Curso de Auditoría Ambiental Unidad Didáctica Nº 7. Directrices para la auditoría de los sistemas de gestión RECAI 171

Transcripción

1 Directrices para la auditoría de los sistemas de gestión RECAI 171

2 NUEVA VERSIÓN PARA LA AUDITORÍA DE SISTEMAS DE GESTIÓN ISO publicó el pasado 11 de Noviembre de 2011 la nueva versión de la Guía de Auditoria ISO 19011, la cual se encuentra ahora en su versión 2011 y que pasó por un extenso proceso de revisión durante 5 años aproximadamente. En el entorno empresarial de hoy en día, muchas organizaciones incorporan una serie de sistemas de gestión, tales como calidad, medio ambiente, servicios de TI y seguridad de la información. Como resultado, estas organizaciones quieren armonizar y, cuando sea posible, combinar la auditoría de estos sistemas. Según ISO, en comparación con la primera edición de la norma publicada en el año 2002 que se aplicaba sólo a la norma ISO 9001 (calidad) e ISO (medio ambiente), el alcance de la norma ISO 19011:2011, Directrices para la auditoría de sistemas de gestión, se ha ampliado para reflejar el pensamiento actual y la complejidad de la auditoría de múltiples sistemas de gestión basados en normas. Esto ayudará a las organizaciones de usuarios para optimizar y facilitar la integración de sus sistemas de gestión y, una sola auditoría para sus sistemas, agilizará los procesos de auditoría, reducirá la duplicación de esfuerzos y la interrupción y disminuirá las unidades de trabajo que están siendo auditadas. Se presta especial atención a la aplicación del programa de auditoría. Mediante la plena aplicación de estas directrices, los requisitos previos se proporcionan para hacer de la auditoría una herramienta crucial para la alta dirección, para alcanzar los objetivos de la organización. ISO 19011:2011 proporciona orientación sobre la realización de una auditoría de sistemas de gestión interna o externa, así como sobre la gestión de los programas de auditoría. Los destinatarios de esta norma internacional son los auditores, los directores del equipo de auditoría, los administradores del programa de auditoría, las organizaciones para la implementación de sistemas de gestión y las organizaciones que necesitan para llevar a cabo auditorías de sistemas de gestión por razones contractuales o reglamentarias. "ISO 19011:2011 ha sido revisada para proporcionar a los auditores, organizaciones que utilizan sistemas de gestión y organizaciones que necesitan para llevar a cabo auditorías de sistemas de gestión, la oportunidad de volver a evaluar sus propias prácticas e identificar oportunidades de mejora." "En comparación con la versión de 2002, la norma añade el concepto de riesgo y reconoce de manera más explícita la competencia del equipo de auditoría y los auditores individuales. Además, el uso de la tecnología en la auditoría a distancia es reconocido, por ejemplo, la realización de entrevistas a distancia y revisar los registros de forma remota. RECAI 172

3 Principales Cambios Esta nueva versión de la norma presenta varios cambios, algunos de ellos significativos como por ejemplo: El enfoque de la guía para auditar cualquier tipo de Sistema de Gestión (no sólo calidad y ambiente), así como también la introducción de los conceptos de auditorías basadas en riesgos. También se agrega un nuevo principio de auditoría, La Confidencialidad, aumentando así a un total de 6 principios por el cual el Auditor debe de regirse. Entre otros cambios que se destacan es la organización completa del capítulo 5 para darle un flujo que siga el concepto de proceso, la introducción del concepto de auditoría a distancia, así como una revisión al capítulo 7, donde las competencias de un auditor se ha resumido de manera que pueda encajar a cualquier tipo de auditoría en Sistemas de Gestión, y no solo de Calidad y Ambiente. Los principales cambios del documento incluyen: Se definió la diferencia entre la norma ISO e ISO Se introdujo a la auditoría el concepto de gestión de riesgo, así como la referencia a la utilización de métodos remotos de auditoría. Se agregó la confidencialidad como un nuevo principio y se sustituyó el principio de conducta ética por la integridad. En la ilustración 3 se hace referencia a los seis principios que según la norma debe prevalecer durante un proceso de auditoría. Se reorganizaron las secciones 5, 6 y 7 del documento. El principal cambio es la mejora de la redacción de las secciones para darles fluidez y la inclusión de referencias al Anexo B, en el cual se hace referencia a técnica y herramientas específicas para llevar a cabo las orientaciones sugeridas en cada sección. Se reforzó el tema de competencias y el proceso de su evaluación. Se da un perfil más alto a las funciones del administrador del Programa de Auditorías. En el Anexo B se presentan ejemplos ilustrativos de conocimientos y habilidades específicos para un mayor rango de disciplinas. Se agregaron nuevas definiciones y se reescribieron otras. RECAI 173

4 PRÓLOGO ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (organismos miembros de ISO). El trabajo de preparación de las normas internacionales normalmente se realiza a través de los comités técnicos de ISO. Cada organismo miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho comité. Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (CEI) en todas las materias de normalización electrotécnica. Las Normas Internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las Directivas ISO/CEI. La tarea principal de los comités técnicos es preparar Normas Internacionales. Los Proyectos de Normas Internacionales aceptadas por los comités técnicos son enviados a los organismos miembros para votación. La publicación como Norma Internacional requiere la aprobación por al menos el 75% de los organismos miembros requeridos para votar. Se llama la atención sobre la posibilidad de que algunos de los elementos de esta Norma Internacional puedan estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera o todos los derechos de patente. ISO 19011:2011 ha sido elaborado bajo los auspicios del Grupo de Coordinación Técnica Mixta y administrado por el Comité Técnico ISO / TC 176, Gestión y aseguramiento de la calidad, Subcomité SC 3, de apoyo tecnologías. Los miembros del Grupo de Trabajo de 16 en TC 176/SC 3 representantes de otros técnicos comités (por ejemplo, el TC 207, TC 34) y otras partes interesadas para los sistemas de gestión incluido en el alcance de esta norma. Esta segunda edición de la Norma ISO anula y sustituye a la norma ISO 19011: 2002 que ha sido revisada técnicamente. RECAI 174

