Manual Formación de Auditores ISO 19011:2018 ITSAO PDF

INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO FORMACIÓN DE AUDITORES BAJO LA ISO 19011:2018 ENFOCADA A LA ISO 9001:2015 MTRO. SALVADOR AGUILAR MARQUEZ 1 INSTITUTO TECNOLOGICO S...

INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO FORMACIÓN DE AUDITORES BAJO LA ISO 19011:2018 ENFOCADA A LA ISO 9001:2015 MTRO. SALVADOR AGUILAR MARQUEZ 1 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO INDICE TEMA 1: INTRODUCCIÓN - “FUNDAMENTOS DE LA AUDITORÍA” 3 1.1 Términos y definiciones de la auditoría 4 1.2 Principios de auditoría 6 TEMA 2: DIRECTRICES DE LA AUDITORÍA INTERNA 9 2.1 Auditor 9 2.1.1 Comportamiento personal 9 2.1.2 Competencias y evaluación de auditores 9 2.1.2.1 Determinación de la competencia del auditor 10 2.1.2.2 Conocimientos y habilidades 10 2.1.2.2 Evaluación del auditor 15 2.1.3 Comunicación del auditor 16 2.2 La Auditoría 16 2.2.1 Diseño de la auditoría 16 2.2.2 Desarrollo de la auditoría 22 TEMA 3: REDACCIÓN DE HALLAZGOS E INFORMES DE AUDITORÍA 32 3.1 Redacción de las No conformidades 33 3.2 Preparación y distribución del informe de auditoría 33 3.2.1 Preparación del informe de auditoría 33 3.2.2 Distribución del informe 34 3.2.3 Finalización de la auditoría 34 3.2.6 Seguimiento de una auditoría 34 BIBLIOGRAFÍA 34 2 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO TEMA 1: INTRODUCCIÓN - “FUNDAMENTOS DE LA AUDITORÍA” Objetivo particular Las y los participantes conocerán las bases que sustenta las actividades de auditoría a fin de poder aplicarlos en sus organizaciones ya sea como auditores o bien como gestores de auditoría. Preliminar Las diferencias en comparación de las normas ISO 19011:2018 con la ISO 19011:2011 son las siguientes: a. Adición del enfoque basado en el riesgo a los principios de auditoría; b. Ampliación de la orientación sobre la gestión de un programa de auditoría, incluido el riesgo del programa de auditoría. c. Ampliación de la orientación sobre la realización de una auditoría, en particular la sección sobre planificación de la auditoría. d. Ampliación de los requisitos genéricos de competencia para los auditores. e. Ajuste de la terminología para reflejar el proceso y no el objeto. f. Eliminación del anexo que contiene los requisitos de competencia para auditar disciplinas específicas del sistema de gestión, g. Ampliación de un anexo para proporcionar orientación sobre conceptos de auditoría. Los resultados de la auditoría pueden proporcionar información para el aspecto de análisis de la planificación comercial y pueden contribuir a la identificación de las necesidades y actividades de mejora. Se puede realizar una auditoría en relación con una variedad de criterios de auditoría, por separado o en combinación, que incluyen, entre otros: Requisitos definidos en una o más normas de sistema de gestión. Políticas y requisitos especificados por las partes interesadas pertinentes. Requisitos legales y reglamentarios. Uno o más procesos del sistema de gestión definidos por la organización u otras partes. Los diferentes tipos de auditorías son: De primera parte: I. Auditoría interna De segunda parte: I. Auditoría de proveedor externo. II. Auditoría de parte interesada externa. Auditorías  De tercera parte I. Auditoría de certificación y/o acreditación. II. Auditoría legal, regulatoria y similar. 3 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO La norma ISO 19011:2018 está destinada a aplicarse a una amplia gama de usuarios potenciales, incluidos auditores, organizaciones que implementan sistemas de gestión y organizaciones que necesitan llevar a cabo auditorías de sistemas de gestión por razones contractuales o reglamentarias. Así como para desarrollar sus propios requisitos relacionados con la auditoría. La orientación contenida en la norma se puede utilizar para fines de capacitación de auditores o la certificación de personal. Adopta el enfoque combinado de auditoría cuando se auditan juntos dos o más sistemas de gestión de diferentes disciplinas. Cuando estos sistemas se integran en un solo sistema de gestión, los principios y procesos de auditoría son los mismos que para una auditoría combinada (auditoría integral). Así como también proporciona orientación sobre la gestión de un programa de auditoría, sobre la planificación y la realización de auditorías de sistemas de gestión, la competencia y la evaluación del equipo auditor. Resumiendo, la norma que ISO 190011:2018, es la guía para la gestión y desarrollo de las auditorías y la capacitación del equipo auditor que estaremos revisando en este curso, proporciona orientaciones a los auditores, así como a los gestores del programa de auditoría. Es por lo tanto aplicable a todas las organizaciones que requieren planificar y llevar a cabo auditorías internas o externas de los sistemas de gestión o bien gestionar el programa de auditoría. 1.1 Términos y definiciones de la auditoría Auditoría: Proceso sistemático, independiente y documentado para obtener evidencia objetiva y evaluarla objetivamente para determinar en qué medida se cumplen los criterios de auditoría. Auditorías internas o de primera parte: realizadas por la propia organización, o en su nombre, para la revisión por la dirección y para otros propósitos internos. Auditorías externas o de segunda parte: auditorías realizadas por organizaciones sobre sus proveedores externos y otras partes interesadas externas. Auditorías externas de certificación o de tercera parte: auditorías realizadas por organizaciones certificadoras o acreditadoras, auditoría legal, regulatoria y similar. Auditoría combinada o integrada: auditoría llevada a cabo conjuntamente en un único auditado en dos o más sistemas de gestión. (Cuando se integran dos o más sistemas de gestión específicos de la disciplina en un único sistema de gestión, esto se conoce como un sistema de gestión integrado). Auditoría conjunta: Auditoría llevada a cabo en un auditado único por dos o más organizaciones de auditoría. Programa de auditoría: Arreglos para un conjunto de una o más auditorías planificadas para un marco de tiempo específico y dirigidas hacia un propósito específico. Alcance de la auditoría: alcance y límites de una auditoría. El alcance de la auditoría generalmente incluye una descripción de las ubicaciones físicas y virtuales, funciones, unidades organizativas, actividades y procesos, así como el período de tiempo cubierto. Una ubicación virtual es donde una organización realiza 4 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO un trabajo o proporciona un servicio utilizando un entorno en línea que permite a las personas, independientemente de las ubicaciones físicas, ejecutar procesos. Plan de auditoría: Descripción de las actividades y los arreglos para una auditoría. Criterios de auditoría: Conjunto de requisitos utilizados como referencia con respecto a los cuales se compara la evidencia objetiva. Si los criterios de auditoría son requisitos legales (incluidos los legales o reglamentarios), las palabras “cumplimiento” o “incumplimiento” se utilizan a menudo en una constatación de auditoría. Los requisitos pueden incluir políticas, procedimientos, instrucciones de trabajo, requisitos legales, obligaciones contractuales, etc. Evidencia objetiva: Datos que respaldan la existencia o la verdad de algo. La evidencia objetiva se puede obtener a través de observación, medición, prueba. Cualitativa Evidencia Cuantitativa Pruebas de auditoría: Registros, declaraciones de hechos u otra información, que sean relevantes para los criterios de auditoría y verificables. Resultados de la auditoría: Resultados de la evaluación de la evidencia de auditoría recopilada contra los criterios de auditoría. Los hallazgos de la auditoría indican conformidad o no conformidad. Los hallazgos de la auditoría pueden conducir a la identificación de riesgos, oportunidades de mejora o registro de buenas prácticas. Conclusión de la auditoría: Resultado de una auditoría, después de considerar los objetivos de auditoría y todos los hallazgos de auditoría. Cliente de la auditoría: Organización o persona que solicita una auditoría. Para el caso de auditorías internas el cliente de la auditoría también puede ser el auditado o la persona que administra el programa de auditoría. Las auditorías externas pueden provenir de fuentes tales como reguladores, partes contratantes o clientes potenciales o existentes. Auditado: Organización en su totalidad o partes de ella siendo auditada. Equipo de auditoría: Una o más personas que realizan una auditoría, apoyadas si es necesario por expertos técnicos. Un auditor del equipo de auditoría es designado como el líder del equipo de auditoría. El equipo de auditoría puede incluir auditores en capacitación. Auditor: Persona que realiza una auditoría. Experto técnico: Persona que proporciona conocimientos o experiencia específicos al equipo de auditoría. El conocimiento específico o experiencia se relaciona con la organización, la actividad, el proceso, el producto, el servicio, la disciplina que se auditará, o el idioma o la cultura. Un experto técnico del equipo de auditoría no actúa como auditor. Observador: Individuo que acompaña al equipo de auditoría pero que no actúa como auditor. 5 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO Sistema de Gestión: Conjunto de elementos interrelacionados o interactuantes de una organización para establecer políticas y objetivos, y procesos para lograr esos objetivos. Un sistema de gestión puede abordar una única disciplina o varias disciplinas, gestión de la calidad, gestión financiera o gestión ambiental. Los elementos del sistema de gestión establecen la estructura, los roles y las responsabilidades de la organización, la planificación, la operación, las políticas, las prácticas, las reglas, las creencias, los objetivos y los procesos para alcanzar esos objetivos. El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones específicas e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más funciones en un grupo de organizaciones. Riesgo: Efecto de incertidumbre. Un efecto es una desviación de lo esperado –positivo o negativo. La incertidumbre es el estado, incluso parcial, de la deficiencia de información relacionada con, la comprensión o el conocimiento de un evento, su consecuencia y probabilidad. El riesgo a menudo se caracteriza por referencia a eventos potenciales (ISO Guide 73:2009. 