¡Descarga RESUMENES ACERCA DE LA GESTIÓN DE CALIDAD y más Resúmenes en PDF de Gestión de Calidad solo en Docsity!
NORMA ISO 1911:
Directrices para la auditoría de los sistemas de gestión
Proporciona orientación sobre la auditoría de los sistemas de gestión, incluyendo los principios de la auditoría, la gestión de un programa de auditoría y la realización de auditorías de sistemas de gestión, así como orientación sobre la evaluación de la competencia de las personas que participan en el proceso de auditoría. Es aplicable a todas las organizaciones que necesitan planificar y realizar auditorías internas o externas de sistemas de gestión, o gestionar un programa de auditoría. La aplicación de este documento a otros tipos de auditorías es posible, siempre que se preste especial atención a la competencia específica necesaria. Auditoría Proceso sistemático, independiente y documentado para obtener evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría Las auditorías internas en algunos casos se realizan en nombre de la propia organización. Las auditorías externas incluyen lo que se denomina generalmente auditorías de segunda y tercera parte. Las auditorías de segunda parte se llevan a cabo por partes que tienen un interés en la organización, tales como los clientes o por otras personas en su nombre. Las auditorías de tercera parte se llevan a cabo por organizaciones auditoras independientes, tales como las que otorgan la certificación/registro de conformidad o agencias gubernamentales. Auditoría combinada llevada a cabo conjuntamente a un único auditado en dos o más sistemas de gestión. sistema de gestión integrado cuando dos o más sistemas de gestión específicos de una disciplina se integran en un único sistema de gestión. Auditoría conjunta llevada a cabo a un único auditado por dos o más organizaciones auditoras. Alcance de la auditoría El alcance de la auditoría incluye generalmente una descripción de las ubicaciones físicas y virtuales, las funciones, las unidades de la organización, las actividades y los procesos, así como el periodo de tiempo cubierto. Plan de auditoría Descripción de las actividades y de los detalles acordados de una auditoría Criterios de auditoría Conjunto de requisitos usados como referencia frente a la cual se compara la evidencia objetiva Si los criterios de auditoría son requisitos legales, las palabras “cumplimiento” o “no cumplimiento” se utilizan a menudo en los hallazgos de la auditoría. Los requisitos pueden incluir políticas, procedimientos, instrucciones de trabajo, requisitos legales, obligaciones contractuales, etc.
Evidencia objetiva Datos que respaldan la existencia o veracidad de algo La evidencia objetiva puede obtenerse por medio de observación, medición, ensayo o por otros medios y con fines de auditoría generalmente se compone de registros, declaraciones de hechos u otra información que son pertinentes para los criterios de auditoría y verificables. Evidencia de la auditoría Registros, declaraciones de hechos o cualquier otra información pertinente para criterios de auditoría y es verificable Hallazgos de la auditoría Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría. Los hallazgos de la auditoría indican conformidad o no conformidad; pueden conducir a identificación de riesgos, oportunidades para la mejora o el registro de buenas prácticas. En inglés, si los criterios de auditoría se seleccionan de entre los requisitos legales o los requisitos reglamentarios, el hallazgo de la auditoría se denomina cumplimiento o no cumplimiento. Conclusiones de la auditoría tras considerar los objetivos de la auditoría y los hallazgos de la auditoría. Cliente de la auditoría Organización o persona que solicita una auditoría. En el caso de una auditoría interna, el cliente de la auditoría también puede ser el auditado o las personas que gestionan el programa de auditoría. Las solicitudes de una auditoría externa pueden provenir de fuentes como autoridades reglamentarias, partes contratantes o clientes existentes o potenciales. Auditado Organización auditada en su totalidad o partes Equipo auditor Una o más personas que llevan a cabo una auditoría con apoyo de expertos técnicos. A un auditor del equipo auditor se le designa como auditor líder del mismo. El equipo auditor puede incluir auditores en formación. Auditor Persona que lleva a cabo una auditoría Experto técnico Persona que aporta conocimientos o experiencia específicos al equipo auditor. Un experto técnico del equipo auditor no actúa como un auditor. Observador Persona que acompaña al equipo auditor pero no actúa como un auditor Sistema de gestión Conjunto de elementos de una organización interrelacionados o que interactúan para establecer políticas, objetivos y procesos para lograr estos objetivos
