Directrices para La Auditoría de Sistemas de Gestión. ISO 19011:2018

Directrices para la auditoría de
sistemas de gestión.
ISO 19011:2018
Directrices para la auditoría de sistemas de gestión. ISO 19011:2018
Contenido
Directrices para la auditoría de sistemas de gestión. ISO 19011:2018 ....... 5

1 Introducción ......................................................................................... 5
1.1 Antecedentes ........................................................................................................................ 5
1.2 Características ....................................................................................................................... 7
1.3 La auditoría vista por la empresa .......................................................................................... 9
1.4 Que busca una auditoría ..................................................................................................... 10
1.5 La auditoría interna ............................................................................................................. 11
1.6 Quiero ser auditor ............................................................................................................... 11
1.7 El profesional ...................................................................................................................... 13
1.8 Auditor, auditor líder o auditor jefe .................................................................................... 14
1.9 Qué aporta el auditor al auditado ....................................................................................... 15
1.10 Evolución ............................................................................................................................ 17
2 ISO 19011 ........................................................................................... 24
2.1 Introducción ........................................................................................................................ 24
2.2 Índice de la norma .............................................................................................................. 25
2.3 Objeto de la norma ............................................................................................................. 27
2.4 Términos y definiciones ...................................................................................................... 27
2.5 Principios de auditoría ........................................................................................................ 29
3 Conceptos de auditoría ....................................................................... 31
3.1 Introducción ........................................................................................................................ 31
3.2 La auditoría como herramienta de gestión .......................................................................... 33
3.3 Los hallazgos ....................................................................................................................... 34
3.4 La evidencia objetiva ........................................................................................................... 36
3.5 Búsqueda de hallazgos/evidencias objetivas ....................................................................... 38
3.6 Aspectos específicos en la búsqueda de evidencias............................................................. 45
4 La comunicación ................................................................................. 49
4.1 Introducción ........................................................................................................................ 49
4.2 El lenguaje oral ................................................................................................................... 51
4.3 El lenguaje gestual .............................................................................................................. 52
4.4 La imagen ............................................................................................................................ 54
4.5 Las preguntas ...................................................................................................................... 55
4.6 La solicitud de información documentada........................................................................... 61
4.7 Escuchar .............................................................................................................................. 62
4.8 El entorno ........................................................................................................................... 63
5 El riesgo de la auditoría ...................................................................... 65
© UPCPLUS.COM - FUNDACIÓ UNIVERSITAT POLITÈCNICA DE CATALUNYA 2

5.1 Introducción ........................................................................................................................ 65

5.2 El muestreo ......................................................................................................................... 66
5.2.1 Establecer los objetivos del muestreo ........................................................................... 66
5.2.2 Seleccionar la extensión y la composición por la población ............................................... 67
5.2.3 Elección del método de muestreo ................................................................................. 68
5.2.4 Determinar el tamaño de la muestra ............................................................................. 69
5.2.5 Valoración del resultado .............................................................................................. 72
5.2.6 La importancia relativa ................................................................................................ 73
5.2.7 El riesgo de la auditoría ............................................................................................... 74
6 Los documentos de trabajo ................................................................. 75

6.1 Introducción ........................................................................................................................ 75
6.2 La lista de comprobación .................................................................................................... 76
6.3 Tipos de listas de comprobación ......................................................................................... 78
6.4 Beneficios del uso de listas de comprobación ..................................................................... 79
6.5 Las hojas de registro............................................................................................................ 81
6.6 El archivo ............................................................................................................................ 81
7 Cuantificación de resultados ............................................................... 83
7.1 Introducción ........................................................................................................................ 83
7.2 Valoración lineal ................................................................................................................. 84
7.3 Valoración ponderada ......................................................................................................... 86
8 El informe ........................................................................................... 88
8.1 Introducción ........................................................................................................................ 88
8.2 Preparación del informe...................................................................................................... 88
8.3 Estructura ........................................................................................................................... 90
8.4 Contenido ........................................................................................................................... 92
8.5 Distribución del informe de auditoría ................................................................................. 98
9 El proceso de auditoría ....................................................................... 99
9.1 Introducción ........................................................................................................................ 99
9.2 Preparación de la auditoría ................................................................................................. 99
9.2.1 Contacto con el auditado ........................................................................................... 100
9.2.2 Determinación de la viabilidad de la auditoría .............................................................. 100
9.2.3 Planificación de la auditoría ....................................................................................... 101
9.2.4 Asignación de tareas al equipo auditor ........................................................................ 102
9.2.5 Preparación de la información documentada ................................................................ 104
9.3 Realización de la auditoría ................................................................................................ 104
9.3.1 Reunión inicial o de apertura...................................................................................... 105
9.3.2 Visita general a la empresa........................................................................................ 108
9.3.3 Búsqueda de evidencias de auditoría........................................................................... 109
9.3.4 Reuniones del equipo auditor ..................................................................................... 109
9.3.5 Reuniones de información.......................................................................................... 110
9.3.6 Reunión final del equipo auditor ................................................................................. 111

9.3.7 Reunión final o de cierre............................................................................................ 112

9.3.8 Preparación y distribución del informe de auditoría ....................................................... 113
10 El programa de auditoría ................................................................... 114

10.1 Introducción ...................................................................................................................... 114
10.2 Contenido ......................................................................................................................... 115
10.3 Determinación y evaluación de los riesgos y oportunidades del programa de auditoría ... 115
10.4 Objetivos básicos del programa de auditoría .................................................................... 116
10.5 El programa de auditoría interna ...................................................................................... 116
11 La auditoría interna .......................................................................... 117
11.1 Introducción ...................................................................................................................... 117
11.2 Programa de auditoría ...................................................................................................... 117
11.3 Independencia .................................................................................................................. 118
11.4 Competencia del auditor ................................................................................................... 118
11.5 Proceso de auditoría ......................................................................................................... 119
12 El día después ................................................................................... 120
13 El auditor de sistemas de gestión ...................................................... 123
13.1 Introducción ...................................................................................................................... 123
13.2 Comportamiento personal ................................................................................................ 123
13.3 Competencia ..................................................................................................................... 126
13.4 Actitudes ........................................................................................................................... 127

Directrices para la auditoría de sistemas de

gestión. ISO 19011:2018
1 Introducción
1.1 Antecedentes
Si analizamos etimológicamente la palabra auditoría, vemos que viene del latín audito
“sentido del oído” o audire “oir” por tanto, está relacionada con un concepto auditivo,
al igual que la palabra “auditor” el latín auditor, -toris, “el que escucha” Según
algunos autores para entender por qué utilizamos el término auditoría nos tenemos
que remontar varios la época griega, los gobernantes enviaban a funcionarios para
comprobar la carga que se descargaba de los barcos y la que se declaraba, es decir,
la que pagaba impuestos.
El funcionario, sentado en el muelle, escuchaba y anotaba que el capitán gritaba

voceaba. Otros autores establecen que el término viene de la Edad Media, cuando la
falta de preparación e instrucción de los funcionarios propició la necesidad de utilizar
supervisores competentes que escucharán la rendición de cuentas.
La utilización de un funcionario o persona ajena a quien realiza una actividad para

asegurar el resultado o cumplimiento de una determinada actuación dio origen al
concepto de auditoría que posteriormente fue utilizado por la iglesia católica (auditor
de la Rota), el ejército (auditor de guerra, auditor militar, etc.) y otros organismos o
entidades.

No obstante, la auditoría se ha visto utilizada ampliamente en conceptos relacionados

con las actividades contables (en 1285, el Rey Eduardo I de Inglaterra concedió por
decreto a los barones el derecho a nombrar auditores). Siendo concebida, tal y como
la conocemos en la actualidad, a partir de la Revolución Industrial, cuando la creación
de las grandes sociedades anónimas separó el propietario o accionista del gestor de
la empresa. Requiriendo los primeros información del estado de las cuentas que les
transmitieran confianza sobre la actuación de los gestores. Nació la profesión de
accountant o auditor. La cual fue institucionalizada en Inglaterra a partir de la Ley de
Sociedades de 1860, donde se recomendaba que las compañías realizasen una
“auditoría independiente”, que se exige como obligatorio en 1879 para las entidades
bancarias.
El origen histórico de la auditoría fue exclusivamente contable, pero a partir de los

años cincuenta se empieza a ampliar su uso a través de la aplicación de métodos de
auditoría de los sistemas de gestión de la calidad, seguridad y otros. Siendo
posteriormente en los años sesenta y setenta cuando las auditorías de calidad pasan
a ser comúnmente aceptadas, aunque fundamentalmente relacionadas con la
aceptación y control de los subcontratistas y proveedores. Encontrándonos a partir
de 1979, con la publicación de la norma BS 5750 (origen de la ISO 9000), con el
actual concepto de auditoría de sistemas de gestión, que posteriormente fue
empleándose en el conjunto de sistemas de gestión y su evaluación del desempeño.

1.2 Características
Desde su origen, las auditorías en base a su objetivo han basado sus metodologías
en tres fundamentos:
Independencia
El auditor es independiente de lo auditado. Es decir, no ha tomado parte en la gestión

o desarrollo de la parte auditada con el fin de garantizar la independencia.
Este posicionamiento, no es porque el auditor si audita “algo” con lo que ha tenido

relación previa, vaya a hacer trampas, pero si ha tenido participación, lógicamente
lo que audite le parecerá conforme, perdiéndose la objetividad por mucho que el
auditor la quiera mantener.
Objetividad
Lo que el auditor valora no lo hace bajo su opinión subjetiva, es bajo los requisitos
de un estándar o norma que el auditado “previamente” ha elegido.
Es decir, el auditado sabe previamente a la auditoría lo que se le va a exigir y el

auditor no puede exigirle más de lo que pide el estándar o la norma.
Además, los resultados de la auditoría se basan sólo en evidencias de auditoría que

es verificable.

Integridad
La integridad y la independencia de los resultados de la auditoría de cualquier tipo

de beneficio tangible o intangible para el auditor, garantiza la independencia y
objetividad de éste.
Esto implica que, el auditor y el auditado debe evitar cualquier posible conflicto de
interés entre ambas partes u organizaciones para las que trabajan.
A estos principios se añadió para los sistemas de gestión normalizados, la

voluntariedad.
Voluntariedad
Salvo que un documento legislativo, reglamentario o de cualquier tipo legal lo exija,

las auditorías de sistemas de gestión de conformidad con normas ISO son voluntarias
dado que, la implantación de un sistema de gestión es voluntaria.
Posiblemente, muchas organizaciones nos dirán, que han implantado el sistema por
que un cliente o una administración se lo pedía, no por que quisieran. La
voluntariedad implica que, el auditado implanto un sistema voluntariamente porque
quería trabajar para ese cliente o porque quería desarrollar una actividad regulada.
No obstante, el auditor debe tener en cuenta de que, aunque la alta dirección decida
voluntariamente auditarse (o implantar el sistema), para el resto de los miembros de
la organización la auditoría es una imposición.

1.3 La auditoría vista por la empresa
 Nos toca la auditoría, dijo, el gestor del sistema.

• ¡Otra vez!
• ¡Cómo pasa el tiempo!
• Uffff
 Os lo digo, para que deis un repaso a los temas, los documentos, las firmas.
• Vamos, los papeles, que preparemos los papeles.
 Vale, sí, ya os diré las fechas, pero será a primeros de mes.
Posiblemente, esta conversación se halla repetido en muchas organizaciones, como

con secuencia de una relativa toma de conciencia con el sistema. Esto es entendible
en muchos miembros de la organización, pero no parece lógico que se dé en la alta
dirección. La auditoría es una forma de recibir información del desempeño del a
organización y la información es un elemento básico en la toma de decisiones.
En muchos casos, ocurre que el sistema que se audita no tiene la suficiente

importancia para la dirección (aunque la política diga otra cosa), pero parecería lógico
que, aunque a la dirección no le diera importancia, por ejemplo, a la calidad, al menos
¿no le interesaría conocer como ésta?, independientemente de que, si está mal, le
dé le mismo.
¿Por qué se da esta circunstancia? Es fácil achacarlo a la falta de interés de la

dirección y, en consecuencia, de la organización.
No podría ser que la culpa sea que la auditoría no ha sido capaz de transmitirle al
empresario el valor de ésta. Posiblemente, si el informe se limita a recordarle al
auditado lo que ya sabe o pedirle cosas que no generan valor añadido, todo ello
basándose en una seguramente exhaustiva revisión de documentos y no le da
realmente información sobre el desempeño del sistema, la auditoría será
simplemente un mero trámite o examen que debemos pasar.

1.4 Que busca una auditoría
Previamente deberíamos analizar que busca el auditor y el auditado con una auditoría
ya que, La auditoría es una herramienta de gestión, no es un objetivo en sí, por ello,
¿Qué busca el auditor?
Desarrollar su trabajo con la mayor profesionalidad, objetividad e independencia,

aportando todo el valor añadido posible al auditado.
¿Qué busca el auditado?
La auditoría es un elemento de información fundamentalmente para la dirección de

la organización, independientemente de que su resultado permita obtener una
certificación.
Por ello, como lo que debería buscar el auditado es valor de la información, sin
embargo, en muchos casos, el auditado lo que busca es pasar la auditoría y disponer
de una certificación, homologación, etc. lo cual no quiere decir que también tenga
interés en la información de la auditoría para mejorar su sistema.

Entonces, ¿qué busca una auditoría?
Transmitir información al auditado que le permita tomar de decisiones estratégicas

para la mejora continua del desempeño del sistema de gestión auditado y, en
determinados casos, poder demostrar ante sus partes interesadas su compromiso
con el desempeño del sistema a través de la certificación.
1.5 La auditoría interna
Tras realizar auditorías, uno se puede preguntar si la auditoría interna, en muchas

organizaciones, es simplemente un informe o realmente es una auditoría.
En muchas organizaciones, no se da importancia a la auditoría interna, simplemente

se la considera un trámite que se debe cumplir para, posteriormente, pasar la
auditoría de certificación.
Lo cual no deja de representar un error, independientemente de para que quiera la

certificación:
 Si se quiere simplemente porque alguien me lo pide o como un simple elemento

comercial, me interesa pasar la auditoría de certificación sin problemas, cuanto
más revise y encuentre en la auditoría interna y corregirlo mejor podre pasar la
auditoría de certificación.
 Si realmente buscamos disponer de un buen sistema, conseguir resultados el
sistema debe basarse más en la auditoría interna que en la de certificación,
siendo ésta última simplemente una ratificación externa de lo que dispone la
organización y ella conoce.
1.6 Quiero ser auditor
Cuando te inicias en los trabajos de consultoría ves al auditor como la persona que
tiene capacidad de valorar tu trabajo, como un examinador ante el cual tienes que

aprobar. Has asesorado a un cliente y esperas que éste obtenga aquello que buscaba:
la certificación.
Por ello, anhelas ser auditor, considerando a éstos como el vértice superior de la
pirámide profesional del consultor.
Posiblemente, los que nos iniciamos en la auditoría hace años, tuvimos más fácil
conseguir la cualificación, el mercado demandaba más auditores de los que se
existían, incluso, desde un punto de vista teórico, fuimos más autodidactas a través
de la lectura, aprendiendo de nuestros compañeros auditores, etc., pero en el fondo
nos fue más fácil.
En la actualidad, los profesionales deben adquirir sus conocimientos teóricos a través

de la realización de algún tipo de curso, no porque no tengan tanta o más información
de la que teníamos nosotros, sino porque lo que necesitan es un diploma o certificado
que avale que tiene formación.
Por otra parte, a los auditores, les pedimos experiencia que solo pueden adquirir a
través de asistir a auditorías como observador. Sin embargo, las consultoras y
auditoras no suelen facilitarles que vayan incluso pagándose sus gastos.
En consecuencia, es difícil convertirse en auditor, pero ¿qué es ser auditor?
Según el Diccionario de la Real Academia de la Lengua, el auditor es "que hace

auditoría”, es decir, no es una profesión en sí, si no que el auditor recibe tal

consideración por el hecho de que “está haciendo una auditoría”, por ello, para mí,
el auditor, es simplemente “el profesional que está haciendo una auditoría”.
Por eso, cuando definimos lo que es el auditor, realmente lo que debemos definir las
competencias que debe tener un profesional para realizar auditorías.
1.7 El profesional
Ser profesional para poder realizar una auditoría implica:
1. Disponer de los conocimientos técnicos necesarios sobre la materia que va a

auditar, entendiendo por materia el sector, la actividad, el sistema de gestión a
auditar, etc.
2. Disponer de experiencia profesional en la materia que va a auditar, entendiendo
por materia el sector, la actividad, el sistema de gestión a auditar, etc.
3. Haber gestionado un sistema de gestión de algún estándar certificable.
4. Conocer el estándar que va a auditar: formación o experiencia en su gestión.
5. Tener formación en la realización de auditorías, preferiblemente en los
estándares que va a auditar.
6. Haber realizado auditorías, aunque hayan sido como observador.
Es decir, requiere una mezcla de conocimiento y experiencia que no podemos valorar

en mayor o menor medida pero que deben complementarse entre sí. Es decir, la
experiencia puede suplir la formación o viceversa, pero no se complementan en
ningún momento al 100%.
Respecto a los conocimientos técnicos, es difícil definirlos, por ejemplo, cuál es el

conocimiento técnico para auditar calidad a una constructora, arquitecto, ingeniero,
o químico, pues también dependerá de la experiencia que tenga, por ejemplo, un
químico con 20 años trabajado en un a constructora puede ser mejor que un
arquitecto recién salido de la universidad. Nada es al 100% perfecto.
En cuanto los conocimientos y/o experiencia en sistemas de gestión, el conocimiento

del estándar es fundamental, pero la experiencia en gestión también lo es ya que,
ésta le va a ayudar a ser más empático con el auditado.

En relación con la experiencia en realizar auditorías, no podemos establecer un valor

de cuantas habría que, a ver realizado previamente a ser auditor, una, dos, cuántas,
en general lo está definiendo la empresa o entidad para la que trabaja el auditor.
1.8 Auditor, auditor líder o auditor jefe
Como hemos planteado, auditor no es realmente una profesión, si no una función

que desarrollamos dentro de nuestra profesión (generalmente consultores o gestores
de sistemas) en un determinado momento.
Pero a la función de auditor, le hemos añadido un título, el de “auditor líder” o “auditor

jefe” y vemos cursos diferenciando entre auditor líder, jefe, interno, etc. Es lo mismo,
porque el concepto de auditor “líder” o “jefe” es simplemente el nombre que
asignamos a la persona que en, una determinada auditoría, dirige un grupo de
auditores.
En el Apartado 3.15 de la norma ISO 19011 se define
Auditor
“Persona que lleva a cabo una auditoría”
Equipo auditor
“Una o más personas que llevan a cabo una auditoría con el apoyo, si es necesario
de expertos técnicos”
indicando en su nota 1 que “A un auditor del equipo auditor se le designa como

auditor líder del mismo”, es decir, el concepto de líder es una posición o rol durante
una auditoría.
Generalmente, el auditor líder o jefe será el más experimentado o capacitado para

esa determinada auditoría, pero no quiere decir que lo sea para otra, en la que
actuará de auditor.

1.9 Qué aporta el auditor al auditado
El auditor debe aportar a la auditoría y, en consecuencia, al auditado:
Independencia.
Cuando llevamos un rato mirando al mismo punto dejamos de verlo, nuestra mente
se desconecta. Cuando llevamos haciendo algo mucho tiempo damos por hecho de
que esa es la forma de hacerlo. Las personas y las organizaciones actuamos así, por
ello de vez en cuando necesitamos que alguien que viene de fuera nos mire y nos
diga. Y ese es el auditor. No es más listo, ni está más preparado que los miembros
de la organización que audita simplemente miran desde fuera, sin los propios vicios
de la organización y sin depender su trabajo del mejor o peor resultado que
encuentre. Pero aquí viene el cambio, no sólo debe mirar lo que está mal, también
debe valorar lo que está bien y los posibles puntos de mejora, es decir debe dar valor
añadido a la organización.
Por ello, la independencia no es una cuestión, simplemente formal o jurídica, que lo

es, es un aspecto básico de la auditoría y el auditor.
Objetividad
El auditor no cobra más o está mejor o peor considerado por que abra o no muchas
no conformidades; no va a comisión. El auditor no percibe ningún perjuicio o beneficio
del resultado de la auditoría. En consecuencia, puede ser totalmente objetivo (no
confundir “objetivo” con “exigente”).
Además, debe ser objetivo en la aplicación de los requisitos de la norma. El auditor

no debe interpretar los objetivos “lo que aquí quiere decir”, el auditor debe
objetivamente aplicar lo que “aquí dice” y nada más.
La objetividad es más compleja con la nueva estructura de la norma (anexo SL). La

liberta, por ejemplo, la estructura documental ya no está definida, exige una mayor
capacidad de análisis que la experiencia, tras ver muchos posibles diseños por parte
de auditor, le hace más experimentado y, en consecuencia, objetivo ya que dispone
de mejor y más independiente información para la toma de decisiones.

Lógica, razonabilidad y proporcionalidad
El castigo, no siempre es la forma de conseguir resultados. En muchos casos,

debemos decidir entre el palo y la zanahoria, para conseguir resultados.
El auditor aplica un nivel de exigencia objetivo.
La objetividad fija la diferencia entre: lo que se hace, lo que debería hacerse de

acuerdo con el estándar, lo que se consigue y lo que el estándar pretende que se
consiga.
La exigencia implica definir cuando la diferencia entre ellas es significativa y debe

actuarse y en qué medida debe actuarse sobre ella.
El auditor decide, en base a su criterio y experiencia, como promover, en función de

la organización auditada, un cambio en esta que genere una mejora.
El análisis del auditor se fundamenta en si se consigue el objetivo perseguido por el

requisito más que en la conformidad formal o burocrática de cómo se consigue. No
queriendo decir que, no de importancia al cumplimiento formal, pero éste en su justa
medida y, en particular, en los recursos de los que dispone la organización y su
cultura.
Aquí es donde el auditor debe ser analíticamente independiente, valorando

proporcionalmente las no conformidades, pensando en que la valoración debe ser
para transmitir importancia a la organización y no simplemente un sistema de pasa
o no pasa.
El olfato de la experiencia
El auditor ha visto de todo, bueno y malo. Incluso en muchos casos lo ha hecho. Esto
le permite tener eso que se denomina entre los auditados “olfato o puntería”. El
auditor nunca se sorprende por casos mal hechas, si se sorprende por cosas
novedosas, especialmente bien hechas, con buenos resultados, etc. Los fallos
siempre son los mismos. Hablamos de un diseño de sistema que nace con sus puntos
fuertes y débiles y, en consecuencia, genera que los fallos siempre se produzcan en
los mismos aspectos (los puntos débiles).

