ASGEM

Curso PAC
Módulo IV: Planes de Calidad y Auditorías
Internas
 Auditoría interna en ISO 9001:2015
La auditoría es un medio de evaluar la eficacia de un SGC, para identificar riesgos, y
determinar el cumplimiento de los requisitos propio de una norma.

Para que las auditorias sean eficaces necesitan recopilarse evidencias tangibles e
intangibles. Se toman acciones para la corrección y mejora basadas en el análisis de la
evidencia recopilada. El conocimiento adquirido podría conducir a la innovación, llevando
el desempeño del SGC a niveles más altos.

La ISO 9000:2015 define auditoría como: Proceso sistemático, independiente y documentado

para obtener evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar
el grado en que se cumplen los criterios de auditoría.

Los elementos fundamentales de una auditoría incluyen la determinación de la conformidad

de un objeto de acuerdo con un procedimiento llevado a cabo por personal que no es
responsable del objeto auditado.

Tipos de auditoría
Básicamente existe dos tipos de auditoria:

Interna: realizada por, o en nombre de la organización, para la revisión por la dirección y

otros fines internos. Puede constituir la base para la declaración de declaración de una
organización

Externas: Realizadas por organizaciones auditoras independientes y externas, para la

certificación de una norma, acreditación institucional o registro de conformidad

Auditorías internas ISO 9001:2015

La norma ISO 9001:2015 en la sección 9.2.2 indica que la organización debe:

a) planificar, establecer, implementar y mantener uno o varios programas de auditoría

que incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de
planificación y la elaboración de informes, que deben tener en consideración la
importancia de los procesos involucrados, los cambios que afecten a la organización
y los resultados de las auditorías previas;

b) definir los criterios de la auditoría y el alcance para cada auditoría;

c) seleccionar los auditores y llevar a cabo auditorías para asegurarse de la objetividad
y la

d) imparcialidad del proceso de auditoría;

 e) asegurarse de que los resultados de las auditorías se informen a la dirección
pertinente;

f) realizar las correcciones y tomar las acciones correctivas adecuadas sin demora
injustificada;

g) conservar información documentada como evidencia de la implementación del

programa de auditoría y de los resultados de las auditorías.

La norma ISO 19011:2018, Directrices para la auditoría de los Sistemas de gestión

proporciona orientación sobre la gestión de un programa de auditoría, sobre la planificación
y realización de una auditoría del sistema de gestión, así como sobre la competencia y la
evaluación de un auditor y de un equipo de auditoría.

Esta norma pretende que sea aplicada a los auditores, a las organizaciones que implementan
sistemas de gestión y a las organizaciones que necesitan realizar auditorías de sistemas de
gestión.

Conceptos importantes de Auditoria:

Programa de la auditoría
Conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y
dirigidas hacia un propósito específico.

Alcance de la auditoría
Extensión y límites de una auditoría. El alcance de la auditoría incluye generalmente una
descripción de las ubicaciones, las unidades de la organización, las actividades y los
procesos.

Plan de auditoría
Descripción de las actividades y de los detalles acordados de una auditoría.

Criterios de auditoría
Conjunto de políticas, procedimientos o requisitos usados como referencia frente a la cual
se compara la evidencia objetiva.

Evidencia de la auditoría
Registros, declaraciones de hechos o cualquier otra información que es pertinente para los
criterios de auditoría y que es verificable.

Hallazgos de la auditoría
Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios
de auditoría. La auditoría puede tener hallazgos que:
• Indican conformidad o no conformidad.
 • Pueden conducir a la identificación de oportunidades para la mejora o el registro de
buenas prácticas.

Si los criterios de auditoria se seleccionan a partir de requisitos legales o reglamentarios,

los hallazgos de auditoría pueden denominarse cumplimiento o no cumplimiento.

Conclusiones de la auditoría
Resultado de una auditoría, tras considerar los objetivos de la auditoría y todos los hallazgos
de la auditoría.

Principios de auditoría

Según la norma ISO 19011:2018, la auditoría se caracteriza por depender de varios

principios. Éstos deberían hacer de la auditoría una herramienta eficaz y fiable en apoyo de
las políticas y controles de gestión, proporcionando información sobre la cual una
organización puede actuar para mejorar su desempeño.

