EDUARDO LOPEZ

NIGEL CROFT
GATELL

Clase Maestra de Auditorias en

Sistemas de Gestión

La nueva ISO 19011:2011

Directrices para auditoría de
sistemas de gestión

Eduardo Gatell
Member, ISO/TC176/SC2 – Strategic Planning and
Operations Task Group
Member, IAF/ISO Auditing Practices Group

Mayo 2012 (c) Eduardo Gatell 2

Gestionando un programa de
auditoría
Cláusula 7 Cláusulas 5.2 / 5.3
Define y Establecer objetivos y Plan
Evalúa la programa de auditoría
competencia
Act Cláusula 5.6
Revisión y mejora Cláusula 5.4
del programa de Implementación del Do
auditoría programa de auditoría

Cláusula 6
Realización
de la auditoría Cláusula 5.5
Monitoreo del programa Check
de auditoría

Mayo 2012 (c) Eduardo Gatell 3

5.2 Establecimiento de los

objetivos del programa de
auditoría
 La alta dirección debería
 asegurar que los objetivos del programa de auditoría
se establecen
 asegurar que el programa de auditoría se implementa
eficazmente.
 Los objetivos del programa de auditoría
deberían ser consistentes con y soportar a la
política y los objetivos del sistema de gestión.

Mayo 2012 (c) Eduardo Gatell 4

  ¿Qué se debe considerar para
fijar los objetivos del Programa
de Auditoría?

Mayo 2012 (c) Eduardo Gatell 5

5.2 Establecimiento de los

objetivos del programa de
auditoría (cont…)
Los objetivos del programa pueden considerar lo siguiente:
a) las prioridades de la dirección;
b) las intenciones comerciales y de negocio;
c) las características de los procesos, productos y proyectos;
d) los requisitos del sistema de gestión;
e) los requisitos legales / contractuales;
f) la necesidad de evaluar a los proveedores;
g) las necesidades y expectativas de las partes interesadas, incluyendo los clientes;
h) el nivel de desempeño del auditado, (la ocurrencia de fallas / incidentes / quejas)
i) los riesgos del auditado
j) los resultados de auditorías previas
k) el nivel de madurez del sistema de gestión que se va a auditar

Mayo 2012 (c) Eduardo Gatell 6

  ¿Qué se espera que haga la
persona que gestiona el
Programa de Auditoría?

Mayo 2012 (c) Eduardo Gatell 7

5.3 Establecimiento del

programa de auditoría
 5.3.1 La persona que gestiona el programa de auditoría
debería:
 establecer la extensión del programa de auditoría;
 identificar y evaluar los riesgos para el programa de auditoría;
 establecer las responsabilidades de la auditoría;
 establecer los procedimientos;
 determinar los recursos necesarios;
 asegurar la implementación del programa de auditoría, incluyendo:
 los objetivos de la auditoría
 el alcance y el criterio de las auditorías individuales
 los métodos de auditoría
 la selección del equipo auditor
 la evaluación de los auditores;
 asegurar que los registros del programa de auditoría pertinentes se gestionan y
mantienen
 monitorear, revisar y mejorar el programa de auditoría
 informar a la alta dirección sobre el contenido del programa de auditoría y solicitar su
aprobación según sea necesario.
Mayo 2012 (c) Eduardo Gatell 8
 ¿Qué competencias debería
tener la persona que gestiona
el Programa de Auditoría?

Mayo 2012 (c) Eduardo Gatell 9

5.3.2 Competencia de la
persona que gestiona el
programa de auditoría
 Se necesita competencia para gestionar el programa y los riesgos
asociados, así como conocimientos y habilidades en las siguientes
áreas:
 principios, procedimientos y métodos de auditoría;
 normas de sistemas de gestión y documentos de referencia;
 actividades, productos y procesos del auditado;
 requisitos legales y de otro tipo aplicables pertinentes a las actividades y
productos del auditado;
 clientes, proveedores y otras partes interesadas del auditado, cuando sea
aplicable.
 Debería estar involucrado en un desarrollo profesional continuo
para mantener los conocimientos y habilidades necesarias para
gestionar el programa de auditoría.
Mayo 2012 (c) Eduardo Gatell 10
 ¿Qué factores pueden
influenciar la extensión del
Programa de Auditoría?

