- Información
- Chat IA
ISO-19011-2018 - ...
Auditoría I
Universidad Católica de Salta
Recomendado para ti
Comentarios
Vista previa del texto
NORMA ISO 19011:
Directrices para la
Auditoría de Sistemas de Gestión
- PREFACIO
- INTRODUCCIÓN
- DIRECTRICES PARA LA AUDITORÍA DE SISTEMAS DE GESTIÓN
- 1 ALCANCE
- 2 REFERENCIAS NORMATIVAS
- 3 TERMINOS Y DEFINICIONES
- 3 AUDITORÍA
- 3 AUDITORÍA COMBINADA
- 3 AUDITORÍA CONJUNTA
- 3 PROGRAMA DE AUDITORÍA
- 3 ALCANCE DE AUDITORÍA
- 3 PLAN DE AUDITORÍA
- 3 CRITERIO DE AUDITORÍA
- 3 EVIDENCIA OBJETIVA
- 3 EVIDENCIA DE LA AUDITORÍA
- 3 HALLAZGOS DE AUDITORÍA
- 3 CONCLUSIÓN DE AUDITORÍA
- 3 CLIENTE DE AUDITORÍA
- 3 AUDITADO
- 3 EQUIPO AUDITOR
- 3 AUDITOR
- 3 EXPERTO TÉCNICO
- 3 OBSERVADOR
- 3 SISTEMA DE GESTIÓN
- 3 RIESGO
- 3 CONFORMIDAD
- 3 NO CONFORMIDAD
- 3 COMPETENCIA
- 3 REQUISITO
- 3 PROCESOS
- 3 3 DESEMPEÑO
- 3 EFICACIA
- 4 PRINCIPIOS DE AUDITORÍA
- 5 GESTIÓN DE UN PROGRAMA DE AUDITORÍA
- 5 GENERALIDADES
- 5 ESTABLECIMIENTO DE LOS OBJETIVOS DEL PROGRAMA DE AUDITORÍA
- 5 DETERMINACIÓN Y EVALUACIÓN DE LOS RIESGOS Y OPORTUNIDADES DEL PROGRAMA DE AUDITORÍA
- 5 ESTABLECIMIENTO DEL PROGRAMA DE AUDITORÍA
- 5.4 Roles y responsabilidades de la persona que gestiona el programa de auditoría
- 5.4 Competencias de la persona responsable de gestionar el programa de auditoría
- 5.4 Establecimiento del alcance de un programa de auditoría.
- 5.4 Determinación de los recursos del programa de auditoría................................................
- 5 IMPLEMENTACIÓN DEL PROGRAMA DE AUDITORÍA
- 5.5 Generalidades
- 5.5 Definir los objetivos, alcance y criterios para una auditoría individual
PREFACIO
ISO (Organización internacional de Normalización) es una federación mundial de organismos nacionales de normalización (Organismos miembros de la ISO). El trabajo de preparación de las Normas internacionales normalmente se realiza a través de los comités técnicos de ISO. Cada organismo miembro interesado en una materia para la cual se haya establecido un comité técnico tiene el derecho de estar representado en dicho comité, Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las materias de normalización electrotécnica.
Los procedimientos usados para el desarrollo de este documento y aquellos destinado a su mantenimiento póstumo están descritos en las Directivas ISO/IEC, Parte 1. En particular los diferentes criterios de aprobación necesarios para los diferentes tipos de documentos ISO deberían ser notados. Este documento fue redactado de acuerdo con las reglas editoriales de las Directivas ISO/IEC, parte 2 (Ver iso/directives).
Se presta atención a la posibilidad de que algunos elementos de este documento puedan ser sujetos a derechos de patentes. ISO no sería responsable por la identificación de alguno o todos los derechos de patentes. Detalles de algún derecho de patente identificado durante el desarrollo de este documento estaría en la introducción y/o en la lista ISO de declaraciones de patentes recibidas (Ver iso/patents).
Cualquier nombre comercial usado en este documento es información dada para la conveniencia de los usuarios y no constituye ninguna aprobación.
Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos específicos de ISO y las expresiones relacionadas con la evaluación de la conformidad, así como la información acerca de la adhesión de la ISO a los principios de la Organización Mundial de Comercio (WTO) en los Obstáculos Técnicos al comercio (TBT) visite la siguiente URL: www,iso.org/iso/foreword.
