Parte 6 ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión

Objetivo

Este documento proporciona orientación sobre la gestión de un programa de auditoría, sobre la planificación y la realización de auditorías de sistemas de gestión, así como sobre la competencia y la evaluación de un auditor y un equipo de auditoría.

ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión – Parte 1

ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión – Parte 2

ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión – Parte 3

ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión – Parte 4

ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión – Parte 5

Contenido

6. Realización de una Auditoría

6.1 Generalidades

Esta cláusula contiene orientación sobre cómo preparar y llevar a cabo una auditoría específica como parte de un programa de auditoría. Más adelante en La Figura 2 proporciona una descripción general de las actividades realizadas en una auditoría típica. El grado en que las disposiciones de esta cláusula son aplicables depende de los objetivos y el alcance de la auditoría específica.

6.2 Iniciando la auditoría

6.2.1 Generalidades

La responsabilidad de llevar a cabo la auditoría debería permanecer con el líder del equipo de auditoría asignado (ver 5.5.5) hasta que se complete la auditoría (ver 6.6). Para iniciar una auditoría, deberían considerarse los pasos en la Figura 1; sin embargo, la secuencia puede variar según el auditado, los procesos y las circunstancias específicas de la auditoría.

6.2.2 Establecer contacto con el auditado

El líder del equipo debería asegurarse de que se establezca contacto con el auditado para:

1. Confirmar los canales de comunicación con los representantes del auditado;
2. Confirmar la autoridad para realizar la auditoría;
3. Proporcionar información relevante sobre los objetivos, el alcance, los criterios, los métodos y la composición del equipo de auditoría, incluidos los expertos técnicos;
4. Solicitar acceso a información relevante para fines de planificación, incluida información sobre los riesgos y oportunidades que la organización ha identificado y cómo se abordan;
5. Determinar los requisitos legales y reglamentarios aplicables y otros requisitos relevantes para las actividades, procesos, productos y servicios del auditado;
6. Confirmar el acuerdo con el auditado sobre el alcance de la divulgación y el tratamiento de la información confidencial;
7. Hacer arreglos para la auditoría incluyendo el cronograma;
8. Determinar los arreglos específicos de ubicación para el acceso, la salud y la seguridad, la confidencialidad u otros;
9. Acordar la asistencia de los observadores y la necesidad de guías o intérpretes para el equipo de auditoría;
10. Determinar cualquier área de interés, preocupación o riesgo para el auditado en relación con la auditoría específica;
11. Resolver problemas relacionados con la composición del equipo de auditoría con el auditado o el cliente de auditoría.

6.2.3 Determinación de la vialidad de la auditoría

La viabilidad de la auditoría debería determinarse para proporcionar una confianza razonable de que se pueden lograr los objetivos de la auditoría.

La determinación de la viabilidad debería tener en cuenta factores como la disponibilidad de lo siguiente:

1. Información suficiente y apropiada para planificar y llevar a cabo la auditoría;
2. Cooperación adecuada del auditado;
3. Tiempo y recursos adecuados para realizar la auditoría.

NOTA Los recursos incluyen el acceso a tecnología adecuada y apropiada de información y comunicación. Cuando la auditoría no sea factible, se debería proponer una alternativa al cliente de auditoría, de acuerdo con el auditado.

6.3 Preparación de actividades de auditoría

6.3.1 Realizar revisión de información documentada

La información documentada del sistema de gestión relevante del auditado debería ser revisada para:

1. Recopilar información para comprender las operaciones del auditado y preparar las actividades de auditoría y los documentos de trabajo de auditoría aplicables (ver 6.3.4), por ejemplo; en procesos y funciones;
2. Establecer una visión general del alcance de la información documentada para determinar la posible conformidad con los criterios de auditoría y detectar posibles áreas de preocupación, como deficiencias, omisiones o conflictos

La información documentada debería incluir, pero no limitarse a: documentos y registros del sistema de gestión, así como informes de auditoría anteriores. La revisión debería tener en cuenta el contexto de la organización del auditado, incluidos su tamaño, naturaleza y complejidad, y sus riesgos y oportunidades relacionados. También debería tener en cuenta el alcance, los criterios y los objetivos de la auditoría.

NOTA Se proporciona orientación sobre cómo verificar la información en A.5

6.3.2 Planificación de auditoría

6.2.2.1 Enfoque basado en el riesgo para la planificación

El líder del equipo de auditoría debería adoptar un enfoque basado en el riesgo para planificar la auditoría

con base en la información del programa de auditoría y la información documentada proporcionada por el auditado.

La planificación de auditoría debería considerar los riesgos de las actividades de auditoría en los procesos del auditado y proporcionar la base para el acuerdo entre el cliente de auditoría, el equipo de auditoría y el auditado con respecto a la realización de la auditoría. La planificación debería facilitar la programación eficiente y la coordinación de las actividades de auditoría para lograr los objetivos de manera efectiva.

La cantidad de detalles proporcionados en el plan de auditoría debería reflejar el alcance y la complejidad de la auditoría, así como también el riesgo de no alcanzar los objetivos de la auditoría. Al planificar la auditoría, el líder del equipo auditor debería considerar lo siguiente:

1. La composición del equipo de auditoría y su competencia general;
2. Las técnicas de muestreo apropiadas (ver A.6);
3. Oportunidades para mejorar la efectividad y eficiencia de las actividades de auditoría;
4. Los riesgos para lograr los objetivos de auditoría creados por una planificación de auditoría ineficaz;
5. Los riesgos para el auditado creados al realizar la auditoría.

