Auditoría

Esencialmente, al realizar un FSA se busca confirmar que en las diferentes actividades se han utilizado métodos, técnicas, competencias, resultados y procesos apropiados para lograr la seguridad funcional.

Deben ser realizadas por un evaluador (assessor) o un equipo de evaluadores independiente, debido a que requiere de una revisión profunda y la emisión de un juicio de valor sobre una condición. Se requiere al menos una «persona competente de alto nivel», ya que en gran medida la experticia en el área va a garantizar el éxito de la actividad. Además, es necesario que el evaluador tenga suficiente autoridad dentro de la organización a fin de que su juicio sea respetado y sus recomendaciones sean consideradas.

El grado de independencia depende de la gravedad (estimada) de las consecuencias o del SIL de la(s) SIF diseñada(s). Hay casos en los que es suficiente solo una persona que no haya participado en el proyecto que se está evaluando o no esté involucrada directamente en la actividad. A mayor severidad o SIL, se deberá incrementar el nivel de independencia de una persona a un departamento a una organización.

Pudiéramos preguntarnos si es obligatorio realizar un FSA, y la respuesta es, Sí. Éste, es uno de los requisitos obligatorios de la normativa IEC61511-1: 2016. Pero, más allá de eso, al realizarla, podemos garantizar (de forma tangible) que la seguridad funcional se ha alcanzado, nos evita problemas operacionales, disminuye los costos y nos permite aprovechar los recursos que tenemos; por lo que, no sería molesto cumplir con esa obligatoriedad.

Aunque la normativa nos sugiere cuándo realizar el FSA, esto no es limitativo. Una organización puede realizarla en las fases del ciclo de vida de seguridad donde les sea conveniente. Mientras más fases sean evaluadas, mayores beneficios se obtienen porque nos permite conocer si “alcanzamos y mantenemos nuestra seguridad funcional”. La norma recomienda que se realice tan seguido como sea prácticamente realizable, según el tamaño del proyecto o de la operación.

Como toda actividad, el evaluador (o el equipo evaluador) tiene la responsabilidad de prepararse y planificarse. Debe generar un plan que indique las actividades a desarrollar, los recursos, herramientas y la documentación que será necesario revisar.

Ahora bien, ya luego de revisar lo más relevante de ambos mundos, tanto de las auditorías como de las FSA, es necesario resaltar que para obtener el máximo provecho de ambas actividades debemos apoyarnos en personal experimentado, capacitados en el área  y que tenga las competencias necesarias, más allá de ofrecer un resultado positivo hacia la organización; con esto podemos tener la certeza de que se realizaron procesos de gestión conscientes, rigurosos y reales que nos permitan evidenciar en “donde estamos” con el fin de tomar las acciones necesarias para llegar “hacia donde queremos”. Con la misma importancia, se debe considerar en ambos casos contar siempre con una planificación adecuada donde quedarán establecidos los lineamientos a cumplir para llevar con éxito la actividad.

Recordemos que:

«Las cosas buenas suceden solamente si se
planean, las cosas malas suceden solas»

Como indicamos en la publicación anterior, en esta segunda entrega, trataremos lo relacionado con las auditorías en el área de la seguridad funcional.

En https://grupocsf.com/2020/06/evaluacion-y-auditoria-de-la-seguridad.html, se hizo referencia a la definición indicada en la normativa IEC-61511; en esta oportunidad, tomaremos la del libro “Guidelines for Auditing Process Safety Management Systems” del CCPS, en el que se define la auditoría como “Una revisión sistemática e independiente para verificar la conformidad con lo establecido en pautas o estándares. Emplea un proceso de revisión bien definido para garantizar consistencia y permitir al auditor llegar a conclusiones defendibles”.

Las auditorías, en el ámbito de seguridad funcional, tienen por objetivo determinar si el sistema de gestión de la seguridad funcional está siendo utilizado y si está actualizado.

Adicional a estas definiciones, hemos querido ampliar un poco más la información con la intención de ayudarles a participar, de forma proactiva y consciente, en la mejora de los procedimientos internos de su organización.

¿Cuál es la obligatoriedad de realizar las auditorías en seguridad funcional?