Esta aparente puntería, permite aprovechar el conocimiento del auditor. Éste localiza,
más fácilmente, los puntos débiles del sistema, incluso por muy escondidos que
estén.
1.10 Evolución
A continuación, podemos ver a dónde está evolucionando la auditoría de sistemas de

gestión a través de los cambios más significativos la gestión de las organizaciones y
que en mayor o menor medida van recogiendo las nuevas ediciones de las normas.
Evidencia objetiva versus evidencia de auditoría
Hace años, las salas donde se realizaban las auditorías acaban llenas de carpetas y
papeles, los registros y documentos nos desbordaban. En la actualidad, las auditorías
las realizamos sobre documentos que tenemos en la intranet, el ordenador, etc.,
prácticamente no movemos papel.
Sin embargo, aunque ha cambiado el soporte (papel a digital), el trabajo y la revisión

que se hace es la misma. Sigue primando el registro (demostración de aplicación del
requisito) sobre el cumplimiento del objetivo del requisito (resultado y desempeño).
Está claro que los registros en formato papel o en formato digital los podemos evaluar
desde la oficina, pero el resultado, el desempeño del sistema en muchos casos no.
Por ejemplo, desde el despacho podemos evaluar si los trabajadores han hecho
formación (registros de asistencia, certificados, etc.), pero no podremos valorar si
están formados. Para esto último tendremos que ver cómo trabajan (bajar al tajo).

Decidir si faltan X trabajadores por formar, revisando los certificados disponibles, es

fácil y objetivo, decidir si un trabajador está haciendo un trabajo adecuadamente o
no, es decir, si está o no formado, exige conocimiento y experiencia, la consecución
y defensa de la evidencia objetiva es más compleja para el auditor. Por ello, requiere
una mayor experiencia y capacitación.
La evidencia objetiva va a ser más corroborativa que hasta ahora, la pérdida de

fuerza del registro para decidir el desempeño del sistema implica que la entrevista y
la observación tomen mayor importancia, pero ambas requieren una mayor
corroboración que se consigue a través de un mayor tiempo de dedicación para la
auditoría y, en consecuencia, un mayor coste.
Si analizamos en el apartado 3 “Términos y definiciones”, el concepto de evidencia

objetiva (3.8.) son “datos que respaldan la existencia o veracidad de algo”, aclarando
en su nota 2 que “la evidencia objetiva con fines de auditoría generalmente se
compone de registros, declaraciones de hechos u otra información que son
pertinentes para los criterios de auditoría y verificables”, es decir la importancia de
la evidencia objetiva es que corrobora lo que la empresa hace o dice que hace.
El valor del conocimiento
Desde que las normas siguen la estructura del Anexo SL, todas ellas son mucho más
parecidas. De tal forma que quien conoce una de ellas, prácticamente las conoce
todas. Las normas han pasado a crear concepto de gestión a través de los requisitos
y han deja de definir el cómo centrándose en el que.
Con los últimos cambios, para poder implantar o auditar un sistema de gestión de
acuerdo con norma, el conocimiento se ha desplazado del “expertis de la gestión” al
“expertis de proceso”, convirtiéndose el primero en transversal.
Estos “expertis” no son excluyentes, conviven en el auditor valorándose más uno u

otro en cada caso.
En el apartado 3 del Anexo A de la norma ISO 190011 se indica que los auditores
“deberían aplicar su juicio profesional durante el proceso de auditoría y evitar
concentrarse en los requisitos específicos de cada capítulo de la norma”. Es decir, el

análisis profesional de los procesos debe ser fundamental y prevalecer sobre la

revisión de registros, documentos, etc.
El sistema pasa a la nube
Hasta ahora cuando el auditor ha solicitado el sistema, en la mayoría de los casos,

por no decir en todos, se le mostraba un manual, procedimientos, intrusiones
técnicas, etc.
Independientemente de que el formato fuera papel o digital, el sistema siempre

estaba dentro de un conjunto de carpetas que el gestor del sistema gestionaba, en
muchos casos con acceso exclusivo.
La estructura repetitiva en las normas hace que sea mucho más fácil entender por
las organizaciones que no hay que repetir las cosas y que la transversalidad entre
mucha documentación es fundamental para crear sistemas integrados y no
burocratizados.
No aparece un sistema documentado dentro de una carpeta centralizada que se

subdivide en carpetas y así sucesivamente a las que se regula el acceso (informática
o físicamente) con un único responsable. El sistema se descentraliza en carpetas,
digitales o papel, en diferentes unidades organizativas que se hacen responsables de
la información existente (no de la documentación existente) permitiendo una mayor
asunción de responsabilidad y capacidad de rendición de cuentas.

El concepto de desempeño
Hasta ahora hemos valorado el desempeño de un sistema en dos conceptos.
 La certificación (pasar la auditoría de certificación)

 No tener No Conformidades, propias o de terceros
Con respecto a pasar la auditoría de certificación, queda claro que cuando a

solicitamos buscamos el reconocimiento, independientemente de para qué. Por lo
cual, es justo entender que sí, la obtenemos, se está reconociendo nuestro trabajo y
su calidad. En consecuencia, es lógico que las organizaciones lo consideren un valor
del buen desempeño.
Respecto al número de no conformidades, debemos entender que, la no conformidad

no es un elemento de valoración del desempeño, si no una plasmación de una no
conformidad con los requisitos del a norma o de los objetivos de la organización. Pero
su número está en función, no sólo del desempeño del sistema, la capacidad de éste
de detectarlas, la calidad de las no conformidades, etc. por lo que se debe desmitificar
el concepto de “número de no conformidades” y su importancia.
En el apartado 4 del Anexo A de ISO 19011, “Resultado del desempeño”, indica que
el auditor debería centrase en el resultado conjunto del sistema, más que en el
resultado específico de un determinado proceso.

El tamaño importa
Los requisitos que debe cumplir, en relación con una determinada norma, una
organización no es diferentes en función de tamaño de la organización, pero si debe
tenerse en cuenta en la forma que se gestiona, documentan, revisan, etc. éstos.
En el apartado 4 del Anexo A de ISO 19011, se indica que, a estos efectos, “la
ausencia de un proceso o de documentación puede ser importante en una
organización de alto riesgo o compleja, pero no tan importante en otras
organizaciones”.
Es decir, el auditor debe aplicar un principio básico de proporcionalidad.
Mayor participación
Consecuencia de dar menor valor a los registros y más a la realidad del desempeño,
la observación y el análisis implica una mayor participación del conjunto de los
miembros de la organización y resto de partes interesadas.
Los miembros de la organización, bien como sujetos pasivos, al ser observados, como
sujetos activos al ser entrevistados. La entrevista se convierte en un elemento de
trabajo básico para el auditor por lo que debe disponer de las competencias
necesarias para su desarrollo, análisis y valoración.
Respecto al resto de miembros de la organización, el auditor debe analizar cómo se

relaciona el auditado con ellos y les permite la participación que sea pertinente
(entrevistas, quejas, reclamaciones, etc.) y analiza la información recibida.
Cambios desde dentro
La desintegración del concepto sistema relacionado con concepto carpeta de la cual

era propietario el gestor del sistema, y aparecer la información del sistema en
diferentes carpetas (la práctica nos lleva a carpetas informáticas fundamentalmente)
a las que el acceso está regulado, cambia el concepto de propietario y, en
consecuencia, el de responsable.

Cada propietario de una carpeta (persona con acceso a dicha carpeta) se hace
propietario de la información existente en ésta, su veracidad, conservación, etc. lo
cual le implica un mayor cumplimiento de las funciones que le asigna el sistema.
Cuando alguien necesita información de su carpeta debe solicitársela por lo que tiene
que tenerla adecuadamente.
En consecuencia, la desintegración burocrática del sistema genera una mayor

integración del alcance del sistema: calidad, medio ambiente, etc.
Requisitos
La norma nos da las actividades, funciones, etc. que debemos definir, desarrollar e
implantar, si queremos cumplir con su modelo. Estas exigencias, es lo que
denominamos requisitos.
El concepto de requisito debe analizarse desde una visión realista y no formal. Por
ello, debemos preguntarnos que pretende el objetivo y no como se desarrolla. Por
ejemplo, no es sólo importante si se investigan todos los sucesos y se registra su
investigación, si no la calidad de dicha investigación, si se toman acciones y éstas
son eficaces.
Enfoque a procesos
Un aspecto básico de las normas de sistemas de gestión es el enfoque a procesos

para el diseño y desarrollo de éste.

Este enfoque debe ser la base del desarrollo de la auditoría. Como indica el punto 2
del Anexo A de la norma ISO 19011, los auditores deben comprender que auditar un
sistema de gestión es “auditar los procesos de una organización y sus interacciones
en relación con una o más normas de sistemas de gestión”.
Es decir, al auditor debe disponer de las capacidades y competencias para analizar y

comprender los procesos del auditado.
Información documentada
Dado el actual concepto de información documentada en las normas de sistema de

gestión, la estructura documental del sistema va a estar más diseminando que antes;
también la aparición de diferentes soportes (papel, digital, etc.) la verificación de la
información se ha vuelto más compleja para el auditor.
Sin embargo, esta aparente complejidad refleja una madurez de los sistemas, los
sistemas (al menos documentalmente) se diseñan para la practicidad y no para la
comodidad del auditor.

2 ISO 19011
2.1 Introducción
Parece lógico que la Organización Internacional de Estandarización (ISO) como

normalizadora de sistemas también publicara una norma sobre cómo hacer auditorías
de dichos sistemas. Esta norma es la ISO 19011 “Directrices para la auditoría de los
sistemas de gestión” que se encuentra recientemente revisada en 2018.
La edición de 2018 adapta la norma de 2011 a la nueva filosofía inherente en las

normas de gestión como consecuencia del Anexo SL o Estructura de Alto Nivel de
ISO.
Los cambios fundamentales con respecto a la anterior edición, tal y como se indica
en su prólogo son:
 Adición del enfoque basado en riesgos a los principios de la auditoría;

 Ampliación de la orientación sobre la gestión de un programa de auditoría,
incluyendo el riesgo del programa de auditoría.
 Ampliación de la orientación sobre la realización de auditoría, particularmente la
sección sobre planificación de la auditoría.
 Ampliación de los requisitos de competencia genéricas para los auditores;
 Ajuste a la terminología para reflejar el proceso y no el objeto (“cosa”);
 Ampliación del anexo A para proporcionar orientación sobre la auditoría de
(nuevos) conceptos como el contexto de la organización, el liderazgo y el
compromiso, las auditorías virtuales, el cumplimiento y la cadena de suministro.

2.2 Índice de la norma
Prologo europeo
Declaración
Prologo
0. Introducción
1. Objeto y Campo de aplicación
2. Normas para consulta
3. Términos y definiciones
4. Principios de auditoría
5. Gestión del programa de auditoría
5.1. Generalidades
5.2. Establecimiento de los objetos del programa de auditoría
5.3. Determinación de la evaluación de riesgos del programa de auditoría
5.4. Establecimiento del programa de auditoría
5.4.1. Roles y responsabilidades de las personas responsables del programa
de auditoría.
5.4.2. Competencias de las personas responsables del programa de
auditoría.
5.4.3. Establecimiento de la Extensión del programa de auditoría.
5.4.4. Determinación de los recursos del programa de auditoría.
5.5. Implementación del programa de auditoría.
5.5.1. Generalidades
5.5.2. Definición de los objetivos, el alcance y los criterios para una
auditoría individual.
5.5.3. Selección y determinación de los métodos de auditoría.
5.5.4. Selección de miembros del equipo auditor.
5.5.5. Asignación de responsabilidad al líder del equipo auditor para una
auditoría individual.
5.5.6. Gestión de los resultados del programa de auditoría.
5.5.7. Gestión y conservación de los registros del programa de auditoría.
5.6. Seguimiento del programa de auditoría.
5.7. Revisión y mejora del programa de auditoría.
6. Realización de las auditorías.
6.1. Generalidades
6.2. Inicio de la auditoría
6.2.1. Generalidades

6.2.2. Establecimiento del contacto con el auditor.

6.2.3. Determinación de la viabilidad de la auditoría.
6.3. Preparación de las actividades de la auditoría.
6.3.1. Realización de la revisión de la información documentada.
6.3.2. Planificación de la auditoría.
6.3.3. Asignación de las tareas al equipo auditor.
6.3.4. Preparación de la información documentada para la auditoría.
6.4. Realización de las actividades de auditoría.
6.4.1. Generalidades.
6.4.2. Asignación de roles y responsabilidades de los guías y los
observadores.
6.4.3. Realización de la reunión de apertura.
6.4.4. Comunicación durante la auditoría.
6.4.5. Disponibilidad y acceso de la información de auditoría.
6.4.6. Revisión de la información documentada durante la auditoría.
6.4.7. Recopilación y verificación de la información.
6.4.8. Generación de hallazgos de la auditoría.
6.4.9. Determinación de las conclusiones de la auditoría.
6.4.10. Realización de la reunión de cierre.
6.5. Preparación y distribución del informe de auditoría
6.5.1. Preparación del informe de auditoría.
6.5.2. Distribución del informe de auditoría.
6.6. Finalización de la auditoría.
6.7. Realización de las actividades de seguimiento de una auditoría.
7. Competencia y evaluación de auditores.
7.1. Generalidades.
7.2. Determinación de las competencias del auditor.
7.2.1. Generalidades.
7.2.2. Comportamiento personal.
7.2.3. Conocimientos y habilidades
7.2.4. Logro de la competencia del auditor.
7.2.5. Logro de la competencia del líder del equipo auditor.
7.3. Establecimiento de los criterios del equipo auditor.
7.4. Selección de método apropiado de evaluación del auditor.
7.5. Realización de la evaluación del auditor.
7.6. Mantenimiento y mejora de la competencia del equipo auditor.

Anexo A (informativo) Orientación adicional destinada a los auditores que

planificación y realizan las auditorías.
Bibliografía.
2.3 Objeto de la norma
El objeto de la norma es proporcionar orientación a las empresas y auditores que

realizan auditoría, incluyendo:
 Los principios de auditoría.

 La gestión del programa de auditoría.
 La realización de las auditorías.
 Orientaciones para la evaluación de las competencias de las personas que
participan en el programa de auditoría, los auditores y los equipos auditores.
La norma es aplicable a todas las auditorías de sistemas de gestión, en particular,

los sistemas de gestión normalizados por ISO.
2.4 Términos y definiciones
Destacamos en este apartado algunas de las definiciones más significativas incluidas

en la norma, básicas para entender el curso.
Auditoría
Proceso sistemático, independiente y documentado para obtener evidencias objetivas

y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen
los criterios de auditoría.

Las clasificamos en:
Tipo Descripción
Internas Denominadas en algunos casos auditoría de primera parte, se realizan
por auditores internos o externos en nombre de la propia organización.
Externas Incluyen lo que se denomina auditorías de segunda y tercera parte. Las
auditorías de segunda parte se llevan a cabo por partes que tienen
interés en la organización, tales como los clientes.
Las auditorías de tercera parte se llevan a cabo por organizaciones
auditoras independientes, tales como las que otorgan
certificación/registro de conformidad o agencias gubernamentales.
Auditoría combinada
Auditoría llevada a cabo conjuntamente a un único auditado en dos o más sistemas
de gestión, también denominada auditoría integrada.
Programa de auditoría
Acuerdo para un conjunto de una o más auditorías planificadas para un periodo de
tiempo determinado y dirigidas hacia un propósito específico.
Alcance de la auditoría
Extensión y límites de la auditoría, incluye generalmente una descripción de las
ubicaciones físicas, las unidades organizativas, las actividades y los procesos, así
como el periodo de tiempo cubierto.
Plan de auditoría
Descripción de las actividades y de los detalles acordados de una auditoría.
Criterios de auditoría
Conjunto de requisitos usados como referencia frente a la cual se compara la
evidencia objetiva (requisitos legales o de una norma).
Evidencia objetiva
Datos que respaldan la existencia o veracidad de algo. Puede obtenerse por medio
de la observación, medición, ensayo o por otros medios.

Evidencia de la auditoría
Registro, declaraciones de hechos o cualquier otra información que es pertinente para
los criterios de auditoría y que es verificable.
Hallazgos de la auditoría
Resultado de la evaluación de la evidencia de la auditoría recopilada frente a los
criterios de auditoría. Los hallazgos pueden indicar conformidad o no conformidad.
Conclusiones de la auditoría
Resultado de una auditoría, tras considerar los objetivos de la auditoría y todos los
hallazgos de la auditoría.
Auditado
Organización que es auditada en su totalidad o partes.
Sistema de gestión
Conjunto de elementos de una organización interrelacionados o que interactúan para
establecer políticas, objetivos y procesos para lograr estos objetivos.
No conformidad
Incumplimiento de requisitos.
2.5 Principios de auditoría
La norma ISO 19011 establece en su apartado 4, los principio que rieguen la

auditoría.
Integridad: el fundamento de la profesionalidad.
Los auditores deberían:
 Desempeñar su trabajo de forma ética, con honestidad y responsabilidad.

 Sólo realizar las auditorías para la que dispone de las competencias necesarias.
 Ser imparciales, ecuánimes y sin sesgo.
 Ser sensible a cualquier influencia que se pueda ejercer sobre su juicio.

Presentación imparcial: la obligación de informar con verdad y exactitud.

Los resultados de la auditoría deben reflejar veracidad y exactitud del estado del
sistema de gestión. La información debe ser veras, exacta, objetiva, oportuna, clara
y completa.
Debido cuidado profesional: la aplicación de la diligencia y juicio al auditar.

El auditor debe realizar su trabajo con el debido cuidado profesional teniendo la
capacidad de hacer juicios razonados en todas las situaciones de la auditoría,
evitando opiniones.
Confidencialidad: seguridad de la información.

El auditor debe considerar toda la información a la que accede consecuencia de la
auditoría como confidencial.
Independencia
El auditor debe ser independiente de la actividad auditada, actuando de una manera
libre de sesgos y conflictos de interés.
Enfoque basado en evidencias: el método racional para alcanzar

conclusiones de la auditoría fiables y reproducibles en un proceso de
auditoría sistemático.
La evidencia de auditoría debe ser verificable y no estar basada en suposiciones. El
muestreo de auditoría debe ser adecuado a los objetivos de ésta.
Enfoque basado en riesgos

El enfoque basado en riesgos se debe plasmar en la planificación de la auditoría, con
el fin de que las auditorías se centren en asuntos que son importantes para el
auditado.

3 Conceptos de auditoría
3.1 Introducción
No obstante, de las definiciones que podamos encontrar en normas u otros

documentos, una definición bastante adecuada de la auditoría sería:
Una evaluación del presente, teniendo en cuenta el pasado con el fin de prever el
futuro
Es decir, analizamos la gestión que en este momento está desarrollando la empresa,

vemos cómo ha venido siendo ésta desarrollada y, a partir de dicho análisis,
evaluamos si en el futuro, el sistema nos da garantía de que se van a mantener unas
condiciones de desempeño adecuadas, y en caso contrario, el auditor, a través de las
no conformidades va a definir cuáles son los aspectos sobre los que la organización
debe desarrollar acciones correctoras.
Independientemente de la definición utilizada podemos extraer de ellas una serie de

conceptos básicos de la auditoría:
No es una inspección
La auditoría analiza el funcionamiento del sistema, sus puntos fuertes y débiles. El

análisis de un sistema nunca pude ser realizado de forma puntual, no buscamos el
acierto fallo en un determinado momento, sino que buscamos cómo se gestiona el

sistema para evitar los posibles aciertos y fallos a lo largo del tiempo, así como,
analizar los posibles puntos débiles y fuertes que nos den información para la mejora
continua del sistema.
En la inspección realizamos un análisis de un proceso, equipo o sistema valorando

como está funcionando en ese momento, no antes ni después. La inspección es más
limitada que la auditoría, pero más fácil de realizar, ya que un hecho puntual es
menos interpretable que el funcionamiento de un sistema.
Es sistemática
Los resultados de la auditoría no se basan en el azar, son debidos a un análisis

minucioso, ordenado y planificado por el auditor, que permiten un alto grado de
fiabilidad.
Por ello la auditoría se desarrolla de conformidad con procesos definidos.
Es independiente
Desde su origen la auditoría se ha basado en la independencia del auditor de los

auditados, ya que sería muy difícil que alguien involucrado en el cumplimiento de la
totalidad o parte del sistema se pueda evaluar a sí mismo de forma objetiva.
Analiza resultados
La auditoría no es un simple examen de cómo se llevan a cabo las actividades, analiza
los resultados, es decir, el reflejo de la eficacia del sistema de gestión para que
basándose en éstos la dirección de la empresa pueda evaluar la efectividad de las
actuaciones.
Es objetiva
El resultado de la auditoría se basa en las denominadas evidencias de auditoría. A
través de las cuales el auditor avala sus conclusiones, no pudiendo basarlas, en
ningún caso, en apreciaciones. En consecuencia, el auditor tendrá en muchos casos
que realizar verificaciones de los procesos que le permitan avalar la información o
datos incluidos en los registros y documentos.

Es periódica
Los sistemas de gestión son implantados en un determinado momento, para una
organización y unas necesidades empresariales. Los cambios en la organización, los
procesos, las personas, etc., pueden generar que lo que hoy es adecuado deje de
serlo. Igualmente, los sistemas, aun no existiendo cambios, pueden degradarse o
perder su efectividad consecuencia de la confianza que la empresa tiene en el buen
funcionamiento del mismo. Las auditorías, al ser periódicas, deben impedir el
desajuste entre el sistema y la realidad.
No busca culpables
La auditoría busca, a través del análisis del pasado, soluciones para el futuro.
Analizando los fallos del sistema, no de las personas que los cometieron, pues si así
fue, lo hicieron porque el sistema se lo permitió.
3.2 La auditoría como herramienta de gestión
Las normas de calidad, medio ambiente, seguridad y salud, etc. ha definido la

auditoría como instrumento de gestión, por lo que debemos entenderla y utilizarla
como tal. Lo cual hace que el principal destinatario de la auditoría sea el gestor de la
empresa, que a través de sus resultados podrá evaluar el desempeño del sistema.
El empresario la va a utilizar como herramienta de gestión empresarial, que le

permita evaluar la adecuación del sistema de gestión y su desempeño, la conformidad
de las actuaciones del personal de la organización y la eficacia de las actividades
llevadas a cabo para la consecución de los objetivos que, en materia de prevención,
previamente se fijó. Todo ello basado en hechos y no en hipótesis.
La auditoría debe evaluar la capacidad que la organización tiene para dar

cumplimiento a la política de la empresa y el cumplimiento de sus objetivos dentro
del alcance del sistema auditado.
Basándonos en lo establecido por David Hoyle, la valoración de un sistema de gestión

de la prevención debería abarcar:
 Una auditoría de documentación, para verificar la adecuación del sistema y las

normas que se utilizaron en su diseño.

 Una auditoría de los registros (entendidos como forma de justificar lo realizado),

para comprobar la conformidad de las actuaciones del personal con referencia a
los requisitos de los planes y programas de prevención según lo establecido en
la documentación.
 Una evaluación del funcionamiento, para valorar la eficacia de las distintas
actividades que constituyen el sistema.
No obstante, teniendo en cuenta que la función de los sistemas de gestión es

fundamentalmente preventiva, debemos hacer hincapié en la capacidad del sistema
para detectar los problemas, conocer la profundidad de estos y descubrir sus causas.
3.3 Los hallazgos
Durante la ejecución de la auditoría, el auditor busca elementos de juicio que

sustenten su opinión, para ello, el equipo auditor analiza las diversas actividades, los
procesos, los objetivos, etc., comparando si el sistema implantado cumple los
requisitos del estándar bajo el cual se audita.

