NORMA ISO INTERNACIONAL 19011...ISO 19011: 2018 ii ISO 2018 – Traducción sólo para capacitación...

Número de referencia

ISO 19011: 2018

NORMA ISO INTERNACIONAL 19011

Tercera edición

2018-07

Guías y lineamientos para auditorias de sistemas de administración

ISO 19011: 2018

ii

ISO 2018 – Traducción sólo para capacitación

Este documento consiste sólo de una interpretación al español, y es una copia libre de la Norma Internacional original, publicada por ISO en Julio-2018. Sólo debe considerarse como una consulta. El único documento oficial es el publicado originalmente en Ingles por ISO mismo.

ISO 19011: 2018

iii


CONTENIDO Página Prefacio..................................................................................................................................................... v Introducción............................................................................................................................................ Vi 1 Alcance....................................................................................................................................... 1 2 Referencias normativas............................................................................................................. 1 3 Términos y definiciones............................................................................................................ 1 4 Principios de auditorias............................................................................................................ 5 5 Administración de un programa de auditorias....................................................................... 6 5.1 Generalidades............................................................................................................................ 6 5.2 Establecimiento de objetivos de un programa de auditorias....................................................... 9 5.3 Determinación y evaluación de riesgos y oportunidades de un programa de auditorías................ 9 5.4 Establecimiento de un programa de auditorias.......................................................................... 10 5.4.1 Roles y responsabilidades del(los) individuo(s) administrando programas de auditorias 10 5.4.2 Competencias del(los) individuo(s) administrando programas de auditorías…………… 11 5.4.3 Establecimiento el alcance de un programa de auditorías…………………………………. 11 5.4.4 Determinación de los recursos de un programa de auditorías…………………………… 12 5.5 Implementación de un programa de auditorias.................................................................................. 12 5.5.1 Generalidades………………………………………………………………………………….. 12 5.5.2 Definición de objetivos, alcance y criterios para una auditoria individual………………. 13 5.5.3 Selección y determinación de métodos de auditoria.…………………………………….. 14 5.5.4 Selección de miembros de un equipo auditor……………………………………………… 14 5.5.5 Asignación de responsabilidades para una auditoria individual al líder del equipo auditor.. 15 5.5.6 Administración de resultados de un programa de auditorías……………………………… 16 5.5.7 Administración y mantenimiento de registros de un programa de auditorías……………… 16 5.6 Monitoreo de un programa de auditorias...................................................................................... 17 5.7 Revisión y mejoramiento de un programa de auditorías…………………………………………… 17 6 Conducción de una auditoria........................................................................................................ 18 6.1 Generalidades........................................................................................................................... 18 6.2 Iniciación de una auditoria......................................................................................................... 18 6.2.1 Generalidades…………………………………………………………………………………. 18 6.2.2 Establecimiento del contacto con el auditado…...………………………………………… 18 6.2.3 Determinación de la factibilidad de una auditoria………………………………………….. 19 6.3 Preparación de actividades de auditoria.................................................................................... 19 6.3.1 Ejecución de revisiones de información documentada…………………………………… 19 6.3.2 Planeación de una auditoria…………………………………………………………………. 19 6.3.3 Asignación del trabajo al equipo auditor……………………………………………………. 21 6.3.4 Preparación de información documentada para una auditoria…………………………... 21 6.4 Conducción de actividades de auditoria..................................................................................... 21 6.4.1 Generalidades…………………………………………………………………………………. 21 6.4.2 Asignación de roles y responsabilidades de guías y observadores………………………. 21 6.4.3 Conducción de junta de apertura……………………………………………………………. 22 6.4.4 Comunicación durante la auditoria………………………………………………………….. 23 6.4.5 Disponibilidad de acceso de información de la auditoria…………………………………. 23 6.4.6 Revisión de la información documentada durante la conducción de la auditoria……….. 23 6.4.7 Recolección y verificación de información…………………………………………………. 24 6.4.8 Generación de hallazgos de auditoria……………………………………………………….. 25 6.4.9 Determinación de las conclusiones de auditoria……………………………………………. 25 6.4.10 Conducción de junta de cierre…………………………………………………………………. 26 6.5 Preparación y distribución del reporte de auditoria....................................................................... 27 6.5.1 Preparación del reporte de auditoria…………………………………………………………. 27 6.5.2 Distribución del reporte de auditoria………………………………………………………….. 27 6.6 Completado de una auditoria...................................................................................................... 28 6.7 Conducción de seguimiento en una auditoria............................................................................... 28

Leyva

Resaltado

ISO 19011: 2018

iv


7 Competencias y evaluaciones de auditores................................................................................. 28 7.1 Generalidades............................................................................................................................ 28 7.2 Determinación de las competencias de los auditores................................................................... 29 7.2.1 Generalidades…………………………………………………………………………………. 29 7.2.2 Comportamiento personal……………………………………………………………………. 29 7.2.3 Conocimientos y habilidades………………………………………………………………….. 30 7.2.4 Logro de competencias de auditores……………………………………………………….. 32 7.2.5 Logro de competencias de líderes de equipos auditores…………………………………. 33 7.3 Establecimiento de criterios para evaluaciones de auditores..................................................... 33 7.4 Selección de métodos apropiados para evaluaciones de auditores............................................. 33 7.5 Conducción de evaluaciones de auditores………........................................................................ 33 7.6 Mantenimiento y mejoramiento de competencias de auditores.................................................... 34 Anexo A (Informativo) Guías adicionales para auditores planeando y conduciendo auditorias…… 35 Bibliografía………………………………………………………………………………………………………..…. 46

ISO 19011: 2018

v


Prefacio ISO (Organización Internacional para la Normalización/Estandarización) es una federación mundial de organismos de normas nacionales (organismos miembros de ISO). El trabajo de preparación de Normas Internacionales se realiza normalmente a través de comités técnicos de ISO. Cada organismo miembro interesado en un tema para el cual se haya establecido un comité técnico tiene el derecho a ser representado en dicho comité. Organizaciones internacionales, gubernamentales y no gubernamentales, y en enlace con ISO, también toman parte en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todos los asuntos de normalización/estandarización electrotécnica.

Los procedimientos usados para desarrollar este documento y aquellos con el propósito de su mantenimiento posterior son descritos en las Directrices, Parte 1, de ISO/IEC. En particular los diferentes criterios de aprobación necesarios para los diferentes tipos de documentos ISO debieran ser notados. Este documento fue bosquejado de acuerdo con las reglas editoriales de las Directrices, Parte 2, de ISO/IEC (ver www.iso.org/directives)

Se ofrece atención a la posibilidad de que algunos de los elementos de este documento pueden estar sujetos a derechos de patentes. ISO no debe mantener la responsabilidad de identificar alguno o todos los derechos de patentes. Los detalles de cualquier derecho de patente identificado durante el desarrollo de este documento estarían en la introducción y/o en una lista ISO de declaraciones de patentes recibida (ver www.iso.org/patents)

Cualquier no nombre de marca usada en este documento es información ofrecida solo para conveniencia de los usuarios y no constituye un endoso.

Para una explicación de la naturaleza voluntaria de normas/estándares, el significado de los términos específicos y expresiones de ISO relacionados con evaluaciones de conformidad, así como información acerca de la adherencia de ISO con los principios de World Trade Organization (WTO) en Technical Barriers to Trade (TBT) ver la siguiente URL: www.iso.org/iso/foreword.html

Este documento fue preparado por el Comité de Proyectos ISO/PC 302, Lineamientos y guías para auditorías de sistemas de administración

Esta tercera edición cancela y reemplaza la segunda edición (ISO 19011: 2011), la cual ha sido técnicamente revisada.

Las diferencias principales comparado con la segunda edición son las siguientes:

- adición del enfoque basado en riesgos a los principios de auditorías;

- expansión de las guías sobre administración de programas de auditorías, incluyendo riesgos de programas de

auditorías mismos;

- expansión de las guías sobre conducción de auditorías, particularmente la sección de planeación de

auditorías;

- expansión de los requerimientos genéricos de competencias para auditores;

- ajuste de la terminología para reflejar el proceso y no el objeto (“cosa”);

- retiro del anexo que contiene requerimientos de competencias para auditorías de disciplinas específicas de

sistemas de administración (debido al gran número de normas individuales de sistemas de administración, no

sería práctico incluir requerimientos de competencias para todas las disciplinas);

- expansión del Anexo A para ofrecer guías sobre (nuevos) conceptos de auditorías tales, contexto de la

organización, liderazgo y compromiso, auditorias virtuales, cumplimiento y cadena de suministros.

http://www.iso.org/directives

http://www.iso.org/patents

http://www.iso.org/iso/foreword.html

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

vi


Introducción

Desde la segunda edición de este documento publicada en el 2011, un número de normas de nuevos sistemas de administración se ha publicado, muchos de los cuales tienen una estructura común, requerimientos centrales idénticos, y términos comunes y definiciones centrales. Como resultado, existe la necesidad de considerar un enfoque más amplio para auditorías de sistemas de administración, así como el ofrecer guías que sean más genéricas. Los resultados de auditorías pueden ofrecer una entrada a aspectos de análisis en la planeación de negocios, y pueden contribuir a la identificación de necesidades y actividades de mejoramiento. Una auditoria puede ser conducida contra un rango de criterios de auditorías mismos, en forma separada o en combinación, incluyendo y sin limitarse a:

requerimientos definidos en una o más normas de sistemas de administración;

políticas y requerimientos especificados por partes interesadas relevantes;

requerimientos estatutarios y regulatorios;

uno o más procesos de sistemas de administración definidos por la organización u otras partes;

planes de sistemas de administración relacionados con el suministro de resultados/salidas específicas de un

sistema de administración (ej., planes de calidad, planes de proyectos)

Este documento ofrece guías para todos tipos y tamaños de organizaciones y auditorias de alcances y escalas variables, incluyendo aquellas conducidas por equipos de auditorías grandes, típicamente en organizaciones muy grandes, y aquellas por un solo auditor, ya sea en organizaciones grandes o pequeñas. Esta guía debiera ser adaptada y apropiada al alcance, complejidad y escala de los programas de auditorías. Este documento se concentra en auditorías internas (de primeras partes) y auditorias conducidas por organizaciones a sus proveedores externos y otras partes interesadas externas (segundas partes). Este documento puede ser también útil para auditorías externas conducidas para propósitos diferentes a los de certificaciones de sistemas de administración de terceras partes. ISO/IEC 17021-1 ofrece requerimientos para auditorias de sistemas de administración para certificaciones de terceras partes; este documento puede ofrecer guías adicionales útiles (ver Tabla 1).

Tabla 1 – Diferentes tipos de auditorias

Auditorías de 1as. partes Auditorías de 2das. partes Auditorías de 3as. partes

Auditorias interna Auditorías a proveedores externos Auditorías de certificación y/o acreditación

Otras auditorias externa de partes interesadas

Auditorias estatutarias/regulatorias y similares

Para simplificar la legibilidad de este documento, se prefiere la forma singular de “sistema de administración”, aunque el lector puede adaptar la implementación de las guías a su propia situación. Esto también aplica al uso de “individuo” e “individuos” “auditor” y “auditores”. Este documento tiene la intención de aplicarse a un alto rango de usuarios potenciales, incluyendo auditores, organizaciones implementando sistemas de administración y organizaciones que necesiten conducir auditorias de sistemas de administración por razones contractuales o regulatorias. Los usuarios de este documento pueden, sin embargo, aplicar estas guías en el desarrollo de sus propios requerimientos relacionados con auditorias. Las guías en este documento pueden ser también usadas para propósitos de una auto declaración y pueden ser útiles a organizaciones involucradas en el entrenamientos a auditores o certificación de personal. Las guías en este documento tienen la intención de ser flexibles. Como se indica en varios puntos en el texto, el uso de estas guías puede diferir dependiendo del tamaño y nivel de madurez del sistema de administración de las organizaciones. La naturaleza y complejidad de la organización a ser auditada, así como los objetivos y alcance de las auditorías a ser conducidas, debieran ser también considerados.

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

vii


Este documento adopta el enfoque de auditorías combinadas cuando dos o más sistemas de administración de diferentes disciplinas son auditados en forma conjunta. Cuando estos sistemas se integren en un solo sistemas de administración, los principios y procesos de auditorías son los mismos que para las auditorias combinadas (algunas veces conocidas como auditorias integradas). Este documento ofrece guías en la administración de un programa de auditorías, en la planeación y conducción de auditorías de sistemas de administración, así como en las competencias y evaluaciones de auditores y equipos de auditores.

Norma Internacional ISO 19011: 2018

1


Guías y lineamientos para auditorias de sistemas de administración

1. Alcance

Este documento ofrece guías sobre auditorias de sistemas de administración, incluyendo principios de auditoras, administración de un programa de auditorías y conducción de auditorías de sistemas de administración, así como guías en la evaluación de competencias de individuos involucrados en el proceso de auditoría. Estas actividades incluyen al(los) individuo(s) administrando el programa de auditorías, los auditores y los equipos de auditorías. Aplica a todas las organizaciones que necesiten planear y conducir auditorías internas o externas de sistemas de administración o administrar un programa de auditorias. La aplicación de este documento a otros tipos de auditorias es posible, siempre y cuando se dé consideración especial a las competencias específicas necesarias.

2. Referencias normativas No existen referencias normativas en este documento.

3. Términos y definiciones Para propósitos de este documento, los siguientes términos y definiciones aplican.

ISO e IEC mantienen bases de datos de términos para uso en normalización/estandarización en las siguientes direcciones:

Plataforma en línea de ISO: disponible en https://www.iso.org/obp

Electropedia de IEC: disponible en http://www.electropedia.org/

3.1 auditoria Proceso sistemático, independiente y documentado para obtener evidencias objetivas (3.8) y evaluarlas en forma objetiva para determinar el alcance en el cual los criterios de auditoria (3.7) se cumplen.

Nota 1 de entrada Las auditorías internas, algunas veces llamadas auditorias de primeras partes, son conducidas por, o a favor, de la organización misma.

Nota 2 de entrada Las auditorías externas incluyen aquellas generalmente llamadas como de segundas y terceras partes. Las auditorias de segundas partes son conducidas por partes que tienen un interés en la organización, tales como, clientes, u otros individuos en su favor. Las auditorias de terceras partes son conducidas por organizaciones de auditorías independientes, tales como, aquellas que ofrecen certificación/registro de conformidad o agencias gubernamentales.

[FUENTE: ISO 9000: 2015, 3.13.1, modificado – Las notas de entrada han sido modificadas]

3.2 auditoria combinada auditoría (3.1) realizada junto con un solo auditado (3.13) para dos o más sistemas de administración (3.18) Nota 1 de entrada: cuando dos o más sistemas de administración de disciplinas específicas son integrados en un sistema de administración esto es conocido como un sistema integrado de administración. [FUENTE: ISO 9000: 2015, 3.13.2, Modificado]

https://www.iso.org/obp

http://www.electropedia.org/

ISO 19011: 2018

2


3.3 auditoria conjunta

auditoria (3.1) realizada con un auditado (3.13) por dos o más organizaciones de auditoria. [FUENTE; ISO 9000: 2015, 3.13.3]

3.4 programa de auditorias acuerdos para un conjunto de una o más auditorias (3.1) planeadas para un esquema de tiempo específico y dirigidas hacia un propósito especifico [FUENTE: ISO 9001: 2015, 3.13.4, modificado – se han agregado palabras a la definición]

3.5 alcance de auditoria

extensión y límites de una auditoria (3.1). Nota 1 de entrada: el alcance de la auditoria generalmente incluye una descripción de las localizaciones fiscas y virtuales, funciones, unidades organizacionales, actividades y procesos, así como el periodo de tiempo cubierto. Nota 2 de entrada: una localización virtual es donde una organización ejecute trabajos u ofrezca un servicio usando un medio ambiente en línea y accesando individuos independientemente de las localizaciones físicas para ejecutar los procesos [FUENTE: ISO 9000: 2015, 3.13.5 modificado, la nota 1 de entrada ha sido modificada, la nota 2 de entrada ha sido agregada]

3.6 plan de auditoria

descripción de actividades y acuerdos para una auditoria (3.1). [FUENTE: ISO 9000: 2015, 3.13.6]

3.7 criterios de auditoria

conjunto de requerimientos (3.23) usados como una referencia y contra los cuales evidencias objetivas (3.8) son comparadas.

