Clase Maestra de Auditorias en Sistemas de Gestión - … Maestra de Auditorias - 2a. parte.pdf ·...

NIGEL CROFT

Clase Maestra de Auditorias en Sistemas de Gestión

EDUARDO LOPEZ GATELL

Mayo 2012 (c) Eduardo Gatell 2

La nueva ISO 19011:2011Directrices para auditoría de

sistemas de gestión

Eduardo GatellMember, ISO/TC176/SC2 – Strategic Planning and Operations Task GroupMember, IAF/ISO Auditing Practices Group

Plan

Do

Check

Act

Cláusulas 5.2 / 5.3Establecer objetivos y programa de auditoría

Cláusula 5.5 Monitoreo del programa

de auditoría

Cláusula 5.4Implementación del

programa de auditoría

Cláusula 5.6Revisión y mejoradel programa de

auditoría

Cláusula 6 Realización de la auditoría

Cláusula 7 Define y Evalúa lacompetencia

Gestionando un programa de auditoría

Mayo 2012 3(c) Eduardo Gatell

5.2 Establecimiento de los objetivos del programa de auditoría La alta dirección debería asegurar que los objetivos del programa de auditoría

se establecen asegurar que el programa de auditoría se implementa

eficazmente. Los objetivos del programa de auditoría

deberían ser consistentes con y soportar a la política y los objetivos del sistema de gestión.


¿Qué se debe considerar para fijar los objetivos del Programa de Auditoría?


5.2 Establecimiento de los objetivos del programa de auditoría (cont…)

Los objetivos del programa pueden considerar lo siguiente:a) las prioridades de la dirección;b) las intenciones comerciales y de negocio;c) las características de los procesos, productos y proyectos;d) los requisitos del sistema de gestión;e) los requisitos legales / contractuales;f) la necesidad de evaluar a los proveedores;g) las necesidades y expectativas de las partes interesadas, incluyendo los clientes;h) el nivel de desempeño del auditado, (la ocurrencia de fallas / incidentes / quejas)i) los riesgos del auditadoj) los resultados de auditorías previask) el nivel de madurez del sistema de gestión que se va a auditar



¿Qué se espera que haga la persona que gestiona el Programa de Auditoría?

5.3 Establecimiento del programa de auditoría

5.3.1 La persona que gestiona el programa de auditoríadebería: establecer la extensión del programa de auditoría; identificar y evaluar los riesgosriesgos para el programa de auditoría; establecer las responsabilidades de la auditoría; establecer los procedimientos; determinar los recursos necesarios; asegurar la implementación del programa de auditoría, incluyendo:

los objetivos de la auditoría el alcance y el criterio de las auditorías individuales los métodos de auditoría la selección del equipo auditor la evaluación de los auditores;

asegurar que los registros del programa de auditoría pertinentes se gestionan y mantienen

monitorear, revisar y mejorar el programa de auditoría informar a la alta dirección sobre el contenido del programa de auditoría y solicitar su

aprobación según sea necesario.Mayo 2012 (c) Eduardo Gatell 8


¿Qué competencias debería tener la persona que gestiona el Programa de Auditoría?

5.3.2 Competencia de la persona que gestiona el programa de auditoría Se necesita competencia para gestionar el programa y los riesgos

asociados, así como conocimientos y habilidades en las siguientesáreas: principios, procedimientos y métodos de auditoría; normas de sistemas de gestión y documentos de referencia; actividades, productos y procesos del auditado; requisitos legales y de otro tipo aplicables pertinentes a las actividades y

productos del auditado; clientes, proveedores y otras partes interesadas del auditado, cuando sea

aplicable.

Debería estar involucrado en un desarrollo profesional continuo para mantener los conocimientos y habilidades necesarias paragestionar el programa de auditoría.



¿Qué factores pueden influenciar la extensión del Programa de Auditoría?

