Últimos desarrollos en auditoría de sistemas de gestión

Transcripción

1 NIGEL CROFT EDUARDO LOPEZ GATELL Clase Maestra de Auditorias en Sistemas de Gestión Últimos desarrollos en auditoría de sistemas de gestión Nigel H Croft Chairman, ISO/TC176/SC2 Quality Systems May 2012 (c) Nigel H Croft 2

2 Plan del seminario Evolución de las normas de sistemas de gestión y los esfuerzos de ISO para integrarlas Evolución de ISO y su relación con la ISO/IEC 17021:2011 Nuevos conceptos en ISO 19011:2011, y los 6 principios en los que esta basada Análisis cláusula por cláusula de los elementos clave en ISO 19011:2011; incluyendo las implicaciones para los auditores y los gestores del programa de auditoría. May 2012 (c) Nigel H Croft 3 Parte 1 Evolución de las normas de sistemas de gestión y los esfuerzos de ISO para integrarlas May 2012 (c) Nigel H Croft 4

3 Primer comentario. No me gusta sistema integrado de gestión Así es como gestionamos la calidad, ambiente, seguridad ocupacional, seguridad de la información, etc, etc Prefiero solo Sistema de gestión Así es como gestionamos nuestro negocio Debería incluir TODOS los factores que son relevantes para el éxito a largo plazo Enfoque a proceso basado en riesgo usando PDCA Enfoque a cumplimiento de normas según sea necesario May 2012 (c) Nigel H Croft 5 Qué es un sistema de gestión? Definición formal... conjunto de elementos mutuamente relacionados o que interactúan en una organización para establecer políticas y objetivos, y los procesos para lograr dichos objetivos En otras palabras : Sistema debería ser: resultados enfocados un sistema documentado NO un sistema de documentos Hardware (equipos) Humanware (personas) Software (métodos) Interacción entre procesos May 2012 (c) Nigel H Croft 6

4 Proceso Genérico A ENTRADAS Conjunto de actividades interrelacionadas RESULTADOS DESEADOS CLIENTE (Interno o externo) PRODUCTO RESULTADOS NO DESEADOS Efecto en la conformidad del Producto ( DESPERDICIO ) Aspectos / Impactos Ambientales Riesgos en Salud y Seguridad Ocupacional Implicaciones Sociales Etc. C D MONITOREO/MEDICIÓN May 2012 (c) Nigel H Croft 7 P Cómo realizar un Proceso documentado o no) Extensión de la planificación depende del RIESGO Salvando la brecha... ISO 9001:1994 QMS ISO 14001:1996 EMS ISO 9001:2000 QMS ISO 14001:2004 EMS ISO 9001:2008 QMS ISO 9001:20xx QMS ISO 14001:20xx EMS Nota: ISO 9001 e ISO permanecerán como 2 normas separadas May 2012 (c) Nigel H Croft 8

5 Alineación de las normas de sistemas de gestión ( MSS ) ISO (Medical devices) ISO (FSMS) ISO 9001 (QMS) ISO (Energy Management) ISO (EMS) ISO (Records management) ISO (ISMS) ISO (Sustainable event management) OHSAS (Health & Safety) ISO (Road safety management) etc etc ISO (Societal security) May 2012 (c) Nigel H Croft 9 Alineación de las normas de sistemas de gestión ISO s Joint Technical Coordination Group: Visión conjunta para las normas de sistemas de gestión Estructura de alto nivel para todas las normas de sistemas de gestión de ISO Títulos idénticos para las sub-cláusulas bajo la estructura de alto nivel Vocabulario genérico base para normas de sistemas de gestión Texto común para todas las futuras normas de sistemas de gestión (aproximadamente el 30% de cada norma tendría texto idéntico) May 2012 (c) Nigel H Croft 10