5 INTRODUCCIÓN Desde la publicación inicial de la norma ISO en el año 2002, una serie de nuevas normas de gestión del sistema han sido publicadas. Esto ha dado lugar a una necesidad de considerar un alcance más amplio de auditoría de gestión del sistema, así como proporcionará una guía que es más genérico. En 2006, ISO CASCO ha desarrollado un estándar con los requisitos para la gestión de 3ª Parte de auditoría del sistema de certificación fines de la norma ISO / IEC Es en este contexto que esta revisión de la Norma ISO proporciona una guía para todos los usuarios, incluyendo las pequeñas y medianas empresas, especialmente concentrados en lo que comúnmente se denomina interna (primera parte) y auditorías de segunda parte. Esta Norma Internacional no afecta a los requisitos estatales, pero proporciona una guía sobre la gestión de los programas de auditoría y en la realización de auditorías de sistemas de gestión, así como sobre la competencia y la evaluación de los auditores y equipos de auditoría. Los usuarios de esta norma internacional, sin embargo, pueden aplicar una orientación en el desarrollo de sus propios requisitos relacionados con la auditoría. Esta guía está destinada a aplicarse a una amplia gama de usuarios potenciales, incluyendo auditores, organizaciones de aplicación de sistemas de gestión, y las organizaciones que necesitan para llevar a cabo auditorías de sistemas de gestión de razones contractuales o reglamentarias. También pueden ser utilizados para el propósito autodeclaración. También puede ser útil para organizaciones que participan en la formación de auditores o certificación La orientación provista en esta Norma Internacional pretende ser flexible. Como se indica en varios puntos del texto, el uso de estas directrices puede diferir de acuerdo con el tamaño, la naturaleza y la complejidad de las organizaciones que se van a auditar, así como con los objetivos y alcances de las auditorías que se vayan a realizar. En esta Norma Internacional, en el capítulo 4, se describen los principios en que se basa la auditoría creíble. Estos principios ayudan al usuario a comprender la naturaleza esencial de la auditoría y que son importantes para la comprensión de la Guía que se establece en los capítulos 5 y 7. El capítulo 5 ofrece orientación sobre el establecimiento y gestión de programas de auditoría, incluyendo el establecimiento de los objetivos de la auditoría, de los programas, y coordinar las actividades de auditoría. RECAI 175

6 El capítulo 6 proporciona orientación sobre la realización de auditorías de sistemas de gestión. El capítulo 7 proporciona orientación relativa a la competencia y la evaluación de los auditores de sistemas de gestión y equipos de auditoría. El Anexo A ilustra la aplicación de la guía en el capítulo 7 de las distintas disciplinas (por ejemplo, calidad, medio ambiente, seguridad y salud ocupacional, la resistencia, la seguridad, la preparación y la continuidad de la gestión y el transporte y Gestión de la seguridad). En el Anexo B se incluyen ejemplos de la evaluación de las competencias del equipo de auditoría en varias organizaciones hipotéticas en diferentes sectores de la aviación (por ejemplo, gestión de eventos). El Anexo C proporciona una guía adicional para los auditores en la planificación y la realización de auditorías. RECAI 176

7 Estructura de la Norma 19011: Objeto y campo de aplicación 2. Referencias normativas 3. Términos y definiciones 3.1 Auditoría 3.2 Criterios de auditoría 3.3 Evidencia de la auditoría 3.4 Hallazgos de la auditoría 3.5 Conclusiones de la auditoría 3.6 Cliente de la auditoría 3.7 Auditado 3.8 Auditor 3.9 Equipo auditor 3.10 Programa de auditoría 3.11 Plan de auditoría 3.11 Programa de auditoría 3.12 Riesgo 3.13 Alcance de la auditoría 3.14 Competencia 3.15 Experto técnico 3.16 Conformidad 3.17 No conformidad 3.18 Guía 4. Principios de auditoría 5. Gestión de un programa de auditoría 5.1 Generalidades 5.2 Establecimiento del programa de auditoría Objetivos del programa de auditoría Funciones y responsabilidades de la(s) persona(s) que gestionan el programa de auditoría Competencia de las personas responsables de gestionar el programa de auditoría Determinación de la amplitud de un programa de auditoría Evaluación de riesgos del programa de auditorías Establecimiento de procedimientos de programa de auditoría Identificación de recursos del programa de auditoría 5.3 Implementación del programa de auditoría Generalidades Definición de objetivos, alcance y criterios de auditoría de forma individual Determinación del método(s) de auditoría Selección del equipo auditor Asignación de responsabilidades al líder del equipo auditor para la(s) auditoría(s) individual(es) RECAI 177

