Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Norma ISO 19011 2018 Version Libre Capacitacion
Norma ISO 19011 2018 Version Libre Capacitacion
INTERNACIONAL 19011
Tercera edición
2018-07
Número de referencia
ISO 19011: 2018
ISO 19011: 2018
Este documento consiste sólo de una interpretación al español, y es una copia libre de la Norma
Internacional original, publicada por ISO en Julio-2018. Sólo debe considerarse como una
consulta. El único documento oficial es el publicado originalmente en Ingles por ISO mismo.
Los procedimientos usados para desarrollar este documento y aquellos con el propósito de su mantenimiento posterior
son descritos en las Directrices, Parte 1, de ISO/IEC. En particular los diferentes criterios de aprobación necesarios
para los diferentes tipos de documentos ISO debieran ser notados. Este documento fue bosquejado de acuerdo con
las reglas editoriales de las Directrices, Parte 2, de ISO/IEC (ver www.iso.org/directives)
Se ofrece atención a la posibilidad de que algunos de los elementos de este documento pueden estar sujetos a
derechos de patentes. ISO no debe mantener la responsabilidad de identificar alguno o todos los derechos de
patentes. Los detalles de cualquier derecho de patente identificado durante el desarrollo de este documento estarían
en la introducción y/o en una lista ISO de declaraciones de patentes recibida (ver www.iso.org/patents)
Cualquier no nombre de marca usada en este documento es información ofrecida solo para conveniencia de los
usuarios y no constituye un endoso.
Para una explicación de la naturaleza voluntaria de normas/estándares, el significado de los términos específicos y
expresiones de ISO relacionados con evaluaciones de conformidad, así como información acerca de la adherencia de
ISO con los principios de World Trade Organization (WTO) en Technical Barriers to Trade (TBT) ver la siguiente URL:
www.iso.org/iso/foreword.html
Este documento fue preparado por el Comité de Proyectos ISO/PC 302, Lineamientos y guías para auditorías de
sistemas de administración
Esta tercera edición cancela y reemplaza la segunda edición (ISO 19011: 2011), la cual ha sido técnicamente
revisada.
Las diferencias principales comparado con la segunda edición son las siguientes:
Introducción
Desde la segunda edición de este documento publicada en el 2011, un número de normas de nuevos sistemas de
administración se ha publicado, muchos de los cuales tienen una estructura común, requerimientos centrales
idénticos, y términos comunes y definiciones centrales. Como resultado, existe la necesidad de considerar un
enfoque más amplio para auditorías de sistemas de administración, así como el ofrecer guías que sean más
genéricas. Los resultados de auditorías pueden ofrecer una entrada a aspectos de análisis en la planeación de
negocios, y pueden contribuir a la identificación de necesidades y actividades de mejoramiento.
Una auditoria puede ser conducida contra un rango de criterios de auditorías mismos, en forma separada o en
combinación, incluyendo y sin limitarse a:
Este documento ofrece guías para todos tipos y tamaños de organizaciones y auditorias de alcances y escalas
variables, incluyendo aquellas conducidas por equipos de auditorías grandes, típicamente en organizaciones muy
grandes, y aquellas por un solo auditor, ya sea en organizaciones grandes o pequeñas. Esta guía debiera ser
adaptada y apropiada al alcance, complejidad y escala de los programas de auditorías.
Este documento se concentra en auditorías internas (de primeras partes) y auditorias conducidas por organizaciones
a sus proveedores externos y otras partes interesadas externas (segundas partes). Este documento puede ser
también útil para auditorías externas conducidas para propósitos diferentes a los de certificaciones de sistemas de
administración de terceras partes. ISO/IEC 17021-1 ofrece requerimientos para auditorias de sistemas de
administración para certificaciones de terceras partes; este documento puede ofrecer guías adicionales útiles (ver
Tabla 1).
Tabla 1 – Diferentes tipos de auditorias
Auditorías de 1as. partes Auditorías de 2das. partes Auditorías de 3as. partes
Auditorias interna Auditorías a proveedores externos Auditorías de certificación y/o
acreditación
Otras auditorias externa de partes Auditorias estatutarias/regulatorias y
interesadas similares
Para simplificar la legibilidad de este documento, se prefiere la forma singular de “sistema de administración”, aunque
el lector puede adaptar la implementación de las guías a su propia situación. Esto también aplica al uso de “individuo”
e “individuos” “auditor” y “auditores”.
Este documento tiene la intención de aplicarse a un alto rango de usuarios potenciales, incluyendo auditores,
organizaciones implementando sistemas de administración y organizaciones que necesiten conducir auditorias de
sistemas de administración por razones contractuales o regulatorias. Los usuarios de este documento pueden, sin
embargo, aplicar estas guías en el desarrollo de sus propios requerimientos relacionados con auditorias.
Las guías en este documento pueden ser también usadas para propósitos de una auto declaración y pueden ser
útiles a organizaciones involucradas en el entrenamientos a auditores o certificación de personal.
Las guías en este documento tienen la intención de ser flexibles. Como se indica en varios puntos en el texto, el uso
de estas guías puede diferir dependiendo del tamaño y nivel de madurez del sistema de administración de las
organizaciones. La naturaleza y complejidad de la organización a ser auditada, así como los objetivos y alcance de
las auditorías a ser conducidas, debieran ser también considerados.
1. Alcance
Este documento ofrece guías sobre auditorias de sistemas de administración, incluyendo principios de auditoras,
administración de un programa de auditorías y conducción de auditorías de sistemas de administración, así como
guías en la evaluación de competencias de individuos involucrados en el proceso de auditoría. Estas actividades
incluyen al(los) individuo(s) administrando el programa de auditorías, los auditores y los equipos de auditorías.
Aplica a todas las organizaciones que necesiten planear y conducir auditorías internas o externas de sistemas de
administración o administrar un programa de auditorias.
La aplicación de este documento a otros tipos de auditorias es posible, siempre y cuando se dé consideración
especial a las competencias específicas necesarias.
2. Referencias normativas
3. Términos y definiciones
ISO e IEC mantienen bases de datos de términos para uso en normalización/estandarización en las siguientes
direcciones:
3.1
auditoria
Proceso sistemático, independiente y documentado para obtener evidencias objetivas (3.8) y evaluarlas en forma
objetiva para determinar el alcance en el cual los criterios de auditoria (3.7) se cumplen.
Nota 1 de entrada Las auditorías internas, algunas veces llamadas auditorias de primeras partes, son conducidas por, o a favor,
de la organización misma.
Nota 2 de entrada Las auditorías externas incluyen aquellas generalmente llamadas como de segundas y terceras partes. Las
auditorias de segundas partes son conducidas por partes que tienen un interés en la organización, tales como, clientes, u otros
individuos en su favor. Las auditorias de terceras partes son conducidas por organizaciones de auditorías independientes, tales
como, aquellas que ofrecen certificación/registro de conformidad o agencias gubernamentales.
[FUENTE: ISO 9000: 2015, 3.13.1, modificado – Las notas de entrada han sido modificadas]
3.2
auditoria combinada
auditoría (3.1) realizada junto con un solo auditado (3.13) para dos o más sistemas de administración (3.18)
Nota 1 de entrada: cuando dos o más sistemas de administración de disciplinas específicas son integrados en un sistema de
administración esto es conocido como un sistema integrado de administración.
1
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
3.3
auditoria conjunta
auditoria (3.1) realizada con un auditado (3.13) por dos o más organizaciones de auditoria.
3.4
programa de auditorias
acuerdos para un conjunto de una o más auditorias (3.1) planeadas para un esquema de tiempo específico y
dirigidas hacia un propósito especifico
[FUENTE: ISO 9001: 2015, 3.13.4, modificado – se han agregado palabras a la definición]
3.5
alcance de auditoria
extensión y límites de una auditoria (3.1).
Nota 1 de entrada: el alcance de la auditoria generalmente incluye una descripción de las localizaciones fiscas y virtuales,
funciones, unidades organizacionales, actividades y procesos, así como el periodo de tiempo cubierto.
Nota 2 de entrada: una localización virtual es donde una organización ejecute trabajos u ofrezca un servicio usando un medio
ambiente en línea y accesando individuos independientemente de las localizaciones físicas para ejecutar los procesos
[FUENTE: ISO 9000: 2015, 3.13.5 modificado, la nota 1 de entrada ha sido modificada, la nota 2 de entrada ha sido agregada]
3.6
plan de auditoria
descripción de actividades y acuerdos para una auditoria (3.1).
3.7
criterios de auditoria
conjunto de requerimientos (3.23) usados como una referencia y contra los cuales evidencias objetivas (3.8) son
comparadas.
Nota 1 de entrada: Si los criterios de auditoria son requerimientos legales (incluyendo estatutarios o regulatorios), las palabras
“cumplimiento” o “incumplimiento” son a menudo usadas como un hallazgo de auditoria (3.10).
Nota 2 de entrada: los requerimientos pueden incluir políticas, procedimientos, instrucciones de trabajo, requerimientos legales,
obligaciones contractuales, etc.
[FUENTE: ISO 9000: 2015, 3.13.7, modificado – la definición ha sido cambada y las notas de entrada 1 y 2 han sido agregadas]
3.8
evidencia objetiva
datos que soporten la existencia o verificación de algo.
Nota 1 de entrada: las evidencias objetivas pueden obtenerse a través de observación, mediciones, pruebas u otros medios.
Nota 2 de entrada: las evidencias objetivas para propósitos de la auditoría (3.1) generalmente consisten de registros,
declaraciones de hechos, u otra información que sea relevante a los criterios de auditoria (3.7) y sean verificables.
3.9
evidencias de auditoria
registros, declaraciones de hechos u otra información, la cual es relevante a los criterios de auditoria (3.7) y
verificable.
Nota 2 de entrada: Los hallazgos de auditoria pueden llevar a la identificación de oportunidades de mejora o registro de buenas
prácticas.
Nota 3 de entrada: Si los criterios de auditoria son seleccionados de requerimientos legales u otros, los hallazgos de auditorías se
definen con los términos cumplimiento o incumplimiento.
[FUENTE: ISO 9000: 2015, 3.13.9, modificado – Las notas de entrada 2 y 3 han sido modificadas]
3.11
conclusiones de auditoria
resultados de una auditoria (3.1), después de considerar los objetivos de auditorías y todos los hallazgos de
auditorías (3.10).
[FUENTE: ISO 9000: 2015, 3.13.10]
3.12
cliente de la auditoria
organización o persona que solicita una auditoria (3.1).
Nota 1 de entrada: En el caso de una auditoria interna, el cliente de la auditoria puede también ser el auditado (3.13) o el(los)
individuo(s) que esté(n) administrando el programa de auditorías. Las solicitudes para auditorías externas vienen de fuentes tales
como, reguladores, partes con contratos o clientes potenciales o existentes.
[FUENTE: ISO 9000: 2015, 3.13.11, modificado – La nota 1 de entrada ha sido agregada]
3.13
auditado
organización en su totalidad o partes de ella siendo auditada.
