ACTUALIZACION NORMA ISO 19011:2011
AUDITORÍA SISTEMAS DE GESTION
C-ACTUALIZACIÓN - ISO 19011:2011 V1. Feb. 2012
OBJETIVO GENERAL
Comprender e interpretar las modificaciones conceptuales, estructurales y de los requisitos de la Norma de Auditoría.
Divulgar los cambios de la nueva ISO 19011, a su alcance y sinergia para los Sistemas de Gestión
2
ACLARACION DEL ALCANCE GENERAL ISO 19011:2002 Directrices para la auditoría de los sistemas de gestión de la calidad y/o ambiental.
ISO 19011:2011 Directrices para la auditoría de los sistemas de gestión. Establece orientación para todos los usuarios, incluidas las pequeñas y medianas organizaciones, hace énfasis en lo referente a las "auditorías internas" (primera parte) y a "las auditorías realizadas por los clientes en sus proveedores" (segunda parte). 3
NUEVAS NORMAS DE AUDITORÍA ISO 19011:2011 Directrices para la auditoria de los sistemas de gestión Auditorías de sistemas de Gestión de 1ª y 2º parte
ISO/IEC 17021:2011 Evaluación de la conformidad – Requisitos para los organismos que proporcionan auditoría y certificación de sistemas de gestión Auditorías de certificación de sistemas de gestión de 3ª parte
4
APARTADOS DE LA ISO 19011 4. Principios de Auditoría 5. Gestión de un programa de Auditoría 6. Realización de una Auditoría 7. Competencia y Evaluación de los Auditores Anexo A. Conocimientos y habilidades específicas por disciplina de auditores. (Informativo) Anexo B. Ejemplos de la evaluaciones específicas por disciplina de la competencia de equipos de auditoría. (Informativo) Anexo C. Guía adicional para auditores para planificar y realizar auditorías. (Informativo) 5
RESUMEN GENERAL DE CAMBIOS
- Se ha incluido un nuevo principio: Confidencialidad –Seguridad de la información.
- Se remplaza el principio Conducta Ética por Integridad. - Se ha incluido el concepto de “Riesgo de la auditoria”
-
Se establece guía sobre auditorias combinadas (No se hace referencia a “Auditorías Integrales”)
6
RESUMEN GENERAL DE CAMBIOS
-
Se establece el uso de la tecnología para la realización de auditorías remotas.
-
Se establecen parámetros para la definición de la competencia del auditor (conocimientos y habilidades) y su evaluación.
-
La norma es enfática en la necesidad de evaluar el marco legal y contractual de la organización auditada.
7
- Reestructuración del capítulo 5 (Gestión de Programas de auditoria). Cambios de forma
- Reestructuración del capitulo 6 ( Desarrollo de la auditoria). Cambios de forma
- Se establecen cambios en el capitulo 7 (Competencia y evaluación ): • Se establecen guías referente al conocimiento y habilidades de los auditores y auditores líderes, no se establecen requisitos de educación, experiencia laboral, entrenamiento de auditor, experiencia en auditorias. 8
GENERALIDADES DE LOS CAMBIOS La competencia se basa en:
-Conocimiento y habilidades genéricas de sistemas de gestión. -Conocimiento y habilidades de la disciplina especifica. -Conocimiento y habilidades específicas del sector. -La competencia debe ser evaluada.
9
2. Referencias informativas Se eliminaron las referencias a los términos y definiciones dadas en ISO 9000 e ISO 14050
3. Términos y definiciones: •Se incluyen definiciones sobre: Observador Guía Riesgo:
•Auditoria riesgos
basada
en
•Riesgos del programa de auditorias 10
4. PRINCIPIOS DE LA AUDITORIA INTEGRIDAD PRESENTACIÓN ECUÁNIME
Reemplaza y amplia el principio de Conducta Ética, se fundamenta en la Profesionalidad del Auditor. La comunicación debe ser real, precisa, objetiva, oportuna, clara y concreta.
DEBIDO CUIDADO PROFESIONAL
Habilidad para hacer juicios razonables y coherentes en todas las fases y situaciones de la auditoria.
