Últimos desarrollos en auditoría de sistemas de gestión

(1)

NIGEL CROFT

Clase Maestra de Auditorias en

Sistemas de Gestión

EDUARDO LOPEZ

GATELL

Últimos desarrollos en

auditoría de sistemas de

gestión

Nigel H Croft

(2)

Plan del seminario



Evolución de las normas de sistemas de gestión y los

esfuerzos de ISO para integrarlas



Evolución de ISO 19011 y su relación con la ISO/IEC

17021:2011



Nuevos conceptos en ISO 19011:2011, y los 6 principios

en los que esta basada



Análisis cláusula por cláusula de los elementos clave en

ISO 19011:2011; incluyendo las implicaciones para los

auditores y los gestores del programa de auditoría.

May 2012 (c) Nigel H Croft 3

Parte 1

Evolución de las normas de

sistemas de gestión y los

esfuerzos de ISO para

(3)

Primer comentario …….



No me gusta “sistema integrado de gestión”



“Así es como gestionamos la calidad, ambiente,

seguridad ocupacional, seguridad de la información, etc,

etc”



Prefiero solo “Sistema de gestión”



“Así es como gestionamos nuestro negocio”



Debería incluir TODOS los factores que son relevantes

para el éxito a largo plazo



Enfoque

a

proceso

basado

en

riesgo

usando

PDCA



Enfoque a cumplimiento de normas

seg

ú

n

sea

necesario

¿Qué es un “sistema de gestión”?

 Definición formal ...

“conjunto de elementos mutuamente relacionados o que interactúanen una organizaciónpara establecer políticas y objetivos, y los procesos para lograr dichos objetivos”

 En otras palabras :

Sistema debería ser:

resultados

resultadosenfocadosenfocados un

un ““sistemasistemadocumentadodocumentado”” – –NO un NO un ““sistemasistemade de documentos documentos”” Hardware (equipos) Software (métodos) Humanware (personas)

(4)

Proceso Genérico

“Conjunto de actividades interrelacionadas” ENTRADAS _CLIENTE (Interno o externo) RESULTADOS NO DESEADOS ( (““DESPERDICIODESPERDICIO””))

A

C

D

MONITOREO/MEDICIÓN

P

“Cómo realizar un Proceso”– documentado o no) Extensión de la planificación depende del RIESGORIESGO

• Efecto en la conformidad del Producto • Aspectos / Impactos Ambientales

• Riesgos en Salud y Seguridad Ocupacional • Implicaciones Sociales • Etc. RESULTADOS DESEADOS “PRODUCTO”

Salvando la brecha...

ISO 14001:1996

EMS

ISO 9001:1994

QMS

ISO 9001:2000

QMS

ISO 14001:2004 EMS

Nota: ISO 9001 e ISO 14001 permanecerán como 2 normas separadas ISO 9001:2008 QMS ISO 9001:20xx QMS ISO 14001:20xx EMS

(5)

Alineación de las normas de

sistemas de gestión (“MSS”)

ISO 9001 (QMS) ISO 14001 (EMS) OHSAS 18001 (Health & Safety)

ISO 50001 (Energy Management) ISO 30301 (Records management) ISO 22000 (FSMS) ISO 27001 (ISMS) ISO 20121 (Sustainable event management) _{ISO 39001} (Road safety management) etc etc ISO 13485 (Medical devices) ISO 22301 (Societal security)

Alineación de las normas de

sistemas de gestión



ISO’s Joint Technical Coordination Group:



Visión conjunta para las normas de sistemas de gestión



Estructura de alto nivel para todas las normas de

sistemas de gestión de ISO



Títulos idénticos para las sub-cláusulas bajo la

estructura de alto nivel



Vocabulario genérico base para normas de sistemas de

gestión



Texto común para todas las futuras normas de sistemas

(6)

Directrices ISO Parte 1:2012

Anexo SL



Incorpora las recomendaciones del trabajo del

JTCG



Define la estructura común y el formato para

todas las nuevas normas de sistemas de gestión

ISO

y las revisiones a las normas existentes



Tendrá un impacto profundo en la futura norma

ISO 9001

MSS – Norma de sistema de

gestión (Definición ISO)

Norma que proporciona requisitos o directrices a las organizaciones para desarrollar y gestionar sistemáticamente sus políticas, procesos y procedimientos con el fin de lograr objetivos específicos.

