Parte 4 ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión

Objetivo

Este documento proporciona orientación sobre la gestión de un programa de auditoría, sobre la planificación y la realización de auditorías de sistemas de gestión, así como sobre la competencia y la evaluación de un auditor y un equipo de auditoría.

ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión – Parte 1

ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión – Parte 2

ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión – Parte 3

Contenido

5. Administrar un programa de auditoría (…continuación)

5.4 Establecimiento del programa de auditoría

5.4.3 Establecer el alcance del programa de auditoría

Las personas que gestionan el programa de auditoría deberían determinar el alcance del programa de auditoría. Esto puede variar según la información proporcionada por el auditado con respecto a su contexto (ver 5.3).

NOTA: En algunos casos, dependiendo de la estructura del auditado o sus actividades, el programa de auditoría solo puede consistir en una única auditoría (por ejemplo, un pequeño proyecto u organización). Otros factores que afectan el alcance de un programa de auditoría pueden incluir los siguientes:

1. El objetivo, el alcance y la duración de cada auditoría y la cantidad de auditorías que se llevarán a cabo, el método de notificación y, si corresponde, el seguimiento de la auditoría;
2. Las normas del sistema de gestión u otros criterios aplicables;
3. El número, la importancia, la complejidad, la similitud y la ubicación de las actividades a auditar;
4. Aquellos factores que influyen en la efectividad del sistema de gestión;
5. Los criterios de auditoría aplicables, tales como los arreglos planificados para las normas del sistema de gestión pertinentes, los requisitos legales y reglamentarios y otros requisitos con los que la organización está comprometida;
6. Resultados de auditorías internas o externas previas y revisiones de la dirección, si corresponde;
7. Resultados de una revisión previa del programa de auditoría;
8. Problemas lingüísticos, culturales y sociales;
9. Las preocupaciones de las partes interesadas, tales como las quejas de los clientes, el incumplimiento de los requisitos legales y reglamentarios y otros requisitos con los que la organización se compromete, o los problemas de la cadena de suministro;
10. Cambios significativos en el contexto del auditado o sus operaciones y riesgos y oportunidades relacionados;
11. Disponibilidad de tecnologías de información y comunicación para respaldar las actividades de auditoría, en particular el uso de métodos de auditoría remota (véase A.16);
12. La ocurrencia de eventos internos y externos, tales como no conformidades de productos o servicios, fugas de seguridad de la información, incidentes de salud y seguridad, actos delictivos o incidentes ambientales;
13. Riesgos y oportunidades comerciales, incluidas las acciones para abordarlos

5.4.4 Determinar los recursos del programa de auditoría

Al determinar los recursos para el programa de auditoría, las personas que gestionan el programa de auditoría deberían considerar:

1. Los recursos financieros y de tiempo necesarios para desarrollar, implementar, administrar y mejorar las actividades de auditoría;
2. Métodos de auditoría (ver A.1);
3. La disponibilidad individual y general de auditores y expertos técnicos que posean las competencias apropiadas para los objetivos particulares del programa de auditoría;
4. La extensión del programa de auditoría (ver 5.4.3) y los riesgos y oportunidades del programa de auditoría (ver 5.3);
5. Tiempo de viaje y costo, alojamiento y otras necesidades de auditoría;
6. El impacto de las diferentes zonas horarias;
7. La disponibilidad de tecnologías de información y comunicación (por ejemplo, los recursos técnicos necesarios para establecer una auditoría remota utilizando tecnologías que admiten la colaboración remota);
8. La disponibilidad de cualquier herramienta, tecnología y equipo requerido;
9. La disponibilidad de la información documentada necesaria, según se determine durante el establecimiento del programa de auditoría (ver A.5);
10. Los requisitos relacionados con la instalación, incluidos los espacios de seguridad y el equipo (por ejemplo, verificaciones de antecedentes, equipo de protección personal, capacidad de llevar puesto el atuendo limpio).

5.5 Implementación del programa de auditoría

5.5.1 Generalidades

Toda vez que se ha establecido el programa de auditoría (ver 5.4.3) y se han determinado los recursos relacionados (ver 5.4.4), es necesario implementar la planificación operativa y la coordinación de todas las actividades dentro del programa.

