Programa de auditoría según ISO 19011:2018 (parte 1)

En esta oportunidad trabajaremos como debe estar confeccionado un programa de auditoría según ISO 19011:2018 donde analizaremos:


1.- La Administración de un programa de auditoría.

2.- Como establecer los objetivos del programa de auditoría.

3.- La determinación y la evaluación de los riesgos y oportunidades del programa de auditoría.

4.- Roles y responsabilidades de las personas que gestionan el programa de auditoría.


1.- Administración de un Programa de auditoría:

El alcance de un programa de auditoría debería basarse en el tamaño y la naturaleza del auditado, así como en la naturaleza, funcionalidad, complejidad, el tipo de riesgos y oportunidades, y el nivel de madurez de los sistemas de gestión a ser auditados.


La funcionalidad del sistema de gestión puede ser aún más compleja cuando la mayoría de las funciones importantes se subcontratan y gestionan bajo la dirección de otras organizaciones. Se debería prestar especial atención a dónde se toman las decisiones más importantes y qué constituye la alta dirección del sistema de gestión.


En el caso de ubicaciones/sitios múltiples (por ejemplo, diferentes países), o cuando las funciones importantes se subcontratan y gestionan bajo el liderazgo de otra organización, se debería prestar especial atención al diseño, la planificación y la validación del programa de auditoría.

En el caso de organizaciones más pequeñas o menos complejas, el programa de auditoría puede escalarse adecuadamente.


Para comprender el contexto del auditado, el programa de auditoría debería tener en cuenta:

  • Objetivos organizacionales;

  • Cuestiones externas e internas relevantes;

  • Las necesidades y expectativas de las partes interesadas pertinentes;

  • Requisitos de confidencialidad y seguridad de la información.

La planificación de los programas de auditoría interna y en algunos casos los programas para auditar proveedores externos, pueden organizarse para contribuir a otros objetivos de la organización.

Las personas que gestionan el programa de auditoría deberían garantizar que se mantenga la integridad de la auditoría y que no se ejerce una influencia indebida sobre la misma.

Se debería otorgar prioridad de auditoría a la asignación de recursos y métodos a asuntos en un sistema de gestión con mayor riesgo inherente y menor nivel de desempeño.


Se deberían asignar individuos competentes para administrar el programa de auditoría.

El programa de auditoría debería incluir información e identificar recursos para permitir que las auditorías se realicen de manera efectiva y eficiente dentro de los plazos especificados. La información debería incluir:


  • Objetivos para el programa de auditoría.

  • Riesgos y Oportunidades asociados con el programa de auditoría y las acciones para abordarlos.

  • Alcance (extensión, límites, ubicaciones) de cada auditoría dentro del programa de auditoría.

  • Cronograma (número/duración/frecuencia) de las auditorías.

  • Tipos de auditoría, como interna o externa.

  • Criterios de auditoría.

  • Métodos de auditoría a ser empleados.

  • Criterios para seleccionar miembros del equipo de auditoría

  • Información documentada relevante.


Parte de esta información puede no estar disponible hasta que se complete una planificación de auditoría más detallada.


La implementación del programa de auditoría debería ser monitoreada y medida en forma continua para asegurar que se han logrado sus objetivos. El programa de auditoría debería ser revisado para identificar las necesidades de cambios y posibles oportunidades de mejora.


La Figura 1 ilustra el flujo del proceso para la gestión de un programa de auditoría.

NOTA 1: Esta figura ilustra la aplicación del ciclo Planear – Hacer – Verificar – Actuar, en este documento.

NOTA 2: La numeración de cláusulas/subcláusulas se refiere a las cláusulas/subcláusulas relevantes a la norma ISO 19011:2018.


2.- Establecimiento de objetivos del programa de auditoría:

El cliente de auditoría debería asegurarse de que los objetivos del programa de auditoría se establezcan para dirigir la planificación, la realización de auditorías y debería garantizar que el programa de auditoría se implemente de manera efectiva. Los objetivos del programa de auditoría deberían ser coherentes con la orientación estratégica, los objetivos y la política del sistema de gestión de soporte del cliente de auditoría.

Estos objetivos pueden basarse en la consideración de lo siguiente:

  • Las necesidades y expectativas de las partes interesadas pertinentes, tanto externas como internas;

  • Características y requisitos de procesos, productos, servicios y proyectos, y cualquier cambio en ellos;

  • Requisitos del sistema de gestión;

  • Necesidad de evaluación de proveedores externos;

  • El nivel de rendimiento y el nivel de madurez del sistema o sistemas de gestión del auditado, como se refleja en los indicadores de rendimiento relevantes (por ejemplo, KPI’s), la ocurrencia de no conformidades, incidentes o quejas de las partes interesadas identificó riesgos y oportunidades para el auditado.

  • Resultados de auditorías anteriores.