3.5.1.3) y consecuencias (ISO Guide 73:2009, 3.6.1.3), o una combinación de estos. El riesgo a menudo se expresa en términos de una combinación de las consecuencias de un evento y la probabilidad asociada de ocurrencia. Conformidad: Cumplimiento de un requisito. Competencia: Capacidad para aplicar conocimientos y habilidades para lograr los resultados previstos. Requisito: Necesidad o expectativa que se establece, generalmente implícita u obligatoria. Generalmente implícito, significa que es costumbre o práctica común para la organización y las partes interesadas que la necesidad o expectativa bajo consideración sea implícita. Un requisito específico es uno que se establece, por ejemplo, en información documentada. Proceso: Conjunto de actividades interrelacionadas o interactivas que usan insumos para entregar un resultado deseado. Actuación: Resultado mensurable. El rendimiento puede relacionarse con hallazgos cuantitativos o cualitativos. El rendimiento puede relacionarse con la gestión de actividades, procesos, productos, servicios, sistemas u organizaciones. Eficacia: Medida en que se realizan las actividades planificadas y se logran los resultados planificados. 1.2 Principios de auditoría La finalidad de la auditoría es que sea una herramienta eficaz y fiable para apoyar las políticas y controles de gestión, proporcionando información sobre la cual una organización puede actuar para mejorar su desempeño, de tal forma que al aplicar los principios de auditoría se estará en camino a lograr dicho propósito. Para lograr que las conclusiones de la auditoría sean relevantes y suficientes, así como permitir que los auditores trabajen de manera independiente entre sí, y alcancen conclusiones similares en circunstancia similares, el trabajo del auditor debe apegarse a éstos principios de auditoría, los cuales son: 6 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO La base de la profesionalidad.  Realizar su trabajo de forma ética, con honestidad y responsabilidad.  Solo realizar actividades de auditoría si es competente para hacerlo.  Realizar su trabajo de manera imparcial, es decir, seguir siendo justo e Integridad imparcial en todos sus tratos.  Ser sensible a cualquier influencia que pueda ejercer sobre su juicio mientras lleva a cabo una auditoría. Obligación de informar veraz y exactamente.  Los hallazgos, conclusiones e informes de auditoría deben reflejar de manera veraz y precisa las actividades de auditoría. Presentación  Informar sobre obstáculos significativos y de las opiniones ecuánime divergentes sin resolver entre el equipo auditor y el auditado.  La comunicación debe ser veraz, precisa, objetiva, oportuna, clara y completa. La aplicación de la diligencia y el juicio en la auditoría.  Tener el debido cuidado de acuerdo con la importancia de la tarea que Debido cuidado realizan y la confianza depositada en ellos. profesional  Tener la capacidad de emitir juicios razonados en todas las situaciones de auditoría. Seguridad de la información.  Proceder con discreción en el uso y protección de la información adquirida. Confidencialidad  No debe usarse la información de manera inapropiada para beneficio personal.  Tratamiento apropiado de la información sensible o confidencial. Base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la auditoría.  Independientes de la actividad que se audita siempre que sea posible.  Actuar libre de sesgo y conflicto de intereses. Independencia  Deberían ser independientes de los responsables operativos de la función que se audita. Mantener la objetividad para asegurar que los hallazgos y conclusiones de la auditoría estén basados en la evidencia. Método racional para llegar a conclusiones de la auditoría fiables y reproducibles en un proceso de auditoría sistemático. Enfoque basado en la  La evidencia de auditoría debe ser verificable. evidencia  Se debe basar en muestras de la información disponible.  Usar un método apropiado para el muestreo. Enfoque de auditoría que considera riesgos y oportunidades. 7 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO Enfoque basado en el riesgo  Debería influir el enfoque basado en el riesgo en la planificación, conducción y presentación de informes de las auditorías para garantizar que las auditorías se centren en asuntos importantes para el cliente de auditoría y para lograr los objetivos del programa de auditoría. 8 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO TEMA 2: DIRECTRICES DE LA AUDITORÍA INTERNA Objetivo particular Las y los participantes comprenderán la esencia de un auditor, así como la competencia para el diseño y desarrollo de la auditoría. 2.1 Auditor 2.1.1 Comportamiento personal Los auditores deberían poseer las cualidades necesarias que les permitan actuar de acuerdo con los principios de la auditoría, por lo que deberían demostrar un comportamiento profesional durante el desempeño de las actividades de la auditoría, tales como:  Ético: esto es, justo, veraz, sincero, honesto y discreto.  De mente abierta: es decir, dispuesto a considerar ideas o puntos de vista alternativos.  Diplomático: es decir, discreto al tratar con individuos.  Observador: esto es, observando activamente el entorno físico y las actividades.  Perceptivo: Es decir, consciente de y capaz de comprender situaciones.  Versátil: Ser capaz de adaptarse fácilmente a diferentes situaciones.  Tenaz: Es decir, persistente y enfocada en alcanzar objetivos.  Decidido: Capaz de llegar a conclusiones oportunas basadas en el razonamiento lógico y el análisis.  Autosuficiente: Es decir, capaz de actuar y funcionar independientemente mientras interactúa efectivamente con otros.  Capaz de actuar con fortaleza: es decir, capaz de actuar de manera responsable y ética, aunque estas acciones no siempre sean populares y en ocasiones pueden dar lugar a desacuerdos o confrontaciones.  Abierto a la mejora: es decir, dispuesto a aprender de las situaciones.  Culturalmente sensible: esto es, atento y respetuoso con la cultura del auditado.  Colaborador: es decir, interacción efectiva con otros, incluidos los integrantes del equipo de auditoría y el personal auditado. 2.1.2 Competencias y evaluación de auditores La competencia de quienes participan en la realización de las auditorías proporciona la confianza en el proceso de auditoría y la capacidad para lograr los objetivos de la misma. De tal forma que la competencia debería evaluarse mediante un proceso que contemple el comportamiento personal y la capacidad de aplicar los conocimientos y las habilidades adquiridas durante la educación, experiencia laboral, formación como auditor y su experiencia en auditorías. Tomando en consideración las necesidades del programa de auditoría y sus objetivos. No es necesario que todos los auditores del equipo auditor tengan la misma competencia, siempre y cuando se asegure que la competencia del equipo auditor permita el logro de los objetivos de la auditoría. Debería planificarse la evaluación de la competencia del auditor, implementarse y documentarse. El proceso de evaluación debería incluir lo siguiente: 9 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO a) Determinar la competencia requerida para satisfacer las necesidades del programa de auditoría; b) Establecer los criterios de evaluación; c) Seleccionar el método de evaluación apropiado; d) Realizar la evaluación. El resultado de la evaluación debe proporcionar una base para seleccionar los integrantes del equipo de auditoría, determinar la necesidad de una competencia mejorada y la evaluación continua del desempeño de los auditores. A través del desarrollo profesional los auditores deben desarrollar, mantener y mejorar su competencia. 2.1.2.1 Determinación de la competencia del auditor Cuando se decide la competencia necesaria para una auditoría, hay que considerar los conocimientos y habilidades del auditor relacionado con lo siguiente:  El tamaño, naturaleza y complejidad, productos, servicios y procesos de los auditados;  los métodos para auditar;  las disciplinas del sistema de gestión que se auditarán;  la complejidad y los procesos del sistema de gestión a auditar;  los tipos y niveles de riesgos y oportunidades abordados por el sistema de gestión;  los objetivos y el alcance del programa de auditoría;  la incertidumbre en el logro de los objetivos de la auditoría;  otros requisitos del cliente de auditoría u otras partes interesadas pertinentes, según corresponda. 