Programa de Auditoría

1. Roles y responsabilidades

1.1. a) Establecer la extensión del programa de auditoría de acuerdo con los objetivos pertinentes y cualquier restricción conocida.

1.2. b) Determinar las cuestiones externas e internas, y los riesgos y oportunidades que pueden afectar al programa de auditoría, e implementar acciones para abordarlos, integrando estas acciones en todas las actividades de auditoría pertinentes, según sea apropiado.

1.3. c) asegurar la selección de los equipos auditores y la competencia general para las actividades de auditoría, asignando roles, responsabilidades y autoridades, y respaldando al liderazgo, según sea apropiado

1.4. d) establecer todos los procesos pertinentes, incluyendo procesos para:

1.5. — la coordinación y calendario de todas las auditorías dentro del programa de auditoría;

1.6. — el establecimiento de los objetivos, los alcances y los criterios de auditoría de las auditorías, determinando los métodos de auditoría y la selección del equipo auditor;

1.7. — el establecimiento de procesos de comunicación externos e internos, según sea apropiado;

1.8. — la evaluación de los auditores;

1.9. — la resolución de conflictos y el tratamiento de las quejas;

1.10. — el seguimiento de la auditoría, según proceda;

1.11. — la presentación de informes al cliente de la auditoría y a las partes interesadas pertinentes, según sea apropiado.

1.12. e) determinar y asegurar la provisión de todos los recursos necesarios;

1.13. f) asegurarse de que se prepara y mantiene la información documentada apropiada, incluyendo los registros del programa de auditoría;

1.14. g) hacer el seguimiento, revisar y mejorar el programa de auditoría;

1.15. h) comunicar el programa de auditoría al cliente de la auditoría y, según sea apropiado, a las partes interesadas pertinentes.

2. Competencia de las personas responsables de la gestión

2.1. a) los principios

2.2. b) las normas de sistemas de gestión, otras normas pertinentes y documentos de referencia/orientación;

2.3. c) la información relativa al auditado y a su contexto (por ejemplo, las cuestiones externas/internas, las partes interesadas pertinentes y sus necesidades y expectativas, las actividades de negocio, los productos, servicios y procesos del auditado);

2.4. d) los requisitos legales y reglamentarios aplicables y otros requisitos pertinentes a las actividades de negocio del auditado.

3. Establecimiento de la extensión del programa de auditoría

3.1. a) el objetivo, alcance y duración de cada auditoría y el número de auditorías a llevar a cabo, el método de presentación de informes y, si aplica, el seguimiento de la auditoría;

3.2. b) las normas de sistemas de gestión u otros criterios aplicables;

3.3. c) el número, importancia, complejidad, similitud y las ubicaciones de las actividades que se van a auditar;

3.4. d) los factores que influyen en la eficacia del sistema de gestión;

3.5. e) los criterios de auditoría aplicables, tales como los acuerdos planificados para las normas de sistemas de gestión pertinentes, los requisitos legales y reglamentarios y otros requisitos con los que la organización está comprometida;

3.6. f) los resultados de auditorías internas o externas previas y revisiones por la dirección previas, si es apropiado;

3.7. g) los resultados de una revisión previa del programa de auditoría;

3.8. h) el idioma, las cuestiones culturales y sociales;

3.9. i) las inquietudes de las partes interesadas, tales como quejas de clientes, incumplimiento de los requisitos legales y reglamentarios y otros requisitos con los que la organización está comprometida, o cuestiones de la cadena de suministro;

3.10. j) los cambios significativos en el contexto del auditado o sus operaciones y los riesgos y oportunidades asociados;

3.11. k) la disponibilidad de las tecnologías de la información y comunicación para apoyar las actividades de auditoría, en particular el uso de métodos de auditoría remota (véase A.16);

3.12. l) la ocurrencia de sucesos internos y externos, tales como no conformidades de los productos o servicios, filtraciones en la seguridad de la información, incidentes en materia de seguridad y salud, actos delictivos o incidentes ambientales;

3.13. m) los riesgos y oportunidades de negocio, incluyendo las acciones para abordarlos.