Integridad: fundamento de profesionalidad; auditores y personas que gestionan un programa de auditoría deberían: — desempeñar trabajo de forma ética. — emprender actividades de auditoría si son competentes — desempeñar trabajo de manera imparcial, permanecer ecuánimes en todas sus acciones — ser sensibles a cualquier influencia que se pueda ejercer sobre su juicio mientras lleva a cabo una auditoría. a) Presentación imparcial: obligación de informar con veracidad y exactitud Los hallazgos, conclusiones e informes reflejados con veracidad y exactitud; informar obstáculos encontrados durante la auditoría y opiniones divergentes sin resolver entre el equipo auditor y el auditado; comunicación veraz, exacta, objetiva, oportuna, clara y completa. b) Debido cuidado profesional: aplicación de diligencia y juicio al auditar Auditores proceder con cuidado, de acuerdo con la importancia de la tarea y confianza depositada en ellos por el cliente de la auditoría y por otras partes interesadas. Un factor importante es tener la capacidad de hacer juicios razonados en todas las situaciones de la auditoría. c) Confidencialidad: seguridad de la información Auditores proceder con discreción en el uso y protección de información adquirida en sus tareas. La información de la auditoría no usarse inapropiadamente para beneficio personal del auditor o del cliente de la auditoría, o que perjudique intereses legítimos del auditado. d) Independencia: base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la auditoría Auditores independientes de la actividad que se audita y en todos los casos actuar de manera libre de sesgo y conflicto de intereses. Para auditorías internas, auditores deben ser independientes de la función auditada. Auditores mantener objetividad para asegurarse de que los hallazgos y conclusiones están basados sólo en la evidencia de la auditoría. Para organizaciones pequeñas, puede que no sea posible que los auditores internos sean completamente independientes de la actividad que se audita, pero deberían hacerse esfuerzos para eliminar el sesgo y fomentar la objetividad. e) Enfoque basado en la evidencia: método racional para alcanzar conclusiones de la auditoría fiables y reproducibles en un proceso de auditoría sistemático Evidencia de la auditoría ser verificable basarse en muestras de la información disponible, ya que una auditoría se lleva a cabo durante un periodo de tiempo delimitado y con recursos
finitos. Debería aplicarse un uso apropiado del muestreo, ya que está estrechamente relacionado con la confianza que puede depositarse en las conclusiones de la auditoría. f) Enfoque basado en riesgos: enfoque de auditoría que considera riesgos y oportunidades Debería influir en la planificación, realización y presentación de informes de auditoría asegurando que las auditorías se centran en asuntos importantes para el cliente de la auditoría y alcanzar objetivos del programa de auditoría. Gestión de un programa de auditoría Establecer un programa de auditoría que incluya auditorías una o más normas de sistemas de gestión u otros requisitos, realizadas por separado o en combinación (auditoría combinada). Extensión de un programa de auditoría basado en el tamaño y naturaleza del auditado, también en la naturaleza, funcionalidad, complejidad, tipo de riesgos y oportunidades, nivel de madurez de sistemas de gestión que se van a auditar. La funcionalidad del sistema de gestión puede ser aún más compleja si la mayoría de las funciones importantes están contratadas externamente y se gestionan bajo el liderazgo de otras organizaciones. En el caso de múltiples ubicaciones/sedes o cuando hay funciones importantes contratadas externamente y gestionadas bajo el liderazgo de otra organización, debería prestarse especial atención al diseño, la planificación y la validación del programa de auditoría. En el caso de organizaciones más pequeñas o menos complejas, el programa de auditoría puede escalarse apropiadamente. el programa de auditoría debería tener en cuenta del auditado: — objetivos organizacionales — cuestiones externas e internas pertinentes — necesidades y expectativas de partes interesadas pertinentes — requisitos de seguridad y confidencialidad Las personas responsables de la gestión del programa de auditoría deberían asegurase de la integridad de la auditoría y de que no ejercer una influencia indebida sobre la auditoría. Asignarse personas competentes para gestionar el programa de auditoría incluyendo la información e identificar recursos que las auditorías se realicen de forma eficaz y eficiente dentro de los periodos de tiempo especificados, incluyendo: a) objetivos para el programa b) riesgos y oportunidades asociados con el programa de auditoría y acciones para abordarlos; c) alcance (extensión, límites, ubicaciones) de cada auditoría dentro del programa d) calendario (número/duración/frecuencia) de auditorías; e) tipos de auditoría f) criterios de auditoría
la gestión del programa de auditoría deberían identificar y presentar al cliente de la auditoría los riesgos y oportunidades considerados al desarrollar el programa de auditoría y los requisitos de recursos para que puedan tratarse adecuadamente. Puede haber riesgos asociados con lo siguiente: a) la planificación, por ejemplo, el fracaso al establecer objetivos de la auditoría pertinentes y al determinar la extensión, número, duración, ubicaciones y calendario de las auditorías; b) los recursos, por ejemplo, conceder insuficiente tiempo, equipos y/o formación para desarrollar el programa de auditoría o para realizar una auditoría; c) la selección del equipo auditor, por ejemplo, competencia global insuficiente para realizar auditorías eficazmente; d) la comunicación, por ejemplo, procesos/canales de comunicación externos/internos ineficaces; e) la implementación, por ejemplo, una coordinación ineficaz de las auditorías dentro del programa de auditoría, o no tener en cuenta la seguridad y confidencialidad de la información; f) el control de la información documentada, por ejemplo, determinación ineficaz de la información documentada necesaria requerida por los auditores y las partes interesadas pertinentes, fracaso a la hora de proteger adecuadamente los registros de auditoría para demostrar la eficacia del programa de auditoría; g) el seguimiento, revisión y mejora del programa de auditoría, por ejemplo, seguimiento ineficaz de los resultados del programa de auditoría; h) la disponibilidad y la cooperación del auditado y la disponibilidad de evidencias a muestrear. Las oportunidades para mejorar el programa de auditoría pueden incluir: — permitir llevar a cabo múltiples auditorías en una única visita; — minimizar el tiempo y las distancias viajando al sitio; — igualar el nivel de competencia del equipo auditor con el nivel de competencia necesario para alcanzar los objetivos de la auditoría; — alinear las fechas de la auditoría con la disponibilidad del personal clave del auditado 5.4 Establecimiento del programa de auditoría 5.4.1 Roles y responsabilidades de las personas responsables de la gestión del programa de auditoría Las personas responsables de la gestión del programa de auditoría deberían: a) establecer la extensión del programa de auditoría de acuerdo con los objetivos pertinentes (véase 5.2) y cualquier restricción conocida; b) determinar las cuestiones externas e internas, y los riesgos y oportunidades que pueden afectar al programa de auditoría, e implementar acciones para abordarlos, integrando estas acciones en todas las actividades de auditoría pertinentes, según sea apropiado;
c) asegurar la selección de los equipos auditores y la competencia general para las actividades de auditoría, asignando roles, responsabilidades y autoridades, y respaldando al liderazgo, según sea d) establecer todos los procesos pertinentes, incluyendo procesos para: — la coordinación y calendario de todas las auditorías dentro del programa de auditoría; — el establecimiento de los objetivos, los alcances y los criterios de auditoría de las auditorías, determinando los métodos de auditoría y la selección del equipo auditor; — la evaluación de los auditores; — el establecimiento de procesos de comunicación externos e internos, según sea apropiado; — la resolución de conflictos y el tratamiento de las quejas; — el seguimiento de la auditoría, según proceda; — la presentación de informes al cliente de la auditoría y a las partes interesadas pertinentes, según sea apropiado. e) determinar y asegurar la provisión de todos los recursos necesarios; f) asegurarse de que se prepara y mantiene la información documentada apropiada, incluyendo los registros del programa de auditoría; g) hacer el seguimiento, revisar y mejorar el programa de auditoría; h) comunicar el programa de auditoría al cliente de la auditoría y, según sea apropiado, a las partes interesadas pertinentes. Las personas responsables de la gestión del programa de auditoría deberían solicitar su aprobación al cliente de la auditoría. 