&® icontec GUIA TECNICA GTC-ISO COLOMBIANA 19011 2018-10-17 DIRECTRICES PARA LA AUDITORIA DE LOS SISTEMAS DE GESTION GUIDELINES FOR AUDITING MANAGEMENT SYSTEMS CORRESPONDENCIA: Esta norma es una adopcion idéntica (IDT) por traduccion de la norma ISO 19011: 2018 DESCRIPTORES: auditoria: sistemas de gestidn; auditor; competencia: evaluacién do la coniormidad. L.C.S: 03.120.20; 03.100.70 Ealiada por el insitulo Colmbiend de Nomas Teeniees y Certineavion (ICONTEC) Apartado’ 14237 Bogota, OC. - Tel (S71) SO78883 Fax (S71) 2221435 Prohibida su reproduccién Etitada 2016-10-24PROLOGO El Instituto Colombiano de Normas Técnicas y Certificacién, ICONTEC, es el organismo nacional de normalizacién, segtin el Decreto 1598 de 2015, ICONTEC es una entidad de carécter privado, sin animo de lucro, cuya Misién es fundamental para brindar soporte y desarrollo al productor y proteccién al consumidor Colabora con el sector gubernamental y 2poya al sector privado del pais, para lograr ventajas competitivas en los mercados interno y externo. La representacién de todos los sectores involucrados en el proceso de Normalizacién Técnica esta garantizada por los Comités Técnicos y el petiodo de Consulta Publica, este ultimo caracterizado por la participacién dal piblico en general La guia GTC-ISO 19011 fue ratificada por el Consejo Directivo de 2018-10-17 Esta quia esta sujeta a ser actualizada permanentemente con el objeto de que responda en todo momento a las necesidades y exigencias actuales. A continuacién, se relacionan las empresas que colaboraron en el estudio de esta guia a través de su participacian en el Comité Técnico 21 Evaluarién dela conformidad. 2CDESIGN SAS AEC-MONTAJES INTEGRALES DE GAS AGUAS KPITAL CUCUTA SAESP ALACON METROLOGIA SAS. APPLUS COLOMBIA LTDA. ASOCIACION — COLOMBIANA (DE LABORATORIOS (ASOCOLAB) ATM GAS NATURAL BUREAU VERITAS COLOMBIA LTDA. CALIBRATION SERVICE SAS, CERTICOM SAS. CHEC SA ESP . COMPANIA ANDINA DE INSPECCION Y CERTIFICACION SA. COMPANIA NACIONAL DE METROLOGIA SAS CONSEJO COLOMBIANO DE SEGURIDAD CORPORACION AUTONOMA REGIONAL DE CUNDINAMARCA (CAR) CORPORACION AUTONOMA REGIONAL DE LAS CUENCAS DE LOS RIOS NEGRO Y NARE (GORNARE) DISAN COLOMBIA SA. EINCE LTDA. ENZIPAN LABORATORIOS S.A FRASO ALLIANCE COLOMBIA SAS. SERVICIOS FUNDACION CARDIOVASCULAR DE ‘COLOMBIA (FCV) FUNDACION UNIVERSIDAD DEL NORTE GASES DE OCCIDENTE S.A ESP GESCYAM LTDA GESTION Y CONOCIMIENTO SAS GESTIONARTE CONSULTORIA ESTRATEGICA GLOBAL COLOMBIA CERTIFICACION (GCC) SAS GRUFO BERNIER SAS HIDROPROB S.A INDETRO INGENIERIA LTDA. INGEMET SAS . INGOBAR METROLOGIA S.A S INLAC COLOMBIA INSTITUTO AGROPECUARIO (IGA) INSTITUTO DE METEOROLOGIA YY AMBIENTALES (IDEAM) INSTITUTO NACIONAL DE MEDICINA LEGAL Y CIENCIAS FORENSES | INSTITUTO NACIONAL DE METROLOGIA (INM) INSTITUTO NACIONAL DE SALUD. INTERTEK CALEB BRETT COLOMBIA SA COLOMBIANO HIDROLOGIA, ESTUDIOSLABORATORIOS DE ALTA TENSION Y METROLOGIA ELECTRIGA DE LA UNIVERSIDAD DEL VALLE LABORATORIOS. SERVICIOS FARMACELTICOS DE CALIDAD SFCLTDA LEGRAND COLOMBIA SA. LENOR COLOMBIA SAS LUIS FERNANDO MEDINA LEGUIZAMO SAS METROLOGICA SAS NYCE COLOMBIA SAS ORGANISMO_ NACIONAL DE ACREDITACION DE COLOMBIA (ONAC) PARAMETRIZANDO INGENIERIA SAS PERMODA LTDA. SERVICIO NACIONAL DE APRENDIZAJE (SENA) SERVIMETERS SAS. 8GS COLOMBIA S.A TUS COMPETENCIAS LTDA. TUV RHEINLAND COLOMBIA SAS UL DE COLOMBIA SAS UNIVERSIDAD NACIONAL DE COLOMBIA, ZOOLAB SAS Ademds de las anteriores, en Consulta Publica e| Proyecto se puso a consideracion de las siguientes empresas. A LEON Y ASOCIADOS: AGERIAS PAZ DEL RIOS.A. ‘ACIMUT JAGENCIA DE ADUANAS AVIATUR SA NIVEL AGUAS DE CARTAGENA S.A. ESP ALEJANDRO MARQUEZ CEBALLOS. ‘ABOGADO SAS AMERICANA DE CURTIDOS LTDA. Y CIA SCA ANTEK SAS: ASEGURADORA DE CALIDAD SAS: ASOCIACION. GOLOMBIANA” DE ORGANISMOS DE EVALUACION DE LA CONFORMIDAD (ASOCEC) ASOCIACION NACIONAL DE CENTROS DE DIAGNOSTICO AUTOMOTOR (ASO-CDA), BIG BERATER SAS BIOCALIDAD INDUSTRIAL BVOl COLOMBIA LTDA CABLES DE ENERGIA Y TELECOMUNICACIONES S.A. CAJADE COMPENSACION FAMILIAR DEL TOLIMA (COMFATOLIMA) CEMEX COLOMBIA . CENTRO DE DESARROLLO TECNOLOGICO DEL SECTOR ELECTRICO CERITIFICADORA INCERTS SAS. CERTICAMARA S.A CMD CERTIFICATION SAS CODENSA S.A. ESP COLANTA COTECNA CERTIFICADORA SERVICES LTDA CRANE & SAFETY BUERAU SAS DEXCON CONSULTORES SAS DISENIO Y OPTIMIZACION ONLINE SAS. EPG TOSCANO LTDA. EAS LABORATORIO FUNDICIONES Y__ COMPONENTES AUTOMOTORES SAS (FUNDICOM) SAS GESTION & ESTRATEGIA SAS GYG ASOCIADOS SAS HIDROASESORES HIDROMETRICA S.A. INDUANALISIS SAS INSPECTA SAS INSTITUTO DE CIENCIA Y TECNOLOGIA ALIMENTARIA (INTAL) IGSA SAS JORGE ANDRES ARANGO GALLEGO KENZA GROUP SAS LABORATORIO ALISCCA SAS LABORATORIO DEL MEDIO AMBIENTE Y CALIBRACION WR SAS LABORATORIOS MY G UCSRALIANZA SAS LG ELECTRONICS COLOMBIA LTDA. LUMINOTEST . MAC CONSULTORES INGENIERIA E INTERVENTORIA SAS METREX S.A MONOMEROS VENEZOLANOS S.A MORELCO SAS OITEC SAS| PINTURAS SUPER LTDA. PORTELA & GONZALEZ ASOCIADOS SAS PROGRAMA DE TRANSFORMACION PRODUCTIVA (PTP) PROMIGAS SA ESP PUBLIMARK EDUINTERNATIONAL SAS COLOMBOREGISTRO NACIONAL