La nueva ISO 19011:2011 Directrices para auditoría de sistemas de gestión

Transcripción

1 NIGEL CROFT EDUARDO LOPEZ GATELL Clase Maestra de Auditorias en Sistemas de Gestión La nueva ISO 19011:2011 Directrices para auditoría de sistemas de gestión Eduardo Gatell Member, ISO/TC176/SC2 Strategic Planning and Operations Task Group Member, IAF/ISO Auditing Practices Group Mayo 2012 (c) Eduardo Gatell 2

2 Gestionando un programa de auditoría Act Cláusula 7 Define y Evalúa la competencia Cláusula 5.6 Revisión y mejora del programa de auditoría Cláusulas 5.2 / 5.3 Establecer objetivos y programa de auditoría Cláusula 5.4 Implementación del programa de auditoría Plan Do Cláusula 6 Realización de la auditoría Cláusula 5.5 Monitoreo del programa de auditoría Check Mayo 2012 (c) Eduardo Gatell Establecimiento de los objetivos del programa de auditoría La alta dirección debería asegurar que los objetivos del programa de auditoría se establecen asegurar que el programa de auditoría se implementa eficazmente. Los objetivos del programa de auditoría deberían ser consistentes con y soportar a la política y los objetivos del sistema de gestión. Mayo 2012 (c) Eduardo Gatell 4

3 Qué se debe considerar para fijar los objetivos del Programa de Auditoría? Mayo 2012 (c) Eduardo Gatell Establecimiento de los objetivos del programa de auditoría (cont ) Los objetivos del programa pueden considerar lo siguiente: a) las prioridades de la dirección; b) las intenciones comerciales y de negocio; c) las características de los procesos, productos y proyectos; d) los requisitos del sistema de gestión; e) los requisitos legales / contractuales; f) la necesidad de evaluar a los proveedores; g) las necesidades y expectativas de las partes interesadas, incluyendo los clientes; h) el nivel de desempeño del auditado, (la ocurrencia de fallas / incidentes / quejas) i) los riesgos del auditado j) los resultados de auditorías previas k) el nivel de madurez del sistema de gestión que se va a auditar Mayo 2012 (c) Eduardo Gatell 6

4 Qué se espera que haga la persona que gestiona el Programa de Auditoría? Mayo 2012 (c) Eduardo Gatell Establecimiento del programa de auditoría La persona que gestiona el programa de auditoría debería: establecer la extensión del programa de auditoría; identificar y evaluar los riesgos para el programa de auditoría; establecer las responsabilidades de la auditoría; establecer los procedimientos; determinar los recursos necesarios; asegurar la implementación del programa de auditoría, incluyendo: los objetivos de la auditoría el alcance y el criterio de las auditorías individuales los métodos de auditoría la selección del equipo auditor la evaluación de los auditores; asegurar que los registros del programa de auditoría pertinentes se gestionan y mantienen monitorear, revisar y mejorar el programa de auditoría informar a la alta dirección sobre el contenido del programa de auditoría y solicitar su aprobación según sea necesario. Mayo 2012 (c) Eduardo Gatell 8

5 Qué competencias debería tener la persona que gestiona el Programa de Auditoría? Mayo 2012 (c) Eduardo Gatell Competencia de la persona que gestiona el programa de auditoría Se necesita competencia para gestionar el programa y los riesgos asociados, así como conocimientos y habilidades en las siguientes áreas: principios, procedimientos y métodos de auditoría; normas de sistemas de gestión y documentos de referencia; actividades, productos y procesos del auditado; requisitos legales y de otro tipo aplicables pertinentes a las actividades y productos del auditado; clientes, proveedores y otras partes interesadas del auditado, cuando sea aplicable. Debería estar involucrado en un desarrollo profesional continuo para mantener los conocimientos y habilidades necesarias para gestionar el programa de auditoría. Mayo 2012 (c) Eduardo Gatell 10

6 Qué factores pueden influenciar la extensión del Programa de Auditoría? Mayo 2012 (c) Eduardo Gatell Determinación de la extensión del programa de auditoría Otros factores incluyen: el objetivo, alcance y duración de cada auditoría y el número de auditorías a realizarse, (incluyendo el seguimiento, si aplica) el número, importancia, complejidad, similitud y ubicación de las actividades a ser auditadas; los factores que influencian la eficacia del sistema de gestión; el criterio de auditoría (eg, arreglos para los requisitos de gestión, normativos, legales y contractuales pertinentes) las conclusiones de auditorías previas internas y externas; los resultados de revisiones previas al programa de auditoría; el idioma, cultura y aspectos sociales; las preocupciones de las partes interesadas (eg. quejas de clientes o incumplimientos legales); los cambios significativos en el auditado o sus operaciones; las tecnologías de información y comunicación para soportar las actividades de auditoría, en particular el uso de métodos de auditoría remotos (ver anexo B); la ocurrencia de eventos internos y externos, (eg. falla de producto, fugas en la seguridad de la información, incidentes de salud y seguridad, actos criminales o incidentes ambientales). Mayo 2012 (c) Eduardo Gatell 12