4. Implementación del programa de auditoría (Generalidades)

4.1. a) comunicar las partes pertinentes del programa de auditoría, incluyendo los riesgos y oportunidades implicados, a las partes interesadas pertinentes e informarles periódicamente de su progreso, usando los canales de comunicación externos e internos establecidos;

4.2. b) definir los objetivos, el alcance y los criterios para cada auditoría individual;

4.3. c) seleccionar los métodos de auditoría (véase A.1);

4.4. d) coordinar y programar las auditorías y otras actividades pertinentes al programa de auditoría;

4.5. e) asegurarse de que los equipos auditores tienen la competencia necesaria

4.6. f) proporcionar los recursos necesarios individuales y globales para los equipos auditores (véase 5.4.4);

4.7. g) asegurar la realización de las auditorías de acuerdo con el programa de auditoría, gestionando todos los riesgos, oportunidades y cuestiones operacionales (es decir, eventos inesperados), según surjan durante el despliegue del programa;

4.8. h) asegurarse de que la información documentada pertinente relativa a las actividades de auditoría se gestiona y mantiene adecuadamente (véase 5.5.7);

4.9. i) definir e implementar los controles operacionales (véase 5.6) necesarios para el seguimiento del programa de auditoría;

4.10. j) revisar el programa de auditoría a fin de identificar oportunidades para mejorarlo

5. Selección y determinación de los métodos de auditoría

5.1. Las auditorías pueden llevarse a cabo en el sitio, remotamente, o como una combinación. El uso de estos métodos debería estar adecuadamente equilibrado, basándose, entre otros, en la consideración de los riesgos y oportunidades asociados.

5.2. Cuando dos o más organizaciones auditoras llevan a cabo una auditoría conjunta del mismo auditado, las personas responsables de la gestión de los diferentes programas de auditoría deberían estar de acuerdo en los métodos de auditoría y considerar las implicaciones para la provisión de recursos y la planificación de la auditoría. Si un auditado opera dos o más sistemas de gestión de disciplinas diferentes, pueden incluirse auditorías combinadas en el programa de auditoría.

6. Asignación de responsabilidades al líder del equipo auditor para una auditoría individual

6.1. La asignación debería hacerse con tiempo suficiente antes de la fecha programada de la auditoría, para asegurarse de la planificación eficaz de la auditoría.

6.2. Para asegurarse de la realización eficaz de las auditorías individuales, debería proporcionarse al líder del equipo auditor la siguiente información:

6.3. a) los objetivos de la auditoría;

6.4. b) los criterios de auditoría y la información documentada pertinente;

6.5. c) el alcance de la auditoría, incluyendo la identificación de la organización y sus funciones y los procesos que se van a auditar;

6.6. d) los procesos de la auditoría y los métodos asociados;

6.7. e) la composición del equipo auditor;

6.7.1. f) los detalles de contacto del auditado, las ubicaciones, el marco temporal y la duración de las actividades de auditoria que se llevaran a cabo;

6.8. g) los recursos necesarios para llevar a cabo la auditoría;

6.9. h) la información necesaria para evaluar y abordar los riesgos y oportunidades identificados para el logro de los objetivos de la auditoría;

6.10. i) la información que apoya a los líderes de los equipos auditores en sus interacciones con el auditado para la eficacia del programa de auditoría

7. Gestión y conservación de los registros del programa de auditoría

7.1. Los registros pueden incluir lo siguiente:

7.2. a) Los registros relacionados con el programa de auditoría, tales como:

7.3. — el calendario de auditorías;

7.4. — aquellos que abordan los riesgos y oportunidades y las cuestiones externas e internas pertinentes del programa de auditoría;

7.5. — los objetivos y la extensión del programa de auditoría;

7.6. — las revisiones de la eficacia del programa de auditoría.

7.7. b) Los registros relacionados con cada auditoría, tales como:

7.8. — los planes de auditoría y los informes de auditoría;

7.9. — los hallazgos y las evidencias objetivas de la auditoría;

7.10. — los informes de no conformidad;

7.11. — los informes de correcciones y acciones correctivas;

7.12. — los informes de seguimiento de la auditoría

7.13. c) Los registros relacionados con el equipo auditor que cubran temas tales como:

7.14. — la evaluación de la competencia y el desempeño de los miembros del equipo auditor;

7.15. — los criterios para la selección de los equipos auditores y los miembros del equipo y la formación de los equipos auditores;

7.16. — el mantenimiento y la mejora de la competencia.