5.4.2 Competencia de las personas responsables de la gestión del programa de auditoría Las personas responsables de la gestión del programa de auditoría deberían tener la competencia necesaria para gestionar el programa y sus riesgos y oportunidades y las cuestiones externas e internas asociadas de forma eficaz y eficiente, incluyendo conocimientos sobre: a) los principios (véase el Capítulo 4), métodos y procesos de auditoría (véanse A.1 y A.2); b) las normas de sistemas de gestión, otras normas pertinentes y documentos de referencia/orientación; c) la información relativa al auditado y a su contexto (por ejemplo, las cuestiones externas/internas, las partes interesadas pertinentes y sus necesidades y expectativas, las actividades de negocio, los productos, servicios y procesos del auditado); d) los requisitos legales y reglamentarios aplicables y otros requisitos pertinentes a las actividades de negocio del auditado. Según sea apropiado, podría considerarse el conocimiento de gestión de riesgos, gestión de proyectos y procesos y de tecnologías de la información y las comunicaciones (TIC).
5.4.4 Determinación de los recursos del programa de auditoría Al determinar los recursos para el programa de auditoría, las personas responsables de la gestión del programa de auditoría deberían considerar: a) los recursos financieros y de tiempo necesarios para desarrollar, implementar, gestionar y mejorar las actividades de auditoría; b) los métodos de auditoría (véase A.1); c) la disponibilidad individual y global de auditores y expertos técnicos que tengan la competencia apropiada para los objetivos particulares del programa de auditoría; d) la extensión del programa de auditoría (véase 5.4.3) y los riesgos y oportunidades relacionados con el programa de auditoría (véase 5.3); e) el tiempo y costos de transporte, alojamiento y otras necesidades de la auditoría; f) el impacto de las diferentes zonas horarias; g) la disponibilidad de tecnologías de la información y las comunicaciones (por ejemplo, los recursos técnicos requeridos para establecer una auditoría remota usando tecnologías que apoyen la colaboración remota); h) la disponibilidad de las herramientas, la tecnología y los equipos requeridos; i) la disponibilidad de la información documentada necesaria, según lo determine el establecimiento del programa de auditoría (véase A.5); j) los requisitos relacionados con las instalaciones, incluyendo las autorizaciones y equipos de seguridad (por ejemplo, verificación de antecedentes, equipos de protección personal, capacidad para llevar ropa de sala limpia). 5.5 Implementación del programa de auditoría 5.5.1 Generalidades Una vez que se ha establecido el programa de auditoría (véase 5.4.3) y que se han determinado los recursos relacionados (véase 5.4.4), es necesario implementar la planificación operacional y la coordinación de todas las actividades dentro del programa. Las personas responsables de la gestión del programa de auditoría deberían: a) comunicar las partes pertinentes del programa de auditoría, incluyendo los riesgos y oportunidades implicados, a las partes interesadas pertinentes e informarles periódicamente de su progreso, usando los canales de comunicación externos e internos establecidos; b) definir los objetivos, el alcance y los criterios para cada auditoría individual; c) seleccionar los métodos de auditoría (véase A.1); d) coordinar y programar las auditorías y otras actividades pertinentes al programa de auditoría; e) asegurarse de que los equipos auditores tienen la competencia necesaria (véase 5.5.4);