5.3.3 Determinación de la extensión del programa de auditoría Otros factores incluyen:

el objetivo, alcance y duración de cada auditoría y el número de auditorías a realizarse, (incluyendoel seguimiento, si aplica)

el número, importancia, complejidad, similitud y ubicación de las actividades a ser auditadas; los factores que influencian la eficacia del sistema de gestión; el criterio de auditoría (eg, arreglos para los requisitos de gestión, normativos, legales y

contractuales pertinentes) las conclusiones de auditorías previas internas y externas; los resultados de revisiones previas al programa de auditoría; el idioma, cultura y aspectos sociales; las preocupciones de las partes interesadas (eg. quejas de clientes o incumplimientos legales); los cambios significativos en el auditado o sus operaciones; las tecnologías de información y comunicación para soportar las actividades de auditoría, en

particular el uso de métodos de auditoría remotos (ver anexo B); la ocurrencia de eventos internos y externos, (eg. falla de producto, fugas en la seguridad de la

información, incidentes de salud y seguridad , actos criminales o incidentes ambientales).



¿Qué tipos de riesgos se deben identificar el Programa de Auditoría?

5.3.4 Identicación y evaluación de riesgos del programa de auditoría Los riesgos pudieran estar asociados con:

La planificación (eg. falla al establecer objetivos de auditoríapertinentes y al determinar la extensión del programa de auditoría)

Los recursos (eg. asignando tiempo insuficiente) La selección del equipo auditor (eg. el equipo no tiene la

competencia colectiva para realizar auditorías eficazmente) La implementación (eg. comunicación no eficaz del programa de

auditoría) Los registros y controles (eg. falla en la protección de los registros de

la auditoría para demostrar la eficacia del programa) El monitoreo, revisión y mejora del programa de auditoría (eg.

monitoreo no eficaz de los resultados)Mayo 2012 (c) Eduardo Gatell 14


¿Qué debería cubrir el/los procedimientos para el Programa de Auditoría?

5.3.5 Establecimiento de procedimientos para el programade auditoría Deberían tratar lo siguiente, según sea aplicable:

la planificación y calendarización de auditorías considerando los riesgos;

asegurar la seguridad y confidencialidad de la información; asegurar la competencia de los auditores y líderes de equipo; la selección de equipos de auditoría apropiados / la asignación de roles

y responsabilidades; la realización de auditorías, incluyendo el uso del muestreo apropiado la realización de auditorías de seguimiento, si es aplicable; reportar a la alta dirección sobre los logros del programa de auditoría; mantenimiento de registros del programa; el monitoreo / revisión del desempeño y riesgos, así como la mejora de

la eficacia del programa de auditoría.



¿Qué influye en la selección de los miembros del equipo auditor?

5.4.4 Selección de los miembros del equipo auditor

Se necesita señalar miembros del equipo auditor, incluyendo líder del equipo expertos técnicos requeridos

Tomar en cuenta la compentencia necesaria para lograr los objetivos de la auditoría individual dentro del alcancedefinido.

Si solo hay un auditor, el auditor debería realizar todas lastareas aplicables de un auditor líder del equipo.

NOTA, La cláusula 7 contiene directrices sobre la determinación de las competencias requeridas de los miembros del equipo auditor y describe los procesos para la evaluación de los auditores.


5.4.4 Selección de los miembrosdel equipo auditor (cont…) Se necesita considerar:

a) la la competenciacompetencia colectivacolectiva del del equipoequipo auditor auditor para lograr los objetivos de la auditoría, tomando en cuenta el alcance y el criterio de la auditoría;b) la complejidad de la auditoría y si es combinada o conjunta;c) los métodos de auditoría seleccionados;d) los requisitos legales / contractuales, etce) la necesidad de independiencia y de evitar conflicto de interesesf) la la habilidadhabilidad del del equipoequipo auditor auditor parapara interactuarinteractuar eficazmenteeficazmentecon el con el auditadoauditado y y trabajartrabajar en en equipoequipo;g) el idioma de la auditoría, / laslas caractercaracteríísticassticas socialessociales y y culturalesculturales del del auditadoauditado (pudiera necesitarse que sean tratadas porvía de un experto técnico).


