&® icontec GUIA TECNICA GTC-ISO COLOMBIANA 19011 2018-10-17 DIRECTRICES PARA LA AUDITORIA DE LOS SISTEMAS DE GESTION GUIDELINES FOR AUDITING MANAGEMENT SYSTEMS CORRESPONDENCIA: Esta norma es una adopcion idéntica (IDT) por traduccion de la norma ISO 19011: 2018 DESCRIPTORES: auditoria: sistemas de gestidn; auditor; competencia: evaluacién do la coniormidad. L.C.S: 03.120.20; 03.100.70 Ealiada por el insitulo Colmbiend de Nomas Teeniees y Certineavion (ICONTEC) Apartado’ 14237 Bogota, OC. - Tel (S71) SO78883 Fax (S71) 2221435 Prohibida su reproduccién Etitada 2016-10-24PROLOGO El Instituto Colombiano de Normas Técnicas y Certificacién, ICONTEC, es el organismo nacional de normalizacién, segtin el Decreto 1598 de 2015, ICONTEC es una entidad de carécter privado, sin animo de lucro, cuya Misién es fundamental para brindar soporte y desarrollo al productor y proteccién al consumidor Colabora con el sector gubernamental y 2poya al sector privado del pais, para lograr ventajas competitivas en los mercados interno y externo. La representacién de todos los sectores involucrados en el proceso de Normalizacién Técnica esta garantizada por los Comités Técnicos y el petiodo de Consulta Publica, este ultimo caracterizado por la participacién dal piblico en general La guia GTC-ISO 19011 fue ratificada por el Consejo Directivo de 2018-10-17 Esta quia esta sujeta a ser actualizada permanentemente con el objeto de que responda en todo momento a las necesidades y exigencias actuales. A continuacién, se relacionan las empresas que colaboraron en el estudio de esta guia a través de su participacian en el Comité Técnico 21 Evaluarién dela conformidad. 2CDESIGN SAS AEC-MONTAJES INTEGRALES DE GAS AGUAS KPITAL CUCUTA SAESP ALACON METROLOGIA SAS. APPLUS COLOMBIA LTDA. ASOCIACION — COLOMBIANA (DE LABORATORIOS (ASOCOLAB) ATM GAS NATURAL BUREAU VERITAS COLOMBIA LTDA. CALIBRATION SERVICE SAS, CERTICOM SAS. CHEC SA ESP . COMPANIA ANDINA DE INSPECCION Y CERTIFICACION SA. COMPANIA NACIONAL DE METROLOGIA SAS CONSEJO COLOMBIANO DE SEGURIDAD CORPORACION AUTONOMA REGIONAL DE CUNDINAMARCA (CAR) CORPORACION AUTONOMA REGIONAL DE LAS CUENCAS DE LOS RIOS NEGRO Y NARE (GORNARE) DISAN COLOMBIA SA. EINCE LTDA. ENZIPAN LABORATORIOS S.A FRASO ALLIANCE COLOMBIA SAS. SERVICIOS FUNDACION CARDIOVASCULAR DE ‘COLOMBIA (FCV) FUNDACION UNIVERSIDAD DEL NORTE GASES DE OCCIDENTE S.A ESP GESCYAM LTDA GESTION Y CONOCIMIENTO SAS GESTIONARTE CONSULTORIA ESTRATEGICA GLOBAL COLOMBIA CERTIFICACION (GCC) SAS GRUFO BERNIER SAS HIDROPROB S.A INDETRO INGENIERIA LTDA. INGEMET SAS . INGOBAR METROLOGIA S.A S INLAC COLOMBIA INSTITUTO AGROPECUARIO (IGA) INSTITUTO DE METEOROLOGIA YY AMBIENTALES (IDEAM) INSTITUTO NACIONAL DE MEDICINA LEGAL Y CIENCIAS FORENSES | INSTITUTO NACIONAL DE METROLOGIA (INM) INSTITUTO NACIONAL DE SALUD. INTERTEK CALEB BRETT COLOMBIA SA COLOMBIANO HIDROLOGIA, ESTUDIOSLABORATORIOS DE ALTA TENSION Y METROLOGIA ELECTRIGA DE LA UNIVERSIDAD DEL VALLE LABORATORIOS. SERVICIOS FARMACELTICOS DE CALIDAD SFCLTDA LEGRAND COLOMBIA SA. LENOR COLOMBIA SAS LUIS FERNANDO MEDINA LEGUIZAMO SAS METROLOGICA SAS NYCE COLOMBIA SAS ORGANISMO_ NACIONAL DE ACREDITACION DE COLOMBIA (ONAC) PARAMETRIZANDO INGENIERIA SAS PERMODA LTDA. SERVICIO NACIONAL DE APRENDIZAJE (SENA) SERVIMETERS SAS. 8GS COLOMBIA S.A TUS COMPETENCIAS LTDA. TUV RHEINLAND COLOMBIA SAS UL DE COLOMBIA SAS UNIVERSIDAD NACIONAL DE COLOMBIA, ZOOLAB SAS Ademds de las anteriores, en Consulta Publica e| Proyecto se puso a consideracion de las siguientes empresas. A LEON Y ASOCIADOS: AGERIAS PAZ DEL RIOS.A. ‘ACIMUT JAGENCIA DE ADUANAS AVIATUR SA NIVEL AGUAS DE CARTAGENA S.A. ESP ALEJANDRO MARQUEZ CEBALLOS. ‘ABOGADO SAS AMERICANA DE CURTIDOS LTDA. Y CIA SCA ANTEK SAS: ASEGURADORA DE CALIDAD SAS: ASOCIACION. GOLOMBIANA” DE ORGANISMOS DE EVALUACION DE LA CONFORMIDAD (ASOCEC) ASOCIACION NACIONAL DE CENTROS DE DIAGNOSTICO AUTOMOTOR (ASO-CDA), BIG BERATER SAS BIOCALIDAD INDUSTRIAL BVOl COLOMBIA LTDA CABLES DE ENERGIA Y TELECOMUNICACIONES S.A. CAJADE COMPENSACION FAMILIAR DEL TOLIMA (COMFATOLIMA) CEMEX COLOMBIA . CENTRO DE DESARROLLO TECNOLOGICO DEL SECTOR ELECTRICO CERITIFICADORA INCERTS SAS. CERTICAMARA S.A CMD CERTIFICATION SAS CODENSA S.A. ESP COLANTA COTECNA CERTIFICADORA SERVICES LTDA CRANE & SAFETY BUERAU SAS DEXCON CONSULTORES SAS DISENIO Y OPTIMIZACION ONLINE SAS. EPG TOSCANO LTDA. EAS LABORATORIO FUNDICIONES Y__ COMPONENTES AUTOMOTORES SAS (FUNDICOM) SAS GESTION & ESTRATEGIA SAS GYG ASOCIADOS SAS HIDROASESORES HIDROMETRICA S.A. INDUANALISIS SAS INSPECTA SAS INSTITUTO DE CIENCIA Y TECNOLOGIA ALIMENTARIA (INTAL) IGSA SAS JORGE ANDRES ARANGO GALLEGO KENZA GROUP SAS LABORATORIO ALISCCA SAS LABORATORIO DEL MEDIO AMBIENTE Y CALIBRACION WR SAS LABORATORIOS MY G UCSRALIANZA SAS LG ELECTRONICS COLOMBIA LTDA. LUMINOTEST . MAC CONSULTORES INGENIERIA E INTERVENTORIA SAS METREX S.A MONOMEROS VENEZOLANOS S.A MORELCO SAS OITEC SAS| PINTURAS SUPER LTDA. PORTELA & GONZALEZ ASOCIADOS SAS PROGRAMA DE TRANSFORMACION PRODUCTIVA (PTP) PROMIGAS SA ESP PUBLIMARK EDUINTERNATIONAL SAS COLOMBOREGISTRO NACIONAL DE AVALUADORES TECNICONTROL S.A. RNA TOTAL SOLUTIONS GROUP SAS SIPLAS UNIVERSIDAD DEL VALLE . SKILL GROUP SAS UNIVERSIDAD MANUELA BELTRAN SOLARTE NACIONAL DE UNIVERSIDAD NACIONAL DE COLOMBIA CONSTRUCCIONES SAS _ SEDEMANIZALES TAMAYO Y COMPANIA - APOYO UNIVERSIDAD TECNOLOGICA DE PEREIRA, ORGANIZACIONAL SAS. \VOLUMED SAS ICONTEC cuenta con un Centro de Informacién que pone a disposicién de los interesados normas internacionales, regionales y nacionales y otros documentos relacionados. DIRECCION DE NORMALIZACIONPROLOGO 'SO (Organizacién Internacional de Normalizacién) es una federacién mundial de organismos nacionales de nomalizacion (organismos miembros de ISO) El trabajo de elaboracién de las Normas Intemacicnales se lleva a cabo normalmente a través de los comités técnicos de ISO. Cada organismo miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho comitS. Las organizaciones internacionales, gubernamentalesy no gudemamentales, vinculadas con ISO, tambien participan enel tradaio. ISO colabora estrechamente con la Comision Electrotécnica Intermacional (IEC) en todos los temas de normalizacién electrotécnica En la Parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar este documento y aquellos previstos para su mantenimiento posterior. En particular deberia tomarse nota de los diferentes criterios de aprobacién necesarios para los distintos tipos de documentos ISO. Este documento ha sido redactado de acuerdo con las reglas editoriales de la Parte 2 de las Directivas ISO/IEC (veasewww is0.ora/directives), Se llama la atencién sobre la posibilidad de que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificacion de aiguno o todos los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante el desarrollo de este documento se indicaran en la Introduccion ylo en la lista ISO de declaraciones de patente recibidas (véase wvnw iso.oraipatents) Cualquier nombre comercial utiizado en este documento es informacién que se proporciona para comodidad del usuario y no constituye una recomendacion Para una explicacién de la naturaleza voluntaria de las normas, el significado de los téminos especificos de ISO y las expresiones relacionadas con la evaluacién de la conformidad, asi como la informacion acerca de la adhesion de ISO a los principios de la Organizacion Mundial del Comercio (OMC) respecto a los Obstéculos Técnicos al Comercio (OTC), vease ww. i50.ora/iso'foreword. html Este documento ha sido elaborado por el Comité de Proyecto ISO/PC 302, Directrives para la auditoria de Ios sistemas de gestion Esta tercera edicién anula y sustituye a la segunda edicién (ISO 19011:2011) que ha sido revisada técnicamente. Los cambics principales en comparaci6n con la segunda edicion sen los siguientes: - __adicién del enfoque basado en riesgos a los principios de la auditoria; - _ampliacién de la orientacién sobre la gestién de un programa de auditoria, incluyendo el riesgo del programa de auditoria; - ampliacién de la orientacién sobre la realizacién de una auditoria, particularmente la sseccién sobre planificacién de la auditoria; - _ampliacién de los requisites de competencia genérica para los auditores;ajuste de la terminologia para refiejar el proceso y no él objeto (“cosa”): eliminacién del anexo que contenia los requisitos de competencia para auditar disciplinas especificas de sistemas de gestion (debido al gran numero de normas individuales de sistemas de gestion, no seria practico incluir requisites de competencia para todas las disciplinas); ampliacién del Anexo A para proporcionar orientacién sobre la auditoria de (nuevos) conceptos como el contexto de la organizacién, el liderazgo y el compromiso, las auditorias virtuales, el cumplimiento y la cadena de suministroGUIA TECNICA COLOMBIANA GTC-ISO 19011 CONTENIDO Pagina INTRODUCCION. 4. OBJETO Y CAMPO DE APLICACION.. 2. REFERENCIAS NORMATIVAS 3. TERMINOS Y DEFINICIONES 4. PRINCIPIOS DE AUDITORIA 5. GESTION DE UN PROGRAMA DE AUDITORIA 6.1 GENERALIDADES 6.2 ESTABLECIMIENTO DE LOS OBJETIVOS DEL PROGRAMA DE AUDITORIA 5.3. DETERMINACION Y EVALUACION DE LOS RIESGOS Y OPORTUNIDADES DEL PROGRAMA DE AUDITORIA. 5.4 ESTABLECIMIENTO DEL PROGRAMA DE AUDITORIA 5.5 IMPLEMENTACION DEL PROGRAMA DE AUDITORIA... 5.6 SEGUIMIENTO DEL PROGRAMA DE AUDITORIA .. 5.7 REVISION Y MEJORA DEL PROGRAMA DE AUDITORIA. 6. REALIZACION DE UNA AUDITORIA.. 6.1 GENERALIDADES... 6.2 _ INICIO DE LA AUDITORIA 6.3 PREPARACION DE LAS ACTIVIDADES DE AUDITORIA..GUIA TECNICA COLOMBIANA GTC-1SO 19011 6.4 REALIZACION DE LAS ACTIVIDADES DE AUDITORIA... 6.5 PREPARACION Y DISTRIBUCION DEL INFORME DE AUDITORIA. 6.6 FINALIZACION DE LA AUDITORIA. 6.7 REALIZAGION DE LAS ACTIVIDADES DE SEGUIMIENTO DE LA AUDITORIA 7. ‘COMPETENCIA Y EVALUACION DE LOS AUDITORES. 7.1 GENERALIDADES. 7.2 DETERMINACION DE LA COMPETENCIA DEL AUDITOR. 7.3 ESTABLECIMIENTO DE LOS CRITERIOS DE EVALUACION DEL AUDITOR. 7.4 SELECCION DEL METODO APROPIADO DE EVALUACION DEL AUDITOR. 7.8 REALIZACION DE LA EVALUACION DEL AUDITOR .. 7.6 MANTENIMIENTO Y MEJORA DE LA COMPETENCIA DEL AUDITOR BIBLIOGRAFIA. ANEXO A (Informative) ORIENTACION ADICIONAL DESTINADA A LOS AUDITORES. QUE PLANIFICAN Y REALIZAN LAS AUDITORIAS FIGURAS Figura 1. Diagrama de flujo para la gestién de un programa de auditori Figura 2. Vision general de un proceso tipico de recopilacion y Verificacién de Ia informacién TABLAS Tabla 1. Tipos distintos de au Tabla 2. Métodos de evaluacién del auditorGUIA TECNICA COLOMBIANA GTC1SO 19011 INTRODUCCION Desde la publicacién de la segunda edicién de este documento en 2011, se han publicado varias, normas nuevas de sistemas de gestion, muchas de las cuales tienen una estructura comin, requisites esenciales idénticos y iérminos comunes y definiciones esenciales. Como resultado, es necesario considerar un enfoque mas amplio para la auditoria de los sistemas de gestién, asi como de proporcionar una orientacién mas genénca_ Los resultados de las auditorias pueden proporcionar entradas para el aspecto de andlisis de la planificacién del negocio, y pueden contribuir a la identificacion de necesidades y actividades de mejora. Una auditoria puede realizarse con relacién a una serie de criterios de auditoria, de manera separada o combinada incluyendo, pero sin limitarse a. - los requisites definidos en una o mas normas de sistemas de gestion; . las politicas y los requisitos especificados por las partes interesadas pertinentes, - los requisitos legales y reglamentarios; - uno 0 més process del sistema de gestién definidos por la organizacién o por otras Partes; - los planes de sistemas de gestién relacionados con la provision de salidas especificas de un sistema de gestion (por ejemplo, el plan de calidad, el plan de proyecto). Este documento proporciona orientacién para todos los tamafios y tipos de organizaciones y auditorias de distintos alcances y escalas, incluyendo aquellas realizadas por equipos de auditoria grandes, tipicamente de organizaciones grandes, y aquellas realizadas por auditores individuales, ya sea en organizaciones grandes 0 pequefias. Esta orientacién deberia adaptarse segtin sea apropiado al alcance, la complejidad y la escala del programa de auditoria Este documento se concentra en las auditorias internas (de primera parte) y las auditorias realizadas por las organizaciones a sus proveedores extemos y a otras partes interesadas extemas (de segunda parte). Est documento también puede ser ‘itl para las auditorias externas realizadas con fines distintos a una certificacién de sistemas de gestién de tercera parte. La Norma ISO/IEC 17021-1 proporciona requisitos para la auditoria de sistemas de gestin para la certificacién de terceras partes; este documento puede proporcionar orientacién adicional de utilidad (véase la Tabla 1) Tabla 4. Tipos distintos de auditoria Auditoria de primera parte ‘Auditoria de segunda parte Auditoria de tercera parte [Audtoria intarna Aucitoria externa de provesdor ‘Audtoria de certficacion lo sacreditacion [otra auaitoria extema de parte interesaca | Auaroria legal, reglamentania o similarGUIA TECNICA COLOMBIANA GTC-4SO 19011 Para simplificar Ia legibilidad de este documento, se prefiere la forma singular de ‘sistema de gestion”, pero el lector puede adaptar la implementaci6n de la orientacion a su propia situacién Esto también aplica al uso de ‘persona’ y “personas”, “auditor” y “auditores’ Se pretende que este documento se aplique a un amplio rango de usuarios potenciales, incluyendo auditores, organizaciones que implementan sistemas de gestion y organizaciones que necesitan realizar auditorias de sistemas de gestion por razones contractuales 0 reglamentarias. Sin embargo, los usuarios de este documento pueden aplicar esta orientaci6n al desarrollar sus propios requisitos relacionados con auditorias. La orientacion en este documento también puede usarse con el propésito de la autodeclaracion, y puede ser util para organizaciones involucradas en la formacion de auditores o en la cemtificacién de personas. La orientacién en este documento pretende ser flexible. Como se indica en varios puntos del texto, el uso de esta orientacion puede diferir dependiendo del tamafio y el nivel de madurez del sistema de gestion de una organizacién. También deberian considerarse la naturaleza y la complejidad de la organizacion que se va a auditar, asi como los objetivos y el alcance de las auditorias que se van a realizar. Este documento adopta el enfoque de auditoria combinada cuando se auditan juntos dos 0 mas sistemas de gestion de distintas cisciplinas. Cuando estos sistemas estén integrados en un Unico sistema de gestién, los principios y procesos de auditoria son los mismos que para una auditoria combinada (a veces llamada auditoria integrada) Este documento proporciona orientacién sobre la gestion de un programa de auditoria, sobre la planificacién y la realizacion de auditorias de sistemas de gestion, asi como sobre la competencia y la evaluacién de un auditor y un equipo auditor.GUIA TECNICA COLOMBIANA GTC-1SO 190114 DIRECTRICES PARA LA AUDITORIA DE LOS SISTEMAS DE GESTION 4. OBJETO Y CAMPO DE APLICACION Este documento proparciona orientacién scbre la auditeria de los sistemas de gestion, incluyendo los principios de la auditoria, la gestion de un programa de auditoria y la realizacion de audilorias de sistemas de gestion, asi como orientacion sobre la evaluacion de la competencia de las personas que participan en el proceso de auditoria. Estas actividades incluyen a las personas responsables de gestionar el programa de auditoria, los auditores y los equipos auditores. Es aplicable a todas las organizaciones que necesitan planificar y realizar auditorias internas 0 externas de sistemas de gestién, 0 gestionar un programa de auditoria La aplicacién de este documento a otros tipos de auditorias es posible, siempre que se preste especial atencién a la competencia especifica necesaria 2. REFERENCIAS NORMATIVAS No hay referencias normativas en este documento. 