Introducción
Se han publicado varios estándares nuevos del sistema de gestión, muchos de los cuales tienen una estructura común, requisitos básicos idénticos, términos comunes y definiciones básicas. Como resultado, es necesario considerar un enfoque más amplio para la auditoría del sistema de gestión, así como proporcionar una guía que sea más genérica. Los resultados de la auditoría pueden proporcionar información para el aspecto de análisis de la planificación comercial y pueden contribuir a la identificación de las necesidades y actividades de mejora.
Se puede realizar una auditoría en relación con una variedad de criterios de auditoría, por separado o en combinación, que incluyen, entre otros:
- Requisitos definidos en una o más normas delsistema de gestión
- Políticas y requisitos especificados por las partesinteresadas pertinentes
- Requisitoslegales y reglamentarios
- Uno o más procesos delsistema de gestión definidos por la organización u otras partes
- Plan (es) delsistema de gestión relacionado con la provisión de productos específicos de un sistema de
- gestión (por ejemplo, plan de calidad, plan del proyecto).
Tipos de Auditorías
Este documento proporciona una guía para todos los tamaños y tipos de organizaciones y auditorías de diferentes alcances y escalas, incluidas aquellas realizadas por grandes equipos de auditoría, generalmente de organizaciones más grandes, y aquellas realizadas por auditores individuales, ya sea en organizaciones grandes o pequeñas. Esta orientación debería adaptarse según corresponda al alcance, la complejidad y la escala del programa de auditoría. Este documento se concentra en auditorías internas (primera parte) y auditorías realizadas por organizaciones sobre sus proveedores externos y otras partes interesadas externas (segunda parte). Este documento también puede ser útil para auditorías externas realizadas para fines distintos de la certificación del sistema de gestión de terceros. ISO/IEC 17021-1 proporciona requisitos para la Auditoría de sistemas de gestión para la certificación de terceros; este documento puede proporcionar una guía adicional útil (ver Tabla 1)
Objetivo
Este documento proporciona orientación sobre la gestión de un programa de auditoría,sobre la planificación y la realización de auditorías de sistemas de gestión, así como sobre la competencia y la evaluación de un auditor y un equipo de auditoría.
Contenido
1. Alcance
Este documento proporciona orientación sobre auditoría a sistemas de gestión, incluidos los principios de auditoría, la gestión de un programa de auditoría y la realización de auditorías del sistema de gestión, así como orientación sobre la evaluación de la competencia de las personas involucradas en el proceso de auditoría. Estas actividades incluyen las personas que administran el programa de auditoría, los auditores y los equipos de auditoría.
Es aplicable a todas las organizaciones que necesitan planificar y llevar a cabo auditorías internas o externas de los sistemas de gestión o administrar un programa de auditoría. La aplicación de este documento a otros tipos de auditorías es posible, siempre que se otorgue una consideración especial a la competencia específica necesaria.
Para simplificar la legibilidad de este documento, se prefiere la forma singular de “sistema de gestión”, pero el lector puede adaptar la implementación de la guía a su propia situación. Esto también se aplica al uso de “individuo” e “individuos”, “auditor” y “auditores”.
Este documento está destinado a aplicarse a una amplia gama de usuarios potenciales, incluidos auditores, organizaciones que implementan sistemas de gestión y organizaciones que necesitan llevar a cabo auditorías de sistemas de gestión por razones contractuales o reglamentarias. Sin embargo, los usuarios de este documento pueden aplicar esta guía para desarrollar sus propios requisitos relacionados con la auditoría.
La orientación contenida en este documento también se puede utilizar para fines de autodeclaración y puede ser útil para las organizaciones involucradas en la capacitación de auditores o la certificación de personal.
La guía en este documento pretende ser flexible. Como se indica en varios puntos del texto, el uso de esta guía puede variar según el tamaño y el nivel de madurez del sistema de gestión de una
organización. La naturaleza y la complejidad de la organización que se auditará, así como también los objetivos y el alcance de las auditorías que se llevarán a cabo, también deberían considerarse.
Este documento adopta el enfoque combinado de auditoría cuando se auditan juntos dos o más sistemas de gestión de diferentes disciplinas. Cuando estos sistemas se integran en un solo sistema de gestión, los principios y procesos de auditoría son los mismos que para una auditoría combinada (a veces conocida como auditoría integrada).
2. Referencias Normativas
No hay referencias normativas que se citen en este documento
3. Términos y Definiciones
Para fines de este documento, se aplican los siguientes términos y definiciones. ISO e IEC mantienen bases de datos terminológicas para su uso en la estandarización en las siguientes direcciones:
- Plataforma de navegación en línea ISO: disponible en https://www.iso.org/obp
- IEC Electropedia: disponible en http://www.electropedia.org/
Auditoría
Proceso sistemático, independiente y documentado para obtener evidencia objetiva (3.8) y evaluarla objetivamente para determinar en qué medida se cumplen los criterios de auditoría (3.7)
Nota 1: Las auditorías internas, a veces llamadas auditorías de primera parte, son realizadas por, o en nombre de, la organización misma.