2.1.2.2 Conocimientos y habilidades Los auditores deben poseer los conocimientos y las habilidades necesarios para obtener los resultados previstos de las auditorías, de tal manera que se esperaría que tuvieran los conocimientos y habilidades genéricas, así como de conocimientos y habilidades específicas de alguna otra disciplina y algún sector. Los líderes del equipo de auditoría deben tener conocimientos y habilidades adicionales necesarios para dirigir al equipo auditor. Conocimientos genéricos y habilidades de los auditores de sistema de gestión a) Principios, procesos y métodos de auditoría: A fin de asegurar que las auditorías se realicen de manera consistente y sistemática, un auditor debe ser capaz de: Comprender los tipos de riesgos y oportunidades asociados con la auditoría y los principios del enfoque de auditoría basado en el riesgo; planificar y organizar el trabajo de manera efectiva; realizar la auditoría dentro del cronograma acordado; priorizar y enfocarse en asuntos importantes; comunicarse de manera efectiva, oralmente y por escrito; 10 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO recopilar información mediante entrevistas efectivas, escuchar, observar y revisar información documentada, incluidos registros y datos; comprender la idoneidad y las consecuencias del uso de técnicas de muestreo para la auditoría, entender y considerar las opiniones de los expertos técnicos; auditar un proceso de principio a fin, incluidas las interrelaciones con otros procesos y diferentes funciones, según corresponda; verificar la relevancia y exactitud de la información recopilada; confirmar la suficiencia e idoneidad de la evidencia de auditoría, para respaldar los hallazgos y conclusiones de la auditoría; evaluar aquellos factores que pueden afectar la confiabilidad de los hallazgos y conclusiones de la auditoría; documentar las actividades de auditoría y los hallazgos de auditoría, y preparar informes; mantener la confidencialidad y seguridad de la información. b) Normas del sistema de gestión y otras de referencias: A fin de comprender el alcance de la auditoría, aplicar los criterios de auditoría, los auditores deben cubrir lo siguiente: Normas del sistema de gestión u otros documentos normativos u orientativos / de apoyo utilizados para establecer criterios o métodos de auditoría; la aplicación de los estándares del sistema de gestión por el auditado y otras organizaciones; relación e interacciones entre los procesos del sistema de gestión; comprender la importancia y la prioridad de múltiples estándares o referencias; aplicación de estándares o referencias a diferentes situaciones de auditoría. c) La organización y su contexto: Comprender la estructura, el propósito y las prácticas de gestión del auditado y deben cubrir lo siguiente: Necesidades y expectativas de las partes interesadas relevantes que impactan en el sistema de gestión; tipo de organización, gobierno, tamaño, estructura, funciones y relaciones; conceptos generales de negocios y gestión, procesos y terminología relacionada, incluida la planificación, presupuestación y gestión de personas. Aspectos culturales y sociales del auditado. d) Requisitos reglamentarios y legales aplicables y otros requisitos: Conocer y trabajar dentro de los requisitos de la organización; conocimientos y habilidades específicos de la jurisdicción o de las actividades, procesos, productos y servicios del auditado y deben cubrir lo siguiente: Requisitos legales y reglamentarios y sus agencias de gobierno; terminología jurídica básica; contratación y responsabilidad. El ser conscientes de los requisitos legales y reglamentarios no es indicativo de pericia legal, por lo que una auditoría de sistema de gestión no deber tratarse como una auditoría de cumplimiento legal. 11 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO Disciplina y competencia sectorial específica de los auditores Los equipos de auditoría deben tener la disciplina colectiva y la competencia específica del sector apropiada para auditar los tipos particulares de sistemas y sectores de gestión. La disciplina y la competencia de los auditores específica del sector incluyen lo siguiente: Requisitos y principios del sistema de gestión, y su aplicación; fundamentos de la(s) disciplina(s) y sector(es) relacionados con los estándares de los sistemas de gestión aplicados por el auditado; aplicación de disciplina y métodos, técnicas, procesos y prácticas específicos del sector para permitir que el equipo de auditoría evalúe la conformidad dentro del alcance de auditoría definido y genere conclusiones de auditoría apropiadas; principios, métodos y técnicas relevantes para la disciplina y el sector, de modo que el auditor pueda determinar y evaluar los riesgos y oportunidades asociados con los objetivos de la auditoría; Competencia genérica del líder del equipo de auditoría El líder del equipo de auditoría debe a fin de facilitar la realización eficiente y efectiva de la auditoría, la competencia para: planificar la auditoría y asignar tareas de auditoría de acuerdo con la competencia específica de los integrantes del equipo de auditoría individual; discutir cuestiones estratégicas con la alta dirección del auditado para determinar si han considerado estos problemas al evaluar sus riesgos y oportunidades; gestionar el proceso de auditoría, que incluye: o hacer un uso efectivo de los recursos durante la auditoría; o gestionar la incertidumbre de alcanzar los objetivos de auditoría; o proteger la salud y la seguridad de los integrantes del equipo de auditoría durante la auditoría, lo que incluye garantizar el cumplimiento de los auditores con los acuerdos de seguridad y salud pertinentes; o dirigir a los integrantes del equipo de auditoría; o proporcionar dirección y orientación a los auditores en formación; o prevenir y resolver conflictos y problemas que puedan ocurrir durante la auditoría, incluidos los que están dentro del equipo de auditoría, según sea necesario. Representar al equipo de auditoría en las comunicaciones con las personas que administran el programa de auditoría, el cliente de auditoría y el auditado; Llevar al equipo de auditoría a alcanzar las conclusiones de la auditoría; Preparar y completar el informe de auditoría. Conocimiento y habilidades para auditar múltiples disciplinas Los integrantes del equipo de auditoría deben comprender las interacciones y la sinergia entre los diferentes sistemas de gestión al auditar múltiples sistemas de gestión de la disciplina. Los líderes del equipo de auditoría deben comprender los requisitos de cada uno de los estándares del sistema de gestión auditados y reconocer los límites de su competencia en cada una de las disciplinas. 12 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO Lograr la competencia del auditor Utilizando una combinación de lo siguiente el auditor puede adquirir la competencia: Completar con éxito programas de capacitación que cubren el conocimiento y las habilidades del auditor genérico; experiencia en un puesto técnico, gerencial o profesional relevante que implique el ejercicio del juicio, la toma de decisiones, la resolución de problemas y la comunicación con gerentes, profesionales, compañeros, clientes y otras partes interesadas relevantes; educación / capacitación y experiencia en una disciplina y sector específico del sistema de gestión que contribuyen al desarrollo de la competencia general; experiencia de auditoría adquirida bajo la supervisión de un auditor competente en la misma disciplina. Lograr la competencia del líder del equipo de auditoría El líder del equipo de auditoría debería haber adquirido experiencia de auditoría adicional para desarrollar la competencia descrita anteriormente y haberse obtenido trabajando bajo la dirección y guía de un líder diferente del equipo de auditoría. Conocimientos y habilidades de los auditores en la disciplina de Gestión de la Calidad Debería ser suficiente para permitir al auditor examinar el Sistema de gestión y generar los hallazgos y conclusiones de la auditoría apropiados los conocimientos y habilidades relacionados con la disciplina de Gestión de la Calidad y la aplicación de métodos, técnicas, procesos específicos de la disciplina, como:  Terminología relacionada con la calidad, la gestión, la organización, el proceso y el producto, las características, la conformidad, la documentación, y los procesos de auditoría y de medición.  El enfoque al cliente, los procesos relacionados con el cliente, el seguimiento y la medición de la satisfacción del cliente, el tratamiento de las quejas, el código de conducta, la resolución de conflictos.  El liderazgo, función de la alta dirección, la gestión para el éxito sostenido de una organización, el enfoque a la gestión de la calidad, la obtención de los beneficios financieros y económicos a través de la gestión de la calidad, los sistemas de gestión de la calidad y los modelos de excelencia.  La participación de las personas, factores humanos, competencia, formación y toma de consciencia.  El enfoque basado en procesos, análisis de procesos, capacidad y técnicas de control, métodos de tratamiento de riesgos.  La mejora continua, innovación y aprendizaje.  El enfoque basado en evidencias para la toma de decisiones, técnicas de evaluación de riesgos, evaluación de la gestión de la calidad, técnicas de medición y seguimiento, requisitos para la medición de procesos y el equipo de medición, análisis de la causa raíz, técnicas estadísticas.  Las características de los procesos y los productos, incluyendo los servicios.  Gestión de las relaciones con el proveedor, requisitos del sistema de gestión de la calidad y requisitos para los productos, requisitos particulares para la gestión de la calidad en diferentes sectores. 13 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO Conocimientos y habilidades de los auditores en la disciplina específica de gestión ambiental Para la disciplina de gestión ambiental, los conocimientos y habilidades para permitir al auditor examinar el sistema de gestión y generar los hallazgos y conclusiones de la auditoría apropiados podrían ser:  Terminología ambiental.  Métricas y estadísticas de seguimiento.  Metrología y las técnicas de seguimiento.  Interacción de los ecosistemas y la biodiversidad.  Entorno ambiental.  Técnicas para determinar el riesgo.  Análisis del ciclo de vida.  Evaluación del desempeño ambiental.  Prevención y control de la contaminación.  Reducción de fuentes, prácticas y procesos para disminuir, reutilizar, reciclar y tratar los residuos.  El uso de sustancias peligrosas.  Emisiones de gases de efecto invernadero y su gestión.  Gestión de los recursos naturales.  Ecodiseño.  Elaboración de informes ambientales y su comunicación.  Responsabilidad extendida al producto.  Tecnologías renovables y de bajas emisiones de carbono. Conocimientos y habilidades de los auditores en la disciplina específica de gestión los registros Para la disciplina de gestión de los registros, los conocimientos y habilidades para permitir al auditor examinar el sistema de gestión y generar los hallazgos y conclusiones de la auditoría apropiados podrían ser:  Terminología relativa a los registros, los procesos de gestión de los registros y los sistemas de gestión de los registros.  Desarrollo de medidas de desempeño y las métricas.  Investigación y la evaluación de las prácticas relativas a registros a través de las entrevistas, la observación y la validación.  