f) proporcionar los recursos necesarios individuales y globales para los equipos auditores (véase 5.4.4); g) asegurar la realización de las auditorías de acuerdo con el programa de auditoría, gestionando todos los riesgos, oportunidades y cuestiones operacionales (es decir, eventos inesperados), según surjan durante el despliegue del programa; h) asegurarse de que la información documentada pertinente relativa a las actividades de auditoría se gestiona y mantiene adecuadamente (véase 5.5.7); i) definir e implementar los controles operacionales (véase 5.6) necesarios para el seguimiento del programa de auditoría; j) revisar el programa de auditoría a fin de identificar oportunidades para mejorarlo (véase 5.7). 5.5.2 Definición de los objetivos, el alcance y los criterios para una auditoría individual Cada auditoría individual debería basarse en unos objetivos, un alcance y unos criterios de auditoría definidos. Estos deberían ser coherentes con los objetivos globales del programa de auditoría. Los objetivos de la auditoría definen qué es lo que se va a lograr con la auditoría individual y pueden incluir lo siguiente: a) la determinación del grado de conformidad del sistema de gestión que se va a auditar, o partes del mismo, con los criterios de auditoría; b) la evaluación de la capacidad del sistema de gestión para ayudar a la organización a cumplir los requisitos legales y reglamentarios pertinentes y otros requisitos con los que la organización está comprometida; c) la evaluación de la eficacia del sistema de gestión para lograr sus resultados previstos; d) la identificación de oportunidades para la mejora potencial del sistema de gestión; e) la evaluación de la idoneidad y adecuación del sistema de gestión con respecto al contexto y a la dirección estratégica del auditado; f) la evaluación de la capacidad del sistema de gestión para establecer y alcanzar los objetivos y abordar eficazmente los riesgos y oportunidades, en un contexto cambiante, incluyendo la implementación de las acciones relacionadas. El alcance de la auditoría debería ser coherente con el programa de auditoría y con los objetivos de la auditoría. Incluye factores tales como las ubicaciones, las funciones, las actividades y los procesos que se van a auditar, así como el periodo de tiempo cubierto por la auditoría. Los criterios de auditoría se utilizan como una referencia frente a la cual se determina la conformidad. Pueden incluir uno o más de los siguientes: políticas aplicables, procesos, procedimientos, criterios de desempeño incluyendo objetivos, requisitos legales y reglamentarios, requisitos del sistema de gestión, información relativa al contexto y a los riesgos y oportunidades según determine el auditado (incluyendo los requisitos de las partes interesadas pertinentes externas/internas), códigos de conducta sectoriales u otros acuerdos planificados.
a) la competencia global del equipo auditor necesaria para lograr los objetivos de la auditoría, teniendo en cuenta el alcance y los criterios de la auditoría; b) la complejidad de la auditoría; c) si la auditoria es una auditoria combinada o conjunta d) los métodos de auditoría seleccionados; d) asegurar la objetividad e imparcialidad para evitar cualquier conflicto de intereses en el proceso de auditoría; e) la capacidad de los miembros del equipo auditor para trabajar e interactuar eficazmente con los representantes del auditado y las partes interesadas pertinentes; f) las cuestiones externas/internas pertinentes, como el idioma de la auditoría, y las características sociales y culturales del auditado. Estas cuestiones pueden tratarse a través de las habilidades propias del auditor, o bien a través del apoyo de un experto técnico, considerando también la necesidad de intérpretes; h) el tipo y la complejidad de los procesos a auditar. Cuando proceda, las personas responsables de la gestión del programa de auditoría deberían consultar con el líder del equipo sobre la composición del equipo auditor. Si los auditores del equipo auditor no cubren la competencia necesaria, los expertos técnicos con competencia adicional deberían estar disponibles para apoyar al equipo. Los auditores en formación pueden incluirse en el equipo auditor, pero deberían participar bajo la dirección y orientación de un auditor. Durante la auditoría pueden ser necesarios cambios en la composición del equipo auditor, por ejemplo, si surge un conflicto de intereses o un problema de competencia. Si surge una situación así, debería resolverse con las partes apropiadas (por ejemplo, el líder del equipo auditor, las personas responsables de la gestión del programa de auditoría, el cliente de la auditoría o el auditado) antes de que se realice cualquier cambio. 