NOTA 1 Un sistema de gestión eficaz esta basado normalmente en la

gestión de los procesos de la organización utilizando un enfoque de “Planificar-Hacer-Verificar-Actuar”con el fin de lograr los resultados planificados

NOTA 2 Estos documentos cubren por lo general los siguientes

componentes:

 política;

 planificación;

 implementación y operación;

 evaluación del desempeño;  mejora;

(7)

“Estructura de alto nivel”……

1. Alcance

2. Referencias normativas

3. Términos y definiciones

4. Contexto

Contexto

de la

organizaci

ó

n

5. Liderazgo

Liderazgo

6. Planificación

7. Soporte

8. Operación

9. Evaluaci

Evaluaci

ó

n

del

desempe

ñ

o

10. Mejora

Mejora

Organización



Persona o grupo de personas que tienen sus

propias funciones con responsabilidades,

autoridades y relaciones para lograr sus

objetivos

Nota: Organización puede ser unipersonal,

compañía, corporación, firma, autoridad,

sociedad, institución de caridad, (pública o

privada).

(8)

4.1 “Entendimiento de la

organización y su contexto”

“La organización debe determinar

aspectos

externos

e

internos

que son relevantes para su

propósito y que afectan su habilidad para lograr

los

resultados

deseados

de su sistema de

gestión “XXX””.

NOTA: “XXX” = “calidad”, “ambiental”,

“seguridad de la información”, etc

4.2 Entendimiento de las

necesidades y expectativas de

las partes interesadas

“La organización debe determinar:



las partes interesadas que son relevantes al

sistema de gestión XXX, y

(9)

4.3 Determinación del alcance

del sistema de gestión XXX

La organización debe determinar

las

fronteras

y

aplicabilidad

del sistema de gestión XXX para establecer

su alcance.

Al determinar el alcance, la organización debe considerar:



los aspectos externos e internos referenciados en 4.1, y



los requisitos referidos en 4.2

El alcance debe estar disponible como información

documentada.

4.4 sistema de gestión XXX

La organización debe establecer, implementar, mantener y

continuamente mejorar el sistema de gestión XXX,

incluyendo

los

procesos

necesarios

y

sus

interacciones

, en concordancia con los requisitos de esta

norma internacional.

( La cláusula 4.1 actual de la norma ISO 9001:2008

pudiera incorporarse dentro de esta cláusula)

(10)

5.1 Liderazgo y compromiso

“La alta dirección debedemostrardemostrarliderazgoliderazgoy compromiso con respecto al sistema de gestión XXX a través de:



asegurarasegurarquequese se establecenestablecenla la polpolííticaticaXXX y los XXX y los objetivosobjetivosXXX XXX y sean compatibles con la direccidireccióónnestratestratéégicagicade la organización;



asegurarasegurarla la integraciintegracióónnde los de los requisitosrequisitosdel del sistemasistemade de gestigestióónnXXX XXX con los procesos de negocio de la organización;

asegurar que los recursosrecursosnecesariosnecesariospara el sistema de gestión XXX estén disponibles;



comunicarcomunicarla la importanciaimportanciade una gestión eficaz XXX y de la conformidad con los requisitos del sistema de gestión XXX.;



asegurarasegurarquequeel el sistemasistemade de gestigestióónnXXX XXX logrelogresussusresultadosresultadosesperadosesperados;; 

dirigirdirigiry y dardarsoportesoportea a laslaspersonas personas paraparacontribuircontribuiren la en la eficaciaeficaciadel sistema de gestión XXX;

promover la mejora continua;



dandodandosoportesoportea a otrosotrosroles de roles de gestigestióónnrelevantesrelevantesparaparademostrardemostrarsusuliderazgoliderazgo conforme se aplique a sus áreas de responsabilidad.

