Curso Auditorias 19011 - 2018 Sin Logo

Descargar como pptx, pdf o txt
Descargar como pptx, pdf o txt
Está en la página 1de 139

Curso Formación de Auditores

Basado en la norma ISO 19011:2018


Objetivo del curso

Al terminar el curso, el participante será capaz de


efectuar auditorias a los sistemas de gestión de su
organización, basado en las directrices de la ISO
19011:2018
0 Introducción

Los resultados de la auditoría pueden proporcionar información para el aspecto


de análisis de la planificación comercial y pueden contribuir a la identificación de
las necesidades y actividades de mejora.
Se puede realizar una auditoria en relación con una variedad de criterios de
auditoria, por separado o en combinación, que incluyen, entre otros:
 requisitos definidos en una o más normas del sistema de gestión;
 políticas y requisitos especificados por las partes interesadas pertinentes;
 requisitos legales y reglamentarios;
 uno o más procesos del sistema de gestión definidos por la organización
u otras partes;
 plan (es) del sistema de gestión relacionado con la provisión de productos
especificos de un sistema de gestión (por ejemplo, plan de calidad, plan
del proyecto).
1 Alcance

Este documento proporciona orientación sobre auditoría a sistemas de gestión,


incluidos los principios de auditoría, la gestión de un programa de auditoría y la
realización de auditorias del sistema de gestión, así́ como orientación sobre la
evaluación de la competencia de las personas involucradas en el proceso de
auditoría. Estas actividades incluyen las personas que administran el programa
de auditoría, los auditores y los equipos de auditoría.

Es aplicable a todas las organizaciones que necesitan planificar y llevar a cabo


auditorias internas o externas de los sistemas de gestión o administrar un
programa de auditoría.

La aplicación de este documento a otros tipos de auditorías es posible, siempre


que se otorgue una consideración especial a la competencia especifica
necesaria.
3 Términos y definiciones

3.1 Auditoria
  Proceso sistemático, independiente y documentado para obtener evidencia objetiva
(3.8) y evaluarla objetivamente para determinar en qué medida se cumplen los
criterios de auditoria (3.7)
Nota 1: Las auditorias internas, a veces llamadas auditorias de primera parte, son realizadas por, o en nombre de, la
organización misma.
Nota 2: Las auditorias externas incluyen aquellas generalmente llamadas auditorias de segunda y tercera parte. Las
auditorias de segunda parte se llevan a cabo por las partes que tienen un interés en la organización, como los
clientes, o por otras personas en su nombre. Las auditorias de tercera parte son llevadas a cabo por
organizaciones de auditoria independientes, como aquellas que proporcionan certificación / registro de
conformidad o agencias gubernamentales.
3.2 Auditoria combinada
Auditoria (3.1) llevada a cabo conjuntamente en un único auditado (3.13) para dos o
más sistemas de gestión (3.18)
Nota 1: Cuando se integran dos o más sistemas de gestión específicos de la disciplina en un único sistema de gestión,
esto se conoce como un sistema integrado de gestión (SIG).
3.3 Auditoria conjunta
Auditoria (3.1) llevada a cabo en un auditado único (3.13) por dos o más
organizaciones de auditoria
3.3 Programa de auditoria
Arreglos para un conjunto de una o más auditorias (3.1) planificadas para un marco
de tiempo especifico y dirigidas hacia un propósito especifico
Análisis de los elementos de la definición

Proceso sistemático: implica un conjunto de actividades planeadas,


estructuradas y periódicas.
Independiente: termino que es critico en el concepto de auditoria y se le utiliza
en el sentido que el auditor no es ni el responsable del comportamiento o
situación en revisión ni el supervisor inmediato superior de la persona que
realiza dicha actividad.
Documentado: que exista la información y su medio de soporte que indique la
existencia misma de la auditoria; recordemos que los documentos en la
actualidad pueden estar en diferentes medios: físicos, electrónicos, en papel,
en cinta magnética, entre otros.
Evidencias de auditoria: son registros, declaraciones de hechos o cualquier
otra información que son pertinentes para los criterios de auditoria y que son
verificables.
Criterios de auditoria: son el conjunto de políticas, procedimientos o
requisitos que se utilizan como una referencia frente a la cual se compara la
evidencia de la auditoria.
Tipos de auditoria

Auditoria de Auditoria de Auditoria de


primera parte segunda parte tercera parte
 Auditoria interna  Auditoria de  Auditoria de
proveedor externo certificación y/o
 Otra auditoria de acreditación
parte interesada  Auditoria legal,
externa regulatoria y similar
3 Términos y definiciones

3.5 Alcance de auditoria


  Alcance y limites de una auditoria (3.1)
Nota 1: El alcance de la auditoria generalmente incluye una descripción de las ubicaciones físicas y virtuales, funciones,
unidades organizativas, actividades y procesos, así́ como el periodo de tiempo cubierto.
Nota 2: Una ubicación virtual es cuando una organización realiza un trabajo o proporciona un servicio usando un
entorno en línea que permite a las personas, independientemente de las ubicaciones físicas, ejecutar procesos.
3.6 Plan de auditoria
Descripción de las actividades y los arreglos para una auditoria (3.1)
3.7 Criterios de auditoria
Conjunto de requisitos (3.23) utilizados como referencia con respecto a los cuales
se compara la evidencia objetiva (3.8)
Nota 1: Si los criterios de auditoria son legales (incluidos los requisitos legales o reglamentarios), las palabras
“cumplimiento” o “incumplimiento” a menudo se utilizan en una conclusión de auditoria (3.10).
Nota 2: Los requisitos pueden incluir políticas, procedimientos, instrucciones de trabajo, requisitos legales, obligaciones
contractuales, etc.
3.8 Evidencia objetiva
Datos que respaldan la existencia o la verdad de algo
Nota 1: La evidencia objetiva se puede obtener a través de observación, medición, prueba o por otros medios.
Nota 2: La evidencia objetiva para el propósito de la auditoria (3.1) generalmente consiste en registros, declaraciones
de hechos u otra información que son relevantes para los criterios de auditoria (3.7) y verificables.
3.9 Pruebas de auditoria
Registros, declaraciones de hechos u otra información, que sean relevantes para
los criterios de auditoria (3.7) y verificables
3 Términos y definiciones

3.10 Resultados de la auditoria


  Resultados de la evaluación de la evidencia de auditoría recopilada (3.9) contra los
criterios de auditoría (3.7)
Nota 1: Los hallazgos de la auditoría indican conformidad (3.20) o no conformidad (3.21).
Nota 2: Los hallazgos de la auditoría pueden conducir a la identificación de riesgos, oportunidades de mejora o registro
de buenas prácticas.
Nota 2: En inglés, si los criterios de auditoría se seleccionan de entre los requisitos legales o los requisitos
reglamentarios, el hallazgo de la auditoría se denomina cumplimiento o incumplimiento.
3.11 Conclusión de la auditoria
Resultado de una auditoría (3.1), después de considerar los objetivos de auditoría y
todos los hallazgos de auditoría (3.10)
3.12 Cliente de auditoria
Organización o persona que solicita una auditoria (3.1)
Nota 1: En el caso de la auditoría interna, el cliente de auditoría también puede ser el auditado (3.13) o la
persona (s) que administra el programa de auditoría. Las solicitudes de auditoría externa pueden provenir de
fuentes tales como reguladores, partes contratantes o clientes potenciales o existentes.
3.13 Auditado
Organización en su totalidad o partes de ella siendo auditada
3 Términos y definiciones

3.14 Equipo de auditoria


  Una o más personas que realizan una auditoria (3.1), apoyadas si es necesario por
expertos técnicos (3.16)
Nota 1: Un auditor (3.15) del equipo de auditoria (3.14) es designado como el líder del equipo de auditoria.
Nota 2: El equipo de auditoria puede incluir auditores en capacitación.

3.15 Auditor
Persona que realiza una auditoria (3.1)
3.16 Experto técnico
Persona que proporciona conocimientos o experiencia específicos al equipo de
auditoria (3.14)
Nota 1: En el conocimiento especifico o experiencia se relaciona con la organización, la actividad, el proceso, el
producto, el servicio, la disciplina que se auditará, el idioma o la cultura.
Nota 2: Un experto técnico del equipo de auditoría (3.14) no actúa como auditor (3.15).
3.17 Observador
Individuo que acompaña al equipo de auditoria (3.14) pero que no actúa como
auditor (3.15)
3 Términos y definiciones

3.18 Sistema de gestión


  Conjunto de elementos interrelacionados o que interactúan de una organización
para establecer políticas y objetivos, y procesos (3.24) para lograr esos objetivos
Nota 1: Un sistema de gestión puede abordar una única disciplina o varias disciplinas, por ejemplo; gestión de calidad,
gestión financiera o gestión ambiental.
Nota 2: Los elementos del sistema de gestión establecen la estructura, los roles y las responsabilidades de la
organización, planificación, operación, políticas, practicas, reglas, creencias, objetivos y procesos para alcanzar
esos objetivos.
Nota 3: El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones especificas e
identificadas de la organización, secciones especificas e identificadas de la organización, o una o más
funciones en un grupo de organizaciones.
3.19 Riesgo
Efecto de incertidumbre
Nota 1: Un efecto es una desviación de lo esperado - positivo o negativo.
Nota 2: La incertidumbre es el estado, incluso parcial, de la deficiencia de información relacionada con, la comprensión
o el conocimiento de un evento, su consecuencia y probabilidad.
Nota 3: El riesgo a menudo se caracteriza por referencia a eventos potenciales (como se define en la Guía ISO
73:2009, 3.5.1.3) y consecuencias (como se define en la Guía ISO 73:2009, 3.6.1.3), o una combinación de
estos.
Nota 4: El riesgo a menudo se expresa en términos de una combinación de las consecuencias de un evento (incluidos
los cambios en las circunstancias) y la probabilidad asociada (según se define en la Guía ISO 73:2009, 3.6.1.1)
de ocurrencia.
3.20 Conformidad
Cumplimiento de un requisito (3.23)
3.21 No conformidad
Incumplimiento de un requisito (3.23)
3 Términos y definiciones

3.22 Competencia
  Capacidad de aplicar conocimientos y habilidades para lograr los resultados
previstos
3.23 Requisito
necesidad o expectativa que se establece, generalmente implícita u obligatoria
Nota 1: “Generalmente implícito” significa que es costumbre o practica común para la organización y las partes
interesadas que la necesidad o expectativa bajo consideración sea implícita.
Nota 2: Un requisito específico es uno que se establece, por ejemplo, en información documentada.
3.24 Proceso
Conjunto de actividades interrelacionadas o interactivas que usan insumos para
entregar un resultado deseado
3.25 Desempeño
Resultados medibles
Nota 1: El desempeño puede relacionarse con hallazgos cuantitativos o cualitativos.
Nota 2: El desempeño puede relacionarse con la gestión de actividades, procesos (3.24), productos, servicios, sistemas
u organizaciones.
3.26 Efectividad
Medida en que se realizan las actividades planificadas y se logran los resultados
planificados
4 Principios de auditoria

La auditoria se caracteriza por la dependencia de una serie de principios.

Estos principios deberían ayudar a que la auditoria sea una herramienta efectiva
y confiable en apoyo de las políticas y controles de gestión, proporcionando
información sobre la cual una organización puede actuar para mejorar su
desempeño.