3. TERMINOS Y DEFINICIONES. Para los fines de este documento, se aplican los términos y definiciones siguientes. 180 € IEC mantienen bases de datos terminolégicas para su utiizacién en normalizacién en las siguientes direcciones’ - Plataforma de biisqueda en linea de ISO: disponible en httos://wwwiso.org/obp - Electropedia de IEC: disponible en http:/\www.clectropedia ora/ 3.1 auditoria. Proceso sistematico, independiente y documentado para obtener evidencias objetivas (3.8) y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen les criterios de auditoria (3.7). NOTA‘ alaentrads Las audtorias internas, denominadas en algunos casos aucitorias de primera pate, se realizan por, 0 en nombre de la propia organizacion. 1 de 55GUIA TECNICA COLOMBIANA GTC-ISO 19014 NOTA 2 @/a entrada Las audiiorias extemas incluyen lo que se denomina generaimente auditorias de segunda x fercera parte, Las auditorias de segunda parte se evan a cabo por partes que tienen un interes en la organizacion, {alos como los clentes 0 por otras personas en Su nomore. Las auaitorias de torcera parte £0 llevan a ¢ab0 Por organizaciones augitoras independienies, tales como las que olorgan la ceriifeacion/registio de conformidad 0 agencias gubemamentaes. IFUENTE: ISO 9000:2015, 3.13.1, modificada - las Notas a /a entrada han sido modificadas] 3.2 auditoria combinada. auditoria (3.1) llevada a cabo conjuntamente a un Unico auditado (3.13) en dos o mas sistemas de gestion (3.18). NOTA 1 ala ontreda__Se conoce come sicioma de gesi6n integrado cuando dos © mas sistemas de gostién espesificos de una disciplina se integra en un Unico sistema de gestion. [FUENTE: ISO 9000:2015, 313.2, modificada] 3.3 auditoria conjunta. auditor/a (32.1) llevada a cabo a un Gnico auditado (3.13) por dos 0 mas organizaciones auditoras, IFUENTE: ISO 9000:2015, 3.13.3] 3.4 programa de auditoria. Acuerdos para un conjunto de una o mas auditorias (3.1) planificadas para un periodo de tiempo determinado y dingidas hacia un propésito especifico. [FUENTE: ISO 9000:2015, 313.4, modificada - se ha afiadido texto a la definicién] 3.8 aleance de la auditoria. Extension y limites de una uditorfa (3.1). NOTA 1 alaentrada El akance de la aucitoria incluye generalmente una descrincion de las ubicaciones fisicas ¥ virtales, tas funciones, las unidades do la organzacén, lac actividades los procesos, asi como ol pariodo co tiempo cubiert. NOTA2 ala entreda Una ubieacién vitual es un lugar donde la orcanizacién desempefa trabajo o presta un serviio usando un enioma en lines que permite a las personas ejecutar piocesos con Independencia Gesu ubicacién fisica [FUENTE. ISO £000.2015, 3.13.5, modificada - se ha modificado la Nota 1 a [a entrada, se ha afiadido la Nota 2 a la entrada] 3.6 plan de auditoria. Descripcicn de las actividades y de los detalles acordados de una auditoria (3.41) [FUENTE: ISO 9000:2015, 313.6] 3.7 criterios de auditoria. Conjunto de requisitos (3.23) usados como referencia frente a la cual se compara la evidencia abjetiva (38) NOTA 1 alaenads SI los crterivs de audtorie son requsites legales (Incluyendo los regiamentarios), las palabras “cumplimiento’ o “no cumglimiento’ se utiizan a menudo en los hallazgos de /a aucttoria (3 10). NOTA2 Persona que aporta conocimientos 0 experiencia especificos al equipo auditor (3.14) NOTA 1a leentrada El conocimiento o experiencia especifices se relacionan cen Ia organizacién, la actividad, proceso, producto, servicio o disciplina a auditar. el idioma ola cultura NOTA 2a lg entrada —_Un exporto téenico do! equipo auaitor (3.14) no actda como un auditor (3.15). IFUENTE: ISO 9000-2015, 3.13.16, moaificada - se han modificade las Notas 1 y 2. /a entrada] 3.17 observador. Persona que acompafia al equipo auditor (3.14) pero no acitia como un auditor 15) [FUENTE. ISO 9000:2015, 3.13.17, modificada] 3.48 sistema de gestion. Conjunto de elementos de una organizaciOn interrelacionados 0 que interactuan para establecer politicas, objetivos y procesos (3.24) para lograr estos objetivos. NOTA 1a lzentrada Un sistema de gestion puede tratar una sola disciplina o varias cisciolinas, por ejemplo, gestin do Ta calcad, gostin manciora o gestion ampiontal. NOTA 2a lg onrada__Los elomontos dot sistoma do gestion estaplacon ia estructura do la organizacion, los roles ylas responsablidades, Ia plarifieacién, [2 operacion, [as policas, las practicas, las reglas, las cresne as, los objetives los procesos para lograr esos obietivos. NOTA 3a/leentrada__Elacance de un sistema de gestion puede inciur Ia totalidad de la organizacién, funciones espectiicas @ Identicadas de la o.ganizaci6n, secciones especificas e Identificadas da la organizacion, 0 una o mes funciones dentro de un grupo de oganizaciones [FUENTE. ISO 9000.2015, 3.5.3, modificada - se ha eliminado la Nota 4 a /a entrada] 3.19 riesgo. Efecto de la incertidumbre NOTA 1a /leentrada —_Un efecto es una desviacion ce lo esperado, ya sea postive o negative. NOTA? ala entrada __incemicumore es 2! estado, incluso parcial, ce dafciencia de Informacidn relacionada con la comprensién o conocimiento de un evento, su consecuencia 0 su orobablidad NOTA3 ala entiada Con trecuencia @! riesgo se caracteriza por referencia eventos potenciales (segun se dene en Ia Guia ISO 73:2008, 35.1 3) y consecuencias (Seguin se deme an la Guia ISO 73-2008 3613), 0auna combinaciin de 4stos NOTA ala entrada Con tresuencla eliesgo se expresa en términos de una combinacibn de las consecuensias de un evento (inciuidos cambios en as circunstancias) y la probablidad (segin se define en la Gula ISO 73 2008, 3.6.1.7) asociada de que ocurra, [FUENTE: ISO 9000:2015, 3.7.9, modificada - se han eliminado las Notas Sy 6 a /a entrada] 3.20 conformidad. Cumplimiento de un requisito (3.23) IFUENTE: ISO 9000:2015, 3.6.11, modificada - se ha eliminado la Nota 1 a la entrada] 3.21 no conformidad. Incumplimiento de un requisito (3.23). IFUENTE. ISO 9000:2015, 3.6.9, modificada - se ha eliminado la Nota 1 a /e entrada] 3.22 competencia. Capacidad para aplicar conocimientos y habilidades con el fin de lograr los, resultados previstos. 4GUIA TECNICA COLOMBIANA GTC-1s0 19011 IFUENTE: ISO 9000:2015, 3.10.4, modificada - se han elirrinade las Notas a /a entrada] 3.23 requisito. Necesidad o expectativa establecida, generalmente implicita u obligatoria, NOTA1 ale entrada “Generalmente implicta’ significa que es habitual o cractea comin para la organizecién y 1a partes imeresadac ol quo ia nocesiaad 0 oxpoctativa Daje consideracion eta implici, NOTA2 ale entrada Un reauisto especificado es aquel que esta estatlecito, por ejemplo, en informacion documentaca, [FUENTE: ISO 9000:2015, 3.6.4, modificada - se han eliminado las Notas 3, 4, 5y 6 2 /a entrada] 3.24 proceso. Conjunto de actividades mutuamente relacionadas que u Proporcionar un resultado previsto, lizan las entradas para IFUENTE: ISO 9000:2015, 3.4.1, modificada - se han eliminado las Notas a /a entrada] 3.25 desempeito. Resultado medible. NOTA‘ ala entrada El desempeiio se puede relacionar con hallazgos cuantitatives o cuaitatos. NOTA? ala entrada El desempefio se puede retacionar con la gestién de aclividaces, process (3.24), productos, Servicios, sistemas u erganizaciones IFUENTE: ISO 9000:2015, 3.7.8, modificada - se ha eliminado la Nota 3 a /a entrada] 3.26 efleacia. Grado en el que se realizan las actividades planificadas y se logran los resultados Planificados. IFUENTE: ISO 9000:2015, 3.7 11, modificada - se ha eliminado la Nota 1 a fa entrada] 4. PRINCIPIOS DE AUDITORIA La auditoria se caracteriza por depender de varios principios. Estos principios deberian ayudar a hacer de la auditoria una herramienta eficaz y fiadle en apoyo de las politicas y controles de gestion, proporcionando informacion sobre la cual una organizacion puede actuar para mejorar su desempefic. La adhesion a esos principios es un requisito previo para proporcionar conclusiones de la auditoria que sean pertinentes y suficientes, y para permitir a los audtores, que trabajan independientemente alcanzar conclusiones similares en circunstancias similares. La orientacién dada en los Capitulos 5 a 7 se basa en los siete principios sefialados a continuacion. a) __Integridad: el fundamento de la profesionalidad. Los auditores y las personas que gestionan un programa de auditoria deberian: - _ desempefiar su trabajo de forma ética, con honestidad y responsabilidad; - _ emprender actividades de auditoria s6lo si son competentes para hacerlo; = desempefiar su trabajo de manera imparcial, es decir, permanecer ecuanimes y sin sesgo en todas sus acciones; = sersensible a cualquier influencia que se pueda ejercer sobre su juicio mientras lleva a cabo una auditorfa. 5GUIA TECNICA COLOMBIANA GTC4SO 19011 ») d) 9) Presentacién imparcial: la obligacién de informar con veracidad y exactitud Los hallazgos, conclusiones e informes de la auditoria deberian reflejar con veracidad y exactitud las actividades de auditoria Se deberia informar de los abstaculos significativos encontrados durante la auditoria y de las opiniones divergentes sin resolver entre el equipo auditor y el auditado La comunicacién deberia ser veraz, exacta, objetiva, cportuna, clara y completa Debido cuidado profesional: la aplicacién de diligencia y juicio al auditar Los auditores deberian proceder con el debido cuidado, de acuerdo con la importancia de la tarea que desempefian y la confianza depositada en elles por el cliente de la auditoria y por otras partes interesadas. Un factor importante al realizar su trabajo con el debido culdado profesional es tener la capacidad de hacer juicios razonados en todas las situaciones de la auditoria Confidencialidad: seguridad de la informacion Los auditores deberian proceder con discrecién en el usoy la proteccién de la informacion adquirida en el curso de sus tareas La informacién de la auditeria no deberia usarse inapropiadamente para beneficio personal del auditor o del cliente de la auditoria, o de modo que perjudique el interés legitimo del auditado. Este concepto incluye el tratamiento apropiado de la informacién sensible 0 confidencial Independencia: la base para la imparcialidad de la auditoria y la objetividad de las conclusiones de la auditoria Los aucitores deberian serindependientes de la actividad que se audita siempre que sea posible, y en todos los casos deberian actuar de una manera libre de sesgo y conflicto de intereses. Para las auditorias internas, los auditores deberian ser independientes de la funcién que se audita, si es posible. Los auditores deberian mantener la abjetividad a lo largo del proceso de auditoria para asegurarse de que les hallazgos y conclusiones de la auditoria estaran basados s6lo en la evidencia de la auditoria Para las organizaciones pequefias, puede que no sea posible que los auditores intemos sean completamente independientes de la actividad que se audita, pero deberian hacerse todos los esfuerzos para eliminar el sesgo y fomentar la objetividad. Enfoque basado en la evidencia: el métedo racional para alcanzar conclusiones de la auditoria fiables y reproducibles en un proceso de auditoria sistematico La evidencia de la auditoria deberia ser verificable. En general deberia basarse en muesiras de la informacion disponible, ya que una auditoria se lleva a cabo durante un periodo de tiempo delimitado y con recursos finitos. Deberia aplicarse un uso apropiado del muestreo, ya que esta estrechamente relacionado con la confianza que puede depositarse en las conclusiones de la auditoria, Enfoque basado en riesgos: un enfoque de auditoria que considera los riesgos y las oportunidades: El enfoque basado en riesgos deberia influir sustancialmente en la planificacién, la realizacion y la presentacién de informes de auditoria con el fin de asegurar que las auditorias se centran en asuntos que son importantes para el cliente de la auditoria y para alcanzar los objetivos del programa de autitoria 6GUIA TECNICA COLOMBIANA GTC-480 19011 6. GESTION DE UN PROGRAMA DE AUDITORIA 6.1 GENERALIDADES Deberia establecerse un programa de auditoria que puede incluir auditoias que traten una o mas normasde sistemas de gestion u otros requisitos, realizadas por separado o en combinacian (auditorfa combinaca). El alcance de un programa de auditoria deberia basarse en el tamafio y la naturaleza