NOTA La referencia “negocio” en esta norma internacional debería interpretarse de manera amplia, incluidas aquellas actividades que son centrales al propósito de la existencia de la organización.

5.2 Política

“La alta dirección debe establecer la política XXX que:

sea apropiada al propósito de la organización;

proporcione un marco de referencia para establecer objetivos XXX; incluya un compromiso de satisfacer los requisitos aplicables; e

incluya un compromiso de mejorar continuamente el sistema de

gestión XXX

La política XXX debe:

estar disponible como información documentada; ser comunicada dentro de la organización;

(11)

5.3 Papeles, responsabilidades

y autoridades organizacionales

“La alta dirección debe asegurar que las responsabilidades

y autoridades de los papeles relevantes están asignados y

comunicados dentro de la organización.

La alta dirección debe asignar la responsabilidad y

autoridad para:

a) asegurar que el sistema de gestión XXX es conforme a los requisitos de esta norma internacional;

b) reportar sobre el desempeño del sistema de gestión XXX a la alta dirección”.

(Note que el papel de reportar sobre el desempeño del sistema de gestión XXX se asigna frecuentemente a un “Representante de la Dirección”)

6.1 Acciones para tratar los

riesgos y oportunidades

“Cuando se planifica el sistema de gestión XXX, la organización debe considerar los aspectos referidos en el 4.1 y los requisitos referenciados en el 4.2 y

determinar

determinarlos los riesgosriesgosy y oportunidadesoportunidadesque necesitan ser tratados para:

asegurar que el sistema de gestión XXX puede lograr sus objetivos deseados; prevenir, o reducir los efectos no deseados;

lograr una mejora continua.

La organización debe planificar:

a) laslasaccionesaccionesparaparatratartratar estosestosriesgosriesgosy y oportunidadesoportunidades, y b) cómo:

integrar e implementar las acciones en los procesos de su sistema de gestión XXX; y

(12)

6.2 Objetivos XXX y la

planificación para lograrlos

“La organización debe establecer objetivos XXX a las funciones y niveles relevantes.

Los objetivos XXX deben:

ser consistentes con la política XXX; ser mediblesmedibles((sisiesesprpráácticoctico););

tomar en cuenta los requisitos aplicables; ser monitoreadosmonitoreados;;

ser comunicados; y

ser actualizados según sea apropiado.

La organización debe retener información documentada sobre los objetivos XXX”.

6.2 Objetivos XXX y la planificación

para lograrlos (cont…)

“Cuando se planifique cómo lograr sus

objetivos XXX, la organización debe

determinar:



qu

é

debe hacerse;



qu

é

recursos

serán requeridos;



qui

é

n

será responsible;



cu

á

ndo

debe ser terminado; y



(13)

7. Soporte

7.1 – Recursos

“La organización debe determinar y proporcionar los

recursos

necesarios para el establecimiento,

implementación, mantenimiento y mejora continua del

sistema de gestión XXX”.

7.2 Competencia

“La organización debe:

determinar la competencia necesaria de las personas que realizan el

trabajo y que afectan el desempeño XXX;

asegurar que estas personas son competentes en base a una

educación, formación, o experiencia apropiadas;

cuando sea aplicable, tomartomarlaslasaccionesaccionesparaparaadquiriradquirirla la

competencia

competencianecesarianecesaria, y evaluar la eficacia de las acciones tomadas; y

retener la información documentada apropiada como evidencia de la competencia.

NOTA Las acciones aplicables pudieran incluir, por ejemplo: proporcionar la formación, la mentormentorííaa, o la la reasignacireasignacióónnde la persona actualmente empleada; o la contratacicontratacióónnde personas de personas competentescompetentes.”

(14)

7.3 Toma de conciencia

“

Las personas

que

realizan

el

trabajo

bajo

el control de

la

organizaci

ó

n

deben ser concientes de:



la política XXX;



su

_su

contribuci

_contribuci

ó

_ó

_n

n

a la

_{a la}

eficacia

_eficacia

del sistema de gestión XXX,

incluyendo los beneficios de mejorar el desempeño XXX; y



las

implicaciones

de no

cumplir

con los requisitos del

sistema de gestión XXX.”