El cumplimiento de estos principios es un requisito previo para proporcionar


conclusiones de auditoria que sean relevantes y suficientes, y para permitir
a los auditores, trabajando independientemente unos de otros, llegar a
conclusiones similares en circunstancias similares.
4 Principios de auditoria

Principio Definición

Integridad La base del profesionalismo


Los auditores y la (s) persona (s) que administran un programa de auditoria deberían:
 realizar su trabajo de forma ética, con honestidad y responsabilidad;
 solo realizar actividades de auditoria si es competente para hacerlo;
 realizar su trabajo de manera imparcial, es decir, seguir siendo justo e imparcial en todos
sus tratos;
 ser sensible a cualquier influencia que pueda ejercer sobre su juicio mientras lleva a cabo
una auditoria.
Presentación La obligación de informar veraz y exactamente
justa Los hallazgos de la auditoria, las conclusiones de auditoria y los informes de auditoria deberían
reflejar de manera veraz y precisa las actividades de auditoria. Se deberían informar los
obstáculos significativos encontrados durante la auditoria y las opiniones divergentes no
resueltas entre el equipo de auditoria y el auditado. La comunicación debería ser veraz,
precisa, objetiva, oportuna, clara y completa
Debido cuidado La aplicación de la diligencia y el juicio en la auditoria
profesional Los auditores deberían tener el debido cuidado de acuerdo con la importancia de la tarea que
realizan y la confianza depositada en ellos por el cliente de auditoria y otras partes interesadas.
Un factor importante para llevar a cabo su trabajo con la debida atención profesional es tener la
capacidad de emitir juicios razonados en todas las situaciones de auditoria.
4 Principios de auditoria

Principio Definición

Confidencialidad Seguridad de la información


Los auditores deberían ejercer discreción en el uso y la protección de la información adquirida
en el desempeño de sus funciones. La información de auditoria no debería ser utilizada de
manera inapropiada para beneficio personal por el auditor o el cliente de auditoria, o de una
manera perjudicial para los intereses legítimos del auditado. Este concepto incluye el manejo
adecuado de información sensible o confidencial.
Independencia La base para la imparcialidad de la auditoria y la objetividad de las
conclusiones de la auditoria
Los auditores deberían ser independientes de la actividad auditada siempre que sea posible y,
en todos los casos, deberían actuar de forma tal que no estén sujetos a prejuicios ni a
conflictos de intereses. Para las auditorias internas, los auditores deberían ser independientes
de la función que se está auditando, si es posible. Los auditores deberían mantener la
objetividad durante todo el proceso de auditoria para garantizar que los hallazgos y
conclusiones de la auditoria se basen solo en la evidencia de auditoria.
Enfoque basado El método racional para llegar a conclusiones de auditoria fiables y
en la evidencia reproducibles en un proceso de auditoria sistemático
La evidencia de auditoria debería ser verificable. En general, debería basarse en muestras de
la información disponible, ya que una auditoria se lleva a cabo durante un tiempo finito y con
recursos limitados. Se debería aplicar un uso apropiado del muestreo, ya que está
estrechamente relacionado con la confianza que se puede depositar en las conclusiones de la
auditoria.
4 Principios de auditoria

Principio Definición

Enfoque basado Un enfoque de auditoria que considera riesgos y oportunidades


en el riesgo El enfoque basado en el riesgo debería influir sustancialmente en la planificación, conducción y
presentación de informes de las auditorias para garantizar que las auditorias se centren en
asuntos que son importantes para el cliente de auditoria y para lograr los objetivos del
programa de auditoria.
5 Administrar un programa de auditoría
5.1 Generalidades

Se debería establecer un programa de auditoria que pueda incluir auditorias que


aborden uno o más estándares del sistema de gestión u otros requisitos,
realizados por separado o en combinación (auditoria combinada).

El alcance de un programa de auditoria debería basarse en el tamaño y la


naturaleza del auditado, así como en la naturaleza, funcionalidad, complejidad,
el tipo de riesgos y oportunidades, y el nivel de madurez de los sistemas de
gestión a ser auditados.

Para comprender el contexto del auditado, el programa de auditoria debería,


tener en cuenta:
 objetivos organizacionales;
 cuestiones externas e internas relevantes;
 las necesidades y expectativas de las partes interesadas pertinentes;
 requisitos de confidencialidad y seguridad de la información.
5 Administrar un programa de auditoría
5.1 Generalidades

El programa de auditoria debería incluir información e identificar recursos para


permitir que las auditorias se realicen de manera efectiva y eficiente dentro de
los plazos especificados.

La información debería incluir:

a) objetivos para el programa de auditoria;


b) riesgos y oportunidades asociados con el programa de auditoria (ver 5.3) y
las acciones para abordarlos;
c) alcance (extensión, limites, ubicaciones) de cada auditoria dentro del
programa de auditoria;
d) cronograma (número/duración/frecuencia) de las auditorias;
e) tipos de auditoria, como interna o externa;
f) criterios de auditoria;
g) métodos de auditoria a ser empleados;
h) criterios para seleccionar miembros del equipo de auditoria;
i) información documentada relevante.
5 Administrar un programa de auditoría
5.1 Generalidades
5.2 Establecimiento de objetivos del programa de auditoría

Los objetivos del programa de auditoria deberían ser coherentes con la


orientación estratégica y los objetivos y la política del sistema de gestión de
soporte del cliente de auditoria.

Estos objetivos pueden basarse en consideración de lo siguiente:

a) las necesidades y expectativas de las partes interesadas pertinentes,


tanto externas como internas;
b) características y requisitos de procesos, productos, servicios y proyectos,
y cualquier cambio en ellos;
c) requisitos del sistema de gestión;
d) necesidad de evaluación de proveedores externos;
e) el nivel de desempeño y el nivel de madurez del sistema o sistemas de
gestión del auditado, como se refleja en los indicadores de desempeño
relevantes (por ejemplo, KPI’s), la ocurrencia de no conformidades,
incidentes o quejas de las partes interesadas;
f) identificación de riesgos y oportunidades para el auditado;
g) resultados de auditorias anteriores.
5.2 Establecimiento de objetivos del programa de auditoría

Los ejemplos de objetivos del programa de auditoria pueden incluir lo siguiente:

 identificar oportunidades para la mejora del sistema de gestión y su


desempeño;
 evaluar la capacidad del auditado para determinar su contexto;
 evaluar la capacidad del auditado para determinar riesgos y oportunidades e
identificar e implementar acciones efectivas para abordarlos;
 cumplir con todos los requisitos pertinentes, por ejemplo; requisitos legales y
reglamentarios, compromisos de cumplimiento, requisitos para la certificación
de un estándar de sistema de gestión;
 obtener y mantener la confianza en la capacidad de un proveedor externo;
 determinar la idoneidad, adecuación y eficacia continuas del sistema de
gestión del auditado;
 evaluar la compatibilidad y la alineación de los objetivos del sistema de
gestión con la dirección estratégica de la organización.
5.3 Determinación y evaluación de riesgos y oportunidades
del programa de auditoria

Existen riesgos y oportunidades relacionados con el contexto del auditado que


pueden asociarse con un programa de auditoria y pueden afectar el logro de sus
objetivos.

Las personas que gestionan el programa de auditoria deberían identificar y


presentar al cliente de auditoria los riesgos y oportunidades considerados al
desarrollar el programa de auditoria y los requisitos de recursos, para que
puedan abordarse de manera adecuada.

Puede haber riesgos asociados con lo siguiente:


a) planificación, por ejemplo; no establecer los objetivos de auditoria
relevantes y determinar el alcance, el número, la duración, las ubicaciones y
el cronograma de las auditorias;
b) recursos, por ejemplo; permitir tiempo, equipo y/o capacitación insuficientes
para desarrollar el programa de auditoria o realizar una auditoria;
c) selección del equipo de auditoria, por ejemplo; competencia global
insuficiente para realizar auditorias de manera efectiva;
5.3 Determinación y evaluación de riesgos y oportunidades
del programa de auditoria

d) comunicación, por ejemplo; procesos/canales de comunicación


externos/internos ineficaces;
e) implementación, por ejemplo; coordinación ineficaz de las auditorias dentro
del programa de auditoria, o no considerar la seguridad y confidencialidad de
la información;
f) control de la información documentada, por ejemplo; la determinación
ineficaz de la información documentada necesaria requerida por los auditores
y las partes interesadas pertinentes; la falta de protección adecuada de los
registros de auditoria para demostrar la eficacia del programa de auditoria;
g) supervisar, revisar y mejorar el programa de auditoria, por ejemplo;
seguimiento ineficaz de los resultados del programa de auditoria;
h) disponibilidad y cooperación del auditado y disponibilidad de evidencia
para ser muestreada.
5.3 Determinación y evaluación de riesgos y oportunidades
del programa de auditoria

Las oportunidades para mejorar el programa de auditoria pueden incluir:

 permitir múltiples auditorias en una sola visita;


 minimizar el tiempo y las distancias que viajan al sitio;
 hacer coincidir el nivel de competencia del equipo de auditoria con el nivel de
competencia necesario para alcanzar los objetivos de la auditoria;
 alinear las fechas de auditoria con la disponibilidad del personal clave del
auditado.
5.4 Establecimiento del programa de auditoria
5.4.1 Roles y responsabilidades de las personas que
gestionan el programa de auditoria

Las personas que gestionan el programa de auditoria deberían:

a) establecer la extensión del programa de auditoria de acuerdo con los


objetivos relevantes (ver 5.2) y cualquier restricción conocida;
b) determinar los problemas externos e internos, y los riesgos y
oportunidades que pueden afectar el programa de auditoria, e implementar
acciones para abordarlos, integrando estas acciones en todas las actividades
de auditoria relevantes, según corresponda;
c) garantizar la selección de los equipos de auditoria y la competencia
general para las actividades de auditoria mediante la asignación de
funciones, responsabilidades y autoridades, y el apoyo al liderazgo, según
corresponda;
5.4 Establecimiento del programa de auditoria
5.4.1 Roles y responsabilidades de las personas que
gestionan el programa de auditoria

d) establecer todos los procesos relevantes, incluidos los procesos para:


 la coordinación y programación de todas las auditorias dentro del
programa de auditoria;
 el establecimiento de objetivos de auditoria, alcance(s) y criterios de las
auditorias, determinación de los métodos de auditoria y selección del
equipo de auditoria;
 evaluación de auditores;
 el establecimiento de procesos de comunicación externa e interna, según
corresponda;
 la resolución de disputas y el manejo de quejas;
 seguimiento de auditoria si corresponde;
 informar al cliente de auditoria y a las partes interesadas pertinentes,
según corresponda.
5.4 Establecimiento del programa de auditoria
5.4.1 Roles y responsabilidades de las personas que
gestionan el programa de auditoria

e) determinar y garantizar la provisión de todos los recursos necesarios;


f) garantizar que se prepare y mantenga la información documentada
apropiada, incluidos los registros del programa de auditoria;
g) monitorear, revisar y mejorar el programa de auditoria;
h) comunicar el programa de auditoria al cliente de auditoria y, según
corresponda, a las partes interesadas pertinentes.

Las personas que gestionan el programa de auditoria deberían solicitar su


aprobación al cliente de auditoria.
5.4.2 Competencia del (los) individuo(s) que
gestiona(n) el programa de auditoria

La(s) persona(s) que gestiona(n) el programa de auditoria deberían tener la


competencia necesaria para gestionar el programa, sus riesgos y
oportunidades asociados y los problemas externos e internos de manera efectiva
y eficiente, incluido el conocimiento de:

a) principios de auditoria (ver Clausula 4), métodos y procesos (véanse A.1 y


A.2);
b) normas del sistema de gestión, otras normas pertinentes y documentos de
referencia / orientación;
c) información sobre el auditado y su contexto (por ejemplo, asuntos
externos/internos, partes interesadas relevantes y sus necesidades y
expectativas, actividades comerciales, productos, servicios y procesos del
auditado);
d) requisitos legales y reglamentarios aplicables y otros requisitos relevantes
para las actividades comerciales del auditado.
5.4.2 Competencia del(los) individuo(s) que
gestiona(n) el programa de auditoria

Según corresponda, se puede considerar el conocimiento de la gestión de


riesgos, la gestión de proyectos y procesos, y las tecnologías de la información y
las comunicaciones (TIC).

Las personas que gestionan el programa de auditoria deberían participar en


actividades apropiadas de desarrollo continuo para mantener la competencia
necesaria para administrar el programa de auditoria.
5.4.3 Establecer el alcance del programa de
auditoria

Las personas que gestionan el programa de auditoría deberían determinar el


alcance del programa de auditoria. Esto puede variar según la información
proporcionada por el auditado con respecto a su contexto (ver 5.3).