6 Directrices ISO Parte 1:2012 Anexo SL Incorpora las recomendaciones del trabajo del JTCG Define la estructura común y el formato para todas las nuevas normas de sistemas de gestión ISO y las revisiones a las normas existentes Tendrá un impacto profundo en la futura norma ISO 9001 May 2012 (c) Nigel H Croft 11 MSS Norma de sistema de gestión (Definición ISO) Norma que proporciona requisitos o directrices a las organizaciones para desarrollar y gestionar sistemáticamente sus políticas, procesos y procedimientos con el fin de lograr objetivos específicos. NOTA 1 Un sistema de gestión eficaz esta basado normalmente en la gestión de los procesos de la organización utilizando un enfoque de Planificar-Hacer-Verificar-Actuar con el fin de lograr los resultados planificados NOTA 2 Estos documentos cubren por lo general los siguientes componentes: política; planificación; implementación y operación; evaluación del desempeño; mejora; revisión por la dirección. May 2012 (c) Nigel H Croft 12

7 Estructura de alto nivel 1. Alcance 2. Referencias normativas 3. Términos y definiciones 4. Contexto de la organización 5. Liderazgo 6. Planificación 7. Soporte 8. Operación 9. Evaluación del desempeño 10. Mejora May 2012 (c) Nigel H Croft 13 Organización Persona o grupo de personas que tienen sus propias funciones con responsabilidades, autoridades y relaciones para lograr sus objetivos Nota: Organización puede ser unipersonal, compañía, corporación, firma, autoridad, sociedad, institución de caridad, (pública o privada). May 2012 (c) Nigel H Croft 14

8 4.1 Entendimiento de la organización y su contexto La organización debe determinar aspectos externos e internos que son relevantes para su propósito y que afectan su habilidad para lograr los resultados deseados de su sistema de gestión XXX. NOTA: XXX = calidad, ambiental, seguridad de la información, etc May 2012 (c) Nigel H Croft Entendimiento de las necesidades y expectativas de las partes interesadas La organización debe determinar: las partes interesadas que son relevantes al sistema de gestión XXX, y los requisitos de esas partes interesadas. May 2012 (c) Nigel H Croft 16

9 4.3 Determinación del alcance del sistema de gestión XXX La organización debe determinar las fronteras y aplicabilidad del sistema de gestión XXX para establecer su alcance. Al determinar el alcance, la organización debe considerar: los aspectos externos e internos referenciados en 4.1, y los requisitos referidos en 4.2 El alcance debe estar disponible como información documentada. May 2012 (c) Nigel H Croft sistema de gestión XXX La organización debe establecer, implementar, mantener y continuamente mejorar el sistema de gestión XXX, incluyendo los procesos necesarios y sus interacciones, en concordancia con los requisitos de esta norma internacional. ( La cláusula 4.1 actual de la norma ISO 9001:2008 pudiera incorporarse dentro de esta cláusula) May 2012 (c) Nigel H Croft 18

10 5.1 Liderazgo y compromiso La alta dirección debe demostrar liderazgo y compromiso con respecto al sistema de gestión XXX a través de: asegurar que se establecen la política XXX y los objetivos XXX y sean compatibles con la dirección estratégica de la organización; asegurar la integración de los requisitos del sistema de gestión XXX con los procesos de negocio de la organización; asegurar que los recursos necesarios para el sistema de gestión XXX estén disponibles; comunicar la importancia de una gestión eficaz XXX y de la conformidad con los requisitos del sistema de gestión XXX.; asegurar que el sistema de gestión XXX logre sus resultados esperados; dirigir y dar soporte a las personas para contribuir en la eficacia del sistema de gestión XXX; promover la mejora continua; dando soporte a otros roles de gestión relevantes para demostrar su liderazgo conforme se aplique a sus áreas de responsabilidad. NOTA La referencia negocio en esta norma internacional debería interpretarse de manera amplia, incluidas aquellas actividades que son centrales al propósito de la existencia de la organización. May 2012 (c) Nigel H Croft Política La alta dirección debe establecer la política XXX que: sea apropiada al propósito de la organización; proporcione un marco de referencia para establecer objetivos XXX; incluya un compromiso de satisfacer los requisitos aplicables; e incluya un compromiso de mejorar continuamente el sistema de gestión XXX La política XXX debe: estar disponible como información documentada; ser comunicada dentro de la organización; estar disponible a las partes interesadas, según sea apropiado. May 2012 (c) Nigel H Croft 20