8 5.3.6 Gestión y mantenimiento de los registros del programa de auditoría 5.4 Seguimiento del programa de auditoría 5.5 Revisión y mejora del programa de auditoría 6. Actividades de auditoría 6.1 Generalidades 6.2 Inicio de la auditoría Generalidades Contacto inicial con el auditado Determinación de la viabilidad de la auditoría 6.3 Preparación de las actividades de auditoría Preparación del plan de auditoría Asignación de las tareas al equipo auditor Preparación de los documentos de trabajo 6.4 Realización de las actividades de auditoría Revisión de la documentación Realización de la reunión de apertura Comunicación durante la auditoría Funciones y responsabilidades de los guías y observadores Recogida y verificación de la información Hallazgos de la auditoría Conclusiones de la auditoría Realización de la reunión de cierre 6.5. Preparación y distribución del informe de auditoría Preparación del informe de auditoría Distribución del informe de auditoría 6.6. Finalización de la auditoría 6.7 Realización del seguimiento de una auditoría 7. Competencia y evaluación de los auditores 7.1. Generalidades 7.2. Determinar la competencia del auditor para satisfacer las necesidades del programa de auditoría Conductas personales Conocimientos y habilidades Educación, experiencia laboral, formación como auditor y experiencia en auditorías 7.3. Criterios de evaluación 7.4. Selección del método adecuado de evaluación 7.5. Evaluación del auditor 7.6. Mantenimiento y mejora de la competencia ANEXOS A. Conocimientos y habilidades específicas por disciplina de auditores. B. Ejemplos de las evaluaciones específicas por disciplina de la competencia de equipos de auditoría. C. Guía adicional para auditores para planificar y realizar auditorías. BIBLIOGRAFÍA RECAI 178

9 1 OBJETO Y CAMPO DE ACTUACIÓN Esta Norma Internacional proporciona orientación sobre las auditorías de los sistemas de gestión, incluidos los principios de auditorías, la gestión de programas de auditorías y la realización de auditorías de sistemas de gestión, así como la orientación sobre la evaluación de la competencia de los individuos involucrados en el proceso de auditoría, incluyendo a los responsables del programa de gestión de auditoría, los auditores y los equipos de auditoría. Esta norma es aplicable a todas las organizaciones que necesitan llevar a cabo auditorías internas o externas de los sistemas de gestión o gestionar un programa de auditoría. La aplicación de esta Norma Internacional a otros tipos de auditorías es posible, siempre que se preste una consideración especial a la identificación de la competencia necesaria de los miembros del equipo auditor. 2 REFERENCIAS NORMATIVAS Cuando las normas u otros documentos que se han utilizado o se refiere (por ejemplo, para algunas de las definiciones en el capítulo 3) fue decidió incluir el texto original en el estándar internacional actual con el fin de crear un documento independiente. Al final de esta norma internacional se presenta una bibliografía con una lista de estos documentos, así como otra fuente material útil. 3 TÉRMINOS Y DEFINICIONES Para los propósitos de este documento, los siguientes términos y definiciones dadas a continuación se aplican. Todos los esfuerzos han sido considerados que estas definiciones no deben entrar en conflicto con las definiciones utilizadas en otras normas del sistema de gestión. 3.1 Auditoría Proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluar de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría. Nota 1: Las auditorías internas, denominadas en algunos casos como auditorías de primera parte, se realizan por, o en nombre de, la propia organización, para la revisión por la dirección y con otros fines internos, pueden constituir la base para una autodeclaración de conformidad de una organi- RECAI 179

10 zación. En muchos casos, particularmente en organizaciones pequeñas, la independencia puede demostrarse al estar libre el auditor de responsabilidades en la actividad que se audita. Nota 2: Las auditorías externas incluyen lo que se denomina generalmente auditorías de segunda y tercera parte. Las auditorías de segunda parte se llevan a cabo por partes que tienen interés en la organización, tal como los clientes, o por otras personas en su nombre. Las auditorías de tercera parte se llevan a cabo por organizaciones auditoras independientes y externas, como tales como aquellas que proporcionan el registro o la certificación de conformidad de acuerdo con los requisitos de las Normas ISO 9001 o ISO Nota 3: Cuando se auditan juntos un sistema de gestión de la calidad y un sistema de gestión ambiental, se denominan auditorías combinadas. Nota 4: Cuando dos o más organizaciones cooperan para auditar a un único auditado se denomina auditoría conjunta. 3.2 Criterios de auditoría Conjunto de políticas, procedimientos o requisitos NOTA: Los criterios de auditoría se utilizan como una referencia a la cual se compara la evidencia de la auditoría. 3.3 Evidencia de la auditoría Registro, declaraciones de hecho o cualquier otra información que son pertinentes para los criterios de auditoría y que son verificables. NOTA: La evidencia de la auditoría puede ser cualitativa o cuantitativa. 3.4 Hallazgos de la auditoría Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría. NOTA: Los hallazgos de la auditoría pueden indicar tanto conformidad o no conformidad con los criterio de auditoría como oportunidades de mejora. 3.5 Conclusiones de la auditoría Resultados de una auditoría, que proporciona el equipo auditor tras considerar los objetivos de la auditoría y todos los hallazgos de la auditoría. 3.6 Cliente de la auditoría Organización o persona que solicita una auditoría RECAI 180

11 3.7 Auditado Organización que es auditada. 3.8 Auditor Persona con la competencia para llevar a cabo una auditoría (3.1). 3.9 Equipo auditor Uno o más auditores (3.8) que llevan a cabo una auditoría (3.1) con el apoyo, si es necesario, de expertos técnicos (3.15). NOTA 1: A un auditor del equipo auditor se designa como líder del mismo. NOTA 2: El equipo auditor incluye auditores en formación Programa de auditoría Conjunto de una o más auditorías (3.1) planificadas para un periodo de tiempo determinado y dirigidas a un propósito específico. NOTA: Un programa de auditoría incluye todas las actividades necesarias para planificar, organizar y llevar a cabo las auditorías 3.11 Plan de auditoría Descripción de las actividades y disposiciones para una auditoría (3.1) Riesgo Efecto de la incertidumbre sobre los objetivos 3.13 Alcance de la auditoría Extensión y límites de una auditoría. NOTA: El alcance de la auditoría incluye generalmente una descripción de las ubicaciones, las unidades de la organización, las actividades y los procesos, así como el periodo de tiempo cubierto Competencia Capacidad de aplicar conocimientos y habilidades para alcanzar los resultados previstos. NOTA: implica la capacidad de la aplicación adecuada de la conducta personal durante el proceso de auditoría RECAI 181

