1

© IC

ON

TE

C T

od

os los D

ere

chos R

eserv

ad

os

MEMORIAS DE ESTUDIO

MÓDULO 1. NOCIONES

BÁSICAS PARA UN

PROGRAMA DE AUDITORÍA

AUDITORÍAS INTERNAS A SISTEMAS DE GESTIÓN

NTC ISO 19011:2012

La NTC ISO 19011:2012 establece las “Directrices para la Auditoría de Sistemas de Gestión”.

Dicha norma contempla los siguientes siete capítulos:

1. Objeto y cambio de aplicación

2. Referencias normativas

3. Términos y definiciones

4. Principios de Auditoria

5. Gestión de un programa de auditoría

6. Realización de una auditoria

7. Competencia y evaluación de los auditores

Definición de Auditoría

Según la NTC ISO 19011:2012, Auditoría se define como: “Proceso sistemático, independiente y

documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el

grado en que se cumplen los criterios de auditoría”.

La Auditoria puede ser entendida como una herramienta al servicio de la gestión de toda

organización que ha implementado sistemas de gestión. Consiste en la evaluación sistemática,

documentada, periódica y objetiva del funcionamiento adecuado de las actividades de un

proceso.

Una Auditoría de Sistemas de Gestión Integrados es la que se aplica a Sistemas de Gestión

Integrados. La integración de sistemas más común es la de los relativos a calidad, medio

ambiente, y seguridad y salud en el trabajo, según ISO 9001, ISO 14001 y OHSAS 18001

respectivamente, pero no es la única.

2

© IC

ON

TE

C T

od

os los D

ere

chos R

eserv

ad

os

La Auditoría de Sistemas de Gestión Integrados permite comprobar el cumplimiento de las

prácticas establecidas relativas a las normas de referencia. Con estas auditorías se revisa el

cumplimiento de procesos, procedimientos e instrucciones relativos a cada una de las disciplinas,

así como el grado de eficacia a la hora de alcanzar los objetivos propuestos en cada una de ellas.

CONCEPTOS CLAVE

Características

Sistemática

No aleatorio. Las auditorías usualmente son una actividad bien planificada y programada.

Independiente

Está definido como uno de los principios de la auditoría, pues es considerada como la base de

la imparcialidad y objetividad de las conclusiones de la auditoría.

Evidenciada

Pretende que la auditoría se desarrolle siguiendo el enfoque basado en la evidencia y se

considera el fundamento racional para llegar a conclusiones confiables y reproducibles en un

proceso de auditoría sistemático.

Objetiva

Se refiere al hecho de ejecutar un proceso de evaluación objetivo, el cual es definido como

comparar la evidencia con los criterios de auditoría usando hechos antes que percepciones

subjetivas, opiniones y sentimientos.

Documentada

Consiste en que debe existir un proceso escrito, el cual ha de cumplir los pasos definidos por

la entidad para su elaboración, revisión y aprobación.

Principales actores

Auditado

Organización que es auditada.

3

© IC

ON

TE

C T

od

os los D

ere

chos R

eserv

ad

os

Auditor

Persona con la competencia para llevar a cabo una auditoría.

Observador

Persona que acompaña al equipo auditor pero no audita.

PRINCIPIOS DE AUDITORÍA

Los principios de auditoría ayudan a hacer de una auditoría integral una herramienta de apoyo,

eficaz y fiable, proporcionando una buena información sobre la cual la alta dirección de la

organización pueda actuar para mejorar el desempeño de los sistemas. Estos principios permiten

al auditor generar conclusiones de auditoria pertinentes y suficientes, y lograr un trabajo

independiente.

Integridad

El funcionamiento de la profesionalidad.

Presentación imparcial

La obligación de informar con veracidad y exactitud.

Cuidado profesional

La aplicación de diligencia y juicio al auditar.

Confidencialidad

Seguridad de la información.

Independencia

La base para la imparcialidad de la auditoria y la objetividad de las conclusiones de la auditoria.

Enfoque basado en la evidencia

El método racional para alcanzar conclusiones de la auditoria.

PROGRAMA DE AUDITORÍA

La propia naturaleza de las auditorias hace necesario que se elabore un programa de auditorías

que se celebre a lo largo del año indicando al menos el alcance, objetivo, fechas probables de

auditorías y el responsable de su desarrollo.

La organización debe planificar, establecer, implementar y mantener uno o varios programas

de auditoría que contribuyan a la determinación de la eficacia del sistema de gestión.

