Objeto y campo de aplicación: Este documento proporciona directrices sobre los sistemas de

gestión de auditoría, incluidos los principios de auditoría, los procedimientos de auditoría de

gestión y las auditorías del sistema de gestión, así como las directrices para evaluar las
capacidades personales. Participa en el proceso de revisión. Estas actividades incluyen a los
responsables de la gestión del plan de auditoría, los auditores y el equipo de auditoría. Se aplica a
todas las organizaciones que necesitan planificar y realizar auditorías internas o externas de
sistemas de gestión o procedimientos de auditoría de gestión. Siempre que se preste especial
atención a las capacidades específicas requeridas, el documento se puede aplicar a otros tipos de
auditorías.

Este documento no cuenta con referencias normativas, algunos términos y definiciones son:

auditoría
proceso sistemático, independiente y documentado para obtener evidencias objetivas (3.8) y
evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de
auditoría (3.7)

programa de auditoría
acuerdos para un conjunto de una o más auditorías (3.1) planificadas para un periodo de tiempo
determinado y dirigidas hacia un propósito específico

plan de auditoría
descripción de las actividades y de los detalles acordados de una auditoría (3.1)

criterios de auditoría
conjunto de requisitos (3.23) usados como referencia frente a la cual se compara la evidencia
objetiva
(3.8)
Nota 1 a la entrada: Si los criterios de auditoría son requisitos legales (incluyendo los reglamentarios),
las palabras “cumplimiento” o “no cumplimiento” se utilizan a menudo en los hallazgos de la auditoría
(3.10).
Nota 2 a la entrada: Los requisitos pueden incluir políticas, procedimientos, instrucciones de trabajo,
requisitos legales, obligaciones contractuales, etc.

evidencia de la auditoría
registros, declaraciones de hechos o cualquier otra información que es pertinente para los
criterios de auditoría (3.7) y que es verificable

conclusiones de la auditoría
resultado de una auditoría (3.1), tras considerar los objetivos de la auditoría y todos los hallazgos
de la auditoría (3.10)

equipo auditor
una o más personas que llevan a cabo una auditoría (3.1) con el apoyo, si es necesario, de
expertos técnicos (3.16)

En Principios de auditoría Las características de la auditoría dependen de varios principios. Estos

principios deberían ayudar a que la auditoría sea una herramienta eficaz y confiable para respaldar
la estrategia y el control de la gestión, y proporcionar información que la organización puede
utilizar para mejorar su desempeño. El cumplimiento de estos principios es un requisito previo
para proporcionar conclusiones de auditoría pertinentes y suficientes y permitir que los auditores
trabajen de forma independiente y lleguen a conclusiones similares en circunstancias similares. Las
pautas dadas en los Capítulos 5 a 7 se basan en los siguientes siete principios.

Integridad: la base del profesionalismo Los auditores y las personas que gestionan el plan de
auditoría deben: Realizar un trabajo ético con honestidad y fidelidad; Llevar a cabo actividades de
auditoría solo si son capaces; Realizar su trabajo de manera justa, es decir, mantener la equidad e
imparcialidad en todas las acciones; Sensible a la influencia que pueda ejercerse sobre su juicio
durante la revisión.

Presentación imparcial: La obligación de informar de manera veraz y precisa, la auditoría encontró

que las conclusiones y los informes deben ser veraces y reflejar con precisión las actividades de
auditoría. Deben informarse los principales obstáculos encontrados durante la auditoría y las
diferencias no resueltas entre el equipo auditor y el auditado. La comunicación debe ser veraz,
precisa, objetiva, oportuna, clara y completa.

Debido cuidado profesional: Atenció n profesional adecuada, juicio diligente y

concienzudo durante la auditoría Los auditores deben prestar la debida atenció n a la
importancia de las tareas que realizan y la confianza que los clientes de auditoría y
otras partes interesadas depositan en ellos. Un factor importante en la realizació n del
trabajo cuando se realiza una atenció n profesional adecuada es la capacidad de emitir
juicios razonables en todas las situaciones de auditoría.