DE AVALUADORES TECNICONTROL S.A. RNA TOTAL SOLUTIONS GROUP SAS SIPLAS UNIVERSIDAD DEL VALLE . SKILL GROUP SAS UNIVERSIDAD MANUELA BELTRAN SOLARTE NACIONAL DE UNIVERSIDAD NACIONAL DE COLOMBIA CONSTRUCCIONES SAS _ SEDEMANIZALES TAMAYO Y COMPANIA - APOYO UNIVERSIDAD TECNOLOGICA DE PEREIRA, ORGANIZACIONAL SAS. \VOLUMED SAS ICONTEC cuenta con un Centro de Informacién que pone a disposicién de los interesados normas internacionales, regionales y nacionales y otros documentos relacionados. DIRECCION DE NORMALIZACIONPROLOGO 'SO (Organizacién Internacional de Normalizacién) es una federacién mundial de organismos nacionales de nomalizacion (organismos miembros de ISO) El trabajo de elaboracién de las Normas Intemacicnales se lleva a cabo normalmente a través de los comités técnicos de ISO. Cada organismo miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho comitS. Las organizaciones internacionales, gubernamentalesy no gudemamentales, vinculadas con ISO, tambien participan enel tradaio. ISO colabora estrechamente con la Comision Electrotécnica Intermacional (IEC) en todos los temas de normalizacién electrotécnica En la Parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar este documento y aquellos previstos para su mantenimiento posterior. En particular deberia tomarse nota de los diferentes criterios de aprobacién necesarios para los distintos tipos de documentos ISO. Este documento ha sido redactado de acuerdo con las reglas editoriales de la Parte 2 de las Directivas ISO/IEC (veasewww is0.ora/directives), Se llama la atencién sobre la posibilidad de que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificacion de aiguno o todos los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante el desarrollo de este documento se indicaran en la Introduccion ylo en la lista ISO de declaraciones de patente recibidas (véase wvnw iso.oraipatents) Cualquier nombre comercial utiizado en este documento es informacién que se proporciona para comodidad del usuario y no constituye una recomendacion Para una explicacién de la naturaleza voluntaria de las normas, el significado de los téminos especificos de ISO y las expresiones relacionadas con la evaluacién de la conformidad, asi como la informacion acerca de la adhesion de ISO a los principios de la Organizacion Mundial del Comercio (OMC) respecto a los Obstéculos Técnicos al Comercio (OTC), vease ww. i50.ora/iso'foreword. html Este documento ha sido elaborado por el Comité de Proyecto ISO/PC 302, Directrives para la auditoria de Ios sistemas de gestion Esta tercera edicién anula y sustituye a la segunda edicién (ISO 19011:2011) que ha sido revisada técnicamente. Los cambics principales en comparaci6n con la segunda edicion sen los siguientes: - __adicién del enfoque basado en riesgos a los principios de la auditoria; - _ampliacién de la orientacién sobre la gestién de un programa de auditoria, incluyendo el riesgo del programa de auditoria; - ampliacién de la orientacién sobre la realizacién de una auditoria, particularmente la sseccién sobre planificacién de la auditoria; - _ampliacién de los requisites de competencia genérica para los auditores;ajuste de la terminologia para refiejar el proceso y no él objeto (“cosa”): eliminacién del anexo que contenia los requisitos de competencia para auditar disciplinas especificas de sistemas de gestion (debido al gran numero de normas individuales de sistemas de gestion, no seria practico incluir requisites de competencia para todas las disciplinas); ampliacién del Anexo A para proporcionar orientacién sobre la auditoria de (nuevos) conceptos como el contexto de la organizacién, el liderazgo y el compromiso, las auditorias virtuales, el cumplimiento y la cadena de suministroGUIA TECNICA COLOMBIANA GTC-ISO 19011 CONTENIDO Pagina INTRODUCCION. 4. OBJETO Y CAMPO DE APLICACION.. 2. REFERENCIAS NORMATIVAS 3. TERMINOS Y DEFINICIONES 4. PRINCIPIOS DE AUDITORIA 5. GESTION DE UN PROGRAMA DE AUDITORIA 6.1 GENERALIDADES 6.2 ESTABLECIMIENTO DE LOS OBJETIVOS DEL PROGRAMA DE AUDITORIA 5.3. DETERMINACION Y EVALUACION DE LOS RIESGOS Y OPORTUNIDADES DEL PROGRAMA DE AUDITORIA. 5.4 ESTABLECIMIENTO DEL PROGRAMA DE AUDITORIA 5.5 IMPLEMENTACION DEL PROGRAMA DE AUDITORIA... 5.6 SEGUIMIENTO DEL PROGRAMA DE AUDITORIA .. 5.7 REVISION Y MEJORA DEL PROGRAMA DE AUDITORIA. 6. REALIZACION DE UNA AUDITORIA.. 6.1 GENERALIDADES... 6.2 _ INICIO DE LA AUDITORIA 6.3 PREPARACION DE LAS ACTIVIDADES DE AUDITORIA..GUIA TECNICA COLOMBIANA GTC-1SO 19011 6.4 REALIZACION DE LAS ACTIVIDADES DE AUDITORIA... 6.5 PREPARACION Y DISTRIBUCION DEL INFORME DE AUDITORIA. 6.6 FINALIZACION DE LA AUDITORIA. 6.7 REALIZAGION DE LAS ACTIVIDADES DE SEGUIMIENTO DE LA AUDITORIA 7. ‘COMPETENCIA Y EVALUACION DE LOS AUDITORES. 7.1 GENERALIDADES. 7.2 DETERMINACION DE LA COMPETENCIA DEL AUDITOR. 7.3 ESTABLECIMIENTO DE LOS CRITERIOS DE EVALUACION DEL AUDITOR. 7.4 SELECCION DEL METODO APROPIADO DE EVALUACION DEL AUDITOR. 7.8 REALIZACION DE LA EVALUACION DEL AUDITOR .. 