NOTA: En algunos casos, dependiendo de la estructura del auditado o sus


actividades, el programa de auditoria solo puede consistir en una única auditoria
(por ejemplo, un pequeño proyecto u organización).
5.4.3 Establecer el alcance del programa de
auditoria

Otros factores que afectan el alcance de un programa de auditoria pueden incluir


los siguientes:
a) el objetivo, el alcance y la duración de cada auditoria y la cantidad de auditorias que se llevaran a
cabo, el método de notificación y, si corresponde, el seguimiento de la auditoria;
b) las normas del sistema de gestión u otros criterios aplicables;
c) el número, la importancia, la complejidad, la similitud y la ubicación de las actividades a auditar;
d) aquellos factores que influyen en la efectividad del sistema de gestión;
e) los criterios de auditoria aplicables, tales como los arreglos planificados para las normas del
sistema de gestión pertinentes, los requisitos legales y reglamentarios y otros requisitos con los
que la organización está comprometida;
f) resultados de auditorias internas o externas previas y revisiones de la dirección, si corresponde;
g) resultados de una revisión previa del programa de auditoria;
h) problemas lingüísticos, culturales y sociales;
i) las preocupaciones de las partes interesadas, tales como las quejas de los clientes, el
incumplimiento de los requisitos legales y reglamentarios y otros requisitos con los que la
organización se compromete, o los problemas de la cadena de suministro;
j) cambios significativos en el contexto del auditado o sus operaciones y riesgos y oportunidades
relacionados;
k) disponibilidad de tecnologías de información y comunicación para respaldar las actividades de
auditoria, en particular el uso de métodos de auditoria remota (véase A.16);
l) la ocurrencia de eventos internos y externos, tales como no conformidades de productos o
servicios, fugas de seguridad de la información, incidentes de salud y seguridad, actos delictivos o
incidentes ambientales;
m) riesgos y oportunidades comerciales, incluidas las acciones para abordarlos.
5.4.4 Determinar los recursos del programa de
auditoria

Al determinar los recursos para el programa de auditoria, las personas que


gestionan el programa de auditoria deberían considerar:

a) los recursos financieros y de tiempo necesarios para desarrollar, implementar,


administrar y mejorar las actividades de auditoria;
b) métodos de auditoria (ver A.1);
c) la disponibilidad individual y general de auditores y expertos técnicos que posean las
competencias apropiadas para los objetivos particulares del programa de auditoria;
d) la extensión del programa de auditoria (ver 5.4.3) y los riesgos y oportunidades del
programa de auditoria (ver 5.3);
e) tiempo de viaje y costo, alojamiento y otras necesidades de auditoria; el impacto de las
diferentes zonas horarias;
f) la disponibilidad de tecnologías de información y comunicación (por ejemplo, los
recursos técnicos necesarios para establecer una auditoria remota utilizando
tecnologías que admiten la colaboración remota);
g) la disponibilidad de cualquier herramienta, tecnología y equipo requerido;
h) la disponibilidad de la información documentada necesaria, según se determine
durante el establecimiento del programa de auditoria (ver A.5);
i) los requisitos relacionados con la instalación, incluidos los espacios de seguridad y el
equipo (por ejemplo, verificaciones de antecedentes, equipo de protección personal,
capacidad de llevar puesto el atuendo limpio).
5.5 Implementación del programa de auditoria
5.5.1 Generalidades

Toda vez que se ha establecido el programa de auditoría (ver 5.4.3) y se han


determinado los recursos relacionados (ver 5.4.4), es necesario implementar la
planificación operativa y la coordinación de todas las actividades dentro del
programa.

Las personas que gestionan el programa de auditoría deberían:


a) comunicar las partes pertinentes del programa de auditoria, incluidos los
riesgos y oportunidades, a las partes interesadas pertinentes e informarles
periódicamente de su progreso, utilizando los canales de comunicación
externos e internos establecidos;
b) definir objetivos, alcance y criterios para cada auditoría individual;
c) seleccionar métodos de auditoría (ver A.1);
d) coordinar y programar auditorías y otras actividades relevantes para el
programa de auditoría;
e) garantizar que los equipos de auditoría tengan la competencia necesaria
(ver 5.5.4);
f) proporcionar los recursos individuales y globales necesarios a los equipos de
auditoría (ver 5.4.4);
5.5 Implementación del programa de auditoria
5.5.1 Generalidades

g) garantizar la realización de auditorias de acuerdo con el programa de


auditoria, gestionando todos los riesgos, oportunidades y problemas
operativos (es decir, eventos inesperados), tal como surgen durante el
despliegue del programa;
h) garantizar que la información documentada relevante con respecto a las
actividades de auditoria se gestiona y mantiene de forma adecuada (ver
5.5.7);
i) definir e implementar los controles operativos (ver 5.6) necesarios para la
supervisión del programa de auditoria;
j) revisar el programa de auditoria para identificar oportunidades para su mejora
(ver 5.7).
5.5.2 Definición de objetivos, alcance y criterios
para una auditoria individual

Cada auditoria individual debería basarse en objetivos de auditoria


definidos, alcance y criterios. Estos deberían ser consistentes con los
objetivos generales del programa de auditoria.

Los objetivos de la auditoria definen lo que se debería lograr mediante la


auditoria individual y pueden incluir lo siguiente:
a) determinación del grado de conformidad del sistema de gestión a ser
auditado, o partes de él, con los criterios de auditoria;
b) evaluación de la capacidad del sistema de gestión para ayudar a la
organización a cumplir los requisitos legales y reglamentarios pertinentes y
otros requisitos con los que la organización está comprometida;
c) evaluación de la efectividad del sistema de gestión para alcanzar los
resultados esperados;
d) identificación de oportunidades para la mejora potencial del sistema de
gestión;
e) evaluación de la idoneidad y adecuación del sistema de gestión con respecto
al contexto y la dirección estratégica del auditado;
f) evaluación de la capacidad del sistema de gestión para establecer y alcanzar
objetivos y abordar de manera efectiva los riesgos y oportunidades, en un
contexto cambiante, incluida la implementación de las acciones relacionadas.
5.5.2 Definición de objetivos, alcance y criterios
para una auditoria individual

El alcance de la auditoria debería ser coherente con el programa de auditoria


y los objetivos de auditoria. Incluye factores tales como ubicaciones,
funciones, actividades y procesos a auditar, así́ como el periodo cubierto por la
auditoria.

Los criterios de auditoria se utilizan como referencia con respecto a la cual se


determina la conformidad. Estos pueden incluir uno o más de los siguientes:
políticas, procesos, procedimientos aplicables, criterios de desempeño que
incluyen objetivos, requisitos legales y reglamentarios, requisitos del
sistema de gestión, información sobre el contexto y los riesgos y
oportunidades según lo determine el auditado (incluidos los requisitos de partes
interesadas internas), códigos de conducta sectoriales u otras disposiciones
planificadas.

En caso de cualquier cambio en los objetivos, el alcance o los criterios de la


auditoria, el programa de auditoria debería modificarse si es necesario y
comunicarse a las partes interesadas para su aprobación, si corresponde.
5.5.2 Definición de objetivos, alcance y criterios
para una auditoria individual

Cuando se audita más de una disciplina al mismo tiempo, es importante que los
objetivos, el alcance y los criterios de la auditoria sean consistentes con los
programas de auditoria relevantes para cada disciplina. Algunas disciplinas
pueden tener un alcance que refleje a toda la organización y otras pueden tener
un alcance que refleje un subconjunto de toda la organización.
Tabla para el cálculo de días – hombre de auditoría
5.5.3 Selección y determinación de métodos de
auditoria

El (los) individuo (s) que gestiona (n) el programa de auditoria debería (n)
seleccionar y determinar los métodos para llevar a cabo eficazmente y de
manera eficiente una auditoria, dependiendo de los objetivos de auditoria
definidos, el alcance y criterios.

Las auditorias pueden realizarse en el sitio, de forma remota o como una


combinación. El uso de estos métodos debería estar adecuadamente
equilibrado, en función de, entre otros, la consideración de los riesgos y
oportunidades asociados.

Cuando dos o más organizaciones auditoras lleven a cabo una auditoria conjunta
del mismo auditado, las personas que administran los diferentes programas de
auditoria deberían acordar los métodos de auditoria y considerar las
implicaciones para la provisión de recursos y la planificación de la auditoria. Si un
auditado opera dos o más sistemas de gestión de diferentes disciplinas, se
pueden incluir auditorias combinadas en el programa de auditoria.
Tabla A1 Métodos de auditoria
5.5.4 Selección de los miembros del equipo de
auditoria

El (los) individuo(s) que gestiona(n) el programa de auditoria debería(n) nombrar


a los miembros del equipo de auditoria, incluyendo el líder del equipo y cualquier
expertos técnicos necesarios para la auditoria especifica.

Se debería seleccionar un equipo de auditoria, teniendo en cuenta la


competencia necesaria para alcanzar los objetivos de la auditoria individual
dentro del alcance definido. Si solo hay un auditor, el auditor debería realizar
todas las tareas aplicables de un líder del equipo de auditoria.

NOTA: La clausula 7 contiene una guía para determinar la competencia


requerida para los miembros del equipo de auditoria y describe los procesos para
evaluar a los auditores.

Para asegurar la competencia global del equipo de auditoria, deberían realizarse


los siguientes pasos:
 identificación de la competencia necesaria para alcanzar los objetivos de la
auditoria;
 selección de los miembros del equipo de auditoria para que la competencia
necesaria esté presente en el equipo de auditoria.
5.5.4 Selección de los miembros del equipo de
auditoria

Al decidir el tamaño y la composición del equipo de auditoria para una auditoria


especifica, se debería considerar lo siguiente:
a) la competencia general del equipo de auditoria necesaria para lograr los
objetivos de la auditoria, teniendo en cuenta el alcance y los criterios de la
auditoria;
b) complejidad de la auditoria;
c) si la auditoria es una auditoria combinada o conjunta;
d) los métodos de auditoria seleccionados;
e) asegurar la objetividad e imparcialidad para evitar cualquier conflicto de
interés del proceso de auditoria;
f) la capacidad de los miembros del equipo de auditoria para trabajar e
interactuar eficazmente con los representantes del auditado y las partes
interesadas pertinentes;
g) los problemas externos/internos relevantes, como el idioma de la auditoria y
las características sociales y culturales del auditado. Estos problemas pueden
ser abordados ya sea por las propias habilidades del auditor o por medio del
apoyo de un experto técnico, considerando también la necesidad de
interpretes;
h) tipo y complejidad de los procesos a auditar.
5.5.4 Selección de los miembros del equipo de
auditoria

Cuando corresponda, las personas que gestionan el programa de auditoria


deberían consultar al líder del equipo sobre la composición del equipo de
auditoria.

Si los auditores del equipo de auditoria no cubren la competencia necesaria,


los expertos técnicos con competencia adicional deberían estar disponibles
para apoyar al equipo.

Los auditores en formación pueden incluirse en el equipo de auditoria, pero


deberían participar bajo la dirección y orientación de un auditor competente.

Los cambios en la composición del equipo de auditoria pueden ser necesarios


durante la auditoria, por ejemplo; si surge un conflicto de interés o problema de
competencia. Si surge una situación de este tipo, debería resolverse con las
partes apropiadas (por ejemplo, el líder del equipo de auditoria, la (s) persona (s)
que gestionan el programa de auditoria, el cliente de auditoria o el auditado)
antes de realizar cualquier cambio.
7 Competencia y evaluación de auditores
7.1 Generalidades

La confianza en el proceso de auditoría y la capacidad para lograr sus


objetivos depende de la competencia de las personas que participan en la
realización de las auditorías, incluidos los auditores y el líder del equipo de
auditoría.