Mayo 2012 (c) Eduardo Gatell 11

5.3.3 Determinación de la
extensión del programa de
auditoría
 Otros factores incluyen:
 el objetivo, alcance y duración de cada auditoría y el número de auditorías a realizarse, (incluyendo
el seguimiento, si aplica)
 el número, importancia, complejidad, similitud y ubicación de las actividades a ser auditadas;
 los factores que influencian la eficacia del sistema de gestión;
 el criterio de auditoría (eg, arreglos para los requisitos de gestión, normativos, legales y
contractuales pertinentes)
 las conclusiones de auditorías previas internas y externas;
 los resultados de revisiones previas al programa de auditoría;
 el idioma, cultura y aspectos sociales;
 las preocupciones de las partes interesadas (eg. quejas de clientes o incumplimientos legales);
 los cambios significativos en el auditado o sus operaciones;
 las tecnologías de información y comunicación para soportar las actividades de auditoría, en
particular el uso de métodos de auditoría remotos (ver anexo B);
 la ocurrencia de eventos internos y externos, (eg. falla de producto, fugas en la seguridad de la
información, incidentes de salud y seguridad , actos criminales o incidentes ambientales).

Mayo 2012 (c) Eduardo Gatell 12

 ¿Qué tipos de riesgos se
deben identificar el Programa
de Auditoría?

Mayo 2012 (c) Eduardo Gatell 13

5.3.4 Identicación y
evaluación de riesgos del
programa de auditoría
 Los riesgos pudieran estar asociados con:
 La planificación (eg. falla al establecer objetivos de auditoría
pertinentes y al determinar la extensión del programa de auditoría)
 Los recursos (eg. asignando tiempo insuficiente)
 La selección del equipo auditor (eg. el equipo no tiene la
competencia colectiva para realizar auditorías eficazmente)
 La implementación (eg. comunicación no eficaz del programa de
auditoría)
 Los registros y controles (eg. falla en la protección de los registros de
la auditoría para demostrar la eficacia del programa)
 El monitoreo, revisión y mejora del programa de auditoría (eg.
monitoreo no eficaz de los resultados)
Mayo 2012 (c) Eduardo Gatell 14
  ¿Qué debería cubrir el/los
procedimientos para el
Programa de Auditoría?

Mayo 2012 (c) Eduardo Gatell 15

5.3.5 Establecimiento de
procedimientos para el programa
de auditoría
 Deberían tratar lo siguiente, según sea aplicable:
 la planificación y calendarización de auditorías considerando los
riesgos;
 asegurar la seguridad y confidencialidad de la información;
 asegurar la competencia de los auditores y líderes de equipo;
 la selección de equipos de auditoría apropiados / la asignación de roles
y responsabilidades;
 la realización de auditorías, incluyendo el uso del muestreo apropiado
 la realización de auditorías de seguimiento, si es aplicable;
 reportar a la alta dirección sobre los logros del programa de auditoría;
 mantenimiento de registros del programa;
 el monitoreo / revisión del desempeño y riesgos, así como la mejora de
la eficacia del programa de auditoría.

Mayo 2012 (c) Eduardo Gatell 16

  ¿Qué influye en la selección
de los miembros del equipo
auditor?

Mayo 2012 (c) Eduardo Gatell 17

5.4.4 Selección de los

miembros del equipo auditor
 Se necesita señalar miembros del equipo auditor, incluyendo
 líder del equipo
 expertos técnicos requeridos
 Tomar en cuenta la compentencia necesaria para lograr los
objetivos de la auditoría individual dentro del alcance
definido.
 Si solo hay un auditor, el auditor debería realizar todas las
tareas aplicables de un auditor líder del equipo.
NOTA, La cláusula 7 contiene directrices sobre la
determinación de las competencias requeridas de los
miembros del equipo auditor y describe los procesos para la
evaluación de los auditores.
Mayo 2012 (c) Eduardo Gatell 18
5.4.4 Selección de los miembros
del equipo auditor (cont…)
 Se necesita considerar:
a) la competencia colectiva del equipo auditor para lograr los
objetivos de la auditoría, tomando en cuenta el alcance y el criterio de
la auditoría;
b) la complejidad de la auditoría y si es combinada o conjunta;
c) los métodos de auditoría seleccionados;
d) los requisitos legales / contractuales, etc
e) la necesidad de independiencia y de evitar conflicto de intereses
f) la habilidad del equipo auditor para interactuar eficazmente
con el auditado y trabajar en equipo;
equipo
g) el idioma de la auditoría, / las caracterí
características sociales y
culturales del auditado (pudiera necesitarse que sean tratadas por
vía de un experto técnico).
Mayo 2012 (c) Eduardo Gatell 19

