Descubre el Proceso de Auditoría ISO 19011: La Guía Definitiva que Necesitaspost-template-default single single-post postid-46 single-format-standard et_pb_button_helper_class et_fixed_nav et_show_nav et_secondary_nav_enabled et_primary_nav_dropdown_animation_fade et_secondary_nav_dropdown_animation_fade et_header_style_left et_pb_footer_columns4 et_cover_background et_pb_gutter et_pb_gutters3 et_right_sidebar et_divi_theme et-db
771 715 4434

El Proceso de Auditoría ISO 19011: Una Guía Detallada

Dentro de las varias decenas de normas de sistemas de gestión en las organizaciones públicas y empresariales existen diversas de ellas que nos encontramos en el día a día, como por ejemplo ISO 9001 de calidad, ISO 14001 de medio ambiente o ISO 45001 de seguridad y salud, siendo la de calidad la más implantada. Dichos sistemas ayudan en el día a día a cumplir con los requisitos legales y avanzar en la mejora continua en cualquiera de dichos campos, sea en una pequeña, mediana o gran empresa.

Para conocer si estos sistemas de gestión funcionan se pueden realizar auditorías por parte de la propia organización o internas (de primera parte), por proveedores o partes interesadas externas (segunda parte), o por parte de organismos de certificación o reguladores (tercera).

La regulación de cómo hay que auditar dichos sistemas está marcada por la norma ISO 19011, que dejó atrás su versión de 2011. Esto provocó que la norma encargada de explicitar cómo deben realizarse las auditorías se quedara algo descontextualizada y que necesitara una renovación, que llegó en julio de 2018.

Actualización de la Norma ISO 19011

En los últimos años, las normas de sistemas de gestión más usadas han sufrido actualizaciones con estructuras compartidas de alto nivel, así como presentan nuevos desarrollos que unifican conceptos entre ellas. La versión 2018 da respuesta a numerosas actualizaciones y cambios sobre cómo deben realizarse las auditorías.

ISO 19011:2018, era su nueva versión, y tenía como objetivo dar respuesta a numerosas actualizaciones y cambios que se presentan a continuación:

Lea también: Definición Detallada del Proceso Contable

  • Se agregó en los principios de la auditoría un enfoque basado en el riesgo, así como su programación en el programa de auditoría. Este enfoque debe derivarse del contexto organizacional y de sus problemas internos y externos.
  • Se amplió la orientación sobre la planificación de la auditoría.
  • Se aumentaron los requisitos generales de competencia que deben cumplir los auditores, en los que se remarca qué deberán tener en cuenta el sector o disciplina a la que pertenezcan.
  • La terminología de la norma se ajustó para reflejar el proceso y no el objeto. De esta forma, se redefinen conceptos tales como: requerimiento, proceso, eficacia, auditoría combinada, auditoría conjunta, desempeño y evidencia objetiva.

Además, se produjo una eliminación del anterior Anexo A: Se eliminó el anterior Anexo A de la anterior versión del 2011, en el que se mostraban ejemplos de conocimientos y habilidades que debían de tener los auditores, ya que era imposible abarcar todos esos saberes y destrezas para cualquier disciplina.

El anterior Anexo B de la versión 2011 se convirtió en el Anexo A del 2018, que facilita orientación sobre diversas definiciones tales como contexto organizacional, liderazgo y compromiso, auditorías virtuales, cumplimiento y cadena de suministro.

Estructura de la Norma ISO 19011:2018

La estructura de la norma ISO 19011:2018 introdujo como novedades el punto 3.2 (definiciones), el 4.g (enfoque basado en el riesgo) y un nuevo 5.3 (Determinando y evaluando los riesgos y oportunidades del programa de auditoría). También incorporó cambios en subpuntos en el punto 6.3 (planificación de la auditoría) y 6.4 (disponibilidad y acceso, determinación y conclusiones del informe de auditoría y eliminación del anterior Anexo A, pasando el B de 2011 a ser el A.

