ISO 19011-2012 AENOR

norma

espanola

UNE-EN ISO 19011

TiTULO Directrices para

la

auditoria de los sistemas

(ISO 19011:2011)

. v: .

... ,:

Guidelines for auditing manal5.~';'e/jjSfttl¥ins, (~SO 190 II :20 II)

Lignes directrices pour l'a

~

iJ

J

M

:

·

i

'

d

~

~

:

s

~

S

~

ys

l

;

:

~

.

j

:

f

in

~

e

;

!

/

i de management. (ISO 19011 :2011) .... "..

laovcers'mn,oficiale,n espanol, de la Norma Europea EN ISO 19011:2011, onna Intemacional ISO 19011:2011.

OBSERVACIONES

';(E~ti(~:ri6rtha anula y sustituye a las Norrnas UNE-EN ISO 19011:2002 y

i't.JNE-ENIsO 19011:2002 ERRATUM.

Esta norma ha sido elaborada por el comite tecnico AEN/CTN 66 Gestion de la calidad y evaluacion de la conformidad cuya Secretaria desempefia AENOR.

. ': .

Edi~ada e impresa por AENOR

bfp6J

ito

legal: M 10497:2012

LAS OBSERVACIONES A ESTE DOCUMENTO HAN DE DIRIGIRSE A: Asodadon Espanola de

Normalizacian y Certificaci6n 55 Paginas

©AENOR 2012

Reproduccion prohibida Genova,6

28004 MADRID-Espana in [email protected] enor.es r .es

Tel.: 902 102201

Fax: 913 104032

AENOR AUTORIZA EL USC INTERNO DE ESTE DOCUMENTO A AENOR PERU, SAC.

AENOR AUTORIZA EL

usa

INTERNO DE ESTE DOCUIV!IENTO A AENOR PERU, S.A.C.

AENOR

NORMA EUROPEA

EUROPEAN STANDARD

NORME EUROPEENNE

EUROpA."ISCHENORM

EN ISO 19011

Noviembre 20 11· ICS 03.120.10; 13.020.10 . . , ~;.::;=' -':.;,c:"" Versi6n en espafiol

Directrices para la auditoria de los sistemas de gestio"

(ISO 19011 :20 11)

Guidelines for auditing management systems.

(ISO 19011 :2011)

Lignes directrices pour I'audit des systernes de management. (ISO 19011:2011) .: "",

₎₁

'-~. :'i:::~";~: ~!l(A;uditierung von riie~tSYstemen. 1.91111:2(111)

Esta norma europea ha sido aprobada por CEN eI2011-11-05.

Los miembros de CEN estan sometidos al Reglamento Interior de .."."".CE~LEC que define las condiciones dentro

de las cuales debe adoptarse, sin modificacion, la norma eurcip~a;:;{9W9',!lonna nacional. Las correspondientes

listas actualizadas y las referencias bibliograficas relativas a er,;(?snQwas"'ti~cionales pueden obtenerse en el

Centro de Gesti6n de CEN, 0 a traves de sus miembros. \:,~.. . ... ;i , •. o ;~' •• , •• " '(':"

Esta norma europea existe en tres versiones oficialy~(alem~k;;$:~hces e ingles), Una version en otra lengua realizada

bajo la responsabilidad de un miembro de CEN en sti.iciio.rnanacional, y notificada al Centro de Gesti6n, tiene el rnismo

rango que aquellas. .,.

',

-;t:

:

>

Los miembros de CEN son los organismos~~ci6illlle:s[~e normalizaci6n de los paises siguientes: Alemania, Austria,

Belgica, Bulgaria, Chipre, Croacia, Dirugllarci}Es16-Vaquia, Eslovenia, Espana, Estonia, Finlandia, Francia, Grecia,

Hungria, Irlanda, Islandia, Italia, Letoiiia, Litua'hia, Luxemburgo, Malta, Noruega, Paises Bajos, Polonia, Portugal,

Reino Unido, Republica Checa, Rumanfa.iSuecia

Y

Suiza, '

CEN

COMITE EUROPEO DE NORMALIZACION

European Committee for Standardization

Comite Europeen de Normalisation

Europaisches Komitee fur Norrnung

CENTRO DE GESTION: Avenue Marnix, 17-1000 Bruxelles

AENOR AUTORIZA EL

usa

INTERNO DE ESTE DOCUI\1ENTO A AENOR PERU, SAC

EN ISO 19011:2011 - 4 -

AENO

R

PROLOGO

El texto de la Norma EN ISO 19011:2011 ha sido elaborado por el Cornite Tecnico ISO/TC

y aseguramiento de /a calidad.

Esta norma europea debe recibir el rango de norma nacional mediante la publicacion de llP-'t~#oi¥~ntico

a ella 0 mediante ratificacion antes de finales de mayo de 2012, y todas las riofuia:.s_{"."./' "~,,:}-!naCionales

tecnicarnente divergentes deben anularse antes de finales de mayo de 2012.

Se llama la atencion sobre la posibilidad de que algunos de los elementos de

este.docili;B~IJ18estensujetos a derechos de patente. CEN y/o CENELEC no es(son) responsable(s)

de la i<!~nsifH::.~ci6dne dichos derechos de patente.

- .

Esta norma anula y sustituye a la Norma EN ISO 19011:2002.

De acuerdo con el Reglamento Interior de CEN/CENELEC, estan ob,4g~4()s.~adoptar esta norma europ'';;l

los organismos de normalizacion de los siguientes paises: Al~m.ania,

:i'\

iU;

tria,

Belgica, Bulgaria, Chipre,

Croacia, Dinamarca, Eslovaquia, Eslovenia, Espana, Estq¥~;";FinlilBtlia, Francia, Grecia, Hungria,

Irlanda, Islandia, Italia, Letonia, Lituania, Luxemburgo, M<1L~Na,oru~ga, Paises Bajos, Polonia,

Portugal, Reino Unido, Republica Checa, Rumania, Suecia y Suiza, -- ...

El texto de la Norma ISO 19011:2011 ha.sido aprobado por CEN como Norma EN ISO 19011:2011 sin

I

SO 190

11

:20

1

1

AENO

R

-

5

-AENOR AUTORIZA EL USO lNTERNO DE ESTE DOCU]\1ENTO A AENOR PERU, S.A.C.

INDICE

PROLOGO

;F

;

,

I

J"

"

.

PROLOGO DE LA VERSION EN ESPANOL .. INTRODUCCION · ·

:~

J

"

~;

~;

.

;

.i

~

"

1 OBJETO Y CAMPO DE APLICACION

~1;:0;;.:

~~:

:

;

E;

..

'

.

:

·

9

~;

~~

~

2 REFERENCIAS NORMATIV AS

L

.

:

~i;

m

;

.i

.

,

,

:.fL:

9 3 TERMINOS Y DEFINICIONES _\;~/, _{; c.}

:L~

_,

;

_",

;

;

:

:

;

·

;

~

,

9

'c'

4 PRINCIPIOS DE AUDITORlA _{:' '-}

~

_{.' - ,}

;

t

_{_r}

.

L

_:~

.

_,

:

_;;,

:

_~'

:~

i

_-

:

_-

i;

_. 12 5 5.1 5.2 5.3 5.4 5.5 5.6

~!:~!.~~:~a~.~!

.

~

.

.

~

~.

.

~~.

:

~

~~

.

~

~

~.:

~

~

{

;

g

~

~

~

.

~

~

;

':

;:

~

·

·

;

~

:

:

~

~

1

~

:::

::

!

:

:

;

:

:

:

:

:::::

::

:

:

:::::

:

::

:

::::

Establecimiento de los objetivos del programa

d

~;i

~

d

m(

,

,;c

~

.

:'!m

16

Establecimiento del programa de auditoria

,#:

~

'

;

,

;

;

"

~

~

:

;:i

.

;;

16

i:f

!