La competencia debería evaluarse periódicamente a través de un proceso que


considera el comportamiento personal y la capacidad de aplicar el conocimiento
y las habilidades adquiridas a través de la educación, la experiencia laboral, la
formación de auditores y la experiencia de auditoría. Este proceso debería
tomar en consideración las necesidades del programa de auditoría y sus
objetivos.
7.2.2 Comportamiento personal

Los auditores deberían poseer los atributos necesarios para que puedan
actuar de acuerdo con los principios de auditoría descritos en la Cláusula 4.
Los auditores deberían exhibir un comportamiento profesional durante la
realización de las actividades de auditoría. Los comportamientos profesionales
deseados incluyen ser:

a) ético, es decir, justo, veraz, sincero, honesto y discreto;


b) de mente abierta, es decir, dispuesto a considerar ideas o puntos de vista
alternativos;
c) diplomático, es decir, discreto al tratar con individuos;
d) observador, es decir, observando activamente el entorno físico y las
actividades;
e) perceptivo, es decir, consciente de y capaz de comprender situaciones;
f) versátil, es decir, capaz de adaptarse fácilmente a diferentes situaciones;
g) tenaz, es decir persistente y enfocado en alcanzar objetivos;
h) decisivo, es decir, capaz de llegar a conclusiones oportunas basadas en el
razonamiento lógico y el análisis;
7.2.2 Comportamiento personal

i) autosuficiente, es decir, capaz de actuar y funcionar independientemente


mientras interactúa efectivamente con otros;
j) capaz de actuar con fortaleza, es decir, capaz de actuar de manera
responsable y ética, aunque estas acciones no siempre sean populares y en
ocasiones pueden dar lugar a desacuerdos o confrontaciones;
k) abierto a la mejora, es decir, dispuesto a aprender de las situaciones;
l) culturalmente sensible, es decir, atento y respetuoso con la cultura del
auditado;
m) colaborador, es decir, interacción efectiva con otros, incluidos los miembros
del equipo de auditoría y el personal del auditado
Características del auditor

Buen Auditor: Mal Auditor:


Cálido Crédulo
Diplomático Cínico
Juicioso Indisciplinado
Constructivo Opinante
Analítico Discutidor
Paciente Absolvedor
Mente Abierta Ansioso de
Sin Tendencias Agradar
Honesto
Interesado
Bien Entrenado
7.2.3.2. Conocimientos genéricos y habilidades de los
auditores del sistema de gestión

Los auditores deben tener conocimientos y habilidades en las siguientes áreas:

1. Principios, procedimientos y técnicas de auditoria: que permitan al


auditor aplicar aquellos que sean apropiados a las diferentes auditorias y
para asegurarse de que las auditorias se llevan a cabo de manera
coherente y sistemática.
2. Documentos del Sistema de Gestión y de referencia: para permitir al
auditor comprender el alcance de la auditoria y aplicar los criterios de
auditoria.
3. Situaciones de la Organización: para permitir al auditor entender el
contexto de las operaciones de la organización.
4. Leyes, reglamentos y otros requisitos aplicables pertinentes a la
entidad auditada: para permitir al auditor trabajar con ellos y ser
consciente de los requisitos aplicables a la Organización que se esta
evaluando.
5.5.5 Asignar la responsabilidad de una auditoria
individual al líder del equipo de auditoria

Las personas que gestionan el programa de auditoria deberían asignar la


responsabilidad de llevar a cabo la auditoria individual a un líder del equipo
de auditoria.

La asignación debería hacerse con suficiente tiempo antes de la fecha


programada de la auditoria, a fin de garantizar la planificación efectiva de la
auditoria.
5.5.5 Asignar la responsabilidad de una auditoria
individual al líder del equipo de auditoria

Para garantizar la realización efectiva de las auditorias individuales, se debería


proporcionar la siguiente información al líder del equipo de auditoria:

a) objetivos de auditoria;
b) criterios de auditoria y cualquier información documentada relevante;
c) alcance de la auditoria, incluida la identificación de la organización y sus
funciones y procesos a auditar;
d) procesos de auditoria y métodos asociados;
e) composición del equipo de auditoria;
f) los datos de contacto del auditado, las ubicaciones, el marco temporal y la
duración de las actividades de auditoria que se llevaran a cabo;
g) los recursos necesarios para llevar a cabo la auditoria;
h) información necesaria para evaluar y abordar los riesgos y oportunidades
identificados para el logro de los objetivos de la auditoria;
i) información que respalda al (los) líder (es) del equipo de auditoria en sus
interacciones con el auditado para la efectividad del programa de auditoria.
5.5.5 Asignar la responsabilidad de una auditoria
individual al líder del equipo de auditoria

La información de asignación también debería cubrir lo siguiente, según


corresponda:

 lenguaje de trabajo y de informes de la auditoria cuando esto es diferente del


idioma del auditor o del auditado, o de ambos;
 resultados de informes de auditoria según sea necesario y a quien se
distribuirá́ ;
 asuntos relacionados con la confidencialidad y la seguridad de la información,
según lo requerido por el programa de auditoria;
 cualquier acuerdo de salud, seguridad y medio ambiente para los auditores;
 requisitos para viajar o acceder a sitios remotos;
 cualquier requisito de seguridad y autorización;
 cualquier acción que se revisará, por ejemplo; acciones de seguimiento de
una auditoria anterior;
 coordinación con otras actividades de auditoria, por ejemplo; cuando
diferentes equipos están auditando procesos similares o relacionados en
diferentes ubicaciones o en el caso de una auditoria conjunta.
5.5.5 Asignar la responsabilidad de una auditoria
individual al líder del equipo de auditoria

Cuando se realiza una auditoria conjunta, es importante llegar a un acuerdo


entre las organizaciones que realizan las auditorias, antes de que comience la
auditoria, sobre las responsabilidades especificas de cada parte, particularmente
con respecto a la autoridad del líder del equipo designado para la auditoria.
5.5.6 Gestión de los resultados del programa de
auditoria

Las personas que gestionan el programa de auditoria deberían garantizar que se


realicen las siguientes actividades:

a) evaluación del logro de los objetivos para cada auditoria dentro del
programa de auditoria;
b) revisión y aprobación de informes de auditoria sobre el cumplimiento del
alcance y los objetivos de la auditoria;
c) revisión de la efectividad de las acciones tomadas para abordar los hallazgos
de auditoria;
d) distribución de informes de auditoria a las partes interesadas pertinentes;
e) determinación de la necesidad de cualquier auditoria de seguimiento.

La persona que administra el programa de auditoria debería considerar, cuando


corresponda:

 comunicar los resultados de auditoria y las mejores practicas a otras áreas de


la organización, y
 las implicaciones para otros procesos.
5.5.7 Administrar y mantener los registros del
programa de auditoria

Las personas que administran el programa de auditoria deberían garantizar que


los registros de auditoria se generen, administren y mantengan para
demostrar la implementación del programa de auditoria. Los procesos deberían
establecerse para garantizar que se aborden las necesidades de
confidencialidad y seguridad de la información asociadas con los registros de
auditoria.

Los registros pueden incluir lo siguiente:

a) Registros relacionados con el programa de auditoria, tales como:


 calendario de auditorias;
 objetivos y alcance del programa de auditoria;
 aquellos que abordan los riesgos y oportunidades del programa de
auditoria, y los problemas
 externos e internos relevantes;
 revisiones de la efectividad del programa de auditoria.
5.5.7 Administrar y mantener los registros del
programa de auditoria

b) Registros relacionados con cada auditoria, tales como:


 planes de auditoria e informes de auditoria;
 evidencia de auditoria objetiva y hallazgos;
 informes de no conformidad;
 correcciones e informes de acciones correctivas;
 informes de seguimiento de auditoria.
c) Registros relacionados con el equipo de auditoria que cubren temas tales
como:
 evaluación de competencia y desempeño de los miembros del equipo de
auditoria;
 criterios para la selección de equipos de auditoria y miembros del equipo
y formación de equipos de auditoria;
 mantenimiento y mejora de la competencia.

La forma y el nivel de detalle de los registros deberían demostrar que se han


logrado los objetivos del programa de auditoria.
5.6 Seguimiento del programa de auditoria

Las personas que gestionan el programa de auditoria deberían garantizar la


evaluación de:

a) sí se están cumpliendo los cronogramas y si se están logrando los objetivos


del programa de auditoria;
b) el desempeño de los miembros del equipo de auditoria, incluido el líder del
equipo de auditoria y los expertos técnicos;
c) la capacidad de los equipos de auditoria para implementar el plan de
auditoria;
d) retroalimentación de clientes de auditoria, auditados, auditores, expertos
técnicos y otras partes relevantes;
e) suficiencia y adecuación de la información documentada en todo el proceso
de auditoria.
5.6 Seguimiento del programa de auditoria

Algunos factores pueden indicar la necesidad de modificar el programa de


auditoria. Estos pueden incluir cambios en:

 resultados de la auditoria;
 nivel demostrado de efectividad y madurez del sistema de gestión del
auditado;
 eficacia del programa de auditoria;
 alcance de la auditoria o alcance del programa de auditoria;
 el sistema de gestión del auditado;
 estándares y otros requisitos con los que la organización está comprometida;
 proveedores externos;
 identificó conflictos de interés;
 los requisitos del cliente de auditoria.
5.7 Revisión y mejora del programa de auditoria

Las personas que gestionan el programa de auditoria y el cliente de auditoria


deberían revisar el programa de auditoria para evaluar si se han alcanzado sus
objetivos. Las lecciones aprendidas de la revisión del programa de auditoria
deberían usarse como insumos para la mejora del programa.

Las personas que gestionan el programa de auditoria deberían garantizar lo


siguiente:

 revisión de la implementación general del programa de auditoria;


 identificación de áreas y oportunidades de mejora;
 aplicación de cambios al programa de auditoria si es necesario;
 revisión del desarrollo profesional continuo de los auditores, de acuerdo con
7.6;
 informe de los resultados del programa de auditoria y revisión con el cliente
de auditoria y las partes interesadas pertinentes, según corresponda.
5.7 Revisión y mejora del programa de auditoria

La revisión del programa de auditoria debería considerar lo siguiente:

a) resultados y tendencias del seguimiento del programa de auditoria;


b) conformidad con los procesos del programa de auditoria e información
documentada relevante;
c) la evolución de las necesidades y expectativas de las partes interesadas
pertinentes;
d) registros del programa de auditoria;
e) métodos de auditoria alternativos o nuevos;
f) métodos alternativos o nuevos para evaluar a los auditores;
g) efectividad de las acciones para abordar los riesgos y oportunidades, y
problemas internos y externos asociados con el programa de auditoria;
h) cuestiones de confidencialidad y seguridad de la información relacionadas
con el programa de auditoria.
Ejercicio grupal

CASO DE ESTUDIO
ABC Ltd.
6 Realización de una auditoría
6.1 Generalidades

Esta cláusula contiene orientación sobre cómo preparar y llevar a cabo una
auditoría específica como parte de un programa de auditoría. La Figura 1
proporciona una descripción general de las actividades realizadas en una
auditoría típica. El grado en que las disposiciones de esta cláusula son aplicables
depende de los objetivos y el alcance de la auditoría específica.
6.2 Iniciando la auditoría
6.2.1 Generalidades

La responsabilidad de llevar a cabo la auditoría debería permanecer con el


líder del equipo de auditoría asignado (ver 5.5.5) hasta que se complete la
auditoría (ver 6.6).

Para iniciar una auditoría, deberían considerarse los pasos en la Figura 1; sin
embargo, la secuencia puede variar según el auditado, los procesos y las
circunstancias específicas de la auditoría.
6.2.2 Establecer contacto con el auditado

El líder del equipo auditor debería asegurarse de que se establezca contacto con
el auditado para:

a) confirmar los canales de comunicación con los representantes del auditado;


b) confirmar la autoridad para realizar la auditoria;
c) proporcionar información relevante sobre los objetivos, el alcance, los
criterios, los métodos y la composición del equipo de auditoría, incluidos los
expertos técnicos;
d) solicitar acceso a información relevante para fines de planificación, incluida
información sobre los riesgos y oportunidades que la organización ha
identificado y cómo se abordan;
e) determinar los requisitos legales y reglamentarios aplicables y otros requisitos
relevantes para las actividades, procesos, productos y servicios del auditado;
f) confirmar el acuerdo con el auditado sobre el alcance de la divulgación y el
tratamiento de la información confidencial;
g) hacer arreglos para la auditoría incluyendo el cronograma;
6.2.2 Establecer contacto con el auditado

h) determinar los arreglos específicos de ubicación para el acceso, la salud y la


seguridad, la confidencialidad u otros;
i) acordar la asistencia de los observadores y la necesidad de guías o
intérpretes para el equipo de auditoría;
j) determinar cualquier área de interés, preocupación o riesgo para el auditado
en relación con la auditoría específica;
k) resolver problemas relacionados con la composición del equipo de auditoría
con el auditado o el cliente de auditoría.
6.2.3 Determinación de la viabilidad de la auditoría

La viabilidad de la auditoría debería determinarse para proporcionar una


confianza razonable de que se pueden lograr los objetivos de la auditoría.

La determinación de la viabilidad debería tener en cuenta factores como la


disponibilidad de lo siguiente:

a) información suficiente y apropiada para planificar y llevar a cabo la auditoría;


b) cooperación adecuada del auditado;
c) tiempo y recursos adecuados para realizar la auditoría.

NOTA: Los recursos incluyen el acceso a tecnología adecuada y apropiada de


información y comunicación.