5.5.5 Asignación de responsabilidades al líder del equipo auditor para una auditoría individual Las personas responsables de la gestión del programa de auditoría deberían asignar a un líder del equipo auditor la responsabilidad de llevar a cabo la auditoría individual. La asignación debería hacerse con tiempo suficiente antes de la fecha programada de la auditoría, para asegurarse de la planificación eficaz de la auditoría. Para asegurarse de la realización eficaz de las auditorías individuales, debería proporcionarse al líder del equipo auditor la siguiente información: a) los objetivos de la auditoría; b) los criterios de auditoría y la información documentada pertinente; c) el alcance de la auditoría, incluyendo la identificación de la organización y sus funciones y los procesos que se van a auditar; d) los procesos de la auditoría y los métodos asociados; e) la composición del equipo auditor;
f) los detalles de contacto del auditado, las ubicaciones, el marco temporal y la duración de las actividades de auditoria que se llevaran a cabo; g) los recursos necesarios para llevar a cabo la auditoría; h) la información necesaria para evaluar y abordar los riesgos y oportunidades identificados para el logro de los objetivos de la auditoría; i) la información que apoya a los líderes de los equipos auditores en sus interacciones con el auditado para la eficacia del programa de auditoría. La información sobre la asignación también debería cubrir lo siguiente, cuando sea apropiado: — el idioma de trabajo y del informe de la auditoría, cuando sea diferente del idioma del auditor o del auditado, o de ambos; — el contenido requerido del informe de la auditoría y a quién debería distribuirse; — los temas relacionados con la confidencialidad y la seguridad de la información, según lo requiera el programa de auditoría; — cualquier acuerdo sobre seguridad, salud y medio ambiente para los auditores; — los requisitos de transporte o de acceso a ubicaciones remotas; — cualquier requisito de seguridad física y de autorización; — cualquier acción a revisar, por ejemplo, las acciones de seguimiento de una auditoría previa; — la coordinación con otras actividades de auditoría, por ejemplo, cuando equipos distintos están auditando procesos similares o relacionados en ubicaciones diferentes, o en el caso de una auditoría conjunta. Cuando se lleva a cabo una auditoría conjunta es importante alcanzar un acuerdo entre las organizaciones que llevan a cabo las auditorías, antes de que la auditoría comience, sobre las responsabilidades específicas de cada parte, especialmente en lo que concierne a la autoridad del líder del equipo auditor designado para la auditoría. 5.5.6 Gestión de los resultados del programa de auditoría Las personas responsables de la gestión del programa de auditoría deberían asegurarse de que se realizan las siguientes actividades: a) la evaluación del cumplimiento de los objetivos para cada auditoría dentro del programa de auditoría; b) la revisión y aprobación de los informes de la auditoría relativos al cumplimiento del alcance y los objetivos de la auditoría; c) la revisión de la eficacia de las acciones tomadas para tratar los hallazgos de auditoría; d) la distribución de informes de auditoría a las partes interesadas pertinentes; e) la determinación de la necesidad de alguna auditoría de seguimiento. Las personas responsables de la gestión del programa de auditoría deberían considerar, cuando sea apropiado:
5.6 Seguimiento del programa de auditoría Las personas responsables de la gestión del programa de auditoría deberían asegurar la evaluación de: a) el cumplimiento de los calendarios y el logro de los objetivos del programa de auditoría; b) el desempeño de los miembros del equipo auditor, incluyendo el líder del equipo auditor y los expertos técnicos; c) la capacidad de los equipos auditores para implementar el plan de auditoría; d) la retroalimentación de los clientes de la auditoría, de los auditados, de los auditores, de los expertos técnicos y de otras partes pertinentes; e) la suficiencia y adecuación de la información documentada en todo el proceso de auditoría. Algunos factores pueden indicar la necesidad de modificar el programa de auditoría. Estos pueden incluir cambios en: — los hallazgos de la auditoría; — el nivel demostrado de eficacia y la madurez del sistema de gestión del auditado; — la eficacia del programa de auditoría; — el alcance de la auditoría o el alcance del programa de auditoría; — el sistema de gestión del auditado; — las normas, y otros requisitos con los que la organización está comprometida; — los proveedores externos; — los conflictos de interés identificados; — los requisitos del cliente de la auditoría. 