Las auditorías son un requisito de la normativa IEC-61511 (clausula 5 “Gestión de la Seguridad Funcional”) y, si bien pudiera verse como que no es obligatorio, no tiene sentido tener un sistema de gestión si el mismo no es auditado para asegurar la mejora continua. La auditoría nos aporta información valiosa, por lo que, es determinante para su ejecución, que la organización cuente, obviamente, con un sistema de gestión de seguridad funcional.

Una recomendación, no excluyente, es que se realicen durante las fases largas del ciclo de vida de seguridad, como la de operación y mantenimiento del SIS. Aunque en proyectos muy largos puede ser beneficioso aplicarla durante el desarrollo de actividades como la asignación del SIL, el diseño o la implementación del SIS.

¿Qué tan frecuente se deben realizar las auditorías?

La frecuencia de la auditoría va de la mano con el impacto potencial de la actividad que se está auditando y, además, depende de los objetivos del plan de auditoría y la naturaleza de las operaciones involucradas.

Entre los factores que se deben considerar para determinar la frecuencia de la auditoría se encuentran: el nivel de riesgo de la instalación, la madurez del sistema de gestión de seguridad funcional, los resultados de auditorías previas, el historial de no conformidades, las políticas de la organización y las normativas de referencia.

¿Debe existir un plan de auditorías?

Sí, es importante que se realice una planificación conjunta entre el equipo auditor y la organización con el fin de establecer las actividades a desarrollar, fechas de compromiso, tiempo de duración, disponibilidad del personal y definición de los procedimientos a aplicar.

El plan de auditoría debe contener:

• Definición del alcance de la auditoria.
• Planificación de las actividades a desarrollar.
• Definición de la organización, recursos y herramientas.
• Documentación requerida y a entregar.
• Manejo de No Conformidades.

¿Quién debe realizar las auditorías?

Deben ser realizadas por personal independiente, es decir, no involucrado en la actividad auditada.

El equipo auditor debe estar constituido por personal que tenga conocimiento sobre las áreas que se van a auditar, debe estar capacitado en procesos de auditoría y tener las habilidades y herramientas adecuadas para auditar efectivamente. En base a su experticia profesional, debe realizar una revisión de la documentación utilizada y generada en el marco de la seguridad funcional.

No debe centrarse en medir el alcance técnico de la información, ni emitir juicios, ni ofrecer recomendaciones sobre el diseño del sistema de seguridad funcional, sino validar si se siguieron los lineamientos establecidos. Por ello, el auditor debe tener la experticia adecuada para determinar las áreas de mejora.

El nivel de independencia asegura la imparcialidad al momento de emitir observaciones (tanto positivas como negativas) del proceso de auditoría. Por ejemplo, en el caso de las auditorías internas, basta con pertenecer a otro departamento u otra unidad, pero con las competencias adecuadas para cumplir el rol de auditor.

¿Qué se debe auditar?

Dependiendo de la etapa o la fase del ciclo de vida que se pretenda auditar, existen una serie de documentos, planes y procedimientos que son necesarios revisar. En todas las fases se deben revisar los planes de gestión, verificación y evaluación, los procedimientos de planificación, evaluaciones (assessment), auditorías internas, entre otros.

Por ejemplo, para la fase de operación y mantenimiento, los planes de inspección, prueba y mantenimiento y los procedimientos del manejo del cambio (MOC), prueba, seguimiento y desempeño del SIS, entre otros.

De manera general, se debe confirmar mediante evidencia, la aplicación y uso de cada uno de los procedimientos mencionados.

¿Cuáles son las actividades incluidas en una auditoría?

Las principales actividades que se realizan son:

• Revisión de procedimientos.
• Entrevistas al personal (gerentes, supervisores, ingenieros, mantenimiento y operadores, entre otros).
• Revisión de documentación, registros o evidencias.
• Auditorías o visitas de campo para validar en sitio la información obtenida durante las entrevistas.

El tema de las auditorías es muy amplio y podemos profundizar mucho más, mencionar otras características y elementos, pero al considerar y aplicar lo que hemos señalado, se pueden obtener buenos resultados y garantizar el éxito de la auditoría.

En la tercera parte del post, entraremos en materia acerca de las evaluaciones o assessment de la seguridad funcional.