Este documento fue preparado por el Comité de proyecto ISO/PC 302, Directrices para la auditoría de sistemas de gestión.
Esta tercera edición cancela y reemplaza la segunda edición (ISO 19011:2011), la cual ha sido revisada técnicamente.
Las principales diferencias en comparación con la segunda edición son: - La adición de enfoque basado en el riesgo a los principios de auditoría; - Expansión en las directrices para la gestión del programa de auditoría, incluyendo los riesgos del programa;
- Expansión en las directrices para la realización de auditorías, particularmente la sección de planificación de la auditoría;
- Expansión en los requisitos de competencia genéricos para auditores;
- Ajuste en la terminología para referencia del proceso y no del objeto;
- Eliminación del anexo de requisitos de competencia para la auditoría de disciplinas de sistemas de gestión específicos (debido al gran número de Normas individuales de sistemas de gestión, no sería práctico incluir las competencias requeridas para todas las disciplinas);
- Expansión del Anexo A para proporcionar directrices en los nuevos conceptos de auditoría tales como contexto de la organización, liderazgo y compromiso, auditorías virtuales, cumplimiento y cadena de suministro.
Para simplificar la lectura de este documento, la forma singular de “sistema de gestión” es preferida, pero el lector puede adaptar la implementación de las directrices a su propia situación. Esto también aplica al uso de “individuo” e “individuos”, “auditor” y “auditores”.
Este documento pretende aplicar a un gran rango de usuarios potenciales, incluyendo auditores, organizaciones implementando sistemas de gestión y organizaciones en necesidad de realizar auditorías a sus sistemas de gestión por razones contractuales o regulatorias. Los usuarios de este documento pueden de todas formas aplicar las directrices para desarrollar sus propios requisitos relacionados con auditoría.
Las directrices de este documento también pueden ser utilizadas para los propósitos de auto aclaración y puede ser útil para organizaciones involucradas en capacitación de personal en auditoría.
Las directrices en este documento pretenden ser flexible. Como se indica en varios puntos del documento, el uso de estas directrices puede diferir dependiendo del tamaño y la madurez del sistema de gestión de la organización. La naturaleza y complejidad de la organización a auditar, así como los objetivos y el alcance de las auditorías a realizar, deben también ser considerados.
Este documento adopta el enfoque combinado de auditoría cuando dos sistemas de gestión de diferentes disciplinas son auditados en conjunto. Cuando estos sistemas están integrados en un solo sistema de gestión, los principios y procesos de auditoría son los mismos que los de una auditoría combinada (conocida como auditoría integrada).
Este documento provee directrices para la gestión de un programa de auditoría, en la planificación y realización de auditorías a sistemas de gestión, así como en la competencia y evaluación de un auditor y un equipo auditor.
DIRECTRICES PARA LA AUDITORÍA DE SISTEMAS DE GESTIÓN
1 ALCANCE
Este documento provee directrices para la auditoría de sistemas de gestión, incluyendo los principios de auditoría, la gestión del programa de auditoría y la realización de auditorías a sistemas de gestión, así como directrices en la evaluación de las competencias de las personas involucradas en el proceso de auditoría. Estas actividades incluyen a las personas que manejan el programa de auditoría, los auditores y los equipos de auditoría.
Es aplicable a todas las organizaciones que necesitan planear y realizar auditorías internas o externas de sistemas de gestión o manejar un programa de auditoría.
La aplicación de este documento a otros tipos de auditoría es posible, cuando una consideración especial sea dada por la competencia específica necesaria.
2 REFERENCIAS NORMATIVAS
No hay referencias normativas en este documento
3 TERMINOS Y DEFINICIONES
Para el propósito de este documento, los siguientes términos y definiciones aplican.
ISO y IEC mantienen bases de datos de terminología para uso en normatividad en las siguientes direcciones web:
- ISO Online browsing platform: disponible en iso/obp
- IEC Electropedia: disponible en electropedia/
3 AUDITORÍA
Proceso sistemático, independiente y documentado para obtener evidencias objetivas (3) y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría (3).
Nota 1 a la entrada: Auditorías internas, normalmente conocidas como auditorías de primera parte, son realizadas por o en nombre de la misma organización.