Cuando en una determinada actuación existe una discrepancia entre los requisitos y
la forma de llevarse a cabo por parte de la empresa, se ha realizado un hallazgo,
pero éste no implica la existencia de una desviación, ya que una empresa no tiene
porqué cumplir todos los requisitos de una norma o reglamento, pueden existir
aspectos que no requieren ser aplicados dada su forma de trabajo, proceso
productivo, etc.
Los hallazgos se pueden dividir en:
Conformidades
Representan cumplimiento de un requisito. Pudiendo, cumplirse exactamente o por

encima de lo exigido.
Por ejemplo, una empresa que debe realizar una medición legalmente una vez al año
y la realiza dos veces, existe una discrepancia entre la exigencia o requisito (anual)
y lo que realiza la organización (dos veces al año), pero esto no refleja un
incumplimiento o no conformidad.
No conformidades
Las no conformidades demuestran fallos en el cumplimiento del sistema de acuerdo

con los requerimientos estándar. En el caso de una auditoría reglamentaria, todas
las observaciones deben representar incumplimientos sobre la reglamentación.

Las no conformidades pueden clasificarse (apartado 6.4.8), pudiendo ser esta

clasificación ser cuantitativa, por ejemplo, de uno a cinco o cualitativa:
 No conformidades mayores y menores

 No conformidades y observaciones.
 Cumplimiento e incumplimiento (auditorías legales o reglamentarias)
Para la localización de los hallazgos, el auditor debe recabar información a través de:
 Entrevistas;
 Observaciones;
 Revisión de la información documentada.
3.4 La evidencia objetiva
La evidencia consiste en una disposición mental del auditor por la cual queda libre de
cualquier duda significativa respecto a la opinión que tiene que emitir en su informe
(conclusiones de la auditoría). Debiendo esta disposición mental estar acompañada
de pruebas documentales o físicas, de realidades que son indubitables
independientemente de las personas que las perciban.

Para la localización de las evidencias objetivas, el auditor debe recabar información

a través de:
 Entrevistas;
 Observaciones;
 Revisión de la información documentada.
El proceso de recolección de evidencias no es fácil, pudiendo dar en muchos casos a

procesos complejos, dependiendo fundamentalmente de la evidencia que quiera
obtenerse, de la cantidad de los datos y de la calidad de estos. No debiendo el auditor,
en ningún caso, abandonar la búsqueda por muy compleja que ésta pueda ser.
Basándonos en las Statement on Auditing Standars podemos definir dos tipos de

evidencias: la evidencia inmediata y la evidencia corroborativa.
 La evidencia inmediata se obtiene de los documentos y registros del sistema.

 La evidencia corroborativa comprende toda la información que el auditor obtiene
para asegurarse de la veracidad y exactitud de la anterior evidencia. Se
consigue mediante la verificación, inspección, análisis, confirmaciones,
entrevistas, etc., realmente es la verdadera evidencia objetiva.
Uno de los problemas con los que se encuentra el auditor es definir hasta dónde
llegar en la obtención de las evidencias. No podemos establecer criterios específicos,
si bien el auditor tendrá en todo momento presente que la evidencia debe ser
suficiente y adecuada, no debiendo perseguir la mejor evidencia posible, sino la más
adecuada.

Una evidencia será suficiente cuando el auditor puede llegar a conclusiones

razonables de que los hechos o criterios que está juzgando han quedado
satisfactoriamente justificados. Es imposible llegar a la certeza absoluta, por lo que
el auditor debe llegar a un punto en el que el grado de confianza sea suficiente, es
decir, tiene que tener una convicción moral de que no está haciendo una afirmación
audaz y arriesgada, basada fundamentalmente en su profesionalidad.
Una evidencia adecuada es aquélla que se ajusta a los hechos, circunstancias o

criterios que realmente tienen importancia en relación con el hecho examinado. No
se deben fundamentar los hallazgos en evidencias colaterales o de importancia
parcial para el hecho juzgado. La adecuación es un concepto cualitativo de la
evidencia, mientras que la suficiencia es un concepto cuantitativo.
Además de los conceptos anteriores, en su búsqueda de evidencias, el auditor deberá

llegar a un equilibrio entre los costes de su localización, la importancia del hecho
examinado y el riesgo probable de error en la toma de decisiones. Así deberá tener
en cuenta los riesgos asociados, su importancia en el desempeño del sistema, etc. Si
bien, debe tenerse mucho cuidado al evaluarla importancia relativa del hecho, ya que
una mala evaluación puede dar lugar a errores importantes.
3.5 Búsqueda de hallazgos/evidencias objetivas
Durante la realización de la auditoría, el equipo auditor analiza los distintos aspectos

del sistema, realizando los hallazgos. Para sustentarlos necesita de evidencias
objetivas, para localizarlas se utiliza una serie de técnicas, que se describen a
continuación.
La observación
La observación o percepción a través de los sentidos, si bien, en muchos casos no es

válida como evidencia objetiva, sí permite al auditor percibir por dónde tiene que
encaminar la investigación para conseguir la evidencia. Durante la auditoría, el
auditor debe estar atento de cómo son realizadas las diversas operaciones, los
comentarios entre el personal de la empresa, etc., que le permitan intuir la forma de
trabajo de la empresa. Descubriendo los puntos fuertes y débiles, que posteriormente
fundamentará a través de evidencias.

Cuando un auditor observa una actuación, en un paseo por la empresa, de ahí la

importancia de la visita inicial por la misma, difícilmente podrá el auditado discutir
que dicha actuación se ha dado. A partir de ese momento, el auditor puede
fundamentar sin discusión todas las evidencias que se relacionen con dicho hecho.
Es difícil ensañar o transmitir a un auditor cómo percibir las actuaciones que se están
dando a su alrededor, la percepción es una facultad que el auditor desarrollará con
su experiencia.
Revisión de documentos y registros
Los documentos del sistema van a indicar cómo ha sido diseñado el mismo,
especificando la forma de llevar a cabo las distintas acciones.
La revisión de los documentos tiene como objetivo evaluar si el sistema está diseñado
de acuerdo con los estándares que le son de aplicación, ya que, de no ser así, las
acciones posteriormente realizadas tampoco estarán de acuerdo con los requisitos.

La revisión de los registros, sin embargo, tendrá por objetivo analizar si las
actuaciones que deben haber sido realizadas por la empresa lo han sido y justificado.
La revisión de la documentación y registros es uno de los aspectos más fáciles de la

auditoría, comprobar que lo indicado en un documento cumple o no con los requisitos
es fácilmente contrastable. En algunos casos se plantea cierta discusión, entre
auditores y auditados, sobre la interpretación de los requisitos. Apareciendo los
típicos comentarios: ¿Dónde dice que tenemos que hacer eso?, ¿Tenemos que
hacerlo?, Nuestra interpretación es distinta, etc.; ante los cuales el auditor debe
fundamentar claramente su interpretación, lo que requiere un conocimiento
exhaustivo del estándar aplicable. En caso contrario, el auditado puede poner en
apuros al auditor, poniéndose en cuestión la posible observación o no conformidad.
Incluso imposibilitando su inclusión en las conclusiones.
Durante la revisión de los documentos debemos analizar si:
 Son coherentes con el estándar,

 Cubren todos los requisitos del estándar,
 Definen claramente cómo, cuándo, dónde y quién realiza las distintas
actividades y
 Están aprobados y claramente identificados.
El registro es la descripción escrita de una acción realizada, es decir, son las pruebas
documentales de conformidad con los requerimientos especificados por el sistema.
Con la revisión de estos estamos buscando pruebas objetivas de la realización de las
actividades especificadas en los documentos internos y externos.

Durante la comprobación de los registros investigaremos sí:
 Están de acuerdo con los requeridos en la documentación del sistema,

 Han sido correctamente utilizados,
 La información es completa y
 Está identificado quién los realizó.
El auditor no debe caer en la tentación de basar la auditoría en la búsqueda de

evidencias formales, es decir, la existencia de firmas, mejor o menor calidad del
formato del registro, indicación de fechas, etc., que, si bien son importantes, pueden
enmascarar la mejor o peor calidad de las actuaciones en prevención, que es el
objetivo de la auditoría. Este error, habitual en auditores poco expertos, hace perder
valor a la auditoría ante el auditado.
Recordemos el 7º principio de la norma “Enfoque basado en riesgos” que no indica

que:
“El enfoque en basado en riesgos debería influir en la planificación, la realización y la

presentación de informes de auditoría a fin de garantizar que las auditorías se centran
en asuntos que son importantes para el cliente de la auditoría y para alcanzar los
objetivos del programa de auditoría”.
Es decir, la importancia relativa de los requisitos y su documentación y registro se

debe relacionar con los riesgos implicados para el sistema.

La entrevista
El auditor va a recibir una gran cantidad de información mediante las entrevistas que
va a mantener con el personal de la empresa. Muchos autores consideran que es la
forma más importante de obtención de información, no olvidemos, que tal y como
indicamos en el primer Módulo, el vocablo auditoría viene de “oír”.
Cuando en auditoría nos referimos a la entrevista, no le estamos dando un concepto

formal, similar a una entrevista periodística, nos estamos refiriendo realmente a una
comunicación oral, no estructurada, entre el auditor y personas de la empresa
auditada, que en muchos casos se podría considerar una mera conversación.
La mayoría de los hechos plasmados por el auditado deben posteriormente ser

validados a través de evidencias que refuten las informaciones obtenidas
verbalmente. Por muy obvias que parezcan algunas explicaciones, se debe verificar
cada una de ellas, pero sin transmitir al entrevistado una impresión de falta de
desconfianza ante su palabra.
Las distintas formas que tiene el auditor para validar la información obtenida a través
de las entrevistas son:
 Que varios entrevistados digan lo mismo, especialmente cuando pertenecen a

otro departamento, área, etc., ya que personas al mismo nivel y el mismo
departamento pueden tener opiniones sesgadas, aunque de forma no voluntaria
o coordinada. El auditor debe confirmar qué información y de quién es la
verdadera o el sesgo que cada una tiene. La confirmación puede ser realizada
por un mismo auditor o a través de las entrevistas mantenidas por varios
miembros del equipo y contrastadas en sus reuniones.

 Existencia de documentos o registros que avalen las informaciones recibidas, lo

que debe ser realizado de forma inmediata a la recepción de la información. El
auditor podrá utilizar frases como: “Creo que he captado lo que ha indicado.
Ahora, si es tan amable, enséñemelo” Estando atento y, si es preciso, intervenir
en la elección de los documentos que van a servir de confirmación. Este aspecto
será especialmente tenido en consideración cuando el documento sea un
registro, ya que el auditado tenderá a mostrarnos, de entre todos ellos, aquellos
que refuten su información. Debiendo ser el auditor el que elija el registro por
muestreo.
Realizar entrevistas que permitan obtener información de forma adecuada es una

técnica difícil, que el auditor irá aprendiendo a lo largo del desempeño de su
profesión.
Como toda técnica de comunicación, se va a ver influida por la capacidad de los

auditores, muchos no van a conseguir desarrollarla con soltura, mientras que otros
la desarrollarán perfectamente. Conocer las técnicas conducentes a un buen
desarrollo de la comunicación es necesaria para el auditor, debiendo practicarlas sin
sentirse agobiado por ellas. Muchos auditores que han querido aplicar las técnicas de
forma estricta han perdido frescura y espontaneidad, llegando a ocasionar situaciones
ridículas.

El auditor debe desarrollar la entrevista de forma adecuada, por lo que debe

preparársela. Una actuación desordenada, sin un objetivo claro, etc., transmite cierta
desconfianza al entrevistado, lo que le impedirá darnos la información adecuada,
pues tenderá a no informarnos de aquello que, a priori, piense que le puede plantear
ciertos problemas.
Durante la entrevista el auditor deberá:
Hacer que el auditado se sienta cómodo.
El entrevistado ve al auditor como un examinador que evalúa su trabajo, muchas

veces en presencia de un superior jerárquico, por lo que, en muchos casos, puede
sentir su puesto de trabajo en peligro. El auditor debe transmitirle confianza,
presentarse adecuadamente, mostrar una actitud correcta, no ser inquisitorial, etc.,
obteniendo de esta forma un mejor resultado. Un entrevistado receloso es una mala
fuente de información, mientras que si se encuentra a gusto puede suministrarnos
información que en un principio no pensaba dar.
Es fundamental que el auditor transmita al entrevistado que no ha sido elegido al

azar, transmitiéndole las causas de selección, en particular cuando existen más
personas que desarrollan puestos de trabajo iguales o similares al suyo. En estos
casos es adecuado dar a entender al entrevistado que ha sido elegido por su mayor
conocimiento, experiencia, etc. esto le hará sentirse importante.
Antes realizar las preguntas, el auditor debe indicar al entrevistado el objetivo de la

entrevista. El auditor lo conoce por lo puede dar por hecho que el entrevistado igual,

detectando posteriormente que no es así y teniendo, en medio de la entrevista, que

proceder a explicarlos los objetivos, rompiéndose la secuencia lógica de realización.
Realizar aquellas preguntas que le permitan obtener la información

buscada.
Todas ellas deberán dar respuesta alguna de las siguientes cuestiones:
 No debiendo ser transposición de las escritas en la lista de comprobación, éstas

están dirigidas al auditor y no al entrevistado.
 Tomar, durante las respuestas, aquellas notas que considere necesarias, pero
demostrando que está atento a lo dicho por el entrevistado. No debe demostrar
desinterés por la respuesta, ésta es consecuencia a una pregunta que él realizó.
Cuando la respuesta se salga del contexto o no tenga nada que ver con la
pregunta realizada, el auditor debe interrumpir, educadamente, al entrevistado,
replanteando la pregunta. La falta de respuestas concretas, en muchos casos,
es consecuencia de preguntas mal planteadas y no en divagaciones
intencionadas del entrevistado.
 Una vez terminada la entrevista despedirse del entrevistado agradeciéndole su
colaboración y ayuda.
Durante la entrevista pueden generarse situaciones incomodas que el auditor debe

evitar en todo momento, para lo cual:
 nunca debe entrar en discusiones interpretativas con el entrevistado,

 no transmitirá sensación de enojo ante respuestas evasivas,
 no resolverá discrepancias entrando en un juego de “yo gano/tu pierdes” ,
 comunicar al entrevistado los fundamentos de su opinión y
 no radiar sensación de alegría ante los hallazgos
3.6 Aspectos específicos en la búsqueda de evidencias
Existen algunos aspectos o requisitos que por sus características pueden ser más
complejos en la realización de la auditoría que vamos a analizar a continuación en
base a lo indicado en el anexo de la norma ISO 19001.

Auditoría de cumplimiento
En este caso nos referimos a las auditorías o parte de esta que tiene relación con la
comprobación de requisitos legales (apartado 7 Anexo ISO 19011). En está el auditor
debe identificar si el auditor dispone de procesos eficaces para:
a) Identificar los requisitos legales y reglamentarios y otros requisitos con los que
está comprometido.
b) Cómo se identifican los requisitos reglamentarios y sus modificaciones.
c) Si dispone de personal competente para la gestión de los requisitos legales.
d) Si gestiona adecuadamente la información documentada que justifica
legalmente su cumplimiento (autorizaciones, certificaciones, etc.)
e) Gestionar sus actividades, productos y servicios para lograr el cumplimiento de
estos requisitos.
f) Se incluye en las auditorías internas la evaluación del cumplimiento de
requisitos legales.
g) Cómo se gestionan los posibles incumplimientos.
h) Evaluar su estado de cumplimiento (grado de implementación)
Auditoria del contexto
Las normas no establecen las metodologías que deben o pueden ser utilizadas en el
análisis del contexto, por lo que no existe un criterio de auditoría más allá de que se
haya analizado y el análisis sea adecuado.
El auditor debe evaluar que se ha desarrollado el análisis y que sus resultados son
tenidos en cuenta en el desarrollo del sistema. Para ello, los auditores deberían tener
en consideración (apartado 8 del Anexo ISO 19011) la existencia de evidencias
objetivas relativas a:
a) Los procesos y métodos utilizados para la realización del análisis.

b) La idoneidad y la competencia de las personas que contribuyen a los procesos
de análisis.
c) Los resultados del análisis.
d) La aplicación de los resultados para determinar el alcance y el desarrollo del
sistema de gestión.

e) Las revisiones periódicas del contexto, según sea apropiado.

f) La documentación del análisis del contexto.
Auditoría del liderazgo y compromiso
Auditar el liderazgo y compromiso de la alta dirección es complejo ya que son

requisitos muy conceptuales que es difícil valorar.
El auditor debería localizar evidencias objetivas que le permitan valorar el liderazgo

y compromiso a través de analizar:
a) Las políticas
b) Los objetivos
c) Los recursos expuestos a disposición de la organización y del sistema.
d) Las comunicaciones realizadas por la alta dirección.
e) El grado de implicación en la revisión del sistema.
f) Las entrevistas con la alta dirección.
Consecuentemente, no podremos valorar el liderazgo y compromiso de la alta

dirección hasta haber realizado la globalidad de la auditoría.
Auditoría de riesgos y oportunidades
El auditor debe evaluar (Apartado 10 del Anexo ISO 19011):
a) La credibilidad de los procesos de identificación de riesgos y oportunidades.

b) Que los riesgos y oportunidades se determinan y gestionan correctamente.
c) Como aborda los riesgos y oportunidades que se han determinado la
organización.
Independientemente de que evaluemos la información de la organización en relación

con sus riesgos y oportunidades, a lo largo de toda la auditoría debemos ver la
relación del diseño del sistema con los riesgos y oportunidades de la organización.

Auditoría del ciclo de vida
Cuando la norma requiere la aplicación de una perspectiva de ciclo de vida, los

auditores deben este como un requisito a evaluar.
En base a su juicio profesional, el auditor debe valorar:
a) La vida del producto o servicio.

b) La influencia de la organización sobre la cadena de suministro.
c) La longitud de la cadena de suministro.
d) La complejidad tecnológica del producto.

4 La comunicación
4.1 Introducción
Comunicar. (Del lat. Communicare.) tr. Hacer a otro partícipe de lo que uno tiene.
2. Descubrir, manifestar o hacer saber a uno alguna cosa. 3. Trasmitir señales
mediante un código común al emisor y al receptor.
Comunicativo, va. (Del lat. Communicativus.) Adj. Que tiene aptitud o inclinación
y propensión natural a comunicar a otro lo que posee.
Sobre la base de estas definiciones y todo lo dicho anteriormente, deducimos que el

auditor debe ser un buen comunicador. A través de la comunicación,
fundamentalmente oral, va a obtener la mayoría de la información, por lo que deberá
conocer las técnicas utilizadas para una adecuada comunicación. No sólo desde el
punto de vista oral, la comunicación gestual va a ser un importante componente
comunicativo, en muchos casos utilizado de forma inconsciente, y, por lo tanto,
erróneamente.
La comunicación implica una transmisión de información entre el comunicante y el

receptor de la información, los cuales van a funcionar en un círculo cerrado, a veces,
indefinido. La realimentación entre el emisor y el receptor se realiza de forma gestual
y por lo tanto inconsciente. El comunicador tiene que tener muy claro que parte de
la información que emite se va a perder, es decir, no alcanzará el receptor.

Tal y como indica Jürg Studer1 el proceso de pérdida de información es el siguiente:
El hablante pensó
El hablante dijo (el filtro se quedó con esto y aquello)
El hablante creyó decir (el código obligaba a ciertas limitaciones)
El oyente escucha (objeto)
El oyente creyó escuchar (descodificado subjetivamente)
El oyente interpreto (filtro)
El oyente se quedó con
El oyente transmitió
El oyente llevó a cabo
El comunicador debe analizar en todo momento cual es la información que realmente

le está llegando a su interlocutor, en caso contrario creerá que su repuesta
corresponde a una información que no es realmente con la que cuenta. Por lo que
debe interpretar toda la información, oral o no, que le transmita, prestando atención
a la reacción que nuestra información despierta en nuestros receptores, a través, en
muchos casos en su forma de comportarse, gestos, movimientos, etc., en definitiva,
percibir el efecto de nuestro mensaje en el receptor, o lo que es lo mismo: observar
y escuchar. Un buen comunicador es una persona que sabe escuchar “El ser humano
tiene dos orejas y una sola lengua para que pueda escuchar el doble de lo que habla” 2
La entrevista, aspecto fundamental en el desarrollo de la auditoría, es un proceso de

comunicación entre el auditor (emisor) y el entrevistado (receptor). Un adecuado
desarrollo de ésta se debe tener en cuenta tres aspectos básicos:
 El lenguaje oral,
 El lenguaje gestual,
 La imagen y
 Las preguntas
1
Oratoria, el arte de hablar, disertar y convencer, el Drac, 1996, pag.50
2
Epiteto (55-135 después de Cristo)

4.2 El lenguaje oral
La voz es una característica de cada persona, con ella hemos nacido y por lo tanto
tendemos a pensar que no es educable. Sin embargo, ésta puede ser perfectamente
educada. El auditor no requiere, en general, educar su voz, pero sí debe tener unas
ciertas nociones sobre cómo utilizar y sacar el mejor provecho. Todos, en algún
momento, hemos comentado que voz más agradable o desagradable tiene una
persona. En muchos casos no es realmente un problema físico de la persona que
habla, es una mala utilización de sus facultades.
A través de la voz transmitimos no sólo las palabras que decimos, también indicamos
al oyente nuestro estado de ánimo. Muchas veces hemos escuchado “lo dijo con un
tono”.
En la entrevista debemos cuidar nuestro tono de voz, ya que puede generar una
impresión que no es la deseada por parte del auditor. Igualmente debemos regular
nuestra intensidad. Saber controlarla es sumamente importante una intensidad no
adecuada puede generar cansancio en el receptor. Una alta intensidad hará creer al
entrevistado que estamos gritando por algo, generalmente enojo. Una intensidad
baja exigirá un gran esfuerzo a nuestro interlocutor para escucharnos, y por lo tanto
cansancio.
El auditor debe jugar con la intensidad y el tono de su voz, para dar mayor o menor
énfasis a las palabras que está utilizando, de acuerdo con la importancia de lo que
está diciendo, pero sin incurrir en el vicio de la exageración, que puede hacerle caer
en la ampulosidad y la grandilocuencia, desaprovechando su efecto. Con el énfasis
sólo buscamos la atención del entrevistado en determinados aspectos.

4.3 El lenguaje gestual
Al hablar no sólo es importante lo que decimos, sino la forma en que lo decimos. El

lenguaje corporal es fundamental dentro del desarrollo de la comunicación, ya que
en el proceso de comunicación participa la persona entera.
El lenguaje corporal es uno de los más importantes, y, sin embargo, el menos

considerado ya que, al actuar en la mayoría de los casos de forma subliminal, no nos
damos cuenta de los errores y aciertos de este. Esto hace que sea un lenguaje difícil
de aprender y dominar, aunque lo utilizamos desde nuestro nacimiento, en muchos
casos es tan desconocido como cualquier lengua extranjera. El auditor, al conocer el
lenguaje de los gestos, podrá no sólo utilizarlo, sino también, interpretar qué es lo
que le está transmitiendo el entrevistado.
El gesto puede en muchos casos suplir a las palabras. Somos capaces de entender
una película muda, si bien, el gesto adquiere fuerza cuando se utiliza
simultáneamente al leguaje oral. Los gestos pueden ser intencionados o no. Los
primeros los podemos utilizar en determinados momentos, aunque no debemos
planificarlos, no estamos interpretando el papel de una película, y por lo tanto,
resultarían forzados.

El gesto ha de ser espontáneo, no está dispuesto a normas ni se le puede objetivar.

Se genera como un impulso interior relacionado con el mensaje. El auditor debe
utilizar los gestos que le nazcan de la espontaneidad, pero teniendo en cuenta las
siguientes indicaciones:
1. La gesticulación natural se mueve entre la cintura y los hombros.

2. No utilice gestos cuando esté tenso, la tensión de los músculos hará que éstos
parezcan torpes y como a trompicones.
3. El gesto enérgico y preciso refleja convicción.
4. Existen gestos grotescos (mover un lápiz entre las manos, morderlo,
tamborilear con los dedos, etc.) que trasmiten nerviosismo.
5. Tener las manos en los bolsillos, trasmiten desinterés y descortesía.
6. Rascarse cualquier parte del cuerpo refleja mala educación y trasmite señal de
desaseo.
7. Alzar o encoger los hombros, alargando o abreviando el cuello, transmite
extrañeza, interrogación o desaliento.
8. Echar la cabeza hacia atrás, refleja incredulidad y rechazo.
9. Adelantar el cuerpo, refleja interés en intervenir.
10.Retrasar el cuerpo, trasmite desinterés y rechazo.
11.Cruzar los brazos, indica resignación.
12.Manos cerradas (puño), reflejan ira, ataque o acusación.
13.Manos en la cadera, reflejan desafío e indignación.
14.Frotarse las manos, trasmite complacencia.
Dentro de los gestos podemos destacar los faciales o mímicos. La expresión refleja
de nuestro estado de ánimo, transmitiendo a nuestro entrevistado cómo estamos
interpretando su información, pudiendo ir modificando su discurso sobre la base de
nuestra expresión. Igualmente, la expresión del entrevistado nos denotará su
preocupación, firmeza de lo que nos dice, etc.
La mímica es uno de gestos más controlables, si bien es preciso darse cuenta de que
los estamos utilizando para reprimirlos. Al contrario que un actor de teatro, los cuales
refuerzan su interpretación a través de los gestos, el auditor debe esconder sus
gestos, ocultando la interpretación que está dando a lo que percibe, pero aprovechar
las señales que le envía su interlocutor, ya que, intuitivamente, se suelen interpretar
de forma correcta.

Entre los gestos mímicos más importantes podemos destacar:
 Mirar a los ojos al interlocutor, denota interés.

 Una sonrisa, o dejar caer la cabeza un poco hacia un lado, crea un ambiente de
confianza.
 Una cara de pocos amigos genera miradas hurañas y respuestas esquivas.
 La risa resulta contagiosa.
 Mirar continuamente a los altos cargos de la empresa en las reuniones, refuerza
jerarquías y esto molesta a los inferiores.
 Mirar continuamente a los papeles denota inseguridad.
 Arrugar la frente, indica indignación.
 Alzar las cejas, trasmite incredulidad y arrogancia.
 Mover las pestañas, es consecuencia de nerviosismo.
 Abrir la boca, indica asombro.
 Apretar los labios, es consecuencia de ira contenida.
Por último, cuando un gesto se convierte en habitual y descontrolado, nos

encontramos ante un “tic” que debe ser evitado, aunque esto suele resultar difícil, el
auditor debe intentar controlarlos lo más posible.
4.4 La imagen
Cuando llegamos a una empresa, lo primero que se observa es nuestra imagen, de

ahí la necesidad de cuidarla adecuadamente. No queriendo decir con ello que
debemos estereotiparla con la idea del traje o vestimenta excesivamente formal y
conservadora. Nos referimos a una imagen adecuada, aseada, pulcra, cuidada, etc.
La imagen del auditor no sólo está relacionada con su vestimenta. La forma de llegar
a la empresa, de transportar sus papeles es importante, el presentarse con los
papeles revueltos debajo del brazo va a transmitir una cierta idea de desorden que
pondrá en entredicho la profesionalidad del auditor. Igualmente, si la documentación
de la empresa aparece desordenada, arrugada y maltratada, daremos una sensación
de despreocupación ante documentos que para la empresa son muy importantes.

4.5 Las preguntas
Un buen auditor debe ser capaz de descubrir los hechos rápidamente, pues si el
auditado detecta que para localizar la información el auditor divaga, pensará que está
perdiendo su tiempo.
En el desarrollo de su trabajo el auditor realiza numerosas preguntas para obtener

información, pero no basta con hacer preguntas sobre aquello que el auditor desea
examinar, es necesario formularlas de forma adecuada para obtener respuestas
satisfactorias.
Existe una serie de técnicas, basadas en distintos tipos de preguntas, que permiten
realizar este proceso de forma más fácil, cómoda y rápida.

Preguntas abiertas
Una pregunta abierta es aquella que permite un amplio abanico de respuestas, en

general busca una explicación sobre cómo se desarrolla algún tipo de acción.
¿Cuál es la política?
¿Cómo se realiza el análisis del contexto?
¿Cómo se lleva a cabo la evaluación de riesgos y oportunidades?
Son utilizadas para obtener una información global sobre un tema, pues permiten al
entrevistado desarrollar su respuesta, pudiendo el auditor, en función de esta,
detectar posibles interpretaciones y desviaciones del sistema, dirigiendo las
posteriores preguntas.
Preguntas cerradas
Ante estas preguntas el auditado tiene un número limitado de opciones para

responder, no permitiéndole ningún tipo de explicación, en muchos casos sólo podrá
afirmar o negar. Son un ejemplo:
¿Han realizado la evaluación de riesgos? (la respuesta es sí o no)

¿Qué método han utilizado para la evaluación de riesgos? (la respuesta es el
método)
¿Realizan reconocimientos específicos para los trabajadores expuestos a
plomo metálico? (la respuesta es sí o no)
En general, son utilizadas para obtener una información concreta, ante una
suposición del auditor. No deben ser utilizadas con exceso pues transmite una
sensación inquisitorial ya que suelen poner al auditado entre la espada y la pared.
Es importante destacar que, cuando el entrevistado responde con una explicación a

una pregunta cerrada, es porque piensa que la respuesta cerrada no va a ser
correcta.

Preguntas de precisión
Son aquellas preguntas que, permitiendo una cierta amplitud de respuestas, su

abanico es mucho más cerrado que en las preguntas abiertas. El auditor las utiliza
para ir centrando el tema sobre el que está investigando, por lo que forman el grupo
más importante del razonamiento del auditor.
¿Una vez ocurrido el suceso, quiénes lo analizan? (la respuesta es el flujo de

revisión)
¿Qué se hace con los informes de revisión de los equipos? (la respuesta es lo
que se hace)
¿Los registros de formación, cómo se archivan? (la respuesta es la sistemática
de archivo)
Estas preguntas se utilizan de forman sistemática, encadenándolas unas con otras.

En muchos casos se pueden limitar a: ¿Qué ocurre después?, ¿Y luego qué se hace?
Preguntas silenciosas
Durante una entrevista el silencio es un arma poderosa. Cuando el auditor, ante una
respuesta, permanece callado, el auditado entiende que se espera una mejor
explicación o respuesta que la dada, procediendo a dar una mayor información sin
que el auditor se lo solicite.
Un entrevistado no es capaz de aguantar más de 12 segundos sin que le realicen una

nueva pregunta. Los silencios generalmente generan una información
complementaria que podía no haber aparecido. Usarlos no es fácil, manejados de
forma poco espontánea pueden dar la sensación de que el auditor está perdido, por
lo que no se debe abusar de ellos.
Preguntas de opinión
Son aquellas que solicitan un punto de vista, generalmente una opinión. No deben
realizarse ya condicionan la repuesta del auditado. Por ejemplo:
¿Qué le parece el método elegido por la empresa para la evaluación de

riesgos?

¿Cree que tienen un índice alto de siniestralidad?
No aportan ningún tipo de información, pudiendo generar opiniones de crítica a la

propia actuación de la empresa, lo cual, no proporciona valor a la auditoría, pues aun
siendo correcta la opinión no es una evidencia objetiva.
Preguntas capciosas
Pretenden sonsacar al entrevistado información que normalmente no aportaría. Por

ejemplo:
¿Cuándo el director pasea por la planta, seguramente no lleva zapatos de

seguridad? (implica que el director no los lleva)
¿Los sucesos sin importancia no los registrarán? (implica que no se registran).
No deben ser utilizadas ya que transmiten una opinión del auditado que, de forma
capciosa, pretende sonsacar información que el auditor intuye, pero no es capaz de
localizar.
Preguntas hipotéticas
En algunos casos el auditor no encuentra evidencias de una actuación ya que nunca

se ha dado, tendiendo a hacer preguntas hipotéticas. Por ejemplo:
¿Qué ocurriría en caso de incendio, si no hay agua?
El uso de estas preguntas es difícil. En muchos casos el auditor pregunta sobre

situaciones excesivamente hipotéticas. En otros, el auditado le podría responder “eso
nunca sucederá” y el auditor tendrá que asumirlo. Sin embargo, en determinados
momentos, adecuadamente formuladas pueden ser muy útiles; su respuesta indica
al auditor si determinados casos, aun no habiendo ocurrido, han sido previstos en el

diseño del sistema. El auditor debe conocer los riesgos que asume cuando las utiliza,
no debiendo abusar de ellas.
No-preguntas
Muchos auditores caen en el error de plantear preguntas que se contestan ellos

mismos; la respuesta es una opinión del auditor, sesgando la información que estaría
incluida en la respuesta del auditado. El auditado le podrá responder: “Yo no he dicho
eso”, “Usted lo dice, nosotros no lo hacemos”.
El auditor no debe confundir estas preguntas con preguntas de replanteamiento, tales

como “¿He entendido que ustedes archivan sólo los registros de los últimos tres años,
es correcto?”, que si son de gran utilidad.
Vistas las preguntas que el auditor puede utilizar, es preciso analizar el proceso
mediante el cual, a través de las preguntas, el auditor llega a una conclusión. La
técnica utilizada es el uso de preguntas en embudo, cuya misión es ir centrando el
tema hasta alcanzar conclusiones suficientes. Los pasos para dar son:
1. Antes de iniciar las preguntas, el auditor debe centrar al entrevistado, con el fin
de que entienda el porqué de estas:
Necesito conocer cómo se lleva a cabo la formación de los trabajadores, por

lo que voy a realizarle una serie de preguntas relacionadas con la formación.
Para conocer cómo llevan a cabo en la investigación de sucesos tengo que

analizar una serie de cuestiones. Le voy a realizar una serie de preguntas al
respecto.
2. Se comienza con preguntas abiertas que nos permitan obtener una información
generalizada de la sistemática de actuación.
¿Cómo se desarrollan las actividades formativas?

¿Cómo llevan a cabo la investigación de sucesos?

3. Se va concretando la información a través de preguntas sistemáticas que nos

permitan alcanzar el objetivo perseguido, utilizando preguntas abiertas de
precisión.
¿Cómo se detectan las necesidades de formación de un trabajador específico?

¿Qué formación se da a los trabajadores de nuevo ingreso?
4. Una vez centrado el tema se procede a realizar preguntas cerradas que fijen
definitivamente la información.
¿Existe un procedimiento para fijar las necesidades de formación de cada

puesto de trabajo?
¿Existen programas de auditoría?
5. Se termina con una pregunta cerrada de opinión que confirme la información

que ha obtenido el auditor. Permitiendo que el auditado aclare alguna cuestión
que considere no ha interpretado bien el auditor.
¿Entonces, sólo se investigan los sucesos de carácter grave?
Este proceso lógico utiliza una vía deductiva que va de lo genérico a lo concreto, si
bien en algunos momentos el auditor tendrá que utilizar el proceso contrario,
inductivo o ascendente, que va de lo concreto a lo genérico. Esto ocurrirá cuando el
auditor, generalmente consecuencia de la revisión de un registro, detecte algún tipo
de discrepancia que le haga intuir un fallo del sistema, por lo que tendrá que analizar
todo el proceso del que genera dicho registro.

Tanto el proceso deductivo como el inductivo tienen su sistemática de realización,

pero el auditor no debe ser rígido e inflexible en su uso. Se deben aceptar
desviaciones temporales, bien para relajar la tensión de la entrevista o cuando el
entrevistado se ha perdido y es preciso replantear el aspecto analizado. Igualmente
es conveniente establecer una pequeña pausa entre cada tema, lo cual nos permite
relajarnos, aliviar tensiones y comenzar más tranquilamente las cuestiones del
siguiente punto a analizar.
Vemos que existen diversos tipos de preguntas, cada una de ellas más o menos
adecuada en cada caso. El auditor debe aprender a utilizarlas adecuadamente, sin
olvidar que, “hasta los mejores de vez en cuando se equivocan”.
4.6 La solicitud de información documentada
En muchos casos la información no procede de una respuesta, sino de una prueba

objetiva: documentos y registros, su solicitud debe ser llevada a cabo de una forma
correcta, y no como una exigencia.
Me gustaría ver los certificados de formación de los trabajadores designados.

Necesitaría examinar los partes de accidente de trabajo de los últimos cinco
años.
Necesitaría revisar los certificados de inspección periódica de los equipos
sometidos a reglamentación de seguridad industrial.

Debiendo ser especialmente cuidadoso cuando se requiere la elección de los

registros, no transmitiendo una sensación de desconfianza. El auditado debe
entender que el muestreo es algo lógico y normal dentro del proceso de auditoría.
4.7 Escuchar
La comunicación se genera en un bucle cerrado entre el entrevistador y el

entrevistado, quedando la comunicación rota si no se cierra. El auditor debe (prestar
atención a lo que se oye) y no simplemente limitarse a “oír”.
Hemos visto la forma de hacer las preguntas, pero es importante tener en cuenta la
actuación, aparentemente pasiva, que las acompaña: escuchar la respuesta; algo
poco habitual en muchos auditores.
El proceso de escuchar incluye el análisis de las respuestas y su correspondiente

procesamiento. Si no procesamos bien una respuesta, generalmente, la siguiente
pregunta será errónea, pues será consecuencia de un razonamiento incorrecto.
En general el auditor debe tener en cuenta que:
1. No atosigar al auditado con una batería de preguntas.

2. Darle un cierto tiempo para responder, en muchos casos tendrá que procesar la
pregunta.
3. No anticipar la respuesta.
4. Replantear las preguntas cuando el auditado no las comprenda.

4.8 El entorno
Para que se establezca el adecuado proceso de comunicación, tanto el auditor como

el auditado necesitan entenderse adecuadamente, prestarse la debida atención y no
sentirse apremiados por circunstancias externas a la entrevista, por lo que el auditor
deberá tener en cuenta los siguientes aspectos:
5. No realizar la entrevista en ambientes ruidosos en los que sea difícil oírse Las
entrevista suelen realizarse en la propia fábrica, exigiendo elevar el tono de voz,
lo que hace muy incómodo la comunicación, por lo que tiende a hacerse rápida y
desordenada, en consecuencia, mal.
6. No se entrevistará a trabajadores, operarios, responsables, etc., que estén

pendientes del proceso de trabajo que controlan, no pudiendo dedicar la debida
atención a la entrevista.
Cuando se entrevista a una persona durante su trabajo, es conveniente que dejen

de realizar las operaciones que realiza. Igualmente, con los directivos o mando
de la empresa, es importante realizar la entrevista fuera de su despacho;
desarrollar una entrevista continuamente interrumpida por el teléfono,
subordinados, etc., genera una gran incomodidad para el entrevistado y mucho
mayor para el auditor.
7. Las respuestas de los subordinados cuando sus superiores están presentes

introducen una serie de sesgos que enmascaran ciertas situaciones. Evitar la

presencia de los superiores suele ser difícil, en estos casos, el auditor debe
analizar el porqué de algunas respuestas, intentando deducir el sesgo introducido.
El error humano es consubstancial con el hombre, por lo tanto, con el auditor. Sin
embargo, cada día se nos permite o admite una menor capacidad de equivocación,
más cuando estamos realizando actuaciones de las que dependen vidas humanas o
pueden conllevar riesgos legales.

5 El riesgo de la auditoría
5.1 Introducción
El auditor, como cualquier profesional, puede errar; su trabajo no está basado en

mediciones matemáticas sino en interpretaciones de normas, organizaciones,
sistemas, etc., que, de ser interpretables matemáticamente, posiblemente no
requerirían su actuación.
No podemos reducir un análisis de gestión a una mera comprobación o inspección

matemática. Los estándares bajo los cuales se van a realizar las auditorías, las
distintas formas de gestionar las empresas, las diversas organizaciones, las
relaciones personales, etc., generan un conjunto de factores de difícil evaluación sin
la lógica profesionalidad, experiencia y buen juicio del auditor.
Ahora bien, es la libertad que la normas dan al auditor, al igual que al auditado, la
que genera el posible error, consecuencia, en muchos casos, de la falta de recursos
ligada a la limitación del tratamiento de información, un equivocado razonamiento o
una distorsión de la realidad.
En la auditoría, el inadecuado tratamiento de la información suele ser el factor de

riesgo más importante, por lo que es preciso tratarle de forma adecuada. En el resto
de los factores, relacionados con la preparación del auditor, el error se controla o se
reduce mediante la preparación y experiencia.

5.2 El muestreo
El muestreo se utiliza cuando no es práctico o no es rentable examinar toda la

información disponible (Apartado 6 del Anexo de ISO 19001), por ejemplo, cuando
el número de registros es numeroso.
El riesgo del muestreo se centra en que la elección de la muestra y las conclusiones

extraídas sean distintas a las que se hubiera ¡n alcanzado analizando toda la
población.
5.2.1 Establecer los objetivos del muestreo
Es fundamental definir el objetivo del muestreo en base a la población. Ante una

misma población podemos definir los objetivos de este.
Por ejemplo, si tenemos 1000 trabajadores que deben haber realizar un curso
podemos analizar diferentes factores:
a) Si todos los trabajadores han realizado el curso.

b) Si todos los trabajadores han aprendido en el curso.

En el primer caso vamos a valorar si existen evidencias objetivas de que los

trabajadores han realizado el curso (la población son todos los trabajadores). En el
segundo caso la población será los trabajadores que han realizado el curso, que será
igual al número de trabajadores o menor.
Por ello, debemos definir que buscamos con el análisis para poder definir población
y muestra.
5.2.2 Seleccionar la extensión y la composición por la población
Aparentemente definir la población es muy fácil, pero en muchos casos puede ser
más complicado de lo que pensamos.
La mayoría de las veces el error en la conformación de la población ya que no es la

adecuada para el objeto del muestreo.
Por ejemplo, si queremos analizar la eficacia de la formación impartida, ¿cuál sería

la muestra?
 Todos los trabajadores

 Los trabajadores que han recibido la formación
Si elegimos todos los trabajadores, podemos estar evaluar el grado de formación de

la plantilla, pero no de la formación ya que puede haber trabajadores que, aun
estando formados, no hayan realizado formación (por ejemplo, por su experiencia).

Si seleccionamos los trabajadores que han realizado la acción formativa si podremos

valorar ésta.
5.2.3 Elección del método de muestreo
De conformidad con el Anexo de la norma, el muestreo puede ser:
Basado en juicio
Este muestreo requiere auditores experimentados y con competencias adecuadas.
Para definir el muestreo, el auditor debe tener en cuenta (apartado A-6.2. de la

norma):
a) La experiencia en auditorías previas dentro del alcance.
b) La complejidad de los requisitos (incluyendo los requisitos legales y

reglamentarios) para lograr los objetivos de la auditoría.
c) La complejidad e iteración de los procesos de la organización y los elementos

del sistema de gestión.
d) El grado de cambio en la tecnología, el factor humano o el sistema de gestión.

e) Los riesgos y oportunidades significativos previamente identificados para la

mejora.
f) La salida del seguimiento del sistema de gestión.
Uno de los inconvenientes del muestreo basado en juicio es que no puede haber
estimación estadística de la incertidumbre en los hallazgos de la auditoria y en las
conclusiones alcanzadas.
Estadístico
El muestreo estadístico utiliza un proceso de selección del amuestra basado en las

teorías de la probabilidad.
En la auditoría se utiliza mucho el muestreo asado en juicio, muchas veces

consecuencia del pequeño tamaño de la muestra.
5.2.4 Determinar el tamaño de la muestra
El auditor debe establecer si la empresa auditada está llevando a cabo lo establecido

en el estándar en el que se basó el diseño del sistema que gestiona. El auditor, por
razón de su trabajo, debe asumir la posibilidad de llegar a conclusiones equivocadas
que reflejen en su informe situaciones distintas de las realmente existentes en la
empresa. Sabiendo que alcanzar la certidumbre absoluta de no haber cometido
ningún error es imposible, si es posible tomar una serie de medidas que aseguren un
nivel de confianza aceptable.
Cuando un auditor enjuicia la forma de realizar una actividad por parte de una
organización, como ya hemos visto, lo hace basándose en una serie de hallazgos que
se sustentan en una serie de evidencias objetivas. Mientras el auditor comprueba el
funcionamiento del sistema, evaluando la política, los procedimientos, la
organización, los controles, etc., realizados por la empresa, no puede aplicar técnicas
matemáticas o estadísticas, tendrá que utilizar sus conocimientos, experiencia, etc.,
por lo que debe revisar la totalidad del sistema.

Durante la verificación de los registros, es decir, durante la valoración de la

implantación del sistema, selecciona los ítems que va a verificar, basándose en los
cuales va a emitir su juicio. Una inadecuada selección de los registros puede generar
una interpretación contraria a la realidad del sistema. El auditor puede emitir un juicio
erróneo, aceptando una actuación como adecuada cuando no lo es, o rechazando una
actuación que se está realizando adecuadamente.
El muestreo es la técnica que nos va a permitir obtener conclusiones sobre las

características de un conjunto de registros (población), a través del examen de un
grupo parcial de ellos (muestra). La elección de la muestra durante la auditoría
presenta ciertas dificultades, las poblaciones sobre las que tenemos que elegir la
muestra pueden no representar una distribución normal o, en muchos casos, puede
tener un tamaño pequeño. Recurrir a técnicas estadísticas puede ser útil en muchos
casos, pero en otros no.
Una vez elegida la población, por ejemplo, las quejas y reclamaciones, los sucesos
ocurridos, etc., debe definirse las características del ítem de esa población; que
puede ser de dos tipos: cualitativa o cuantitativa. En el primer caso intentamos
averiguar si los elementos de la población poseen o no una cierta característica, es
decir, cumple las condiciones establecidas, por ejemplo: si los pedidos han sido
revisados por el responsable de compras. En el segundo caso, será el resultado de
una medida de los elementos de la población, por ejemplo: el resultado de las
mediciones realizadas.

Uno de los problemas que se plantea en las auditarías es conocer la distribución del
universo para poder determinar la distribución de la muestra y sus características.
En general, salvo grandes empresas, el número de registros es pequeño o muy
disperso. Por ejemplo, una empresa con 500 trabajadores puede tenerlos agrupados
en veinte o treinta puestos de trabajo. Analizar la evaluación de riesgos obligaría a
elegir, dentro de la población (20-30 puestos), la muestra representativa. Ahora bien,
¿debe darse la misma importancia a un puesto de alto riesgo, como a uno de bajo
riesgos?, o contabilizarse igual un puesto ocupado por cien trabajadores, que un
puesto con tres, etc.
En general el muestreo más adecuado para la auditoría es el estratificado. Mediante

el cual dividimos la población en estratos y dentro de cada uno de ellos procedemos
a hacer un muestreo aleatorio, habitualmente sin reemplazamiento. El problema del
muestreo estratificado es establecer la representación que cada estrato tiene en la
muestra y, por tanto, el muestreo aleatorio que hay que hacer para cada uno de los
estratos, por lo que se pueden dar las siguientes circunstancias:
 Elección de muestras en igual número para todos los estratos

 Elegir un número de elementos del estrato basándose en el tamaño de este y
sus características.
En cada caso, el auditor deberá seleccionar el método que considere más adecuado,
aunque en caso de estratos con un número de ítems muy variables la segunda opción
parece la más lógica.

5.2.5 Valoración del resultado
La precisión con la que el auditor va a rechazar o aceptar una actuación hace

referencia a la cantidad de error que puede introducirse al utilizar los resultados
obtenidos de una muestra para caracterizar la población de la que fue extraída.
Cuando queremos estimar alguna característica de una población a partir de una
muestra probabilística, estamos sujetos a un tipo de error aleatorio de muestreo que
puede surgir si nuestra muestra no representa adecuadamente a la población de la
que procede. Error ligado al tamaño de la muestra, dado que todo lo mayor que sea
su tamaño menor será el error y viceversa.
Elegida la muestra, el auditor debe decidir cuántos ítems se pueden aceptar

incorrectos para decidir si considera aceptable o no el proceso que genero los
registros. Es decir, debe contrastar la hipótesis o conjetura sobre la población basada
en los resultados de la muestra. La hipótesis es el procedimiento estadístico mediante
el cual se investiga la aceptación o rechazo de una cierta afirmación acerca de los
parámetros o características de una población.
En auditoría, se asumen dos riesgos:
 Riesgo &: Determinar no conforme una actuación, cuando sí lo es.

 Riesgo ß: Determinar conforme una actuación, cuando no lo es.
Es fácil comprender que a medida que el tamaño de la muestra se aproxime al

tamaño de la población, mayor será la confianza de que la medida que se obtiene de
dicha muestra refleje la población. El auditor debe seleccionar el tamaño de la
muestra de acuerdo con las necesidades de precisión y el tiempo (coste) del que
razonablemente dispone. Lo cual no es fácil.

Número de registros de Número de muestras Nivel de Nivel de

la población aleatorias aceptación rechazo
2a8 2 0 1
9 a 15 3 0 1
16 a 25 5 0 1
26 a 50 8 0 1
51 a 90 13 1 2
91 a 150 20 1 2
151 a 280 32 1 2
281 a 500 50 1 2
501 a 1200 80 2 3
1201 a 3200 125 3 4
3201 a 10000 200 5 6
10001 a 35000 315 7 8
35001 a 150000 500 10 11
150001 a 500000 800 14 15
500001 en adelante 1250 21 22
5.2.6 La importancia relativa
Con los criterios anteriormente vistos, no hemos valorado los errores existentes, los
hemos considerado un mero valor numérico, sin embargo, no todas las evidencias
encontradas tienen la misma importancia en el funcionamiento del sistema.
La importancia relativa, denominada en auditoría de cuentas concepto de

materialidad, constituye un elemento fundamental para fijar el alcance de la muestra.
La materialidad supone evaluar características cuantitativas y cualitativas, siendo
difícil cuantificar la materialidad de la información.
El auditor debe decidir cómo valorar, en cada caso, los criterios de aceptación o
rechazo. Un determinado error en la decisión del auditor puede ser aceptable para
determinadas actuaciones, pero ser muy alto, y, por tanto, inaceptable en otras.
El uso de la estadística, que ayuda al auditor, puede desvirtuar en muchos casos el

objetivo buscado: que la gestión de la prevención sea adecuada y no que lo sea
matemáticamente, o viceversa. Equivocar esto, sería el error más grave que puede
cometer un auditor.

5.2.7 El riesgo de la auditoría
El objetivo del auditor es evaluar el desempeño del sistema de gestión. El riesgo de

equivocarse no debe preocuparle únicamente desde el punto de vista del desarrollo
de la auditoría, sino desde el punto de la visión de los usuarios del sistema.
El riesgo que se asume por un inadecuado resultado de la auditoría, no sólo se va a

deber a los errores del auditor, sino que también se relaciona con el riesgo inherente
del sistema y su riesgo de control, los cuales existen independientemente de la
auditoría, por lo que el auditor lo único que puede hacer es evaluarlos.
Todo sistema tiene unos riesgos inherentes consecuencia de su propio diseño; ningún
sistema es diseñado sin errores de funcionamiento, por lo que tendrá que tener una
sistemática de control, que, habitualmente, evitará que ciertos fallos inherentes en
el sistema se localicen y corrijan. Sin embargo, los controles pueden no ser capaces
de eliminar todos los fallos del sistema. Éstos son los fallos que la auditoría debe
detectar. Tal y como se representa en el esquema anterior.
El riesgo de detección, es decir, que permanezcan errores y no sean detectados por

el auditor, está directamente relacionado con la elección de la muestra, tal y como
ya hemos analizado. El auditor, analizando el sistema, verifica los posibles errores
inherentes y el funcionamiento de los controles. Si estos últimos son adecuados,
puede asumir, con un muestreo menor, un riesgo de auditoría menor.

6 Los documentos de trabajo
6.1 Introducción
Los estándares, consecuencia de la necesidad de ser válidos para los diversos tipos
de organizaciones y situaciones, son modelos o patrones generalistas.
Cuando al auditor se le solicita la realización de una auditoría, lo primero que debe

conocer es el estándar utilizado en el diseño del sistema a auditar, en caso contrario
no podrá llevarla a cabo, pues no tendrá criterios. Haber leído una norma, ley o
reglamento no capacita a un auditor para llevar a cabo una auditoría, éste debe
dominar los distintos requisitos exigidos, los criterios, su interpretación y aplicación,
lo cual, no es fácil. Por esto, es conveniente que previamente a dedicarse a realizar
auditorías haya pasado por la fase de implantación de los estándares y la legislación
en las empresas.
Inclusive para el auditor más experto sería impensable realizar la auditoría utilizando
como documento de trabajo el propio estándar, ya que requeriría no solo una gran
memoria, sino una gran capacidad de organización mental que le asegurara no
olvidar ninguno de los requisitos. Pero, aun disponiendo de esa capacidad, el esfuerzo
mental sería muy elevado. En especial cuando la auditoría la llevarán a cabo varios
auditores y tuvieran que repartirse las distintas actividades a verificar. El auditor, en
consecuencia, necesita documentos de trabajo que le permita realizar su actividad
de forma sistemática, ordenada y consecuente.

Existen diversos tipos de documentos de trabajo que permiten realizar la auditoría

correctamente. El auditor seleccionara, en cada caso, el que considere más adecuado.
6.2 La lista de comprobación
La lista de comprobación, también conocida como lista de chequeo, verificación o

check-list, es un relación de preguntas o cuestiones, que el auditor tiene que dar
respuesta durante el desarrollo de la auditoría. La lista es un documento de uso
interno para el auditor que abarca los aspectos sustanciales que el sistema debe
cumplir. No debiendo confundirse sus preguntas con las preguntas que el auditor
realiza al auditado durante la auditoría.
La lista de comprobación, como documento de trabajo del auditor, además de fijar

los requisitos del estándar debe haberse desarrollado de acuerdo con el proceso
lógico, pero particular, que de la auditoría cada auditor o empresa auditora tiene.
Cada uno de éstos debe hacer su propia lista apoyándose en las normalizadas
existentes, teniendo una lista de comprobación para cada estándar, dentro de los
habituales, completándolas “ad casum” con los requisitos específicos de la
organización a auditar.
Las cuestiones incluidas en las listas de comprobación deben dar respuesta a los
diversos criterios del estándar, en función del que se confecciona. En muchos casos,
es el propio requisito transformado en pregunta.
Estándar Cuestión
Análisis del contexto ¿Ha analizado el contesto la organización?
Además, una lista de comprobación bien realizada, debe desarrollar preguntas que
especifican criterios no claramente establecidos en la norma pero que el auditor debe
tener en cuenta.

Muchas listas de comprobación son una relación de preguntas a las que el auditor
contestará positiva o negativamente, o indicando si no aplica. Pudiendo añadir en la
propia lista algún tipo de observación. El formato de sus columnas será:
Pregunta Si No No aplica Observaciones

¿Han sido realizado el análisis X
del contesto?
¿Es adecuado el análisis del X
contexto?
El auditor debe elaborar las preguntas de forma que una respuesta “SI” implique
cumplimiento y una “NO” refleje un incumplimiento. De tal forma que una simple
revisión de la lista, localizando las preguntas marcadas con “NO” nos indica de forma
rápida los incumplimientos del sistema.
La conformidad o no con un requisito por parte de un sistema no ser total, existiendo

una gradación en el mismo. Por ejemplo, no es igual encontrar un trabajador sin
formación entre cien, que no dar formación a ningún trabajador. Si utilizamos listas
como la anterior, el grado de cumplimiento queda reflejado en el apartado
observaciones o se pierde. Por lo que es apropiado utilizar listas denominadas
“cuestión y resultado”, cuyo formato sería:
Pregunta Resultado Observaciones

¿Cumple la política los requisitos establecidos Satisfactorio
en la norma?
¿Está documentada la política de medio Insatisfactorio
ambiente?
¿Han sido comunicada la política a los Parcial
miembros de la organización?
Indicándose en el apartado resultado “satisfactorio”, “insatisfactorio”, “parcial” o “no

aplica”, otros.
Cuando el auditor prepara la lista de comprobación debe tener mucho cuidado en no

alterar o interpretar inadecuadamente los requisitos del estándar. No debemos
olvidar que se está auditando el sistema en cuanto su cumplimiento de los requisitos
del estándar, no de la lista de comprobación. A veces, el auditor acaba creyendo que

el estándar es su lista y no el estándar. Por muy buenas listas de las que disponga el
auditor, nunca debe dejar de manejar el estándar, fundamentalmente para auditores
nobeles, es bueno referenciar en las listas el apartado del estándar con el que se
relaciona cada pregunta.
6.3 Tipos de listas de comprobación
Una vez definido el tipo de lista de comprobación, el auditor procede a elaborar sus
preguntas, situándolas en la lista ordenadamente. El orden de colocación de las
preguntas estará de acuerdo con como prevea el auditor desarrollar la auditoría. De
forma que no tenga que desplazarse durante una entrevista, investigación, etc.,
desordenadamente a lo largo de la lista. Aunque el auditor puede establecer su propio
criterio de ordenación, existen dos sistemas habituales:
Listas de comprobación ordenadas por criterios
Estas listas ordenan las preguntas en grupos que responden a temas o criterios del
estándar, por ejemplo:
 Organización,
 Evaluación de riesgos y oportunidades,
 Formación,
 Consulta,
 Etc.
De forma que el auditor cada vez que quiere analizar un aspecto del estándar, tiene
todas las cuestiones agrupadas. Presentan problemas para evaluar temas que son
realizados por varias unidades organizativas de la empresa, ya que el auditor no
tendrá un criterio definido sobre el cumplimiento o no de un estándar hasta haber
realizado la auditoría de todos los departamentos, divisiones, etc., afectados.

Listas de comprobación departamentales
El auditor agrupa las preguntas en función de la organización de la empresa,

indicando para cada una de las Divisiones, Departamentos, etc. Todos los aspectos
para analizar, por ejemplo:
 Departamento de gestión del sistema.

 Producción.
 Dirección.
 Compras.
 Otros.
Exigen, antes de su elaboración, un cierto conocimiento de la organización de la

empresa, las funciones y responsabilidades de cada unidad. Son muy adecuadas para
auditorías internas, en las que el auditor conoce perfectamente la organización de la
empresa.
6.4 Beneficios del uso de listas de comprobación
El uso de las listas de comprobación durante el desarrollo de la auditoría presenta

una serie de beneficios tanto para el auditor como para el auditado.
Beneficios para el auditor
Guía básica para la auditoría

La lista es una guía del recorrido que el auditado realiza a través del sistema de
gestión de la empresa, pero sin establecer rigideces que le ciñan en su realización
La lista es un documento interno del auditor, no le exige realizar las preguntas tal y
como se indican en la misma, dándole una libertad ordenada. Evitando que deje algún
tipo de criterio, actividad, etc., sin auditar.
Registro de la auditoría
Al igual que el auditor exige a presentación de registros que validen las evidencias,
la lista sirve de registro de los aspectos auditados, los resultados obtenidos y la

valoración de los mismos para el auditor que, en algún momento, tendrá que ser
evaluado o auditado por la administración, su empresa, etc.
Exige menos memoria al auditor.

El uso de la lista evita al auditor tener que mantener en su memoria todos los criterios
del estándar, lo que ha revisado o no, los criterios de interpretación, etc., lo que le
exigiría un gran esfuerzo.
Sirve para posteriores auditorías.

Cuando un mismo auditor o miembro de la misma organización va a realizar una
auditoría, puede revisar las listas utilizadas anteriormente, estudiando los
comentarios incluidos por el auditor, los aspectos revisados, etc., que le transmitirán
más información que el informe, ya que aparecerán reflejadas impresiones
personales, hallazgos no reflejados por falta de evidencias objetivas, etc.
Beneficios para el auditado
Garantía de objetividad
El uso de la lista de comprobación asegura al auditado que la auditoría ha sido
realizada de forma objetiva e independiente, sin la interpretación particular del
auditor en función del desarrollo de la auditoría.
Información sobre las líneas básicas de la auditoría.

La lista debe estar en disposición del auditado antes de la auditoría, si éste lo desea,
permitiéndole conocer los criterios y líneas básicas que el auditor seguirá en el
desarrollo de la auditoría.
Sirve al auditado para sus propias auditorías.

Muchas empresas, en la preparación de la auditoría, realizan auditorías internas
previas con la finalidad de evaluarse internamente e intuir los posibles resultados de
la auditoría externa. Las empresas suelen utilizar las listas de comprobación de los
auditores externos, pudiendo de esta forma, asegurarse el éxito. Los auditores
externos no deben entender esto como una trampa por parte de la empresa; si
durante la auditoría interna se corrigen errores del sistema, se ha conseguido el
objetivo buscado, la mejora de la prevención, y no el “pillar” a la empresa.

6.5 Las hojas de registro
La información que maneja el auditor a lo largo de la auditoría no sólo comprende la

obtenida de los registros y documentos, las entrevistas, sino que incluye otros
aspectos, en muchos casos subjetivos, que, aun no dando lugar a evidencias
objetivas, sí deben ser tenidos en cuenta. Mantener en la memoria esta información
exige un elevado esfuerzo, que no asegura la perdida de información, en especial
cuando queremos utilizar la información en auditorías posteriores.
El uso de las listas de comprobación, los diagramas de flujo o matrices de elementos

por departamentos, no permite al auditor de registrar sus impresiones, observaciones
o notas, de forma que disponga de estos datos durante la elaboración de la reunión
final y el informe. Estas anotaciones deben ser realizadas en algún tipo de documento
o registro que posteriormente se guardará con el resto de los documentos de la
auditoría.
No existe ninguna regla o práctica para hacer estas anotaciones; cada auditor, de
forma libre, se acostumbra a un tipo de documento, en muchos casos consecuencia
de la formación que recibió. Hay auditores que utilizan la propia lista de
comprobación, sus márgenes o el reverso de las páginas que la conforman. Otros
anexan simples hojas en blanco al final de la lista, el flujograma o la matriz. En ambos
casos, el auditor hará libremente sus anotaciones, dibujos, gráficos, etc., sin ningún
tipo de cortapisa, regla, etc.; está utilizando un documento de trabajo, para su uso
particular.
6.6 El archivo
El auditor exige al auditado registros que justifiquen sus actuaciones y cumplimiento

de requisitos. Los documentos que el auditor genera durante la auditoría son sus
registros del trabajo realizado, por lo que deberá archivarlos adecuadamente.
El archivo también será muy útil al auditor cuando vaya a auditar a una empresa con
posterioridad. El uso de los informes, registros, etc., de la anterior auditoría le va a
permitir reducir el tiempo de preparación y refrescar la información que obtuvo sobre
la empresa en las anteriores auditorías.

El archivo contendrá todos los documentos suministrados por la empresa, salvo que
le solicite su devolución, las listas de comprobación, los flujogramas, cartas, hojas
de registro, informes, etc., que hayan sido utilizados o generados consecuencia de la
auditoría. Debiendo estar organizado de forma que le permita localizar de forma
rápida la documentación buscada.

7 Cuantificación de resultados
7.1 Introducción
Posiblemente influidos de cuando estudiábamos, las notas de los exámenes, etc.,

nos es más fácil entender el resultado de una valoración, inspección o auditoría
cuantificándolo, cuando el grupo auditor se dispone a realizar la reunión final, es
habitual que el auditado le pregunte si han salido muchas o pocas no conformidades,
pretendiendo realizar una valoración cuantitativa, muchas empresas desean obtener
una cuantificación de la auditoría, para analizar la evolución de la empresa y sus
unidades organizativas a lo largo del tiempo, así como, fijar de forma clara los puntos
fuertes y débiles, en consecuencia, el auditor debe conocer los principales métodos
de cuantificación utilizados en las auditorías.
El auditor puede utilizar métodos de cuantificación, sin olvidar que los estándares
sobre los que se hacen las auditorías no lo requieren. Al cuantificar, simplemente,
ayudamos a la empresa a valorar los resultados de su auditoría. La obtención de un
determinado valor no implica dar mayor o menor importancia a las no conformidades
y observaciones, ya que todas ellas deben ser solventadas.
Para la cuantificación el auditor puede utilizar muchos métodos, todos ellos requieren
el uso de listas de comprobación, dado que la valoración tiene que realizarse sobre
cuestiones o preguntas concretas. Todos los métodos asignan un valor a cada
pregunta, diferenciándose en la forma de asignar o computar los posibles valores de
cada una de ellas.

7.2 Valoración lineal
La valoración lineal puntúa cada una de las cuestiones o preguntas,

independientemente de su contenido o importancia que para el desempeño del
sistema pueda tener el aspecto o requisito evaluado. Pueden darse dos formas de
valoración:
a) Si el aspecto se cumple práctica o totalmente se le asigna un valor 1, si no se

cumple o tiene un grado de cumplimiento bajo se le asigna 0.
b) Se valora el grado de implantación entre un valor mínimo, normalmente “0” y
un valor máximo cuando el cumplimiento es total. Este último valor se puede
elegir libremente, siendo los más usuales “1”, “5” o “10”.
La opción b) es más utilizada pues nos permite adaptar la valoración al grado de

cumplimiento de los aspectos auditados, mientras que la opción a) valora por igual
un aspecto que se cumple con limitaciones que un aspecto que no se cumple en
absoluto. En el caso de la opción b) una gradación adecuada puede ser entre 0 y 4,
asignado a los valores los siguientes.
8. = Incumplimiento total del requisito

9. = Los cumplimientos son anecdóticos
10.= El cumplimiento y los incumplimientos son similares
11.= Existen algunos incumplimientos anecdóticos
12.= Cumplimiento total
Para obtener el resultado o valoración del conjunto de la auditoría se utilizará la

siguiente formula:
Que expresado en tanto por ciento

Donde
n = Número total de aspectos evaluados o preguntas de la lista.

Vm = Valoración máxima posible de un ítem.
Vi = Valoración de la pregunta asignada por el auditor
Respecto al número de preguntas “n”, puede ocurrir que alguna de ellas no sea
aplicable, por lo que el valor de “n”, sería el correspondiente al número de preguntas
que sean de aplicación. Igualmente, cuando por cualquier circunstancia, un auditor
añada algún tipo de cuestión o pregunta a la lista de requisitos, se deberá
incrementar el valor de “n”.
Además de poder valorar el resultado de la auditoría, es posible dividir la valoración

en apartados, de la misma forma que dividimos la lista de verificación. El proceso es
el mismo, realizándose los cálculos de valoración por apartados, consiguiendo un
valor para cada uno de ellos. Esto nos permite analizar en qué aspectos esta mejor
o peor implantado el sistema y por lo tanto conocer los puntos fuertes y débiles de
la empresa.
Una vez obtenidos los datos resultados de cada apartado, es bastante gráfico
representarlos en un gráfico de barras como el siguiente, en el que podemos ver
fácilmente cual son los puntos fuertes y débiles de la empresa:
Cuando la empresa está siendo auditada de forma periódica, podemos representar

en un mismo gráfico el resultado de varias auditorías analizando la tendencia en el
tiempo.

7.3 Valoración ponderada
El cumplimiento de todas las cuestiones incluidas en la lista de comprobación no tiene

la misma influencia para alcanzar el objetivo del sistema de gestión.
Con la valoración lineal todas las preguntas tienen el mismo peso en el resultado de
la auditoría. Para evitar esto, se utiliza la valoración ponderada, mediante la cual
asignamos un peso determinado a cada aspecto a evaluar.
Conocer los requisitos que debe cumplir un sistema presenta ciertos problemas de
interpretación. Valorar la importancia de cada uno de los requisitos para alcanzar los
objetivos del sistema es difícil, cada técnico, consultor o auditor puede ponderarlo de
forma distinta, por lo que sólo podremos comparar resultados alcanzados con la
misma ponderación. Mientras que, con la valoración lineal, la implantación de un
sistema que cumple un determinado valor porcentual si puede ser comparado con
otro.
Para ponderar una lista de verificación, debemos asignar un peso a cada una de las
preguntas, eligiendo los valores entre un intervalo no muy amplios, por ejemplo: 1 a
3 ó 1 a 5. Siendo siempre las preguntas con más relación con el desempeño del
sistema más importantes las de máximo valor.
El resultado de la auditoría en tanto por ciento se calculará mediante la fórmula:
Donde
Ci = Coeficiente de ponderación de cada pregunta.

Vi = Valoración de la pregunta asignada por el auditor.
Vm = Valoración máxima posible de una pregunta.
Las listas de verificación ponderadas deben incluir el valor de ponderación de cada

requisito, pregunta o cuestión. Lo cual, además de ser utilizado para la valoración de
la auditoría, permite conocer al auditor y al auditado la importancia de cada uno de
los requisitos.

Al igual que en la valoración lineal los resultados de la auditoría pueden ser valorados
por apartados, pudiendo conocer los puntos fuertes y débiles. Pudiendo en este caso
ponderar cada apartado al igual que lo hemos hecho para cada una de las cuestiones
de la lista.

8 El informe
8.1 Introducción
Las conclusiones de la auditoría quedan reflejadas en el informe que pasa a ser

información documentada del sistema, de ahí la importancia de éste.
Las conclusiones de la auditoría (apartado 6.4.9.2 de ISO 19011) deben incluir, como
mínimo:
a) El grado de conformidad con los criterios de auditoría y la robustez del sistema

de gestión, incluyendo la eficacia del sistema de gestión para cumplir los
resultados previstos, identificación de los riesgos y la eficacia de las acciones
tomadas por el auditor pata abordar los riesgos;
b) La implementación, mantenimiento y mejoras eficaces del sistema;
c) El logro de los objetivos de la auditoría, cobertura del alcance de la auditoría y

cumplimiento de los criterios de auditoría;
d) Hallazgos similares encontrados en distintas áreas auditadas o en una auditoría

conjunta o en una auditoría previa, con el propósito de indicar tendencias.
e) Recomendaciones para la mejora.
8.2 Preparación del informe
Las conclusiones de la auditoría se plasman en el informe de auditoría, de ahí su

importancia, pues va a reflejar todo el trabajo que ha desarrollado el auditor y sus
conclusiones.

El auditor debe cuidar la redacción de este, una vez entregado es la única constancia
de su trabajo, además, es el documento que la empresa auditada, la administración,
las empresas certificadoras, etc. disponen para comprender como está siendo
desempeño del sistema, no debiendo requerirse el posterior concurso del auditor para
explicar o aclarar lo indicado en el mismo.
El auditor puede diseñar el informe a su buen criterio, gusto y entender, su calidad

de redacción, claridad y entendimiento no va a estar relacionado con la calidad del
auditor, se va a ver muy influenciado por su capacidad de redacción.
Existen auditores con gran capacidad de escritura mientras que otros tienen serios
problemas para elaborar informes más o menos claros. Igualmente, ocurre con su
longitud ya que, con la misma información, número de observaciones y no
conformidades, etc. se puede elaborar informes de mayor o menor longitud.
Aun dentro de la libertad existente en la elaboración del informe, el auditor debe

tener en cuenta una serie de criterios básicos a la hora de su elaboración, que
desarrollaremos a continuación.
La norma ISO 190011 nos indica en su apartado 6.5.1. que el informe de auditoría
debería “proporcionar un registro completo, preciso. Conciso y claro de la auditoría,
y debería incluir o hacer referencia a lo siguiente:
a) Los objetivos de la auditoría.

b) El alcance de la auditoría, particularmente la identificación de la organización (el
auditado) y de las funciones y procesos auditados.

c) La identificación del equipo auditor y de los participantes del auditado en la

auditoría.
d) La identificación del cliente de la auditoría.
e) Las fechas y ubicaciones donde se realizaron las actividades de auditoría.
f) Los criterios de auditoría.
g) Los hallazgos de la auditoría.
h) Las conclusiones de la auditoría.
i) Una declaración del grado en el que se han cumplido los criterios de auditoría.
j) Cualquier opinión divergente sin resolver entre el equipo auditor y el auditado.
k) Las auditorías, por naturaleza son un ejercicio de muestreo como tales, hay un
riesgo de que las evidencias de la auditoría examinadas no sean
representativas.
El informe de auditoría también puede incluir o hacer referencia, cuando sea

apropiado a:
 El plan de auditoría, incluyendo el horario.

 Un resumen del proceso de auditoría, incluyendo cualquier obstáculo encontrado
que pueda disminuir la confianza de las conclusiones en la auditoría.
 La confirmación de que se han cumplido los objetivos de la auditoría dentro del
alcance de ésta, de acuerdo con el plan de auditoría.
 Cualquier área dentro del alcance de la auditoría no cubierta, incluyendo
cualquier cuestión sobre la disponibilidad de las evidencias, los recursos o
confidencialidad, con las justificaciones relacionadas.
 Las buenas prácticas identificadas.
 El seguimiento acordado en el plan de acción, si existiera.
 Declaración sobre la naturaleza confidencial de los contenidos.
 Cualquier implicación para el programa de auditoría o las auditorías posteriores.
8.3 Estructura
El formato utilizado para el desarrollo del informe va a depender del gusto,

costumbre, etc., del propio auditor.
Actualmente la utilización de los ordenadores y sus procesadores de texto permiten

realizar o presentar informes con gran calidad gráfica. Sin embargo, el auditor no

debe olvidar que la calidad del informe no depende de su diseño gráfico, sino de su
contenido. La estructura del informe debe seguir una serie de pautas:
1. Número y referencia del informe.

El informe debe numerarse de forma que quede claramente identificado. La
codificación y numeración del informe seguirá los siguientes criterios:
• No será compleja, en muchos casos se pretende transmitir gran información
con el código, su complejidad la hace inoperante.
• Indicarán el año de la auditoría, de forma que, auditorías al mismo
departamento o empresa en diferentes años, tengan un código similar.
• Permitirá identificar modificaciones, cuando en casos excepcionales sea
necesario. No dando lugar a error entre el informe y su modificación o
modificaciones.
2. Identificación de la empresa auditora cuando el auditor no actúe como auditor

independiente.
3. Firma del Auditor Jefe
4. Firma de los miembros del grupo auditor (no es imprescindible).
5. Paginado, identificando la página y el número de páginas del informe.
6. Declaración de limitación de responsabilidad.
Las revisiones realizadas a documentos, registros, etc. durante la auditoría son

de carácter muestral, pudiendo existir actuaciones no conformes, que durante la
muestra no han sido detectadas. Con el fin de transmitir o dejar claro este hecho
al auditado, es conveniente incluir en el informe una declaración de limitación de
responsabilidad, cuyo texto puede ser:
“La auditoría se ha realizado sobre una muestra limitada lo más representativa

posible de todas las actuaciones y operaciones de la empresa, de ahí que los
resultados reflejados en este informe no eximan de la existencia de no
conformidades no detectadas”.
7. Declaración de confidencialidad
Los datos o información que la empresa pone a disposición del grupo auditor son
estrictamente confidenciales. Hemos indicado en otro Módulo que el auditado
puede exigir una declaración de confidencialidad. Aun habiéndola entregado, a
petición del auditado o no, en el informe debe incluirse una declaración de
confidencialidad. Como, por ejemplo:

“Cualquier información obtenida durante la auditoría por parte del grupo auditor
será tratada de forma estrictamente confidencial, no pudiendo ser desvelada a
terceras personas sin autorización previa de la empresa”.
8.4 Contenido
El informe, como cualquier tipo de registro, debe contener los trabajos realizados y
los resultados obtenidos y, por lo tanto, estará relacionado directamente con el objeto
y alcance de la auditoría. No siendo una simple transcripción de las entrevistas,
información, hechos observados, etc., pues no se pretende reproducir los trabajos
realizados, sino transmitir a su lector el grado de cumplimiento del sistema, indicando
de forma clara los hallazgos detectados.
El informe debe incluir como mínimo los siguientes aspectos:
Objeto
Se indicará el objeto de la auditoría de acuerdo con el incluido en el plan de auditoría.

Por ejemplo:
 El objeto del presente informe es indicar los trabajos realizados y los resultados
obtenidos durante la auditoría del Sistema de Gestión de XXXXX realizada a
EMPRESA, S.A. de conformidad con la norma YYYYY.
Alcance
El alcance debe quedar claramente reflejado en el informe, incluyéndose dentro del

mismo los siguientes aspectos:
1. Estándar bajo el cual se ha realizado la auditoría

2. Centros de trabajo auditados.
3. Actividades o unidades organizativas auditadas

Ejemplos de redacción son:
El alcance de este informe es la Auditoría del Sistema Medioambiental a la empresa

MMM, S.A. en su fábrica de Tres Cantos, c/ Polígono, 2, de conformidad con ISO
9001:2015 y sus centros de trabajo de Málaga Polígono Industrial “El campillo”
Parcela 27
La auditoría realizada cubre el periodo comprendido desde el 31 de junio de 2018 al

23 de junio de 2018.
Equipo auditor e interlocutores
El equipo de personas que han participado en el desarrollo de la auditoría debe quedar

reflejado en el informe, incluyendo tanto el equipo auditor como los interlocutores
por parte de la empresa. Indicando entre éstos últimos las personas que se
consideren relevantes para el informe y la auditoría, no siendo necesario indicar todos
y cada uno de los interlocutores que hemos tenido en la empresa.
La auditoría fue realizada por el siguiente equipo auditor:
Auditor líder: Juan Carlos Bajo Albarracín

Auditores: José González Pérez
Jorge Jiménez López
Experto Técnico: Jesús Juan García
Siendo su equipo interlocutor
Juan Carlos Ramírez (Director General)

Antonio Fernández (Responsable de seguridad de la información)
José Pérez Pez (Director de recursos Humanos)
Miguel Ángel Molina (Director de producción)
Francisco Pérez (Director de informática)
Documentos de referencia
El auditor evalúa si el sistema implantado cumple con los requisitos incluidos en un

estándar o documento de referencia, debiendo quedar definido cual ha sido. También

son utilizados durante la auditoría determinados documentos propios de la empresa

auditada, como la evaluación de riesgos, memorias anuales, etc.
En ambos casos, el auditor debe reflejar, no sólo el documento utilizado, sino también
la edición, fecha o referencia que lo defina claramente, por ejemplo:
Para el desarrollo de la auditoría se han tenido en cuenta los siguientes documentos:
4.1. - Reglamentación y normativa

Norma ISO 14001: 2015
4.2. - Documentación de la organización

Manual del sistema (Edición 3 - 12/07/2018)
Evaluación de Riesgos (Edición 2 - 24/09/2017)
Análisis del contexto (Edición 1 - 2/09/2017)
Realización o desarrollo
Este apartado es el contenido básico del informe, en él se reflejan todos los trabajos
realizados y las conclusiones obtenidas, expresando, de una forma estándar, la
opinión profesional sobre el estado de la empresa en materia de prevención.
Aunque el desarrollo de todo el informe debe ser cuidado por el auditor, este apartado
debe serlo en especial, en él se reflejan los aspectos básicos de la auditoría, en
contraposición de aspectos más formales reflejados en el resto de los apartados. No
confundiendo importancia con longitud o número de páginas, el auditor debe ser lo
más conciso posible, claro y entendible, debe redactarse el informe pensando en que
no sólo va a ser leído por personas especializadas o técnicas, que necesariamente no
conocen el lenguaje técnico. Su redacción no puede introducir elementos subjetivos
o literarios que puedan inducir a confusión e impidan una interpretación uniforme de
las conclusiones.
En este apartado, el auditor reflejará todas las actividades y requisitos incluidos en

el estándar que ha evaluado durante la auditoría, no limitándose a manifestar sólo
los incumplimientos o no conformidades, para lo cual realizaremos una breve
introducción sobre el aspecto evaluado, cuando, para mayor claridad, se considere
necesario de una forma similar a:

Se describen a continuación las distintas actividades auditadas indicando para cada

una de ellas los resultados obtenidos.
Tras el cual se irán analizando los distintos apartados o requisitos del estándar.
Teniendo en cuenta los siguientes criterios:
 No incorporar opiniones subjetivas del auditor, tales como
El Departamento de Calidad depende de la Dirección de Recursos Humanos, sería

preferible que dependiera de la dirección.
 No referenciar nombres del personal ni a la información confidencial:
Tal y como nos indicó el jefe del Almacén, Don Raúl Pérez, durante un tiempo no
determinado, aproximadamente un año, los detectores de incendios no habían
funcionado adecuadamente. Él lo había comunicado al Servicio de Prevención,
pero no se le hizo caso.
 No utilizar expresiones que indiquen duda o falta de confianza por parte del
auditor, como:
En apariencia,
Parece ser,
Según hemos oído…
 Cuando se quiera describir las actividades llevadas a cabo por parte del
auditado, con el fin de dar una mejor compresión a los posteriores hallazgos,
ésta debe ser lo más escueta y corta posible. Por ejemplo, no se debe utilizar un
párrafo como el siguiente:
La empresa dispone de tres máquinas de prensado, dos máquinas de corte, una

línea de conformado, tres taladradores, dos calderas, tres compresores. Dado que
estos equipos están sometidos a lo establecido en el Real Decreto 1215/1997,
por ser equipos de trabajo, han sido revisados en el mes de enero por parte de
un Organismo de Control Autorizado, correctamente acreditado por ENAC. El
organismo revisó los equipos en el mes de abril de 1998, siendo adaptados los
mismos a los requisitos mínimos de seguridad del Anexo I del Real Decreto antes
citado y posteriormente revisados en el mes de diciembre por el mismo

Organismo de Control. El cual ha Emitido los Certificados PRL-VAR-01/98 a PRL-

VAR-14/98. Comprobándose por parte del auditor D. Antonio González Pérez, que
éstos correspondían con los equipos existentes. Por lo que se consideran
adecuadas las actuaciones de la empresa.
Párrafo que debería haberse escrito de forma similar a:
La empresa ha realizado la adecuación de los equipos de trabajo a las

condiciones establecidas en el Real Decreto 1215/97, procediendo a una
posterior revisión de estos por parte de un Organismo de Control
Los hallazgos que se representan a través de las no conformidades deben tener la

siguiente estructura:
NO CONFORMIDAD = INCUMPLIMIENTO + REQUISITO DEL ESTÁNDAR

INCUMPLIDO + EVIDENCIA OBJETIVA
Realmente ésta sería la estructura más adecuada para una “no conformidad”, aunque
sólo sería imprescindible incluir el incumplimiento, la introducción del requisito
incumplido refuerza la no conformidad ante el auditado y la inclusión de las evidencias
objetivas da una mayor credibilidad a la no conformidad.
Un ejemplo sería:
“El sistema de prevención no asegura que todos los trabajadores de nuevo ingreso
en la empresa reciban la formación adecuada para los riesgos de su puesto de
trabajo, tal y como indica el artículo 17 de la Ley de Prevención de Riesgos Laborales
pues se han encontrado trabajadores en el taller, las oficinas y el almacén, con fechas
de ingreso de más de seis meses de antigüedad sin que hayan recibido formación en
materia de prevención”
Como vemos, la no conformidad podría haber terminado en “… su puesto de trabajo”,

lo añadido refuerza ésta y la aclara al auditado.
La redacción de las no conformidades es una de las carencias mayores que podemos

encontrar en los informes de auditoría, en muchos de ellos, el auditor se limita
escribir evidencias objetivas como si fueran no conformidades. En la mayoría de los

casos estos errores se deben a la inexperiencia del auditor, pero en muchos otros es
consecuencia de la falta de comprensión y diferenciación entre ambos aspectos. En
este sentido, podemos decir que una forma de valorar la capacidad del auditor suele
estar en su capacidad de redacción del informe, tanto en forma como en contenido.
Con el fin de ayudar a los auditores podríamos dar varias reglas:
 Cuando se va a redactar una no conformidad debemos seguir siempre una

estructura que nos permita empezar ésta por “El sistema no asegura que…”, si
somos incapaces de iniciarla por esta hipotética frase posiblemente estemos
indicando una no conformidad.
 Detrás de una evidencia objetiva que refleja un incumplimiento siempre existe
una no conformidad, la cuestión es analizar cuál es y cómo redactarla.
 A toda no conformidad le tendrán que sobrevenir dos acciones correctoras, un
hecho concreto que corrija las evidencias objetivas, un hecho concreto y una
acción sobre el sistema de prevención que corrija la no conformidad y evite que
se repita ésta.
La mejor forma para no equivocarse al escribir una no conformidad es redactarla con

la regla antes indicada y después de su redacción darle un aspecto más literario si se
desea.
Otro problema que se está planteando en las auditorías es la clasificación de las no

conformidades y la aparición del concepto de observación.
Algunas auditoras están clasificando las no-conformidades independientemente del

nombre que las den en graves y leves, importantes o no, observaciones, etc.
No obstante, este criterio que ha sido una copia del concepto de “certificación de
sistemas” está teniendo más un valor comercial que un valor técnico y en
consecuencia, en un determinado momento, como por ejemplo una actuación judicial
puede representar problemas al auditor y en especial auditado.
Por último, en caso de seguir este tipo de graduaciones, debe quedar muy claro en
el propio informe cuál han sido los criterios seguidos por el equipo auditor para llegar
a clasificar cada incumplimiento de la forma que lo ha sido.

Conclusiones
Las conclusiones de la auditoria que deben incluir:
a) El grado de cumplimiento de los requisitos y la robustez del sistema.

b) La eficacia del sistema.
c) Las propuestas de mejora.
d) Los puntos fuertes de la organización.
8.5 Distribución del informe de auditoría
De conformidad con el apartado 6.5.2. la distribución del informe debe:
 Hacerse en plazo de tiempo acordado con el auditado.

 El informe debe estar fechado, revisado y aceptado, según sea apropiado de
acuerdo con el programa de auditoría.
 Distribuirse a las partes pertinentes.
La distribución del informe debe garantizar la confidencialidad de este.

9 El proceso de auditoría
9.1 Introducción
La auditoría exige seguir una serie de pasos ordenados y sistemáticos que garanticen
su eficacia, facilitando la consecución de los objetivos perseguidos. La realización del
trabajo a través de una serie de etapas lógicas, cada una de las cuales se constituye
como previa y necesaria para la siguiente, y, a su vez, independiente entre sí, nos
asegura el éxito en el desempeño de nuestra función de auditor.
La auditoría es una actividad fundamentada en la profesionalidad de los auditores,

su opinión es la base de las conclusiones de la auditoría, pero no puede depender
única y exclusivamente de él. Ésta debe apoyarse en hechos contrastados, que el
auditor va reuniendo durante el desarrollo de su trabajo. El auditor necesita
desarrollar su trabajo conforme a una metodología que no deje ningún punto al azar,
no sólo como necesidad para él sino también para el auditado, que necesita un
elevado grado de confianza en los resultados.
El proceso de auditoría exige, al mismo tiempo, el ejercicio de una técnica

especializada y la aceptación de una responsabilidad pública. Como profesional el
auditor desempeña su trabajo mediante la aplicación de una serie de conocimientos
especializados que conforman el cuerpo técnico de su actividad. Sin embargo, en el
desempeño de esta labor, el auditor adquiere responsabilidades no solamente con
las personas que directamente contrata sus servicios, sino con un vasto número de
personas, desconocidas para él, que van a utilizar el resultado de su trabajo como
base para la toma de decisiones.
Consecuentemente, el seguimiento de las técnicas de auditoría generalmente

aceptadas dará una mayor confianza a su trabajo.
9.2 Preparación de la auditoría
Cuando al auditor se le solicita la realización de la auditoría, bien como auditor

independiente o como auditor de una empresa auditora, se inicia el proceso de
auditoría, cuya primera fase es la realización y planificación de la misma. El arranque

del proceso debe ser llevado por parte del auditor de una forma adecuada, el éxito
de la auditoría puede ser puesto en peligro si no se hace así.
9.2.1 Contacto con el auditado
Cuando se recibe una solicitud de auditoría, la empresa auditora o el auditor

encargado de la posible auditoría, se deben establecer contacto con el solicitante
para (apartado 6.2.2. ISO 19011):
a) Confirmar los canales de comunicación con los representantes del auditado

(interlocutor)
b) Confirmar la autoridad para llevar a cabo la auditoría (¿Podemos realizarla?)
c) Proporcionar información pertinente sobre los objetivos de la auditoría, el
alcance, los criterios, los métodos y la composición del equipo auditor
incluyendo información sobre los riesgos y oportunidades.
d) Solicitar acceso a la información pertinente con propósito de planificación,
incluyendo información sobre, los riesgos y oportunidades que la organización
ha identificado y la manera en que se abordan.
e) Determinar los requisitos legales y reglamentarios aplicables y otros requisitos
pertinentes para las actividades, procesos, productos y servicios auditados.
f) Confirmar lo acordado con el auditado respecto al grado de difusión y
tratamiento de la información confidencial.
g) Hacer los preparativos para la auditoría incluyendo el calendario.
h) Determinar los acuerdos específicos de la ubicación en cuanto al acceso,
seguridad y salud, seguridad física, confidencialidad u otras.
i) Acordar la asistencia de observadores y la necesidad de guías o interpretes para
el auditado. (idioma de auditoría)
j) Determinar cualquier área de interés, inquietud o los riesgos para el auditado en
relación con la auditoría específica.
k) Resolver las cuestiones relativas a la composición del equipo auditor con e
auditado o el cliente de la auditoría (conflictos de interés)
9.2.2 Determinación de la viabilidad de la auditoría
Una vez recibida la información indicada en el punto anterior, el auditor debe valorar
la viabilidad o no de poder desarrollar la auditoría.

Lo primero que debe hacer el auditor es conocer lo que su cliente, el auditado, le ha

solicitado. Como sabemos, el origen de la auditoría puede ser variado. En ocasiones
es una norma de gestión implantada en la empresa la que establece la necesidad de
llevarla a cabo, en otros casos es un requerimiento legal, una decisión personal o
institucional de la empresa. Por tanto, debe quedar claramente definido desde un
principio cuáles son los propósitos que el cliente persigue con la auditoría.
La viabilidad de la auditoría (apartado 6.2.3. de ISO 19011) se determinará en base

a:
 Si la información de que se dispone es suficiente.

 Si existe cooperación por parte del auditado.
 Si se dispone de la competencia, el tiempo y los recursos adecuados.
Además, si la auditoría se realiza bajo algún tipo de acreditación o autorización del

auditado, se comprobará que se dispone de ésta.
9.2.3 Planificación de la auditoría
El plan de auditoría es el documento que define la estrategia, la programación y las

características de la auditoría. Constituye una guía de trabajo para el auditor,
formaliza y ordena su conducta, garantiza que todas las actividades sean eficazmente
realizadas, que no se produzcan duplicaciones de esfuerzos y que se cumplan los
plazos de tiempo que se hayan establecido. Para la realización de su trabajo el equipo
auditor debe seguirlo de forma rigurosa, su cumplimiento constituye una prueba
frente a terceros del trabajo desarrollado, una garantía de calidad de este y un
método de supervisión.
El Plan de auditoría no es un documento extenso, incluyendo, como mínimo, los

siguientes aspectos (apartado 6.3.2.2. de ISO 19011):
 Los objetivos de la auditoría.

 El alcance de la auditoría, incluyendo la identificación de la organización y de
sus funciones, así como el proceso que va a auditarse.
 Los criterios de auditoría y cualquier información documentada.

 Las ubicaciones (físicas y virtuales), las fechas, el horario y la duración prevista

de las actividades de auditoría que se van a llevar a cabo, incluyendo las
reuniones con la dirección del auditado.
 La necesidad de que el equipo auditor se familiarice con las instalaciones y
procesos del auditado (por ejemplo, realizando una visita a las ubicaciones
físicas, o revisando las tecnologías de la información y las comunicaciones)
 Los métodos de auditoría que se van a usar, incluyendo el grado en que se
necesita el muestreo de la auditoría para obtener las evidencias de auditoría
suficientes.
 Los roles y responsabilidades de los miembros del equipo auditor (auditor líder,
auditores, observadores y expertos), así como los guías, observadores e
intérpretes.
 La asignación de los recursos apropiados basada en la consideración de los
riesgos y oportunidades relacionados con la actividad que se va a auditar.
9.2.4 Asignación de tareas al equipo auditor
La auditoría debe ser llevada a cabo por uno o varios auditores, adecuando su número
y características al propósito y alcance de esta, así como, y las características del
auditado y el alcance de la auditoría (apartado 6.3.3. de ISO 19011).
Cuando la auditoría la lleva a cabo un solo auditor, éste asume todas las
responsabilidades del desarrollo de esta, si la auditoría la llevan a cabo varios
auditores, uno de ellos debe hacerse responsable de su dirección, normalmente
denominado auditor líder o jefe. Éste será el que decida el número y preparación
técnica con que deben contar los miembros del equipo. Proceso nada fácil, que debe
ser llevado, en cada caso, basándose en los datos con los que cuenta el auditor.
No existen criterios para definir el número de persona que deben formar el equipo,
siendo responsabilidad del auditor jefe definir cuántos y cuáles serán sus
componentes. El auditor jefe debe definir su número en función de las necesidades,
teniendo en cuenta varios criterios:
 El número estará adecuado al volumen de trabajo previsto. La planificación de

un gran número de días/auditor, debe ir acompañada de un mayor número de
auditores, las auditorías no deben tener una duración excesiva. No podemos

olvidar que durante el desarrollo de estas se distorsiona la forma habitual de

trabajo de la empresa.
 El número de auditores debe relacionarse con el número de interlocutores que
la empresa ponga a disposición del grupo. En caso contrario un interlocutor
podría tener que atender a varios auditores simultáneamente.
 El coste de la auditoría se incrementa con el número de auditores
(fundamentalmente en cuanto al coste de los desplazamientos).
En consecuencia, el equipo auditor estará formado por:
 Un auditor líder o jefe.