del auditado, asi como en la naturaleza, funcionalidad, complejidad, el tipo de riesgos y oportunidades, y el nivel de madutez de los sistemas de gestion que se van a aucitar La funcionalidad del sistema de gestién puede ser ain mas compleja si la mayorfa de las funciones importantes estan contratadas exteramente y se gestionan bajo el liderazgo de otras organizaciones. Es necesario prestar especial atencion a donde se toman las decisiones mas importantes y qué constituye Ia alta direccién del sistema de gestion. En el caso de miitiples ubicaciones/sedes (por ejemplo, diferentes paises), 0 cuando hay funciones importantes contratadas externamente y gestionadas bajo el liderazgo de otra organizaci6n, deberia prestarse especial atencién al disefio, la planificacién y la validacion del programa de auditoria En elcaso de organizaciones mas pequefias o menos complejas, el programa de auditor escalarse apropiadamente puede Con el fin de comprender el contexte del auditado, el procrama de auditoria deberia tener en cuenta los siguientes aspectos del auditado: - los objetives organizacionales; - las cuestiones extemas e intemas pertinentes; - las necesidades y expectativas de las partes interesadas pertinentes; - los requisites de seguridad y confidencialidad de la informacién. La planificacién de los programas de auditoria interna y, en algunos casos, los programas para auditar a los proveedores exteinas, pueden prepararse para contribuir a otros objetivos de la organizacién. Las personas responsables de gestionar el programa de auditoria deberian asegurase de que se mantiene la integridad de la auditoria y de que no se ejerce una influencia indebida sobre la auditoria Deberia darse prioridad de auditoria a la asignacién de recursos y métodos para los asuntos de un sistema de gestion con los riesgos inherentes mas altos y con los niveles de desempevio mas baios. Deberian asignarse personas competentes para gestionar el proarama de auditoria El programa de auditoria deberia incluir la informacién e identificar los recursos que permitan que las auditorias se realicen de forma eficaz y eficiente dentro de los periodos de tiempo especificados. Esta informacion deberia incluir lo siguiente:GUIA TECNICA COLOMBIANA GTC-1S0 19011 a) objelives del programa de auditorta, b) _flesgos y oportunidades asociados con el programa de auditoria (véase 6.3) y las acciones para tratarlos, ©) alcance (extension, limites, ubicaciones) de cada auditoria dentro de! programa de auditorfa; 4) calendario (numero/duracién/frecuencia) de las auditorias; ©) tipos de auditoria, tales como internas 0 externas; 1) cniterios de auditoria; 9) métodos de auditoria a emplear, h) _ctiterios para seleccionar a los miembros del equipo auditor; i) informacién documentada pertnente. Parte de esta informaci6n puede no estar disponible hasta que se complete una planificacion de auditoria mas detallada La implementacién del programa de auditoria deberia seguirse y medirse, de manera continua (véase 56), para asegurarse de que se han alcanzado sus objetivos. El programa de auditoria deberia revisarse con el fin de identificar necesidades de cambios y posibles oportunidades para la mejora (vase 5.7). La Figura 1 ilustra el flujo del proceso para la gestién de un programa de auditoria,GUIA TECNICA COLOMBIANA GTC-ISO 19011 PLANFICAR HACER VERIFICAR ACTUAR 52 _Estaolecmionte de los objtvos. del programa do audtra 53 Detomminacsn y evauadon ‘de los ioeyosy aportunioadoe ol programa de auatore 57 Revision y mejoradel programa de astra [5.4 Estabincimianta de programa de mde [ssimtementacsn cel] [5.6 Sequimento del programa de autre | ~] programa de audtoria Ccapruto 5 Captulo 8 6.21nico det auctor 7 ST ae! | tes achvndon de | sepurierto dole | 5.2 Preparacion de tas|_[6.4 Reaizacion cle tas ‘aelvidades da audioria |“ actuidades de audi {a 5s _eomaain—y 5 i Serousendelneme =] 6 Falun =! usta PLANFICAR acer VERIFICAR sowuar NOTA 1 Esta Figura usta f@ apicacion del ciclo Planifear-Hacer-Venifiecar-Actuar en este documento. NOTA 2 _ La numeracién de los capitulos/apartados hace referencia a los capitulostapartados pertinentes de este documento, Figura 1. Diagrama de flujo para la gestion de un programa de auditoria 5.2 ESTABLECIMIENTO DE LOS OBJETIVOS DEL PROGRAMA DE AUDITORIA Elcliente de la auditoria deberia asegurarse de que los objetivos del programa de auditoria se han establecido para dirigir la planificacion y realizacién de aucitorias y deberia asegurarse de que el programa de auaitoria se ha implementado eficazmente. Los objetivos del programa de auditoria deberfan ser coherentes con la direccidn estratégica del cliente de la auditoria y servir de apoyo a la politica y los cbjetivos dal sistema de gestion Estos objetivos pueden basarse en las siguientes consideraciones: a) las necesidades y expectativas de las partes interesadas pertinentes, tanto externas ‘coma internas; b) las caracteristicas y los requisitos de los procesos, productos, servicios y proyectos, y cualquier cambio en ellos; 9GUIA TECNICA COLOMBIANA GTC-4SO 19011 c) los requisitos del sistema de gestion; d) la necesidad de evaluar a los proveedores exiernos, 2) el nivel de desemperio del auditado y el nivel de madurez de los sistemas de gestion, como se refleja en los indicadores de desempeno pertinentes (por ejemplo, los KPI), la ‘ocurrencia de no conformidades o incidentes 0 quejas de las partes interesadas; f) los riesgos y oportunidades identificades para el auditado; g) los resultados de auditorias previas, Los ejemplos de objetivos de un programa de auditoria pueden incluir los siguientes. - identificar las oportunidades para la mejora del sistema de gestién y de su desempefio; = evaluar la capacidad del auditado para determinar su contexto = evaluar la capacidad del auditado para determinar los riesgos y oportunidades, y para identificar e implementar acciones eficaces para trataros; = cumplir todos los requisitos pertinentes, por ejemplo, los requisites legales y regiameniarios, los compromisos de cumplimiento, los requisitos de certificacién con una norma de sistemas de gestion; - obtener y mantener la confianza en la capacidad de un proveedor extemno; = determinar la idoneidad, la adecuacién, y la eficacia continuas del sistema de gestion del auditado; = evaluar la compatibllidad y Ia alineaciOn de los objetivos del sistema de gestion con la direccién estratégica de la organizacion. 5.3 DETERMINACION Y EVALUACION DE LOS RIESGOS Y OPORTUNIDADES DEL PROGRAMA DE AUDITORIA Hay riesgos y oportunidades relacionados con el contexto del auditado que pueden asociarse con un programa de auditoria y pueden afectar al alcance de sus objetivos. Las personas responsables de gestionar el programa de auditoria deberian identificar y presentar al cliente de la auditorfa los riesgos y oportunidades considerados al desarioliar el programa de auditoria y los requisitos de recursos, para que puedan tratarse adecuadamente Puede haber riesgos asociados con lo siguiente: a) la planificacién, por ejemplo, el fracaso a la hora de establecer objetivos de la auditoria pertinentes y al determiner el alcance, nimero, duracién, ubicaciones y calendatio de las. auditorias; b) los recursos, por ejemplo, conceder insuficiente tiempo, equipos yio formacién para desarrollar el programa de auditoria o para realizar una auditoria; ©) la selecci6n del equipo auditor, por ejemplo, competencia general insuficiente para realizar auditorfas eficazmente, 10GUiA TECNICA COLOMBIANA GTC4SO 19011 @) Ia comunicacion, por ejemplo, procesos/canales de comunicacién extemos/intemos ineficaces; €) la implementaci6n, por ejemplo, una coordinacién ineficaz de las auditorias dentro del programa de auditoria, o no tener en cuenta la seguridad y confidencialidad de la informacion; f) el control de la informacién documentada, por ejemplo, determinacién ineficaz de la informacion documentada necesaria requenda por los auditores y las partes interesadas pertinentes, fracaso a la hora de proteger adecuadamente los registros de auditoria para demostrar la eficacia de! programa de auditori 9) el seguimiento, revision y mejora del programa de auditoria, por ejemplo, seguimiento ineficaz de los resultados del programa de auditoria; h) a disponibilidad y la cooperacién del auditado y la disporibilidad de evidencias a muestrear, Las oportunidades para mejorar el programa de auditorfa pueden incluir: - permitir llevar a cabo multiples auditorias en una unica vsita; minimizar el tiempo y las distancias viajando al sitio: igualar el nivel de competencia del equipo auditor con el nivel de competencia necesario Para alcanzar los objetivos de la auditoria; alinear las fechas de la auditoria con la disponibilidad del personal clave del auditado. 5.4 ESTABLECIMIENTO DEL PROGRAMA DE AUDITORIA. 5.4.1 Roles y responsabilidades de las personas responsables de la gestién del programa de auditoria Las personas responsables de la gestién de! programa de auditoria deberian: a) __establecer el aleance del programa de auditoria de acuerdo con los objetivos pertinentes (véase 6.2) y cualquier restriccion conocida; b) —determinar las cuestiones externas e intemas, y los riesgos y oportunidades que pueden atectar al programa de auditoria, e implementar acciones para tratarios, integrando estas acciones en todas las actividades de auditoria pertinentes, segtin sea apropiado; ©) asegurar la seleccién de los equipos auditores y la competencia general para las actividades de auditoria, asignando roles, responsabllidades y autoricades, y respaldando al liderazgo, segin sea apropiado, d) _establecer todos los pracesos pertinentes, incluyendo procesos para: - la coordinacién y el calendario de todas las auditories dentro del programa de auditorta, = elestablesimiento de los objetivos, los alcances y los criterios de auditoria de las auditorfas, determinando los métodos de auditoria y la seleccién del equipo auditor; 1"GUIA TECNICA COLOMBIANA GTC41S0 19011 - la evaluacion de los auditores; = elestablecimiento de procesos de comunicacion externos ¢ internos, Seguin sea aprepiado: - la resolucion de disputas y la gestion de las quejas, = el seguimiento de la auditoria, si es aplicable; - la presentacion de informes al cliente de la auditorfa y a las partes interesadas. pertinentes segin sea apropiado. ) — determinar y asegurar la provisién de todes los recursos necesarios; ) —_asegurarse de que se prepara y mantiene la informacién documentada apropiada, incluyendo los registos del programa de aucitoria, 9) hacer el seguimiento, revisar y mejorar el programa de auditoria; bh) comunicar el programa de auditoria al cliente de la auditoria y, segin sea apropiado, a las partes interesadas pertinentes. Las personas responsables de la gestion del programa de auditoria deberian solicitar su aprobacién al cliente de la auditoria. 5.4.2 Competenciade las personas responsables de la gestion del programa de auditoria Las personas responsables de la gestion del programa de auditoria deberian tener la competencia necesaria para gestionar el programa y sus nesgos y oportunidades, y las cuestiones extemas e internas asociadas de forma eficaz y eficiente, incluyendo conocimientos sobre, a) los principios (véase el Capitulo 4), métodos y procesos de auditoria (véanse A.1y A.2); b) las normas de sistemas de gestién, otras normes pertinentes y documentos de referencia/orientacion: ) la informacion relativa al auditado y a su contexto (por ejemplo, las cuestiones ‘extemas/intemas, las partes interesadas pertinentes y sus necesidades y expectativas, las actividades de negocio, los productos, servicios y procesos del auditado); @) Ios requisites legales y reglamentarios aplicables y otros requisitos pertinentes a las actividades de negocio del auditado. Segiin sea apropiado, podria considerarse el conocimiento de gestién de riesgos, gestion de Proyectos y procesos, y de Tecnologias de la Informacion y las Comunicaciones (TIC). Las personas responsables de la gestién del programa de auditoria deberian participar en las, actividades apropiadas de desarrollo continuo para mantener la competencia necesaria para gestionar el programa de auditorfa 12GUIA TECNICA COLOMBIANA GTC-1SO 19014 5.4.3 Establecimiento del alcance del programa de auditoria Las personas responsables de la gestion de! programa de ausitoria deberian determinar el alcance de! programa de auditoria Este puede variar dependiendo de la informacién proporcionada por el auditado sobre su contexio (véase 5.3). Nota En elontos cases, copeniendo ae la estructura o las actvicades do! auattado, ol programa de austtoria ppoaria consist Gneamente en una scla audlloria (por ejemplo, un proyecto o una oganzacién pequefis). (Otos factores que tienen impacto en la extension de un programa de auditoria pueden incluir los siguientes: a) _elobjetivo, alcance y duracién de cada auditoria y el numero de auditorias a llevar a cabo, el metodo de presentacion de informes y, si aplica, el seguimiento de la auditoria, b) las normas de sistemas de gestién u otros criterios aplicables, ©) el nimero, importancia, complejidad, similitud y la ubicacion de las actividades que se van a auditar, @) los factores que influyen en la eficacia del sistema de gestion; ) los criterios de auditoria aplicables, tales como los acuerdos pianificados para las normas de sistemas de gestién pertinentes, los requisitos legales y reglamentarios y otros requisites con los que la organizacion esta comprometida; f) los resultados de auditorias interas 0 exteinas previas y revisiones por la direccién previas, si es apropiado; 9) _ les resultados de una revisién previa del programa de auditoria, hh) elidioma, las cuestiones culturales y sociales; 1) las. preocupaciones de las partes interesadas, tales como quejas de clientes, incumplimiento de los requisitos legales y reglamentarios y otros requisitos con los que la ‘organizacion esta comprometida, 0 cuestiones de la cadena de suministro; }) los cambios significativos en el contexto del auditado o sus operaciones y los riesgos y oportunidades asociados; k) [a disponibilidad de las tecnologias de la informacién y comunicacién para apoyar las actividades de auditoria, en particular el uso de métodes de auditoria remota (véase A168); 1) la ocurrencia de sucesos intemos y extemos, tales como no conformidades de los productos 0 servicios, fltraciones en la seguridad de la informacion, incidentes en materia de seguridad y salud, actos delictivos 0 incidentes ambientales; m) los riesgosy oportunidades de negocio, incluyendo las acciones para tratarlos. 