Nota 2 a la entrada: Auditorías externas incluidas las denominadas auditorías de segunda y tercer parte. Auditorías de segunda parte son realizadas por partes que tienen algún interés en la organización, como clientes o individuos en su nombre. Auditorías de tercera parte son realizadas por organismos independientes de auditoría, tales como aquellas que otorgan certificación/registro de conformidad o agencias gubernamentales.
Nota 1 a la entrada: Si los criterios de auditoría son requisitos legales (incluyendo estatutarios o reglamentarios), los términos “cumplimiento” e “incumplimiento” son utilizados en los hallazgos
3 PROGRAMA DE AUDITORÍA
Nota 2 a la entrada: Los requisitos pueden incluir políticas, procedimientos, instructivos, requisitos legales, obligaciones contractuales, etc.
[FUENTE: ISO 9000:2015, 3.13, modificado – la definición ha sido cambiada y las Notas 1 y 2 a la entrada han sido añadidas]
3 EVIDENCIA OBJETIVA
Datos que soportan la existencia o veracidad de algo.
Nota 1 a la entrada: Evidencia objetiva puede ser obtenida por medio de observación, medición, prueba o por otros medios.
Nota 2 a la entrada: Evidencia objetiva para el propósito de la auditoría (3) consiste generalmente en registros, declaraciones de hecho u otro tipo de información relevante para el criterio de auditoría (3) y que es verificable.
[FUENTE: ISO 9000:2015, 3.8]
3 EVIDENCIA DE LA AUDITORÍA
Registros, declaraciones de hecho u otra información que es relevante para el criterio de auditoría (3) y que es verificable.
[FUENTE: ISO 9000:2015, 3.13]
3 ALCANCE DE AUDITORÍA
Resultados de la evaluación de la evidencia de la auditoría (3) recopilada frente a los criterios
3 PLAN DE AUDITORÍA
Nota 1 a la entrada: Los hallazgos de auditoría indican conformidad (3) o no conformidad (3).
Nota 2 a la entrada: Los hallazgos de auditoría pueden llevar a identificar riesgos, oportunidades de mejora o registro de buenas prácticas.
Nota 3 a la entrada: En inglés, si el criterio de auditoría es seleccionado de requisitos estatutarios o legales, se utilizan los términos “cumplimiento” o “no cumplimiento” para los hallazgos de auditoría.
[FUENTE: ISO 9000:2015, 3.13, modificado – Nota 2 y 3 a la entrada han sido modificadas]
3 CRITERIO DE AUDITORÍA
Salida de una auditoría (3), después de la consideración de los objetivos de la auditoría y todos
3 HALLAZGOS DE AUDITORÍA
[FUENTE: ISO 9000:2015, 3.13]
3 CONCLUSIÓN DE AUDITORÍA
Persona u organización que solicita una auditoría (3)
Nota 1 a la entrada: Para el caso de la auditoría interna, el cliente de auditoría puede ser también el auditado (3) o los individuos que gestionan el programa de auditoría. El requerimiento de una auditoría externa puede venir de fuentes como reguladores, partes contratantes o clientes existentes o potenciales.
[FUENTE: ISO 9000:2015, 3.13, modificado – Nota 1 a la entrada ha sido añadida]
3 AUDITADO
Organización o parte(s) de la misma que es auditada.
[FUENTE: ISO 9000:2015, 3.13, modificado]
3 EQUIPO AUDITOR
Una o más personas que llevan a cabo una auditoría (3), soportados si es necesario por expertos técnicos (3).
Nota 1 a la entrada: Un auditor (3) de equipo auditor (3) es designado como el líder del equipo auditor.
Nota 2 a la entrada: El equipo auditor puede incluir auditores en entrenamiento.
[FUENTE: ISO 9000:2015, 3.13]
3 AUDITOR
Persona que lleva a cabo una auditoría (3)
[FUENTE: ISO 9000:2015, 3.13]
3 EXPERTO TÉCNICO
<Experto técnico> persona que provee conocimiento específico o experticia al equipo auditor (3) Nota 1 a la entrada: Conocimiento específico o experticia relacionadas con la organización, las actividades, proceso, producto, servicio, disciplina a ser auditada, lenguaje o cultura.