Los riesgos para el auditado pueden derivarse de la presencia de los miembros del equipo de auditoría que influyen negativamente en las disposiciones del auditado sobre salud y seguridad, medio ambiente y calidad, y sus productos, servicios, personal o infraestructura (por ejemplo, contaminación en las salas limpias).

Para las auditorías combinadas, se debería prestar especial atención a las interacciones entre los procesos  operativos y los objetivos y prioridades que compiten entre sí de los diferentes sistemas de gestión

6.3.2.2 Detalles de planificación de auditoría

La escala y el contenido de la planificación de auditoría pueden diferir, por ejemplo, entre auditorías iniciales y posteriores, así como entre auditorías internas y externas. La planificación de la auditoría debería ser lo suficientemente flexible como para permitir cambios que pueden ser necesarios a medida que avanzan las actividades de auditoría.

La planificación de la auditoría debería abordar o hacer referencia a lo siguiente:

1. Los objetivos de la auditoría;
2. El alcance de la auditoría, incluida la identificación de la organización y sus funciones, así como los procesos a auditar;
3. Los criterios de auditoría y cualquier información documentada de referencia;
4. Las ubicaciones (físicas y virtuales), las fechas, el tiempo previsto y la duración de las actividades de auditoría que se llevarán a cabo, incluidas las reuniones con la administración del auditado;
5. La necesidad de que el equipo de auditoría se familiarice con las instalaciones y los procesos del auditado (por ejemplo, realizando un recorrido por la (s) ubicación (es) física (s), o revisando la tecnología de información y comunicación);
6. Los métodos de auditoría que se utilizarán, incluido el grado en que el muestreo de auditoría es necesario para obtener suficiente evidencia de auditoría;
7. Las funciones y responsabilidades de los miembros del equipo de auditoría, así como guías y observadores o intérpretes;
8. La asignación de recursos apropiados en base a la consideración de los riesgos y oportunidades relacionados con las actividades que se auditarán.

La planificación de la auditoría debería tener en cuenta, según corresponda:

1. Identificación del (los) representante (s) del auditado para la auditoría;
2. El lenguaje de trabajo y de informes de la auditoría cuando esto es diferente del lenguaje del auditor o el auditado o ambos;
3. Los temas del informe de auditoría;
4. Arreglos de logística y comunicaciones, incluidos arreglos específicos para las ubicaciones que se auditarán;
5. Cualquier acción específica que se tome para abordar los riesgos para alcanzar los objetivos de auditoría y las oportunidades que surjan;
6. Cuestiones relacionadas con la confidencialidad y la seguridad de la información;
7. Cualquier acción de seguimiento de una auditoría anterior u otra (s) fuente (es), por ejemplo;
8. lecciones aprendidas, revisiones de proyectos;
9. Cualquier actividad de seguimiento de la auditoría planificada;
10. Coordinación con otras actividades de auditoría, en caso de una auditoría conjunta;

Los planes de auditoría deberían presentarse al auditado. Cualquier problema con los planes de auditoría debería resolverse entre el líder del equipo de auditoría, el auditado y, si es necesario, la (s) persona (s) que gestionan el programa de auditoría.

6.3.3 Asignación de trabajo al equipo de auditoría

El líder del equipo de auditoría, en consulta con el equipo de auditoría, debería asignar a cada miembro el equipo la responsabilidad de auditar procesos, actividades, funciones o ubicaciones específicas y, según corresponda, autoridad para la toma de decisiones. Dichas asignaciones deberían tener en cuenta la imparcialidad y objetividad y la competencia de los auditores y el uso efectivo de los recursos, así como las diferentes funciones y responsabilidades de los auditores, los auditores en formación y los expertos técnicos.

Las reuniones del equipo de auditoría deberían ser llevadas a cabo, según corresponda, por el líder del equipo de auditoría a fin de asignar asignaciones de trabajo y decidir posibles cambios. Se pueden realizar cambios en las asignaciones de trabajo a medida que avanza la auditoría para garantizar el logro de los objetivos de la auditoría.

6.3.4 Preparación de información documentada para auditoría

Los miembros del equipo de auditoría deberían recopilar y revisar la información relevante para sus asignaciones de auditoría y preparar la información documentada para la auditoría, utilizando cualquier medio apropiado. La información documentada para la auditoría puede incluir, pero no se limita a:

1. Listas de verificación físicas o digitales;
2. Detalles de muestreo de auditoría;
3. Información audio visual;

El uso de estos medios no debería restringir el alcance de las actividades de auditoría, que pueden cambiar como resultado de la información recopilada durante la auditoría.

NOTA La orientación para preparar los documentos de trabajo de auditoría figura en A.13.

La información documentada preparada para la auditoría y como resultado de esta debería conservarse al menos hasta la finalización de la auditoría, o según lo especificado en el programa de auditoría. La retención de información documentada después de la finalización de la auditoría se describe en 6.6. La información documentada creada durante el proceso de auditoría que involucra información confidencial o de auditoría.

Nuestros Servicios de Consultoría y Plataforma Soul Q te apoyan para la Gestión Normativa, Eficientar las evidencias requeridas como parte de la Matriz de Responsabilidades acorde al Rol de cada empleado que tiene a su cargo cualquier documento como parte de la operación y cumplimiento Legal en pro de apoyar a la Mejora Continua, fortalecer las acciones entorno al Compliance, así como en apoyo de las Auditorías correspondientes.