::

;

~~:;~

,

~;;!;::::~:~;:

;

~

~

;i

~

~~~;~~~

'

:::

=.

::

:::

:::

::

i

:

:

~

::

:::::

~

::

:

:

::

:

::::

::

6

REALIZACION DE UNA AUDITO~;",;;L: ;::\ 24 6.1 Generalidades

:

.

j/:~!

.

,

.

'.

~'~

:

::

-::.

24

6.2 Inicio de la auditoria

:i

'

!

:

.

'

25

6.3 Preparacion de las actividades d~~td~~Qr.ia 26

6.4 Realizacion de las actividad.,~~,;!

~

le4·

~

l

t6da

28

6.5 Preparacion y distribuciolf!letJ~JofiPe de auditoria 33

6.6

Fmalizacidn de la auditoria~'~;;X~;;:";: 34 6.7 Realizacien de las activid:i<le~d~ seguimiento de una auditoria 34

. . , . I

7 COMPETENCIA YEVALUACION DE LOS AUDITORES 35 7.1 Generalidades

.

L~;;

·

.

,

:

:

3

~

;

·

:

.

;

.

:..

35 7.2 Determinacion de l~ competencia del auditor para cumplir las necesidades

del progr:irna de audito·ria 35 7.3 Establecimiento de los criterios de evaluacion del auditor 40 7.4 Selecc.ond~rmetodo apropiado de evaluacion del auditor 40 7.5 Realization de la evaluacion del auditor 41

7.6 Ma,~te~i~erito y mejora de la competencia del auditor 41

ANExo_:Afu.f_{:.-,:. '.} o_"i"IIla_':1,,"·-, ti_{_}v_"o) :'. '.,

·-·;·..::;!:':;--t':"

~

EX()

ll(Informativo)

ORIENTACION Y EJEMPLOS ILUSTRATIVOS DE CONOCIMIENTOS Y HABILIDADES DE UN AUDITOR

EN DISCIPLINAS ESPECIFICAS 42 ORIENTACION ADICIONAL DESTINADA

A LOS AUDITORES PARA PLANIFICAR

Y

REALIZAR LAS AUDITORlAS 48

·,···'i3iBLIOGRAFiA 55

ISO 19011:2011

- 6 -

AENO

H

.

AENOR AUTOlUZA EL

usa

INTERNO DE ESTE DUCUI\1lEf>lTOA AlENORPEHU,SAC.

PROLOGO

ISO (Organizacion Internacional de Normalizacion) es una federacion mundial de organismos nacion~!~s, de normalizacion (organismos miembros de ISO). EI trabajo de preparacion de las Nofiriiu>

Internacionales normalmente se realiza a traves de los comites tecnicos de ISO. Cada organismo rm-$mb.!·"0O

interesado en una materia para la cual se haya establecido un cornite tecnico, tiene el derec~o'o.:~J~~tar representado en dicho comite. Las organizaciones intemacionales, puhlicas y privadas, en c6;9;t~iIia~19~

con ISO, tambien participan en el trabajo. ISO colabora estrechamente con la Comision

E'%

.

Rtr(lt~sriica

Internacional (IEC) en todas las materias de normalizacion electrotecnica, " 0000 " . ~ -" "C';l',;

Las normas intemacionales se redactan de acuerdo con las reglas establecidas en la

Piirte

'2 de las

Directivas ISOIIEC.

La tarea principal de los comites tecnicos es preparar Normas Intemacionales.Lo~·rJ:oY~ctos de Normas

Intemacionales adoptados por los comites tecnicos se envian a los organjsmos :biieDlbros para votacion.

La publicacion como Norma Intemacional requiere la aprobacion por aLrnengs el 75% de los organismos miernbros que erniten voto. 0

~-- :..' .- -, .:,:.

Se llama la atencion sobre la posibilidad de que algunos de los eleI$¥m9s<;l~.e~tedocumento puedan

estar sujetos a derechos de patente. ISO no asume la responsabilidad p'~r la'id~i,1tificacionde cualquiera 0

todos los derechos de patente. <>'t,':

La Norma ISO 19011 ha sido preparada por el Comite

Te

~

~

ic

I

~

s6

/

1'C

176, Gestion y aseguramiento

de la calidad, Subcomite SC 3, Tecnologias de apoyo. """

"'

:

i

:

:

o,

Esta segunda edicion anula y sustituye a la prim~fa;¢dicigIi'(ISO 19011:2002), que ha sido revisada

tecnicamente, ' '"""" ..

Las principales diferencias entre las versiones ge28~2.y 20 II de la Norma ISO 190 II son las

siguientes:

el objeto y campo de aplicaci6n

~eJ:l~

ampliado de la auditoria de los sistemas de gestion de La

cali dad y del medio ambiente a las1i,llclitorlaSde todos los sistemas de gestion; se ha aclarado la relacion entre1as Norritas ISC\ 19011 e ISO/IEC 17021;

se han introducido los metJci()s ~~ auditorfa a distancia y el concepto de riesgo;

se ha afiadido la confidencialidad como un nuevo principio de auditoria; se han reorganizado los capitulos 5, 6 Y 7;

se ha incluido

un

nuevo Anexo B con informacion adicional, dando como resultado la eliminac.on

de los recuadros de ayuda;

se ha fortalecido el proceso de determinacion y evaluaci6n de las competencias;

se han iricluido en un nuevo Anexo A ejemplos ilustrativos de los conocimientos y habilidades

especificos de la disciplina;

AENOR

- 7

-

ISO 19011

:

2011

AENOR AUTORIZA EL USO INTER NO DE ESTE DOCUMENTO A AENOR PERU, SAC.

PROLOGO DE LA VERSION EN ESP ANOL

. .'-.

Esta Norma Internacional ha sido traducida por el Grupe de Trabajo Spanish Translation Tas'k);;-'

(STTG) del Cornite tecnico ISOITC 176, Gestion y aseguramiento de la calidad, en el CJ,u~';p

representantes de los organismos nacionales de normalizacion y representantes del sector'~IJJes~n~r

los siguientes paises:

':5;~;ii

;:

f;~~::;"u

t

;i;

i

Argentina, Bolivia, Brasil, Chile, Colombia, Costa Rica, Cuba, Ecuador, Espaiiaj,?staaQ~:.,Unidos de

America, Mexico, Peru y Uruguay. :'.

Igualmente, en el citado Grupo de Trabajo participan representantes ..

cie'iG,QP4l'IT

(Comision

Panamericana de Normas Tecnicas) y de INLAC (Instituto Latinoamerica~o"ci~~j~·C~l.l~~·).

Esta traduccion es parte del resultado del trabajo que el Grupo ISOtTl}·i16?STI<::f viene desarrollando

desde su creacion en el afio 1999 para Lograr Launificacion de Lat~ririi[loI6giaen Lengua espanola en eL

ambito de la gestion de la calidad.

L

_"·?~

:

_·.::·f

,

_,'

:

_{.~':;<.· -.. --}

.

_{_}

'

ISO 19011:2011

-

8

-

AENO

R

AENOR AUTORlZA EL

usa

INTERNO DE ESTE DOCUMENTOA AENOR

PERU,SAC.

INTRODuccloN

Desde la publicacion de la primera edicion de est a Norma Intemacional en 2002, se han publicado varias normas nuevii's

de sistemas de gestion, Como resultado, ahora existe la necesidad de considerar un alcance mas amplio de la al,gi'ItbW!i'

de los sistemas de gestion, asi como de proporcionar una orientacion mas generica. . ,,',_>.. _' -, --::'_,' ;;,:.:.?<

En 2006, el comite de ISO para la evaluacion de la conformidad (CASCO) desarrollo la Norma ISOIIEC,i702i;:illi~

establece los requisitos para la certificacion de tercera parte de los sistemas de gestion y que se basa par<lf\lk~te .

en'

las directrices contenidas en la primera edicion de esta Norma Intemacional. """~,. "';'.:'

:,

;,,

;

~..

·

,:

:.

~;

,;.

\;

~:<-~

,~

:

t

.

i

:."

La segunda edici6n de la Norma ISOIlEC 17021, publicada en 2011, se amplio para transformar 1~;:S#7~t~i51qp.·~frecida en esta Norma Intemacional en requisitos para las auditorias de certificacion de sistemas de ge~ti61:J,>~~'eg,~~cteontexto que esta segunda edicion de esta Norma Intemacional proporciona orientacion a todos I~s U:~~§s,)jncluyendo las organizaciones pequefias y medianas, y se concentra en 10 que se denornina comUnmeiite:k~,~a~~itQl,ijnasternas" (de primera parte) y "auditorias realizadas por clientes a sus proveedores" (de segunda par1~)' A~qG~:'~quellos implicados

en auditorias de certificacion de sistemas de gesti6n sigan los requisitos de la Normals.p!n';q. 17021:2011, tambien

podrian encontrar util la orientaci6n de esta Norma Intemacional. ,.~, c ".. "C'

l. ;

La relaci6n ~ntre esta segunda edici6n de esta Norma Intemacional y la Normi;J!)()II~t 17021 :2011 se muestra en la

Tabla I. _{". ';s;}

;.~..'.,.,..·:.,:.,•:..

...

.;~?;1' ,_-:_;_ .. _,_.~r_

":';,:~!~;s..:,.;,-)~~.~-~--;[., .'-y

Tabla 1 - AJcance de esta Norma Internacionaly su relac_{_}~9Rco~_","r.... ~_//!_{_.}~_{_} "_.'NQ'rinISaOIIEC 17021:2011 Auditoria interna

.

.

.~

•

> '

,.

Auditoria al proveeciO:,r;;.';.\' Auditoria de tercera parte Para prop6sitos legales, reglamentarios

A veces Hamada auditoria de , ,.-., .. Ysimi lares

I

primera parte A veces Hamada auditori_{. ;"} a de se~~da parte _{Para certificaci6n (Veanse tambien}