Análisis de las muestras de los registros creados en los procesos operacionales. Características clave de los registros, sistemas de registros, procesos y controles de los registros.  Evaluación de riesgos.  Desempeño y la adecuación de los procesos de registros al crear, captar y controlar los registros.  Evaluación de la adecuación y el desempeño de los sistemas de registros, la idoneidad de las herramientas tecnológicas utilizadas y las instalaciones y los equipos establecidos.  Evaluación de los diferentes niveles de competencia en la gestión de los registros requerida en una organización y la evaluación de esa competencia.  Importancia del contenido, contexto, estructura, representación y control de la información requerida para definir y gestionar los registros y los sistemas de los registros.  Métodos para desarrollar instrumentos específicos de los registros. 14 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO  Tecnologías utilizadas para la creación, captura, conversión y migración, y la conservación a largo plazo de los registros electrónicos/digitales.  Identificación e importancia de la documentación de autorización para los procesos de registro. 2.1.2.2 Evaluación del auditor Se debería realizar la evaluación de los auditores utilizando dos o más métodos que se presentan a continuación. Método de evaluación Objetivo Revisión de registros Verificar los antecedentes del auditor. Retroalimentación Obtener y/o proporcionar información sobre cómo se percibe el desempeño del auditor. Entrevista Evaluar el comportamiento profesional deseado y las habilidades de comunicación. Verificar la información y probar el conocimiento. Observación Evaluar el comportamiento profesional deseado y la capacidad de aplicar los conocimientos y las habilidades. Pruebas Evaluar el comportamiento deseado, el conocimiento, las habilidades y su aplicación. Revisión posterior a la auditoría Proporcionar información sobre el desempeño del auditor durante las actividades de auditoría, identificar fortalezas y oportunidades de mejora. Se debe tomar en cuenta lo siguiente al utilizar la tabla anterior: a) Los métodos descritos representan una gama de opciones que pueden o no aplicar en todas las situaciones. b) Los diversos métodos descritos pueden diferir en su confiabilidad. c) Se debería usar una combinación de métodos que puedan garantizar un resultado objetivo, consistente, justo y confiable. La información recopilada sobre el auditor en evaluación debería compararse con los criterios de evaluación. Cuando se espera que un auditor forme parte de un programa de auditoría y no cumple con los criterios debería dependiendo de la situación ser mandado a capacitación, trabajar en la adquisición de experiencia entre otros y debería realizar una reevaluación posterior para determinar si podrá ser considerado o no. Los auditores y los líderes del equipo de auditoría deberían mejorar continuamente su competencia mediante la participación regular en auditorías del sistema de gestión y el desarrollo profesional continuo. Quienes tienen la responsabilidad de gestionar el programa de auditoría deberían establecer mecanismos adecuados para la evaluación continua del desempeño de los auditores tomando en cuenta lo siguiente: i. Cambios en las necesidades del individuo y la organización responsable de la realización de la auditoría. 15 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO ii. Desarrollos en la práctica de la auditoría, incluido el uso de la tecnología. iii. Normas relevantes que incluyen orientación. iv. Cambios en el sector o disciplinas. 2.1.3 Comunicación del auditor Los auditores deben evitar concentrarse en los requisitos específicos de cada cláusula del estándar que se esté auditando a expensas de lograr el resultado esperado del sistema de gestión, es por ello que deben aplicar el criterio profesional durante el proceso de auditoría. Cuándo las cláusulas no se prestan fácilmente a la auditoría en términos de comparación entre los criterios y el contenido de un documento del sistema de gestión, los auditores en tales circunstancias deben usar su juicio profesional para determinar si se está cumpliendo con la intención de la cláusula. La imagen del auditor debe trasmitir seguridad, control, orden y limpieza. Adaptarse al tipo de organización a la que vaya a visitar y sus costumbres. En cuanto a su comunicación verbal, se deben usar tonos de voz que transmitan seguridad y tranquilidad, a fin de no poner más nervioso al auditado. En cuanto a las preguntas se recomienda iniciar con preguntas abiertas e ir cerrándolas para confirmar las evidencias que se necesitan extraer de las entrevistas. Comunicación No Verbal El auditor debe tomar en cuenta el lenguaje corporal, esto es, la comunicación no verbal que en la mayoría de las ocasiones lo realizamos de forma involuntaria. Se presentan algunos ejemplos de la comunicación no verbal:  Gesto energético y preciso, refleja convicción.  Gesto grotesco tal como mover un objeto entre los dedos, morder o tamborilear un lápiz, demuestran nerviosismo.  Tener las manos en los bolsillos demuestra desinterés y descortesía.  Alzar a encoger los hombros, alargando o abreviando el cuello, transmite extrañeza, interrogación o desaliento.  Echar la cabeza hacia atrás, refleja incredulidad y rechazo.  Cruzar los brazos indica resignación y la adopción de una postura defensiva.  Frotarse las manos, trasmite complacencia.  Mirar a los ojos del interlocutor, denota interés.  Arrugar la frente, indica indignación.  Alzar las cejas, trasmite incredulidad y arrogancia.  Mover las pestañas es consecuencia de nerviosismo.  Abrir la boca indica asombro o cansancio.  Apretar los labios es consecuencia de ira contenida. 2.2 La Auditoría 2.2.1 Diseño de la auditoría 2.2.1.1 Programa de auditoría Por principios de cuentas se debe establecer un programa de auditoría que incluya auditorías que aborden uno o más estándares del sistema de gestión u otros requisitos, realizados por separado o en 16 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO combinación (auditoría combinada). El alcance del programa de auditoría debe basarse en: el tamaño y naturaleza del auditado, la funcionalidad, complejidad, tipo de riesgos y oportunidades, y el nivel de madurez de los sistemas de gestión auditados. El sistema de gestión puede ser aún más complejo cuando la mayoría de las funciones importantes se subcontratan y gestionan bajo la dirección de otras organizaciones. Por lo que se debe prestar especial atención en que parte se toman las decisiones más importantes y qué constituye la alta dirección del sistema de gestión. En caso de que la organización se ubique en sitios múltiples o cuando las funciones importantes se subcontratan y gestionan bajo el liderazgo de otra organización, se debe prestar especial atención al diseño, planificación y la validación del programa de auditoría. Para comprender el contexto del auditado, el programa de auditoría debe tener en cuenta al auditado: Objetivos organizacionales; cuestiones externas e internas relevantes; las necesidades y expectativas de las partes interesadas pertinentes; requisitos de confidencialidad y seguridad de la información. El personal responsable de gestionar del programa de auditorías debe garantizar que se mantenga la integridad de la auditoría y que no se ejerce una influencia indebida sobre la misma. Debe tener prioridad en la auditoría a la asignación de recursos y métodos en asuntos de un sistema de gestión con mayor riesgo inherente y menor nivel de desempeño. La información y los recursos para permitir que las auditorías se realicen de manera efectiva y eficiente dentro de los plazos especificados deben estar incluidos en el programa de auditoría, para ello es importante que el personal que se encargue de la gestión del programa de auditoría sea competente. La información debe incluir: a. objetivos para el programa de auditoría; b. riesgos y oportunidades asociados con el programa de auditoría y las acciones para abordarlos; c. alcance de cada auditoría dentro del programa de auditoría; d. cronograma de las auditorías; e. tipos de auditoría, como interna o externa; f. criterios de auditoría; g. métodos de auditoría a ser empleados; h. criterios para seleccionar miembros del equipo de auditoría; i. información documentada relevante; El programa de auditoría debe ser implementado, monitoreado y medido en forma continua para asegurar que se han logrado sus objetivos. También debe ser revisado para identificar las necesidades de 17 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO cambios y posibles oportunidades de mejoras. Por la naturaleza de las actividades parte de la información requerida puede que no esté disponible sino hasta que se complete una planificación de auditoría más detallada. 2.2.1.2 Establecimiento de objetivos del programa de auditoría El cliente de auditoría debe asegurarse que los objetivos del programa de auditoría se establezcan para dirigir la planificación y la realización de auditorías, garantizando la implementación del programa de auditoría de manera efectiva. Dichos objetivos del programa de auditoría deben ser coherentes con la orientación estratégica, los objetivos y política del sistema de gestión del cliente de auditoría. Los objetivos pueden basarse en la consideración siguiente: i. las necesidades y expectativas de las partes interesada; ii. características y requisitos de procesos, productos, servicios y proyectos, contemplando los cambios en ellos; iii. requisitos del sistema de gestión; iv. necesidades de evaluación de proveedores externos; v. nivel de rendimiento, de madurez del sistema, de acuerdo a los indicadores de rendimiento relevante, la ocurrencia de no conformidades o incidentes o quejas de las partes interesadas; vi. identificación de riesgos y oportunidades para el auditado; vii. resultados de auditorías anteriores. 