AENOR Guide to Internal Audits of Management Systems PDF
Document Details
Uploaded by ExceptionalKhaki
2021
Sonia Cienfuegos Gayo,Nieves Gómez Macho,Yolanda Millas Alonso
Tags
Summary
This is a guide for internal audits of management systems, covering the process, principles, and program development. It is aimed at a professional audience.
Full Transcript
Guía para la realización de las auditorías internas de los sistemas de gestión Sonia Cienfuegos Gayo, Nieves Gómez Macho y Yolanda Millas Alonso Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondien...
Guía para la realización de las auditorías internas de los sistemas de gestión Sonia Cienfuegos Gayo, Nieves Gómez Macho y Yolanda Millas Alonso Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR Guía para la realización de las auditorías internas de los sistemas de gestión Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR Guía para la realización de las auditorías internas de los sistemas de gestión Sonia Cienfuegos Gayo Nieves Gómez Macho Yolanda Millas Alonso Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR Título: Guía para la realización de las auditorías internas de los sistemas de gestión. PDF Autoras: Sonia Cienfuegos Gayo, Nieves Gómez Macho y Yolanda Millas Alonso © AENOR Internacional, S.A.U., 2021 Todos los derechos reservados. Queda prohibida la reproducción total o parcial en cualquier soporte, sin la previa autorización escrita de AENOR Internacional, S.A.U. ISBN: 978-84-17891-35-0 Edita: AENOR Internacional, S.A.U. Maqueta y diseño de cubierta: AENOR Internacional, S.A.U. Nota: AENOR Internacional, S.A.U. no se hace responsable de las opiniones expresadas por las autoras en esta obra. Génova, 6. 28004 Madrid Tel.: 914 326 036 • [email protected] • www.aenor.com Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR A Paula Ciprián, por su constante motivación Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR Índice Agradecimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13 Presentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15 1 . ¿Por qué se deben realizar auditorías internas de los sistemas de gestión? . . . 1.1. Introducción y repaso histórico del concepto de auditoría . . . . . . . . . . . . . . 1.2. Marco para la realización de las auditorías internas de los sistemas de gestión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.1. Qué es un sistema de gestión y cómo funciona . . . . . . . . . . . . . . . . 1.2.2. Qué es una auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.3. Por qué se realizan las auditorías . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.4. Qué se obtiene de una auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . 1.2.5. Qué figuras participan en una auditoría . . . . . . . . . . . . . . . . . . . . . 1.2.6. Qué tipos de auditoría se pueden realizar . . . . . . . . . . . . . . . . . . . . 1.2.7. Las auditorías como requisito de las normas de sistemas de gestión . 1.3. La Norma ISO 19011 para la auditoría de los sistemas de gestión . . . . . . . 17 17 2 . Tengo que realizar las auditorías internas en mi organización . ¿Por dónde empiezo? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.1. La auditoría como proceso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.2. Los principios del proceso de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . 2.3. Establecimiento del programa de auditoría . . . . . . . . . . . . . . . . . . . . . . . . 2.4. Cómo se elabora un programa de auditoría . . . . . . . . . . . . . . . . . . . . . . . 2.4.1. Elaboración del programa de auditoría . . . . . . . . . . . . . . . . . . . . . 2.5. La gestión de riesgos y oportunidades en el programa de auditoría interna . . 2.6. La gestión de los resultados y registros del programa de auditoría . . . . . . . . 2.7. El seguimiento del programa de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . 2.8. Revisión y mejora del programa de auditoría . . . . . . . . . . . . . . . . . . . . . . . Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 20 20 22 23 24 24 26 28 30 35 35 36 38 40 42 44 49 49 50 10 Guía para la realización de las auditorías internas de los sistemas de gestión 3 . ¿Quién puede ser auditor interno en mi organización? . . . . . . . . . . . . . . . . . 3.1. El perfil del auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.2. Determinación de las competencias del auditor interno . . . . . . . . . . . . . . . . 3.2.1. Conocimientos y habilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.3. Cualificación de los auditores internos . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3.4. Evaluación continua del auditor interno . . . . . . . . . . . . . . . . . . . . . . . . . . . 51 51 52 54 56 57 4 . ¿Tengo que preparar algo antes de iniciar la auditoría? . . . . . . . . . . . . . . . . 4.1. Los primeros pasos de una auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.2. Documentación previa a revisar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3. El plan de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.1. La preparación del plan de auditoría . . . . . . . . . . . . . . . . . . . . . . . 4.3.2. El alcance de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.3.3. Los criterios de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.4. La selección de la muestra . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5. La documentación de trabajo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.1. Las listas de verificación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4.5.2. Formularios y cuadernos de auditoría . . . . . . . . . . . . . . . . . . . . . . . 61 61 62 63 64 65 66 73 78 78 79 5 . Realización de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 5.1. El inicio de la auditoría in situ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83 5.1.1. La reunión de apertura . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84 5.2. Recopilación de información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85 5.2.1. Métodos de búsqueda de evidencias . . . . . . . . . . . . . . . . . . . . . . . 85 5.2.2. Recopilación de evidencias y su trazabilidad . . . . . . . . . . . . . . . . . . 87 5.2.3. Relación entre criterios de auditoría . . . . . . . . . . . . . . . . . . . . . . . . 91 5.3. Generación de hallazgos y conclusiones . . . . . . . . . . . . . . . . . . . . . . . . . . 93 5.3.1. Redacción de los hallazgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95 5.4. Valoración de la eficacia del sistema de gestión . . . . . . . . . . . . . . . . . . . . 100 5.5. La reunión de cierre . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 101 5.5.1. Preparación y distribución del informe de auditoría . . . . . . . . . . . . 102 5.6. El seguimiento de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 103 6 . Estrategias de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1. Las entrevistas durante la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.1.1. ¿Con quién debemos entrevistarnos? . . . . . . . . . . . . . . . . . . . . . . 6.1.2. Fases de realización de una entrevista estructurada . . . . . . . . . . . . . 6.1.3. Principales sesgos a evitar por parte del auditor durante las ntrevistas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 105 105 105 109 118 Índice 11 6.2. La observación durante las visitas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2.1. Colocación y estado de objetos como indicio para la búsqueda de evidencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.2.2. Solicitar una demostración práctica . . . . . . . . . . . . . . . . . . . . . . . 6.2.3. Comprobar si los procesos se adecuan a una actividad que no se esté llevando a cabo durante la vista . . . . . . . . . . . . . . . . . . 6.2.4. Saber escuchar en todo momento durante la auditoría . . . . . . . . . 6.3. La documentación a revisar . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6.3.1. Los documentos como fuente de información . . . . . . . . . . . . . . . . 6.3.2. Los documentos como indicios para la búsqueda de evidencias . . . 120 121 121 121 122 7 . El seguimiento de la auditoría interna . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.1. Después de la auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2. Las causas de las no conformidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.2.1. Métodos de análisis de causas . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.3. Las acciones correctivas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 7.4. Verificación de la eficacia de las acciones . . . . . . . . . . . . . . . . . . . . . . . . 123 123 124 129 141 144 8 . La auditoría remota . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.1. Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.2. Competencias del equipo de auditoría . . . . . . . . . . . . . . . . . . . . . . . . . . 8.3. Análisis de riesgos y viabilidad del proceso de auditoría . . . . . . . . . . . . . . 8.4. Ejecución de las auditorías . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8.4.1. Definir herramientas alternativas con anticipación . . . . . . . . . . . . . 8.5. Actividades posteriores a la auditoría remota . . . . . . . . . . . . . . . . . . . . . . 8.6. Auditoría remota y nuevas tecnologías. Conclusiones . . . . . . . . . . . . . . . . 147 147 148 149 158 159 160 161 9 . ¿Cómo deben ser las relaciones entre auditor y auditado? . . . . . . . . . . . . . 9.1. Principales características de la relación entre el auditor y el auditado . . . . 9.2. Tipos de auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.3. Estrategias del auditor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.4. El papel del auditado . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9.5. Resolución de conflictos durante la auditoría . . . . . . . . . . . . . . . . . . . . . . 163 163 166 168 171 172 Anexo A . Preguntas más frecuentes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 175 Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 181 Sobre las autoras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 183 Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 119 119 120 Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR Agradecimientos Nuestro más sincero agradecimiento a: Henry Mariño Andrade, por su colaboración para la elaboración del capítulo 8 “La auditoría remota”, aportando su experiencia y su buen hacer en cliente en este tipo de auditorías que han llegado para quedarse. Nuestros clientes, por su confianza y aprendizaje mutuo durante estos años, en especial a Susana G. Santamaría, Aurea Maeso, Daniel Gordón, el Teniente Coronel Juan Saldaña y el Subteniente José Luis Magán. Nuestros compañeros auditores y nuestras compañeras auditoras, por su apoyo, enseñanzas y compañerismo, en especial a Marta Serrano y Lluís Vancells. Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. 13 Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR Presentación Enfrentarse a la realización de una auditoría no es fácil, dado que el gran reto es conseguir valorar, en unos pocos días y con la suficiente representatividad, la eficacia e implementación del sistema de gestión de una organización. Por ello, para obtener el máximo partido y rendimiento del proceso de auditoría, será necesario no solo realizar una planificación previa, evaluar los riesgos y las oportunidades del proceso, y conocer la metodología y las estrategias para obtener la información necesaria que permita llegar a buenas conclusiones, sino también fomentar la motivación y la percepción de los implicados en el proceso de que todos trabajan en la misma dirección y con el mismo objetivo: la mejora continua del sistema de gestión. La auditoría de los sistemas de gestión es una herramienta de mejora para las organizaciones, un mecanismo de autocontrol del propio sistema para garantizar que cumple con los fines previstos o, en caso contrario, poder detectar debilidades con la finalidad de solucionarlas y mejorar. Desde esta perspectiva, no hay que enfrentarse a las auditorías con miedo, sino que, bien al contrario, se debe aspirar a conseguir que cumplan su función de supervisión. Para ello, es fundamental saber cómo abordar con fiabilidad el proceso. De lo expuesto se desprende la importancia de las auditorías para la medición de la efectividad de los sistemas y las ventajas que suponen, por lo cual es de gran importancia saber cómo llevar a cabo el proceso. De lo contrario, el trabajo empleado en ellas no supondrá más que una pérdida de tiempo, recursos y esfuerzos. En este libro hemos intentado trasladar nuestro conocimiento de años en la realización de auditorías de sistemas de gestión y ofrecer las claves necesarias para realizar con éxito una auditoría, obteniendo el máximo partido de ella para aportar el valor que dicho proceso pretende. Para realizar este trabajo, hemos tomado como referencia la Norma ISO 19011 en su versión de 2018 y sus directrices para la auditoría de los sistemas de gestión. Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. 