los requisitos en I" Norma

L- --'-

-"-'.'':;--''.,c.,."..--""'.;'.,:,:,:

,;-,;

_._IS_O_II_E_C_I_7_0_21_:2_0_1_1) .. Esta Norma Intemacional no establece requisit()~, sino que proporciona orientacion sobre la gestion de un programs dc

auditoria, sobre la planificacion Y realizacion d,e

U#a

auditoria del sistema de gestion, as! como sobre la competencia

y

evaluaci6n de un auditor y un equipo auditor." . ,

Las organizaciones pueden operar mas de un sistema de gestion formal. Para simplificar la legibilidad de esta Nom);'

Intemacional, se prefiere la forma singular de "sistema de gestion", pero ellector puede adaptar la implementaci6n de la

orientaci6n a su propia situacion particular. Esto tambien aplica al uso de "persona" y "personas", "auditor" y

"auditores",

Se pretende que esta Norma Intemacional se aplique a un amplio range de usuarios potenciales, incluyendo aW.\itolC.·;.

organizaciones que implementan sistemas de gestion y organizaciones que necesitan realizar auditorias de sistemas de

gesti6n por razones contractuales 0 reglamentarias. Sin embargo, los usuarios de esta Norma Internacional pueden aplicar esta orientac,i6nll.1desarrollar sus propios requisitos relacionados con auditorias.

La orientaclon en esta Norma Internacional tambien puede usarse con el proposito de la autodeclaracion, y puede ser

util para organizaciones que participan en la formacion de auditores 0 en la certificaci6n de personas.

La orientacion en esta Norma Intemacional pretende ser flexible. Como se indica en varios puntos del texto, el '.'..50

de esta orientacion puede diferir dependiendo del tamafio y el nivel de madurez del sistema de gestion de una organizacion y de la naturaleza y complejidad de la organizaci6n que se va a auditar, asi como de los objetivos y el

alcance de la0 auditorias que se van a realizar.

~ ·

-9 -

ISO 19011

:

2011

AENOR

Esta Norma Intemacional introduce el concepto de riesgo en la auditoria de sistemas de gestion, EI enfoque adoptado refiere tanto a los riesgos del proceso de auditoria para alcanzar sus objetivos como al riesgo potencial de la audito_ria para interferir con las actividades y procesos del auditado. No proporciona orientaci6n especifica para los proc ",,':',"

gestion del riesgo de la organizacion, pero reconoce que las organizaciones pueden centrar el esfuerzo de audit,"

cuestiones de importancia para el sistema de gestion. ' c:"

Esta Norma Intemacional adopta el enfoque de que cuando se auditanjuntos d9S 0 mas sistemas de gestig~;q~.

,

.

ip.

~

disciplinas, esto se denornina "auditoria combinada". Cuando estos sistemas estan integrados en un tUll,S9.siste.midi

e gestion, los principios y procesos de auditoria son los mismos que para una auditoria combinada. '/),.'

<;

':';;

.

;,;

:'

EI capitulo 3 establece los terminos y definiciones clave utilizados en esta Norma Internacio esfuerzo para asegurarse de que estas definiciones no esten en conflicto con las definiciones utili

,C)

~

,'

):!

a.

p.~ghoun gran

.

:

~n

::

o

tras

normas.

EI capitulo 4 describe los principios en los que se basa la auditoria. Estos principios ayudiri;'~r:~~~b a comprender la naturaleza esencial de la auditoria y son importantes para comprender la orientacion eS~RJeciq%~p:loScapitulos 5 a 7.

i~i',_~,:,~,:_.:"";,\q

'

~~

i

f

&

~

~

;

·

EI capitulo 5 proporciona orientacion sobre el establecirniento y la gestiqq'c:a~;/i,ln~,pr()gramade auditoria, el establecimiento de los objetivos del programa de auditoria y la coordinaciou d~Ja~7a t}~ia,~~es'deauditoria.

E1capitulo 6 proporciona orientacion sobre la planificacion y realizacion d~,~~aa

"

u

l

.

6

;t~

d

;

e un sistema de gestion,

El capitulo 7 proporciona orientaci6n relativa ala competencia y la eY~I~~~ig~a~t.t;ki':uditores y los equip os auditores de sistemas de gesti6n.

,/~.j;~\~~:"

:

.

~:

~

~:t

:.

~

:

.

'

"

'/.

'

(

.

~

~~

:

.

~

EI Anexo A ilustra la aplicacion de la orientaci6n del capitulo

7

~

gisng~as diSciplinas.

-"':")':" ::~h,::,i.~::·:!·:·

EI Anexo B proporciona orientaci6n adicional para auditores

s

b

~

i

e

l

a.

plariificacion y realizacion de auditorias.

",.;': ~ . ' : ~;~ . : "::~·.l

.'~';"'.;" ,

1 OBJETO Y CAMPO DE APLICACION

Esta Norma Internacional proporciona orientll,cioh;:~§lj)-:eJa auditoria de -ros sistemas de gestion, incluyendo los principios de la auditoria, la gestion de un pro~a tk.~uditoria y la realizacion de auditorias de sistemas de gestion, asi como orientacion sobre la evaluacion de la 9<:i~p~~e!i'dade los individuos que participan en el proceso de auditoria, incluyendo a la persona que gestiona el p~()grama'iie'littilitoria, los auditores y los equipos auditores,

Es aplicable a todas las organizaciones que ri~t~sltan realizar auditorias internas 0 extemas de sistemas de gestion, 0

gestionar un programa de auditoria-. ~ , '

La aplicacion de esta Norma Internacional a otros tipos de auditorias es posible, siempre que se preste especial atencion a la competencia especifica necesaria,

',' ).:. ~-:

2 REFERENCIA~ NO~ TIV AS

No se citan refer~!,9ias normativas. Se incluye este capitulo para conservar una numeracion de capitulos identica a la utilizada en otni$

n

.o

r

~

~ de

sistemas de gestion ISO.

:-'"_("

3 T~W'fiNSS;X:DEFINICIONES

Para~1p[.9P6siigde este documento, se aplican los siguientes terminos y definiciones.

'" ':"':?_",

,

·

j;

t

1:

;

\

~

f

mit(l

;

ia:

'

Pr

~6

e

~6

~isternatico, independiente

y

documentado para obtener evidend~ la auditor." ~~evaluarlas\ de manera objed\fil Con el fin de determinar el grado en que se cumplenliY:-criterios'de.n.oltoria

ISO 19011 :2011

- 10

-

AENOR

AENOR AUTORJZA EL

u

s

a

INTERNO DE ESTE DOCUMENTO A AENOR PERU, S.A.c.

NOT A I Las auditorias internas, denominadas en algunos casos auditorias de primera parte, se realizan pur la propia organizacion, 0 en su nombre,

para la revision por la direccion y para otros propositos intern os (por ejemplo, para confirmar la eficacia del sistema de gesti6n 0 paf)i

obtener informaci6n para la mejora del sistema de gestion). Las auditorias intemas pueden formar la base para una autodeclaraci6i'{i'ij6

conformidad de una organizaci6n. En muchos casos, particularmente en organizaciones pequeiias, la independencia puede demosnii.f#'e'·'li.l

estar libre el auditor de responsabilidades en la actividad que se audita 0 al estar libre de sesgo y conflicto de intereses.

.,::;....,..• '~ r..'."

NOTA 2 Las auditorias externas incluyen auditorias de segunda y tercera parte. Las auditorias de segunda parte se llevan a cabo p~rp:att~)Ill~

tienen un interes en la organizacion, tal como los clientes, 0 por otras personas en su nombre. Las auditorlas.de terc .. 's~Ill'van

a

cabo por organizaciones auditoras independientes, tales como las autoridades reglamentarias 0 aquellas que proporcion !1.!,tifi'2.iCi,?!:,"

NOTA 3 Cuando dos 0 mas sistemas de gestion de disciplinas diferentes (por ejernplo, de la calidad, ambiental, seguridad 'i~,l\!;J"t~;!!5Idrial) se

auditanjuntos, se denomina auditoria combinada. . " ",.

NOTA 5 Adaptado de la Norma ISO 9000:2005, definicion 3.9.1.

3.2 criterios de auditoria:

Conjunto de politicas, procedimientos 0 requisitos usados como referencia frente

la auditoria (3.3).

NOTA I Adaptado de la Norma ISO 9000:2005, definicion 3.9.3,

NOTA 2 Si los criterios de auditoria son requisitos legales (incluyendo los reglamentarios):'i~ temij~:&~\· curnple" 0 no "cumpte" se utilizan "

rnenudo en los hallazgos de a uditoria (3.4). :

"

:

<

',

,;'

3.3 evidencia de la auditoria:

Registros, declaraciones de hechos 0 cualquier otra infonnaci6n q~e~espertinente para los criterios de auditorla eLl.) y

que es verificab le. ~ :-.

NOTA La evidencia de la auditoria puede ser cualitativa 0 cuantitativa,

[ISO 9000:2005, definicion 3.9.4]

3.4 hallazgos de la auditoria:

Resultados de la evaluaci6n de la evidencia de la auditoria (3.3) recopilada frente a los criterios de auditoria (3.2).

NOTA I Los hallazgos de la auditoria pueden indicar conformidad 0 no conformidad,

NOT A 2 Los hallazgos de la auditoria pueden coridllcira}a identificaci6n de oportunidades para la mejora 0 el registro de buenas practicas.

NOTA 3 Si los criterios de auditoria se seleccionan de entre los requisitos legales u otros requisites, el hallazgo de la auditoria se denomina

cumplimiento 0 no cumplimiento.' ."

NOTA 4 Adaptado de la Norma 1S9 9000:2005, definicion 3.9.5.

3.5 concfusiones de IIFauditoftai

Resultado de una alldi1:6iili"(~.l), tras considerar los objetivos de la auditoria y todos los hallazgos de la auditox-hl

(3.4).

NOTA Adaptado _i!eI-".' _,~~~i.rma -'. ,,..ISO .;..•• 9~.000. :2005, definicion 3.9.6.

3.6 clieria de la d~ditoria:

Orga~!:J,~t6b.R:I>ei~onaque solicita una auditoria (3.1).

N9Tki E~.Tlcaso' de una auditoria interna, el cliente de la auditoria tarnbien puede ser el auditado (3,7) 0 la persona que gestiona el progrunta ('ip.

auditorla. Las solicitudes de una auditoria extema pueden provenir de fuentes como autoridades reglarnentarias, partes contraranres 0

~Ijentes potenciales.

ISO 19011 :2

0 II

11

-AENOR

AENOR AUTORIZA EL

u

s

n

INTERNO DE ESTE DOCUMENTO A AENOR PERU, S.A.C.

3.7 auditado:

Organizaci6n que es auditada.

[ISO 9000:2005, definicion 3.9.8]

3.8 auditor:

Persona que lIeva a cabo una auditoria (3.1).

3.9 equipo auditor:

Uno 0 mas auditores (3.8) que Bevan a cabo una auditoria (3.1), con el apoyo, si es necesario, UG·'."m'''·L

(3.10).

NOT A I A un auditor del equipo se Ie designa como lider del mismo.

NOTA 2 EI equipo auditor puede incluir auditores en formacion.

[ISO 9000:2005, definicion 3.9.10]

3.10 experto tecnico:

Persona que aporta conocimientos 0 experiencia especificos al equipo

NOTA I EI conocirniento 0 experiencia especificos son los relacionados con la olJ!~1i!lj#a.cioiii;':j~l~IFQ(0:eslao actividad a auditar, el idioma 0

la orientacion cultural.

NOTA 2 Un experto tecnico no actua como un auditor (3.8) en el equipo

[ISO 9000:2005, definici6n 3.9.11]

3.11 observador:

Persona que acompaiia al equipo auditor (3.9) perp qU,eno audita(

NOTA I Un observador no es parte del equipo auditor (3_,.. ,:. 9) -. -'y n6':ln!, .•.fl. :~.u~e'ni interfiere en la realizacion de la auditoria (3.1).

NOTA 2 Un observador puede designarse por el auditi~~

(3

'

.

7),

llni'~utoridad reglamentaria U otra parte interesada que testi fica la audltorfa (3.1).

,.-,.,:- ._.: <r:>.'.. ;.,.:

3.12 guia:

Persona designada por el auditado (3.7) para ilsistir al equipo auditor (3.9).

3.13 programa de auditoria: .

Detalles acordados para un conjunto de OOIl o·mas auditorias (3.1) planificadas para un periodo de tiempo determinado

y dirigidas hacia un proposito especlfico.

NOTA Adaptado de la NorinaISO 9000:2005, definicion 3.9.2.

3.14 alcance de la au~i~oria:

Extensi6n y liplites de una auditorta (3.1).

-: '\.: _,", .

";,,",:

:-NOTA Elalcance deIaauditoria incluye generalmente una descripcion de las ubicaciones, las unidades de la organizacion, las actividades y los

procesos, as; como' el periodo de tiempo cubierto.

[ISO 9099;2005, clefinicion 3.9.13]

3;15' pl~1l de auditoria:

pescripci6n de las actividades y de los detalles acordados de una auditoria (3.1).

[ISO 9000:2005, definici6n 3.9.12]

ISO 19011:2011

12

-AENOR AUTORIZA EL

usa

INTERNO DE ESTE DOCUMENTO A AENOR PERU, SAC.

:i~6

riesgo-~te~l1certidumbre sobre los objetivos.

NOTA Adaptado de la Guia ISO 73:2009, definici6n 1.1.

3.17 competencia:

Capacidad para aplicar conocimientos y habilidades para alcanzar los resultados pretendidos.

NOTA La capacidad implica la ap licaci6n apropiada del comportamiento personal durante el proceso de audi toria.

3.18 conformidad: Cumplimiento de un requisito. [ISO 9000:2005, definicion 3.6.1] 3.19 no conformidad: ( Incumplimiento de un requisito. [ISO 9000:2005, definicion 3.6.2] 3.20 sistema de gestion: , Sistema para establecer la politica y los objetivos y para lograr dicho~'§~J~tivos,

NOTA Un sistema de gesti6n de una organizaci6n puede incluir diferentes sistemas .'d. e. ge;ii6ii, tales como un sistema de gestion J" la calidad, lli]

sistema de gesti6n financiera 0 un sistema de gesti6n ambiental.

[ISO 9000:2005, definicion 3.2.2]

4 PRINCIPIOS D£'AUDITORiA .

La auditoria se caracteriza pOTdepender de varies

P

·

ri~CiPi6

s

.

Estes principios deberian ayudar a hacer de la 1'lU(;;illd<J

una herramienta eficaz y fiable en apoyo del~s politi2a~ y controles de gestion, proporcionando informacion sobre la cual una organizacion puede actuar para mejorar

su

desempefio. La adhesion a esos principios es un .

para proporcionar conclusiones de la a~c4t()ria que sean pertinentes y suficientes y para permitir a trabajando independientemente entre si, aicliri4arcoriclusiones similares en circunstancias similares.

La orientacion dada en los capitulos5 a 7 se basa en los seis principios sefialados a continuacion.

a) Integridad: el fundamento de la profesionalidad

Los auditores y las personas que gestionan un programa de auditoria deberian:

desempeiiar su trabajo con honestidad, diligencia y responsabilidad; observar y cumplir.todos los requisites legales aplicables;

¥inostra,isl.lcompetencia al desempefiar su trabajo;

. desernpeflar su trabajo de manera imparcial, es decir, permanecer ecuanime y sin sesgo en todas sus acciones;

- 13 -

ISO 19011

:

2011

AENOR

AENOR AUTORIZA EL USO INTERNO DE ESTE DOCUMENTO A AENOR PERU, SAC.

b) Presentaci6n imparcial: la obligacion de informar con ver acidad y exactitud

Los hallazgos, conclusiones e informes de la auditoria deberian reflejar con veracidad y exactitud las activida<l,?i.E ~eg"d~j.l. ~

auditoria. Se deberia informar de los obstaculos significativos encontrados durante la auditoria y de las op,i!l;ipnes',:<;,

divergentes sin resolver entre el equipo auditor y el auditado. La comunicaci6n deberia ser veraz, exactl!-,.,;oJ?jeti.iXil?

oportuna, clara y completa. ,

~~;~~: - -.

\

~

~

~:~~..';

c) Debido cuidado profesional: la aplicacion de diligencia y juicio al auditar

":::;.',

'

:

;:

·

·

::

~,i

~

'~

~

;

:!

"

)~

:

;

,

~

:'

~~

~

~

IM

ij

~t

J

~

Los auditores deberian pro ceder con el debido cuidado, de acuerdo con la importancia de la taI'~iq.ue4~.~~mpeiian y

la confianza depositada en ellos por el cLientede la auditoria y por otras partes interesad

~

;

~a

"ifuportante al

realizar su trabajo con el debido cuidado profesional es tener la capacidad de hacer juicio 'it'en todas las

situaciones de la auditoria. "i,t"" ,:~"-~~ ~~>'"t'~~'>-:.;:~;

d) Confidencialidad: seguridad de la informacion "'<;:"~'

--'_- " ,;.~.:-'"

Los auditores deberian proceder con discrecion en el uso y la proteccion de la ilit'~~gi6,A:~dquirida en el curso de

sus tareas, La informacion de la auditoria no deberia usarse inapropiadamente p~dh~,n~ficio personal del auditor 0

del cLiente de la auditoria, 0 de modo que perjudique el interes legitimb·;g.t<I;lluC!jJ~aE()s.te concepto incluye

el tratamiento apropiado de la informacion sensible 0 confidencial. :< "':.",;:':';'~

. '.:

~~

;

:

;:

~·;

:

)

~

;,

.

~

i

~;;k~

_

,

>

,

;J_

:

e) Independencia: la base para la imparcialidad de la auditoria y la ql?HtiVid~g~e'las conclusiones de la auditoria