12 3.15 Experto técnico Persona que aporta conocimientos o experiencia específicos al equipo auditor (3.9). NOTA 1: El conocimiento o experiencia específicos son los relacionados con la organización, el proceso de la actividad a auditar, el idioma o la orientación cultural. NOTA 2: Un experto técnico no actúa como un auditor en el equipo auditor Conformidad Cumplimiento de un requisito No conformidad Incumplimiento de un requisito Guía Persona designada por el auditado para ayudar al equipo de auditoría 4 PRINCIPIOS DE AUDITORÍA La auditoría se caracteriza por depender de varios principios. Éstos hacen de la auditoría una herramienta eficaz y fiable de apoyo de las políticas y controles de gestión, proporcionando información sobre la cual una organización puede actuar para mejorar su desempeño. La adhesión a esos principios es un requisito previo para proporcionar conclusiones de la auditoría que sean pertinentes y suficientes, y para permitir a los auditores trabajar independientemente entre sí para alcanzar conclusiones similares en circunstancias similares. Los principios siguientes se refieren a los auditores: a) Integridad: la base de la profesionalidad. Los auditores y los que gestionan el programa de auditoría(s) deben: - desempeñarán su trabajo con honestidad, diligencia y responsabilidad; - observar y respetar todos los requisitos legales aplicables; - demostrar su competencia técnica, mientras llevan a cabo su trabajo; - realizar su trabajo de manera imparcial, es decir, siguen siendo justo e imparcial en todos sus tratos; RECAI 182

13 - ser sensible a las influencias que pueden ser ejercidas por otras partes interesadas en su juicio, mientras se realice una auditoría b) Presentación ecuánime: la obligación de informar con veracidad y exactitud. Los hallazgos, conclusiones e informes de la auditoría reflejan con veracidad y exactitud las actividades de las auditorías. Se informa de los obstáculos significativos encontrados durante la auditoría y de las opiniones divergentes sin resolver entre el equipo auditor y el auditado. c) Debido cuidado profesional: la aplicación de diligencia y juicio al auditor. Los auditores proceden con el debido cuidado, de acuerdo con la importancia de la tarea que desempeñan y la confianza depositada en ellos por el cliente de la auditoría y por otras partes interesadas. Un factor importante es tener la competencia necesaria. d) Confidencialidad: seguridad de la información Los auditores deben ser prudentes en el uso y la protección de la información adquirida en el ejercicio de sus funciones. La información de la auditoría no debe ser utilizada de forma inapropiada para el beneficio personal por el auditor o el cliente de auditoría o de una manera perjudicial para los intereses legítimos de la entidad auditada. Este concepto incluye el manejo adecuado de información sensible, confidencial o clasificada. e) Independencia: la base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la auditoría. Los auditores son independientes de la actividad que es auditada y están libres de sesgo y conflicto de intereses. Los auditores mantienen una actitud objetiva a lo largo del proceso de auditoría para asegurarse de que los hallazgos y conclusiones de la auditoría estarán basados sólo en la evidencia de la auditoría. f) Enfoque basado en la evidencia: el método racional para alcanzar conclusiones de la auditoría fiable y reproducible en un proceso de auditorías sistemático. La evidencia de la auditoría es verificable. Está basado en muestras de información disponible, ya que una auditoría se lleva a cabo durante un periodo de tiempo limitado y con recursos finitos. El uso apropiado del muestreo está estrechamente relacionado con la confianza que puede depositarse en las conclusiones de la auditoría. La orientación dada en los capítulos restantes de esta Norma Internacional está basada en los principios establecidos anteriormente. RECAI 183

14 5 GESTIÓN DE UN PROGRAMA DE AUDITORÍA 5.1 Generalidades Una organización que necesita llevar a cabo las auditorías debe establecer un programa de auditoría (s). El cliente de auditoría debe establecer el objetivo (s) a ser alcanzado por el programa de auditoría (s). El programa (s) debe ser capaz de determinar la eficacia del sistema de gestión de la entidad auditada en el cumplimiento de sus objetivos. El cliente de auditoría debe asignar (a) persona competente (s) con la responsabilidad de gestionar el programa de auditoría (s). El programa debe ser adecuado y eficaz establecido e implementado. El programa de auditoría debe incluir la planificación de los tipos y el número de auditorías necesarias, así como proporcionar información y recursos necesarios para organizar y llevar a cabo sus auditorías de manera eficaz y eficiente dentro de los plazos especificados. El alcance de un programa de auditoría debe estar basado en el tamaño y la naturaleza del auditado, así como en la naturaleza, funcionalidad, la complejidad y el nivel de madurez del sistema de gestión a ser auditada. Se debe dar prioridad a la asignación de los recursos del programa de auditoría para auditar los asuntos de importancia dentro del sistema de gestión. Esto puede incluir las características fundamentales de la calidad del producto o servicio, la seguridad y riesgos para la salud y los riesgos y aspectos ambientales significativos y su control. NOTA Este concepto se conoce comúnmente como basado en el riesgo de auditoría. El programa de auditoría (s) puede incluir auditorías del sistema de gestión único, múltiple o integrado (s) llevado a cabo ya sea por separado o en combinación. Los resultados deben ser monitoreados y medidos para asegurar que el objetivo se ha logrado. El programa de auditoría debe ser revisado con el fin de identificar las posibles mejoras. El programa de auditoría debe incluir: - los objetivos de la auditoría; - medida / número de tipos y localidades y las citas de las auditorías; - procedimientos de auditoría principal; - los criterios de auditoría; - los métodos de auditoría; - selección de equipo de auditoría (s); RECAI 184