7 Qué tipos de riesgos se deben identificar el Programa de Auditoría? Mayo 2012 (c) Eduardo Gatell Identicación y evaluación de riesgos del programa de auditoría Los riesgos pudieran estar asociados con: La planificación (eg. falla al establecer objetivos de auditoría pertinentes y al determinar la extensión del programa de auditoría) Los recursos (eg. asignando tiempo insuficiente) La selección del equipo auditor (eg. el equipo no tiene la competencia colectiva para realizar auditorías eficazmente) La implementación (eg. comunicación no eficaz del programa de auditoría) Los registros y controles (eg. falla en la protección de los registros de la auditoría para demostrar la eficacia del programa) El monitoreo, revisión y mejora del programa de auditoría (eg. monitoreo no eficaz de los resultados) Mayo 2012 (c) Eduardo Gatell 14

8 Qué debería cubrir el/los procedimientos para el Programa de Auditoría? Mayo 2012 (c) Eduardo Gatell Establecimiento de procedimientos para el programa de auditoría Deberían tratar lo siguiente, según sea aplicable: la planificación y calendarización de auditorías considerando los riesgos; asegurar la seguridad y confidencialidad de la información; asegurar la competencia de los auditores y líderes de equipo; la selección de equipos de auditoría apropiados / la asignación de roles y responsabilidades; la realización de auditorías, incluyendo el uso del muestreo apropiado la realización de auditorías de seguimiento, si es aplicable; reportar a la alta dirección sobre los logros del programa de auditoría; mantenimiento de registros del programa; el monitoreo / revisión del desempeño y riesgos, así como la mejora de la eficacia del programa de auditoría. Mayo 2012 (c) Eduardo Gatell 16

9 Qué influye en la selección de los miembros del equipo auditor? Mayo 2012 (c) Eduardo Gatell Selección de los miembros del equipo auditor Se necesita señalar miembros del equipo auditor, incluyendo líder del equipo expertos técnicos requeridos Tomar en cuenta la compentencia necesaria para lograr los objetivos de la auditoría individual dentro del alcance definido. Si solo hay un auditor, el auditor debería realizar todas las tareas aplicables de un auditor líder del equipo. NOTA, La cláusula 7 contiene directrices sobre la determinación de las competencias requeridas de los miembros del equipo auditor y describe los procesos para la evaluación de los auditores. Mayo 2012 (c) Eduardo Gatell 18

10 5.4.4 Selección de los miembros del equipo auditor (cont ) Se necesita considerar: a) la competencia colectiva del equipo auditor para lograr los objetivos de la auditoría, tomando en cuenta el alcance y el criterio de la auditoría; b) la complejidad de la auditoría y si es combinada o conjunta; c) los métodos de auditoría seleccionados; d) los requisitos legales / contractuales, etc e) la necesidad de independiencia y de evitar conflicto de intereses f) la habilidad del equipo auditor para interactuar eficazmente con el auditado y trabajar en equipo; g) el idioma de la auditoría, / las características sociales y culturales del auditado (pudiera necesitarse que sean tratadas por vía de un experto técnico). Mayo 2012 (c) Eduardo Gatell Selección de los miembros del equipo auditor (cont ) Deberían realizarse las siguientes etapas: identificar los conocimientos y habilidades necesarias para lograr los objetivos de la auditoría; seleccionar al equipo de modo que todo el conocimiento y habilidades necesarias estén presentes Pudiera ser necesario el uso de expertos técnicos para atraer la competencia adicional ( no debrerían actuar como auditores!). Pudiera incluirse auditores en entrenamiento, pero bajo la dirección y guía de un auditor. Pudiera necesitarse ajustar el tamaño / composición del equipo auditor durante la auditoría, (eg. si surgiera un conflicto de intereses o de competencia). Se necesita discutir con las partes pertinentes antes de hacer cualquier ajuste. Mayo 2012 (c) Eduardo Gatell 20

11 Actividades típicas de auditoría 6.2 Inicio de la auditoría (6.2.1 General; Establecimiento del contacto inicial; Determinación de la factibilidad) 6.3 Actividades de preparación de la auditoría (6.3.1 Rev. doc.; Plan de Auditoría; Asignación de tareas; Preparación de doc. de trabajo) 6.4 Actividades de realización de la auditoría (6.4.1 General; Reunión de Apertura; Rev. doc. durante la auditoría; Comunicación; Guías / Observadores; Recolección/verif. de inf.; Generación de hallazgos; Preparación de conclusiones;6.4.9 Reunión de cierre) 6.5 Preparación / distribución del reporte de auditoría (6.5.1 Preparación del reporte; Distribución del reporte) 6.6 Finalizacion de la auditoría 6.7 Realización de las actividades de seguimiento (si se especifica en el plan) Mayo 2012 (c) Eduardo Gatell 21 Cuáles son los propósitos/elementos del contacto inicial con el auditado? Mayo 2012 (c) Eduardo Gatell 22