15 Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 16 Guía para la realización de las auditorías internas de los sistemas de gestión Para concluir, queremos recordar que el resultado más importante que se obtiene de una auditoría son siempre claras oportunidades para seguir mejorando, y no una valoración del trabajo de las personas de la organización con respecto a los sistemas de gestión implementados. ¡Toda auditoría es un reto, y todo hallazgo, una oportunidad! Las autoras Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 1 ¿Por qué se deben realizar auditorías internas de los sistemas de gestión? 1.1. Introducción y repaso histórico del concepto de auditoría El camino recorrido históricamente desde las primeras “auditorías” hasta las actuales auditorías internas de sistemas de gestión es largo y la función de auditar es muy antigua en la historia de la humanidad. El origen de esta profesión se remonta a la civilización sumeria, pueblo que habitó la antigua Mesopotamia hacia 2500 a. C. Los escribas realizaban copias de las listas de las transacciones que posteriormente eran comparadas con las listas originales. Se puede decir que es el comienzo del control interno, ya que hay separación de funciones o tareas y comparaciones sistemáticas. Prácticas similares surgen de los registros egipcios, persas y hebreos. A los griegos y romanos les preocupaba la auditoría de las finanzas públicas. Los griegos preferían que los auditores fueran esclavos, ya que las conclusiones de estos, bajo pena de tortura, eran más fidedignas que las que expresaban los hombres bajo juramento. Existe una referencia concreta al vocablo “auditor” en el año 1285, cuando el Rey Eduardo I ordena que los auditores acusaran a los defraudadores, conduciéndolos a la prisión más próxima. En 1310 también hay referencias a las audit de los Consejos Londinenses, cuando el ayuntamiento de la ciudad encargó a un experto hacer las averiguaciones que considerase convenientes para revisar las cuentas del municipio. El propio Cristóbal Colón en 1492 fue acompañado en su viaje al nuevo mundo por un auditor representante de la reina Isabel. En Italia, en la ciudad de Venecia, se creó en el año 1581 el Collegio dei Raxonati, institución de revisores oficiales. Y en Francia, en el año 1640 ya existía el Tribunal de Cuentas de París, que examinaba las cuentas oficiales. En la segunda mitad del siglo xviii se produce la Revolución Industrial y se inicia un proceso de cambio en el funcionamiento interno de las empresas, las organizaciones, la información contable y el control de gestión. Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. 17 Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 18 Guía para la realización de las auditorías internas de los sistemas de gestión Así pues, los orígenes de las actuales auditorías internas de sistemas de gestión son las auditorías contables. Este tipo de auditoría aparece con la actividad comercial y por la incapacidad de intervenir en los procesos tanto productivos como comerciales de una empresa (Mantilla, 1989). Por estas razones surge la necesidad de buscar personas capacitadas e imparciales que desarrollen mecanismos de supervisión y control de los empleados y las actividades que llevan a cabo en las empresas. Tras la Revolución Industrial, el comerciante tuvo la necesidad de ampliar su nivel de control y vigilancia. Este tipo de servicios eran realizados por una o más personas de la misma organización, a las que se otorgaba la facultad de revisar los procedimientos establecidos y sus resultados. La finalidad era verificar que los ingresos eran administrados correctamente por los responsables de la empresa, proteger los activos y, por extensión, descubrir y prevenir los fraudes. El auditor era considerado un revisor de cuentas. En 1947 nace ISO (International Organization for Standardization) como la mayor organización mundial desarrolladora de normas internacionales voluntarias. La primera norma publicada por ISO fue la ISO/R 1:1951 Standard reference temperature for industrial length measurements (Temperatura de referencia estándar para mediciones industriales de longitudes), la “R” del título se debe a que, en aquel momento, las normas eran denominadas “recomendaciones”. En los años cincuenta se empieza a ampliar el uso de las auditorías a la gestión de la calidad. En 1979, con la publicación de la norma BS 5750 (origen de la ISO 9000), surge el actual concepto de auditoría interna de sistemas de gestión que, posteriormente, será trasladado a la gestión de cualquier “sistema de gestión” y no solo de la calidad. La primera edición de un estándar de la calidad, de la serie de normas ISO 9000, apareció en 1987. Esta norma presentaba los requisitos para que las organizaciones pudieran satisfacer las necesidades de sus clientes y entregar productos o servicios conforme a sus expectativas y también incluía la realización de auditorías internas como requisito de verificación. En el año 2000, la serie de normas ISO 9000 se somete a una revisión destinada a simplificar su aplicación y orientarla hacia el principio de gestión de procesos: es la primera vez que ese término aparece en la norma. Así pues, el primer motivo por el que se deben realizar auditorías internas es para comprobar si los procesos están logrando los resultados previstos y verificar su eficacia para, en caso necesario, establecer mejoras. Cuando una organización decide implementar cualquiera de las normas ISO que existen en la actualidad, sabe que tendrá que llevar a cabo mecanismos de verificación del cumplimiento de los requisitos que estas contienen. El mecanismo de verificación por excelencia es la auditoría interna de los sistemas de gestión ISO. Este es el segundo motivo por el que se deben realizar auditorías internas. Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 1. ¿Por qué se deben realizar auditorías internas de lossistemas de gestión? 