Auditor interno de SST en 90 días: primer ciclo real

El nuevo auditor interno de SST suele recibir una agenda, una lista de verificación y una expectativa peligrosa: encontrar todo sin incomodar demasiado. En los primeros 90 días, su trabajo no es producir un informe elegante, sino probar si ISO 45001 y las obligaciones LatAm llegan al turno real con evidencia suficiente.

La tesis de este perfil es directa. Un auditor interno que revisa solo carpetas confirma existencia documental, mientras que un auditor que conecta registros, entrevistas y campo puede revelar dónde el sistema todavía depende de suerte, presión operativa o controles que nadie ha probado bajo tensión.

Qué debe entender antes de empezar

La auditoría interna bajo ISO 45001 no existe para atrapar personas, ni para decorar el calendario anual del SG-SST. Su función es comprobar si el sistema de gestión de seguridad y salud en el trabajo cumple requisitos propios, legales y operacionales, y si produce decisiones capaces de reducir exposición antes de que el daño ocurra.

En América Latina, esa lectura necesita aterrizarse país por país. México puede exigir evidencias vinculadas a NOM-STPS, Colombia conserva el SG-SST y la Resolución 0312 de 2019, Chile opera con DS 40 y criterios de SUSESO, Argentina se apoya en SRT y Ley 19.587, y Perú exige coherencia con la Ley 29783. ISO 45001 funciona como columna común, aunque la prueba de cumplimiento vive en el regulador local y en el trabajo observado.

El primer cambio mental consiste en dejar de mirar la auditoría como una inspección grande. La comparación entre supervisión, inspección y auditoría de seguridad ayuda a separar funciones: la supervisión corrige durante la tarea, la inspección detecta condiciones visibles y la auditoría prueba si el sistema sostiene esas decisiones de manera repetible.

Como Andreza Araújo sostiene en A Ilusão da Conformidade, la conformidad puede volverse una ilusión cuando el documento dice una cosa y la práctica diaria opera de otra manera. El auditor interno debe buscar precisamente esa distancia, con respeto por las personas y rigor frente a la evidencia.

Primera semana: delimita alcance, riesgo y autoridad

La primera semana debe producir una definición clara de alcance. No basta escribir que se auditará el sistema de SST, porque esa frase permite revisar demasiado y aprender poco. El auditor necesita acordar áreas, procesos, turnos, contratistas, riesgos críticos y países o marcos regulatorios que entrarán en la muestra.

El criterio de alcance debe partir del riesgo, no de la comodidad documental. Un área con buen orden visual puede esconder energía peligrosa, cambios de proceso, permisos débiles o contratistas con baja supervisión. Un proceso con pocos incidentes puede necesitar revisión si acumula cuasi-accidentes, acciones vencidas o controles críticos sin prueba funcional.

Durante esa semana, el auditor también debe confirmar autoridad. Si encuentra una brecha grave durante la auditoría, necesita saber quién puede detener, escalar o exigir contención inmediata. La independencia del auditor no sirve si su informe llega tres semanas después de una exposición que debió cerrarse en el momento.

La salida de la primera semana es simple y exigente: un alcance escrito, una matriz breve de riesgos prioritarios, una lista de evidencias mínimas y una ruta de escalamiento. Sin esos cuatro elementos, el ciclo comienza débil aunque la agenda esté llena.

Primeros 30 días: aprende a muestrear sin perder el campo

En los primeros 30 días, el auditor interno debe dominar el muestreo. Auditar todo es imposible, y auditar solo lo que está disponible en una carpeta es irresponsable. La muestra debe combinar registros, entrevistas, observación directa y trazabilidad de acciones, porque cada fuente revela una parte distinta del sistema.

Una muestra útil cruza al menos tres capas. La primera es documental: política, objetivos, matriz legal, identificación de peligros, evaluación de riesgos, controles, competencias, investigación de incidentes y acciones correctivas. La segunda es conversacional: trabajadores, supervisores, mantenimiento, contratistas y líderes de área. La tercera es operacional: permisos activos, bloqueo de energías, rutas, guardas, señalización, controles críticos y decisiones de turno.

El artículo sobre registro de riesgos sirve como apoyo porque el auditor necesita comprobar si el riesgo descrito en el sistema coincide con el riesgo visto en campo. Cuando el registro dice exposición baja, pero el turno muestra tareas simultáneas, presión de entrega o barreras improvisadas, la auditoría ya encontró una brecha de gestión.

La trampa de los primeros 30 días es confundir volumen con profundidad. Un auditor puede revisar 120 documentos y no entender una sola decisión crítica, o puede seguir 5 eventos desde el reporte hasta el cierre y descubrir que el sistema acepta evidencia débil, plazos irreales o responsables sin autoridad.

Mes 2: conecta hallazgos con controles críticos

El segundo mes debe separar hallazgos administrativos de fallas que afectan controles críticos. No todos los incumplimientos tienen el mismo peso preventivo. Una firma faltante puede ser relevante, aunque un permiso liberado sin verificación de atmósfera, energía o rescate expone a la empresa a un daño mucho más severo.

ISO 45001 pide evaluar desempeño y mejorar el sistema, lo cual exige mirar la eficacia de los controles, no solo su existencia. En trabajos de altura, espacios confinados, izaje, maquinaria, energía peligrosa o químicos, el auditor debe preguntar si el control fue probado, quién lo verificó, qué evidencia quedó y qué pasa cuando el turno cambia.