CONFIDENCIALIDAD SEGURIDAD DE LA INFORMACIÓN
Nuevo principio : El auditor debe tener discreción en el uso y protección de la información a la que tenga acceso durante la auditoria.
INDEPENDENCIA
Es la base para la imparcialidad y la objetividad de las conclusiones de la auditoría.
ENFOQUE BASADO EN EVIDENCIA
Pequeño cambio en redacción Método racional para alcanzar conclusiones de la auditoría confiables y reproducibles. 11
5. GESTIÓN DE PROGRAMA DE AUDITORIA
5.1 - Generalidades
5.2 – Definición de los Objetivos del Programa de Auditorias 5.3 – Definición del Programa de Auditorias 5.4 – Implementación del Programa de Auditorias Realización de la Auditoría (Sección 6.) Competencia y Evaluación de Auditores (Sección 7.)
5.5 – Seguimiento del Programa de Auditorias
5.6 – Revisión y Mejora del Programa de Auditorias
12
5. GESTIÓN DE PROGRAMA DE AUDITORIA 5.1 - Generalidades Un programa de auditorias que incluya auditorias de uno o más sistemas de gestión.
Asignar los recursos necesarios para auditar los aspectos mas relevantes y de mayor impacto en los sistemas de gestión.
AUDITORIA BASADA EN RIESGOS
13
5. GESTIÓN DE PROGRAMA DE AUDITORIA 5.2 – Definición de los Objetivos del Programa de Auditorias * Titulo Revisado.
Los parámetros a tener al establecer los objetivos del programa se han ampliado * Resultados de auditorias anteriores.
* Madurez del sistema de gestión.
Las guías sobre la extensión del programa de auditoria se han llevado a la sección 5.3.3.
14
5. GESTIÓN DE PROGRAMA DE AUDITORIA 5.3 – Definición del Programa de Auditorias
Competencia de la persona responsable del programa de auditoria
Identificar y evaluar los riesgos del programa de auditorias
ASPECTO NUEVO
ASPECTO NUEVO
15
5. GESTIÓN DE PROGRAMA DE AUDITORIA 5.3 – Definición del Programa de Auditorias EJEMPLO: Identificación y evaluación de los riesgos en la ejecución y cumplimiento del programa de auditorias. RIESGO
EVALUACION
MEDIDA DE CONTROL – EFICACIA
Comunicación ineficaz del programa.
Riesgo mediano
- Envío temprano y verificación de recibo.
No logro de los objetivos del programa.
Riesgo crítico
- Entrenamiento apropiado de auditores. - Elaboración oportuna y adecuada de planes de auditoria. - Listas de verificación revisadas por el auditor líder.
Interferencia con las actividades productivas.
Riesgo mediano
- Coordinación previas con los responsables de los procesos operacionales.
Riesgo físico para los auditores.
Riesgo alto
- Capacitación previa en control de riesgos. - Evaluación competencias en seguridad. 16
5. GESTIÓN DE PROGRAMA DE AUDITORIA 5.4 – Implementación del Programa de Auditorias - Se incluye lo que debe hacer la persona responsable del programa de auditorías para implementarlo. - Definir los objetivos, alcance y criterios para una auditoria individual, es ahora una sub-sección. - Se dan guías para cuando se auditan juntos dos o más sistemas de gestión.
17
5. GESTIÓN DE PROGRAMA DE AUDITORIA 5.5 – Seguimiento del Programa de Auditorias 5.6 – Revisión y Mejora del Programa de Auditorias Estas dos secciones eran antes una. Aspectos a tener en cuenta Evaluar el desempeño de los integrantes del equipo de auditoría Considerar como parte de la revisión, métodos nuevos o alternativos. Revisar la efectividad de las medidas tomadas para manejar los riesgos asociados con el programa de auditorias 18
6. REALIZACION DE LA AUDITORIA COMPARATIVO SECCION ISO 19011: 2011
ISO 19011: 2002
19
6. REALIZACION DE LA AUDITORIA COMPARATIVO SECCION
ISO 19011: 2011
ISO 19011: 2002
20
6.2 INICIO DE LA AUDITORÍA
No establece la designación del líder de equipo o la definición de objetivos de auditoría, alcance y criterios ya que estos son tratados en la administración del programa de auditorías(5.4.5). Este numeral hace énfasis en establecer el contacto inicial con el auditado y definir la viabilidad de la ejecución de la auditoría.