Nota 1 de entrada: Si los criterios de auditoria son requerimientos legales (incluyendo estatutarios o regulatorios), las palabras “cumplimiento” o “incumplimiento” son a menudo usadas como un hallazgo de auditoria (3.10). Nota 2 de entrada: los requerimientos pueden incluir políticas, procedimientos, instrucciones de trabajo, requerimientos legales, obligaciones contractuales, etc. [FUENTE: ISO 9000: 2015, 3.13.7, modificado – la definición ha sido cambada y las notas de entrada 1 y 2 han sido agregadas]

3.8 evidencia objetiva datos que soporten la existencia o verificación de algo. Nota 1 de entrada: las evidencias objetivas pueden obtenerse a través de observación, mediciones, pruebas u otros medios. Nota 2 de entrada: las evidencias objetivas para propósitos de la auditoría (3.1) generalmente consisten de registros, declaraciones de hechos, u otra información que sea relevante a los criterios de auditoria (3.7) y sean verificables. [FUENTE: ISO 9000: 2015, 3.8.3]

3.9 evidencias de auditoria

registros, declaraciones de hechos u otra información, la cual es relevante a los criterios de auditoria (3.7) y verificable.

[FUENTE: ISO 9000: 2015, definición 3.13.8]

ISO 19011: 2018

3


3.10 hallazgos de auditorias

resultados de la evaluación de evidencias de auditoria (3.9) recolectadas contra criterios de auditoria (3.7).

Nota 1 de entrada: Los hallazgos de auditoria indican conformidad (3.20) o no conformidad (3.21). Nota 2 de entrada: Los hallazgos de auditoria pueden llevar a la identificación de oportunidades de mejora o registro de buenas prácticas. Nota 3 de entrada: Si los criterios de auditoria son seleccionados de requerimientos legales u otros, los hallazgos de auditorías se definen con los términos cumplimiento o incumplimiento. [FUENTE: ISO 9000: 2015, 3.13.9, modificado – Las notas de entrada 2 y 3 han sido modificadas]

3.11 conclusiones de auditoria resultados de una auditoria (3.1), después de considerar los objetivos de auditorías y todos los hallazgos de auditorías (3.10).

[FUENTE: ISO 9000: 2015, 3.13.10]

3.12 cliente de la auditoria organización o persona que solicita una auditoria (3.1).

Nota 1 de entrada: En el caso de una auditoria interna, el cliente de la auditoria puede también ser el auditado (3.13) o el(los) individuo(s) que esté(n) administrando el programa de auditorías. Las solicitudes para auditorías externas vienen de fuentes tales como, reguladores, partes con contratos o clientes potenciales o existentes.

[FUENTE: ISO 9000: 2015, 3.13.11, modificado – La nota 1 de entrada ha sido agregada]

3.13 auditado

organización en su totalidad o partes de ella siendo auditada. [ISO 9000: 2015, 3.13.12, modificado]

3.14 equipo auditor Uno o más auditores conduciendo una auditoria (3.1), y apoyados si es necesario por expertos técnicos (3.16). Nota 1 de entrada: Un auditor (3.15) del equipo auditor (3.14) es asignado como líder del equipo auditor mismo. Nota 2 de entrada: El equipo auditor puede incluir auditores en entrenamiento. [FUENTE: ISO 9000: 2015, 3.13.14]

3.15 auditor persona que conduce una auditoria (3.1). [FUENTE: ISO 9000: 2015, 3.13.15]

3.16 experto técnico

Persona que ofrece conocimientos o experiencia específica al equipo auditor (3.14).

Nota 1 de entrada: Conocimiento o experiencia específica es aquella que se relaciona con la organización, proceso o actividad/área a ser auditada, o el lenguaje o cultura. Nota 2 de entrada: Un experto técnico no actúa como un auditor (3.15) en el equipo auditor (3.14).

[FUENTE: ISO 9000: 2015, 3.13.16, modificado – Las notas de entrada 1 y 2 han sido modificadas]

ISO 19011: 2018

4


3.17 observador

individuo que acompaña al equipo auditor (3.14) pero no actúa como un auditor (3.15) [FUENTE: ISO 9000: 2015, 3.13.17, modificado]

3.18 sistema de administración (o gestión)

conjunto de elementos interrelacionados o interactuantes de una organización para establecer políticas y objetivos, y procesos (3.24) para el logro de dichos objetivos. Nota 1 de entrada: Un sistema de administración puede abordar una o varias disciplinas, ej., administración de calidad,

administración financiera o administración ambiental. Nota 2 de entrada: Los elementos del sistema de administración establecen la estructura de la organización, roles y responsabilidades, planeación, operación, políticas, prácticas, reglas, creencias, objetivos y procesos para el logro de dichos objetivos. Nota 3 de entrada: El alcance del sistema de administración puede incluir el total de la organización, funciones específicas e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más funciones a lo largo de un grupo de organizaciones. [FUENTE: ISO 9000: 2015, 3.5.3, modificado – La nota 4 de entrada ha sido eliminada]

3.19 riesgo efecto de una incertidumbre Nota 1 de entrada: Un efecto es una desviación de lo esperado – positivo o negativo. Nota 2 de entrada: Incertidumbre es el estado, aún parcial, de deficiencia de información relacionada con, el entendimiento o conocimiento de, un evento, sus consecuencias y probabilidad. Nota 3 de entrada: Un riesgo es a menudo caracterizado por la referencia con eventos potenciales (como se define en la Guía ISO 73: 2009, 3.5.1.3) y con secuencias (como se define en la Guía de ISO 73: 2009, 3.6.1.3), o una combinación de estos. Nota 4 de entrada: Un riesgo a menudo se expresa en términos de una combinación de las consecuencias de un evento (incluyendo cambios en circunstancias) y la probabilidad asociada (como se define en la Guía ISO 73: 2009, 3.6.1.1) de su ocurrencia. [FUENTE: ISO 9000: 2015, 3.7.9, modificado – Las notas de entrada 5 y 6 han sido eliminadas]

3.20 conformidad

cumplimiento de un requerimiento (3.23) [FUENTE: ISO 9000: 2015, 3.6.11, modificado – La nota 1 de entrada ha sido eliminada]

3.21 no conformidad incumplimiento de un requerimiento (3.23)

[FUENTE: ISO 9000: 2015, 3.6.9, modificado – La nota 1 de entrada ha sido eliminada]

3.22 competencias

habilidades/capacidades para aplicar conocimientos y habilidades para logro de resultados esperados. [FUENTE: ISO 9000: 2015, 3.10.4, modificado – Las notas de entrada han sido eliminadas]

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

5


3.23 requerimiento

necesidad o expectativa que es establecida, y generalmente es implicada u obligatoria. Nota 1 de entrada: “Generalmente es implicada” significa que es costumbre o práctica común para la organización y partes interesadas en que la necesidad o expectativa bajo consideración es implicada. Nota 2 de entrada: un requerimiento especificado es aquel que es establecido, por ejemplo en información documentada. [FUENTE: ISO 9000: 2015, 3.6.4, modificado – Las notas de entrada 3, 4, 5, y 6 han sido eliminadas].

3.24 proceso conjunto de actividades interrelacionadas o que interactúan, que hacen uso de entradas para la entrega de un resultado esperado. [FUENTE: ISO 9000: 2015, 3.4.1, modificado – Las notas de entrada han sido eliminadas]. 3.25 desempeño

resultado medible Nota 1 de entrada: El despeño puede relacionarse con hallazgos cuantitativos o cualitativos. Nota 2 de entrada: El desempeño puede relacionarse con la administración de actividades, procesos (3.24) productos, servicios, sistemas u organizaciones. [FUENTE: ISO 9000: 2015, 3.7.8, modificado – La nota 3 de entrada ha sido eliminada].

3.26 efectividad

alcance en el cual las actividades planeadas son realizadas y los resultados planeados se logran. [FUENTE: ISO 9000: 2015, 3.7.11, modificado – La nota 1 de entrada ha sido eliminada].

4. Principios de auditorias

Las auditorias se caracterizan por la confiabilidad en un cierto número de principios. Estos principios debieran ayudar a hacer que las auditorias sean una herramienta efectiva y confiable en el soporte de las políticas y controles administrativos, ofreciendo información en la cual una organización puede actuar a fin de mejorar su desempeño. La adherencia a estos principios es un pre requisito para ofrecer conclusiones de una auditoria que sean relevantes y suficientes, y para permitir que los auditores, trabajando en forma independiente uno de otro, alcancen conclusiones similares y en circunstancias similares. Las guías ofrecidas en Secciones/Cláusulas 5 a 7 se basan en los siete principios bosquejados abajo.

a) Integridad: El fundamento del profesionalismo.

Los auditores y el(los) individuo(s) administrando un programa de auditorías debieran: - ejecutar su trabajo con éticamente, con honestidad y responsabilidad;

- realizar actividades de auditoria solo si son competentes para hacerlo;

- ejecutar su trabajo de una manera imparcial, ej., mantenerse justos y sin sesgos en todos sus tratos;

- ser sensibles a cualquier influencia que pudiera ser ejercida en su juicio mientras realizan una auditoria.

b) Presentación justa: la obligación de reportar en forma veraz y exacta.

Los hallazgos, conclusiones y reportes de las auditorias debieran reflejar en forma veraz y exacta las actividades de las auditorias mismas. Los obstáculos significativos encontrados durante las auditorias y las

Leyva

Resaltado

ISO 19011: 2018

6


opiniones divergentes no resueltas entre el equipo auditor y el auditado debieran ser reportados. La comunicación debiera ser veraz, exacta, objetiva, oportuna, clara y completa.

c) Debido cuidado profesional: la aplicación de diligencia y juicio en las auditorias.

Los auditores debieran ejercer debido cuidado y en acuerdo con la importancia de las tareas que ellos ejecutan y la confianza puesta en ellos por los clientes de las auditorias y otras partes interesadas. Un factor importante en la realización de su trabajo con debido cuidado profesional es contar con la habilidad de hacer juicios razonables en todas las situaciones de auditoria.

d) Confidencialidad: seguridad (security) de la información.

Los auditores debieran ejercer discreción en el uso y protección de información obtenida en el curso de sus deberes. La información de las auditorias no debiera ser usada en forma inapropiada para beneficio personal por los auditores o clientes de la auditoria, o en una manera que demerite los intereses legítimos del auditado. Este concepto incluye el manejo apropiado de información sensible o confidencial.

e) Independencia: la base para la imparcialidad de la auditoria y objetividad de las conclusiones de auditoria.

Los auditores debieran ser independientes de la actividad a ser auditada, cuando sea práctico, y debieran en todos los casos actuar de una forma que sean libres de sesgo y conflicto de intereses. Para auditorías internas los auditores debieran ser independientes de la función a ser auditada si es práctico. Los auditores debieran mantener objetividad a través del procesos de auditoria para asegurar que los hallazgos y conclusiones de auditoria mismos se basen solo en evidencias de auditoria.

Para organizaciones pequeñas, puede no ser posible que los auditores internos sean totalmente independientes de la actividad a ser auditada, aunque debieran hacerse esfuerzos por retirar sesgo y promover objetividad.

f) Enfoque basado en evidencias: el método racional de alcanzar conclusiones de auditoria confiables y reproducibles en un proceso sistemático de auditoria misma.

Las evidencias de auditoria debieran ser verificables. En general debieran basarse en muestras de información disponibles, dado que una auditoria se conduce durante un periodo de tiempo finito y con recursos finitos. Debiera aplicarse un apropiado muestreo, dado que esto está estrechamente relacionado con la confiabilidad que puede darse en las conclusiones de auditoria.

g) Enfoque basado en riesgos: un enfoque de auditorías que considera riesgos y oportunidades El enfoque basado en riesgos debiera influir en forma substancialmente en la planeación, conducción y reporte de auditorías, a fin de asegurar que las auditorias se enfoquen en asuntos o temas que sean significativos al cliente de la auditoria, y para el logro de los objetivos del programa de auditorias

5. Administración de un programa de auditorias

5.1 Generalidades Un programa de auditorías debiera establecerse, el cual pueda incluir auditorias abordando uno o más normas/estándares de sistemas de administración u otros requerimientos, y conducida en forma separada o combinada (auditoria combinada). El alcance de un programa de auditorías debiera basarse en el tamaño y naturaleza del auditado, así como la naturaleza, funcionalidad, complejidad, tipo de riesgos y oportunidades, y el nivel de madurez del(os) sistema(s) de administración a ser auditado(s). La funcionalidad del sistema de administración puede ser aún más complejo cuando el máximo de las funciones importantes son subcontratadas y administradas bajo el liderazgo de otras organizaciones. Se necesita poner particular atención a donde se tomen las decisiones más importantes y lo que constituya la alta administración del sistema de administración mismo.

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

7


En el caso de localizaciones/plantas múltiples (ej., diferentes países), o cuando las funciones importantes sean subcontratadas y administradas bajo el liderazgo de otra organización, debiera ponerse atención particular al diseño, planeación y validación del programa de auditorías.

En el caso de organizaciones pequeñas o menos complejas el programa de auditorías puede ser escalonado apropiadamente. A fin de entender el contexto del auditado, el programa de auditorías debiera tomar en cuenta por parte del auditado:

- los objetivos organizacionales;

- los aspectos clave internos y externos relevantes;

- las necesidades y expectativas de las partes interesadas relevantes;

- los requerimientos de seguridad (security) y confidencialidad de la información.

La planeación de programas de auditorías internas, y en algunos casos programas para auditorias de proveedores externos, pueden ser organizados para contribuir a otros objetivos de la organización. El(los) individuo(s) administrando el programa de auditorías debiera(n) asegurar que se mantiene la integridad de las auditorías y que no existe una influencia indebida y ejercida sobre las auditorías.

La prioridad de las auditorias debiera darse asignando recursos y métodos a asuntos/temas de un sistema de administración con riesgos altos inherentes y un nivel de desempeño bajo.

Los individuos competentes debieran ser asignados para administrar el programa de auditorías.

El programa de auditorías debiera incluir información e identificar recursos para permitir que las auditorias sean conducidas en forma efectiva y eficiente y dentro de los esquemas de tiempo especificados. La información debiera incluir:

a) objetivos para el programa de auditorías;

b) riesgos y oportunidades asociados con el programa de auditorías (ver 5.3) y las acciones para abordarlos;

c) alcance (extensión, limites, localizaciones) de cada auditoria dentro del programa de auditorías mismas;

d) calendario (numero/duración/frecuencia) de las auditorias;

e) tipos de auditorías tales como, internas o externas;

f) criterios de auditorías;

g) métodos de auditorías a ser empleados;

h) criterios para seleccionar miembros de equipos auditores;

i) información documentada relevante.

Alguna de esta información puede no estar disponible hasta que se complete mayo detalle en la planeación de las auditorías.

La implementación del programa de auditorias debiera ser monitoreado y medido sobre una base continua (ver 5.6) para asegurar que los objetivos se hayan logrado. El programa de auditorias debiera ser revisado a fin de identificar necesidades de cambios y posibles oportunidades para mejoramientos (ver 5.7).

La Figura 1 ilustra el flujo del proceso para la administración de un programa de auditorias.

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

8


NOTA 1 Esta figura ilustra la aplicación del ciclo Planear-Hacer-Checar-Actuar en este documento. NOTA 2 La numeración de cláusula/sub cláusula se refiere a las cláusulas/sub cláusulas de este documento

Figura 1 - Flujo del proceso para la administración de un programa de auditorias

Leyva

Resaltado

ISO 19011: 2018

9


5.2 Establecimiento de objetivos de un programa de auditorias El cliente de las auditorias debiera asegurar que los objetivos del programa de auditorias son establecidos para dirigir la planeación y conducción de las auditorias y debieran asegurar que el programa de auditorías es implementado en forma efectiva. Los objetivos del programa de auditorias debieran ser consistentes con la dirección estratégica del cliente y el soporte a las políticas y objetivos del sistema de administración. Estos objetivos pueden basarse considerando lo siguiente: a) las necesidades y expectativas de las partes interesadas relevantes, tanto internas como externas;

b) características de y requerimientos para los procesos, productos, servicios y proyectos, y cualquier cambio a

estos

c) los requerimientos del sistema de administración;

d) la necesidad de evaluaciones de proveedores externos;

e) el nivel de desempeño del auditado, y el nivel de madurez del(os) sistema(s) de administración, y como se

refleje en los indicadores de desempeño relevantes (ej., KPIs), la ocurrencia de no conformidades, incidentes o

quejas de las partes interesadas;

f) los riesgos y oportunidades para el auditado identificados;

g) resultados de auditorías previas.

