Tema 5.

Actividades de auditoria

Las actividades de auditoría según la norma ISO 19011

Las actividades de auditoría que se realizan según la norma ISO 19011 en una secuencia
definida.
En la secuencia pueden variar las circunstancias de auditoría específicas.

 Realización de la reunión de apertura

El propósito que persigue la reunión de apertura es:

Confirmar el acuerdo de todas las partes interesadas sobre el plan de auditoría.

Presentar al equipo auditor.
Asegurarse de que se pueden llevar a cabo todas las actividades de auditoría planificadas.
Se debe celebrar una reunión de apertura con la dirección del auditado y, cuando sea
apropiado con los responsables de las funciones o de los procesos que se quieren auditar.
Durante la reunión se debe proporcionar la oportunidad de realizar preguntas.
El grado de detalle debe ser coherente con la familiaridad del auditado con el proceso de
auditoría. En muchos casos, en las auditorías internas de empresas pequeñas, la reunión
de apertura puede realizarse con un simple comunicado en el que se realiza una auditoría
y se explica la naturaleza de dicha auditoría.
Existen otras situaciones de auditoría según la norma ISO 19011, la reunión puede ser
formal y se debe mantener un registro de asistentes. El líder del equipo auditor debe presidir
la reunión, y deben considerarse los siguientes puntos, cuando sean apropiados:
Presentación de los participantes, incluyendo a los observadores y guías, además de
realizar una descripción general de las funciones.
Confirmación de los objetivos, alcance y criterios de la auditoría.
Confirmación del plan de auditoría y de otras disposiciones pertinentes con el auditado, con
fecha y hora de la reunión de cierre, cualquier reunión intermedia desde el equipo auditor y
la dirección del auditado, además de cualquier cambio de hora.
Se deben presentar los métodos que se van a utilizar para realizar la auditoría, incluyendo
la aclaración del auditado de que la evidencia de la auditoría se basa en una muestra de la
información disponible.
Presentar los métodos para gestionar los riesgos para la empresa que pueden resultar de
la presencia de los miembros del equipo auditor.
Confirmar que los canales de comunicación entre el equipo auditor y el auditado.
Confirmar que el auditado será informado con el progreso de la misma.
Confirmar que los recursos e instalaciones que necesita el equipo auditor se encuentran
disponibles.
Confirmar que los temas relacionados con la confidencialidad y la seguridad de la
información.
Confirmar los procedimientos pertinentes para el equipo auditor relativos a la salud y a la
protección ante emergencias y seguridad.
Información del método de presentación de la información sobre los hallazgos de la
auditoría incluyendo la categorización.
La información sobre todas las condiciones bajo las que se lleva a cabo la auditoría.
Información sobre la reunión de cierre.
Información sobre cómo tratar los posibles hallazgos durante la auditoría.
Información sobre cualquier sistema de retroalimentación del auditado sobre las
conclusiones obtenidas de la auditoría, se deben incluir las quejas y las apelaciones.

 Realización de la revisión de la documentación durante la auditoría

La documentación del auditado debe revisarse para:

Determinar la conformidad del sistema con los criterios de auditoría, con base en la
documentación disponible.
Reunir la información para apoyar las actividades de auditoría.
La revisión se debe combinar con otras actividades de auditoría y puede continuar a lo largo
de la auditoría, siempre que no perjudique a la eficiencia de la auditoría.

Según la norma ISO 19011 si no se puede proporcionar la documentación adecuada dentro

del periodo de establecido en el plan de auditoría, el líder del equipo auditor debe informar
tanto al responsable de la gestión de programa de auditoría como al auditado. Depende de
los objetivos y el alcance de la auditoría, se debe tomar una decisión sobre si la auditoría
debe continuar o suspenderse hasta que se resuelvan todos los problemas relativos a la
documentación.

 Comunicación durante la auditoría

Durante la auditoría, puede que sea necesario llegar a ciertos acuerdos formales para la
comunicación dentro del equipo auditor, además del auditado, el cliente de la auditoría y
con los organismos externos, de forma especial se debe contar con los requisitos legales
que exige una comunicación obligatoria de los no cumplimientos.

El equipo auditor debe reunirse de forma periódica para intercambiar información, evaluar
el progreso de la auditoría y reasignar las tareas entre los diferentes miembros del equipo
auditor, según sea necesario.