5.4.4 Determinacién de los recursos del programa de auditoria Aldeterminar los recursos para el programa de auditoria, las personas responsables dela gestion del programa de auditoria deberian considerar: 13GUIA TECNICA COLOMBIANA GTC18O 19014 a) b) °) a ° 9) hy dD 55 5.5.1 los recursos financieros y de tiempo necesarios para desarroliar, implementar, gestionar y mejorar las actividades de auditoria, los métodos de auditoria (véase A.1); la disponibilidad individual y global de auditores y expertos técnicos que tengan la competencia apropiada para los objetivos particulares del programa de auditorfa, el alcance del programa de auditoria (véase 5.43) y los riesgos y oportunidades: relacionados con el programa de auditoria (véase 6.3): 2 tiempo y costos de transporte, lojamiento y otras necesidades de la auditoria, el impacto de las diferentes zonas horarias; la disponibilidad de tecnologias de la informacién y las comunicaciones (por ejemplo, los recursos técnicos requendos para establecer una auditoria remota usando tecnologias que apoyen la colaboracion remota); la disponibilidad de las herramientas, la tecnologia y los equipos requerides; la disponibilidad de la informacién documentada necesaria, segtin lo determine el establecimiento del programa de auditoria (véase A.5): los requisitos relacionados con las instalaciones, incluyendo las autorizaciones y equipos de seguridad (por ejemplo, verificacién de antecedenies, equipos de proteccién personal, capacidad para llevar ropa de sala limpia) IMPLEMENTACION DEL PROGRAMA DE AUDITORIA Generalidades Una vez que se ha establecido el programa de auditoria (véase 5 4.3) y que se han determinado los recursos relacionados (véase 5.4.4), es necesario implementar la planificacion operacional y la coordinacién de todas las actividades dentro del programa. Las personas responsables de la gestidn del programa de auditaria deberian: a) b) c) 4) » comunicar las partes perfinentes del programa de auditoria, incluyendo los riesgos y oportunidades implicados, a las partes interesadas pertinentes 2 informaries periodicamente de su progreso, usando los canales de comunicacion extemos e internos establecidos, definir los objetivos, el alcance y los criterios para cada auditoria individual, seleccionar los métodos de auditoria (véase A.1): coordinar y programar las auditorias y otras actividades pertinentes al programa de auditoria; asegurarse de que los equipos auditores tienen la competencia necesaria (véase 5.5.4); proporcionar los recursos necesarios individuales y globales para los equipos auditores (vease 544), 14GUIA TECNICA COLOMBIANA GTC-1S0 19011 9) asegurar la realizacion de las auditorias de acuerdo con el programa de auditoria, gestionando todos los riesgos operacionales, oportunidades y cuestiones (es decit, eventos inesperados). sequin surjan durante el despliegue del programa; hn) asegurarse de que Ia informacion documentada pertinente relativa a las actividades de auditoria se gestiona y mantiene adecuadamente (véase 5.5.7); i) definir ¢ implementar los controles operacionales (véase 56) necesarios para el seguimiento del programa de aucitorta, i) revisar el programa de auditoria con el fin de identificar oportunidades para mejorarlo (véase 5.7). 5.5.2. Definicién de los objetivos, el alcance y los criterios para una auditoria individual Cada auditoria individual deberia basarse en unos objetivos, un alcance y unos criterios de aucitoria definidos. Estos deberian ser coherentes con los objetivos globales del programa de auditoria, Los objetivos de la auditoria definen qué es lo que se va a lograr con la auditoria individual y pueden incluir lo siguiente: @) la determinaci6n del grado de conformidad del sistema de gestién que se va a auditar, 0 partes de él, con los criterios de auditor b) la evaluacién de la capacidad del sistema de gestion para ayudar a la organizacién a cumplir los requisites legales y reglamentarios pertinentes y otfos requisites con los que la organizacion esta comprometida, ©) la evaluacion de la eficacia del sistema de gestién para lograr sus resultados previstos, d) la identificacion de oportunidades para la mejora potencial del sistema de gestion; e) la evaluacion de la idoneidad y adecuacion del sistema de gestion con respecto al contexto y a la direccion esiralégica del auditado, ) la evaluacion de la capacidad del sistema de gestion para establecer y alcanzar los objetivos y tratar eficazmente los riesgos y oportunidades, en un contexto cambiante, incluyendo la implementacion de las acciones relacionadas. El aleance de Ia auditoria deberia ser coherente con el programa de auditoria y con los objetivos de la auditoria. Incluye factores tales como la ubicacién, las funciones, las actividades y los procesos que se van a auditar, asi come el periodo de tiempo cubierto por la auditoria. Los criterios de aucitoria se utilizan como una referencia frente a la cual se determina la conformidad. Pueden incluir uno o mas de los siguientes: politicas aplicables, procesos, procedimientos, criterios de desempe'io _incluyendo objetivos, requisitos legales y Teglamentarios, requisitos del sistema de geston, informacion relativa al contexto y 2 los riesgos y oportunidades segin determine el auditado (incluyendo los requisilos de las partes interesadas pertinentes externas/internas), codigos de conducta sectoriales u otros acuerdos planificados. En caso de aigin cambio en los objetivos, el aleance o los criterios de la auditoria, el programa de auditoria deberia modificarse, si es necesario, y comunicarse a las partes interesadas para SU aprobacién, sies apropiado. 15GUIA TECNICA COLOMBIANA GTC-I8O 19011 Cuando se audita mas de una disciplina a la vez, es importante que los objetivos, el alcance y los criterios de la auditoria sean coherentes con los programas de auditoria pertinentes para cada disciplina. Algunas disciplinas pueden tener un alcance que incorpore a toda la organizacién, y otras pueden tener un alcance que abarque a un subconjunto de la organizacion. 6.6.3 Seleccién y determinacién de los métodos de auditoria Las personas responsables de la gestion del programa de auditorfa deberian seleccionar y determinar los métodos para llevar a cabo la auditoria de manera eficaz y eficiente, dependiendo de los abjetivos, el lance y los criterios de la auditoria definidos. Las auditorias pueden llevarse a cabo en el sitio, remotamente, o como una combinacion. El uso de estos métodos daberia estar adecuadamente equilibrado, basandose, entre otros, en la consideracién de los riesgos y oportunidades asociados. Cuando dos 0 mas organizaciones auditoras llevan a cabo una auditoria corjunta del mismo auditado, las personas responsables de la gestion de los diferentes programas de auditoria deberian estar de acuerdo en ios métodos de auditoria y considerar las implicaciones para la provisién de recursos y la planificacién de la auditoria. Si un auditado opera dos o mas sisternas de gestion de disciplinas diferentes, pueden incluirse auditories combinadas en el programa de auditoria 6.6.4 Seleccién de los miembros del equipo auditor Las personas responsables de la gestion del programa de auditoria deberian designar a los miembros del equipo auditor, incluyendo al lider del equipo y a cualquier experto técnico necesano para la auditoria especifica. Un equipo auditor deberia seleccionarse teniendo en cuenta las competencias necesarias para alcanzar los objetivos de la auditoria individual dentro del alcance definido. Sisélo hay un auditor, el auditor deberia realizer todas las tareas aplicables a un lider de equipo auditor. NOTA El Capitulo 7 contiene orientacién sobre la determinacién de las competencias requeridas fara los miembros dol equipo audrar y deseribe los procesas para evalvar auditares. Para asegurar la competencia global del equipo auditor, deber pasos: n llevarse a cabo los siguientes - la identificacién de la competencia necesaria para alcanzar los objetivos de la auditoria; - la seleccién de los miembros de! equipo auditor, de tal manera que la competencia nesesaria esté presente en el equipo auditor. A\ decidir el tamafio y la composici6n del equipo auditor para una auditorla especifica, deberia considerarse lo siguiente: a) la competensia global de! equipo auditor necesaria para consequir los objetivos de la auditoria, teniendo en cuenta el alcance y los criterios de Ia auditoria; b) la complejidad de la auditoria ©) sila auditoria es una auditoria combinada o conjunta: d) los métodos de auditoria seleccionados, 16GUIA TECNICA COLOMBIANA GTC41SO 19011 ©) asegurar la objetividad e imparcialidad para evitar cualquier conflicto de intereses en el proceso de auditoria; f) la capacidad de los miembros del equipo auditor para trabajar e interactuar eficazmente con los representantes del auditado y las partes interesadas pertinentes; @) las cuestiones externas/internas pertinentes, como el idioma de la auditoria, y las caracteristicas sociales y culturales del auditado. Estas cuestiones pueden tratarse a través de las habilidades propias del auditor, o bien a través del apoyo de un experto técnico, considerando también la necesidad de intérpretes, h) —eltipoy la complejidad de los procesos a auditar. Cuando sea apropiado, las personas responsables de la gestién de! programa de auditoria deberian consultar can él Iider del equipo sobre la composicion del equipo auditor. Si los auditores del equipo auditor no cubren la competencia necesaria, los expertos técnicos con competencia adicional deberian estar disponibles para apoyar al equipo. Los auditores en formacion pueden incluirse en el equipo auditor, pero deberian participar bajo la direccién y orientacién de un auditor. Durante Ia auditoria pueden ser necesarios cambios en la composicién del equipo auditor, por ejemplo, si surge un conflicto de intereses o un problema de competencia. Si surge una situacion asi, deberia resolverse con las partes apropiadas (por ejemplo, el lider de! equipo auditor, las personas responsables de la gestién del programa de aucitoria, el cliente de la auditoria o el auditado) antes de que se realice cualquier cambio 6.6.6 Asignacién de responsabi individual lades all lider del equipo auditor para una auditoria Las personas responsables de la gestion del programa de auditoria deberian asignar a un lider del equipo auditor la responsabilidad de llevar a cabo la auditoria individual. La asignacion deberia hacerse con tiempo suficiente antes de la fecha programada de la auditoria, para asegurarse de la planificacion eficaz de la auditoria. Para asegurarse de Ia realizacién eficaz de las auditorias individuales, deberia proporcionarse al lider del equipo auditor la siguiente informacion @) los abjetivos de la auditoria; b) —_loscriterios de auditoria y la informacién documentada pertinente; ©) elalcance de la auditoria, incluyendo la identificacién de la organizacién y sus funciones y los procesos que se van a auditar; @) los procesos de Ia auditoria y los métodos asociados; ©) la. composicién del equipo aucitor; ) los detalles de contacto del auditado, las ubicaciones, el marco temporal y Ia duracién de las actividades de auditoria que se van a llevar a cabo; 7GUIA TECNICA COLOMBIANA GTC-180 19011 9) _los recursos necesarios para llevar a cabo la aucitoria; hh) la informacién necesaria para evaluar y tratar los riesgos y oportunidades identificades para el logro de los objetivos de la auditoria; 1) _ la informacion que apoya a los Iideres de los equipos auditores en sus interacciones con el auditado para la eficacia del programa de audttoria. La informaci6n sobre la asignacion también deberta cubrir lo siguiente, cuando sea apropiado. - él idioma de trabajo y del informe de la auditoria, cuando sea diferente del idioma del auditor 0 del auditado, o de ambos; - la salida del informe de auditoria segin se requiera, y a quién deberia distribuirse; - los asuntos relacionados con la confidencialidad y la seguridad de la informacién, segiin lo requiera el programa de auditorfa, - los acuerdos sobre seguridad, salud y medio ambiente para los aucitores; - los requisitos de transporte o de acceso a ubicaciones remotas: - cualquier requisito de seguridad fisica y de autorizacién, - cualquier accién a revisar, por ejemplo, las acciones de seguimiento de una auditoria previa, - la coordinacién con otras actividades de auditoria, por ejemplo, cuando equipos distintos estan auditando procesos similares o relacionados en ubicaciones diferentes, 0 en elcaso de una auditoria conjunta Cuando se lleva a cabo una auditoria conjunta es importante alcanzar un acuerdo entre las organizaciones que llevan 2 cabo las aucitorias, antes de que la auditoria comience, sobre las responsabilidades especificas de cada parte, especialmente en lo que concierne a la autoridad del Iider del equipo auditor designado para la auditorta. 5.5.8 Gestion de los resultados del programa de auditoria Las personas responsables de a gestion del programa de auditoria deberian asequrarse de que se realizan las siguientes actividades: a) _ la evaluacion del cumplimiento de los objetivos para cada auditoria dentro del programa de auditoria, b) la revision y aprobacién de los informes de la auditoria relativos al cumplimiento del alcance y ios objetivos de la auditoria; ©) larrevisién de la eficacia de las acciones tomadas para tratar los hallazgos de auditoria; 4) _ la distribucién de informes de auditoria a las partes interesadas pertinentes, ) la determinacién de la necesidad de alguna auditoria de seguimiento. Las personas responsabies de la gestion del programa de auditorfa deberfan considerar, cuando sea apropiado: 18GUIA TECNICA COLOMBIANA GTC-1SO 19011 ‘comunicar los resultados de la auditoria y las mejores practicas a otras areas de la ‘organizacion, y las implicaciones para otros procesos. 