Parte 7 ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión

Este documento proporciona orientación sobre la gestión de un programa de auditoría, sobre la planificación y la realización de auditorías de sistemas de gestión, así como sobre la competencia y la evaluación de un auditor y un equipo de auditoría.

Objetivo

Este documento proporciona orientación sobre la gestión de un programa de auditoría, sobre la planificación y la realización de auditorías de sistemas de gestión, así como sobre la competencia y la evaluación de un auditor y un equipo de auditoría.

ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión – Parte 1

ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión – Parte 2

ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión – Parte 3

ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión – Parte 4

ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión – Parte 5

ISO 19011 : 2018 -Directrices para auditar Sistemas de Gestión – Parte 6

Contenido

6. Realización de una Auditoría

6.4 Realización de actividades de auditoría
6.4.1 Generalidades

Las actividades de auditoría normalmente se llevan a cabo en una secuencia definida, como se indica en la Figura 1. Esta secuencia puede variar para adaptarse a las circunstancias de las auditorías específicas.

6.4.2 Asignación de roles y responsabilidades de guías y observadores

Los guías y observadores pueden acompañar al equipo de auditoría con las aprobaciones del líder del equipo de auditoría, el cliente de auditoría y/o el auditado, de ser necesario. No deberían influir ni interferir en la realización de la auditoría. Si esto no puede garantizarse, el líder del equipo auditor debería tener el derecho de negar la presencia de observadores durante ciertas actividades de auditoría.

Para los observadores, cualquier acuerdo de acceso, salud y seguridad, medio ambiente, seguridad y confidencialidad debería ser administrado entre el cliente de auditoría y el auditado. Las guías, designadas por el auditado, deberían ayudar al equipo de auditoría y actuar a solicitud del líder del equipo de auditoría o del auditor al que se les asignó. Sus responsabilidades deberían incluir lo siguiente:

  1. Ayudar a los auditores a identificar a los individuos para que participen en las entrevistas y confirmen los horarios y las ubicaciones;
  2. Organizar el acceso a ubicaciones específicas del auditado;
  3. Garantizar que los miembros del equipo de auditoría y los observadores conozcan y respeten las normas relativas a los acuerdos específicos de localización para el acceso, la salud y la seguridad, el medio ambiente, la seguridad, la confidencialidad y otros asuntos, y que se aborden los riesgos;
  4. Ser testigo de la auditoría en nombre del auditado, cuando corresponda;
  5. Proporcionar aclaraciones o ayudar a recopilar información, cuando sea necesario;
6.4.3 Realización de la reunión de apertura

El propósito de la reunión de apertura es:

  1. Confirmar el acuerdo de todos los participantes (por ejemplo, auditado, equipo de auditoría) con el plan de auditoría;
  2. Presentar al equipo de auditoría y sus roles;
  3. Garantizar que se puedan realizar todas las actividades de auditoría planificadas.

Se debería celebrar una reunión de apertura con la administración del auditado y, cuando corresponda, con los responsables de las funciones o procesos a auditar. Durante la reunión, se debería brindar la oportunidad de hacer preguntas.

El grado de detalle debería ser coherente con la familiaridad del auditado con el proceso de auditoría. En muchos casos, por ejemplo; auditorías internas en una organización pequeña, la reunión de apertura puede consistir simplemente en comunicar que se está llevando a cabo una auditoría y explicar la naturaleza de la auditoría.

Para otras situaciones de auditoría, la reunión puede ser formal y los registros de asistencia deberían conservarse. La reunión debería ser presidida por el líder del equipo de auditoría. Se debería considerar la introducción de lo siguiente, según corresponda:

  • Otros participantes, incluidos observadores y guías, intérpretes y un esbozo de sus funciones;
  • Los métodos de auditoría para gestionar los riesgos para la organización que pueden resultar de la presencia de los miembros del equipo de auditoría

Se debería considerar la confirmación de los siguientes elementos, según corresponda:

  • Los objetivos, el alcance y los criterios de la auditoría;
  • El plan de auditoría y otros arreglos relevantes con el auditado, como la fecha y hora de la reunión de cierre, cualquier reunión interina entre el equipo de auditoría y la administración del auditado, y cualquier cambio necesario;
  • Canales de comunicación formales entre el equipo de auditoría y el auditado;
  • El idioma que se utilizará durante la auditoría;
  • El auditado debería mantenerse informado del progreso de la auditoría durante la auditoría;
  • La disponibilidad de los recursos y las instalaciones que necesita el equipo de auditoría;
  • Cuestiones relacionadas con la confidencialidad y la seguridad de la información;
  • Acceso relevante, salud y seguridad, seguridad, emergencia y otros arreglos para el equipo de auditoría;
  • Actividades en el sitio que pueden afectar la realización de la auditoría.