2.2.1.3 Determinación y evaluación de riesgos y oportunidades del programa de auditoría El contexto del auditado conlleva riesgos y oportunidades que pueden asociarse con un programa de auditoría y afectar el logro de sus objetivos. El personal responsable de gestionar el programa de auditorías debe identificar y dárselos a conocer al cliente de auditoría al desarrollar el programa de auditoría y los requisitos de recurso, a fin de que se puedan abordar de manera adecuada. Se pueden presentar los riesgos asociados con lo siguiente: a. planificación, esto es, al no establecer los objetivos de auditoría relevantes y en la determinación del alcance, el número, la duración, las ubicaciones y el cronograma de las auditorías; b. recursos, esto es, permitir tiempo, equipo y/o capacitación insuficiente para desarrollar el programa de auditoría o realizar una auditoría; c. selección del equipo de auditoría, en cuanto a competencia global insuficiente para realizar auditorías de manera efectiva; d. comunicación, referente a procesos/canales de comunicación externos/internos ineficaces; e. implementación, en cuanto a una coordinación ineficaz de las auditorías dentro del programa de auditoría, o no considerar la seguridad y confidencialidad de la información; f. control de la información documentada, en referencia a la determinación ineficaz de la información documentada necesaria requerida por los auditores y las partes interesadas pertinentes; la falta de protección adecuada de los registros de auditoría para demostrar la eficacia del programa de auditoría; 18 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO g. supervisar, revisar y mejorar el programa de auditoría, en cuanto a un monitoreo ineficaz de los resultados del programa de auditoría; h. disponibilidad y cooperación del auditado y disponibilidad de evidencia para ser muestreadas. En cuanto a las oportunidades: a. Permitir múltiples auditorías en una sola visita; b. minimizar el tiempo y las distancias que viajan al sitio; c. hacer coincidir el nivel de competencia del equipo de auditoría con el nivel de competencia necesario para alcanzar los objetivos de la auditoría; d. alinear las fechas de auditoría con la disponibilidad del personal clave del auditado. 2.2.1.4 Establecimiento el alcance del programa de auditoría El personal responsable de gestionar el programa de auditorías debe determinar el alcance del programa de auditoría, el cual varía según la información proporcionada por el auditado con respecto a su contexto. Otros factores que pueden afectar el alcance del programa de auditoría pueden ser: i. el objetivo, alcance y la duración de cada auditoría y la cantidad de ellas, el método de notificación y el seguimiento de auditoría, en caso de que existan; ii. las normas del sistema de gestión u otros criterios aplicables; iii. el número, la importancia, la complejidad, la similitud y la ubicación de las actividades a auditar; iv. factores que influyen en la efectividad del sistema de gestión; v. los criterios de auditoría aplicables; vi. resultados de auditorías internas o externas previas y revisiones de la administración; vii. resultado de una revisión previa del programa de auditoría; viii. problemas lingüísticos, culturales y sociales; ix. las preocupaciones de las partes interesadas; x. cambios significativos en el contexto del auditado o sus operaciones y riesgos y oportunidades relacionados; xi. disponibilidad de tecnologías de información y comunicación para respaldar las actividades de auditoría; xii. la ocurrencia de eventos internos y externos; xiii. riesgos y oportunidades comerciales, incluidas las acciones para abordarlos. 19 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO 2.2.1.5 Recursos del programa de auditoría El personal responsable de gestionar el programa de auditorías debe considerar: i. los recursos financieros y de tiempo que se requiere desarrollar, implementar, gestionar y mejorar las actividades de auditoría; ii. métodos de auditoría a utilizar; iii. disponibilidad individual y general de los auditores y expertos técnicos; iv. la extensión del programa de auditoría, así como los riesgos y oportunidades asociados; v. tiempo de traslado, costo, alojamiento, entre otros; vi. impacto de las diferentes zonas horarias; vii. disponibilidad de tecnología de la información y de comunicación; viii. disponibilidad de herramientas, tecnología y equipo requerido; ix. disponibilidad de la información documentada; x. requisitos relacionados con la instalación, espacios de seguridad y equipo de seguridad, equipo de protección. 2.2.1.6 Definición de objetivos, alcance y criterios para una auditoría individual Los objetivos de cada auditoría individual deben ser coherentes con los objetivos del programa de auditoría y definen lo que se pretende lograr mediante la auditoría y pueden incluir: i. determinación del grado de conformidad del sistema de gestión con los criterios de auditoría; ii. evaluación de la capacidad del sistema de gestión para ayudar a la organización a cumplir los requisitos legales y reglamentarios, así como otros pertinentes; iii. evaluación de la efectividad del sistema de gestión para alcanzar los resultados esperados; iv. evaluación de la idoneidad y adecuación del sistema de gestión con respecto al contexto y la dirección estratégica del auditado; v. evaluación de la capacidad del sistema de gestión para establecer y alcanzar objetivos y abordar de manera efectiva los riesgos y oportunidades. El alcance de la auditoría debe ser coherente con el programa de auditoría y los objetivos establecidos. Incluye factores tales como ubicaciones, funciones, actividades y procesos a auditar; así como el período de tiempo cubierto por la auditoría. Los criterios de auditoría se utilizan como referencia con respecto a la cual se determina la conformidad los cuales pueden incluir: políticas, procedimientos aplicables, criterios de rendimiento, requisitos legales y reglamentarios, información sobre el contexto y los riesgos y oportunidades según lo determine el auditado. 20 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO 2.2.1.7 Selección y determinación de los métodos de auditoría El personal responsable de gestionar el programa de auditorías debe seleccionar y determinar los métodos para llevar a cabo de forma eficaz y eficiente las auditorías, dependiendo de los objetivos de auditoría definidos, el alcance y criterios Las auditorías pueden realizarse en sitio, de forma remota o en una combinación de ambas. El uso de alguno de éstos métodos deber considerar los riesgos y oportunidades asociados. 2.2.1.8 Selección de los integrantes del equipo de auditoría El personal responsable de gestionar el programa de auditorías debe nombrar a los integrantes del equipo de auditoría, incluyendo el líder del equipo de auditoría y cualquier experto técnico requerido para la auditoría específica. Se debe seleccionar al equipo de auditoría considerando la competencia necesaria para alcanzar los objetivos de la auditoría individual dentro del alcance definido. Para asegurar la competencia global del equipo de auditoría, se debe identificar la competencia necesaria para alcanzar los objetivos de la auditoría, seleccionar a los integrantes del equipo de auditoría para la competencia necesaria esté presente en el equipo de auditoría. Al decidir el tamaño y composición del equipo de auditoría para una determinada auditoría, se debe considerar la competencia general del equipo de auditoría necesaria para lograr los objetivos de la auditoría teniendo en cuenta el alcance y los criterios de auditoría, complejidad de la auditoría, si la auditoría es una auditoría combinada o conjunta los métodos de auditoría seleccionados, asegurar la objetividad e imparcialidad para evitar cualquier conflicto de interés del proceso de auditoría, la capacidad de los integrantes del equipo de auditoría para trabajar e interactuar eficazmente con los representantes del auditado y las partes interesadas pertinentes, problemas culturales externos e internos relevantes como el idioma, las características sociales, etc., tipo y complejidad de los procesos a auditar. El personal responsable de gestionar el programa de auditorías debe consultar al líder del equipo de auditoría sobre la composición del equipo de auditoría. En caso de que los integrantes del equipo de auditoría no cubran la competencia necesaria, los expertos técnicos con competencia adicional deberían estar disponibles para apoyar al equipo auditor. Los auditores en formación pueden incluirse en el equipo de auditoría, sin embargo, su participación deberá ser realizada bajo la dirección y orientación de un auditor competente. La composición del equipo de auditoría puede modificarse en caso necesario durante la auditoría. El cambio debe resolverse con las partes apropiadas. 2.2.1.9 Asignación de responsabilidades al líder del equipo de auditoría El personal responsable de gestionar el programa de auditorías debe asignar la responsabilidad de llevar a cabo la auditoría individual a un líder del equipo de auditoría, dicha asignación deberá realizarse con un tiempo suficiente antes de la fecha programada a fin de garantizar la adecuada planificación de la misma. Se debe proporcionar la siguiente información al líder del equipo de auditoría  objetivos de la auditoría.  Criterios de auditoría y cualquier información documentada relevante. 21 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO  Alcance de la auditoría incluida la identificación de la organización y sus funciones y procesos a auditar.  Composición del equipo de auditoría.  Datos de contacto del cliente de auditoría, las ubicaciones, el marco temporal y la duración de las actividades de auditoría que se llevarán a cabo.  Los recursos necesarios para llevar a cabo la auditoría.  Información necesaria para evaluar y abordar los riesgos y oportunidades identificados para el logro de los objetivos de la auditoría.  Información que respalda al líder del equipo de auditoría en sus interacciones con el auditado.  Idioma del auditado en caso de ser diferente.  Resultados de informes a auditoría según sea necesario y a quién se distribuirá.  Asuntos relacionados con la confidencialidad y la seguridad de la información, según lo requerido.  