Nota 2: Las auditorías externas incluyen aquellas generalmente llamadas auditorías de segunda y tercera parte. Las auditorías de segunda parte se llevan a cabo por las partes que tienen un interés en la organización, como los clientes, o por otras personas en su nombre. Las auditorías de tercera parte son llevadas a cabo por organizaciones de auditoría independientes, como aquellas que proporcionan certificación / registro de conformidad o agencias gubernamentales.
[FUENTE: ISO 9000: 2015, 3.13.1, modificado – Las notas de entrada han sido modificadas]
Auditoría Combinada
Auditoría (3.1) llevada a cabo conjuntamente en un único auditado (3.13) para dos o más sistemas de gestión (3.18)
Nota 1: Cuando se integran dos o más sistemas de gestión específlcos de la disciplina en un único sistema de gestión, esto se conoce como un sistema integrado de gestión (SIG).
[FUENTE: ISO 9000: 2015, 3.13.2, modificado]
Auditoría Conjunta
Auditoría (3.1) llevada a cabo en un auditado único (3.13) por dos o más organizaciones de auditoría [FUENTE: ISO 9000: 2015, 3.13.3]
Programa Auditoría
Arreglos para un conjunto de una o más auditorías (3.1) planificadas para un marco de tiempo específico y dirigidas hacia un propósito específico
[FUENTE: ISO 9000: 2015, 3.13.4, modificado – la redacción se ha agregado a la definición]
Alcance de Auditoría
Alcance y límites de una auditoría (3.1)
Nota 1: El alcance de la auditoría generalmente incluye una descripción de las ubicaciones físicas y virtuales, funciones, unidades organizativas, actividades y procesos, así como el período de tiempo cubierto.
Nota 2: Una ubicación virtual es cuando una organización realiza un trabajo o proporciona un servicio usando un entorno en línea que permite a las personas, independientemente de las ubicaciones físicas, ejecutar procesos.
[FUENTE: ISO 9000: 2015, 3.13.5, modificado – Se modificó la Nota 1, se agregó la Nota 2]
Plan de Auditoría
Descripción de las actividades y los arreglos para una auditoría (3.1) [FUENTE: ISO 9000: 2015, 3.13.6]
Criterios de Auditoría
Conjunto de requisitos (3.23) utilizados como referencia con respecto a los cuales se compara la evidencia objetiva (3.8)
Nota 1: Si los criterios de auditoría son legales (incluidos los requisitos legales o reglamentarios), las palabras “cumplimiento” o “incumplimiento” a menudo se utilizan en una conclusión de auditoría (3.10). Nota 2: los requisitos pueden incluir políticas, procedimientos, instrucciones de trabajo, requisitos legales, obligaciones contractuales, etc.
[FUENTE: ISO 9000: 2015, 3.13.7, modificado: la definición ha cambiado y se han agregado notas 1 y 2]
Evidencia Objetiva
Datos que respaldan la existencia o la verdad de algo
Nota 1: La evidencia objetiva se puede obtener a través de observación, medición, prueba o por otros medios.
Nota 2: La evidencia objetiva para el propósito de la auditoría (3.1) generalmente consiste en registros, declaraciones de hechos u otra información que son relevantes para los criterios de auditoría (3.7) y veriflcables.
[FUENTE: ISO 9000: 2015, 3.8.3]
Pruebas de Auditoría
Registros, declaraciones de hechos u otra información, que sean relevantes para los criterios de auditoría (3.7) y verificables
[FUENTE: ISO 9000: 2015, 3.13.8]
Resultados de Auditoría
Resultados de la evaluación de la evidencia de auditoría recopilada (3.9) contra los criterios de auditoría (3.7)
Nota 1: los hallazgos de la auditoría indican conformidad (3.20) o no conformidad (3.21).
Nota 2: los hallazgos de la auditoría pueden conducir a la identiflcación de riesgos, oportunidades de mejora o registro de buenas prácticas.
Nota 3: en inglés, si los criterios de auditoría se seleccionan de entre los requisitos legales o los requisitos reglamentarios, el hallazgo de la auditoría se denomina cumplimiento o incumplimiento.
[FUENTE: ISO 9000: 2015, 3.13.9, modificado – Las notas 2 y 3 se han modificado]
Conclusión de la Auditoría
Resultado de una auditoría (3.1), después de considerar los objetivos de auditoría y todos los hallazgos de auditoría (3.10)
[FUENTE: ISO 9000: 2015, 3.13.10]
Cliente de Auditoría
Organización o persona que solicita una auditoría (3.1)
Nota 1: en el caso de la auditoría interna, el cliente de auditoría también puede ser el auditado (3.13) o la persona (s) que administra el programa de auditoría. Las solicitudes de auditoría externa pueden provenir de fuentes tales como reguladores, partes contratantes o clientes potenciales o existentes.