5.7 Revisión y mejora del programa de auditoría Las personas responsables de la gestión del programa de auditoría y el cliente de la auditoría deberían revisar el programa de auditoría para evaluar si se han alcanzado sus objetivos. Las lecciones aprendidas de la revisión del programa de auditoría deberían usarse como entradas para la mejora del programa. Las personas responsables de la gestión del programa de auditoría deberían asegurar lo siguiente: — la revisión de la implementación global del programa de auditoría;
— la identificación de áreas y oportunidades para la mejora; — la aplicación de cambios al programa de auditoría, si es necesario; — la revisión del desarrollo profesional continuo de los auditores, de acuerdo con el apartado7.6; — la presentación de informes de los resultados del programa de auditoría y la revisión con el cliente de la auditoría y las partes interesadas pertinentes, según sea apropiado. La revisión del programa de auditoría debería considerar lo siguiente: a) los resultados y tendencias del seguimiento del programa de auditoría; b) la conformidad con los procesos del programa de auditoría y con la información documentada pertinente; c) la evolución de las necesidades y expectativas de las partes interesadas pertinentes; d) los registros del programa de auditoría; e) los métodos de auditoría alternativos o nuevos; f) los métodos alternativos o nuevos para evaluar a los auditores; g) la eficacia de las acciones para abordar los riesgos y oportunidades, y cuestiones internas y externas, asociados con el programa de auditoría; h) los temas de confidencialidad y seguridad de la información relacionados con el programa de auditoría. 6 Realización de una auditoría 6.1 Generalidades Este capítulo contiene orientación sobre la preparación y realización de una auditoría específica como parte de un programa de auditoría. La Figura 2 proporciona una visión general de las actividades desempeñadas en una auditoría típica. El grado de aplicación de las disposiciones de este capítulo depende de los objetivos y del alcance de la auditoría específica. 6.2 Inicio de la auditoría 6.2.1 Generalidades La responsabilidad de llevar a cabo la auditoría debería corresponder al líder del equipo auditor designado (véase 5.5.5) hasta que la auditoría finalice (véase 6.6). Para iniciar una auditoría, deberían considerarse los pasos de la Figura 1; sin embargo, la secuencia puede diferir dependiendo del auditado, de los procesos y de las circunstancias específicas de la auditoría. 6.2.2 Establecimiento del contacto con el auditado El líder del equipo auditor debería asegurarse de que se establece contacto con el auditado para: a) confirmar los canales de comunicación con los representantes del auditado; b) confirmar la autoridad para llevar a cabo la auditoría;
— establecer una visión general de la extensión de la información documentada para determinar la posible conformidad con los criterios de auditoría y detectar las posibles áreas de inquietud, como deficiencias, omisiones o conflictos. La información documentada debería incluir, pero no limitarse a: documentos y registros del sistema de gestión, así como a informes de auditoría previos. La revisión debería tener en cuenta el contexto de la organización del auditado, incluyendo su tamaño, naturaleza y complejidad, y sus riesgos y oportunidades relacionados. También debería tener en cuenta el alcance, los criterios y los objetivos de la auditoría. NOTA Se proporciona orientación sobre cómo verificar información en A. 6.3.2 Planificación de la auditoría 6.3.2.1 Enfoque basado en riesgos para la planificación El líder del equipo auditor debería adoptar un enfoque basado en riesgos para planificar la auditoría, con base en la información del programa de auditoría y en la información documentada proporcionada por el auditado. La planificación de la auditoría debería considerar los riesgos de las actividades de auditoría en los procesos del auditado y proporcionar la base para el acuerdo entre el