Cualquier situación de salud, seguridad y medio ambiente para los auditores.  Requisitos para viajar o acceder a sitios remotos.  Cualquier requisito de seguridad y autorización. 2.2.2 Desarrollo de la auditoría 22 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO 2.2.2.1 Inicio de la auditoría Al iniciar una auditoría, la responsabilidad de llevar a cabo la auditoría corresponde al líder del equipo auditor designado hasta que la auditoría finaliza. Contacto con el auditado El líder del equipo de auditoría debe asegurarse de que se establece contacto con el auditado para:  Confirmar los canales de comunicación con los representantes del auditado.  Confirmar la autoridad para realizar la auditoría.  Proporcionar información relevante sobre los objetivos, el alcance, los criterios, los métodos y la composición del equipo de auditoría, incluidos los expertos técnicos.  Solicitar acceso a información relevante para fines de planificación, incluida información sobre los riesgos y oportunidades que la organización ha identificado y cómo se abordan.  Determinar los requisitos legales y reglamentarios aplicables y otros requisitos relevantes para las actividades, procesos, productos y servicios del auditado.  Confirmar el acuerdo con el auditado sobre el alcance de la divulgación y el tratamiento de la información confidencialidad.  Hacer arreglos para la auditoría incluyendo el cronograma.  Determinar los arreglos específicos de ubicación para el acceso, la salud y la seguridad, la confidencialidad u otros.  Acordar la asistencia de los observadores y la necesidad de guías o intérpretes para el equipo de auditoría.  Determinar cualquier área de interés, preocupación o riesgo para el auditado en relación con la auditoría específica.  Resolver problemas relacionados con la composición del equipo de auditoría con el auditado o el cliente de auditoría. Viabilidad de la auditoría Se debe determinar la viabilidad de la auditoría para proporcionar la confianza razonable en que los objetivos de la auditoría pueden alcanzarse. La determinación de la viabilidad debería tener en cuenta factores como la disponibilidad de lo siguiente: La información suficiente y apropiada para planificar y llevar a cabo la auditoría. La cooperación adecuada del auditado. El tiempo y los recursos adecuados para llevar a cabo la auditoría. En caso de que la auditoría no es viable, debe proponerse al cliente de la auditoría una alternativa. 2.2.2.2 Preparación de las actividades de auditoría Revisión de la documentación Se debe revisar la documentación del Sistema de gestión del auditado a fin de: Recopilar información para comprender las operaciones del auditado y preparar las actividades de auditoría y los documentos de trabajo de auditoría aplicables. Establecer una visión general del alcance de la información documentada para determinar la posible conformidad con los criterios de auditoría y detectar posibles áreas de preocupación, como deficiencias, omisiones o conflictos. 23 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO Debería incluir la documentación, cuando sea aplicable, documentos y registros del sistema de gestión, informes de auditorías previas. En la revisión de la documentación debe tenerse en cuenta el contexto de la organización del auditado, incluido su tamaño, naturaleza y complejidad, riesgos y oportunidades relacionados. 2.2.2.3 Plan de auditoría El líder del equipo de auditoría debe adoptar el enfoque basado en riesgo para la planificación de la auditoría con base en la información del programa de auditoría y la información documentada proporcionada. Debe considerar los riesgos de las actividades en los procesos del auditado y proporcionar la base para el acuerdo entre el cliente de auditoría, el equipo de auditoría y el auditado con referencia a la realización de la auditoría. La planificación debería facilitar la programación eficiente y la coordinación de las actividades de auditoría para lograr los objetivos de manera efectiva. La cantidad de detalles proporcionados en el plan de auditoría debe reflejar el alcance y la complejidad de la auditoría, así como el riesgo de no alcanzar los objetivos de la auditoría. El líder del equipo de auditoría debe considerar: a) La composición del equipo de auditoría y su competencia general; b) las técnicas de muestreo apropiadas; c) oportunidades para mejorar la efectividad y eficiencia de las actividades de auditoría; d) los riesgos para lograr los objetivos de auditoría creados para una planificación de auditoría eficaz; e) los riesgos para el auditado creados al realizar la auditoría. Los riesgos para el auditado pueden derivarse de la presencia del equipo de auditoría que influyen negativamente en las disposiciones del auditado sobre salud, seguridad, medio ambiente, calidad, sus productos, servicios, personal o infraestructura. Detalles de planificación de auditoría La planificación de la auditoría debe ser lo suficientemente flexible como para permitir cambios que pueden ser necesarios a medida que avanzan las actividades de auditoría. La planificación debe abordar o hacer referencia a lo siguiente: a) los objetivos de la auditoría; b) el alcance de la auditoría, la identificación de la organización, sus funciones y los procesos a auditar; c) los criterios de auditoría y cualquier información documentada de referencia; d) las ubicaciones, las fechas, el tiempo previsto y la duración de las actividades de auditoría que se llevará a cabo; e) métodos de auditoría; f) funciones y responsabilidades de los integrantes del equipo de auditoría, guías y observadores; g) la asignación de recursos. 24 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO Debe tener en cuenta según corresponda la planificación de auditoría lo siguiente:  Identificación del representante del auditado para la auditoría;  el lenguaje de trabajo y del informe de auditoría;  los temas del informe de auditoría;  arreglos de logística;  cuestiones relacionadas con la confidencialidad y seguridad de la información;  acciones de seguimiento; El plan de auditoría debe presentarse al auditor, cualquier problema con el plan debe resolverse entre el líder del equipo de auditoría, el auditado y sí es necesario con la persona que gestiona el programa de auditoría. Asignación de trabajo al equipo de auditoría El líder del equipo de auditoría en conjunto con el equipo de auditoría, debe asignar a cada integrante del equipo la responsabilidad de auditar: i. procesos; ii. actividades; iii. funciones; iv. ubicaciones específicas. Las asignaciones deben tener en cuenta la imparcialidad, objetividad y la competencia de los auditores y el uso efectivo de los recursos, así como las diferentes funciones y responsabilidades de los auditores, los auditores en formación y los expertos técnicos. Las reuniones del equipo de auditoría deben ser llevadas a cabo, según corresponda, por el líder del equipo de auditoría a fin de asignar asignaciones de trabajo y decidir posibles cambios. Se pueden realizar cambios en las asignaciones de trabajo a medida que avanza la auditoría para garantizar el logro de los objetivos de la auditoría. Preparación de información documentada para auditoría El equipo auditor debe recopilar y revisar la información relevante de acuerdo a sus asignaciones, así como preparar la información documentada para llevar a cabo la auditoría, utilizando cualquier medio apropiado. La información documentada puede incluir lo siguiente, pero no limitarse a: i. listas de verificación; ii. detalles de muestreo de auditoría; iii. información audio visual. Debe conservarse la información documentada al menos hasta la finalización de la auditoría, o según lo especificado en el programa de auditoría. La información documentada creada durante el proceso de auditoría que involucra información confidencial o de propiedad debe ser adecuadamente salvaguardada por todo el equipo de auditoría. 25 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO 2.2.2.4 Realización de las actividades de auditoría Asignación de roles y responsabilidades de guías y observadores Los guías y observadores pueden acompañar al equipo de auditoría, cuándo lo apruebe el líder del equipo de auditoría, el cliente de auditoría y/o el auditado. No deben interferir en la realización de la auditoría. Para el caso de los observadores, cualquier acuerdo de acceso, salud y seguridad, medio ambiente y confidencialidad, debe ser gestionado entre el cliente de la auditoría y el auditado. Los guías designados por el auditado, deben ayudar al equipo de auditoría y actuar a solicitud del líder del equipo de auditoría o del auditor al que se le asignó. Sus responsabilidades deberían incluir lo siguiente: i. ayudar a los auditores a identificar a los individuos para que participen en las entrevistas y confirmen los horarios y las ubicaciones; ii. organizar el acceso a ubicaciones específicas del auditado; iii. garantizar que los integrantes del equipo de auditoría y los observadores conozcan y respeten las normas relativas a los acuerdos específicos de localización para el acceso, la salud y la seguridad, medio ambiente y confidencialidad, así como otros asuntos que aborden los riesgos; iv. ser testigo de la auditoría en nombre del auditado, cuando corresponda; v. proporcionar aclaraciones o ayudar a recopilar información, cuando sea necesario. Realización de la reunión de apertura El propósito de la reunión de apertura es: a. confirmar el acuerdo de todos los participantes con el plan de auditoría; b. presentar al equipo de auditoría; c. garantizar que se puedan realizar todas las actividades de auditoría planificadas; La reunión debe celebrarse con la administración del auditado, brindando la oportunidad de hacer preguntas. El grado de detalle debe ser coherente con la familiaridad del auditado con el proceso de auditoría, siendo presidida por el líder del equipo de auditoría. Se debe considerar presentar la siguiente información, según corresponda:  el método de informar los hallazgos de auditoría;  condiciones bajo las cuales puede darse por terminada la auditoría;  cómo tratar con posibles hallazgos durante la auditoría;  cualquier retroalimentación del auditado sobre los hallazgos o conclusiones de la auditoría, incluidas las quejas o apelaciones. 