[FUENTE: ISO 9000: 2015, 3.13.11, modificado – Se agregó la nota 1]
Auditado
Organización en su totalidad o partes de ella siendo auditada [FUENTE: ISO 9000: 2015, 3.13.12, modificado]
Equipo de Auditoría
Una o más personas que realizan una auditoría (3.1), apoyadas si es necesario por expertos técnicos (3.16) Nota 1: un auditor (3.15) del equipo de auditoría (3.14) es designado como el líder del equipo de auditoría. Nota 2: El equipo de auditoría puede incluir auditores en capacitación.
[FUENTE: ISO 9000: 2015, 3.13.14]
Auditor
Persona que realiza una auditoría (3.1) [FUENTE: ISO 9000: 2015, 3.13.15]
Experto Técnico
Persona que proporciona conocimientos o experiencia específicos al equipo de auditoría (3.14) Nota 1: el conocimiento específlco o experiencia se relaciona con la organización, la actividad, el proceso, el producto, el servicio, la disciplina que se auditará, el idioma o la cultura.
Nota 2: Un experto técnico del equipo de auditoría (3.14) no actúa como auditor (3.15).
[FUENTE: ISO 9000: 2015, 3.13.16, modificado – Las notas de la entrada 1 y 2 han sido modificadas]
Observador
Individuo que acompaña al equipo de auditoría (3.14) pero que no actúa como auditor (3.15) [FUENTE: ISO 9000: 2015, 3.13.17, modificado]
Sistema de Gestión
Conjunto de elementos interrelacionados o que interactúan de una organización para establecer políticas y objetivos, y procesos (3.24) para lograr esos objetivos
Nota 1: un sistema de gestión puede abordar una única disciplina o varias disciplinas, por ejemplo; gestión de calidad, gestión flnanciera o gestión ambiental.
Nota 2: los elementos del sistema de gestión establecen la estructura, los roles y las responsabilidades de la organización, planiflcación, operación, políticas, prácticas, reglas, creencias, objetivos y procesos para alcanzar esos objetivos.
Nota 3: El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones específlcas e identiflcadas de la organización, secciones específlcas e identiflcadas de la organización, o una o más funciones en un grupo de organizaciones.
[FUENTE: ISO 9000: 2015, 3.5.3, modificado – Se eliminó la nota 4]
Riesgo
Efecto de incertidumbre
Nota 1: Un efecto es una desviación de lo esperado – positivo o negativo.
Nota 2: La incertidumbre es el estado, incluso parcial, de la deflciencia de información relacionada con, la comprensión o el conocimiento de un evento, su consecuencia y probabilidad.
Nota 3: El riesgo a menudo se caracteriza por referencia a eventos potenciales (como se deflne en la Guía ISO 73:2009, 3.5.1.3) y consecuencias (como se deflne en la Guía ISO 73:2009, 3.6.1.3), o una combinación de estos.
Nota 4: El riesgo a menudo se expresa en términos de una combinación de las consecuencias de un evento (incluidos los cambios en las circunstancias) y la probabilidad asociada (según se define en la Guía ISO 73:2009, 3.6.1.1) de ocurrencia.
[FUENTE: ISO 9000: 2015, 3.7.9, modificado – Las notas de la entrada 5 y 6 se han eliminado]
Conformidad
Cumplimiento de un requisito (3.23)
[FUENTE: ISO 9000: 2015, 3.6.11, modificado – La nota 1 ha sido eliminada]
No Conformidad
Incumplimiento de un requisito (3.23)
[FUENTE: ISO 9000: 2015, 3.6.9, modificado – Se ha eliminado la entrada 1]
Competencia
Capacidad de aplicar conocimientos y habilidades para lograr los resultados previstos [FUENTE: ISO 9000: 2015, 3.10.4, modificado – Las notas de entrada se han eliminado]
Requisito
Necesidad o expectativa que se establece, generalmente implícita u obligatoria
Nota 1: “Generalmente implícito” signiflca que es costumbre o práctica común para la organización y las partes interesadas que la necesidad o expectativa bajo consideración sea implícita.
Nota 2: Un requisito específlco es uno que se establece, por ejemplo, en información documentada.
[FUENTE: ISO 9000: 2015, 3.6.4, modificado – Se eliminaron las notas de la entrada 3, 4, 5 y 6]
Proceso
Conjunto de actividades interrelacionadas o interactivas que usan insumos para entregar un resultado deseado
[FUENTE: ISO 9000: 2015, 3.4.1, modificado – Se han eliminado las notas de entrada]
Resultado Medible del rendimiento
Nota 1: El rendimiento puede relacionarse con hallazgos cuantitativos o cualitativos.
Nota 2: El rendimiento puede relacionarse con la gestión de actividades, procesos (3.24), productos, servicios, sistemas u organizaciones.
[FUENTE: ISO 9000: 2015, 3.7.8, modificado – La nota 3 ha sido eliminada]
Efectividad
Medida en que se realizan las actividades planificadas y se logran los resultados planificados
[FUENTE: ISO 9000: 2015, 3.7.11, modificado – Se eliminó la nota 1]
ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión – Parte 2