La presentación de información sobre los siguientes elementos se debería considerar, según corresponda:

  • El método de informar los hallazgos de la auditoría, incluidos los criterios para la calificación, si corresponde;
  • Condiciones bajo las cuales puede darse por terminada la auditoría;
  • Cómo tratar con posibles hallazgos durante la auditoría;
  • Cualquier sistema de retroalimentación del auditado sobre los hallazgos o conclusiones de la auditoría, incluidas las quejas o apelaciones.
6.4.4 Comunicación durante la auditoría

Durante la auditoría, puede ser necesario hacer arreglos formales para la comunicación dentro del equipo de auditoría, así como con el auditado, el cliente de auditoría y potencialmente con partes interesadas externas (por ejemplo, reguladores), especialmente cuando los requisitos legales y reglamentarios requieren la notificación obligatoria de incumplimiento.

El equipo de auditoría debería consultar periódicamente para intercambiar información, evaluar el progreso de la auditoría y reasignar el trabajo entre los miembros del equipo de auditoría, según sea necesario.

Durante la auditoría, el líder del equipo de auditoría debería comunicar periódicamente el progreso, los hallazgos significativos y cualquier inquietud al auditado y al cliente de auditoría, según corresponda. La evidencia recopilada durante la auditoría que sugiera un riesgo inmediato y significativo se debería informar sin demora al auditado y, según corresponda, al cliente de auditoría. Cualquier preocupación sobre un tema fuera del alcance de la auditoría debería ser notada e informada al líder del equipo de auditoría, para una posible comunicación con el cliente de auditoría y el auditado.

Cuando la evidencia de auditoría disponible indique que los objetivos de la auditoría son inalcanzables, el líder del equipo de auditoría debería informar los motivos al cliente de auditoría y al auditado para determinar la acción adecuada. Dicha acción puede incluir cambios en la planificación de la auditoría, los objetivos de la auditoría o el alcance de la auditoría, o la terminación de la auditoría.

Cualquier necesidad de cambios en el plan de auditoría que pueda hacerse aparente a medida que avancen las actividades de auditoría debería ser revisada y aceptada, según corresponda, tanto por la (s) persona (s) que gestiona (n) el programa de auditoría como por el cliente de auditoría y presentada al auditado.

6.4.5 Disponibilidad y acceso a la información de auditoria

Los métodos de auditoría elegidos para una auditoría dependen de los objetivos de auditoría definidos, el alcance y los criterios, así como la duración y la ubicación. La ubicación es donde la información necesaria para la actividad de auditoría específica está disponible para el equipo de auditoría. Esto puede incluir ubicaciones físicas y virtuales.

Dónde, cuándo y cómo acceder a la información de auditoría es crucial para la auditoría. Esto es independiente de donde se crea, usa y/o almacena la información. En función de estos problemas, es necesario determinar los métodos de auditoría (ver Tabla A.1). La auditoría puede usar una mezcla de métodos. Además, las circunstancias de auditoría pueden significar que los métodos deberían cambiar durante la auditoría.

6.4.6 Revisión de información documentada durante la realización de la auditoría

La información documentada relevante del auditado debería ser revisada para:

  • Determinar la conformidad del sistema, en la medida documentada, con los criterios de auditoría;
  • Recopilar información para apoyar las actividades de auditoría.

NOTA Se proporciona orientación sobre cómo verificar la información en A.5.

La revisión se puede combinar con las otras actividades de auditoría y puede continuar a lo largo de la auditoría, siempre que esto no sea perjudicial para la efectividad de la realización de la auditoría. Si no se puede proporcionar la información documentada adecuada dentro del marco de tiempo dado en el plan de auditoría, el líder del equipo de auditoría debería informar tanto a la (s) persona (s) que gestionan el programa de auditoría como al auditado. Dependiendo de los objetivos y el alcance de la auditoría, se debería tomar una decisión sobre si la auditoría debiera continuar o suspenderse hasta que se resuelvan los problemas de información documentada.

6.4.7 Recopilación y verificación de información

Durante la auditoría, la información relevante para los objetivos, el alcance y los criterios de la auditoría, incluida la información relacionada con las interfaces entre funciones, actividades y procesos, debería recopilarse mediante un muestreo apropiado y debería verificarse, en la medida de lo posible.

NOTA 1 Para verificar la información, ver A.5.

NOTA 2 La orientación sobre el muestreo se muestra en A.6

Solo la información que puede estar sujeta a cierto grado de verificación debería aceptarse como evidencia de auditoría. Cuando el grado de verificación es bajo, el auditor debería usar su juicio profesional para determinar el grado de confianza que se le puede atribuir como evidencia. La evidencia de auditoría que conduzca a los hallazgos de auditoría debería registrarse. Si, durante la recopilación de evidencia objetiva, el equipo de auditoría se da cuenta de cualquier circunstancia nueva o cambiada, o riesgos u oportunidades nuevas, el equipo debería abordarlas en consecuencia.

La Figura 2 proporciona una visión general de un proceso típico, desde la recopilación de información hasta llegar a conclusiones de auditoría.

Figura 2 – Descripción de un proceso típico de recopilación y verificación de información.

Los métodos de recopilación de información incluyen, entre otros, los siguientes:

  • Entrevistas;
  • Observaciones;
  • Revisión de información documentada.

NOTA 3 En A.14 se proporciona orientación sobre la selección de fuentes de información y observación.

NOTA 4 La guía para visitar la ubicación del auditado se encuentra en A.15.

NOTA 5 La orientación sobre la realización de entrevistas se da en A.17

6.4.8 Generación de hallazgos de auditoría

La evidencia de auditoría debería ser evaluada contra los criterios de auditoría para determinar los hallazgos de auditoría. Los hallazgos de auditoría pueden indicar conformidad o no conformidad con los criterios de auditoría. Cuando el plan de auditoría lo especifica los hallazgos de la auditoría individual deberían incluir conformidad y buenas prácticas junto con su evidencia de respaldo, oportunidades de mejora y cualquier recomendación al auditado.
Se deberían registrar las no conformidades y su evidencia de auditoría de respaldo.
Las no conformidades se pueden clasificar según el contexto de la organización y sus riesgos. Esta clasificación puede ser cuantitativa (por ejemplo, de 1 a 5) y cualitativa (por ejemplo, menor, mayor).
Deberían revisarse con el auditado para obtener un reconocimiento de que la evidencia de auditoría es precisa y que las no conformidades. Se debería hacer todo lo posible para resolver las opiniones divergentes sobre la evidencia o los hallazgos de auditoría. Los problemas no resueltos deberían registrarse en el informe de auditoría.
El equipo editor debería unirse según sea necesario para revisar los hallazgos de auditoría en las etapas apropiadas durante la auditoría.

NOTA 1 Se proporciona orientación adicional sobre la identificación y evaluación de los hallazgos de auditoría en A.18.

NOTA 2 La conformidad o no conformidad con los criterios de auditoría relacionados con los requisitos legales o reglamentarios u otros requisitos, a veces se denomina cumplimiento o incumplimiento

Nuestros Servicios de Consultoría y Plataforma Soul Q te apoyan para la Gestión Normativa, Eficientar las evidencias requeridas como parte de la Matriz de Responsabilidades acorde al Rol de cada empleado que tiene a su cargo cualquier documento como parte de la operación y cumplimiento Legal en pro de apoyar a la Mejora Continua, fortalecer las acciones entorno al Compliance, así como en apoyo de las Auditorías correspondientes.

Compartir en Redes
LinkedIn
Facebook
WhatsApp
Reddit
Publicaciones Relacionadas

Crea, administra y consulta de manera ágil la documentación de tu empresa, partiendo de diagramas de procesos.

Enlaces

Visítanos

Scroll al inicio

Evalúa gratis la madurez de tu empresa en torno al Sistema de Gestión para Identificar áreas de Oportunidad y Puntos Clave para la Mejora Continua

Comenzar diagnóstico