Manual

María Dolores Cima Cabal
Integración de Sistemas y Planificación y

Ejecución de Auditorías
ISO ISO
9001 14001
ISO
45001 SGE
21
Integración de Sistemas y Planificación y Ejecución
de Auditorías
María Dolores Cima Cabal
Integración de Sistemas y
Planificación y Ejecución de
Auditorías
Reservados todos los derechos. Está prohibido, bajo las sanciones
penales y el resarcimiento civil previstos en las leyes, reproducir,
registrar o transmitir esta publicación, íntegra o parcialmente, por
cualquier sistema de recuperación y por cualquier medio, sea
mecánico, electrónico, magnético, electroóptico, por fotocopia o por
cualquier otro, sin la autorización previa por escrito de UNIR.
© María Dolores Cima Cabal
© Universidad Internacional de La Rioja

Avenida de la Paz, 137
26006 Logroño – La Rioja
© Edición y composición: UNIR
ISBN: Xxx
Actualizado: diciembre 2020
Impreso en España – Printed in Spain

ÍNDICE
Capítulo 1. Integración de los sistemas de gestión ………….….………………………………………..………..……..….…12
Capítulo 2. Vínculos entre las normas de los sistemas de gestión ....………….………..………………..….….28
Capítulo 3. Guía para la integración de los sistemas de gestión: norma UNE 66177 ……….….. 44
Capítulo 4. Auditorías de sistemas de gestión ISO 900, ISO 14001, ISO 45001 y SGE 21….64
Capítulo 5. Normativa aplicable a las auditorías……………………………………………………….…79
Capítulo 6.El perfil del auditor según la norma ISO 19011:2018…………………………………...93
Capítulo 7. Planificación y preparación de la auditoría………………………………………………..110
Capítulo 8. El proceso de auditoría………………………………………………………………………….125
Capítulo 9. Informe y seguimiento de las auditorías…………………………………………………...146

Capítulo 1
Integración de los sistemas
de gestión
Capítulo 1: Integración de los sistemas de gestión
1.1. Introducción
Hoy en día, las organizaciones se encuentran sumergidas en un entorno claramente

globalizado y cambiante. Esta situación exige que tengan que realizar esfuerzos con el fin
de seguir siendo competitivas en los diferentes mercados. Dentro de esta nueva
perspectiva, se han desarrollado y difundido a nivel internacional diversas normas de
sistemas de gestión en diferentes ámbitos como la calidad (ISO 9001), el medioambiente
(ISO 14001), la prevención de riesgos laborales (ISO 45001) y la gestión ética y socialmente
responsable (SGE 21).
Además, la implementación de estas normas en las empresas ha derivado en una evolución

de estas hacia su integración. La integración de los sistemas de gestión ha experimentado
en los últimos años una gran difusión debido a una serie de factores que facilitan y hacen
efectiva la misma. Entre ellos, destacan las similitudes, sinergias y vínculos que presentan
las estructuras de las diferentes normas, y también la mayor experiencia que presentan las
empresas en la aplicación de estas herramientas, haciendo que estén más habituadas a su
utilización.
El motivo de que las organizaciones quieran avanzar hacia dicha integración se debe
fundamentalmente a la economía de costes y a una optimización de recursos. Todas estas
normas de los sistemas de gestión se basan en la aplicación del ciclo de la mejora continua
o ciclo Deming o PDCA (plan, do, check, act; en español planificar, hacer, verificar y
actuar) y parten de una fuente común en cuanto a estructura, planificación, desarrollo e
implantación.
De hecho, esto permite determinar analogías evidentes en cuanto a la planificación y

desarrollo de los diferentes sistemas de gestión, por ejemplo, desde el mapa de
procesos de la organización enfocado al cliente, hasta el desarrollo de la información
documentada que puede ser integrable (manual, política, procedimientos, etc.).
Por lo tanto, si en la planificación del sistema integrado de gestión (SIG) tenemos claro
el desarrollo de cada uno de los sistemas, podremos establecer de manera sencilla sus
apartados comunes: los procesos, los recursos, la estructura, las responsabilidades, o
los productos y servicios.
También tenemos que tener en cuenta la diferencias sustanciales de cada sistema de

gestión, así para la ISO 9001 solo se le exige cumplir la normativa que le afecta en
© Universidad Internacional de La Rioja (UNIR)

12
cuanto al desarrollo de sus productos o servicios, en cambio para la ISO 14001, la ISO
45001 y la SGE 21 es fundamental el cumplimiento de toda la normativa existente que
les afecte en materia ambiental, prevención de riesgos laborales y relaciones laborales,
tanto en el ámbito nacional como los tratados internacionales a los que un país se acoja.
1.2. Los sistemas integrados de gestión
Introducción
La incorporación dentro de la actividad y la gestión de las organizaciones de un grupo

de estándares que especifican los requisitos de implantación de sistemas de gestión
dentro de ámbitos muy diferentes (la calidad, el medioambiente, la prevención de
riesgos laborales, la responsabilidad social corporativa, etc.) se ha producido de manera
escalonada. De forma habitual, las empresas comienzan su andadura implantando un
único sistema de gestión, para posteriormente extender dicha implantación a otros
sistemas de gestión.
Precisamente, debido a que la norma ISO 9001 fue el primer estándar desarrollado por
ISO, una amplia mayoría de organizaciones comenzaron implantando un sistema de
gestión de la calidad, con la finalidad de optimizar el rendimiento de producción. A
medida que fue pasando el tiempo, esas empresas vieron nuevas oportunidades de
mejora con los otros sistemas de gestión. Así, con los sistemas de gestión
medioambiental, descubrieron cómo optimizar sus procesos reduciendo la cantidad de
materia prima que se convertía finalmente en residuos y no en producto terminado
listo para ser vendido, lo que conllevaba un ahorro considerable de costes.
De igual modo, vieron cómo introduciendo modificaciones en su gestión de la energía o

del agua utilizada en la empresa, lograban ahorros en las facturas de los consumos
energéticos y, por tanto, aumentaban su beneficio, a la par que ahorraban daños al
medioambiente.
Lo mismo sucedió con la prevención de riesgos laborales: ante un mayor control para
prevenir y mejorar las condiciones inseguras que pueden generar riesgos, menor
número de accidentes laborales y, por lo tanto, menores pérdidas económicas
(reducción de bajas laborales, disminución de incidentes con daños en las cosas, etc.).

13
En este caso, es bien cierto que el desarrollo de normativa jugó un importantísimo

papel en la disuasión de conductas atentatorias contra la prevención de riesgos.
En último lugar, apareció la responsabilidad social corporativa que, si bien no está tan
extendida en las organizaciones como el resto de las normas y sistemas anteriormente
mencionados, está cada día más en boga, muy especialmente, en organizaciones y
empresas multinacionales y de cierto tamaño.
En este punto, hay que señalar que las primeras en disponer de sistemas de
responsabilidad social empresarial fueron aquellas entidades con una reputación a
cuidar, especialmente con motivo de la actividad que realizan, por ejemplo, bancos,
cajas de ahorro (con motivo de mostrar sus actuaciones en materia de obra social, a lo
que la ley las obliga), empresas productoras de energía (de gas, electricidad, agua, etc.)
o empresas de transporte, entre otros sectores.
Estandarización de los requisitos
Para facilitar y homogeneizar toda la gestión de la empresa se avanza hacia una

estandarización en los requisitos y la gestión de todos los sistemas de gestión de los que
estamos hablando.
Las nuevas versiones de las normas ISO se basan en una estructura denominada de
Alto Nivel (HL por sus siglas en inglés) que busca normalizar y dar uniformidad a las
diferentes normas de sistemas de gestión. La finalidad es adoptar un lenguaje común
que facilite que las organizaciones implementen e integren los diferentes sistemas de
gestión, a través de unos elementos comunes que consisten en la unificación de la
estructura, términos y definiciones principales.
Es decir, esta estructura común facilita que muchas empresas se planteen realizar su
integración en un SIG con la finalidad de conseguir unos objetivos comunes que
satisfagan a los diferentes grupos de interés.
No obstante, también es importante aclarar que cada una de las normas no incluyen
requisitos específicos de otros sistemas de gestión, sin embargo, sí que permiten alinear
o integrar su propio sistema de gestión con los requisitos de sistemas de gestión
relacionados. Por tanto, esta estructura común se complementa con requisitos
específicos de los diferentes ámbitos de aplicación.

14
La Estructura de Alto Nivel (HLS) no es una norma de sistema de gestión. Es una

plantilla de uso obligado para todas las normas ISO de sistemas de gestión nuevas o en
proceso de revisión.
Con esta estructura se trata de:
» Aumentar el alineamiento de las normas de los sistemas de gestión de ISO a través

de una estructura común, un texto común y términos y definiciones comunes.
» Facilitar a las organizaciones la integración de los diferentes sistemas de gestión en
base a las normas ISO que tengan implantadas y certificadas.
» Aumentar el valor añadido de las normas para los usuarios, eliminando costes.
Las normas ISO 9001, ISO 14001 e ISO 45001 incluyen dicha estructura que está
compuesta por:
0. Introducción
1. Objeto y campo de aplicación
2. Referencias normativas
3. Términos y definiciones
4. Contexto de la organización
5. Liderazgo
6. Planificación
7. Apoyo
8. Operación
9. Evaluación del desempeño
10. Mejora
De este modo nace el concepto de integración en la gestión, donde podemos

destacar dos aspectos fundamentales:
» Agiliza y gestiona con eficacia la información de la organización. Es decir, se debe ir

hacia la centralización.
» Se precisa la normalización de los sistemas y proceder a compatibilizarlos, para de
esta manera fomentar y facilitar la gestión conjunta.

15
1.3. Compatibilidad de los sistemas
En cuanto a la normalización y compatibilidad de los sistemas de gestión y sus

componentes, podríamos hablar de:
» Integración de la información documentada. Se facilita la unificación del

control documental, para evitar que la organización disponga de multitud de
formatos que pueden circular por la empresa de manera incontrolada y hagan
perder tiempo a la misma. Por ello, tanto la información documentada general del
SIG como la información documentada específica de cada uno de los sistemas de
gestión que se integren, tendrán que ser creadas y actualizadas convenientemente
siguiendo un patrón común (identificación y descripción, formato, medios de
soporte, revisión y aprobación).
» Integración de los diversos procesos, como pueden ser los procesos de

producción, de apoyo, de medición, etc., bajo una misma propuesta de gestión y control.
» Fijación de fórmulas de análisis de datos, lo cual afecta a toda la empresa, que

debe permitir que se conozca la evaluación de los objetivos económicos, tasas de
accidentes laborales, los impactos medioambientales, la satisfacción de los clientes, etc.
Actualmente podemos hablar de varios sistemas normalizados de gestión, las normas

ISO 9001, ISO 14001 e ISO 45001, que hacen referencia a la calidad, el medioambiente
y a la seguridad y salud en el trabajo, respectivamente.
Por otra parte, y más recientemente, han aparecido diversos estándares de satisfacción
en materia de responsabilidad social corporativa, como la norma SGE21, de Forética, la
norma SA8000 (Social Accountability) o el GRI (Global Reporting Iniciative). Estas
normas tienen carácter voluntario para las empresas, responden a modelos
internacionales de gestión, y son avaladas por entidades de certificación.
Todos estos sistemas tienen orígenes distintos, como hemos visto y su desarrollo ha
estado condicionado por diferentes partes interesadas por lo que pueden aplicarse de
manera independiente. Sin embargo, las coincidencias en sus principios, sus enfoques,
sus filosofías y sus requisitos de gestión, sus procesos y sus componentes facilitan su
integración en un sistema de gestión único.

16
1.4. Modelo de gestión integrado
El modelo que se plantee debe tener una clara la visión orientada hacia el cliente como
premisa principal. Todos los sistemas tienen en común que inciden en la planificación
de estos. Aspectos comunes a todos los sistemas:
» Necesidad de disponer de una información documentada que cualquier organización

debe mantener (documentos) y también conservar como evidencia (registros). La
finalidad es asegurar una correcta gestión del SIG.
» Realización de revisiones periódicas para controlar el grado de eficacia, así como la
adecuación a las normas de referencia, determinar en qué medida se están
cumplimiento los requisitos de estas y verificar el cumplimiento de las políticas de la
organización.
» Establecer objetivos coherentes y medibles (si es posible) que aseguren la mejora
continua.
» Tener en cuenta los procesos claves y relevantes que cruzan horizontal y
verticalmente toda la organización.
» La metodología establecida en el SIG debe basarse en la calidad total y en el ciclo
PDCA (planificar, hacer, comprobar y actuar).
Así podemos determinar que en los sistemas de gestión nos encontramos con
elementos comunes como son:
» Los procesos.
» Los recursos.
» La estructura.
» Las responsabilidades.
» Los productos y servicios.
Aspectos comunes para los sistemas de gestión
El ciclo Deming (planificar, hacer, comprobar y actuar) y la mejora continua, es el

enfoque de gestión que se viene a adoptar para integrar los sistemas de gestión, debido
a su practicidad.

17
Los sistemas se componen de diferentes elementos como los procesos, las estructuras,
los procedimientos y que a su vez requieren una actuación directa del personal,
cobrando especial interés su formación, compromiso y toma de conciencia.
Los sistemas de gestión empresarial suelen están conformados por subsistemas que se
basan en unos principios comunes para la gestión integrada, que se basan en los 7
principios de los sistemas de calidad:
» Enfoque al cliente. Hay que equilibrar la satisfacción de los clientes (calidad), los
intereses del personal de la organización (seguridad laboral), los de la sociedad y los
de las partes interesadas (medioambiente y responsabilidad social corporativa).
» Liderazgo. El compromiso de la dirección es fundamental para lograr el éxito de la

integración del SIG y su funcionamiento, es por ello por lo que cada sistema de
gestión, en su norma recoge la aprobación por esta de sus políticas para demostrar
su compromiso.
» Compromiso con las personas. La participación de todas las partes que forman
parte de la organización es esencial para asegurar la eficacia del SIG. Además, su
motivación es fundamental para tener una implicación en su implantación.
» Enfoque a procesos. Es fundamental conseguir la eficiencia en la gestión, por lo

que las actividades se deben gestionar como un proceso, como un sistema de
procesos que estén interrelacionados y que van a incidir en la eficiencia de la
empresa.
» Mejora. La mejora es una finalidad permanente dentro una organización, de forma

que obtenga mejoras en el desempeño global del sistema de gestión, siempre acorde
con la política del SIG. Este principio se basa en el ciclo de mejora continua o ciclo
de Deming (plan, do, check, act, PDCA, o PHVA en español).
» Toma de decisiones informadas. El análisis de las diferentes evidencias

obtenidas de manera objetiva permitirá tomar de manera adecuada cualquier
decisión que tenga cualquier tipo de impacto en la calidad del producto o servicio, el
medioambiente, la seguridad y salud en el trabajo y la responsabilidad social
corporativa.

18
» Gestión de las relaciones. Las partes interesadas de una organización (tales

como proveedores, socios, clientes, inversionistas, empleados y la sociedad en su
conjunto) influyen en el desempeño del SIG. Por lo tanto, es importante gestionar
las relaciones con estos grupos de interés, estableciendo vías de comunicación que
permitan reunir y compartir información. Es necesario tener una buena relación,
con el fin de conseguir el beneficio por ambas partes.
La integración de sistemas de gestión puede suponer unas ventajas para las

organizaciones como las que vamos a señalar a continuación:
» Crea una mentalidad preventiva en la organización y sus procesos de manera conjunta.

» Posibilita un aumento de eficacia y eficiencia.
» Permite la simplificación de documentación del sistema de gestión y la reducción de
duplicidades en procedimientos o políticas.
» Aporta mayor organización y coordinación a todas las actividades desarrolladas.
» Ayuda a la identificación y cumplimiento de los requisitos legales.
» Fomenta la participación y la motivación del personal a todos los niveles.
» Mejora la proyección interna y externa de la organización (imagen de la empresa).
» Mejora la eficacia en el cumplimiento de los requisitos de las partes interesadas.
» Evita posibles sanciones por incumplimiento de la legislación vigente.
» Fomenta la optimización de procesos y recursos, inversiones y costes, con el
consiguiente impacto en la eficiencia.
» Ayuda a conseguir la satisfacción de los clientes y la mejora de la fidelización de estos.
» Facilita la integración con el entorno social y la credibilidad entre las partes interesadas.
Pero hay que tener en cuenta que, a pesar de los numerosos beneficios comentados, las
organizaciones también se pueden encontrar con dificultades en el proceso de
integración. Entre las más mencionadas destacan la pérdida de la propia identidad de
cada uno de los sistemas de gestión, la falta de recursos materiales y humanos, la falta
de apoyo de las administraciones públicas o la falta de recursos.

19
SISTEMA DE GESTIÓN INTEGRADA
SISTEMA DE
SISTEMA SISTEMA DE SISTEMA DE GESTIÓN
GESTIÓN ÉTICA
DE GESTIÓN GESTIÓN DE LA SEGURIDAD Y
Y SOCIALMENTE
DE CALIDAD MEDIOAMBIENTAL SALUD EN EL
RESPONSABLE
ISO 9001 ISO 14001 TRABAJO ISO 45001
SGE 21
Figura 1. Sistema de gestión integrada.
1.5. Diferencias y similitudes entre los sistemas de gestión
Similitudes entre las normas ISO 9001, ISO 14001, ISO 45001 y SGE21
» Normas de voluntariedad en su desarrollo.

» Certificables.
» Cualquier organización puede implantarlo independientemente de su tamaño.
» Estructura común que facilita la integración de la información documentada, lo que
conllevará a una simplificación documental que garantiza la efectividad.
» Establecen una manera determinada de desarrollar el sistema.
» Se basan en la mejora continua de las organizaciones.
» Compromiso y liderazgo por parte de la dirección de la organización.
» Necesitan de una política como documento guía para la gestión.
» Requieren de una estructura organizativa establecida.
» Especifican la necesidad de:
o Establecer un control operacional.
o Analizar el contexto de la organización.
o Identificar los riesgos y las oportunidades.
o Cumplir con los requisitos legales y otros requisitos.
o Definir unos objetivos adecuados y planificarlos.
o Determinar las competencias requeridas.
o Garantizar la toma de conciencia de los trabajadores para garantizar su
participación, compromiso e implicación en el SIG.
o Realizar auditorías internas del sistema.
Por tanto, la compatibilidad de las normas permite desarrollar el sistema de gestión integrado.

20
Diferencias entre las normas ISO 9001, ISO 14001, ISO45001 y SGE 21
ISO 9001 ISO 14001 ISO 45001 SGE21
Gestión de la
Gestión de la Gestión del Gestión ética de
Objeto de la norma seguridad y
calidad medioambiente la empresa
salud
Cumplir la
Cumplir con la
Cumplir con la normativa para
normativa Cumplir con la
normativa que eliminar o
vigente en legislación MA
afecta al minimizar los
Requisitos legales prevención de la – RRLL1 y con
producto/servicio riesgos que
contaminación y los códigos
/partes pueden afectar
requisitos legales éticos
interesadas a los
ambientales.
trabajadores
Identificación de
No Si Si Si
aspectos e impactos
Preparación y respuesta
No Si Si Si
ante emergencias
Tabla 1. Diferencias entre las normas ISO 9001, ISO 14001, ISO45001 y SGE 21.
1Nota: MA (Medioambiente) y RRLL (Relaciones Laborales).
Relaciones entre sistemas integrados de gestión
La norma UNE 66177. Sistemas de gestión. Guía para la integración de los sistemas de
gestión propone en su anexo D algunos ejemplos de documentos y procesos que son
comunes a los sistemas de gestión de calidad, medioambiente y prevención de riesgos
laborales. No obstante, es preciso tener presente que dicha norma aún no ha sido
adaptada a la estructura de alto nivel (HLS) que comparten la ISO 9001:2015, la ISO
14001:2015 y la ISO 45001:2018.
Es decir, la norma UNE 66177 contempla, por una parte, los requisitos y estructuras de
las versiones anteriores de las normas ISO 9001 e ISO 14001 que actualmente se
encuentran en vigor y, por la otra, de la norma OHSAS 18001, que ha sido sustituida
por la ISO 45001.
Todo lo anterior implica que en un futuro próximo tendrá que adecuarse a las nuevas
versiones de cada una de las normas de sistemas de gestión en vigor, para poder ver las
compatibilidades y relaciones actuales.
De todas formas, teniendo presente las similitudes y compatibilidades de las normas

ISO 9001: 2015, ISO 14001:2015, ISO 45001 y SGE 21 se puede indicar un listado no
exhaustivo de procesos e información documentada que puede ser integrable debido a

21
la compatibilidad de los requisitos definidos en todas o algunas de estas normas de

sistemas de gestión:
» Manual del sistema integrado: su elaboración no es requisito obligatorio en ninguna

de las normas. No obstante, en la práctica, la mayoría de las organizaciones lo
desarrollan, independientemente del sistema que implanten. Es habitual que incluya
la política, el alcance y la descripción del SIG.
» Objetivos y programa de gestión de los objetivos (acciones, recursos, plazo,
responsable e indicadores).
» Análisis del contexto de la organización.
» Acciones para abordar riesgos y oportunidades.
» Revisión por la dirección.
» Identificación y acceso a los requisitos legales y otros suscritos.
» Comunicación, formación y participación.
» Creación y gestión de la información documentada.
» No conformidades y acciones correctivas.
» Auditorías internas.
» Evaluación del cumplimiento de los requisitos legales y otros suscritos
voluntariamente por la organización.
» Mapa de procesos del sistema (definición de los procesos y sus interrelaciones).
» Gestión de los procesos.
» Documentación de procesos identificados: recursos humanos, planificación,
procesos relacionados con el cliente, compras, producción y prestación del servicio,
mantenimiento, equipos de seguimiento y medición, etc.
Como ejemplos de información documentada específica de cada sistema podemos

identificar:
» Calidad
o Fichas de procesos específicas de calidad e instrucciones de trabajo: satisfacción
del cliente y otras partes interesadas.
o Instrucciones técnicas asociadas a las fichas de procesos (implementación y
seguimiento y medición).
o Compras.

22
» Medioambiente
o Identificación y evaluación de los aspectos ambientales. Determinación de los
impactos ambientales asociados a los aspectos ambientales.
o Control operacional (por ejemplo, gestión de residuos, control de emisiones
atmosféricas, utilización de energías renovables).
o Instrucciones técnicas asociadas a las fichas de procesos (implementación y
o Preparación y respuesta frente a emergencias.
» Seguridad y Salud en el Trabajo

o Identificación y evaluación de riesgos laborales.
o Fichas de puestos de trabajo y de equipos de trabajo.
o Instrucciones técnicas asociadas a las fichas de procesos (implementación,
o Control operacional (por ejemplo, gestión de equipos de protección individual,
coordinación de actividades, trabajos en espacios confinados).
o Preparación y respuesta frente a emergencias.
o Calibración, verificación y mantenimiento de los equipos para llevar a cabo el
seguimiento o la medición (por ejemplo los equipos y aparatos utilizados para
llevar a cabo mediciones higiénicas).
o Investigación de incidentes.
» Gestión Ética y Socialmente Responsable

o Política anticorrupción.
o Código de Buen Gobierno.
o Código de conducta.
o Plan de conciliación de la vida personal, familiar y laboral.
o Identificar y evaluar los impactos sociales, desarrollando además planes de acción
para cada uno de ellos.
o Memoria Anual de RSC en la que se incluirá la acción social, los resultados
económicos y datos ambientales.
Enfoque basado en procesos
Las normas ISO 9001, ISO 14001 e ISO 45001 ponen de manifiesto la necesidad de que
las organizaciones identifiquen los procesos y sus interacciones. Para ello, se puede
acudir a un mapa de procesos, que es un diagrama gráfico que nos muestra la

23
interrelación existente entre todos los procesos y subprocesos de la empresa. Además,

en dicho mapa se debe tener en cuenta la mejora continua, como compromiso claro de
la organización.
La finalidad no es otra que conocer de forma detallada el funcionamiento de los

procesos y actividades en los que la empresa está involucrada, para poder integrar los
requisitos de las normas de los sistemas de gestión en ellos.
Por tanto, a la hora de realizar un SIG se debe elaborar un mapa de procesos donde se
tengan en cuenta todos los procesos y los requisitos de las normas de sistemas de
gestión que se integran. Es decir, para cada proceso identificado hay que analizar la
influencia que tiene dicho proceso respecto a las diferentes áreas de gestión y
determinar la finalidad de ese proceso, no solo en términos de cumplimiento de los
requerimientos del cliente, sino en base al cumplimiento de requisitos
medioambientales, de seguridad y salud en el trabajo, y de gestión ética y socialmente
responsable.
Por ejemplo, se pueden describir las operaciones de fabricación de acero con la

finalidad de que el producto sea conforme, pero también que las actividades minimicen
o eliminen los riesgos que pueden originar daños para la salud de los trabajadores, y
que tampoco provoquen impactos ambientales. Además, también habrá que incluir los
aspectos relacionados con la gestión ética y socialmente responsable.
Finalmente, cabe señalar que las nuevas versiones de las normas ISO 9001, ISO 14001 e
ISO 45001 plantean la relación entre la estructura común de alto nivel y el ciclo PDCA
como un proceso con sus entradas (contexto de la organización) y sus salidas
(resultados previstos del sistema de gestión).

24
Figura 2. Representación de la estructura de la norma ISO 9001 con el ciclo PHVA. Fuente: UNE-EN ISO
9001:2015.
14001:2015.

25
45001:2015.