Los auditores deberian ser independientes de la actividad que 1'}\4udit~~i~Hlpreque sea posible, y en todos los casos

deberian actuar de una manera libre de sesgo y conflictode }~!t;f~ses,'Para las auditorias internas, los auditores

deberian ser independientes de los responsables operatiyos: ~eJa' funcion que se audita, Los auditores deberian

mantener la objetividad a 10 largo del proceso de auditQ#il'p,ara ~e~rarse de que los hallazgos y conclusiones de la

auditoria estaran basados solo en la evidencia de Laauifit'br{aT ','"

":"')~'::".':

Para las organizaciones pequefias, puede qU~,AIQsea posible que los auditores internos sean completamente

independientes de la actividad que se audita,

'

p

;

~

r

9

d~l:>~rianhacerse todos los esfuerzos para eliminar el sesgo y

fornentar la objetividad. :c~' "

<-':' -.:::'>

f) Enfoque basado en La evidencia: eiiilie.t6~6';illcional para alcanzar conclusiones de la auditoria fiables y

reproducibles en un proceso de auditQii!!;}_-,-,-'i~terti~t!c..o

_.:_-:_r.,.-',' .

La evidencia de la auditoria del:>¢n~se't,Verificable. En general se basara en muestras de la informacion

disponible, ya que una auditoria se lleva'li:fi~'6 dlifante un periodo de tiempo delimitado y con recursos

finitos, Deberia aplicarse un uso apropiado del fuu.estreo, ya que esta estrechamente relacionado con la

confianza que puede depositarse en las conclusiones de la '~liditoria,

5 GESTION DE UN PI~{JG~A DE AUDITORlA 5.1 Generalidades_{;,- ':<>. » .}

Una organizaciqn,qii~'ne,~~~ita llevar a cabo auditorias deberia establecer un program a de auditoria que contribuya a

la determinayjori

de ia

"~ficicia del sistema de gestion del auditado. EI prograrna de auditoria puede i neluir auditorias

que tengan ~n:,¢oI1sj4era~ionuna 0 mas normas de sistemas de gestion, llevadas a cabo de manera individual 0

cornbinada,

La aL~.~~~ci~ri.de~eria asegurarse de que los objetivos del programa de auditoria se han establecido y que se asigna una

o

rrUlS

p~rsonas cornpetentes para gestionar el programa de auditoria. EI alcance de un programa de auditoria deberia

l:>¥!U:?

~

en'

ci

i

tamafio y la naturaleza de la organizaci6n que se audita, asi como en la naturaleza, funcionalidad,

c6¥pJ~~i4a.dy nivel de madurez del sistema de gesti6n que se va a auditar. Deberia darse prioridad a asignar los recursos

del i'it<>gramdae auditoria para auditar los asuntos de importancia dentro del sistema de gesti6n. Estos pueden incluir las

carllc'terlsticas clave de la calidad de un producto 0 los peligros relativos a la salud y la seguridad, 0 los aspectos

ambientales significativos y su controL

,:.:..q~'i:;:·.

0

';: ; ::

;

;

'7;

'

~,

.

14

-ISO 19011 :2011

AENOR AUTORIZA EL

usa

INTERNO DE ESTE DOCUMENTO A AENOR PERU, SAC.

NOTA Este concepto se conoce comunmente como audirorla en funci6n del riesgo. Esta Norma Internacional no proporciona mas orientaci6n sobre

la auditoria en funci6n del riesgo.

EI programade.anditoria deberia incluir la informacion y los recursos necesarios para organizar y llevar a

c~b

(j

·

·

's

u~.

auditorias de forma eficaz y eficiente dentro de los periodos de tiempo especificados y tambien puede ineluV 10'

siguiente: ...•..

objetivos para el programa de auditoria y para las auditorias individuales;

alcance/mimero/tipos/duracion/ubicaciones/calendario de las auditorias;

- procedimientos del prograrna de auditoria;

criterios de auditoria;

metodos de auditoria;

seleccion de equipos auditores;

recursos necesarios, incluyendo viajes y alojarniento; .,.'-_ ,: . :;;~-"----'--:;.,-:.;

procesos para tratar la confidencialidad, la seguridad de la info11J?,<'i0ii~i.:r~·.~;Iy;]&la seguridad y

otros similares. .

.

!

,

.

;~

1

i

:r

"J{~;:~.:.;

La implementaci6n del programa de auditoria deberia seguirse yi'Ifi§4irsd;;~!~Iasegurarse de que se han alcanzado sus

objetivos. El programa de auditoria deberta revisarse para ide'Gtific,ar';pO:;i.blemsejoras.

'

(

~:\

:

_

:

:

·

::

·~~

:

~

~,

~<r:

~~?

~

~

,

La Figura I ilustra el flujo del proceso para la gesti6n de tlIiJ:ir.9~nihili::,daeuditoria .

. '.~(~.:\:~~ .. 1"

ISO 19011:2011

- 15

-AENOR

AENOR AUTORIZA EL

usa

INTERNO DE ESTE DOCUMEI'lTO A AENOR PERU, S.A.c.

5.2 Establecimiento de los objetivos del programa de auditoria

5.3 Establecimiento del programa de auditoria

5.3.1 Funciones y responsabilidades de la persona

responsable de la gestion del programa de auditoria 5.3.2 Competencia de la persona responsable de Ia gestion del programa de audltoria

5.3.3 Determinacion del alcance del programa de auditoria

5.3.4 ldenflucaclon y evaluacton de los riesgos relacionados con el programa de audltoria

5.3.5 Establecimiento de procedimientos para el

programa de auditoria

5.3.6 ldentttlcacion de los recursos del programa de

auditoria

5.4 lmplementaclcn del programa de auditoria

5.4.1 Generalidades

5.4.2 Definicion de los objetivos. el alcance y los criterios

para una aUditoria individual

5.4.3 Seleccion de los rnetodos de auditoria

5.4.4 Seleccion de los miembros del equipo auditor

5.4.5 Asiqnacion de responsabilidades alliderJtel

equipo auditor para una auditoria individual . ..'

,.. ' ",..._,

5.4.6 Gesti6n del resultado del progran}§

:

9.

.

.

~

'

_

au

a~?/f~

:::

-

'·

;

;

't-,

5.4.7 Gestion y mantenimienta de 10sf~gistto~"~I •.·.•

pragrama de auditoria .. '. '.

5.6 Revision y mejora del programa de auditoria

;:;;!~".>.Cornpetencia y

14-='-3~ evaliiilcion de los auditores

(Capitulo 7)

Realizacion de una auditoria (Capitulo 6)

HACER

VERIFICAR

ACTUAR

NOTA 1 EstaFigura ilustra la aplicacion del cielo Planifiear-Haeer-Verifiear-Aetuar en esta Nanna Internacional,

NOTA 2'

La

·

~

~

r;,

;;

r.I~i6

d

n

e los capitulos/apartados hace refereneia a los capitulos/apartados pertinentes de esta Norma Internaeional.

ISO 19011:2011

-

1

6 -

A

E

NOH

AENOR AUTORIZA EL

usa

TNTERNODE EST~ DOCUMENTO A AENOR PERU, SAC. 5.2 Establecimiento de los objetivos del programa de auditoria

La alta direcci6n deberia asegurarse de que los objetivos del programa de auditoria se han establecido para di1~i}a

planificacion y realizaci6n de auditorias y deberia asegurarse de que el programa de auditoria se ha impleIBiiit'~d6.>

eficazmente. Los objetivos del programa de auditoria deberian ser coherentes y servir de apoyo a la politicli;:yJos .

objetivos del sistema de gestion, :~ > ..

Estos objetivos pueden considerar 10 siguiente:

a) prioridades de la direcci6n;

b) prop6sitos comerciales y de negocio;

c) caracteristicas de procesos, productos y proyectos, y cualquier cambia en ellos;

d) requisitos del sistema de gesti6n;

--~:~-::-j->-:-:::--:-?}_\~" ;;;;':~' e) requisitos legales y contractuales yotros requisitos con los que la organizaci-~q.,:fIc,:· ,.::esffib~viPr.-.._ -'<'<;'_:,,:6inetida;

f) necesidad de evaluar a los proveedores; (

g) necesidades y expectativas de partes interesadas, incluyendo los

cl~~n,~e

g

,

"

;

h) nivel de desempefio del auditado, como se refleja en la ocurrencia de>fal!<?o,s'i~cidentes a en quejas de clientes; i) riesgos para e1 auditado;

j) resultados de auditorias previas;

k) nivel de madurez del sistema de gestion que se audita,

Ejemplos de objetivos de un programa de auditoria inqluyeri los siguientes:

contribuir a la mejora del sistema de gesti6n y a su desernpefio;

cumplir los requisitos externos, por ejemplo, lacertificaci6n can una norma de sistemas de gesti6n;

verificar la confonuidad can lo~requisites contractuales;

obtener y mantener la confianza en la capacidad de un proveedor;

determinar la eficacia del si,s~emade gestion;