 Auditores
 Técnicos especialistas
 Observadores
A los especialistas se les elige para auditar o asesorar en algún aspecto técnico
específico, por lo que no es preciso que estén durante toda la auditoría, solamente
durante el tiempo necesario para auditar los aspectos que requieren de su
especialización.
El auditor jefe debe poner especial cuidado en la elección del equipo, ya que el éxito
o fracaso de la auditoría depende de la elección del equipo adecuado. Teniendo en
cuenta que un equipo puede tener éxito en una auditoría y fracasar en la realización
de otra, por lo cual, no sólo se tendrá en cuenta la preparación o capacidad técnica
del equipo, deben analizarse aspectos subjetivos como compatibilidad de caracteres,
igualdad de interpretación de normas, reglamentos, etc.
Por último, como mecanismo de formación, es habitual que acompañando al equipo

auditor exista personal en formación que, a través de la observación del proceso de
auditoría, completen su proceso formativo. La existencia de estos “auditores en
prácticas” u “observadores” no implica que éstos sean considerados componentes del
equipo, pero exige la notificación previa, a la empresa auditada, de su existencia.
Una vez definido el equipo auditor, el auditor líder debe asignarle a cada uno de los
miembros en función de las tareas que le sean asignadas.

Cuando el número de auditores es impórtate, la organización de la auditoría es

compleja, etc. la asignación de funciones debería hacerse mediante la celebración de
una reunión del equipo para sincronizarse.
9.2.5 Preparación de la información documentada
Previamente a la auditoría el auditor o los miembros del equipo deben preparar la

documentación necesaria para desarrollar la auditoría, entre la que está (apartado
6.3.4. de ISO 19011):
 Listas de comprobación (existentes o creadas “ad hoc”).

 Reglamentos, estándares, etc.
 Detalles del muestreo de la auditoría
 Presentaciones, información audiovisual, etc.
 Planificación de la auditoría.
9.3 Realización de la auditoría
La fase de ejecución es el verdadero trabajo de la auditoría, el equipo pasa a realizar

el trabajo de campo, durante el cual procede a recolectar los datos, información,
evidencias objetivas, etc., que le permitan emitir un juicio del estado de la empresa.
Juicio que posteriormente plasmará en el informe de auditoría.
Esta fase se desarrolla desde la llegada a la empresa hasta la reunión final. Al igual
que en la fase de preparación, la ejecución de la auditoría tiene una sistemática
establecida que debe ser desarrollada por el equipo auditor. Ésta se basará en
métodos ampliamente contrastados.
Las actividades para desarrollar por parte del equipo auditor durante la fase de
ejecución son:
 Reunión inicial o de apertura

 Visita general de la empresa
 Búsqueda de evidencias de auditoría
 Reuniones diarias del equipo auditor

 Reuniones diarias de información

 Reunión final del equipo auditor
 Reunión final o de cierre.
9.3.1 Reunión inicial o de apertura
El equipo auditor, de acuerdo con el calendario establecido en el Plan de auditoría,

se presenta en la empresa, dándose comienzo a la auditoría en sentido estricto.
Encontrándose en este momento las dos partes que van a participar en la auditoría,
los auditores y los auditados, por lo que es fundamental “romper el hielo” para que
se pueda generar una adecuada sintonía que permita realizar el trabajo de forma
agradable y sin tensiones.
La reunión inicial, de presentación o de apertura (apartado 6.4.3. de ISO 19011),

según las diversas formas con las que se le denomina, es el acto que inaugura la
auditoría. Siendo el momento en el que el auditor líder pone en marcha su ejecución,
por lo que todas las actividades que el equipo realiza a partir de ese momento están
dentro del alcance de la auditoría. Podríamos decir, parodiando a las películas
policíacas americanas, que todo lo que el auditado diga a partir de ese momento
podrá ser tenido en cuenta en la auditoría.
Una de las características que definen a los auditores experimentados, es conducir

adecuadamente la reunión inicial. Una reunión inicial bien desarrollada puede facilitar
el trabajo de todo el equipo auditor; mal llevada puede originar el desarrollo
dificultoso de una auditoría.
Siendo un defecto bastante común en auditores expertos, consecuencia de haber

realizado muchas reuniones iniciales, desarrollarla de forma apresurada y
descuidada. No dándose cuenta de que para el auditado puede ser la primera.
Los aspectos para tener en cuenta por parte del auditor jefe en el desarrollo de la
reunión inicial son:

Presentaciones
A la reunión inicial, además del equipo auditor, deben asistir por parte de la empresa
auditada las personas responsables de las actividades o áreas a auditar. Las cuales,
en general, deben haber sido seleccionadas por parte del auditor, si bien la empresa
cuenta con absoluta libertad para decidir quién o quiénes van a acudir. Siendo
preferible el exceso que el defecto de asistentes. A modo de guía, deberían acudir las
siguientes personas: Representantes de la alta dirección de la empresa, responsables
del sistema, responsables de las áreas o actividades a auditar (directores de división,
jefes de departamento, etc.).
Durante la reunión el auditor jefe se presentará a sí mismo y a los miembros del

equipo, independientemente de las presentaciones iniciales que se habrán ido
realizando a la llegada a la empresa. Indicando cuáles son las áreas o actividades
que va a cubrir cada uno de los miembros del equipo.
El auditor jefe invitará al personal de la empresa presentarse o a alguno de sus

miembros a presentar al resto. Procediendo alguno de los auditores tomar nota de
sus nombres y cargos, para poder reflejar su asistencia en el informe de auditoría.
Explicación de qué es una auditoría
Cuando la empresa auditada no se ha sometido antes a una auditoría de sistemas de

gestión, el auditor jefe debería proceder a explicar someramente qué es. En general,
quitando los gestores del sistema, más si es la primera auditoría que reciben, muchos
de los asistentes no tendrán claro los conceptos básicos de la auditoría, lo cual puede
originar una cierta tensión hacia lo desconocido. Si la empresa ya ha realizado
auditorías previamente, no será preciso llevar a cabo esta explicación.
El auditor jefe deberá explicar los siguientes aspectos:
 Que los auditores buscarán la conformidad de lo realizado con los requisitos

establecidos en la legislación, normas o estándares contra los que se audita.
 Que la búsqueda se realizará mediante observación, entrevistas, revisión de la
documentación y registros.

 Que la auditoría tiene carácter muestral, por lo que aun habiéndose declarado
por parte del equipo auditor una determinada actuación como conforme, pueden
existir actuaciones no revisadas, pudiendo no ser conformes.
 Silas no conformidades se van a clasificar y que serán puestos en conocimiento
de los guías en el momento de su establecimiento.
 Que el mayor o menor número de no conformidades no tiene una correlación
con el estado del desempeño, lo que debemos tener en cuenta es la importancia
de las no conformidades.
 Que, de las conclusiones de la auditoría, posteriormente plasmados en el
informe, se les informará en la reunión final.
Propósito y alcance de la auditoría
El auditor líder debe explicar el propósito y alcance de la auditoría. Aunque éste esté
perfectamente aclarado entre el auditor y su interlocutor en la empresa, puede ocurrir
que alguno de los asistentes a la reunión no lo conozca. No debiéndose sorprender
el equipo auditor, si durante la reunión inicial, existe algún tipo de discusión entre
los miembros de la empresa sobre el alcance y propósito de esta.
Nombramiento de los guías
Independientemente del número de personas con las que va a tratar el equipo audito,
sus miembros van a ser acompañados a lo largo de la auditoría por personal de la
empresa, a los que denominaremos guías. Un guía debe conocer los procesos de la
empresa, las personas, las instalaciones, etc., de forma que pueda facilitar la labor
del equipo auditor. En general será personal de la organización involucrada en la
gestión del sistema.
Confirmar la edición de la documentación
Para la preparación de la auditoría, la empresa suministró al equipo auditor una serie

de documentos. Dado que entre la preparación de la auditoría y la realización de esta
ha transcurrido un determinado tiempo, en muchos casos la documentación puede
haber sufrido variaciones (no olvidemos que la preparación de la auditoría por parte
del auditado le habrá hecho encontrar determinadas desviaciones que habrá
corregido). Para no realizar comprobaciones sobre documentos obsoletos o
modificados, durante la reunión inicial se procederá a confirmar que la

documentación de que dispone el equipo está en vigor. De haber sido modificada, se

procederá a solicitar una copia actualizada.
Agenda
En el Plan de Auditoría se incluía una agenda u horario de las distintas actividades a

realizar durante la auditoría. Dado que las actividades van a ser realizadas
simultáneamente entre los miembros del equipo auditor y personal de la empresa,
en muchos casos, por problemas de la empresa o personales, las personas que van
a acompañar a los auditores no pueden hacerlo en el momento planificado, por lo
que se requiere una reorganización del horario. En la reunión inicial se procederá a
confirmar si el horario planificado es factible, en caso contrario se acordarán los
cambios necesarios.
Confidencialidad
El auditor jefe debe explicar a los miembros de la empresa que todos los datos e
información que sean puestos en conocimiento del grupo auditor como consecuencia
de su investigación son de carácter estrictamente confidencial
Aclaraciones y preguntas
Una vez realizadas todas las explicaciones, se procederá a aclarar todas aquellas
preguntas que los miembros de la empresa puedan requerir.
La duración de la reunión inicial no debe ser excesiva, la mayoría de los autores

recomiendan entre 15 y 30 minutos, si bien la experiencia del auditor jefe le indicará
la duración que debe dar a cada reunión.
9.3.2 Visita general a la empresa
Independientemente de las visitas específicas que cada uno de los miembros del
equipo auditor realicen a las distintas áreas de la empresa durante la auditoría, es
conveniente que todo el equipo realice una visita general a la empresa. Durante esta
visita podrán hacerse una idea general de los distintos procesos, instalaciones,
riesgos, etc., lo cual va a permitirles una mejor realización de la auditoría.

La duración de esta visita no debe ser excesiva, no debiéndose durante la misma

comenzar la toma de datos y evidencias, ya que lo único que se pretende es conocer
la sistemática de funcionamiento, los procesos y la forma de trabajo, con el fin de
poder realizar mejor la auditoría.
9.3.3 Búsqueda de evidencias de auditoría
Una vez realizada la reunión inicial y la visita a la empresa, cada auditor comenzará
a realizar su trabajo con los interlocutores que le hayan correspondido. Comenzando
la búsqueda de evidencias que permitan establecer el grado de conformidad del
sistema de gestión de la empresa.
9.3.4 Reuniones del equipo auditor
Durante la búsqueda de evidencias, la mayoría de los auditores desarrollarán su

trabajo independientemente. Teniendo en cuenta que ningún área o actividad de la
empresa es independiente del resto, durante la búsqueda cada auditor recibe cierta
información de cómo se realizan determinadas actividades que no están dentro de
su agenda. Con el fin de asegurar la imprescindible coordinación del equipo, éste
debe reunirse cada cierto tiempo para intercambiar información, opiniones y
consultas entre sí (apartado 6.4.4. de ISO 19011).
Estas reuniones serán llevadas a cabo sin la presencia de miembros de la empresa.

Durante la misma se tratarán los siguientes aspectos:
 El cumplimiento de la agenda y su adecuación si es necesario,

 la redistribución de actividades, cuando existe descompensación en los avances
entre auditores.
 comentar hallazgos, conclusiones y problemas y
 consensuar criterios ante situaciones difíciles.
Durante el desarrollo de las reuniones, en determinados casos, se puede llegar a

cierto grado de discusión ante la forma de interpretación de determinadas
actuaciones, es bueno que antes de acabar las reuniones dichos aspectos, que la
discusión habrá enriquecido, queden consensuados y solventados. Más cuando el

criterio adoptado por el equipo auditor puede afectar a la interpretación de los futuros
trabajos a realizar durante el resto de la auditoría.
La reunión del equipo auditor es utilizada en muchos casos para replantearse el

reparto de trabajos, pues consecuencia del estado de determinadas áreas respecto a
otras, uno o varios auditores pueden retrasarse sobre la planificación, mientras que
otros pueden ir adelantados. Se procederá a un nuevo reparto de trabajos de forma
que se puedan corregir los desequilibrios, llevando a cabo la auditoría en los plazos
establecidos.
No se requiere un número fijo de reuniones. Habitualmente se mantiene una corta

reunión antes o después de las comidas y una reunión más larga al finalizar el día.
9.3.5 Reuniones de información
El auditor líder, debe comunicar periódicamente los progresos, los hallazgos

importantes y cualquier inquietud al auditado (apartado 6.4.4. de ISO 19011) al
cliente de la auditoría (en la mayoría de los casos coincide con el auditado).
Al final del día o comienzo del siguiente, es conveniente realizar una reunión con los
miembros de la empresa implicados o una representación de estos, en muchos casos,
simplemente los responsables del sistema.
Esta reunión no es imprescindible, pero su realización mejora la calidad de la

auditoría, permitiendo, sobre todo en las auditorías largas, que la empresa no tenga
que esperar hasta la reunión final para conocer los hallazgos que el equipo auditor
está encontrando, evitando sorpresas de última hora.
Esta reunión, cuya duración no debe superar los 15 minutos, será realizada con
posterioridad a la reunión del equipo auditor, informándose al auditado de los
siguientes aspectos:
 Marcha de la auditoría respecto al plan.

 Hallazgos más más importantes.
 Necesidad de información o documentación complementaria.
 Problemas de interlocución.

Debe tenerse en cuenta que todos los hallazgos transmitidos durante las reuniones
diarias pueden sufrir modificación en las conclusiones, la ampliación de información
puede dar lugar a cambios estas por parte del equipo auditor. En la mayoría de los
casos, la propia información suministrada es utilizada por la empresa para realizar
modificaciones o correcciones rápidas que permitan dar por corregidas al hallazgo,
no obstante, está circunstancia constará en el informe.
El equipo auditor debe tener en cuenta que estas reuniones se convocan para el
beneficio propio y de la empresa, por lo que no deben de generar en un
enfrentamiento. Si el equipo auditor estaba equivocado en sus conclusiones, la
organización tendrá motivación para corregirle o ayudarle, si realmente existía un
problema, la investigación adicional que se suscita ayudará para reforzar el hecho.
En ambos casos, ambas partes ganan.
Cuando un auditor o experto técnico va a desarrollar parcialmente la auditoría, por

ser su trabajo específico para una actividad o área, la reunión de información servirá
para que éste se despida de los representantes de la empresa, quedando sus no
conformidades perfectamente aclaradas antes de irse.
9.3.6 Reunión final del equipo auditor
Una vez finalizada la búsqueda de evidencias, el equipo auditor procederá a reunirse

para analizar las conclusiones de la auditoría, a las que debe llegar de forma
consensuada. Aunque el principal responsable de la auditoría sea el auditor líder, los
resultados de una auditoría son los resultados extraídos por un equipo.
Durante la reunión final (la norma ISO 19011 lo denomina en su apartado 6.4.9.1.
“preparación para la reunión de cierre), el auditor líder repasa todos los aspectos
auditados de forma ordenada, indicando cada auditor en la parte que le corresponda
los hallazgos encontrados y las conclusiones que ha extraído. El resto del equipo
aportará aquella información que pueda modificar o ratificar las conclusiones
expuestas, para evitar los sesgos producidos por la información parcial que puede
disponer un determinado auditor.
Analizados todos los hallazgos encontrados, el auditor jefe procederá a realizar un

resumen de estos y presentar las conclusiones para su discusión y aprobación, las

cuales debe escribir, a forma de borrador de informe, antes de proceder a su

presentación a la organización.
Cuando el auditor ha acordado la entrega del informe en la reunión final, en la reunión

del equipo auditor se elaborará éste (téngase en cuenta a la hora de valorar el tiempo
de la reunión en la planificación).
9.3.7 Reunión final o de cierre
La reunión final de cierre formaliza el cierre de la auditoría y tiene por misión informar
a la empresa sobre el resultado a través de la exposición de los hallazgos y las
conclusiones de la auditoría (apartado 6.4.10. de ISO 19011). Normalmente esta
reunión suele realizarse la última tarde de la auditoría, debiendo planificarse el equipo
auditor adecuadamente ya que, en muchos casos, los problemas de horarios de
vuelos, trenes, etc., pueden hacer que la reunión deba realizarse de forma
apresurada, en consecuencia “mal”.
La reunión final debe ser conducida por el auditor líder, que comenzará saludando a
los asistentes, agradeciéndoles su asistencia. En particular a aquellos asistentes que
no estuvieron en la reunión inicial, que suelen coincidir con la alta dirección de la
empresa; gerente, consejero delegado, etc. El auditor jefe debe hacer, previamente,
hincapié en que asistan a la reunión todos los responsables de la empresa afectados
por la auditoría, ya que al ser ellos los responsables de implantar las medidas
correctoras deben entender perfectamente lo que ha encontrado el equipo auditor.
Durante la reunión es fundamental que no existan discrepancias reales o aparentes

entre el equipo auditor, por lo que los auditores sólo manifestarán su opinión cuando
el auditor líder les dé la palabra. El equipo habla con una sola voz: la del auditor jefe.
Con el fin de iniciar la reunión de forma distendida, el auditor jefe comenzará la

reunión indicando que la auditoría ha concluido. Agradeciendo a la empresa su
hospitalidad, las atenciones y el trato recibido. No nos extendamos, la empresa está
esperando las conclusiones como el alumno que espera las notas de un examen.
El auditor jefe debe comenzar por exponer los aspectos positivos y después los
negativos, poniéndose en el punto de vista de los auditados. El objetivo de la
auditoría es que las cosas cambien para bien, la organización ya ha realizado un

esfuerzo que agradecerá que le sea reconocido. Una reunión final bien conducida
debe haber transmitido a los miembros de la empresa que el auditor no se ha
dedicado simplemente a buscar fallos o puntos débiles, sino que ha sido capaz de
analizar el sistema de gestión de forma correcta, habiendo captado el verdadero
estado de las cosas. Lo cual es difícil de transmitir, pues en la presentación de
conclusiones los aspectos positivos se suelen generalizar, mientras que los aspectos
negativos se enumeran detalladamente.
Los auditados tienden a justificar su actuación, discutiendo la interpretación del

auditor o su comprensión de la realidad de la organización.
El auditor líder deberá dejar claro la validez de los hallazgos, recurriendo en muchos
casos al guía de la empresa para validar los mismos. No debiendo permitir que la
reunión se transforme en una agria discusión, ni realizar cambios en sus conclusiones
que no estén claramente justificados. De lo contrario, demostrará una debilidad que
puede poner en entredicho su profesionalidad, y, por tanto, el resultado de la
auditoría.
Durante la reunión puede surgir por parte del auditado la petición de ayuda para
corregir los problemas detectados. Un auditor no es un consultor que pueda
recomendar acciones correctoras para corregir las no conformidades. Pero si puede
indicarle diferentes formas en las que puede hacerlo, a modo de ejemplo.
Una vez expuestos y aclarados los hallazgos, no es conveniente alargar la reunión;

tanto el equipo auditor como los auditados estarán cansados, teniendo ambas partes
ganas de finalizar la auditoría. El auditor jefe dará por terminada la reunión y se
procede a la despedida.
9.3.8 Preparación y distribución del informe de auditoría
De acuerdo con lo establecido previamente, el informe podrá quedar redactado y

entregado a la organización en la reunión final o realizado y enviado a la organización
posteriormente. Siempre en el plazo acordado de entrega (apartado 6.5. ISO 19011)

10 El programa de auditoría
10.1 Introducción
Un programa de auditoría es un plan de acción o sistema que documenta qué

procedimientos seguirá una organización que va a realizar auditorías, sean éstas de
primera, segunda o tercera parte.
La extensión del programa de auditoría (apartado 5.1. de ISO 19011) debe adecuarse
a:
 El tamaño y naturaleza del auditado

 Naturaleza, funcionalidad y complejidad de la organización
 Los riesgos y oportunidades
 La madurez del sistema a auditar
En palabras coloquiales, un programa de auditoría refleja la sistemática de trabajo

del equipo auditor con el fin de eliminar los posibles riesgos de auditoría, por ello, la
complejidad del programa será mayor en función de la complejidad de la auditoría a
realiza, el tamaño de la organización, etc. y si existen funciones subcontratadas,
múltiples ubicaciones/sedes, auditores, etc.

10.2 Contenido
El programa de auditoría debería incluir, en función de su complejidad, los recursos

que permitan que las auditorías se realicen de forma eficaz y eficiente dentro de los
periodos de tiempo especificado. Esta información debería incluir:
a) Objetivos para el programa de auditoría.

b) Riesgos y oportunidades asociados con el programa de auditoría dentro del
alcance de la auditoría.
c) Alcance (extensión, limites, ubicaciones) de cada auditoría dentro del programa
de auditoría.
d) Calendario (número/duración/frecuencia) de las auditorías.
e) Tipos de auditoría, tales como internas y externas.
f) Criterios de auditoría.
g) Métodos de auditoría a emplear.
h) Criterios para seleccionar a los miembros del equipo auditor.
i) Información documentada pertinente.
10.3 Determinación y evaluación de los riesgos y oportunidades del

programa de auditoría
Es importante que el programa analice los posibles riesgos de la auditoría, entre los
cuales pueden encontrarse (apartado 5.3. de ISO 19011):
a) Errores al planificar en cuanto a la determinación de la extensión, número,

duración, ubicaciones y calendario de las auditorías.
b) Conceder insuficiente tiempo, equipos y/o información a los auditores.
c) Que el equipo auditor no disponga de las competencias necesarias.
d) Fallos en la confidencialidad.
e) Fallos en la comunicación entre auditado y auditor.
f) Errores en la consecución de la información.
g) Poca disponibilidad del personal calve del auditor.