11 5.3 Papeles, responsabilidades y autoridades organizacionales La alta dirección debe asegurar que las responsabilidades y autoridades de los papeles relevantes están asignados y comunicados dentro de la organización. La alta dirección debe asignar la responsabilidad y autoridad para: a) asegurar que el sistema de gestión XXX es conforme a los requisitos de esta norma internacional; b) reportar sobre el desempeño del sistema de gestión XXX a la alta dirección. (Note que el papel de reportar sobre el desempeño del sistema de gestión XXX se asigna frecuentemente a un Representante de la Dirección ) May 2012 (c) Nigel H Croft Acciones para tratar los riesgos y oportunidades Cuando se planifica el sistema de gestión XXX, la organización debe considerar los aspectos referidos en el 4.1 y los requisitos referenciados en el 4.2 y determinar los riesgos y oportunidades que necesitan ser tratados para: asegurar que el sistema de gestión XXX puede lograr sus objetivos deseados; prevenir, o reducir los efectos no deseados; lograr una mejora continua. La organización debe planificar: a) las acciones para tratar estos riesgos y oportunidades, y b) cómo: integrar e implementar las acciones en los procesos de su sistema de gestión XXX; y evaluar la eficacia de estas acciones. May 2012 (c) Nigel H Croft 22

12 6.2 Objetivos XXX y la planificación para lograrlos La organización debe establecer objetivos XXX a las funciones y niveles relevantes. Los objetivos XXX deben: ser consistentes con la política XXX; ser medibles (si es práctico ctico); tomar en cuenta los requisitos aplicables; ser monitoreados; ser comunicados; y ser actualizados según sea apropiado. La organización debe retener información documentada sobre los objetivos XXX. May 2012 (c) Nigel H Croft Objetivos XXX y la planificación para lograrlos (cont ) Cuando se planifique cómo lograr sus objetivos XXX, la organización debe determinar: qué debe hacerse; qué recursos serán requeridos; quién será responsible; cuándo debe ser terminado; y cómo serán evaluados los resultados. May 2012 (c) Nigel H Croft 24

13 7. Soporte 7.1 Recursos La organización debe determinar y proporcionar los recursos necesarios para el establecimiento, implementación, mantenimiento y mejora continua del sistema de gestión XXX. May 2012 (c) Nigel H Croft Competencia La organización debe: determinar la competencia necesaria de las personas que realizan el trabajo y que afectan el desempeño XXX; asegurar que estas personas son competentes en base a una educación, formación, o experiencia apropiadas; cuando sea aplicable, tomar las acciones para adquirir la competencia necesaria, y evaluar la eficacia de las acciones tomadas; y retener la información documentada apropiada como evidencia de la competencia. NOTA Las acciones aplicables pudieran incluir, por ejemplo: proporcionar la formación, la mentoría, o la reasignación de la persona actualmente empleada; o la contratación de personas competentes. May 2012 (c) Nigel H Croft 26

14 7.3 Toma de conciencia Las personas que realizan el trabajo bajo el control de la organización deben ser concientes de: la política XXX; su contribución a la eficacia del sistema de gestión XXX, incluyendo los beneficios de mejorar el desempeño XXX; y las implicaciones de no cumplir con los requisitos del sistema de gestión XXX. May 2012 (c) Nigel H Croft Comunicación La organización debe determinar la necesidad de las comunicaciones relevantes internas y externas sobre el sistema de gestión XXX incluyendo: sobre qué se deberá comunicar; cuándo comunicarlo; y a quién comunicarlo May 2012 (c) Nigel H Croft 28

15 7.5 Información documentada General El sistema de gestión XXX de la organización debe incluir información documentada requerida por esta norma internacional información documentada determinada por la organización como necesaria para la eficacia del sistema de gestión XXX. NOTA La extensión de la información documentada para el sistema de gestión XXX puede diferir de una organización a otra debido a: el tamaño de la organización y su tipo de actividades, procesos, productos y servicios; la complejidad de los procesos y sus interacciones; y la competencia de las personas. May 2012 (c) Nigel H Croft Creación y actualización Cuando se crea y actualiza la información documentada de la organización debe asegurarse una apropiada: identificación y descripción (e.g. un título, fecha, autor, o número de referencia); forma (e.g. idioma, versión de software, gráficos) y medio (e.g. papel, electrónico); y revisión y aprobación para su adecuación. May 2012 (c) Nigel H Croft 30

16 7.5.3 Control de la información documentada La información documentada requerida por el sistema de gestión XXX y por esta norma internacional debe estar controlada para asegurar: que está disponible y es adecuada para su uso, dónde y cuándo se necesite; y que está adecuadamente protegida (e.g. pérdida de confidencialidad, uso inapropiado, o pérdida de integridad). Para el control de la información documentada, la organización debe gestionar las siguientes actividades, según sea aplicable: la distribución, el acceso y recuperación,y uso; el almacenaje y preservación, incluyendo la preservación de la legibilidad; el control de cambios (e.g. control de versión); y la retención y disposición La información documentada de origen externo que la organización determine que sea necesaria para la planificación y operación del sistema de gestión XXX debe ser identificada según sea apropiado y controlada. NOTA El acceso implica una decisión sobre el permiso de solo ver la información documentada o el permiso y la autoridad de ver y cambiar la información documentada, etc. May 2012 (c) Nigel H Croft Operación 8.1 Planificación y control operacional La organización debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos, y para implementar las acciones determinadas en 6.1: estableciendo un criterio para los procesos; implementando un control de los procesos de acuerdo con ese criterio; y manteniendo información documentada en la extensión necesaria para tener la confianza de que los procesos se han realizado según lo planificado. La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no intencionados, tomando acciones para mitigar cualquier efecto adverso, según sea necesario. La organización debe asegurar que los procesos contratados externamente están controlados. (NOTA: Aqui es donde la mayoría de los requisitos actuales de la norma ISO 9001:2008 clausulas serían insertados) May 2012 (c) Nigel H Croft 32

17 9 Evaluación del desempeño 9.1 Monitoreo, medición, análisis y evaluación La organización debe determinar: qué necesita ser monitoreado y medido; el método para monitorear, medir, analizar y evaluar, según sea aplicable, para asegurar resultados válidos; cuándo se deben realizar el monitoreo y la medición; y cuándo los resultados del monitoreo y la medición deben ser analizados y evaluados. La organización debe retener la información documentada apropiada como evidencia de los resultados. La organización debe evaluar el desempeño XXX y la eficacia del sistema de gestión XXX. May 2012 (c) Nigel H Croft Auditoría interna La organización debe realizar auditorías internas a intervalos planificados para proporcionar información sobre si el sistema de gestión XXX: a) es conforme a: los requisitos de la propia organización para su sistema de gestión XXX; y los requisitos de esta norma internacional; b) está implementado eficazmente y se mantiene. May 2012 (c) Nigel H Croft 34

18 9.2 Auditoría interna (cont..) La organización debe: a) planificar, establecer, implementar y mantener un programa (s) de auditoría, incluyendo la frecuencia, métodos, responsabilidades, requisitos de planificación y reporte. El programa (s) de auditoría debe tomar en consideración la importancia de los procesos concernientes y los resultados de auditorías as previas; b) definir el criterio de auditoría y el alcance para cada auditoría; c) seleccionar los auditores y realizar auditorías para asegurar la objetividad e imparcialidad del proceso de auditoría; d) Asegurar que los resultados de las auditorías as son reportados a los directivos relevantes; y e) retener información documentada como evidencia de la implementación del programa de auditoría y de los resultados de auditoría. May 2012 (c) Nigel H Croft Revisión por la dirección La alta dirección debe revisar el sistema de gestión XXX de la organización, a intervalos planificados, para asegurar su continua adecuación y eficacia. La revisión por la dirección debe incluir consideraciones sobre: a) el estado de las acciones de revisiones por la dirección previas; b) cambios en aspectos externos e internos que sean relevantes al sistema de gestión XXX; c) información sobre el desempeño XXX, incluyendo tendencias en: no conformidades y acciones correctivas; resultados de monitoreos y mediciones; y resultados de auditorías. d) oportunidades para la mejora continua. Los resultados de la revisión por la dirección debe incluir decisiones relativas a las oportunidades de mejora continua y de cualquier necesidad de cambio al sistema de gestión XXX. La organización debe retener información documentada como evidencia de los resultados de las revisiones por la dirección. May 2012 (c) Nigel H Croft 36

19 10 Mejora 10.1 No conformidad y acción correctiva Cuando ocurre una no conformidad, la organización debe: a) reaccionar a la no conformidad, y según sea aplicable: tomar una acción para controlar y corregirla; y tratar con las consecuencias. b) evaluar la necesidad de tomar una acción para eliminar las causas de la no conformidad, con el fin de que no vuelva a ocurrir u ocurra en cualquier otro lugar, a través de: revisar la no conformidad; determinar las causas de la no conformidad; y determinar si existen no conformidades similares, o pudieran ocurrir; c) implementar cualquier acción necesaria; d) revisar la eficacia de cualquier acción correctiva tomada; y e) realizar los cambios en el sistema de gestión XXX, si es necesario. May 2012 (c) Nigel H Croft No conformidad y acción correctiva Las acciones correctivas deben ser apropiadas a los efectos de las no conformidades encontradas. La organización debe retener la información documentada como evidencia de: la naturaleza de las no conformidades y cualquier acción subsecuente tomada; y los resultados de cualquier acción correctiva. May 2012 (c) Nigel H Croft 38

20 10.2 Mejora continua La organización debe continuamente mejorar la adecuación o eficacia del sistema de gestión XXX. May 2012 (c) Nigel H Croft 39 Parte 2 Evolución de la norma ISO y su relación con la norma ISO/IEC 17021:2011 May 2012 (c) Nigel H Croft 40

21 Antes y ahora ISO 19011:2002 Directrices para la auditoría de sistemas de gestión de la calidad y/o ambiental ISO 19011:2011 Directrices para la auditoría de sistemas de gestión May 2012 (c) Nigel H Croft 41 Directriz antes del QMS EMS ISO Part 1 ISO Part 2 ISO Part 3 ISO ISO ISO May 2012 (c) Nigel H Croft 42 (Slide Cortesia Courtesy Sr Mr Dick Hortensius)

22 Directriz después del 2002 QMS and EMS ISO 19011:2002 May 2012 (c) Nigel H Croft 43 (Slide Courtesy Mr Dick Hortensius) Directriz a partir del ISO 9001 ISO OHSAS ISO ISO ISO ISO ISO ISO 19011:2011 May 2012 (c) Nigel H Croft 44 (Slide Cortesia Sr Dick Hortensius)

23 Acerca de ISO Norma guía (no obligatoria) Publicada el 15 de Nov Desarrollada por un Grupo de Trabajo Conjunto que incluyó a los dueños de la mayoría de las normas de sistemas de gestión Coordinado por el ISO/TC176/SC3 Desarrollado en colaboración cercana con el ISO/CASCO WG21 ISO/IEC 17021:2011 Requisitos para auditorías de 3 ra parte May 2012 (c) Nigel H Croft 45 ISO 19011:2011 y la gestión integrada Proporciona directriz sobre auditoría (de todo tipo) de sistemas de gestión Facilita las auditorías (integrales) combinadas Introducción de la auditoría basada en riesgo: Prioridad para auditar temas significativos dentro del sistema de gestión, Programa de auditoría y objetivos basados en prioridades de la dirección y riesgos de la organización. May 2012 (c) Nigel H Croft 46

24 Miembros del Grupo de Trabajo Conjunto 75 Expertos de los siguientes TCs / liaisons ISO/TC 8 - Supply chain security and ship recycling management ISO/TC 34 - Food safety management ISO/TC Quality management ISO/TC Environmental management ISO/TC Medical devices (quality management) ISO/TC Societal security business continuity management ISO/TC Road traffic safety management ISO/PC Energy management ISO/TMB WG on risk management ISO/IEC JTC1/SC27 - Information security management ISO TC 46/SC11/WG9 Records management ISO/PC250 Sustainable event management May 2012 (c) Nigel H Croft 47 La Conformidad de los Sistemas de Gestión Auditoría interna Auditoría a proveedores Auditoría de 3ra parte Directrices para auditoría de Sistemas de Gestión de la Calidad y/o Ambiental (ISO 19011: 2002) Ahora reemplazada por Directrices para auditoría de Sistemas de Gestión (ISO 19011:2011) Requisitos para una Auto-Declaración de Conformidad May 2012 ISO/IEC 17050: 2004 Medios de Evaluar Conformidad Declaración de conformdidad de los compradores Requisitos para Organismos que ofrecen Auditoría y Certificación de Sistemas de Gestión ISO/IEC 17021: 2011 (c) Nigel H Croft 48