El programa de auditoría puede incluir auditorias que tengan en consideración una o más normas

de sistemas de gestión, las cuales pueden ser llevadas a cabo de manera individual o combinada

4

© IC

ON

TE

C T

od

os los D

ere

chos R

eserv

ad

os

El contenido que debe incluir un Programa de Auditoría es el siguiente:

Frecuencia.

Métodos de auditoría.

Responsabilidades.

Requisitos de planificación.

Requisitos de elaboración de informes.

Definición de criterios y alcance para cada auditoría.

Seleccionar auditores, asegurando imparcialidad.

Informar de los resultados a la dirección pertinente.

Conservar información documentada.

El programa de auditoría debe tener objetivos establecidos. Por lo general se trata de comprobar

la eficacia del sistema de gestión integrado o de alguna de sus partes.

Dichos objetivos deberían ser coherentes y servir de apoyo a la política y los objetivos del sistema

de gestión integrado.

ESTABLECIMIENTO DEL PROGRAMA DE

AUDITORIAS

El Programa de Auditoría es un esquema detallado del trabajo a realizar y los procedimientos a

emplearse durante la fase de ejecución, en el cual se determina la extensión y oportunidad de su

aplicación, así como los papeles de trabajo que han de ser elaborados.

Los aspectos a definir para el establecimiento del programa de auditorías son:

Funciones y responsabilidades

Alcance, Riesgos del programa, responsabilidades, procedimientos, recursos, asegurar la

presentación del programa, mantener registros, mejora del programa.

Competencias del responsable del programa

Conocimientos en proceso de auditorías, conocimientos de la organización.

Determinación del alcance

Tamaño, naturaleza, funcionalidad, complejidad, madures del sistema de gestión integral.

Identificación y evaluación de riesgos

Planificación, recursos, selección del equipo auditor, la implementación, seguimiento, revisión y la

mejora del programa.

5

© IC

ON

TE

C T

od

os los D

ere

chos R

eserv

ad

os

Procedimiento de auditoria

Calendario de auditorías, evaluación de riesgos. Aseguramiento de competencias de los auditores,

selección del equipo auditor, realización de las auditorias y el método de muestreo, comunicación

de los resultados, conservación de los registros, seguimiento, revisión y mejora del programa y

Seguimiento de los riesgos.

Recursos del programa

Financieros, Métodos de auditoría, Equipo auditor competente, Alcance del programa, Riesgos del

programa, Logística y Tecnología de información.

IMPLEMENTACIÓN DEL PROGRAMA DE

AUDITORIAS

Una vez se ha establecido el programa de auditorías, este debe ser implementado.

Los aspectos a tener en cuenta para la implementación del programa de auditorías son:

Definición de objetivos, criterios y alcance

Incluye:

Objetivos

Determinar conformidad del sistema con criterios, Capacidad del sistema para cumplir

requisitos legales, Eficacia del sistema de gestión y Aéreas de mejora potencial.

Criterios

Políticas, Objetivos, Procedimientos y Requisitos sectoriales.

Alcance

Coherente con objetivos del programa y Coherente con objetivos de auditoría.

Selección de los métodos de auditoria

Se seleccionan y determinan los métodos para llevar a cabo la auditoría integral de manera eficaz.

Selección de los miembros del equipo auditor

Competencias en función de los OBJETIVOS, teniendo en cuenta el alcance y los criterios de la

auditoría.

Responsabilidades del equipo auditor

Asignación de recursos y resultados

Gestión de resultados de auditoría

Calidad de los informes y su distribución, Eficacia de las acciones correctivas y Auditorías de

seguimiento.

6

© IC

ON

TE

C T

od

os los D

ere

chos R

eserv

ad

os

Gestión y mantenimiento de los registros

Incluye:

Programa: Objetivos, criterios y alcance, Riesgos del programa y Programa de auditoría.

Auditoría individual: Planes, Informes de No Conformidades, Informes de AC-AP y

Informes de seguimiento.

Competencia: Evaluación de la competencia, Selección de auditores y Mantenimiento de

la competencia.

MÓDULO 2. HABILIDADES

PARA PLANIFICAR Y LLEVAR

A CABO LA AUDITORÍA

INTERNA AL SGI

TAREAS PREVIAS

Antes de la fecha programada para la ejecución de la auditoría, el responsable de su desarrollo

deberá efectuar las siguientes tareas:

Confirmar con claridad y exactitud los objetivos, alcance, criterios de la auditoria y los

recursos de los que se dispone.