21
6.3 PREPARACIÓN DE ACTIVIDADES DE AUDITORÍA Combina lo que antes eran dos secciones: •Ejecución de la revisión documental. •Preparación y definición de las actividades de la auditoría en sitio.
22
6.3 PREPARACIÓN DE LAS ACTIVIDADES DE AUDITORÍA 6.3.1 La realización de la revisión documental en la preparación de la auditoría 6.3.2 Preparación del Plan de Auditoría 6.3.3 Asignación de trabajo al equipo de auditoría 6.3.4 Preparación de los documentos de trabajo Para ISO 19011:2011, el objetivo de la revisión documental es definir la información y documentos de trabajo para la ejecución de la auditoria; así mismo para establecer un concepto general de la documentación de sistema para identificar posibles no conformidades.
23
6.4 LA REALIZACIÓN DE LAS ACTIVIDADES DE AUDITORÍA ESTABLECE
6.4.2 Realización de la reunión de apertura 6.4.3 La realización de la revisión documental durante el desarrollo de la auditoría
6.4.4 Comunicación durante la auditoría 6.4.5 Asignación de roles y responsabilidades de guías y observadores
6.4.6 Recolección y verificación de información 6.4.7 Generación de hallazgos de auditoría 6.4.8 Preparación de conclusiones de auditoría
6.4.9 Realización de la reunión de cierre 24
6.5 Preparación y distribución del informe de auditoría Sin cambios
6.6 Conclusión de la Auditoría Sin cambios
6.7 Realización de la Reunión de Cierre Sin cambios sustanciales
La guía especifica que dependiendo del objetivo de la auditoría, las conclusiones pueden hacer mención a realizar: correcciones, acciones correctivas, acciones preventivas o de mejora. 25
7. COMPETENCIA Y EVALUACIÓN DE AUDITORES
Se presentan cambios importantes, ya que la ISO 19011:2011 orienta la auditoría del sistema de gestión contemplando múltiples disciplinas.
26
7. COMPETENCIA Y EVALUACIÓN DE AUDITORES
7.1 Generalidades 7.2 Determinación de la competencia del auditor para cumplir con las necesidades del programa de auditoría.
7.2.1 7.2.2 7.2.3
Generalidades Comportamiento Personal Conocimiento y habilidades
7.2.3.1 Generalidades 7.2.3.2 Conocimientos y habilidades generales de los auditores de sistemas de gestión. 27
7. COMPETENCIA Y EVALUACIÓN DE AUDITORES
7.2.3.3 Conocimientos y habilidades de la disciplina y específicos del sector de los auditores del sistema de gestión. 7.2.3.4 Conocimientos y habilidades generales del líder de un equipo auditor. 7.2.3.5 Conocimientos y habilidades para auditar sistemas de gestión que tratan múltiples disciplinas.
7.2.4 7.2.5
Logro de la competencia del auditor Líderes del equipo auditor
28
7. COMPETENCIA Y EVALUACIÓN DE LOS AUDITORES 7.3 Establecimiento de los criterios de evaluación del auditor. 7.4 Selección del método de evaluación del auditor. 7.5 Realización de la evaluación. 7.6 Mantenimiento y mejora de la competencia del auditor - Anexo A. Conocimientos y habilidades específicas por disciplina de auditores. - Anexo B. Ejemplos de la evaluaciones específicas por disciplina de la competencia de equipos de auditoría - Anexo C. Guía adicional para auditores para planificar y realizar auditorías 29
7.2 DETERMINACIÓN DE LA COMPETENCIA DEL AUDITOR PARA CUMPLIR CON LAS NECESIDADES DEL PROGRAMA DE AUDITORÍAS Identifica aspectos a considerar cuando se establecen los conocimientos y habilidades, un ejemplo de ello, el sistema de gestión a auditar (calidad, medio ambiente, seguridad y salud ocupacional). 7.2.2 Conducta Personal los auditores deberían poseer y/o desarrollar ciertas actitudes durante el desarrollo de la auditoría, observador, perspicaz, abierto a la mejora, respetuoso de la cultura del auditado y de la organización. Los restantes atributos (ético, tenaz , mente abierta, decidido, diplomático, firme, seguro de si mismo, observador, versátil; ya se encontraban definidos en ISO 19011:2002. 30
7.2 DETERMINACIÓN DE LA COMPETENCIA DEL AUDITOR PARA CUMPLIR CON LAS NECESIDADES DEL PROGRAMA DE AUDITORÍAS 7.2.3 Conocimiento y habilidades
7.2.3.2 El conocimiento genérico y las habilidades de los auditores de sistemas de gestión Establecer el conocimiento y habilidades para auditar diferentes sistemas y aplicar otras partes de ISO 19011:2011; un ejemplo de esto, identificar los tipos de riesgos asociados con la auditoría, tener el conocimiento del tipo de organización, el negocio, conceptos de administración, los procesos, la terminología relacionada, el marco legal y la administración de personal.