Ejemplos de objetivos de programas de auditorías pueden incluir lo siguiente:

identificar oportunidades de mejoramiento para el sistema de administración y su desempeño;

evaluar la capacidad del auditado para determinar su contexto;

evaluar la capacidad del auditado para determinar los riesgos y oportunidades, e identificar e implementar

acciones efectivas para abordar estos;

cumplir con todos los requerimientos relevantes, ej., requerimientos estatutarios y regulatorios, compromisos de

cumplimiento, requerimientos para certificación contra normas de sistemas de administración;

obtener y mantener confiabilidad en la capacidad de un proveedor externo;

determinar la idoneidad, adecuación y efectividad continuos del sistema de administración del auditado;

evaluar la compatibilidad y alineamiento de los objetivos del sistema de administración con la dirección

estratégica de la organización.

5.3 Determinación y evaluación de riesgos y oportunidades de un programa de auditorias Existen riesgos y oportunidades que están relacionados con el contexto del auditado, que pueden estar asociados con el programa de auditorías y que pueden afectar el logro de los objetivos. El(los) individuo(s) que administre(n) el programa de auditorías debiera(n) identificar y presentar al cliente de la auditoria los riesgos y oportunidades considerados cuando se desarrolle el programa de auditorías y los requerimientos para recursos, tal que estos pueden ser abordados en forma apropiada. Puede haber riesgos asociados con lo siguiente: a) planeación, ej., fallas en el establecimiento de objetivos de auditorías relevantes y en la determinación del

alcance, numero, duración, localizaciones y programación de las auditorias;

b) recursos, ej., el permitir tiempo, equipo y/o entrenamiento suficientes para el desarrollo de un programa de

auditorías o conducción de una auditoria;

c) selección de un equipo auditor, ej., competencias globales insuficientes para conducir auditorias en forma efectiva;

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

10


d) comunicación, ej., procesos/canales de comunicación internos/externos inefectivos;

e) implementación, ej., coordinación inefectiva de las auditorias dentro de un programa de auditorías mismas, o la

no consideración de la seguridad (security) y confidencialidad de la información;

f) control de la información documentada, ej., determinación inefectiva de la información documentada necesaria y

requerida por los auditores y partes interesadas relevantes, falla en proteger adecuadamente registros de

auditorías para demostrar la efectividad de programas de auditorías;

g) monitoreo, revisión y mejoramiento de programas de auditorías, ej. Monitoreo inefectivo de resultados de

programas de auditorías;

h) disponibilidad y cooperación del auditado y disponibilidad de evidencias a ser muestreadas.

Las oportunidades para mejorar programas de auditorías pueden incluir:

el permitir auditorias múltiples a ser conducidas en una sola o misma visita;

el minimizar tiempo y distancias de viaje a una planta;

el empatar el nivel de competencias de un equipo auditor con el nivel de competencias necesario para el logro de

objetivos de una auditoria;

el alinear fechas de auditoria con la disponibilidad del staff clave del auditado.

5.4 Establecimiento de un programa de auditorias

5.4.1 Roles y responsabilidades del(los) individuo(s) administrando programas de auditorias

El(los) individuo(s) administrando el programa de auditorías debiera(n):

a) establecer el contexto del programa de auditorías de acuerdo con objetivos relevantes (ver 5.2) y cualquier

restricción conocida;

b) determinar los aspectos clave internos y externos, y los riesgos y oportunidades que puedan afectar el programa

de auditoras, e implementar acciones para abordarlos, integrando éstas acciones en todas las actividades de

auditorías relevantes, conforme sea apropiado;

c) asegurar la sección de los equipos de auditoria y las competencias globales para las actividades de auditoria

asignando roles, responsabilidades y autoridad, y apoyando el liderazgo, conforme sea apropiado;

d) establecer todos los procesos relevantes incluyendo procesos mismos para:

la coordinación y programación de todas las auditorias dentro de un programa de auditorías;

el establecimiento de objetivos de auditoria, alcance(s) y criterios de auditorías, determinación de métodos

de auditoria y selección del equipo de auditoria;

evaluación de auditores;

el establecimiento de procesos de comunicación interna y externa, conforme sea apropiado;

la resolución de disputas y manejo de quejas;

el seguimiento de auditorías si aplica;

el reporte al cliente de la auditoria y las partes interesadas relevantes, conforme sea apropiado.

e) determinar y asegurar el suministro de todos los recursos necesarios;

f) asegurar que la información documentada apropiada es preparada y se mantiene, incluyendo registros de

programas de auditoria;

Leyva

Resaltado

ISO 19011: 2018

11


g) monitorear, revisar y mejorar el programa de auditorías;

h) comunicar el programa de auditorías al cliente de las auditorías y, conforme sea apropiado, a partes interesadas

relevantes.

El(los) individuo(s) administrando el programa de auditorías debiera(n) solicitar la aprobación por el cliente de las auditorias mismas. 5.4.2 Competencias de(los) individuo(s) administrando programas de auditorias La persona administrando el programa de auditorias debiera contar con las competencias necesarias para administrar el programa y sus riesgos asociados en forma efectiva y eficiente, así como los conocimientos y habilidades en las siguientes áreas: a) principios de auditorías (ver Sección/Clausula 4), métodos y procesos (ver A.1 y A.2);

b) las normas de sistemas de administración, otras normas relevantes y documentos de referencia/guía;

c) información relativa al auditado y su contexto (ej., aspectos clave internos/externos, partes interesadas

relevantes y sus necesidades y expectativas, actividades, productos y servicios del negocio, y procesos del

auditado;

d) requerimientos estatutarios y regulatorios aplicables y otros requerimientos relevantes a las actividades del negocio del auditado.

Conforme sea apropiado, el conocimiento de la administración de riesgos, la administración de proyectos y procesos, y las tecnologías de información y comunicaciones (TIC/ICT) pueden ser considerados. El(Los) individuo(s) administrando el programa de auditorias debieran comprometerse en actividades de desarrollo continuo apropiadas, para mantener las competencias necesarias para administrar el programa de auditorías. 5.4.3 Establecimiento el alcance de un programa de auditorias

El(Los) individuo(s) administrando el programa de auditorias debiera determinar el alcance del programa de auditorías. Esto puede variar dependiendo de la información ofrecida por auditado en relación a su contexto (ver 5.3). NOTA En ciertos casos, dependiendo de la estructura del auditado ó sus actividades, el programa de auditorias puede sólo consistir de una sola auditoria (ej., la actividad de un pequeño proyecto).

Otros factores que impactan en el alcance de un programa de auditorias incluyen lo siguiente: a) el objetivo, alcance y duración de cada auditoria y el número de auditorías a conducir, método de reporte y, si

aplica seguimientos en la auditoria;

b) normas de sistemas de administración u otros criterios aplicables;

c) en número, importancia, complejidad, similitud y localizaciones de las actividades a ser auditadas;

d) aquellos factores que estén influenciando la efectividad del sistema de administración;

e) criterios de auditoria aplicables tales como, arreglos para normas relevantes de sistemas de administración, requerimientos estatutarios y regulatorios y otros requerimientos a los cuales la organización e haya comprometido;

f) resultados de auditorías internas o externas y revisiones gerenciales/directivas previas, si es apropiado;

g) resultados de revisiones previas de programas de auditorías;

h) lenguaje, y aspectos clave culturales y sociales;

i) los aspectos clave de partes interesadas tales como, quejas de clientes, incumplimientos con requerimientos estatutarios y regulatorios y otros requerimientos a los cuales la organización se haya comprometido, o aspectos clave en cadenas de suministros;

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

12


j) cambios significativos en el contexto del auditado o sus operaciones y riesgos y oportunidades relacionados;

k) disponibilidad de tecnologías de información y comunicación que apoyen las actividades de auditoria, en

particular el uso de métodos de auditorías remotas (ver A.16);

l) la ocurrencia de eventos internos y externos tales como, no conformidades de productos o servicios, fugas en la

seguridad (security) de la información, incidentes de seguridad y salud, actos criminales o incidentes ambientales;

m) riesgos y oportunidades del negocio, incluyendo acciones para abordar éstos;

5.4.4 Determinación de los recursos de un programa de auditorias

Cuando se determinen recursos para programas de auditorías, el(los) individuo(s) administrando el programa de auditorías debiera(n) considerar: a) los recursos financieros y en tiempo necesarios para desarrollar, implementar, administrar y mejorar actividades

de auditorías;

b) los métodos de auditoría (ver A.1);

c) la disponibilidad individual y global de los auditores y expertos técnicos que tengan competencias apropiadas a

los objetivos particulares del programa de auditorías;

d) el alcance del programa de auditorías (ver 5.4.3) , y los riesgos y oportunidades del programa de auditorías

mismo (ver 5.3);

e) los tiempos y costos por viajes, alojamiento y otras necesidades de auditoria;

f) el impacto de las diferentes zonas por horarios;

g) la disponibilidad de tecnologías de información y comunicación (ej., recursos técnicos requeridos para preparar

una auditoria remota usando tecnologías que apoyen la colaboración remota misma);

h) la disponibilidad de herramientas, tecnología y equipo requeridos;

i) la disponibilidad de información documentada necesaria, y como se determine durante el establecimiento del

programa de auditorías (ver A.5);

j) los requerimientos relacionados con las instalaciones, incluyendo autorizaciones/salidas de seguridad (security)

y equipo (ej., verificaciones de antecedentes, equipo de protección personal, capacidad para ponerse

vestimenta de cuartos limpios).

5.5 Implementación de un programa de auditorias

5.5.1 Generalidades Una vez que el programa de auditorías se ha establecido (ver 5.4.3) y los recursos relacionados se hayan determinado (ver 5.4.4) es necesario implementar la planeación operacional y la coordinación de todas las actividades dentro del programa. El(los) individuo(s) administrando el programa de auditorías debiera(n):

a) Comunicar a las partes relevantes el programa de auditorías, incluyendo los riesgos y oportunidades

involucrados, las partes interesadas relevantes, e informarles periódicamente de los avances, usando canales de

comunicación internos y externos establecidos;

b) definir objetivos, alcance y criterios para cada auditoria individual;

c) seleccionar métodos de auditorías (ver A.1)

d) coordinar y programar auditorias y otras actividades relevantes al programa de auditorías mismo;

e) asegurar que los equipos de auditorías cuenten con las competencias necesarias (ver 5.5.4);

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

13


f) ofrecer recursos en lo individual y global a los equipos de auditores (ver 5.4.4);

g) asegurar que se conduzcan las auditorias de acuerdo con el programa de auditorías, y administrando todos los

riesgos, oportunidades y aspectos clave (ej., eventos inesperados) operacionales, conforme surjan durante el

despliegue del programa;

h) asegurar que información documentada relevante y relativa a actividades de auditoria sea apropiadamente

administrada y mantenida (ver 5.5.7);

i) definir e implementar controles operacionales (ver 5.6) necesarios para el monitoreo del programa de auditorías;

j) revisar el programa de auditorías a fin de identificar oportunidades para su mejoramiento (ver 5.7).

5.5.2 Definición de objetivos, alcance y criterios para una auditoria individual

Cada auditoria individual debiera basarse en objetivos, alcance y criterios definidos. Estos debieran ser consistentes con los objetivos globales del programa de auditorías. Los objetivos de auditorías definen lo que se quiere lograr en cada auditoria individual y pueden incluir lo siguiente: a) la determinación del alcance en la conformidad del sistema de administración a ser auditado, o partes de éste,

contra criterios de auditoria;

b) la evaluación de la capacidad del sistema de administración para apoyar a la organización en el cumplimiento de

requerimientos estatutarios y regulatorios relevantes y otros requerimientos a los cuales la organización se haya

comprometido;

c) la evaluación de la efectividad del sistema de administración en el cumplimiento de los resultados esperados;

d) la identificación de oportunidades para mejoramientos potenciales del sistema de administración;

e) la evaluación de la idoneidad y adecuación del sistema de administración con respecto al contexto y dirección

estratégica del auditado;

f) la evaluación de la capacidad del sistema de administración para establecer y lograr los objetivos, y abordar en

forma efectiva los riesgos y oportunidades, en un contexto cambiante, incluyendo la implementación de las

acciones relacionadas.

El alcance de la auditoria debiera ser consistente con el programa y objetivos de las auditorias mismas. Incluye factores tales como, localizaciones físicas, unidades ó áreas organizacionales, actividades y procesos a ser auditados, así como el período de tiempo cubierto por la auditoria. Los criterios de auditorias son usados como referencia contra los cuales la conformidad se determina y pueden incluir conforme apliquen políticas, procedimientos, estándares, normas, requerimientos legales, requerimientos del sistema de administración, requerimientos contractuales, de códigos de conducta del sector u otros acuerdos planeados. En el caso de algún cambio a los objetivos, alcance o criterios de la auditoria, el programa de auditorias debiera ser modificado si es necesario, y comunicado a las partes interesadas para aprobación, si es apropiado. Cuando más de una disciplina(s) está(n) siendo auditada(s) al mismo tiempo, es importante que los objetivos, alcance y criterios de auditoria sean consistentes con los programas de auditoría relevantes para cada disciplina. Algunas disciplinas pueden tener un alcance que refleje la organización completa y otras pueden tener un alcance que reflejen un subconjunto de toda la organización.

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

14


5.5.3 Selección y determinación de métodos de auditoria

El(los) individuo(s) administrando el programa de auditorías debiera(n) seleccionar y determinar los métodos para conducir auditorias en forma efectiva y eficiente, y dependiendo de los objetivos, alcance y criterios de auditoria definidos.

Las auditorias pueden ejecutarse en planta, en forma remota o como una combinación. El uso de estos métodos debiera ser adecuadamente balanceado, y basados en, entre otros, la consideración de riesgos y oportunidades asociados.

Cuando dos o mas organizaciones de auditoria conduzcan una auditoria conjunta al mismo auditado, los individuos administrando los diferentes programas de auditorias debieran acordar los métodos de auditoria y considerar las implicaciones para recursos y planeación de la auditoria misma. Si una auditoria opera dos ó más sistemas de administración de diferentes disciplinas, pueden incluirse auditorias combinadas en el programa de auditorias.

5.5.4 Selección de miembros de un equipo auditor

El(Los) individuo(s) administrando el programa de auditorias debiera asignar a los miembros del equipo auditor, incluyendo el líder del equipo y expertos técnicos necesarios para la auditoria específica.

Un equipo auditor debiera ser seleccionado, tomando en cuenta las competencias necesarias para el logro de objetivos de la auditoria individual y dentro del alcance definido. Si es sólo un auditor, dicho auditor debiera ejecutar todos los deberes que aplican a un líder de equipo auditor.

NOTA La Sección/Cláusula 7 contiene guías para determinar las competencias requeridas por los miembros del equipo auditor y describe los procesos para evaluar auditores.

Para asegurar las competencias globales del equipo auditor, debieran ejecutarse los siguientes pasos:

la identificación de los conocimientos y habilidades necesarios para el logro de los objetivos de la auditoria;

la selección de los miembros del equipo auditor tal que todos los conocimientos y habilidades necesarios estén presentes en el equipo auditor mismo.

En la decisión del tamaño y composición del equipo auditor para una auditoria específica, debiera darse consideración a lo siguiente:

a) las competencias globales del equipo auditor, necesarias para el logro de los objetivos de auditorías, y tomando en cuenta el alcance y criterios de auditorías mismas;

b) la complejidad de las auditorias;

c) si la auditoria es combinada o conjunta;

d) los métodos de auditoria seleccionados;

e) el asegurar objetividad e imparcialidad para evitar cualquier conflicto de intereses del proceso de auditorías;

f) las habilidades de los miembros del equipo auditor para trabajar e interactuar en forma efectiva con los representantes del auditado y las partes interesadas relevantes;

g) los aspectos clave internos/externos relevantes tales como, el lenguaje de la auditoria, y las características sociales y culturales del auditado. Estos aspectos clave pueden ser abordados ya sea con habilidades propias de los auditores o a través del soporte de un experto técnico, considerando también la necesidad de intérpretes;

h) el tipo y complejidad de los procesos a ser auditados.

Cuando sea apropiado el(los) individuo(s) administrando el programa de auditorías debiera(n) consultar al líder del equipo en la composición del equipo auditor.

Si las competencias necesarias no se cubren por los auditores en el equipo auditor, expertos técnicos con competencias adicionales debieran estar disponibles para apoyar al equipo.

Los auditores en entrenamiento pueden ser incluidos en el equipo auditor pero debieran participar bajo la dirección y guía de un auditor.

Leyva

Resaltado

ISO 19011: 2018

15


Cambios en la composición del equipo auditor pueden ser necesarios durante la auditoria, ej., si se genera un conflicto de intereses o un aspecto clave de competencias. Si se deriva una situación, debiera ser resuelta con las partes apropiadas (ej., líder del equipo auditor, el(los) individuo(s) administrando el programa de auditorias, el cliente de la auditoria o el auditado) y antes de que los cambios se realicen.