26
Capítulo 2
Vínculos entre las normas
de los sistemas de gestión
Capítulo 2: Vínculos entre las normas de los sistemas de gestión
2.1. Introducción
La evolución de los sistemas de gestión empresarial tiende a la integración de su

estructura como son los sistemas de gestión de calidad a través de la norma ISO 9001,
los sistemas de gestión medioambiental a través de la norma ISO 14001, o de los
sistemas de seguridad y salud de los trabajadores a través de la norma ISO 45001 y los
sistemas de gestión ética a través de la norma SGE 21 de Forética.
Las normas ISO evolucionan de una manera clara hacia la homogeneización de los
diferentes sistemas de gestión, asumen de manera clara el círculo Deming, PDCA,
como herramienta de mejora de los sistemas, lo cual favorece desde un inicio el trabajo
de la integración.
La estructura de los sistemas a través de los mapas de procesos se sustenta en los

procesos clave, los procesos estratégicos y los procesos de apoyo, incardinándose los
procesos o procedimientos específicos de cada sistema de gestión en uno u otro
apartado. Es por ello por lo que en el desarrollo de este tema establecemos todos los
vínculos existentes entre los sistemas de gestión de calidad, medioambiente y gestión
de la seguridad y salud de los trabajadores (SST), de una manera clara identificando
cada punto de correlación de los diferentes sistemas y haciendo una propuesta sobre
dichos procedimientos integrados.
Con la SGE 21, hemos desarrollado de manera separada en segundo epígrafe con sus
similitudes y sus diferencias con los otros tres sistemas de gestión ya que por su
configuración, estructura y objetivos, abarca en parte al resto de sistemas englobando
dentro de sí gran parte de los componentes de estos pero tiene diferencias específicas
como la política anticorrupción, cuyos criterios van más allá de la elaboración del
producto o servicio que se desarrolle.
2.2. Equiparación estructural de ISO 9001, ISO 14001 e ISO

45001
Tal y como ya hemos estado viendo en la anterior unidad, los sistemas de gestión se
hallan interrelacionados entre sí. Las normas ISO se han homogeneizado hacia la

28
estructura de alto nivel (HSL), lo que facilita de forma sustancial la integración de los
sistemas.
Las normas ISO 9001, 14001 y 45001 de sistemas de gestión siguen, como se
comentaba la denominada Estructura de Alto Nivel (HLS), que busca alinear las normas a
través de una estructura común, un texto común y términos y definiciones comunes, para
de esta manera facilitar a las organizaciones la integración de los distintos sistemas,
aumentando el valor añadido de las normas para las empresas. En la tabla 1 se puede ver
cómo es la Estructura de Alto Nivel.
1. Introducción.
2. Objeto y campo de aplicación.
3. Normas para la consulta.
4. Contexto de la organización.
5. Liderazgo.
6. Planificación.
7. Apoyo.
8. Operación.
9. Evaluación del desempeño.
10. Mejora.
Tabla 1. Estructura de Alto Nivel
A continuación se presenta una tabla donde se pueden observar los vínculos entre las
normas ISO 9001, ISO 14001 e ISO 45001.
ISO 9001 ISO 14001 ISO 45001

0. Introducción 0. Introducción 0. Introducción
0.1. Generalidades 0.1. Antecedentes 0.1. Antecedentes
0.2. Principios de la calidad 0.2. Objetivo de un SGA 0.2. Propósito de un SGSST
0.3. Enfoque a procesos 0.3. Factores de éxito 0.3. Factores de éxito
0.4. Relación con otras 0.4. Modelo planificar-hacer- 0.4. Ciclo planificar-hacer-
normas de sistemas de verificar-actuar verificar-actuar
gestión
0.5. Contenido de esta norma 0.5. Contenidos de esta norma
internacional internacional
1. Objeto y campo de 1. Objeto y campo de 1. Objeto y campo de aplicación
aplicación aplicación
2. Referencias normativas 2. Referencias normativas 2. Referencias normativas
3. Términos y definiciones 3. Términos y definiciones 3. Términos y definiciones

29
4. Contexto de la organización 4. Contexto de la organización 4. Contexto de la organización

4.1. Comprensión de la 4.1. Comprensión de la 4.1. Comprensión de la
Organización y de su contexto Organización y de su contexto Organización y de su contexto
4.2. Comprensión de las 4.2. Comprensión de las 4.2. Comprensión de las
necesidades y expectativas de necesidades y expectativas de necesidades y expectativas de los
las partes interesadas las partes interesadas trabajadores y otras partes
interesadas
4.3. Determinación del 4.3. Determinación del 4.3. Determinación del alcance
alcance del SGC alcance del SGA del SGSST
4.4. SGC y sus procesos 4.4. SGA 4.4. SGSST
5. Liderazgo 5. Liderazgo 5. Liderazgo y participación de
los trabajadores
5.1. Liderazgo y compromiso 5.1. Liderazgo y compromiso 5.1. Liderazgo y compromiso
5.2. Política 5.2. Política Ambiental 5.2. Política de SST
5.3. Roles, responsabilidades 5.3. Roles, responsabilidades 5.3. Roles, responsabilidades,
y autoridades en la y autoridades en la rendiciones de cuentas y
organización organización autoridades en la organización
5.4. Consulta y participación de
los trabajadores
6. Planificación 6. Planificación 6. Planificación
6.1. Acciones para abordar 6.1. Acciones para abordar 6.1. Acciones para abordar
riesgos y oportunidades riesgos y oportunidades riesgos y oportunidades
6.1.1. Generalidades 6.1.1. Generalidades
6.1.2. Aspectos ambientales 6.1.2. Identificación de peligros y
evaluación de los riesgos y
oportunidades
6.1.3. Requisitos legales y 6.1.3. Determinación de los
otros requisitos requisitos legales y otros
requisitos
6.1.4. Planificación de 6.1.4. Planificación de acciones
acciones
6.2. Objetivos de calidad y 6.2. Objetivos ambientales y 6.2. Objetivos de SST y
planificación para lograrlos planificación para lograrlos planificación para lograrlos
6.3. Planificación de los
cambios

30
7. Apoyo 7. Apoyo 7. Apoyo

7.1. Recursos 7.1. Recursos 7.1. Recursos
7.2. Competencia 7.2. Competencia 7.2. Competencia
7.3. Toma de conciencia 7.3. Toma de conciencia 7.3. Toma de conciencia
7.4. Comunicación 7.4. Comunicación 7.4. Comunicación
7.5. Información 7.5. Información 7.5. Información documentada
documentada documentada
8. Operación 8. Operación 8. Operación
8.1. Planificación y control 8.1. Planificación y control 8.1. Planificación y control
operacional operacional operacional
8.1.1. Generalidades
8.1.2. Eliminar peligros y reducir
los riesgos para la SST
8.1.3. Gestión del cambio
8.1.4. Contratación externa
8.1.5. Compras
8.1.6. Contratistas
8.2. Requisitos para los 8.2. Preparación y respuesta 8.2. Preparación y respuesta
productos y servicios ante emergencias ante emergencias
8.3. Diseño y desarrollo de los
productos y servicios
8.4. Control de los procesos,
suministrados externamente
8.5. Producción y provisión
del servicio
8.6. Liberación de los
8.7. Control de las salidas no
conformes
9. Evaluación del desempeño 9. Evaluación del desempeño 9. Evaluación del desempeño
9.1. Seguimiento, medición, 9.1. Seguimiento, medición, 9.1. Seguimiento, medición,
análisis y evaluación análisis y evaluación análisis y evaluación del
desempeño
9.2. Auditoría interna 9.2. Auditoría interna 9.2. Auditoría interna
9.3. Revisión por la dirección 9.3. Revisión por la dirección 9.3. Revisión por la dirección

31
10. Mejora 10. Mejora 10. Mejora

10.1. Generalidades 10.1. Generalidades 10.1. Generalidades
10.2. No conformidad y 10.2. No conformidad y 10.2. Incidentes, no
acción correctiva acción correctiva conformidades y acciones
correctivas
10.3. Mejora continua 10.3. Mejora continua 10.3. Mejora continua
Anexo A. Aclaración de la Anexo A. Orientación para el Anexo A. Orientación para el uso
nueva estructura, uso de esta Norma de este documento
terminología y conceptos internacional
A.1 Estructura y terminología A.1 Generalidades A.1 Generalidades
A.2 Productos y servicios A.2 Aclaración de la A.2 Referencias normativas
estructura y la terminología
A.3 Comprensión de las A.3 Aclaración de conceptos A.3 Términos y definiciones
necesidades y expectativas de
las partes interesadas
A.4 Pensamiento basado en A.4 Contexto de la A.4 Contexto de la Organización
riesgos Organización
A.5 Aplicabilidad A.5 Liderazgo A.5 Liderazgo y participación de
los trabajadores
A.6 Información A.6 Planificación A.6 Planificación
documentada
A.7 Conocimientos de la A.7 Apoyo A.7 Apoyo
organización
A.8 Control de los procesos, A.8 Operación A.8 Operación
suministrados externamente
A.9 Evaluación del A.9 Evaluación del desempeño
desempeño
A.10 Mejora A.10 Mejora
Tabla 2. Comparativa ISO 9001, 14001 y 45001.

32
2.3. Relaciones de los sistemas de gestión de la calidad,

medioambiente y de la seguridad y salud de los trabajadores con
la SGE 21
Hasta ahora, se han establecido paralelismos en la tabla previa, entre los principales
sistemas de gestión (ISO 9001, ISO 14001 e ISO 45001). Sin embargo, no se debe
perder de vista otro sistema de gestión estudiado en unidades precedentes: el sistema
de gestión ética y responsable o sistema de gestión de la responsabilidad social
corporativa o empresarial.
La SGE 21 aporta ventajas a los sistemas integrados de gestión. A la organización no le

resulta muy complicada su integración con el resto de los sistemas, dado que comparte
con ellos una gran cantidad de fines y objetivos, con lo que el establecimiento de
objetivos comunes e integrados resulta mucho más sencillo.
La SGE 21 incorpora los mandatos de organismos internacionales, como la propia

Comisión Europea, o la Organización Internacional del Trabajo (OIT), entre otros. De
igual modo, facilita la comunicación tanto interna como externa de sus logros en
materia de responsabilidad social.
A continuación, analizaremos los vínculos de la SGE 21 con los sistemas de la calidad,

medioambiente y la seguridad y salud laboral.
Similitudes y especificidades de la norma SGE 21
» Papel de la alta dirección
En todos los sistemas de gestión estudiados se requiere un compromiso y liderazgo

claro por parte de la alta dirección para que el sistema funcione correctamente.
Además, como punto de partida fundamental, en el soporte documental requerido

para estos sistemas se establece la necesidad de redactar una política de
responsabilidad social, así como un código de conducta. Estos documentos pueden,
muy bien, equipararse con las respectivas políticas de calidad, medioambiente y
seguridad y salud en el trabajo.

33
A continuación, se reproduce un ejemplo de política de gestión integrada de calidad,

medioambiente y gestión ética:
Política integrada de calidad, medioambiente y gestión ética y

socialmente responsable
CURSO INTENSIVO MIR ASTURIAS, entiende la implantación de un sistema de

calidad y medioambiente y gestión ética y socialmente responsable de acuerdo a las
normas UNE-EN ISO 9001, UNE-EN ISO 14001, reglamento EMAS y SGE 21 como
un pilar básico en la gestión de su empresa asumiéndolo para su actividad de:
formación médica de alto rendimiento dirigida a la superación del examen de médicos
internos residentes (MIR).
En sus instalaciones de Oviedo sitas en C/ Quintana 11A, 1º - oficinas 1-5, Quintana

11A- 3ºC y C/ Prado Picón – Oviedo.
La Dirección de CURSO INTENSIVO MIR ASTURIAS considera la Calidad, el

Medioambiente y la Responsabilidad Social, como factores prioritarios y se
compromete a proporcionar los mejores productos y servicios que satisfagan las
expectativas de sus alumnos y los altos estándares de calidad establecidos por la
propia academia, teniendo siempre en cuenta el respeto por el medioambiente y
velando por una contribución ética y responsable a la sociedad.
Estos objetivos se consiguen de forma progresiva y continuada mediante la

participación y la implicación de todos sus empleados y colaboradores con la actividad
y los valores de la empresa.
En CURSO INTENSIVO MIR ASTURIAS estamos comprometidos a mantenernos en

la vanguardia de la formación siendo capaz de ofrecer continuamente nuevos servicios
y soluciones a nuestros ALUMNOS, en base a:
Escuchar y recoger sus intereses/sugerencias para darles respuesta e incluso,

anticiparnos a sus necesidades.
Optimizar la calidad del servicio proporcionado a nuestros alumnos, para

satisfacer y si es posible superar sus expectativas.

34
Innovar y mejorar continuamente el material entregado al alumno y las

herramientas de formación para la preparación del examen MIR.
Implantar una cultura de calidad, medioambiente y comportamiento ético y

socialmente responsable tanto en proveedores como en los empleados y
colaboradores que inspire la participación de cada uno de ellos en los procesos,
incorporando mecanismos de medición y detección temprana de errores que permitan
corregirlos antes de que lleguen al alumno.
Analizar las necesidades y expectativas de nuestros diferentes grupos de interés y

establecer las acciones necesarias para darles cumplimiento, desarrollando cauces de
participación y manteniendo unas comunicaciones fluidas con los mismos.
Integrar, en nuestra estrategia y gestión, aspectos sociales, laborales,

éticos y ambientales, promoviendo y fomentado la igualdad de oportunidades
de todo el personal, así como el empleo estable y de calidad, la innovación
responsable y la transparencia en la información.
Desarrollar e implantar nuevas herramientas de medida de satisfacción del
alumno y mejorar las ya existentes, con el fin de recoger información objetiva que
sirva de base para la implantación de mejoras.
Definir y optimizar el funcionamiento de la organización tanto en procesos como en

la gestión de su capital humano.
Desarrollar procedimientos para asegurar la identificación y cumplimiento de

todos los requisitos legales que se apliquen a sus actividades, así como de otros
requisitos que la organización suscriba.
Promover un uso racional y eficaz de los recursos naturales, sin comprometer las
necesidades de la actividad.
Establecer y revisar objetivos y metas de calidad, medioambiente y responsabilidad

social, dentro de un proceso de mejora continua acorde con sus recursos e impactos
ocasionados.
Asimismo la dirección enfatiza el compromiso de cumplimiento del sistema de

gestión definido en detalle en su manual. Todo el personal asumirá las

35
responsabilidades, que como consecuencia de este compromiso, le correspondan. El

director delega en los responsables de calidad, de medioambiente y de
responsabilidad social la implantación, desarrollo y actualización del sistema de
gestión, otorgándoles a la vez la autoridad, libertad y medios necesarios para ello.
Fuente: http://www.curso-mir.com/Archivos/politica-social-y-de-medio-ambiente.pdf
En los sistemas de gestión ética es preciso nombrar tanto un responsable como un

comité de responsabilidad social.
Este comité debe ser representativo de las distintas áreas de la organización,

exactamente igual que sucede en los sistemas de gestión de la calidad,
medioambiente y seguridad y salud en el trabajo.
Tanto el comité de responsabilidad social, como el responsable de gestión

ética/responsabilidad social, responden ante la alta dirección, lo mismo que en los
otros sistemas de gestión (calidad, medioambiente y SST). Y ello es así porque, a
menudo, surgen conflictos sobre la toma de decisiones y la autoridad, poniendo en
ocasiones en duda la potestad de ejecución en algunas cuestiones de los
responsables de estas áreas de gestión.
Esta dependencia jerárquica de la alta dirección garantiza la autoridad en la toma de

decisiones relativas a los sistemas de gestión que les competen, tanto al responsable
de estos como al comité correspondiente.
Por otro lado, el enfoque hacia la gestión de riesgos y oportunidades se hace patente
en los cuatro sistemas de gestión estudiados, por lo que sería otro de los aspectos
comunes a integrar.
Si se analiza el siguiente punto de la SGE 21, se observa que, nuevamente, está en

sintonía con los otros tres sistemas analizados. Se trata del establecimiento de
objetivos e indicadores de cumplimiento.
En todos los sistemas, para verificar su grado de cumplimiento, se hace

imprescindible el establecimiento de objetivos en un programa que contemple los
plazos y los recursos (humanos, económicos, materiales) para alcanzarlos, así como
la designación del responsable de que esto sea así.

36
Por tanto, en este punto, también es posible integrar los objetivos de la gestión ética,
en la gestión general de la empresa y, por supuesto, en un sistema integrado de
gestión que contemple calidad, medioambiente y riesgos laborales.
En cuanto al punto referido a la relación y diálogo con los grupos de interés

(también denominados stakeholders), también se puede afirmar que tiene relación
con los otros tres sistemas de gestión en dos apartados distintos: por un lado, en
cuanto a la comunicación interna (por ejemplo, los empleados), externa (por
ejemplo, los clientes, proveedores, asociaciones vecinales, de consumidores, etc.), y
por otro lado, en cuanto a la determinación de lo que el cliente quiere, desde el
punto de vista de orientación al cliente y su satisfacción.
Desde este último prisma de observación, la orientación al cliente está más

relacionada con los sistemas ISO 9001 de calidad. Sin embargo, si se pone el énfasis
en la comunicación, se puede relacionar más fácilmente con la SST (importancia del
bienestar de los trabajadores, reducción de accidentes laborales), y la comunicación
con el llamado «cliente interno».
Si se enfatiza el aspecto de comunicación externa, se puede equiparar a la

preocupación de la organización por la repercusión de su actividad en la sociedad en
que está establecida (por ejemplo, colaboración en recuperación medioambiental de
una zona concreta afectada por algún daño ecológico, con alguna asociación
ecologista, etc.). La organización trata de paliar y reducir las llamadas
externalidades negativas que su actividad acarrea a la población cercana.
Es por todo ello que resulta de gran importancia llevar a cabo una adecuada
identificación de los grupos de interés de la organización o empresa. En este punto
aparece una de las especificidades de la norma SGE 21, como es la divulgación de
información no financiera. Periódicamente la organización debe publicar un informe
de desempeño.
En cuanto a las auditorías internas, es otro de los aspectos compartido con los otros
tres sistemas, ya que, en todos ellos, deben llevarse a cabo auditorías para
comprobar el correcto funcionamiento y detectar posibles anomalías de este y así
poder aplicar acciones para subsanarlas. Hay que tener en cuenta que a diferencia

37
del resto de normas, la SGE 21 fija su periodicidad al señalar que deben ser
realizadas anualmente.
Por último, todos los sistemas de gestión analizados comparten también el apartado
referido a la revisión por la dirección y mejora continua.
La revisión por la dirección se hace imprescindible para poder detectar las posibles
áreas de mejora en busca de la mejora continua tanto del sistema, como del
desempeño de la organización. Nuevamente hay que resaltar, que a diferencia de las
normas ISO, la SGE 21 fija la periodicidad de la revisión por la dirección en un año.
Dentro de la primera área de gestión de la norma SGE 21, hay un aspecto que se
podría decir que es específico de este sistema, como es la necesidad de definir una
política anticorrupción. La finalidad básica de esta política anticorrupción es evitar
que se den supuestos de soborno o extorsión, para lo que deben establecerse normas
a la hora de emitir y recibir regalos.
» Derechos de los trabajadores
Uno de los apartados más largos, que incluye un mayor número de requisitos en la
norma SGE 21 es el de «Personas que integran la organización».
En primer lugar, se trata de criterios de respeto a los derechos humanos de los

trabajadores de la organización, sobre todo en cuanto a asociación, juventud e
infancia, y a unas condiciones de empleo equitativas y satisfactorias. Este apartado
está relacionado con la norma ISO 45001, en mayor medida que con el resto de las
normas que estamos estudiando en los sistemas integrados de gestión.
En este punto, se encuentran varios aspectos específicos de la norma SGE 21 con

respecto a las otras tres normas estudiadas. Así, la SGE 21, incluye entre sus
requisitos la necesidad de respetar el principio de igualdad de oportunidades y no
discriminación por razones de género, origen étnico o racial, convicciones,
discapacidad, edad u orientación sexual o cultura, entre otras, así como la obligación
de una adecuada gestión de la diversidad e inclusión en la organización.
En esta área de gestión también se tratan aspectos relacionados con la conciliación

de la vida personal, familiar y laboral. En este caso, esta conciliación se podría

38
relacionar con la gestión de la SST al constituir una herramienta para generar un

buen clima laboral que permita garantizar el bienestar del trabajador tal y como se
recoge en la norma ISO 45001.
La SGE21 también habla del diseño y estructura de la organización, donde se recoge

la necesidad de describir los puestos de trabajo e incluir objetivos ambientales,
sociales y de buen gobierno en la evaluación del desempeño. Se busca al fin y al cabo
una correcta gestión de los recursos humanos, llevando además a cabo un
seguimiento del clima laboral, algo también imprescindible cuando se habla del
sistema de gestión de la SST.
El siguiente punto de la SGE 21 habla de la salud y bienestar en el trabajo y es obvio

que coincide con lo que se establece en la norma ISO 45001.
Respecto a la formación, es un aspecto que se hace imprescindible en todos los

sistemas estudiados, calidad, medioambiente, SST y gestión ética, por tanto será
susceptible de ser fácilmente integrado.
Por último, un aspecto que es específico de la norma SGE 21 sería el de la

reestructuración responsable.
» Identificación del producto o servicio
Otros apartados que se incluyen en la norma SGE 21 son los relacionados con el
área de clientes: innovación responsable, calidad y excelencia, información
responsable de productos y servicios, acceso a productos y servicios y publicidad y
marketing responsable.
De ellos, se analizarán los que entran dentro de particularidades de la SGE 21, esto
es, la información responsable de productos y servicios, en primer lugar. En este
punto, la norma es coincidente con la normativa aplicable en España sobre la
identificación inequívoca del producto o servicio, información veraz, condiciones
de compra que no den lugar a dudas, garantías y servicios postventa y cauce para
las reclamaciones de clientes.

39
Así pues, una organización que decida implantar la SGE 21 aquí, ese apartado lo
debe cumplir, no ya solo por esta norma, sino ante todo, por el cumplimiento de la
normativa legal aplicable.
Además, la organización es la responsable por la puesta en el mercado de ese

producto o servicio, por lo que, justamente por ello, debe responder en el caso de
que se produzca algún tipo de incidente que suponga un peligro para el usuario o
consumidor de ese servicio o producto.
La norma de Forética también hace referencia a la accesibilidad global de los

productos, servicios e instalaciones, es decir, garantizar el acceso a sus productos y
servicios, lo que también es un punto distintivo.
Con referencia a la publicidad responsable y al marketing responsable, la

organización, desde el mismo momento de la captación comercial, debe aplicar
principios y prácticas de publicidad y marketing responsable, que deben ser
conocidas por el comité de gestión ética, y establecer las medidas oportunas en
caso de su incumplimiento. Debe además garantizar la protección de públicos
vulnerables.
La organización debe ofrecer un tipo de publicidad honesta, transparente y ética.

De no hacerlo, no solo tendría consecuencias para el sistema de gestión éticamente
responsable, sino también, consecuencias legales por incumplimiento de la
normativa vigente aplicable, y las subsiguientes sanciones en función de la
gravedad de dicho incumplimiento.
» Proveedores
Otra de las áreas de gestión incluidas en la norma SGE 21 es la de proveedores y

cadena de suministro, donde se incluyen requisitos sobre: compras responsables,
sistema de evaluación, homologación de proveedores, fomento de buenas prácticas,
medidas de apoyo y mejora.
En este punto, las llamadas «compras responsables» hacen referencia a tener en

cuenta criterios éticos, laborales, sociales y ambientales, por encima de los requisitos
legales aplicables, a la hora de valorar y escoger a los proveedores de la organización.

40
Partiendo de estos criterios, la organización determina los estándares a alcanzar

para ser proveedor. En este punto, los otros tres sistemas también tienen unos
requerimientos que es preciso satisfacer a la hora de seleccionar proveedores, y la
diferencia estriba en que aquí engloban aspectos exigidos en los otros sistemas, por
ejemplo, criterios ambientales en un sistema de gestión medioambiental o de
selección de contratistas con unas condiciones de trabajo justas, o no utilización de
mano de obra infantil, que serían juicios relativos a los recursos humanos de
nuestros contratistas, y todos ellos serían razonamientos éticos.
» Entorno social e impacto en la comunidad
En esta área de gestión la norma SGE 21 incluye aspectos como: la medición y

evaluación del impacto social o la inversión en la comunidad.
La organización debe identificar las repercusiones o impactos tanto positivos como

negativos de su actividad en la comunidad en la que opera y establecer estrategias que le
permitan gestionarlos. Además, la organización debe involucrarse, en la medida de sus
posibilidades, en el desarrollo de acciones sociales y solidarias en dicha comunidad. Se
podría decir que estos aspectos son específicos del sistema de gestión ético y
socialmente responsable.
» Gestión ambiental
Otra de las áreas de gestión de la norma SGE 21 se refiere al entorno ambiental, es decir,
a todo lo relativo a la identificación de actividades e impactos ambientales, programa de
gestión ambiental, plan de riesgos ambientales y estrategia frente al cambio climático.
Está claro que en este caso, la integración con la ISO 14001, resulta muy sencilla.
» Inversores
La relación de la organización con sus inversores es otro de los aspectos específicos de la

norma SGE 21. La organización debe garantizar el buen gobierno y la transparencia de
la información financiera.

41
» Competencia
Otro de los puntos específicos de la norma SGE 21 es el de la relación de la organización

con la competencia en el que la norma recoge aspectos relacionados con garantizar la
competencia leal con los competidores y fomentar la cooperación y las alianzas con los
mismos.
» Colaboración con las Administraciones Públicas
Por último, la norma de Forética establece también la colaboración con las

administraciones públicas, facilitando la cooperación con las mismas a favor de una
cultura de gestión ética y socialmente responsable con la comunidad en la que se
inserta, algo que también resulta específico del sistema de gestión ético y
socialmente responsable.

42
Capítulo 3
Guía para la integración de
los sistemas de gestión:
norma UNE 66177
Capítulo 3: Guía para la integración de los sistemas de gestión: Norma UNE 66177
3.1. Introducción
La norma UNE 66177 es una guía para la integración de los sistemas de gestión que se
basa en el ciclo de mejora continua. Es de carácter voluntario y, aunque se enfoca en
concreto hacia los sistemas de gestión de la calidad, del medioambiente y de la
seguridad y salud en el trabajo, por ser los más extendidos, es totalmente aplicable a
cualquier otro. Como indica la propia norma, su finalidad no es reemplazar a los
sistemas de gestión existentes, sino facilitar el proceso de integración de estos.
Por tanto, facilita las directrices para elaborar, implantar y evaluar el proceso de
integración de las normas de los sistemas de gestión de aquellas organizaciones que
hayan elegido esta estrategia para mejorar la eficacia y eficiencia de los sistemas de
gestión implantados de manera independiente.
Es importante aclarar que la norma UNE 66177 no es la única herramienta utilizada

para la integración de los distintos sistemas de gestión. Existen otras normas como, por
ejemplo, la norma PAS 99 elaborada por la British Standards Institution (BSI), o la
norma AS/NZS 4581:1999 desarrollada por el organismo de normalización de
Australia y Nueva Zelanda.
También la Nota Técnica de Prevención (NTP) 576. Integración de los sistemas de

gestión: prevención de riesgos laborales, calidad y medioambiente es otra guía
que pretende orientar a las empresas que deseen integrar los sistemas de gestión.
Este documento, que ha sido desarrollado por el Instituto Nacional de Seguridad,

Salud y Bienestar en el Trabajo (INSSBT) de España, señala de manera útil y práctica
las correlaciones con la calidad y la norma de medioambiente para optimizar el
desarrollo de un sistema integrado, pero centrándose fundamentalmente en el apartado
legal en la aplicación de la Ley 31/1995 de prevención de riesgos laborales y del RD
39/1997, Reglamento de los servicios de prevención.
La NTP se encuentra disponible en el siguiente enlace:

http://www.insht.es/InshtWeb/Contenidos/Documentacion/FichasTecnicas/NTP/Fic
heros/501a600/ntp_576.pdf

44
Dentro de las ventajas de la metodología de la UNE 66177 está el desarrollo de la

evaluación de la madurez de la organización para conocer por parte de esta en qué
punto se encuentra para conseguir dicha integración. Además del nivel de madurez, se
necesita efectuar el análisis de otras tres variables: la complejidad, el alcance y el riesgo.
En función de los resultados se podrá decidir entre un método de integración básico,
avanzado y experto. Tres métodos que son escalonados y complementarios en su
aplicación progresiva.
Aunque se trata de una aplicación voluntaria para las organizaciones, es una

herramienta interesante para comenzar el trabajo de una manera más sensata ya que
conoceremos nuestro punto de partida con nuestras fortalezas y debilidades,
oportunidades y amenazas, con lo que podremos ser más eficientes al organizarnos.
Cabe reseñar que la norma UNE 66177:2005 es una norma que aún no se ha adaptado
(en cuanto a contenidos) a los nuevos cambios de las normas de sistemas de gestión y
no ha acondicionado su contenido a la nueva estructura de alto nivel (HL) que tienen
todas las normas de sistemas de gestión nuevas y revisadas.
3.2. Aspectos generales
La norma UNE 66177 es una herramienta útil para facilitar el proceso de implantación
conjunta de sistemas de gestión de la calidad, medioambiente y seguridad y salud en el
trabajo, bien de modo parcial, o bien de modo completo. La finalidad de dicha norma es
incorporar los elementos necesarios para integrar conjuntamente las diferentes normas
de sistemas de gestión, optimizando con ello su eficacia y rentabilidad operativa.
Se trata de una norma española, no tiene carácter internacional. Como UNE es de

carácter voluntario se puede aplicar a todo tipo de empresas (productivas o de
servicios, públicas o privadas, etc.).
Sin embargo, en ningún momento esta norma se propone sustituir a las normas ya
existentes sobre gestión de los distintos sistemas mencionados, sino que su carácter es
meramente facilitador y optimizador de la gestión de estos.