Las personas que gestionan el programa de auditoría deberían:

1. Comunicar las partes pertinentes del programa de auditoría, incluidos los riesgos y oportunidades, a las partes interesadas pertinentes e informarles periódicamente de su progreso, utilizando los canales de comunicación externos e internos establecidos;
2. Definir objetivos, alcance y criterios para cada auditoría individual;
3. Seleccionar métodos de auditoría (ver A.1);
4. Coordinar y programar auditorías y otras actividades relevantes para el programa de auditoría;
5. Garantizar que los equipos de auditoría tengan la competencia necesaria (ver 5.5.4);
6. Proporcionar los recursos individuales y globales necesarios a los equipos de auditoría (ver 5.4.4);
7. Garantizar la realización de auditorías de acuerdo con el programa de auditoría, gestionando todos los riesgos, oportunidades y problemas operativos (es decir, eventos inesperados), tal como surgen durante el despliegue del programa;
8. Garantizar que la información documentada relevante con respecto a las actividades de auditoría se gestiona y mantiene de forma adecuada (ver 5.5.7);
9. Definir e implementar los controles operativos (ver 5.6) necesarios para la supervisión del programa de auditoría;
10. Revisar el programa de auditoría para identificar oportunidades para su mejora (ver 5.7).

Las oportunidades para mejorar el programa de auditoría pueden incluir:

1. Permitir múltiples auditorías en una sola visita;
2. Minimizar el tiempo y las distancias que viajan al sitio;
3. Hacer coincidir el nivel de competencia del equipo de auditoría con el nivel de competencia necesario para alcanzar los objetivos de la auditoría;
4. Alinear las fechas de auditoría con la disponibilidad del personal clave del auditado

5.5.2 Definición de objetivos, alcance y criterios para una auditoría individual

Cada auditoría individual debería basarse en objetivos de auditoría definidos, alcance y criterios. Estos deberían ser consistentes con los objetivos generales del programa de auditoría. Los objetivos de la auditoría definen lo que se debería lograr mediante la auditoría individual y pueden incluir lo siguiente:

1. Determinación del grado de conformidad del sistema de gestión a ser auditado, o partes de él, con los criterios de auditoría;
2. Evaluación de la capacidad del sistema de gestión para ayudar a la organización a cumplir los requisitos legales y reglamentarios pertinentes y otros requisitos con los que la organización está comprometida;
3. Evaluación de la efectividad del sistema de gestión para alcanzar los resultados esperados;
4. Identificación de oportunidades para la mejora potencial del sistema de gestión;
5. Evaluación de la idoneidad y adecuación del sistema de gestión con respecto al contexto y la dirección estratégica del auditado;
6. Evaluación de la capacidad del sistema de gestión para establecer y alcanzar objetivos y abordar de manera efectiva los riesgos y oportunidades, en un contexto cambiante, incluida la implementación de las acciones relacionadas;

El alcance de la auditoría debería ser coherente con el programa de auditoría y los objetivos de auditoría. Incluye factores tales como ubicaciones, funciones, actividades y procesos a auditar, así como el período cubierto por la auditoría.

Los criterios de auditoría se utilizan como referencia con respecto a la cual se determina la conformidad. 

Estos pueden incluir uno o más de los siguientes: políticas, procesos, procedimientos aplicables, criterios de rendimiento que incluyen objetivos, requisitos legales y reglamentarios, requisitos del sistema de gestión, información sobre el contexto y los riesgos y oportunidades según lo determine el auditado (incluidos los requisitos de partes interesadas internas), códigos de conducta sectoriales u otras disposiciones planificadas.

En caso de cualquier cambio en los objetivos, el alcance o los criterios de la auditoría, el programa de auditoría debería modificarse si es necesario y comunicarse a las partes interesadas para su aprobación, si corresponde.

Cuando se audita más de una disciplina al mismo tiempo, es importante que los objetivos, el alcance y los criterios de la auditoría sean consistentes con los programas de auditoría relevantes para cada disciplina. Algunas disciplinas pueden tener un alcance que refleje a toda la organización y otras pueden tener un alcance que refleje un subconjunto de toda la organización.