10.4 Objetivos básicos del programa de auditoría
Entre los objetivos del programa están:
 Definir los objetivos, la cada auditoría

 Alcance y los criterios para cada auditoría individual.
 Calendario (número/duración/frecuencia) de las auditorías.
 Definir los métodos de cada auditoría
 Garantizar la competencia de los auditores.
 Asegurar la disposición de la información documentada.
10.5 El programa de auditoría interna
Como hemos visto el programa de auditoría lo que pretende es que éstas sean
realizadas garantizando los objetivos de esta. Por ello su complejidad va a depender
fundamentalmente del tamaño de la organización y el número de auditores que
trabajan bajo el programa.
Los contenidos de un programa de auditoría interna deben definir, en función del

tamaño de la organización:
 Plazos de realización de las auditorías

 Competencias del equipo auditor
 Cualificaciones de los auditores
 Metodología de auditoría
Gestión y control de la información documentada.
Como podemos ver el programa de auditoría de una organización salvo que sea muy
grande su programa de auditoría es muy sencillo.

11 La auditoría interna
11.1 Introducción
Todas las normas de gestión exigen que la empresa se audite internamente (también
denominada auditoría de primera parte).
Hemos analizado hasta ahora como el proceso básico de auditoría, pero estos
procesos tienen una serie de características que debemos tener en cuenta a la hora
de la realización de las auditorías internas.
Es importante destacar que el concepto de auditoría interna no implica que la

auditoría interna sea realizada por personal de la propia organización.
Vamos a analizar a especificar algunos aspectos de los estudiados a la auditoría

interna.
11.2 Programa de auditoría
En una pequeña o mediana empresa que tiene un sistema implantado de acuerdo

con una norma, en la que se realiza una auditoría interna anual, por la misma
persona, etc. el programa de auditoría se reduce ampliamente.
Cuando la organización es compleja o grande, en la que se deben planificar auditorías

a diferentes áreas, procesos, etc. en diferentes momentos y por diferentes personas,
el programa de auditoría debe recoger de manera clara todo lo indicado en la norma.
El programa de auditoría interna debe incluir:
 Objetivos de la auditoría.
 Fechas, periodicidades, áreas a auditar, etc.
 Competencia de los auditores.
 Proceso de elaboración del informe.
 Distribución del informe.

11.3 Independencia
En muchas organizaciones, en particular en las medianas y pequeñas empresas, es

difícil en muchos casos encontrar posiciones en la organización que puedan auditarla
con suficiente independencia. Si tenemos lo indicado en el apartado 4 de la norma
“Principios de auditoría”, en el principio e) “Independencia” nos indica que:
“para las auditorías internas, los auditores deberían ser independientes de la función
que se audita, si es posible”.
Es decir, la independencia del auditor interno perteneciente a plantilla va a ser muy

difícil llegar a una independencia total y a veces, prácticamente imposible.
En muchos casos, la auditoría la desarrolla el responsable del sistema a todas las

actividades de este, salvo las que gestiona él, que son auditadas por un tercero
(interno o externo).
Cuando se contrata al auditor externamente, éste debe disponer, como mínimo, de

las mismas competencias que se exigen para el auditor interno en el programa de
auditoría.
11.4 Competencia del auditor
Lógicamente el conocimiento del sector, la organización, etc. habitualmente lo damos

por hecho. El que el auditor pertenezca a la plantilla, no implica que conozca todos
los procesos, centros de trabajo, actividades, etc., en este caso deberá adquirir los
conocimientos de su organización que le sean necesarios.
Independientemente del conocimiento que el auditor pueda tener de la empresa,

deberá disponer de conocimientos o formación en:
a) La norma que se va a auditar.

b) Las técnicas de auditoría.
c) Conocimiento del programa de auditoría.

En cuanto, a la formación práctica, en muchos casos es complicado adquirirla para el

auditor interno, pues no le va a ser fácil realizar auditorías de acompañamiento.
11.5 Proceso de auditoría
El proceso de auditoría es el mismo en la auditoría interna que externa. Sin embargo,

en la auditoría interna éste es menos formalista ya que, generalmente:
 No se realiza una reunión inicial con el auditado de carácter formalista,

generalmente la auditoría se inicia directamente con el responsable de cada
parte auditada.
 Las relaciones entre el auditado y el auditor suelen estar condicionadas por sus
relaciones generales dentro de la organización.
 No suele realizarse una reunión final formalista con la dirección.
 Las entrevistas, en general son más distendidas.
 El auditado piensa que tiene capacidad de influencia por la relación con el
auditor.
 El informe suele ser menos formalista.

12 El día después
Hasta ahora hemos hablado de la auditoría y su proceso desde el inicio al final. Pero
la auditoría tiene como objetivo no detectar sólo hallazgos, si no que la organización
posteriormente debe tomar las medidas para solventarlos y aprovechar los puntos
de mejora que se detectan en la auditoría.
Una vez recibido el informe por parte del auditado, lo primero que se debe hacer es
analizar los resultados de este de forma serena, ya que las actuaciones a realizar no
pueden ser decididas de forma intempestiva. Este análisis tiene que desarrollarse por
toda la empresa y no sólo por los responsables del sistema.
Por esto, las conclusiones de la auditoría deben ponerse en conocimiento, como

mínimo, de las siguientes personas o unidades organizativas:
 Dirección de la empresa.
 Responsables del sistema.
 Responsables de las distintas unidades organizativas de la empresa.
 Los miembros de la organización pertinentes.
Informados todos, se establecerán las acciones correctoras a adoptar consecuencia

de las observaciones y no conformidades. Para establecerlas conviene formar un
comité o grupo de trabajo que analice las necesidades, proponga las acciones y
establezca el Plan de Acciones Correctoras.
Para cada observación o no conformidad, el comité formado desarrollará el siguiente

proceso:
1. Analizará el hallazgo y las evidencias de auditoría.

2. Identificará las causas que lo han generado.
3. Se definirá acciones correctoras para para actuar sobre las causas que lo han
originado.
4. Planificación de las acciones correctoras.
En general el problema suele estar identificado en el propio informe de auditoría, si

bien desde el punto de vista del auditor y no del auditado. Sin embargo, la

identificación de la causa del problema debe ser realizada por parte del auditado, él
es quien conoce la empresa, los procesos, las personas, etc.
El siguiente paso será resolver el problema que ha sido detectado, no confundiendo

la resolución del problema con la resolución de la causa. El problema está resuelto
cuando se elimina el mismo, tal y como se indicó en el informe, pero en muchos
casos no se resuelve las causas que lo originaron. Muchas empresas corrigen el
problema, pero no la causa que lo origino, y posteriormente se repite.
A modo de ejemplo, una empresa en la que se han detectado diez trabajadores sin
equipos de protección, el problema se resuelve dándole a los diez trabajadores los
equipos necesarios. Sin embargo, la causa que generó el problema: la falta de una
sistemática que asegure que todos y cada uno de los trabajadores reciban los equipos
necesarios; se solventa analizando por qué la sistemática existente no funciona,
modificándola en los puntos o aspectos que falla.
Tanto en el análisis del problema como el de las causas, las medidas a adoptar por
parte de la empresa deben ser recogidas en el Plan de Acciones Correctoras, en el
cual, para cada una de las no conformidades u observaciones, se indicará quién es el
responsable de que se lleve a cabo la medida y los plazos de implantación.
Establecido el Plan de Acciones Correctoras, se debe ir verificando, de forma
periódica, su cumplimiento.
Llevadas a cabo las acciones correctoras, se procederá a evaluarlas analizando si son

eficaces, es decir, si se han corregido las causas que originaron el problema. No
valiendo simplemente comprobar que se ha implantado la medida, es preciso analizar
los resultados obtenidos, pues en determinados casos la acción propuesta, aun
correctamente implantada, no es efectiva, teniendo que proponerse una nueva
medida correctora. La evaluación puede ser realizada mediante auditorías parciales
o cualquier otro método, tras lo cual, si se considera eficaz la implantación, se dará
por cerrada la no conformidad.

Un aspecto que demuestra el desempeño del sistema es el control de las no

conformidades y las acciones correctoras. Un mal seguimiento de éstas implica que
el compromiso de la organización es bajo y, en consecuencia, su desempeño lo será.

13 El auditor de sistemas de gestión
13.1 Introducción
Hemos analizado los diversos métodos y técnicas para el desarrollo de la auditoría,

sin embargo, desde el principio, tal y como vimos en la definición de auditoría, “el
que oye” es el auditor, es decir, quien utiliza las herramientas que hasta ahora hemos
visto es él, por lo que debemos dedicarle especial atención, pues sus fallos y aciertos
influirán en el resultado de la auditoría, no sólo desde el punto de vista del auditado,
sino también desde la necesaria confianza de la sociedad en los resultados de ésta.
Definir las cualidades, capacidades y habilidades de un auditor resulta complicado,

no existen auditores perfectos, por lo que todas y cada una de las personas que se
dedican a realizar auditorías tienen un conjunto de mayor o menor de capacidades
que van a ir desarrollando.
Decidir la combinación ideal es imposible, el auditor desempeñará su trabajo en un

entorno cambiante, cada auditoría es diferente de las otras, los interlocutores nunca
son los mismos, etc., por lo que sólo sabremos si el binomio formado entre el auditor
y el auditado funciona cuando ya está en funcionamiento, y si no funciona, ya es
tarde.
13.2 Comportamiento personal
Definir cuáles son las buenas y malas características del auditor es fácil, encontrar
una persona que disponga de todas las buenas y ninguna de las malas, sería
prácticamente imposible.
El auditor debe presentar, como cualquier persona, una serie de cualidades humanas
que le van a ayudar en el desarrollo de su trabajo. Los auditores deben conocerlas
con el fin de potenciar unas y controlar las otras, no como algo imprescindible, sino
como algo deseable.

Características del auditor
Deseables No deseables
Buen juicio Poco juicioso

Metódico Quisquilloso
Diplomático Cinismo
Analítico Condescendiente
Honesto Polémico
Profesional Subjetivo
Comunicador Parcial
Paciente Crédulo
Objetivo Impaciente
Diplomático Perezoso
Humano Apático
Trabajador Deshonesto
Constante Irreflexivo
Cada una de las personas que pretendan dedicarse a la auditoría debe analizarse a
sí mismos, intentando tener el mayor número de cualidades incluidas en la columna
de la izquierda.
También podemos utilizar como referencia respecto a las aptitudes del auditor la
norma ANSI/ASME NQA-1 que incluye la siguiente tabla sobre las cualidades del
auditor3:
CUALIDADES 1 2 3 4 5
Cultura *
Aptitudes profesionales Bases técnicas *
Formación específica *
Experiencia previa *
Comprensión *
Memoria *
Aptitudes intelectuales Intuición *
Capacidad de juicio *
Sentido de la organización *
Detección de errores *
3
Albert Badia Giménez, Calidad: Enfoque ISO 9000. Pág. 293 Ediciones Deusto - Barcelona

Honestidad *
Autocrítica *
Sentido de la responsabilidad *
Discreción *
Firmeza y entereza *
Comportamiento social Disciplina *
Carácter *
Espíritu de equipo *
Iniciativa *
Decisión *
Sociabilidad *
Espíritu de progreso *
Formación *
Salud *
Aptitudes físicas Presencia *
Dinamismo *
Resistencia *
Por otra parte, la norma ISO 19011, define como atributos personales de los
auditores los siguientes:
a) Ético, es decir, imparcial, sincero, honesto y discreto;

b) De mentalidad abierta, es decir, dispuesto a considerar ideas o puntos de vista
alternativos;
c) Diplomático, es decir, con tacto en las relaciones con las personas;
d) Observador, es decir, activamente consciente del entorno físico y las
actividades;
e) Perceptivo, es decir, instintivamente consciente y capaz de entender las
situaciones;
f) Versátil, es decir, se adapta fácilmente a las diferentes situaciones;
g) Tenaz; es decir, persistente, orientado hacia el logro de los objetivos;
h) Decidido, es decir, alcanza conclusiones oportunas basadas en los análisis y
razonamientos lógicos;
i) Seguro de sí mismo, es decir, actúa y funciona de forma independiente a la vez
que interactúa eficazmente con otros.

j) Capaz de actuar con firmeza, es decir, capaz de actuar de manera responsable

y ética, aunque estas acciones puedan no ser siempre populares y en alguna
ocasión pueden causar desacuerdos o alguna confrontación;
k) Abierto a diferentes culturas, es decir, observador y respetuoso con la cultura
del auditado;
l) Colaborador, es decir, que interactúa eficazmente con los demás, incluyendo los
miembros del equipo auditor y el personal auditado.
13.3 Competencia
El auditor debe mantener una serie de competencias que debe mantener a través de
un proceso de adecuación a las nuevas ediciones de la norma, los cambios
tecnológicos, etc.
En este sentido el auditor debe tener competencias generales en relación con la

gestión y los sistemas de gestión y formación específica en cada estándar y sector
en el que va a realizar auditorías.
Conocimientos y habilidades generales
Independientemente de la norma o estándar que vaya a utilizar durante la auditoría,

el auditor debe disponer de conocimientos y habilidades (apartado 7.2.3.2 de ISO
19011) sobre:
a) Principio, procesos y métodos de auditoría.

b) Normas de sistemas de gestión y otras referencias.
c) Metodologías de análisis del contexto.
d) Requisitos legales aplicables.

Competencias específicas disciplina y sector
El conocimiento del sector y las disciplinas auditadas deben deben estar en el equipo
auditor en su conjunto (cuando el auditor actúa sólo debe disponer de todas ellas).
Estas competencias (apartado 7.2.3.3. de ISO 19011) requeridas incluyen, entre
otros:
a) Los requisitos y principios del sistema de gestión aplicable.

b) Los fundamentos de las disciplinas y sectores relacionados con las normas de
sistemas de gestión aplicados por el auditado.
c) La aplicación de métodos, técnicas, procesos y prácticas específicos de la
disciplina y el sector.
d) Los principios, los métodos y las técnicas pertinentes para la disciplina y el
sector.
En resumen, el auditor debe conocer la norma bajo la que realiza la auditoría y los
conocimientos o experiencia sobre el sector que audita.
Para la adquisición de la competencia (7.2.4.) del auditor se puede adquirir a través

de:
a) Formación en sistemas de gestión y metodologías auditoras.

b) Experiencia en función técnica, de dirección o profesional pertinente.
c) Educación/formación y experiencia en una disciplina y sector de sistemas de
gestión específicos.
d) Experiencia en la realización de auditorías en formación bajo la supervisión de
un auditor competente.
13.4 Actitudes
El auditor irrumpe en el normal funcionamiento de la empresa auditada generando

un cierto grado de molestia, más cuando viene a examinar su forma de trabajar. La
actitud del auditor frente al auditado, no sólo en referencia a su forma de llevar a
cabo la auditoría, sino en cuanto a la relación personal es fundamental.

Los auditores deben ser conscientes de que su actitud va a condicionar el desarrollo

de la auditoría, fundamentalmente en lo relacionado con la comunicación entre
auditor y auditado. Por esto, debe esforzarse en:
 Recordar, en todo momento, que la auditoría es un acontecimiento importante

para el auditado. En muchos casos su resultado puede tener importantes
repercusiones económicas o legales para la empresa.
 Mostrar una actitud serena y relajada, procurando transmitirla al auditado. Si el
auditor se muestra inseguro, nervioso, etc., creará un cierto clima de
nerviosismo entre todos los participantes.
 Demostrar interés en todo lo que se le comunique, aunque no lo tenga.
 Relajar al auditado cuando ve que se está poniendo nervioso, transmitiéndole
que la entrevista no es un interrogatorio policial. Muchas personas no están
acostumbradas a que se les entreviste, se sienten examinados.
 Hablar de forma clara y sencilla para que se le entienda. No es preciso utilizar
términos técnicos ni grandilocuentes para demostrar los conocimientos de que
se dispone. Su uso hace perder claridad y comprensión cuando el entrevistado
no dispone del mismo nivel de conocimiento y vocabulario.
 Dirigirse a las personas que pueden darle la información y no a sus jefes,
simplemente por el hecho de serlo. La información está, en la mayoría de los
casos, en posesión de las personas que realizan los trabajos, y no en las
personas que los organizan, asignan, etc.
 Entender que los entrevistados no se encuentran a gusto respondiendo
preguntas delante de sus superiores, en general, las respuestas van dirigidas a
ellos y no al auditor. Cuando el auditor pregunta por algo que hacemos mal, al
entrevistado le preocupa más la opinión de sus superiores que los resultados de
la auditoría.
 No desprestigiar al entrevistado delante de sus compañeros, inferiores o
superiores. Si alguien hace algo mal, no se debe criticar la actuación de la
persona, simplemente se debe reflejar el hallazgo.
 Adoptar una actitud investigadora, pero a su vez comprensiva y cálida, sin que
esto último suponga una actitud paternalista.
No debiendo nunca:
 Aceptar que un buen auditor siempre realiza hallazgos que representan fallos o
no conformidades: ¿Por qué todo no puede estar bien?

 Adoptar actitudes de incomunicación con el auditado, tales como indiferencia,

desprecio, ironía, paternalismo, etc.
 Aparentar falta de interés o imagen de no estar centrado en la auditoría. Para el
auditor, la auditoría puede ser algo rutinario; para el auditado, no.
 Aparentar placer al encontrar fallos. El auditor debe disfrutar con el desarrollo
de su trabajo, lo cual no implica que encontrar fallos refleje una sensación de
trabajo bien hecho, ni de poder ante el auditado.
 No tomar notas o estar más pendiente de tomar nota que de escuchar.
 Discutir las opiniones acaloradamente. Las discusiones deben ser llevadas a
cabo entre personas adultas, que pueden tener discrepancias, pero que son
capaces razonarlas civilizadamente. Cuando el auditor observe que el auditado
comienza a irritarse debe reconducir la entrevista y la auditoría de tal forma que
el ambiente se relaje.
 Auditar aspectos tecnológicos que no son objeto de la auditoría. El auditor va a
evaluar cómo se lleva a cabo la gestión compliance, y no cómo se desarrollan
los procesos tecnológicos de la empresa.
 Pasar a otro tema cuando el auditor encuentra explicaciones tecnológicas
complejas que no comprende, para que esto no se note.
 Enfrentar al auditado con sus compañeros, subordinados o superiores.
 Cesar en la búsqueda de evidencias porque va mal de tiempo. Si no hay tiempo
para llevar a cabo la auditoría en el tiempo que se había estimado, se planificará
más.
Condicionar su criterio por presiones del auditado en cuanto a su puesto de trabajo

o el futuro de la empresa.

Directrices para La Auditoría de Sistemas de Gestión. ISO 19011:2018

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Directrices para La Auditoría de Sistemas de Gestión. ISO 19011:2018

Cargado por

Copyright:

Formatos disponibles

Directrices para la auditoría de

Directrices para la auditoría de sistemas de gestión. ISO 19011:2018 ....... 5

© UPCPLUS.COM - FUNDACIÓ UNIVERSITAT POLITÈCNICA DE CATALUNYA 2

5.1 Introducción ........................................................................................................................ 65

6 Los documentos de trabajo ................................................................. 75

© UPCPLUS.COM - FUNDACIÓ UNIVERSITAT POLITÈCNICA DE CATALUNYA 3

9.3.7 Reunión final o de cierre............................................................................................ 112

10 El programa de auditoría ................................................................... 114

© UPCPLUS.COM - FUNDACIÓ UNIVERSITAT POLITÈCNICA DE CATALUNYA 4

Directrices para la auditoría de sistemas de

El funcionario, sentado en el muelle, escuchaba y anotaba que el capitán gritaba

La utilización de un funcionario o persona ajena a quien realiza una actividad para

© UPCPLUS.COM - FUNDACIÓ UNIVERSITAT POLITÈCNICA DE CATALUNYA 5

No obstante, la auditoría se ha visto utilizada ampliamente en conceptos relacionados

El origen histórico de la auditoría fue exclusivamente contable, pero a partir de los

© UPCPLUS.COM - FUNDACIÓ UNIVERSITAT POLITÈCNICA DE CATALUNYA 6

El auditor es independiente de lo auditado. Es decir, no ha tomado parte en la gestión

Este posicionamiento, no es porque el auditor si audita “algo” con lo que ha tenido

Es decir, el auditado sabe previamente a la auditoría lo que se le va a exigir y el

Además, los resultados de la auditoría se basan sólo en evidencias de auditoría que

© UPCPLUS.COM - FUNDACIÓ UNIVERSITAT POLITÈCNICA DE CATALUNYA 7

La integridad y la independencia de los resultados de la auditoría de cualquier tipo

A estos principios se añadió para los sistemas de gestión normalizados, la

Salvo que un documento legislativo, reglamentario o de cualquier tipo legal lo exija,

© UPCPLUS.COM - FUNDACIÓ UNIVERSITAT POLITÈCNICA DE CATALUNYA 8

1.3 La auditoría vista por la empresa

 Nos toca la auditoría, dijo, el gestor del sistema.

 Vale, sí, ya os diré las fechas, pero será a primeros de mes.

Posiblemente, esta conversación se halla repetido en muchas organizaciones, como

En muchos casos, ocurre que el sistema que se audita no tiene la suficiente

¿Por qué se da esta circunstancia? Es fácil achacarlo a la falta de interés de la

© UPCPLUS.COM - FUNDACIÓ UNIVERSITAT POLITÈCNICA DE CATALUNYA 9

1.4 Que busca una auditoría

¿Qué busca el auditor?

Desarrollar su trabajo con la mayor profesionalidad, objetividad e independencia,

¿Qué busca el auditado?

La auditoría es un elemento de información fundamentalmente para la dirección de

© UPCPLUS.COM - FUNDACIÓ UNIVERSITAT POLITÈCNICA DE CATALUNYA 10

Entonces, ¿qué busca una auditoría?

Transmitir información al auditado que le permita tomar de decisiones estratégicas

1.5 La auditoría interna

Tras realizar auditorías, uno se puede preguntar si la auditoría interna, en muchas

En muchas organizaciones, no se da importancia a la auditoría interna, simplemente

Lo cual no deja de representar un error, independientemente de para que quiera la

 Si se quiere simplemente porque alguien me lo pide o como un simple elemento

1.6 Quiero ser auditor

© UPCPLUS.COM - FUNDACIÓ UNIVERSITAT POLITÈCNICA DE CATALUNYA 11

En la actualidad, los profesionales deben adquirir sus conocimientos teóricos a través

En consecuencia, es difícil convertirse en auditor, pero ¿qué es ser auditor?

Según el Diccionario de la Real Academia de la Lengua, el auditor es "que hace

© UPCPLUS.COM - FUNDACIÓ UNIVERSITAT POLITÈCNICA DE CATALUNYA 12

Ser profesional para poder realizar una auditoría implica:

1. Disponer de los conocimientos técnicos necesarios sobre la materia que va a

Es decir, requiere una mezcla de conocimiento y experiencia que no podemos valorar

Respecto a los conocimientos técnicos, es difícil definirlos, por ejemplo, cuál es el

En cuanto los conocimientos y/o experiencia en sistemas de gestión, el conocimiento

© UPCPLUS.COM - FUNDACIÓ UNIVERSITAT POLITÈCNICA DE CATALUNYA 13

En relación con la experiencia en realizar auditorías, no podemos establecer un valor

1.8 Auditor, auditor líder o auditor jefe

Como hemos planteado, auditor no es realmente una profesión, si no una función

Pero a la función de auditor, le hemos añadido un título, el de “auditor líder” o “auditor

En el Apartado 3.15 de la norma ISO 19011 se define

“Persona que lleva a cabo una auditoría”