RESUMEN DE LA NORMA ISO 19011:2011
En este resumen de los requisitos de la NORMA ISO 19011 versión 2011 se hará mención de los puntos más importantes de cada sección de la norma, como una guía sobre el manejo de un programa de auditoría, sobre la planeación y realización de una auditoría a un sistema de gestión, así como sobre la competencia y evaluación de un auditor que pertenezca al equipo auditor.
DIRECTRICES PARA AUDITORIA DE SISTEMAS DE GESTIÓN CAPITULO 1 “ALCANCE”
Este capítulo 1 hace mención a los alcances que tiene esta Norma Internacional en base a las auditorias hacia los sistemas de gestión de diferentes disciplinas de una organización. Ofreciéndonos los principios de auditoría, el manejo de un programa de auditoría y la realización de las auditorías a sistemas de gestión, así como directrices sobre la evaluación de competencia de los individuos involucrados en el proceso de auditoría. Esta es aplicable a todas las organizaciones que requieren llevar a cabo auditorias internas o externas a sistemas de gestión o manejar un programa de auditoría. CAPITULO 2 “REFERENCIAS NORMATIVAS”
Esta norma no cuenta con citas de referencias normativas, con el objetivo de mantener la misma numeración de cláusulas de otras normas ISO de sistemas de gestión. CAPITULO 3 “TERMINOS Y DEFINICIONES”
El Capítulo 3 establece los términos y definiciones claves usadas en esta Norma Internacional. Se han hecho todos los esfuerzos para asegurar que estas definiciones no entran en conflicto con las definiciones usadas en otras normas. A continuación, se mencionan los conceptos más completos:
3.1 Auditoría
Proceso sistemático, independiente y documentado para obtenerevidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría
Auditorías internas: auditorías de primera parte, se realizan por, o en nombre de, la propia organización, para la revisión por la dirección y con otros fines internos. Auditorías externas: auditorías de segunda y tercera parte. o Auditorías de segunda parte: se llevan a cabo por partes que tienen un interés en la organización, tal como los clientes, o por otras personas en su nombre. o Auditorías de tercera parte:se llevan a cabo por organizaciones auditoras independientes y externas, tales como aquellas que proporcionan el registro o la certificación de conformidad.
Auditoría combinada: Cuando se auditan juntos dos o más sistemas de gestión de diferentes disciplinas. Auditoría conjunta: Cuando dos o más organizaciones cooperan para auditar a un único auditado.
3.2 Criterios de auditoría Grupo de políticas, procedimientos o requisitos usados como referencia y contra los cuales se compara la evidencia de auditoría.
3.3 Evidencia de la auditoría Registros, declaraciones de hechos o cualquier otra información que son pertinentes para los criterios de auditoría y que son verificables (pudiendo ser cualitativa o cuantitativa).
3.4 Hallazgos de la auditoría Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría (indican conformidad o no conformidad).
3.5 Conclusiones de la auditoría Resultado de una auditoría, tras considerar los objetivos de la auditoría y todos los hallazgos de la auditoría.
3.6 Cliente deo lapersona auditoría Organización que solicita una auditoría 3.10 Experto técnico Persona que aporta conocimientos o experiencia específicos al equipo auditor mas no actúa como auditor en el equipo auditor.
3.11 Observador Persona que acompaña al equipo auditor pero no audita únicamente cumple el trabajo de testigo de la auditoria.