15 - la incertidumbre en la consecución de los objetivos del programa de auditoría y las medidas preventivas que deben aplicarse; - los recursos necesarios, incluidos los viajes y el alojamiento; - los procesos de manejo de la confidencialidad, seguridad de la información y otros asuntos similares; Diagrama de flujo del proceso para la gestión de un programa de auditoría 5.2 Establecimiento del programa de auditoría Objetivos del programa de auditoría Funciones y responsabilidades de la(s) persona(s) que gestionan el programa de auditoría Competencia de las personas responsables de gestionar el programa de auditoría Determinación de la amplitud de un programa de auditoría Evaluación de riesgos del programa de auditorías Establecimiento de procedimientos de programa de auditoría Identificación de recursos del programa de auditoría Planificar 5.3 Implementación del programa de auditoría Actuar Mejora de programa de auditoría (5.5) Generalidades Definición de objetivos, alcance y criterios de auditoría de forma individual Determinación del método(s) de auditoría Selección del equipo auditor Asignación de responsabilidades al líder del equipo auditor para la(s) auditoría(s) individual(es) Gestión y mantenimiento de los registros del programa de auditoría Competencia y evaluación de los auditores (capítulo 7) Actividades de auditoría (capítulo 6) Hacer 5.4 Seguimiento del programa de auditoría Verificar NOTA 1. Esta figura también ilustra la aplicación de la metodología: Planificar Hacer - Verificar Actuar NOTA 2.- Los números en ésta y en todas las figuras subsiguientes hacen referencia a los capítulos pertinentes de esta norma. RECAI 185

16 5.2 Establecimiento del programa de auditoría Objetivos del programa de auditoría Deberían establecer los objetivos de un programa de auditoría para dirigir la planificación y realización de las auditorías. Estos objetivos pueden basarse considerando: - Prioridades de la dirección; - Intenciones comerciales y de negocios; - Requisitos de los sistemas de gestión; - Requisitos legales y otros; - Necesidad de evaluación de proveedores; - Necesidades y expectativas de las partes interesadas (clientes); - Nivel de rendimiento del auditado, como se refleja en la ocurrencia de fallas o incidentes o quejas de los clientes; - Riesgos para la entidad auditada; - Resultados de auditorías anteriores; - Nivel de madurez del sistema de gestión. Algunos ejemplos de los objetivos del programa de auditoría pueden incluir lo siguiente: - Contribuir a la mejora de un sistema de gestión y su funcionamiento; - Para satisfacer las necesidades externas, p.ej., certificación de un sistema estándar de gestión; - Para verificar la conformidad con los requisitos contractuales; - Para obtener y mantener la confianza en la capacidad de un proveedor; - Para evaluar la compatibilidad y la alineación de los objetivos del sistema de gestión con el sistema de gestión, la política y los objetivos generales de la empresa; RECAI 186

17 5.2.2 Papel y responsabilidad de la persona (s) de la gestión del programa de auditoría (s) La persona (s) asignado la responsabilidad de gestionar el programa de auditoría (s) deben: - Establecer el alcance del programa de auditoría; - Evaluar los riesgos para el programa de auditoría; - Establecer responsabilidades y procedimientos de auditoría; - Garantizar los recursos necesarios que proporcionan, incluyendo la evaluación de los auditores; - Garantizar la aplicación del programa de auditoría, tales como la definición de objetivos de la auditoría, el alcance y los criterios de la auditorías individuales, se determinan los métodos de auditoría y la selección del equipo auditor; - Asegurarse de que los registros pertinentes del programa de auditoría son administrados y mantenidos; - Monitorear, revisar y mejorar el programa de auditoría. La persona (s) asignado la responsabilidad de gestionar un programa de auditoría (s) deberá informar a la alta dirección sobre el contenido del programa de auditoría y, si procede, pedir su aprobación Competencia de las personas responsables de gestionar el programa de auditoría La persona (s) responsable de la gestión del programa de auditoría (s) debe tener competencias para gestionar el programa (s) de auditoría de forma eficaz y eficiente, así como las competencias en las siguientes áreas de interés para su organización y los objetivos del programa de auditoría: - Los principios de auditoría, procedimientos, métodos y técnicas; - Sistema de gestión y documentos de referencia; - Los requisitos legales aplicables y otros relacionados con las actividades y / o productos de la organización para ser Auditado - Productos y procesos organizacionales; - Cliente (s), proveedor (s) y otras partes interesadas de la organización a ser auditada, en su caso; - Los riesgos asociados con el programa de auditoría (s) Determinación de la amplitud de un programa de auditoría La persona (s) responsable de la gestión del programa de auditoría (s) debe establecer el alcance de un programa de auditoría que pue- RECAI 187

18 de variar dependiendo del tamaño y naturaleza de la organización a auditar, así como en la naturaleza, funcionalidad, la complejidad y el nivel de madurez del sistema de gestión (s) a ser auditado. Otros factores impactando en la medida de un programa de auditoría incluyen: - El alcance, objetivo y duración de cada auditoría que se realice; - La frecuencia de las auditorías que se realizaron; - El número, la importancia, la similitud y la ubicación de las actividades a ser auditadas; - Aquellas cuestiones de importancia para la eficacia del sistema de gestión; - Los requisitos legales y otros requisitos, tales como las normas, requisitos contractuales y otros criterios de auditoría; - La necesidad de cumplir con los requisitos externos, por ejemplo, para la certificación; - Las conclusiones de anteriores auditorías internas o externas o los resultados de un examen de auditoría del programa anterior; - Lenguaje, temas sociales y culturales; - La preocupación de las partes interesadas, tales como quejas de los clientes o las infracciones regulatorias; - Los cambios significativos en la organización a ser auditada o de sus operaciones; - El alcance y la madurez de la información y las comunicaciones de la entidad auditada, que pueden afectar la utilización de métodos de auditoría remotas; - La ocurrencia de eventos internos y externos, tales como la falla del producto, contaminación, pérdida de seguridad de la información, de la salud y el incidente de seguridad, los actos delictivos o incidente ambiental Evaluación de riesgos del programa de auditorías Hay una variedad de riesgos asociados con el establecimiento, implementación, seguimiento y revisión de un programa de auditoría que puedan afectar a los objetivos del programa de auditoría. La persona (s) responsable de la gestión del programa de la auditoría debe considerar estos riesgos en el desarrollo de un programa de auditoría. Estos riesgos pueden estar asociados con: - Planificación, por ejemplo, el fracaso para establecer objetivos de auditoría pertinentes y determinar la extensión del programa de auditoría; - Los recursos, p. ej., lo que permite el tiempo suficiente para que la persona responsable de la gestión del programa de auditoría pueda desarrollar el programa de auditoría; RECAI 188