45
Asimismo, ayuda a seleccionar aquellos métodos y herramientas aplicables a la hora de

implantar un sistema integrado de gestión, y a la dirección de la organización, a tomar
decisiones para diseñar el SIG.
El proceso de implantación se desarrolla, por tanto, en función de los objetivos, el

contexto y el grado o nivel de madurez de la organización.
El proceso de integración en esta norma se basa en el ciclo PHVA:
» Planificar: desarrollando un plan de integración.

» Hacer: implica la implantación de un plan de integración, mediante su elaboración
y seguimiento.
» Verificar: evaluar la eficacia del plan de integración y el seguimiento del SIG.
» Actuar: revisión del SIG para la mejora continua.
Por tanto, fundamentándonos en el ciclo de mejora continua, podemos estructurar

dicho proceso de integración en tres grandes etapas, desarrolladas en los capítulos 5, 6
y 7 de la norma UNE 66177:
Capítulo 5 ¿Qué voy a hacer?

Desarrollo de un plan de ¿Qué beneficios cabe esperar?
integración ¿Qué coste tendrá?
¿Qué dificultades encontraremos?
Capítulo 6 ¿Cómo hacerlo?

Implantación de un plan
de integración
Capítulo 7 ¿Es eficaz la integración?

Revisión y mejora ¿Es rentable la integración?
¿Precisa de mejoras?
Tabla 1. Etapas de del proceso de integración.

46
Figura 1. Aplicación del ciclo de mejora continua a la integración de sistemas de gestión. Fuente: UNE
66177:2005.
Análisis del contexto
Para poder realizar una integración de los sistemas de gestión adecuada es muy
importante analizar el contexto en el que nuestra organización se halla inmersa. Es
decir, se deben determinar las cuestiones tanto internas como externas que pueden
afectar a su capacidad para conseguir sus logros en el SIG. Estas cuestiones pueden ser
positivas (oportunidades) o negativas (riesgos).
Existen diferentes metodologías que permiten analizar esta situación de partida. Entre
estas técnicas, la más utilizada es el análisis DAFO (Debilidades, Amenazas,
Fortalezas y Oportunidades).
Para poder determinar el contexto se deben tener en cuenta aspectos como:
» La experiencia y capacidad de la organización para afrontar la integración.

» Las expectativas de las partes interesadas que deban ser satisfechas.
» Los sistemas de gestión con los que cuenta la empresa para responder a esas
necesidades.
» Los riesgos y oportunidades que afectan a la organización con la integración.

47
3.3. Beneficios y dificultades de la integración
La norma UNE 66177:2005 recoge diversos ejemplos de beneficios derivados de su

implantación, tales como:
» Mayor eficacia y eficiencia en la gestión de sistemas y logro de objetivos y metas.

» Aumento de la capacidad reactiva de la organización frente a nuevas demandas de
partes interesadas.
» Simplificación de la información documentada generada.
» Reducción de costes en el mantenimiento de los sistemas implicados.
Sin embargo, también pueden darse dificultades en el proceso de integración, de las

que la norma también pone diversos ejemplos:
» Mayor requerimiento de formación del personal.

» Dificultades derivadas de la resistencia al cambio, tanto de la dirección, como del
personal implicado.
» Dificultades derivadas de la elección del grado adecuado de integración según el
grado de madurez de la organización.
3.4. Evaluación del grado de integración
El análisis del contexto permite determinar el grado de integración más adecuado para
cada organización. Para ello, se deben considerar los siguientes aspectos, tanto a título
individual, como de modo interrelacionado:
» Nivel de madurez o capacidad para la gestión por procesos de la organización.

» Nivel de complejidad de las expectativas y necesidades a satisfacer de las partes
interesadas (en la actualidad y a medio plazo).
» Nivel de alcance y extensión de los sistemas de gestión.
» Nivel de riesgo por incumplimientos legales o fallos derivados de la integración.
Una vez establecido el análisis de cada uno de los aspectos anteriores, el paso siguiente
es determinar el mejor método de integración a utilizar.

48
Métodos
Veremos, según esta norma, tres posibles métodos que son escalonados y
complementarios y que pueden aplicarse de modo progresivo:
Figura 2. Selección del método de integración más adecuado. Fuente: UNE 66177:2005.
» Método básico
Su ventaja es que requiere de escasa inversión y produce importantes resultados a

corto plazo, por la optimización de recursos en gestión de la documentación y la
integración en la gestión de algunos procesos. Se puede aplicar a cualquier
organización.
Algunas de las acciones abordables en este método serían:
o Integración de las políticas de los sistemas en una política única.

o Integración en un solo manual de todos los sistemas de gestión.
o Integración de la gestión de algunos procesos comunes a dos o, por ejemplo:
gestión de no conformidades y oportunidades de mejora, auditorías internas,
gestión de la información documenta, identificación y actualización de los
requisitos legales.

49
» Método avanzado
Como ya hemos señalado, este método seguiría progresivamente al método básico y

produce rentabilidad a medio plazo, ya que necesita experiencia en implantación
integrada de gestión por procesos.
La organización debe hallarse más madura, porque si no al afrontar este método en

la integración de sistemas, pueden surgir problemas en la misma. Algunos ejemplos
de acciones posibles en este estadio podrían ser:
o Desarrollo de mapa de procesos que integre los distintos procesos estratégicos,

procesos operativos determinantes y procesos de soporte y su interrelación.
o Revisión y mejora de procesos teniendo en mente lo que cada sistema requiere.
o Definición y gestión de procesos que se refieran a algunos factores como
objetivos, indicadores, clientes, compras, etc.
Procesos que son susceptibles de integrarse:
o Revisión por la dirección.

o Comunicación, información y participación.
o Procesos productivos y críticos para la calidad, el medioambiente, la seguridad y
salud en el trabajo, y la gestión ética socialmente responsable.
» Método experto
Es la continuación del anterior método, el avanzado. Requiere una mayor madurez y

experiencia por parte de la organización, pero, en contrapartida, es un método muy
rentable, ya que extiende la integración a otras áreas no incluidas hasta ese
momento, sin requerir inversión adicional.
Es clave alinear procesos y estrategias de la organización para su exitosa

consecución. Algunas acciones susceptibles de afrontarse en este método son:
o Fijar objetivos, metas e indicadores integrados.

o Incluir en la definición de todos los procesos a las partes interesadas (clientes,
proveedores, trabajadores, sociedad, etc.).
o Involucrar a los proveedores en la mejora de los procesos.

50
3.5. Nivel de madurez de la organización
A la hora de determinar el nivel de madurez de la organización, primer paso al escoger

el nivel del método de integración más adecuado, la norma UNE 66177, en su anexo C,
ofrece una tabla para evaluar dicho nivel de madurez en la gestión por procesos.
Así el nivel de madurez expresa también la capacidad para la gestión de los procesos de
la organización, y puede determinarse utilizando la evaluación de la norma que nos
indicará su experiencia y eficiencia en él los sistemas de gestión, así como la
organización y estructura que la empresa tiene para cumplir con éxito los objetivos.
Dichos grados, escalonados, empiezan en el estadio denominado «inicial», continúan

con los estadios «básico», «avanzado», «experto» y concluyen en el estadio «premio»:
» Inicial
o Cuando la actividad de la entidad se realiza de manera incompleta y ni siquiera se
documenta adecuadamente.
o No se tiene en cuenta al cliente.
o No se han desarrollado procesos
o No se han desarrollado tampoco las responsabilidades referidas a los procesos.
» Básico
o Existe en la organización una aproximación al sistema.
o Se documenta adecuadamente y hay evidencias de seguimiento y revisión para la
mejora.
o Existe evaluación de los proveedores.
o Cumple al menos con la ISO 9001.
» Avanzado
o Se dispone de un sistema que puede denominarse estable.
o Existen datos suficientes para el seguimiento y la revisión del plan de mejora.
o Se han identificado las actividades y procesos con sus outputs e inputs.
o Los procesos se mejoran continuamente.
o Existen indicadores de procedimientos.
o Los objetivos planteados son cuantitativos, se puede medir, existe un indicador
para su seguimiento.
o Hay un conocimiento general de los procedimientos por los trabajadores.

51
o Se tiene en cuenta a clientes y proveedores para poder desarrollar adecuadamente

los procedimientos.
o Se ha definido un plan operativo.
» Experto
o Se enfatiza y realiza una revisión continua.
o Hay personal asignado para el desarrollo de las acciones.
o Se desarrollan tanto indicadores como planteamientos de objetivos.
o Hay evidencias de revisión por la dirección y de autoevaluaciones de mejora.
o Los proveedores están involucrados.
o Se revisa continuamente el desarrollo de los procesos.
» Premio
o El mejor desarrollo en la empresa.
o Se desarrollan estrategias de benchmaking.
o Se realiza control de la satisfacción de las partes interesadas.
o Se adoptan medidas tras las revisiones del sistema, así como derivados de la
actividad como acción de mejora continua.
Después de establecer el grado del nivel del grado de madurez, se combina dicho
resultado con los niveles (alto, medio o bajo) obtenidos del resto de las variables:
» Complejidad.
» Alcance.
» Riesgo.
De este modo al final damos con el nivel más apropiado para cada organización de
integración de sistemas, es decir, estableciendo una tabla de doble entrada donde se
correlacionen todos los factores mencionados (ver figura 6).
La norma UNE 66177 incluye un gráfico muy ilustrativo, que reproducimos aquí, y que
define el camino para seleccionar el método de integración idóneo para cada
organización:

52
Figura 3. Diagrama de flujo para identificar el método de integración más adecuado. Fuente: UNE 66177:2005.

53
3.6. Plan de Integración
Como consecuencia de los resultados obtenidos mediante el análisis del contexto de la

organización y la selección del método de integración, se debe elaborar un plan de
integración que sirva para llevar a cabo la integración de los sistemas de manera
adecuada y planificada. Algunas de las preguntas que la organización debe plantearse
para redactar este plan, podrían ser, tal y como apunta la norma:
» ¿Cuáles son los objetivos que persigue la integración y el contexto de la

organización?
» ¿Qué es lo que se va a integrar: sistemas, procesos, documentación, etc.?
» ¿Cómo se realiza la integración? ¿qué método de integración es el que se selecciona?
¿la integración será parcial o total?
» ¿Cómo va a articular la organización el plan de comunicación? (Qué y cómo)
» ¿Quién es responsable y coordina el plan de integración?
» ¿Qué se va a hacer? (Quién, qué y cuándo).
Para poder realizar una integración es imprescindible realizar una correcta

identificación de procesos en la organización y ver cómo interaccionan entre ellos. Lo
más adecuado es realizar un buen mapa de procesos, que, sin duda, será una muy útil
herramienta para ello.
La norma UNE 66177 propone un mapa de procesos tipo para la integración de los
sistemas de calidad, medioambiente y seguridad y salud en el trabajo. Es necesario
considerar, que hoy en día esta norma no está actualizada ya que no tiene en cuenta las
nuevas versiones de las normas ISO 9001 e ISO 14001, ni tampoco tiene en cuenta la
ISO 45001.
Sin embargo, se puede tomar como base este modelo, adaptándolo en base a la
estructura en común de las normas de sistemas de gestión vigentes y, además,
incluyendo en los diferentes procesos identificados de la organización, los requisitos
definidos en la SGE 21.

54
Figura 4. Ejemplo de un mapa de procesos para un SIG: calidad, medioambiente, y seguridad y salud laboral.
Fuente: UNE 66177:2005.
Basándonos en la norma UNE 66177, el plan de integración debe contener, entre otros,
los siguientes aspectos:
» Beneficios y costes de la integración.

» Impacto previsto de la integración en la organización.

55
» Nivel de cumplimiento de los sistemas de gestión implantados por separado y nivel

de cumplimiento como objetivo de la integración.
» Procesos que van a integrarse: la norma recomienda la metodología de las 5 M
(método, material, mano de obra, mantenimiento y maquinaria).
» Análisis DAFO de la integración (Debilidades, Amenazas, Fortalezas y
Oportunidades) en la organización.
» Actual organización de los procesos y de la información documentada, y la nueva
propuesta con la integración.
» Creación y jerarquía de la información documentada del SIG y también, la específica
de cada uno de los sistemas de gestión a integrar.
» Descripción de responsables, plazos establecidos y recursos a emplear (quién,
cuándo y cómo).
Seguimiento del plan de integración
Además de la elaboración y planificación del plan de integración, se hace preciso llevar

a cabo un seguimiento de este, para conocer su evolución, consecución de objetivos y
corregir posibles desviaciones.
Apoyo de la alta dirección
Para afrontar los posibles problemas derivados de cambios funcionales y/o

estructurales, es necesario el apoyo de la alta dirección de la organización, que dote a
los mismos de la suficiente autoridad para ser ejecutados.
Este compromiso de la alta dirección se hace mucho más evidente y necesario cuando la
organización vaya a aplicar un método de integración avanzado, ya que, en los métodos
de integración básico y experto, los cambios no suelen ser grandes.
Para que la alta dirección preste dicho apoyo, debe serle presentado un informe sobre
la integración, que bien puede ser el propio plan de integración, o bien, un resumen de
este, que responda a las cuestiones más arriba planteadas en el plan de integración.
Se deberá designar un responsable o coordinador del proyecto de integración, que

normalmente es representante de la dirección. Además, para que la integración resulte
mucho más fácil, se puede formar un comité o equipo de integración compuesto por
representantes de los diferentes departamentos implicados de la organización.

56
Este comité de integración realizará reuniones de modo periódico, a las que acudirán
los responsables de los procesos implicados en la integración. Entre otros asuntos, en
estas reuniones se concretará el plan de comunicaciones para dar a conocer el proyecto
e involucrar a todo el personal, la nueva interrelación de los procesos al llevar a cabo la
integración, las responsabilidades, la elaboración y revisión de los procesos y su
información documentada, etc.
La norma UNE 66177 aconseja en la medida de lo posible, redactar un solo manual que
recoja todo el sistema integrado de gestión, y revisar todos aquellos procesos que sean
susceptibles de ser integrados, a fin de sistematizar y facilitar el control de toda la
gestión.
Revisión periódica y mejora del SIG
Tras realizar la integración de los diferentes sistemas de gestión, es necesario de forma

periódica llevar a cabo su revisión y mejora.
La norma UNE 66177 recomienda que las oportunidades de mejora que se vayan
encontrando se gestionen conforme al procedimiento general de mejora de la
organización. También manifiesta la necesidad de aplicar el enfoque basado en
procesos a dichas acciones de mejora, siempre que sea posible, en vez de considerarlas
por separado en cada sistema de gestión.
De hecho, resulta más ventajoso revisar el sistema integrado que cada sistema
individualmente, puesto que permite:
» Realizar un análisis global de actuaciones y resultados.

» Lograr decisiones más coherentes.
» Decidir sobre las prioridades y potenciar las sinergias que se crean.
Autodiagnóstico inicial antes de desarrollar un SGI
Es fundamental conocer la situación de partida de la empresa para la implantación del

SGI. Para ello, se puede confeccionar un cuestionario de autoevaluación que pueda
servir como criterio de entrada, para conocer de manera rápida y sencilla si la empresa
está preparada para la implantación de un SIG

57
A continuación, mostramos un cuestionario de autoevaluación confeccionado a partir

de los requisitos definidos tanto en la norma UNE 66177 como en las normas de los
sistemas de gestión de calidad (ISO 9001:2015), medioambiente (ISO 14001:2015),
seguridad y salud laboral (ISO 45001:2018), y gestión ética y socialmente responsable
(SGE 21:2017).
Como ejemplo, se muestra un fragmento de cuestionario que incluye alguno

de los requisitos de cada una de las normas de sistemas de gestión
vigentes, pero no todos. Para realizar un análisis completo de la situación de
partida habrá que incluir en la lista de chequeo todos los requisitos. Además,
cada organización podrá adaptar esta herramienta en función de sus necesidades.
La finalidad es hacerse una idea de si la empresa cuenta con los recursos necesarios y la
estructura necesaria para abordar una integración de sus sistemas de gestión.
En función de la valoración de las respuestas del cuestionario siguiente, podríamos

tener tres posibilidades:
» Si la mayoría de las respuestas es SI: se tienen los recursos y estructura necesarios

para poder implantar un SIG.
» Si la mayoría de las respuestas es PARCIALMENTE: ciertos aspectos considerados
deben mejorarse. Tras la adecuación de estos, la empresa puede desarrollar un SIG.
» Si la mayoría de las respuestas es NO: no cuenta con los recursos ni estructura para
poder implantar un SIG.
¿Está la empresa preparada para poder implantar un SIG?
No
Preguntas Cumple Parcialmente
cumple
Identificación de los beneficios a conseguir

1 ¿Es eficaz implantar un SIG en la organización?
2 ¿Es rentable el proceso de integración?
3 ¿La integración va a permitir a la organización

simplificar la información documentada?
4 ¿La inversión efectuada compensa con los beneficios a

obtener?
5 ¿Son superables las dificultades esperadas en el

proceso de integración?

58
Análisis del contexto de la organización
6 ¿Conozco los sistemas de gestión que tiene mi

organización?
7 ¿Están identificados todos los procesos y actividades

sobre los que se van a aplicar la integración?
¿Se tiene un mapa de procesos desarrollado para el
sistema integrado de gestión de los sistemas de gestión
8 de la calidad, del medioambiente, de la seguridad y
salud en el trabajo, y de la ética y responsabilidad
social?
8 ¿Conozco los riesgos y las oportunidades que tiene la

integración en mi organización?
10 ¿Se poseen los recursos, la capacidad y la experiencia

suficientes para abordar el proceso de integración?
11 ¿Se han definido las responsabilidades en relación con

los procesos?
12 ¿La empresa posee recursos para realizar reuniones

periódicas?
¿Se dispone de los recursos económicos y humanos
13 para afrontar la implantación y el mantenimiento del
SIG?
¿Se cumple con todos los requisitos legales a los que
14
está sujeta la empresa?
15 ¿La integración se realizará abordando el enfoque

basado en procesos?
¿La integración tiene en cuenta el ciclo de mejora
16
continua?
Selección del método de integración
¿Los recursos son los adecuados para designar el

método de integración que se puede aplicar en mi
17
organización, en función de mi nivel de madurez,
complejidad, alcance y riesgo?
¿Entre los recursos humanos de la empresa se puede
18
definir a un coordinador o responsable del proyecto?
¿Entre los recursos humanos de la empresa se puede
crear un comité o equipo de integración con los
19
responsables de los distintos departamentos a
integrar?
Respecto a la calidad
¿Se han determinado las cuestiones internas y
externas que afectan a la capacidad de la empresa para
20
lograr los resultados previstos en este sistema de
gestión?
¿Conozco cuáles son las necesidades y expectativas de
21 mis clientes y otras partes interesadas a las que debe
satisfacer mi sistema integrado?

59
¿Se ha establecido un alcance y una política del

22
sistema de gestión?
¿El alcance y la política se mantienen como
23
información documentada?
¿Se ha demostrado el liderazgo y el compromiso de la
24
organización con respecto al sistema de gestión?
25 ¿Se cumplen los requisitos del cliente?
¿Se han identificado y evaluado los riesgos y

26
oportunidades?
27 ¿Se han establecido unos objetivos de calidad?
¿Se han fijado indicadores que permiten medir los
28
objetivos?
¿Se ha realizado un programa de gestión donde se ha

29
planificado como se van a lograr esos objetivos?
¿Se lleva a cabo una comunicación con el cliente que
proporciona información sobre los productos y
30
servicios, trata las consultas, cambios, contratos,
pedidos, etc.?
¿Tiene la empresa identificados, planificados y
31 controlados los procesos necesarios para la realización
del producto o prestación del servicio?
32 ¿La empresa mide la satisfacción del cliente?
¿Se produce un control de los procesos, productos y

33
servicios suministrados externamente?
Respecto a la gestión ambiental
34 ¿Se identifican y evalúan los aspectos ambientales?

35 ¿Se identifican las emergencias ambientales?
¿Se indica como se puede responder frente a las

36
emergencias identificadas?
¿Se conocen, cumplen y evalúan los requisitos legales y
37
reglamentarios, asociados a los aspectos ambientales?
¿Se tienen identificadas las necesidades de formación
38
necesarias?
¿Se han establecido canales de comunicación interna y
39
externa adecuados?
¿Se usan y mantienen equipos de seguimiento y
40
medición calibrados o verificados, según proceda?
41 ¿Se han definido indicadores ambientales?

¿Se ha establecido un intervalo planificado para la
42 revisión por parte de la dirección del sistema de
gestión ambiental?
Respecto a la gestión de la seguridad y salud en
el trabajo

60
¿Se dispone de una política de seguridad y salud en el

43
Trabajo que cumple los requisitos de la ISO 45001?
¿Se demuestra el liderazgo y compromiso de la
44
organización con respecto al sistema de gestión SST?
¿Se establecen uno o varios procesos para la consulta y
45
la participación de los trabajadores?
¿Se realiza la gestión de los equipos de protección
46
personal (EPIS)?
¿Se realiza la identificación y evaluación de riesgos
47
laborales?
48 ¿Se establecen objetivos SST y se planifican?
¿Se realizan fichas de puestos de trabajo y de equipos
49
de trabajo?
¿Se procede a dar información, formación
especializada en prevención de riesgos laborales y
50
consulta a los trabajadores en materia de seguridad y
salud en el trabajo?
¿Se lleva a cabo un control sobre la coordinación de
51
actividades empresariales?
¿Se conocen, cumplen y evalúan los requisitos legales y
52 reglamentarios, asociados a la seguridad de los
trabajadores y a los entornos de trabajo?
¿Se investigan los accidentes asociados a la seguridad
53
de los trabajadores y a los entornos de trabajo?
54 ¿Se realiza la vigilancia de la salud de los trabajadores?
Respecto a la gestión ética y socialmente

responsable
¿La empresa dispone de una política de
55
Responsabilidad Social?
56 ¿Se ha elaborado un Código de Conducta?
¿Se ha establecido un Comité de Responsabilidad

57
Social?
¿Se ha elaborado un Plan de Responsabilidad Social
58 con objetivos ambientales, sociales y de buen gobierno,
medibles?
¿La organización ha realizado un análisis de los
59 impactos positivos y negativos producidos por su
actividad con relación a sus grupos de interés?
¿Dispone la empresa de una política de
60
Anticorrupción?
61 ¿Se realizan auditorías internas?
¿Se respetan los derechos humanos de los
62
trabajadores?
63 ¿Se garantiza el Principio de Igualdad de

Oportunidades, en el acceso a los puestos de trabajo, la

61
formación, el desarrollo profesional y la retribución de

todas las personas que trabajan en la organización?
¿La empresa tiene definido un n plan de conciliación
64
de la vida personal, familiar y laboral?
65 ¿Se lleva a cabo una evaluación del clima laboral?
¿La evaluación del clima laboral se realiza al menos
66
cada tres años?
¿Se proporciona una información clara y honesta de
67 sus productos y servicios en las comunicaciones con
sus clientes?
¿Se hacen públicas y accesibles sus cuentas anuales de
68
la empresa?
CÓMPUTO TOTAL
Tabla 2. Cuestionario para el autodiagnóstico inicial antes de desarrollar un SGI.
3.7. Referencias bibliográficas
AENOR (2015). UNE-EN ISO 66177: Sistemas de gestión. Guía para la integración de
los sistemas de gestión. Madrid: UNE.

62
Capítulo 4
Auditorías de sistemas de
gestión ISO 9001, ISO
14001, ISO 45001 y SGE 21
Capítulo 4: Auditorías de Sistemas de Gestión ISO 9001,
ISO 14001, ISO 45001 y SGE 21
4.1. Introducción
Después de conocer a fondo los sistemas de gestión de las normas certificables de las
familias de ISO 9001, ISO 14001, ISO 45001 y SGE 21, se va a profundizar en las
auditorías como instrumentos que evalúan el funcionamiento adecuado del sistema de
gestión de una organización respecto a dichas normas de referencia.
Por tanto, la auditoría tiene la finalidad de comprobar que los sistemas de gestión
implementados en la organización cumplen con todos los requisitos definidos en cada
una de las normas en cuestión. También determina la eficacia y eficiencia de dicho
sistema de gestión, en base al cumplimiento de unos objetivos previamente definidos.
El objetivo fundamental que se persigue en este primer capítulo no es otro que

profundizar en los conceptos comunes a las auditorías de estos sistemas de gestión,
dando unas directrices básicas que permitan conocer más a fondo esta herramienta
primordial para la evaluación de la efectividad de dichos sistemas.
4.2. Conceptos básicos de auditoría y definiciones de interés
Los sistemas de gestión están concebidos para la mejora en la gestión de las

organizaciones. Pero dicha mejora no se puede conocer si es tal, si no se mide, es decir,
si no se evalúa. Pues bien, justamente la herramienta utilizada para evaluar el buen
funcionamiento de un sistema de gestión es la auditoría.
Auditoría: proceso sistemático, independiente y documentado para obtener

evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el grado
en el que se cumplen los criterios de auditoría (UNE-EN-ISO 9000, 2015, p.36).
Es importante señalar que auditoría no es sinónimo de inspección o de supervisión,

puesto que estas dos actividades se realizan con el solo propósito de controlar un proceso
o verificar la conformidad de un producto con sus correspondientes especificaciones. Sin
embargo, una auditoría permite saber en qué grado se cumplen los requisitos definidos,
pudiéndose detectar las áreas que fallan en algún momento del proceso.

64
ISO 14001, ISO 45001 y SGE 21
La norma ISO 19011 establece las directrices para llevar a cabo las auditorías de los
sistemas de gestión. De hecho, propone dentro de su propia estructura los pasos que se
deben de llevar para realizar una auditoría. La secuencia se corresponde en concreto
con los siguientes apartados de dicha norma:
5.2. Establecimiento de los objetivos del programa de auditoría.