3.13 Programa de auditoría Conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico.
3.15 Plan de auditoría Descripción de las actividades y de los detalles acordados de una auditoría.
4 PRINCIPIOS DE AUDITORÍA El Capítulo 4 describe los principios en los que se basa la auditoría hacer de la auditoría una herramienta eficaz y fiable en apoyo de las políticas y controles de gestión, proporcionando información sobre la cual una organización puede actuar para mejorar su desempeño. Estos principios ayudan a los usuarios a entender la naturaleza esencial de la auditoría y resultan importantes para entender la guía presentada en los Capítulos 5 y 7. a)
Integridad: el fundamento del profesionalismo, hace mención que tanto los
auditores como todo personal que maneja el programa de auditoria, deben ser
capaz de ejecutar y cumplir con su trabajo cumpliendo con los requisitos legales aplicables, de manera honesta y responsable, demostrando tener un conocimiento suficiente en el tema. b) Presentación ecuánime: Todos los resultados de la auditoría deberán ser presentado con veracidad y exactitud, haciendo mención de todos los puntos tanto de conformidades como inconformidades encontrados al igual que las opiniones de los auditores para las posibles mejoras. c) Debido cuidado profesional:Los auditores deben llevar a cabo su trabajo de manera responsable y profesional, aplicando juicios justos y razonables en cualquier auditoria. d) Confidencialidad: Este criterio hace mención del correcto uso de la información obtenida en la auditoria tanto de lado del auditor como del cliente de auditoria ofreciendo discreción y protección de la información obtenida. e) Independencia: Los auditores deben ser independientes, si se realiza una auditoria interna, el auditor debe ser independiente y no debe tener ninguna relación con las áreas a ser auditadas y si es una auditoria externa el auditor debe ser externo a la organización para que los resultados obtenidos puedan estar basados solo en la evidencia auditiva. f) Enfoque basado en la evidencia:Toda aquella evidencia de la auditoria debe ser verificable con los datos e información obtenida durante la auditoria ya que es la única forma de confiar en los resultados obtenidos.
5 GESTIÓN PARA UN PROGRAMA DE AUDITORIA El Capítulo 5 provee lineamientos sobre el establecimiento y manejo de un programa de auditoría, estableciendo los objetivos del programa y coordinando las actividades de auditoría. 5.1 Generalidades
Para llevar a cabo una auditoria efectiva es indispensable que la organización establezca un programa de auditoria, en el cual se establezcan ciertos criterios como el objetivo principal de la auditoria, el o las áreas donde se aplicara el programa, el alcance los responsables que llevarán a cabo la auditoria los cuales deben ser necesarios personas capacitadas competentes en el tema, y establecer todos los requisitos para llevar ay cabo la auditoria. 5.2 Establecer los objetivos del programa
Es importante la creación de los objetivos del programa ya que estos ayudaran a dirigir la planeación de las auditorías. Los objetivos pueden estas basados principalmente de los siguiente: a) prioridades de la gerencia; d) requisitos del sistema de gestión; e) requisitos legales y contractuales y otros requisitos a los que la organización esté comprometida; f) necesidad de evaluación de proveedor;
g) necesidades y expectativas de las partes interesadas, incluyendo clientes; k) nivel de madurez del sistema de gestión a ser auditado.
5.3 Establecer el programa de auditoria 5.3.1 Roles y responsabilidades de la persona que gestiona el programa de auditoría La persona que gestiona el programa de auditoría debería:
establecer el alcance del programa de auditoría; identificar y evaluar los riesgos del programa de auditoría; establecer responsabilidades de auditoría; establecer procedimientos para programas de auditoría; asegurar la implementación del programa de auditoría, incluyendo el establecimiento de objetivos, alcance y criterios de auditoría. entre otros.
5.3.2 Competencia de la persona que gestiona el programa de auditoria La persona que gestiona el programa de auditoría debería tener la competencia necesaria para gestionar dicho programa, así como el conocimientos necesarios como por ejemplo: principios, procedimientos y métodos de auditoría; normas de sistemas de gestión y documentos de referencia; actividades, productos y procesos del auditado;
5.3.3 Establecer el alcance del programa de auditoría La persona que gestiona el programa de auditoría debería determinar el alcance de dicho programa, el cual puede variar dependiendo el tamaño y naturaleza del auditado, así como de la naturaleza, funcionalidad, complejidad y nivel de madurez y temas significativos para el sistema de gestión a ser auditado.
5.3.4 Identificación y evaluación de los riesgos del programa de auditoría Existen muchos riesgos diferentes asociados con el establecimiento, implementación, monitoreo, revisión y mejora de un programa de auditoría, que pueden afectar el logro de sus objetivos. La persona que gestiona el programa debería considerar estos riesgos para su desarrollo. Estos riesgos pueden estar asociados con lo siguiente:
Planeación Recursos Selección de equipo auditor
Implementación
Registros y su control Monitoreo
5.3.5 Establecer procedimientos para el programa de auditoría La persona que gestiona el programa de auditoría debería establecer uno o más procedimientos que den tratamiento a:
Planeación y programación de auditorias Seguridad y confidencialidad de la información
Competencia del equipo auditor y a sus líderes. Llevar a cabo auditorias, conducir auditoria de seguimiento Reportar los resultados obtenidos
5.3.6 Identificar los recursos del programa de auditoría Al identificar los recursos necesarios para el programa de auditoría, la persona que gestiona dicho programa debería considerar: los recursos financieros necesarios métodos de auditoría; la disponibilidad de los auditores y expertos técnicos el alcance del programa de auditoría y los riesgos del mismo; tiempo y costos de viaje, hospedaje y otras necesidades de auditoría; la disponibilidad de la información y tecnologías de comunicación.