Los ejemplos de objetivos del programa de auditoría pueden incluir lo siguiente:

  • Identificar oportunidades para la mejora del sistema de gestión y su rendimiento;

  • Evaluar la capacidad del auditado para determinar su contexto;

  • Evaluar la capacidad del auditado para determinar riesgos y oportunidades e identificar e implementar acciones efectivas para abordarlos.

  • Cumplir con todos los requisitos pertinentes, por ejemplo; requisitos legales y reglamentarios, compromisos de cumplimiento, requisitos para la certificación de un estándar de sistema de gestión;

  • Obtener y mantener la confianza en la capacidad de un proveedor externo;

  • Determinar la idoneidad, adecuación y eficacia continuas del sistema de gestión del auditado;

  • Evaluar la compatibilidad y la alineación de los objetivos del sistema de gestión con la dirección estratégica de la organización.

3.- Determinación y evaluación de riesgos y oportunidades del programa de auditoría:

Existen riesgos y oportunidades relacionados con el contexto del auditado que pueden asociarse con un programa de auditoría y pueden afectar el logro de sus objetivos. Las personas que gestionan el programa de auditoría deberían identificar y presentar al cliente de auditoría los riesgos y oportunidades considerados al desarrollar el programa de auditoría y los requisitos de recursos, para que puedan abordarse de manera adecuada.

Puede haber riesgos asociados con lo siguiente:


  • Planificación, por ejemplo; no establecer los objetivos de auditoría relevantes y determinar el alcance, el número, la duración, las ubicaciones y el cronograma de las auditorías;

  • Recursos, por ejemplo; permitir tiempo, equipo y/o capacitación insuficientes para desarrollar el programa de auditoría o realizar una auditoría;

  • Selección del equipo de auditoría, por ejemplo; competencia global insuficiente para realizar auditorías de manera efectiva;

  • Comunicación, por ejemplo; procesos/canales de comunicación externos/internos ineficaces

  • Implementación, por ejemplo; coordinación ineficaz de las auditorías dentro del programa de auditoría, o no considerar la seguridad y confidencialidad de la información

  • Control de la información documentada, por ejemplo; la determinación ineficaz de la información documentada necesaria requerida por los auditores y las partes interesadas pertinentes; la falta de protección adecuada de los registros de auditoría para demostrar la eficacia del programa de auditoría.

  • Supervisar, revisar y mejorar el programa de auditoría, por ejemplo; seguimiento ineficaz de los resultados del programa de auditoría,

  • Disponibilidad y cooperación del auditado y disponibilidad de evidencia para ser muestreada.

Las oportunidades para mejorar el programa de auditoría pueden incluir:

  • Permitir múltiples auditorías en una sola visita;

  • Minimizar el tiempo y las distancias que viajan al sitio;

  • Hacer coincidir el nivel de competencia del equipo de auditoría con el nivel de competencia necesario para alcanzar los objetivos de la auditoría;

  • Alinear las fechas de auditoría con la disponibilidad del personal clave del auditado.


4.- Roles y responsabilidades de las personas que gestionan el programa de auditoría

Las personas que gestionan el programa de auditoría deberían:

  1. Establecer la extensión del programa de auditoría de acuerdo con los objetivos relevantes y cualquier restricción conocida;

  2. Determinar los problemas externos e internos, los riesgos y oportunidades que pueden afectar el programa de auditoría, e implementar acciones para abordarlos, integrando estas acciones en todas las actividades de auditoría relevantes, según corresponda;

  3. Garantizar la selección de los equipos de auditoría y la competencia general para las actividades de auditoría mediante la asignación de funciones, responsabilidades y autoridades y el apoyo al liderazgo, según corresponda;

  4. Establecer todos los procesos relevantes, incluidos los procesos para:

  • La coordinación y programación de todas las auditorías dentro del programa de auditoría;

  • El establecimiento de objetivos de auditoría, alcance (s) y criterios de las auditorías,

  • Determinación de los métodos de auditoría y selección del equipo de auditoría;

  • Evaluación de auditores

  • El establecimiento de procesos de comunicación externa e interna, según corresponda;

  • La resolución de disputas y el manejo de quejas;

  • Seguimiento de auditoría si corresponde;

  • Informar al cliente de auditoría y a las partes interesadas pertinentes, según corresponda.

  • Determinar y garantizar la provisión de todos los recursos necesarios

  • Garantizar que se prepare y mantenga la información documentada apropiada, incluidos los registros del programa de auditoría; monitorear, revisar y mejorar el programa de auditoría;

  • Comunicar el programa de auditoría al cliente de auditoría y según corresponda a las partes interesadas pertinentes.

Las personas que gestionan el programa de auditoría deberían solicitar su aprobación al cliente de auditoría.


fuente: ISO 19011:2018




Nehuen Proyectos y Gestión Limitada

CHILE  - Región del Bio Bio

  • Facebook - círculo blanco
  • Instagram - Círculo Blanco