Novedades que significaron un perfeccionamiento de la norma y que se mantienen en la actualidad.

La Importancia de ISO 19011:2018

De esta forma, ISO 19011:2018 significó una mejora de los principios de cómo debe ser una auditoría y su realización sobre un sistema de gestión, así como de las personas que evalúan y administran la misma. Era necesario proporcionar un enfoque menos prescriptivo, principalmente con respecto a la evidencia documentada de los diferentes pasos dentro del proceso de auditoría.

Lea también: Proceso de Auditoría Interna

La misión de la auditoría y de quienes lo realizan no es encontrar fallos sin más a la organización, sino detectar sus debilidades para solventarlos y seguir en su mejora continua, así como aportar valor a la organización. Se trata de un proceso que ayuda a cualquier organización, tenga el tamaño que tenga y sector al que pertenezca.

¿Cómo Hacer un Programa de Auditorías?

El líder del equipo de auditores es responsable de elaborar un programa de auditorías que proporcione los lineamientos a seguir para la realización de cada una de las auditorías individuales. El programa de auditorías, que tiene que ser suficientemente flexible para permitir cambios a medida que se van desarrollando las actividades de auditoría; tiene que proporcionar la base para el acuerdo entre el cliente de la auditoría, el equipo auditor y el auditor líder, en relación con los aspectos relativos a las auditorías, tales como las fechas, los horarios, la coordinación de las actividades de auditoría, entre otros.

La planificación del programa de auditorías tiene el objetivo de informar a todas las partes interesadas que intervienen en las auditorías de todos los detalles, con el fin de poder realizar los preparativos necesarios. La planificación del programa tiene que considerar la comprensión el contexto del auditado, para lograrlo, el programa de auditoría tiene que tener en cuenta del auditado:

  • objetivos organizacionales;
  • cuestiones externas e internas relevantes;
  • las necesidades y expectativas de las partes interesadas pertinentes;
  • requisitos de confidencialidad y seguridad de la información.

Si el cliente de la auditoría cuenta con un sistema de gestión, debería contar con información relacionada a la compresión de su contexto. Para que sea realmente efectivo, es necesario que el programa de auditorías sea revisado y aprobado por el cliente y presentado al auditado antes de que comiencen las actividades de la auditoría en sitio.

Cualquier revisión al programa de auditorías deber ser acordada entre las partes interesadas antes de continuar las auditorías individuales. De nuevo, la formulación del programa de auditorías es responsabilidad básica del líder del equipo auditor, que establece la organización y métodos por medio de los cuales se realizarán las auditorías individuales.

Lea también: Más sobre el Proceso de Auditoría

El programa de auditoría es un registro controlado que resulta de la acción de planificar, a partir de un objetivo, un conjunto de auditorías en plazo de tiempo próximo… entonces el programa debe estar registrado en un documento. Primero que nada el documento donde se registre el programa de auditorías debe cumplir con el estándar de información documentada que la organización ha determinado para la elaboración y control de sus documentos y registros.

Anatomía de un Programa de Auditorías

Debemos especificar:

  • el núm. del programa por si tenemos más de uno,
  • el horizonte de tiempo que cubre el programa,
  • el núm. de auditorías totales del programa,
  • objetivos y alcance,
  • tipo de auditorías según su forma y alcance.

Objetivos del Programa de Auditorías

Los objetivos para el programa de auditorías pueden basarse en las siguientes consideraciones:

  • las necesidades y expectativas de todas las partes interesadas;
  • características y requisitos de procesos, productos, servicios y proyectos, incluyendo cualquier cambio en ellos;
  • requisitos para el sistema de gestión;
  • necesidades de evaluación de proveedores externos;
  • el nivel de desempeño y el nivel de madurez del sistema o sistemas de gestión del auditado;
  • identificación de riesgos y oportunidades para el auditado;
  • resultados de auditorías anteriores.