31
7.2.3 CONOCIMIENTOS Y HABILIDADES Los anexos en esta sección van dirigidos a que los auditores estén en capacidad de evaluar el tipo de sistema, los requisitos específicos, actividades de negocio de la organización, entidades del estado, requisitos legales y contractuales, la política de la dirección.
32
COMPETENCIAS GENÉRICAS CONOCIMIENTOS Y HABILIDADES - Principios, procedimientos y técnicas de auditoría. - Documentos del sistema de gestión y de referencia. - Leyes, reglamentos, normas técnicas y otros aspectos que aplican al auditado. - Conocer los requisitos legales y contractuales que le apliquen al auditado. - Conocimientos y habilidades especificas del sector económico, comercial e industrial al que pertenece el auditado. 33
7.2.3.3 DISCIPLINA Y CONOCIMIENTO ESPECÍFICO DEL SECTOR Y HABILIDADES DE AUDITOR DE SISTEMA DE GESTIÓN Disciplina, por ejemplo SGA y sector, por ejemplo aéreo o farmacéutico). ISO 19011:2002 proporcionó la guía para auditores de sistema de gestión de calidad y auditores de sistema de gestión medioambiental, cada uno teniendo su propia sección que proporcionaba orientación sobre conocimiento de auditor y requisitos de habilidad. En la ISO 19011:2011 se identifica conocimientos y habilidades que tienen que ser aplicadas a todos los sistemas de gestión.
34
7.2.3.4 CONOCIMIENTOS GENERALES Y HABILIDADES DEL LÍDER DEL EQUIPO DE AUDITORÍA Incluye el conocimiento y habilidades para - Identificar y equilibrar las fortalezas y las debilidades de cada miembro del equipo de auditoría. - Desarrollar una adecuada relación de trabajo entre los miembros del equipo de auditoría. - Gestionar la incertidumbre (Riesgos) en el logro de los objetivos de auditoría. 35
7.2.3.5 CONOCIMIENTOS Y HABILIDADES PARA AUDITAR SISTEMAS DE GESTIÓN ABORDANDO MÚLTIPLES DISCIPLINAS En la versión 2002, se especificaba para los auditores de sistemas de calidad, sistemas de gestión medioambiental. Ahora describe requisitos de habilidad y de conocimiento. Un ejemplo de esto, análisis de la interacción entre los diferentes sistemas gestión.
36
7.2.4 LOGRO DE LA COMPETENCIA DEL AUDITOR CONOCIMIENTO Y HABILIDADES ISO 19011:2002
Se refiere a cinco años de experiencia laboral y veinte días de experiencia en auditoría, etc.
ISO 19011:2011
Pueden ser adquiridos mediante: educación combinada, programas de formación de auditores, experiencia en cargos técnicos, cargos directivos o profesionales y la experiencia en auditoría.
37
7.2.5 LÍDER DEL EQUIPO DE AUDITORES
El líder del equipo de auditoría deberá tener experiencia en auditorías, adicional a los conocimientos y habilidades descritas en 7.2.3. Esta experiencia deberá haberse logrado mediante el trabajo como director y guía de diferentes equipos de auditoría.