cliente de la auditoría, el equipo auditor y el auditado en lo relativo a la realización de la auditoría. La planificación debería facilitar la programación en el tiempo y la coordinación eficientes de las actividades de auditoría a fin de alcanzar los objetivos eficazmente. El nivel de detalle proporcionado en el plan de auditoría debería reflejar el alcance y la complejidad de ésta, así como los riesgos de no lograr los objetivos de la auditoría. Al planificar la auditoría, el líder del equipo auditor debería considerar lo siguiente: a) la composición del equipo auditor y su competencia global; b) las técnicas de muestreo apropiadas (véase A.6); c) las oportunidades para mejorar la eficacia y eficiencia de las actividades de auditoría; d) los riesgos para el logro de los objetivos de la auditoría generados por una planificación ineficaz de la auditoría; e) los riesgos para el auditado generados al realizar la auditoría. Los riesgos para el auditado pueden originarse por la presencia de los miembros del equipo auditor que influyen adversamente en las disposiciones del auditado para la seguridad y salud, el medio ambiente y la calidad, y sus productos, servicios, personal o infraestructura del auditado (por ejemplo, contaminación de espacios limpios). Para las auditorías combinadas, debería prestarse especial atención a las interacciones entre los procesos operativos y los objetivos y prioridades que concurren en los distintos sistemas de gestión. 6.3.2.2 Detalles de la planificación de la auditoría El grado de detalle y el contenido de la planificación de la auditoría pueden diferir, por ejemplo, entre la auditoría inicial y las posteriores, así como entre las auditorías internas y externas.
La planificación de la auditoría debería ser lo suficientemente flexible para permitir los cambios que pueden hacerse necesarios a medida que las actividades de auditoría se vayan llevando a cabo. La planificación de la auditoría debería tratar o hacer referencia a lo siguiente: a) los objetivos de la auditoría; b) el alcance de la auditoría, incluyendo la identificación de la organización y de sus funciones, así como los procesos que van a auditarse; c) los criterios de auditoría y cualquier información documentada; d) las ubicaciones (físicas y virtuales), las fechas, el horario y la duración previstos de las actividades de auditoría que se van a llevar a cabo, incluyendo las reuniones con la dirección del auditado; e) la necesidad de que el equipo auditor se familiarice con las instalaciones y procesos del auditado (por ejemplo, realizando una visita a las ubicaciones físicas, o revisando las tecnologías de la información y las comunicaciones); f) los métodos de auditoría que se van a usar, incluyendo el grado en que se necesita el muestreo de la auditoría para obtener las evidencias de auditoría suficientes; g) los roles y responsabilidades de los miembros del equipo auditor, así como los guías y los observadores o intérpretes; h) la asignación de los recursos apropiados basada en la consideración de los riesgos y oportunidades relacionados con las actividades que se han de auditar. La planificación de la auditoría debería tener en cuenta, según sea apropiado: — la identificación de los representantes del auditado en la auditoría; — el idioma de trabajo y del informe de la auditoría, cuando sea diferente del idioma del auditor o del auditado, o ambos; — los temas del informe de la auditoría; — los preparativos logísticos y de comunicaciones, incluyendo los preparativos específicos para las ubicaciones que se van a auditar; — las acciones específicas a tomar para abordar los riesgos en el logro de los objetivos de la auditoría y las oportunidades que surjan; — los temas relacionados con la confidencialidad y la seguridad de la información; — las acciones de seguimiento de una auditoría previa u otras fuentes, por ejemplo, las lecciones aprendidas, las revisiones de proyectos; — las actividades de seguimiento de la auditoría planificada; — la coordinación con otras actividades de auditoría, en el caso de una auditoría conjunta. Los planes de auditoría deberían presentarse al auditado. Cualquier cuestión sobre los planes de auditoría debería resolverse entre el líder del equipo auditor, el auditado y, si fuera necesario, las personas responsables de la gestión del programa de auditoría. 6.3.3 Asignación de las tareas al equipo auditor