3 CONFORMIDAD
Cumplimiento de un requisito (3)
[FUENTE: ISO 9000:2015, 3.6, modificado – nota 1 a la entrada ha sido borrada]
3 NO CONFORMIDAD
Incumplimiento de un requisito (3)
[FUENTE: ISO 9000:2015, 3.6, modificado – nota 1 a la entrada ha sido borrada]
3 COMPETENCIA
Capacidad de aplicar conocimientos y habilidades para lograr resultados esperados
[FUENTE: ISO 9000:2015, 3.10, modificado – notas a la entrada han sido borradas]
3 REQUISITO
Necesidad o expectativa que es declarada, generalmente implícita u obligatoria
Nota 1 a la entrada: “generalmente implicada” significa que es una práctica común o normal para la organización y las partes interesadas que la necesidad o expectativa bajo consideración sea implícita.
Nota 2 a la entrada: Un requerimiento especificado es uno que es declarado, por ejemplo, en información documentada.
[FUENTE: ISO 9000:2015, 3.6, modificado – Notas 3 ,4, 5 y 6 a la entrada han sido borradas]
3 PROCESOS
Conjunto de actividades interrelacionadas o interactuantes que usan entradas para entregar un resultado previsto.
[FUENTE: ISO 9000:2015, 3.4, modificado – Notas a la entrada han sido borradas]
3 3 DESEMPEÑO
Resultado medible
Nota 1 a la entrada: El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos.
Nota 2 a la entrada: El desempeño se puede relacionar con la gestión de actividades, procesos (3), productos, servicios, sistemas u organizaciones. [FUENTE: ISO 9000:2015, 3.7, modificada – Nota 3 a la entrada ha sido borrada]
3 EFICACIA
Grado en el que las actividades planificadas son realizadas y se logran los resultados planificados.
[FUENTE: ISO 9000:2015, 3.7, modificado – Nota 1 a la entrada ha sido borrada]
utilizada inapropiadamente para beneficio personal del auditor o el cliente de auditoría, o de una manera para perjudicar los intereses legítimos del auditado. Este concepto incluye el manejo adecuado de información confidencial o sensible.
e) Independencia: La base para la imparcialidad de la auditoría y la objetividad de las conclusiones de auditoría.
Los auditores deberían ser independientes de la actividad a ser auditada siempre que sea aplicable, y deberían en todo caso actuar de una manera que sea libre de sesgo y conflicto de interés. Para auditorías internas, los auditores deberían ser independientes de la función a ser realizada si aplica. Los auditores deberían mantener objetividad a través del proceso de auditoría para asegurar que los hallazgos y las conclusiones tienen como base solo la evidencia objetiva.
Para organizaciones pequeñas, puede no ser posible que los auditores internos sean completamente independientes de la actividad auditada, pero todo esfuerzo debería realizarse para remover el sesgo y promover la objetividad de manera independiente y sistemática.
f) Enfoque basado en la evidencia: El método racional para lograr conclusiones de auditoría confiables y reproducibles en un proceso sistemático de auditoría.
La evidencia de auditoría debería ser verificable. En general se basará en muestras de la información disponible, ya que la auditoría se lleva a cabo en un periodo de tiempo definido y con recursos limitados. Un método apropiado de muestreo debería ser aplicado, ya que está estrechamente relacionado con la confianza que puede depositarse en las conclusiones de la auditoría.
g) Enfoque basado en el riesgo: Un enfoque de auditoría que considere riesgos y oportunidades.
El enfoque basado en el riesgo debería afectar sustantivamente la planificación, realización y reporte de las auditorías para asegurar que están enfocadas en asuntos que son significativos para el cliente de la auditoría, y para lograr los objetivos del programa de auditoría.
5 GESTIÓN DE UN PROGRAMA DE AUDITORÍA
5 GENERALIDADES
Un programa de auditoría debería ser establecido, el cual puede incluir auditorías direccionadas a una o más normas de sistemas de gestión o algún otro requerimiento, para ser llevadas a cabo de manera separada o combinada (auditoría combinada).
El alcance de un programa de auditoría debería ser basado en el tamaño y naturaleza del auditado, así como en la naturaleza, funcionalidad, complejidad, tipo de riesgos y oportunidades, y el nivel de madurez de(los) sistema(s) de gestión a ser auditado(s).
La funcionalidad del sistema del sistema de gestión puede ser incluso más complejo cuando la mayoría de las funciones más importantes son subcontratadas y gestionadas bajo el liderazgo de otras organizaciones. Hay que prestar atención especial a en donde son realizadas las decisiones más importantes y que constituye la alta dirección del sistema de gestión por auditar.