La adhesión a esos principios es un requisito previo para proporcionar conclusiones de la

auditoría que sean pertinentes y suficientes, y para permitir a los auditores trabajar
independientemente entre sí para alcanzar conclusiones similares en circunstancias
similares. Estos principios son:

Integridad
Trata sobre el fundamento de la profesionalidad, en el que se indica cómo deberían ser los
auditores y el personal que administra programas de auditoría. Estos deberían:
– Realizar su trabajo de un modo ético, siendo honestos y responsables.

– Desarrollar tareas relacionadas con la auditoría siempre que tengan las competencias para
ello.

– Realizar su actividad imparcialmente, es decir, deben ser objetivos y sin desviarse en las
actividades que lleva a cabo.

– Ser capaces de captar cualquier influencia que se quiera realizar sobre el juicio que se
realice durante el proceso de auditoría.
Presentación imparcial

Este principio habla de la obligatoriedad de informar con veracidad y exactitud. Durante

una auditoría, los hallazgos, conclusiones y los informes, deben mostrar con veracidad y
exactitud las actividades de auditoría.

Es importante que, durante la auditoría, se informe de cualquier inconveniente que tenga

un carácter significativo. También es importante informar de las opiniones contrarias que
se detecten en la auditoría entre los auditores y auditados. Es por ello que la comunicación
deba ser veraz, objetiva, oportuna, clara y completa.
Debido cuidado profesional
Este principio trata de la aplicación de diligencia y juicio al llevar a cabo una auditoría de
un sistema de gestión ISO.

Según este principio, los auditores deben realizar las auditorías con el cuidado
correspondiente, teniendo en cuenta la importancia de la tarea a desarrollar y la confianza
que el cliente o partes interesadas depositan en ellos. Es por ello que durante una auditoría,
uno de los factores más relevantes sea aplicar juicios razonados.
Confidencialidad
Este principio habla de la seguridad de la información. En el proceso de auditoría, los
auditores tendrían que comportarse con discreción en el uso y protección de la información
que manejen durante su desempeño.

Con este principio, lo que se quiere determinar es que un auditor en ningún caso pueda
usar la información de un modo inapropiado y para su propio beneficio o del cliente, o de
una manera que dañe los intereses del auditado.

Independencia
El principio hace referencia a que el auditor tiene que tener la base suficiente para ser
imparcial durante la auditoría y objetivo en las conclusiones logradas en el proceso.

Independientemente de la actividad que vaya a ser auditado, los auditores deben ser
independientes en el mayor de los casos, y en todo momento deberían trabajar sin
influencias. En el caso de las auditorías internas, los auditores deberían de llevar a cabo sus
actividades de un modo independiente, sin que influya la función que se audite.

Es imprescindible que los auditores mantengan en todo momento la objetividad en un

proceso de auditoría, esto es importante para garantizar que los hallazgos y conclusiones
de la auditoría estén basados en evidencias encontradas en dicha auditoría.

En el caso de pequeñas organizaciones. es posible que en muchas ocasiones los auditores

internos no sean plenamente independientes de la actividad que vayan a auditar, pero en
cualquier caso, es necesario que estos eliminen los elementos que le impida trabajar con la
objetividad necesaria.

Enfoque basado en la evidencia

EL principio habla de que un auditor debe tener el método racional para alcanzar
conclusiones de la auditoría que sean fiables y reproducibles durante un procedimiento de
auditoría sistemático.

En todo momento, las evidencias de una auditoría deben ser verificables, de modo general
deberían fundamentarse en muestras de la información que esté disponible en el momento
de la auditoría, ya que esta tiene lugar en un momento concreto y con recursos limitados.
Enfoque basado en riesgos
Este último principio trata del enfoque de auditoría que considera los riesgos y
oportunidades.

Este enfoque a riesgos debería influenciar en la planificación, ejecución y presentación de

informes de auditoría con la finalidad de garantizar que las auditorías se concentran en
temas de importancia para el cliente al que se le está desarrollando la auditoría y para lograr
los objetivos del programa de auditoría.

Programa de auditoría
El programa de auditoría debería incluir la información y recursos necesarios para
organizar y conducir las auditorías de manera eficiente dentro de los tiempos especificados
y también puede incluir lo siguiente:

— objetivos para el programa de auditoría y auditorías individuales.

— alcance/número/tipos/duración/ubicación/cronograma de las auditorías.
— procedimientos del programa de auditoría.
— criterios de auditoría.
— métodos de auditoría.
— selección de equipos auditores.
— recursos necesarios, incluyendo viajes y hospedaje.
— procesos para manejo de confidencialidad, seguridad de la información, salud y
seguridad y otros temas similares.

La implementación del programa de auditoría debería ser monitoreado y medido para

asegurar que se han alcanzado los objetivos trazados. El programa de auditoría debería ser
revisado para identificar posibles mejoras.

El flujo de un programa de auditoría se basa en el ciclo PHVA y se representa de la siguiente

manera:
Métodos de auditoria

Una auditoría puede realizarse usando una variedad de métodos de auditoría. Los métodos
de auditoría elegidos para una auditoría dependen de los objetivos de la auditoría, el alcance
y los criterios definidos, así como de la duración y la ubicación. También deberían
considerarse la competencia disponible de los auditores y cualquier incertidumbre que surja
de la aplicación de los métodos de auditoría. Aplicar una variedad y combinación de
diferentes métodos de auditoría puede optimizar la eficiencia y eficacia del proceso de
auditoría y sus resultados.

La realización de una auditoría implica una interacción entre personas dentro del sistema
de gestión que se audita y la tecnología utilizada para llevar a cabo la auditoría. La siguiente
figura proporciona ejemplos de métodos de auditoría que pueden usarse, por separado o en
combinación, para lograr los objetivos de la auditoría. Si una auditoría supone el uso de un
equipo auditor con múltiples miembros, pueden usarse métodos in situ y métodos remotos
simultáneamente.
Información documentada

Se debe tener dos tipos de documentación (información documentada) sujeto a auditoría:

— La que es requerida por la norma (obligatoria).

— La que la organización considere necesaria para el correcto desarrollo de su
actividad y para la eficacia del Sistema de Gestión de Calidad.

Las secciones de la norma ISO 9001:2015 sujetas a auditoría son las siguiente:
Información necesaria para la auditoría interna

La norma sólo exige un registro de auditorías internas (9.2.2), pero es recomendable

desarrollar un procedimiento para auditorías
La auditoría interna como herramienta de mejora continua

La auditoría interna se convierte en herramienta de mejora continua, teniendo en cuenta

que a partir de ella podemos:

• Identificar oportunidades de mejora.

• Aportar valor a la organización.

Los hallazgos de auditoría pueden llevar a la identificación de oportunidades de mejora o

al registro de mejores prácticas.

Gestión de no conformidades
La no conformidad es el incumplimiento de un requisito. La no existencia de un
documento exigido como requisito, es una no conformidad que debe ser registrada.

Las no conformidades no siempre están relacionadas con la existencia o no de un

documento. Si un proceso, como realizar copias de seguridad, no se lleva a cabo, constituye
también una no conformidad.

Para ambos ejemplos, la existencia del documento o del proceso requerido, pero en
condiciones deficientes, no acordes con lo dispuesto por la norma ISO, también genera no
conformidades.

La ISO 9001 exige que se registren las no conformidades, no se puede reparar un error sin
dejar huella de su existencia, Se debe crear una memoria histórica de errores que garantice
su no repetición, que se tomen las acciones correctivas adecuadas, y que estás – las acciones
correctivas – sean documentadas de acuerdo con los requisitos de la norma, para que así se
conviertan en material pedagógico y herramienta de mejora continua del sistema.

Gestionar no conformidades

Las normas ISO de reciente publicación tienen los mismos requisitos para el registro de no
conformidades. Estos requisitos se detallan en la cláusula 10 de la norma ISO 9001 y son los
siguientes:

• Corrija la no conformidad y plantee un plan de acción para eliminar o minimizar el

impacto de sus consecuencias.
• Analice la posibilidad de eliminar la causa de la no conformidad, como una forma
de evitar su repetición.
• Implemente las acciones correctivas necesarias.
Por supuesto, a partir de la implementación de la acción correctiva, se desprenden otros
requisitos, como el de monitoreo y supervisión.