19 - Selección del equipo de auditoría, por ejemplo, el equipo no tiene la competencia colectiva para llevar a cabo la auditoría con eficacia; - La aplicación, por ejemplo, la comunicación ineficaz del programa de auditoría; - Los registros, p. ej. la falta de protección adecuada los registros de auditoría para demostrar la efectividad del programa de auditoría; - Control, revisión y mejora del programa de auditoría, por ejemplo, control efectivo del programa de resultados de auditoría Establecimiento de procedimientos de programa de auditoría La persona (s) responsable de la gestión del programa de auditoría (s) debe establecer uno o más programas de auditoría procedimientos, abordando los siguientes: - Planificación y programación de auditorías teniendo en cuenta los riesgos del programa de auditoría; - La gestión de seguridad de la información, la confidencialidad, los riesgos para la organización de las actividades de auditoría y otros asuntos relacionados con el programa de auditoría; - Asegurar la competencia de los auditores y los líderes del equipo de auditoría; - Selección de los equipos auditores apropiados y la asignación de sus funciones y responsabilidades; - Las auditorías que realizan, incluyen el uso de métodos de muestreo apropiados; - La realización de la auditoría de seguimiento, en su caso; - Informar al cliente de auditoría (por ejemplo, la alta gerencia) de los logros globales del programa de auditoría; - El mantenimiento de registros de auditoría de los programas; - Supervisar la ejecución, los riesgos y la eficacia del programa de auditoría Identificación de recursos del programa de auditoría Al identificar los recursos para el programa de auditoría, la persona (s) responsable de programa de auditoría de gestión (s) debe considerar: - Los recursos financieros necesarios para desarrollar, implementar, gestionar y mejorar las actividades de auditoría; - Los métodos y técnicas de auditoría; - La disponibilidad de auditores expertos y técnicos que posean las competencias adecuadas a la auditoría y objetivos del programa; RECAI 189

20 - La medida del programa de auditoría; - El tiempo de viaje y el costo, el alojamiento y otras necesidades de auditoría; - El alcance y la madurez de los sistemas de información y la comunicación de la organización a ser auditada, que puede afectar el uso de métodos de auditoría remotas. 5.3 Implementación del programa de auditoría Generalidades La persona (s) responsable del programa (s) de gestión de auditoría deben poner en práctica el programa de auditoría a través de: - La comunicación de las partes pertinentes del programa de auditoría a las partes pertinentes e informar periódicamente de los mismos de su progreso; - La definición de objetivos, el alcance y los criterios para cada auditoría en particular; - De coordinación y planificación de las auditorías y otras actividades relacionadas con el programa de auditoría; - Asegurar la selección de los equipos de auditoría con la competencia necesaria; - Proporcionar los recursos necesarios a los equipos de auditoría; - Asegurar la realización de auditorías de acuerdo con el programa de auditoría y dentro del plazo acordado; - Asegurar que las actividades de auditoría se registran y los registros se gestionan adecuadamente y se mantiene Definición de objetivos, alcance y criterios de auditoría de forma individual. Con base en la información contenida en el programa de auditoría y con el fin de desarrollar el plan de auditoría para cada uno de auditoría individual, es necesario identificar y documentar los objetivos específicos de auditoría, el alcance, métodos, criterios y procedimientos. Los objetivos de la auditoría deben definir lo que debe ser realizada por la auditoría individual y debe estar documentada en el plan de auditoría. Se pueden incluir los siguientes: - La determinación del grado de conformidad de un sistema de gestión a auditar, o partes de él, con los criterios de auditoría: - Evaluación de la capacidad de un sistema de gestión para garantizar el cumplimiento de los requisitos legales y de otra índole; RECAI 190

21 - Evaluación de la eficacia de un sistema de gestión para lograr los objetivos especificados; - La identificación de áreas de mejora potencial de un sistema de gestión; - Tratamiento de información confidencial, incluyendo el alcance de la divulgación. Los objetivos de la auditoría individual deben ser definidos por la persona responsable de la gestión del programa de auditoría y es compatible con los objetivos generales del programa de auditoría. El alcance de la auditoría debe ser coherente con el programa de auditoría y los objetivos de la auditoría. Se incluye factores tales como ubicaciones físicas, unidades organizativas, actividades y procesos a auditar, así como la duración de la auditoría. Los criterios de auditoría se utilizan como una referencia contra el cual se determina la conformidad y pueden incluir aplicable políticas, objetivos, procedimientos, normas, requisitos legales, requisitos del sistema de gestión, contractuales requisitos o de la industria / negocio códigos de conducta del sector. El alcance de la auditoría y los criterios de auditoría deben ser definidos conjuntamente por la persona (s) responsable de la gestión del programa de auditoría y el líder del equipo de auditoría de acuerdo con los procedimientos del programa de auditoría. Cualquier cambio en los objetivos de auditoría, el alcance de auditoría o los criterios de auditoría deben ser acordados por las mismas partes y el programa de auditoría debe ser modificado en consecuencia. Cuando una auditoría combinada se va a realizar, se debe asegurar que: - Los objetivos de auditoría derivados de diferentes programas de auditoría están alineados, incluidos los objetivos derivados de la combinación; - El alcance de la auditoría es consistente con los requisitos derivados de las normas específicas del sistema de gestión; - Los criterios de auditoría se seleccionan de manera que la eficiencia se puede obtener mediante la combinación de requisitos similares o sujetos a referencias diferentes Determinación del método (s) de auditoría La persona (s) responsable de la gestión del programa de auditoría (s) debe seleccionar y determinar los métodos de auditoría para una auditoría en función de los objetivos de la auditoría definidos, el alcance y los criterios para la efectiva realización de la auditoría. RECAI 191