3.14
equipo auditor
Uno o más auditores conduciendo una auditoria (3.1), y apoyados si es necesario por expertos técnicos (3.16).
Nota 1 de entrada: Un auditor (3.15) del equipo auditor (3.14) es asignado como líder del equipo auditor mismo.
3.15
auditor
persona que conduce una auditoria (3.1).
3.16
experto técnico
Persona que ofrece conocimientos o experiencia específica al equipo auditor (3.14).
Nota 1 de entrada: Conocimiento o experiencia específica es aquella que se relaciona con la organización, proceso o
actividad/área a ser auditada, o el lenguaje o cultura.
Nota 2 de entrada: Un experto técnico no actúa como un auditor (3.15) en el equipo auditor (3.14).
[FUENTE: ISO 9000: 2015, 3.13.16, modificado – Las notas de entrada 1 y 2 han sido modificadas]
3
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
3.17
observador
individuo que acompaña al equipo auditor (3.14) pero no actúa como un auditor (3.15)
3.18
sistema de administración (o gestión)
conjunto de elementos interrelacionados o interactuantes de una organización para establecer políticas y objetivos,
y procesos (3.24) para el logro de dichos objetivos.
Nota 1 de entrada: Un sistema de administración puede abordar una o varias disciplinas, ej., administración de calidad,
administración financiera o administración ambiental.
Nota 2 de entrada: Los elementos del sistema de administración establecen la estructura de la organización, roles y
responsabilidades, planeación, operación, políticas, prácticas, reglas, creencias, objetivos y procesos para el logro de dichos
objetivos.
Nota 3 de entrada: El alcance del sistema de administración puede incluir el total de la organización, funciones específicas e
identificadas de la organización, secciones específicas e identificadas de la organización, o una o más funciones a lo largo de un
grupo de organizaciones.
[FUENTE: ISO 9000: 2015, 3.5.3, modificado – La nota 4 de entrada ha sido eliminada]
3.19
riesgo
efecto de una incertidumbre
Nota 2 de entrada: Incertidumbre es el estado, aún parcial, de deficiencia de información relacionada con, el entendimiento o
conocimiento de, un evento, sus consecuencias y probabilidad.
Nota 3 de entrada: Un riesgo es a menudo caracterizado por la referencia con eventos potenciales (como se define en la Guía
ISO 73: 2009, 3.5.1.3) y con secuencias (como se define en la Guía de ISO 73: 2009, 3.6.1.3), o una combinación de estos.
Nota 4 de entrada: Un riesgo a menudo se expresa en términos de una combinación de las consecuencias de un evento
(incluyendo cambios en circunstancias) y la probabilidad asociada (como se define en la Guía ISO 73: 2009, 3.6.1.1) de su
ocurrencia.
[FUENTE: ISO 9000: 2015, 3.7.9, modificado – Las notas de entrada 5 y 6 han sido eliminadas]
3.20
conformidad
cumplimiento de un requerimiento (3.23)
[FUENTE: ISO 9000: 2015, 3.6.11, modificado – La nota 1 de entrada ha sido eliminada]
3.21
no conformidad
incumplimiento de un requerimiento (3.23)
[FUENTE: ISO 9000: 2015, 3.6.9, modificado – La nota 1 de entrada ha sido eliminada]
3.22
competencias
habilidades/capacidades para aplicar conocimientos y habilidades para logro de resultados esperados.
[FUENTE: ISO 9000: 2015, 3.10.4, modificado – Las notas de entrada han sido eliminadas]
Nota 1 de entrada: “Generalmente es implicada” significa que es costumbre o práctica común para la organización y partes
interesadas en que la necesidad o expectativa bajo consideración es implicada.
Nota 2 de entrada: un requerimiento especificado es aquel que es establecido, por ejemplo en información documentada.
[FUENTE: ISO 9000: 2015, 3.6.4, modificado – Las notas de entrada 3, 4, 5, y 6 han sido eliminadas].
3.24
proceso
conjunto de actividades interrelacionadas o que interactúan, que hacen uso de entradas para la entrega de un
resultado esperado.
[FUENTE: ISO 9000: 2015, 3.4.1, modificado – Las notas de entrada han sido eliminadas].
3.25
desempeño
resultado medible
Nota 2 de entrada: El desempeño puede relacionarse con la administración de actividades, procesos (3.24) productos, servicios,
sistemas u organizaciones.
[FUENTE: ISO 9000: 2015, 3.7.8, modificado – La nota 3 de entrada ha sido eliminada].
3.26
efectividad
alcance en el cual las actividades planeadas son realizadas y los resultados planeados se logran.
[FUENTE: ISO 9000: 2015, 3.7.11, modificado – La nota 1 de entrada ha sido eliminada].
4. Principios de auditorias
Las auditorias se caracterizan por la confiabilidad en un cierto número de principios. Estos principios debieran ayudar
a hacer que las auditorias sean una herramienta efectiva y confiable en el soporte de las políticas y controles
administrativos, ofreciendo información en la cual una organización puede actuar a fin de mejorar su desempeño. La
adherencia a estos principios es un pre requisito para ofrecer conclusiones de una auditoria que sean relevantes y
suficientes, y para permitir que los auditores, trabajando en forma independiente uno de otro, alcancen conclusiones
similares y en circunstancias similares.
Las guías ofrecidas en Secciones/Cláusulas 5 a 7 se basan en los siete principios bosquejados abajo.
Los hallazgos, conclusiones y reportes de las auditorias debieran reflejar en forma veraz y exacta las
actividades de las auditorias mismas. Los obstáculos significativos encontrados durante las auditorias y las
5
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
opiniones divergentes no resueltas entre el equipo auditor y el auditado debieran ser reportados. La
comunicación debiera ser veraz, exacta, objetiva, oportuna, clara y completa.
Los auditores debieran ejercer debido cuidado y en acuerdo con la importancia de las tareas que ellos ejecutan
y la confianza puesta en ellos por los clientes de las auditorias y otras partes interesadas. Un factor importante
en la realización de su trabajo con debido cuidado profesional es contar con la habilidad de hacer juicios
razonables en todas las situaciones de auditoria.
Los auditores debieran ejercer discreción en el uso y protección de información obtenida en el curso de sus
deberes. La información de las auditorias no debiera ser usada en forma inapropiada para beneficio personal
por los auditores o clientes de la auditoria, o en una manera que demerite los intereses legítimos del auditado.
Este concepto incluye el manejo apropiado de información sensible o confidencial.
Los auditores debieran ser independientes de la actividad a ser auditada, cuando sea práctico, y debieran en
todos los casos actuar de una forma que sean libres de sesgo y conflicto de intereses. Para auditorías internas
los auditores debieran ser independientes de la función a ser auditada si es práctico. Los auditores debieran
mantener objetividad a través del procesos de auditoria para asegurar que los hallazgos y conclusiones de
auditoria mismos se basen solo en evidencias de auditoria.
Para organizaciones pequeñas, puede no ser posible que los auditores internos sean totalmente independientes
de la actividad a ser auditada, aunque debieran hacerse esfuerzos por retirar sesgo y promover objetividad.
Las evidencias de auditoria debieran ser verificables. En general debieran basarse en muestras de información
disponibles, dado que una auditoria se conduce durante un periodo de tiempo finito y con recursos finitos.
Debiera aplicarse un apropiado muestreo, dado que esto está estrechamente relacionado con la confiabilidad
que puede darse en las conclusiones de auditoria.
El enfoque basado en riesgos debiera influir en forma substancialmente en la planeación, conducción y reporte
de auditorías, a fin de asegurar que las auditorias se enfoquen en asuntos o temas que sean significativos al
cliente de la auditoria, y para el logro de los objetivos del programa de auditorias
Un programa de auditorías debiera establecerse, el cual pueda incluir auditorias abordando uno o más
normas/estándares de sistemas de administración u otros requerimientos, y conducida en forma separada o
combinada (auditoria combinada).
El alcance de un programa de auditorías debiera basarse en el tamaño y naturaleza del auditado, así como la
naturaleza, funcionalidad, complejidad, tipo de riesgos y oportunidades, y el nivel de madurez del(os) sistema(s) de
administración a ser auditado(s).
La funcionalidad del sistema de administración puede ser aún más complejo cuando el máximo de las funciones
importantes son subcontratadas y administradas bajo el liderazgo de otras organizaciones. Se necesita poner
particular atención a donde se tomen las decisiones más importantes y lo que constituya la alta administración del
sistema de administración mismo.
En el caso de organizaciones pequeñas o menos complejas el programa de auditorías puede ser escalonado
apropiadamente.
A fin de entender el contexto del auditado, el programa de auditorías debiera tomar en cuenta por parte del auditado:
La planeación de programas de auditorías internas, y en algunos casos programas para auditorias de proveedores
externos, pueden ser organizados para contribuir a otros objetivos de la organización.
El(los) individuo(s) administrando el programa de auditorías debiera(n) asegurar que se mantiene la integridad de las
auditorías y que no existe una influencia indebida y ejercida sobre las auditorías.
La prioridad de las auditorias debiera darse asignando recursos y métodos a asuntos/temas de un sistema de
administración con riesgos altos inherentes y un nivel de desempeño bajo.
Los individuos competentes debieran ser asignados para administrar el programa de auditorías.
El programa de auditorías debiera incluir información e identificar recursos para permitir que las auditorias sean
conducidas en forma efectiva y eficiente y dentro de los esquemas de tiempo especificados. La información debiera
incluir:
Alguna de esta información puede no estar disponible hasta que se complete mayo detalle en la planeación de las
auditorías.
La implementación del programa de auditorias debiera ser monitoreado y medido sobre una base continua (ver 5.6)
para asegurar que los objetivos se hayan logrado. El programa de auditorias debiera ser revisado a fin de identificar
necesidades de cambios y posibles oportunidades para mejoramientos (ver 5.7).
7
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
NOTA 1 Esta figura ilustra la aplicación del ciclo Planear-Hacer-Checar-Actuar en este documento.
NOTA 2 La numeración de cláusula/sub cláusula se refiere a las cláusulas/sub cláusulas de este documento
El cliente de las auditorias debiera asegurar que los objetivos del programa de auditorias son establecidos para
dirigir la planeación y conducción de las auditorias y debieran asegurar que el programa de auditorías es
implementado en forma efectiva. Los objetivos del programa de auditorias debieran ser consistentes con la dirección
estratégica del cliente y el soporte a las políticas y objetivos del sistema de administración.
a) las necesidades y expectativas de las partes interesadas relevantes, tanto internas como externas;
b) características de y requerimientos para los procesos, productos, servicios y proyectos, y cualquier cambio a
estos
c) los requerimientos del sistema de administración;
d) la necesidad de evaluaciones de proveedores externos;
e) el nivel de desempeño del auditado, y el nivel de madurez del(os) sistema(s) de administración, y como se
refleje en los indicadores de desempeño relevantes (ej., KPIs), la ocurrencia de no conformidades, incidentes o
quejas de las partes interesadas;
f) los riesgos y oportunidades para el auditado identificados;
g) resultados de auditorías previas.