5.4.4 Selección de los miembrosdel equipo auditor (cont…) Deberían realizarse las siguientes etapas:

identificar los conocimientos y habilidades necesarias para lograr los objetivos de la auditoría;

seleccionar al equipo de modo que todo el conocimiento y habilidadesnecesarias estén presentes

PudieraPudiera ser ser necesarionecesario el el usouso de de expertosexpertos ttéécnicoscnicos paraatraer la competencia adicional (¡no debrerían actuar comoauditores!).

Pudiera incluirse auditores en entrenamiento, pero bajo la dirección y guía de un auditor.

Pudiera necesitarse ajustar el tamaño / composición del equipo auditor durante la auditoría, (eg. si surgiera un conflicto de intereses o de competencia). Se necesita discutircon las partes pertinentes antes de hacer cualquier ajuste.


Actividades típicas de auditoría


6.2 Inicio de la auditoría (6.2.1 General; 6.2.2 Establecimiento del contacto inicial; 6.2.3 Determinación de la factibilidad)

6.3 Actividades de preparación de la auditoría (6.3.1 Rev. doc.; 6.3.2 Plan de Auditoría; 6.3.3 Asignación de tareas; 6.3.4 Preparación de doc. de trabajo)

6.4 Actividades de realización de la auditoría (6.4.1 General; 6.4.2 Reunión de Apertura; 6.4.3 Rev. doc. durante la auditoría; 6.4.4 Comunicación; 6.4.5 Guías / Observadores; 6.4.6 Recolección/verif. de inf.; 6.4.7 Generación de hallazgos;6.4.8 Preparación de conclusiones;6.4.9 Reunión de cierre)

6.5 Preparación / distribución del reporte de auditoría(6.5.1 Preparación del reporte; 6.5.2 Distribución del reporte)

6.6 Finalizacion de la auditoría

6.7 Realización de las actividades de seguimiento (si se especifica en el plan)


¿Cuáles son los propósitos/elementos del contacto inicial con el auditado?

6.2.2 Establecimiento del contacto inicial con el auditado Líder del equipo auditor (informal o formal) Los propósitos son:

establecer comunicación con los representantes del auditado; confirmar la autoridad para realizar la auditoría; proporcionar información sobre los objetivos, alcance y métodos de la auditoría, y la

composición del equipo auditor, incluyendo expertos técnicos; solicitar el acceso a documentos y registros pertinentes con el propósito de

planificación; determinar los requisitos legales, contractuales y de otro tipo pertinentes a las

actividades y productos del auditado; confirmar el acuerdo con el auditado sobrel la extensión y tratamiento de la

información confidencial; hacer los arreglos para la auditoría incluyendo horarios y fechas; determinar cualquier requisito de acceso, seguridad, salud y seguridad personal, etc. acordar la participación de observadores y la necesidad de guías para el equipo aud; determinar cualquier área de interés o preocupación del auditado.



¿Cuál es el propósito y cuidados a tener al realizar una “revisión de la documentación” para preparar una auditoría?

6.3 Preparación de lasactividades de auditoría

6.3.1 Realización de la la revisirevisióónn de la de la documentacidocumentacióónn en la en la preparacipreparacióónnde la de la auditorauditorííaaDebería revisarse la documentación pertinente del SG a auditarse para:

recabar información para preparar las actividades de la auditoría y los documentos de trabajo aplicables (ver 6.3.4), eg sobre procesos, funciones;

establecer una visión general de la extensión de la documentación del sistema paradetectar posibles carencias.

NOTA Se da una directriz de cómo realizar una revisión de la documentación en la cláusula B.3.La documentación debería incluir, cuando sea aplicable:

documentos y registros del sistema de gestión reportes de auditorías previas, si son pertinentes.