Confirmar que el equipo auditor conozca claramente sus funciones (complejidad, la

extensión y las actividades a desempeñar en la auditoria).

Contactar al auditor inicialmente para comunicarle el desarrollo previsto de la auditoria,

recordarle las fechas previas planificadas, la duración estimada y la composición del

equipo auditor.

7

© IC

ON

TE

C T

od

os los D

ere

chos R

eserv

ad

os

SECUENCIA DE IMPLEMENTACIÓN

Generalmente, una auditoría se lleva a cabo mediante la siguiente secuencia de pasos. Sin

embargo, dicha secuencia puede variar dependiendo del auditado, los procesos y las

circunstancias específicas de la auditoría.

Paso 1. Inicio de la auditoria

Incluye los preparativos de la auditoría y la determinación de la viabilidad del proceso de

auditoría.

Paso 2. Preparación de actividades de auditoría

En este paso se realiza una revisión de documentos, se prepara el plan de la auditoría, se

asigna tareas de auditoría al equipo auditor, se preparan los documentos de trabajo del auditor

(como listas de verificación) y, cuando sea aplicable, se define el plan de muestreo estadístico.

Paso 3. Realización de actividades de auditoría

Corresponde al trabajo de campo de la auditoria donde se realiza una reunión de apertura, se

revisa la documentación, se confirman canales formales de comunicación durante la auditoria,

se asignas funciones a guías y observadores, se recopila y verifica información, se generan

los hallazgos y las conclusiones, y se realiza una reunión de cierre.

Paso 4. Preparación, aprobación y distribución del informe de auditoria

En este paso se elabora le informe de auditoría (el cual contiene los hallazgos y la conclusión),

se aprueba por quien corresponda y se distribuye a los receptores designados.

Paso 5. Realización de actividades de seguimiento

Las conclusiones de la auditoria pueden indicar la necesidad de acciones correctivas,

preventivas o de mejora, tales acciones son decididas y emprendidas por el auditado y no se

consideran parte de la auditoria. Sin embargo, debería verificarse si dichas acciones fueron

implementadas y determinar su eficacia (esta verificación puede ser parte de una auditoria

posterior).

8

© IC

ON

TE

C T

od

os los D

ere

chos R

eserv

ad

os

PREPARACIÓN DE ACTIVIDADES

Revisión de documentos

Consiste en una revisión documental completa, correcta, coherente y vigente del proceso auditado,

teniendo en cuenta el tamaño, la naturaleza y la complejidad del sistema y la organización, y los

objetivos y el alcance de la auditoría.

Plan de auditoría

El Plan de Auditoría es la programación adecuada del tiempo para el desarrollo de las

actividades para lograr los objetivos planificados.

Se debe tener en consideración:

Técnicas de muestreo

Composición del equipo auditor

Riesgos significativos del Sistema de Gestión Integrado.

Ejemplo de estructura de un Plan de Auditoría

Asignación de tareas

Las diferentes tareas de la auditoría son asignadas a los miembros del equipo auditor con base

en:

La competencia de los auditores.

Las funciones y responsabilidades.

El uso eficaz de los recursos.

Documentos de trabajo

Los documentos de trabajo consisten en información relacionada con las tareas de auditoría

asignadas (según sea necesario) como referencia y registro de evidencia de la auditoria.

9

© IC

ON

TE

C T

od

os los D

ere

chos R

eserv

ad

os

Incluye:

Listas de verificación

Planes de muestreo

Registro Hallazgos de auditoría

Registro de reuniones.

Una lista de verificación puede diseñarse a partir de los componentes de gestión:

Planeación del proceso

Responsabilidades y recursos

Información documentada (Control del proceso, Comunicación en el proceso, Gestión de

desviaciones)

Seguimiento y medición

Mejora del proceso

Para auditorías combinadas, deberían prepararse documentos de trabajo donde se agrupen

requisitos similares de criterios diferentes y se coordine la preparación de los contenidos de las

listas de verificación.

Plan de muestreo estadístico

Cuando se decide utilizar muestreo estadístico, el plan de muestreo se debería basar en los

objetivos de la auditoria y en lo que se conoce sobre las características de la población global de

la que se toman las muestras.

Los elementos clave que pueden afectar el muestreo de la auditoría son:

Tamaño de la organización.

Número de auditores competentes.

Frecuencia de auditorías en el curso del año.

Duración de la auditoría individual.

Nivel de confianza requerido externamente.