Para el caso de múltiples sitios/locaciones (Ej. Diferentes países), o donde funciones importantes sean subcontratadas y gestionadas bajo la dirección de otra organización, se debería prestar atención particular al diseño, planificación y validación del programa de auditoría.
En el caso de organizaciones más pequeñas y menos complejas, el programa de auditoría debería ser ajustado apropiadamente.
Con el fin de entender el contexto del auditado, el programa de auditoría debería tener en consideración los siguientes aspectos:
- Objetivos organizacionales;
- Cuestiones internas y externas relevantes;
- Las necesidades y expectativas de las partes interesadas relevantes; Seguridad de la información y requerimientos de confidencialidad.
La planificación de programas de auditoría interna que en algunos casos son programas para auditar proveedores externos, pueden ser organizados para contribuir con otros objetivos de la organización.
La persona responsable de gestionar el programa de auditoría debería asegurar que la integridad de las auditorías se mantenga y que no hay influencia indebida sobre la auditoría.
En la auditoría debería darse prioridad a ubicar recursos y métodos de asuntos dentro del sistema de gestión con inherentes niveles de riesgo alto y bajos niveles de desempeño.
NOTA 1 Esta figura ilustra la aplicación del el ciclo PHVA en esta documento.
NOTA 2 La numeración de los capítulos hace referencia a los capítulos relevantes de este documento. Figura 1 – Flujograma de la gestión de un programa de auditoría.
5 ESTABLECIMIENTO DE LOS OBJETIVOS DEL PROGRAMA DE AUDITORÍA
El cliente de la auditoría debería asegurarse de que los objetivos del programa de auditoría están establecidos para orientar la planificación y la realización de las auditorías y debería asegurarse que el programa de auditoría es implementado eficazmente.
Los objetivos del programa de auditoría deberían ser consistentes con la dirección estratégica del cliente de auditoría y aportar a la política y objetivos del sistema de gestión.
Estos objetivos pueden considerar lo siguiente:
a) Necesidades y expectativas de partes interesadas relevantes, tanto internas como externas; b) Características o requisitos de procesos, productos, servicios y proyectos, y cualquier cambio en ellos; c) Requisitos del sistema de gestión; d) La necesidad de evaluación de proveedores externos e) Nivel de desempeño y madurez del sistema de gestión del auditado, reflejados en indicadores de desempeño relevantes (Ej, KPIs), la ocurrencia de no conformidades o incidentes o quejas de partes interesadas; f) Riesgos y oportunidades identificados al auditado; g) Resultados de auditorías previas.
Ejemplos de objetivos de un programa de auditoría pueden incluir lo siguiente:
- Identificar oportunidades para la mejora del sistema de gestión y su desempeño
- Evaluar la capacidad del auditado para determinar su contexto;
- Evaluar la capacidad del auditado para determinar riesgos y oportunidades y para identificar e implementar eficazmente acciones para su direccionamiento.
- Conformidad a todos los requisitos relevantes, Ej. Legales y reglamentarios, compromisos de cumplimiento, requisitos para la certificación de una norma de un sistema de gestión. Obtener y mantener confianza en la capacidad de un proveedor externo;
- Determinar la continua adecuación, idoneidad y eficacia del sistema de gestión del auditado.
- Evaluar la compatibilidad y alineación de los objetivos de sistema de gestión con la dirección estratégica de la organización.
5 DETERMINACIÓN Y EVALUACIÓN DE LOS RIESGOS Y OPORTUNIDADES DEL PROGRAMA DE AUDITORÍA
AUDITORÍA
Hay riesgos y oportunidades relacionados con el contexto del auditado que pueden ser asociados con el programa de auditoría y pueden afectar el logro de sus objetivos. La persona responsable de gestionar el programa de auditoría debería identificar y presentar al cliente de la auditoría los riesgos y oportunidades considerados al momento de desarrollar el programa de auditoría y solicitar los recursos necesarios, para que estos puedan ser direccionados apropiadamente.
Pueden haber riesgos asociados a la auditoría asociados con los siguientes:
ISO-19011-2018 - ...
Asignatura: Auditoría I
Universidad: Universidad Católica de Salta
- Descubrir más de:Auditoría IUniversidad Católica de Salta159 Documentos
- Más de:Auditoría IUniversidad Católica de Salta159 Documentos