38
7.3 DEFINICIÓN DE LOS CRITERIOS DE EVALUACIÓN DE LOS AUDITORES
ASPECTOS CUALITATIVOS •Conductas personales
ASPECTOS CUANTITATIVOS •Años de experiencia laboral y en educación
•Conocimientos •Habilidades (en formación o en campo)
•Número de auditorías dirigidas
ASPECTOS A EVALUAR
•Horas de Formación en Auditoría
39
7.4 SELECCIÓN DEL MÉTODO APROPIADO DE EVALUACIÓN DE AUDITOR Métodos de evaluación, por ejemplo: METODO DE EVALUACION
OBJETIVOS
EJEMPLOS
Análisis de registros de educación, formación, habilidades, experiencia en auditoría, empleos y títulos profesionales.
Revisión de registros
Verificar la hoja de vida del Auditor
Retroalimentación
Establecer información sobre como Encuestas, cuestionarios referencias se percibe el desempeño del personales, testimonios, quejas, evaluación de auditor. desempeño.
Examen
Evaluar las conductas personales y Exámenes orales la aplicación de conocimientos y sicométricas habilidades
Revisión posterior a la auditoría
Proporciona información sobre el auditor durante las actividades de auditoría, identificando fortalezas y debilidades.
y
escritos,
pruebas
Revisión de los reportes de auditoria, entrevistas con el líder de auditoría, el equipo de auditoría, y si es apropiado la retroalimentación del auditado 40
7.5 REALIZACIÓN DE LA EVALUACIÓN DEL AUDITOR La información reunida sobre el auditor debería ser comparada con el conjunto de criterios. Y cuando el conjunto de criterios no cumplen las condiciones mínimas de formación, el trabajo o experiencia de auditoría, debería realizarse reevaluaciones para garantizar su optimo desempeño.
Criterios de Evaluación
Métodos de Evaluación
Evaluación y calificación del Auditor
41
7.6 MANTENIMIENTO Y MEJORA DE LA COMPETENCIA DEL AUDITOR Gran parte del numeral no cambio, realiza aclaraciones sobre:
Los auditores y líderes de equipo continuamente deberían mejorar su competencia a través de la participación en auditorías a sistemas de gestión y del continuo desarrollo profesional.
La guía hace claridad en que la persona que administra el programa de auditoría debería establecer mecanismos apropiados para la evaluación permanente del desempeño de los auditores, y de los líderes del equipo.
42
ANEXO A (INFORMATIVO)
EJEMPLOS ILUSTRATIVOS DE DISCIPLINACONOCIMIENTO ESPECÍFICO Y HABILIDADES DE LOS AUDITORES. Orienta a las organizaciones, las cuales pueden usarlos para apoyar el desarrollo de sus propios criterios de competencia y selección de auditores. • • • • • • •
A-2 Gestión de la seguridad de transporte A-3 Gestión medioambiental A-4 Gestión de calidad A-5 Gestión de registros A-6 Restablecimiento, seguridad, preparación y gestión de la continuidad A-7 Seguridad de Información A-8 Salud ocupacional y seguridad 43
ANEXO B (INFORMATIVO) GUÍA ADICIONAL PARA AUDITORES EN LA PLANIFICACIÓN Y REALIZACIÓN DE AUDITORÍAS Una orientación más práctica, de un modelo frecuentemente dado en cursos de formación de auditores internos o auditores líderes.
Los apartes del Anexo B, incluyen por ejemplo:
44
B-1 APLICACIÓN DE MÉTODOS DE AUDITORÍA Extensión del involucramiento entre el auditor y el auditado
Ubicación del auditor En sitio
Interacción humana
Sin interacción humana
Realización de entrevistas. Llenado de listas de verificación y cuestionarios con la participación del auditado Revisión de documentos con la participación del auditado.
Remota
Observación del trabajo desempeñado Visita al sitio. Llenado de listas de verificación. Muestreo(ejemplo, productos). Revisión de documentos (registros).
Vía medios de comunicación: Realización de entrevistas. Llenado de listas de verificación y cuestionarios Revisión de documentos con la participación del auditado. Revisión de documentos. Observación del trabajo desarrollado vía medios de supervisión.