Cuando la auditoría no sea factible, se debería proponer una alternativa al


cliente de auditoría, de acuerdo con el auditado.
6.3 Preparación de actividades de auditoría
6.3.1 Realizar revisión de información documentada

La información documentada del sistema de gestión relevante del auditado


debería ser revisada para:

 recopilar información para comprender las operaciones del auditado y


preparar las actividades de auditoría y los documentos de trabajo de
auditoría aplicables (ver 6.3.4), por ejemplo; en procesos y funciones;
 establecer una visión general del alcance de la información documentada
para determinar la posible conformidad con los criterios de auditoría y
detectar posibles áreas de preocupación, como deficiencias, omisiones o
conflictos.

La información documentada debería incluir, pero no limitarse a: documentos y


registros del sistema de gestión, así como informes de auditoría anteriores. La
revisión debería tener en cuenta el contexto de la organización del auditado,
incluidos su tamaño, naturaleza y complejidad, y sus riesgos y oportunidades
relacionados. También debería tener en cuenta el alcance, los criterios y los
objetivos de la auditoría.
6.3.2 Planificación de auditoría
6.3.2.1 Enfoque basado en el riesgo para la planificación

El líder del equipo de auditoría debería adoptar un enfoque basado en el


riesgo para planificar la auditoría con base en la información del programa de
auditoría y la información documentada proporcionada por el auditado.

La planificación de auditoría debería considerar los riesgos de las


actividades de auditoría en los procesos del auditado y proporcionar la base para
el acuerdo entre el cliente de auditoría, el equipo de auditoría y el auditado con
respecto a la realización de la auditoría. La planificación debería facilitar la
programación eficiente y la coordinación de las actividades de auditoría para
lograr los objetivos de manera efectiva.

La cantidad de detalles proporcionados en el plan de auditoría debería reflejar el


alcance y la complejidad de la auditoría, así como también el riesgo de no
alcanzar los objetivos de la auditoría.
6.3.2 Planificación de auditoría
6.3.2.1 Enfoque basado en el riesgo para la planificación

Al planificar la auditoría, el líder del equipo auditor debería considerar lo


siguiente:

a) la composición del equipo de auditoría y su competencia general;


b) las técnicas de muestreo apropiadas (ver A.6);
c) oportunidades para mejorar la efectividad y eficiencia de las actividades de
auditoría;
d) los riesgos para lograr los objetivos de auditoría creados por una planificación
de auditoría ineficaz;
e) los riesgos para el auditado creados al realizar la auditoría.

Los riesgos para el auditado pueden derivarse de la presencia de los miembros


del equipo de auditoría que influyen negativamente en las disposiciones del
auditado sobre salud y seguridad, medio ambiente y calidad, y sus productos,
servicios, personal o infraestructura (por ejemplo, contaminación en las salas
limpias).

Para las auditorías combinadas, se debería prestar especial atención a las


interacciones entre los procesos operativos y los objetivos y prioridades que
compiten entre sí de los diferentes sistemas de gestión.
6.3.2.2. Detalles de planificación de auditoría

La escala y el contenido de la planificación de auditoría pueden diferir, por


ejemplo, entre auditorías iniciales y posteriores, así como entre auditorías
internas y externas. La planificación de la auditoría debería ser lo
suficientemente flexible como para permitir cambios que pueden ser necesarios
a medida que avanzan las actividades de auditoría.

La planificación de la auditoría debería abordar o hacer referencia a lo siguiente:

a) los objetivos de la auditoría;


b) el alcance de la auditoría, incluida la identificación de la organización y sus
funciones, así como los procesos a auditar;
c) los criterios de auditoría y cualquier información documentada de
referencia;
d) las ubicaciones (físicas y virtuales), las fechas, el tiempo previsto y la
duración de las actividades de auditoría que se llevarán a cabo, incluidas las
reuniones con la administración del auditado;
e) la necesidad de que el equipo de auditoría se familiarice con las instalaciones
y los procesos del auditado (por ejemplo, realizando un recorrido por la (s)
ubicación (es) física (s), o revisando la tecnología de información y
comunicación);
6.3.2.2. Detalles de planificación de auditoría

f) los métodos de auditoría que se utilizarán, incluido el grado en que el


muestreo de auditoría es necesario para obtener suficiente evidencia de
auditoría;
g) las funciones y responsabilidades de los miembros del equipo de
auditoría, así como guías y observadores o intérpretes;
h) la asignación de recursos apropiados en base a la consideración de los
riesgos y oportunidades relacionados con las actividades que se auditarán.
6.3.2.2. Detalles de planificación de auditoría

La planificación de la auditoría debería tener en cuenta, según corresponda:

 identificación del (los) representante (s) del auditado para la auditoría;


 el lenguaje de trabajo y de informes de la auditoría cuando esto es diferente
del lenguaje del auditor o el auditado o ambos;
 los temas del informe de auditoría;
 arreglos de logística y comunicaciones, incluidos arreglos específicos para las
ubicaciones que se auditarán;
 cualquier acción específica que se tome para abordar los riesgos para
alcanzar los objetivos de auditoría y las oportunidades que surjan;
 cuestiones relacionadas con la confidencialidad y la seguridad de la
información;
 cualquier acción de seguimiento de una auditoría anterior u otra (s) fuente
(es), por ejemplo; lecciones aprendidas, revisiones de proyectos;
 cualquier actividad de seguimiento de la auditoría planificada;
 coordinación con otras actividades de auditoría, en caso de una auditoría
conjunta.
6.3.2.2. Detalles de planificación de auditoría

Los planes de auditoría deberían presentarse al auditado. Cualquier problema


con los planes de auditoría debería resolverse entre el líder del equipo de
auditoría, el auditado y, si es necesario, la (s) persona (s) que gestionan el
programa de auditoría.
6.3.3 Asignación de trabajo al equipo de auditoría

El líder del equipo de auditoría, en consulta con el equipo de auditoría, debería


asignar a cada miembro del equipo la responsabilidad de auditar procesos,
actividades, funciones o ubicaciones específicas y, según corresponda,
autoridad para la toma de decisiones. Dichas asignaciones deberían tener en
cuenta la imparcialidad y objetividad y la competencia de los auditores y el uso
efectivo de los recursos, así como las diferentes funciones y responsabilidades
de los auditores, los auditores en formación y los expertos técnicos.

Las reuniones del equipo de auditoría deberían ser llevadas a cabo, según
corresponda, por el líder del equipo de auditoría a fin de asignar asignaciones de
trabajo y decidir posibles cambios. Se pueden realizar cambios en las
asignaciones de trabajo a medida que avanza la auditoría para garantizar el
logro de los objetivos de la auditoría.
Ejercicio grupal

PLAN DE AUDITORIA
6.3.4 Preparación de información documentada
para auditoría

Los miembros del equipo de auditoría deberían recopilar y revisar la


información relevante para sus asignaciones de auditoría y preparar la
información documentada para la auditoría, utilizando cualquier medio
apropiado. La información documentada para la auditoría puede incluir, pero no
se limita a:

a) listas de verificación físicas o digitales;


b) detalles de muestreo de auditoría;
c) información audio visual.

El uso de estos medios no debería restringir el alcance de las actividades de


auditoría, que pueden cambiar como resultado de la información recopilada
durante la auditoría.
6.3.4 Preparación de información documentada
para auditoría

La información documentada preparada para la auditoría y como resultado de la


misma debería conservarse al menos hasta la finalización de la auditoría, o
según lo especificado en el programa de auditoría. La retención de información
documentada después de la finalización de la auditoría se describe en 6.6. La
información documentada creada durante el proceso de auditoría que involucra
información confidencial o de propiedad debería estar adecuadamente
salvaguardada en todo momento por los miembros del equipo de auditoría.
Preparación de las guías de auditoria

Objetivo de las guías:

 Proporcionar un esquema de revisión sistemático y ordenado.


 Describir la evidencia encontrada.
 Redactar objetivamente los hallazgos.
 Evaluar el cumplimiento de los objetivos e indicadores.
 Determinar si los procesos y actividades agregan valor.
 Evaluar hallazgos.

Pueden Contener:

 Los requerimientos del SGC a ser evaluados.


 Todas las preguntas que apliquen al proceso o actividad.
 Es importante que su redacción permita el enfoque a la estructura de los
diferentes procesos.
Lista de verificación – Enfoque de procesos

PREGUNTAS CLAVE DEL


PROCESO

¿Con qué ? ¿Están entendidos y satisfechos los


requisitos de los clientes internos (y ¿Con quién?
(Materiales/Maquinaria/Medio Ambiente/Money) externos cuando aplica)? (Mano de Obra/Competencia/Management)
_____________________ ¿Agrega valor este proceso? _____________________
_____________________ ¿Cuáles son los resultados de _____________________
_____________________ desempeño del proceso?
_____________________
_____________________ ¿Cuál es la evidencia de la Mejora
_____________________
Continua?
_____________________ _____________________

PROCESO
ENTRADAS SALIDAS

ELEMENTOS CRITICOS DE TODO PROCESO


¿Cómo? ¿Existe un propietario del proceso? ¿Con qué criterio clave?
(Métodos, procedimientos, técnicas) ¿El proceso está definido? (Medición/Evaluación)
_____________________ ¿El proceso esta documentado? _____________________
¿Se monitorea y/o se mide el proceso?
_____________________ _____________________
¿Se toman acciones en base a los resultados?
_____________________ _____________________
¿Se mantienen registros?
_____________________ ¿Se han establecido las interacciones _____________________
_____________________ del proceso (entradas – salidas)? _____________________
6.4 Realización de actividades de auditoría
6.4.1 Generalidades

Las actividades de auditoría normalmente se llevan a cabo en una secuencia


definida, como se indica en la Figura 1. Esta secuencia puede variar para
adaptarse a las circunstancias de las auditorías específicas.
6.4.2 Asignación de roles y responsabilidades de
guías y observadores

Los guías y observadores pueden acompañar al equipo de auditoría con las


aprobaciones del líder del equipo de auditoría, el cliente de auditoría y/o el
auditado, de ser necesario. No deberían influir ni interferir en la realización de
la auditoría. Si esto no puede garantizarse, el líder del equipo auditor debería
tener el derecho de negar la presencia de observadores durante ciertas
actividades de auditoría.

Para los observadores, cualquier acuerdo de acceso, salud y seguridad, medio


ambiente, seguridad y confidencialidad debería ser administrado entre el cliente
de auditoría y el auditado.
6.4.2 Asignación de roles y responsabilidades de
guías y observadores

Los guías, designadas por el auditado, deberían ayudar al equipo de auditoría y


actuar a solicitud del líder del equipo de auditoría o del auditor al que se les
asignó. Sus responsabilidades deberían incluir lo siguiente:

a) ayudar a los auditores a identificar a los individuos para que participen en


las entrevistas y confirmen los horarios y las ubicaciones;
b) organizar el acceso a ubicaciones específicas del auditado;
c) garantizar que los miembros del equipo de auditoría y los observadores
conozcan y respeten las normas relativas a los acuerdos específicos de
localización para el acceso, la salud y la seguridad, el medio ambiente,
la seguridad, la confidencialidad y otros asuntos, y que se aborden los
riesgos;
d) ser testigo de la auditoría en nombre del auditado, cuando corresponda;
e) proporcionar aclaraciones o ayudar a recopilar información, cuando sea
necesario.
6.4.3 Realización de la reunión de apertura

El propósito de la reunión de apertura es:

a) confirmar el acuerdo de todos los participantes (por ejemplo, auditado, equipo


de auditoría) con el plan de auditoría;
b) presentar al equipo de auditoría y sus roles;
c) garantizar que se puedan realizar todas las actividades de auditoría
planificadas.

Se debería celebrar una reunión de apertura con la administración del auditado y,


cuando corresponda, con los responsables de las funciones o procesos a auditar.
Durante la reunión, se debería brindar la oportunidad de hacer preguntas.
6.4.3 Realización de la reunión de apertura

El grado de detalle debería ser coherente con la familiaridad del auditado con el
proceso de auditoría. En muchos casos, por ejemplo; auditorías internas en una
organización pequeña, la reunión de apertura puede consistir simplemente en
comunicar que se está llevando a cabo una auditoría y explicar la naturaleza de
la auditoría.

Para otras situaciones de auditoría, la reunión puede ser formal y los registros de
asistencia deberían conservarse. La reunión debería ser presidida por el líder del
equipo de auditoría.