5.3. Determinación y evaluación de los riesgos y oportunidades del programa de
auditoría.
5.4. Establecimiento del programa de auditoría.
5.4.1. Roles y responsabilidades de las personas responsables de la gestión del programa de auditoría.
5.4.2. Competencia de las personas responsables de la gestión del programa de auditoría.
5.4.3. Establecimiento de la extensión del programa de auditoría.
5.4.4. Determinación de los recursos del programa de auditoría.
5.5. Implementación del programa de auditoría.
5.5.1. Generalidades.
5.4.2. Definición de los objetivos, el alcance y los criterios para una auditoría individual.
5.4.3. Selección de los métodos de auditoría.
5.4.4. Selección de los miembros del equipo auditor.
5.4.5. Asignación de responsabilidades al líder del equipo auditor para una auditoría individual.
5.4.6. Gestión de los resultados del programa de auditoría.
5.4.7. Gestión y conservación de los registros del programa de auditoría.
5.6. Seguimiento del programa de auditoría.
5.7. Revisión y mejora del programa de auditoría.
6.2. Inicio de la auditoría.
6.2.2. Establecer contacto inicial con el auditado.
6.2.3. Determinar la viabilidad de la auditoría.
6.3. Preparación de actividades de auditoría.
6.3.1. Realización de la revisión de la información documentada.
6.3.2. Preparación del plan de auditoría.
6.3.3. Asignación de las tareas del equipo auditor.
6.3.4. Preparación de la información documentada para la auditoría.
6.4. Realización de las actividades de auditoría.
6.4.2. Asignación de roles y responsabilidades de los guías y los observadores.
6.4.3. Realización de la reunión de apertura.
6.4.4. Comunicación durante la auditoría.
6.4.5. Disponibilidad y acceso de la información de la auditoría.
6.4.6. Revisión de la información documentada durante la auditoría.
6.4.7. Recopilación y verificación de información.

65
ISO 14001, ISO 45001 y SGE 21
6.4.8. Generación de hallazgos de auditoría.
6.4.9. Determinación de las conclusiones de la auditoría.
6.4.10. Realización de la reunión de cierre.
6.5. Preparación y distribución del informe de auditoría.
6.5.1. Preparación del informe de auditoría.
6.5.2. Distribución del informe de auditoría.
6.6. Finalización de la auditoría.
6.7. Realización de las actividades de seguimiento de una auditoría.
A continuación, se reproduce el listado de conceptos y definiciones que enumera la

norma ISO 19011, en la versión más reciente, la de 2018.
Auditoría: proceso sistemático, independiente y documentado para obtener

evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el grado
en que se cumplen los criterios de auditoría.
Criterios de auditoría: conjunto de requisitos (políticas, procedimientos,

instrucciones de trabajo, requisitos legales, obligaciones contractuales, etc.) usados
como referencia frente a los cuales se compara la evidencia objetiva.
Evidencia objetiva: datos que respaldan la existencia o veracidad de algo.
Evidencia de la auditoría: registros, declaraciones de hechos o cualquier otra

información que son pertinentes para los criterios de auditoría y que son verificables.
Hallazgos de la auditoría: resultados de la evaluación de la evidencia de la auditoría

recopilada frente a los criterios de auditoría.
Conclusiones de la auditoría: resultado de una auditoría, tras considerar los

objetivos de la auditoría y todos los hallazgos de la auditoría.
Cliente de la auditoría: organización o persona que solicita una auditoría.
Auditado/a: organización que está siendo auditada en su totalidad o por partes.
Auditor/a: persona que lleva a cabo una auditoría.

66
ISO 14001, ISO 45001 y SGE 21
Equipo auditor: una o más personas que llevan a cabo una auditoría con el apoyo, si
es necesario, de expertos técnicos.
Experto/a técnico: persona que aporta conocimientos o experiencia específicos al

equipo auditor. Un experto técnico no actúa como auditor.
Observador/a: persona que acompaña al equipo auditor, pero no actúa como un

auditor.
Programa de auditoría: acuerdos para un conjunto de una o más auditorías

planificadas para un período de tiempo determinado y dirigidas hacia un propósito
específico.
Alcance de la auditoría: extensión y límites de una auditoría.
Plan de auditoría: descripción de las actividades y de los detalles acordados de una

auditoría.
Riesgo: efecto de la incertidumbre.
Competencia: habilidad para aplicar conocimientos y habilidades para alcanzar los

resultados previstos.
Requisito: necesidad o expectativa establecida, generalmente implícita u obligatoria.
Proceso: conjunto de actividades mutuamente relacionadas que utilizan las entradas

para proporcionar un resultado previsto.
Conformidad: cumplimiento de un requisito.
No conformidad: Incumplimiento de un requisito.
Sistema de gestión: conjunto de elementos de una organización interrelacionados o

que interactúan para establecer políticas, objetivos y procesos para lograr estos
objetivos.
Desempeño: resultado medible.

67
ISO 14001, ISO 45001 y SGE 21
Eficacia: grado en el que se realizan las actividades y se logran los resultados
planificados.
Estos conceptos son útiles y comunes a los distintos sistemas de gestión que puede
tener una empresa u organización.
4.3. Objetivos, razones y características de una auditoría
Los objetivos para desarrollar una auditoría pueden ser múltiples. A continuación, se
detallan algunos de ellos:
» Comprobar la adecuación de los elementos del sistema de gestión implantados en la

organización con los requisitos especificados en la norma de referencia.
» Constatar el cumplimiento y funcionamiento del sistema implantado.
» Aportar información para la mejora continua del sistema de gestión.
» Evaluar a un proveedor, bien como evaluación inicial antes de establecer relaciones
comerciales o como evaluación continua y sistemática en el transcurso de dichas
relaciones, para velar por el cumplimiento de las especificaciones requeridas.
» Verificar que el sistema de gestión auditado cumple con los requisitos de aplicación
en la norma de la que se quiere obtener la certificación correspondiente.
» Las auditorías de proceso, de producto, o de servicio tienen como finalidad
comprobar la adecuación de estos a los objetivos establecidos según los requisitos
definidos previamente.
En cuanto a las razones para realizar una auditoría, al igual que objetivos, puede haber
muchas, y cada organización tiene las suyas propias. Seguidamente, se enuncian
algunas de ellas:
» Llevar a cabo la evaluación inicial de un proveedor antes del establecimiento de

relaciones comerciales con él.
» Verificar por el organismo auditor que su sistema de gestión responde a los
requisitos establecidos y que realmente está implantado y en funcionamiento.
» Comprobar que, en una relación contractual ya existente, el sistema de gestión del
proveedor es eficiente.

68
ISO 14001, ISO 45001 y SGE 21
» Hacer la evaluación, en el marco del propio organismo, de su sistema con relación a
una norma de calidad, medioambiente, seguridad y salud laboral, y de gestión
éticamente responsable.
4.4. Clasificación de las auditorías
Existen diferentes clasificaciones de las auditorías, por ejemplo, en función de su

motivación (legal, voluntaria, obligatoria), de su área de aplicación (financiera,
administrativa, operacional), de su lugar de aplicación (interna, externa), de quién la
realiza (personal interno o externo), del número de organizaciones implicadas en
auditar a otra empresa (individuales o conjuntas), etc.
A modo de ejemplo, se menciona una posible clasificación no cerrada de alguna de

ellas:
Clasificación Tipos de auditoría

» De cumplimiento legal o de conformidad: en ellas se verifica que se
cumplen los preceptos normativos que se aplican a la organización en ese
momento y lugar.
» Operacionales: consideran no solo la responsabilidad derivada de
incumplimientos legales, sino también las posibles soluciones técnico-
jurídicas, contando con su análisis de ventajas y desventajas, ingresos y
costes derivados, por lo que permiten la toma de decisiones.
Objetivo
» De certificación: permiten la obtención de un certificado por entidad
autorizada que acredita la implantación del sistema.
» De renovación: cuando la organización ya cuenta con un sello o
certificado, periódicamente es precisa su renovación, para lo cual la
entidad debe pasar de nuevo por una auditoría que, de ser superada, le
otorgaría el derecho a seguir utilizando dicho certificado acreditativo.
» De seguimiento: realizadas durante la duración de la certificación.
» Parcial: solo se auditaría una parte de la organización.
Alcance » Integral o total: se auditaría toda la organización, todos sus procesos y
departamentos.
» Sistema de gestión de calidad.
Sistema de
» Sistema de gestión medioambiental.
gestión
» Sistema de gestión de seguridad y salud laboral.
auditado
» Sistema de gestión de responsabilidad social corporativa.

69
ISO 14001, ISO 45001 y SGE 21
» Sistema de gestión de la seguridad de la información.
» Sistema de gestión de innovación.
» Combinada: se auditan dos o más sistemas de gestión con los que cuenta
la organización.
» Integradas: se audita un sistema de gestión integrado (dos o más
sistemas de gestión específicos se integran en un único sistema de
gestión).
» De proceso: examen de los elementos de un proceso para determinar si
las actividades y los resultados relativos a la calidad satisfacen a las
disposiciones previamente establecidas y si estas disposiciones se ejecutan
efectivamente y son adecuadas para lograr los objetivos y metas previstos.
Objeto » De producto: consiste en la estimación cuantitativa del cumplimiento de
las características requeridas en el producto.
» Del sistema de gestión: actividad que se realiza para comprobar,
mediante el examen y la evaluación de evidencias objetivas, que el sistema
de gestión implantado es adecuado con los requisitos especificados.
Tabla 1. Posible clasificación de las auditorías.
En este capítulo se va a profundizar en concreto en la clasificación en función de la

relación entre el auditor y la organización auditada, diferenciando tres tipos: auditoría
interna o de primera parte, auditoría externa o de segunda parte y auditoría externa o
de tercera parte.
Auditoría interna o de primera parte: efectuada por miembros de la propia

organización o empresa o bien personas que actúan de parte de esta, con fines que
atañen a la propia organización, es decir, internos. Proporcionan información para la
dirección y para las acciones correctivas, preventivas o de mejora.
La finalidad de este tipo de auditorías es la de verificar en qué grado se cumplen los

requisitos definidos, pudiéndose detectar las áreas que fallan en algún momento del
proceso. Por tanto, la función de la auditoría interna es establecer una forma de
seguimiento propio, que permita controlar los requisitos específicos de un sistema de
gestión. Además, esta herramienta puede ayudar a detectar aquellos factores que
pueden estar causando algún incumplimiento o puedan estar disminuyendo la calidad
de un producto o servicio, qué procesos dentro de la organización hay que revisar o
mejorar, etc.

70
ISO 14001, ISO 45001 y SGE 21
Cualquier organización necesita realizar auditorías internas para:
» Verificar que el sistema de gestión adoptado está implantado y cumple

continuamente con los requisitos especificados.
» Establecer la eficacia y la eficiencia del sistema en la consecución de los objetivos de
calidad, medioambiente, seguridad y salud laboral, y de gestión éticamente
responsable establecidos.
» Dar confianza, a las diferentes partes interesadas de la organización, de que esta
dispone de una herramienta de autoevaluación que asegura, en función del tipo de
sistema de gestión implantado, la consecución de las características de la calidad de
sus procesos, productos o servicios, la minimización de los impactos ambientales, la
mejora de la seguridad y salud laboral o la gestión de la responsabilidad social
corporativa.
» Facilitar la inscripción en un registro del sistema de gestión de la organización con
referencia a una norma internacional.
» Dar cumplimiento a lo señalado por los requisitos de las normas internacionales de
carácter contractual en sus relaciones con los grupos de interés.
Las diferentes normas de sistemas de gestión especifican como requisito la necesidad de

que la organización lleve a cabo este tipo de auditorías internas a intervalos periódicos y
planificados, para determinar si el sistema de gestión establecido es conforme con los
requisitos del sistema de gestión y, además, para verificar si este se ha implementado y se
mantiene de manera eficaz. Es decir, será la propia organización la que especifique ese
intervalo en función de sus necesidades.
En el caso de la SGE 21, sí que se concreta específicamente el plazo de realización,

especificando su realización de forma anual.
Por tanto, la empresa que implanta un sistema de gestión está obligada a realizar auditorías
internas en función del ámbito de su sistema de gestión implantado.
Las auditorías internas del sistema se tienen que ejecutar de manera continua,
sistemática, planificada y programada. Se realizan por auditores internos debidamente
capacitados e independientes. De hecho, el principio básico de la independencia es
esencial, porque los auditores no deben evaluar su propio trabajo, ya que al conocerlo
tan bien pueden pasar por alto aspectos en los que nunca hubieran pensado y que un

71
ISO 14001, ISO 45001 y SGE 21
tercero podría detectar mejor. Además, su implicación podría impedirles una
ponderación objetiva.
Auditoría externa o de segunda parte: es realizada o encargada por los clientes de

la organización y suele hacerse bien cuando ya media un contrato o bien previamente a
la suscripción de ese contrato, con el fin de verificar que el proveedor cumple las
expectativas requeridas por el cliente. Proporcionan al cliente confianza en su
proveedor.
Así, por ejemplo, este tipo de auditorías son altamente frecuentes en la industria
automovilística, donde cuentan con un gran número de proveedores que fabrican, a su vez,
pequeñas partes que posteriormente se incorporan al producto final (automóvil) y, por
tanto, el fabricante y responsable de la puesta en el mercado a disposición del consumidor
final debe asegurarse convenientemente de los estándares que incorpora a su producto, de
modo que no se den fallos de calidad o se eviten en la medida de lo posible.
Otro ejemplo muy común de este tipo de auditorías es el de auditorías para la

compra de empresas. Cuando una empresa absorbe o adquiere otra, a menudo se
llevan a cabo estas auditorías con el fin de determinar la existencia de
responsabilidades previas y saber con qué se va a encontrar la empresa que adquiere.
La finalidad es no toparse con sorpresas desagradables a posteriori, una vez el proceso
de adquisición, fusión o absorción ha culminado. Por ejemplo, se han dado numerosos
casos en los que estando ubicada una industria de corte altamente contaminante por
razón de su actividad en un lugar concreto, al ir a adquirir el suelo en que dicha
empresa estaba radicada, la empresa adquirente ha realizado auditorías del suelo para
comprobar que, tras el proceso de adquisición, no iba a encontrarse con
responsabilidades ambientales derivadas de la actividad explotada en ese terreno con
anterioridad por la empresa absorbida o comprada.
Auditoría externa o de tercera parte: se realiza por entidades competentes y

autorizadas para la certificación y concesión del certificado que refrenda la existencia del
sistema de gestión de calidad, medioambiente, seguridad y salud en el trabajo, etc.
Proporcionan confianza a los clientes potenciales u otras partes interesadas de la
organización, ya que garantizan que la empresa tiene certificado un sistema de gestión de
acuerdo con una norma determinada.

72
ISO 14001, ISO 45001 y SGE 21
Este tipo de auditoría tiene varias ventajas, ya que al llevarse a cabo por alguien
independiente y con credibilidad, es probable que los clientes decidan no efectuar otras
auditorías, con el consiguiente ahorro económico y de tiempo para ambas partes (cliente y
suministrador).
Se podrían enumerar múltiples ejemplos de este tipo de auditoría, por ejemplo, una
entidad que desea certificar su sistema de gestión éticamente responsable teniendo
como estándar la norma SGE 21. Así, a la organización en cuestión, acudiría un equipo
auditor autorizado por Forética para auditar esta norma y verificar que está
efectivamente implantada y en funcionamiento.
4.5. Factores de éxito y esquema de pasos a seguir en una

auditoría
Los requisitos o factores de éxito que deben cumplirse para que un proceso de auditoría
concluya satisfactoriamente son los siguientes:
» Que exista el apoyo de la gerencia o alta dirección.

» Que el equipo auditor al frente de la auditoría esté debidamente capacitado y
entrenado, es decir, que cuenten con la suficiente formación teórico-práctica en las
materias que se van a auditar.
» Que se dé una autonomía en la auditoría y en las funciones del equipo auditor.
» Que se facilite el debido acceso al equipo auditor cuando sea preciso a las oficinas, a
la información documentada y al personal de la empresa.
» Que se describan pormenorizadamente los procedimientos de auditoría. Así, el
auditado no se llevará sorpresas innecesarias y podrá disponer de todo lo que el
equipo auditor le requiera en el proceso.
Seguidamente, se muestra un esquema muy visual y práctico de los pasos que suelen
darse al llevar a cabo una auditoría (figura 1).

73
ISO 14001, ISO 45001 y SGE 21
Figura 1. Pasos en una auditoría. Fuente: Sánchez-Toledo (2008).
4.6. Auditorías y certificación de la organización
Existen muchos motivos por los cuales una organización puede querer obtener un
certificado de su sistema de gestión. Facilitar la mejora en sus procesos, aumentar su
imagen externa, mejorar rendimiento y rentabilidad, acceder a mercados cada vez más
globalizados y competitivos son algunas de las ventajas, entre otras, que podría
conseguir.

74
ISO 14001, ISO 45001 y SGE 21
Por todo ello, la certificación permite demostrar a cualquier grupo de interés, que el
sistema de gestión implementado en una organización cumple con los requisitos
definidos en una norma de referencia.
Certificación: actividad de carácter voluntario que permite establecer la conformidad

de una entidad (empresa, producto o persona) con los requisitos definidos en una
determinada norma, mediante la emisión por parte de una tercera parte, de un
documento fiable que así lo demuestre.
A continuación, se puede ver, de forma esquemática, cómo funciona el proceso de

certificación (figura 2):
Solicitud de certificado
Recopilación de información
de la documentación
NO
¿Es adecuada?
Auditoría de
SÍ renovación
Auditoría in situ.
Auditorías de
seguimiento
¿Ex isten no
conformidades?
SÍ
Plan de no
conformidades
NO
NO Evaluación del plan
SÍ Emisión del
¿Cumple?
certificado
Figura 2. Proceso de certificación.

75
ISO 14001, ISO 45001 y SGE 21
En primer lugar, es la organización que posteriormente será auditada la que debe
suscribir la solicitud de certificación ante la entidad certificadora autorizada que haya
escogido. De hecho, al tratarse de un proceso voluntario, se incluye la elección de la
entidad auditora, siempre y cuando esta esté debidamente acreditada para certificar ese
sistema de gestión que se pretende.
En segundo lugar, la entidad encargada de la certificación procederá a recopilar la

información necesaria y a revisar toda la documentación involucrada en el proceso a
certificar.
A continuación, se designa el equipo auditor que se comunica a la organización

auditada y se diseña un programa de auditoría donde se planifican las diferentes
jornadas que se van a realizar. Posteriormente, vendría el trabajo de campo, que no
es otra cosa que la visita a la organización para ver in situ los procesos, productos o el
sistema a auditar en funcionamiento.
Los dos pasos anteriores, es decir, la revisión documental y el trabajo de campo,

conforman propiamente lo que se conoce como auditoría de certificación.
Una vez realizada la auditoría, se emite un informe sobre la misma, donde se indica si
se han evidenciado o no, no conformidades dentro del sistema de gestión. Si existen no
conformidades, la organización deberá responder adjuntando las correspondientes
acciones correctoras. Una vez revisadas por la entidad auditora, se dictaminaría, si
procede, el certificado pretendido o no y, en su caso, si procediera, se expediría a favor
de la organización auditada, que con él demostraría haber superado con éxito el
proceso de certificación.
El período de validez del certificado dependerá de la norma por la que se rija,

pero en cualquier caso no es algo indefinido. Finalizada su validez, la organización
puede optar por pasar por una auditoría de renovación o bien no renovarlo.
Generalmente, el período de validez del certificado en España suele ser de tres años,
pasado este plazo se tendría que realizar una auditoría de renovación. Además, a lo
largo de la duración de dicho certificado, tendrían lugar auditorías de seguimiento
anuales.

76
ISO 14001, ISO 45001 y SGE 21
AENOR (2015). Norma Internacional ISO 9000: Sistemas de gestión de la calidad:

Fundamentos y vocabulario. Madrid: AENOR.
Sánchez-Toledo (2008). Guía para la auditoría delos sistemas de gestión de la

seguridad y salud en el trabajo. Madrid: AENOR.

77
Capítulo 5
Normativa aplicable a las
auditorías
Capítulo 5: Normativa aplicable a las auditorías
5.1. Introducción
En el capítulo anterior de la asignatura se han definido los conceptos y directrices que

permiten conocer qué es una auditoría y cómo se realiza. La auditoría es una
herramienta fundamental a la hora de evaluar la eficacia y eficiencia de un sistema de
gestión basado en los requisitos definidos en una norma.
La realización de auditorías internas dentro de los sistemas de gestión, como requisito

especificado en cada una de las normas, proporciona una serie de beneficios, entre
otros:
» Facilitan la realización de un análisis integral de la organización y su

funcionamiento.
» Permiten realizar un seguimiento y medición de los sistemas de gestión
implantados.
» Proporcionan información relevante en la búsqueda de la mejora continua del
Sistema implantado.
» Ayudan en el cumplimiento de los requisitos legales a los que la organización está
sujeta.
El objetivo de este tema consiste en conocer las normas que se deben tomar como base
para realizar exitosamente las auditorías internas.
El conocimiento exhaustivo de estas normas y sus mandatos es la clave para lograr la

correcta implantación de un sistema de gestión de calidad, de medioambiente, de
seguridad y salud laboral y de gestión ética, así como su posterior certificación.
Por lo tanto, a lo largo de esta unidad se verán las distintas familias de normas que se
han de manejar para llevar a cabo auditorías de estos sistemas y las particularidades de
cada una de ellas.

79
5.2 Familia de normas ISO 9000
La familia ISO 9000 está constituida por un conjunto de normas que se basan en la
gestión de la calidad. Busca gestionar la satisfacción del cliente mediante el
cumplimiento de sus requisitos y las regulaciones aplicables en sus productos y
servicios.
Dentro de esta familia de normas, la ISO 9001 establece los requisitos para la implantación
de un sistema de gestión de calidad y, por tanto, es la norma que hay que seguir a la hora de
llevar a cabo las auditorías, tanto internas (que son requisito de la propia norma) como de
certificación del sistema a través de una entidad certificadora que debe estar acreditada y
ser independiente. Será esta entidad la que finalmente determine si procede o no procede
expedir certificado de conformidad con dicha norma, esto es, lo que generalmente se
conoce con el nombre de certificado ISO 9001.
Cabe recordar que la certificación no es un requisito de la ISO 9001, ya que la

organización es libre de implantar dicha norma sin recurrir a la certificación por una
entidad acreditada y utilizarla como una herramienta más de apoyo en su gestión.
Sin embargo, es cierto que las organizaciones tienden a solicitar la certificación, ya que
es una ayuda importante como herramienta de marketing y de garantía para sus
clientes, ya que mejora su reputación e imagen.
Norma Significado
Lleva a cabo una descripción de principios y fundamentos en que se basa el sistema
ISO de gestión de la calidad.
9000 Define la terminología utilizada en los sistemas de gestión de la calidad.
Sirve de apoyo técnico a los sistemas de gestión de la calidad.
Determina los requisitos exigibles a los sistemas de gestión aplicables a toda
organización que desee demostrar su capacidad para elaborar productos o prestar
servicios, que cumplan las exigencias de sus clientes y las reglamentarias.
ISO 9001
Es el único modelo de la familia de normas ISO 9000 que puede ser certificable de
forma voluntaria por una entidad externa acreditada.
Finalidad principal: la satisfacción del cliente.
Facilita directrices que tienen en cuenta, tanto la eficacia como la eficiencia del
sistema de gestión de la calidad.
ISO Aunque no es certificable, resulta muy útil a modo de guía en la implantación del
9004
sistema de gestión de la calidad según ISO 9001.
Objetivo primordial: la mejora en la gestión de la organización.
Tabla 1. Familia de Normas ISO 9000.

80
Al margen de estas normas, se dispone de otras normas ISO sobre diferentes aspectos
relacionados con la gestión de calidad, tales como gestión de proyectos, sistemas de
medición, directrices para la documentación del sistema de gestión de la calidad, etc.
El mandato de realización de auditorías internas al sistema de gestión de la calidad se

contiene en el punto 9.2 y los contenidos a auditar son los que componen la propia ISO
9001, cuyo índice se recoge en la tabla 2, así como los establecidos por el sistema de
gestión de calidad de cada organización.
0. Introducción
4.1. Comprensión de la organización y su contexto
4.2. Comprensión de las necesidades y expectativas de las partes interesadas
4.3. Determinar el alcance del sistema de gestión de la calidad
4.4. Sistemas de Gestión de la calidad
5. Liderazgo
5.1. Liderazgo y compromiso
5.2. Política de calidad
5.3. Roles, responsabilidades, responsabilidades y autoridades
6. Planificación
6.1. Acciones para abordar riesgos y oportunidades
6.2. Objetivos de calidad y planificación para lograrlos
6.3. Planificación de los cambios
7. Apoyo
7.1. Recursos
7.2. Competencia
7.3. Toma de Conciencia
7.4. Comunicación
7.5. Información documentada
8. Operación
8.1. Planificación y control operativo
8.2. Requisitos para los productos y servicios
8.3. Diseño y desarrollo de los productos y servicios
8.4. Control de la prestación externa de bienes y servicios
8.5. Desarrollo de los procesos, productos y servicios suministrados externamente
8.6. Producción y provisión del servicio
8.7. Liberación de productos y servicios

81

9.1. Seguimiento, medición, análisis y evaluación
9.2. Auditoría Interna
9.3. Revisión por la dirección
10. Mejora
10.1 Generalidades
10.2. No conformidad y acciones correctivas
10.3. Mejora
Tabla 2. Índice norma ISO 9001.
5.3. Familia de normas ISO 14000
La familia ISO 14000 aborda diversos aspectos de la gestión ambiental. Esto es lo que
la organización hace para minimizar los efectos negativos que sus actividades causan en
el ambiente y mejorar continuamente su gestión medioambiental.
Dentro de las normas que conforman esta numerosa serie, existen dos que se centran
en sistemas de gestión ambiental: la ISO 14001:2015 (Sistemas de gestión ambiental.
Requisitos con orientación para su uso) y la ISO 14004:2004 (Sistemas de gestión
ambiental. Directrices generales sobre principios, sistemas y técnicas de apoyo). El
resto de las normas se concentran en aspectos ambientales específicos, tales como el
análisis del ciclo de vida, etiquetado y declaraciones ambientales, comunicación y
auditoría.
A continuación, se puede ver en la tabla 3 un breve resumen de las principales normas

de la familia ISO 14000 que afectan tanto a los sistemas de gestión medioambiental
como a las auditorías internas:

82
Norma Significado
Especifica la terminología para los sistemas de gestión medioambiental.

ISO 14050
Sirve de apoyo técnico a los sistemas de gestión medioambiental.
Funciona como guía de principios aplicables a la gestión medioambiental.

ISO 14001 Es el único modelo relacionado con un sistema de gestión ambiental que
puede ser certificable de forma voluntaria por una entidad de certificación.
Proporciona directrices a modo de guía técnica de los sistemas y apoyo.