5.5.3 Selección y determinación de métodos de auditoría

El (los) individuo (s) que gestiona (n) el programa de auditoría debería (n) seleccionar y determinar los métodos para llevar a cabo eficazmente y de manera eficiente una auditoría, dependiendo de los objetivos de auditoría definidos, el alcance y criterios.

Las auditorías pueden realizarse en el sitio, de forma remota o como una combinación. El uso de estos métodos debería estar adecuadamente equilibrado, en función de, entre otros, la consideración de los riesgos y oportunidades asociados.

Cuando dos o más organizaciones auditoras lleven a cabo una auditoría conjunta del mismo auditado, las personas que administran los diferentes programas de auditoría deberían acordar los métodos de auditoría y considerar las implicaciones para la provisión de recursos y la planificación de la auditoría. Si un auditado opera dos o más sistemas de gestión de diferentes disciplinas, se pueden incluir auditorías combinadas en el programa de auditoría.

5.5.4 Selección de los miembros del equipo de auditoría

El (los) individuo (s) que gestiona (n) el programa de auditoría debería (n) nombrar a los miembros del equipo de auditoría, incluyendo el líder del equipo y cualesquiera expertos técnicos necesarios para la auditoría específica.

Se debería seleccionar un equipo de auditoría, teniendo en cuenta la competencia necesaria para alcanzar los objetivos de la auditoría individual dentro del alcance definido. Si solo hay un auditor, el auditor debería realizar todas las tareas aplicables de un líder del equipo de auditoría.

NOTA: La cláusula 7 contiene una guía para determinar la competencia requerida para los miembros del equipo de auditoría y describe los procesos para evaluar a los auditores.

Para asegurar la competencia global del equipo de auditoría, deberían realizarse los siguientes pasos:

1. Identificación de la competencia necesaria para alcanzar los objetivos de la auditoría;
2. Selección de los miembros del equipo de auditoría para que la competencia necesaria esté presente en el equipo de auditoría

Al decidir el tamaño y la composición del equipo de auditoría para una auditoría específica, se debería considerar lo siguiente:

1. La competencia general del equipo de auditoría necesaria para lograr los objetivos de la auditoría, teniendo en cuenta el alcance y los criterios de la auditoría;
2. Complejidad de la auditoría;
3. Si la auditoría es una auditoría combinada o conjunta;
4. Los métodos de auditoría seleccionados;
5. Asegurar la objetividad e imparcialidad para evitar cualquier conflicto de interés del proceso de auditoría;
6. La capacidad de los miembros del equipo de auditoría para trabajar e interactuar eficazmente con los representantes del auditado y las partes interesadas pertinentes;
7. Los problemas externos/internos relevantes, como el idioma de la auditoría y las características sociales y culturales del auditado. Estos problemas pueden ser abordados ya sea por las propias habilidades del auditor o por medio del apoyo de un experto técnico, considerando también la necesidad de intérpretes;
8. Tipo y complejidad de los procesos a auditar

Cuando corresponda, las personas que gestionan el programa de auditoría deberían consultar al líder del equipo sobre la composición del equipo de auditoría.

Si los auditores del equipo de auditoría no cubren la competencia necesaria, los expertos técnicos con competencia adicional deberían estar disponibles para apoyar al equipo.

Los auditores en formación pueden incluirse en el equipo de auditoría, pero deberían participar bajo la dirección y orientación de un auditor competente.

Los cambios en la composición del equipo de auditoría pueden ser necesarios durante la auditoría, por ejemplo; si surge un conflicto de interés o problema de competencia. Si surge una situación de este tipo, debería resolverse con las partes apropiadas (por ejemplo, el líder del equipo de auditoría, la (s) persona (s) que gestionan el programa de auditoría, el cliente de auditoría o el auditado) antes de realizar cualquier cambio.

ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión – Parte 5

Nuestros Servicios de Consultoría y Plataforma Soul Q te apoyan para la Gestión Normativa, Eficientar las evidencias requeridas como parte de la Matriz de Responsabilidades acorde al Rol de cada empleado que tiene a su cargo cualquier documento como parte de la operación y cumplimiento Legal en pro de apoyar a la Mejora Continua, fortalecer las acciones entorno al Compliance, así como en apoyo de las Auditorías correspondientes.