Se debería considerar la introducción de lo siguiente, según corresponda:

 otros participantes, incluidos observadores y guías, intérpretes y un esbozo


de sus funciones;
 los métodos de auditoría para gestionar los riesgos para la organización que
pueden resultar de la presencia de los miembros del equipo de auditoría.
6.4.3 Realización de la reunión de apertura

Se debería considerar la confirmación de los siguientes elementos, según


corresponda:

 los objetivos, el alcance y los criterios de la auditoría;


 el plan de auditoría y otros arreglos relevantes con el auditado, como la fecha
y hora de la reunión de cierre, cualquier reunión interina entre el equipo de
auditoría y la administración del auditado, y cualquier cambio necesario;
 canales de comunicación formales entre el equipo de auditoría y el auditado;
 el idioma que se utilizará durante la auditoría;
 el auditado debería mantenerse informado del progreso de la auditoría
durante la auditoría;
 la disponibilidad de los recursos y las instalaciones que necesita el equipo de
auditoría;
 cuestiones relacionadas con la confidencialidad y la seguridad de la
información;
 acceso relevante, salud y seguridad, seguridad, emergencia y otros arreglos
para el equipo de auditoría;
 actividades en el sitio que pueden afectar la realización de la auditoría.
6.4.3 Realización de la reunión de apertura

La presentación de información sobre los siguientes elementos se debería


considerar, según corresponda:

 el método de informar los hallazgos de la auditoría, incluidos los criterios para


la calificación, si corresponde;
 condiciones bajo las cuales puede darse por terminada la auditoría;
 cómo tratar con posibles hallazgos durante la auditoría;
 cualquier sistema de retroalimentación del auditado sobre los hallazgos o
conclusiones de la auditoría, incluidas las quejas o apelaciones.
6.4.4 Comunicación durante la auditoría

Durante la auditoría, puede ser necesario hacer arreglos formales para la


comunicación dentro del equipo de auditoría, así como con el auditado, el cliente
de auditoría y potencialmente con partes interesadas externas (por ejemplo,
reguladores), especialmente cuando los requisitos legales y reglamentarios
requieren la notificación obligatoria de incumplimiento.

El equipo de auditoría debería consultar periódicamente para intercambiar


información, evaluar el progreso de la auditoría y reasignar el trabajo entre los
miembros del equipo de auditoría, según sea necesario.

Durante la auditoría, el líder del equipo de auditoría debería comunicar


periódicamente el progreso, los hallazgos significativos y cualquier
inquietud al auditado y al cliente de auditoría, según corresponda. La evidencia
recopilada durante la auditoría que sugiera un riesgo inmediato y significativo se
debería informar sin demora al auditado y, según corresponda, al cliente de
auditoría.

Cualquier preocupación sobre un tema fuera del alcance de la auditoría debería


ser notada e informada al líder del equipo de auditoría, para una posible
comunicación con el cliente de auditoría y el auditado.
6.4.4 Comunicación durante la auditoría

Cuando la evidencia de auditoría disponible indique que los objetivos de la


auditoría son inalcanzables, el líder del equipo de auditoría debería informar los
motivos al cliente de auditoría y al auditado para determinar la acción adecuada.
Dicha acción puede incluir cambios en la planificación de la auditoría, los
objetivos de la auditoría o el alcance de la auditoría, o la terminación de la
auditoría.

Cualquier necesidad de cambios en el plan de auditoría que pueda hacerse


aparente a medida que avancen las actividades de auditoría debería ser revisada
y aceptada, según corresponda, tanto por la (s) persona (s) que gestiona (n) el
programa de auditoría como por el cliente de auditoría y presentada al auditado.
6.4.5 Disponibilidad y acceso a la información de
auditoria

Los métodos de auditoría elegidos para una auditoría dependen de los objetivos
de auditoría definidos, el alcance y los criterios, así como la duración y la
ubicación. La ubicación es donde la información necesaria para la actividad de
auditoría específica está disponible para el equipo de auditoría. Esto puede
incluir ubicaciones físicas y virtuales.

Dónde, cuándo y cómo acceder a la información de auditoría es crucial para la


auditoría. Esto es independiente de donde se crea, usa y/o almacena la
información. En función de estos problemas, es necesario determinar los
métodos de auditoría (ver Tabla A.1). La auditoría puede usar una mezcla de
métodos. Además, las circunstancias de auditoría pueden significar que los
métodos deberían cambiar durante la auditoría.
6.4.6 Revisión de información documentada durante
la realización de la auditoría

La información documentada relevante del auditado debería ser revisada para:

 determinar la conformidad del sistema, en la medida documentada, con los


criterios de auditoría;
 recopilar información para apoyar las actividades de auditoría.

La revisión se puede combinar con las otras actividades de auditoría y puede


continuar a lo largo de la auditoría, siempre que esto no sea perjudicial para la
efectividad de la realización de la auditoría.

Si no se puede proporcionar la información documentada adecuada dentro del


marco de tiempo dado en el plan de auditoría, el líder del equipo de auditoría
debería informar tanto a la (s) persona (s) que gestionan el programa de
auditoría como al auditado. Dependiendo de los objetivos y el alcance de la
auditoría, se debería tomar una decisión sobre si la auditoría debería continuar o
suspenderse hasta que se resuelvan los problemas de información
documentada.
6.4.7 Recopilación y verificación de información

Durante la auditoría, la información relevante para los objetivos, el alcance y


los criterios de la auditoría, incluida la información relacionada con las interfaces
entre funciones, actividades y procesos, debería recopilarse mediante un
muestreo apropiado y debería verificarse, en la medida de lo posible.

Solo la información que puede estar sujeta a cierto grado de verificación


debería aceptarse como evidencia de auditoría. Cuando el grado de
verificación es bajo, el auditor debería usar su juicio profesional para
determinar el grado de confianza que se le puede atribuir como evidencia. La
evidencia de auditoría que conduzca a los hallazgos de auditoría debería
registrarse. Si, durante la recopilación de evidencia objetiva, el equipo de
auditoría se da cuenta de cualquier circunstancia nueva o cambiada, o riesgos u
oportunidades nuevas, el equipo debería abordarlas en consecuencia.
A.3. Juicio profesional

Los auditores deberían aplicar el criterio profesional durante el proceso de


auditoría y evitar concentrarse en los requisitos específicos de cada cláusula de
la norma a expensas de lograr el resultado esperado del sistema de gestión.
Algunas cláusulas normativas del sistema de gestión ISO no se prestan
fácilmente a la auditoría en términos de comparación entre un conjunto de
criterios y el contenido de un procedimiento o instrucción de trabajo. En estas
situaciones, los auditores deberían usar su juicio profesional para determinar si
se ha cumplido la intención de la cláusula.
6.4.7 Recopilación y verificación de información

La Figura 2 proporciona una visión general de un proceso típico, desde la


recopilación de información hasta llegar a conclusiones de auditoría.

Los métodos de recopilación de información incluyen, entre otros, los siguientes:


• entrevistas;
• observaciones;
• revisión de información documentada.

NOTA 1 Para verificar la información, ver A.5.


NOTA 2 La orientación sobre el muestreo se muestra en A.6.
NOTA 3 En A.14 se proporciona orientación sobre la selección de fuentes de
información y observación.
NOTA 4 La guía para visitar la ubicación del auditado se encuentra en A.15.
NOTA 5 La orientación sobre la realización de entrevistas se da en A.17.
6.4.7 Recopilación y verificación de información

Fuentes de información

Recolección mediante muestro apropiado

Evidencia de auditoria

Evaluación según los criterios de auditoria

Hallazgos de auditoria

Revisión

Conclusiones de auditoria

Figura 2: Descripción de un proceso típico de recopilación y verificación de información.


A.5 Verificar información

En la medida de lo posible, los auditores deberían considerar si la información proporciona


evidencia objetiva suficiente para demostrar que se cumplen los requisitos, tales como:
a) completo (todo el contenido esperado está contenido en la información documentada);
b) correcto (el contenido se ajusta a otras fuentes confiables, como normas y
regulaciones);
c) consistente (la información documentada es consistente en sí misma y con
documentos relacionados);
d) actual (el contenido está actualizado).

También se debería considerar si la información que se verifica proporciona suficiente


evidencia objetiva para demostrar que se están cumpliendo los requisitos.

Si la información se proporciona de una manera diferente a la esperada (por ejemplo, por


diferentes personas, medios alternativos), se debería evaluar la integridad de la evidencia.

Se necesita cuidado específico para la seguridad de la información debido a las


regulaciones aplicables sobre protección de datos (en particular para información que se
encuentra fuera del alcance de la auditoría, pero que también está contenida en el
documento).
Muestreo de auditorias

 Una auditoria es un ejercicio de muestreo.


 La información recabada durante la auditoria debe ser representativa del
desempeño y eficacia del sistema o parte del sistema que se audita.
 Toda conclusión que se saque al final de la auditoria dependerá de las
actividades de muestreo.
 Se muestrean los elementos del proceso:
 Personas (a todo nivel)
 Procesos (incluyendo equipos de medición y producción)
 Productos (incluyendo materiales servicios)
 Papel (incluyendo toda clase de documentos)
 Además, el control ejercido sobre las interfases
Cantidad de muestras

 Debido a las limitaciones de tiempo, no resulta práctico usar un sistema de


muestreo estadístico.
 Como regla empírica , deberán seleccionarse un mínimo de tres (si es
posible) y un máximo de ocho muestras.
 Si se encontrase un incumplimiento, se deben tomar muestras adicionales .
A.14 Selección de fuentes de información

Las fuentes de información seleccionadas pueden variar de acuerdo con el alcance y la


complejidad de la auditoría y pueden incluir lo siguiente:
a) entrevistas con empleados y otras personas;
b) observaciones de las actividades y el entorno y las condiciones de trabajo
circundantes;
c) información documentada, como políticas, objetivos, planes, procedimientos,
estándares, instrucciones, licencias y permisos, especificaciones, dibujos, contratos y
pedidos;
d) registros, como registros de inspección, actas de reuniones, informes de auditoría,
registros del programa de seguimiento y los resultados de las mediciones;
e) resúmenes de datos, análisis e indicadores de desempeño;
f) información sobre los planes de muestreo del auditado y sobre cualquier procedimiento
para el control de los procesos de muestreo y medición;
g) informes de otras fuentes, por ejemplo; comentarios de los clientes, encuestas y
mediciones externas, otra información relevante de partes externas y calificaciones de
proveedores externos;
h) bases de datos y sitios web;
i) simulación y modelado.
A.17 Realización de entrevistas

Las entrevistas son un medio importante de recopilar información y deberían llevarse a


cabo de manera adaptada a la situación y al individuo entrevistado, ya sea cara a cara o
por otros medios de comunicación. Sin embargo, el auditor debería considerar lo siguiente:
a) se deberían realizar entrevistas con personas de los niveles y funciones apropiados
que realizan actividades o tareas dentro del alcance de la auditoría;
b) las entrevistas normalmente deberían realizarse durante el horario normal de trabajo y,
cuando sea práctico, en el lugar de trabajo normal de la persona entrevistada;
c) se deberían realizar intentos para relajar a la persona entrevistada antes y durante la
entrevista;
d) se debería explicar el motivo de la entrevista y cualquier toma de notas;
e) las entrevistas pueden iniciarse solicitando a las personas que describan su trabajo;
f) el tipo de pregunta utilizada debería seleccionarse cuidadosamente (por ejemplo,
preguntas abiertas, cerradas, iniciales, preguntas de agradecimiento);
g) conocimiento de la comunicación no verbal limitada en entornos virtuales; en su lugar,
el enfoque debería estar en el tipo de preguntas para usar en la búsqueda de evidencia
objetiva;
h) los resultados de la entrevista deberían resumirse y revisarse con el entrevistado;
i) se debería agradecer a las personas entrevistadas por su participación y cooperación.
Técnicas para entrevistas

 Los mejores entrevistadores son quienes dicen lo mínimo y poseen la


habilidad de escuchar y oír lo que les dicen, combinando esto con la actitud y
tono correctos . Los mejores auditores generan esta clase de ambiente en el
que puede producirse una buena comunicación
 La información, durante una auditoria, se obtiene mediante la lectura, la
observación y las entrevistas.
Lectura

Los tipos de documentos más importantes son:


 Documentos que especifican requisitos, por ejemplo procedimientos y
especificaciones.
 Documentos que registran resultados, por ejemplo registros de inspección de
auditoria.