8. Revisión y mejora del programa de auditoría

8.1. Las personas responsables de la gestión del programa de auditoría deberían asegurar lo siguiente:

8.2. — la revisión de la implementación global del programa de auditoría;

8.3. — la identificación de áreas y oportunidades para la mejora;

8.4. — la aplicación de cambios al programa de auditoría, si es necesario;

8.5. — la revisión del desarrollo profesional continuo de los auditores,

8.6. La revisión del programa de auditoría debería considerar lo siguiente:

8.7. a) los resultados y tendencias del seguimiento del programa de auditoría;

8.8. b) la conformidad con los procesos del programa de auditoría y con la información documentada pertinente;

8.9. c) la evolución de las necesidades y expectativas de las partes interesadas pertinentes;

8.10. d) los registros del programa de auditoría;

8.11. e) los métodos de auditoría alternativos o nuevos;

8.12. f) los métodos alternativos o nuevos para evaluar a los auditores;

8.13. g) la eficacia de las acciones para abordar los riesgos y oportunidades, y cuestiones internas y externas, asociados con el programa de auditoría;

8.14. h) los temas de confidencialidad y seguridad de la información relacionados con el programa de auditoría.

9. Objetivos

9.1. Se han establecido para dirigir la planificación y realización de auditorías y debería asegurarse de que el programa de auditoría se ha implementado eficazmente. Los objetivos del programa de auditoría deberían ser coherentes con la dirección estratégica del cliente de la auditoría y servir de apoyo a la política y los objetivos del sistema de gestión.

9.1.1. — identificar las oportunidades para la mejora del sistema de gestión y de su desempeño;

9.1.2. — evaluar la capacidad del auditado para determinar su contexto;

9.1.3. — evaluar la capacidad del auditado para determinar los riesgos y oportunidades, y para identificar e implementar acciones eficaces para abordarlos;

9.1.4. — cumplir todos los requisitos pertinentes, por ejemplo los requisitos legales y reglamentarios, los compromisos de cumplimiento, los requisitos de certificación con una norma de sistemas de gestión;

9.1.5. — obtener y mantener la confianza en la capacidad de un proveedor externo;

9.1.6. — determinar la idoneidad, la adecuación, y la eficacia continuas del sistema de gestión del auditado;

9.1.7. — evaluar la compatibilidad y la alineación de los objetivos del sistema de gestión con la dirección estratégica de la organización.

10. Determinación y Evaluación de los Riesgos y Oportunidades

10.1. RIESGOS:

10.2. La planificación.

10.3. b) los recursos, por ejemplo conceder insuficiente tiempo, equipos y/o formación para desarrollar el programa de auditoría o para realizar una auditoría;

10.4. c) la selección del equipo auditor, por ejemplo competencia global insuficiente para realizar auditorías eficazmente;

10.5. d) la comunicación, por ejemplo procesos/canales de comunicación externos/internos ineficaces;

10.6. e) la implementación, por ejemplo una coordinación ineficaz de las auditorías dentro del programa de auditoría, o no tener en cuenta la seguridad y confidencialidad de la información;

10.7. f) el control de la información documentada, por ejemplo determinación ineficaz de la información documentada necesaria requerida por los auditores y las partes interesadas pertinentes, fracaso a la hora de proteger adecuadamente los registros de auditoría para demostrar la eficacia del programa de auditoría;

10.8. g) el seguimiento, revisión y mejora del programa de auditoría, por ejemplo seguimiento ineficaz de los resultados del programa de auditoría;

10.9. h) la disponibilidad y la cooperación del auditado y la disponibilidad de evidencias a muestrear.

10.10. Las oportunidades para mejorar el programa de auditoría pueden incluir:

10.11. — permitir llevar a cabo múltiples auditorías en una única visita;

10.12. — minimizar el tiempo y las distancias viajando al sitio;

10.13. — igualar el nivel de competencia del equipo auditor con el nivel de competencia necesario para alcanzar los objetivos de la auditoría;

10.14. — alinear las fechas de la auditoría con la disponibilidad del personal clave del auditado.

