En esta oportunidad continuaremos con los contenidos que debe tener un programa de auditoria según ISO 19011 en su versión 2018.
1.- Competencia del (los) individuo (s) que gestiona (n) el programa de auditoría.
2-. Establecer el alcance del programa de auditoría.
3.- Definición de objetivos, alcance y criterios para una auditoría individual.
4.- Selección y determinación de métodos de auditoría.
5.- Selección de los miembros del equipo de auditoría.
6.- Asignar la responsabilidad de una auditoría individual al líder del equipo de auditoría.
7.- Revisión y mejora del programa de auditoría.
1.- Competencia del (los) individuo (s) que gestiona (n) el programa de auditoría: La (s) persona (s) que gestiona (n) el programa de auditoría deberían tener la competencia necesaria para gestionar el programa, sus riesgos y oportunidades asociados y los problemas externos e internos de manera efectiva y eficiente, incluido el conocimiento de:
Principios de auditoría (más información en el siguiente link) , métodos y procesos.
Normas del sistema de gestión, otras normas pertinentes y documentos de referencia / orientación;
Información sobre el auditado y su contexto (por ejemplo, asuntos externos/internos, partes interesadas relevantes y sus necesidades y expectativas, actividades comerciales, productos, servicios y procesos del auditado);
Requisitos legales y reglamentarios aplicables y otros requisitos relevantes para las actividades comerciales del auditado.
Según corresponda, se puede considerar el conocimiento de la gestión de riesgos, la gestión de proyectos, procesos, las tecnologías de la información y las comunicaciones (TIC).
Las personas que gestionan el programa de auditoría deberían participar en actividades apropiadas de desarrollo continuo para mantener la competencia necesaria para administrar el programa de auditoría.
2-. Establecer el alcance del programa de auditoría: Las personas que gestionan el programa de auditoría deberían determinar el alcance del programa de auditoría. Esto puede variar según la información proporcionada por el auditado con respecto a su contexto.
NOTA En algunos casos, dependiendo de la estructura del auditado o sus actividades, el programa de auditoría solo puede consistir en una única auditoría (por ejemplo, un pequeño proyecto u organización). Otros factores que afectan el alcance de un programa de auditoría pueden incluir los siguientes:
El objetivo, el alcance, la duración de cada auditoría y la cantidad de auditorías que se llevarán a cabo, el método de notificación y si corresponde el seguimiento de la auditoría;
Las normas del sistema de gestión u otros criterios aplicables;
El número, la importancia, la complejidad, la similitud y la ubicación de las actividades a auditar;
Aquellos factores que influyen en la efectividad del sistema de gestión;
Los criterios de auditoría aplicables, tales como los arreglos planificados para las normas del sistema de gestión pertinentes, los requisitos legales y reglamentarios y otros requisitos con los que la organización está comprometida;
Resultados de auditorías internas o externas previas y Revisiones de la Dirección, si corresponde;
Resultados de una revisión previa del programa de auditoría;
Problemas lingüísticos, culturales y sociales;
Comunicar las partes pertinentes del programa de auditoría, incluidos los riesgos y oportunidades, a las partes interesadas pertinentes e informarles periódicamente de su progreso, utilizando los canales de comunicación externos e internos establecidos;
Definir objetivos, alcance y criterios para cada auditoría individual;
Seleccionar métodos de auditoría;
Coordinar y programar auditorías y otras actividades relevantes para el programa de auditoría;
Garantizar que los equipos de auditoría tengan la competencia necesaria;
Proporcionar los recursos individuales y globales necesarios a los equipos de auditoría;
Garantizar la realización de auditorías de acuerdo con el programa de auditoría, gestionando todos los riesgos, oportunidades y problemas operativos (es decir, eventos inesperados), tal como surgen durante el despliegue del programa;
Garantizar que la información documentada relevante con respecto a las actividades de auditoría se gestiona y mantiene de forma adecuada;
Definir e implementar los controles operativos necesarios para la supervisión del programa de auditoría;
Revisar el programa de auditoría para identificar oportunidades para su mejora.
3.- Definición de objetivos, alcance y criterios para una auditoría individual: Cada auditoría individual debería basarse en objetivos de auditoría definidos, alcance y criterios. Estos deberían ser consistentes con los objetivos generales del programa de auditoría.