Los auditores usarán ambos tipos de documentos para obtener información


sobre la estructura del sistema y su desempeño.
Observación

 El tiempo que se dedica simplemente a observar y escuchar las operaciones


puede ser sumamente revelador.
 Al observar las operaciones productivas por ejemplo, antes de entrevistar a
personas y leer los requisitos del sistema, se pueden identificar lagunas
importantes en la compresión de las personas y sus procesos (saber que es
necesario, pero no llevarlo a cabo).
 Al observar las operaciones durante un breve período, el auditor podrá
comprender mejor el proceso de conversión y, asimismo, los puntos de
control que deberán ser vigilados.
Tipos de preguntas

 Preguntas abiertas: toda pregunta que comience con una de las siguientes
palabras , quién, cuándo, dónde, por qué, qué y cómo, provocarán más de
una respuesta de sí ó no. Estas preguntas se usan para aumentar la
comunicación, probar el entendimiento de los auditados, obtener mayor
comprensión y darle al auditor más tiempo para pensar.
 Preguntas cerradas: estas obtienen una respuesta de sí ó no. Las
preguntas cerradas pueden ahorrar mucho tiempo y acortar discusiones
prolongadas. Estas preguntas deben usarse con cautela para que no se
conviertan en preguntas guiadas.
Tipos de preguntas

 Preguntas guiadas: sirven para guiar al auditor en una dirección


determinada. A menudo pueden usarse para motivar levemente a un auditado
nervioso a comunicarse, aunque igualmente pueden producir una
comunicación unidireccional. Estas preguntas deben usarse con cuidado, no
siendo muy aconsejable guiar al auditado demasiado en esta dirección. El
principal problema de las preguntas guiadas es que el auditor podría no
obtener información amplia y precisa sobre el sistema o producto.
 Preguntas hipotéticas: el auditor presenta una pregunta hipotética para
intentar determinar si existe algún tipo de riesgo relacionado con dichas
circunstancias. Debe tenerse en mente que los incumplimientos solo pueden
plantearse respecto de situaciones reales, no hipotéticas.
 Preguntas tontas: hacer preguntas tontas puede revelar no tan sólo una
profunda falta de conocimiento de los controles sistemáticos, sino que
también puede, obviamente, perjudicar la credibilidad.
Los 8 amigos del auditor

¿ QUÉ ? Entendimiento
¿ POR QUÉ ? Razón
¿ CUÁNDO ? Tiempo
¿ CÓMO ? Método
¿ DÓNDE ? Lugar
¿ QUIÉN ? Persona
¿ QUÉ PASA SI ? Opción
¿ MUESTREMELO ? Confirmación
Rutas de auditoria

Son los caminos (estrategia) que sigue el auditor para cumplir el objetivo de la
auditoria:

 Auditorias verticales (ascendentes o descendentes)


 Auditorias horizontales
 Auditorias aleatorias
 Auditorias libres
 Auditorias cláusula por cláusula
 Auditorias por departamento
Ruta de auditoria vertical

Responsabilidades / Autoridad
Competencia
Control de información Auditoria
documentada Responsabilidades / Autoridad
No conformidad / Acciones Competencia
Responsabilidades / Autoridad Ventas Control de información
Competencia documentada
Control de información No conformidad / Acciones
documentada Diseño
No conformidad / Acciones Responsabilidades / Autoridad
Calibración Competencia
Rastreabilidad Compras Control de información
documentada
Responsabilidades / Autoridad No conformidad / Acciones
Competencia
Control de información Inspección Responsabilidades / Autoridad
documentada Competencia
No conformidad / Acciones Control de información
Producción documentada
Responsabilidades / Autoridad No conformidad / Acciones
Competencia Calibración
Control de información Rastreabilidad
documentada Inspección
No conformidad / Acciones Responsabilidades / Autoridad
Calibración Competencia
Control de información
Rastreabilidad
Bodegas documentada
Responsabilidades / Autoridad No conformidad / Acciones
Competencia
Control de información
documentada
Transporte
No conformidad / Acciones
Ruta de auditoria horizontal

Acción correctiva
Capacitación
Compras
No conformidad
Control documentos
Inspección
Rastreabilidad
Calibración
Producción
RUTA DE AUDITORIA
SECUNDARIA HORIZONTAL
Inspección

Bodegas

RUTA DE AUDITORIA
PRINCIPAL VERTICAL
Auditoria clausula por clausula

 Cada cláusula de la norma de gestión específica se examina en forma


individual.
 Hay poca continuidad con tales auditorias y puede perderse mucho tiempo en
visitas repetidas a las mismas ubicaciones/áreas.
Rutas de auditoria por departamento

 Ruta utilizada por auditores independientes (NO ACTUAL).


 Cada departamento recibe un auditor específico, quien entonces intenta
determinar la eficacia de todos los procesos que existen en ese
departamento.
 No maximiza el uso económico del tiempo.
Auditorias aleatorias

 Implica seleccionar procesos y puntos de control en forma aleatoria para su


verificación.
 Los resultados no representan un panorama coherente de la eficacia global
del sistema.
 Su confiabilidad no es muy alta.
Auditorias libres

 Es una combinación de las técnicas anteriores.


 La técnica sería utilizada cuando se requiere investigar un problema
específico, tal como una queja de clientes.
Puntos clave para elegir la ruta de auditoria

 La ruta de auditoria debe ser lógica, con los diversos procesos auditados en
forma secuencial cuando sea posible, es decir utilizando las mismas
muestras para auditar procesos diferentes (continuidad de muestras).
 Debe hacerse hincapié en los aspectos más críticos o fundamentales del
sistema.
 Deben cerrarse tanto las rutas de auditoria verticales como las horizontales.
A.7 Auditoría del cumplimiento dentro de un
sistema de gestión

El equipo de auditoría debería considerar si el auditado tiene procesos eficaces para:


a) identificar sus requisitos legales y reglamentarios y otros requisitos con los que está
comprometido;
b) gestionar sus actividades, productos y servicios para lograr el cumplimiento de estos
requisitos;
c) evaluar su estado de cumplimiento.

Además de la orientación genérica dada en este documento, al evaluar los procesos que el
auditado ha implementado para garantizar el cumplimiento de los requisitos pertinentes, el
equipo de auditoría debería considerar si el auditado:
1. tiene un proceso eficaz para identificar cambios en los requisitos de cumplimiento y
para considerarlos como parte de la gestión del cambio;
2. tiene individuos competentes para administrar sus procesos de cumplimiento;
3. mantiene y proporciona información documentada apropiada sobre su estado de
cumplimiento según lo exijan los reguladores u otras partes interesadas;
4. incluye requisitos de cumplimiento en su programa de auditoría interna;
5. aborda cualquier caso de incumplimiento;
6. considera el desempeño del cumplimiento en sus revisiones de dirección.
A.4 Resultados del desempeño

Los auditores deberían centrarse en el resultado previsto del sistema de gestión a lo largo
del proceso de auditoría. Si bien los procesos y lo que logran son importantes, lo que
cuenta es el resultado del sistema de gestión y su desempeño. También es importante
considerar el nivel de integración de los diferentes sistemas de gestión y sus resultados
previstos.

La ausencia de un proceso o documentación puede ser importante en una organización


compleja o de alto riesgo pero no tan importante en otras organizaciones.
6.4.8 Generación de hallazgos de auditoría

La evidencia de auditoría debería ser evaluada contra los criterios de auditoría


para determinar los hallazgos de auditoría. Los hallazgos de auditoría pueden
indicar conformidad o no conformidad con los criterios de auditoría. Cuando el
plan de auditoría lo especifica los hallazgos de la auditoría individual deberían
incluir conformidad y buenas prácticas junto con su evidencia de respaldo,
oportunidades de mejora y cualquier recomendación al auditado.

Se deberían registrar las no conformidades y su evidencia de auditoría de


respaldo.

Las no conformidades se pueden clasificar según el contexto de la organización


y sus riesgos. Esta clasificación puede ser cuantitativa (por ejemplo, de 1 a 5) y
cualitativa (por ejemplo, menor, mayor). Deberían revisarse con el auditado para
obtener un reconocimiento de que la evidencia de auditoría es precisa y que las
no conformidades se entienden. Se debería hacer todo lo posible para resolver
las opiniones divergentes sobre la evidencia o los hallazgos de auditoría. Los
problemas no resueltos deberían registrarse en el informe de auditoría.

El equipo auditor debería reunirse según sea necesario para revisar los
hallazgos de auditoría en las etapas apropiadas durante la auditoría.
Juicio del auditor

Varia el
umbral de
evaluación
100%
cumplimiento

0% no hay
cumplimientos

El sistema ? El sistema
se declara se declara
no efectivo efectivo
A.18 Resultados de la auditoría

A.18.1 Determinación de los hallazgos de auditoría


Al determinar los hallazgos de auditoría, se debería considerar lo siguiente:
a) seguimiento de registros y conclusiones de auditoría anteriores;
b) requisitos del cliente de auditoría;
c) precisión, suficiencia y adecuación de la evidencia objetiva para respaldar los hallazgos
de la auditoría;
d) medida en que se realizan las actividades de auditoría planificadas y se logran los
resultados planificados;
e) hallazgos que exceden la práctica normal u oportunidades de mejora;
f) tamaño de muestra;
g) categorización (si corresponde) de los hallazgos de la auditoría.
A.18 Resultados de la auditoría

A.18.2 Registro de conformidades


Para los registros de conformidad, se debería considerar lo siguiente:
a) descripción o referencia de los criterios de auditoría respecto de los cuales se muestra
la conformidad;
b) evidencia de auditoría para respaldar la conformidad y efectividad, si corresponde;
c) declaración de conformidad, si corresponde.

A.18.3 Registro de no conformidades


Para los registros de no conformidad, se debería considerar lo siguiente:
d) descripción o referencia de los criterios de auditoría;
e) evidencia de auditoría;
f) declaración de inconformidad;
g) hallazgos de auditoría relacionados, si corresponde.
Definición de no conformidad

Incumplimiento de un requisito especificado.

Nota: la definición incluye cualquier desviación o ausencia de una o más


características de calidad (incluyendo características de confiabilidad) o
elementos del sistema de calidad respecto a requisitos especificados.
El triángulo de la no conformidad

en
da a
res

Ev
xp

id
en
de

cia
a
tiv rmid

sO
bje
ne onfo
o

tiv
ga
c

as
no

de
la

Au
de

dit
n
ció

ori
No Conformidad
ac

as
red
La

Criterio de Evaluación: Política, Procedimiento, Reglamento Requisito de ISO 9001


El triángulo de la no conformidad

1. La redacción de la No Conformidad, escrita como el criterio de


evaluación pero expresada en negativo, por ejemplo: tres de cinco
documentos evaluados no han sido aprobados previamente a su emisión.
2. Los criterios (de evaluación) de auditoría, siendo ellos las políticas, los
procedimientos o documentos tomados como referencia para la operación o
administración del sistema de gestión, por ejemplo: La norma ISO 9001
cláusula 4.2.3 Control de documentos, el procedimiento de operación X-21,
el Manual de Selección de personal sección 3.2, etc.
3. La evidencia objetiva de auditoría, esto es: registros, declaraciones de
hechos o cualquier otra información pertinente para evaluarse frente a los
criterios de auditoría y que además son verificables, por ejemplo: registros
de mantenimiento de varios equipos, registros de calibración de equipo de
medición, la declaración de los operadores sobre la de- terminación de
producto no conforme, etc.
Ejercicio grupal

IDENTIFICACION DE
NO CONFORMIDADES
6.4.9 Determinación de conclusiones de auditoría
6.4.9.1 Preparación para la reunión de clausura

El equipo de auditoría debería reunirse antes de la reunión de cierre para:

a) revisar los hallazgos de la auditoría y cualquier otra información apropiada


recopilada durante la auditoría, en relación con los objetivos de la auditoría;
b) acordar las conclusiones de la auditoría, teniendo en cuenta la incertidumbre
inherente al proceso de auditoría;
c) preparar recomendaciones, si así lo especifica el plan de auditoría;
d) discutir el seguimiento de la auditoría, según corresponda.
6.4.9.2 Contenido de las conclusiones de la
auditoría

Las conclusiones de la auditoría deberían abordar cuestiones tales como las


siguientes:

a) el grado de conformidad con los criterios de auditoría y la solidez del sistema


de gestión, incluida la eficacia del sistema de gestión para alcanzar los
resultados previstos, la identificación de los riesgos y la eficacia de las
medidas adoptadas por el auditado para abordar los riesgos;
b) la implementación, el mantenimiento y la mejora efectivos del sistema de
gestión;
c) el logro de los objetivos de la auditoría, la cobertura del alcance de la
auditoría y el cumplimiento de los criterios de auditoría;
d) hallazgos similares realizados en diferentes áreas que fueron auditadas o de
una auditoría conjunta o previa con el propósito de identificar tendencias.