Ejemplos de Objetivos para el Programa de Auditorías

  • Evaluar la compatibilidad y la alineación de los objetivos del sistema de gestión con la dirección estratégica de la organización.
  • Evaluar la identificación, determinación e interrelación de los procesos determinados en el alcance del sistema de gestión.
  • Evaluar la identificación de riesgos y oportunidades, y si los planes de tratamiento fueron eficaces.
  • Verificar el cumplimiento con todos los requisitos pertinentes, p. ej. requisitos legales y reglamentarios, requisitos de ISO 9001:2015.
  • Evaluar el proceso de acciones correctivas, su estado, seguimiento, eficacia y mejora del mismo proceso.
  • Verificar la capacidad del auditado para determinar su contexto organizacional, priorizarlo y determinar planes de acción para tratar los efectos sobre su planificación estratégica.
  • Evaluar el control establecido para la gestión de la información documentada del sistema de gestión.
  • Evaluar las competencias de las personas que se desempeñan en los procesos, así como la eficacia de los programas de formación.
  • Evaluar la alineación de los objetivos de los procesos con la dirección estratégica de la organización.

Determinación del Alcance del Programa de Auditoría

El auditor líder y su equipo tienen que determinar el alcance del programa de auditoría. Pueden darse variaciones dependiendo de la información proporcionada por el auditado con respecto a su contexto.

Otros factores que afectan el alcance de un programa de auditoría:

  • Los objetivos, el alcance y la duración de cada auditoría y la cantidad de auditorías que se llevarán a cabo, el método de notificación y, si corresponde, el seguimiento de la auditoría;
  • las normas del sistema de gestión u otros criterios aplicables;
  • el número, la importancia, la complejidad, la similitud y la ubicación de las actividades a auditar;
  • aquellos factores que influyen en la efectividad del sistema de gestión;
  • los criterios de auditoría aplicables, tales como los arreglos planificados para las normas del sistema de gestión pertinentes, los requisitos legales y reglamentarios y otros requisitos con los que la organización está comprometida;
  • resultados de auditorías internas o externas previas y revisiones de la alta dirección, si corresponde;
  • problemas lingüísticos, culturales y sociales;
  • las preocupaciones de las partes interesadas;
  • cambios significativos en el contexto del auditado o sus operaciones y riesgos y oportunidades relacionados;
  • disponibilidad de tecnologías de información y comunicación para respaldar las actividades de auditoría, en particular el uso de métodos de auditoría remota;
  • la ocurrencia de eventos internos y externos, tales como no conformidades de productos o servicios, fugas de seguridad de la información, incidentes de salud y seguridad, actos delictivos o incidentes ambientales;
  • riesgos y oportunidades comerciales, incluidas las acciones para abordarlos.

Especificaciones del Programa de Auditorías

Debemos especificar el procedimiento de auditorías, los criterios, los métodos a utilizar, así como las políticas a las que se sujetarán los auditores para el manejo de confidencialidad, la seguridad de la información, salud y seguridad.

Equipos de Auditores Internos

El auditor líder tiene que determinar los equipos de auditores internos, de ser necesario se debe especificar a los expertos técnicos y los observadores; ante todo considere flexibilidad y competencias.

Para armar los equipos de auditores, el auditor líder debe tener en cuenta las siguientes responsabilidades a su cargo:

  • determinar el alcance del programa de auditoría de acuerdo con los objetivos, así como cualquier restricción conocida;
  • determinar los factores externos e internos, y los riesgos y oportunidades que pueden afectar el programa de auditoría, e implementar acciones para abordarlos;
  • garantizar la selección de los equipos de auditoría y la competencia general para las actividades de auditoría mediante la asignación de funciones, responsabilidades y autoridades acorde a las competencias y contexto del auditado, proveer el apoyo y liderazgo al equipo;
  • establecer todos los procesos relevantes, incluidos los procesos para:
    • la coordinación y programación de todas las auditorías;
    • el establecimiento de objetivos de auditoría, alcance (s) y criterios de las auditorías, determinación de los métodos de auditoría y selección del equipo de auditoría;
    • evaluación de auditores;
    • el establecimiento de procesos de comunicación externa e interna;
    • la resolución de disputas y el manejo de quejas;
    • seguimiento de auditoría cuando corresponda;
  • informar al cliente de auditoría y a las partes interesadas pertinentes.
  • determinar y garantizar todos los recursos;
  • realizar las auditorías de acuerdo al procedimiento de las auditorías internas y considerando los principios de auditorías;
  • garantizar que se prepare y mantenga la información documentada necesaria, incluidos los registros que resulten del programa de auditoría;
  • monitorear, revisar y mejorar el programa de auditoría;
  • comunicar el programa de auditoría al cliente de auditoría y solicitar su aprobación, según corresponda, a las partes interesadas pertinentes también.

Competencias del Auditor Líder y su Equipo

El auditor líder es quien gestiona el programa de auditoría, este, debe tener la competencia necesaria para gestionar el programa, sus riesgos y oportunidades asociados y los factores externos e internos de manera efectiva y eficiente, incluido el conocimiento de:

  • los principios de auditoría documentados en la norma ISO 19011:2018,
  • los métodos y procesos determinados para el proceso de auditorías;
  • normas aplicables del sistema de gestión, otras normas y documentos de referencia;
  • información sobre el auditado y su contexto;
  • requisitos reglamentarios y reglamentarios aplicables del auditado.

El auditor líder y su equipo de auditores deben participar continuamente en actividades de formación para el desarrollo de las competencias necesarias y aplicables al proceso de auditorías. El auditor líder debe observar las competencias de los expertos técnicos, realmente deben ser expertos para poder integrarlos a las auditorías individuales sonde sea necesario.

Cronograma del Programa

En un gráfico hay que coordinar: los procesos por auditar, los criterios de auditoría, los equipos de auditores, los períodos de tiempo en que se ejecutarán las auditorías.

Ejemplo: Cronograma de auditorías internas.

Riesgos y Oportunidades en el Contexto del Auditado

Los riesgos suponen todos los posibles eventos que tienen un potencial efecto sobre el logro de los objetivos del programa; ya sea impidiendo el logro o facilitando su logro como oportunidades, los riesgos y oportunidades pueden tener efecto sobre los siguientes aspectos de la planificación:

  • Sobre la planificación.
  • Sobre los recursos.
  • Sobre la selección del equipo auditor.
  • Sobre la implementación del programa.
  • Sobre los registros y su control.
  • Sobre el monitoreo, revisión y mejora del programa de auditoría.
  • Sobre la comunicación durante la realización de las auditorías.
  • Sobre la disponibilidad y cooperación del auditado.
  • Sobre la disponibilidad de evidencias suficientes.

Ejemplos de Oportunidades

  • Reducir tiempo, costos y traslados utilizando videoconferencias para entrevistas en sitios remotos.
  • Optimizar gastos de viajes y hospedajes.
  • Optimizar la formación utilizan nuevos métodos de capacitación, rapidez de aprendizaje.
  • Fortalecer la seguridad de la información empleando métodos informáticos para asegurar la privacidad de la información.
  • Sobre la confidencialidad de la información del cliente de la auditoría.
  • En la realización de acciones de seguimiento en casos necesarios.

Las personas que gestionan el programa de auditoría tienen la responsabilidad de identificar y presentar al cliente de auditoría los riesgos y oportunidades considerados al desarrollar el programa de auditoría y los requisitos de recursos, para que puedan abordarse de manera adecuada.

Recursos

Se trata de determinar qué elementos necesarios soportarán nuestro programa de auditorías, estos pueden ser, acciones formativas, normas, viáticos (transporte, alimentación y hospedaje en caso de auditorías internas), equipo de seguridad y protección para auditar procesos especiales, etc.

El auditor líder y su equipo de auditoría tienen que considerar:

  • los recursos financieros y de tiempo necesarios para desarrollar las actividades de auditoría;
  • métodos de auditoría;
  • la disponibilidad individual y general de auditores y expertos técnicos competentes para desarrollar las actividades de auditoría;
  • el alcance, los riesgos y oportunidades del programa de auditoría;
  • tiempo de traslados, costo, hospedaje y otras necesidades;
  • el efecto de las diferentes zonas horarias;
  • la disponibilidad de tecnologías de información y comunicación, herramientas y equipos requeridos;
  • la disponibilidad de cualquier herramienta, tecnología y equipo requerido;
  • la disponibilidad de la información documentada necesaria;
  • los requisitos relacionados con la instalación, incluidos los espacios de seguridad y el equipo.

Hasta aquí hemos concretado los pasos para realizar el programa de auditorías considerando las directrices marcadas en la nueva revisión de la norma ISO 19011:2018.

Principios de la Auditoría

La auditoría se caracteriza por depender de varios principios. Estos principios deberían ayudar a hacer de la auditoría una herramienta eficaz y fiable en apoyo de las políticas y controles de gestión, proporcionando información sobre la cual una organización puede actuar para mejorar su desempeño.

  • Integridad: el fundamento de la profesionalidad.
  • Presentación imparcial: la obligación de informar con veracidad y exactitud. Los hallazgos, conclusiones e informes de la auditoría deberían reflejar con veracidad y exactitud las actividades de auditoría. Se debería informar de los obstáculos significativos encontrados durante la auditoría y de las opiniones divergentes sin resolver entre el equipo auditor y el auditado. La comunicación debería ser veraz, exacta, objetiva, oportuna, clara y completa.
  • Debido cuidado profesional: la aplicación de diligencia y juicio al auditar. Los auditores deberían proceder con el debido cuidado, de acuerdo con la importancia de la tarea que desempeñan y la confianza depositada en ellos por el cliente de la auditoría y por otras partes interesadas. Un factor importante al realizar su trabajo con el debido cuidado profesional es tener la capacidad de hacer juicios razonados en todas las situaciones de la auditoría.
  • Confidencialidad: seguridad de la información. Los auditores deberían proceder con discreción en el uso y la protección de la información adquirida en el curso de sus tareas. La información de la auditoría no debería usarse inapropiadamente para beneficio personal del auditor o del cliente de la auditoría, o de modo que perjudique el interés legítimo del auditado. Este concepto incluye el tratamiento apropiado de la información sensible o confidencial.
  • Independencia: la base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la auditoría. Los auditores deberían ser independientes de la actividad que se audita siempre que sea posible, y en todos los casos deberían actuar de una manera libre de sesgo y conflicto de intereses. Para las auditorías internas, los auditores deberían ser independientes de los responsables operativos de la función que se audita. Los auditores deberían mantener la objetividad a lo largo del proceso de auditoría para asegurarse de que los hallazgos y conclusiones de la auditoría estarán basados solo en la evidencia de la auditoría. Para las organizaciones pequeñas, puede que no sea posible que los auditores internos sean completamente independientes de la actividad que se audita, pero deberían hacerse todos los esfuerzos para eliminar el sesgo y fomentar la objetividad.
  • Enfoque basado en la evidencia: la base racional para llegar a conclusiones de la auditoría fiables y reproducibles en un proceso de auditoría sistemático. La evidencia de la auditoría debería ser verificable. Debería basarse en muestras de la información disponible, puesto que una auditoría se lleva a cabo durante un período de tiempo limitado y con recursos finitos. Debería aplicarse un uso apropiado del muestreo.

tags: #proceso #de #auditoria #iso #19011