos. Por ello, el auditor debe tener la experticia adecuada para determinar las áreas de mejora.
El nivel de independencia asegura la imparcialidad al momento de emitir observaciones (tanto positivas como negativas) del proceso de auditoría. Por ejemplo, en el caso de las auditorías internas, basta con pertenecer a otro departamento u otra unidad, pero con las competencias adecuadas para cumplir el rol de auditor.
¿Qué se debe auditar?
Dependiendo de la etapa o la fase del ciclo de vida que se pretenda auditar, existen una serie de documentos, planes y procedimientos que son necesarios revisar. En todas las fases se deben revisar los planes de gestión, verificación y evaluación, los procedimientos de planificación, evaluaciones (assessment), auditorías internas, entre otros.
Por ejemplo, para la fase de operación y mantenimiento, los planes de inspección, prueba y mantenimiento y los procedimientos del manejo del cambio (MOC), prueba, seguimiento y desempeño del SIS, entre otros.
De manera general, se debe confirmar mediante evidencia, la aplicación y uso de cada uno de los procedimientos mencionados.
¿Cuáles son las actividades incluidas en una auditoría?
Las principales actividades que se realizan son:
- Revisión de procedimientos.
- Entrevistas al personal (gerentes, supervisores, ingenieros, mantenimiento y operadores, entre otros).
- Revisión de documentación, registros o evidencias.
- Auditorías o visitas de campo para validar en sitio la información obtenida durante las entrevistas.
El tema de las auditorías es muy amplio y podemos profundizar mucho más, mencionar otras características y elementos, pero al considerar y aplicar lo que hemos señalado, se pueden obtener buenos resultados y garantizar el éxito de la auditoría.
En la tercera parte del post, entraremos en materia acerca de las evaluaciones o assessment de la seguridad funcional.