evaluar la compatibilidad y la alineacion de los objetivos del sistema de gesti6n can la politica dd ~;lSjJ';Ui{;dF

gesti6n y los objetivos globales de la organizacion.

5.3 Establecimiento del programa de auditoria

5.3.1 _... :F.~n~!cm~~:.y:responsabilidaddese la persona respo nsable de la gestien del programa de auditerja

_" """:.;':": _",

La petsollarespClnsable de la gesti6n del programa de auditoria deberia:

.. establecer el alcance del programa de auditoria;

AENOR

- 17 -

ISO 19011 :2011

AENOR AUTORIZA EL

usa

TNTERNO DE ESTE DOCUMENTO A AENOR PERU, S.A.C.

establecer las responsabilidades de la auditoria;

establecer procedimientos para los programas de auditoria; determinar los recursos necesarios;

asegurarse de la implementacion del programa de auditoria, incluyendo el establecimiento

alcance y los criterios de auditoria de las auditorias individuales, la determinacion de los metodos

seleccion del equipo auditor y la evaluacion de los auditores;

asegurarse de que se gestionan y mantienen los registros apropiados del programa de audit. seguimiento, revision y mejora del programa de auditoria.

La persona responsable de la gestion del programa de auditori a deberia informar a la

programa de auditoria y, cuando sea necesario, solicitar su aprobacion,

5.3.2 Competencia de la persona responsable de la gestion del programs La persona responsable de la gestion del programa de auditorfa deberia

programa y sus riesgos asociados

de

forma eficaz y eficiente, asi --'~.V',.:::;V""'2".l,t~::

areas:

(''Beia necesaria para gestionar el

,,,5 y habilidades en las siguientes

principios, procedimientos y metodos de auditoria;

nonnas de sistemas de gestion y documentos de referenc ia;

actividades, productos y procesos del auditado; , ,j

requisitos legales y otros requisitos aplicables pertin~n~:-s-:P3}~iasactividades y productos del auditado;

clientes, proveedores y otras partes interesadas 4~i)#iiitado, cuando sea aplicable.

La persona responsable de la gestion del ptog%ma de 'auditoria deberia participar en las actividades de desarrollo

profesional continuo, apropiadas para mant~ii~r j

o

~ conocimientos y las habilidades necesarios para gestionar el

programa de auditoria, . je'" t. '.

5.3.3 Determinacion del alcance<!~l~togr~ma de auditoria

La persona responsable de la gesti6n de! programa de auditoria deberia determinar el alcance del programa de auditoria,

que puede variar dependi~pc:lodel tamafio y la naturaleza del auditado, asi como de la naturaleza, funcionalidad,

complejidad y el nivel de rnadurez del sistema de gestion que se va a auditar, y de asuntos de importancia para el mismo,

NOTA En ciertos casos, depenaiendo de la estructura

°

las actividades de la organizacion, el programa de auditoria podria consistir unicamente en

una auditoria sencilla (par ejemplo, una actividad de un proyecto pequeno).

Otros factores queti~.h~n{mpacto en un programa de auditoria incluyen los siguientes:

eIo~j~tiyo, ,alcance y duracion de cada auditoria y el numero de auditorias a llevar a cabo, incluyendo el

s~~imi~~tc) c:iela auditoria, si es aplicable;

el numero, importancia, complejidad, similitud y la ubicacion de las actividades que se van a auditar;

ISO 1

9

011

:

2011

-

1

8

-

AENOR

AENOR AUTORIZA EL

usa

INTERNO DE ESTE DOCUMENTOA AENOR PERU,

SAC.

los criterios de auditoria apJicables, tales como los detalles acordados planificados para los requisitos pertinentes

de gesti6n, de normas, legales y contractuales y otros requisitos con los que la organizaci6n esta comprometida_,:; _{:~ . :'1"}_,:_{;', ':.}

las conclusiones de auditorias intemas 0 extemas previas;

los resultados de una revisi6n previa del programa de auditoria;

el idioma, el contexto cultural y social;

las preocupaciones de las partes interesadas, tales como quejas de clientes 0

legales;

los cambios significativos para el auditado 0 sus operaciones;

la disponibilidad de las tecnologias de la informacion y cornunicacion para particular el uso de metodos de auditoria a distancia (vease el Anexo B.l);

la ocurrencia de sucesos intemos y extemos, tales como fallos del producto, ~it±i3.9ionesen la seguridad de La informacion, incidentes en materia de salud y seguridad, actos delictivos o'(nci~ent~s ambientales.

-;' ;-: ,_"-":

,--_-- - _,- .

5.3.4 Identiflcacion y evaluacion de.los riesgos relacionados con elpr~~ri9i~ ~~~:i"ditoria

Hay muchos riesgos distintos asociados con el establecimiento, la<#plemeny~ci6n, el seguimiento, la revisi6n y Ia

mejora de un programa de auditoria que pueden afectar al logro dy:'!;llSQbj~tivos. La persona que gestiona el

programa deberia considerar estos riesgos en su desarrollo. Estos riesgos pued~nasociarse a 10 siguiente:

",_r .

la planificacion, por ejemplo, faller al establecer objet.tV:osd~ll;iUditoria pertinentes y al determinar el alcance del

programa de auditoria; .., ' .'

los recursos, por ejemplo, permitir un tiernpo i(l_suficient~

p

~

ta

desarrollar el prograrna de auditoria 0 llevar a

cabo una auditoria; , ,

la seleccion del equipo auditor, por ejemplo, elequipo no tiene la competencia colectiva para llevar a cabo

auditorias de manera eficaz; '. , ,-; ,

-la implementaci6n, por ejemplo, la comunicacion ineficaz del programa de auditoria;

'"' "

los registros y sus controles.vpof ejemplo, fallar al proteger adecuadamente los registros de la auditoria pan'

demostrar la eficacia del programade auditoria;

el seguimiento, la revisi6n y la mejora del programa de auditoria, por ejemplo, el seguimiento ineficaz de \0"

resultados del programade auditoria.

5.3.5 Establecimie,nto de procedimientos para el programa de auditoria

La persona responsable de la gestion del programa de auditoria deberia establecer unO 0

mas

procedimientos, tratando

10 siguiente, cuando sea aplicable:

la planificaci6n y elaboraci6n del calendario de las auditorias considerando los riesgos relacionados con el

progr3m~

de auditoria;

el aseguramiento de la seguridad y confidencialidad de la informaci6n;

,"'elasegurarniento de la competencia de los auditores y de los lideres de los equipos auditores;

la selecci6n de los equipos auditores apropiados y la asignaci6n de sus funciones y responsabilidades;

- 19 -

ISO 19011 :20 11

AENOR

AENOR AUTORIZA EL USO INTER NO DE ESTE DOCUMENTO A ARNOR PERU, SAC.

la realizacion de las auditorias, incluyendo el uso de metodos de muestreo apropiados;

la realizacion del seguimiento de la auditoria, si es aplicable;

la cornunicacion a la alta direccion de los logros globales del programa de auditoria; la conservacion de los registros del prograrna de auditoria;

el seguimiento y la revision del desempefio y de los riesgos, y la mejora de la eficacia del nroorama 5.3.6 Identificacien de los recursos del programa de auditoria

Cuando se identifican los recursos para el programa de auditoria, la persona que !;"""""'" el:p!:l?'gj~il:la deberia considerar:

los recursos fmancieros necesarios para desarrollar, implementar, gestionar y _{de auditoria;}

los metodos de auditoria;

-,_:, ,_ ~,. C}:_-'::.

la disponibilidad de auditores y expertos tecnicos que tengan la SOlJlpeteIlcia apropiada para los objetivos particulares del prograrna de auditoria; ,-.,"

el alcance del programa de auditoria y los riesgos relacionados ,f?it-~l p~8ir~a de auditoria;

_'.,,/,;,

el tiempo y costos de transporte, alojamiento y otras necesidi4~,~ de

la

auditcria;

la disponibilidad de tecnologias de la informacion y c?~'P~iiig~~i6~

'-5.4 Implementacion del programa de auditoria 5.4.1 Generalidades

La persona responsable de la gestion del progr.A~,cle a~~ltoria deberia implementar el programa de auditoria por medio

de 10 siguiente: .">i·.,,. ":;';;:·"'I.'" .•.-~_.~-.:~:

~_- ,

comunicar las partes pertinentes -d(!l p~Qgtama de auditoria a las partes correspondientes e informarlas

peri6dicarnente de su progresojs. .... - ,/"

definir los objetivos, el alcanCt;:§'(~~.. ,_c~:~riOpSara cada auditoria individual;

coordinar y programar las auditorias y otras actividades relativas al programa de auditoria; asegurar la seleccion'de Jps equipos auditores con la competencia necesaria;

proporcionar

IOS

'

,

~~91li§0

n

~

ecesarios para los equipos auditores;

asegur~lar~ilz;~~i6'n de las auditorias de acuerdo con el programa de auditoria y dentro del periodo de tiempo

acorruid();.. ; "; "

!i,Seguraiqut!#e registran las actividades de auditoria y que los registros se gestionan y mantienen adecuadamente.

5-4.

;

''''

~

~

fi!Jicio~de

los objetivos, el alcance y los criterios para una auditoria individual

21d;,'~tid~to;~a individual deberia basarse en unos objetivos, un alcance y UDOS criterios de auditoria documentados.

"gsio'~

4eberian definirse por la persona que gestiona el prograrna de auditoria y ser coherentes con los objetivos globales

. ',d~lprograma de auditoria.

..

AENOR

ISO 19011

:

2011

20

-AENOR AUTORIZA EL

usa

INTERNO DE ESTE DOCUMENTO A AENOR PERU, SAC.

Los objetivos de la auditoria definen que es 10 que se va a lograr con la auditoria individual y pueden incluir 10

siguiente:

la determinacion del grado de conformidad del sistema de gesti6n que se va a auditar, 0 de parte de

criterios de auditoria;

la determinacion del grado de conformidad de las actividades, los procesos y los productos can lV"",~,liU'i!H,V","Y

procedimientos del sistema de gestion; ,

l )

la evaluacion de la capacidad del sistema de gesti6n para asegurar el cumplimiento de

contractuales y de otros requisitos con los que la organizaci6n esta comprometida;

la evaluacion de la eficacia del sistema de gesti6n para Lograr sus objetivos especificados;

la identificaci6n de areas de mejora potencial del sistema de gestion.

EI alcance de la auditoria deberia ser coherente con el programa de auditoria y con,l()s:'<)iJj~t.i~p,s'dlae auditoria.

Incluye factores tales como la ubicacion, las unidades de la organizaci6n, las actividadesylos proc~sos que se van a

auditar, asi como el periodo de tiempo cubierto por la auditoria. - ','

Los criterios de auditoria se utilizan como una referencia frente a la cuaL:§~~~~}~~J~~;i~'cOnfOrmidady, pueden

incluir politicas, objetivos, procedimientos, normas, requisitos Legales,,

f~qtiisHo~

'del sistema de gestion,

requisites contractuales, c6digos de conducta sectoriales u otros acuerdos plarMti:~~~qa~pli2ables.

Se deberia modificar, si es necesario, el programa de auditoria en 2~s_tLg

~

e

I

~i1

c

n

ambio en los objetivos, el alcance 0

los criterios de la auditoria, '" ,- ,:-:',,,':L;

Cuando se auditan juntos dos 0 mas sistemas de gesti6r de diferentes disciplinas (una auditoria combinada), es

importante que los objetivos, el alcance y los criterios de laKti~\t()r1~.seancoherentes con los objetivos de los prograrnas

de auditoria pertinentes. " ,

5.4.3 Seleccion de los metodos de auditoria

La persona responsable de la gesti6n del progt~rn~':~e,a~ditoria deberia seleccionar y determinar los metodos para llevar

a cabo la auditoria de manera eficaz, dep~pdierido:4~:los objetivos, el alcance y los criterios de la auditoria definidos

NOTA En el Anexo B se proporciona orientaci6ns()~r~ coin6determinar los rnetodos de auditoria.

Cuando dos 0 mas organizacionesauditoras Ilevan a cabo una auditoria conjunta del mismo auditado, las personas

responsables de la gesti6n de los diferertIe,~programas de auditoria deberian estar de acuerdo en el metodo de auditoria

y considerar las implicaciones para la provision de recursos y la planificacion de la auditoria. Si un auditado opera dos \)

mas sistemas de gesti6n de dlsciplinas diferentes, pueden incluirse auditorias combinadas en el programa de auditoria.

5.4.4 Seleccion de los mieriibros del equipo auditor

La persona responsable de la gesti6n del prograrna de auditoria deberia designar a los miembros del equipo auditor,

incluyendo alliderp~l equipo y a cualquier experto tecnico necesario para la auditoria especifica.

Un equipo alldi,t(){deiJeria seleccionarse teniendo en cuenta las competencias necesarias para alcanzar los objetivos de

la audit9rla,individ~al dentro del alcance definido. Si s610 hay un auditor, el auditor deberia realizar todas las tareas

aplicables

~llUli<:ie

~

de equipo auditor.

NOTA El capitulo 7 contiene orientacion sobre la determinacion de las competencias requeridas para los miembros del equipo auditor y descrihe

1<

"

,

- 21 -

ISO 19011 :20 11

AENOR

AgNOR AUTORIZA EL USO INTERNO DE ESTE DOCUMENTO A AF.NOR PERU, SAC.

Al decidir el tamafio y la composicion del equipo auditor para una auditoria especifica, deberia considerarse

siguiente:

a) Lacompetencia globaLdel equipo auditor necesaria para conseguir Losobjetivos de Laauditoria, teniendo

en alcance y los criterios de la auditoria;

b) Lacomplejidad de Laauditoria y si la auditoria es una auditoria combinada oconjunta;

c) Losmetodos de auditoria que se han seLeccionado;

d) los requisitos Legalesy contractuales y otros requisitos con Losque la organizacion esta comprl:lrh~tiq~i

';.,~'.

e) la necesidad de asegurarse de la independencia de Losmiembros del equipo auditor cog,r~spect9,~Tiis actividades a

auditar y de evitar cuaLquierconflicto de intereses [vease el principio e) en eLcapitulo

4JT"

'/? ,

':'r

:,: ,._.' ,_-_' ',-',

"f) la capacidad de Losmiembros del equipo auditor para interactuar eficazmente c8Il.i~i¥ept'~g~nt~tes deLauditado y para trabajar juntos; " ;i'" '

g) el idioma de Laauditoria, y las caracteristicas sociales y culturales del aUd~ta~i,'~~to~~spectos pueden tratarse bien a

traves de Lashabilidades propias del auditor 0 a traves del apoyo de un

~

#'

B

~

rta

;

t

~9

W

.s<f

:~-.;:}~~~;h%k,&l~~i:_;t~{\~.y),

Para asegurar la competencia global del equipo auditor, deberian lIeva e,a'ca,9_<,(00,_:-~_.-:>,lo_". ssiguientes pasos:

la identificacion de Losconocimientos y habilidades necesari,siJJara 'I9,;wzarlos objetivos de Laauditoria;

" ~;~:/<.:.. .'::6~.'

la selec_{necesarios este pres}cion de Los miembros d_{ente en el equi}el equi_{po audi}po aud_tor. itor, de ta

_·,·\

_,

(

_t

'fi!~r_,,,;f_t~r~_{':~;t"' ,};&ueel conjunto de conocimientos y habilidades

Si los auditores del equipo auditor no cubren todas las co~J~'i~~~i'~'~ecesarias, deberian incluirse en el equipo expertos

tecnicos con cornpetencias adicionales. Los expertos t,ecnicos del)erian operar bajo la direccion de un auditor, pero no

deberian actuar como auditores. > ):;\ ' -:

Los auditores en formacion pueden incluirs~'~ ei"~~uipo auditor, pero deberian participar bajo la direccion y

orientaci6n de un auditor.

Durante Laauditoria pueden ser nece§arib~ajltSte.~~n el tamaiio y la composicion del equipo auditor, es decir, si surge

un con~icto de intereses 0 un problemade cprnpetencia. Si surge una situaci6n tal, deberia discutirse con las partes

apropiadas (por ejemplo, el lider del eq\.1ipoihditor, la persona responsable de la gestion del programa de auditoria, el

cliente de la auditoria 0 el auditado) ante,sde que se realice ningun ajuste.

5.4.5 Asignacion de responsabilidades al lider del equipo auditor para una auditoria individual

La persona responsable de la gestion del programa de auditoria deberia asignar a un lider del equipo auditor la

responsabilidad de llevar :lcabo la auditoria individual.

La asignaci6n

~

.