5.4.4 Selección de los miembros

del equipo auditor (cont…)
 Deberían realizarse las siguientes etapas:
 identificar los conocimientos y habilidades necesarias para lograr los
objetivos de la auditoría;
 seleccionar al equipo de modo que todo el conocimiento y habilidades
necesarias estén presentes
 Pudiera ser necesario el uso de expertos técnicos para
atraer la competencia adicional (¡no debrerían actuar como
auditores!).
 Pudiera incluirse auditores en entrenamiento, pero bajo la
dirección y guía de un auditor.
 Pudiera necesitarse ajustar el tamaño / composición del
equipo auditor durante la auditoría, (eg. si surgiera un
conflicto de intereses o de competencia). Se necesita discutir
con las partes pertinentes antes de hacer cualquier ajuste.
Mayo 2012 (c) Eduardo Gatell 20
Actividades típicas de
auditoría
6.2 Inicio de la auditoría (6.2.1 General; 6.2.2 Establecimiento del contacto inicial;
6.2.3 Determinación de la factibilidad)

6.3 Actividades de preparación de la auditoría (6.3.1 Rev. doc.; 6.3.2 Plan de

Auditoría; 6.3.3 Asignación de tareas; 6.3.4 Preparación de doc. de trabajo)

6.4 Actividades de realización de la auditoría (6.4.1 General; 6.4.2 Reunión de

Apertura; 6.4.3 Rev. doc. durante la auditoría; 6.4.4 Comunicación; 6.4.5 Guías /
Observadores; 6.4.6 Recolección/verif. de inf.; 6.4.7 Generación de hallazgos;
6.4.8 Preparación de conclusiones;6.4.9 Reunión de cierre)

6.5 Preparación / distribución del reporte de auditoría

(6.5.1 Preparación del reporte; 6.5.2 Distribución del reporte)

6.6 Finalizacion de la auditoría

6.7 Realización de las actividades de seguimiento (si se especifica en el plan)

Mayo 2012 (c) Eduardo Gatell 21

 ¿Cuáles son los

propósitos/elementos del
contacto inicial con el
auditado?

Mayo 2012 (c) Eduardo Gatell 22

6.2.2 Establecimiento del
contacto inicial con el auditado
 Líder del equipo auditor (informal o formal)
 Los propósitos son:
 establecer comunicación con los representantes del auditado;
 confirmar la autoridad para realizar la auditoría;
 proporcionar información sobre los objetivos, alcance y métodos de la auditoría, y la
composición del equipo auditor, incluyendo expertos técnicos;
 solicitar el acceso a documentos y registros pertinentes con el propósito de
planificación;
 determinar los requisitos legales, contractuales y de otro tipo pertinentes a las
actividades y productos del auditado;
 confirmar el acuerdo con el auditado sobrel la extensión y tratamiento de la
información confidencial;
 hacer los arreglos para la auditoría incluyendo horarios y fechas;
 determinar cualquier requisito de acceso, seguridad, salud y seguridad personal, etc.
 acordar la participación de observadores y la necesidad de guías para el equipo aud;
 determinar cualquier área de interés o preocupación del auditado.
Mayo 2012 (c) Eduardo Gatell 23

 ¿Cuál es el propósito y
cuidados a tener al realizar
una “revisión de la
documentación” para preparar
una auditoría?