Su objetivo es la mejora en la gestión de la organización.
ISO 14004
Aunque no es certificable, debe servir de guía durante toda la implantación
del sistema de gestión medioambiental según ISO 14001.
Acota las directrices para realizar la evaluación del desempeño ambiental

en sistemas de gestión medioambiental.
Fomenta un enfoque de gestión ambiental común y similar al de gestión de
la calidad.
ISO 14031 Potencia la capacidad de la organización para lograr y medir el
mejoramiento de su desempeño ambiental.
Facilita el comercio, elimina barreras comerciales.
Supone, a menudo, un beneficio para la comunidad en que se inserta la
organización (ej. menos contaminación, menos generación de residuos).
Tabla 3. Familia de las normas ISO 14000.
Dentro de esta familia de normas ISO 14000, existen otras normas que tratan sobre
diferentes aspectos relacionados con la gestión de medioambiental, tales como la
evaluación ambiental de sitios y organizaciones, etiquetas y declaraciones ambientales,
ecodiseño, análisis y evaluación del riesgo ambiental, etc.
El requisito de realización de auditorías internas al sistema de gestión medioambiental

se contiene en el punto 9.2 y los contenidos a auditar son los que componen la propia
ISO 14001, cuyo índice se recoge en la tabla 4, así como los establecidos por el sistema
de gestión medioambiental de cada organización.
0. Introducción
4.1. Comprensión de la organización y de su contexto
4.3. Determinación del alcance del sistema de gestión ambiental
4.4. Sistema de gestión ambiental
5. Liderazgo
5.1. Liderazgo y compromiso

83
5.2. Política ambiental

5.3. Roles, responsabilidades y autoridades en la organización
6. Planificación
6.1. Acciones para abordar riesgos y oportunidades
6.2. Objetivos ambientales y planificación para lograrlos
7. Apoyo
7.1. Recursos
7.2. Competencia
7.3. Toma de conciencia
7.4. Comunicación
8. Operación
8.1. Planificación y control operacional
8.2. Preparación y respuesta ante emergencias
9.1. Seguimiento, medición, análisis y evaluación
9.2. Auditoría interna
10. Mejora
10.1. Generalidades
10.2. No conformidad y acción correctiva
10.3. Mejora continua
5.4. Norma ISO 45001
La norma ISO 45001 es la primera norma internacional que establece los requisitos
para la implantación y certificación de un sistema de gestión de la seguridad y salud en
el trabajo (SGSST). Esta norma comenzó su andadura en el año 2013 con la creación del
Comité Técnico ISO /PC 283 Occupational Health and Safety Management Sistems -
Requirements. Tras un largo camino, la norma se publicó finalmente en marzo del año
2018.
La norma ISO 45001 ofrece algunas ventajas entre las que se encuentran las siguientes:
» Se trata de una norma internacional certificable por una tercera parte

independiente.
» Ayuda a verificar y alcanzar el cumplimiento de la normativa vigente.

84
» Su alcance no llega solo a empleados, sino también a proveedores, visitantes,

clientes y partes interesadas.
» Hace más fácil la gestión de la responsabilidad social empresarial, en la línea de
otras normas como la SGE 21.
La norma ISO 45001, al igual que la ISO 9001 de gestión de calidad o la ISO 14001 de
gestión ambiental, sigue la denominada estructura de alto nivel (HLS por sus siglas en
inglés), recogiendo en su punto 9.2 la necesidad de llevar a cabo auditorías del SGSST a
intervalos planificados.
Los contenidos a auditar son los que componen la propia ISO 45001, cuyo índice se
recoge en la tabla 5, así como los establecidos por el sistema de gestión de la seguridad
y salud en el trabajo de cada organización.
0. Introducción
4.3. Determinación del alcance del sistema de gestión de la SST
4.4 Sistema de gestión de la SST
5. Liderazgo y participación de los trabajadores
5.1 Liderazgo y compromiso
5.2 Política de la SST
5.3 Roles, responsabilidades, rendición de cuentas y autoridades en la organización
5.4 Consulta y participación de los trabajadores
6. Planificación
6.1 Acciones para abordar riesgos y oportunidades
6.2. Objetivos de SST y planificación para lograrlos
7. Apoyo
7.1. Recursos
7.2. Competencia
7.3. Toma de conciencia
7.4. Comunicación
8. Operación
8.1. Planificación y control operacional

85
8.2. Preparación y respuesta ante emergencias

9.1. Seguimiento, medición, análisis y evaluación del desempaño
9.2. Auditoría interna
10. Mejora
10.1. Generalidades
10.2. Incidentes, No conformidades y acciones correctivas
10.3. Mejora continua
5.5. Norma SGE 21
La norma SGE 21 presenta los criterios que permiten establecer, implantar y evaluar el
sistema de gestión ética y socialmente responsable establecido por Forética. Un amplio
número de profesionales, empresas, académicos y ONG colaboran en el fomento de una
gestión responsable plasmando todo ese conocimiento en la norma de empresa SGE 21,
convirtiéndose así en una norma que representa a todos los grupos de interés.
La norma SGE 21 aporta ventajas significativas en la gestión de la responsabilidad

social:
» Integración organizativa: el establecimiento de procesos horizontales a través de

la conexión de nueve áreas de gestión, que permite una mayor eficiencia en el
desarrollo de políticas de responsabilidad social corporativa.
» Concienciación y cambio: la formación y la participación de empleados y
colaboradores facilita el conocimiento y concienciación de la organización.
» Compatibilidad: la SGE 21 ha mostrado ser compatible con otros sistemas de
gestión implantados en las organizaciones (calidad, medioambiente, seguridad y
salud en el trabajo, etc.).
La norma SGE21, al igual que las normas ISO 9001, 14001 y 45001, es una norma
certificable. Su certificación implica la puesta en valor de la gestión ética y socialmente
responsable ante todos los grupos de interés de la organización. Así, la organización
demuestra haber superado una auditoría independiente de certificación para las nueve
áreas de gestión en las que se divide la norma.

86
Las nueve áreas de gestión en las que se estructura la norma SGE 21 son las
siguientes:
» Gobierno de la organización.
» Personas que integran la organización.
» Clientes.
» Proveedores y cadena de suministro.
» Entorno social.
» Entorno ambiental.
» Inversores.
» Competencia.
» Administraciones públicas.
El mandato de realización de auditorías al sistema de gestión ética y responsabilidad

social se contiene en el punto 6.1.9 y los contenidos a auditar son los que componen la
propia SGE 21, cuyo índice se recoge en la tabla 6, y los requisitos establecidos por el
propio sistema de gestión de cada organización.
1. Introducción
2. Objeto
3. Ámbito
4. Documentos de referencia
5. Descripción
6. Áreas de gestión
6.1. Gobierno de la organización
6.1.1. Política de Responsabilidad Social
6.1.2. Código de conducta
6.1.3. Comité de Responsabilidad Social
6.1.4. Responsable de gestión ética/responsabilidad social
6.1.5. Gestión de riesgos
6.1.6. Plan de responsabilidad social
6.1.7. Relación y diálogo con los grupos de interés
6.1.8. Política anticorrupción
6.1.9. Auditoría interna
6.1.10. Revisión por la dirección y mejora continua
6.1.11. Divulgación de información no financiera
6.2. Personas que integran la organización
6.2.1. Derechos Humanos
6.2.2. Igualdad de oportunidades y no discriminación

87
6.2.3. Gestión de la diversidad e inclusión

6.2.4. Conciliación de la vida personal, familiar y laboral
6.2.5. Diseño y estructura de la organización
6.2.6. Seguimiento del clima laboral
6.2.7. Salud y bienestar en el trabajo
6.2.8. Formación y fomento de la empleabilidad
6.2.9. Reestructuración responsable
6.3. Clientes
6.3.1. Innovación responsable
6.3.2. Calidad y excelencia
6.3.3. Información responsable de productos y servicios
6.3.4. Acceso a productos y servicios
6.3.5. Publicidad y marketing responsable
6.3.6. Consumo responsable
6.4. Proveedores y Cadena de Suministro
6.4.1. Compras responsables
6.4.2 Sistema de evaluación
6.4.3 Homologación de proveedores
6.4.4. Fomento de buenas prácticas, medidas de apoyo y mejora
6.5. Entorno social
6.5.1. Medición y evaluación del impacto social
6.5.2. Inversión en la comunidad
6.6. Entorno ambiental
6.6.1. Identificación de actividades e impactos ambientales
6.6.2. Programa de gestión ambiental
6.6.3. Plan de riesgos ambientales
6.6.4. Estrategia frente al cambio climático
6.7. Inversores
6.7.1. Buen gobierno, propiedad y gestión
6.7.2. Transparencia de la información
6.8. Competencia
6.8.1. Competencia leal
6.8.2. Cooperación y alianzas
6.9. Administraciones públicas
6.9.1. Cumplimiento de la legislación y normativa
6.9.2. Fiscalidad responsable
6.9.3. Colaboración y alianzas público-privadas
Tabla 6. Índice norma SGE 21.

88
5.6. Aspectos comunes a las auditorías de calidad,

medioambiente, seguridad y salud en el trabajo y
responsabilidad social
Las auditorías, ya sean de calidad, medioambientales, de seguridad y salud en el trabajo

o de responsabilidad social empresarial deben ser como se indica a continuación:
» Documentadas: es decir, deben sustentarse en datos que ofrezcan fiabilidad y que

resulten suficientes para permitir un análisis realista y completo.
» Objetivas: lo que significa que no pueden ser objeto de manipulación en ningún
caso, sino que deben ser el fiel reflejo de la situación en que se halla la organización.
» Periódicas: no son meramente esporádicas, es decir, no se realizan una vez y
nunca más. Los sistemas de gestión son circulares, basados en la mejora continua, lo
que supone la comprobación periódica de su adecuado funcionamiento, para lo que
se llevan a cabo las auditorías medioambientales.
» Sistemáticas: supone que deben seguir unas pautas, una metodología específica,
que no se realizan de cualquier manera y al azar, lo que garantiza su objetividad y
que puedan contrastarse y compararse al estar homogeneizadas.
Cuando se hace referencia a las auditorias se pueden diferenciar distintos tipos:
De primera parte o auditorías internas. Son las exigidas en cada una de las
normas de gestión como requisito del propio sistema de gestión, tal y como se ha
comentado. Estas auditorías se llevan a cabo por la organización para lo siguiente:
» Verificar periódicamente el correcto funcionamiento del sistema de gestión.

» Detectar posibles anomalías y fallos del sistema implantado, para erradicarlos o
minimizarlos, en su caso.
De segunda parte. Son llevadas a cabo, por ejemplo, por uno de los clientes de la
organización que desea conocer los procesos de elaboración del producto que esta le
provee.
De tercera parte o auditorías de certificación. Son realizadas por organismos de

certificación acreditados para ello.

89
A la hora de llevar a cabo las auditorías de las normas de los sistemas de gestión, se
puede acudir a la norma ISO 19011: Directrices para la auditoría de los sistemas de
gestión. Esta norma se puede aplicar a cualquier tipo de organización y todo tipo de
auditorías, proporcionando una orientación relativa a lo siguiente:
» Los principios básicos de las auditorías.

» La gestión de programas de auditorías.
» La realización de auditorías de sistemas de gestión.
» La cualificación, competencia y evaluación de auditores.
Aunque la norma se concentra en proporcionar orientación para realizar auditorías de

primera y segunda parte, también puede ser útil para auditorías externas realizadas con
fines diferentes a la certificación de sistemas de gestión de tercera parte. Su estructura
se puede resumir como sigue:
» Gestión del programa de auditoría. Puntos básicos para llevarla a cabo.

» Etapas que seguir en la realización de la auditoría.
» Competencia y evaluación de los auditores.
» Ejemplos sobre las competencias de los auditores en campos específicos.
» Orientaciones a los auditores en la planificación y realización de las auditorías.
La tabla 7 recoge la estructura y contenido resumido de la última versión de la norma

ISO 19011.
Capítulo 1 Objeto y campo de aplicación de la Norma.
Capítulo 2 Normas necesarias para su consulta.
Capítulo 3 Términos y definiciones aplicables al proceso de auditoría.
Principios de la auditoría. La adhesión a esos principios es un requisito

previo para proporcionar conclusiones de la auditoría, que sean pertinentes
Capítulo 4
y suficientes, y para permitir a los auditores trabajar independientemente
entre sí, para alcanzar conclusiones en circunstancias similares.

90
Orientación sobre la gestión de los programas de auditoría:

» Asignación de roles y responsabilidades para la gestión de los programas
de auditoría.
» Establecimiento de los objetivos del programa de auditoría.
Capítulo 5
» Determinación y evaluación de los riesgos y oportunidades del programa
de auditoría.
» Coordinación de las actividades de auditoría.
» Provisión de recursos suficientes al equipo auditor, etc.
Capítulo 6 Orientación sobre la realización de las auditorías de los sistemas de gestión.
Orientación sobre la competencia necesaria del auditor y describe un

Capítulo 7
proceso para la evaluación de los auditores.
Anexo A. Orientación adicional destinada a los auditores que planifican y realizan

auditorías.
Tabla 7. Estructura y contenido norma ISO 19011.

91
Capítulo 6
El perfil del auditor según
la norma ISO 19011:2018
Capítulo 6: El perfil del auditor según la norma ISO 19011:2018
6.1. Introducción
La figura del auditor tiene una importancia vital en la implantación y mantenimiento

de un sistema de gestión, ya que a través de él va a cumplirse la función tanto de su
mantenimiento como la de poder llevar a cabo la mejora continua del mismo. Por ello,
determinar el perfil del auditor es fundamental para que las auditorías se desarrollen
de forma satisfactoria.
En la norma existen directrices que ayudan a perfilar las competencias y formación de

los auditores, determinando tanto las del líder del equipo auditor, la de los auditores,
como la de los guías y los observadores que pueden participar en una auditoría.
Es imprescindible que el auditor del sistema disponga de conocimientos y habilidades

suficientes para poder llevar a cabo el proceso de auditoría. En la práctica, en el
desarrollo de estas, es fundamental que el auditor tenga un bagaje suficiente para poder
conocer la organización, el contexto organizacional, los documentos del sistema de
gestión y de referencia, los principios, procedimientos y métodos de auditoría, los
requisitos legales y contractuales aplicables y otros requisitos como los específicos de la
gestión ambiental, calidad, seguridad y salud laboral, así como responsabilidad social
corporativa; pero también en otros ámbitos, como puede ser la seguridad de la
información, la energía, la seguridad alimentaria, etc.
En definitiva, las responsabilidades inherentes derivadas del trabajo de auditoría son

consecuencia de los roles y responsabilidades conforme a su participación en el equipo
auditor compuesto por un auditor líder, un grupo de auditores y la posibilidad de que
haya guías y observadores.
6.2. Competencia de los auditores
La credibilidad y confianza en el proceso de auditoría va a depender de la capacidad de

los auditores para poder llevarla a cabo. Es decir, va a depender de la competencia de
estos. Esta competencia estará basada tanto en el comportamiento personal como en la
capacidad para aplicar los conocimientos y las habilidades adquiridos durante la
educación, la experiencia laboral, la formación como auditor y la experiencia en
auditorías.

93
La competencia de los auditores engloba criterios comunes independientemente del

ámbito del sistema de gestión auditado, pero también son necesarios conocimientos y
habilidades específicos en materia de calidad, medioambiente, seguridad y salud en el
trabajo o responsabilidad social corporativa, es decir, en función del tipo de sistema de
gestión que se vaya a auditar y también del sector.
Al fin y al cabo, los auditores deben tener la competencia necesaria para hacer cumplir
el programa de auditoría.
6.3. Atributos personales
En la norma ISO 19011:2018 se señala que los auditores deberían poseer las cualidades
suficientes como para poder desarrollar las auditorías y que les permita realizar el
trabajo conforme a los principios de auditoría descritos en el capítulo 4 de la ISO 19011.
Figura 1. Principios de auditoría. Fuente: UNE-EN-ISO 19011:2018.
Los auditores deberán mostrar una actitud profesional. Durante el desarrollo de las
actividades de auditoría su comportamiento debe ser el siguiente:
» Ético: imparcial, sincero, honesto y discreto.

» De mentalidad abierta: dispuesto a considerar ideas o puntos de vista
alternativos.
» Diplomático: con tacto en las relaciones con las personas.
» Observador: activamente consciente del entorno físico y las actividades.
» Perceptivo: instintivamente consciente y capaz de entender las situaciones.

94
» Versátil: se adapta fácilmente a diferentes situaciones.

» Tenaz: persistente, orientado hacia el logro de los objetivos.
» Decidido: alcanza conclusiones oportunas basadas en el análisis y razonamiento
lógicos.
» Seguro de sí mismo: actúa y funciona de forma independiente a la vez que se
relaciona eficazmente con otros.
» Actúa con firmeza: capaz de actuar ética y responsablemente aun cuando dichas
acciones no siempre sean populares y a veces puedan producir desacuerdo o
confrontación.
» Abierto a la mejora: dispuesto a aprender de las situaciones y a buscar mejores
resultados de auditoría.
» Sensible culturalmente: observador y respetuoso con la cultura del auditado.
» Colaborador: que interactúe eficientemente con otros, incluyendo los miembros
del equipo auditor y el personal del auditado.
6.4. Conocimientos y habilidades
Queda claro, como se ha venido comentando a lo largo del capítulo, que los auditores
deben tener los conocimientos y habilidades necesarios para obtener los resultados
previstos en las auditorías que lleven a cabo. Así, también es de esperar que los
auditores como tal posean unos conocimientos y habilidades genéricas y comunes, a la
vez que unos conocimientos y habilidades específicos de alguna disciplina y sector de
actividad.
Para determinar el conocimiento y habilidades propias del auditor, se debe considerar

lo siguiente:
» El tamaño, la naturaleza y la complejidad de la organización a ser auditada.

» Los métodos de auditoría.
» Las disciplinas de sistema de gestión que se van a auditar.
» Los objetivos y el alcance del programa de auditoría.
» Los tipos y niveles de riesgos y oportunidades presentes en el sistema de gestión.
» El rol del proceso de auditoría en el sistema de gestión del auditado.
» La complejidad del sistema de gestión a ser auditado.
» La incertidumbre en el logro de los objetivos de la auditoría.
» Otros requisitos impuestos por el cliente o grupos de interés, cuando sea apropiado.

95
Los conocimientos y habilidades concretos para cada área serían los siguientes:
Principios, procedimientos y métodos de auditoría
» Planificación:
o Comprender los riesgos y las oportunidades asociados con la auditoría y los
principios del enfoque basado en riesgos para la auditoría.
o Planificar y organizar el trabajo eficazmente.
o Llevar a cabo la auditoría dentro del horario acordado.
o Establecer prioridades y centrarse en los asuntos de importancia.
» Desarrollo:
o Recopilar información a través de entrevistas eficaces, escuchando, observando y
revisando documentos, registros y datos.
o Entender y considerar las opiniones de los expertos.
o Entender lo apropiado del uso de técnicas de muestreo y sus consecuencias para
la auditoría.
o Verificar la relevancia y exactitud de la información recopilada.
o Hay que confirmar que la evidencia de la auditoría es suficiente y apropiada para
apoyar los hallazgos y conclusiones de la auditoría.
» Finalización:
o Evaluar aquellos factores que puedan afectar a la fiabilidad de los hallazgos y
conclusiones de la auditoría.
o Utilizar los documentos de trabajo para registrar las actividades de la auditoría.
o Documentar los hallazgos de auditoría y preparar informes de auditoría
apropiados.
o Mantener la confidencialidad y seguridad de la información, datos, documentos y
registros.
o Comunicar efectivamente, oralmente y por escrito (ya sea personalmente o a
través del uso de intérpretes y traductores). Esta habilidad también tendrá que
estar presente durante la planificación y desarrollo de la auditoría.

96
Documentos del sistema de gestión y de referencia
Capacitan al auditor para comprender el alcance de la auditoría y aplicar los criterios de

auditoría. Deberían cubrir lo siguiente:
» Normas de sistemas de gestión u otros documentos usados como criterios de

auditoría.
» La aplicación de las normas de sistemas de gestión por parte del auditado y otras
organizaciones, según sea apropiado.
» Interacción entre los procesos del sistema de gestión.
» Reconocer la jerarquía de los documentos de referencia.
» Aplicación de los documentos de referencia a diferentes situaciones de auditoría.
Contexto organizacional
Capacitan al auditor para comprender la estructura del auditado, así como su

negocio y prácticas gerenciales. Deberían cubrir lo siguiente:
» Necesidades y expectativas de los diferentes grupos de interés de la organización.

» Tipo de organización, tamaño, estructura, relaciones, gestión de su negocio, los
procesos, la planificación y preparación de presupuestos, gestión de personas, etc.
» Cualquier tipo de aspecto cultural y social de la empresa a auditar.
Requisitos legales y reglamentarios aplicables y otros requisitos
Capacitan al auditor para ser consciente y trabajar dentro de los requisitos legales y
contractuales de la organización. Es necesario tener en cuenta que ser consciente de
estos requisitos no implica ser experto en temas legales, ya que no se trata de una
auditoría de cumplimiento legal. Los conocimientos y habilidades del auditor deben
cubrir los siguientes aspectos:
» Requisitos legales y reglamentarios y sus agencias gobernantes.

» Terminología legal básica.
» Contratación y responsabilidad legal.

97
Disciplina y sector específico
Capacitan al auditor para realizar auditorías de diferentes tipos de sistemas de gestión y

sectores. La competencia debe incluir:
» Los requisitos y principios de cada norma de sistema de gestión.

» Los fundamentos de la disciplina y del sector relacionados con la norma de
sistema de gestión aplicada por el auditado.
» La aplicación de métodos, técnicas, procesos y principios específicos de la
disciplina y sector que permitan al auditor, por una parte, evaluar la conformidad
dentro del alcance de auditoría definido y, por la otra, determinar y evaluar los
riesgos y oportunidades asociados con los objetivos de la auditoría.
Además de lo comentado anteriormente, se pueden enumerar posibles ejemplos de

conocimientos y habilidades para un auditor que realice auditorías específicas dentro
del ámbito de la calidad, del medioambiente y de la seguridad y salud en el trabajo. Se
trata de un listado no exhaustivo de competencias y se especifican en concreto dentro
de estas tres disciplinas, porque corresponden a los tres tipos de sistemas de gestión
más difundidos a nivel internacional.
Sistema de gestión de la calidad (SGC)

» Términos y conceptos relacionados con calidad, gestión, procesos, productos y
servicios.
» Enfoque hacia el cliente, medición de la satisfacción del cliente, quejas.
» Liderazgo de la alta gerencia, enfoque de la gestión de la calidad basado en
procesos.
» Participación de los trabajadores, competencia, formación y toma de conciencia.
» Mejora continua e innovación.
» Enfoque en hechos para la toma de decisiones, evaluación de la gestión de la
calidad (revisión por la dirección, auditoría), técnicas de medición, requisitos para
los procesos de medida y equipos de medición, técnicas, estadísticas.
» Relaciones con los proveedores.
Tabla 1. Ejemplos de conocimientos y habilidades de los auditores SGC.

98
Sistema de gestión ambiental (SGA)

» Términos y conceptos relacionados con el medioambiente y su gestión.
» Aspectos ambientales y técnicas de evaluación para determinar el impacto de los
aspectos ambientales.
» Mediciones y estadísticas ambientales.
» Evaluación del desempeño ambiental y del ciclo de vida.
» Prevención y control de la contaminación.
» Medidas para la reducción de los diferentes impactos ambientales.
» Gestión del cambio climático.
» Uso y manejo de recursos naturales.
» Formación, toma de conciencia y divulgación ambiental.
Tabla 2. Ejemplos de conocimientos y habilidades de los auditores SGA.
Sistema de gestión de la seguridad y salud en el trabajo (SGSST)

» Identificación de factores de riesgo o peligros que afectan a los trabajadores en el
lugar de trabajo.
» Identificación de riesgos y su evaluación utilizando las metodologías de evaluación
específicas en cada uno de los casos.
» Jerarquía de controles con la finalidad de eliminar o minimizar el nivel de riesgo
obtenido en la evaluación.
» La interacción del trabajador con el entorno del trabajo.
» La utilización de medidas que mejoren el bienestar de los empleados, trabajando
en organizaciones más saludables.
» Métodos para la investigación y evaluación de accidentes de trabajo, enfermedades
profesionales e incidentes.
» Prácticas para identificar y proponer medidas adecuadas para identificar posibles
situaciones de emergencia.
» Compresión de los requisitos legales y otros requisitos relacionados con la
seguridad y salud en el trabajo.
» Metodologías que sirvan para medir el desempeño de la seguridad y salud en el
trabajo.
» Determinación, compresión y uso de información relacionada con la salud de los
trabajadores, poniendo especial atención a la confidencialidad de esta.
Tabla 3. Ejemplos de conocimientos y habilidades de los auditores SGSST.

99
Líderes de los equipos auditores
El líder del equipo auditor tiene la responsabilidad de llevar a cabo la auditoría hasta
que finalice. Por lo tanto, es un elemento clave en las auditorías.
El líder del equipo auditor debe disponer de conocimientos y habilidades adicionales

para que la auditoría se realice de manera efectiva y también eficiente. De modo que el
bagaje intelectual y práctico del líder facilita la competencia necesaria para realizar una
planificación y gestión de la auditoría, distribuir las tareas al resto del equipo auditor y
liderarlo, representar a todo el equipo en las comunicaciones con el auditado y preparar
el informe de auditoría.
Para poder obtener dichas competencias deberá tener una experiencia adicional en
auditoría. Para ello, tendría que haber realizado diferentes auditorías bajo la
orientación de un líder de auditoría diferente.
Además, los auditores líderes deberán poseer los conocimientos y habilidades comunes
y específicos de la disciplina a auditar y del sector de actividad, vistas en los apartados
anteriores.
Figura 2. Conocimientos y habilidades del líder de un equipo auditor.

100
6.5. Mantenimiento y mejora de la competencia.
La ISO 19011, en su apartado 7.6, señala que los auditores y los líderes del equipo
auditor deberían mejorar continuamente su competencia.
Los auditores deberían mantener su competencia de auditoría a través de la participación

regular en auditorías de sistemas de gestión y el continuo desarrollo profesional.
El continuo desarrollo profesional involucra el mantenimiento y mejora de la

competencia. Esto se puede lograr a través de medios tales como la experiencia laboral
adicional o el entrenamiento, el estudio, la preparación, la asistencia a reuniones, los
seminarios y las conferencias u otras actividades relevantes.
Figura 3. Competencia y evaluación de los auditores.
La persona que gestiona el programa de auditoría debería establecer mecanismos

apropiados para la evaluación continua del desempeño de los auditores y líderes de
equipo auditor.
Las actividades para el continuo desarrollo profesional deberían tener en cuenta lo siguiente:
» Los cambios en las necesidades del individuo y la organización responsable de

realizar la auditoría.
» La práctica de auditoría (desarrollo de técnicas, uso de la tecnología).

101
» Las normas y otros requisitos relevantes.

» Los cambios en las disciplinas o en el sector.
6.6. Evaluación del auditor
La organización debe seleccionar el método o métodos apropiados para la

evaluación del auditor, así como los criterios para dicha evaluación. Los
criterios deberían ser tanto cualitativos (por ejemplo, haber demostrado un
comportamiento personal adecuado, determinados conocimientos o el desempeño de
ciertas habilidades, en la formación o lugar de trabajo) como cuantitativos (por
ejemplo, exigir un número de años de experiencia laboral y educación, un número de
auditorías realizadas, así como las horas de formación en auditoría).
Figura 4. Criterios de evaluación de los auditores.
La norma ISO 19011 especifica que se deben seleccionar dos o más métodos de
evaluación de los señalados en la tabla siguiente, teniendo en cuenta lo siguiente:
» No tienen por qué poderse aplicar a todas las situaciones.

» La selección de los métodos de evaluación puede no coincidir en su fiabilidad.
» Una opción podría ser el realizar una combinación de diferentes métodos de
evaluación para poder obtener un resultado objetivo, imparcial y coherente.