6.6.7 Gestion y mantenimiento de los registros del programa de auditoria Las personas responsabies de la gestion del proarama de auditoria deberian asequrarse de que se generan, gestionan y mantienen registros de la auditoria para demostrar Ia implementacién del programe de auditoria. Deberian establecerse procesos para asegurarse de que se tratan las necesidades de seguridad de la informacion y de confidencialidad asociadas con los registros de la auditoria. Los registos pueden incluir lo siguiente. a) ») c) Los registres relacionados con el programa de aucito , tales come el calendario de auditarias; los objetivos y el alcance de! programa de auditoria; los que tratan los riesgos y oportunidades y las cuestiones externas € intemas pertinentes del programa de auditoria; las revisiones de la eficacia del programa de auditoria Los registros relacionados con cada auditoria, tales como: los planes de auditoria y los informes de auditoria; los hallazgos y las evidencias objetivas de la auditoria; los informes de no conformidad: los informes de correcciones y acciones correctivas, los informas de las auditorias de seguimiento Los registros relacionados con el equipo auditor que cubran temas tales como’ la evaluacion de la competencia y el desempefio de los miembros del equipo auditor, los criterios para la seleccién de los equipos auditores y los miembros del equipo y la formacién de los equipos auditores; el mantenimiento y la mejora de la competencia La forma y el nivel de detalle de los registros deberian demostrar que se han alcanzado ios objetivos del programa de auditoria 19GUIA TECNICA COLOMBIANA GTC-1SO 19014 58 SEGUIMIENTO DEL PROGRAMA DE AUDITORIA Las personas responsables de la gestién del programa de auditoria deberian asegurar la evaluacién de: a) bd) ©) a ® ‘si se cumplen los calendarios y se alcanzan los objetivos del programa de auditoria; el desempefio de los miembros del equipo auditor, incluyendo el Iider del equipo auditor y los expertos técnicos, la capacidad de los equipos auditores para implementar el plan de auditoria; la retroalimentacion de los clientes de la auditoria, de los audtados, de los auditores, de los expertos tecnicos y de otras partes pertinentes: la suficiencia y adecuacién de la informacion documentada en todo el proceso de auditoria. Algunos factores pueden indicar la necesidad de modificar e! programa de auditoria. Estos pueden incluir cambios en: 67 los hallazgos de la auditoria; 1 nivel demostrado de eficacia y la madurez del sistema de gestion del auditado, la eficacia del programa de auditoria; el alcance de la auditoria 0 el aleance cel programa de auditoria; el sistema de gestion del auditado, las normas, y otros requisitos con los que la organizacién esta comprometida, los proveedores externos; los conflictos de interés identificados; los requisitos del cliente de la auditoria REVISION Y MEJORA DEL PROGRAMA DE AUDITORIA Las personas responsables de la gestién del programa de auditoria y el cliente de la auditoria deberian revisar el programa de auditoria para evaluar si se han alcanzado sus objetivos. Las lecciones aprendidas de la revision cel programa de auditoria deberlan usarse como elementos de entrada para la mejora del programa, Las personas responsables de la gestion del programa de auditoria deberian asegurar lo siguiente: la revision de la implementacién global del programa de auditoria; la identficacién de areas y oportunidades para la mejora; la aplicacién de cambios al programa de auditoria si es necesario; 20GUIA TECNICA COLOMBIANA GTC-1s0 19011 - la revision del desarrollo profesional continuo de los auditores, de acuerdo con el apartado 76: - la presentacion de informes de los resultados del programa de auditoria y la revision con elcliente de la auditoria y las partes interesadas pertinentes, segun sea apropiado. La revision del programa de auditoria deberia considerar lo siguiente a) los resultados y tendencias de! seguimienio del programa de auditoria; b) la conformidad con los procesos del programa de audit documentada pertinente; j@ y con la informacién ¢) la evolucién de las necesidades y expectativas de las partes interesadas pertinentes, d) los reistros del programa de aucitoria 2) los métodos de auditoria alternativos o nuevos: 4) los métodbs alternativos o nuevos para evaluar a los auditores; 9) _laeficacia de las acciones para tratar los riesgos y oportunidades, y cuestiones internas y externas, asociados con el programa de auditoria; h) los temas de confidencialidad y seguridad de la informacién relacionades con el programa de aucitoria 6. REALIZACION DE UNA AUDITORIA. 6.1 GENERALIDADES Este capitulo contiene orientacién sobre la preparacién y realizacién de una auditoria especifica como parte de un programa de auditoria. La Figura 2 proporciona una vision general de las actividades desempefadas en una auditoria tipica. El grado de aplicacién de las disposiciones de este capitulo depende de los objetivos y del aleance de la auditoria especifica. 62 INICIO DELA AUDITORIA 6.2.1 Generalidades La responsabilidad de llevar a cabo la auditoria deberia corresponder al lider del equipo auditor designado (véase 6.6.5) hasta que la auditoria finaliza (véase 6 6). Para iniciar una auditoria, deberian considerarse los pasos de la Figura 1; sin embargo, la secuencia puede diferir dependiendo del auditado, de los procesos y de las circunsiancias especiticas de la auditorta. 6.2.2 Establecimiento del contacto con el auditado Ellider del equipo auditor deberia asegurarse de que se establece contacto con el auditado para: @) _confirmar los canales de camunicacién con los representantes del auditado; 21GUIA TECNICA COLOMBIANA GTC1SO 19011 »b) _confirmar la autoridad para llevar a cabo la auditoria; €)_proporcionar informacién pertinente sobre los abjetives de la auditoria, el alcance, los criterios, los métodos y la composicién del equipo auditor, incluyendo a los expertos técnicos, 4) solicitar acceso a la informacién pertinente con propésites de planificacién, incluyendo informacién sobre los riesgos y oportunidades que la organizacién ha identificado y la manera en que se tratan; ) _determinar los requisites legales y regiamentarios aplicables y otros requisites pertinentes para las actividades, procesos, productos y servicios del auditado, ) _confirmar lo acordado con el auditade respecto al grado de difusion y al tratamiento de la informacion confidencial; 9) hacer los preparativos para la auditoria incluyendo el calendario, hh) determinar los acuerdos especificos de la ubicacién en cuanto al acceso, seguridad y salud, seguridad fisica, confidencialidad u otras; i) acordar la asistencia de observaderes y la necesidad de guias o intérpretes para el equipo auditor, ) —— determinar cualquier area de interés, preocupacién o los riesgos para el auditado en relacién con la auditoria espectfica; k) resolver las cuestiones relativas a la composicion del equipo auditor con el auditade 0 el cliente de la audttoria, 6.23 Deberia determinarse la viabilidad de la auditoria para proporcionar la confianza razonable en que los objetivos de la auditoria pueden alcanzarse. La determinaci6n de la viebilidad deberia tener en cuenta factores tales como la disporibilidad de Io siguiente: a) _ la informaci6n suficiente y apropiada para planificar y llevar a cabo la auditoria, b) la cooperacién adecuada del auditado; ¢) el tiempo y los recursos adecuados para llevar a cabo la auditoria, NOTA Los recursos incluyen el acceso adecuado y apropado a teenoiogtas de ia Informacién y las comunieaciones, Cuando la auditorla no es viable, deberia proponerse al cliente de Ia auditorla una altemativa, de acuerdo con el auditado. 6.3 PREPARACION DE LAS ACTIVIDADES DE AUDITORIA 6.3.1 Realizacién de la revision de la informacién documentada La informacion documentada pertinente cel sistema ce gestion del auditado deberia revisarse con el fin de: 22GUIA TECNICA COLOMBIANA GTC-1SO 19011 - reunir informacién para comprender las operaciones del auditado y preparar las actividades de auditoria y los documentos de trabajo de auditoria aplicables (véase 6.3.4), por ejemplo, sobre procescs, funciones; - _ establecer una vision general de la extension de la informarién documentada para determinar la posible conformidad con los enterios de aucitoria y detectar las posibles areas de preocupacién, como deficiencias, omisiones 0 conflictos. La informacion documentada deberia incluir, pero no limitarse a. documentos y registros del sistema de gestion, asi como a informes de auditorta previos. La revision deberia tener en cuenta el contexto de la organizacién del auditado, incluyendo su tamafio, naturaleza y complejidad, y SUS riesgos y oportunidades relacionados. También deberia tener en cuenta el alcance, los erterios y los objetivos de la auditoria NOTA So properciona orientacién sobre cémo verificar informacion on AS, 6.3.2 Planificacién de la auditoria 6.3.2.1 Enfoque basado en riesgos para la planificacion El lider del equipo auditor deberia adoptar un enfoque basado en riesgos para planificar la auditoria, con base en la informacién del programa de auditoria y en la informacién documentada proporcionada por el auditado. La planificacion de la auditoria deberia considerar los riesgos de las actividades de auditoria en los procesos del auditado y proporcionar la base para el acuerdo entre el cliente de la auitoria, el equipo auditor y el auditado en lo relativo a la realizacion de la auditoria. La planificacién deberia facilitar la programacién en el tiempo y la coordinacién eficientes de las actividades de auditoria con el fin de alcanzar los objetivos eficazmente. EI nivel de detalle proporcionado en el plan de auditoria deberia reflejar el alcance y la complejidad de ésta, asi camo las riesgos de no lagrar las abjetivos de la auditorla. Al planificar la auditoria, el lider del equipo auditor deberia considerar lo siguiente: a) _ la composicién del equipo auditor y su competencia alobal: b) _las técnicas de muestreo apropiadas (véase A6), ©) las oportunidades para mejorar la eficacia y eficiencia de las actividades de auditoria;, d) _ los riesgos para el logro de los objetivos de la auditoria generados por una planificacion ineficaz de la auditorfa; 2) _ los riesgos para el auditade generados al realizar la auditorta. Los riesgos para el auditado pueden originarse por la presencia de los miembros del equipo auditor que influyen adversamente en las disposiciones del auditado para ia seguridad y salud, el entomo y la calidad, y sus productos, servicios, personal o infraestructura del auditade (por ejemplo, contaminacién de espacios limpios). Para las auditorias combinadas, deberia prestarse especial atencién a las interacciones entre los procesos operatives y los abjetivos y prioridades que concurren en los distintos sistemas de gestion 23GUIA TECNICA COLOMBIANA GTC41SO 19011 6.3.2.2 Detalles de la planificacién de la auditoria El grado de detalle y e! contenido de la planificacién de la aucitoria pueden diferir, por ejemplo, entre la auditoria inicial y las posteriores, asi como entre las auditorias intemas y externas. La planificacién de la auditoria deberia ser lo suficientemente flexible para permitir los cambios que pueden hacerse necesarios a medida que las actividades de auditoria se vayan llevando a cabo. La planificacion de la auditorla deberta tratar o hacer referencia a lo siguiente: a) ») c) a) e) 9) ») los objetivos de a auditoria; el alcance de Iz auditora, incluyendo la identificacion de la organizacion y de sus funciones, asi como los procesos que van a auditarse; los criterios de auditoria y cualquier informacién documentada de referencia; las ubicaciones (fisicas y virtuales), las fechas, el horario y la duracién previstos de las actividades de auditoria que se van a llevar a cabo, incluyendo las reuniones con la direccién del auditado; lanecesidad de que el equipo auditor se familiarice con las instalaciones y procesos del auditado (por ejemplo, realizando una visita a las ubicaciones fisicas, o revisando las tecnologias de la informacién y las comunicaciones); los métodos de auditorfa que se van a usar, incluyendo el grado en que se necesita el muestreo de la auditoria para obtener las evidencias de auditoria suficientes; los roles y responsabilidades de los miembros del equipo auditor, asi como los guias y los observadores o intérpretes, la asignacion de los recursos apropiados basada en la consideracién de los riesgos y ‘oportunidades relacionados con las actividades que se han de auditar. La planificacion de la auditoria deberia tener en cuenta, segiin sea apropiadb: la identificacion de los representantes del auditado en la auditoria; el idioma de trabajo y del informe de la auditoria, cuando sea diferente del idioma del auditor o del auditado, o ambos, los temas del informe de la auditori los preparativos logisticos y de comunicaciones, inciuyendo los preparativos especificos para las ubicaciones que se van a auditar, las acciones especificas a tomar para tratar los riesgos en el logro de los abjetivos de la auditoria y las oportunidades que surjan, los asuntos relacionados con la confidencialidad y la seguridad de la informacién; las acciones de seguimiento de una auditoria previa u otras fuentes, por ejemplo, las lecciones aprendidas, las revisiones de proyectos; 24GUIA TECNICA COLOMBIANA GTC-4SO 19011 - las actividades de seguimiento de la auditoria planificada; - la coordinacién con otras actividades de auditoria, en el caso de una auditoria conjunta Los planes de auditoria deberian presentarse al auditado. Cualquier cuestion sobre los planes de auditoria deberia resolverse entre el lider del equipo auditor, el auditado y, si fuera necesatio, las personas responsables de la gestion del programa de auditorta. 6.3.3 Asignacién de las tareas al equipo auditor El lider del equipo auditor, consultando con el equipo auditor, deberia asignar a cada miembro del equipo la responsabilidad para aucitar procesos, actividades, funciones o lugares especificos y, segiin sea apropiado, la autoridad para la toma de decisiones. Tales asignaciones deberian tener en cuenta la imparcialidad, la objetivided y la competencia de los auditores y el uso eficaz de los recursos, asi como los diferentes roles y responsabilidades de los auditores, los auditores, en formacion y los expertos técnicos. El lider del equipo auditor deberia realizar reuniones del equipo auditor, cuando sea apropiado, para distribuir las asignaciones de trabajo y decidir los posibles cambios. Los cambios en las asignaciones de trabajo pueden hacerse a medida que la auditoria se va llevando a cabo para asegurarse del logro de los objetivos de la auditoria, 6.3.4 Preparacién de la informacién documentada para la auditoria Los miembros del equipo auditor deberian recopilar y revisar Ia informacion pertinente a las tareas de aucitoria asignadas y preparar la informacion documentada para la auditoria, usando cualquier medio apropiado. La informacion documentada para la auditoria puede incluir, pero no se limita a a) __listas de verificacién fisicas o digitales, b) detalles de muestreo de auditoria; ©) informacién audiovisual El uso de estos medios no deberia restringir la extensién de las actividades de auditoria, que pueden cambiarse como resultado de la informacién recopilada durante la auditoria, NOTA — EnA.13.se proporciona arientacién sobre la preparacin de documentos de trabajo de suditora. La informacion documentada preparada para la auditoria, y la que resulta de su uso, deberia conservarse al menos hasta que finalice la auditoria, 0 segun se especifique en el programa de auditoria. La retencién de la informacién documentada después de finalizada la auditoria se describe en el apartado 6.6. La informacién documentada generada durante el proceso de auditoria que contenga informacién confidencial o protegida deberia salvaguardarse de manera adecuada en todo momento por los miembros del equipo auditor. 6.4 REALIZACION DE LAS ACTIVIDADES DE AUDITORIA 6.4.1 Generalidades Normalmente las actividades de auditoria se realizan en una secuencia definida como se indica en la Figura 1. Esta secuencia puede variar para adaptarse a las circunstancias de auditorias especificas. 25GUIA TECNICA COLOMBIANA GTC-1SO 19011 6.4.2 Asignacién de roles y responsabili lades de los guias y los observadiores Los gufas y los observadores pueden acompafiar al equipo auditor con las aprobaciones del lider del equipo auditor, del cliente de la auditoria y/o del auditado, seguin se requiera. Los guias y los observadores no deberian infiuir ni interferir en la realizacién de la auditoria. Si esto no se puede asegurar, el lider del equipo auditor deberia tener el derecho de negarse a que los observadores ‘tomen parte en ciertas actividades de auditoria Para los observadores, cualquier disposicion para el acceso, la seguridad y salud, el medio ambiente, la seguridad fisica y la confidencialidad deberia gestionarse entre el cliente de la auditoria y el auditado. Los gulas, designados por el auditado, deberian asistir al equipo auditor y actuar cuando lo solicite el lider del equipo auditor 0 el auditor al que han sido asignados. Sus responsabilidades deberian incluir lo siguiente: a) ayudar 2 los auditores a identificar a las personas que participaran en las entrevistas y 2 confirmar los horarios y las ubicaciones; b) —_acordar el acceso a ubicaciones especificas del auditado; cc) asegurarse de que los miembros del equipo auditor y los observadores conocen y respetan las reglas concemientes a los acuerdos especificos para el acceso a la ubicaciOn, la seguridad y salud en el trabajo, el medio ambiente, la seguridad fisica, la confidencialidad y otras cuestiones, y que se tratan los riesgos; 4) ser testigos de la auditoria en nombre del auditado, cuando sea apropiado; 2) proporcionar aclaraciones 0 ayudar en la recopilacién de informacién, cuando sea necesario| 6.4.3 Reallzacién de Ia reunion de apertura El propésito de la reunién de apertura es: a) _confirmar el acuerdo de todos los participantes (por ejemplo, auditado, equipo auditor) sobre el plan de auditoria, b) _presentar al equipo auditor y sus roles; c) _asegurarse de que se pueden realizar todas las actividades de auditoria planificadas. Deberia celebrarse una reunién de apertura con la direccién del auditado y, cuando sea apropiado, con aquellos responsables de las funciones o de los procesos que se van a auditar Durante la reunion, deberia proporcionarse la oportunidad de realizar preguntas. El grado de detalle deberia ser coherente con la familiaridad del auditado con el proceso de aucitoria. En muchos casos, por ejemplo, en auditorias internas en una organizacién pequefia, la reunion de apertura puede consistir simplemente en comunicar que se esta realizando una aucitoria y explicar la naturaleza de la auditoria. Para otras situaciones de auditoria, la reunién puede ser formal y se deberia conservar registro de los asistentes. El lider del equipo auditor deberia presidir la reunion. 26GUIA TECNICA COLOMBIANA GTC418O 19011 ‘Segun sea apropiado, se deberia considerar la presentacion de: - otros participantes, incluyendo los observadores y los guias, intérpretes y una descripcion general de sus roles; - los métodos de auditoria para gestionar riesgos para la organizacion que puedan resultar de la presencia de los miembros del equipo auditor. ‘Segiin sea apropiado, se deberia considerar la confirmacién de lo siguiente - los objetivos, alcance y criterios de la auditoria: . el plan de auditoria y otras disposiciones pertinentes con el auditado, como Ia fecha y hora de la reunién de cierre, cualquier reunién intermedia entre el equipo auditor y la direccién del auditado, y cualquier cambio necesario, - los canales de comunicacién formal entre el equipo auditor y el auditado; - el idioma que se va a utilizar durante la auditoria, - que durante la auditoria se mantiene informado al auditado del progreso de la misma, - la disponibilidad de los recursos e instalaciones que necesita el equipo auditor; . los temas relacionados con la confidencialidad y la seguridad de la informacion; - los acuerdos pertinentes para el equipo auditor relatives al acceso, seguridad y salud, seguridad fisica, emergencia y otros acuerdos; - las actividades en el sitio que pueden tener impacto en la realizacién de la auditoria Segun sea apropiado, se deberia considerar la presentacion de la informacion sobre los siguientes elementos: - el método de informar los hallazgos de la auditoria incluyende los criterios para la categorizacién, sila hay: - las condiciones bajo las cusles Ia aucitoria puede darse por terminada; - cémo tratar los posibles hallazgos durante la auditoria; - cualquier sistema de retroalimentacién del aucitado sobre los hallazgos © conclusiones de la auditoria, incluyende las quejas 0 apelaciones. 6.4.4 Comunicacién durante la auditoria Durante la auditoria, puede ser necesario llegar a acuerdos formales para la comunicacion dentro el equipo auditor, asi como can el auditado, el cliente de la auditarla, y potencialmente con las partes interesadas externas (por ejemplo, autoridades reglamentarias), especialmente cuando los requisitos legales y regiamentarios exijan la comunicacion obligatona de las no conformidaces. El equipo auditor deberia reunirse periédicamente para intercambiar informaci6n, evaluar el progreso dela auditoria, y reasignar las tareas entre los miembros del equipo auditor, segin sea necesario. arGUIA TECNICA COLOMBIANA GTCASO 19011 Durante la auditoria, el lider del equipo auditor deberia comunicar periédicamente los progresos, los hallazgos importantes y cualquier inquietud al auditado y, cuando sea apropiado, al cliente dela auditoria. Las evidencias recopiladas durante la aucitoria que sugieren un riesgo inmediato y significativo deberian comunicarse sin demora al auditado y, segin sea aoropiado, al cliente de la auditoria. Cualquier inquietud sobre una cuestién fuera del alcance de la auditorta deberia anotarse y notificarse al lider del equipo auditor, para su posible comunicacién al cliente de la auditoria y al auditado. Cuando las evidencias de auditorfa disponibles indican que los abjetivas de la misma no son alcanzables, el lider de! equipo auditor deberia informar de las razones al cliente de la auditoria y al auditado para determinar las acciones apropiadas. Estas acciones pueden incluir cambios. en Ia planificacion de la auditoria, en los objetivos de la auditoria o en su alcance, o dar por terminada la aucitoria. Cualquier necesidad de cambios en el plan de auditoria que pueda evidenciarse a medida que Progresan las actividades de auditoria deberia revisarse y aprobarse, segin sea apropiado, tanto or las personas responsables de la gestin del programa de auditoria como por el cliente dela auditoria, y deberia presentarse al auditado. 6.4.5 Disponibilidad y acceso de la informacién de auditoria Los métodos de auditoria elegidos para una auditoria dependen de los objetivos de auditorta definidos, el alcance y los criterios, asi como la duracion y la ubicacion. La ubicacién es el lugar en el que la informacién necesaria para la actividad especifica de auditoria esta disponible para el equipo auditor. Esto puede incluir ubicaciones fisicas y virtuales. El lugar, el momento y la manera en que se accede aa informacién de auditoria es crucial para la auditoria. Esto es independiente del lugar en el que se crea, usa y/o almacena la informacién. Es necesario determinar los métodos de aucitoria basancose en estas cuestiones (véase la Tabla A.1). La auditoria puede usar una mezcla de métodos. Ademas, las circunstancias de la auditorfa pueden implicar que los métodos necesiten cambiar durante la auditoria, 6.4.6 Revision de la informacion documentada durante la auditoria La informacion documentada pertinente del auditado deberia revisarse para - determinar la conformidad del sistema con los criterios de auditoria, sobre la base de la documentacién disponible; - reunir informacion para apoyar las actividades de auditoria. NOTA En A5 se proporciona orientacion sobre como verificar la decumentacion. La revision puede combinarse con otras actividades de auditoria y puede continuar a lo largo de la auditoria, siempre que no perjudique ala eficacia de la realizacion de la auditoria. Sino puede proporcionarse la informacién documentada adecuada dentro del pericdo de tiempo dado en el plan de auditoria, el lider del equipo auditor deberia informar tanto a las personas responsables de la gestion del programa de auditoria como al auditado. Dependiendo de los objetivos y el alcance de la auditoria, deberia tomarse una decisién sobre si la auditoria deberia coninuar 0 suspenderse hasta que se resuelvan los problemas relativos a la informacién documentada. 28GUIA TECNICA COLOMBIANA GTC-1so 19011 6.4.7 Recopilacién y verificacién de la informacién Durante la auditoria, la informacion pertinente a los objetives, el alcance y los criterios de la misma, incluyendo la informacion relativa a las interrelaciones entre funciones, actividades y procesos, deberia recopilarse mediante un muestreo apropiado y deberia verificarse, en la medida de lo posible. NOTA1 Para vermiear la informacion, véage AS. NOTA2 En AG se proporciona oriertacién sobre el musstreo, Slo deberia aceptarse como evidencia de la auditaria la informacion que puede estar sujeta a algtin grado de verificacién. Guando el grado de verificacidn es bajo, el auditor deberia utilizar Su juicio profesional para determinar el grado de fiabilidad que se puede depositar en la informacion como evidencia. Deberia registrarse la evidencia que conduce a hallazgos de la auditoria. Si, curante la recopilacién de evidencias objetivas, el equipo auditor es constiente de cualesquiera circunstancias, riesgos u oportunidades nuevos © que han cambiado, el equipo deberia tratarlos La Figura 2 proporciona una visién general de un procese tipico, desde la recopilacion de Informacion hasta las conclusicnes de la auditoria. Fuente de informacion Recopilacién mediante} lun muestreo apropiado| Evidencia de la euditoria Evaluacién trenio a los| criterios de auditoria Hallazgos de la ‘auditoria Revision Conclusiones de la euditoria Figura 2. Visién general de un proceso tipico de recopilacién y verificacin de la informacion 29GUIA TECNICA COLOMBIANA GTC-4SO 19011 Los métedos para recopilar la informacién incluyen, pero sin limitarse a, lo siguiente: - entrevistas; - observaciones; - revision de la informacion documentada NOTA En A.14 se proporciona orentacién sobre Ia seleccién de las Tuentes de infermacién y la observacién, NOTA4 En A.15 26 proporciona oxentaci6n sobre las visitas a Ia ubicacion del aucttado. NOTAS En A17 se proporciona orentacién sobre Ia realizacion de entrevistas, 6.4.8 Generacion de hallazgos de la auditoria La evidencia de la auditoria deberia evaluarse frente a los criterios de auditoria para determinar los hallazgos de la auditoria. Los hallazgos de la auditoria pueden indicar conformidad o no conformidad con los criterios de auditoria. Cuando lo especifique el plan de auditoria, los hallazgos de una auditoria individual deberian incluir la conformidad y las buenas practicas junto con la evidencia que los apoya, las oportunidades de mejora y cualquier recomendacién para el auditado, Deberian regsstrarse las no conformidades y la evidencia de la aucitoria que las apoya. Las no conformidades pueden clasificarse dependiendo del contexto de la organizacion y de sus nesgos. Esta clasificacion puede ser cuantitativa (por ejemplo, de uno a cinco) y cualitativa (por ejemplo, menor, mayor). Deberian revisarse con el auditado para reconocer que la evidencia de la auditoria es exacta y que las no conformidades se han comprendido. Se deberia realizar todo el esfuerzo posible para resclver cualquier opinién divergente relativa a las evidencias 0 a los hallazgos de la auditoria. Las cuestiones para las que no haya acuerdo deberian registrarse en él informe de aucitoria El equipo aucitor deberia reunirse, seguin sea necesario, para revisar los hallazgos de la auditoria en elapas apropiadas durante la auditoria. NOTA‘ En A18 se proporciona orientation adicional sobre la deniificacion y evaluacién de los hallazgos de la ausitoria NOTA2 La conformidad 0 no conformicad con los criterios de auditoria relacionados con requistos legales 0 reglamentarios u of0s requisites, Se denomina en algunas ocasiones cumplimiento o no cumpimiento. 