REALIZACIÓN DE ACTIVIDADES

Reunión de apertura

En esta reunión se confirman los objetivos, el plan de Auditoría, los canales de comunicación, los

recursos y los métodos asociados con la confidencialidad. Además, se presentan los métodos de

auditoría e información de cómo gestionar los hallazgos.

10

© IC

ON

TE

C T

od

os los D

ere

chos R

eserv

ad

os

Revisión de documentación

Por medio de una revisión documental se busca determinar conformidad del proceso auditado con

lo documentado, considerando criterios.

Comunicación

El equipo auditor debe informar el estado de avance y la viabilidad de la auditoría frente a los

objetivos propuestos.

Las siguientes son algunas recomendaciones para la comunicación:

Mirar con interés al auditado.

Preguntar frente a cuestiones relevantes para el auditado.

Focalizar la agenda en los asuntos de impacto para cubrir lo planificado.

Evaluar el entendimiento frente a las evidencias presentadas.

Evaluar la necesidad de llevar a cabo revisiones sobre aspectos adicionales.

Neutralizar las emociones.

Asignación de funciones

Los observadores deben evitar interferir en el proceso.

Los guías deben facilitar la orientación de los auditores, e informar sobre medidas de protección

y seguridad de las instalaciones.

Recopilación y verificación de información

Durante la auditoría se debe recopilar información (mediante un muestreo apropiado) y verificarla.

Sólo la información verificable debe aceptarse como evidencia.

Las evidencias están constituidas por registros, declaraciones de hecho u otra información que

sea pertinente para los criterios de auditoría y que son verificables. La evidencia de la auditoría

puede ser cualitativa o cuantitativa.

Algunas de las principales fuentes de información son las siguientes:

Entrevistas al personal

Observación de los equipos en funcionamiento

Observación de condiciones del medio

Observación de condiciones de mantenimiento.

Observación de condiciones de operación.

Revisión de información documentada.

11

© IC

ON

TE

C T

od

os los D

ere

chos R

eserv

ad

os

Hallazgos y conclusiones

Una vez se recopilan las evidencias, estas deben ser evaluadas contra los criterios de auditoría.

Los resultados de dicha evaluación se conocen como hallazgos de la auditoría.

Los hallazgos pueden ser positivos en el caso de tratarse de fortalezas, o negativos si consisten

en oportunidades de mejora o no conformidades.

Una no conformidad registra la evidencia objetiva de una conclusión adversa al cumplimiento de

un requisito. Esto se aplica si la falla es completa o parcial.

Se debería expresar en términos de:

¿Qué ocurrió?

¿Cuándo ocurrió?

¿Dónde ocurrió?

¿Cuántas cantidades se evidenciaron?

¿Cuál requisito se incumple?

Recopilación y verificación de información

Las conclusiones de la auditoría son el resultado tras considerar los objetivos de la auditoría y

todos los hallazgos de la auditoría.

Se deben generar conclusiones que indiquen:

Grado de conformidad del sistema frente a los criterios de auditoría especificados.

Logro de los objetivos de auditoría.

Adecuación, conveniencia y eficacia.

Nivel de Integración del Sistema frente a los componentes de gestión evaluados.

El grado de “evolución” de la mejora continua experimentado.

Objetivo de evaluación Conclusión

Conveniencia (Realidad Vs Criterios)

El sistema de gestión es Conveniente para la organización.

Eficacia (Realidad Vs Objetivos)

El sistema de gestión es Eficaz para el cumplimiento de las expectativas de la organización.

Adecuación (Criterios Vs Objetivos)

El sistema de gestión es Adecuado para las necesidades de la organización.

Ejemplo de conclusiones que indican la conveniencia, eficacia y adecuación del sistema de gestión

Reunión de cierre

En la reunión de cierre se presentan los hallazgos y las conclusiones de la auditoría y se explican

aspectos asociados con:

12

© IC

ON

TE

C T

od

os los D

ere

chos R

eserv

ad

os

Recopilación de evidencias basadas en muestreo.

Nivel de Integración de los sistemas de gestión.

Método de presentación de la información

Proceso de tratamiento de los hallazgos

Actividades de seguimiento posteriores.

INFORME DE AUDITORÍA

Una vez obtenidas las conclusiones de la auditoría, se debe preparar y distribuir el informe de

auditoría, el cual debe proporcionar un registro completo, preciso, conciso y claro de la auditoría.

Además, este informe debe entregarse en los tiempos definidos y distribuirse al cliente de auditoría

y a quienes incluya el procedimiento de auditoría.