5.5.5 Asignación de responsabilidades para una auditoria individual al líder del equipo auditor

El(Los) individuo(s) administrando el programa de auditorías debiera asignar las responsabilidades para conducir la auditoria individual al líder del equipo auditor.

La asignación debiera hacerse en un tiempo suficiente previo a la fecha programada de la auditoria, a fin de asegurar la efectiva planeación de la auditoria misma.

Para asegurar la efectiva conducción de las auditorías individuales, debiera ofrecerse la siguiente información al líder del equipo auditor:

a) objetivos de la auditoria;

b) criterios de la auditoria y cualquier información documentada relevante;

c) alcance de la auditoria, incluyendo la identificación de la organización y sus funciones y procesos a ser

auditados;

d) los procesos de auditoria y métodos asociados;

e) la composición del equipo auditor;

f) detalles de contacto del auditado, localizaciones, esquema de tiempo y duración de las actividades de auditoria

a ser conducidas;

g) los recursos necesarios para conducir la auditoria;

h) información necesaria para evaluar y abordar riesgos y oportunidades identificados para el logro de los objetivos

de la auditoria;

i) información que soporte al(los) líder(es) del equipo auditor en sus interacciones con el auditado para la

efectividad del programa de auditorías.

La información de asignación debiera también cubrir lo siguiente, conforme sea apropiado:

el lenguaje de trabajo y para reportes de la auditoria, donde éste sea diferente al lenguaje del auditor o del

auditado, o de ambos;

el resultado de reporte de auditoria conforme se requiera y a quien sea distribuido;

asuntos relacionados con confidencialidad y seguridad (security) de la información, conforme se requiera por

el programa de auditorías;

cualquier acuerdo de seguridad, salud y ambiental para los auditores;

requerimientos para viaje o acceso a sitios remotos;

cualquier requerimiento de seguridad (security) y autorizaciones;

cualquier acción a ser revisada, ej., acciones de seguimiento de auditorias previas;

la coordinación con otras actividades de auditoria, ej., cuando diferentes equipos están auditando procesos

similares o relacionados en diferentes localizaciones o en el caso de una auditoria conjunta.

Cuando se conduzca una auditoria conjunta, es importante alcanzar un acuerdo entre las organizaciones que conduzcan las auditorías, antes de que la auditoria misma comience, sobre responsabilidades específicas de cada parte, y particularmente en relación a la autoridad del líder del equipo asignada para la auditoria.

Leyva

Resaltado

ISO 19011: 2018

16


5.5.6 Administración de resultados de un programa de auditorias

El(los) individuo(s) administrando el programa de auditorías debiera(n) asegurar que las siguientes actividades sean ejecutadas: a) la evaluación de logro de objetivos para cada auditoria dentro del programa de auditorías;

b) la revisión y aprobación de reportes de auditorías, en relación al cumplimento del alcance y objetivos de la

auditoria misma;

c) la revisión de la efectividad de las acciones tomadas para abordar los hallazgos de auditoria;

d) la distribución de reportes de auditorías a partes interesadas relevantes;

e) la determinación de la necesidad de alguna auditoría de seguimiento.

El individuo administrando el programa de auditorías debiera considerar, cuando sea apropiado:

La comunicación de resultados de auditorías y mejores prácticas a otras áreas de la organización, y

Las implicaciones para otros procesos

5.5.7 Administración y mantenimiento de registros de un programa de auditorias La persona administrando el programa de auditorias debiera asegurar que los registros de auditorias sean creados, administrados y mantenidos para demostrar la implementación del programa de auditorias. Debieran establecerse procesos para asegurar que cualquier necesidad de seguridad (security) y confidencialidad de la información asociada con registros de auditorías sea abordada. Los registros debieran incluir lo siguiente:

a) registros relacionados con el programa de auditorias tales como:

el programa o calendario de auditorias

los objetivos y alcance del programa de auditorías;

aquellos riesgos y oportunidades del programa de auditorías abordándose, y aspectos clave internos y

externos relevantes;

las revisiones de la efectividad del programa de auditorías;

b) los registros relacionados con cada auditoria tales como,

planes y reportes de auditoria;

evidencias de auditoria objetivas y hallazgos;

reportes de no conformidades;

reportes de correcciones y acciones correctivas;

reportes de seguimientos, de auditoria;

c) registros relacionados con el personal auditor cubriendo tópicos tales como,

competencias y evaluaciones de desempeño de los auditores;

selección de los equipos auditores y miembros de los equipos;

mantenimiento y mejoramiento de las competencias.

La forma y nivel de detalles de los registros debiera demostrar que los objetivos del programa de auditorías se hayan logrado.

Leyva

Resaltado

ISO 19011: 2018

17


5.6 Monitoreo de un programa de auditorias

El(Los) individuo(s) administrando el programa de auditorías debiera(n) asegurar la evaluación de:

a) si los calendarios se han cumplido y los objetivos del programa de auditorías se han logrado;

b) el desempeño de los miembros del equipo auditor incluyendo al líder del equipo auditor mismo y los expertos

técnicos;

c) la habilidad de los equipos de auditores para implementar el plan de auditoria;

d) la retroalimentación de los clientes de la auditoria, los auditados, los auditores, los expertos técnicos y otras

partes relevantes;

e) la suficiencia y adecuación de la información documentada del proceso de auditorías completo.

Algunos factores pueden indicar la necesidad de modificar el programa de auditorías. Estos pueden incluir cambios en:

hallazgos de auditoria;

nivel demostrado de la efectividad y madurez del sistema de administración del auditado;

efectividad del programa de auditorías;

alcance de la auditoria o del programa de auditorías;

el sistema de administración del auditado;

normas/estándares, y otros requerimientos a los cuales la organización está comprometida;

proveedores externos;

conflictos de interés identificados;

requerimientos del cliente de la auditoria.

5.7 Revisión y mejoramiento de un programa de auditorias

El(Los) individuo(s) administrando el programa de auditorías y el cliente de la auditoria debieran revisar el programa de auditorias mismo para evaluar si sus objetivos se han logrado. Las lecciones aprendidas de revisiones de programas de auditorias debieran ser usadas como entradas para el mejoramiento del programa. El(Los) individuo(s) administrando el programa de auditorías debiera(n) asegurar lo siguiente:

la revisión de la implementación global del programa de auditorías;

la identificación de áreas y oportunidades para mejoramiento;

la aplicación de cambios al programa de auditorías si es necesario;

la revisión del desarrollo profesional continuo de los auditores, de acuerdo con 7.6;

el reporte de resultados del reporte de auditorías y la revisión con el cliente de la auditoria y las partes

interesadas relevantes, conforme sea apropiado.

Las revisiones del programa de auditorías debieran considerar lo siguiente:

a) resultados y tendencias del monitoreo del programa de auditorías;

b) conformidad con los procesos del programa de auditorías y la información documentada relevante;

c) las necesidades y expectativas en evolución de las de las partes interesadas relevantes;

d) los registros del programa de auditorías;

ISO 19011: 2018

18


e) los métodos alternativos o nuevos de auditoría;

f) los métodos alternativos o nuevos para evaluar auditores

g) la efectividad de las acciones para abordar los riesgos y oportunidades y los factores internos y externos

asociados con el programa de auditorías;

h) los aspectos clave de confidencialidad y seguridad (security) de la información, en relación al programa de

auditorías.

6. Conducción de una auditoria

6.1 Generalidades

Esta cláusula o sección contiene guías para la preparación y conducción de actividades de auditorias como parte de un programa de auditorias mismo. La Figura 2 ofrece un bosquejo de las actividades típicas de una auditoria. La extensión ó alcance en el cual las disposiciones de esta sección apliquen depende de los objetivos y alcance de la auditoria específica. 6.2 Iniciación de una auditoria

6.2.1 Generalidades

Cuando se inicia una auditoria se inicie, la responsabilidad para conducir la auditoria misma se mantiene en el líder del equipo auditor asignado (ver 5.5.5) hasta que la auditoria se complete (ver 6.6). Para iniciar una auditoria, los pasos en la Figura 1 debieran ser considerados; sin embargo, la secuencia puede diferir dependiendo del auditado, procesos y circunstancias específicas de la auditoria misma. 6.2.2 Establecimiento del contacto con el auditado

El líder del equipo auditor debiera asegurar que se hace contacto con el auditado para:

a) confirmar canales de comunicación con los representantes del auditado;

b) confirmar la autoridad para conducir la auditoria;

c) ofrecer información relevante de los objetivos, alcance, criterios, y métodos de auditoria, y la composición del

equipo auditor, incluyendo expertos técnicos;

d) solicitar acceso a información relevante para propósitos de planeación, incluyendo información sobre los riesgos

y oportunidades que la organización haya identificado y cómo son abordados;

e) determinar los requerimientos estatutarios y regulatorios aplicables y otros requerimientos relevantes a las

actividades, procesos, productos y servicios del auditado;

f) confirmar el acuerdo con el auditado en relación al alcance en la revelación y trato de información confidencial;

g) hacer acuerdos para la auditoria incluyendo el programa/calendario;

h) determinar acuerdos específicos por localización para acceso, seguridad y salud, seguridad (security),

confidencialidad o algún otro;

i) acordar la asistencia de observadores y la necesidad de guías o interpretes para el equipo auditor;

j) determinar cualquier área de interés, preocupación o riesgos al auditado en relación a la auditoria específica;

k) resolver aspectos clave en relación a la composición del equipo auditor con el auditado o con el cliente de la

auditoria.

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

19


6.2.3 Determinación de la factibilidad de una auditoria La factibilidad de una auditoria debiera determinarse para ofrecer una confiabilidad razonable de que los objetivos de la auditoria puedan lograrse. La determinación de la factibilidad debiera tomar en consideración factores tales como, la disponibilidad de lo siguiente: a) información suficiente y apropiada para la planeación y conducción de la auditoria;

b) cooperación adecuada del auditado;

c) tiempo y recursos adecuados para conducir la auditoria.

NOTA los recursos incluyen acceso a tecnologías de información y comunicación adecuadas y apropiadas.

Cuando la auditoria no sea factible, debiera proponerse una alternativa al cliente de la auditoria misma, y en acuerdo con el auditado

6.3 Preparación de actividades de auditoria

6.3.1 Ejecución de revisiones de información documentada

La información documentada relevante del sistema de administración del auditado debiera ser revisada, a fin de:

recolectar información para entender las operaciones del auditado, y preparar las actividades de auditoria y los documentos de trabajo aplicables para la auditoria misma (ver 6.3.4), ej., sobre procesos, funciones/áreas;

establecer un bosquejo del alcance de la información documentada para determinar la posible conformidad con los criterios de auditoria y detectar posibles áreas de preocupación tales como, deficiencias, omisiones o conflictos.

La documentación debiera incluir, conforme aplique, los documentos y registros del sistema de administración, así como los reportes de auditorias previos. La revisión de los documentos debiera tomar en cuenta el tamaño, naturaleza y complejidad del sistema de administración y organización del auditado, y los objetivos y alcance de la auditoria. NOTA Guías sobre cómo verificar información se ofrecen en A.5.

6.3.2 Planeación de una auditoria

6.3.2.1 Enfoque basado en riesgos a la planeación

El líder del equipo auditor debiera adoptar un enfoque basado en riesgos para planear la auditoria y basada en la información del programa de auditorías y la información documentada ofrecida por el auditado. La planeación de una auditoria debiera considerar los riesgos de las actividades de auditoria sobre los procesos del auditado y ofrecer las bases para un acuerdo entre el cliente de la auditoria, el equipo auditor y el auditado en relación a la conducción de la auditoria misma. La planeación debiera facilitar una programación y coordinación eficiente de actividades de auditoria, a fin de lograr los objetivos en forma efectiva. La cantidad de detalles ofrecidos en el plan de auditoria debiera reflejar el alcance y complejidad de la auditoria misma, así como los riesgos de no lograr los objetivos de la auditoria misma. En la planeación de una auditoria, el líder del equipo auditor debiera considerar lo siguiente: a) la composición del equipo auditor y sus competencias globales;

b) las técnicas de muestreo apropiadas (ver A.6);

c) las oportunidades para mejorar la efectividad y eficiencia de las actividades de la auditoria;

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

20


d) los riesgos para lograr los objetivos de la auditoria, creados por una planeación inefectiva de la auditoria misma;

e) los riesgos al auditado, creados por la ejecución de la auditoria misma. Los riesgos al auditado pueden resultar de la presencia de miembros del equipo auditor que influyan adversamente en los acuerdos del auditado por la salud y seguridad, medio ambiente y calidad, y sus productos, servicios, personal o infraestructura (ej., contaminación en instalaciones limpias).

Para auditorías combinadas, se debiera dar particular atención a las interacciones entre procesos operacionales y objetivos y prioridades concernientes de los diferentes sistemas de administración. 6.3.2.2 Detalles para la planeación de auditorias La escala y contenido de una planeación de auditoria puede diferir, por ejemplo, entre las auditorías inicial y subsecuentes, así como entre las auditorías internas y externas. La planeación de una auditoria debiera ser lo suficientemente flexible para permitir cambios que pudieran llegar a ser necesarios conforme avancen actividades de la auditoria misma.

La planeación de una auditoria debiera abordar o hacer referencia a lo siguiente:

a) los objetivos de la auditoria;

b) el alcance de la auditoria, incluyendo la identificación de la organización y sus funciones, así como de los procesos a ser auditados;

c) los criterios de auditoria y cualquier información documentada de referencia;

d) las localizaciones (físicas y virtuales), fechas, tiempos esperados y duración de las actividades de auditoria a ser conducidas, incluyendo juntas con la administración del auditado;

e) la necesidad del equipo auditor de familiarizarse con las instalaciones y procesos del auditado (ej., conduciendo un tour de la(s) localización(es) física(s), o revisando información y tecnologías de comunicación);

f) los métodos de auditoría a ser usados, incluyendo el alcance en el cual el muestreo de auditoria es necesario

para obtener evidencias de auditoria suficientes;

g) los roles y responsabilidades de los miembros del equipo auditor, así como de los guías y observadores, o interpretes;

h) la asignación de recursos apropiados y en basados en la consideración de riesgos y oportunidades relacionados

con las actividades a ser auditadas.

La planeación de una auditoría debiera tomar en cuenta, conforme sea apropiado:

la identificación del(los) representante(s) del auditado para la auditoria;

el lenguaje de trabajo y de los reportes de la auditoria cuando éste sea diferente del lenguaje del auditor o del

auditado, o de ambos;

los tópicos del reporte de auditoría;

la logística y acuerdos en comunicación, incluyendo acuerdos específicos para las localizaciones a ser

auditadas;

medidas específicas a ser tomadas para abordar efectos de incertidumbres en el logro de los objetivos de la auditoria;

asuntos relacionados con la confidencialidad y seguridad (security) de la información;

acciones de seguimiento de auditorías previas;

actividades de seguimiento para auditorias planeadas;

coordinación con otras actividades de auditoria, en caso de una auditoria conjunta.

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

21


Los planes de auditorías debieran ser presentados al auditado. Cualquier aspectos clave con los planes de auditorías debiera ser resuelto entre el líder del equipo auditor, el auditado y, si es necesario, el(los) individuo(s) administrando el programa de auditorías.

6.3.3 Asignación del trabajo al equipo auditor

El líder del equipo auditor, en consulta con el equipo auditor mismo, debiera asignar a cada miembro del equipo las responsabilidades para auditar procesos, actividades, funciones ó localizaciones. Tales asignaciones debieran tomar en cuenta la independencia y competencias de los auditores y el uso efectivo de los recursos, así como de los diferentes roles y responsabilidades de los auditores, los auditores en entrenamiento y los expertos técnicos. Anuncios del equipo auditor debieran mantenerse, conforme sea apropiado, por el líder del equipo auditor, a fin de ubicar asignaciones de trabajo y decidir posibles cambios. Pueden hacerse cambios a las asignaciones de trabajo conforme la auditoria avance y a fin de asegurar el logro de los objetivos de la auditoria.

6.3.4 Preparación de información documentada para una auditoria

Los miembros del equipo auditor debieran recolectar y revisar información relevante a sus asignaciones de auditoria y preparar información documentada para la auditoria misma, usando cualquier medio apropiado. La información documentada para la auditoria puede incluir aunque no se limita a: a) checklists/listas de chequeo físicas o digitales;

b) detalles del muestreo de auditoria;

c) información audiovisual. El uso de estos medios no debiera restringirse al alcance de las actividades de auditoria, las cuales pueden cambiar como resultado de la información recolectada durante la auditoria misma. NOTA Guías sobre la preparación de documentos de trabajo son ofrecidas en A.13.