26 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO Comunicación durante la auditoría Puede ser necesario durante la auditoría hacer arreglos formales para la comunicación dentro del equipo de auditoría, así como el auditado, el cliente de auditoría y potencialmente con partes interesadas externas, especialmente cuando los requisitos legales y reglamentarios requieren la notificación obligatoria de no conformidades. El equipo de auditoría debería realizar reuniones periódicas a fin de intercambiar información, evaluar el proceso de auditoría y reasignar trabajo entre los integrantes del equipo de auditoría, según sea necesario. El líder del equipo de auditoría debería comunicar periódicamente los avances, cualquier información significativa y cualquier inquietud al auditado y el cliente, según sea el caso. La evidencia recopilada durante la auditoría que sugiere un riesgos inmediato y significativo se debe informar sin demora al auditado, y en su caso, al cliente de auditoría. Cuando la evidencia de auditoría disponible indique que los objetivos de la auditoría son inalcanzables, el líder del equipo de auditoría debería informar de las razones al cliente de la auditoría y el auditado para determinar las medidas apropiadas. Dicha acción puede incluir cambios en la planificación de la auditoría, los objetivos de la auditoría o el alcance de la auditoría, o la terminación de la auditoría, en todo caso, cualquier cambio en el plan de auditoría debe ser revisada y aceptada. Disponibilidad y acceso a la información de auditoría Los métodos de auditoría dependen de los objetivos de auditoría definidos, el alcance y los criterios de auditoría, así como la duración y la ubicación. La ubicación es dónde la información necesaria para la actividad de auditoría específica está disponible para el equipo de auditoría. Dónde, cuándo y cómo acceder a la información de auditoría es crucial para la auditoría. Esto es independiente de dónde se crea, usa y/o almacena la información. La auditoría puede usar una combinación de métodos. Grado de implicación entre el Ubicación del auditor auditor y el auditado In situ A distancia Entrevistas. A través de medios de comunicación Listas de verificación. interactivos. Cuestionarios. Entrevistas. Interacción humana Revisión documental. Listas de verificación. Muestreo. Cuestionarios. Revisión documental. Revisión documental. Revisión documental. Observación. Observación. Sin interacción humana o Visitas del sitio. Análisis de datos. o Listas de verificación. Muestreo Métodos de auditoría 27 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO Revisión de información documentada durante la realización de la auditoría La información documentada relevante del auditado debería ser revisada para: determinar la conformidad del sistema con los criterios de auditoría; recopilar la información para apoyar las actividades de auditoría. Si no se puede proporcionar la información documentada adecuada dentro del marco de tiempo dado en el plan de auditoría, el líder del equipo de auditoría debería informar tanto al responsable del programa de auditoría como al auditado. Dependiendo de los objetivos y el alcance de la auditoría, se debería tomar una decisión sobre si la auditoría debería continuar o suspender hasta que se resuelvan los problemas de información documentada. Recopilación y verificación de la información Durante la auditoría debe recopilarse mediante un muestreo apropiado y verificarse la información pertinente a los objetivos, el alcance y los criterios de auditoría. Solo la información que es verificable debe aceptarse como evidencia de la auditoría, registrando la evidencia que conduce al hallazgo de la auditoría. Los métodos de recolección de información incluyen lo siguiente:  Entrevistas.  Observaciones.  Revisión documental. Verificación de la información En la medida de lo posible, los auditores deberían considerar si la información proporciona evidencia objetiva suficiente para demostrar que se cumplen los requisitos tales como:  Completo, que todo el contenido esperado está contenido en la información documentada.  Correcto, el contenido se ajusta a otras fuentes confiables, como normas y regulaciones.  Consistente, que la información documentada es consistente en sí misma y con documentos relacionados.  Actual. 28 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO Muestreo El muestreo en una auditoría se realiza cuando no es práctico examinar toda la información disponible durante la auditoría. El muestreo para la auditoría de una población grande es el proceso de seleccionar menos del 100 % de los elementos dentro del conjunto total de datos disponibles para obtener y evaluar la evidencia sobre alguna característica de esa población y formar una conclusión. El objetivo del muestreo de la auditoría es proporcionar información para que el auditor tenga confianza en que los objetivos de la auditoría pueden alcanzarse o se alcanzarán. El riesgo es que las muestras no sean representativas de la población de la que se seleccionan y que la conclusión del auditor pueda estar sesgada y ser diferente. El muestreo para la auditoría generalmente implica los siguientes pasos: Establecer los objetivos del muestreo. Seleccionar el alcance y la composición de la población de la que se va realizar el muestreo. Seleccionar un método de muestreo. Determinar el tamaño de la muestra a tomar. Llevar a cabo la actividad de muestreo. Recopilar, evaluar, informar y documentar los resultados. Se debe considerar la calidad de los datos disponibles, la selección de la muestra apropiada debe basarse en el método de muestreo y el tipo de datos requeridos. Las auditorías pueden utilizar muestreos basados en juicios o estadísticos. Muestreo basado en juicios Depende de los conocimientos, habilidades y experiencia del equipo auditor. Para el muestreo puede considerarse lo siguiente: i. La experiencia de auditorías previas dentro del alcance de la auditoría. ii. La complejidad de los resultados para alcanzar los objetivos de la auditoría. iii. La complejidad e interacción de los procesos de la organización y los elementos del sistema de gestión. iv. El grado de cambio en la tecnología, el factor humano o el sistema de gestión. v. Las áreas clave de riesgo previamente identificadas y las áreas de mejora. vi. El resultado del seguimiento de los sistemas de gestión. Un inconveniente del muestreo basado en el juicio es que no puede haber una estimación estadística del efecto de la incertidumbre en los hallazgos de la auditoría y las conclusiones alcanzadas. Muestreo estadístico El plan de muestreo debe basarse en los objetivos de la auditoría y en lo que se conoce sobre las características de la población global de la que se toman las muestras. i. El diseño utiliza un proceso de selección de la muestra basado en la teoría de la probabilidad. El muestreo basado en atributos se usa cuando sólo hay dos posibles resultados de la muestra para cada muestra. El muestreo basado en variables se utiliza cuando el resultado de la muestra se da en un rango continuo. ii. El plan de muestreo debe tener en cuenta si es probable que los resultados que se examinan están basados en atributos o variables. 29 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO iii. Los elementos clave que afectarán al muestreo de la auditoría son: El tamaño de la organización. El número de auditores competentes. La frecuencia de auditorías en el curso del año. La duración de la auditoría individual. Cualquier nivel de confianza requerido externamente. iv. Cuando se desarrolla un plan de muestreo estadístico, el nivel de riesgo de muestreo que el auditor está dispuesto a aceptar es una consideración importante. v. Los auditores deben documentar el trabajo realizado incluyendo la descripción de la población que se pretende muestrear. Selección de las fuentes de información Las fuentes de información pueden variar de acuerdo con el alcance y la complejidad de la auditoría puede incluir lo siguiente:  Entrevistas con empleados y otras personas.  Observación de actividades y el ambiente de trabajo, las condiciones circundantes.  Documentos, tales como políticas, objetivos, planes, procedimientos, normas, instrucciones, licencias y permisos, etc.  Registros tales como inspecciones, actas de reuniones, informes de auditoría, registros de programas de seguimiento, etc.  Resúmenes de datos e indicadores, etc. Entrevistas Son uno de los medios importantes de recopilar información y debe llevarse a cabo de un modo adaptado a la situación y a la persona entrevistada. Se debe considerar lo siguiente:  Las entrevistas deben mantenerse con personas de los niveles y funciones apropiados.  Las entrevistas deberían llevarse a cabo durante la jornada de trabajo normal, cuando se posible en el lugar de trabajo normal de la persona entrevistada.  Intentar que la persona entrevistada esté a gusto antes de la entrevista y durante la misma.  Debe explicarse la razón de la entrevista y cualquier toma de notas.  Las entrevistas pueden iniciarse preguntando a las personas que describan su trabajo.  Selección cuidadosa del tipo de pregunta.  Los resultados de la entrevista deben resumirse y revisarse con el entrevistado.  Debe agradecerse al entrevistado su participación y cooperación. Recordando que la entrevista persigue la obtención de evidencias objetivas que demuestren lo que se está realizando en cada proceso. La obtención objetiva de evidencias incluirá la verificación y obtención de la información, por lo que el auditor debe conseguir una comunicación con el auditado de forma: Clara. Sencilla. Fluida. Sincera. Por lo que el auditor debe comprobar que el auditado entiende las cuestiones que se le están formulando y debe verificar que la información que recibe la ha interpretado adecuadamente. 