12 6.2.2 Establecimiento del contacto inicial con el auditado Líder del equipo auditor (informal o formal) Los propósitos son: establecer comunicación con los representantes del auditado; confirmar la autoridad para realizar la auditoría; proporcionar información sobre los objetivos, alcance y métodos de la auditoría, y la composición del equipo auditor, incluyendo expertos técnicos; solicitar el acceso a documentos y registros pertinentes con el propósito de planificación; determinar los requisitos legales, contractuales y de otro tipo pertinentes a las actividades y productos del auditado; confirmar el acuerdo con el auditado sobrel la extensión y tratamiento de la información confidencial; hacer los arreglos para la auditoría incluyendo horarios y fechas; determinar cualquier requisito de acceso, seguridad, salud y seguridad personal, etc. acordar la participación de observadores y la necesidad de guías para el equipo aud; determinar cualquier área de interés o preocupación del auditado. Mayo 2012 (c) Eduardo Gatell 23 Cuál es el propósito y cuidados a tener al realizar una revisión de la documentación para preparar una auditoría? Mayo 2012 (c) Eduardo Gatell 24

13 6.3 Preparación de las actividades de auditoría Realización de la revisión de la documentación en la preparación de la auditoría Debería revisarse la documentación pertinente del SG a auditarse para: recabar información para preparar las actividades de la auditoría y los documentos de trabajo aplicables (ver 6.3.4), eg sobre procesos, funciones; establecer una visión general de la extensión de la documentación del sistema para detectar posibles carencias. NOTA Se da una directriz de cómo realizar una revisión de la documentación en la cláusula B.3. La documentación debería incluir, cuando sea aplicable: documentos y registros del sistema de gestión reportes de auditorías previas, si son pertinentes. La revisión de la documentación debería tomar en cuenta el tamaño, la naturaleza y la complejidad del sistema de gestión del auditado, y de la organización, los objetivos de la auditoría y el alcance. Mayo 2012 (c) Eduardo Gatell 25 Qué debe considerar el auditor líder del equipo para preparar el plan de auditoría? Mayo 2012 (c) Eduardo Gatell 26

14 6.3.2 Preparación del plan de auditoría El auditor líder debería preparar el plan de auditoría con base en la información contenida en el programa de auditoría y en la documentación proporcionada por el auditado. El plan debería considerar el efecto de la auditoría en los procesos del auditado Debería proporcionar bases para el acuerdo entre el cliente de la auditoría, el equipo auditor y el auditado Debería facilitar la programación y coordinación eficiente de las actividades de auditoría. El nivel de detalle del plan debería reflejara el alcance y la complejidad de la auditoría, así como el efecto de la incertidumbre en el logro de los objetivos. Al preparar el plan de la auditoría, el auditor líder debería estar consciente de: las técnicas de muestreo apropiadas (ver capitulo B.5); la composición del equipo audiot y su competencia colectiva; los riesgos para la organización creados por la auditoria. Los riesgos pudieran resultar de los miembros del equipo auditor al influenciar la salud y seguridad, el ambiente y la calidad, y su presencia puede presentar amenazas para los productos, servicios, personal o infraestructura (ej, contaminación). Mayo 2012 (c) Eduardo Gatell 27 Qué debe considerar el proceso de evaluación de los auditores? Mayo 2012 (c) Eduardo Gatell 28

15 7.1 General El proceso de evaluación debería incluir cuatro pasos: a) determinar la competencia del personal de la auditoría para cumplir las necesidades del programa de auditoría; b) establish evaluation criteria; c) seleccionar el método apropiado de evaluación; d) realizar la evaluación. El resultado del proceso de evaluación debería proporcionar la base para: la selección de los miembros del equipo auditor como se describe en 5.4.4; determinar la necesidad de mejorar la competencia (ej. formación adicional); evaluación continua del desempeño de los auditores. November 2010 (c) Nigel H Croft 29 Qué tipos de conocimientos y habilidades específicas de la disciplina y sector deben considerar? Mayo 2012 (c) Eduardo Gatell 30

16 Conocimientos y habilidades específicas de la disciplina y sector Debería incluir: requisitos y principios sobre la disciplina específica del SG y su aplicación; requisitos legales pertinentes a la disciplina y el sector, de modo que el auditor esté consciente de los requisitos específicos en la jurisdicción y obligaciones, actividades y productos del auditado; los requisitos de las partes interesadas pertinentes a la disciplina específica; los fundamentos de la disciplina y la aplicación de métodos de negocio y métodos técnicos específicos de la disciplina, técnicas, procesos y prácticas, suficientes para permitir que el auditor examine el SG y genere los hallazgos y conclusiones apropiadas; conocimientos específicos de la disciplina relacionados al sector particular, naturaleza de las operaciones o lugar de trabajo a ser auditado, suficientes para que el auditor evalúe las actividades, procesos y productos del auditado (bienes y servicios); los principios de gestión de riesgos, métodos y técnicas pertinentes a la disciplina y sector, de modo que el auditor pueda evaluar y controlar los riesgos asociados con el programa de auditoría. November 2010 (c) Nigel H Croft 31 MUCHAS GRACIAS! nigelhcroft@sapo.pt egatell@inlac.com May 2012 (c) Nigel H Croft 32