Para organizar esta etapa, conviene usar como referencia la guía de auditoría de controles críticos. El auditor nuevo no necesita convertirse en especialista de todos los riesgos en 60 días, pero sí debe saber cuándo una barrera sostiene la vida y cuándo un documento solo sostiene la apariencia.

Andreza Araújo ha observado en más de 250 proyectos de transformación cultural que muchos sistemas fallan donde la organización cree que ya está protegida. Esa experiencia vuelve prioritario auditar la distancia entre el control declarado y el control que sobrevive a producción, mantenimiento, contratistas y urgencias.

Mes 3: convierte evidencia en decisiones de dirección

El tercer mes es el momento de traducir evidencia en decisiones. Un buen informe no debería limitarse a enumerar no conformidades, porque la dirección necesita saber qué riesgo se mantiene abierto, qué proceso lo genera, qué responsable puede corregirlo y qué decisión requiere presupuesto, autoridad o cambio de prioridad.

La estructura del informe puede ser breve si el razonamiento es fuerte. Primero muestra la conclusión ejecutiva con los riesgos que no pueden esperar. Luego presenta los hallazgos por proceso, conectados con cláusulas de ISO 45001 y requisitos locales aplicables. Después separa acciones de contención, acciones correctivas y decisiones de mejora, ya que cada una tiene urgencia distinta.

El vínculo con indicadores proactivos de seguridad es práctico. Si el informe solo produce una cantidad de hallazgos, la dirección verá carga administrativa. Si muestra señales de exposición, calidad de cierre, repetición y fragilidad de barreras, la conversación cambia hacia riesgo real.

El auditor debe evitar una frase cómoda: el área debe mejorar. Esa formulación no decide nada. La redacción útil dice qué control falló, qué evidencia lo prueba, qué riesgo queda abierto, quién tiene autoridad para cerrar la brecha y qué plazo es razonable bajo la severidad observada.

Mes 4 en adelante: audita aprendizaje, no memoria

A partir del cuarto mes, el auditor interno debe verificar si la organización aprende o solo recuerda hallazgos hasta la próxima visita. Una acción cerrada en el sistema digital no prueba mejora cuando el mismo patrón reaparece en otro turno, contratista o línea de producción.

La revisión posterior exige volver al campo. Si una acción correctiva prometió cambiar capacitación, procedimiento o control físico, el auditor debe buscar evidencia de que la práctica cambió. Esa evidencia puede estar en entrevistas, observaciones, pruebas funcionales, permisos mejor llenados, menor repetición o decisiones de supervisores que antes no ocurrían.

El artículo sobre matriz de riesgos después de un cambio operacional muestra una conexión importante. Muchas acciones correctivas alteran equipos, métodos o responsabilidades, y cada cambio puede crear un riesgo nuevo si nadie revisa exposición y controles antes de liberar.

James Reason ayuda a sostener esta mirada porque sus fallas latentes explican cómo una organización puede acumular debilidades antes del accidente visible. El auditor interno no necesita dramatizar el informe, pero sí debe mostrar dónde se están alineando decisiones, omisiones y presiones que podrían romper una barrera crítica.

Errores comunes del auditor interno nuevo

El primer error es auditar para agradar. Cuando el auditor suaviza una brecha grave para no tensionar al área, transforma independencia en cortesía y deja a la dirección sin información suficiente para decidir. La cortesía personal no puede reemplazar precisión técnica.

El segundo error es copiar preguntas de una lista genérica sin adaptar el riesgo. Una lista puede ayudar, aunque pierde valor cuando pregunta lo mismo en oficinas, mantenimiento, contratistas y áreas de alto potencial. El auditor serio adapta preguntas según exposición, proceso y marco regulatorio aplicable.

El tercer error es tratar la causa como culpa individual. En investigación y auditoría, la pregunta más útil no es quién falló, sino qué condición del sistema permitió que una decisión débil pareciera aceptable. Esa diferencia protege el aprendizaje y evita informes que castigan al operador mientras dejan intactas las fallas de diseño, liderazgo o recursos.

El cuarto error es cerrar hallazgos por evidencia mínima. Una foto, una firma o una capacitación pueden demostrar actividad, pero no siempre demuestran eficacia. Cuando el riesgo es crítico, el cierre debe probar que el control funciona en el escenario donde será usado.

Recursos para profundizar

El auditor interno que quiere crecer rápido necesita estudiar tres frentes. El primero es ISO 45001, con atención especial a participación, planificación, control operacional, evaluación del desempeño, auditoría interna y mejora. El segundo es la regulación local que aplica a su operación, porque cada país pide evidencias con nombres, plazos y responsabilidades propios.

El tercer frente es la cultura de seguridad. En Sorte ou Capacidade, Andreza Araújo defiende que depender de suerte es una fragilidad de gestión, no una estrategia. En A Ilusão da Conformidade, la crítica apunta al sistema que parece correcto mientras tolera prácticas débiles. Ambos libros ayudan al auditor a mirar más allá de la carpeta.

Cierre operativo

El auditor interno de SST que empieza su rol tiene 90 días para construir credibilidad técnica. Esa credibilidad no nace de señalar errores en voz alta, sino de mostrar con evidencia dónde el sistema protege, dónde se engaña y dónde necesita decisión de liderazgo.

Si tu organización quiere formar auditores internos capaces de conectar ISO 45001, reguladores LatAm y riesgo real, el trabajo de Andreza Araújo puede ayudar a convertir auditorías en aprendizaje verificable. Conoce el enfoque en Andreza Araújo y revisa tu próximo ciclo antes de que el informe vuelva a medir solo apariencia.