La información documentada preparada para, y como resultado de, las auditorías debiera retenerse al menos hasta que se complete la auditoria, o como se especifique en el plan de la auditoria misma. La retención de la información documentada después de que la auditoria se complete se describe en 6.6. La información documentada creada durante el proceso de la auditoría y que involucre información confidencial o de derechos de propiedad debiera ser salvaguardada adecuadamente todo el tiempo por los miembros del equipo auditor.

6.4 Conducción de actividades de auditoria

6.4.1 Generalidades

Las actividades de auditoria son normalmente conducidas en una secuencia definida como se indica en la Figura 2. Esta secuencia puede variar para adecuarse a las circunstancias de auditorias específicas.

6.4.2 Asignación de roles y responsabilidades de guías y observadores

Guías y observadores pueden acompañar al equipo auditor con la aprobación del líder del equipo auditor, el cliente de la auditoria y/o el auditado, si se requiere. Ellos no debieran influir o interferir con la conducción de la auditoria. Si esto no puede asegurarse, el líder del equipo auditor debiera tener el derecho a negar a los observadores a estar presentes durante ciertas actividades de auditoria. Para observadores, acuerdos para acceso, seguridad y salud, medio ambiente, seguridad (security) y confidencialidad debieran ser administrados entre el cliente de la auditoria y el auditado.

ISO 19011: 2018

22


Guías, asignados por el auditado, debieran apoyar al equipo auditor y actuar a solicitud del líder del equipo auditor o auditores a los cuales hayan sido asignados. Sus responsabilidades debieran incluir lo siguiente:

a) Asistencia a los auditores en la identificación de individuos a participar en las entrevistas y la confirmación de

tiempos y localizaciones;

b) acuerdos en el acceso a localizaciones especificas del auditado;

c) el aseguramiento de que las reglas relacionadas con acuerdos específicos por localización para acceso,

seguridad y salud, medio ambiente, seguridad (security), confidencialidad y otros aspectos clave sean

conocidos y respetados por los miembros del equipo auditor y observadores y cualquier riesgo sea abordado;

d) el atestiguamiento de la auditoria en favor del auditado, cuando sea apropiado;

e) el ofrecimiento de clarificación o asistencia en la recolección de información, cuando se necesite.

6.4.3 Conducción de junta de apertura

El propósito de la junta de apertura es:

a) confirmar el acuerdo de todos los participantes (ej., auditado(s), equipo auditor) con el plan de la auditoria;

b) presentar al equipo auditor y sus roles;

c) asegurar que todas las actividades de auditoria planeadas puedan ser ejecutadas.

Una junta de apertura debiera realizarse con la administración del auditado y, cuando sea apropiado, con aquellos responsables de las funciones o procesos a ser auditados. Durante la junta, debiera ofrecerse la oportunidad de hacer preguntas.

El grado de detalles debiera ser consistente con la familiaridad del auditado con el proceso de auditoría. En muchos casos, ej., auditorías internas en una organización pequeña, la junta de apertura puede consistir simplemente en la comunicación de que una auditoria se está conduciendo y la explicación de la naturaleza de la auditoria misma.

Para otras situaciones de auditoria, la junta puede ser formal y debieran retenerse registros de asistencia. La junta debiera ser dirigida por el líder del equipo auditor.

La introducción de siguiente debiera ser considerada, conforme sea apropiado:

otros participantes, incluyendo observadores y guías, intérpretes y un bosquejo de sus roles;

los métodos de auditoria para administrar riesgos a la organización y los cuales resultes de la presencia de los

miembros del equipo auditor.

La confirmación de los siguientes aspectos debiera ser considerada, conforme sea apropiado:

los objetivos, alcance y criterios de auditoria;

el plan de auditoria y otros acuerdos relevantes con el auditado tales como, la fecha y tiempo para la junta de

cierre, juntas provisionales entre el equipo auditor y la administración del auditado, y cambios necesarios;

canales de formales de comunicación entre el equipo auditor y el auditado;

el lenguaje a ser usado durante la auditoria;

el auditado siendo informado del avance de la auditoria durante la auditoria misma;

la disponibilidad de recursos e instalaciones necesarios por el equipo auditor;

asuntos relacionados con confidencialidad y seguridad (security) de la información;

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

23


acuerdos relevantes sobre acceso, seguridad y salud, seguridad (security), emergencias y otros acuerdos para el

equipo auditor;

actividades en planta que puedan impactar la conducción de la auditoria. En la presentación de información sobre los siguientes aspectos, debiera considerarse, conforme sea apropiado:

el método o reporte de hallazgos de auditorías incluyendo los criterios para graduación, si existe alguna;

las condiciones bajo las cuales la auditoria puede ser terminada;

como tratar con los hallazgos posibles durante la auditoria;

cualquier sistema para retroalimentación del auditado sobre los hallazgos y conclusiones de la auditoria,

incluyendo quejas o apelaciones.

6.4.4 Comunicación durante la auditoria

Durante la auditoria, puede ser necesario hacer acuerdos formales para comunicación dentro del equipo auditor, así como con el auditado, el cliente de la auditoria y potencialmente con organismos externos (ej., agencias reguladoras), especialmente cuando se requiera por requerimientos legales el reporte obligatorio de incumplimientos. El equipo auditor debiera consultar periódicamente el intercambiar información, evaluar el avance de la auditoria y reasignar trabajo entre los miembros del equipo auditor conforme sea necesario. Durante la auditoria, el líder del equipo auditor debiera comunicar en forma periódica el avance de la auditoria y cualquier inquietud del auditado y el cliente de la auditoria, conforme sea apropiado. Las evidencias recolectadas durante la auditoria que sugieran un riesgo inmediato y significativo al auditado debieran ser reportadas sin retraso al auditado mismo y, conforme sea apropiado, al cliente de la auditoria. Cualquier inquietud acerca de algún aspecto clave fuera del alcance de la auditoria debiera ser notado y reportado al líder del equipo auditor, para posible comunicación al cliente de la auditoria y auditado. Cuando las evidencias de auditoria disponibles indiquen que los objetivos de la auditoria sean no alcanzables, el líder del equipo auditor debiera reportar las razones al cliente de la auditoria y al auditado para determinar las acciones apropiadas. Tales acciones pueden incluir la reconfirmación o modificación del plan de auditoria, los cambios al objetivo o alcance de la auditoria o la terminación de la auditoria misma. Cualquier necesidad de cambios en el plan de la auditoria los cuales puedan llegar a ser aparentes conforme las actividades de auditoria avancen debieran ser revisados y aprobados, conforme sea apropiado, por la persona administrando el programa de auditorias y el auditado.

6.4.5 Disponibilidad de acceso de información de la auditoria

Los métodos de auditoria seleccionados para una auditoria misma dependen de los objetivos alcance y criterios de auditoria definidos, así como de la duración y localización. La localización es donde la información necesaria para las actividades de auditoria específicas esté disponible al equipo auditor. Esto puede incluir localizaciones físicas y virtuales. Dónde, cuándo, y cómo accesar información de la auditoria es crucial para la auditoria misma. Esto es independiente de dónde la información se haya creado, usada y/o almacenada. En base a estos aspectos clave, los métodos de auditoria necesitan determinarse (ver Tabla A.1). La auditoria puede usar una mezcla de métodos. También, las circunstancias de la auditoria pueden significar que los métodos necesiten cambiarse durante la auditoria misma. 6.4.6 Revisión de la información documentada durante la conducción de la auditoria

La información documentada relevante del auditado debiera ser revisada para:

determinar la conformidad del sistema, en lo documentado, con criterios de auditoria;

recolectar información que soporte las actividades de auditoria. NOTA Guías en cómo verificar información se ofrecen en A.5.

Leyva

Resaltado

ISO 19011: 2018

24


Las revisiones pueden combinarse con otras actividades de auditoria y pueden continuar a lo largo de la auditoria misma, siempre y cuando esto no sea en detrimento de la efectividad de la conducción de la auditoria. Si no puede ofrecerse información documentada adecuada dentro del esquema de tiempo ofrecido en el plan de auditoria, el líder del equipo auditor debiera informar tanto a el(los) individuo(s) administrando el programa de auditorías como al auditado. Dependiendo de los objetivos y alcance de la auditoria, debiera tomarse la decisión de si la auditoria misma continua o se suspende hasta que los aspectos clave de la información documentada se resuelvan. 6.4.7 Recolección y verificación de información

Durante la auditoria, información relevante en los objetivos, alcance y criterios dela auditoria misma, incluyendo información relativa a interfaces entre funciones, actividades y procesos debiera ser recolectada por medios de muestreo apropiados y debiera ser verificada en lo practico posible.

NOTA 1 Para verificación de información ver A.5 NOTA 2 Guías sobre muestreo son ofrecidas A.6

Solo información que pueda estar sujeta a un cierto grado de verificación debiera aceptarse como evidencia de auditoria. Cuando el grado de verificación sea bajo el auditor debiera usar su juicio profesional para determinar el grado de confiabilidad que pueda poner en las evidencias. Las evidencias de auditoria que dirijan a hallazgos de la auditoria misma debieran ser registrados. Si durante la recolección de evidencias objetivas el equipo auditor llega a estar consiente de circunstancias, riesgos u oportunidades nuevos o que cambiaron, estas debieran ser abordadas por el equipo acordadamente. La Figura 2 ofrece un bosquejo del proceso, desde la recolección de información hasta alcanzar conclusiones de la auditoria misma.

Figura 2 – Bosquejo del proceso de recolección y verificación de información

Métodos de recolección de información incluyen lo siguiente:

entrevistas,

Fuentes de información

Recolección por medios de muestreo apropiados apropiados

Evidencias de auditoria

Evaluación contra criterios de auditoria

Hallazgos de auditoria

Revisiones

Conclusiones de auditoria

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

25


observaciones,

revisiones de información documentada. NOTA 3 Guías en la selección de fuentes de información y observación son ofrecidas en A.14. NOTA 4 Guías en visitas de la localización del auditado son ofrecidas en A.15 NOTA 5 Guías en la conducción de entrevistas son ofrecidas en A.17

6.4.8 Generación de hallazgos de auditoria

Las evidencias de auditoría debieran ser evaluadas contra criterios de auditorías a fin de determinar hallazgos de auditoria mismos. Los hallazgos de auditoría pueden indicar conformidad o no conformidad con criterios de auditoría. Cuando se especifique por el plan de auditorías, los hallazgos de auditorías individuales debieran incluir conformidad y buenas prácticas junto con sus evidencias de soporte, oportunidades para mejoramientos y recomendaciones al auditado. Las no conformidades y evidencias de auditoria de soporte debieran ser registradas. Las no conformidades pueden ser graduadas dependiendo del contexto de la organización y sus riesgos. Esta graduación puede ser cuantitativa (ej., 1 a 5) y cualitativa (ej., menor, mayor). Debieran ser revisadas con el auditado a fin de obtener reconocimiento de que las evidencias de auditoría son exactas y que las no conformidades son entendidas. Debiera hacerse el intento de resolver cualquier opinión divergente relativa a las evidencias y hallazgos de las auditorías. Los aspectos clave no resueltos debieran registrarse en el reporte de auditoría. El equipo auditor debiera cumplir a necesidad el revisar los hallazgos de auditorías en las etapas apropiadas durante la auditoría. NOTA 1 Guías adicionales en la identificación y evaluación de hallazgos de auditorías son ofrecidas en A.18.

NOTA 2 La conformidad o no conformidad con criterios de auditoría relacionados con requerimientos estatutarios y regulatorios u otros requerimientos, algunas veces se refiere a cumplimientos o incumplimientos.

6.4.9 Determinación de las conclusiones de auditoria 6.4.9.1 Preparación para la junta de cierre

El equipo auditor debiera consultar previo a la junta de cierre a fin de: a) revisar los hallazgos de auditorías y cualquier otra información apropiada recolectada durante la auditoría, contra

los objetivos de auditoría mismos;

b) acordar las conclusiones de auditorías, tomando en cuenta la incertidumbre inherente en el proceso de

auditorías mismo;

c) preparar recomendaciones, si se especifican por el plan de auditoría;

d) discutir seguimientos de auditorías, conforme sean aplicables.

6.4.9.2 Contenido de las conclusiones de la auditoria Las conclusiones de auditorías debieran abordar aspectos clave tales como los siguientes: a) el alcance de la conformidad con los criterios de auditoría y robustez del sistema de administración, incluyendo la

efectividad del sistema de administración misma en el cumplimiento de resultados esperados, la identificación de

riesgos y efectividad de las acciones tomadas por el auditado para abordar dichos riesgos;

b) la efectiva implementación, mantenimiento y mejoramiento del sistema de administración;

c) el logro de los objetivos de auditoría, la cobertura del alcance de la auditoría misma y el cumplimiento con los

criterios de auditoría;

d) hallazgos similares encontrados en diferentes áreas que fueron auditadas o de auditorías previas o conjuntas

para propósitos de identificación de tendencias.

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

26


Si se especifica por el plan de auditoría, las conclusiones de auditoria puede conducir a recomendaciones para mejoramientos o futuras actividades de auditoria. 6.4.10 Conducción de junta de cierre

Una junta de cierre debiera sostenerse para presentar los hallazgos y conclusiones de auditoría. La junta de cierre debiera ser dirigida por el líder del equipo auditor y ser atendida por la administración del auditado, e incluir, conforme aplique:

aquellos responsables por las funciones o procesos que se hayan auditado;

el cliente de la auditoría;

otros miembros del equipo auditor;

otras partes interesadas relevantes y como se determine por el cliente de la auditoría y/o auditado.

Si es aplicable, el líder del equipo auditor debiera aconsejar al auditado de situaciones encontradas durante la auditoría que pudieran reducir la confiabilidad de que puedan tomarse en las conclusiones de auditoría. Si se define en el sistema de administración o por acuerdo con el cliente de la auditoría, los participantes debieran acordar el esquema de tiempo para un plan de acciones para abordar los hallazgos de auditoria. El grado de los detalles debiera tomar en cuenta la efectividad del sistema de administración en el logro de los objetivos del auditado, incluyendo consideraciones de su contexto, y riesgos y oportunidades. La familiaridad del auditado con el proceso de la auditoría debiera también tomarse en consideración durante la junta de cierre, para asegurar que el nivel correcto de detalles se ofrezca a los participantes. Para algunas situaciones de auditoría, la junta puede ser formal y con minutas, incluyendo registros de asistencia, debieran mantenerse. En otros casos, ej., auditorías internas, la junta de cierre puede ser menos formal y consistir solamente en la comunicación de hallazgos y conclusiones de auditoría. Conforme sea apropiado, lo siguiente debiera ser explicado al auditado en la junta de cierre: a) el sugerir que las evidencias de auditoria recolectada se basaron en una muestra de información disponible y no

es necesaria y totalmente representativa de la efectividad global de los procesos del auditado;

b) el método de reporte;

c) el cómo los hallazgos de auditoría debieran ser abordados en base al proceso acordado;

d) las posibles consecuencias de no abordar adecuadamente los hallazgos de auditoría;

e) la presentación de los hallazgos y conclusiones de auditoría, de tal manera que sean entendidos y reconocidos

por la administración del auditado;

f) cualquier actividad posterior y relacionada con la auditoría (ej., implementación y revisión de acciones

correctivas, el abordar quejas de auditoría, el proceso de apelaciones).

Cualquier opinión divergente y relacionada con los hallazgos y conclusiones de la auditoría entre el equipo auditor y el auditado debieran ser discutidas y, si es posible, resueltas. Si no se resuelven, esto debiera registrarse. Si se especifica por los objetivos de la auditoría, pueden presentarse oportunidades para recomendaciones de mejoramientos. Debiera enfatizarse que las recomendaciones no son obligatorias.

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

27


6.5 Preparación y distribución del reporte de auditoria

6.5.1 Preparación del reporte de auditoria

El líder del equipo auditor debiera reportar los resultados de auditorías de acuerdo con el programa de auditorías. El reporte de auditoria debiera ofrecer un registro completo, exacto, conciso y claro de la auditoria misma, y debiera incluir o hacer referencia a lo siguiente: a) los objetivos de la auditoria;

b) el alcance de la auditoria, particularmente la identificación de las unidades o procesos organizacionales y

funcionales auditados;

c) la identificación del cliente de la auditoria;

d) la identificación del equipo auditor y los participantes del auditado en la auditoria;

e) las fechas y localizaciones donde las actividades de auditoria fueron conducidas;

f) los criterios de auditoria;

g) los hallazgos de auditoria y evidencias relacionadas;

h) las conclusiones de auditoria;

i) una declaración del grado en el cual los criterios de auditoria se hayan cumplido.

j) Cualquier opinión divergente y no resuelta entre el equipo auditor y el auditado;

k) Las auditorias por naturaleza son un ejercicio de muestreo; como tales existe el riesgo de que las evidencias de

auditorías examinadas no sean representativas.

