Programa de auditoría según ISO 19011:2018 (parte 1)
En esta oportunidad trabajaremos como debe estar confeccionado un programa de auditoría según ISO 19011:2018 donde analizaremos:
1.- La Administración de un programa de auditoría.
2.- Como establecer los objetivos del programa de auditoría.
3.- La determinación y la evaluación de los riesgos y oportunidades del programa de auditoría.
4.- Roles y responsabilidades de las personas que gestionan el programa de auditoría.
1.- Administración de un Programa de auditoría:
El alcance de un programa de auditoría debería basarse en el tamaño y la naturaleza del auditado, así como en la naturaleza, funcionalidad, complejidad, el tipo de riesgos y oportunidades, y el nivel de madurez de los sistemas de gestión a ser auditados.
La funcionalidad del sistema de gestión puede ser aún más compleja cuando la mayoría de las funciones importantes se subcontratan y gestionan bajo la dirección de otras organizaciones. Se debería prestar especial atención a dónde se toman las decisiones más importantes y qué constituye la alta dirección del sistema de gestión.
En el caso de ubicaciones/sitios múltiples (por ejemplo, diferentes países), o cuando las funciones importantes se subcontratan y gestionan bajo el liderazgo de otra organización, se debería prestar especial atención al diseño, la planificación y la validación del programa de auditoría.
En el caso de organizaciones más pequeñas o menos complejas, el programa de auditoría puede escalarse adecuadamente.
Para comprender el contexto del auditado, el programa de auditoría debería tener en cuenta:
Objetivos organizacionales;
Cuestiones externas e internas relevantes;
Las necesidades y expectativas de las partes interesadas pertinentes;
Requisitos de confidencialidad y seguridad de la información.
La planificación de los programas de auditoría interna y en algunos casos los programas para auditar proveedores externos, pueden organizarse para contribuir a otros objetivos de la organización.
Las personas que gestionan el programa de auditoría deberían garantizar que se mantenga la integridad de la auditoría y que no se ejerce una influencia indebida sobre la misma.
Se debería otorgar prioridad de auditoría a la asignación de recursos y métodos a asuntos en un sistema de gestión con mayor riesgo inherente y menor nivel de desempeño.
Se deberían asignar individuos competentes para administrar el programa de auditoría.
El programa de auditoría debería incluir información e identificar recursos para permitir que las auditorías se realicen de manera efectiva y eficiente dentro de los plazos especificados. La información debería incluir:
Objetivos para el programa de auditoría.
Riesgos y Oportunidades asociados con el programa de auditoría y las acciones para abordarlos.
Alcance (extensión, límites, ubicaciones) de cada auditoría dentro del programa de auditoría.
Cronograma (número/duración/frecuencia) de las auditorías.
Tipos de auditoría, como interna o externa.
Criterios de auditoría.
Métodos de auditoría a ser empleados.
Criterios para seleccionar miembros del equipo de auditoría
Información documentada relevante.
Parte de esta información puede no estar disponible hasta que se complete una planificación de auditoría más detallada.
La implementación del programa de auditoría debería ser monitoreada y medida en forma continua para asegurar que se han logrado sus objetivos. El programa de auditoría debería ser revisado para identificar las necesidades de cambios y posibles oportunidades de mejora.
La Figura 1 ilustra el flujo del proceso para la gestión de un programa de auditoría.
NOTA 1: Esta figura ilustra la aplicación del ciclo Planear – Hacer – Verificar – Actuar, en este documento.
NOTA 2: La numeración de cláusulas/subcláusulas se refiere a las cláusulas/subcláusulas relevantes a la norma ISO 19011:2018.
2.- Establecimiento de objetivos del programa de auditoría:
El cliente de auditoría debería asegurarse de que los objetivos del programa de auditoría se establezcan para dirigir la planificación, la realización de auditorías y debería garantizar que el programa de auditoría se implemente de manera efectiva. Los objetivos del programa de auditoría deberían ser coherentes con la orientación estratégica, los objetivos y la política del sistema de gestión de soporte del cliente de auditoría.
Estos objetivos pueden basarse en la consideración de lo siguiente:
Las necesidades y expectativas de las partes interesadas pertinentes, tanto externas como internas;
Características y requisitos de procesos, productos, servicios y proyectos, y cualquier cambio en ellos;
Requisitos del sistema de gestión;
Necesidad de evaluación de proveedores externos;
El nivel de rendimiento y el nivel de madurez del sistema o sistemas de gestión del auditado, como se refleja en los indicadores de rendimiento relevantes (por ejemplo, KPI’s), la ocurrencia de no conformidades, incidentes o quejas de las partes interesadas identificó riesgos y oportunidades para el auditado.