Durante la auditoría, el líder del equipo auditor debe comunicarse de forma periódica en
todos los progresos de la auditoría y cualquier inquietud del auditado, además se debe
contar con el cliente de la auditoría.
Las evidencias recopiladas durante la auditoría que sugieren un riesgo inmediato y
significativo para el auditado deben comunicarse sin demora al auditado y al cliente de la
auditoría. Cualquier inquietud que se encuentre relacionada con un aspecto externo al
alcance de la auditoría debe registrarse y notificarse al líder del equipo auditor, para la
comunicación entre el auditor y el auditado.
Cuando las evidencias de la auditoría indican que los objetivos de la misma no son
alcanzables, el líder del equipo auditor debe informar de los motivos que tienen los
auditados y deberán determinar las acciones apropiadas. Dichas acciones pueden incluir la
reconfirmación o la modificación del plan de auditoría, cambios en los objetivos de la
auditoría o en su alcance, y en la interrupción de dicha auditoría.

5.1. Preparación y distribución del reporte de auditoría

Preparación del reporte de auditoria

El líder del equipo auditor debiera reportar los resultados de auditorías de acuerdo con el
programa de auditorías. El reporte de auditoria debiera ofrecer un registro completo, exacto,
conciso y claro de la auditoria misma, y debiera incluir o hacer referencia a lo siguiente:
a) los objetivos de la auditoria;
b) el alcance de la auditoria, particularmente la identificación de las unidades o procesos
organizacionales y funcionales auditados;
c) la identificación del cliente de la auditoria;
d) la identificación del equipo auditor y los participantes del auditado en la auditoria;
e) las fechas y localizaciones donde las actividades de auditoria fueron conducidas;
f) los criterios de auditoria;
g) los hallazgos de auditoria y evidencias relacionadas;
h) las conclusiones de auditoria;
i) una declaración del grado en el cual los criterios de auditoria se hayan cumplido.
j) Cualquier opinión divergente y no resuelta entre el equipo auditor y el auditado;
k) Las auditorias por naturaleza son un ejercicio de muestreo; como tales existe el riesgo
de que las evidencias de auditorías examinadas no sean representativas.
El reporte de auditoria puede también incluir o hacer referencia a lo siguiente, conforme sea
apropiado:

dos que pudieran

decrementar la confiabilidad de las conclusiones de auditoria;

auditoria y de acuerdo con el plan de auditoria misma;

ctos clave
de disponibilidad de evidencias, recursos o confidencialidad, con justificaciones asociadas;
lusiones de la auditoria y los hallazgos principales de la
auditoria misma que lo soporten;

 Distribución del reporte de auditoria

El reporte de auditoria debiera ser publicado dentro del periodo de tiempo acordado. Si esto
se retrasa, debieran comunicarse las razones al auditado y a la persona administrando el
programa de auditorías.
El reporte de auditoria debiera estar fechado, revisado y aprobado, conforme sea
apropiado, y de acuerdo con el programa de auditorías.
El reporte de auditoria debiera ser distribuido a las partes interesadas relevantes y definidas
en el programa de auditorías o el plan de la auditoría.
Cuando se distribuya el reporte de auditoría, medidas apropiadas para asegurar
confidencialidad debieran considerarse.
5.2 Conducción y seguimiento de una auditoría
Los resultados de una auditoria pueden, dependiendo de los objetivos de la auditoria
misma, indicar la necesidad de correcciones o acciones correctivas, u oportunidades de
mejoramiento. Tales acciones son generalmente decididas y ejecutadas por el auditado y
dentro de un esquema de tiempo acordado. Conforme sea apropiado, el auditado debiera
mantener informado del estatus de estas acciones a(los) individuo(s) administrando el
programa de auditorías y/o al equipo auditor.
El completado y efectividad de estas acciones debieran ser verificados. Esta verificación
puede ser parte de una auditoria subsecuente. Los resultados debieran ser reportados al
individuo administrando el programa de auditorías y al cliente de la auditoria para revisiones
directivas/gerenciales.
5.3 Competencias y evaluaciones de auditores
La confiabilidad en el proceso de auditorías y las habilidades para el logro de los objetivos
depende de las competencias de aquellos individuos que estén involucrados en la
planeación y conducción de las auditorías mismas, incluyendo auditores y líderes de
equipos auditores. Las competencias debieran ser evaluadas a través de un proceso que
considere el comportamiento personal y las habilidades para aplicar conocimientos y
habilidades mismas logradas a través de educación, experiencia de trabajo, entrenamiento
en auditorías y experiencia en auditorías mismas. Este proceso debiera tomar en cuenta
las necesidades del programa de auditorías y sus objetivos. Algunos de los conocimientos
y habilidades descritos son comunes a los auditores de cualquier disciplina de sistemas de
administración; otros son específicos a disciplinas de sistemas de administración
individuales. No es necesario que cada auditor en un equipo auditor mismo cuente con las
mismas competencias; sin embargo, las competencias globales del equipo auditor
necesitan ser suficientes para el logro de los objetivos de auditoria.
La evaluación de las competencias de los auditores debiera ser planeada, implementada y
documentada para ofrecer un resultado que sea objetivo, consistente, justo y confiable. El
proceso de evaluación debiera incluir cuatro pasos principales, como sigue:
a) determinación de las competencias del personal auditor para cumplir con las
necesidades del programa de auditorías;
b) establecimiento de los criterios de evaluaciones;
c) selección de métodos de evaluación apropiados;
d) conducción de evaluaciones.
Los resultados del proceso de evaluaciones debieran ofrecer bases para lo siguiente:
s del equipo auditor como se describe;