102
Evaluación Objetivos Ejemplos
Educación
Entrenamiento
Revisión de Verificar los antecedentes Empleo
registros de auditor. Credenciales profesionales
Evaluación del desempeño
Evaluación entre pares
Encuestas
Cuestionarios
Proporcionar información sobre Referencias personales
Retroalimentación cómo se percibe el desempeño Recomendaciones
del auditor. Quejas
Evaluación del desempeño
Análisis de registros de:

Evaluación entre pares
Evaluar atributos personales y
las habilidades de comunicación,
para verificar la información y
Entrevista Entrevistas personales
examinar los conocimientos, y
para obtener información
adicional.
Evaluar los atributos personales Actuación

Observación y la aptitud para aplicar los Testificación de auditorías
conocimientos y habilidades. Desempeño en el trabajo
Evaluar las cualidades Exámenes orales

Examen personales, conocimientos y Exámenes escritos
habilidades y su aplicación. Exámenes psicotécnicos
Proveer información sobre el Revisión de informe de

desempeño del auditor durante auditorías.
Revisión después
las actividades de auditoría, Entrevistas con el líder del
de la auditoría
identificar fortalezas y equipo auditor y si es adecuado
debilidades Retroalimentación del auditado.
Tabla 4. Métodos de evaluación del auditor.

103
Figura 5. Evaluación de un auditor.
6.7. Registros
La organización debe demostrar la implementación del programa de auditoría. Para

ello, tendrá que registrar y conservar, entre otra, la información relativa al equipo
auditor, que cubre aspectos como los siguientes:
» Competencia del auditor y evaluación de desempeño.

» Selección del equipo auditor.
» Mantenimiento y mejora de la competencia.

104
A continuación, se muestra un ejemplo tipo de registro de las aptitudes generales del

candidato auditor:
REGISTRO DE CUALIFICACIÓN DEL AUDITOR

Nombre y apellidos:
EDUCACIÓN PUNTUACIÓN
Nivel académico Fecha de
Institución
máximo alcanzado finalización
EXPERIENCIA LABORAL PUNTUACIÓN
Empresa Cargo Período
FORMACIÓN COMO AUDITOR (cursos, seminarios, etc.) PUNTUACIÓN

Nombre de la Institución Duración
formación
EXPERIENCIA EN AUDITORÍAS PUNTUACIÓN
Nombramiento Lugar Fecha
HABILIDADES DEL AUDITOR PUNTUACIÓN
Expresión oral
Respeto
Manejo del tiempo
Diplomático
Observador
Actuar con firmeza
Claridad y seguridad al realizar las preguntas
Eficacia para identificación de hallazgos en la auditoría
PUNTUACIÓN TOTAL
Evaluado por: Firma Fecha
CALIFICACIÓN
□ APTO □ NO APTO
Figura 6. Ejemplo de formato para el registro de la cualificación de un auditor.

105
6.8. Responsabilidades
En todo proceso de auditoría, tanto el auditor como el líder del equipo de auditoría
deben tener unas responsabilidades que se van a analizar a continuación.
Líder del equipo auditor
El líder del equipo auditor tiene las siguientes responsabilidades definidas en la norma
ISO 19011:2018:
» Planificar la realización de la auditoría y las tareas de cada uno de los auditores en

función de las competencias que tengan.
» Determinar junto con la dirección auditada si se han tenido en cuenta las cuestiones
estratégicas a la hora de evaluar los riesgos y oportunidades.
» Desarrollar relaciones de trabajo armoniosas entre los miembros del equipo auditor.
» Gestionar el proceso de auditoría, incluyendo lo siguiente:
o Planear la auditoría y hacer uso efectivo de los recursos durante la misma.
o Manejar la incertidumbre de alcanzar los objetivos de auditoría.
o Proteger la salud y seguridad de los miembros del equipo auditor durante la
auditoría, incluyendo asegurar el cumplimiento de los auditores con los requisitos
relevantes de salud y seguridad.
o Organizar y dirigir a los miembros del equipo auditor.
o Servir de dirección y guía a los auditores en entrenamiento.
o Prevenir y resolver conflictos, de ser necesario.
» Representar al equipo auditor en las comunicaciones con la persona que gestiona el
programa de auditoría, el cliente de auditoría y el auditado.
» Conducir al equipo auditor hacia el logro de las conclusiones de auditoría.
» Preparar y completar el informe de auditoría.
Auditores
Es competencia de los auditores lo siguiente:
» Actuar de acuerdo con los requisitos aplicables a cada auditoría.

» Realizar las misiones asignadas por el líder del equipo.
» Cooperar con el auditor jefe en la preparación de la auditoría.

106
» Recoger evidencias suficientes para determinar las recomendaciones.

» Verificar la eficacia de las acciones correctivas.
» Realizar actividades de clasificación, archivo y custodia de la documentación
correspondiente a la planificación y a los resultados de las auditorías.
Guías y observadores
Tanto los guías como los observadores pueden acompañar al equipo auditor durante la
auditoría con la previa autorización del auditor líder, del auditado o cliente de la
auditoría según el caso.
» Características de los observadores:

o No deberían influenciar o interferir con la realización de la auditoría.
o Si esto no se puede asegurar, el líder del equipo auditor debería tener el derecho
de negar a los observadores la participación en ciertas actividades de la auditoría.
o Para los observadores, cualquier obligación relacionada con salud y seguridad,
confidencialidad y seguridad de la información debería ser manejada entre el
cliente de auditoría y el auditado.
» Característica de los guías:

o Los guías nombrados por el auditado deberían ayudar al equipo auditor y actuar a
petición del líder del equipo auditor.
o Sus responsabilidades deberían incluir las siguientes:
• Ayudar a los auditores a identificar a los individuos que van a participar en las
entrevistas y confirmar los tiempos.
• Organizar la logística de acceso a instalaciones específicas del auditado.
• Asegurar que el equipo auditor y los observadores conocen y respetan las
reglas relacionadas con la seguridad de la ubicación y los procedimientos de
emergencia.
o El rol del guía también puede incluir lo siguiente:

• Ser testigo de la auditoría en nombre del auditado.
• Facilitar aclaraciones o ayudar a recolectar información.

107
AENOR (2018). Norma Internacional ISO 19011: Directrices para la auditoría de los
sistemas de gestión. Madrid: AENOR.

108
Capítulo 7
Planificación y preparación
de la auditoría
Capítulo 7: Planificación y preparación de la auditoría
7.1. Introducción
Antes de llevar a cabo la auditoría, se necesita previamente llevar a cabo una

preparación y planificación de esta.
La auditoría debe ser un proceso muy cuidado y documentado en detalle. De este modo,
cuando se realice el llamado trabajo de campo, no hay que olvidarse de revisar ningún
punto importante y recopilar adecuadamente todas las evidencias que lleven,
posteriormente, a conocer la existencia de no conformidades y, en su caso, acciones
correctoras o preventivas.
Las razones para realizar una auditoría pueden ser variadas, por ejemplo:
» Hacer la evaluación inicial de un suministrador antes de establecer relaciones

contractuales.
» Verificar en el organismo que su sistema cumple los requisitos establecidos y que
realmente está implantado.
» Verificar que, en una relación contractual, el sistema del suministrador es eficiente.
» Hacer la evaluación, en el marco del propio organismo, de su sistema con relación a
una norma de calidad, medioambiente, seguridad y salud laboral, etc.
Esta preparación y planificación de la auditoría supone una serie de pasos a dar que
constituyen los diferentes epígrafes de este capítulo:
» Gestión de un programa de auditoría.

» Determinación del alcance, objetivos y criterios de la auditoría.
» Designación de los miembros del equipo auditor.
» Estudio de la información documentada relevante.
» Determinación del plan de auditoría.
» Preparación de cuestionarios o check-list.
7.2. Gestión del programa de auditoría
Un programa de auditoría es una planificación a nivel global de las auditorías que

se quieren llevar a cabo en una organización, ya sea de uno o varios sistemas de

110
gestión. Este programa incluye la información y los recursos necesarios para

realizar auditorías dentro de los períodos de tiempo que se encuentran determinados.
El contenido del programa deberá incluir lo siguiente:
» Objetivos para el programa de auditoría.

» Riesgos y oportunidades relacionados con el contexto del auditado, asociados al
programa de auditoría que pueden afectar a los objetivos de dicho programa, así
como las medidas necesarias para solventarlos.
» Alcance.
» Programación de la auditoría (número, duración y frecuencia).
» Tipo de auditoría.
» Procesos del programa de auditoría (por ejemplo: coordinación y programación de
todas las auditorías que se indican en el programa, establecimiento de los objetivos,
alcances y criterios de cada una de las auditorías, métodos de auditoría, selección y
evaluación del equipo auditor, seguimiento de la auditoría si procede, resolución de
conflictos y quejas, presentación de informes al cliente de la auditoría y a las partes
interesadas pertinentes, etc.).
» Criterios de auditoría.
» Métodos de auditoría.
» Selección del equipo auditor (miembros del equipo, auditor líder, expertos
técnicos).
» Recursos (financieros, métodos a emplear en la auditoría, disponibilidad de
auditores y expertos técnicos con la experiencia adecuada, la extensión del programa
de auditoría, los riesgos y oportunidades relacionados con el programa de auditoría,
tiempo, transporte, alojamiento, impacto de las diferentes zonas horarias,
disponibilidad de herramientas y tecnologías adecuadas, disponibilidad de la
información documentada necesaria, requisitos relacionados con las instalaciones,
autorizaciones, equipos de protección, etc.),
» Otra información documentada relevante (resultados de auditorías internas o
externas realizadas previamente, revisiones llevadas a cabo por la dirección, etc.).
» Otros factores que pueden tener impacto en el programa de auditoría: cuestiones
culturales y sociales, cambios significativos en el contexto del auditado, la
disponibilidad de las tecnologías para realizar las auditorías, no conformidades de
los productos o servicios, procesos para tratar la confidencialidad, la seguridad en la
información, la seguridad y salud, el medioambiente, etc.

111
Los objetivos del programa de auditoría deben tener en cuenta las necesidades y
expectativas de todas las partes interesadas, las características y requisitos de los
procesos, los productos, los requisitos de las normas de sistemas de gestión, la
necesidad de evaluar a los proveedores externos, el nivel de madurez del sistema de
gestión que se va a auditar, la ocurrencia de no conformidades y quejas por parte de los
clientes, el nivel de desempeño del auditado, los riesgos y oportunidades identificados
para el auditado y los resultados de anteriores auditorías.
Además, la extensión de dicho programa se adaptará a la propia organización,

teniendo en cuenta que se deberá adaptar en función de varios aspectos:
» Tamaño, complejidad y naturaleza de la organización.

» Tipo de riesgos y oportunidades.
» Nivel de maduración del sistema de gestión que se va a auditar.
Se debe realizar un seguimiento y una evaluación del programa de auditoría para

asegurarse de que se han cumplido sus objetivos. También, es necesario realizar una
revisión de este para detectar si es necesario identificar cualquier cambio u
oportunidad de mejora necesarios.
Existen varios factores que pueden indican que hay que modificar el programa de
auditoría:
» Los hallazgos de auditoría.
» El nivel evidenciado de eficacia y el nivel de madurez del sistema de gestión
auditado.
» La eficacia del programa de auditoría.
» El alcance de la auditoría o del programa de auditoría.
» Cambios en el sistema de gestión auditado.
» Cambios en las normas, en los requisitos legales, contractuales o cualquier requisito
que le aplique a la organización.
» Cambio de proveedor.
» Conflictos de interés identificados.

112
Logotipo empresa PROGRAMA DE AUDITORÍAS INTERNAS Código
Edición
Página
Número Alcance Criterio de auditoría Objetivos Auditor Fecha
Elaborado por Revisado por: Aprobado por:
Fecha: Fecha: Fecha:
Tabla 1. Formato ejemplo del programa de auditoría.
7.3. Determinación del alcance, objetivos y criterios de la

auditoría
El primer paso para dar inicio la auditoría es determinar el alcance y los objetivos de la
auditoría. No todas las auditorías son uniformes, ya que no todas persiguen idénticos
fines y tampoco tienen igual alcance.
Así, hay organizaciones que tan solo pretenden certificar uno o varios departamentos
de esta, pero no toda la organización al completo. Del mismo modo, una organización
puede tener implantados diversos sistemas de gestión: calidad, medioambiente,
seguridad y salud laboral, responsabilidad social, innovación, seguridad en la
información, etc. Y la auditoría no siempre tiene por qué revisar al mismo tiempo todos
esos sistemas.

113
Además, como ya se ha visto, pueden existir distintos tipos de auditorías, por ejemplo,
las siguientes:
» Auditorías del sistema de gestión (calidad, medioambiental, seguridad y salud en el

trabajo, SGE21, etc.).
» Auditorías de proceso.
» Auditorías de producto.
» Auditorías de servicio.
Por tanto, el alcance de la auditoría en cuestión dependerá del tipo de auditoría del que
se trate, siendo coherente con el programa de auditoría y con los objetivos de esta. El
alcance debe constar de manera clara e inequívoca en el programa de auditoría que
hayan pactado la organización auditada y el equipo auditor, e incluye los límites de la
auditoría, la duración, el lugar, las actividades y los procesos a auditar, así como la
temporalización de la auditoría.
Según se trate de una auditoría interna o externa, el alcance también será diferente.
Las auditorías externas engloban las denominadas auditorías de segunda y tercera

parte:
» Las auditorías de segunda parte se llevan a cabo por partes que tienen un interés
en la organización, tales como los clientes, o por otras personas en su nombre.
» Las auditorías de tercera parte se llevan a cabo por organizaciones auditoras
independientes y externas, como es el caso de las entidades acreditadas que
proporcionan la acreditación/registro de conformidad con una norma específica de
sistema de gestión: ISO 9001, ISO 14001, ISO 45001, etc.
Por ejemplo, en el caso de una auditoría externa a un proveedor, el que contrata

la auditoría no es el proveedor, sino la organización a la que este suministra. Este tipo
de auditorías son muy frecuentes y suelen tener como principal fin verificar que los
procesos de elaboración de las materias que posteriormente se envían a la organización
(contratista de la auditoría en este caso) se adecuan a los criterios y estándares de
calidad pactados.

114
La periodicidad de estas auditorías no es algo fijo e inamovible. Así, tratándose de una

auditoría contratada para un proveedor, es el contratista el que determina cada cuánto
tiempo se verifica esta evaluación.
Sin embargo, en el otro tipo de auditorías externas, las de certificación, la periodicidad

dependerá de varios factores:
» Si se trata de la primera obtención del certificado, normalmente la siguiente

auditoría se llevaría a cabo transcurridos tres años.
» Las auditorías de seguimiento o renovación del certificado lo normal es que se
repitan con carácter anual (en ocasiones semestral).
También puede darse el caso de auditorías internas, también llamadas auditorías

de primera parte, que se realizan por o en nombre de la propia organización, para la
revisión por la dirección o con otros fines internos y puede constituir la base para la
declaración de conformidad de una organización.
Respecto de los objetivos de la auditoría, no son otra cosa que los fines que la
organización o quien contrata la auditoría, en su caso, persigue conseguir tras la
finalización de esta. En función de quién contrate la auditoría, se tendrán distintos
fines u objetivos.
Así, como se ha visto previamente, la auditoría realizada a un proveedor persigue, como

fin intrínseco, la comprobación de que esas materias suministradas cumplen con las
especificaciones pactadas, lo que puede comprobar el mismo cliente, o bien, encargarlo
a una tercera parte objetiva e independiente, como es una entidad auditora.
Algunos posibles objetivos o fines de la auditoría pueden ser los siguientes:
» Determinar la conformidad o no de los elementos del sistema con los requisitos

observados.
» Evaluar la eficacia del sistema implantado para alcanzar los objetivos.
» Proporcionar al auditado la oportunidad de mejorar su sistema.
» Hacer que se cumplan los requisitos legales, reglamentarios y cualquier otro
requisito que resulte de interés para la organización.
» Realizar un seguimiento sobre la capacidad que tiene el sistema de gestión de
cumplir los objetivos definidos y abordar eficazmente los riesgos y oportunidades.

115
» Permitir la inscripción del sistema del organismo auditado en un registro.
7.4. Designación de los miembros del equipo auditor
El segundo paso para continuar con la planificación y preparación de la auditoría es

seleccionar un equipo auditor, teniendo en cuenta la competencia y cualificación
necesarias para la consecución de los objetivos perseguidos por la auditoría.
La norma ISO 19011 facilita la tarea de la selección, tanto del equipo de auditor como
del líder de dicho equipo. Esta norma, de carácter voluntario, describe la determinación
de las competencias de los auditores y la metodología de evaluación de estos.
Concretamente, el capítulo 7 de dicha norma orienta sobre los criterios para fijar cuál
es el nivel de competencia requerido para los miembros del equipo auditor, así como
los procesos de selección de estos.
El equipo de auditores no es siempre igual, depende de diversos factores que serán

tomados en consideración a la hora de configurar el grupo. Al decidir el número de
auditores y su cualificación, hay que tener en cuenta lo siguiente:
» Si se trata de una auditoría de un solo sistema de gestión, de una auditoría de un

sistema integrado de gestión (por ejemplo, calidad y medioambiente) o si se trata de
una auditoría parcial de un departamento de la organización (por ejemplo, el
departamento de compras) o bien de toda la organización en su conjunto.
» Los métodos de auditoría que se han seleccionado.
» Cuál es la competencia del equipo auditor que se precisa para conseguir los objetivos
de la auditoría.
» Cuáles son los objetivos, el alcance, los criterios y la duración prevista de la
auditoría.
» Cuáles son los requisitos normativos o de certificación, en su caso, según sea
aplicable, en virtud del tipo de organización de que se trate o del tipo de
certificación, además del lugar en el que radique la organización.
» La objetividad, es decir, autonomía e independencia del equipo auditor con respecto
a las actividades a auditar evitando conflictos de intereses.
» La capacidad de trabajo en equipo del equipo auditor para interaccionar con la
organización auditada y entre los propios auditores entre sí.
» El idioma de la auditoría y las características sociales y culturales del auditado.

116
El proceso de asegurar la competencia global del equipo auditor debería incluir los
siguientes pasos:
» Qué conocimientos y habilidades son necesarios para alcanzar los objetivos

perseguidos por la auditoría.
» Quiénes formarán parte del equipo auditor y qué habilidades y conocimientos se les
requieren.
En el caso de que el conocimiento y habilidades necesarios no se encuentren cubiertos

en su totalidad por los auditores del equipo, se pueden satisfacer incluyendo expertos
técnicos, si bien, normalmente esto no es muy frecuente, dado que los equipos de
auditores son pluridisciplinares; sin embargo, puede suceder y debe tenerse en
cuenta. En tal caso, dichos expertos técnicos deberían actuar bajo la dirección de un
auditor.
Los auditores en formación pueden incluirse en el equipo auditor, pero no deben

auditar sin una dirección u orientación.
Tanto el cliente de la auditoría como el auditado pueden requerir la sustitución de

miembros en particular del equipo auditor con argumentos razonables basados en los
principios de la auditoría descritos en el capítulo 4 de la norma ISO 19011 y la selección
y perfil de los auditores.
En el caso de que se den situaciones de conflicto de intereses (como que un

miembro del equipo auditor sea un antiguo empleado de la organización auditada o que
le haya prestado servicios de consultoría), se procedería a realizar una sustitución en
el equipo auditor.
7.5. Estudio de la información documentada relevante
Una vez planificada la auditoría, determinado quién compondrá el equipo auditor y,

además, quién lo liderará, y teniendo en mente los objetivos de esta y su alcance, se
llega al punto en que se hace preciso pasar a la revisión de la información
documentada pertinente.

117
Cuando se habla de información documentada en la auditoría se puede diferenciar lo

siguiente:
» Información documentada revisada.

» Información documentada generada.
En primer lugar, para preparar la auditoría hay que revisar toda la información
documentada referida al sistema de gestión auditado, siempre respetando los límites de
dicha auditoría. A este tipo de documentación se le denomina información
documentada revisada.
Generalmente, el sistema documental de un sistema de gestión, ya sea de calidad,

medioambiente, seguridad y salud laboral, etc. gira en torno a una pirámide
documental que vendría a ser como sigue:
» Manual de calidad (o medioambiente o seguridad y salud laboral, etc.).

» Manual de procedimientos de la calidad (o medioambiente o seguridad y salud
laboral, etc.).
» Instrucciones de trabajo o instrucciones operacionales.
» Registros, generados tras la puesta en funcionamiento del sistema, partiendo de los
documentos precedentes.
Otra documentación por revisar puede ser, por ejemplo, la siguiente:
» Permisos y licencias.
» Repertorios normativos y reglamentarios aplicables a la organización, que deberán
estar al día.
La revisión de este tipo de documentación es muy importante porque le va a permitir al

auditor comprender las actividades del auditado y también tener una visión general de
si esta información documentada es conforme con los criterios de auditoría, posibles
aspectos que pueden tener alguna deficiencia y sobre los que sería necesario poner más
atención, etc.
Sin embargo, la información documentada revisada no debería limitarse

exclusivamente a los documentos y registros del sistema de gestión, sino que debería

118
tener en cuenta, además, el contexto del auditado, incluyendo sus riesgos y

oportunidades, tamaño, naturaleza y complejidad.
Por otro lado, la información documentada generada en la auditoría englobaría,

por ejemplo, lo siguiente:
» El plan y el programa de auditoría.

» Listas de verificación para cada elemento del sistema de gestión.
» Formularios para recoger observaciones y formularios para consignar evidencias.
Este tipo de información documentada engloba las herramientas de trabajo más

importantes del equipo auditor, ya que le permiten no olvidarse nada por auditar y
llevar a cabo una tarea mucho más ordenada y sistemática, es decir, mucho más
eficiente a la hora de encontrar evidencias.
Toda la información documentada preparada para realizar la auditoría, así como la

generada durante la misma, debe conservarse hasta que finalice la auditoría o según se
especifique en el programa de auditoría. También es necesario que el equipo auditor
salvaguarde en todo momento cualquier documentación confidencial utilizada.
7.6. Determinación del plan de auditoría
Para llevar a cabo una auditoría es necesario previamente realizar una planificación
tomando un enfoque basado en riesgos. Es decir, se deben considerar los riesgos
que se pueden generar al realizar la auditoría para el auditado.
Para identificar estos riesgos se debe tener en cuenta la información

proporcionada por el programa de auditoría y por la información documentada que
aporta la organización. Un riesgo se podrá manifestar cuando algún miembro del
equipo auditor influya desfavorablemente en alguna de las disposiciones del auditado
(infraestructura, personal, medioambiente, seguridad y salud, etc.).
El plan de auditoría es donde se describen las actividades y de los detalles acordados

en una auditoría. Es decir, el plan describe la forma concreta en la que se realiza una
auditoría. Se trata, por tanto, de un documento más detallado que el programa de
auditoría. Mientras que el programa de auditoría especifica en términos generales el

119
número de auditorías a realizar en un período de tiempo, objetivos y criterios, etc., el

plan de auditoría especifica fechas, horarios, procesos a auditar, auditores, capítulos a
auditar, criterios de auditoria, etc.
Por cada una de las auditorías que se encuentren enumeradas en el programa de

auditoría se va a generar un plan de auditoría.
La responsabilidad de diseñar el plan de auditoría le compete al auditor líder. Una vez

elaborado, debe facilitarse a los siguientes:
» La organización auditada.
» El cliente o contratista de la auditoría, si es distinto del auditado.
» El equipo auditor.
Además, tiene que ser aprobado por el cliente de la auditoría y presentado a la

organización auditada antes de que comience el proceso de auditoría.
A la hora de planificar la auditoría es muy importante que el auditor líder considere los
riesgos que se pueden generar si no se consiguen los objetivos definidos para la
auditoría en el caso de que se realice una planificación ineficaz, así como los riesgos
creados por la propia auditoría. También hay que tener en cuenta todas las
oportunidades para mejorar la eficacia y eficiencia de la auditoría.
Respecto de los contenidos del plan de auditoría, es preciso que trate o haga
referencia, al menos, lo siguiente:
» Objetivos.
» Alcance.
» Personal involucrado, incluido el representante o representantes de la organización
auditada.
» Ubicaciones de la auditoría.
» Familiarización con las instalaciones y procesos de la organización auditada (por
ejemplo, mediante visitas a las instalaciones, revisión de las tecnologías, etc.).
» Métodos de auditoría y técnicas de muestreo adecuados.
» Información documentada de referencia.
» Componentes del equipo auditor y sus funciones y responsabilidades.

120
» Idioma empleado en la auditoría.

» Fecha de realización.
» Duración estimada de las actividades de auditoría.
» Programación de las reuniones con la dirección.
» Requisitos referidos a la confidencialidad.
» Acciones de seguimiento de la auditoría.
» Recursos disponibles.
» Distribución del informe de auditoría y fecha de emisión.
PLAN DE AUDITORÍA
Objetivo
Alcance
Criterios
Auditor jefe
Equipo auditor
Fecha Hora Actividad Observaciones Auditado Auditor
Elaborado por Revisado por: Aprobado por:
Fecha: Fecha: Fecha:
Tabla 2. Formato ejemplo de plan de auditoría.
7.7. Preparación de cuestionarios o check-list
Como ya se ha visto al principio de este capítulo, en aras de una auditoría metódica y

sistemática que responda a los criterios de eficiencia y eficacia que debe caracterizarla,
se hace necesario contar con una serie de herramientas que faciliten esto.

121
Las principales herramientas que se pueden utilizar son las siguientes:
» Check-list.
» Listas de comprobación.
A continuación, se verá algún ejemplo de check-list para un sistema de gestión de

calidad, que puede servir de guía para elaborar cualquiera de los documentos base para
la auditoría, ya que es tan sencillo como utilizar de guía la norma a certificar:
REQUISITO NORMATIVO: CUMPLIMIENTO EVIDENCIA
ISO 9001-2015 SÍ NO

¿La organización ha determinado las cuestiones
externas e internas que son pertinentes de su
propósito?
4.2. Comprensión de las necesidades y expectativas de
las partes interesadas
¿Se han determinado las partes interesadas del sistema

de gestión?
¿Se han determinado los requisitos pertinentes de las
partes interesadas en el sistema de gestión de la
calidad?
¿Se realiza el seguimiento de la información sobre
estas partes interesadas y sus requisitos pertinentes?
¿Se realiza la revisión de la información sobre estas
partes interesadas y sus requisitos pertinentes?
Tabla 3. Ejemplo de un check-list para un SGC.
Como puede observarse, la elaboración de este tipo de herramientas es algo sencillo y

requiere contar con la norma objeto de la certificación, si es que se trata de ese tipo de
auditorías, ya que servirá como guion perfecto para no dejarse nada en el tintero y
auditar de forma certera y metódica todo el sistema de gestión.
En el ejemplo anterior, se ha tomado como referencia la norma ISO 9001 en su versión

de 2015 y en una tabla se han dispuesto espacios para verificar si se cumple o no y, en
tal caso, un espacio para reflejar la evidencia de ello.

122
7.8. Registro de hallazgos en la auditoría
Una vez determinados los hallazgos en la auditoría, que pueden indicar la conformidad
o no conformidad con los criterios de auditoría, se tendrán que registrar las no
conformidades a subsanar y la evidencia que las apoya.
Esa documentación debe contener, al menos, lo siguiente:

» Fecha.
» Área afectada.
» Punto de la norma afectado.
» Descripción de la evidencia hallada.
» Personal involucrado.
» Firma del auditor.
Folio. Descripción de la no conformidad Punto de la norma Personal

ISO 9001:2015 involucrado
Especificar: Requerimiento (R)-
Incumplimiento (I)- Evidencia (E)
180 R. La norma ISO 9001:2015 en su apartado 5.3 Responsable

5.3 debe asegurarse de que las de RR. HH.
responsabilidades y autoridades están
definidas y son comunicadas dentro de la
organización.
I. No existe evidencia objetiva de la

comunicación y definición de las
responsabilidades del personal.
E. En la Empresa el responsable de RRHH no

ha definido las responsabilidades al personal
relacionado con la prestación de servicios de
igual manera no se le ha dado la formación
adecuada.
Tabla 4. Ejemplo de un hallazgo de auditoría.