La revisión de la documentación debería tomar en cuenta el tamaño, la naturaleza y la complejidad del sistema de gestión del auditado, y de la organización, los objetivos de la auditoría y el alcance.



¿Qué debe considerar el auditor líder del equipo para preparar el plan de auditoría?

6.3.2 Preparación del plan de auditoría

El auditor líder debería preparar el plan de auditoría con base en la informacióncontenida en el programa de auditoría y en la documentación proporcionada porel auditado.

El plan debería considerar el efecto de la auditoría en los procesos del auditado Debería proporcionar bases para el acuerdo entre el cliente de la auditoría, el equipo auditor y el

auditado Debería facilitar la programación y coordinación eficiente de las actividades de auditoría.

El El nivelnivel de de detalledetalle del plan del plan deberdeberííaa reflejarareflejara el el alcancealcance y la y la complejidadcomplejidad de de la la auditorauditorííaa, así como el efecto de la incertidumbre en el logro de los objetivos.

Al preparar el plan de la auditoría, el auditor líder debería estar consciente de: las técnicas de muestreo apropiadas (ver capitulo B.5); la composición del equipo audiot y su competencia colectiva; los riesgos para la organización creados por la auditoria.

Los riesgos pudieran resultar de los miembros del equipo auditor al influenciar la salud y seguridad, el ambiente y la calidad, y su presencia puede presentar amenazas para los productos, servicios, personal o infraestructura (ej, contaminación).



¿Qué debe considerar el proceso de evaluación de los auditores?

7.1 General El proceso de evaluación debería incluir cuatro pasos:

a) determinardeterminar la la competenciacompetencia del personal de la auditoría para cumplir lasnecesidades del programa de auditoría;b) establish evaluation criteriaestablish evaluation criteria;c) seleccionar el mméétodotodo apropiadoapropiado de de evaluacievaluacióónn;d) realizarrealizar la la evaluacievaluacióónn.

El resultado del proceso de evaluación deberíaproporcionar la base para:la selección de los miembros del equipo auditor como se describe en 5.4.4;determinardeterminar la la necesidadnecesidad de de mejorarmejorar la la competenciacompetencia (ej. formaciónadicional);evaluacievaluacióónn continua del continua del desempedesempeññoo de los de los auditoresauditores.

November 2010 (c) Nigel H Croft 29


¿Qué tipos de conocimientos y habilidades “específicas de la disciplina y sector” deben considerar ?

7.2.3.3 Conocimientos y habilidadesespecíficas de la disciplina y sector

Debería incluir:requisitos y principios sobre la disciplina específica del SG y su aplicación;requisitos legales pertinentes a la disciplina y el sector, de modo que el auditor estéconsciente de los requisitos específicos en la jurisdicción y obligaciones, actividades y productos del auditado;los requisitos de las partes interesadas pertinentes a la disciplina específica;los fundamentos de la disciplina y la aplicación de métodos de negocio y métodos técnicosespecíficos de la disciplina, técnicas, procesos y prácticas, suficientes para permitir que el auditor examine el SG y genere los hallazgos y conclusiones apropiadas;conocimientos específicos de la disciplina relacionados al sector particular, naturaleza de las operaciones o lugar de trabajo a ser auditado, suficientes para que el auditor evalúe lasactividades, procesos y productos del auditado (bienes y servicios);los principios de gestión de riesgos, métodos y técnicas pertinentes a la disciplina y sector, de modo que el auditor pueda evaluar y controlar los riesgos asociados con el programa de auditoría.

November 2010 (c) Nigel H Croft 31

MUCHAS GRACIAS!

[email protected]@inlac.com

www.thecroftalliance.comMay 2012 32(c) Nigel H Croft

Clase Maestra de Auditorias en Sistemas de Gestión - … Maestra de Auditorias - 2a. parte.pdf ·...

Documents

Transcript of Clase Maestra de Auditorias en Sistemas de Gestión - … Maestra de Auditorias - 2a. parte.pdf ·...