~~~

hi

!

i

i

q

l

~

:

r

l

:secon tiempo suficiente antes de la fecha programada de la auditoria, para asegurarse

de la planificacion /,",' -'>i,

e

Ii9

t\

~

;

q

1

~

lj.,1;luditoria.

Para ase~~~§de !arealizaci6n eficaz de las auditorias individuales, deberia proporcionarse al lider del equipo auditor

la siguiente irifonn; : ' , '," aci6n:

a)

Ids

~BH~yos de la auditorfa;

b) i<i{6Bterios de auditoria y cualquier documento de referencia;

el alcance de Laauditoria, incluyendo la identificacion de las unidades de la organizaci6n y unidades funcionales y

los procesos que se van a auditar;

ISO 1

90

11

:

2011

- 2

2

-AENOR AUTORIZA EL

us

a

lNTERNO DE ESTE DOCUI\1ENTOPIAENOR PERU,S.A.c.

d) los rnetodos y procedimientos de la auditoria; e) la cornposicion del equipo auditor;

!,~:k·

f) L_~<fosdet_§~ia_¥'lle_fln s _{a llev}de con_ar tac_a t_cabo con _o; el auditado, Lasubicaciones, fechas y duracion de Lasactividades de auditoriaql! ".,,'" ...

g) la asignacion de los recursos apropiados para llevar a cabo la auditoria;

h) Lainformacion necesaria para evaluar y tratar Losriesgos identificados para el logro de Losnnlprmc,~

Esta informacion tambien deberia cubrir 10 siguiente, cuando sea apropiado:

el idioma de trabajo y del informe de la auditoria, cuando sea diferente del idioma

el contenido y Ladistribucion del informe de auditoria requerido por el programa

los asuntos relacionados con la confidencialidad y la seguridad de la

auditoria;

Losrequisitos de salud y seguridad para los auditores;

los requisitos de seguridad y de autorizacion;

las acciones de seguimiento, por ejemplo, respecto de una auditQrla p,revi~, si es aplicable;

la coordinacion con otras actividades de auditoria, en caso _{.-.,:: .}d~'~h: a~Jit'bna conjunta .

.',',;._

Cuando se lleva a cabo una auditoria conjunta es importante al~ihz~ iin acuerdo entre las organizaciones que UJevan:J

cabo las auditorias, antes de que la auditoria cornience, sobre his responsabilidades especificas de cada parte,

especialmente en 10 que concieme a la autoridad dellider del eqllipo auditor designado para la auditoria.

5.4.6 Gestion del resultado del programa de atidlthda

La persona responsable de la gestion del prograp:l,ade jnrditoria deberia asegurarse de que se realizan las siguientc.,

actividades: . .'

la revision y aprobacion de los informes de la auditoria, incluyendo la evaluacion de la idoneidad y ade.clJ;;'

ii

,

,

·

,i

.

·

los hallazgos de la auditoria; "

Larevision del amilisis de LacalJ!iar~z yd2 la eficacia de Lasacciones correctivas y las acciones preventivas;

la distribucion de informes de auditoria a la alta direcci6n y a otras partes pertinentes;

la determinacion de la riecesidad de alguna auditoria de seguirniento.

5.4.7 Gestion y mantenimieuto de los registros del programa de auditoria

La persona responsable de la gestion del programa de auditoria deberia asegurarse de que se crean,

rnantienen registroj;'.de la auditoria para demostrar la implementacion del programa de auditoria, Deberian (O:;ta.bl,e(;):,::

procesos para asegurarse de que se trata cualquier necesidad de confidencialidad asociada con los regisllo;; :' In

auditoria.

Los registros deberian incluir 10 siguiente:

a) los registros relacionados con el prograrna de auditoria, tales como:

los objetivos y el alcance del programa de auditoria documentados;

los relativos a Losriesgos relacionados con el programa de auditoria;