Los objetivos de la auditoría definen lo que se debería lograr mediante la auditoría individual y pueden incluir lo siguiente:
Determinación del grado de conformidad del sistema de gestión a ser auditado, o partes de él, con los criterios de auditoría;
Evaluación de la capacidad del sistema de gestión para ayudar a la organización a cumplir los requisitos legales y reglamentarios pertinentes y otros requisitos con los que la organización está comprometida;
Evaluación de la efectividad del sistema de gestión para alcanzar los resultados esperados;
Identificación de oportunidades para la mejora potencial del sistema de gestión;
Evaluación de la idoneidad y adecuación del sistema de gestión con respecto al contexto y la dirección estratégica del auditado;
Evaluación de la capacidad del sistema de gestión para establecer y alcanzar objetivos y abordar de manera efectiva los riesgos y oportunidades, en un contexto cambiante, incluida la implementación de las acciones relacionadas.
El alcance de la auditoría debería ser coherente con el programa de auditoría y los objetivos de auditoría. Incluye factores tales como ubicaciones, funciones, actividades y procesos a auditar, así como el período cubierto por la auditoría.
Los criterios de auditoría se utilizan como referencia con respecto a la cual se determina la conformidad. Estos pueden incluir uno o más de los siguientes: políticas, procesos, procedimientos aplicables, criterios de rendimiento que incluyen objetivos, requisitos legales y reglamentarios, requisitos del sistema de gestión, información sobre el contexto y los riesgos y oportunidades según lo determine el auditado (incluidos los requisitos de partes interesadas internas), códigos de conducta sectoriales u otras disposiciones planificadas.
En caso de cualquier cambio en los objetivos, el alcance o los criterios de la auditoría, el programa de auditoría debería modificarse si es necesario y comunicarse a las partes interesadas para su aprobación, si corresponde.
Cuando se audita más de una disciplina al mismo tiempo, es importante que los objetivos, el alcance y los criterios de la auditoría sean consistentes con los programas de auditoría relevantes para cada disciplina. Algunas disciplinas pueden tener un alcance que refleje a toda la organización y otras pueden tener un alcance que refleje un subconjunto de toda la organización.
4.- Selección y determinación de métodos de auditoría: El (los) individuo (s) que gestiona (n) el programa de auditoría debería (n) seleccionar y determinar los métodos para llevar a cabo eficazmente y de manera eficiente una auditoría, dependiendo de los objetivos de auditoría definidos, el alcance y criterios.
Las auditorías pueden realizarse en el sitio, de forma remota o como una combinación. El uso de estos métodos debería estar adecuadamente equilibrado, en función de, entre otros, la consideración de los riesgos y oportunidades asociados.
Cuando dos o más organizaciones auditoras lleven a cabo una auditoría conjunta del mismo auditado, las personas que administran los diferentes programas de auditoría deberían acordar los métodos de auditoría y considerar las implicaciones para la provisión de recursos y la planificación de la auditoría. Si un auditado opera dos o más sistemas de gestión de diferentes disciplinas, se pueden incluir auditorías combinadas en el programa de auditoría.
5.- Selección de los miembros del equipo de auditoría: El (los) individuo (s) que gestiona (n) el programa de auditoría debería (n) nombrar a los miembros del equipo de auditoría, incluyendo el líder del equipo y cualquier expertos técnicos necesarios para la auditoría específica.
Se debería seleccionar un equipo de auditoría, teniendo en cuenta la competencia necesaria para alcanzar los objetivos de la auditoría individual dentro del alcance definido. Si solo hay un auditor, el auditor debería realizar todas las tareas aplicables de un líder del equipo de auditoría.
Para asegurar la competencia global del equipo de auditoría, deberían realizarse los siguientes pasos:
Identificación de la competencia necesaria para alcanzar los objetivos de la auditoría;
Selección de los miembros del equipo de auditoría para que la competencia necesaria esté presente en el equipo de auditoría.
Al decidir el tamaño y la composición del equipo de auditoría para una auditoría específica, se debería considerar lo siguiente:
La competencia general del equipo de auditoría necesaria para lograr los objetivos de la auditoría, teniendo en cuenta el alcance y los criterios de la auditoría;
Complejidad de la auditoría;
Si la auditoría es una auditoría combinada o conjunta los métodos de auditoría seleccionados;
Asegurar la objetividad e imparcialidad para evitar cualquier conflicto de interés del proceso de auditoría;
La capacidad de los miembros del equipo de auditoría para trabajar e interactuar eficazmente con los representantes del auditado y las partes interesadas pertinentes;
Los problemas externos/internos relevantes, como el idioma de la auditoría y las características sociales y culturales del auditado. Estos problemas pueden ser abordados ya sea por las propias habilidades del auditor o por medio del apoyo de un experto técnico, considerando también la necesidad de intérpretes;
Tipo y complejidad de los procesos a auditar.