Los auditores debieran desarrollar, mantener y mejorar sus competencias a través del
desarrollo profesional continuo y la participación regular en auditorías .
Un proceso para evaluación de auditores y líderes de equipos auditores es descrito .
Los auditores y líderes de equipos auditores debieran ser evaluados contra criterios
establecidos.
Las competencias requeridas del(los) individuo(s) administrando el programa de auditorías
son descritas .
5.3.1 Determinación de las competencias de los auditores
 Generalidades
En la decisión de las competencias necesarias para una auditoría, los conocimientos y
habilidades de los auditores relacionados con lo siguiente debieran considerarse:
a) el tamaño, naturaleza y complejidad de la organización a ser auditada;
b) las disciplinas de sistemas de administración a ser auditadas;
c) los objetivos y alcance del programa de auditorías;
d) otros requerimientos tales como, aquellos impuestos por organismos internos, cuando
sea apropiado;
e) el rol del procedo de auditorías en el sistema de administración del auditado;
f) la complejidad del sistema de administración a ser auditado;
g) la incertidumbre en el logro de los objetivos de auditoria;
h) otros requerimientos tales como, aquellos impuestos por el cliente de la auditoria u otras
partes interesadas relevantes cuando sea apropiado.

 Comportamiento personal
Los auditores debieran contar con cualidades necesarias que les permitan actuar de
acuerdo con los principios de auditorías como son descritos en la Cláusula/Sección 4. Los
auditores debieran exhibir un comportamiento profesional durante el desempeño de las
actividades de auditoria, incluyendo el ser:
a) ético, ej., justo, veraz, sincero, honesto y discreto;
b) de mente abierta, ej., deseando considerar ideas o puntos de vista alternativos;
c) diplomático, ej., táctico en el trato con la gente;
d) observador, ej., observando físicamente sus alrededores y actividades de forma activa;
e) perceptivo, ej., consciente y capaz de entender situaciones;
f) versátil, ej., que es capaz de adaptarse fácilmente a diferentes situaciones;
ISO 19011: 2018
30 ISO 2018 – Traducción sólo para capacitación
g) tenaz, ej., persistente, y enfocado al logro de objetivos;
h) decisivo, ej., que es capaz de alcanzar conclusiones oportunas en base a razonamiento
y análisis lógicos;
i) auto confiable, ej., que es capaz de actuar y funcionar en forma independiente y a la vez
interactuar en forma efectiva con otros;
j) actuar con fortaleza, ej., que es capaz de actuar responsable y éticamente, aunque estas
acciones no siempre sean populares y puedan algunas veces resultar en desacuerdo ó
confrontación;
k) abierto a mejoramientos, ej., deseando aprender de situaciones, y esforzándose por
mejores resultados de auditorias;
l) sensible culturalmente, ej., observador y respetuoso de la cultura del auditado;
m) colaborativo, ej., interactuar en forma efectiva con otros, incluyendo a los miembros del
equipo auditor y el
personal del auditado.