123
Capítulo 8
El proceso de auditoría
Capítulo 8: El proceso de auditoría
8.1. Introducción
El proceso de auditoría es una de las etapas en la implantación y mantenimiento de los

sistemas de gestión más importante, ya que se determina que estos estén
correctamente implantados o que el mantenimiento de los sistemas se está
desarrollando adecuadamente.
Mediante el proceso de auditoría se comprueban las evidencias de que dicho

funcionamiento se ajusta tanto a la norma de referencia como a la forma en la que se ha
definido en los procedimientos que se iba a actuar.
En el ciclo de Deming o ciclo PDCA, las auditorías se encajarían en el apartado de

check, comprobar o chequear, de ahí que en este capítulo se trate de manera
pormenorizada el proceso de la auditoría. Para ello, se tendrán en cuenta las directrices
definidas en la norma ISO 19011:2018.
Se verá cómo la norma contempla la posibilidad de desarrollar auditorías remotas y no

únicamente auditorías in situ, se analizará la importancia de las reuniones de apertura
como elemento que introduce a la organización en el proceso que se va a desarrollar,
presentando el equipo auditor, explicando el desarrollo de la misma, los tiempos que se
van a invertir y asegurando el compromiso de la dirección para facilitar al equipo
auditor el desarrollo de la auditoría y todos aquellos documentos y registros que se
soliciten.
Se hablará también de cómo se desarrolla la comunicación en la auditoría y la ejecución de

esta conforme a la interpretación de los hallazgos vistos. El cierre de la auditoría conlleva el
informe final con los hallazgos, las no conformidades y observaciones detectadas y la
conclusión del auditor, que normalmente y dependiendo de la importancia de las no
conformidades llevará una planificación para su subsanación.
La siguiente figura muestra una visión general del proceso de auditoría.

125
Figura 1. Etapas del proceso de auditoría. Fuente: UNE-EN-ISO 19011:2018.
8.2. Etapas del proceso de auditoría
Los métodos para la realización de una auditoría dependerán de los objetivos, del
alcance, así como de los criterios definidos en la misma, teniendo además en cuenta su
duración y ubicación.
Usualmente no se utiliza únicamente un método de auditoría, sino que se optimiza

mejor la auditoría, así como su efectividad y resultado, aplicando varios. Se pueden
realizar auditorías en el sitio, remotamente o combinando ambos métodos. Lo
fundamental para utilizar cualquiera de estos métodos es basarse en los riesgos y
oportunidades asociados.

126
Así mismo, la realización de la auditoría conlleva que intervengan personas con diferentes
responsabilidades en el sistema de gestión de la organización.
Se definen las auditorías conforme a varios parámetros:
» Grado de interacción entre auditor y auditado:

o Con interacción del ser humano: involucran interacción entre el personal del
auditado y el equipo auditor.
o Sin interactuación del ser humano: no involucran interacción humana con
personas que representan al auditado, pero sí con el equipo, las instalaciones y la
información documentada.
» Ubicación del auditor:

o En el sitio: son llevadas a cabo en las instalaciones del auditado.
o Remota: son desarrolladas en otro sitio diferente a las instalaciones del auditado,
independientemente de la distancia.
Para que la auditoría que se realice de manera remota sea viable, podría depender del
grado de confianza entre el auditor y el auditado, es por ello por lo que los métodos a
utilizar deben ser equilibrados y adecuados para lograr los objetivos del programa.
Proceso de auditoría
Debe ser el auditor quien determine el proceso de auditoría, de tal manera que la
estructura de esta puede ser en dos procesos:
» Vertical: es una verificación detallada de todos los elementos del sistema

relacionados con un proceso o subproceso en particular. Se selecciona al azar, de
entre todo el trabajo realizado, un número determinado de procesos o subprocesos.
Este proceso incluye lo siguiente:
o Documentación del proceso o subproceso (procedimiento, instrucciones, órdenes
de trabajo, etc.).
o Capacitación del personal involucrado.
o Calibración y mantenimiento del equipo utilizado.
o Inspecciones y ensayos.
o Especificaciones de costes, materias primas, productos, etc.
o Condiciones ambientales de producción.

127
o Registros.
o Almacenamiento de datos.
o Informes, seguimientos, etc.
» Horizontal: es una verificación detallada de un elemento del sistema de gestión a

través de todas las actividades de la empresa. Por ejemplo:
o Capacitación del personal.
o Equipos.
o Patrones y material de referencia.
o Distribución de documentos.
Gestión del tiempo
La gestión del tiempo va unida a la planificación de la auditoría y es fundamental para

conseguir el éxito de esta. Por ello, el auditor experimentado sabe en todo momento
cómo acceder a lo fundamental de la auditoría, esquivando o evitando en todo
momento todo lo que le lleve a desviarse de los objetivos establecidos.
Formulación de preguntas
En el momento de preparar todo lo referente a los documentos de trabajo, el equipo

auditor debería tener en cuenta cuestiones como las que se presentan en el siguiente
listado:
» ¿Qué registro de auditoría será creado al usar este documento de trabajo?

» ¿Qué actividad de auditoría está relacionada con este documento de trabajo en
particular?
» ¿Quién será el usuario de este documento de trabajo?
» ¿Qué información es necesaria para preparar este documento de trabajo?
En las auditorías combinadas, el material de trabajo debe estar planificado con el

objetivo de que no se den duplicidades en la actuación de la auditoría. Así debería
tenerse en cuenta lo siguiente:
» Agrupar requisitos similares de diferentes criterios.

» Coordinar el contenido de las listas de verificación y cuestionarios relacionados.

128
Así mismo, en la planificación de la auditoría los documentos de trabajo deben

adaptarse, de manera que los elementos del sistema que estén dentro de la órbita de la
auditoría sean factibles, que se puedan mostrar en todo momento y en cualquier
formato.
Selección de fuentes de información
Las fuentes de información seleccionadas pueden variar de acuerdo con el alcance y

complejidad de la auditoría y pueden incluir las siguientes:
» Entrevistas con empleados y otras personas.

» Observación de actividades, del ambiente y de las condiciones que rodean el trabajo.
» Documentos, tales como políticas, objetivos, planes, procedimientos, normas,
instrucciones, licencias y permisos, especificaciones, dibujos, contratos y órdenes.
» Registros, tales como registros de inspección, actas de reunión, informes de auditoría,
registros de programa de monitoreo y los resultados de las mediciones.
» Resúmenes de datos, análisis e indicadores de desempeño.
» Información sobre los planes de muestreo del auditado y sobre los procedimientos
para los procesos de control de muestreo y de medición.
» Informes de otras fuentes, por ejemplo, retroalimentación de clientes, encuestas y
mediciones externas y otra información relevante de partes externas y calificación de
proveedores.
» Bases de datos y sitios web.
» Simulación y modelado.
Visitas a las instalaciones del auditado
» Planear la visita:
o Asegurar permiso y acceso a aquellos sitios de las instalaciones del auditado que
se van a visitar, de acuerdo con el alcance de la auditoría.
o Facilitar la información adecuada a los auditores (por ejemplo, a través de una
reunión informativa), en materia de seguridad, salud (por ejemplo, cuarentena),
salud ocupacional y normas culturales para la visita, incluyendo vacunación y
autorizaciones solicitadas y recomendadas, si se aplican.
o Confirmar con el auditado que cualquier equipo de protección individual (EPI)
requerido estará disponible para el equipo auditor, si se aplica.

129
o Excepto para auditorías no programadas y auditorías ad hoc, asegurar que el

personal que se va a visitar esté informado acerca de los objetivos y alcance de la
auditoría.
» Actividades en el sitio:
o Evitar cualquier interrupción innecesaria de los procesos operacionales.
o Hay que asegurar que el equipo auditor está usando adecuadamente el EPP
(equipo de protección personal).
o Hay que asegurar que los procedimientos de emergencia son comunicados (por
ejemplo, salidas de emergencia, puntos de encuentro, etc.).
o Programar la comunicación para minimizar la interrupción.
o Adaptar el tamaño del equipo auditor y el número de guías y observadores de
acuerdo con el alcance de la auditoría, a fin de evitar interferencia con los
procesos operacionales tanto como sea posible.
o No tocar o manipular ningún equipo, a menos que le sea explícitamente
permitido, aunque sea competente o tenga licencia para hacerlo.
o Si ocurre un incidente durante la visita al sitio, el líder del equipo auditor debería
revisar la situación con el auditado y, si es necesario, con el cliente de auditoría, y
debería llegar a un acuerdo respecto a si la auditoría debería ser interrumpida,
reprogramada o continuada.
o Si se van a tomar fotos o realizar vídeos, debe de solicitarse autorización a la gerencia
con anticipación y tener en cuenta los temas de seguridad y confidencialidad. Es
necesario evitar tomar fotografías de personas individuales sin su consentimiento
previo.
o Al sacar copias de documentos de cualquier clase, debe solicitarse permiso con
antelación y tener muy en cuenta los temas de confidencialidad y seguridad.
o Al tomar notas, debe evitarse recolectar información personal a menos que esto
sea requerido por los objetivos o criterios de la auditoría.
» Actividades de la auditoría virtual:

o Confirmar que el auditado y el equipo auditor están utilizando los requisitos
tecnológicos apropiados para poder realizar la auditoría: dispositivos, software,
etc.
o Realizar verificaciones técnicas antes de la realización de la auditoría.
o Revisar la situación con el auditado en el caso de que se produzca un incidente
durante la auditoría y llegar a un consenso para decidir si la auditoría debe
continuar, reprogramarse o pararse.

130
o Disponer de planes de contingencia (uso de tecnologías alternativas, interrupción

de la auditoría) y comunicarlos al auditado, incluyendo la disposición de tiempo
adicional si fuera necesario.
o Asegurar la confidencialidad y privacidad durante las pausas de la auditoría
(silenciando micrófonos, parando cámaras, etc.).
Realización de entrevistas
Las entrevistas son uno de los medios importantes para recolectar información y
deberían ser llevadas a cabo de manera tal que sean adaptadas a la situación y a la
persona entrevistada, ya sea frente a frente o por otros medios de comunicación.
Sin embargo, el auditor debería tener en cuenta lo siguiente:
» Efectuar las entrevistas a personas con niveles y funciones apropiadas que lleven a
cabo actividades o tareas que se encuentren dentro del alcance de la auditoría.
» Realizar las entrevistas durante horas normales de trabajo cuando sea posible, en el sitio
habitual de trabajo de la persona entrevistada.
» Necesidad de tranquilizar a la persona que se va a entrevistar antes y durante la
entrevista.
» Explicar la razón de la entrevista y cualquier nota tomada.
» Las entrevistas pueden ser iniciadas solicitando a las personas que describan su
trabajo.
» Seleccionar cuidadosamente el tipo de pregunta usada (por ejemplo, abierta,
cerrada, conducente).
» Los resultados de la entrevista deberían ser resumidos y revisados con la persona
entrevistada.
» Agradecer a la persona entrevistada su participación y cooperación.
Técnicas de muestreo
Cuando los registros, por ejemplo, son muy abundantes y es muy costoso o no es práctico
revisar toda la información disponible durante la auditoría o incluso geográficamente
puede estar muy desperdigada, se puede efectuar un muestro. El muestreo supone analizar
de manera aleatoria parte de los documentos para poder evaluar la evidencia a fin de poder
concluir las características que se intentan evidenciar.

131
El objetivo del muestreo en auditoría es proveer información tal que el auditor tenga la
confianza de que se podrán alcanzar los objetivos de la auditoría.
Se corren determinados riesgos en este proceso, ya que los resultados pueden no ser
representativos y las conclusiones pueden no ser reales.
El muestreo en auditoría típicamente involucra los siguientes pasos:
» Establecer los objetivos del plan de muestreo.

» Seleccionar el grado y composición de la población a ser muestreada.
» Seleccionar el método de muestreo.
» Determinar el tamaño de muestra a tomar.
» Llevar a cabo la actividad de muestreo.
» Compilar, evaluar, reportar y documentar resultados.
Al realizar el muestreo, se debería prestar atención a la calidad de los datos disponibles,

ya que un muestreo insuficiente y unos datos incorrectos no entregarán un resultado
útil.
La selección de una muestra apropiada debería estar basada tanto en el método de

muestreo como en el tipo de datos requeridos, por ejemplo, para inferir un patrón de
comportamiento particular en una población.
El informe sobre la muestra seleccionada podría tener en cuenta el tamaño de la muestra,

el método de selección y estimaciones sobre la base de la muestra y el nivel de confianza.
Muestreo basado en juicio
El muestreo basado en juicio depende del conocimiento, las habilidades y la experiencia

del equipo auditor.
Para realizar un muestreo basado en juicio, se puede tener en cuenta lo siguiente:

» Experiencia previa de auditoría dentro del alcance de la auditoría.
» Complejidad de los requisitos (incluyendo requisitos legales) para alcanzar los
objetivos de la auditoría.
» Complejidad e interacción de los procesos de la organización y los elementos del
sistema de gestión.

132
» Grado de cambio en la tecnología, factor humano o sistema de gestión.

» Áreas clave de riesgo previamente identificadas y áreas de mejora.
» Salidas para el monitoreo de los sistemas de gestión.
Un inconveniente del muestreo basado en juicio es que puede no haber un estimado

estadístico sobre el efecto de incertidumbre en los hallazgos y conclusiones de
auditoría alcanzados.
Muestreo estadístico
Si se toma la decisión de usar muestreo estadístico, el plan de muestreo debería estar

basado en los objetivos de la auditoría y en lo que se conoce acerca de las características
de la población general de la cual se están tomando las muestras.
» El muestreo estadístico usa un proceso de selección de muestra basado en la

teoría de probabilidad.
o El muestreo basado en atributos se usa cuando solo hay dos resultados
posibles de muestra para cada una de ellas (por ejemplo, correcto/incorrecto o
paso/fallo).
o El muestreo basado en variable se usa cuando los resultados de muestra se
dan en un rango continuo.
» El plan de muestreo debería tener en cuenta si hay probabilidad de que el

resultado que se está examinando sea basado en atributos o en variables. Por
ejemplo:
o Al evaluar conformidad de los formularios completados con los requisitos
establecidos en un procedimiento, se pude usar un enfoque de muestreo basado
en atributos.
o Al examinar la ocurrencia de incidentes de seguridad en alimentos o el número de
brechas de seguridad, un enfoque basado en variable probablemente sería más
apropiado.
» Los elementos clave que afectarán al plan de muestreo de auditoría son los
siguientes:
o El tamaño de la organización.
o El número de auditores competentes.
o La frecuencia de las auditorías durante el año.

133
o El tiempo de una auditoría individual.

o Cualquier nivel de confianza requerido externamente.
» Cuando se desarrolla un plan de muestreo estadístico, el nivel de riesgo de muestreo que

el auditor está dispuesto a aceptar es una consideración importante. Esto a menudo es
conocido como el nivel de confianza aceptado. Por ejemplo: un riesgo de muestreo de
5 % corresponde a un nivel de confianza aceptado de un 95 %. Un riesgo de
muestreo de 5 % significa que el auditor está dispuesto a aceptar el riesgo de que 5
de cada 100 (o 1 de 20) muestras examinadas no reflejarán los valores reales que
se encontrarían si toda la población fuera examinada.
» En este tipo de muestro, los auditores deberían documentar apropiadamente el

trabajo realizado. Esto debería incluir lo siguiente:
o Una descripción de la población que se quiere muestrear.
o Los criterios de muestreo usados para la evaluación (por ejemplo, qué es una
muestra aceptable).
o Los parámetros estadísticos y los métodos utilizados, el número de muestras y los
resultados obtenidos.
8.3. Reunión de apertura
El auditor líder, en las auditorías externas, debe iniciar la auditoria con una reunión de
apertura. En esta reunión se debe contar con el personal de la empresa, presididos por el
director general y el representante de la dirección (en las nuevas versiones de la 9001 y
14001 del 2015 y 45001:2018 no existe el representante de la dirección. Se asignan
responsabilidades y autoridades similares).
En esta reunión el auditor líder debe confirmar el alcance del proceso de auditoría y los
objetivos de esta, así como el plan de la auditoría que va a llevarse a cabo. En una
auditoría interna suele ser menos formal todo el proceso.
La reunión debe celebrarse con la dirección del auditado o, en su caso, con la presencia
de los responsables de las funciones o de los procesos en los que se van a auditar.
El auditor experto debe generar confianza y precisar desde el principio los conceptos
básicos de la auditoría, así como exponer la logística que se va a utilizar, presentar a

134
los miembros del equipo de auditoría, siguiendo con cuestiones más técnicas como las
siguientes:
» Revisión del alcance, los objetivos y el plan de auditoría y acordar los horarios de la
auditoria.
» Planificación: objetivos y alcance (áreas a las que afectará).
» Criterios de auditoría que se utilizarán.
» Canales de comunicación entre el equipo auditor y el auditado.
» Facilitar información al auditado sobre el progreso de la auditoría.
» Personas implicadas (equipo auditor, así como observadores, guías e intérpretes
cuando sea necesario).
» Plan de auditoría.
» Dejar claro la confidencialidad del proceso.
» Hay que aclarar la disponibilidad de los recursos e instalaciones que necesita el
equipo auditor por parte del auditado, así como también solventar las necesidades
que surjan por parte del equipo auditor.
Tras la reunión de apertura es interesante realizar una visita por las instalaciones de la
organización para que el auditor se haga una idea de sus procesos y ubicación.
8.4. Comunicación durante la auditoría
Durante la auditoría puede resultar necesario hacer arreglos formales de comunicación

entre el equipo auditor, así como con el auditado, el cliente de auditoría y los
potenciales entes externos (por ejemplo, los entes reguladores), especialmente cuando
los requisitos legales incluyen el informe obligatorio de no conformidades.
El equipo de auditoría debería reunirse periódicamente para intercambiar información,

evaluar el progreso de la auditoría y reasignar trabajo entre los distintos miembros de
este, según resulte necesario.
Durante la auditoría, el líder del equipo auditor debería comunicar periódicamente el

progreso de la auditoría y cualquier duda al auditado y cliente de auditoría, según sea
apropiado.

135
La evidencia recolectada durante la auditoría que sugiera un riesgo significativo

inminente para el auditado debería ser reportado sin demora a este y, cuando sea
apropiado, al cliente de auditoría. Cualquier inquietud acerca de temas que están fuera
del alcance de la auditoría debería ser notada y reportada al líder del equipo auditor,
para su posible comunicación al cliente de auditoría y al auditado.
Cuando la evidencia de auditoría disponible indique que no se pueden alcanzar los

objetivos de auditoría, el líder del equipo auditor debería reportar las razones al cliente
de auditoría y al auditado para determinar las acciones apropiadas. Tales acciones
pueden incluir la reconfirmación o modificación del plan de auditoría, cambios en los
objetivos o alcance de la auditoría o finalización de esta.
Cualquier necesidad de realizar cambios al plan de auditoría que se puedan hacer

patentes durante el progreso de las actividades de auditoría debería ser revisada y
aprobada, si es apropiado, tanto por la persona que gestiona el programa de auditoría
como por el auditado.
Asignación de roles y responsabilidades de guías y observadores
Los guías y observadores pueden acompañar al equipo de auditores con la previa

aprobación del auditor líder del equipo auditor, del cliente de auditoría o el auditado,
según se requiera. Estos no deberían influenciar o interferir en la realización de la
auditoría. Si esto no se puede asegurar, el líder del equipo auditor debería tener el
derecho de negar a los observadores la participación en ciertas actividades de esta.
Para los observadores, cualquier obligación relacionada con salud, seguridad,

confidencialidad y seguridad de la información debería ser manejada entre el cliente de
auditoría y el auditado.
Los guías nombrados por el auditado deberían ayudar al equipo auditor y actuar a
petición del líder del equipo. Entre sus responsabilidades se pueden enumerar las
siguientes:
» Ayudar a los auditores a identificar a los individuos que van a participar en las
entrevistas y confirmar los tiempos.
» Organizar la logística de acceso a instalaciones específicas del auditado.

136
» Asegurarse de que el equipo auditor y los observadores conocen y respetan las reglas
relacionadas con la seguridad de la ubicación y los procedimientos de emergencia.
El rol del guía también puede incluir lo siguiente:
» Ser testigo de la auditoría en nombre del auditado.

» Facilitar aclaraciones o ayudar a recolectar información.
8.5. Ejecución de la auditoría
Recopilación y verificación de la información
Durante la auditoría, la información relevante a los objetivos, alcance y criterios de esta,

incluyendo información relacionada con interfaces entre funciones, actividades y procesos,
debería ser recolectada por medio de un muestreo apropiado y verificada.
Solo la información verificable debería ser aceptada como evidencia de auditoría. La

evidencia de auditoría que conduce a hallazgos de esta debería ser registrada. Si
durante la recolección de la evidencia el equipo auditor conoce circunstancias o riesgos
nuevos o cambiantes, estos deberían ser tratados por el equipo de manera concordante.
Generación de hallazgos de auditoría
La evidencia de auditoría debería ser evaluada contra los criterios de esta a fin de
determinar los hallazgos. Estos pueden indicar conformidad o no conformidad con los
criterios de la auditoría. Cuando el plan así lo especifique, los hallazgos individuales
deberían incluir conformidad y buenas prácticas junto con su evidencia de soporte,
oportunidades de mejora y recomendaciones para el auditado.
Las no conformidades y su soporte de evidencia deberían ser registradas. Las no

conformidades pueden estar clasificadas. Estas deberían ser revisadas con el auditado a
fin de obtener reconocimiento de que la evidencia de auditoría es correcta y que las no
conformidades son entendidas. Se debería realizar todo intento de resolver opiniones
divergentes relacionadas con la evidencia o hallazgos de auditoría, cualquier punto sin
resolver debería ser registrado.

137
El equipo debería reunirse con la frecuencia que sea necesaria para revisar los hallazgos
a intervalos adecuados durante la auditoría.
Determinación de hallazgos de auditoría
Al determinar los hallazgos de auditoría, se debería considerar lo siguiente:
» Seguimiento de registros y conclusiones de auditorías previas.

» Requisitos del cliente de auditoría.
» Hallazgos que exceden la práctica normal u oportunidades de mejora.
» Tamaño de la muestra.
» Categorización (de haberla) de los hallazgos de auditoría.
Registro de conformidades
Para registros de conformidad, se debería tener en cuenta lo siguiente:
» Identificación de los criterios de auditoría contra los cuales se muestra la conformidad.

» Evidencia de auditoría para soportar la conformidad.
» Declaración de conformidad, si se aplica.
Registro de no conformidades
Para realizar los registros de no conformidad, se debería tener en cuenta lo siguiente:
» Descripción o referencia a los criterios de auditoría.

» Declaración de no conformidad.
» Evidencia de auditoría.
» Hallazgos de auditoría relacionados, si se aplican.

138
Auditoría Empresa:
_ Interna
Departamento auditado:
_ Certificación
_ Seguimiento Fecha: Nota N.º:
_ Renovación
Norma de aplicación:
Deficiencias observadas:
Categorización: _ No conformidad _ Desviación _ Observación
Firma auditor Firma auditado
Tabla 1. Formato ejemplo de nota de hallazgo.
Tratamiento de hallazgos relacionados con múltiples criterios
Durante una auditoría es posible identificar hallazgos relacionados con múltiples

criterios. Cuando un auditor identifica un hallazgo asociado con un criterio de una
auditoría combinada, el auditor debería considerar el posible impacto sobre criterios
correspondientes o similares de los otros sistemas de gestión.

139
Dependiendo de lo acordado con el cliente de auditoría, el auditor puede levantar lo

siguiente:
» Hallazgos separados para cada criterio.

» Un único hallazgo, combinando las referencias a múltiples criterios.
Dependiendo de los acuerdos con el cliente de auditoría, el auditor puede guiar al

auditado sobre cómo responder a dichos hallazgos.
Preparación de conclusiones de auditoría
El equipo auditor debería reunirse antes de la reunión de cierre con el siguiente fin:
» Revisar los hallazgos de la auditoría y cualquier otra información apropiada

recopilada durante la auditoría frente a los objetivos de esta.
» Llegar a un acuerdo respecto a las conclusiones, teniendo en cuenta la incertidumbre
inherente en el proceso de auditoría.
» Preparar recomendaciones, si esto está especificado en el plan de auditoría.
» Discutir el seguimiento a la auditoría, según sea aplicable.
Las conclusiones de auditoría pueden tratar aspectos tales como los siguientes:
» El grado de conformidad con los criterios establecidos y la robustez del sistema de

gestión, incluyendo la efectividad de este para cumplir con los objetivos definidos en
el plan.
» La efectiva implementación, mantenimiento y mejora del sistema de gestión.
» La capacidad del proceso de revisión por la dirección de asegurar la continua
idoneidad, capacidad, efectividad y mejora del sistema de gestión.
» Logro de los objetivos de auditoría, cobertura del alcance y cumplimiento con los
criterios de esta.
» Causas raíz de los hallazgos, si está especificado en el plan.
» Hallazgos similares encontrados en diferentes áreas auditadas con el propósito de
identificar tendencias.
Si el plan de auditoría así lo especifica, las conclusiones de la auditoría pueden llevar a

recomendaciones para la mejora o futuras actividades de auditoría.

140
8.6. Reunión de cierre
Se debería llevar a cabo una reunión de cierre, facilitada por el líder del equipo auditor,
para presentar los hallazgos y conclusiones de la auditoría. Entre los participantes de la
reunión de cierre se deberían encontrar la gerencia del auditado y, cuando sea
apropiado, aquellos responsables de las funciones o procesos que han sido auditados.
También pueden incluir al cliente u otras partes interesadas pertinentes. Si es
necesario, el líder del equipo auditor debería prevenir al auditado de las situaciones
encontradas durante la auditoría que pudieran disminuir la confianza en las
conclusiones de esta.
Si está definido en el sistema de gestión o por acuerdo con el cliente de auditoría, los
participantes deberían llegar a un acuerdo sobre el intervalo de tiempo para que el
auditado presente un plan de acción para dar tratamiento a los hallazgos de esta.
El grado de detalle debería ser consistente con la familiaridad del auditado con el
proceso de auditoría. Para algunas situaciones de auditoría, la reunión puede ser formal
y las actas, incluyendo los registros de asistencia deberían conservarse. En otros casos,
como en el caso de auditorías internas, la reunión de cierre es menos formal y puede
consistir solo en comunicar los hallazgos y conclusiones.
Según sea apropiado, se debe explicar lo siguiente al auditado durante la reunión de cierre:
» Que la evidencia de auditoría recolectada está basada en una muestra de la

información disponible.
» El método de reporte.
» El proceso de manejo de hallazgos de auditoría y las posibles consecuencias.
» Presentación de los hallazgos y conclusiones de auditoría de tal manera que sean
comprendidas y reconocidas por la gerencia del auditado.
» Cualquier actividad posauditoría relacionada (por ejemplo, la implementación de
acciones correctivas, manejo de quejas de auditoría, proceso de apelación, etc.).
Cualquier opinión divergente relativa a los hallazgos de la auditoría o a las conclusiones

entre el equipo auditor y el auditado deberían discutirse y, si es posible, resolverse. Si
no se resolvieran, las dos opiniones deberían registrarse.