Confidencialidad: seguridad de la información Los auditores deben utilizar y proteger la

información obtenida con cuidado en el desempeño de sus funciones. La información de auditoría
no debe usarse para los intereses personales de los auditores o clientes de auditoría, o de una
manera que dañe los intereses legítimos del auditado. Este concepto incluye el manejo adecuado
de información sensible o confidencial.

Independencia: la base de la imparcialidad de la auditoría y la objetividad de los resultados de la

auditoría. El auditor debe ser lo más independiente posible de la actividad que está siendo
auditada En todos los casos, el comportamiento del auditor debe evitar prejuicios y conflictos de
intereses. Para las auditorías internas, el auditor debe ser lo más independiente posible de las
funciones que se auditan. El auditor debe mantener la objetividad durante todo el proceso de
auditoría para garantizar que los resultados y las conclusiones de la auditoría se basen únicamente
en la evidencia de auditoría.

Enfoque basado en evidencia: un método razonable para extraer conclusiones de auditoría

confiables y repetibles en el proceso de auditoría del sistema. La evidencia de auditoría debe ser
verificable. Generalmente, debe basarse en una muestra de información disponible, porque la
auditoría se realiza en un tiempo limitado y con recursos limitados. El muestreo debe usarse de
manera apropiada, porque el muestreo está estrechamente relacionado con el grado de confianza
que se puede incluir en los resultados de la auditoría.

Enfoque basado en riesgos: un método de auditoría que considera riesgos y oportunidades. El

enfoque basado en riesgos debe influir en gran medida en la planificación, realización y
presentación de informes de la auditoría para garantizar que la auditoría se centre en asuntos
importantes para el cliente de auditoría y logre los objetivos del plan de auditoría.

Gestión de un programa de auditoría

Debería establecerse un procedimiento de auditoría, que puede incluir auditorías que aborden
una o más normas del sistema de gestión u otros requisitos. Estas auditorías deberían realizarse
individualmente o en combinación (auditoría combinada)

El alcance del plan de auditoría debe basarse en el tamaño y la naturaleza del auditado, así como
en la naturaleza, función, complejidad, tipo de riesgos y oportunidades, y madurez del sistema de
gestión que se audita. Si las funciones más importantes se subcontratan y gestionan bajo el
liderazgo de otras organizaciones, las funciones del sistema de gestión pueden resultar más
complicadas. Se debe prestar especial atención a dónde se toman las decisiones más importantes
y qué constituye la alta dirección del sistema de gestión.

En el caso de múltiples ubicaciones / sedes (como diferentes países), o en el caso de

subcontratación y gestión de funciones importantes bajo el liderazgo de otras organizaciones, se
debe prestar especial atención al diseño, planificación y verificación del plan de auditoría. Para
organizaciones más pequeñas o menos complejas, el plan de auditoría se puede ajustar
adecuadamente

A fin de comprender el contexto del auditado, el programa de auditoría debería tener en

cuenta del auditado:
— los objetivos organizacionales;

— las cuestiones externas e internas pertinentes;

— las necesidades y expectativas de las partes interesadas pertinentes;

— los requisitos de seguridad y confidencialidad de la informació n.

Es posible preparar un plan de auditoría interna planificado y en algunos casos, un plan para
planificar una auditoría de proveedores externos para promover otros objetivos de la
organización. La persona responsable de administrar el plan de auditoría debe asegurarse de que
se mantenga la integridad de la auditoría y no influya de manera inapropiada en la auditoría. En el
sistema de gestión con el riesgo inherente más alto y el rendimiento más bajo, se debe dar
prioridad a la asignación de recursos y métodos a los problemas.

Debería designarse una persona competente para gestionar el proceso de auditoría. El plan de
auditoría debe incluir esta información e identificar los recursos que se pueden auditar de manera
eficaz dentro del plazo especificado. Esta información debe incluir lo siguiente

Objetivos del plan de auditoría; Los riesgos y oportunidades relacionados con el plan de auditoría
(ver 5.3) y las medidas para abordar estos riesgos y medidas; El alcance de cada auditoría en el
plan de auditoría (alcance, límite, ubicación); Tiempo de auditoría (número / duración /
frecuencia); Tipo de auditoría, como interna o externa; Criterios de auditoría, el método de
auditoría utilizado; Criterios para seleccionar a los miembros del equipo de revisión; Información
de archivo relacionada. Es posible que parte de la información no esté disponible hasta que se
complete un plan de auditoría más detallado. La implementación del plan de auditoría debe
monitorearse y medirse continuamente (ver 5.6) para asegurar que se logren sus objetivos. El plan
de auditoría debe revisarse para determinar los requisitos de cambio y las posibles oportunidades
de mejora (ver 5.7). La Figura 1 ilustra el flujo de los procedimientos de revisión por la dirección.

Establecer los objetivos del plan de auditoría: El cliente de auditoría debe asegurarse de que se
hayan establecido los objetivos del plan de auditoría para guiar la planificación y realización de la
auditoría, y debe asegurarse de que el plan de auditoría se haya implementado eficazmente. Los
objetivos del plan de auditoría deben ser consistentes con la dirección estratégica del cliente de
auditoría y apoyar las políticas y objetivos del sistema de gestión.

Estos objetivos pueden basarse en las siguientes consideraciones: las necesidades y expectativas
de las partes interesadas externas e internas relevantes; las características y requisitos de los
procesos, productos, servicios y proyectos, y cualquier cambio en ellos; requisitos del sistema de
gestión; la necesidad de evaluar proveedores externos; desempeño relacionado Los indicadores
(como KPI) reflejan el nivel de desempeño del auditado y la madurez del sistema de gestión, la
ocurrencia de eventos no calificados o quejas de las partes interesadas; los riesgos y
oportunidades identificados para el auditado; los resultados de auditorías anteriores.
Los ejemplos de objetivos del plan de auditoría incluyen: identificar oportunidades para mejorar el
sistema de gestión y su desempeño; evaluar la capacidad del auditado para determinar su
contexto; evaluar la capacidad del auditado para identificar riesgos y oportunidades, e identificar y
tomar medidas efectivas para hacer frente a estos riesgos y oportunidades; Cumplir con todos los
requisitos relevantes, como requisitos legales y reglamentarios, compromisos de cumplimiento y
requisitos de certificación con los estándares del sistema de gestión; obtener y mantener la
confianza en las capacidades de los proveedores externos; determinar la aplicabilidad, idoneidad y
eficacia continuas del sistema de gestión del auditado ; Evaluar la compatibilidad y coherencia
entre los objetivos del sistema de gestión y la dirección estratégica de la organización.

Establecer un plan de auditoría Las funciones y responsabilidades del personal responsable de la

gestión del plan de auditoría. La persona responsable de administrar el plan de auditoría debe:
Determinar el alcance del plan de auditoría con base en los objetivos relevantes y las limitaciones
conocidas; determinar los problemas, riesgos y oportunidades externos e internos que pueden
afectar el plan de auditoría, y tomar medidas para resolver estos problemas, y tomar estas
medidas según corresponda. Incluir en todas las actividades de auditoría relevantes; asegurar la
selección del equipo de auditoría y la capacidad general de las actividades de auditoría, asignar
roles, responsabilidades y autoridades según sea necesario, y apoyar al liderazgo, Establecer todos
los procesos relacionados, incluidos los siguientes procesos: Coordinación y oportunidad de todas
las auditorías en el plan de auditoría; Establecer objetivos de auditoría, alcance y estándares de
auditoría, determinar métodos de auditoría y seleccionar equipos de auditoría; Evaluación del
auditor; Establecer procesos apropiados de comunicación interna y externa; Resolver conflictos y
manejar quejas; Seguimiento adecuado de la auditoría; informe a los clientes de auditoría y partes
relacionadas. Identificar y asegurarse de que se proporcionen todos los recursos necesarios;
Asegurarse de que se prepare y mantenga la información documentada adecuada, incluidos los
registros del plan de auditoría; Supervisar, revisar y mejorar el plan de auditoría; comunicar los
procedimientos de auditoría al cliente de auditoría y, según corresponda, a las partes relevantes.
La persona responsable de administrar el proceso de revisión debe buscar la aprobación del
cliente de revisión.