 Conocimientos y habilidades
o Generalidades
Los auditores debieran contar con:
a) conocimientos y habilidades necesarias para el logro de los resultados esperados de
auditorías que se espera ejecuten;
b) las competencias genéricas y nivel de conocimientos y habilidades de la disciplina, y
sector específicos.
Los líderes de equipo auditores debieran contar con conocimientos y habilidades
adicionales y necesarios para ofrecer liderazgo al equipo auditor

 Conocimientos y habilidades genéricas para auditores de sistemas de

administración
Los auditores debieran contar con conocimientos y habilidades en las áreas bosquejadas
abajo.
a) Principios de auditorías, procesos y métodos: los conocimientos y habilidades en esta
área permiten a los auditores asegurar que las auditorias son ejecutadas en forma
consistente y sistemática.
Los auditores debieran ser capaces de:
s principios
del enfoque basado en riesgos a las auditorias mismas;

(ya sea personalmente o a través

del uso de intérpretes);

revisando información documentada, incluyendo registros y datos;

 otros procesos y
las diferentes funciones, cuando sea apropiado;

ISO 19011: 2018

31 ISO 2018 – Traducción sólo para capacitación

hallazgos y conclusiones de auditorías mismas;

conclusiones de auditoria;

y seguridad (security) de la información.

b) Normas de sistemas de administración y otras referencias: los conocimientos y
habilidades en esta área permiten a los auditores entender el alcance de una auditoria y
aplicación de criterios de auditoria misma, y debieran cubrir los siguiente:
a o
guías/documentos de soporte usados para establecer criterios o métodos de auditorías
mismas;
istración por el auditado y
otras organizaciones;

múltiples;
dares o referencias de las diferentes situaciones de
auditorias;
c) La organización y su contexto: Los conocimientos y habilidades en esta área permiten a
los auditores comprender la estructura, negocios y prácticas administrativas del auditado, y
debieran cubrir lo siguiente:

de
administración;

stración, procesos y terminología relacionada,

incluyendo planeación, presupuesto y administración de individuos;
d) Requerimientos legales y contractuales y otros, que apliquen al auditado: conocimientos
y habilidades en esta área permiten a los auditores estar conscientes de, y dentro del
trabajo, los requerimientos legales y contractuales de la organización. Los conocimientos y
habilidades específicas de la jurisdicción o de las actividades o productos del auditado
debieran cubrir lo siguiente:

NOTA la concientización en requerimientos estatutarios y regulatorios no implica

experiencia legal y una auditoria de sistemas de administración no debiera ser tratada como
una auditoria de cumplimiento legal.

 Competencias de los auditores por disciplina y sector específicos

Los equipos de auditores debieran tener competencias apropiadas y en forma colectiva de
la disciplina y sector
específicos para auditar tipos de sistemas de administración y sectores particulares.
Las competencias de auditores en disciplinas y sectores específicos incluyen lo siguiente:
a) requerimientos y principios de sistemas de administración, y su aplicación;
b) fundamentos de la(s) disciplina(s) y sector(es) relacionados con las normas de sistemas
de administración y como se aplique por el auditado;
c) aplicación de métodos, técnicas, procesos y prácticas por disciplina y sector específico
que permitan al equipo auditor evaluar la conformidad dentro del alcance de auditoria
definido y generar hallazgos y conclusiones de auditoria apropiados
d) principios métodos y técnicas relevantes a la disciplina y sector tales como, que el auditor
pueda determinar y evaluar riesgos y oportunidades asociados con los objetivos de
auditoria.