Resultados de auditorías anteriores.
Los ejemplos de objetivos del programa de auditoría pueden incluir lo siguiente:
Identificar oportunidades para la mejora del sistema de gestión y su rendimiento;
Evaluar la capacidad del auditado para determinar su contexto;
Evaluar la capacidad del auditado para determinar riesgos y oportunidades e identificar e implementar acciones efectivas para abordarlos.
Cumplir con todos los requisitos pertinentes, por ejemplo; requisitos legales y reglamentarios, compromisos de cumplimiento, requisitos para la certificación de un estándar de sistema de gestión;
Obtener y mantener la confianza en la capacidad de un proveedor externo;
Determinar la idoneidad, adecuación y eficacia continuas del sistema de gestión del auditado;
Evaluar la compatibilidad y la alineación de los objetivos del sistema de gestión con la dirección estratégica de la organización.
3.- Determinación y evaluación de riesgos y oportunidades del programa de auditoría:
Existen riesgos y oportunidades relacionados con el contexto del auditado que pueden asociarse con un programa de auditoría y pueden afectar el logro de sus objetivos. Las personas que gestionan el programa de auditoría deberían identificar y presentar al cliente de auditoría los riesgos y oportunidades considerados al desarrollar el programa de auditoría y los requisitos de recursos, para que puedan abordarse de manera adecuada.
Puede haber riesgos asociados con lo siguiente:
Planificación, por ejemplo; no establecer los objetivos de auditoría relevantes y determinar el alcance, el número, la duración, las ubicaciones y el cronograma de las auditorías;
Recursos, por ejemplo; permitir tiempo, equipo y/o capacitación insuficientes para desarrollar el programa de auditoría o realizar una auditoría;
Selección del equipo de auditoría, por ejemplo; competencia global insuficiente para realizar auditorías de manera efectiva;
Comunicación, por ejemplo; procesos/canales de comunicación externos/internos ineficaces
Implementación, por ejemplo; coordinación ineficaz de las auditorías dentro del programa de auditoría, o no considerar la seguridad y confidencialidad de la información
Control de la información documentada, por ejemplo; la determinación ineficaz de la información documentada necesaria requerida por los auditores y las partes interesadas pertinentes; la falta de protección adecuada de los registros de auditoría para demostrar la eficacia del programa de auditoría.
Supervisar, revisar y mejorar el programa de auditoría, por ejemplo; seguimiento ineficaz de los resultados del programa de auditoría,
Disponibilidad y cooperación del auditado y disponibilidad de evidencia para ser muestreada.
Las oportunidades para mejorar el programa de auditoría pueden incluir:
Permitir múltiples auditorías en una sola visita;
Minimizar el tiempo y las distancias que viajan al sitio;
Hacer coincidir el nivel de competencia del equipo de auditoría con el nivel de competencia necesario para alcanzar los objetivos de la auditoría;
Alinear las fechas de auditoría con la disponibilidad del personal clave del auditado.
Las personas que gestionan el programa de auditoría deberían:
Establecer la extensión del programa de auditoría de acuerdo con los objetivos relevantes y cualquier restricción conocida;
Determinar los problemas externos e internos, los riesgos y oportunidades que pueden afectar el programa de auditoría, e implementar acciones para abordarlos, integrando estas acciones en todas las actividades de auditoría relevantes, según corresponda;
Garantizar la selección de los equipos de auditoría y la competencia general para las actividades de auditoría mediante la asignación de funciones, responsabilidades y autoridades y el apoyo al liderazgo, según corresponda;
Establecer todos los procesos relevantes, incluidos los procesos para:
La coordinación y programación de todas las auditorías dentro del programa de auditoría;
El establecimiento de objetivos de auditoría, alcance (s) y criterios de las auditorías,
Determinación de los métodos de auditoría y selección del equipo de auditoría;
Evaluación de auditores
El establecimiento de procesos de comunicación externa e interna, según corresponda;
La resolución de disputas y el manejo de quejas;
Seguimiento de auditoría si corresponde;
Informar al cliente de auditoría y a las partes interesadas pertinentes, según corresponda.
Determinar y garantizar la provisión de todos los recursos necesarios
Garantizar que se prepare y mantenga la información documentada apropiada, incluidos los registros del programa de auditoría; monitorear, revisar y mejorar el programa de auditoría;
Comunicar el programa de auditoría al cliente de auditoría y según corresponda a las partes interesadas pertinentes.
Las personas que gestionan el programa de auditoría deberían solicitar su aprobación al cliente de auditoría.
fuente: ISO 19011:2018