19 Las auditorías son una “herramienta de mejora continua” dentro de la gestión de los sistemas. Este principio es el mejor punto de partida para entender el resto de esta guía. Las herramientas se diseñan y emplean para ayudar; no deben suponer un problema. Cuando una organización decide implementar un sistema de gestión de mejora continua, toma una decisión estratégica a nivel de negocio y, luego, debe ejecutarla a nivel operativo. Fruto de esta decisión, debe dar cumplimiento a una serie de requisitos que todo sistema de gestión necesita para poder lograr los resultados previstos. Uno de estos requisitos es la realización de auditorías internas a intervalos programados como un proceso más de seguimiento y evaluación del desempeño de sus procesos. Los principales objetivos que se quieren lograr con la realización de una auditoría interna son: • Determinar el grado de conformidad del sistema de gestión que se va a auditar con respecto a los criterios de la auditoría y los requisitos marcados. • Evaluar la capacidad del sistema de gestión para ayudar a la organización a cumplir los requisitos legales y reglamentarios pertinentes y cualesquiera otros requisitos que la organización suscriba. • Evaluar la eficacia de sistema de gestión para lograr los resultados previstos. • Comprobar si se implementa y mantiene eficazmente. • Identificar oportunidades para mejorar el propio sistema de gestión. • Evaluar la idoneidad y adecuación del sistema de gestión con respecto al contexto y a la dirección estratégica del auditado. • Evaluar la capacidad del sistema de gestión para establecer y alcanzar los objetivos y abordar eficazmente los riesgos y las oportunidades a través de las acciones puestas en marcha. Por lo tanto, el enfoque de la auditoría por parte de la empresa tiene que ser de transparencia total. El objetivo final es mostrar cómo se ejecutan los procesos y si se da cumplimiento a los requisitos en la organización cada día. Así, a través de las conclusiones de la auditoría obtendrá una “foto real” que le permitirá seguir mejorando. Por ello, el enfoque de la auditoría por parte de los auditores debe ser de objetividad absoluta. Su función es presentar una “foto” de los sistemas de gestión basada en evidencias claras, reales y relevantes que ayude al auditado a dar “una vuelta de tuerca” más a su sistema de gestión en pro de la mejora continua de sus procesos y su desempeño. Desde la aparición en 2012 de la estructura de alto nivel ISO y la obligación de incluirla en toda norma nueva publicada o revisada, este requisito de auditoría interna Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 20 Guía para la realización de las auditorías internas de los sistemas de gestión se ha unificado en todos los sistemas de gestión, y también su obligatoriedad, dando cumplimiento a una serie de requisitos con algunas particularidades, como las citadas en ISO 45001, que serán comentadas en este libro. Para ayudar a las organizaciones con este requisito, existe como referente la norma internacional ISO 19011 Directrices para la auditoría de los sistemas de gestión. Los orígenes de esta norma se remontan a 1990 con la publicación de la ISO 10011-1 Reglas generales para la auditoría de los sistemas de la calidad que, en 2002, pasó a denominarse ISO 19011 Directrices para la auditoría de los sistemas de gestión de la calidad y/o ambiental. La revisión realizada en 2011 aumentó el alcance de su predecesora, puesto que ahora se considera su aplicación a cualquier sistema de gestión. En julio de 2018 se realizó la última revisión, donde se tuvo en cuenta la aparición de la estructura de alto nivel ISO y el enfoque a riesgos y oportunidades, así como la realización de auditorías remotas. Esta norma internacional proporciona orientación sobre las auditorías de los sistemas de gestión, incluyendo los principios de la auditoría, la gestión de un programa de auditoría y la realización de las mismas, así como orientación sobre la evaluación de la competencia de los auditores que participan en el proceso. No es de obligado cumplimiento, pero sí una buena guía para su realización y gestión en las organizaciones. A lo largo de este libro se explicarán las metodologías, los riesgos y las oportunidades, las actitudes y aptitudes y otras cuestiones necesarias para hacer realidad este enfoque y alcanzar los objetivos de las auditorías internas. 1.2. Marco para la realización de las auditorías internas de los sistemas de gestión Las auditorías internas a las que hace referencia este libro se realizan dentro del marco de los sistemas de gestión de mejora continua ISO. 1.2.1. Qué es un sistema de gestión y cómo funciona Los sistemas de gestión son los elementos de una organización que se interrelacionan o interactúan para establecer políticas, objetivos y procesos orientados a que se cumplan los objetivos (véase la figura 1.1). Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 1. ¿Por qué se deben realizar auditorías internas de lossistemas de gestión? 21 Responsabilidades Objetivos Recursos Organización Política Procesos Procedimientos Productos/servicios Figura 1.1. Elementos implicados en la gestión Estos elementos incluyen: • Las políticas y los objetivos. • La estructura de la organización. • Las funciones y responsabilidades. • Los recursos. • Los procesos. • Los productos y servicios, etc. Son, por tanto, elementos intrínsecos a la propia organización y comunes a todos los sistemas de gestión que una organización quiera implementar. Para garantizar la adecuación de un sistema de gestión a los planes estratégicos de la organización se realizan una serie de intervenciones planificadas y periódicas entre las que se encuentran las auditorías internas. Las auditorías internas son procesos aplicables a todos los sistemas de gestión que se fundamentan en la mejora continua y en la gestión de sus riesgos y oportunidades. Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 22 Guía para la realización de las auditorías internas de los sistemas de gestión Por esta razón, es necesario: • Entender el concepto de auditoría. • Comprender por qué deben realizarse auditorías internas de los sistemas de gestión. • Aprender a realizar una auditoría interna de un sistema de gestión. • Conocer quién puede ser auditor interno dentro de una organización. • Saber cómo empezar una auditoría y cómo deben comportarse los auditores durante la auditoría. • Identificar qué acciones hay que tomar después de la auditoría. 1.2.2. Qué es una auditoría Etimológicamente, la palabra “auditoría” procede del latín auditor, que significa oyente, lo que alude a los primeros auditores que ejercían su función juzgando la verdad o falsedad de lo que era sometido a su verificación, principalmente mirando. La Real Academia Española (RAE) define la auditoría como: 1. Revisión sistemática de una actividad o de una situación para evaluar el cumplimiento de las reglas o criterios objetivos a que aquellas deben someterse. 2. Revisión y verificación de las cuentas y de la situación económica de una empresa o entidad. 3. Empleo de auditor. 