El reporte de auditoria puede también incluir o hacer referencia a lo siguiente, conforme sea apropiado:

el plan de la auditoria incluyendo el calendario de tiempo;

el resumen del proceso de auditoria, incluyendo obstáculos encontrados que pudieran decrementar la

confiabilidad de las conclusiones de auditoria;

la confirmación de que los objetivos de auditoria se han logrado dentro del alcance de la auditoria y de acuerdo

con el plan de auditoria misma;

cualquier áreas dentro del alcance de la auditoria no cubierto, incluyendo aspectos clave de disponibilidad de

evidencias, recursos o confidencialidad, con justificaciones asociadas;

un resumen cubriendo las conclusiones de la auditoria y los hallazgos principales de la auditoria misma que lo

soporten;

buenas practicas identificadas;

seguimientos a planes de acción de acordados, si existe alguno;

una declaración de la naturaleza de contenidos confidenciales;

cualquier implicación para el programa de auditorías o auditorías subsecuentes;

6.5.2 Distribución del reporte de auditoria

El reporte de auditoria debiera ser publicado dentro del periodo de tiempo acordado. Si esto se retrasa, debieran comunicarse las razones al auditado y a la persona administrando el programa de auditorías. El reporte de auditoria debiera estar fechado, revisado y aprobado, conforme sea apropiado, y de acuerdo con el programa de auditorías.

Leyva

Resaltado

ISO 19011: 2018

28


El reporte de auditoria debiera ser distribuido a las partes interesadas relevantes y definidas en el programa de auditorías o el plan de la auditoría. Cuando se distribuya el reporte de auditoría, medidas apropiadas para asegurar confidencialidad debieran considerarse. 6.6 Completado de una auditoria

Las auditorias se completan cuando todas las actividades de auditoria misma planeadas se hayan completado, o como se haya acordado otra cosa con el cliente de la auditoria (ej., puede haber una situación inesperada que prevenga que la auditoría sea completada de acuerdo con el plan). La información documentada que pertenezca a la auditoria debiera ser retenida o dispuesta por acuerdo entre las partes participantes y de acuerdo con el programa de auditorías y requerimientos aplicables. A menos que sea requerido por ley, el equipo auditor y la persona administrando el programa de auditorías no debiera difundir el contenido de los documentos, y cualquier otra información obtenida durante la auditoria, o el reporte de la auditoria, a cualquier otra parte sin la aprobación explícita del cliente de la auditoria y, cuando sea apropiado, la aprobación del auditado mismo. Si se requiere de la difusión del contenido de los documentos de auditoria, el cliente de la auditoria y el auditado debieran ser informados lo más pronto posible. Las lecciones aprendidas de la auditoria debieran integrarse en el proceso de mejoramiento continuo del sistema de administración de las organizaciones auditadas 6.7 Conducción de seguimientos en una auditoria

Los resultados de una auditoria pueden, dependiendo de los objetivos de la auditoria misma, indicar la necesidad de correcciones o acciones correctivas, u oportunidades de mejoramiento. Tales acciones son generalmente decididas y ejecutadas por el auditado y dentro de un esquema de tiempo acordado. Conforme sea apropiado, el auditado debiera mantener informado del estatus de estas acciones a(los) individuo(s) administrando el programa de auditorías y/o al equipo auditor. El completado y efectividad de estas acciones debieran ser verificados. Esta verificación puede ser parte de una auditoria subsecuente. Los resultados debieran ser reportados al individuo administrando el programa de auditorías y al cliente de la auditoria para revisiones directivas/gerenciales.

7. Competencias y evaluaciones de auditores

7.1 Generalidades

La confiabilidad en el proceso de auditorías y las habilidades para el logro de los objetivos depende de las competencias de aquellos individuos que estén involucrados en la planeación y conducción de las auditorías mismas, incluyendo auditores y líderes de equipos auditores. Las competencias debieran ser evaluadas a través de un proceso que considere el comportamiento personal y las habilidades para aplicar conocimientos y habilidades mismas logradas a través de educación, experiencia de trabajo, entrenamiento en auditorías y experiencia en auditorías mismas. Este proceso debiera tomar en cuenta las necesidades del programa de auditorías y sus objetivos. Algunos de los conocimientos y habilidades descritos en 7.2.3 son comunes a los auditores de cualquier disciplina de sistemas de administración; otros son específicos a disciplinas de sistemas de administración individuales. No es necesario que cada auditor en un equipo auditor mismo cuente con las mismas competencias; sin embargo, las competencias globales del equipo auditor necesitan ser suficientes para el logro de los objetivos de auditoria.

La evaluación de las competencias de los auditores debiera ser planeada, implementada y documentada para ofrecer un resultado que sea objetivo, consistente, justo y confiable. El proceso de evaluación debiera incluir cuatro pasos principales, como sigue:

a) determinación de las competencias del personal auditor para cumplir con las necesidades del programa de auditorías;

b) establecimiento de los criterios de evaluaciones;

c) selección de métodos de evaluación apropiados;

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

29


d) conducción de evaluaciones.

Los resultados del proceso de evaluaciones debieran ofrecer bases para lo siguiente:

selección de los miembros del equipo auditor como se describe en 5.4.4;

la determinación y necesidades para mejorar competencias (ej. entrenamiento adicional);

la continua evaluación del desempeño de los auditores.

Los auditores debieran desarrollar, mantener y mejorar sus competencias a través del desarrollo profesional continuo y la participación regular en auditorías (ver 7.6).

Un proceso para evaluación de auditores y líderes de equipos auditores es descrito en 7.3, 7.4 y 7.5.

Los auditores y líderes de equipos auditores debieran ser evaluados contra criterios establecidos en 7.2.2 y 7.2.3, así como los criterios establecidos en 7.1.

Las competencias requeridas del(los) individuo(s) administrando el programa de auditorías son descritas en 5.4.2.

7.2 Determinación de las competencias de los auditores

7.2.1 Generalidades

En la decisión de las competencias necesarias para una auditoría, los conocimientos y habilidades de los auditores relacionados con lo siguiente debieran considerarse:

a) el tamaño, naturaleza y complejidad de la organización a ser auditada;

b) las disciplinas de sistemas de administración a ser auditadas;

c) los objetivos y alcance del programa de auditorías;

d) otros requerimientos tales como, aquellos impuestos por organismos internos, cuando sea apropiado;

e) el rol del procedo de auditorías en el sistema de administración del auditado;

f) la complejidad del sistema de administración a ser auditado;

g) la incertidumbre en el logro de los objetivos de auditoria;

h) otros requerimientos tales como, aquellos impuestos por el cliente de la auditoria u otras partes interesadas relevantes cuando sea apropiado.

Esta información debiera ser cotejada contra la que se lista en 7.2.3.

7.2.2 Comportamiento personal

Los auditores debieran contar con cualidades necesarias que les permitan actuar de acuerdo con los principios de auditorías como son descritos en la Cláusula/Sección 4. Los auditores debieran exhibir un comportamiento profesional durante el desempeño de las actividades de auditoria, incluyendo el ser: a) ético, ej., justo, veraz, sincero, honesto y discreto;

b) de mente abierta, ej., deseando considerar ideas o puntos de vista alternativos;

c) diplomático, ej., táctico en el trato con la gente;

d) observador, ej., observando físicamente sus alrededores y actividades de forma activa;

e) perceptivo, ej., consciente y capaz de entender situaciones;

f) versátil, ej., que es capaz de adaptarse fácilmente a diferentes situaciones;

ISO 19011: 2018

30


g) tenaz, ej., persistente, y enfocado al logro de objetivos;

h) decisivo, ej., que es capaz de alcanzar conclusiones oportunas en base a razonamiento y análisis lógicos;

i) auto confiable, ej., que es capaz de actuar y funcionar en forma independiente y a la vez interactuar en forma

efectiva con otros;

j) actuar con fortaleza, ej., que es capaz de actuar responsable y éticamente, aunque estas acciones no siempre

sean populares y puedan algunas veces resultar en desacuerdo ó confrontación;

k) abierto a mejoramientos, ej., deseando aprender de situaciones, y esforzándose por mejores resultados de

auditorias;

l) sensible culturalmente, ej., observador y respetuoso de la cultura del auditado;

m) colaborativo, ej., interactuar en forma efectiva con otros, incluyendo a los miembros del equipo auditor y el personal del auditado.

7.2.3 Conocimientos y habilidades

7.2.3.1 Generalidades

Los auditores debieran contar con: a) conocimientos y habilidades necesarias para el logro de los resultados esperados de auditorías que se espera

ejecuten; b) las competencias genéricas y nivel de conocimientos y habilidades de la disciplina, y sector específicos. Los líderes de equipo auditores debieran contar con conocimientos y habilidades adicionales y necesarios para ofrecer liderazgo al equipo auditor

7.2.3.2 Conocimientos y habilidades genéricas para auditores de sistemas de administración

Los auditores debieran contar con conocimientos y habilidades en las áreas bosquejadas abajo.

a) Principios de auditorías, procesos y métodos: los conocimientos y habilidades en esta área permiten a los

auditores asegurar que las auditorias son ejecutadas en forma consistente y sistemática. Los auditores debieran ser capaces de:

entender los tipos de riesgos y oportunidades asociados con auditorias y los principios del enfoque basado

en riesgos a las auditorias mismas;

planear y organizar el trabajo en forma efectiva;

ejecutar las auditorias dentro del calendario de tiempo acordado;

priorizar y enfocarse en asuntos de significancia;

comunicar en forma efectiva, oralmente y por escrito (ya sea personalmente o a través del uso de

intérpretes);

recolectar información a través de entrevistas efectivas, escuchando, observando y revisando información

documentada, incluyendo registros y datos;

entender lo apropiado y las consecuencias de usar técnicas de muestreo para auditorias;

entender y considerar opiniones de expertos técnicos;

auditar un proceso de principio a fin, incluyendo las interrelaciones con otros procesos y las diferentes

funciones, cuando sea apropiado;

verificar la relevancia y exactitud de la información recolectada;

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

31


confirmar la suficiencia y lo apropiado de las evidencias de auditoria para soportar hallazgos y conclusiones de auditorías mismas;

evaluar aquellos factores que puedan afectar la confiabilidad de los hallazgos y conclusiones de auditoria;

documentar actividades y hallazgos de auditorías, y preparar reportes;

mantener la confidencialidad y seguridad (security) de la información.

b) Normas de sistemas de administración y otras referencias: los conocimientos y habilidades en esta área permiten a los auditores entender el alcance de una auditoria y aplicación de criterios de auditoria misma, y debieran cubrir los siguiente:

Normas o estándares de sistemas de administración u otra normativa o guías/documentos de soporte usados para establecer criterios o métodos de auditorías mismas;

la aplicación de normas o estándares de sistemas de administración por el auditado y otras organizaciones;

relaciones e interacciones entre los procesos del sistema de administración;

entendimiento de la importancia y prioridad de normas o estándares o referencias múltiples;

la aplicación de normas o estándares o referencias de las diferentes situaciones de auditorias;

c) La organización y su contexto: Los conocimientos y habilidades en esta área permiten a los auditores comprender la estructura, negocios y prácticas administrativas del auditado, y debieran cubrir lo siguiente:

Necesidades y expectativas de las partes interesadas relevantes que impacten el sistema de administración;

Tipo de la organización, gobernanza, tamaño, estructura, funciones y relaciones;

conceptos generales de negocios y administración, procesos y terminología relacionada, incluyendo planeación, presupuesto y administración de individuos;

aspectos culturales y sociales del auditado.

d) Requerimientos legales y contractuales y otros, que apliquen al auditado: conocimientos y habilidades en

esta área permiten a los auditores estar conscientes de, y dentro del trabajo, los requerimientos legales y contractuales de la organización. Los conocimientos y habilidades específicas de la jurisdicción o de las actividades o productos del auditado debieran cubrir lo siguiente:

leyes y regulaciones y sus agencias gubernamentales;

terminología legal básica;

contratos y aspectos legales.

NOTA la concientización en requerimientos estatutarios y regulatorios no implica experiencia legal y una auditoria de sistemas de administración no debiera ser tratada como una auditoria de cumplimiento legal.

7.2.3.3 Competencias de los auditores por disciplina y sector específicos Los equipos de auditores debieran tener competencias apropiadas y en forma colectiva de la disciplina y sector específicos para auditar tipos de sistemas de administración y sectores particulares. Las competencias de auditores en disciplinas y sectores específicos incluyen lo siguiente: a) requerimientos y principios de sistemas de administración, y su aplicación;

b) fundamentos de la(s) disciplina(s) y sector(es) relacionados con las normas de sistemas de administración y como se aplique por el auditado;

c) aplicación de métodos, técnicas, procesos y prácticas por disciplina y sector específico que permitan al equipo auditor evaluar la conformidad dentro del alcance de auditoria definido y generar hallazgos y conclusiones de auditoria apropiados

ISO 19011: 2018

32


d) principios métodos y técnicas relevantes a la disciplina y sector tales como, que el auditor pueda determinar y evaluar riesgos y oportunidades asociados con los objetivos de auditoria.

7.2.3.4 Competencias genéricas de líderes de equipos auditores

A fin de facilitar la conducción eficiente y efectiva de una auditoria, el líder del equipo de auditoria debiera contar con las competencias para: a) planear la auditoria y asignar tareas de auditoria misma de acuerdo con las competencias específicas e

individuales de los miembros del equipo auditor;

b) discutir aspectos clave estratégicos con la alta administración del auditado para determinar si han considerado

dichos aspectos clave cuando se evalúen sus riesgos y oportunidades;

c) desarrollar y mantener una relación de trabajo colaborativa entre los miembros del equipo auditor;

d) administrar el proceso de auditoría, incluyendo:

planear la auditoria y hacer un uso efectivo de recursos durante la auditoria misma;

administración de incertidumbres para el logro de los objetivos de la auditoria;

protección de la salud y seguridad de los miembros del equipo auditor durante la auditoria, incluyendo el

asegurar cumplimiento de los auditores con acuerdos relevantes de seguridad y salud, y seguridad

(security) mismos;

organizar y dirigir a los miembros del equipo auditor;

ofrecer dirección y guía a los auditores en entrenamiento;

prevención y resolución de conflictos, conforme sea necesario;

e) representar al equipo auditor en comunicaciones con el(los) individuo(s) administrando el programa de

auditorías, el cliente de la auditoria y el auditado;

f) dirigir al equipo auditor para alcanzar las conclusiones de auditoría;

g) preparar y completar el reporte de auditoria.

7.2.3.5 Conocimientos y habilidades para auditorías de disciplinas múltiples

Cuando se auditen sistemas de administración de disciplinas múltiples, los miembros del equipo auditor debieran contar con un entendimiento en las interacciones y sinergia entre los diferentes sistemas de administración. Los líderes del equipo auditor debieran entender los requerimientos de cada una de las normas de sistemas de administración a ser auditados y reconocer los límites de sus competencias en cada una de las disciplinas. NOTA las auditorias de disciplinas múltiples hechas en forma simultanea pueden hacerse como una auditoria combinada o como una auditoria de sistemas de administración integrados que cubren disciplinas múltiples.

7.2.4 Logro de competencias de auditores

Las competencias de los auditores pueden adquirirse usando una combinación de lo siguiente:

a) La terminación exitosa de programas de entrenamiento que cubran los conocimientos y habilidades genéricos de auditor:

b) experiencia en posiciones técnicas, administrativas o profesionales relevantes involucrando el del ejercicio del juicio, toma de decisiones, solución de problemas y comunicación con gerentes, profesionales, colegas, clientes y otras partes interesadas relevantes;

c) educación/entrenamiento y experiencia en alguna disciplina y sector específicos de sistemas de administración que contribuya al desarrollo de las competencias globales;

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

33


d) experiencia en auditorías lograda bajo la supervisión de un auditor en la misma disciplina. NOTA La terminación exitosa de un curso de entrenamiento depende del tipo de curso mismo. Para cursos con el componente de un examen, puede significar la aprobación del examen mismo en forma exitosa. Para otros cursos, puede significar la participación y terminado del curso mismo.