25 Principales cambios Clarificación de la Relación entre ISO y ISO/IEC 17021; Introducción de métodos de auditoría remota y el concepto de riesgo; Se agregó la confidencialidad como un nuevo principio; Se reorganizaron las cláusulas 5, 6 y 7; Nuevo anexo B con directrices adicionales no hay help boxes ; Se reforzó el proceso de la determinación y la evaluación de las competencias; Ejemplos ilustrativos de los conocimientos y habilidades específicos de la disciplina incluidos en un nuevo anexo A; y Más información disponible en un website público de ISO ( May 2012 (c) Nigel H Croft 49 Requisitos para los CB s sobre el proceso de auditoría.. Situación de locura antes del 2006 ISO/IEC Guide 62 (QMS) ISO/IEC Guide 66 (EMS) IAF GD2 (Guidance on ISO/IEC Guide 62) IAF GD6 (Guidance on ISO/IEC Guide 66) Todas referidas como Directriz (!) de ISO para los requisitos de las competencias del auditor y el proceso de auditoría Directriz de la directriz de la directriz!! May 2012 (c) Nigel H Croft 50

26 2006 a ISO/IEC 17021:2006 Evaluación de la conformidad Requisitos para los organismos que realizan auditorías y certificación de sistemas de gestión reemplaza las Guías ISO/IEC 62 y 66 IAF GD2 y GD6 retiradas (no se necesitaron más) ISO/IEC 17021:2006 continúa requiriendo a los CB s que definan varias cosas (incluyendo la competencia del auditor) en requisitos documentados según la directriz relevante dada en ISO May 2012 (c) Nigel H Croft 51 PROBLEMA! ISO solo es una norma de directriz Qué partes son relevantes para las auditorías de 3 ra parte? Debate AMPLIO y controversial! Para los Chicos Buenos es muy claro Los Chicos Malos dicen no puedes hacer que hagamos eso!! La solución? Revisión de la ISO/IEC para definir los requisitos para auditorías de 3 ra parte de May 2012 (c) Nigel H Croft 52 certificación.

27 ISO/IEC 17021:2011 Inicialmente concevida como ISO/IEC Parte 2 Ahora publicada como una sola norma (Feb 2011) Incorpora todo el texto anterior de la ISO/IEC 17021:2006 sin cambios May 2012 (c) Nigel H Croft 53 ISO/IEC Requisitos adicionales para el proceso de auditoría, con un enfoque en la competencia Necesidad reconocida de: Auditores y staf de soporte competentes Uso competente de auditores competentes (selección de equipo) Recursos para permitir a un equipo de auditoría competente realizar una auditoría competente ( el principal recurso es el tiempo!) La revisión a la ISO se realizó en paralelo (muchos de los miembros fueron comunes a los dos equipos) May 2012 (c) Nigel H Croft 54

28 COMPETENCIA Se introdujo un cambio de paradigma en ISO 9000:2000, ISO 19011:2002 e ISO/IEC 17021:2006 Cambiar de requisitos prescriptivos hacia experiencia y formación Ir hacia la definición y aplicación de habilidades y conocimientos necesarios para realizar el trabajo Muchas organizaciones CB s y AB s aún tienen dificultades para cambiar su modo de pensar! May 2012 (c) Nigel H Croft 55 Definición de competencia Nueva definición (ISO/IEC 17021:2011 e ISO 19011) capacidad para aplicar conocimientos y habilidades para alcanzar los resultados pretendidos ISO19011:2011 agrega una NOTA La capacidad implica la aplicación apropiada del comportamiento personal durante el proceso de la auditoría. May 2012 (c) Nigel H Croft 56

29 ISO/IEC 17021:2011 and :2011 May 2012 (c) Nigel H Croft 57 Parte 3 Nuevos conceptos introducidos en ISO 19011:2011, y los 6 principios en los que está basada May 2012 (c) Nigel H Croft 58