11. Determinación de los recursos

11.1. a) los recursos financieros y de tiempo necesarios para desarrollar, implementar, gestionar y mejorar las actividades de auditoría;

11.2. b) los métodos de auditoría (véase A.1);

11.3. c) la disponibilidad individual y global de auditores y expertos técnicos que tengan la competencia apropiada para los objetivos particulares del programa de auditoría;

11.4. d) la extensión del programa de auditoría (véase 5.4.3) y los riesgos y oportunidades relacionados con el programa de auditoría (véase 5.3);

11.5. e) el tiempo y costos de transporte, alojamiento y otras necesidades de la auditoría;

11.6. f) el impacto de las diferentes zonas horarias;

11.7. g) la disponibilidad de tecnologías de la información y las comunicaciones (por ejemplo, los recursos técnicos requeridos para establecer una auditoría remota usando tecnologías que apoyen la colaboración remota);

11.8. h) la disponibilidad de las herramientas, la tecnología y los equipos requeridos;

11.9. i) la disponibilidad de la información documentada necesaria, según lo determine el establecimiento del programa de auditoría (véase A.5);

11.10. j) los requisitos relacionados con las instalaciones, incluyendo las autorizaciones y equipos de seguridad (por ejemplo, verificación de antecedentes, equipos de protección personal, capacidad para llevar ropa de sala limpia).

12. Definición de los objetivos, el alcance y los criterios para una auditoría individual

12.1. a) la determinación del grado de conformidad del sistema de gestión que se va a auditar, o partes del mismo, con los criterios de auditoría;

12.2. b) la evaluación de la capacidad del sistema de gestión para ayudar a la organización a cumplir los requisitos legales y reglamentarios pertinentes y otros requisitos con los que la organización está comprometida;

12.3. c) la evaluación de la eficacia del sistema de gestión para lograr sus resultados previstos;

12.4. d) la identificación de oportunidades para la mejora potencial del sistema de gestión;

12.5. e) la evaluación de la idoneidad y adecuación del sistema de gestión con respecto al contexto y a la dirección estratégica del auditado;

12.6. f) la evaluación de la capacidad del sistema de gestión para establecer y alcanzar los objetivos y abordar eficazmente los riesgos y oportunidades, en un contexto cambiante, incluyendo la implementación de las acciones relacionadas.

13. Selección de los miembros del equipo auditor

13.1. Un equipo auditor debería seleccionarse teniendo en cuenta las competencias necesarias para alcanzar los objetivos de la auditoría individual dentro del alcance definido. Si sólo hay un auditor, el auditor debería realizar todas las tareas aplicables a un líder de equipo auditor.

14. Gestión de los resultados del programa de auditoría

14.1. Las personas responsables de la gestión del programa de auditoría deberían asegurarse de que se realizan las siguientes actividades:

14.2. a) la evaluación del cumplimiento de los objetivos para cada auditoría dentro del programa de auditoría;

14.3. b) la revisión y aprobación de los informes de la auditoría relativos al cumplimiento del alcance y los objetivos de la auditoría;

14.4. c) la revisión de la eficacia de las acciones tomadas para tratar los hallazgos de auditoría;

14.5. d) la distribución de informes de auditoría a las partes interesadas pertinentes;

14.6. e) la determinación de la necesidad de alguna auditoría de seguimiento.

15. Seguimiento del programa de auditoría

15.1. Las personas responsables de la gestión del programa de auditoría deberían asegurar la evaluación de:

15.2. a) el cumplimiento de los calendarios y el logro de los objetivos del programa de auditoría;

15.3. b) el desempeño de los miembros del equipo auditor, incluyendo el líder del equipo auditor y los expertos técnicos;

15.4. c) la capacidad de los equipos auditores para implementar el plan de auditoría;

15.5. d) la retroalimentación de los clientes de la auditoría, de los auditados, de los auditores, de los expertos técnicos y de otras partes pertinentes;

15.6. e) la suficiencia y adecuación de la información documentada en todo el proceso de auditoría.