7.2.5 Logro de competencias de líderes de equipos auditores

Un líder de equipo auditor debiera adquirir experiencia en auditorias adicional para lograr las competencias descritas en 7.2.3.4. Esta experiencia adicional debiera ser conseguida trabajando bajo la dirección y guía de otro líder de equipo auditor diferente. 7.3 Establecimiento de criterios de evaluaciones de auditores

Los criterios pueden ser cualitativos (tales como, haber demostrado comportamiento personal, conocimientos o desempeño de habilidades, entrenamiento o en el lugar de trabajo) y cuantitativos (tales como, años de experiencia de trabajo y educación, número de auditorias conducidas, horas de entrenamiento en auditorias). 7.4 Selección de métodos apropiados para evaluaciones de auditores

La evaluación debiera conducirse usando uno o más de los métodos seleccionados de los indicados en la Tabla 2. En el uso de la Tabla 2, debiera notarse lo siguiente:

a) Los métodos bosquejados representan un rango de opciones y pueden no aplicarse en todas las situaciones;

b) Los diferentes métodos bosquejados pueden diferir en su confiabilidad;

c) Debiera utilizarse una combinación de métodos para asegurar que los resultados sean objetivos, consistentes, justos y confiables.

Tabla 2 – Métodos de evaluación de auditores

Método de evaluación Objetivos Ejemplos

Revisión de registros Verificar los fundamentos del auditor

Análisis de registros de educación, entrenamiento, empleo, credenciales profesionales y experiencia en auditorias

Retroalimentación Ofrecer información acerca de cómo se percibe el desempeño del auditor

Encuestas, cuestionarios, referencias personales, testimonios, quejas, evaluaciones de desempeño, revisiones

Entrevistas

Evaluar el comportamiento personal y las habilidades de comunicación, para verificar información y probar conocimientos, y obtener información adicional

Entrevistas personales

Observaciones Evaluar el comportamiento personal y las habilidades para aplicar conocimientos y habilidades mismas

Toma de roles, auditorias de testigo, desempeño en el trabajo

Pruebas Evaluar el comportamiento personal y conocimientos y habilidades, y su aplicación

Exámenes orales y escritos, pruebas psicométricas

Revisiones post-auditoria

Ofrecer información del desempeño del auditor, durante actividades de auditoria, e identificar fuerzas y debilidades

Revisiones del reporte de auditoria entrevistas con el líder del equipo auditor, el equipo auditor, y si es apropiado, retroalimentación del auditado.

7.5 Conducción de evaluaciones de auditores

La información recolectada acerca de los auditores bajo evaluación debiera compararse contra los criterios establecidos en 7.2.3. Cuando los auditores bajo evaluación que se espera participen en el programa de auditorías

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

34


no cumplen con los criterios, entonces entrenamiento, trabajo y experiencia adicional en auditorias debiera realizarse, y una re evaluación subsecuente debiera ejecutarse. 7.6 Mantenimiento y mejoramiento de competencias de auditores

Los auditores y líderes de equipos auditores debieran mejorar continuamente sus competencias. Los auditores debieran mantener sus competencias de auditoria a través de la participación regular en auditorias de sistemas de administración y desarrollo profesional continuo. Esto puede lograrse a través de medios tales como experiencia de trabajo adicional, entrenamiento, estudio particular, coaching, asistencia a juntas, seminarios y conferencias, u otras actividades relevantes.

El(los) individuo(s) administrando el programa de auditorías debiera(n) establecer mecanismos adecuados para la evaluación continua del desempeño de los auditores, y líderes de equipos auditores. Las actividades de desarrollo profesional continuo debieran tomar en cuenta lo siguiente: a) cambios en las necesidades de los individuos y los responsables de la organización para conducir las auditorias;

b) desarrollos en la práctica de auditorías incluyendo el uso de tecnología;

c) normas o estándares relevantes incluyendo documentos de guía/soporte y otros requerimientos;

d) cambios en el sector o disciplinas.

ISO 19011: 2018

35


Anexo A

(informativo)

Guías adicionales para auditores planeando y conduciendo auditorias

A.1 Aplicación de métodos de auditoría

Una auditoria puede ejecutarse en un rango de diferentes métodos de auditoria mismos. Una explicación de los métodos de auditoria comúnmente usados puede encontrarse en este anexo. Los métodos seleccionados para una auditoria dependen de los objetivos definidos de la auditoria misma, el alcance y los criterios, así como la duración y localización. Las competencias de auditores disponibles y cualquier otra incertidumbre que se derive de la aplicación de los métodos de auditorias debieran ser también considerados. La aplicación de una variedad y combinación de diferentes métodos de auditorias puede optimizar la eficiencia y efectividad del proceso de auditorias y sus resultados.

El desempeño de una auditoria involucra interacciones entre individuos con el sistema de administración siendo auditado y la tecnología usada para conducir las auditorias. La Tabla A.1 ofrece ejemplos de métodos de auditorias que pueden ser usados, en forma única ó una combinación, a fin de lograr los objetivos de la auditoria misma. Si una auditoria involucra el uso de un equipo auditor con miembros múltiples, ambos métodos en planta y remotos pueden ser usados simultáneamente.

NOTA Información adicional acerca de visitas físicas en localizaciones es ofrecida en A.15.

Tabla A.1 – Métodos de auditorias

Alcance del involucramiento entre el

auditor y el auditado

Localización del auditor

En planta Remoto

Interacción humana Conducción de entrevistas. Completado de checklists y cuestionarios con la participación del auditado. Conducción de revisiones de documentos con la participación del auditado. Muestreo.

Vía comunicación interactiva significa: - conducción de entrevistas;

- observación de trabajo ejecutado con guías remotas;

- completado de checklists y cuestionarios; - conducción de revisiones de documentos

con la participación del auditado.

No interacción humana Conducción de revisiones de documentos (ej., registros, análisis de datos). Observación de trabajo ejecutado. Conducción de visitas en planta. Completado de checklists. Muestreo (ej., productos)

Conducción de revisiones de documentos (ej., registros, análisis de datos). Observación del trabajo ejecutado, vía medios de vigilancia, considerando requerimientos sociales, estatutarios y regulatorios. Análisis de datos.

Las actividades de auditoria en planta son ejecutadas en la localización del auditado. Actividades de auditoria remotas son ejecutadas en cualquier lugar diferente a la localización del auditado, independientemente de la distancia. Actividades de auditoria interactivas involucran la interacción entre personal del auditado y el equipo auditor. Actividades de auditoria no interactivas involucran no interacción humana con individuos que representen al auditado pero que se involucran con la interacción con equipo, instalaciones y documentación.

La responsabilidad de la aplicación efectiva de métodos de auditorias para una cierta auditoria en la etapa de planeación se mantiene en el(los) individuo(s) administrando el programa de auditorías o en el líder del equipo auditor. El líder del equipo auditor tiene esta responsabilidad para conducir actividades de auditoria.

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

36


La factibilidad de actividades de auditoria remotas puede depender de varios factores (ej., el nivel de riesgo para el logro de objetivos de auditorías, el nivel de confiabilidad entre el auditor y el personal auditado y los requerimientos regulatorios). Al nivel del programa de auditorias, debiera asegurarse que el uso y aplicación de métodos de auditorias remotas ó en planta sea adecuado y balanceado, a fin de asegurar un logro satisfactorio de los objetivos del programa de auditorias.

A.2 Enfoque de procesos a las auditorias El uso del “enfoque de procesos” es un requerimiento para todas las normas/estándares de sistemas de administración de ISO, de acuerdo con las Directrices ISO/IEC, Parte 1, Anexo SL. Los auditores debieran entender que auditar un sistema de administración es auditar los procesos de la organización y sus interacciones en relación a una o más norma(s) de sistemas de administración. Resultados consistentes y predecibles se logran de una forma más efectiva y eficiente cuando las actividades son entendidas y administradas como procesos interrelacionados que funcionan como un sistema coherente.

A.3 Juicio profesional Los auditores debieran aplicar juicio profesional durante el proceso de auditoría y evitar concentrarse en requerimientos específicos de cada sección/cláusulas de la norma, a expensas de lograr el resultado esperado del sistema de administración. Algunas secciones/cláusulas de las normas ISO de sistemas de administración no permiten por si mismas auditar en términos de comparación entre un conjunto de criterios y el contenido de un procedimiento o instrucción de trabajo. En estas situaciones, los auditores debieran usar su juicio profesional para determinar si la intención de la sección/clausula se cumple.

A.4 Resultados de desempeño Los auditores debieran enfocarse al resultado esperado del sistema de administración a través del proceso de auditorías, aún y cuando los procesos y lo que estos logren sea importante, el resultado del sistema de administración y su desempeño es lo que cuenta. Es también importante considerar el nivel de integración de los diferentes sistemas de administración y sus resultados esperados. La ausencia de un proceso o documentación puede ser importante en un alto riesgo u organización compleja pero no ser significativo en otras organizaciones.

A.5 Verificación de información En la medida de lo práctico, los auditores debieran considerar si la información ofrece evidencia objetiva y suficiente para demostrar que los requerimientos se cumplen tal que sea: a) completa (todo el contenido esperado está en la información documentada);

b) correcta (el contenido cumple con otras fuentes confiables tales como normas/estándares y regulaciones);

c) consistente (la información documentada es consistente consigo misma y con los documentos relacionados);

d) actual (el contenido esta actualizado).

Debiera también considerarse si la información a ser verificada ofrece evidencia objetiva suficiente para demostrar que el requerimiento se ha cumplido. Si la información se ofrece de otra manera a la esperada (ej., por diferentes individuos, medios alternativos), debiera evaluarse la integridad de las evidencias. Se necesita cuidado específico para la seguridad (security) de la información debido a regulaciones que apliquen sobre la protección de datos (en particular para información que este fuera del alcance de la auditoria, pero que también este contenida en los documentos).

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

37


A.6 Muestreo

A.6.1 Generalidades El muestreo en las auditorias toma lugar cuando no es práctico ó efectivo en costo examinar toda la información durante una auditoria, ej., los registros son muy numerosos ó muy dispersos geográficamente como para justificar el examinar cada elemento ó ítem en la población. El muestreo en las auditorias de una población grande es el proceso de seleccionar menos del 100% de los elementos ó ítems dentro del total del conjunto (población) de datos disponibles para obtener y evaluar evidencias acerca de alguna característica de la población misma, y a fin de formar una conclusión respecto de la población. El objetivo del muestreo en las auditorias es ofrecer información para el auditor que cuente con la confiabilidad de que los objetivos de la auditoria puedan ó sean logrados. Los riesgos asociados con el muestreo es que las muestras pueden no ser representativas de la población de la cual fueron seleccionadas, y por tanto que las conclusiones del auditor sean sesgadas y sean diferentes de lo que se haya alcanzado si la población completa fuera examinada. Puede haber otros riesgos dependiendo de la variabilidad dentro de la población a muestrear y el método seleccionado. El muestreo en las auditorias típicamente involucra los siguientes pasos:

a) establecimiento de objetivos del plan de muestreo;

b) selección del alcance y composición de la población a ser muestreada;

c) selección del método de muestreo;

d) determinación del tamaño de muestra a tomar;

e) conducción de la actividad de muestreo;

f) recopilación, evaluación, reporte y documentación de resultados. Cuando se muestree, debiera darse consideración a la calidad de los datos disponibles, dado que un muestreo insuficiente y datos inexactos no ofrecen un resultado útil. La selección de una muestra apropiada debiera basarse tanto en un método de muestreo como en el tipo de datos requeridos, ej., para inferir un patrón de comportamiento particular u obtener inferencias a partir de una población. El reporte de la muestra seleccionada pudiera tomar en cuenta el tamaño de la muestra, el método de selección y los estimativos basados en la muestra y el nivel de confiabilidad. Las auditorias pueden usar ya sea el muestreo basado en el juicio (ver A.6.2) o el muestreo estadístico (ver A.6.3). A.6.2 Muestreo basado en el juicio El muestreo basado en el juicio confía en el conocimiento, habilidades y experiencia del equipo auditor (ver Cláusula/ Sección 7). Para el muestreo basado en el juicio, lo siguiente puede ser considerado:

a) experiencia en auditorias previas dentro del alcance de la auditoria;

b) complejidad de los requerimientos (incluyendo requerimientos legales) para lograr los objetivos de la auditoria;

c) complejidad e interacción de los procesos y elementos del sistema de administración de la organización;

d) grado de cambios en la tecnología, factores humanos ó sistema de administración mismo;

e) áreas de riesgo y de mejoramientos clave identificadas previamente;

f) resultados de monitoreo de sistemas de administración.

Una desventaja del muestreo basado en el juicio es que no hay un estimativo estadístico del efecto en la incertidumbre en los hallazgos de la auditoria y en las conclusiones alcanzadas.

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

38


A.6.3 Muestreo estadístico

Si las decisiones se toman con el uso del muestreo estadístico, el plan de muestreo debiera basarse en los objetivos de la auditoria y en lo conocido acerca de las características de la población global de la cual las muestras serán tomadas. El diseño de un muestreo estadístico usa un proceso de selección de una muestra basado en la teoría de la probabilidad. El muestreo basado en atributos es usado cuando sólo hay dos posibles resultados en la muestra (ej., correcto / incorrecto O pasa/falla). El muestreo basado en variables se usa cuando los resultados de la muestra ocurren en un rango continuo. El plan de muestreo debiera tomar en cuenta si los resultados siendo examinados son probables de ser basados en atributos ó variables. Por ejemplo, cuando se evalúe la conformidad con formas completadas con los requerimientos establecidos en un procedimiento, el enfoque basado en atributos pudiera ser usado. Cuando se examine la ocurrencia de incidentes en la seguridad de los alimentos o el número de infracciones de seguridad (security), el enfoque basado en variables pudiera ser probable como más apropiado. Los elementos que pueden afectar el plan de muestreo de las auditorias son:

a) el contexto, tamaño, naturaleza y complejidad de la organización;

b) el número de auditores competentes;

c) la frecuencia de las auditorias durante el año;

d) el tiempo de las auditorias individuales;

e) algún nivel de confiabilidad requerido externamente;

f) la ocurrencia de eventos no deseables y/o inesperados

Cuando se desarrolle un plan de muestreo estadístico, el nivel de riesgo que el auditor esté deseando aceptar es una importante consideración. Esto a menudo es referido como nivel de confiabilidad aceptable. Por ejemplo, un riesgo del 5% en el muestreo corresponde a un nivel de confiabilidad del 95%. Un riesgo del 5% en el muestreo significa que el auditor está deseando aceptar el riesgo de que en 5 de cada 100 (ó 1 en 20) muestras examinadas no reflejen los valores actuales que se hayan visto si la población entera se examinara. Cuando se use muestreo estadístico, los auditores debieran documentar apropiadamente el trabajo ejecutado. Esto debiera incluir una descripción de la población que se intentó muestrear, los criterios de muestreo usados para la evaluación (ej., cual es una muestra aceptable), los parámetros y métodos estadísticos que fueron utilizados, el número de muestras evaluadas y los resultados obtenidos.

A.7 Auditorias de cumplimiento dentro de los sistemas de administración El equipo auditor debiera considerar si el auditado cuenta con procesos efectivos para: a) identificación de sus requerimientos estatutarios y regulatorios y otros requerimientos a los que este

comprometido;

b) administración de sus actividades, productos y servicios para el logro del cumplimiento con estos

requerimientos;

c) evaluación de su status de cumplimiento. Además de guías genéricas ofrecidas en este documento, cuando se evalúen los procesos que el auditado ha implementado para asegurar cumplimiento con requerimientos relevantes, el equipo auditor debiera considerar si el auditado: 1) cuenta con un proceso efectivo para identificar cambios en los requerimientos de cumplimiento y para

considerarlos como parte de la administración de cambios;

2) cuenta con individuos competentes para administrar sus procesos de cumplimiento;

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

39


3) mantiene y ofrece información documentada apropiada de su status de cumplimiento como sea requerido por

los reguladores u otras partes interesadas;

4) incluye requerimientos de cumplimiento en su programa de auditorías internas;

5) aborda cualquier situación de incumplimiento;

6) considera desempeño en el cumplimiento en sus revisiones directivas/gerenciales.

A.8 Auditorias al contexto

Muchas normas de sistemas de administración requieren que las organizaciones determinen su contexto, incluyendo necesidades y expectativas de partes interesadas relevantes y aspectos clave internos y externos. Para hacer esto, las organizaciones pueden usar varias técnicas para análisis y planeación estratégicos.

Los auditores debieran confirmar que se han desarrollado procesos adecuados para esto y son usados en forma efectiva, de forma tal que sus resultados ofrezcan bases confiables para determinar el alcance y desarrollo del sistema de administración. Para hacer esto, los auditores debieran considerar evidencias objetivas relacionadas con lo siguiente:

a) el(los) proceso(s) o método(s) usados;

b) la adecuación y competencias de los individuos que contribuyan al(los) proceso(s);

c) los resultados del(os) proceso(s);

d) la aplicación de los resultados para determinar el alcance y desarrollo del sistema de administración;

e) revisiones periódicas del contexto, conforme sea apropiado;

Los auditores debieran contar con conocimientos y entendimiento específicos del sector de las herramientas de administración que las organizaciones pueden usar a fin de hacer un juicio relativo a la efectividad de los procesos usados para determinar el contexto.

A.9 Auditorias al liderazgo y compromiso

Muchas normas de sistemas de administración han incrementado sus requerimientos para la alta administración.

Estos requerimientos incluyen el demostrar compromiso y liderazgo tomando responsabilidad por la efectividad del sistema de administración y cumpliendo con un cierto número de responsabilidades. Estas incluyen tareas que la alta administración debiera ejecutar por sí misma y otras que pueden ser delegadas.

Los auditores debieran obtener evidencias objetivas del grado en el cual la alta administración está involucrada en la toma de decisiones relacionada con el sistema de administración y como se demuestra el compromiso para asegurar su efectividad. Esto puede lograrse revisando los resultados de procesos relevantes (por ejemplo, políticas, objetivos, recursos disponibles, comunicados de la alta administración) y entrevistando a staff para determinar el grado de compromiso de la alta administración.

Los auditores debieran también buscar entrevistar a la alta administración para confirmar que tienen un entendimiento adecuado de aspectos clave y específicos por disciplina y que son relevantes a su sistema de administración, y junto con el contexto con el cual su organización opere, de forma tal que puedan asegurar que el sistema de administración logre sus resultados esperados.

Los auditores no solo debieran enfocarse al liderazgo en los niveles de la alta administración, sino también debieran auditar el liderazgo y compromiso de otros niveles de administración, conforme sea apropiado.

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

40


A.10 Auditorias de riesgos y oportunidades

Como parte de la asignación de una auditoria individual, la determinación y administración de los riesgos y oportunidades de la organización pueden ser incluidos. Los objetivos centrales para tal asignación de auditoría son: - ofrecer aseguramiento en la credibilidad de(los) proceso(s) para identificación de riesgos y oportunidades;

- ofrecer aseguramiento de que los riesgos y oportunidades sean determinados y administrados correctamente;

- revisar cómo la organización aborde sus riesgos y oportunidades determinados.

Una auditoria al enfoque de la organización para la determinación de riesgos y oportunidades no debiera ejecutarse como una actividad por sí misma. Debiera ser implícita durante la auditoria completa de un sistema de administración, incluyéndose durante las entrevistas a la alta administración. Un auditor debiera actuar de acuerdo con los siguientes pasos y recolectar evidencias objetivas como sigue:

a) entradas usadas por la organización para determinar sus riesgos y oportunidades, y las cuales pueden incluir:

- análisis de factores clave internos y externos;

- dirección estratégica de la organización;

- partes interesadas, relacionadas con el sistema de administración de la disciplina específica y sus

requerimientos, también:

- fuentes potenciales de riesgos tales como, aspectos ambientales, y peligros de seguridad, etc.

b) método con el cual son evaluados los riesgos y oportunidades, y el cual puede diferir entre disciplinas y

sectores.

El trato de la organización y sus riesgos y oportunidades, incluyendo el nivel de riesgos que desee aceptar y cómo son controlados, requerirán de la aplicación del juicio profesional del auditor.

A.11 Ciclo de vida

Algunos sistemas de administración de disciplinas específicas requieren de la aplicación de una perspectiva de ciclo de vida para sus productos y servicios. Los auditores no debieran considerar éste como un requerimiento para adoptar el enfoque del ciclo de vida. Una perspectiva de ciclo de vida involucra la consideración del control e influencia que la organización tiene sobre las etapas o fases de los ciclos de vida de sus productos y servicios. Las etapas en un ciclo de vida incluyen la adquisición de materias primas, el diseño, la producción, el transporte/envío, el uso, el final del tratamiento de vida y la disposición final. Éste enfoque permite que la organización identifique aquellas áreas donde, y en consideración con su alcance, pueda minimizar sus impactos en el medio ambiente cuando se agregue valor a la organización. El auditor debiera usar su juicio profesional en cómo la organización ha aplicado la perspectiva del ciclo de vida en términos de su estrategia y:

a) la vida del producto o servicio;

b) la influencia en la organización de la cadena de suministros;

c) la longitud de la cadena de suministros;

d) la complejidad tecnológica del producto.

Si una organización ha combinado varios sistemas de administración en un sistema para cumplir sus propias necesidades, el auditor debiera observar cuidadosamente cualquier traslape relativo a la consideración de un ciclo de vida.

A.12 Auditorias de cadenas de suministros

La auditoría a la cadena de suministros para requerimientos específicos puede ser requerida. El programa de auditorías de proveedores debiera ser desarrollado con criterios de auditoria aplicables para los tipos de proveedores y suministradores externos. El alcance de las auditorías a la cadena de suministros puede diferir, ej.,

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

41


auditoria al sistema de administración completo, auditoria a un solo proceso, auditoria de producto, auditoria de una configuración.

A.13 Preparación de documentos de trabajo para auditorias Cuando se preparen documentos de trabajo para auditorías, el equipo auditor debiera considerar las preguntas abajo mostradas para cada documento.

a) ¿Qué registros de auditorias serán creados usando este documento de trabajo?

b) ¿Qué actividad de auditoria está ligada con este documento de trabajo particular?

c) ¿Quién será el usuario de este documento de trabajo?

d) ¿Qué información es necesaria para preparar este documento de trabajo?

Para auditorias combinadas, los documentos de trabajo debieran ser desarrollados para evitar duplicidad de actividades de auditoria:

integrando requerimientos similares de diferentes criterios;

coordinando el contenido de checklists y cuestionarios relacionados.

Los documentos de trabajo debieran ser adecuados para abordar todos aquellos elementos del sistema de administración dentro del alcance de la auditoria y pueden ser ofrecidos en cualquier medio.

A.14 Selección de fuentes de información Las fuentes de información seleccionadas pueden variar de acuerdo al alcance y complejidad de la auditoria y pueden incluir lo siguiente:

a) entrevistas con empleados y otras personas;

b) observaciones de actividades y alrededores del medio ambiente de trabajo y condiciones;

c) documentos tales como, políticas, objetivos, planes, procedimientos, estándares ó normas, instrucciones, licencias y permisos, especificaciones, dibujos, contratos y órdenes;

d) registros tales como, registros de inspección, minutas de juntas, reportes de auditorias, registros de programas de monitoreo y resultados de mediciones;

e) resúmenes de datos, análisis e indicadores de desempeño;

f) información sobre los planes de muestreo de los auditados y sobre los procedimientos para control del muestreo y procesos de medición;

g) reportes de otras fuentes, ej., retroalimentación de los clientes, encuestas y mediciones externas, y otra información relevante de partes externas y evaluaciones de proveedores;

h) bases de datos y sitios web;

i) simulaciones y modelados.

A.15 Visitas a localizaciones de auditados Para minimizar la interferencia entre actividades de auditoria y procesos de trabajo del auditado y para asegurar la salud y seguridad del equipo auditor durante una visita, lo siguiente debiera ser considerado:

a) planeación de las visitas:

asegurar permisos y accesos a aquellas partes de la localización del auditado, a ser vistadas de acuerdo con el alcance de la auditoria;

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

42


ofrecer información adecuada a los auditores sobre asuntos de seguridad (security), salud (ej. cuarentena),

seguridad y salud en el trabajo, normas culturales y horas de trabajo para la visita, incluyendo, vacunas y

autorizaciones solicitadas y recomendadas si aplica;

confirmar con el auditado que cualquier equipo de protección personal (EPP) requerido esté disponible para el

equipo auditor, si aplica;

confirmar acuerdos con el auditado en relación al uso de dispositivos móviles y cámaras, incluyendo grabación

de información tal como, fotografías de localizaciones y equipo, fotografías o fotocopias de documentos,

videos de actividades y entrevistas, tomando en consideración asuntos de seguridad (security) y

confidencialidad;

excepto para auditorias no programadas y compatibles, asegurar que el personal a ser visitado será informado

acerca de los objetivos y alcance de la auditoria misma.

b) actividades en planta:

evitar cualquier distracción innecesaria de los procesos operacionales;

asegurar que el equipo auditor esté usando el EPP apropiadamente (si aplica);

asegurar que los procedimientos de emergencias sean comunicados (ej., salidas de emergencia, puntos de

reunión);

programar la comunicación para minimizar interrupciones;

adaptar el tamaño del equipo auditor al número de guías y observadores de acuerdo con el alcance de la

auditoria, a fin de evitar interferencias con los procesos operacionales y de la forma más práctica;

no tocar ó manipular cualquier equipo, a menos que sea explícitamente permitido, aun y cuando se sea

competente ó con licencia;

si ocurre algún incidente durante la visita en planta, el líder del equipo auditor debiera revisar la situación con

el auditado y, si es necesario, con el cliente de la auditoria y alcanzar algún acuerdo de si la auditoria debiera

interrumpirse, reprogramarse o continuar;

si se toman copias de documentos en cualquier medio, solicitar permiso por anticipado y considerar asuntos

de confidencialidad y seguridad (security);

cuando se tomen notas, evitar la recolección de información personal, a menos que se requiera por los

objetivos de la auditoria ó criterios de auditoria misma.

c) actividades de auditorías virtuales:

- aseguran que el equipo auditor este usando protocolos de acceso remotos acordados, incluyendo dispositivos

solicitados, software, etc.;

- si se toman copias en fotografía de cualquier documento y de cualquier tipo, se solicita permiso por anticipado

y se consideran asuntos de confidencialidad y seguridad (security), evitando grabaciones individuales sin

permiso;

- si ocurre algún incidente durante el acceso remoto, el líder del equipo auditor debiera revisar la situación con

el auditado y, si es necesario, con el cliente de la auditoria y alcanzar algún acuerdo de si la auditoria debiera

interrumpirse, reprogramarse o continuar;

- usan planes/diagramas de piso de la localización remota para referencia;

- mantienen respeto por la privacidad durante los tiempos de descanso de la auditoria.

Necesita darse consideración a la disposición de información y evidencias de auditoria, independientemente del tipo de medio en una fecha posterior, y una vez que la necesidad del tiempo de retención haya terminado.

ISO 19011: 2018

43


A.16 Auditorías virtuales a actividades y localizaciones

Las auditorias virtuales son conducidas cuando una organización ejecuta trabajo u ofrece un servicio usando un ambiente en línea, que permita que personas independientemente de la localización física ejecuten procesos (ej., intranet de la compañía, una “nube de computación”). La auditoría de una localización virtual es algunas veces referida como auditoria virtual. Las auditorias remotas se refieren al uso de tecnología para recolectar información, entrevistar a un auditado, etc., y cuando los métodos “cara-a-cara” no son posibles o deseables.

Una auditoria virtual sigue el proceso estándar de auditoria y cuando se esté usando tecnología para verificar evidencias objetivas. El auditado y equipo auditor debieran asegurar requerimientos de tecnología apropiados para auditorias virtuales, y los cuales pueden incluir:

- asegurar que el equipo auditor esté usando protocolos de acceso remoto acordados incluyendo dispositivos

solicitados, software, etc.;

- conducir chequeos técnicos en forma anticipada a la auditoria para resolver aspectos clave técnicos;

- asegurar planes de contingencia que estén disponibles y comunicados (ej., interrupción del acceso, uso de

tecnología alternativa), incluyendo el suministro de un tiempo extra para auditoria si es necesario;

Las competencias de los auditores debieran incluir:

- capacidades técnicas para usar equipo electrónico apropiado y otra tecnología durante la auditoria;

- experiencia en facilitar juntas en forma virtual para conducir la auditoria en forma remota.

Cuando se conduzcan juntas de apertura o se audite virtualmente, los auditores debieran considerar los siguientes

aspectos:

- riesgos asociados con auditorias virtuales o remotas;

- el uso de planes/diagramas de piso de localizaciones remotas para referencia o mapeo de información

electrónica;

- el facilitar la prevención por interrupciones o distracciones por ruido;

- el solicitar permiso por anticipado para tomar copia de documentos en fotografías o cualquier tipo de grabación, y

considerando asuntos de confidencialidad y seguridad (security);

- el asegurar confidencialidad y privacidad durante los tiempos de descanso de la auditoria ej., poniendo

micrófonos en silencio (muting), cámaras en pausa.

A.17 Conducción de entrevistas

Las entrevistas son un importante medio de recolección de información y debieran realizarse de una forma adaptada a la situación y persona entrevistada, ya sea cara a cara u otra vía ó medio de comunicación. Sin embargo, el auditor debiera considerar lo siguiente:

a) las entrevistas debieran sostenerse con personas de niveles y funciones apropiadas y ejecutando actividades

y tareas dentro del alcance de la auditoria;

b) las entrevistas debieran conducirse normalmente durante las horas normales de trabajo y, cuando sea

práctico, en el lugar de trabajo normal de la persona siendo entrevistada;

c) la tentativa de poner a la persona siendo entrevistada en disponibilidad ó facilidad previo a y durante la

entrevista;

d) la razón para la entrevista y cualquier nota que se tome debiera ser explicada;

e) las entrevistas pueden ser iniciadas preguntando a las personas que describan su trabajo;

f) la selección cuidadosa del tipo de preguntas usadas (ej., abiertas, cerradas, preguntas dirigidas, pregunta

apreciativa);

Leyva

Resaltado

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

44


g) conciencia de la limitada comunicación no verbal en condiciones virtuales; en su lugar debiera enfocarse en

los tipos de preguntas para encontrar evidencias objetivas;

h) los resultados de las entrevistas debieran ser resumidos y revisados con el individuo entrevistado;

i) a los individuos entrevistados debiera agradecerse por su participación y cooperación.

A.18 Hallazgos de auditorias A.18.1 Determinación de hallazgos de auditorias

Cuando se determinen los hallazgos de auditorias, debiera considerarse lo siguiente:

a) seguimiento de reportes y conclusiones de auditorias previas;

b) requerimientos de clientes de auditorías;

c) exactitud, suficiencia y lo apropiado de las evidencias objetivas para soportar hallazgos de auditorías;

d) alcance en el cual las actividades de auditoria planeadas son realizadas y los resultados planeados se logren;

e) hallazgos que excedan prácticas normales, u oportunidades para mejoramientos;

f) tamaños de muestras;

g) categorización (si hay alguna) de los hallazgos de auditorias;

A.18.2 Registro de conformidades

Para registros de conformidades, lo siguiente debiera considerarse:

a) identificación de los criterios de auditoria contra los cuales se muestra la conformidad;

b) evidencias de auditoria para soportar conformidades;

c) declaración de conformidades, si aplica.

A.18.3 Registro de no conformidades

Para registros de no conformidades, lo siguiente debiera considerarse: a) descripción o referencia con los criterios de auditoria;

b) evidencias de auditoria;

c) declaraciones de no conformidad;

d) hallazgos de auditoria relacionados, si aplica.

A.18.4 Trato con hallazgos relacionados con criterios múltiples

Durante una auditoria, es posible identificar hallazgos relacionados con criterios múltiples. Cuando un auditor identifique un hallazgo ligado a un criterio en una auditoria combinada, el auditor debiera considerar el posible impacto con los criterios correspondientes o similares de los otros sistemas de administración.

Dependiendo de los arreglos con el cliente de la auditoria, el auditor puede ya sea levantar:

a) hallazgos por separado para cada criterio; o

b) un solo hallazgo, combinando las referencias con los criterios múltiples.

Leyva

Resaltado

Leyva

Resaltado

ISO 19011: 2018

45


Dependiendo de los arreglos con el cliente de la auditoria, el auditor puede guiar al auditado en cómo responder a estos hallazgos.

ISO 19011: 2018

46


Bibliografía

[1] ISO 9000: 2015 Sistemas de administración de calidad – Fundamentos y vocabulario

[2] ISO 9001, Sistemas de administración de calidad - Requerimientos

[3] Guía 73: 2009 de ISO, administración de riesgos – Vocabulario

[4] ISO/IEC 17021-1, Evaluaciones de conformidad – Requerimientos para organismos que ofrecen auditorías y certificaciones de sistemas de administración – Parte 1: Requerimientos

1) ver www.iso.org/tc176/ISO9001AuditingPracticesGroup

http://www.iso.org/tc176/ISO9001AuditingPracticesGroup

Leyva

Resaltado

NORMA ISO INTERNACIONAL 19011...ISO 19011: 2018 ii ISO 2018 – Traducción sólo para capacitación...

Documents

Transcript of NORMA ISO INTERNACIONAL 19011...ISO 19011: 2018 ii ISO 2018 – Traducción sólo para capacitación...