22 Nota de orientación de cómo determinar los métodos de auditoría figura en el Anexo C Cuando dos o más unas organizaciones auditadas realizan una auditoría conjunta en la misma entidad auditada, las personas responsables de la gestión de los diferentes programas de auditoría deben cooperar e intercambiar información durante el establecimiento de los programas de auditoría. Se debe prestar especial atención a la división de responsabilidades, el de la programación de auditorías conjuntas, la provisión de recursos adicionales, la competencia del equipo auditor y los procedimientos apropiados. El acuerdo sobre estos asuntos debe ser alcanzado antes de comenzar las actividades de auditoría. Si una organización a ser auditada opera dos o más sistemas de gestión de las distintas disciplinas, en combinación las auditorías pueden ser incluidas en el programa de auditoría. En tal caso, se debe prestar especial atención a la competencia del equipo de auditoría Selección del equipo auditor La persona (s) responsable de la gestión del programa de auditoría (s) debe designar a los miembros del equipo de auditoría, incluyendo el líder del equipo y cualquier experto técnico (s) necesarios para la auditoría específica. Un equipo de auditoría debe ser seleccionado, teniendo en cuenta la competencia necesaria para lograr los objetivos de la auditoría individual dentro del alcance definido. Si hay un solo auditor, el auditor debe realizar todos los derechos aplicables de un líder del equipo auditor. NOTA: El capítulo 7 contiene una guía para determinar la competencia requerida para los miembros del equipo auditor y describe los procesos para la evaluación de los auditores. Al decidir el tamaño y la composición del equipo de auditoría por la auditoría específica, se debe considerar a la lo siguiente: - La competencia general del equipo de auditoría necesarios para alcanzar los objetivos de auditoría, el alcance y los criterios; - Si la auditoría es una auditoría combinada o conjunta; - El tipo de métodos de auditoría que han sido seleccionados; - Los requisitos legales y otros requisitos tales como los requisitos contractuales; RECAI 192

23 - La necesidad de garantizar la independencia del equipo de auditoría de las actividades a auditar y para evitar cualquier conflicto de intereses; - La capacidad de los miembros del equipo auditor para interactuar eficazmente con los representantes del auditado y trabajar juntos; - El idioma de la auditoría, y una comprensión de las características sociales y culturales del auditado. Estos problemas pueden ser abordados, ya sea por las habilidades propias del auditor o a través del apoyo de un experto técnico. Para asegurar la competencia global del equipo de auditoría, los siguientes pasos se deben realizar: - Identificación de los conocimientos y habilidades necesarias para alcanzar los objetivos de la auditoría; - Selección de los miembros del equipo auditor, para que todo el conocimiento y las habilidades necesarias estén presentes en el equipo de auditoría. Si toda la competencia necesaria no esté cubierta por los auditores en el equipo de auditoría, los expertos técnicos con más competencia pueden ser incluidos en los equipos. Los expertos técnicos deberían operar bajo la dirección de un auditor, pero no debe actuar como auditores. Los auditores en formación pueden ser incluidos en el equipo de auditoría, pero deben participar en la dirección y orientación de un auditor. Tanto el cliente como auditor y el auditado podrá solicitar la sustitución de determinados miembros del equipo auditor en condiciones razonables motivos basados en los principios de auditoría descrita en el capítulo 4. Ejemplos de argumentos razonables incluyen los conflictos de las situaciones de interés (como en el caso de las auditorías de segunda o tercera parte, un miembro del equipo de auditoría de haber sido un ex empleado de la entidad auditada o de haber prestado servicios de consultoría para la entidad auditada), la falta de competencia o comportamiento poco ético anterior. Estos argumentos deberían comunicarse al líder del equipo auditor y de la persona asignó la responsabilidad de la gestión del programa de auditoría, que debe discutir el tema con el cliente de auditoría y auditado antes de tomar cualquier decisión o sustitución de miembros del equipo auditor. Cuando una auditoría conjunta se lleva a cabo, es importante llegar a un acuerdo entre las organizaciones que realizan las auditorías antes de que comience la auditoría, las responsabilidades específicas de cada partido, en particular en lo que respecta a la autoridad del líder del equipo designado para la auditoría. RECAI 193