Si el plan de auditoría lo especifica las conclusiones de la auditoría pueden llevar


a recomendaciones de mejora o a futuras actividades de auditoría.
6.4.10 Realización de la reunión de clausura

Se debería realizar una reunión de cierre para presentar los hallazgos y


conclusiones de la auditoría.

La reunión de cierre debería ser presidida por el líder del equipo de auditoría y
asistida por la administración del auditado e incluir, según corresponda:

 los responsables de las funciones o procesos que han sido auditados;


 el cliente de auditoría;
 otros miembros del equipo de auditoría;
 otras partes interesadas relevantes según lo determine el cliente de auditoría
y/o el auditado.
6.4.10 Realización de la reunión de clausura

Si corresponde, el líder del equipo auditor debería informar al auditado sobre las
situaciones encontradas durante la auditoría que pueden disminuir la confianza
que se puede depositar en las conclusiones de la auditoría. Si se define en el
sistema de gestión o por acuerdo con el cliente de auditoría, los participantes
deberían acordar el marco de tiempo para un plan de acción para abordar los
hallazgos de auditoría.

El grado de detalle debería tener en cuenta la efectividad del sistema de gestión


para lograr los objetivos del auditado, incluida la consideración de su contexto y
los riesgos y oportunidades.

La familiaridad del auditado con el proceso de auditoría también debería tenerse


en cuenta durante la reunión de cierre, para garantizar que se proporciona el
nivel correcto de detalle a los participantes.

Para algunas situaciones de auditoría, la reunión puede ser formal y las actas,
incluidos los registros de asistencia, deberían mantenerse. En otros casos, por
ejemplo; auditorías internas, la reunión de cierre puede ser menos formal y
consistir únicamente en comunicar los hallazgos de la auditoría y las
conclusiones de la auditoría.
6.4.10 Realización de la reunión de clausura

Según corresponda, lo siguiente debería explicarse al auditado en la reunión de


clausura:

a) informar que la evidencia de auditoría recopilada se basó en una muestra de


la información disponible y no es necesariamente representativa de la eficacia
general de los procesos del auditado;
b) el método de informar;
c) cómo debería abordarse la conclusión de la auditoría en función del proceso
acordado;
d) posibles consecuencias de no abordar adecuadamente los hallazgos de la
auditoría;
e) presentación de los hallazgos y conclusiones de auditoría de tal manera que
la gerencia del auditado los comprenda y los reconozca;
f) cualquier actividad posterior a la auditoría relacionada (por ejemplo,
implementación y revisión de acciones correctivas, tratamiento de quejas de
auditoría, proceso de apelación).
6.4.10 Realización de la reunión de clausura

Cualquier opinión divergente con respecto a los hallazgos o conclusiones de la


auditoría entre el equipo de auditoría y el auditado debería debatirse y, si es
posible, resolverse. Si no se resuelve, esto debería registrarse.

Si así lo especifican los objetivos de la auditoría, se pueden presentar


recomendaciones para oportunidades de mejora. Se debería enfatizar que las
recomendaciones no son vinculantes.
6.5 Preparación y distribución del informe de auditoría
6.5.1 Preparación del informe de auditoría

El líder del equipo auditor debería informar las conclusiones de la auditoría de


acuerdo con el programa de auditoría. El informe de auditoría debería
proporcionar un registro completo, preciso, conciso y claro de la auditoría, e
incluir o hacer referencia a lo siguiente:
a) objetivos de auditoría;
b) alcance de la auditoría, particularmente identificación de la organización (el
auditado) y las funciones o procesos auditados;
c) identificación del cliente de auditoría;
d) identificación del equipo de auditoría y los participantes del auditado en la
auditoría;
e) fechas y lugares donde se llevaron a cabo las actividades de auditoría;
f) criterios de auditoría;
g) hallazgos de auditoría y evidencia relacionada;
h) conclusiones de auditoría;
i) una declaración sobre el grado en que se han cumplido los criterios de
auditoría;
j) cualquier opinión divergente no resuelta entre el equipo de auditoría y el
auditado;
k) las auditorías por naturaleza son un ejercicio de muestreo; como tal, existe el
riesgo de que la evidencia de auditoría examinada no sea representativa.
6.5 Preparación y distribución del informe de auditoría
6.5.1 Preparación del informe de auditoría

El informe de auditoría también puede incluir o hacer referencia a lo siguiente,


según corresponda:

 el plan de auditoría, incluido el cronograma;


 un resumen del proceso de auditoría, incluidos los obstáculos encontrados
que pueden disminuir la fiabilidad de las conclusiones de la auditoría;
 confirmación de que los objetivos de la auditoría se han logrado dentro del
alcance de la auditoría de acuerdo con el plan de auditoría;
 cualquier área dentro del alcance de la auditoría no cubierta incluyendo
cualquier problema de disponibilidad de evidencia, recursos o
confidencialidad, con justificaciones relacionadas;
 un resumen que cubre las conclusiones de la auditoría y los principales
hallazgos de la auditoría que los respaldan;
 buenas prácticas identificadas;
 seguimiento del plan de acción acordado, si corresponde;
 una declaración de la naturaleza confidencial de los contenidos;
 cualquier compromiso para el programa de auditoría o auditorías posteriores.
6.5.2 Distribuir el informe de auditoría

El informe de auditoría debería emitirse dentro del tiempo acordado. Si se


retrasa, los motivos deberían comunicarse al auditado y a la (s) persona (s) que
gestionan el programa de auditoría.

El informe de auditoría debería estar fechado, revisado y aceptado, según


corresponda, de conformidad con el programa de auditoría.

El informe de auditoría debería distribuirse a las partes interesadas pertinentes


definidas en el programa de auditoría o el plan de auditoría.

Al distribuir el informe de auditoría, se deberían considerar medidas apropiadas


para garantizar la confidencialidad.
6.6 Completar la auditoría

La auditoría se completa cuando se han llevado a cabo todas las actividades de


auditoría planificadas, o según se acuerde con el cliente de auditoría (por
ejemplo, puede haber una situación inesperada que impida completar la auditoría
de acuerdo con el plan de auditoría).

La información documentada relativa a la auditoría debería conservarse o


eliminarse por acuerdo entre las personas participantes y de acuerdo con el
programa de auditoría y los requisitos aplicables.

A menos que lo exija la ley, el equipo de auditoría y las personas que gestionan
el programa de auditoría no deberían divulgar ninguna información obtenida
durante la auditoría, o el informe de auditoría, a ninguna otra parte sin la
aprobación explícita del cliente de auditoría y, cuando corresponda, la
aprobación del auditado. Si se requiere la divulgación del contenido de un
documento de auditoría, el cliente de auditoría y el auditado deberían ser
informados lo más pronto posible.

Las lecciones aprendidas de la auditoría pueden identificar riesgos y


oportunidades para el programa de auditoría y el auditado.
6.7 Realización de seguimiento de auditoría

El resultado de la auditoría puede, dependiendo de los objetivos de la auditoría,


indicar la necesidad de correcciones o de acciones correctivas u oportunidades
de mejora. Tales acciones generalmente son decididas y llevadas a cabo por el
auditado dentro de un plazo acordado. Según corresponda, el auditado debería
mantener informadas a las personas que gestionan el programa de auditoría y/o
al equipo de auditoría sobre el estado de estas acciones.

La finalización y efectividad de estas acciones debería ser verificada. Esta


verificación puede ser parte de una auditoría posterior. Los resultados se
deberían informar a la persona que gestiona el programa de auditoría y se
informa al cliente de auditoría para su revisión por la dirección.
7.2.4 Alcanzar la competencia del auditor

La competencia del auditor se puede adquirir usando una combinación de lo


siguiente:

a) completar con éxito programas de capacitación que cubren el


conocimiento y las habilidades de auditor genérico;
b) experiencia en un puesto técnico, gerencial o profesional relevante que
implique el ejercicio del juicio, la toma de decisiones, la resolución de
problemas y la comunicación con gerentes, profesionales, compañeros,
clientes y otras partes interesadas relevantes;
c) educación/capacitación y experiencia en una disciplina y sector específico
del sistema de gestión que contribuyen al desarrollo de la competencia
general;
d) experiencia de auditoría adquirida bajo la supervisión de un auditor
competente en la misma disciplina.

NOTA: La finalización exitosa de un curso de capacitación dependerá del tipo


de curso. Para los cursos con un componente de examen puede significar
aprobar el examen con éxito. Para otros cursos, puede significar participar y
completar el curso.
7.3 Establecimiento de criterios de evaluación del
auditor

Los criterios deberían ser cualitativos (como haber demostrado el


comportamiento deseado, el conocimiento o el desempeño de las habilidades, en
la capacitación o en el lugar de trabajo) y cuantitativos (como los años de
experiencia laboral y educación, el número de auditorías realizadas, las horas de
auditoría formación).
7.4 Selección del método de evaluación del auditor
apropiado

La evaluación debería realizarse utilizando dos o más de los métodos que


figuran en la Tabla 2. Al utilizar la Tabla 2, se debería tener en cuenta lo
siguiente:

a) los métodos descritos representan una gama de opciones y pueden no


aplicarse en todas las situaciones;
b) los diversos métodos descritos pueden diferir en su fiabilidad;
c) se debería usar una combinación de métodos para garantizar un resultado
objetivo, consistente, justo y confiable.
7.4 Selección del método de evaluación del auditor
apropiado

Método de Objetivos Ejemplos


evaluación
Revisión de registros Verificar los antecedentes del auditor Análisis de registros de educación,
capacitación, empleo, credenciales
profesionales y experiencia en auditoría
Retroalimentación Obtener/proporcionar información sobre Encuestas, cuestionarios, referencias
cómo se percibe el desempeño del auditor personales, testimonios, reclamos,
evaluación de desempeño, revisión por
pares
Entrevista Evaluar el comportamiento profesional Entrevistas personales
deseado y las habilidades de comunicación.
Verificar la información y probar el
conocimiento, y adquirir información
adicional
Observación Evaluar el comportamiento profesional Role playing, auditorías atestiguadas,
deseado y la capacidad de aplicar los desempeño en el trabajo.
conocimientos y las habilidades
Pruebas Evaluar el comportamiento deseado, el Exámenes orales y escritos, pruebas
conocimiento, las habilidades y su aplicación psicométricas
Revisión posterior a la Proporcionar información sobre el Revisión del informe de auditoría,
auditoría desempeño del auditor durante las entrevistas con el líder del equipo de
actividades de auditoría, identificar auditoría, el equipo de auditoría y, si
fortalezas y oportunidades de mejora corresponde, retroalimentación del auditado
7.5 Realización de la evaluación del auditor

La información recopilada sobre el auditor en evaluación debería compararse


con los criterios establecidos en 7.2.3. Cuando un auditor bajo evaluación que se
espera que participe en el programa de auditoría no cumple con los criterios, se
debería realizar una capacitación adicional, trabajo o experiencia de auditoría y
se debería realizar una reevaluación posterior.
7.6 Mantenimiento y mejora de la competencia del
auditor

Los auditores y los líderes del equipo de auditoría deberían mejorar


continuamente su competencia. Los auditores deberían mantener su
competencia de auditoría a través de la participación regular en las auditorías del
sistema de gestión y el desarrollo profesional continuo. Esto se puede lograr a
través de medios tales como experiencia laboral adicional, capacitación, estudio
privado, entrenamiento, asistencia a reuniones, seminarios y conferencias u
otras actividades relevantes.

Las personas que gestionan el programa de auditoría deberían establecer


mecanismos adecuados para la evaluación continua del desempeño de los
auditores y del líder del equipo de auditoría.

Las actividades de desarrollo profesional continuo deberían tener en cuenta lo


siguiente:
a) cambios en las necesidades del individuo y la organización responsable de la
realización de la auditoría;
b) desarrollos en la práctica de la auditoría, incluido el uso de la tecnología;
c) Normas relevantes que incluyen orientación/documentos justificativos y otros
requisitos;
d) cambios en el sector o disciplinas.

También podría gustarte