Programa de auditoría según ISO 19011:2018 (parte 1)

En esta oportunidad trabajaremos como debe estar confeccionado un programa de auditoría según ISO 19011:2018 donde analizaremos:

1.- La Administración de un programa de auditoría.

2.- Como establecer los objetivos del programa de auditoría.

3.- La determinación y la evaluación de los riesgos y oportunidades del programa de auditoría.

4.- Roles y responsabilidades de las personas que gestionan el programa de auditoría.

1.- Administración de un Programa de auditoría:

El alcance de un programa de auditoría debería basarse en el tamaño y la naturaleza del auditado, así como en la naturaleza, funcionalidad, complejidad, el tipo de riesgos y oportunidades, y el nivel de madurez de los sistemas de gestión a ser auditados.

La funcionalidad del sistema de gestión puede ser aún más compleja cuando la mayoría de las funciones importantes se subcontratan y gestionan bajo la dirección de otras organizaciones. Se debería prestar especial atención a dónde se toman las decisiones más importantes y qué constituye la alta dirección del sistema de gestión.

En el caso de ubicaciones/sitios múltiples (por ejemplo, diferentes países), o cuando las funciones importantes se subcontratan y gestionan bajo el liderazgo de otra organización, se debería prestar especial atención al diseño, la planificación y la validación del programa de auditoría.

En el caso de organizaciones más pequeñas o menos complejas, el programa de auditoría puede escalarse adecuadamente.

Para comprender el contexto del auditado, el programa de auditoría debería tener en cuenta:

• Objetivos organizacionales;

• Cuestiones externas e internas relevantes;

• Las necesidades y expectativas de las partes interesadas pertinentes;

• Requisitos de confidencialidad y seguridad de la información.

La planificación de los programas de auditoría interna y en algunos casos los programas para auditar proveedores externos, pueden organizarse para contribuir a otros objetivos de la organización.

Las personas que gestionan el programa de auditoría deberían garantizar que se mantenga la integridad de la auditoría y que no se ejerce una influencia indebida sobre la misma.

Se debería otorgar prioridad de auditoría a la asignación de recursos y métodos a asuntos en un sistema de gestión con mayor riesgo inherente y menor nivel de desempeño.

Se deberían asignar individuos competentes para administrar el programa de auditoría.

El programa de auditoría debería incluir información e identificar recursos para permitir que las auditorías se realicen de manera efectiva y eficiente dentro de los plazos especificados. La información debería incluir:

• Objetivos para el programa de auditoría.

• Riesgos y Oportunidades asociados con el programa de auditoría y las acciones para abordarlos.

• Alcance (extensión, límites, ubicaciones) de cada auditoría dentro del programa de auditoría.

• Cronograma (número/duración/frecuencia) de las auditorías.

• Tipos de auditoría, como interna o externa.

• Criterios de auditoría.

• Métodos de auditoría a ser empleados.

• Criterios para seleccionar miembros del equipo de auditoría

• Información documentada relevante.

Parte de esta información puede no estar disponible hasta que se complete una planificación de auditoría más detallada.

La implementación del programa de auditoría debería ser monitoreada y medida en forma continua para asegurar que se han logrado sus objetivos. El programa de auditoría debería ser revisado para identificar las necesidades de cambios y posibles oportunidades de mejora.

La Figura 1 ilustra el flujo del proceso para la gestión de un programa de auditoría.

NOTA 1: Esta figura ilustra la aplicación del ciclo Planear – Hacer – Verificar – Actuar, en este documento.

NOTA 2: La numeración de cláusulas/subcláusulas se refiere a las cláusulas/subcláusulas relevantes a la norma ISO 19011:2018.

2.- Establecimiento de objetivos del programa de auditoría:

El cliente de auditoría debería asegurarse de que los objetivos del programa de auditoría se establezcan para dirigir la planificación, la realización de auditorías y debería garantizar que el programa de auditoría se implemente de manera efectiva. Los objetivos del programa de auditoría deberían ser coherentes con la orientación estratégica, los objetivos y la política del sistema de gestión de soporte del cliente de auditoría.

Estos objetivos pueden basarse en la consideración de lo siguiente:

• Las necesidades y expectativas de las partes interesadas pertinentes, tanto externas como internas;

• Características y requisitos de procesos, productos, servicios y proyectos, y cualquier cambio en ellos;

• Requisitos del sistema de gestión;

• Necesidad de evaluación de proveedores externos;

• El nivel de rendimiento y el nivel de madurez del sistema o sistemas de gestión del auditado, como se refleja en los indicadores de rendimiento relevantes (por ejemplo, KPI’s), la ocurrencia de no conformidades, incidentes o quejas de las partes interesadas identificó riesgos y oportunidades para el auditado.

