1. Roles y responsabilidades
1.1. a) Establecer la extensión del programa de auditoría de acuerdo con los objetivos pertinentes y cualquier restricción conocida.
1.2. b) Determinar las cuestiones externas e internas, y los riesgos y oportunidades que pueden afectar al programa de auditoría, e implementar acciones para abordarlos, integrando estas acciones en todas las actividades de auditoría pertinentes, según sea apropiado.
1.3. c) asegurar la selección de los equipos auditores y la competencia general para las actividades de auditoría, asignando roles, responsabilidades y autoridades, y respaldando al liderazgo, según sea apropiado
1.4. d) establecer todos los procesos pertinentes, incluyendo procesos para:
1.5. — la coordinación y calendario de todas las auditorías dentro del programa de auditoría;
1.6. — el establecimiento de los objetivos, los alcances y los criterios de auditoría de las auditorías, determinando los métodos de auditoría y la selección del equipo auditor;
1.7. — el establecimiento de procesos de comunicación externos e internos, según sea apropiado;
1.8. — la evaluación de los auditores;
1.9. — la resolución de conflictos y el tratamiento de las quejas;
1.10. — el seguimiento de la auditoría, según proceda;
1.11. — la presentación de informes al cliente de la auditoría y a las partes interesadas pertinentes, según sea apropiado.
1.12. e) determinar y asegurar la provisión de todos los recursos necesarios;
1.13. f) asegurarse de que se prepara y mantiene la información documentada apropiada, incluyendo los registros del programa de auditoría;
1.14. g) hacer el seguimiento, revisar y mejorar el programa de auditoría;
1.15. h) comunicar el programa de auditoría al cliente de la auditoría y, según sea apropiado, a las partes interesadas pertinentes.
2. Competencia de las personas responsables de la gestión
2.1. a) los principios
2.2. b) las normas de sistemas de gestión, otras normas pertinentes y documentos de referencia/orientación;
2.3. c) la información relativa al auditado y a su contexto (por ejemplo, las cuestiones externas/internas, las partes interesadas pertinentes y sus necesidades y expectativas, las actividades de negocio, los productos, servicios y procesos del auditado);
2.4. d) los requisitos legales y reglamentarios aplicables y otros requisitos pertinentes a las actividades de negocio del auditado.
3. Establecimiento de la extensión del programa de auditoría
3.1. a) el objetivo, alcance y duración de cada auditoría y el número de auditorías a llevar a cabo, el método de presentación de informes y, si aplica, el seguimiento de la auditoría;
3.2. b) las normas de sistemas de gestión u otros criterios aplicables;
3.3. c) el número, importancia, complejidad, similitud y las ubicaciones de las actividades que se van a auditar;
3.4. d) los factores que influyen en la eficacia del sistema de gestión;
3.5. e) los criterios de auditoría aplicables, tales como los acuerdos planificados para las normas de sistemas de gestión pertinentes, los requisitos legales y reglamentarios y otros requisitos con los que la organización está comprometida;
3.6. f) los resultados de auditorías internas o externas previas y revisiones por la dirección previas, si es apropiado;
3.7. g) los resultados de una revisión previa del programa de auditoría;
3.8. h) el idioma, las cuestiones culturales y sociales;
3.9. i) las inquietudes de las partes interesadas, tales como quejas de clientes, incumplimiento de los requisitos legales y reglamentarios y otros requisitos con los que la organización está comprometida, o cuestiones de la cadena de suministro;
3.10. j) los cambios significativos en el contexto del auditado o sus operaciones y los riesgos y oportunidades asociados;
3.11. k) la disponibilidad de las tecnologías de la información y comunicación para apoyar las actividades de auditoría, en particular el uso de métodos de auditoría remota (véase A.16);
3.12. l) la ocurrencia de sucesos internos y externos, tales como no conformidades de los productos o servicios, filtraciones en la seguridad de la información, incidentes en materia de seguridad y salud, actos delictivos o incidentes ambientales;
3.13. m) los riesgos y oportunidades de negocio, incluyendo las acciones para abordarlos.
4. Implementación del programa de auditoría (Generalidades)
4.1. a) comunicar las partes pertinentes del programa de auditoría, incluyendo los riesgos y oportunidades implicados, a las partes interesadas pertinentes e informarles periódicamente de su progreso, usando los canales de comunicación externos e internos establecidos;
4.2. b) definir los objetivos, el alcance y los criterios para cada auditoría individual;
4.3. c) seleccionar los métodos de auditoría (véase A.1);
4.4. d) coordinar y programar las auditorías y otras actividades pertinentes al programa de auditoría;
4.5. e) asegurarse de que los equipos auditores tienen la competencia necesaria
4.6. f) proporcionar los recursos necesarios individuales y globales para los equipos auditores (véase 5.4.4);
4.7. g) asegurar la realización de las auditorías de acuerdo con el programa de auditoría, gestionando todos los riesgos, oportunidades y cuestiones operacionales (es decir, eventos inesperados), según surjan durante el despliegue del programa;
4.8. h) asegurarse de que la información documentada pertinente relativa a las actividades de auditoría se gestiona y mantiene adecuadamente (véase 5.5.7);
4.9. i) definir e implementar los controles operacionales (véase 5.6) necesarios para el seguimiento del programa de auditoría;
4.10. j) revisar el programa de auditoría a fin de identificar oportunidades para mejorarlo
5. Selección y determinación de los métodos de auditoría
5.1. Las auditorías pueden llevarse a cabo en el sitio, remotamente, o como una combinación. El uso de estos métodos debería estar adecuadamente equilibrado, basándose, entre otros, en la consideración de los riesgos y oportunidades asociados.
