Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ETAPAS DE LA AUDITORÍA
El proceso de auditoría de un Sistema de Gestión consta de dos etapas diferenciadas, ambas llevadas
a cabo en las propias instalaciones de la organización auditada, siendo el líder del equipo auditor
sobre el que recae la responsabilidad de que se lleve a cabo todo el proceso de auditoría, desde el inicio
hasta que ésta finalice.
■ Política y objetivos.
■ Procedimientos.
■ Registros.
Etapa 1 ■ Fichas de proceso.
■ Fichas de indicadores
■ Normativa aplicable.
■ Etc.
Obviamente, la realización de la auditoría in situ es la fase que consume la mayor parte del tiempo. Sin
embargo, su éxito depende en gran medida del tiempo que se dedique a su planificación y preparación.
3
DOCUMENTO PARA LA DESCARGA (Acceso través de la Plataforma)
4
ETAPA 1 DE LA AUDITORIA
Para comenzar a familiarizarse con el sistema de gestión del auditado es necesario hacer acopio de la
documentación básica.
En ese sentido, el auditor debe revisar de manera general su contenido con el fin de:
Los resultados de esta primera etapa de la auditoría deben ser documentados y comunicados a la
organización. En este informe quedará reflejado:
Si el auditor encontrase anomalías o considerase que la norma no ha sido correctamente aplicada, puede
llegar a posponer o cancelar la segunda etapa de la auditoría, hasta que las desviaciones
encontradas en la revisión documental del sistema sean subsanadas.
5
ETAPA 2 DE LA AUDITORÍA
Una vez superada la primera etapa de la auditoría, incluyendo, si es necesario, la realización por parte
del auditado de las acciones indispensables para que esto sea así, se llevaría a cabo el desarrollo de la
segunda etapa de la auditoría, por parte del equipo auditor, y de nuevo, en las instalaciones de la
organización auditada.
Entre la realización de las dos etapas de auditoría no deben transcurrir más de seis meses de intervalo.
De hecho, si este intervalo de tiempo se supera, debe volver a repetirse la etapa 1 de auditoría, ya que
en ese entretiempo pueden haberse producido cambios significativos que no hayan sido contemplados
en la primera ocasión.
En la etapa 2 de auditoría, las partes del Sistema de Gestión que, auditadas durante la primera etapa, el
auditor estime que se encuentran perfectamente implementadas y conformes con los requisitos, no
tendrán que volver a ser re-auditadas.
El propósito de esta segunda etapa es evaluar la implementación y eficacia del Sistema de Gestión de
la organización.
6
HERRAMIENTAS PARA DESARROLLAR UNA AUDITORÍA
Para obtener la mayor cantidad de información posible durante el desarrollo del proceso de una auditoría,
el equipo auditor puede ayudarse de una serie de herramientas para conseguir este fin.
■ Entre los miembros del equipo auditor que deberán informarse y consultar periódicamente con el
fin de:
- Intercambiar información.
- Reasignar tareas entre los miembros del equipo auditor, en caso necesario.
■ Entre los miembros del equipo auditor y el auditado: el líder deberá comunicar periódicamente los
progresos de la auditoría y cualquier inquietud al auditado.
■ Entre los miembros del equipo auditor, y el cliente de la auditoría, cuando se considere
necesario.
7
Las no conformidades críticas, deben ser puestas en conocimiento del auditado, tan pronto se
evidencien, pero las cosas de menor importancia pueden comentarse en la reunión diaria de información.
En caso de que las evidencias disponibles de la auditoría, indiquen que los objetivos de la misma no
son alcanzables, el líder del equipo auditor deberá informar de las razones al cliente de la auditoría y al
auditado para determinar las acciones apropiadas. Estas acciones pueden incluir:
Cualquier necesidad de cambios en el alcance de la auditoría que pueda evidenciarse a medida que las
actividades de auditoría progresen, deberán revisarse con el cliente de la auditoría y aprobarse por
él y, cuando sea apropiado, por el auditado.
Formulación de Preguntas
Una técnica muy útil a la hora de recopilar información es la entrevista. El auditor deberá preguntar a la
gente cuáles son sus tareas, qué hacen, cómo lo hacen, qué información reciben, qué información
transmiten, etc.
Con frecuencia, los auditores sin experiencia desarrollan inspecciones amplias de documentación, con
poca aportación por parte de las personas que desempeñan las tareas.
Con el fin de que esto no ocurra, es conveniente estructurar las entrevistas de modo que se pueda
conseguir la máxima información por parte del entrevistado, en el menor período de tiempo posible.
Para minimizar posibles errores, durante la entrevista, se deben seguir una serie de pautas:
8
■ Elaborar listas de comprobación que guíen al auditor a través de la
entrevista.
■ Formular preguntas abiertas para obtener información.
■ Realizar el mismo tipo de preguntas a personas distintas. Así el auditor
podrá juzgar la veracidad de las respuestas.
■ Realizar las entrevistas durante las horas normales de trabajo y, cuando sea
práctico, en el lugar habitual de la persona entrevistada.
Pautas de Minimización
de Errores ■ Tranquilizar a la persona que se va a entrevistar antes y durante la
entrevista.
■ Explicar la razón de la entrevista y de cualquier nota que se tome.
■ Evitar preguntas que predispongan respuestas.
Un método apropiado en este caso, consiste en dividir el tiempo disponible, entre las distintas actividades
que se van a revisar.
El auditor deberá estudiar y establecer una ruta lógica y conveniente a través del sistema, que le ayudará
a controlar las desviaciones de la misma, con el fin de minimizar el muestreo y las discusiones
irrelevantes.
9
Muestreo
El auditor deberá tener claro cuántos documentos y de qué tipo, son necesarios muestrear.
■ Aleatorio.
■ Estadístico.
■ Por objetivos.
■ Teniendo en cuenta un porcentaje determinado, etc.
Todos los métodos son aceptables, no obstante debe primar el sentido común.
Durante el tiempo disponible, los muestreos que se realicen deben ser representativos de la actividad
que está bajo revisión, debiendo aumentar su número si se encuentra una no conformidad o información
que pueda dar lugar a posibles problemas.
Técnicas de Muestreo
10
DESARROLLO DE LA ETAPA 2 DE AUDITORÍA
Con carácter general, la etapa 2 de una auditoría se puede desarrollar en tres fases:
LECTURA RECOMENDADA
11
REUNIÓN DE APERTURA
Resulta conveniente realizar una reunión de apertura con la dirección del auditado e incluso, cuando sea
apropiado, con los responsables de las funciones o procesos que se van a auditar.
Objetivos
Procedimiento
En el caso de las auditorías internas, estas reuniones no suelen hacerse en los mismos términos que
se emplean en las auditorías externas. Así pues, por ejemplo, pueden consistir simplemente en
comunicar que se está realizando una auditoría, y explicar la naturaleza de la misma.
En otros casos, la reunión debería ser formal y manteniendo un registro de los asistentes. Esta reunión
debería ser presidida por el líder del equipo auditor debiendo tener en consideración los siguientes
puntos:
■ Presentación de los miembros del equipo auditor, incluyendo una descripción formal de sus
funciones y citando la identificación de su registro de auditor cualificado.
■ Elaboración de un registro de los asistentes.
■ Confirmación de los objetivos, alcance y criterios de la auditoría, explicando el propósito de la
auditoría, y aclarando el tipo de auditoría solicitada por la empresa.
■ Confirmación del plan de auditoría que seguirán los auditores. Éste deberá haber sido aceptado y
acordado unas semanas antes, sin objeciones por ninguna de las partes.
■ Métodos procesos y procedimientos que los auditores utilizarán para realizar su trabajo.
Información de la necesidad de tomar notas, recoger evidencias documentales y comunicarse
directamente con los poseedores de la información.
■ Confirmación de los modos de comunicación formal entre el equipo auditor y el auditado.
■ Confirmación de que durante la auditoría, el auditado será informado del progreso de la
misma.
■ Verificación de la disponibilidad de medios y recursos, tales como sala de reunión,
fotocopiadora, pases de seguridad, equipos de protección, interlocutor o guía, etc.
■ Modo de presentación de la información, incluyendo la clasificación de las deficiencias.
■ Confirmación de la garantía de confidencialidad.
12
EJECUCIÓN DE LA AUDITORÍA
Una vez concluida la reunión de apertura, y en compañía de un representante del auditado, el auditor
deberá visitar todas y cada una de las áreas funcionales establecidas en el plan de auditoría.
La investigación se efectuará teniendo en cuenta los requisitos correspondientes al área en curso. Para
ello, el auditor se podrá ayudar de la lista de verificación previamente realizada
13
Recopilación y Verificación de la Información
Durante el proceso de auditoría, se debe recopilar, mediante un muestreo adecuado, la información
pertinente para cubrir los objetivos, el alcance y los criterios de la misma, incluyendo la información
relacionada con las interrelaciones entre funciones, actividades y procesos. De su análisis, se extraerán
una serie de evidencias objetivas.
Fuentes de Información
Las fuentes de información a recurrir, pueden variar en función del alcance y complejidad de la auditoría,
pudiendo incluir:
Búsqueda de Evidencias
Para verificar el cumplimiento real de los requisitos de la Norma y del Sistema, es necesario realizar una
búsqueda de evidencias objetivas.
14
Las evidencias de la auditoría se refieren a hechos y condiciones, que en principio pueden llegar a ser
fáciles de identificar. Sin embargo, su demostración resulta compleja si no se puede probar de una forma
tangible y objetiva. Por ello, estas evidencias deberán ser evaluadas siguiendo los criterios de
auditoría previamente definidos, hasta llegar a obtener los hallazgos y posteriores conclusiones de la
auditoría.
Las evidencias de la auditoría, se basan en muestras de la información disponible. Por tanto, siempre
habrá un cierto grado de incertidumbre, de la cual deben ser conscientes los que actúan sobre las
conclusiones de la auditoría.
Las no conformidades y las evidencias de la auditoría que las apoyan, deberán revisarse junto con el
auditado, para obtener el reconocimiento de que la evidencia de la auditoría es exacta y que las no
conformidades se han comprendido, debiendo mantener un registro de ello.
Estas notas, deben ser estudiadas junto con el responsable de calidad, o con el responsable del área
involucrada, con el fin de obtener su conformidad.
Una vez identificadas y cuantificadas las evidencias objetivas, se procederá a su valoración, para lo cual
es necesario haber establecido previamente una clasificación.
No existe una categorización estándar, pudiendo variar en función del organismo auditor, ya bien se
trate de una auditoría interna, externa o de certificación, dependiendo en este caso de cada Organismo
Certificador. En general se suelen establecer tres categorías distintas de no cumplimiento:
Ejemplos:
15
Incumplimiento de un requisito, bien sea de la norma, del Sistema de Gestión,
de la legislación u otro tipo de documentación. Son fallos aislados, no
sistemáticos, que han de ser solucionados, pero que no requieren que se haga
inmediatamente.
Ejemplo:
Desviación
■ Se ha evidenciado que la información no recibe un adecuado nivel de
protección de acuerdo con la importancia para la organización, incumpliendo
el punto 8.2.2 de Etiquetado de la información, que establece que debe
desarrollarse e implantarse un conjunto adecuado de procedimientos para
etiquetar la información, de acuerdo con el esquema de clasificación
adoptado por la organización.
16
Ejemplo de Nota de Desviación
La empresa "PLAGAS S.L.", perteneciente al sector químico, pretende certificarse según la ISO 27001.
Durante la visita del auditor a una de las instalaciones, ha observado y anotado lo siguiente:
Auditor: "¿No se dispone de una instrucción para identificar correctamente las personas que acceden a la
información en cualquier momento?"
Responsable de Seguridad de la Información: "Si, están avisados de que deben informar puntualmente
después de la realización con riesgos en la seguridad de la información, ya que se solicita que los
informes los facilite cada responsable de área semanalmente”.
AUDITORÍA:
EMPRESA: PLAGAS SL
Interna
Certificación FECHA: 15-12-2015 NOTA Nº: 03
Seguimiento
Renovación
Deficiencias encontradas:
17
Firma del auditor: Firma del auditado:
■ Revisar los hallazgos de la auditoría y cualquier otra información recopilada durante la auditoría.
■ Acordar las conclusiones de la auditoría, teniendo en cuenta la falta de certidumbre propia del
proceso de auditoría.
■ Preparar recomendaciones, en caso de que así estuviera especificado en la auditoría.
■ Comentar el seguimiento de la auditoría, si así se ha definido en el plan de la misma.
18
REUNIÓN DE CIERRE
La reunión de cierre, formaliza la clausura de la auditoría en las dependencias de la empresa auditada.
Deberá ser presidida por el líder del equipo auditor y a ella asistirán en principio, los mismos miembros
que fueron convocados a la reunión de apertura, es decir, los componentes del equipo auditor y los
representantes de la empresa y áreas auditadas.
Objetivos
■ Exponer los hallazgos de la auditoría ante todas las partes interesadas con el fin de asegurar la
correcta comprensión y aceptación de los resultados.
■ Establecer, si es necesario, el intervalo de tiempo imprescindible para que el auditado presente un
plan de acciones correctivas y preventivas.
■ Supone una oportunidad para que el auditado pueda clarificar posibles equívocos, aunque en
ningún caso puede convertirse en un foro de discusión y debate.
Procedimiento
19