5.4 Implementación del programa de auditoría 5.4.1 Generalidades La persona que gestiona el programa de auditoría debería implementar el programa de auditoria comunicando tanto a las partes pertinentes como a relevantes acerca del progreso, debe coordinar y programas las auditorias y otras actividades del programa, también debe proveer los recursos necesarios para que la auditoria pueda llevarse a cabo.
5.4.2 Definición de objetivos, alcance y criterios para una auditoría individual Cada auditoría individual debería estar basada en objetivos, alcance y criterios de auditoría documentados. Los objetivos de auditoría individuales y pueden incluir lo siguiente: determinación del grado de conformidad del sistema de gestión a ser auditado. determinación del grado de conformidad de las actividades, procesos y productos. evaluación de la capacidad del sistema de gestión. evaluación de la efectividad del sistema de gestión identificación de áreas potenciales de mejora del sistema de gestión.
Los criterios de auditoría son usados como puntos de referencia para determinar la conformidad y pueden incluir políticas, procedimientos, normas, entre otros.
5.4.3 Selección de métodos de auditoría La persona que gestiona el programa de auditoría debería seleccionar y determinar los métodos para llevar a cabo una auditoría de manera efectiva, dependiendo de los objetivos, alcance y criterios de auditoría definidos.
5.4.4 Selección de los miembros del equipo auditor La persona que gestiona el programa de auditoría debería nombrar los miembros del equipo auditor teniendo en cuenta la competencia necesaria para alcanzar los objetivos de la auditoría individual dentro del alcance definido, incluyendo el líder del equipo y cualquier experto técnico necesario para la auditoría específica.
5.4.5 Asignación de responsabilidad de una auditoría individual al líder del equipo auditor La persona que gestiona el programa de auditoría debería asignar la responsabilidad de la realización de la auditoría individual al líder del equipo auditor. Para asegurar la realización efectiva de auditorías individuales, se debería entregar al líder auditor una serie de requisitos por parte del equipo auditor para hacer verídico que las auditorias individuales se realizaran de la manera correcta, como por ejemplo: los objetivos de auditoria, el alcance, métodos y procedimiento de auditoria, la información necesaria acerca de la evaluación, etc.
5.4.6 Gestión del resultado del programa de auditoría La persona que gestiona el programa de auditoría debería asegurar que se lleven a cabo las siguientes actividades: revisar y aprobar los reportes de auditoría revisar el análisis de causa raíz distribución de los reportes de auditoría
5.4.7 Gestión y mantenimiento de registros de programa de auditoría La persona que gestiona el programa de auditoría debería asegurar que se creen, gestionen y mantengan los registros de auditoría para demostrar la implementación de un programa de auditoría. Se deberían establecer procesos para asegurar que cualquier necesidad de confidencialidad asociada con los registros de auditoría sea cubierta. Los registros deberían incluir los siguientes: a) registros relacionados con el programa de auditoría, tales como: b) registros relacionados con cada auditoría individual, tales como: c) registros relacionados con personal de auditoria que cubren temas como:
5.5 Monitoreo del programa de auditoría La persona que gestiona el programa de auditoría debería monitorear su implementación, teniendo en cuenta la necesidad de: a) evaluar conformidad con los programas de auditoría, cronogramas y objetivos de auditoría; b) evaluar el desempeño de los miembros del equipo auditor; c) evaluar la habilidad de los equipos auditores para implementar el plan de auditoría; d) evaluar la retroalimentación dada por parte de la alta gerencia, auditados, auditores.
5.6 Revisión y mejora del programa de auditoría Se deberá revisar los resultados de dicho programa para evaluar si se han alcanzado sus objetivos o si existen no conformidades. Las lecciones aprendidas del programa de auditoría deberían ser usadas como elementos de entrada para el proceso de mejora continua del programa.
El Capítulo 6 provee guías sobre la planeación y realización de una auditoría a un sistema de gestión. El Capítulo 7 provee lineamientos relacionados con la competencia y evaluación de los auditores de sistemas de gestión y de los equipos de auditoría.