6.4.9 Determinacion de las conclusiones de la auditoria 6.4.9.1 Preparacién para la reunién de cierre El equipo auditor deberia reunirse antes de la reunién de cierre para’ a) __revisar los hallazgos de la aucitoria y cualquier otra informacién apropiada recopilada durante la auditoria frente a los objetivos de la misma; b) acordar las conclusiones de la auditoria, teniendo en cuenta la incertidumbre inherente al proceso de aucitoria; c) _preparar recomendaciones, si estuviera especificado en el plan de auditoria; 30GUIA TECNICA COLOMBIANA GTC-41SO 190114 d) —_comentar el seguimiento de la auditoria, cuando sea aplicable. 6.4.9.2 Contenido de las conclusiones de Ia auditoria Las conclusions de la auditorfa deberian vatar aspectos tales como los siguientes. @) el grado de conformidad con los criterios de auditorfay Ia robustez del sistema de gestion, incluyendo la eficacia de! sistema de gestién para cumplir los resultados previsios, la identificacién de riesgos y la eficacia de las acciones tomadas por el auditado para tratar los riesgos; b) la implementacién, el mantenimiento y la mejora eficaces del sistema de gestion; ©) el logro de los objetivos de la auditoria, cobertura del alcance de la auditoria y cumpimiento de los cnterios de la auditoria; @) _hallazgos similares encontrados en distintas éreas auditadas 0 en una auditoria conjunta ‘0 en una auditoria previa, con el propésito de identificar tendencias. Si se especifica en el plan de auditorfa, las conclusiones de auditoria pueden llevar a recomendaciones para la mejora, o a fuluras actividades de auditorta. 6.4.10 Realizacion de la reunion de cierre La reunién de cierre deberia realizarse para presentar los hallazgos y las conclusiones de la auditoria La reunion de cierre deberia estar presidida por el lider del equipo auditor y los representantes de la direccién del auditado deberian asistir y, cuando sea aplicable deberia incluir: - alos responsables de las funciones 0 procesos que se han auditado; - _alcliente de la auditorta: - a otros miembros de! equipo auditor; - a otras partes interesadas pertinentes, segtin lo determinen el cliente de la auditoria y/o el auditado. Si es aplicable, el lider de! equipo auditor deberia prevenir al auditado de las situaciones encontradas durante la auditoria que pueden disminuir la confianza en las conclusiones de la auditoria. Si esta definido en el sistema de gestién o por acuerdo con el cliente de la auditoria, los participantes deberian acordar el periodo de tiempo para un plan de accién que trate ios hallazoos de la auditorfa. El grado de detalle deberia tener en cuenta la eficacia del sistema de gestidn para alcanzar los objetivos del auditado, incluyendo consideraciones sobre su contexto y los riesgos y oportunidades. La familiaridad de! auditado con el proceso de auditoria también deberia tenerse en cuenta durante la reunién de cierre, para asegurarse de que se proporciona el nivel correcto de detalle a los participantes. 3GUIA TECNICA COLOMBIANA GTC-ISO 19011 Para algunas situaciones de auditeria, la reunién puede ser formal y las actas, incluyendo los registros de asistencia, deberian conservarse. En otras situaciones, por ejemplo, en auditorias internas, la reunion de cierre puede ser menos formal y consistir sélo en comunicar los hallazgos. de la auditoria y las conclusiones de la misma Cuando sea apropiado, en la reunién de cierre deberia explicarse al auditado lo siguiente: a) aclarar que la evidencia de la auditoria recopilada se basé en una muestra de la informacion disponible y no es necesariamente representativa de la eficacia global de los procesos del auditado; b) el método de presentacién de la informacién: ©) la manera en que deberian tratarse los hallazgos de auditoria basandose en el proceso acordado; d) las posibles consecuencias de no tratar adecuadamente los hallazgos de aucitoria; ) la presentacién de los hallazgos y conclusiones de la auditoria de tal manera que se comprendan y se reconozcan por la direccién del auditado, f) todas las actividades posteriores ala auditoria relacionadas (por ejemplo, implementacién y revision de acciones correctivas, tratamiento de quejas de la auditoria, proceso de apelacién). CCualquier opinién divergente relativa a los hallazgos de la auditoria o las conclusiones entre el equipo auditor y el auditado deberia discutirse y, si es posible, resolverse. Si no se resuelve, deberian registrarse todas las opiniones. Si lo especifican los objetivos de la auditoria, pueden presentarse recomendaciones de oportunidades para la mejora Se deberia enfatizar que las recomendaciones no son obligatorias. 6.5 PREPARAGION Y DISTRIBUCION DEL INFORME DE AUDITORIA 6.5.1 Preparacién del informe de auditoria El lider del equipo auditor deberia informar de las conclusiones de la auditoria de acuerdo can el Programa de auditoria El informe de auditoria deberia proporcionar un registro completo, preciso, conciso y claro de la auditoria, y deberia incluir o hacer referencia a lo siguiente a) los objetivos de la auditoria; b) —elalcance de la auditoria, particularmente la identificacién de la organizacién (el auditado) y de las funciones 0 procesos auditados; c) la identificacién del cliente de la auditor @) la identificacion del equipo auditor y de los participantes del auditado en la auditoria; ) _ las fechas y ubicaciones donde se realizaron las actividades de auditorta, ) los critetios de auditoria; 9) los hallazgos de la auditoria y las evidencias relacionadas; 22GUIA TECNICA COLOMBIANA GTC-1SO 190114 h) las conclusiones de la auditoria; 1) una declaracién del grado en el que se han cumplido los criterios de la auditorta; J) __ las opiniones divergentes sin resolver entre el equipo aucitor y el auditado; k) las auditorias, por naturaleza, son un ejercicio de muestreo; como tales, hay un riesgo de que las evidencias de la auditoria examinadas no sean representativas. El informe de la auditoria también puede incluir o hacer referencia a lo siguiente, cuando sea apropiado. - el plan de auditoria, incluyendo el horario; - un resumen del proceso de auditoria, incluyendo cualquier obstacule encontrado que pueda dismminuir la confianza en las conclusiones de la auditoria, - la confirmacién de que se han cumplido los objetivos de la auditoria dentro del aleance de la auditaria, de acuerdo con el plan de auditoria; - cualquier 4rea dentro del alcance de la auditoria no cubierta, incluyendo cualquier cuestion sobre la disponibilidad de las evidencias, los recursos 0 la con‘idencialidad, con las justificaciones relacionadas; - un resumen cubriendo las conclusiones de la aucitoria y los principales hallazgos de la auditoria que las apoyan; - las buenas practicas identificadas; - el seguimiento acordado del plan de accién, silo hubiera; - una declaracién sobre la naturaleza confidencial de los contenidos; - cualquier implicacién para el programa de auditoria o las auditorias posteriores. 6.6.2 Distribucién del informe de auditoria El informe de auditoria deberia emitirse en el periodo de tiempo acordado. Si se retrasa, las razones deberian comuricarse al auditado y a las personas responsables de la gestién del programa de auditoria. El informe de auditoria deberia estar fechado, revisado y aceptado, segtin sea apropiado, de acuerdo con el programa de auditor A ccontinuacién, el informe de la auditoria deberia distribuirse a las partes interesadas pertinentes definidas en el programa de auditoria 0 en el pian de auditoria Al distribuir el informe de auditoria, deberian tenerse en cuenta las medidas apropiadas para asegurer la confidencialidad. 6.6 FINALIZACION DE LA AUDITORIA. La auditoria finaliza cuando se hayan realizado todas las actividades de auditoria planificadas, 0 si se ha acordado de otro modo con el cliente de la auditoria (por ejemplo, podria haber una situacién inesperada que impida que la auditoria se finalice de acuerdo con ei plan de auditoria). 33,GUIA TECNICA COLOMBIANA GTC-1SO 19011 La informacion documentada perteneciente a la auditoria deberia conservarse disponerse de comiin acuerdo entre las partes participantes y de acuerdo con el programa de auditoria y los requisites aplicables. Salvo que se requiera por ley, el equipo auditor y las personas responsables de gestionar el programa de auditoria no deberian revelar ninguna informacion obtenida durante la auditoria ni el informe de auditoria a ninguna otra parte, sin la aprobacién explicita del cliente de la auditoria y, cuando sea apropiado, la del auditado. $i se requiere revelar el contenido de un documento de la auditoria, el cliente de la auditoria y el auditado deberian ser informados tan pronto como sea posible. Las lecciones aprendidas de la auditoria pueden identificar los riesgos y oportunidades para e! Programa de auditoria y para el aucitado. 6.7 REALIZACION DE LAS ACTIVIDADES DE SEGUIMIENTO DE LA AUDITORIA Los resultados de la auditoria pueden, dependiendo de los objetivos de la auditoria, indicar la necesidad de correcciones, o de acciones correctivas, u oportunidades para la mejora. Tales acciones generalmente son decididas y emprendidas por el auditado en un intervaio de tiempo acordado. Cuando sea apropiado, el auditado deberia mantener informadas a las personas responsable de la gestion del programa de auditoria y/o al equipo auditor sobre el estado de estas acciones. Deberia verificarse si se completaron las acciones y su eficacia Esta verificacion puede ser parte de una aucitoria posterior. Deberia presentarse un informe con los resultados @ la persona responsable de la gestién del programa de auditoria, y al cliente de la auditoria para la revision por la direccion 7. COMPETENCIA Y EVALUACION DE LOS AUDITORES 7.1 GENERALIDADES La confianza en el proceso de auditoria y la capacidad de lograr sus objetivos depende de la competencia de aquellas personas que participen en la realizacién de las auditorias, incluyendo los auditores y lideres de equipos auditores. La competencia deberia evaluarse regularmente a través de un proceso que considere el comportamiento personal y la capacidad para aplicar los conocimientos y las habilidades adquiridos a través de la educacién, la experiencia laboral, la formacién como auditor y la experiencia en auditorias. Este proceso deberia tener en cuenta las necesidades del programa de auditoria y sus objetivos. Algunos de los conocimientos y habilidades descritos en el apartado 7.2.3 son comunes a los auditores de cualquier discipiina de sistema de gestién: otros son especificos de disciplinas de sistemas de gestidn individuales. Noes necesario que cada auditor en el equipo auditor tenga la misma competencia. Sin embargo, la competencia global de! equipo auditor necesita ser suficiente para lograr los objetivos de la auditoria La evaluacién de la competencia del auditor deberia planificarse, implementarse y documentarse para proporcionar un resultado que es objetivo, coherente, imparcial y fiable. El proceso de evaluacion deberia incluir cuatro pasos principales, como se indica a continuacion: a) determinar la competencia requerida para cumplir las necesidades del programa de aucitoria; b) _establecer los criterios de evaluacién; 34GUIA TECNICA COLOMBIANA GTC4SO 19011 ©) seleccionar el método de evaluacién apropiado: d) realizar la evaluacion El resultado del proceso de evaluacién deberia proporcionar ia base para lo siguiente = laseleccién de los miembros del equipo auditor (como se describe en 5.5.4), - la determinacién de la necesidad de mejorar la competencia (por ejemplo, formacién adicional); - la evaluacién continua de! desemperio de los auditores. Los auditores deberian desarrollar, mantener y mejorar su competencia mediante el desarrollo profesional continuo y la participacién regular en auditorias (véase 7.6), En los apartados 7.3, 7.4 y 7.5 se describe un proceso para evaluar a los auditores y a los lideres. de equipos audtores. Los auditores y los lideres de equipos auditores deberian ser evaluades respecto a los criterios establecidos en los apartados 7.2.2 y 7.2.3, asi como respecto a los criterios establecidos en el apartado 7.1 La competencia requerida de las personas responsables de la gestién del programa de auditoria se describe en el apartado 542 7.2 DETERMINACION DE LA COMPETENCIA DEL AUDITOR 7.21 Generalidades Al decidir la competencia necesaria para una auditor las habilidades de un auditor relacionados con lo siguiente: considerar el conocimiento y a) _ el tamaio, la naturaleza, la complejidad, los productos, los servicios y los procesos de los, auditados; b) los métodos de auditoria; c] __ lasdisciplinas del sistema de gestion que se vaa auditar, d) la complejidad y los procesos del sistema de gestién que se va a auditar, €) _lostipos y niveles de riesgos y oportunidades abordados por el sistema de gestién; f) __losobjetivos y extensién del programa de auditoria; 9) _la incertidumbre en el logro de los objetivos de auditoria; h) otros requisitos, tales como los impuestos por el cliente de la auditoria u otras partes interesadas pertinentes, cuando sea apropiado. Esta informacion deberla compararse con lo enumerado en el apartado 7.2.3. 