 Competencias genéricas de líderes de equipos auditores

A fin de facilitar la conducción eficiente y efectiva de una auditoria, el líder del equipo de
auditoria debiera contar con las competencias para:
a) planear la auditoria y asignar tareas de auditoria misma de acuerdo con las competencias
específicas e individuales de los miembros del equipo auditor;
b) discutir aspectos clave estratégicos con la alta administración del auditado para
determinar si han considerado dichos aspectos clave cuando se evalúen sus riesgos y
oportunidades;
c) desarrollar y mantener una relación de trabajo colaborativa entre los miembros del equipo
auditor;
d) administrar el proceso de auditoría, incluyendo:
uso efectivo de recursos durante la auditoria misma;

nte la auditoria,
incluyendo el asegurar cumplimiento de los auditores con acuerdos relevantes de seguridad
y salud, y seguridad (security) mismos;

lictos, conforme sea necesario;

e) representar al equipo auditor en comunicaciones con el(los) individuo(s) administrando
el programa de auditorías, el cliente de la auditoria y el auditado;
f) dirigir al equipo auditor para alcanzar las conclusiones de auditoría;
g) preparar y completar el reporte de auditoria.

 Conocimientos y habilidades para auditorías de disciplinas múltiples

Cuando se auditen sistemas de administración de disciplinas múltiples, los miembros del
equipo auditor debieran contar con un entendimiento en las interacciones y sinergia entre
los diferentes sistemas de administración.
Los líderes del equipo auditor debieran entender los requerimientos de cada una de las
normas de sistemas de administración a ser auditados y reconocer los límites de sus
competencias en cada una de las disciplinas.
NOTA las auditorias de disciplinas múltiples hechas en forma simultanea pueden hacerse
como una auditoria combinada o como una auditoria de sistemas de administración
integrados que cubren disciplinas múltiples.

 Logro de competencias de auditores

Las competencias de los auditores pueden adquirirse usando una combinación de lo
siguiente:
a) La terminación exitosa de programas de entrenamiento que cubran los conocimientos y
habilidades genéricos de auditor:
b) experiencia en posiciones técnicas, administrativas o profesionales relevantes
involucrando el del ejercicio del juicio, toma de decisiones, solución de problemas y
comunicación con gerentes, profesionales, colegas, clientes y otras partes interesadas
relevantes;
c) educación/entrenamiento y experiencia en alguna disciplina y sector específicos de
sistemas de administración que contribuya al desarrollo de las competencias globales;
d) experiencia en auditorías lograda bajo la supervisión de un auditor en la misma disciplina.
NOTA La terminación exitosa de un curso de entrenamiento depende del tipo de curso
mismo. Para cursos con el componente de un examen, puede significar la aprobación del
examen mismo en forma exitosa. Para otros cursos, puede significar la participación y
terminado del curso mismo.

 Logro de competencias de líderes de equipos auditores

Un líder de equipo auditor debiera adquirir experiencia en auditorias adicional para lograr
las competencias descritasen .Esta experiencia adicional debiera ser conseguida
trabajando bajo la dirección y guía de otro líder de equipo auditor diferente.
5.3.2 Selección de métodos apropiados para evaluaciones de los auditores
La evaluación debiera conducirse usando uno o más de los métodos seleccionados de los
indicados en la Tabla 2.
En el uso de la Tabla 2, debiera notarse lo siguiente:
a) Los métodos bosquejados representan un rango de opciones y pueden no aplicarse en
todas las situaciones;
b) Los diferentes métodos bosquejados pueden diferir en su confiabilidad;
c) Debiera utilizarse una combinación de métodos para asegurar que los resultados sean
objetivos, consistentes, justos y confiables.

5.3.4 Mantenimiento y mejoramiento de competencias de los auditores

Los auditores y líderes de equipos auditores debieran mejorar continuamente sus
competencias. Los auditores debieran mantener sus competencias de auditoria a través de
la participación regular en auditorias de sistemas de administración y desarrollo profesional
continuo. Esto puede lograrse a través de medios tales como experiencia de trabajo
adicional, entrenamiento, estudio particular, coaching, asistencia a juntas, seminarios y
conferencias, u otras actividades relevantes.
El(los) individuo(s) administrando el programa de auditorías debiera(n) establecer
mecanismos adecuados para la evaluación continua del desempeño de los auditores, y
líderes de equipos auditores.
Las actividades de desarrollo profesional continuo debieran tomar en cuenta lo siguiente:
a) cambios en las necesidades de los individuos y los responsables de la organización para
conducir las auditorias;
b) desarrollos en la práctica de auditorías incluyendo el uso de tecnología;
c) normas o estándares relevantes incluyendo documentos de guía/soporte y otros
requerimientos;
d) cambios en el sector o disciplinas.