Competencia del personal responsable de la gestión del plan de auditoría El personal responsable
de la gestión del plan de auditoría debe tener las capacidades necesarias para gestionar de forma
eficaz y eficiente el plan, sus riesgos y oportunidades, y los problemas internos y externos
relacionados, incluidos los siguientes conocimientos: principios (véase el Capítulo 4), métodos y
procedimientos de auditoría, Estándares del sistema de gestión, otros estándares relevantes y
documentos de referencia / guía; información sobre el auditado y sus antecedentes (por ejemplo,
problemas externos / internos, partes relacionadas y sus necesidades y expectativas, las
actividades comerciales, productos y servicios del auditado Y proceso); leyes y reglamentos
aplicables y otros requisitos relacionados con las actividades comerciales del auditado.

Determinar el alcance del plan de auditoría. La persona responsable de administrar el plan de

auditoría debe determinar el alcance del plan de auditoría. Esto puede variar, dependiendo de la
información proporcionada por el auditado con respecto a su contexto. Tenga en cuenta que, en
algunos casos, dependiendo de la estructura o las actividades del auditado, el proceso de auditoría
puede incluir solo una auditoría (por ejemplo, un pequeño proyecto u organización). Otros
factores que afectan el alcance del procedimiento de auditoría pueden incluir: El propósito,
alcance y duración de cada auditoría y el número de auditorías a realizar, métodos de reporte y (si
corresponde) medidas de seguimiento de la auditoría; estándares del sistema de gestión u otros
estándares aplicables; número, importancia, complejidad y similitud de las actividades auditadas.
Factores que afectan la eficacia del sistema de gestión; normas de auditoría aplicables, tales como
los arreglos de planificación para las normas del sistema de gestión, requisitos legales y
reglamentarios, y otros requisitos que la organización se compromete a cumplir; auditorías
internas o externas previas y auditorías de gestión previas. Resultados (si corresponde); resultados
de revisiones previas del plan de auditoría; cuestiones lingüísticas, culturales y sociales;
Preocupaciones de las partes interesadas, como quejas de los clientes, incumplimiento de los
requisitos legales y reglamentarios y otros requisitos prometidos por la organización o problemas
de la cadena de suministro; cambios significativos en el auditado o sus operaciones y los riesgos y
oportunidades relacionados; suministro de tecnología de la información y las comunicaciones para
respaldar Actividades de auditoría, especialmente el uso de métodos de auditoría remota;
ocurrencia de eventos internos y externos, como productos o servicios no calificados, fugas de
seguridad de la información, incidentes de salud y seguridad, actos delictivos o incidentes
ambientales; Riesgos y oportunidades comerciales, incluidas las medidas para hacer frente a estos
riesgos y oportunidades.

Seleccionar miembros del equipo de auditoría La persona responsable de administrar el plan de

auditoría debe designar a los miembros del equipo de auditoría, incluido el líder del equipo y los
expertos técnicos necesarios para la auditoría específica. Al seleccionar un equipo de auditoría, se
deben considerar las capacidades necesarias para lograr un único objetivo de auditoría dentro de
un alcance definido. Si solo hay un auditor, el auditor debe realizar todas las tareas aplicables al
líder del equipo auditor.

Al determinar el tamaño y la composición del equipo de auditoría para una auditoría en particular,
se debe considerar lo siguiente: considerando el alcance y los estándares de la auditoría, la
capacidad general del equipo de auditoría requerida para lograr los objetivos de auditoría; la
complejidad de la auditoría; Si la auditoría es una auditoría conjunta o una auditoría conjunta.