35GUIA TECNICA COLOMBIANA GTC-1SO 19011 7.2.2 Comportamiento personal Los auditores debertan poseer los at’ibutos necesarios que les permitan actuar de acuerdo con los principios de la aucitoria tal como se describe en el Capitulo 4. Los auditores deberfan demostrar un comportamiento profesional durante el desempeiio de las actividades de auditoria Los comportamientos profesionales deseados incluyen ser: a) ético, es decir, imparcial, sincero, honesto y discreto; b) de _mentalidad abierta, es decir, dispuesto a considerar ideas 0 puntos de vista altemativos; ¢) _ diplomético, es decir, con tacto en las relaciones con las personas; 4) observador, es decir, activamente consciente del entorno fisico y las actividades; ) perceptive, es decir, consciente y capaz de entender las situaciones; 1) _versatil, es decir, capaz de adaptarse facilmente a diferentes situaciones, 9) tenaz, es decir, persistente y orientado hacia el logro de los abjetives, h) —decidido, es decir, capaz de aleanzar conclusiones oportunas basadas en el andlisis y el razonamiento légico; i) seguro de si mismo, es decir, capaz de actuar y funcionar independientemente a la vez que interactiia eficazmente con otros; i) capaz de actuar con firmeza, es decir, capaz de actuar de manera responsable y ética, aunque estas acciones puedan no ser siempre populares y en alguna orasin puedan causar desacuerdos 0 alguna confrontacian; kK) abierto ala mejora, es decir, dispuesto a aprender de las situaciones, 1) abierto a las diferencias culturales, es decir, observador y respetuoso con Ia cultura del auditado, m) —colaborador, es decir, que interactiia eficazmente con los demas, incluyendo los miembros del equipo auditor y el personal del auditado, 7.23 Conocimientos y habilidades 7.2.3.4 Generalidades Los auditores deberian poseer: a) los conocimientos y las habilidades necesarios para obtener los resultados previstos de las auditorias que Se espera que lleven a cabo, b) _ competencia general, y un cierto nivel de conocimientos y habilidades especificos de la disciplina y del sector. Los lideres del equipo auditor deberian tener los conocimientos y habilidades acicionales necesatios para dirigir al equipo auditor. 36GUIA TECNICA COLOMBIANA GTC-1SO 19011 7.2.3.2 Conocimientos y habilidades ge ricos de los auditores de temas de gestién Los auditores deberian tener conocimientos y habilidades en las éreas sefialadas a continuacion. a) ») Principios, procesos y métodos de auditoria: los conocimientos y habilidades en esta area permiten al auditor asegurarse de que las auditorias se realizan de manera coherente y sistematica Un auditor deberia ser capaz de: comprender los tipos de riesgos y oportunidades asociados con la auditoria y los principios del enfoque basado en riesgos para la auditoria, planificar y organizar el trabajo eficazmente; llevar a cabo la aucitoria dentro del horario acordado; establecer prioridades y centrarse en los temas de importancia; comunicarse de forma eficaz oralmente y por escrito (personalmente, o mediante el uso de interpretes); recopilar informacién, mediante entrevistas eficaces, escuchando, observando y revisando la informacién documentada, incluyendo registros y datos; comprender lo apropiado de utilizar técnicas de muestreo para las auditorias, y sus consecuentias, comprender y tener en consideracién las opiniones de los expertos técnicos; auditar un proceso de principio a fin, incluyendo las interretaciones con otros procesos y las diferentes funciones, cuando sea apropiado, verificar la pertinencia y exactitud de la informacion recopiiada; confirmar que la evidencia de la auditoria es suficiente y apropiada para apoyar los hallazgos y conclusiones de la auditori evaluar los factores que pueden afectar a la fiabilidad de los hallazgos y conclusiones de la auditoria; documentar las actividades de auditorfa y los hallazgos de la auditoria y preparar informes; mantener la confidencialidad y seguridad de la informacion. Normas de sistemas de gestién y otras referencias: los conocimientos y habilidades en esta area permiten al auditor comprender el alcance de Ia auditoria y aplicar los criterios de auditori . y deberian cubrir lo siguiente’ las nommas de sistemas de gestién u otros documentos normativos o de orientacidn/apoyo usados para establecer los criterios 0 los métodos de auditoria arGUIA TECNICA COLOMBIANA GTC-180 19011 - la aplicacién de normas de sistemas de gestion por parte del auditado y de otras ‘organizaciones; - las relaciones e interacciones entre los procesos de los sistemas de gestion: - la comprensién de la importancia y la prioridad de las multiples normas 0 referencias; - la aplicacién de normas o referencias a las diferentes situaciones de auditoria. c) La organizacién y su contexto: los conocimientos y habilidades en esta area permiten al auditor comprender la estructura, el propésito y las practicas de gestion del auditado, y deberian cubrir lo siguiente - las necesidades y expectativas de las partes interesadas pertinentes que tienen impacto en el sistema de gestion; - el tipo de organizacion, su gobernabilidad, tamafo, estructura, funciones y relaciones, - los conceptos generales del negocio y de la gestién, los procesos y la terminclogia relacionada, incluyendo la planificacion, la preparacion de presupuestos y la gestion de las personas, - los aspectos culturales y sociales del auditado. d) _ Requisitos legales y reglamentarios aplicables y otros requisites: los conocimientos y las habilidades en esta 4rea permiten al auditor ser consciente de los requisitos de la crganizacién y trabajar de acuerdo con ellos. Los conocimientos y las habilidades esperificos de la Jurisdiction o de las actividades, procesos, productos y servicios del auditado debertan cubrir lo siguiente - los requisites legales y reglamentarios y sus auloridades reglamentarias asociadas, . la terminologia legal basica; - los contratos y la responsabilidad legal. NOTA __ Ser consciente de los requisites legales y regiamentarios no implica experiencia legal, y una auditoria de Un sistema de gestion no deberia tratarse como una auditoria de cumplimiento legal, 7.2.3.3 Competencia de los auditores en la di ina y en el sector especificos Los equipos auditores deberian tener la competencia colectiva apropiada en Ia disciplina y en el sector especifico para auditar los tipos particulares de sistemas de gestion y los sectores. La competencia de los auditores en la disciplina y en el sector especificos incluye lo siguiente @) las requisitos y principios del sistema de gesti6n, y su aplicacion, b) los fundamentos de las disciplinas y sectores relacionados con las normas de sistemas de gestién aplicados por el auditado; 38GUIA TECNICA COLOMBIANA GTC-ISO 19014 ©) Ia aplicacién de métodos, técnicas, procesos y practicas especificas de la disciplina y el sector, para permitir al equipo auditor evaluar la conformidad dentro del alcance de la 2uditoita definido y generar los hallazges y conclusiones de la auditoria apropiades, ) [os principios, los métodos y las técnicas pertinentes para le disciplina y el sector, tales que el auditor pueda determinar y evaluar los riesgos y las oportunidades asociados con los objetivos de la aucitoria, 7.2.3.4 Competencia genérica del lider de un equipo auditor Con el fin de facilitar la realizacién eficiente y eficaz de la auditori deberia tener la competencia para un lider de equipo auditor a) planificar la auditoria y asionar tareas de auditoria de acuerdo con la competencia especifica de los miembros individuales del equipo auditor, b) _iscutir las cuestiones estratégicas con la alta direccién del auditado para determinar si han considerado estas cuestiones al evaluar los riesgos y oportunidades, ©) desarrollar y mantener una relacién de trabajo colaborativa entre los miembros del equipo auditor, 4) gestionar el proceso de auditoria, incluyendo’ - hacer un uso eficaz de los recursos durante la auditoria; = gestionar Ia incertidumbre de lograr los objetivos de la auditoria; - __ proteger la salud y la seguridad de los miembros de! equipo auditor durante la auditoria, incluyendo asegurar el cumplirriento de los acuerdos pertinentes de seguridad, salud y seguridad fisica por parte de los auditores, - dirigit a los miembros del equipo auditor, - proporcionar diteccién y orientacién a los auditores en formacian, - prevenir y resolver los conflictos y problemas que puedan ocurrir durante la auditorfa, incluyendo aquellas dentro del equipo auditor, cuando sea necesario, ) _representar al equipo auditor en las comunicaciones con las personas responsables de la gestion del programa de auditorfa, el cliente de la auditoria y el auditado, f)__liderar el equipo auditor para alcanzar las conclusiones de la auditoria; 9) _preparar y completar el informe de la auditoria. 7.2.3.5 Conocimientos y habilidades para auditar multiples dis’ Al auditar sistemas de gestion de miiltiples disciplinas, el miembro del equipo auditor deberia tener conocimientos de las interacciones y sinergias entre los distintos sistemas de gestion. Los lideres de equipos auditores deberfan comprender los requisites de cada una de las normas de sistemas de gestion que se auditan y reconocer los limites de su competencia en cada una de las disciplinas. 39GUIA TECNICA COLOMBIANA GTC-1SO 19011 NOTA Las audtorias de multiples cisciplinas levadas a cabo de manera simullanea pueden realizarse como una auaitoria combinada o como una auditoria de un sistema de gestion integrado que cubre multiples cisc\piinas. 7.2.4 Logro de la competencia del auditor La competencia del auditor puede obtenerse usando una combinacién de |o siguiente’ a) completando exitosamente los programas de formacién que cubren los conocimientos y habilidades genéricos de un auditor, b) _ experiencia en una funci6n técnica, de gestion o profesional que implique el ejercicio del juicio, la toma de decisiones, la solucién de problemas y la comunicacién con miembros de la direccién, profesionales, pares, clientes y otras partes interesadas pertinentes;, ©) educacién/formacion y experiencia en una disciplina y sector de sistemas de gestion especificos que contribuye al desarrollo general de la competencia 4) experiencia en auditorfas adquirida bajo la supervisién de un auditor competente en la misma disciplina NOTA La culminacién exitosa de un curso de formacién devenderé del tivo de curso. Pera cursos con un components de examen pusde suponer apraba exiosamente el examen Para olfos cursos puade signiiea palcipar enei cursoy competario. 7.2.5 Logro de la competencia del lider del equipo auditor Un lider de equipo auditor deberia haber adquirido experiencia adicional en auditeria para desarvollar la competencia descrita en el apartado 7.2.3.4. Esta experiencia acicional deberia haberse adquindo trabajando bajo Ia direccion y orientacion de un lider de equipo auditor diferente 7.3. ESTABLECIMIENTO DE LOS CRITERIOS DE EVALUACION DEL AUDITOR Los criterios deberian ser cualitativos (tales como haber demostrado el comportamiento deseado, los conocimientos 0 el desempefio de las habilidades, en la formacién o en el lugar de trabajo) y cuantitativos (tales coma los afios de experiencia laboraly de educacion, el nimero de auditorias realizadas, las horas de formacion en auditoria) 7.4 SELECCION DEL METODO APROPIADO DE EVALUACION DEL AUDITOR La evaluacién deberia llevarse a cabo usando dos o mas de los métodos indicados en la Tabla 2. Al utilizar la Tabla 2, se deberia tener en cuenta lo siguiente: a) los métodos sefialados representan una variedad de opciones que pueden no ser aplicables en todas las situaciones; b) _los diversos métodos sefialados pueden diferir en su fiabilidad; c) _ deberia utlizarse una combinacién de métodos para asegurar un resultado objetivo, coherente, imparcial y fable. 40GUIA TECNICA COLOMBIANA GTC-18O 19011 Retroaiimantasion Proporeionar informacién sotre cémo se eccibe el desemperio del aucitor ‘Tabla 2. Matodos do evaluacién dol auditor ‘Método ae evaluacion ‘Opjetvos Ejempios Revision de registras | Vertcarios antecedantes delaudror | Analisis de los ragistros de equeacién, Tormacién, lanoraes, crecenciales Drofesionaies y experencia en ausitortas. Encuestas, cuestionanios, referencias petsonales, recomendaciones, ques, evaluacén del desempefio, evaliacion entre pares. Envvevista Evaluar e! comportamiento deseado y las | Envrevistas personales haollidades de “comunicacion, para vesiicar la infomation y examinar (os congcimientos, y para oblener informacion ‘adcional Observacién Evaluar el compotiamiento profesional | Juego de roles, auditorias en presencia de deseaco y la capacidad pare aplcar ios | un testigo, desempefio en una situacion conocimientos yhabildades, real Examen Evaluar el comportamiento deseado y ios | Extmenes orales y escrtos, examenes conocimientos y hablidades y su | psieotécnicos apicacén. Revision después de | Proporsionar informacion sobre el | Revision del informe de la auditoria, ‘a ausitoria desempefio del auditor durante las | entevistas con el lider del equipo auditor, acividades de auditoria, identifear | el equipo audior y, si es aprepiaco, fottalezas y oportunidades para la mejera. | rettoalimentacion dol aucitado, 7.5 REALIZACION DE LA EVALUACION DEL AUDITOR La informacién recopilada sabre el auditor bajo evaluacién deberia compararse con los criterios establecidos en el apartado 7.2.3. Cuando un auditor bajo evaluacion del que se espera que particive en un programa de auditoria no cumple los criterios, entonces deberia adquirir formaci6n acicional, experiencia laboral o experiencia en auditorias, y deberia realizarse posteniormente una nueva evaluacién 7.6 | MANTENIMIENTO Y MEJORA DE LA COMPETENCIA DEL AUDITOR Los auditores y los lideres de equipos auditores deberian mejorar su competencia de manera continua. Los auditores deberian mantener su competencia en auditoria a través de la Participacion reguler en auditorias de sistemas de gesti6n y del desarrollo profesional continuo. Esto puede conseguirse a través de medios como experiencia laboral acicional, formacion, estudios particulares, tutorias, asistencia a reuniones, seminarios y conferencias u otras actividades pertinentes. Las personas responsables de la gestion del programa de auditoria deberian establecer los mecanismos adecuados pata la evaluacion continua del desempefio de los auditores, y de los, lideres de equipos auditores. Las actividades de desarrollo profesional continuo deberian tener en cuenta lo siguiente: @) _los cambios en las necesidades de la persona y de la organizacién responsable de la realizacion de la auditoria; b) los desarrollos en las técnicas de auditoria, incluyendo el uso de tecnologia; ¢] _ lasnormas pertinentes, incluyendo documentos de orientacién/apoyo, y otros requisitos: d) los cambios en el sector 0 en las disciplinas. a1