4. Tribunal o despacho del auditor. Y relaciona la auditoría interna con el sector económico, pero su definición sirve para cualquier ámbito de aplicación: 1. Auditoría de una empresa llevada a cabo por sus empleados. Cabe destacar que en esta definición se la considera interna porque la realizan las propias personas de la organización, hecho que en ocasiones puede parecer que choca con uno de los principios de la auditoría, que es la independencia, la cual garantiza objetividad e imparcialidad. La definición más actualizada que procede de la Norma ISO 19011:2018 es: Proceso sistemático, independiente y documentado para obtener evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría. Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 1. ¿Por qué se deben realizar auditorías internas de lossistemas de gestión? 23 Si analizamos con más detalle esta definición, una auditoría es un proceso: • Sistemático: la auditoría se realiza de manera ordenada, de acuerdo con un método establecido. • Independiente: debe ser llevada a cabo por personas que aseguren su objetividad e imparcialidad. • Documentado: los resultados deben poder comprobarse. Cada norma de sistemas de gestión ISO incluye la definición de auditoría en los mismos términos, y también figura en el Anexo SL del suplemento de ISO consolidado de las Directivas ISO/IEC, Parte 1, comúnmente denominado Estructura de Alto Nivel ISO. 1.2.3. Por qué se realizan las auditorías Las auditorías se pueden realizar por diversos motivos y, en cada caso, con objetivos distintos: • Comprobar internamente la eficacia del sistema de gestión para alcanzar los objetivos establecidos e introducir mejoras en el propio sistema. • Evaluar a un proveedor en función de su capacidad para entregar productos o servicios conformes con los requisitos especificados, con el fin de establecer relaciones contractuales. • Verificar que el sistema de gestión de una organización satisface los requisitos de la norma aplicable y está implementado, con objeto de obtener una certificación. • Cumplir los requisitos necesarios para acceder a determinados contratos con organismos oficiales. La auditoría es una gran ayuda para la implementación y mantenimiento de un sistema de gestión: • En la fase de implementación, ayuda a realizar un diagnóstico inicial, revisar el avance del proyecto y asegurar que se logra implementar el sistema adecuadamente. • Cuando el sistema está implementado, sirve para comprobar el correcto funcionamiento del mismo, corregir situaciones no deseadas y detectar oportunidades de mejora. • Además, la preparación de una auditoría consigue involucrar a todo el personal en el sistema y en su mantenimiento, de cara a la obtención de unos resultados de desempeño adecuados. Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 24 Guía para la realización de las auditorías internas de los sistemas de gestión 1.2.4. Qué se obtiene de una auditoría Mediante la auditoría, una organización obtendrá información sobre: • El desarrollo de las actividades relacionadas con el sistema de gestión. • La conformidad de las actuaciones del personal con lo definido en el sistema de gestión. • La eficacia de los diferentes procesos del sistema de gestión. A partir de esta información se puede determinar qué partes del sistema son susceptibles de mejora y actuar sobre ellas. La auditoría ayuda a encontrar las causas reales de los problemas y permite adoptar soluciones permanentes, previniendo así errores y costes evitables. Debe utilizarse correctamente, con buen criterio y por personal formado, con la capacidad adecuada al tipo de auditoría que se va a realizar. Su utilización es clave en el proceso de mejora del sistema de gestión y no debe convertirse en un mero trámite. Dada la importancia de la auditoría como herramienta para evaluar la eficacia del sistema de gestión, debe realizarse con una frecuencia adecuada, y no como una actividad puntual y aislada de la gestión global de la empresa. Si se profundiza en lo que cada norma ISO establece como objetivo de una auditoría interna, se comprueba la coincidencia con lo expresado anteriormente, como en el caso de la ISO 45001: La organización debe llevar a cabo auditorías internas a intervalos planificados, para proporcionar información acerca de si el sistema de gestión de la SST: a) Es conforme a: 1. Los requisitos propios de la organización para su sistema de gestión de la SST, incluyendo la política de la SST y los objetivos de la SST. 2. Los requisitos de este documento. b) Se implementa y mantiene eficazmente. 1.2.5. Qué figuras participan en una auditoría En una auditoría pueden participar (véase la figura 1.2): • El cliente: organización o persona que solicita la realización de la auditoría: – Una empresa que contrata a una entidad externa para que evalúe la eficacia de su sistema de gestión. Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 1. ¿Por qué se deben realizar auditorías internas de lossistemas de gestión? 25 – Una empresa que encarga a sus auditores internos que evalúen el sistema de gestión. – Una empresa que solicita a un organismo de certificación la realización de una auditoría con el fin de recibir un certificado. – Una empresa que evalúa a sus proveedores mediante una auditoría. – Un organismo oficial que requiere la existencia de un sistema de gestión para contratar los servicios o comprar los productos a una empresa. – Un organismo oficial que requiere la existencia de un sistema de gestión para verificar la adecuación a una normativa legal. • El auditado: organización sobre la que se realiza la auditoría. • El auditor: persona que lleva a cabo la auditoría. Se pueden distinguir dos tipos de auditores: – Auditor interno: realiza las auditorías en nombre de la empresa auditada de primera parte (véase el apartado 1.2.6.1). Puede ser una persona de la propia empresa o subcontratada por la misma. – Auditor externo: no pertenece a la empresa auditada y realiza auditorías de segunda o tercera parte. Cliente Persona u organización que solicita la auditoría Auditado Auditor Entidad sobre la que se realiza la auditoría Persona con competencia para realizar la auditoría Figura 1.2. Participantes en una auditoría Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 26 Guía para la realización de las auditorías internas de los sistemas de gestión 1.2.6. Qué tipos de auditoría se pueden realizar La tabla 1.1 muestra la clasificación de las auditorías dependiendo de su función: Tabla 1.1. Auditorías según su función Clasificación de las auditorías Auditoría interna En función del sujeto Auditoría extena En función del objeto Una organización evalúa su sistema de gestión Una organización evalúa a otra empresa Auditoría de primera parte Para establecer una relación contractual o evaluar a un proveedor Auditoría de segunda parte Para conceder un certificado (entidad independiente) Auditoría de tercera parte Auditorías de sistema de gestión Evalúa