30 Extractos de ISO 19011:2011 Proporciona una directriz para todos los usuarios, incluyendo organizaciones pequeñas y medianas, Se concentra en auditorías de primera parte (internas) y auditorías de segunda parte (realizadas por clientes a sus proveedores) Los requisitos para aquellos involucrados en auditorías de tercera parte (certificación) se dan en ISO/IEC 17021:2011, pero la ISO todavía puede proporcionar directrices útiles May 2012 (c) Nigel H Croft 59 Extractos de ISO 19011:2011 (cont ) Introduce el concepto de riesgo a la auditoría de sistemas de gestión. Relacionados tanto al riesgo de que el proceso de auditoría no logre los objetivos como los potenciales provocados por la interferencia de la auditoría con las actividades y procesos del auditado. No da una directriz específica sobre los riesgos propios de los procesos de la organización, pero reconoce que la organización puede enfocar el esfuerzo de la auditoría en los asuntos significativos para el sistema de gestión. Continúa siendo basada en principios y ahora se agregó el nuevo principio de la confidencialidad May 2012 (c) Nigel H Croft 60

31 Principio (a) - Integridad La base del profesionalismo Los auditores y el personal que gestiona un programa de auditoría deberían: desempeñar su trabajo con honestidad, diligencia y responsabilidad; observar y cumplir con cualquier requisito legal aplicable; demostrar competencia durante el desempeño de su trabajo; desempeñar su trabajo de una manera imparcial, i.e. permaneciendo ecuánime y sin sesgos en todas sus acciones; y ser sensible a cualquier influencia que se pudiera ejercer sobre su juicio mientras lleva a cabo una auditoría. May 2012 (c) Nigel H Croft 61 Principio (b) Presentación imparcial La obligación de reportar con veracidad y exactitud Los hallazgos, conclusiones y reportes de auditoría deberían reflejar con veracidad y exactitud las actividades de la auditoría; Se deberían reportar los obstáculos significativos encontrados durante la auditoría así como las opiniones divergentes sin resolver entre el equipo auditor y los auditados; y La comunicación debería ser veraz,, exacta, objetiva,, en tiempo, clara y completa. May 2012 (c) Nigel H Croft 62

32 Principio (c) Debido cuidado profesional La aplicación de diligencia y el juicio al auditar Los auditores deberían proceder con el debido cuidado de acuerdo con la importancia de la tarea que desempeñan y la confianza depositada en ellos por el cliente de la auditoría y otras partes interesadas. Un factor importante al realizar su trabajo con el debido cuidado profesional es tener la capacidad de hacer juicios razonados en todas las situaciones de la auditoría May 2012 (c) Nigel H Croft 63 Principio (d) - Confidencialidad Seguridad en la información Los auditores deberían proceder con discreción en el uso y protección de la información adquirida durante el curso de sus tareas. La información de auditoría no debería utilizarse inapropiadamente para beneficio personal del auditor o del cliente de la auditoría, o de modo que perjudique el legítimo interés del auditado. Este concepto incluye el tratamiento apropiado de la información sensible o confidencial. May 2012 (c) Nigel H Croft 64

33 Principio (e) - Independencia La base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la auditoría Los auditores deberían ser independientes de la actividad a ser auditada siempre que sea posible, y deberían en todos los casos actuar de manera que estén libres de sesgo y conflicto de intereses; Para auditorías internas, los auditores deberían ser independientes de los responsables operativos de la función que se audita; Los auditores deberían mantener su objetividad durante el proceso de auditoría para asegurar que los hallazgos de auditoría y las conclusiones están basadas solamente en la evidencia de auditoría; Para las organizaciones pequeñas as, pudiera no ser posible que los auditores internos no fueran totalmente independientes de la actividad que se audita, pero se deberían hacer todos los esfuerzos para eliminar el sesgo y fomentar la objetividad. May 2012 (c) Nigel H Croft 65 Principio (f) Enfoque basado en la evidencia El método racional para alcanzar conclusiones de auditoría fiables y reproducibles en un proceso de auditoría sistemático La evidencia de auditoría debería ser verificable. En general se basará en muestras de la información disponible, ya que una auditoría se realiza durante un período de tiempo delimitado y con recursos finitos. Un uso apropiado del muestreo debería aplicarse, ya que está estrechamente relacionado con la confianza que puede depositarse en las conclusiones de la auditoría. May 2012 (c) Nigel H Croft 66