Las actividades en sitio de la auditoría se realizan en las instalaciones del auditado. Las actividades remotas de la auditoría se realizan en cualquier lugar fuera de las instalaciones del auditado, independientemente de la distancia. Las actividades interactivas de la auditoría involucran la interacción entre el personal del auditado y el equipo auditor. Las actividades no interactivas de la auditoría no involucra la interacción humana con las personas que se auditan pero si involucra interacción con equipo, instalaciones y documentación. 45
B-2 SELECCIÓN DE LAS FUENTES DE INFORMACIÓN (UN EJEMPLO) • Entrevistas con los empleados y otras personas; • Observaciones de las actividades y el ambiente de trabajo y sus condiciones; • Documentos, como las políticas, objetivos, planes, procedimientos, normas, instrucciones, licencias y permisos, especificaciones, dibujos, contratos y órdenes; • Registros, como los registros de inspección, minutas de reuniones, reportes de auditoría, registros de los programas de seguimiento y los resultados de las mediciones; • Resúmenes de datos, análisis e indicadores de desempeño; • Información sobre los programas de muestreo de los auditados y sobre los procedimientos para el control del muestreo y procesos de medición; • Reportes de otras fuentes, por ejemplo, retroalimentación del cliente, encuestas y mediciones externas, otra información pertinente de partes externas y clasificación de proveedores; • Bases de datos y sitios electrónicos; • Simulaciones y modelos. 46
B-3 REALIZACIÓN DE LA REVISIÓN DOCUMENTAL (UN EJEMPLO) Los auditores deberían evaluar la documentación en cuanto a: - Completa (todo el contenido esperado está en el documento); - Correcta (el contenido es conforme con otras fuentes confiables como normas y regulaciones); - Coherente (el documento es consistente en si mismo y en relación a otros documentos); - Vigente (el contenido está actualizado). - Los documentos que se revisan cubren el alcance de la auditoría y son capaces de proporcionar suficiente información para soportar los objetivos de la auditoría; - El uso de tecnologías de la información y de comunicación, dependiendo de los métodos de auditoría, deberían facilitar la realización eficiente de la auditoría. - Se debe incluir la seguridad en la información 47
B-4 PREPARACIÓN DE LOS DOCUMENTOS DE TRABAJO UN EJEMPLO - Cuando se preparan documentos: - ¿qué registro de auditoría se creará al usar este documento de trabajo? - ¿qué actividad de auditoría es afectada por este documento de trabajo en particular? - ¿quién será el usuario de este documento de trabajo? - ¿qué información se necesita para preparar este documento de trabajo? Para auditorías combinadas es esencial la preparación cuidadosa de documentos de trabajo que evite la duplicación de actividades de auditoría. - Los documentos de trabajo deberían ser adecuados para cubrir todos esos elementos de un sistema de gestión dentro del alcance de la auditoría y pudiera ser proporcionado por cualquier medio. 48
ANEXO B. GUÍA ADICIONAL PARA AUDITORES EN LA PLANIFICACIÓN Y REALIZACIÓN DE AUDITORÍAS. B-5 Muestreo – Guía para la selección de métodos de muestreo, decisiones con base en el muestreo, muestreo estadístico.
B.5.1 Generalidades B.5.2 Decisiones basadas en el muestreo B.5.3 Muestreo estadístico
49
ANEXO B. GUÍA ADICIONAL PARA AUDITORES EN LA PLANIFICACIÓN Y REALIZACIÓN DE AUDITORÍAS B-6 Guía para la visita a las instalaciones del auditado Guía práctica en la planificación y la realización de actividades en campo – Un ejemplo - Confirme con el auditado que cualquier EPP requerido estará disponible - Si se requiere de autorización para tomar fotografías se debe pedir por adelantado la autorización a la dirección y considerar los aspectos de confidencialidad y de seguridad. - Otras orientaciones para realizar entrevistas, - Hallazgos de auditorías (determinación de hallazgos de auditoría, registro de conformidades y registro no conformidades) - Tratamiento de hallazgos relacionados con múltiples criterios. 50
GRACIAS
51