Mayo 2012 (c) Eduardo Gatell 24

 6.3 Preparación de las
actividades de auditoría
6.3.1 Realización de la revisió
revisión de la documentació
documentación en la preparació
preparación
de la auditorí
auditoría
Debería revisarse la documentación pertinente del SG a auditarse para:
 recabar información para preparar las actividades de la auditoría y los documentos de
trabajo aplicables (ver 6.3.4), eg sobre procesos, funciones;
 establecer una visión general de la extensión de la documentación del sistema para
detectar posibles carencias.
NOTA Se da una directriz de cómo realizar una revisión de la
documentación en la cláusula B.3.
La documentación debería incluir, cuando sea aplicable:
 documentos y registros del sistema de gestión
 reportes de auditorías previas, si son pertinentes.
La revisión de la documentación debería tomar en cuenta el tamaño, la
naturaleza y la complejidad del sistema de gestión del auditado, y de la
organización, los objetivos de la auditoría y el alcance.
Mayo 2012 (c) Eduardo Gatell 25

 ¿Qué debe considerar el

auditor líder del equipo para
preparar el plan de auditoría?

Mayo 2012 (c) Eduardo Gatell 26

 6.3.2 Preparación del plan de
auditoría
 El auditor líder debería preparar el plan de auditoría con base en la información
contenida en el programa de auditoría y en la documentación proporcionada por
el auditado.
 El plan debería considerar el efecto de la auditoría en los procesos del auditado
 Debería proporcionar bases para el acuerdo entre el cliente de la auditoría, el equipo auditor y el
auditado
 Debería facilitar la programación y coordinación eficiente de las actividades de auditoría.
 El nivel de detalle del plan deberí
debería reflejara el alcance y la complejidad de
la auditorí
auditoría, así como el efecto de la incertidumbre en el logro de los objetivos.
 Al preparar el plan de la auditoría, el auditor líder debería estar consciente de:
 las técnicas de muestreo apropiadas (ver capitulo B.5);
 la composición del equipo audiot y su competencia colectiva;
 los riesgos para la organización creados por la auditoria.
 Los riesgos pudieran resultar de los miembros del equipo auditor al influenciar la
salud y seguridad, el ambiente y la calidad, y su presencia puede presentar
amenazas para los productos, servicios, personal o infraestructura (ej,
contaminación).
Mayo 2012 (c) Eduardo Gatell 27

 ¿Qué debe considerar el

proceso de evaluación de los
auditores?

Mayo 2012 (c) Eduardo Gatell 28

7.1 General
 El proceso de evaluación debería incluir cuatro pasos:
a) determinar la competencia del personal de la auditoría para cumplir las
necesidades del programa de auditoría;
b) establish evaluation criteria;
criteria
c) seleccionar el método apropiado de evaluació
evaluación;
d) realizar la evaluació
evaluación.
 El resultado del proceso de evaluación debería
proporcionar la base para:
 laselección de los miembros del equipo auditor como se describe en 5.4.4;
 determinar la necesidad de mejorar la competencia (ej. formación
adicional);
 evaluació
evaluación continua del desempeñ
desempeño de los auditores.
auditores

November 2010 (c) Nigel H Croft 29

 ¿Qué tipos de conocimientos y

habilidades “específicas de la
disciplina y sector” deben
considerar ?

Mayo 2012 (c) Eduardo Gatell 30

 7.2.3.3 Conocimientos y habilidades
específicas de la disciplina y sector
Debería incluir:
requisitos y principios sobre la disciplina específica del SG y su aplicación;
requisitos legales pertinentes a la disciplina y el sector, de modo que el auditor esté
consciente de los requisitos específicos en la jurisdicción y obligaciones, actividades y
productos del auditado;
los requisitos de las partes interesadas pertinentes a la disciplina específica;

los fundamentos de la disciplina y la aplicación de métodos de negocio y métodos técnicos

específicos de la disciplina, técnicas, procesos y prácticas, suficientes para permitir que el
auditor examine el SG y genere los hallazgos y conclusiones apropiadas;
conocimientos específicos de la disciplina relacionados al sector particular, naturaleza de
las operaciones o lugar de trabajo a ser auditado, suficientes para que el auditor evalúe las
actividades, procesos y productos del auditado (bienes y servicios);
los principios de gestión de riesgos, métodos y técnicas pertinentes a la disciplina y sector,
de modo que el auditor pueda evaluar y controlar los riesgos asociados con el programa de
auditoría.

November 2010 (c) Nigel H Croft 31

MUCHAS GRACIAS!

nigelhcroft@sapo.pt
egatell@inlac.com
www.thecroftalliance.com
May 2012 (c) Nigel H Croft 32