Cuando corresponda, las personas que gestionan el programa de auditoría deberían consultar al líder del equipo sobre la composición del equipo de auditoría.
Si los auditores del equipo de auditoría no cubren la competencia necesaria, los expertos técnicos con competencia adicional deberían estar disponibles para apoyar al equipo.
Los auditores en formación pueden incluirse en el equipo de auditoría, pero deberían participar bajo la dirección y orientación de un auditor competente.
Los cambios en la composición del equipo de auditoría pueden ser necesarios durante la auditoría, por ejemplo; si surge un conflicto de interés o problema de competencia. Si surge una situación de este tipo, debería resolverse con las partes apropiadas (por ejemplo, el líder del equipo de auditoría, la (s) persona (s) que gestionan el programa de auditoría, el cliente de auditoría o el auditado) antes de realizar cualquier cambio.
6.- Asignar la responsabilidad de una auditoría individual al líder del equipo de auditoría: Las personas que gestionan el programa de auditoría deberían asignar la responsabilidad de llevar a cabo la auditoría individual a un líder del equipo de auditoría.
La asignación debería hacerse con suficiente tiempo antes de la fecha programada de la auditoría, a fin de garantizar la planificación efectiva de la auditoría.
Para garantizar la realización efectiva de las auditorías individuales, se debería proporcionar la siguiente información al líder del equipo de auditoría:
Objetivos de auditoría;
Criterios de auditoría y cualquier información documentada relevante;
Alcance de la auditoría, incluida la identificación de la organización y sus funciones y procesos a auditar;
Procesos de auditoría y métodos asociados;
Composición del equipo de auditoría;
Los datos de contacto del auditado, las ubicaciones, el marco temporal y la duración de las actividades de auditoría que se llevarán a cabo;
Los recursos necesarios para llevar a cabo la auditoría
Información necesaria para evaluar y abordar los riesgos y oportunidades identificados para el logro de los objetivos de la auditoría;
Información que respalda al (los) líder (es) del equipo de auditoría en sus interacciones con el auditado para la efectividad del programa de auditoría.
Aquellos que abordan los riesgos y oportunidades del programa de auditoría y los problemas externos e internos relevantes;
Revisiones de la efectividad del programa de auditoría;
Registros relacionados con cada auditoría, tales como planes de auditoría e informes de auditoría;
Evidencia de auditoría objetiva y hallazgos;
Informes de no conformidad;
Correcciones e informes de acciones correctivas;
Informes de seguimiento de auditoría;
Registros relacionados con el equipo de auditoría que cubren temas tales como:
Evaluación de competencia y desempeño de los miembros del equipo de auditoría;
Criterios para la selección de equipos de auditoría, miembros del equipo y formación de equipos de auditoría mantenimiento y mejora de la competencia.
La forma y el nivel de detalle de los registros deberían demostrar que se han logrado los objetivos del programa de auditoría;
Los requisitos del cliente de auditoría.
7.- Revisión y mejora del programa de auditoría: Las personas que gestionan el programa de auditoría y el cliente de auditoría deberían revisar el programa de auditoría para evaluar si se han alcanzado sus objetivos. Las lecciones aprendidas de la revisión del programa de auditoría deberían usarse como insumos para la mejora del programa.
Las personas que gestionan el programa de auditoría deberían garantizar lo siguiente:
Revisión de la implementación general del programa de auditoría;
Identificación de áreas y oportunidades de mejora;
Aplicación de cambios al programa de auditoría si es necesario;
Revisión del desarrollo profesional continuo de los auditores, de acuerdo con informe de los resultados del programa de auditoría y revisión con el cliente de auditoría y las partes interesadas pertinentes, según corresponda.
La revisión del programa de auditoría debería considerar lo siguiente:
Resultados y tendencias del seguimiento del programa de auditoría;
Conformidad con los procesos del programa de auditoría e información documentada relevante;
La evolución de las necesidades y expectativas de las partes interesadas pertinentes;
Registros del programa de auditoría;
Métodos de auditoría alternativos o nuevos;
Métodos alternativos o nuevos para evaluar a los auditores;
Efectividad de las acciones para abordar los riesgos y oportunidades, y problemas internos y externos asociados con el programa de auditoría;
Cuestiones de confidencialidad y seguridad de la información relacionadas con el programa de auditoría.
fuente: ISO 19011:2018