24 5.3.5 Asignación de responsabilidades al líder del equipo auditor para la(s) auditoría(s) individual(es) La persona responsable de la gestión del programa de auditoría debe asignar la responsabilidad de la realización de la auditoría individual a un líder del equipo auditor. La asignación debe hacerse con tiempo suficiente para garantizar de la eficaz planificación de las auditorías. Para garantizar la eficaz realización de la auditoría individual (s), la siguiente información debe ser proporcionada a los líderes del equipo de auditoría: - Los objetivos de la auditoría; - Los criterios de auditoría y cualquier otro documento de referencia; - Los métodos y procedimientos de auditoría; - El alcance de la auditoría, incluyendo la identificación de las unidades organizativas y funcionales y los procesos a auditar; - La composición del equipo auditor; - El lugar (sitios), las fechas y la duración de las actividades de auditoría que se realice; - La asignación de recursos adecuados para llevar a cabo la auditoría. La información de la asignación también debería abarcar los siguientes aspectos: - El idioma de trabajo y presentación de informes de la auditoría, cuando sea diferente del idioma del auditor y / o de la entidad auditada; - El contenido de los informes solicitados por el programa de auditoría; - Los asuntos relacionados con la seguridad y la confidencialidad de la información, si es requerido por el programa de auditoría; - Las acciones de seguimiento, por ejemplo, de una auditoría anterior, en su caso; - La coordinación con otras actividades de auditoría, en caso de una auditoría conjunta. La persona responsable del programa de auditoría debe asegurar que la información proporcionada adecuadamente las direcciones identifica los riesgos para el logro de los objetivos de la auditoría Gestión y mantenimiento de los registros del programa de auditoría La persona (s) responsable de la gestión del programa de auditoría (s) debe gestionar y mantener registros para demostrar la aplicación del programa de auditoría. Se debería establecer procesos para asegurarse de que ninguna de privacidad o confidencialidad necesidades asociadas con los registros de auditoría se cumplen. Los registros deben incluir lo siguiente: RECAI 194

25 a) Se registra en relación con el programa de auditoría, tales como; - Auditoría de los objetivos del programa; - Los riesgos frente al programa de auditoría; - Las opiniones de la efectividad del programa de auditoría. b) Los registros relacionados con la auditoría individuales, tales como: - Los planes de auditoría y los informes de auditoría; - Los informes de no conformidades; - Los informes de acción correctiva y acción preventiva; - Los informes de seguimiento, en su caso. c) Los registros relacionados con el personal de auditoría que abarcan temas tales como: - La competencia y la evaluación del desempeño de los miembros del equipo auditor; - La selección del equipo de auditoría; - El mantenimiento y la mejora de la competencia. La forma y el nivel de detalle de los registros deben cumplir con los objetivos del programa de auditoría (s). 5.4 Seguimiento del programa de auditoría La persona (s) responsable de la gestión del programa de auditoría (s) deben vigilar la aplicación del programa (s) de auditoría a intervalos periódicos considerando la necesidad de: - Revisar y aprobar los informes de auditoría, y asegurar su distribución a la alta dirección y otras organizaciones; - Determinar la necesidad de una auditoría de seguimiento; - Evaluar el desempeño de los miembros del equipo auditor; - Evaluar la capacidad de los equipos de auditoría para implementar el plan de auditoría; - Evaluar la conformidad con los programas de auditoría, horarios y objetivos de la auditoría; - Evaluar la opinión de la alta dirección, los auditados, auditores y otras partes interesadas. Algunos factores pueden determinar la necesidad de modificar el programa de auditoría, antes de su terminación, tales como: - Los resultados iniciales de la auditoría; - Demostrar el nivel de eficacia del sistema de gestión; - Los cambios a la del cliente o del sistema de gestión de la entidad auditada; RECAI 195

26 . - Cambio de los requisitos legales y / o norma; - Cambio de proveedor. 5.5 Revisión y mejora del programa de auditoría La persona (s) responsable del programa (s) de gestión de auditoría debe revisar el programa de auditoría para evaluar si sus objetivos se han cumplido. Las lecciones aprendidas de la revisión del programa de auditoría deben ser utilizadas para la mejora continua del proceso. La revisión del programa de auditoría debe considerar, por ejemplo: - Resultados y tendencias de la vigilancia; - Conformidad con el procedimiento del programa de auditoría (s); - Las necesidades y expectativas de las partes interesadas; - Los registros de auditoría del programa; - Alternativas o nuevos métodos de auditoría; - Eficacia de las medidas para hacer frente a los riesgos asociados con el programa de auditoría; - Confidencialidad y seguridad de la información en relación con el programa de auditoría. La persona (s) responsable de la gestión del programa de auditoría (s) debe examinar la aplicación general de la fiscalización programa (s), identificar el área de mejora y modificación del programa si es necesario. También deberían: - Revisar el desarrollo profesional continuo de los auditores, de acuerdo con 7.4, 7.5 y 7.6; - Reportar los resultados de la revisión del programa de auditoría a la alta dirección. Los resultados de las revisiones del programa de auditoría pueden llevar a acciones correctivas y preventivas y a la mejora del programa de auditoría. 6 ACTIVIDADES DE AUDITORÍA 6.1 Generalidades Este capítulo proporciona orientación sobre la planificación y forma de llevar a cabo actividades de auditoría como parte de un programa de auditoría. La figura 2 proporciona una visión general de las actividades de auditoría típicas. El grado de aplicación de las disposiciones de este capítulo depende del alcance y complejidad de cada auditoría específica y del uso previsto de las conclusiones de la auditoría. RECAI 196

27 Visión global de las actividades típicas de auditoría Inicio de la auditoría (6.2) Generalidades Contacto inicial con el auditado Determinación de la viabilidad de la auditoría Preparación de las actividades de auditoría (6.3) Preparación del plan de auditoría Asignación de las tareas al equipo auditor Preparación de los documentos de trabajo Realización de las actividades de auditoría (6.4) Revisión de la documentación Realización de la reunión de apertura Comunicación durante la auditoría Funciones y responsabilidades de los guías y observadores Recogida y verificación de la información Hallazgos de la auditoría Conclusiones de la auditoría Realización de la reunión de cierre Preparación y distribución del informe de auditoría (6.5) Preparación del informe de auditoría Distribución del informe de auditoría Finalización de la auditoría (6.6) Realización del seguimiento de la auditoría (6.7) NOTA: Las líneas discontinuas indican que cualquier acción de seguimiento de la auditoría generalmente no se considera parte de la auditoría. RECAI 197