9
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
a) establecer el contexto del programa de auditorías de acuerdo con objetivos relevantes (ver 5.2) y cualquier
restricción conocida;
b) determinar los aspectos clave internos y externos, y los riesgos y oportunidades que puedan afectar el programa
de auditoras, e implementar acciones para abordarlos, integrando éstas acciones en todas las actividades de
auditorías relevantes, conforme sea apropiado;
c) asegurar la sección de los equipos de auditoria y las competencias globales para las actividades de auditori a
asignando roles, responsabilidades y autoridad, y apoyando el liderazgo, conforme sea apropiado;
d) establecer todos los procesos relevantes incluyendo procesos mismos para:
la coordinación y programación de todas las auditorias dentro de un programa de auditorías;
el establecimiento de objetivos de auditoria, alcance(s) y criterios de auditorías, determinación de métodos
de auditoria y selección del equipo de auditoria;
evaluación de auditores;
el establecimiento de procesos de comunicación interna y externa, conforme sea apropiado;
la resolución de disputas y manejo de quejas;
el seguimiento de auditorías si aplica;
el reporte al cliente de la auditoria y las partes interesadas relevantes, conforme sea apropiado.
e) determinar y asegurar el suministro de todos los recursos necesarios;
f) asegurar que la información documentada apropiada es preparada y se mantiene, incluyendo registros de
programas de auditoria;
La persona administrando el programa de auditorias debiera contar con las competencias necesarias para
administrar el programa y sus riesgos asociados en forma efectiva y eficiente, así como los conocimientos y
habilidades en las siguientes áreas:
a) principios de auditorías (ver Sección/Clausula 4), métodos y procesos (ver A.1 y A.2);
b) las normas de sistemas de administración, otras normas relevantes y documentos de referencia/guía;
c) información relativa al auditado y su contexto (ej., aspectos clave internos/externos, partes interesadas
relevantes y sus necesidades y expectativas, actividades, productos y servicios del negocio, y procesos del
auditado;
d) requerimientos estatutarios y regulatorios aplicables y otros requerimientos relevantes a las actividades del
negocio del auditado.
El(Los) individuo(s) administrando el programa de auditorias debiera determinar el alcance del programa de
auditorías. Esto puede variar dependiendo de la información ofrecida por auditado en relación a su contexto (ver
5.3).
NOTA En ciertos casos, dependiendo de la estructura del auditado ó sus actividades, el programa de auditorias puede sólo
consistir de una sola auditoria (ej., la actividad de un pequeño proyecto).
a) el objetivo, alcance y duración de cada auditoria y el número de auditorías a conducir, método de reporte y, si
aplica seguimientos en la auditoria;
b) normas de sistemas de administración u otros criterios aplicables;
c) en número, importancia, complejidad, similitud y localizaciones de las actividades a ser auditadas;
d) aquellos factores que estén influenciando la efectividad del sistema de administración;
e) criterios de auditoria aplicables tales como, arreglos para normas relevantes de sistemas de administración,
requerimientos estatutarios y regulatorios y otros requerimientos a los cuales la organización e haya
comprometido;
f) resultados de auditorías internas o externas y revisiones gerenciales/directivas previas, si es apropiado;
g) resultados de revisiones previas de programas de auditorías;
h) lenguaje, y aspectos clave culturales y sociales;
i) los aspectos clave de partes interesadas tales como, quejas de clientes, incumplimientos con requerimientos
estatutarios y regulatorios y otros requerimientos a los cuales la organización se haya comprometido, o aspectos
clave en cadenas de suministros;
11
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
j) cambios significativos en el contexto del auditado o sus operaciones y riesgos y oportunidades relacionados;
k) disponibilidad de tecnologías de información y comunicación que apoyen las actividades de auditoria, en
particular el uso de métodos de auditorías remotas (ver A.16);
l) la ocurrencia de eventos internos y externos tales como, no conformidades de productos o servicios, fugas en la
seguridad (security) de la información, incidentes de seguridad y salud, actos criminales o incidentes ambientales;
m) riesgos y oportunidades del negocio, incluyendo acciones para abordar éstos;
a) los recursos financieros y en tiempo necesarios para desarrollar, implementar, administrar y mejorar actividades
de auditorías;
b) los métodos de auditoría (ver A.1);
c) la disponibilidad individual y global de los auditores y expertos técnicos que tengan competencias apropiadas a
los objetivos particulares del programa de auditorías;
d) el alcance del programa de auditorías (ver 5.4.3) , y los riesgos y oportunidades del programa de auditorías
mismo (ver 5.3);
e) los tiempos y costos por viajes, alojamiento y otras necesidades de auditoria;
f) el impacto de las diferentes zonas por horarios;
g) la disponibilidad de tecnologías de información y comunicación (ej., recursos técnicos requeridos para preparar
una auditoria remota usando tecnologías que apoyen la colaboración remota misma);
h) la disponibilidad de herramientas, tecnología y equipo requeridos;
i) la disponibilidad de información documentada necesaria, y como se determine durante el establecimiento del
programa de auditorías (ver A.5);
j) los requerimientos relacionados con las instalaciones, incluyendo autorizaciones/salidas de seguridad (security)
y equipo (ej., verificaciones de antecedentes, equipo de protección personal, capacidad para ponerse
vestimenta de cuartos limpios).
5.5.1 Generalidades
Una vez que el programa de auditorías se ha establecido (ver 5.4.3) y los recursos relacionados se hayan
determinado (ver 5.4.4) es necesario implementar la planeación operacional y la coordinación de todas las
actividades dentro del programa.
a) Comunicar a las partes relevantes el programa de auditorías, incluyendo los riesgos y oportunidades
involucrados, las partes interesadas relevantes, e informarles periódicamente de los avances, usando canales de
comunicación internos y externos establecidos;
b) definir objetivos, alcance y criterios para cada auditoria individual;
c) seleccionar métodos de auditorías (ver A.1)
d) coordinar y programar auditorias y otras actividades relevantes al programa de auditorías mismo;
e) asegurar que los equipos de auditorías cuenten con las competencias necesarias (ver 5.5.4);
g) asegurar que se conduzcan las auditorias de acuerdo con el programa de auditorías, y administrando todos los
riesgos, oportunidades y aspectos clave (ej., eventos inesperados) operacionales, conforme surjan durante el
despliegue del programa;
h) asegurar que información documentada relevante y relativa a actividades de auditoria sea apropiadamente
administrada y mantenida (ver 5.5.7);
i) definir e implementar controles operacionales (ver 5.6) necesarios para el monitoreo del programa de auditorías;
j) revisar el programa de auditorías a fin de identificar oportunidades para su mejoramiento (ver 5.7).
Cada auditoria individual debiera basarse en objetivos, alcance y criterios definidos. Estos debieran ser consistentes
con los objetivos globales del programa de auditorías.
Los objetivos de auditorías definen lo que se quiere lograr en cada auditoria individual y pueden incluir lo siguiente:
a) la determinación del alcance en la conformidad del sistema de administración a ser auditado, o partes de éste,
contra criterios de auditoria;
e) la evaluación de la idoneidad y adecuación del sistema de administración con respecto al contexto y dirección
estratégica del auditado;
f) la evaluación de la capacidad del sistema de administración para establecer y lograr los objetivos, y abordar en
forma efectiva los riesgos y oportunidades, en un contexto cambiante, incluyendo la implementación de las
acciones relacionadas.
El alcance de la auditoria debiera ser consistente con el programa y objetivos de las auditorias mismas. Incluye
factores tales como, localizaciones físicas, unidades ó áreas organizacionales, actividades y procesos a ser
auditados, así como el período de tiempo cubierto por la auditoria.
Los criterios de auditorias son usados como referencia contra los cuales la conformidad se determina y pueden
incluir conforme apliquen políticas, procedimientos, estándares, normas, requerimientos legales, requerimientos del
sistema de administración, requerimientos contractuales, de códigos de conducta del sector u otros acuerdos
planeados.
En el caso de algún cambio a los objetivos, alcance o criterios de la auditoria, el programa de auditorias debiera ser
modificado si es necesario, y comunicado a las partes interesadas para aprobación, si es apropiado.
Cuando más de una disciplina(s) está(n) siendo auditada(s) al mismo tiempo, es importante que los objetivos,
alcance y criterios de auditoria sean consistentes con los programas de auditoría relevantes para cada disciplina.
Algunas disciplinas pueden tener un alcance que refleje la organización completa y otras pueden tener un alcance
que reflejen un subconjunto de toda la organización.
13
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
5.5.3 Selección y determinación de métodos de auditoria
El(los) individuo(s) administrando el programa de auditorías debiera(n) seleccionar y determinar los métodos para
conducir auditorias en forma efectiva y eficiente, y dependiendo de los objetivos, alcance y criterios de auditoria
definidos.
Las auditorias pueden ejecutarse en planta, en forma remota o como una combinación. El uso de estos métodos
debiera ser adecuadamente balanceado, y basados en, entre otros, la consideración de riesgos y oportunidades
asociados.
Cuando dos o mas organizaciones de auditoria conduzcan una auditoria conjunta al mismo auditado, los individuos
administrando los diferentes programas de auditorias debieran acordar los métodos de auditoria y considerar las
implicaciones para recursos y planeación de la auditoria misma. Si una auditoria opera dos ó más sistemas de
administración de diferentes disciplinas, pueden incluirse auditorias combinadas en el programa de auditorias.
El(Los) individuo(s) administrando el programa de auditorias debiera asignar a los miembros del equipo auditor,
incluyendo el líder del equipo y expertos técnicos necesarios para la auditoria específica.
Un equipo auditor debiera ser seleccionado, tomando en cuenta las competencias necesarias para el logro de
objetivos de la auditoria individual y dentro del alcance definido. Si es sólo un auditor, dicho auditor debiera ejecutar
todos los deberes que aplican a un líder de equipo auditor.
NOTA La Sección/Cláusula 7 contiene guías para determinar las competencias requeridas por los miembros del equipo auditor
y describe los procesos para evaluar auditores.
Para asegurar las competencias globales del equipo auditor, debieran ejecutarse los siguientes pasos:
la identificación de los conocimientos y habilidades necesarios para el logro de los objetivos de la auditoria;
la selección de los miembros del equipo auditor tal que todos los conocimientos y habilidades necesarios estén
presentes en el equipo auditor mismo.
En la decisión del tamaño y composición del equipo auditor para una auditoria específica, debiera darse
consideración a lo siguiente:
a) las competencias globales del equipo auditor, necesarias para el logro de los objetivos de auditorías, y tomando
en cuenta el alcance y criterios de auditorías mismas;
b) la complejidad de las auditorias;
c) si la auditoria es combinada o conjunta;
d) los métodos de auditoria seleccionados;
e) el asegurar objetividad e imparcialidad para evitar cualquier conflicto de intereses del proceso de auditorías;
f) las habilidades de los miembros del equipo auditor para trabajar e interactuar en forma efectiva con los
representantes del auditado y las partes interesadas relevantes;
g) los aspectos clave internos/externos relevantes tales como, el lenguaje de la auditoria, y las características
sociales y culturales del auditado. Estos aspectos clave pueden ser abordados ya sea con habilidades propias de
los auditores o a través del soporte de un experto técnico, considerando también la necesidad de intérpretes;
h) el tipo y complejidad de los procesos a ser auditados.
Cuando sea apropiado el(los) individuo(s) administrando el programa de auditorías debiera(n) consultar al líder del
equipo en la composición del equipo auditor.
Si las competencias necesarias no se cubren por los auditores en el equipo auditor, expertos técnicos con
competencias adicionales debieran estar disponibles para apoyar al equipo.
Los auditores en entrenamiento pueden ser incluidos en el equipo auditor pero debieran participar bajo la dirección y
guía de un auditor.
Cambios en la composición del equipo auditor pueden ser necesarios durante la auditoria, ej., si se genera un
conflicto de intereses o un aspecto clave de competencias. Si se deriva una situación, debiera ser resuelta con las
partes apropiadas (ej., líder del equipo auditor, el(los) individuo(s) administrando el programa de auditorias, el cliente
de la auditoria o el auditado) y antes de que los cambios se realicen.
5.5.5 Asignación de responsabilidades para una auditoria individual al líder del equipo auditor
El(Los) individuo(s) administrando el programa de auditorías debiera asignar las responsabilidades para conducir la
auditoria individual al líder del equipo auditor.
La asignación debiera hacerse en un tiempo suficiente previo a la fecha programada de la auditoria, a fin de
asegurar la efectiva planeación de la auditoria misma.
Para asegurar la efectiva conducción de las auditorías individuales, debiera ofrecerse la siguiente información al líder
del equipo auditor:
a) objetivos de la auditoria;
b) criterios de la auditoria y cualquier información documentada relevante;
c) alcance de la auditoria, incluyendo la identificación de la organización y sus funciones y procesos a ser
auditados;
d) los procesos de auditoria y métodos asociados;
e) la composición del equipo auditor;
f) detalles de contacto del auditado, localizaciones, esquema de tiempo y duración de las actividades de auditoria
a ser conducidas;
g) los recursos necesarios para conducir la auditoria;
h) información necesaria para evaluar y abordar riesgos y oportunidades identificados para el logro de los objetivos
de la auditoria;
i) información que soporte al(los) líder(es) del equipo auditor en sus interacciones con el auditado para la
efectividad del programa de auditorías.
el lenguaje de trabajo y para reportes de la auditoria, donde éste sea diferente al lenguaje del auditor o del
auditado, o de ambos;
el resultado de reporte de auditoria conforme se requiera y a quien sea distribuido;
asuntos relacionados con confidencialidad y seguridad (security) de la información, conforme se requiera por
el programa de auditorías;
cualquier acuerdo de seguridad, salud y ambiental para los auditores;
requerimientos para viaje o acceso a sitios remotos;
cualquier requerimiento de seguridad (security) y autorizaciones;
cualquier acción a ser revisada, ej., acciones de seguimiento de auditorias previas;
la coordinación con otras actividades de auditoria, ej., cuando diferentes equipos están auditando procesos
similares o relacionados en diferentes localizaciones o en el caso de una auditoria conjunta.
Cuando se conduzca una auditoria conjunta, es importante alcanzar un acuerdo entre las organizaciones que
conduzcan las auditorías, antes de que la auditoria misma comience, sobre responsabilidades específicas de cada
parte, y particularmente en relación a la autoridad del líder del equipo asignada para la auditoria.
15
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
5.5.6 Administración de resultados de un programa de auditorias
El(los) individuo(s) administrando el programa de auditorías debiera(n) asegurar que las siguientes actividades sean
ejecutadas:
a) la evaluación de logro de objetivos para cada auditoria dentro del programa de auditorías;
b) la revisión y aprobación de reportes de auditorías, en relación al cumplimento del alcance y objetivos de la
auditoria misma;
c) la revisión de la efectividad de las acciones tomadas para abordar los hallazgos de auditoria;
d) la distribución de reportes de auditorías a partes interesadas relevantes;
e) la determinación de la necesidad de alguna auditoría de seguimiento.
La persona administrando el programa de auditorias debiera asegurar que los registros de auditorias sean creados,
administrados y mantenidos para demostrar la implementación del programa de auditorias. Debieran establecerse
procesos para asegurar que cualquier necesidad de seguridad (security) y confidencialidad de la información
asociada con registros de auditorías sea abordada.
a) si los calendarios se han cumplido y los objetivos del programa de auditorías se han logrado;
b) el desempeño de los miembros del equipo auditor incluyendo al líder del equipo auditor mismo y los expertos
técnicos;
c) la habilidad de los equipos de auditores para implementar el plan de auditoria;
d) la retroalimentación de los clientes de la auditoria, los auditados, los auditores, los expertos técnicos y otras
partes relevantes;
e) la suficiencia y adecuación de la información documentada del proceso de auditorías completo.
Algunos factores pueden indicar la necesidad de modificar el programa de auditorías. Estos pueden incluir cambios
en:
hallazgos de auditoria;
nivel demostrado de la efectividad y madurez del sistema de administración del auditado;
efectividad del programa de auditorías;
alcance de la auditoria o del programa de auditorías;
el sistema de administración del auditado;
normas/estándares, y otros requerimientos a los cuales la organización está comprometida;
proveedores externos;
conflictos de interés identificados;
requerimientos del cliente de la auditoria.
El(Los) individuo(s) administrando el programa de auditorías y el cliente de la auditoria debieran revisar el programa
de auditorias mismo para evaluar si sus objetivos se han logrado. Las lecciones aprendidas de revisiones de
programas de auditorias debieran ser usadas como entradas para el mejoramiento del programa.
17
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
e) los métodos alternativos o nuevos de auditoría;
f) los métodos alternativos o nuevos para evaluar auditores
g) la efectividad de las acciones para abordar los riesgos y oportunidades y los factores internos y externos
asociados con el programa de auditorías;
h) los aspectos clave de confidencialidad y seguridad (security) de la información, en relación al programa de
auditorías.
Esta cláusula o sección contiene guías para la preparación y conducción de actividades de auditorias como parte de
un programa de auditorias mismo. La Figura 2 ofrece un bosquejo de las actividades típicas de una auditoria. La
extensión ó alcance en el cual las disposiciones de esta sección apliquen depende de los objetivos y alcance de la
auditoria específica.
Para iniciar una auditoria, los pasos en la Figura 1 debieran ser considerados; sin embargo, la secuencia puede
diferir dependiendo del auditado, procesos y circunstancias específicas de la auditoria misma.
El líder del equipo auditor debiera asegurar que se hace contacto con el auditado para:
c) ofrecer información relevante de los objetivos, alcance, criterios, y métodos de auditoria, y la composición del
equipo auditor, incluyendo expertos técnicos;
d) solicitar acceso a información relevante para propósitos de planeación, incluyendo información sobre los riesgos
y oportunidades que la organización haya identificado y cómo son abordados;
e) determinar los requerimientos estatutarios y regulatorios aplicables y otros requerimientos relevantes a las
actividades, procesos, productos y servicios del auditado;
f) confirmar el acuerdo con el auditado en relación al alcance en la revelación y trato de información confidencial;
h) determinar acuerdos específicos por localización para acceso, seguridad y salud, seguridad (security),
confidencialidad o algún otro;
j) determinar cualquier área de interés, preocupación o riesgos al auditado en relación a la auditoria específica;
k) resolver aspectos clave en relación a la composición del equipo auditor con el auditado o con el cliente de la
auditoria.
La factibilidad de una auditoria debiera determinarse para ofrecer una confiabilidad razonable de que los objetivos de
la auditoria puedan lograrse.
NOTA los recursos incluyen acceso a tecnologías de información y comunicación adecuadas y apropiadas.
Cuando la auditoria no sea factible, debiera proponerse una alternativa al cliente de la auditoria misma, y en acuerdo
con el auditado
La información documentada relevante del sistema de administración del auditado debiera ser revisada, a fin de:
recolectar información para entender las operaciones del auditado, y preparar las actividades de auditoria y los
documentos de trabajo aplicables para la auditoria misma (ver 6.3.4), ej., sobre procesos, funciones/áreas;
establecer un bosquejo del alcance de la información documentada para determinar la posible conformidad con
los criterios de auditoria y detectar posibles áreas de preocupación tales como, deficiencias, omisiones o
conflictos.
La documentación debiera incluir, conforme aplique, los documentos y registros del sistema de administración, así
como los reportes de auditorias previos. La revisión de los documentos debiera tomar en cuenta el tamaño,
naturaleza y complejidad del sistema de administración y organización del auditado, y los objetivos y alcance de la
auditoria.
El líder del equipo auditor debiera adoptar un enfoque basado en riesgos para planear la auditoria y basada en la
información del programa de auditorías y la información documentada ofrecida por el auditado.
La planeación de una auditoria debiera considerar los riesgos de las actividades de auditoria sobre los procesos del
auditado y ofrecer las bases para un acuerdo entre el cliente de la auditoria, el equipo auditor y el auditado en
relación a la conducción de la auditoria misma. La planeación debiera facilitar una programación y coordinación
eficiente de actividades de auditoria, a fin de lograr los objetivos en forma efectiva.
La cantidad de detalles ofrecidos en el plan de auditoria debiera reflejar el alcance y complejidad de la auditoria
misma, así como los riesgos de no lograr los objetivos de la auditoria misma. En la planeación de una auditoria, el
líder del equipo auditor debiera considerar lo siguiente:
Los riesgos al auditado pueden resultar de la presencia de miembros del equipo auditor que influyan adversamente
en los acuerdos del auditado por la salud y seguridad, medio ambiente y calidad, y sus productos, servicios, personal
o infraestructura (ej., contaminación en instalaciones limpias).
Para auditorías combinadas, se debiera dar particular atención a las interacciones entre procesos operacionales y
objetivos y prioridades concernientes de los diferentes sistemas de administración.
La escala y contenido de una planeación de auditoria puede diferir, por ejemplo, entre las auditorías inicial y
subsecuentes, así como entre las auditorías internas y externas. La planeación de una auditoria debiera ser lo
suficientemente flexible para permitir cambios que pudieran llegar a ser necesarios conforme avancen actividades de
la auditoria misma.
La planeación de una auditoria debiera abordar o hacer referencia a lo siguiente:
a) los objetivos de la auditoria;
b) el alcance de la auditoria, incluyendo la identificación de la organización y sus funciones, así como de los
procesos a ser auditados;
c) los criterios de auditoria y cualquier información documentada de referencia;
d) las localizaciones (físicas y virtuales), fechas, tiempos esperados y duración de las actividades de auditoria a ser
conducidas, incluyendo juntas con la administración del auditado;
e) la necesidad del equipo auditor de familiarizarse con las instalaciones y procesos del auditado (ej., conduciendo
un tour de la(s) localización(es) física(s), o revisando información y tecnologías de comunicación);
f) los métodos de auditoría a ser usados, incluyendo el alcance en el cual el muestreo de auditoria es necesario
para obtener evidencias de auditoria suficientes;
g) los roles y responsabilidades de los miembros del equipo auditor, así como de los guías y observadores, o
interpretes;
Los planes de auditorías debieran ser presentados al auditado. Cualquier aspectos clave con los planes de
auditorías debiera ser resuelto entre el líder del equipo auditor, el auditado y, si es necesario, el(los) individuo(s)
administrando el programa de auditorías.
El líder del equipo auditor, en consulta con el equipo auditor mismo, debiera asignar a cada miembro del equipo las
responsabilidades para auditar procesos, actividades, funciones ó localizaciones. Tales asignaciones debieran tomar
en cuenta la independencia y competencias de los auditores y el uso efectivo de los recursos, así como de los
diferentes roles y responsabilidades de los auditores, los auditores en entrenamiento y los expertos técnicos.
Anuncios del equipo auditor debieran mantenerse, conforme sea apropiado, por el líder del equipo auditor, a fin de
ubicar asignaciones de trabajo y decidir posibles cambios. Pueden hacerse cambios a las asignaciones de trabajo
conforme la auditoria avance y a fin de asegurar el logro de los objetivos de la auditoria.
Los miembros del equipo auditor debieran recolectar y revisar información relevante a sus asignaciones de auditoria
y preparar información documentada para la auditoria misma, usando cualquier medio apropiado. La información
documentada para la auditoria puede incluir aunque no se limita a:
c) información audiovisual.
El uso de estos medios no debiera restringirse al alcance de las actividades de auditoria, las cuales pueden cambiar
como resultado de la información recolectada durante la auditoria misma.
La información documentada preparada para, y como resultado de, las auditorías debiera retenerse al menos hasta
que se complete la auditoria, o como se especifique en el plan de la auditoria misma. La retención de la información
documentada después de que la auditoria se complete se describe en 6.6. La información documentada creada
durante el proceso de la auditoría y que involucre información confidencial o de derechos de propiedad debiera ser
salvaguardada adecuadamente todo el tiempo por los miembros del equipo auditor.
6.4.1 Generalidades
Las actividades de auditoria son normalmente conducidas en una secuencia definida como se indica en la Figura 2.
Esta secuencia puede variar para adecuarse a las circunstancias de auditorias específicas.
Guías y observadores pueden acompañar al equipo auditor con la aprobación del líder del equipo auditor, el cliente
de la auditoria y/o el auditado, si se requiere. Ellos no debieran influir o interferir con la conducción de la auditoria. Si
esto no puede asegurarse, el líder del equipo auditor debiera tener el derecho a negar a los observadores a estar
presentes durante ciertas actividades de auditoria.
Para observadores, acuerdos para acceso, seguridad y salud, medio ambiente, seguridad (security) y
confidencialidad debieran ser administrados entre el cliente de la auditoria y el auditado.
21
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
Guías, asignados por el auditado, debieran apoyar al equipo auditor y actuar a solicitud del líder del equipo auditor o
auditores a los cuales hayan sido asignados. Sus responsabilidades debieran incluir lo siguiente:
Una junta de apertura debiera realizarse con la administración del auditado y, cuando sea apropiado, con aquellos
responsables de las funciones o procesos a ser auditados. Durante la junta, debiera ofrecerse la oportunidad de
hacer preguntas.
El grado de detalles debiera ser consistente con la familiaridad del auditado con el proceso de auditoría. En muchos
casos, ej., auditorías internas en una organización pequeña, la junta de apertura puede consistir simplemente en la
comunicación de que una auditoria se está conduciendo y la explicación de la naturaleza de la auditoria misma.
Para otras situaciones de auditoria, la junta puede ser formal y debieran retenerse registros de asistencia. La junta
debiera ser dirigida por el líder del equipo auditor.
La confirmación de los siguientes aspectos debiera ser considerada, conforme sea apropiado:
En la presentación de información sobre los siguientes aspectos, debiera considerarse, conforme sea apropiado:
el método o reporte de hallazgos de auditorías incluyendo los criterios para graduación, si existe alguna;
las condiciones bajo las cuales la auditoria puede ser terminada;
como tratar con los hallazgos posibles durante la auditoria;
cualquier sistema para retroalimentación del auditado sobre los hallazgos y conclusiones de la auditoria,
incluyendo quejas o apelaciones.
El equipo auditor debiera consultar periódicamente el intercambiar información, evaluar el avance de la auditoria y
reasignar trabajo entre los miembros del equipo auditor conforme sea necesario.
Durante la auditoria, el líder del equipo auditor debiera comunicar en forma periódica el avance de la auditoria y
cualquier inquietud del auditado y el cliente de la auditoria, conforme sea apropiado. Las evidencias recolectadas
durante la auditoria que sugieran un riesgo inmediato y significativo al auditado debieran ser reportadas sin retraso al
auditado mismo y, conforme sea apropiado, al cliente de la auditoria. Cualquier inquietud acerca de algún aspecto
clave fuera del alcance de la auditoria debiera ser notado y reportado al líder del equipo auditor, para posible
comunicación al cliente de la auditoria y auditado.
Cuando las evidencias de auditoria disponibles indiquen que los objetivos de la auditoria sean no alcanzables, el
líder del equipo auditor debiera reportar las razones al cliente de la auditoria y al auditado para determinar las
acciones apropiadas. Tales acciones pueden incluir la reconfirmación o modificación del plan de auditoria, los
cambios al objetivo o alcance de la auditoria o la terminación de la auditoria misma.
Cualquier necesidad de cambios en el plan de la auditoria los cuales puedan llegar a ser aparentes conforme las
actividades de auditoria avancen debieran ser revisados y aprobados, conforme sea apropiado, por la persona
administrando el programa de auditorias y el auditado.
6.4.5 Disponibilidad de acceso de información de la auditoria
Los métodos de auditoria seleccionados para una auditoria misma dependen de los objetivos alcance y criterios de
auditoria definidos, así como de la duración y localización. La localización es donde la información necesaria para las
actividades de auditoria específicas esté disponible al equipo auditor. Esto puede incluir localizaciones físicas y
virtuales.
Dónde, cuándo, y cómo accesar información de la auditoria es crucial para la auditoria misma. Esto es independiente
de dónde la información se haya creado, usada y/o almacenada. En base a estos aspectos clave, los métodos de
auditoria necesitan determinarse (ver Tabla A.1). La auditoria puede usar una mezcla de métodos. También, las
circunstancias de la auditoria pueden significar que los métodos necesiten cambiarse durante la auditoria misma.
23
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
Las revisiones pueden combinarse con otras actividades de auditoria y pueden continuar a lo largo de la auditoria
misma, siempre y cuando esto no sea en detrimento de la efectividad de la conducción de la auditoria.
Si no puede ofrecerse información documentada adecuada dentro del esquema de tiempo ofrecido en el plan de
auditoria, el líder del equipo auditor debiera informar tanto a el(los) individuo(s) administrando el programa de
auditorías como al auditado. Dependiendo de los objetivos y alcance de la auditoria, debiera tomarse la decisión de
si la auditoria misma continua o se suspende hasta que los aspectos clave de la información documentada se
resuelvan.
Durante la auditoria, información relevante en los objetivos, alcance y criterios dela auditoria misma, incluyendo
información relativa a interfaces entre funciones, actividades y procesos debiera ser recolectada por medios de
muestreo apropiados y debiera ser verificada en lo practico posible.
Solo información que pueda estar sujeta a un cierto grado de verificación debiera aceptarse como evidencia de
auditoria. Cuando el grado de verificación sea bajo el auditor debiera usar su juicio profesional para determinar el
grado de confiabilidad que pueda poner en las evidencias. Las evidencias de auditoria que dirijan a hallazgos de la
auditoria misma debieran ser registrados. Si durante la recolección de evidencias objetivas el equipo auditor llega a
estar consiente de circunstancias, riesgos u oportunidades nuevos o que cambiaron, estas debieran ser abordadas
por el equipo acordadamente.
La Figura 2 ofrece un bosquejo del proceso, desde la recolección de información hasta alcanzar conclusiones de la
auditoria misma.
Fuentes de información
Evidencias de auditoria
Hallazgos de auditoria
Revisiones
Conclusiones de auditoria
entrevistas,
Las no conformidades pueden ser graduadas dependiendo del contexto de la organización y sus riesgos. Esta
graduación puede ser cuantitativa (ej., 1 a 5) y cualitativa (ej., menor, mayor). Debieran ser revisadas con el auditado
a fin de obtener reconocimiento de que las evidencias de auditoría son exactas y que las no conformidades son
entendidas. Debiera hacerse el intento de resolver cualquier opinión divergente relativa a las evidencias y hallazgos
de las auditorías. Los aspectos clave no resueltos debieran registrarse en el reporte de auditoría.
El equipo auditor debiera cumplir a necesidad el revisar los hallazgos de auditorías en las etapas apropiadas durante
la auditoría.
NOTA 1 Guías adicionales en la identificación y evaluación de hallazgos de auditorías son ofrecidas en A.18.
NOTA 2 La conformidad o no conformidad con criterios de auditoría relacionados con requerimientos estatutarios y regulatorios u otros
requerimientos, algunas veces se refiere a cumplimientos o incumplimientos.
a) revisar los hallazgos de auditorías y cualquier otra información apropiada recolectada durante la auditoría, contra
los objetivos de auditoría mismos;
b) acordar las conclusiones de auditorías, tomando en cuenta la incertidumbre inherente en el proceso de
auditorías mismo;
c) preparar recomendaciones, si se especifican por el plan de auditoría;
d) discutir seguimientos de auditorías, conforme sean aplicables.
Las conclusiones de auditorías debieran abordar aspectos clave tales como los siguientes:
a) el alcance de la conformidad con los criterios de auditoría y robustez del sistema de administración, incluyendo la
efectividad del sistema de administración misma en el cumplimiento de resultados esperados, la identificación de
riesgos y efectividad de las acciones tomadas por el auditado para abordar dichos riesgos;
b) la efectiva implementación, mantenimiento y mejoramiento del sistema de administración;
c) el logro de los objetivos de auditoría, la cobertura del alcance de la auditoría misma y el cumplimiento con los
criterios de auditoría;
d) hallazgos similares encontrados en diferentes áreas que fueron auditadas o de auditorías previas o conjuntas
para propósitos de identificación de tendencias.
25
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
Si se especifica por el plan de auditoría, las conclusiones de auditoria puede conducir a recomendaciones para
mejoramientos o futuras actividades de auditoria.
Una junta de cierre debiera sostenerse para presentar los hallazgos y conclusiones de auditoría.
La junta de cierre debiera ser dirigida por el líder del equipo auditor y ser atendida por la administración del auditado,
e incluir, conforme aplique:
Si es aplicable, el líder del equipo auditor debiera aconsejar al auditado de situaciones encontradas durante la
auditoría que pudieran reducir la confiabilidad de que puedan tomarse en las conclusiones de auditoría. Si se define
en el sistema de administración o por acuerdo con el cliente de la auditoría, los participantes debieran acordar el
esquema de tiempo para un plan de acciones para abordar los hallazgos de auditoria.
El grado de los detalles debiera tomar en cuenta la efectividad del sistema de administración en el logro de los
objetivos del auditado, incluyendo consideraciones de su contexto, y riesgos y oportunidades.
La familiaridad del auditado con el proceso de la auditoría debiera también tomarse en consideración durante la junta
de cierre, para asegurar que el nivel correcto de detalles se ofrezca a los participantes.
Para algunas situaciones de auditoría, la junta puede ser formal y con minutas, incluyendo registros de asistencia,
debieran mantenerse. En otros casos, ej., auditorías internas, la junta de cierre puede ser menos formal y consistir
solamente en la comunicación de hallazgos y conclusiones de auditoría.
Conforme sea apropiado, lo siguiente debiera ser explicado al auditado en la junta de cierre:
a) el sugerir que las evidencias de auditoria recolectada se basaron en una muestra de información disponible y no
es necesaria y totalmente representativa de la efectividad global de los procesos del auditado;
b) el método de reporte;
c) el cómo los hallazgos de auditoría debieran ser abordados en base al proceso acordado;
d) las posibles consecuencias de no abordar adecuadamente los hallazgos de auditoría;
e) la presentación de los hallazgos y conclusiones de auditoría, de tal manera que sean entendidos y reconocidos
por la administración del auditado;
f) cualquier actividad posterior y relacionada con la auditoría (ej., implementación y revisión de acciones
correctivas, el abordar quejas de auditoría, el proceso de apelaciones).
Cualquier opinión divergente y relacionada con los hallazgos y conclusiones de la auditoría entre el equipo auditor y
el auditado debieran ser discutidas y, si es posible, resueltas. Si no se resuelven, esto debiera registrarse.
Si se especifica por los objetivos de la auditoría, pueden presentarse oportunidades para recomendaciones de
mejoramientos. Debiera enfatizarse que las recomendaciones no son obligatorias.
El líder del equipo auditor debiera reportar los resultados de auditorías de acuerdo con el programa de auditorías. El
reporte de auditoria debiera ofrecer un registro completo, exacto, conciso y claro de la auditoria misma, y debiera
incluir o hacer referencia a lo siguiente:
El reporte de auditoria puede también incluir o hacer referencia a lo siguiente, conforme sea apropiado:
el plan de la auditoria incluyendo el calendario de tiempo;
el resumen del proceso de auditoria, incluyendo obstáculos encontrados que pudieran decrementar la
confiabilidad de las conclusiones de auditoria;
la confirmación de que los objetivos de auditoria se han logrado dentro del alcance de la auditoria y de acuerdo
con el plan de auditoria misma;
cualquier áreas dentro del alcance de la auditoria no cubierto, incluyendo aspectos clave de disponibilidad de
evidencias, recursos o confidencialidad, con justificaciones asociadas;
un resumen cubriendo las conclusiones de la auditoria y los hallazgos principales de la auditoria misma que lo
soporten;
buenas practicas identificadas;
seguimientos a planes de acción de acordados, si existe alguno;
una declaración de la naturaleza de contenidos confidenciales;
cualquier implicación para el programa de auditorías o auditorías subsecuentes;
El reporte de auditoria debiera ser publicado dentro del periodo de tiempo acordado. Si esto se retrasa, debieran
comunicarse las razones al auditado y a la persona administrando el programa de auditorías.
El reporte de auditoria debiera estar fechado, revisado y aprobado, conforme sea apropiado, y de acuerdo con el
programa de auditorías.
27
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
El reporte de auditoria debiera ser distribuido a las partes interesadas relevantes y definidas en el programa de
auditorías o el plan de la auditoría.
Cuando se distribuya el reporte de auditoría, medidas apropiadas para asegurar confidencialidad debieran
considerarse.
La información documentada que pertenezca a la auditoria debiera ser retenida o dispuesta por acuerdo entre las
partes participantes y de acuerdo con el programa de auditorías y requerimientos aplicables.
A menos que sea requerido por ley, el equipo auditor y la persona administrando el programa de auditorías no
debiera difundir el contenido de los documentos, y cualquier otra información obtenida durante la auditoria, o el
reporte de la auditoria, a cualquier otra parte sin la aprobación explícita del cliente de la auditoria y, cuando sea
apropiado, la aprobación del auditado mismo. Si se requiere de la difusión del contenido de los documentos de
auditoria, el cliente de la auditoria y el auditado debieran ser informados lo más pronto posible.
Las lecciones aprendidas de la auditoria debieran integrarse en el proceso de mejoramiento continuo del sistema de
administración de las organizaciones auditadas
El completado y efectividad de estas acciones debieran ser verificados. Esta verificación puede ser parte de una
auditoria subsecuente. Los resultados debieran ser reportados al individuo administrando el programa de auditorías
y al cliente de la auditoria para revisiones directivas/gerenciales.
Los auditores debieran desarrollar, mantener y mejorar sus competencias a través del desarrollo profesional continuo
y la participación regular en auditorías (ver 7.6).
Un proceso para evaluación de auditores y líderes de equipos auditores es descrito en 7.3, 7.4 y 7.5.
Los auditores y líderes de equipos auditores debieran ser evaluados contra criterios establecidos en 7.2.2 y 7.2.3, así
como los criterios establecidos en 7.1.
Las competencias requeridas del(los) individuo(s) administrando el programa de auditorías son descritas en 5.4.2.
7.2.1 Generalidades
En la decisión de las competencias necesarias para una auditoría, los conocimientos y habilidades de los auditores
relacionados con lo siguiente debieran considerarse:
Los auditores debieran contar con cualidades necesarias que les permitan actuar de acuerdo con los principios de
auditorías como son descritos en la Cláusula/Sección 4. Los auditores debieran exhibir un comportamiento
profesional durante el desempeño de las actividades de auditoria, incluyendo el ser:
29
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
a) conocimientos y habilidades necesarias para el logro de los resultados esperados de auditorías que se espera
ejecuten;
b) las competencias genéricas y nivel de conocimientos y habilidades de la disciplina, y sector específicos.
Los líderes de equipo auditores debieran contar con conocimientos y habilidades adicionales y necesarios para
ofrecer liderazgo al equipo auditor
7.2.3.2 Conocimientos y habilidades genéricas para auditores de sistemas de administración
Los auditores debieran contar con conocimientos y habilidades en las áreas bosquejadas abajo.
a) Principios de auditorías, procesos y métodos: los conocimientos y habilidades en esta área permiten a los
auditores asegurar que las auditorias son ejecutadas en forma consistente y sistemática.
b) Normas de sistemas de administración y otras referencias: los conocimientos y habilidades en esta área
permiten a los auditores entender el alcance de una auditoria y aplicación de criterios de auditoria misma, y
debieran cubrir los siguiente:
Normas o estándares de sistemas de administración u otra normativa o guías/documentos de soporte
usados para establecer criterios o métodos de auditorías mismas;
la aplicación de normas o estándares de sistemas de administración por el auditado y otras organizaciones;
relaciones e interacciones entre los procesos del sistema de administración;
entendimiento de la importancia y prioridad de normas o estándares o referencias múltiples;
la aplicación de normas o estándares o referencias de las diferentes situaciones de auditorias;
c) La organización y su contexto: Los conocimientos y habilidades en esta área permiten a los auditores
comprender la estructura, negocios y prácticas administrativas del auditado, y debieran cubrir lo siguiente:
Necesidades y expectativas de las partes interesadas relevantes que impacten el sistema de
administración;
Tipo de la organización, gobernanza, tamaño, estructura, funciones y relaciones;
conceptos generales de negocios y administración, procesos y terminología relacionada, incluyendo
planeación, presupuesto y administración de individuos;
aspectos culturales y sociales del auditado.
d) Requerimientos legales y contractuales y otros, que apliquen al auditado: conocimientos y habilidades en
esta área permiten a los auditores estar conscientes de, y dentro del trabajo, los requerimientos legales y
contractuales de la organización. Los conocimientos y habilidades específicas de la jurisdicción o de las
actividades o productos del auditado debieran cubrir lo siguiente:
leyes y regulaciones y sus agencias gubernamentales;
terminología legal básica;
contratos y aspectos legales.
NOTA la concientización en requerimientos estatutarios y regulatorios no implica experiencia legal y una auditoria de
sistemas de administración no debiera ser tratada como una auditoria de cumplimiento legal.
Los equipos de auditores debieran tener competencias apropiadas y en forma colectiva de la disciplina y sector
específicos para auditar tipos de sistemas de administración y sectores particulares.
31
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
d) principios métodos y técnicas relevantes a la disciplina y sector tales como, que el auditor pueda determinar y
evaluar riesgos y oportunidades asociados con los objetivos de auditoria.
a) planear la auditoria y asignar tareas de auditoria misma de acuerdo con las competencias específicas e
individuales de los miembros del equipo auditor;
b) discutir aspectos clave estratégicos con la alta administración del auditado para determinar si han considerado
dichos aspectos clave cuando se evalúen sus riesgos y oportunidades;
c) desarrollar y mantener una relación de trabajo colaborativa entre los miembros del equipo auditor;
d) administrar el proceso de auditoría, incluyendo:
planear la auditoria y hacer un uso efectivo de recursos durante la auditoria misma;
administración de incertidumbres para el logro de los objetivos de la auditoria;
protección de la salud y seguridad de los miembros del equipo auditor durante la auditoria, incluyendo el
asegurar cumplimiento de los auditores con acuerdos relevantes de seguridad y salud, y seguridad
(security) mismos;
organizar y dirigir a los miembros del equipo auditor;
ofrecer dirección y guía a los auditores en entrenamiento;
prevención y resolución de conflictos, conforme sea necesario;
e) representar al equipo auditor en comunicaciones con el(los) individuo(s) administrando el programa de
auditorías, el cliente de la auditoria y el auditado;
f) dirigir al equipo auditor para alcanzar las conclusiones de auditoría;
g) preparar y completar el reporte de auditoria.
Los líderes del equipo auditor debieran entender los requerimientos de cada una de las normas de sistemas de
administración a ser auditados y reconocer los límites de sus competencias en cada una de las disciplinas.
NOTA las auditorias de disciplinas múltiples hechas en forma simultanea pueden hacerse como una auditoria combinada o como
una auditoria de sistemas de administración integrados que cubren disciplinas múltiples.
Las competencias de los auditores pueden adquirirse usando una combinación de lo siguiente:
a) La terminación exitosa de programas de entrenamiento que cubran los conocimientos y habilidades genéricos de
auditor:
b) experiencia en posiciones técnicas, administrativas o profesionales relevantes involucrando el del ejercicio del
juicio, toma de decisiones, solución de problemas y comunicación con gerentes, profesionales, colegas, clientes
y otras partes interesadas relevantes;
c) educación/entrenamiento y experiencia en alguna disciplina y sector específicos de sistemas de administración
que contribuya al desarrollo de las competencias globales;
32 ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
NOTA La terminación exitosa de un curso de entrenamiento depende del tipo de curso mismo. Para cursos con el componente
de un examen, puede significar la aprobación del examen mismo en forma exitosa. Para otros cursos, puede significar la
participación y terminado del curso mismo.
33
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
no cumplen con los criterios, entonces entrenamiento, trabajo y experiencia adicional en auditorias debiera
realizarse, y una re evaluación subsecuente debiera ejecutarse.
a) cambios en las necesidades de los individuos y los responsables de la organización para conducir las auditorias;
b) desarrollos en la práctica de auditorías incluyendo el uso de tecnología;
c) normas o estándares relevantes incluyendo documentos de guía/soporte y otros requerimientos;
d) cambios en el sector o disciplinas.
Una auditoria puede ejecutarse en un rango de diferentes métodos de auditoria mismos. Una explicación de los
métodos de auditoria comúnmente usados puede encontrarse en este anexo. Los métodos seleccionados para una
auditoria dependen de los objetivos definidos de la auditoria misma, el alcance y los criterios, así como la duración y
localización. Las competencias de auditores disponibles y cualquier otra incertidumbre que se derive de la
aplicación de los métodos de auditorias debieran ser también considerados. La aplicación de una variedad y
combinación de diferentes métodos de auditorias puede optimizar la eficiencia y efectividad del proceso de
auditorias y sus resultados.
El desempeño de una auditoria involucra interacciones entre individuos con el sistema de administración siendo
auditado y la tecnología usada para conducir las auditorias. La Tabla A.1 ofrece ejemplos de métodos de auditorias
que pueden ser usados, en forma única ó una combinación, a fin de lograr los objetivos de la auditoria misma. Si
una auditoria involucra el uso de un equipo auditor con miembros múltiples, ambos métodos en planta y remotos
pueden ser usados simultáneamente.
Actividades de auditoria interactivas involucran la interacción entre personal del auditado y el equipo auditor. Actividades de auditoria
no interactivas involucran no interacción humana con individuos que representen al auditado pero que se involucran con la
interacción con equipo, instalaciones y documentación.
La responsabilidad de la aplicación efectiva de métodos de auditorias para una cierta auditoria en la etapa de
planeación se mantiene en el(los) individuo(s) administrando el programa de auditorías o en el líder del equipo
auditor. El líder del equipo auditor tiene esta responsabilidad para conducir actividades de auditoria.
35
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
La factibilidad de actividades de auditoria remotas puede depender de varios factores (ej., el nivel de riesgo para el
logro de objetivos de auditorías, el nivel de confiabilidad entre el auditor y el personal auditado y los requerimientos
regulatorios).
Al nivel del programa de auditorias, debiera asegurarse que el uso y aplicación de métodos de auditorias remotas ó
en planta sea adecuado y balanceado, a fin de asegurar un logro satisfactorio de los objetivos del programa de
auditorias.
El uso del “enfoque de procesos” es un requerimiento para todas las normas/estándares de sistemas de
administración de ISO, de acuerdo con las Directrices ISO/IEC, Parte 1, Anexo SL. Los auditores debieran entender
que auditar un sistema de administración es auditar los procesos de la organización y sus interacciones en relación
a una o más norma(s) de sistemas de administración. Resultados consistentes y predecibles se logran de una forma
más efectiva y eficiente cuando las actividades son entendidas y administradas como procesos interrelacionados
que funcionan como un sistema coherente.
Los auditores debieran aplicar juicio profesional durante el proceso de auditoría y evitar concentrarse en
requerimientos específicos de cada sección/cláusulas de la norma, a expensas de lograr el resultado esperado del
sistema de administración. Algunas secciones/cláusulas de las normas ISO de sistemas de administración no
permiten por si mismas auditar en términos de comparación entre un conjunto de criterios y el contenido de un
procedimiento o instrucción de trabajo. En estas situaciones, los auditores debieran usar su juicio profesional para
determinar si la intención de la sección/clausula se cumple.
Los auditores debieran enfocarse al resultado esperado del sistema de administración a través del proceso de
auditorías, aún y cuando los procesos y lo que estos logren sea importante, el resultado del sistema de
administración y su desempeño es lo que cuenta. Es también importante considerar el nivel de integración de los
diferentes sistemas de administración y sus resultados esperados.
La ausencia de un proceso o documentación puede ser importante en un alto riesgo u organización compleja pero
no ser significativo en otras organizaciones.
En la medida de lo práctico, los auditores debieran considerar si la información ofrece evidencia objetiva y suficiente
para demostrar que los requerimientos se cumplen tal que sea:
Debiera también considerarse si la información a ser verificada ofrece evidencia objetiva suficiente para demostrar
que el requerimiento se ha cumplido.
Si la información se ofrece de otra manera a la esperada (ej., por diferentes individuos, medios alternativos), debiera
evaluarse la integridad de las evidencias.
Se necesita cuidado específico para la seguridad (security) de la información debido a regulaciones que apliquen
sobre la protección de datos (en particular para información que este fuera del alcance de la auditoria, pero que
también este contenida en los documentos).
El muestreo en las auditorias toma lugar cuando no es práctico ó efectivo en costo examinar toda la información
durante una auditoria, ej., los registros son muy numerosos ó muy dispersos geográficamente como para justificar el
examinar cada elemento ó ítem en la población. El muestreo en las auditorias de una población grande es el
proceso de seleccionar menos del 100% de los elementos ó ítems dentro del total del conjunto (población) de datos
disponibles para obtener y evaluar evidencias acerca de alguna característica de la población misma, y a fin de
formar una conclusión respecto de la población.
El objetivo del muestreo en las auditorias es ofrecer información para el auditor que cuente con la confiabilidad de
que los objetivos de la auditoria puedan ó sean logrados.
Los riesgos asociados con el muestreo es que las muestras pueden no ser representativas de la población de la
cual fueron seleccionadas, y por tanto que las conclusiones del auditor sean sesgadas y sean diferentes de lo que
se haya alcanzado si la población completa fuera examinada. Puede haber otros riesgos dependiendo de la
variabilidad dentro de la población a muestrear y el método seleccionado.
Cuando se muestree, debiera darse consideración a la calidad de los datos disponibles, dado que un muestreo
insuficiente y datos inexactos no ofrecen un resultado útil. La selección de una muestra apropiada debiera basarse
tanto en un método de muestreo como en el tipo de datos requeridos, ej., para inferir un patrón de comportamiento
particular u obtener inferencias a partir de una población.
El reporte de la muestra seleccionada pudiera tomar en cuenta el tamaño de la muestra, el método de selección y
los estimativos basados en la muestra y el nivel de confiabilidad.
Las auditorias pueden usar ya sea el muestreo basado en el juicio (ver A.6.2) o el muestreo estadístico (ver A.6.3).
El muestreo basado en el juicio confía en el conocimiento, habilidades y experiencia del equipo auditor (ver
Cláusula/ Sección 7).
37
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
Si las decisiones se toman con el uso del muestreo estadístico, el plan de muestreo debiera basarse en los
objetivos de la auditoria y en lo conocido acerca de las características de la población global de la cual las muestras
serán tomadas.
El diseño de un muestreo estadístico usa un proceso de selección de una muestra basado en la teoría de la
probabilidad. El muestreo basado en atributos es usado cuando sólo hay dos posibles resultados en la muestra (ej.,
correcto / incorrecto O pasa/falla). El muestreo basado en variables se usa cuando los resultados de la muestra
ocurren en un rango continuo.
El plan de muestreo debiera tomar en cuenta si los resultados siendo examinados son probables de ser basados en
atributos ó variables. Por ejemplo, cuando se evalúe la conformidad con formas completadas con los requerimientos
establecidos en un procedimiento, el enfoque basado en atributos pudiera ser usado. Cuando se examine la
ocurrencia de incidentes en la seguridad de los alimentos o el número de infracciones de seguridad (security), el
enfoque basado en variables pudiera ser probable como más apropiado.
Los elementos que pueden afectar el plan de muestreo de las auditorias son:
Cuando se desarrolle un plan de muestreo estadístico, el nivel de riesgo que el auditor esté deseando aceptar es
una importante consideración. Esto a menudo es referido como nivel de confiabilidad aceptable. Por ejemplo, un
riesgo del 5% en el muestreo corresponde a un nivel de confiabilidad del 95%. Un riesgo del 5% en el muestreo
significa que el auditor está deseando aceptar el riesgo de que en 5 de cada 100 (ó 1 en 20) muestras examinadas
no reflejen los valores actuales que se hayan visto si la población entera se examinara.
Cuando se use muestreo estadístico, los auditores debieran documentar apropiadamente el trabajo ejecutado. Esto
debiera incluir una descripción de la población que se intentó muestrear, los criterios de muestreo usados para la
evaluación (ej., cual es una muestra aceptable), los parámetros y métodos estadísticos que fueron utilizados, el
número de muestras evaluadas y los resultados obtenidos.
El equipo auditor debiera considerar si el auditado cuenta con procesos efectivos para:
a) identificación de sus requerimientos estatutarios y regulatorios y otros requerimientos a los que este
comprometido;
b) administración de sus actividades, productos y servicios para el logro del cumplimiento con estos
requerimientos;
c) evaluación de su status de cumplimiento.
Además de guías genéricas ofrecidas en este documento, cuando se evalúen los procesos que el auditado ha
implementado para asegurar cumplimiento con requerimientos relevantes, el equipo auditor debiera considerar si el
auditado:
1) cuenta con un proceso efectivo para identificar cambios en los requerimientos de cumplimiento y para
considerarlos como parte de la administración de cambios;
2) cuenta con individuos competentes para administrar sus procesos de cumplimiento;
Muchas normas de sistemas de administración requieren que las organizaciones determinen su contexto,
incluyendo necesidades y expectativas de partes interesadas relevantes y aspectos clave internos y externos. Para
hacer esto, las organizaciones pueden usar varias técnicas para análisis y planeación estratégicos.
Los auditores debieran confirmar que se han desarrollado procesos adecuados para esto y son usados en forma
efectiva, de forma tal que sus resultados ofrezcan bases confiables para determinar el alcance y desarrollo del
sistema de administración. Para hacer esto, los auditores debieran considerar evidencias objetivas relacionadas con
lo siguiente:
Los auditores debieran contar con conocimientos y entendimiento específicos del sector de las herramientas de
administración que las organizaciones pueden usar a fin de hacer un juicio relativo a la efectividad de los procesos
usados para determinar el contexto.
Muchas normas de sistemas de administración han incrementado sus requerimientos para la alta administración.
Estos requerimientos incluyen el demostrar compromiso y liderazgo tomando responsabilidad por la efectividad del
sistema de administración y cumpliendo con un cierto número de responsabilidades. Estas incluyen tareas que la
alta administración debiera ejecutar por sí misma y otras que pueden ser delegadas.
Los auditores debieran obtener evidencias objetivas del grado en el cual la alta administración está involucrada en
la toma de decisiones relacionada con el sistema de administración y como se demuestra el compromiso para
asegurar su efectividad. Esto puede lograrse revisando los resultados de procesos relevantes (por ejemplo,
políticas, objetivos, recursos disponibles, comunicados de la alta administración) y entrevistando a staff para
determinar el grado de compromiso de la alta administración.
Los auditores debieran también buscar entrevistar a la alta administración para confirmar que tienen un
entendimiento adecuado de aspectos clave y específicos por disciplina y que son relevantes a su sistema de
administración, y junto con el contexto con el cual su organización opere, de forma tal que puedan asegurar que el
sistema de administración logre sus resultados esperados.
Los auditores no solo debieran enfocarse al liderazgo en los niveles de la alta administración, sino también debieran
auditar el liderazgo y compromiso de otros niveles de administración, conforme sea apropiado.
39
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
A.10 Auditorias de riesgos y oportunidades
Como parte de la asignación de una auditoria individual, la determinación y administración de los riesgos y
oportunidades de la organización pueden ser incluidos. Los objetivos centrales para tal asignación de auditoría son:
Una auditoria al enfoque de la organización para la determinación de riesgos y oportunidades no debiera ejecutarse
como una actividad por sí misma. Debiera ser implícita durante la auditoria completa de un sistema de
administración, incluyéndose durante las entrevistas a la alta administración. Un auditor debiera actuar de acuerdo
con los siguientes pasos y recolectar evidencias objetivas como sigue:
a) entradas usadas por la organización para determinar sus riesgos y oportunidades, y las cuales pueden incluir:
- análisis de factores clave internos y externos;
- dirección estratégica de la organización;
- partes interesadas, relacionadas con el sistema de administración de la disciplina específica y sus
requerimientos, también:
- fuentes potenciales de riesgos tales como, aspectos ambientales, y peligros de seguridad, etc.
b) método con el cual son evaluados los riesgos y oportunidades, y el cual puede diferir entre disciplinas y
sectores.
El trato de la organización y sus riesgos y oportunidades, incluyendo el nivel de riesgos que desee aceptar y cómo
son controlados, requerirán de la aplicación del juicio profesional del auditor.
Algunos sistemas de administración de disciplinas específicas requieren de la aplicación de una perspectiva de ciclo
de vida para sus productos y servicios. Los auditores no debieran considerar éste como un requerimiento para
adoptar el enfoque del ciclo de vida. Una perspectiva de ciclo de vida involucra la consideración del control e
influencia que la organización tiene sobre las etapas o fases de los ciclos de vida de sus productos y servicios. Las
etapas en un ciclo de vida incluyen la adquisición de materias primas, el diseño, la producción, el transporte/envío,
el uso, el final del tratamiento de vida y la disposición final. Éste enfoque permite que la organización identifique
aquellas áreas donde, y en consideración con su alcance, pueda minimizar sus impactos en el medio ambiente
cuando se agregue valor a la organización. El auditor debiera usar su juicio profesional en cómo la organización ha
aplicado la perspectiva del ciclo de vida en términos de su estrategia y:
Si una organización ha combinado varios sistemas de administración en un sistema para cumplir sus propias
necesidades, el auditor debiera observar cuidadosamente cualquier traslape relativo a la consideración de un ciclo
de vida.
La auditoría a la cadena de suministros para requerimientos específicos puede ser requerida. El programa de
auditorías de proveedores debiera ser desarrollado con criterios de auditoria aplicables para los tipos de
proveedores y suministradores externos. El alcance de las auditorías a la cadena de suministros puede diferir, ej.,
Cuando se preparen documentos de trabajo para auditorías, el equipo auditor debiera considerar las preguntas
abajo mostradas para cada documento.
Para auditorias combinadas, los documentos de trabajo debieran ser desarrollados para evitar duplicidad de
actividades de auditoria:
Los documentos de trabajo debieran ser adecuados para abordar todos aquellos elementos del sistema de
administración dentro del alcance de la auditoria y pueden ser ofrecidos en cualquier medio.
Las fuentes de información seleccionadas pueden variar de acuerdo al alcance y complejidad de la auditoria y
pueden incluir lo siguiente:
a) entrevistas con empleados y otras personas;
b) observaciones de actividades y alrededores del medio ambiente de trabajo y condiciones;
c) documentos tales como, políticas, objetivos, planes, procedimientos, estándares ó normas, instrucciones,
licencias y permisos, especificaciones, dibujos, contratos y órdenes;
d) registros tales como, registros de inspección, minutas de juntas, reportes de auditorias, registros de programas
de monitoreo y resultados de mediciones;
e) resúmenes de datos, análisis e indicadores de desempeño;
f) información sobre los planes de muestreo de los auditados y sobre los procedimientos para control del muestreo
y procesos de medición;
g) reportes de otras fuentes, ej., retroalimentación de los clientes, encuestas y mediciones externas, y otra
información relevante de partes externas y evaluaciones de proveedores;
h) bases de datos y sitios web;
i) simulaciones y modelados.
Para minimizar la interferencia entre actividades de auditoria y procesos de trabajo del auditado y para asegurar la
salud y seguridad del equipo auditor durante una visita, lo siguiente debiera ser considerado:
a) planeación de las visitas:
asegurar permisos y accesos a aquellas partes de la localización del auditado, a ser vistadas de acuerdo con
el alcance de la auditoria;
41
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
ofrecer información adecuada a los auditores sobre asuntos de seguridad (security), salud (ej. cuarentena),
seguridad y salud en el trabajo, normas culturales y horas de trabajo para la visita, incluyendo, vacunas y
autorizaciones solicitadas y recomendadas si aplica;
confirmar con el auditado que cualquier equipo de protección personal (EPP) requerido esté disponible para el
equipo auditor, si aplica;
confirmar acuerdos con el auditado en relación al uso de dispositivos móviles y cámaras, incluyendo grabación
de información tal como, fotografías de localizaciones y equipo, fotografías o fotocopias de documentos,
videos de actividades y entrevistas, tomando en consideración asuntos de seguridad (security) y
confidencialidad;
excepto para auditorias no programadas y compatibles, asegurar que el personal a ser visitado será informado
acerca de los objetivos y alcance de la auditoria misma.
b) actividades en planta:
- aseguran que el equipo auditor este usando protocolos de acceso remotos acordados, incluyendo dispositivos
solicitados, software, etc.;
- si se toman copias en fotografía de cualquier documento y de cualquier tipo, se solicita permiso por anticipado
y se consideran asuntos de confidencialidad y seguridad (security), evitando grabaciones individuales sin
permiso;
- si ocurre algún incidente durante el acceso remoto, el líder del equipo auditor debiera revisar la situación con
el auditado y, si es necesario, con el cliente de la auditoria y alcanzar algún acuerdo de si la auditoria debiera
interrumpirse, reprogramarse o continuar;
- usan planes/diagramas de piso de la localización remota para referencia;
- mantienen respeto por la privacidad durante los tiempos de descanso de la auditoria.
Necesita darse consideración a la disposición de información y evidencias de auditoria, independientemente del tipo
de medio en una fecha posterior, y una vez que la necesidad del tiempo de retención haya terminado.
Las auditorias virtuales son conducidas cuando una organización ejecuta trabajo u ofrece un servicio usando un
ambiente en línea, que permita que personas independientemente de la localización física ejecuten procesos (ej.,
intranet de la compañía, una “nube de computación”). La auditoría de una localización virtual es algunas veces
referida como auditoria virtual. Las auditorias remotas se refieren al uso de tecnología para recolectar información,
entrevistar a un auditado, etc., y cuando los métodos “cara-a-cara” no son posibles o deseables.
Una auditoria virtual sigue el proceso estándar de auditoria y cuando se esté usando tecnología para verificar
evidencias objetivas. El auditado y equipo auditor debieran asegurar requerimientos de tecnología apropiados para
auditorias virtuales, y los cuales pueden incluir:
- asegurar que el equipo auditor esté usando protocolos de acceso remoto acordados incluyendo dispositivos
solicitados, software, etc.;
- conducir chequeos técnicos en forma anticipada a la auditoria para resolver aspectos clave técnicos;
- asegurar planes de contingencia que estén disponibles y comunicados (ej., interrupción del acceso, uso de
tecnología alternativa), incluyendo el suministro de un tiempo extra para auditoria si es necesario;
- capacidades técnicas para usar equipo electrónico apropiado y otra tecnología durante la auditoria;
- experiencia en facilitar juntas en forma virtual para conducir la auditoria en forma remota.
Cuando se conduzcan juntas de apertura o se audite virtualmente, los auditores debieran considerar los siguientes
aspectos:
Las entrevistas son un importante medio de recolección de información y debieran realizarse de una forma adaptada
a la situación y persona entrevistada, ya sea cara a cara u otra vía ó medio de comunicación. Sin embargo, el auditor
debiera considerar lo siguiente:
a) las entrevistas debieran sostenerse con personas de niveles y funciones apropiadas y ejecutando actividades
y tareas dentro del alcance de la auditoria;
b) las entrevistas debieran conducirse normalmente durante las horas normales de trabajo y, cuando sea
práctico, en el lugar de trabajo normal de la persona siendo entrevistada;
c) la tentativa de poner a la persona siendo entrevistada en disponibilidad ó facilidad previo a y durante la
entrevista;
d) la razón para la entrevista y cualquier nota que se tome debiera ser explicada;
e) las entrevistas pueden ser iniciadas preguntando a las personas que describan su trabajo;
f) la selección cuidadosa del tipo de preguntas usadas (ej., abiertas, cerradas, preguntas dirigidas, pregunta
apreciativa);
43
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
Durante una auditoria, es posible identificar hallazgos relacionados con criterios múltiples. Cuando un auditor
identifique un hallazgo ligado a un criterio en una auditoria combinada, el auditor debiera considerar el posible
impacto con los criterios correspondientes o similares de los otros sistemas de administración.
Dependiendo de los arreglos con el cliente de la auditoria, el auditor puede ya sea levantar:
Dependiendo de los arreglos con el cliente de la auditoria, el auditor puede guiar al auditado en cómo responder a
estos hallazgos.
45
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
Bibliografía
1) ver www.iso.org/tc176/ISO9001AuditingPracticesGroup