7.6 MANTENIMIENTO Y MEJORA DE LA COMPETENCIA DEL AUDITOR BIBLIOGRAFIA. ANEXO A (Informative) ORIENTACION ADICIONAL DESTINADA A LOS AUDITORES. QUE PLANIFICAN Y REALIZAN LAS AUDITORIAS FIGURAS Figura 1. Diagrama de flujo para la gestién de un programa de auditori Figura 2. Vision general de un proceso tipico de recopilacion y Verificacién de Ia informacién TABLAS Tabla 1. Tipos distintos de au Tabla 2. Métodos de evaluacién del auditorGUIA TECNICA COLOMBIANA GTC1SO 19011 INTRODUCCION Desde la publicacién de la segunda edicién de este documento en 2011, se han publicado varias, normas nuevas de sistemas de gestion, muchas de las cuales tienen una estructura comin, requisites esenciales idénticos y iérminos comunes y definiciones esenciales. Como resultado, es necesario considerar un enfoque mas amplio para la auditoria de los sistemas de gestién, asi como de proporcionar una orientacién mas genénca_ Los resultados de las auditorias pueden proporcionar entradas para el aspecto de andlisis de la planificacién del negocio, y pueden contribuir a la identificacion de necesidades y actividades de mejora. Una auditoria puede realizarse con relacién a una serie de criterios de auditoria, de manera separada o combinada incluyendo, pero sin limitarse a. - los requisites definidos en una o mas normas de sistemas de gestion; . las politicas y los requisitos especificados por las partes interesadas pertinentes, - los requisitos legales y reglamentarios; - uno 0 més process del sistema de gestién definidos por la organizacién o por otras Partes; - los planes de sistemas de gestién relacionados con la provision de salidas especificas de un sistema de gestion (por ejemplo, el plan de calidad, el plan de proyecto). Este documento proporciona orientacién para todos los tamafios y tipos de organizaciones y auditorias de distintos alcances y escalas, incluyendo aquellas realizadas por equipos de auditoria grandes, tipicamente de organizaciones grandes, y aquellas realizadas por auditores individuales, ya sea en organizaciones grandes 0 pequefias. Esta orientacién deberia adaptarse segtin sea apropiado al alcance, la complejidad y la escala del programa de auditoria Este documento se concentra en las auditorias internas (de primera parte) y las auditorias realizadas por las organizaciones a sus proveedores extemos y a otras partes interesadas extemas (de segunda parte). Est documento también puede ser ‘itl para las auditorias externas realizadas con fines distintos a una certificacién de sistemas de gestién de tercera parte. La Norma ISO/IEC 17021-1 proporciona requisitos para la auditoria de sistemas de gestin para la certificacién de terceras partes; este documento puede proporcionar orientacién adicional de utilidad (véase la Tabla 1) Tabla 4. Tipos distintos de auditoria Auditoria de primera parte ‘Auditoria de segunda parte Auditoria de tercera parte [Audtoria intarna Aucitoria externa de provesdor ‘Audtoria de certficacion lo sacreditacion [otra auaitoria extema de parte interesaca | Auaroria legal, reglamentania o similarGUIA TECNICA COLOMBIANA GTC-4SO 19011 Para simplificar Ia legibilidad de este documento, se prefiere la forma singular de ‘sistema de gestion”, pero el lector puede adaptar la implementaci6n de la orientacion a su propia situacién Esto también aplica al uso de ‘persona’ y “personas”, “auditor” y “auditores’ Se pretende que este documento se aplique a un amplio rango de usuarios potenciales, incluyendo auditores, organizaciones que implementan sistemas de gestion y organizaciones que necesitan realizar auditorias de sistemas de gestion por razones contractuales 0 reglamentarias. Sin embargo, los usuarios de este documento pueden aplicar esta orientaci6n al desarrollar sus propios requisitos relacionados con auditorias. La orientacion en este documento también puede usarse con el propésito de la autodeclaracion, y puede ser util para organizaciones involucradas en la formacion de auditores o en la cemtificacién de personas. La orientacién en este documento pretende ser flexible. Como se indica en varios puntos del texto, el uso de esta orientacion puede diferir dependiendo del tamafio y el nivel de madurez del sistema de gestion de una organizacién. También deberian considerarse la naturaleza y la complejidad de la organizacion que se va a auditar, asi como los objetivos y el alcance de las auditorias que se van a realizar. Este documento adopta el enfoque de auditoria combinada cuando se auditan juntos dos 0 mas sistemas de gestion de distintas cisciplinas. Cuando estos sistemas estén integrados en un Unico sistema de gestién, los principios y procesos de auditoria son los mismos que para una auditoria combinada (a veces llamada auditoria integrada) Este documento proporciona orientacién sobre la gestion de un programa de auditoria, sobre la planificacién y la realizacion de auditorias de sistemas de gestion, asi como sobre la competencia y la evaluacién de un auditor y un equipo auditor.GUIA TECNICA COLOMBIANA GTC-1SO 190114 DIRECTRICES PARA LA AUDITORIA DE LOS SISTEMAS DE GESTION 4. OBJETO Y CAMPO DE APLICACION Este documento proparciona orientacién scbre la auditeria de los sistemas de gestion, incluyendo los principios de la auditoria, la gestion de un programa de auditoria y la realizacion de audilorias de sistemas de gestion, asi como orientacion sobre la evaluacion de la competencia de las personas que participan en el proceso de auditoria. Estas actividades incluyen a las personas responsables de gestionar el programa de auditoria, los auditores y los equipos auditores. Es aplicable a todas las organizaciones que necesitan planificar y realizar auditorias internas 0 externas de sistemas de gestién, 0 gestionar un programa de auditoria La aplicacién de este documento a otros tipos de auditorias es posible, siempre que se preste especial atencién a la competencia especifica necesaria 2. REFERENCIAS NORMATIVAS No hay referencias normativas en este documento. 3. TERMINOS Y DEFINICIONES. Para los fines de este documento, se aplican los términos y definiciones siguientes. 180 € IEC mantienen bases de datos terminolégicas para su utiizacién en normalizacién en las siguientes direcciones’ - Plataforma de biisqueda en linea de ISO: disponible en httos://wwwiso.org/obp - Electropedia de IEC: disponible en http:/\www.clectropedia ora/ 3.1 auditoria. Proceso sistematico, independiente y documentado para obtener evidencias objetivas (3.8) y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen les criterios de auditoria (3.7). NOTA‘ alaentrads Las audtorias internas, denominadas en algunos casos aucitorias de primera pate, se realizan por, 0 en nombre de la propia organizacion. 1 de 55GUIA TECNICA COLOMBIANA GTC-ISO 19014 NOTA 2 @/a entrada Las audiiorias extemas incluyen lo que se denomina generaimente auditorias de segunda x fercera parte, Las auditorias de segunda parte se evan a cabo por partes que tienen un interes en la organizacion, {alos como los clentes 0 por otras personas en Su nomore. Las auaitorias de torcera parte £0 llevan a ¢ab0 Por organizaciones augitoras independienies, tales como las que olorgan la ceriifeacion/registio de conformidad 0 agencias gubemamentaes. IFUENTE: ISO 9000:2015, 3.13.1, modificada - las Notas a /a entrada han sido modificadas] 3.2 auditoria combinada. auditoria (3.1) llevada a cabo conjuntamente a un Unico auditado (3.13) en dos o mas sistemas de gestion (3.18). NOTA 1 ala ontreda__Se conoce come sicioma de gesi6n integrado cuando dos © mas sistemas de gostién espesificos de una disciplina se integra en un Unico sistema de gestion. [FUENTE: ISO 9000:2015, 313.2, modificada] 3.3 auditoria conjunta. auditor/a (32.1) llevada a cabo a un Gnico auditado (3.13) por dos 0 mas organizaciones auditoras, IFUENTE: ISO 9000:2015, 3.13.3] 3.4 programa de auditoria. Acuerdos para un conjunto de una o mas auditorias (3.1) planificadas para un periodo de tiempo determinado y dingidas hacia un propésito especifico. [FUENTE: ISO 9000:2015, 313.4, modificada - se ha afiadido texto a la definicién] 3.8 aleance de la auditoria. Extension y limites de una uditorfa (3.1). NOTA 1 alaentrada El akance de la aucitoria incluye generalmente una descrincion de las ubicaciones fisicas ¥ virtales, tas funciones, las unidades do la organzacén, lac actividades los procesos, asi como ol pariodo co tiempo cubiert. NOTA2 ala entreda Una ubieacién vitual es un lugar donde la orcanizacién desempefa trabajo o presta un serviio usando un enioma en lines que permite a las personas ejecutar piocesos con Independencia Gesu ubicacién fisica [FUENTE. ISO £000.2015, 3.13.5, modificada - se ha modificado la Nota 1 a [a entrada, se ha afiadido la Nota 2 a la entrada] 3.6 plan de auditoria. Descripcicn de las actividades y de los detalles acordados de una auditoria (3.41) [FUENTE: ISO 9000:2015, 313.6] 3.7 criterios de auditoria. Conjunto de requisitos (3.23) usados como referencia frente a la cual se compara la evidencia abjetiva (38) NOTA 1 alaenads SI los crterivs de audtorie son requsites legales (Incluyendo los regiamentarios), las palabras “cumplimiento’ o “no cumglimiento’ se utiizan a menudo en los hallazgos de /a aucttoria (3 10). NOTA2 Persona que aporta conocimientos 0 experiencia especificos al equipo auditor (3.14) NOTA 1a leentrada El conocimiento o experiencia especifices se relacionan cen Ia organizacién, la actividad, proceso, producto, servicio o disciplina a auditar. el idioma ola cultura NOTA 2a lg entrada —_Un exporto téenico do! equipo auaitor (3.14) no actda como un auditor (3.15). IFUENTE: ISO 9000-2015, 3.13.16, moaificada - se han modificade las Notas 1 y 2. /a entrada] 3.17 observador. Persona que acompafia al equipo auditor (3.14) pero no acitia como un auditor 15) [FUENTE. ISO 9000:2015, 3.13.17, modificada] 3.48 sistema de gestion. Conjunto de elementos de una organizaciOn interrelacionados 0 que interactuan para establecer politicas, objetivos y procesos (3.24) para lograr estos objetivos. NOTA 1a lzentrada Un sistema de gestion puede tratar una sola disciplina o varias cisciolinas, por ejemplo, gestin do Ta calcad, gostin manciora o gestion ampiontal. NOTA 2a lg onrada__Los elomontos dot sistoma do gestion estaplacon ia estructura do la organizacion, los roles ylas responsablidades, Ia plarifieacién, [2 operacion, [as policas, las practicas, las reglas, las cresne as, los objetives los procesos para lograr esos obietivos. NOTA 3a/leentrada__Elacance de un sistema de gestion puede inciur Ia totalidad de la organizacién, funciones espectiicas @ Identicadas de la o.ganizaci6n, secciones especificas e Identificadas da la organizacion, 0 una o mes funciones dentro de un grupo de oganizaciones [FUENTE. ISO 9000.2015, 3.5.3, modificada - se ha eliminado la Nota 4 a /a entrada] 3.19 riesgo. Efecto de la incertidumbre NOTA 1a /leentrada —_Un efecto es una desviacion ce lo esperado, ya sea postive o negative. NOTA? ala entrada __incemicumore es 2! estado, incluso parcial, ce dafciencia de Informacidn relacionada con la comprensién o conocimiento de un evento, su consecuencia 0 su orobablidad NOTA3 ala entiada Con trecuencia @! riesgo se caracteriza por referencia eventos potenciales (segun se dene en Ia Guia ISO 73:2008, 35.1 3) y consecuencias (Seguin se deme an la Guia ISO 73-2008 3613), 0auna combinaciin de 4stos NOTA ala entrada Con tresuencla eliesgo se expresa en términos de una combinacibn de las consecuensias de un evento (inciuidos cambios en as circunstancias) y la probablidad (segin se define en la Gula ISO 73 2008, 3.6.1.7) asociada de que ocurra, [FUENTE: ISO 9000:2015, 3.7.9, modificada - se han eliminado las Notas Sy 6 a /a entrada] 3.20 conformidad. Cumplimiento de un requisito (3.23) IFUENTE: ISO 9000:2015, 3.6.11, modificada - se ha eliminado la Nota 1 a la entrada] 3.21 no conformidad. Incumplimiento de un requisito (3.23). IFUENTE. ISO 9000:2015, 3.6.9, modificada - se ha eliminado la Nota 1 a /e entrada] 3.22 competencia. Capacidad para aplicar conocimientos y habilidades con el fin de lograr los, resultados previstos. 4GUIA TECNICA COLOMBIANA GTC-1s0 19011 IFUENTE: ISO 9000:2015, 3.10.4, modificada - se han elirrinade las Notas a /a entrada] 3.23 requisito. Necesidad o expectativa establecida, generalmente implicita u obligatoria, NOTA1 ale entrada “Generalmente implicta’ significa que es habitual o cractea comin para la organizecién y 1a partes imeresadac ol quo ia nocesiaad 0 oxpoctativa Daje consideracion eta implici, NOTA2 ale entrada Un reauisto especificado es aquel que esta estatlecito, por ejemplo, en informacion documentaca, [FUENTE: ISO 9000:2015, 3.6.4, modificada - se han eliminado las Notas 3, 4, 5y 6 2 /a entrada] 3.24 proceso. Conjunto de actividades mutuamente relacionadas que u Proporcionar un resultado previsto, lizan las entradas para IFUENTE: ISO 9000:2015, 3.4.1, modificada - se han eliminado las Notas a /a entrada] 3.25 desempeito. Resultado medible. NOTA‘ ala entrada El desempeiio se puede relacionar con hallazgos cuantitatives o cuaitatos. NOTA? ala entrada El desempefio se puede retacionar con la gestién de aclividaces, process (3.24), productos, Servicios, sistemas u erganizaciones IFUENTE: ISO 9000:2015, 3.7.8, modificada - se ha eliminado la Nota 3 a /a entrada] 3.26 efleacia. Grado en el que se realizan las actividades planificadas y se logran los resultados Planificados. IFUENTE: ISO 9000:2015, 3.7 11, modificada - se ha eliminado la Nota 1 a fa entrada] 4. PRINCIPIOS DE AUDITORIA La auditoria se caracteriza por depender de varios principios. Estos principios deberian ayudar a hacer de la auditoria una herramienta eficaz y fiadle en apoyo de las politicas y controles de gestion, proporcionando informacion sobre la cual una organizacion puede actuar para mejorar su desempefic. La adhesion a esos principios es un requisito previo para proporcionar conclusiones de la auditoria que sean pertinentes y suficientes, y para permitir a los audtores, que trabajan independientemente alcanzar conclusiones similares en circunstancias similares. La orientacién dada en los Capitulos 5 a 7 se basa en los siete principios sefialados a continuacion. a) __Integridad: el fundamento de la profesionalidad. Los auditores y las personas que gestionan un programa de auditoria deberian: - _ desempefiar su trabajo de forma ética, con honestidad y responsabilidad; - _ emprender actividades de auditoria s6lo si son competentes para hacerlo; = desempefiar su trabajo de manera imparcial, es decir, permanecer ecuanimes y sin sesgo en todas sus acciones; = sersensible a cualquier influencia que se pueda ejercer sobre su juicio mientras lleva a cabo una auditorfa. 5GUIA TECNICA COLOMBIANA GTC4SO 19011 ») d) 9) Presentacién imparcial: la obligacién de informar con veracidad y exactitud Los hallazgos, conclusiones e informes de la auditoria deberian reflejar con veracidad y exactitud las actividades de auditoria Se deberia informar de los abstaculos significativos encontrados durante la auditoria y de las opiniones divergentes sin resolver entre el equipo auditor y el auditado La comunicacién deberia ser veraz, exacta, objetiva, cportuna, clara y completa Debido cuidado profesional: la aplicacién de diligencia y juicio al auditar Los auditores deberian proceder con el debido cuidado, de acuerdo con la importancia de la tarea que desempefian y la confianza depositada en elles por el cliente de la auditoria y por otras partes interesadas. Un factor importante al realizar su trabajo con el debido culdado profesional es tener la capacidad de hacer juicios razonados en todas las situaciones de la auditoria Confidencialidad: seguridad de la informacion Los auditores deberian proceder con discrecién en el usoy la proteccién de la informacion adquirida en el curso de sus tareas La informacién de la auditeria no deberia usarse inapropiadamente para beneficio personal del auditor o del cliente de la auditoria, o de modo que perjudique el interés legitimo del auditado. Este concepto incluye el tratamiento apropiado de la informacién sensible 0 confidencial Independencia: la base para la imparcialidad de la auditoria y la objetividad de las conclusiones de la auditoria Los aucitores deberian serindependientes de la actividad que se audita siempre que sea posible, y en todos los casos deberian actuar de una manera libre de sesgo y conflicto de intereses. Para las auditorias internas, los auditores deberian ser independientes de la funcién que se audita, si es posible. Los auditores deberian mantener la abjetividad a lo largo del proceso de auditoria para asegurarse de que les hallazgos y conclusiones de la auditoria estaran basados s6lo en la evidencia de la auditoria Para las organizaciones pequefias, puede que no sea posible que los auditores intemos sean completamente independientes de la actividad que se audita, pero deberian hacerse todos los esfuerzos para eliminar el sesgo y fomentar la objetividad. Enfoque basado en la evidencia: el métedo racional para alcanzar conclusiones de la auditoria fiables y reproducibles en un proceso de auditoria sistematico La evidencia de la auditoria deberia ser verificable. En general deberia basarse en muesiras de la informacion disponible, ya que una auditoria se lleva a cabo durante un periodo de tiempo delimitado y con recursos finitos. Deberia aplicarse un uso apropiado del muestreo, ya que esta estrechamente relacionado con la confianza que puede depositarse en las conclusiones de la auditoria, Enfoque basado en riesgos: un enfoque de auditoria que considera los riesgos y las oportunidades: El enfoque basado en riesgos deberia influir sustancialmente en la planificacién, la realizacion y la presentacién de informes de auditoria con el fin de asegurar que las auditorias se centran en asuntos que son importantes para el cliente de la auditoria y para alcanzar los objetivos del programa de autitoria 6GUIA TECNICA COLOMBIANA GTC-480 19011 6. GESTION DE UN PROGRAMA DE AUDITORIA 6.1 GENERALIDADES Deberia establecerse un programa de auditoria que puede incluir auditoias que traten una o mas normasde sistemas de gestion u otros requisitos, realizadas por separado o en combinacian (auditorfa combinaca). El alcance de un programa de auditoria deberia basarse en el tamafio y la naturaleza del auditado, asi como en la naturaleza, funcionalidad, complejidad, el tipo de riesgos y oportunidades, y el nivel de madutez de los sistemas de gestion que se van a aucitar La funcionalidad del sistema de gestién puede ser ain mas compleja si la mayorfa de las funciones importantes estan contratadas exteramente y se gestionan bajo el liderazgo de otras organizaciones. Es necesario prestar especial atencion a donde se toman las decisiones mas importantes y qué constituye Ia alta direccién del sistema de gestion. En el caso de miitiples ubicaciones/sedes (por ejemplo, diferentes paises), 0 cuando hay funciones importantes contratadas externamente y gestionadas bajo el liderazgo de otra organizaci6n, deberia prestarse especial atencién al disefio, la planificacién y la validacion del programa de auditoria En elcaso de organizaciones mas pequefias o menos complejas, el programa de auditor escalarse apropiadamente puede Con el fin de comprender el contexte del auditado, el procrama de auditoria deberia tener en cuenta los siguientes aspectos del auditado: - los objetives organizacionales; - las cuestiones extemas e intemas pertinentes; - las necesidades y expectativas de las partes interesadas pertinentes; - los requisites de seguridad y confidencialidad de la informacién. La planificacién de los programas de auditoria interna y, en algunos casos, los programas para auditar a los proveedores exteinas, pueden prepararse para contribuir a otros objetivos de la organizacién. Las personas responsables de gestionar el programa de auditoria deberian asegurase de que se mantiene la integridad de la auditoria y de que no se ejerce una influencia indebida sobre la auditoria Deberia darse prioridad de auditoria a la asignacién de recursos y métodos para los asuntos de un sistema de gestion con los riesgos inherentes mas altos y con los niveles de desempevio mas baios. Deberian asignarse personas competentes para gestionar el proarama de auditoria El programa de auditoria deberia incluir la informacién e identificar los recursos que permitan que las auditorias se realicen de forma eficaz y eficiente dentro de los periodos de tiempo especificados. Esta informacion deberia incluir lo siguiente:GUIA TECNICA COLOMBIANA GTC-1S0 19011 a) objelives del programa de auditorta, b) _flesgos y oportunidades asociados con el programa de auditoria (véase 6.3) y las acciones para tratarlos, ©) alcance (extension, limites, ubicaciones) de cada auditoria dentro de! programa de auditorfa; 4) calendario (numero/duracién/frecuencia) de las auditorias; ©) tipos de auditoria, tales como internas 0 externas; 1) cniterios de auditoria; 9) métodos de auditoria a emplear, h) _ctiterios para seleccionar a los miembros del equipo auditor; i) informacién documentada pertnente. Parte de esta informaci6n puede no estar disponible hasta que se complete una planificacion de auditoria mas detallada La implementacién del programa de auditoria deberia seguirse y medirse, de manera continua (véase 56), para asegurarse de que se han alcanzado sus objetivos. El programa de auditoria deberia revisarse con el fin de identificar necesidades de cambios y posibles oportunidades para la mejora (vase 5.7). La Figura 1 ilustra el flujo del proceso para la gestién de un programa de auditoria,GUIA TECNICA COLOMBIANA GTC-ISO 19011 PLANFICAR HACER VERIFICAR ACTUAR 52 _Estaolecmionte de los objtvos. del programa do audtra 53 Detomminacsn y evauadon ‘de los ioeyosy aportunioadoe ol programa de auatore 57 Revision y mejoradel programa de astra [5.4 Estabincimianta de programa de mde [ssimtementacsn cel] [5.6 Sequimento del programa de autre | ~] programa de audtoria Ccapruto 5 Captulo 8 6.21nico det auctor 7 ST ae! | tes achvndon de | sepurierto dole | 5.2 Preparacion de tas|_[6.4 Reaizacion cle tas ‘aelvidades da audioria |“ actuidades de audi {a 5s _eomaain—y 5 i Serousendelneme =] 6 Falun =! usta PLANFICAR acer VERIFICAR sowuar NOTA 1 Esta Figura usta f@ apicacion del ciclo Planifear-Hacer-Venifiecar-Actuar en este documento. NOTA 2 _ La numeracién de los capitulos/apartados hace referencia a los capitulostapartados pertinentes de este documento, Figura 1. Diagrama de flujo para la gestion de un programa de auditoria 5.2 ESTABLECIMIENTO DE LOS OBJETIVOS DEL PROGRAMA DE AUDITORIA Elcliente de la auditoria deberia asegurarse de que los objetivos del programa de auditoria se han establecido para dirigir la planificacion y realizacién de aucitorias y deberia asegurarse de que el programa de auaitoria se ha implementado eficazmente. Los objetivos del programa de auditoria deberfan ser coherentes con la direccidn estratégica del cliente de la auditoria y servir de apoyo a la politica y los cbjetivos dal sistema de gestion Estos objetivos pueden basarse en las siguientes consideraciones: a) las necesidades y expectativas de las partes interesadas pertinentes, tanto externas ‘coma internas; b) las caracteristicas y los requisitos de los procesos, productos, servicios y proyectos, y cualquier cambio en ellos; 9GUIA TECNICA COLOMBIANA GTC-4SO 19011 c) los requisitos del sistema de gestion; d) la necesidad de evaluar a los proveedores exiernos, 2) el nivel de desemperio del auditado y el nivel de madurez de los sistemas de gestion, como se refleja en los indicadores de desempeno pertinentes (por ejemplo, los KPI), la ‘ocurrencia de no conformidades o incidentes 0 quejas de las partes interesadas; f) los riesgos y oportunidades identificades para el auditado; g) los resultados de auditorias previas, Los ejemplos de objetivos de un programa de auditoria pueden incluir los siguientes. - identificar las oportunidades para la mejora del sistema de gestién y de su desempefio; = evaluar la capacidad del auditado para determinar su contexto = evaluar la capacidad del auditado para determinar los riesgos y oportunidades, y para identificar e implementar acciones eficaces para trataros; = cumplir todos los requisitos pertinentes, por ejemplo, los requisites legales y regiameniarios, los compromisos de cumplimiento, los requisitos de certificacién con una norma de sistemas de gestion; - obtener y mantener la confianza en la capacidad de un proveedor extemno; = determinar la idoneidad, la adecuacién, y la eficacia continuas del sistema de gestion del auditado; = evaluar la compatibllidad y Ia alineaciOn de los objetivos del sistema de gestion con la direccién estratégica de la organizacion. 5.3 DETERMINACION Y EVALUACION DE LOS RIESGOS Y OPORTUNIDADES DEL PROGRAMA DE AUDITORIA Hay riesgos y oportunidades relacionados con el contexto del auditado que pueden asociarse con un programa de auditoria y pueden afectar al alcance de sus objetivos. Las personas responsables de gestionar el programa de auditoria deberian identificar y presentar al cliente de la auditorfa los riesgos y oportunidades considerados al desarioliar el programa de auditoria y los requisitos de recursos, para que puedan tratarse adecuadamente Puede haber riesgos asociados con lo siguiente: a) la planificacién, por ejemplo, el fracaso a la hora de establecer objetivos de la auditoria pertinentes y al determiner el alcance, nimero, duracién, ubicaciones y calendatio de las. auditorias; b) los recursos, por ejemplo, conceder insuficiente tiempo, equipos yio formacién para desarrollar el programa de auditoria o para realizar una auditoria; ©) la selecci6n del equipo auditor, por ejemplo, competencia general insuficiente para realizar auditorfas eficazmente, 10GUiA TECNICA COLOMBIANA GTC4SO 19011 @) Ia comunicacion, por ejemplo, procesos/canales de comunicacién extemos/intemos ineficaces; €) la implementaci6n, por ejemplo, una coordinacién ineficaz de las auditorias dentro del programa de auditoria, o no tener en cuenta la seguridad y confidencialidad de la informacion; f) el control de la informacién documentada, por ejemplo, determinacién ineficaz de la informacion documentada necesaria requenda por los auditores y las partes interesadas pertinentes, fracaso a la hora de proteger adecuadamente los registros de auditoria para demostrar la eficacia de! programa de auditori 9) el seguimiento, revision y mejora del programa de auditoria, por ejemplo, seguimiento ineficaz de los resultados del programa de auditoria; h) a disponibilidad y la cooperacién del auditado y la disporibilidad de evidencias a muestrear, Las oportunidades para mejorar el programa de auditorfa pueden incluir: - permitir llevar a cabo multiples auditorias en una unica vsita; minimizar el tiempo y las distancias viajando al sitio: igualar el nivel de competencia del equipo auditor con el nivel de competencia necesario Para alcanzar los objetivos de la auditoria; alinear las fechas de la auditoria con la disponibilidad del personal clave del auditado. 5.4 ESTABLECIMIENTO DEL PROGRAMA DE AUDITORIA. 5.4.1 Roles y responsabilidades de las personas responsables de la gestién del programa de auditoria Las personas responsables de la gestién de! programa de auditoria deberian: a) __establecer el aleance del programa de auditoria de acuerdo con los objetivos pertinentes (véase 6.2) y cualquier restriccion conocida; b) —determinar las cuestiones externas e intemas, y los riesgos y oportunidades que pueden atectar al programa de auditoria, e implementar acciones para tratarios, integrando estas acciones en todas las actividades de auditoria pertinentes, segtin sea apropiado; ©) asegurar la seleccién de los equipos auditores y la competencia general para las actividades de auditoria, asignando roles, responsabllidades y autoricades, y respaldando al liderazgo, segin sea apropiado, d) _establecer todos los pracesos pertinentes, incluyendo procesos para: - la coordinacién y el calendario de todas las auditories dentro del programa de auditorta, = elestablesimiento de los objetivos, los alcances y los criterios de auditoria de las auditorfas, determinando los métodos de auditoria y la seleccién del equipo auditor; 1"GUIA TECNICA COLOMBIANA GTC41S0 19011 - la evaluacion de los auditores; = elestablecimiento de procesos de comunicacion externos ¢ internos, Seguin sea aprepiado: - la resolucion de disputas y la gestion de las quejas, = el seguimiento de la auditoria, si es aplicable; - la presentacion de informes al cliente de la auditorfa y a las partes interesadas. pertinentes segin sea apropiado. ) — determinar y asegurar la provisién de todes los recursos necesarios; ) —_asegurarse de que se prepara y mantiene la informacién documentada apropiada, incluyendo los registos del programa de aucitoria, 9) hacer el seguimiento, revisar y mejorar el programa de auditoria; bh) comunicar el programa de auditoria al cliente de la auditoria y, segin sea apropiado, a las partes interesadas pertinentes. Las personas responsables de la gestion del programa de auditoria deberian solicitar su aprobacién al cliente de la auditoria. 5.4.2 Competenciade las personas responsables de la gestion del programa de auditoria Las personas responsables de la gestion del programa de auditoria deberian tener la competencia necesaria para gestionar el programa y sus nesgos y oportunidades, y las cuestiones extemas e internas asociadas de forma eficaz y eficiente, incluyendo conocimientos sobre, a) los principios (véase el Capitulo 4), métodos y procesos de auditoria (véanse A.1y A.2); b) las normas de sistemas de gestién, otras normes pertinentes y documentos de referencia/orientacion: ) la informacion relativa al auditado y a su contexto (por ejemplo, las cuestiones ‘extemas/intemas, las partes interesadas pertinentes y sus necesidades y expectativas, las actividades de negocio, los productos, servicios y procesos del auditado); @) Ios requisites legales y reglamentarios aplicables y otros requisitos pertinentes a las actividades de negocio del auditado. Segiin sea apropiado, podria considerarse el conocimiento de gestién de riesgos, gestion de Proyectos y procesos, y de Tecnologias de la Informacion y las Comunicaciones (TIC). Las personas responsables de la gestién del programa de auditoria deberian participar en las, actividades apropiadas de desarrollo continuo para mantener la competencia necesaria para gestionar el programa de auditorfa 12