5.2. Cuando dos o más organizaciones auditoras llevan a cabo una auditoría conjunta del mismo auditado, las personas responsables de la gestión de los diferentes programas de auditoría deberían estar de acuerdo en los métodos de auditoría y considerar las implicaciones para la provisión de recursos y la planificación de la auditoría. Si un auditado opera dos o más sistemas de gestión de disciplinas diferentes, pueden incluirse auditorías combinadas en el programa de auditoría.
6. Asignación de responsabilidades al líder del equipo auditor para una auditoría individual
6.1. La asignación debería hacerse con tiempo suficiente antes de la fecha programada de la auditoría, para asegurarse de la planificación eficaz de la auditoría.
6.2. Para asegurarse de la realización eficaz de las auditorías individuales, debería proporcionarse al líder del equipo auditor la siguiente información:
6.3. a) los objetivos de la auditoría;
6.4. b) los criterios de auditoría y la información documentada pertinente;
6.5. c) el alcance de la auditoría, incluyendo la identificación de la organización y sus funciones y los procesos que se van a auditar;
6.6. d) los procesos de la auditoría y los métodos asociados;
6.7. e) la composición del equipo auditor;
6.7.1. f) los detalles de contacto del auditado, las ubicaciones, el marco temporal y la duración de las actividades de auditoria que se llevaran a cabo;
6.8. g) los recursos necesarios para llevar a cabo la auditoría;
6.9. h) la información necesaria para evaluar y abordar los riesgos y oportunidades identificados para el logro de los objetivos de la auditoría;
6.10. i) la información que apoya a los líderes de los equipos auditores en sus interacciones con el auditado para la eficacia del programa de auditoría
7. Gestión y conservación de los registros del programa de auditoría
7.1. Los registros pueden incluir lo siguiente:
7.2. a) Los registros relacionados con el programa de auditoría, tales como:
7.3. — el calendario de auditorías;
7.4. — aquellos que abordan los riesgos y oportunidades y las cuestiones externas e internas pertinentes del programa de auditoría;
7.5. — los objetivos y la extensión del programa de auditoría;
7.6. — las revisiones de la eficacia del programa de auditoría.
7.7. b) Los registros relacionados con cada auditoría, tales como:
7.8. — los planes de auditoría y los informes de auditoría;
7.9. — los hallazgos y las evidencias objetivas de la auditoría;
7.10. — los informes de no conformidad;
7.11. — los informes de correcciones y acciones correctivas;
7.12. — los informes de seguimiento de la auditoría
7.13. c) Los registros relacionados con el equipo auditor que cubran temas tales como:
7.14. — la evaluación de la competencia y el desempeño de los miembros del equipo auditor;
7.15. — los criterios para la selección de los equipos auditores y los miembros del equipo y la formación de los equipos auditores;
7.16. — el mantenimiento y la mejora de la competencia.
8. Revisión y mejora del programa de auditoría
8.1. Las personas responsables de la gestión del programa de auditoría deberían asegurar lo siguiente:
8.2. — la revisión de la implementación global del programa de auditoría;
8.3. — la identificación de áreas y oportunidades para la mejora;
8.4. — la aplicación de cambios al programa de auditoría, si es necesario;
8.5. — la revisión del desarrollo profesional continuo de los auditores,
8.6. La revisión del programa de auditoría debería considerar lo siguiente:
8.7. a) los resultados y tendencias del seguimiento del programa de auditoría;
8.8. b) la conformidad con los procesos del programa de auditoría y con la información documentada pertinente;
8.9. c) la evolución de las necesidades y expectativas de las partes interesadas pertinentes;
8.10. d) los registros del programa de auditoría;
8.11. e) los métodos de auditoría alternativos o nuevos;
8.12. f) los métodos alternativos o nuevos para evaluar a los auditores;
8.13. g) la eficacia de las acciones para abordar los riesgos y oportunidades, y cuestiones internas y externas, asociados con el programa de auditoría;
8.14. h) los temas de confidencialidad y seguridad de la información relacionados con el programa de auditoría.
9. Objetivos
9.1. Se han establecido para dirigir la planificación y realización de auditorías y debería asegurarse de que el programa de auditoría se ha implementado eficazmente. Los objetivos del programa de auditoría deberían ser coherentes con la dirección estratégica del cliente de la auditoría y servir de apoyo a la política y los objetivos del sistema de gestión.
9.1.1. — identificar las oportunidades para la mejora del sistema de gestión y de su desempeño;
9.1.2. — evaluar la capacidad del auditado para determinar su contexto;
9.1.3. — evaluar la capacidad del auditado para determinar los riesgos y oportunidades, y para identificar e implementar acciones eficaces para abordarlos;
9.1.4. — cumplir todos los requisitos pertinentes, por ejemplo los requisitos legales y reglamentarios, los compromisos de cumplimiento, los requisitos de certificación con una norma de sistemas de gestión;
9.1.5. — obtener y mantener la confianza en la capacidad de un proveedor externo;
9.1.6. — determinar la idoneidad, la adecuación, y la eficacia continuas del sistema de gestión del auditado;
9.1.7. — evaluar la compatibilidad y la alineación de los objetivos del sistema de gestión con la dirección estratégica de la organización.