30 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO 2.2.2.5 Generación de hallazgos de la auditoría La evidencia de la auditoría debe evaluarse frente a los criterios de auditoría para determinar los hallazgos de la auditoría. Los hallazgos pueden indicar conformidad o no conformidad con los criterios de auditoría. Cuando se especifique se pueden agregar las evidencias que sustentan a los hallazgos, las oportunidades de mejora y cualquier retroalimentación para el auditado. Deben registrarse las no conformidades y las evidencias de la auditoría. Se pueden clasificar las no conformidades. Se deben revisar con el auditado para reconocer que la evidencia de auditoría es exacta y que las no conformidades se han reconocido. Se debería hacer todo lo posible para resolver las opiniones divergentes sobre las evidencias o hallazgos de auditoría. 2.2.2.6 Auditados El auditor debe considerar algunas situaciones que se pueden presentar con el auditado, tales como: cuando al comenzar la auditoría el auditado no se encuentra bien ya sea física o mentalmente. Si temporalmente no se encuentra bien, es aconsejable realizar un descanso y reanudar la auditoría cuando ya se encuentre mejor. Sí el auditado se encuentra intranquilo, el auditor debe explicarle que no hay consecuencias negativas para él y que es un proceso más para el funcionamiento del sistema de gestión, sí aún la situación sigue un poco tensa, quizás se deba parar la auditoría y realizar un descanso, posteriormente buscar alguna técnica para romper la línea de preguntas y bajar la tensión, en caso de que no se pueda dar la comunicación bidireccional se debe abandonar la entrevista con el auditado y sustituir la información con alguna otra persona. Algunos auditados presentan un estado de ansiedad por el desconocimiento sobre los objetivos de la auditoría y temen las consecuencias o bien no proveen información confiable, se puede evitar la presencia de grupos numerosos durante la entrevista. Los auditados pueden presentar un antagonismo interno debido a que se aprovechan la oportunidad de la auditoría para criticar a la empresa, las metas, los métodos asumidos entre otras circunstancias, por lo que se debe buscar dejar la polémica para el ámbito interno de la empresa y enfocar las preguntas a los objetivos de la auditoría. En algunas ocasiones los auditados buscarán responsables para los desvíos detectados que se hayan bajo su responsabilidad, por lo que se debe señalar claramente que los desvíos son propios del sistema y que no se trata de definir responsables. Los auditados podrán comenzar a buscar justificaciones mostrando una actitud excesivamente explicativa para las no conformidades o fallas detectadas, por lo que se debe enfatizar que para el cumplimiento del plan de auditoría se debe enfocar en atender las preguntas que se formulan, no se buscan culpables ni justificaciones. Cuando los auditados presentan una postura agresiva en relación con los métodos de la auditoría y dificultan la recolección de información, se debe aclarar que se trata de una actividad más, de interés para la empresa. Se debe considerar que los auditados pueden caer en actitudes y reacciones utilizando tácticas dilatorias, de manipulación y distraccionistas para evadir las preguntas del auditor. 31 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO 2.2.2.7 Conclusiones de la auditoría Antes de la reunión de cierre el equipo auditor debe reunirse para:  Revisar los hallazgos de la auditoría y cualquier otra información apropiada recopilada durante la auditoría frente a los objetivos de la misma.  Acordar las conclusiones de la auditoría.  Preparar recomendaciones, en caso de estar especificado en el plan de auditoría.  Comentar el seguimiento de la auditoría, cuando se aplicable. Las conclusiones de la auditoría pueden tratar aspectos tales como:  El grado de conformidad y el reconocimiento de la fortaleza del sistema de gestión con los criterios de auditoría, incluyendo la eficacia del sistema de gestión para cumplir los objetivos establecidos.  La implementación, el mantenimiento y la mejora eficaz del sistema de gestión.  La capacidad del proceso de revisión por la dirección para asegurar la continua idoneidad, adecuación, eficacia y mejora del sistema de gestión.  El logro de los objetivos de la auditoría, cobertura del alcance de la auditoría y cumplimiento de los criterios de la auditoría.  Las causas raíz de los hallazgos, si se incluye en el plan de auditoría.  Hallazgos similares encontrados en distintas áreas que se auditaron con el propósito de identificar tendencias. Realización de la reunión de cierre La reunión de cierre llevada a cabo por el líder del equipo de auditoría deber realizarse para presentar los hallazgos y las conclusiones de la auditoría. Entre los participantes en la reunión de cierre debe incluirse a los representantes de la dirección del auditado, cuando sea apropiado los representantes de los procesos que se han auditado. Cuando se apropiado, en la reunión de cierre debe explicarse al auditado lo siguiente:  Aclara que la evidencia de la auditoría recopilada se basó en una muestra de la información disponible.  El método de presentación de la información.  El proceso de tratamiento de los hallazgos de la auditoría y sus posibles consecuencias.  La presentación de los hallazgos y conclusiones de la auditoría de tal manera que se comprendan y se reconozcan por la dirección del auditado.  Todas las actividades posteriores a la auditoría relacionadas. TEMA 3: REDACCIÓN DE HALLAZGOS E INFORMES DE AUDITORÍA Objetivo particular Las y los participantes comprenderán la importancia de una adecuada redacción de hallazgos para la generación del informe de auditoría. 32 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO 3.1 Redacción de las No conformidades Antes de abordar la redacción de las no conformidades y sumando a la determinación de los hallazgos de auditoría, al determinar tales hallazgos se debería considerar lo siguiente: a. Seguimiento de registros y conclusiones de auditoría anteriores. b. Requisitos del cliente de la auditoría. c. Precisión, suficiencia y adecuación de la evidencia objetiva para respaldar los hallazgos de la auditoría. d. Medida en que se realizan las actividades de auditoría planificadas y se logran los resultados planificados. e. Hallazgos que excedan la práctica normal u oportunidades de mejora. f. Tamaño de la muestra, entre otros. Para realizar la redacción de las no conformidades se debe considerar la pregunta de ¿Cuál es el propósito de elaborar una no conformidad?. Debe servir para tomar las medidas de corrección del incumplimiento y eliminar las causas que lo originaron. Debe contener tres elementos: 1. Describir el problema. 2. Descripción o referencia de los criterios de auditoría respecto de los cuales se muestra la no conformidad. 3. Evidencia de auditoría para respaldar la no conformidad y efectividad, si corresponde. 4. Declaración de conformidad, si corresponde. Durante una auditoría, es posible identificar hallazgos relacionados con múltiples criterios. Cuando un auditor identifica un hallazgo vinculado a un criterio en una auditoría combinada, el auditor debería considerar el posible impacto en los criterios correspondientes o similares de los otros sistemas de gestión y dependiendo con el cliente de auditoría se pueden plantear los hallazgos por separado para cada criterio o un único hallazgo, combinando las referencias a múltiples criterios. 3.2 Preparación y distribución del informe de auditoría 3.2.1 Preparación del informe de auditoría El líder del equipo de auditoría debe informar de los resultados de la auditoría de acuerdo con el procedimiento del programa de auditoría. El informe de auditoría debe proporcionar un registro completo, preciso, conciso y claro de la auditoría, debe incluir o hacer referencia a lo siguiente: a) Los objetivos de la auditoría. b) El alcance de la auditoría. c) La identificación del cliente de la auditoría. d) La identificación del equipo auditor y de los participantes del auditado en la auditoría. e) Las fechas y ubicaciones donde se realizaron las actividades de auditoría. f) Los criterios de auditoría. g) Los hallazgos de la auditoría y las evidencias relacionadas. h) Las conclusiones de la auditoría. i) Una declaración del grado en el que se han cumplido los criterios de auditoría. 33 INSTITUTO TECNOLOGICO SUPERIOR DE ACATLAN DE OSORIO 3.2.2 Distribución del informe El informe de auditoría debería emitirse en el periodo de tiempo acordado. Si se retrasa, las razones deberían comunicarse al auditado y el personal que gestiona del programa de auditoría. El informe de auditoría debe estar fechado, revisado y aprobado. Debe distribuirse de acuerdo a lo establecido por el personal que gestiona el programa de auditoría. 3.2.3 Finalización de la auditoría La auditoría termina cuando se hayan realizado todas las actividades de la auditoría planificadas. Los documentos pertenecientes a la auditoría deben conservarse o destruirse de común acuerdo entre las partes participantes. Salvo que se requieran por ley, el equipo auditor no debe revelar el contenido de los documentos, otra información obtenida durante la auditoría ni el informe de auditoría a ninguna parte, sin la aprobación del cliente de la auditoría. 3.2.6 Seguimiento de una auditoría Las conclusiones de la auditoría pueden, dependiendo de los objetivos de la auditoría, indicar la necesidad de correcciones o de acciones correctivas. Tales acciones generalmente son decididas y emprendidas por el auditado en un intervalo de tiempo acordado. Cuando se apropiado, el auditado debe mantener informada al personal que gestiona el programa de auditoría y al equipo auditor sobre el estado que guardan las acciones emprendidas. BIBLIOGRAFÍA 1. ISO 19011:2018 Directrices para auditar sistemas de gestión 2. Poveda J.M “Gestión y Tratamiento de los Riesgos” 3. ISO 9001:2015 Sistemas de Gestión de la Calidad –Requisitos 4. ISO 9000:20015 Sistemas de Gestión de la Calidad –Fundamentos y vocabulario 34

Manual Formación de Auditores ISO 19011:2018 ITSAO PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue