1

AUDITORIAS DE SEGURIDAD UNIDAD I Conociendo las auditorías

2

Introducción

Las auditorias en todo negocio son muy importantes, por cuanto los

responsables de un área o producto sin la práctica de una auditoria no tienen

plena seguridad de que los datos obtenidos, son realmente verdaderos y

confiables. En una auditoria se define la situación real de la empresa en un

periodo determinado.

Una auditoria además, evalúa el grado de eficiencia y eficacia con que se

desarrollan las tareas administrativas y el grado de cumplimiento de los planes y

orientaciones emanadas por la dirección.

Una auditoria puede evaluar, por ejemplo, los estados financieros en su

conjunto o una parte de ellos, el correcto uso de los recursos humanos, el uso de

los materiales y equipos y su distribución, etc. Contribuyendo para que la dirección

pueda en un momento determinado tomar decisiones bien fundadas.

La Norma ISO 19011:2011, que analizaremos como base en este curso,

proporciona orientación sobre la gestión de un programa de auditoría, sobre la

planificación y la realización de una auditoría del Sistema de Gestión, así como

la competencia y la evaluación de un auditor y un equipo auditor. La norma ISO

19011, no es una norma certificable pero sí que puede ayudar a las

organizaciones a mejorar el desempeño de los Sistemas de Gestión que se

encuentren implementados en la organización.

Cuando una empresa cuenta con un Sistema de Gestión implementado,

debe realizar ciertas auditorías periódicas para asegurarse de que el Sistema de

Gestión sigue siendo eficaz. En este momento es cuando la norma ISO 19011

cobra valor.

La ISO 19011 proporciona recomendaciones para ayudar a las

organizaciones a establecer un programa de auditoría que facilite el

cumplimiento de los requisitos establecidos en las diferentes normas ISO. Las

¿Ha pensado usted porqué todos los dueños de vehículos

motorizados deben efectuar una revisión técnica de estos?

3

directrices que establecen las normas ISO sientan las bases para realizar las

auditorías internas de la organización, las auditorias que la organización puede

necesitar para evaluar a sus proveedores y las auditorías externas que tiene que

realizar para optar a obtener la certificación.

“La primera característica que debe tener un buen auditor interno

es saber escuchar” NAHUM FRETT

4

Ideas fuerza

“Auditoría es el examen crítico y sistemático que realiza un profesional del área del conocimiento de la entidad o programa auditado” “Una evidencia es un conocimiento que se descubre en base a los registros documentales en un proceso de auditoría” “Sistemas de Gestión es un conjunto de elementos relacionados o que interactúan que permiten implantar y alcanzar la política y los objetivos de una entidad, cualquiera sea su finalidad.”

5

1. Conceptos relacionados con el proceso de auditorías

Para entender de qué se trata el proceso de auditoría en específico, es

necesario abordar algunos conceptos que son inherentes a la auditoría. Para esto,

la norma ISO 19011:2011 orienta proporcionando las definiciones estandarizadas

de los conceptos correspondientes al proceso de auditoría.

1.1 Términos y definiciones relacionados con las auditorías:

Para hablar de auditoría primero se debe estandarizar el concepto. La

norma ISO 19011:2011 define auditoría de la siguiente manera:

Según RAE.es.

Auditoría se define como

1.f. Revisión sistemática de una actividad o de una situación para evaluar el

cumplimiento de las reglas o criterios objetivos a que aquellas deben somet

erse. http://dle.rae.es/?id=4NVvRTc

La auditoría es un proceso sistemático, independiente y

documentado para obtener evidencias de la auditoría y evaluarlas de

manera objetiva con el fin de determinar la extensión en que se cumplen

los criterios de auditoría. NORMATIVA ISO 19011:2011

http://dle.rae.es/?id=4NVvRTc

6

En otras palabras Auditoria es un proceso independiente del sistema de

gestión, pero a la vez es parte de él, comprendiendo que es un proceso de apoyo

para obtener el grado de cumplimiento de lo establecido en la norma. Se trata de

un proceso sistemático porque posee un conjunto de procedimientos lógicos y

organizados para ejecutarse.

Para ejecutar la auditoría es necesario generar un programa. La ISO

19011:2011 brinda claridad respecto a cómo definir este concepto:

Programa de auditoría es el conjunto de una o más auditorías planificadas

para un periodo de tiempo determinado y dirigidas hacia un propósito específico.

Dentro de la auditoría destacan tres entes que conforman el proceso:

auditor, auditado y equipo auditor.