el sistema de gestión en su conjunto Auditoría de proceso Verifica la eficacia de un determinado proceso Auditoría de proveedores Evalúa la capacidad de un proveedor Equivale a la auditoría de segunda parte 1.2.6.1. Auditorías en función del sujeto Según el sujeto destinatario de las auditorías, estas pueden ser: • Auditoría interna: la que realiza la dirección de una empresa con intención de verificar que todas las actividades relativas al sistema de gestión y sus resultados cumplen las disposiciones definidas. Además, sirve para evaluar la eficacia del sistema de gestión de la organización. Se conoce también como auditoría de primera parte, ya que es la propia organización la que se evalúa a sí misma. En la realización de una auditoría interna puede intervenir personal de la propia organización, siempre que disponga de la formación adecuada y que no desempeñe la actividad que va a ser auditada, o personal ajeno a la organización con la formación y conocimientos necesarios. • Auditoría externa: la que realiza una entidad ajena a una empresa con el fin de establecer una relación contractual, o bien de conceder un certificado. Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 1. ¿Por qué se deben realizar auditorías internas de lossistemas de gestión? 27 El primer caso es típico de las auditorías de evaluación de proveedores, que se llevan a cabo para evaluar la capacidad de un posible proveedor para proporcionar productos o servicios que cumplan lo especificado y poder así establecer una relación proveedorcliente. Posteriormente, si lo considera necesario, el cliente realizará nuevas auditorías para garantizar que el proveedor continúa cumpliendo los requisitos de calidad, medio ambiente, SST, seguridad de la información, etc. Es uno de los métodos más eficaces de los que dispone una empresa para asegurar que compra lo que necesita. Este tipo de auditorías también recibe el nombre de auditorías de segunda parte, por ser una organización la que evalúa a otra. Cuando se trata de obtener una certificación de que se cumple con los requisitos de una norma, las auditorías son realizadas por una entidad independiente acreditada. Estas auditorías se denominan también auditorías de tercera parte, ya que la entidad encargada de realizarlas no tiene ninguna relación ni con la organización auditada ni con su cliente. La tabla 1.2 muestra un resumen de todos estos conceptos. Tabla 1.2. Tipos de auditorías Auditoría de primera parte Auditoría de segunda parte Auditoría de tercera parte Auditoría interna Auditoría externa de proveedor Auditoría de certificación y/o acreditación Otra auditoría externa de parte interesada Auditoría legal, reglamentaria o similar Fuente: Norma UNE-EN ISO 19011:2018. Aparte de las expuestas, se pueden considerar también estos dos tipos de auditoría: • Auditoría combinada: aquella en la que se audita conjuntamente a un único auditado en dos o más sistemas de gestión de distintas disciplinas integrados en un único sistema. • Auditoría conjunta: la llevada a cabo por dos o más organizaciones auditoras a un único auditado. 1.2.6.2. Auditorías en función del objeto Se pueden clasificar en: • Auditoría de sistema de gestión: evalúa el sistema de gestión en su conjunto, verificando su eficacia y el grado de cumplimiento mediante la comprobación de las actividades realizadas, y contrastando estas actividades con los requisitos aplicables. Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 28 Guía para la realización de las auditorías internas de los sistemas de gestión • Auditoría de proceso: su objetivo es verificar la eficacia de un determinado proceso. Para realizar este tipo de auditoría se deben examinar las diferentes operaciones del proceso y los elementos en curso de la operación. Este tipo de auditoría puede realizarse a cualquier tipo de proceso: compras, producción, almacén, etc. • Auditoría de producto: se realiza para comprobar las operaciones del sistema de gestión a través de la evaluación de productos fabricados, inspeccionados y aceptados. De esta forma, se pueden identificar las áreas de fabricación y control con ineficacias. • Auditoría de proveedores: como en el caso de las auditorías de segunda parte, se realizan con el fin de evaluar la capacidad de un posible proveedor para entregar productos y servicios adecuados. 1.2.7. Las auditorías como requisito de las normas de sistemas de gestión El documento Directivas ISO/IEC, Parte 1, Anexo SL de la Organización Internacional de Normalización (ISO) establece en su apéndice 2 la estructura de alto nivel (HLS) común a todas las normas de sistemas de gestión, y el apartado 9.2 se refiere a las auditorías internas en los siguientes términos: La organización debe llevar a cabo auditorías internas a intervalos planificados, para proporcionar información acerca de si el sistema de gestión: a) es conforme con: 1. los requisitos propios de la organización para su sistema de gestión; 2. los requisitos de este documento; b) se implementa y mantiene eficazmente. La organización debe: 1. planificar, establecer, implementar y mantener programas de auditoría que incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de planificación, y la elaboración de informes, que deben tener en consideración la importancia de los procesos involucrados y los resultados de las auditorías previas; 2. definir los criterios de la auditoría y el alcance para cada auditoría; 3. seleccionar auditores y llevar a cabo auditorías para asegurarse de la objetividad y la imparcialidad del proceso de auditoría; Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 1. ¿Por qué se deben realizar auditorías internas de lossistemas de gestión? 29 4. asegurarse de que los resultados de las auditorías se informan a los directivos pertinentes; 5. conservar información documentada como evidencia de la implementación del programa de auditoría y de los resultados de las auditorías. Cada organización establecerá la forma de planificar y realizar sus auditorías internas para dar respuesta a lo establecido por la norma o normas de los sistemas de gestión que tenga implementados. En la definición y diseño del proceso de auditoría se tendrán en cuenta los siguientes elementos: • Programación: las normas no establecen un periodo de tiempo determinado para la realización de auditorías. Sin embargo, es necesario programarlas según la importancia y el estado de las áreas, actividades o procesos que deben ser auditadas. Este criterio, aplicable a las auditorías internas, puede aplicarse también a las auditorías de segunda y tercera parte. El estado de una actividad o proceso depende de tres factores: – La importancia de la actividad o del proceso respecto al esquema general de la organización. – La madurez de la actividad o del proceso. – El funcionamiento de la actividad o proceso. Como referencia, la práctica habitual es realizar auditorías parciales del sistema de gestión con la periodicidad necesaria para que, en un plazo de un año, se evalúe todo el sistema de gestión. Corresponde a la alta dirección establecer la frecuencia con la que se deben realizar las auditorías internas, teniendo en cuenta la información disponible sobre el funcionamiento del sistema de gestión. • Auditores: los auditores deben ser competentes, lo cual implica poseer una educación, formación o experiencia apropiadas. Es importante el conocimiento de las normas de referencia y de las técnicas de auditoría, además de una personalidad adecuada. Las normas indican que la selección de auditores debe asegurar la objetividad y la imparcialidad del proceso de auditoría. Esto añade una consideración adicional a la hora de seleccionar al equipo auditor: como una forma de garantizar esa imparcialidad y objetividad, el auditor no debería auditar su propio trabajo. Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 30 Guía para la realización de las auditorías internas de los sistemas de gestión • Resultados: el auditor debe registrar los resultados de la auditoría e informar de ellos. Es importante comunicar el grado de cumplimiento de los requisitos y cualquier no conformidad detectada a las personas que tengan responsabilidad en el área auditada, de forma que puedan tomar las acciones oportunas. • Acciones correctivas: cuando en la auditoría aparecen no conformidades, el personal responsable de las áreas auditadas tomará acciones correctivas lo antes posible, de forma que se eliminen de forma definitiva las causas de la no conformidad. • Seguimiento de la auditoría: se debe hacer seguimiento dentro de un plazo determinado de las acciones derivadas de la auditoría y acordadas en ella, verificando su implementación y eficacia y conservando información documentada del resultado de esta verificación. 1.3. La Norma ISO 19011 para la auditoría de los sistemas de gestión La Norma ISO 19011:2018 establece una serie de directrices para la realización de las auditorías de los sistemas de gestión, es decir, proporciona una orientación para su realización, pero no es obligatorio seguir los requisitos establecidos en ella y no puede ser causa de una desviación o una no conformidad. Pero es muy aconsejable seguir sus recomendaciones cuando se está planificando un sistema de gestión y, en concreto, el proceso de auditoría interna o un procedimiento documentado para describir qué se va a hacer en el mismo y cómo se va a realizar. Como ya se comentó en el apartado 1.2 de este libro, esta norma ha tenido varias revisiones desde su publicación en 1990. Con cada una de ellas se han ido mejorando los criterios para realizar el proceso de auditoría. Desde la publicación de la tercera edición en 2011 se han editado varias normas nuevas de sistemas de gestión y se han revisado en profundidad otras, muchas de las cuales tienen ya una estructura de alto nivel ISO con requisitos idénticos y términos y definiciones comunes. Así pues, se hizo necesario considerar un enfoque más amplio y genérico para la auditoría de los sistemas de gestión. Los principales cambios de la actual versión de 2018 con respecto a la de 2011 han sido los siguientes: • Adición del enfoque basado en riesgos a los principios de la auditoría. • Ampliación de la orientación sobre la gestión de un programa de auditoría, incluyendo el riesgo del programa de auditoría. Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 1. ¿Por qué se deben realizar auditorías internas de lossistemas de gestión? 31 • Ampliación de la orientación sobre la realización de una auditoría, particularmente la sección sobre planificación de la auditoría. • Ampliación de los requisitos de competencia genérica para los auditores. • Ajuste de la terminología para reflejar el proceso y no el objeto (“cosa”). • Eliminación del anexo que contenía los requisitos de competencia para auditar disciplinas específicas de sistemas de gestión (debido al gran número de normas individuales de sistemas de gestión, no sería práctico incluir requisitos de competencia para todas las disciplinas). • Ampliación del anexo A para proporcionar orientación sobre la auditoría de (nuevos) conceptos como el contexto de la organización, el liderazgo y el compromiso, las auditorías virtuales, el cumplimiento y la cadena de suministro. La estructura de primer nivel de la Norma ISO 19011:2018 ha quedado configurada de la siguiente manera: • Términos y definiciones. • Principios de auditoría. • Gestión de un programa de auditoría. • Realización de una auditoría. • Competencia y evaluación de los auditores. Esta norma es aplicable, como siempre, a todas las organizaciones que tienen que realizar auditorías de sistemas de gestión o gestionar un programa de auditoría, sin importar el tamaño, ubicación y procesos a los que se dedica. En cada revisión ha ido en aumento el peso que se da a la gestión del programa de auditoría, a la determinación de los riesgos y oportunidades del mismo y a la competencia y evaluación de los auditores. Algunos de los términos y definiciones importantes directamente relacionados con la auditoría en la Norma ISO 19011 son: • Auditoría: proceso sistemático, independiente y documentado para obtener evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría. • Auditor: persona que lleva a cabo una auditoría. • Equipo auditor: una o más personas que llevan a cabo una auditoría con el apoyo, si es necesario, de expertos técnicos. Uno de los auditores del equipo auditor es designado como auditor líder del equipo auditor. Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 32 Guía para la realización de las auditorías internas de los sistemas de gestión • Evidencia de la auditoría: registros, declaraciones de hechos o cualquier otra información que es pertinente para los criterios de auditoría y que es verificable. • Criterios de auditoría: conjunto de políticas, procedimientos o requisitos usados como referencia frente a la cual se compara la evidencia objetiva. • Hallazgos de la auditoría: resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría. Los hallazgos de la auditoría pueden indicar tanto conformidad o no conformidad, como oportunidades para la mejora. • Conclusiones de la auditoría: Resultado de una auditoría, tras considerar los objetivos de la auditoría y todos los hallazgos de la auditoría. • No conformidad: incumplimiento de un requisito. La norma sugiere una serie de principios para lograr que la auditoría sea una herramienta eficaz y fiable (véase la figura 1.3). Si el equipo auditor sigue estos principios, le será posible no solo llegar a conclusiones pertinentes y suficientes, sino también alcanzar conclusiones similares en circunstancias similares. Estos principios, que serán desarrollados en el apartado 2.2, se podrían resumir en: • Integridad: los auditores y las personas que gestionan un programa de auditoría deberían: – Desempeñar su trabajo de forma ética, con honestidad, diligencia y responsabilidad. – Observar y cumplir todos los requisitos legales aplicables. – Realizar actividades de auditoría solo si son competentes para hacerlo. – Desempeñar su trabajo de manera imparcial. – Ser sensibles a cualquier influencia que se pueda ejercer sobre su juicio mientras realizan una auditoría. • Presentación imparcial: los hallazgos, conclusiones e informes deberían reflejar con veracidad y exactitud las actividades de la auditoría. La comunicación debería ser veraz, exacta, objetiva, oportuna, clara y completa. • Debido cuidado profesional: los auditores deberían proceder de acuerdo con la importancia de la tarea que desempeñan y la confianza depositada en ellos por el cliente de la auditoría y otras partes interesadas, actuando con diligencia y razonando sus juicios. Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 1. ¿Por qué se deben realizar auditorías internas de lossistemas de gestión? 33 • Confidencialidad: los auditores deberían proceder con discreción en el uso y la protección de la información adquirida en el curso de sus tareas. Este concepto incluye el tratamiento apropiado de la información sensible o confidencial. • Independencia: los auditores deberían ser independientes de la actividad auditada y actuar libres de sesgo y conflicto de intereses, y mantendrán una actitud objetiva durante la auditoría. • Enfoque basado en la evidencia: la evidencia de la auditoría se debería basar en la información disponible y será verificable. La confianza en las conclusiones de la auditoría está relacionada con el uso apropiado del muestreo. • Enfoque basado en riesgos: se deberían considerar los riesgos y las oportunidades al planificar y realizar las auditorías y en la presentación de informes, para garantizar que las auditorías se centran en asuntos que son importantes para el auditado y para lograr los objetivos del programa de auditoría. Principios de auditoría según la Norma ISO 19011 Integridad Presentación imparcial Debido cuidado profesional Confidencialidad Independencia Enfoque basado en la evidencia Enfoque basado en riesgos Figura 1.3. Principios de auditoría según la Norma ISO 19011 Durante la auditoría, el auditor obtiene una serie de evidencias que se evalúan frente a los criterios de auditoría para determinar los hallazgos y determinar cuáles representan un incumplimiento de los requisitos especificados y son, por lo tanto, no conformidades. Así se llega a las conclusiones de la auditoría. Otra parte de los hallazgos pueden ser, en cambio, los puntos fuertes del sistema de gestión. La figura 1.4 muestra un resumen de todos estos conceptos. Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 34 Guía para la realización de las auditorías internas de los sistemas de gestión • Requisitos de la norma • Requisitos del sistema de gestión • Políticas y requisitos de las partes Criterios de auditoría Evidencias de la auditoría • No conformidades • Observaciones • Información obtenida de entrevistas, estudio de documentos, observaciones, registros, etc. • Oportunidades de mejora • Puntos fuertes Hallazgos de la auditoría Figura 1.4. Flujo de las fases principales de la auditoría Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 2 Tengo que realizar las auditorías internas en mi organización. ¿Por dónde empiezo? 2.1. La auditoría como proceso Como ya se ha comentado, uno de los requisitos de los sistemas de gestión es la realización periódica de auditorías internas. Asumir esta tarea requiere una reflexión sobre la mejor forma de cumplir en la práctica con este requisito. La realización de las auditorías es un proceso más dentro de los sistemas de gestión y su esquema, como se muestra en la figura 2.1, es el mismo. PROCESO Entradas Actividades Salidas Recursos Figura 2.1. Esquema de la gestión de un proceso Es conveniente recordar aquí cuáles son los principales elementos de un proceso: entradas, salidas, actividades que se llevan a cabo dentro del proceso y recursos necesarios para completarlas, junto con los métodos/procedimientos asociados a su realización. Este documento ha sido adquirido por Escribano, Juan el 2023-7-12. 35 Para poder utilizarlo en un sistema de red interno, deberá disponer de la correspondiente licencia de AENOR 36 Guía para la realización de las auditorías internas de los sistemas de gestión También debe definirse la persona responsable del proceso, e identificar los riesgos y oportunidades asociados, que pueden impedir que se alcance el objetivo del proceso. En el proceso de auditoría, las entradas pueden ser los requisitos del sistema de gestión y de la norma de referencia, así como la información obtenida durante el desempeño del sistema de gestión en el periodo a auditar. Las salidas serán el informe de la auditoría y las acciones y decisiones a tomar. Tomando como referencia la Norma ISO 19011, las principales actividades del proceso de auditoría pueden agruparse de la siguiente forma: • Establecimiento del programa de auditoría. • Preparación de la auditoría. • Realización de la auditoría in situ. • Elaboración y distribución del informe. • Seguimiento de la auditoría. 2.2. Los principios del proceso de auditoría El proceso de auditoría se caracteriza por unos principios que se pueden considerar el equivalente a los valores de una compañía. Son una guía que ayuda a lograr unas conclusiones adecuadas y pertinentes, las cuales serán similares en circunstancias similares, independientemente del auditor que realice la auditoría. Estos principios son: • Integridad profesional del auditor: la responsabilidad del auditor, su ética y honestidad le llevan a realizar la auditoría solo si es competente para ello. Durante la auditoría será imparcial; esto es, permanecerá ecuánime y sin sesgos en sus acciones y decisiones. Si detecta cualquier situación que pueda ejercer alguna influencia sobre su criterio, lo notificará para actuar en consecuencia, pudiendo llegar a pedir, llegado el caso, ser sustitu