141
Si los objetivos de la auditoría así lo especifican, se pueden presentar recomendaciones

de mejora. Se debería enfatizar que dichas recomendaciones no son obligatorias.
Preparación del informe de auditoría
El líder del equipo auditor debería reportar los resultados de acuerdo con los
procedimientos definidos en el programa de auditoría.
El informe de auditoría debería facilitar un registro completo, exacto, conciso y claro de

la auditoría y debería incluir o hacer referencia a lo siguiente:
» Los objetivos.
» El alcance, particularmente la identificación de las unidades de la organización y de
las unidades funcionales o los procesos auditados.
» Identificación del cliente.
» Identificación del equipo auditor y los participantes del auditado en la auditoría.
» Las fechas y los lugares donde se realizaron las actividades de auditoría.
» Los criterios.
» Los hallazgos de la auditoría y la evidencia relacionada.
» Las conclusiones.
» Una declaración sobre el grado en el cual se han cumplido los criterios de la auditoría.
El informe de la auditoría también puede incluir o hacer referencia a lo siguiente, según

sea apropiado:
» El plan de auditoría, incluyendo la programación de tiempos.

» Un resumen del proceso, incluyendo cualquier obstáculo encontrado que pueda
disminuir la confianza en las conclusiones de la auditoría.
» Confirmación de que se han alcanzado los objetivos de esta dentro del alcance, de
acuerdo con el plan de auditoría.
» Áreas no cubiertas incluidas dentro del alcance.
» Un resumen de las conclusiones de la auditoría y los principales hallazgos que las
soportan.
» Cualquier opinión divergente sin resolver entre el equipo auditor y el auditado.
» Oportunidades de mejora, si está especificado en el plan de auditoría.
» Buenas prácticas identificadas.
» Planes de acción acordados, si los hubiese.

142
» Una declaración de la naturaleza confidencial de los contenidos.

» Cualquier implicación para el programa de auditoría o auditorías posteriores.
» La lista de distribución del informe de auditoría.
Distribución del informe de auditoría
El informe de auditoría debería ser emitido dentro de un período de tiempo acordado.

En caso de demoras, las razones deberían ser comunicadas a la persona que gestiona el
programa de auditoría.
El informe debería estar fechado, revisado y aprobado, según aplique, de acuerdo con
los procedimientos del programa de auditoría.
El informe debería entonces ser distribuido a las partes interesadas pertinentes

definidas en el programa o en el plan de auditoría.
Finalización de la auditoría
La auditoría finaliza cuando todas las actividades planeadas hayan sido llevadas a cabo
o acordadas de otro modo con el cliente de auditoría (puede presentarse una situación
inesperada que no permita que la auditoría sea completada de acuerdo con el plan).
Los documentos pertenecientes a la auditoría deberían conservarse o destruirse de

común acuerdo entre las partes participantes y de acuerdo con los procedimientos del
programa de auditoría y los requisitos aplicables.
Salvo que sea requerido por ley, el equipo auditor y los responsables de la gestión del
programa de auditoría no deberían revelar el contenido de los documentos, cualquier
otra información obtenida durante la auditoría, ni el informe de esta a ninguna otra
parte sin la aprobación explícita del cliente y, cuando sea apropiado, la del auditado. Si
se requiere revelar el contenido de un documento de la auditoría, el cliente y el
auditado deberían ser informados tan pronto como sea posible.
Las lecciones aprendidas a raíz de la auditoría deberían ser incluidas en el proceso de

mejora continua del sistema de gestión de las organizaciones auditadas.

143
Realización de seguimiento a la auditoría
Dependiendo de los objetivos de la auditoría, las conclusiones pueden indicar la necesidad

de acciones correctivas, preventivas o de mejora. Tales acciones generalmente son
decididas y emprendidas por el auditado en un intervalo de tiempo acordado. Según sea
apropiado, el auditado debería mantener informada a la persona que gestiona el programa
de auditoría y al equipo auditor acerca del estatus de estas acciones.
La finalización y efectividad de estas acciones debería ser verificada. Esta verificación

puede ser parte de una auditoría posterior.
AENOR (2018). Norma Internacional ISO 19011: Directrices para la auditoría de los
sistemas de gestión. Madrid: AENOR.

144
Capítulo 9
Informe y seguimiento de
las auditorías
Capítulo 9: Informe y seguimiento de las auditorías
9.1. Introducción
A lo largo de los capítulos precedentes se ha definido y podido comprobar cómo

transcurría el proceso al completo de las auditorías. En este último tema, se va a ver
cómo finaliza la auditoría, cuyo eje principal engloba dos puntos fundamentales:
» El informe final de auditoría.

» El seguimiento de la auditoría.
El líder del equipo auditor es el responsable de preparar el informe de auditoría, que

debe reflejar, de forma precisa, las conclusiones extraídas durante todo el proceso.
De hecho, se puede decir que la eficacia de la auditoría y el alcance de los objetivos de

esta, dependen en gran medida de la cuidadosa preparación del informe y de su
adecuada comunicación y distribución.
Por tanto, en este capítulo se verá en detalle cómo se elabora el informe de auditoría, es
decir, se especificará cómo debe ser su estructura y contenido.
También se analizará el diálogo que se establece entre auditores y auditados en esta

fase, cómo intervienen unos y otros y cómo interactúan.
Y, por último, se hablará de cómo realizar el seguimiento de las auditorías tomando

como base las directrices definidas en la norma ISO 19011.
9.2. Fase final de la auditoría: relaciones entre auditado y

equipo auditor
Durante la auditoría, el líder del equipo auditor comunicará cualquier progreso,

hallazgo o inquietud a la organización auditada.
Cualquier necesidad de cambios en el alcance de la auditoría que pueda evidenciarse a

medida que esta progresa, se revisa con la contraparte y son aprobados por él.

146
Durante la auditoría, el equipo auditor registra el cumplimiento o incumplimiento de

cada uno de los requisitos y las correspondientes evidencias en la lista de verificación o
check-list o cualquier otra herramienta utilizada para recabar los datos precisos, para
posteriormente elaborar el informe.
El registro de las evidencias en la lista de verificación, especialmente cuando configuran

una no conformidad, debe tener en cuenta lo siguiente:
» Señalar claramente el hecho (por ejemplo, el documento y su versión, números de

registro, fechas, datos, etc.).
» Evitar ser una opinión, algo subjetivo.
» Identificarse directamente con el requisito aplicable (por ejemplo, requisito,
procedimiento, etc.)
» Las situaciones que pueden conformar una no conformidad son planteadas a los
interlocutores de la organización durante el transcurso de la auditoría, dando la
oportunidad de expresar sus opiniones y realizar todo el esfuerzo posible para
resolver en caso de ocurrir cualquier opinión divergente.
» El equipo auditor analiza los registros y observaciones in situ, mediante las cuales, y
basándose en evidencias objetivas, se verifica si se está operando de acuerdo con los
requisitos de la norma en la que se basa la auditoría.
» En el caso de que el auditor jefe lo considere necesario, se realizarán reuniones del
equipo auditor durante la auditoría.
» Es preciso verificar el cumplimiento del plan de auditoría y la necesidad de
modificaciones a este, en su caso.
» Se plantean dudas de los auditores o expertos para consultar a la organización si es
necesario.
» Es importante homogeneizar los criterios del equipo auditor, en aras de la mayor
objetividad posible.
Tras haber finalizado la auditoría in situ, es preciso tener una reunión del equipo
auditor donde se analizan las evidencias encontradas y se tratan con el auditor jefe las
oportunidades de mejora y no conformidades detectadas. Seguidamente, él redacta un
listado de los hallazgos detectados identificando claramente la evidencia
correspondiente y qué requisito es aplicable.
Finalizada la reunión del equipo auditor, el auditor jefe dirige la reunión de cierre con
la organización, con el objeto de trasmitir las evidencias de conformidad y no

147
conformidad detectadas. En esta reunión toman parte la dirección de la organización,

así como los interlocutores designados por la dirección y el equipo auditor.
El auditor jefe debe llevar adelante la reunión y abstenerse de cualquier observación

sobre el resultado de la auditoría. También debe:
» Recordar los objetivos de la auditoría ya mencionados en la reunión de apertura.
» Agradecer la asistencia y cooperación con el equipo auditor.
» Recordar el carácter de muestreo de la auditoría, ya que es importante que la
organización lo tome en consideración.
» Explicar de forma clara y comprensible a los interlocutores designados por esta la
manera en la que deben tratarse las no conformidades y los pasos que la
organización tiene que seguir para salvarlas.
» Responder a las preguntas y observaciones realizadas por la organización.
» En caso de recibir cualquier opinión divergente relativa a los hallazgos de la
auditoría, se clarifican con las contrapartes y, si es posible, se resuelven. Si no se
resolvieran, las dos opiniones se registran posteriormente en el informe de
auditoría.
» Entonces ya es necesario realizar la firma del listado de las evidencias detectadas,
dejando copia en la organización.
» Cerrar la reunión dando por finalizada la auditoría.
Una vez finalizada la auditoría, se deben plasmar documentalmente los resultados

obtenidos en la misma.
El informe de auditoría es elaborado bajo la dirección y supervisión del líder del

equipo auditor, que es el responsable de que este sea preciso, veraz y completo, ya que
debe ir acompañado de la fecha y de su firma.
Es fundamental que dicho informe observe ciertos principios:
» Corrección formal (en el estilo, sintaxis y, por supuesto, en la ortografía).

» Rigurosidad en su contenido.
» Claro y directo, en cuanto a observaciones y conclusiones.
» Conciso y oportuno.
» Objetivo respecto a los hechos observados.

148
Habitualmente, se lleva a cabo su presentación en la reunión de cierre de auditoría. Sin

embargo, si se da el caso de que esto no es posible por no disponer de suficiente tiempo
o que por circunstancias, las que fueran, su presentación en dicha reunión no
procediera, se habilitaría un plazo concreto, no más allá de cinco días hábiles después
de la auditoría.
Este informe contendrá como mínimo la siguiente información:
» Objeto y alcance de la auditoría.

» Contenido detallado del plan de auditoría.
» Identificación del cliente de la auditoría, de los componentes del equipo auditor y de
los representantes del auditado en la auditoría.
» Fecha y ubicaciones de la auditoría.
» Hallazgos de auditoría y evidencias relacionadas.
» Conclusiones de la auditoría.
» Declaración del grado en el que se han cumplido los criterios de auditoría.
» Indicar cualquier opinión divergente que pudiera quedar sin resolver entre el equipo
auditor y el auditado.
El informe de auditoría también puede hacer referencia, en caso apropiado, a los

siguientes aspectos:
» Lista de representantes del auditado.

» Resumen del proceso de auditoría, incluyendo la incertidumbre o cualquier
obstáculo que pudiera disminuir la confianza en las conclusiones de la auditoría.
» Áreas no cubiertas, aunque se encuentren fuera del alcance de la auditoría.
» Resumen que cubra las conclusiones y los hallazgos que las apoyan.
» Buenas prácticas identificadas.
» Planes de acción del seguimiento acordados, si los hubiera.
» Declaración sobre la naturaleza confidencial del contenido del informe.
» Cualquier implicación para tener en cuenta para el programa de auditoría o
auditorías posteriores.
Durante la realización de una auditoría, una vez que el auditor haya llegado a la
conclusión objetiva de que existe un incumplimiento con respecto a lo establecido en el
sistema o norma de referencia, deberá documentarlo y elaborar una nota de no

149
conformidad o desviación. Sin embargo, como se ha comentado antes, es

aconsejable discutir antes con los interlocutores de la organización en la auditoría esta
evidencia, de modo que a menudo se puede solventar más de una no conformidad, sin
llegar a reflejarlo documentalmente. Esto sucede a veces porque para el auditor hay
aspectos que no están tan claros como lo pueden estar para el personal de la
organización. Esto también puede traducirse en que una no conformidad se califique de
mera observación, por ejemplo, tras una breve charla con los responsables de la
organización.
Previo a la realización del informe de auditoría, el auditor deberá decidir el tipo de

hallazgo encontrado. Existen diferentes clasificaciones en función de la gravedad.
A continuación, se indica una de las categorizaciones más ampliamente utilizada,

pudiendo diferenciar entre:
» No conformidad.
» Desviación.
» Observación.
No conformidad: ausencia de un requisito de la norma, incumplimiento de un

requisito legal, incumplimiento sistemático de algún requisito de la organización.
Las no conformidades:
» Indican que el sistema de gestión falla.

» Afectan o pueden afectar directamente a la calidad del producto o servicio (en caso
de SGC), a los aspectos significativos del medioambiente (en caso de SGA), a los
riesgos que pueden afectar a la seguridad y salud de los trabajadores (SGSST), etc.
» Deben solventarse de inmediato.
Ejemplo: no se han corregido las deficiencias del sistema halladas en la auditoría

precedente, es decir, no se han subsanado las no conformidades encontradas
anteriormente.
Desviación: defecto más leve del sistema de gestión respecto a los requisitos de la norma
con que se audita. Se trata de un incumplimiento puntual de algún requisito de la norma o
de la organización.

150
Las desviaciones:
» Tratan de fallos del sistema esporádicos, no sistemáticos ni repetidos.

» No afectan directamente a la calidad del producto o servicio (SGC), ni tampoco a los
aspectos significativos medioambientales (SGA) o a riesgos importantes para la
seguridad y salud de los trabajadores (SGSST), etc.
» Deben ser subsanados, pero no resulta tan urgente hacerlo de forma inmediata.
Ejemplo: detección de variaciones sin mucha relevancia en la ejecución de un

procedimiento documentado.
Observación: circunstancia que no incumple un requisito de la norma o del cual no se

tiene una evidencia objetiva, pero que puede ocasionarlo en algún momento futuro si
no se corrige.
Las observaciones:
» Son indicativos de malas prácticas y pueden ser oportunidades de mejora.

» No necesitan de acciones correctoras. Requieren un análisis y que la organización
auditada tome acciones si es preciso, pero no es necesario someter dichas acciones al
equipo auditor.
Ejemplo: los indicadores definidos para el seguimiento y medición de los procesos

pueden resultar insuficientes para demostrar su capacidad para cumplir los requisitos
especificados.
Estas notas deben ser elaboradas muy conscientemente, manifestando solamente los
hechos encontrados y cuál es, sin lugar a duda, el requerimiento que incumplen, para lo
cual el equipo auditor ha de tomarse suficiente tiempo de reflexión.
Cada nota de no conformidad se ha de redactar de forma clara y concisa, de tal suerte

que no solo sirvan para informar de los incumplimientos a la empresa, sino que,
además, de ellas se desprendan cuáles son los pasos que seguir por la organización para
solucionar o corregir la no conformidad. Son documentos que han de servir, asimismo,
de información para el auditor (puede no ser el mismo) que ha de comprobar en visitas
posteriores si las no conformidades han sido solucionadas.

151
Cada nota de no conformidad podría seguir el formato que se propone a continuación a

modo de ejemplo:
Descripción de
Categorización
desviación o no Corrección y
Identificación de la no Cierre
conformidad con su acción
Área auditada conformidad
evidencia correctiva
correspondiente
Área auditada, Incumplimiento No Acuerdo de Constatación de
especificación observado, norma o conformidad acción para la efectividad de
aplicable (norma y procedimiento (NC) eliminar la no la acción
párrafo/ incumplido, evidencias Desviación (D) conformidad correctora
procedimiento, detectadas del detectada y prevista por el
Observación
fecha, núm. de incumplimiento y acción para auditor.
(O)
auditoría y núm. de frecuencia de aparición. eliminar su
nota). Las evidencias y las causa.
pruebas de hallazgo Ambas con los
deben ser objetivas y plazos y
establecidas en base a responsables
lo siguiente:
» Revisión
documental.
» Observación de
hechos.
» Entrevistas/ toma
de notas.
» Muestreo de
registros.
Firma del auditor y
fecha:
Tabla 1. Formato ejemplo de nota de no conformidad.
Es recomendable mantener una actitud proactiva a lo largo de la auditoría, tanto por

parte de la organización auditada y sus interlocutores como por la del equipo auditor y
el auditor líder. No se trata de mantener una contienda, sino de cooperar en el beneficio
de la organización. Los auditores no son inspectores que multan a la organización, sino
personas que colaboran en la mejora de la gestión de esta, detectando fallos que pueden
afectar a todo el sistema o a una parte de este y que aportan ideas que suponen
oportunidades de mejora.

152
Con respecto a la introducción de mejoras que resulten innovadoras, deben ser

consideradas muy cuidadosamente antes de incluir ninguna mención en el informe de
la auditoría. Esto puede dulcificarse incluyendo en el resumen ejecutivo del informe
alguna evaluación de la totalidad de la conformidad con los objetivos de la auditoría.
9.3. Características del informe final de auditoría
Como se ha indicado anteriormente, el informe final es el resultante de los trabajos

realizados en la auditoría y, por tanto, es crucial que cumpla con una serie de
requisitos, tanto formales como materiales, que se detallan a continuación:
» Presentación pulcra y esmerada. El informe debe aparecer con su título,

numeración correlativa y detallando los anexos que sean precisos. Su presentación
debe ser impecable, en papel de calidad, sin mácula y sin faltas ni de sintaxis ni
ortográficas. Es importante cuidar todo detalle, ya que finalmente el informe será la
cara visible, patente y permanente de la auditoría llevada a cabo. Resulta una
incongruencia que un auditor que, precisamente trabaja detectando fallos en las
organizaciones, presente un documento que los contenga.
» Redacción objetiva y aséptica. En el informe no deben realizarse afirmaciones

contundentes ni emplear lenguaje agresivo. Su redacción debe ser concisa,
comprensible y aséptica, huyendo de circunloquios y evitando que se puedan
producir malentendidos, ya que el objetivo fundamental es que el equipo auditor se
comunique y transmita adecuadamente sus impresiones a la organización auditada.
» Manejable. Esto quiere decir que debe facilitar su lectura y comprensión. Además,
debe ser conciso, lo más breve posible, lo que no significa que no sea exhaustivo y
completo, pero no debe contener aderezos innecesarios. A la organización auditada
le debe resultar fácil su manejo y comprensión, es decir, hay que dejar muy patente
lo más importante del informe (negrita, subrayado, listas de puntos, etc.).
» Exactitud. Objetividad, precisión y relación entre las conclusiones y los hallazgos

detectados. Las conclusiones deben sustentarse en hechos analizados y probados. Si
no es así, hay que indicar que la información ha sido facilitada, pero no verificada
por los auditores. Se trata, en definitiva, de evitar subjetividades, ambigüedades y
malentendidos innecesarios.

153
» Enjuiciar el sistema de gestión y no a las personas. Se trata de enjuiciar el

sistema, es decir, si este funciona o no, y no de buscar culpables personales de ello.
Las no conformidades son debidas a una mala comprensión de lo que debía hacerse
y no se hizo, no deben cargarse las tintas a título personal.
A continuación, se muestra otro ejemplo de recogida de datos en la auditoría:
Departamento, área o proceso Núm. de

auditado hoja
Núm.
Aspectos que verificar (notas iniciales del auditor)
auditoria:
Fecha
inicio:
Hora
inicio:
Fecha
final:
Hora final:
Auditor/es:
Observaciones / comentarios del auditor
No conformidades (indicar las evidencias del incumplimiento)

Descripción no conformidad y
Código (número) Calificación (1) Punto norma
evidencias
(1) Calificar N. C. según: Calificación total N. C.

1. No conformidad
2. Desviación
3. Observación Auditor/es
Tabla 2. Formato ejemplo de recogida de datos. Lista de verificación de auditoría.

154
9.4. Seguimiento de la auditoría
La auditoría termina cuando todas las actividades descritas en el plan de auditoría se

hayan realizado y el informe de la auditoría, una vez aprobado, se haya distribuido.
En dicho informe, lo normal es que se hayan evidenciado no conformidades y el
auditado tenga que realizar acciones correctivas o de mejora, según lo que se desprenda
del informe.
Salvo que sea requerido por la ley, el equipo auditor y los responsables de la gestión del
programa de auditoría no deberán revelar, sin la aprobación explícita del cliente de la
auditoría y, cuando sea apropiado, del auditado, lo siguiente:
» El contenido de cualquier documento de la auditoría.

» Cualquier otra información obtenida durante la auditoría.
» El informe de auditoría.
El seguimiento de la auditoría consiste en verificar que se ha establecido un plan

para dar respuesta a dicho informe y subsanar las no conformidades detectadas.
Este plan es recomendable que sea sencillo de llevar a cabo. Por ello, es importante
también que los términos de este y el origen de las no conformidades queden
suficientemente claros y el auditado sepa realmente lo que el auditor quiere ver que se
realice.
Luego, en el seguimiento de la acción correctiva, se verificará que se han solucionado

las deficiencias que se habían encontrado, que se ha eliminado la no conformidad, es
decir, la causa que la originó, y que la acción correctiva ha servido para que no exista la
posibilidad de que pueda reaparecer el problema en un futuro.
El auditado
» Presentará evidencias de haber corregido el problema detectado en la no

conformidad.
» Se presentará en el informe de solicitud de la acción correctiva.
» Podrá evidenciarlo, bien por medios documentales que certifican que la acción se ha
implantado o bien por medios físicos, como fotografías, muestras, etc.

155
Empresa:
Departamento:
_ No conformidad Fecha:
_ Desviación Norma de referencia:
_ Observación Código:
Descripción:
Apartado Norma: Firma auditor: Firma auditado:
Acción correctiva
Análisis de la causa:
Descripción de la acción:
Aprobada por: Responsable de Plazo de ejecución:

realización:
Seguimiento y comprobación de eficacia (adjuntar evidencias):
Valoración del auditor:

_ Aceptable
_ No aceptable
_ Cerrada Firma y fecha auditor:

_ Pendiente de evidencia
Tabla 3. Formato ejemplo de informe de solicitud de acciones correctivas.
El auditor
» Verificará que en el plazo que otorgó al auditado para resolver las no conformidades
se ha presentado el informe de solicitud de las acciones correctivas.
» Verificará que cada una de las evidencias que han dado lugar a la no conformidad
tiene la correlativa evidencia y el formato de solicitud de acción correctiva aprobado.

156
» Comprobará que la acción que se ha implantado se ajusta eficazmente a la solución

de la no conformidad y se ha eliminado su causa raíz.
» En caso extremo, cuando tenga dudas suficientes de que se ha realizado, el auditor
puede acudir a comprobar in situ la realización de las actuaciones propuestas.
Auditoría de seguimiento
En el caso de tratarse de auditorías de certificación se seguirá auditando el sistema de

gestión, de forma semestral o anual, hasta que llegue el momento de la recertificación
que se realiza a los tres años.
Durante las auditorías de seguimiento, se debe verificar, entre otras cosas, el estado
de las acciones correctivas llevadas a cabo.
En las auditorías anuales, es el auditor el que propone normalmente los departamentos

a auditar, de modo que no se audita toda la empresa, sino los puntos que se indican.
Esto no ocurrirá en la auditoría de recertificación cada tres años, donde la auditoría
será completa de toda la organización.

157

Manual

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Manual

Cargado por

Copyright:

Formatos disponibles

María Dolores Cima Cabal

Integración de Sistemas y Planificación y

© María Dolores Cima Cabal

© Universidad Internacional de La Rioja

© Edición y composición: UNIR

Actualizado: diciembre 2020

Impreso en España – Printed in Spain

Capítulo 1. Integración de los sistemas de gestión ………….….………………………………………..………..……..….…12

Capítulo 2. Vínculos entre las normas de los sistemas de gestión ....………….………..………………..….….28

Capítulo 5. Normativa aplicable a las auditorías……………………………………………………….…79

Capítulo 6.El perfil del auditor según la norma ISO 19011:2018…………………………………...93

Capítulo 7. Planificación y preparación de la auditoría………………………………………………..110

Capítulo 8. El proceso de auditoría………………………………………………………………………….125

Capítulo 9. Informe y seguimiento de las auditorías…………………………………………………...146

Hoy en día, las organizaciones se encuentran sumergidas en un entorno claramente

Además, la implementación de estas normas en las empresas ha derivado en una evolución

De hecho, esto permite determinar analogías evidentes en cuanto a la planificación y

También tenemos que tener en cuenta la diferencias sustanciales de cada sistema de

© Universidad Internacional de La Rioja (UNIR)

1.2. Los sistemas integrados de gestión

La incorporación dentro de la actividad y la gestión de las organizaciones de un grupo

De igual modo, vieron cómo introduciendo modificaciones en su gestión de la energía o

© Universidad Internacional de La Rioja (UNIR)

En este caso, es bien cierto que el desarrollo de normativa jugó un importantísimo

Estandarización de los requisitos

Para facilitar y homogeneizar toda la gestión de la empresa se avanza hacia una

© Universidad Internacional de La Rioja (UNIR)

La Estructura de Alto Nivel (HLS) no es una norma de sistema de gestión. Es una

Con esta estructura se trata de:

» Aumentar el alineamiento de las normas de los sistemas de gestión de ISO a través

De este modo nace el concepto de integración en la gestión, donde podemos

» Agiliza y gestiona con eficacia la información de la organización. Es decir, se debe ir

© Universidad Internacional de La Rioja (UNIR)

1.3. Compatibilidad de los sistemas

En cuanto a la normalización y compatibilidad de los sistemas de gestión y sus

» Integración de la información documentada. Se facilita la unificación del

» Integración de los diversos procesos, como pueden ser los procesos de

» Fijación de fórmulas de análisis de datos, lo cual afecta a toda la empresa, que

Actualmente podemos hablar de varios sistemas normalizados de gestión, las normas

© Universidad Internacional de La Rioja (UNIR)

1.4. Modelo de gestión integrado

» Necesidad de disponer de una información documentada que cualquier organización

Aspectos comunes para los sistemas de gestión

El ciclo Deming (planificar, hacer, comprobar y actuar) y la mejora continua, es el

© Universidad Internacional de La Rioja (UNIR)

» Liderazgo. El compromiso de la dirección es fundamental para lograr el éxito de la

» Enfoque a procesos. Es fundamental conseguir la eficiencia en la gestión, por lo

» Mejora. La mejora es una finalidad permanente dentro una organización, de forma

» Toma de decisiones informadas. El análisis de las diferentes evidencias

© Universidad Internacional de La Rioja (UNIR)

» Gestión de las relaciones. Las partes interesadas de una organización (tales

La integración de sistemas de gestión puede suponer unas ventajas para las

» Crea una mentalidad preventiva en la organización y sus procesos de manera conjunta.

© Universidad Internacional de La Rioja (UNIR)

SISTEMA DE GESTIÓN INTEGRADA

Figura 1. Sistema de gestión integrada.

1.5. Diferencias y similitudes entre los sistemas de gestión

» Normas de voluntariedad en su desarrollo.

© Universidad Internacional de La Rioja (UNIR)

ISO 9001 ISO 14001 ISO 45001 SGE21

1Nota: MA (Medioambiente) y RRLL (Relaciones Laborales).

Relaciones entre sistemas integrados de gestión

De todas formas, teniendo presente las similitudes y compatibilidades de las normas

© Universidad Internacional de La Rioja (UNIR)