El auditor es la persona que lleva a cabo la auditoría, mientras que el

auditado es la organización que está siendo auditada. Finalmente, el equipo

auditor es el conjunto de uno o más auditores que son quienes llevan a cabo la

auditoría con el apoyo de expertos técnicos.

Cada auditor tiene competencias técnicas adecuadas para realizar dicho

proceso. Cuando el auditor no posee competencias técnicas suficientes asociadas

al proceso, el equipo auditor puede contar con un experto técnico que es la

persona que aporta conocimientos o experiencia específica al equipo auditor.

Programa de auditoría es el conjunto de una o más auditorías

planificadas para un periodo de tiempo determinado y dirigidas hacia un

propósito específico.

¿Por qué es importante una auditoria en un sistema de

seguridad?

7

1.1.1 Criterios, evidencias y hallazgos de auditorías de gestión:

Existen tres conceptos que suelen ser confundidos o poco comprendidos

respecto a qué es auditoría de sistemas de gestión. Para entender estos

conceptos, la norma ISO 19011:2011 proporciona definiciones claras.

1) Criterio de auditoría es un grupo de políticas, procedimientos o

requisitos usados como referencia y contra los cuales se compara la evidencia de

auditoría.

En base a estos conceptos, en palabras simples, el criterio tiene relación

con los documentos asociados al sistema de gestión (políticas y procedimientos),

los cuales son las referencias que se aplican en los distintos procesos de la

organización. Por tanto, el criterio es el parámetro de comparación de cumplimiento

de estas referencias en relación al sistema de gestión para verificar su

cumplimiento.

2) Evidencia de auditoría 1es el registro, declaraciones de hechos o

cualquier otra información que son pertinentes a los criterios de auditoría y que son

verificables.

La evidencia de la auditoría es todo lo que el auditor pueda encontrar

dentro de su revisión y que dé cuenta de las observaciones y no conformidades,

entendiendo por no conformidad el no cumplimiento de un requisito normativo.

1 Nota: La evidencia puede ser de carácter cuantitativa o cualitativa.

Ejemplo:

El criterio de una auditoría en una planta de alimentos es la norma

ISO 22000 “Sistema de gestión de inocuidad alimentaria”, que entrega las

normas para gestionar este tipo de empresas. Si la empresa fuera

forestal, podría regirse por la norma ISO 14001:2015 y la normativa legal

asociada a los aspectos ambientales

8

3) Hallazgo de la auditoría son los resultados de la evaluación de la

evidencia de la auditoría recopilada frente a los criterios de auditoría.

Los hallazgos de la auditoría corresponden a todo lo que detecta el auditor

a través de las entrevistas realizadas, observación u otras técnicas aplicadas.

Como las siguientes, las técnicas de interrogatorio, la conversación con pregunta

cerrada, o la técnica de Tascoi y que este estime que no se ajusta al criterio de

evaluación.

Ejemplo:

El informe de auditoría es evidencia de las entrevistas y

proporciona los elementos necesarios para realizar la comparación entre

el criterio y lo que se está ejecutando.

TÉCNICA DE TASCOI

Mediante el TASCOI el equipo auditor establece la identidad en uso

de la organización, con el propósito de determinar:

¿Qué hace realmente la entidad?

¿Cómo lo hace?

¿Para qué lo hace?

¿Quiénes son los propietarios del proceso o dueños del proceso?

¿Cuáles son los clientes?

9

2. Tipos de Auditorías de Sistemas de Gestión:

A pesar de que el concepto de auditoría aplicado a los sistemas de gestión

es único, existen variantes de las auditorías basadas en su aplicación o en lo que

esté enfocada.

Se clasifican en:

Auditoría interna: se realiza al interior de la organización, con la finalidad

de controlar y aplicar mejoras en el sistema de gestión que se esté auditando.

Tiene como objetivo final detectar las posibles no conformidades y mejorarlas antes

de llegar a las auditorías de certificación.

Auditoría externa: como lo indica su nombre, es realizada por un auditor o

equipo auditor externo. Puede estar relacionada con la obtención de una

certificación u otro tipo de auditorías que no son de certificación, pero que permiten

que algún ente pueda certificar los procesos internos de la organización.

En estos dos grupos se pueden subdividir distintos tipos se auditoría, las

cuales se detallan a continuación:

2.1 Por campo de aplicación:

2.1.1 Por tipo de cliente

Tal como lo indica su nombre, se enfocan en el cliente. Entendiendo dicho

concepto de manera más amplia, en esta categoría es posible identificar las

auditorías de compras o due diligence, la auditoría de cumplimiento legal, de

proveedores o de segunda parte, de homologación, etc.

10

2.1.2 Por el ámbito de la auditoría

El otro grupo son las auditorías que atienden a un objetivo específico, o

que buscan verificar un tema particular. En este grupo se pueden identificar

algunas tales como la auditoría del sistema de gestión, la auditoría a procesos o

conjunto de procesos, auditoría de uno o de un conjunto de requisitos, entre otras.

2.2 Clasificación de auditoría por objetivo, alcance y sujeto:

Entendiendo que las auditorías se dividen en dos grandes grupos, estas

también tienen subdivisiones que se enfocan a objetivo, alcance y sujeto.

2.2.1 Atendiendo al objetivo:

A continuación la subdivisión de la auditoría que se enfoca a objetivos.

2.2.1.1 Auditoría de tercera parte:

Este tipo de auditoría es desarrollada por un organismo independiente,

sobre una organización que busca la conformidad con una norma o reglas de

estandarización.

2.2.1.2 Auditoría de homologación:

La homologación de proveedores es el proceso por el cual una empresa

define aquellos proveedores que están cualificados para suministrar los productos

y servicios ofrecidos. Para poder certificar aquello es que se realiza la auditoría de

homologación. A pesar de que su definición es similar a la de la auditoría de

segunda parte, esta apela al concepto de homologar, en el sentido de que el

proveedor debe adaptarse a los sistemas de gestión que posee el comprador. Un

ejemplo claro de este tipo de auditoría es el rubro minero, donde las empresas

mandantes exigen a proveedores tener algún sistema de gestión que asegure que

sus procesos sean acordes a los suyos.

Codelco efectúa auditorías de segunda parte o de proveedores a

todos sus subcontratistas, para evidenciar el cumplimiento de la

normativa y requerimientos solicitados para ser proveedor de servicios a

la empresa.

11

2.2.1.3 Auditoría de compra:

Es un proceso investigativo que se emplea previo a alguna firma de

contrato o una ley con cierta “diligencia” de cuidado. Un ejemplo habitual de due

diligence es el proceso por el cual un comprador potencial evalúa una empresa

objetivo o sus activos, de cara a una adquisición. Con ello estima el riesgo

financiero y de mercado, previo a realizar dicha adquisición.

2.2.1.4 Auditoría de cumplimiento legal:

Este tipo de auditoría consiste en comprobar las operaciones financieras,

administrativas, económicas y de cualquier otro tipo que permitan establecer y

verificar que los procesos se realizan en conformidad a las normas legales que les

sean aplicables.

2.2.2 Atendiendo al alcance:

En adelante la subdivisión de la auditoría que se enfoca al alcance.

2.2.2.1 Auditoría del producto:

En este tipo de auditoría, y tal como su nombre lo indica, se evalúan y

contrastan los productos o servicios con los requisitos establecidos para su

realización, evaluando las especificaciones definidas en el sistema.

Las plantas de revisión técnica son sometidas a auditorías para ver

el cumplimiento de la normativa legal emitida por el Ministerio de

Transporte y Telecomunicaciones para poder desarrollar su actividad y

tener la potestad de entregar las revisiones técnicas autorizadas.

La auditoría de producto también puede ser considerada una

auditoría de segunda parte. En este caso una empresa que fabrica

mermeladas auditará a la empresa que le provee de frutas para su

proceso productivo. Ello, para asegurar la calidad de su materia prima y

con ello tener la seguridad de que su producto tendrá un resultado

óptimo.

12

2.2.2.2 Auditoría de sistema de gestión:

La auditoría del sistema de gestión busca verificar el cumplimiento del

sistema de gestión y evidenciar los elementos que están con problemas, para de

esta manera preparar la auditoría externa de certificación. Este tipo de auditoría se

considera una especie de ensayo general, un poco más elaborado y realizado por

agentes externos.

2.2.2.3 Auditoría de procesos o de un conjunto de proceso:

En este tipo de auditoría se verifican las entradas al proceso y las salidas

del sistema, y si estos se ejecutan de acuerdo a los requisitos establecidos dentro

del sistema de gestión, cualquiera sea este. Se enfoca solo en procesos y no en

cuestiones administrativas. Es muy usada dentro de la minería por las compañías

mandantes para verificar los procesos de los subcontratistas.

2.2.2.4 Auditoría de un requisito o de un conjunto de requisitos:

La auditoría de requisitos ya casi no es utilizada, pero se enfoca en revisar

uno o un conjunto de requisitos específicos para verificar su cumplimiento. Esto en

general es poco eficaz, ya que es más conveniente realizar auditorías a procesos o

productos que generar una auditoría a áreas específicas.

2.2.2.5 Auditoría de proveedores:

Se refiere a las auditorías realizadas a algún proveedor o posibles

proveedores. Tiene como finalidad evaluar los procesos vinculados al cliente. El

cliente o comprador es el auditor, y es a quien le interesa conocer la capacidad de

suministrar los productos o servicios requeridos por él y el cumplimiento de los

requerimientos solicitados por parte del proveedor.

¿Qué pasa si el auditor desconoce aspectos del proceso que

audita?

13

2.2.3 Atendiendo al Sujeto:

A continuación la subdivisión de la auditoría que se enfoca al sujeto.

2.2.3.1 Auditoría interna:

La auditoría interna es una actividad independiente y objetiva que tiene

como meta asegurar y controlar el proceso interno de las organizaciones en donde

está siendo aplicada. Es concebida para agregar valor y mejorar las operaciones,

sistemas y procesos internos. Tal como su nombre lo indica, es realizada en forma

interna por la organización. También es conocida como auditoría de primera parte,

y tiene como característica principal que el cliente es la organización.

2.2.3.2 Auditoría externa:

La auditoría externa es un proceso de examen y análisis de determinados

sistemas y requisitos de distintas índoles de la empresa y que es llevado a cabo

por una persona (auditor externo) o entidad especializada ajena a la entidad.

14

Conclusión

Durante el transcurso de esta primera semana, nos hemos introducido en

una de las tareas relevantes que consiste en establecer cómo está funcionando un

sistema de gestión o proceso. Esto es de mucha importancia en el campo de la

seguridad privada, en atención a que es un rubro en constante perfeccionamiento

y que nunca permanecerá estático o sin influencia del ambiente externo e interno.

Fueron revisadas como guía para la acción algunas definiciones de la norma ISO

19011:2011, con el objeto de comprender la importancia en que este proceso sea

realizado seriamente y busque su objetivo fundamental que es el mejoramiento

continuo.

Los tipos de auditorías son muy variados y responden a las necesidades

de las distintas organizaciones. En general, los grupos tienden a tener

características muy parecidas entre sí y solo se diferencian en sus rasgos

principales.

No obstante, tal como se presentan, todos los tipos de organización son

regidos por los mismos principios, siendo estos la base de todo el proceso. Estos

principios actúan simbióticamente y si uno de ellos no está́ presente, el proceso en

general se verá́ afectado en forma directa o indirecta. Por lo mismo, el profesional

auditor debe tener en cuenta la internalización de estos principios al momento de

ejecutar el proceso de auditoría.

15

Bibliografía

International Organization for Standardization (2011), ISO, Directrices para la

auditoria de sistemas de gestión, Ginebra, Suiza.

Lázaro Torres, N. (2009), Tendencias Pedagógicas en Centros de

Autoaprendizaje de Alemania, Suiza, HongKong y España, Aula Abierta.

Pozo, J.I. (2006). Teorías cognitivas del aprendizaje. Madrid, España,

Ediciones Morata.

Real Academia Española. (2001). Diccionario de la lengua española (22.aed.).

Consultado en http://www.rae.es/rae.html

Universidad de Chile. (2004). Guía para la Redacción de Referencias

Bibliográficas. Santiago: Universidad de Chile. Sistema de Servicios de

Información y Bibliotecas – SISIB (sisib@uchile.cl).

Yukavetsky, G. (2003) La elaboración de un módulo instruccional, Puerto

Rico, Centro de Competencias de la Comunicación, Universidad de

Puerto Rico. Consultado en octubre 2014, en

http://www1.uprh.edu/ccc/CCC/La%20elaboracion%20de%20un%20modulo%20in

struccional/CCC_LEDUMI.pdf

http://www.rae.es/rae.htmlmailto:sisib@uchile.clhttp://www1.uprh.edu/ccc/CCC/La%20elaboracion%20de%20un%20modulo%20instruccional/CCC_LEDUMI.pdfhttp://www1.uprh.edu/ccc/CCC/La%20elaboracion%20de%20un%20modulo%20instruccional/CCC_LEDUMI.pdfhttp://www1.uprh.edu/ccc/CCC/La%20elaboracion%20de%20un%20modulo%20instruccional/CCC_LEDUMI.pdf

16