• Resultados de auditorías anteriores.

Los ejemplos de objetivos del programa de auditoría pueden incluir lo siguiente:

• Identificar oportunidades para la mejora del sistema de gestión y su rendimiento;

• Evaluar la capacidad del auditado para determinar su contexto;

• Evaluar la capacidad del auditado para determinar riesgos y oportunidades e identificar e implementar acciones efectivas para abordarlos.

• Cumplir con todos los requisitos pertinentes, por ejemplo; requisitos legales y reglamentarios, compromisos de cumplimiento, requisitos para la certificación de un estándar de sistema de gestión;

• Obtener y mantener la confianza en la capacidad de un proveedor externo;

• Determinar la idoneidad, adecuación y eficacia continuas del sistema de gestión del auditado;

• Evaluar la compatibilidad y la alineación de los objetivos del sistema de gestión con la dirección estratégica de la organización.

3.- Determinación y evaluación de riesgos y oportunidades del programa de auditoría:

Existen riesgos y oportunidades relacionados con el contexto del auditado que pueden asociarse con un programa de auditoría y pueden afectar el logro de sus objetivos. Las personas que gestionan el programa de auditoría deberían identificar y presentar al cliente de auditoría los riesgos y oportunidades considerados al desarrollar el programa de auditoría y los requisitos de recursos, para que puedan abordarse de manera adecuada.

Puede haber riesgos asociados con lo siguiente:

• Planificación, por ejemplo; no establecer los objetivos de auditoría relevantes y determinar el alcance, el número, la duración, las ubicaciones y el cronograma de las auditorías;

• Recursos, por ejemplo; permitir tiempo, equipo y/o capacitación insuficientes para desarrollar el programa de auditoría o realizar una auditoría;

• Selección del equipo de auditoría, por ejemplo; competencia global insuficiente para realizar auditorías de manera efectiva;

• Comunicación, por ejemplo; procesos/canales de comunicación externos/internos ineficaces

• Implementación, por ejemplo; coordinación ineficaz de las auditorías dentro del programa de auditoría, o no considerar la seguridad y confidencialidad de la información

• Control de la información documentada, por ejemplo; la determinación ineficaz de la información documentada necesaria requerida por los auditores y las partes interesadas pertinentes; la falta de protección adecuada de los registros de auditoría para demostrar la eficacia del programa de auditoría.

• Supervisar, revisar y mejorar el programa de auditoría, por ejemplo; seguimiento ineficaz de los resultados del programa de auditoría,

• Disponibilidad y cooperación del auditado y disponibilidad de evidencia para ser muestreada.

Las oportunidades para mejorar el programa de auditoría pueden incluir:

• Permitir múltiples auditorías en una sola visita;

• Minimizar el tiempo y las distancias que viajan al sitio;

• Hacer coincidir el nivel de competencia del equipo de auditoría con el nivel de competencia necesario para alcanzar los objetivos de la auditoría;

• Alinear las fechas de auditoría con la disponibilidad del personal clave del auditado.

4.- Roles y responsabilidades de las personas que gestionan el programa de auditoría

Las personas que gestionan el programa de auditoría deberían:

1. Establecer la extensión del programa de auditoría de acuerdo con los objetivos relevantes y cualquier restricción conocida;

2. Determinar los problemas externos e internos, los riesgos y oportunidades que pueden afectar el programa de auditoría, e implementar acciones para abordarlos, integrando estas acciones en todas las actividades de auditoría relevantes, según corresponda;

3. Garantizar la selección de los equipos de auditoría y la competencia general para las actividades de auditoría mediante la asignación de funciones, responsabilidades y autoridades y el apoyo al liderazgo, según corresponda;

4. Establecer todos los procesos relevantes, incluidos los procesos para:

• La coordinación y programación de todas las auditorías dentro del programa de auditoría;

• El establecimiento de objetivos de auditoría, alcance (s) y criterios de las auditorías,

• Determinación de los métodos de auditoría y selección del equipo de auditoría;

• Evaluación de auditores

• El establecimiento de procesos de comunicación externa e interna, según corresponda;

• La resolución de disputas y el manejo de quejas;

• Seguimiento de auditoría si corresponde;

• Informar al cliente de auditoría y a las partes interesadas pertinentes, según corresponda.

• Determinar y garantizar la provisión de todos los recursos necesarios

• Garantizar que se prepare y mantenga la información documentada apropiada, incluidos los registros del programa de auditoría; monitorear, revisar y mejorar el programa de auditoría;

• Comunicar el programa de auditoría al cliente de auditoría y según corresponda a las partes interesadas pertinentes.

Las personas que gestionan el programa de auditoría deberían solicitar su aprobación al cliente de auditoría.

fuente: ISO 19011:2018