El contenido mínimo de un informe de auditoría es el siguiente:

Objetivo, alcance, criterios y cliente

Equipo auditor

Fechas de auditoria

Aspectos favorables de la actividad auditada.

Aspectos débiles de la actividad auditada.

Solicitud de acciones correctivas.

Conclusiones de la auditoría.

Grado de cumplimiento de los criterios de auditoría.

Las características del informe de auditoría son:

Específico

Se enfoca en los problemas de control y los organiza de acuerdo con las normas.

Significativo

Identifica qué necesitan los usuarios del reporte en términos de alcanzar las metas y objetivos

organizacionales.

Asequible

13

© IC

ON

TE

C T

od

os los D

ere

chos R

eserv

ad

os

Especifica acciones correctivas que son alcanzables y que agregarán valor a la organización.

Demostrar la capacidad de la entidad para implantar las recomendaciones del informe y

mantener un nivel aceptable de operación.

Orientado a resultados

Generar resultados que sean claros, redactados de forma concisa, y vinculados a las normas.

Oportunos

Especifica el alcance y parámetros de los hallazgos oportunamente.

ACTIVIDADES DE SEGUIMIENTO

El proceso de auditoría se dará por finalizado cuando se ponga en marcha el plan de acciones

correctivas, el cual debe contener acciones para solucionar cada no conformidad encontrada.

Posteriormente, es necesario realizar seguimiento.

En caso de que las conclusiones de la auditoría indiquen la necesidad de correcciones, acciones

correctivas, preventivas o de mejora, se debería verificar si se completaron dichas acciones y su

eficacia.

La verificación de la realización de las correcciones, acciones correctivas, preventivas o de mejora,

puede efectuarse mediante una auditoría posterior.

SEGUIMIENTO DEL PROGRAMA DE AUDITORÍA

Es importante efectuar seguimiento a la implementación del programa de auditoría con el fin de

determinar modificaciones que contribuyan a la mejora del mismo.

El seguimiento del programa de auditoría se realiza considerando la necesidad de:

Evaluar la conformidad del programa

Evaluar el desempeño de los auditores

Evaluar la capacidad de los auditores para implementar el plan de auditoria.

Retroalimentar el programa de auditoria.

Con base en ello, se determina la necesidad de modificar el programa según:

Los hallazgos de la auditoria

Eficacia del sistema

Cambios del sistema

Cambios de requisitos

14

© IC

ON

TE

C T

od

os los D

ere

chos R

eserv

ad

os

Cambios de proveedor

REVISIÓN Y MEJORA DEL PROGRAMA DE

AUDITORÍA

También se debe revisar el programa mediante indicadores de gestión que permitan evaluar si se

han alcanzado sus objetivos, y utilizar los resultados de dicha revisión para la mejora continua del

programa.

Los aspectos a considerar para dicha revisión son los siguientes:

Resultados y tendencias del seguimiento del programa de auditoria.

Conformidad con los procedimientos del programa de auditoría.

Evolución de las necesidades y expectativas de las partes interesadas.

Registros del programa de auditoria.

Métodos de auditoría alternativos o nuevos.

Eficacia de las medidas para tratar los riesgos asociados.

Temas de confidencialidad y seguridad de la información relacionados.

COMPETENCIA DE LOS AUDITORES

Los auditores deben poseer las cualidades, los conocimientos y las habilidades necesarias para

el adecuado desarrollo de las auditorías.

La competencia del auditor se centra en dos condiciones básicas:

La de mayor impacto está representada por el conocimiento del proceso.

La segunda condición está relacionada con el conocimiento de los criterios de auditoría

(referenciales).

La educación y la experiencia contribuyen con el desarrollo de las competencias del auditor.

Las competencias del auditor deben ser evaluadas. Para ello, es posible emplear dos tipos de

criterios:

Cuantitativos: Por ejemplo: años de experiencia laboral y de educación, número de

auditorías dirigidas y horas de formación en auditoría, entre otros.

Cualitativos: Por ejemplo: conductas personales, desarrollo de habilidades, entre otros.

Dichos criterios pueden ser aplicados con base en métodos que permitan determinar el nivel de

cumplimiento.

15

© IC

ON

TE

C T

od

os los D

ere

chos R

eserv

ad

os

Algunos de los métodos que se pueden aplicar en la evaluación de auditores son:

Revisión de registros

Entrevistas

Observación

Examen

Revisión después de la auditoría