7.4 Comunicación

“La organización debe determinar la necesidad de las

comunicaciones relevantes internas y externas sobre el

sistema de gestión XXX incluyendo:



sobre

_sobre

qu

_qu

é

_é

se deberá comunicar;



cu

á

ndo

comunicarlo; y



(15)

7.5 Información documentada

7.5.1 General

“El sistema de gestión XXX de la organización debe incluir

información documentada requerida por esta norma internacional información documentada determinada por la organización como

necesaria para la eficacia del sistema de gestión XXX.

NOTA La extensión de la información documentada para el sistema de gestión XXX puede diferir de una organización a otra debido a:

el tamaño de la organización y su tipo de actividades, procesos, productos y

servicios;

la complejidad de los procesos y sus interacciones; y

la competencia de las personas.”

7.5.2 Creación y actualización

“Cuando se crea y actualiza la información documentada de la organización debe asegurarse una apropiada:

identificación y descripción (e.g. un título, fecha, autor, o número de

referencia);

forma (e.g. idioma, versión de software, gráficos) y medio (e.g. papel,

electrónico); y

(16)

7.5.3 Control de la información

documentada

“La información documentada requerida por el sistema de gestión XXX y por esta norma internacional debe estar controlada para asegurar:

 que está disponible y es adecuada para su uso, dónde y cuándo se necesite; y  que está adecuadamente protegida (e.g. pérdida de confidencialidad, uso inapropiado, o

pérdida de integridad).

Para el control de la información documentada, la organización debe gestionar las siguientes actividades, según sea aplicable:

 la distribución, el acceso y recuperación ,y uso;

 el almacenaje y preservación, incluyendo la preservación de la legibilidad;  el control de cambios (e.g. control de versión); y

 la retención y disposición

La

La informaciinformacióónndocumentadadocumentadade de origenorigenexternoexternoque la organización determine que sea necesaria para la planificación y operación del sistema de gestión XXX debedebeser ser identificadaidentificadasegsegúúnnsea sea apropiadoapropiadoy y controladacontrolada. NOTA El acceso implica una decisión sobre el permiso de solo ver la información documentada o el permiso y la autoridad de ver y cambiar la información documentada, etc.”

8. Operación

“8.1 Planificación y control operacional

La organización debe planificar, implementar y controlar los procesos necesarios para cumplir los requisitos, y para implementar las acciones determinadas en 6.1:

 estableciendo un criterio para los procesos;

 implementando un control de los procesos de acuerdo con ese criterio; y  manteniendo información documentada en la extensión necesaria para tener la

confianza de que los procesos se han realizado según lo planificado.

La organización debe controlar los cambios planificados y revisar las consecuencias de los cambios no intencionados, tomandotomandoaccionesacciones para

paramitigarmitigarcualquiercualquierefectoefectoadversoadverso, según sea necesario. La organización debe asegurar que los procesos contratados externamente están controlados”.

(NOTA:

(NOTA: AquiAquiesesdondedondela la mayormayorííaade los de los requisitosrequisitosactualesactualesde la de la

norma

(17)

9 Evaluación del desempeño

“9.1 Monitoreo, medición , análisis y evaluación La organización debe determinar:



ququéé necesita ser monitoreado y medido;

el mméétodotodopara monitorear, medir, analizar y evaluar, según sea

aplicable, para asegurar resultados válidos;



cucuáándondo se deben realizar el monitoreo y la medición; y



cucuáándondolos resultados del monitoreo y la medición deben ser

analizados y evaluados.

La organización debe retener la información documentada apropiada como evidencia de los resultados.

La organización debe evaluar el desempeño XXX y la eficacia del sistema de gestión XXX”.

9.2 Auditoría interna



“La organización debe realizar auditorías

internas a intervalos planificados para

proporcionar información sobre si el sistema

de gestión XXX:

a) es conforme a:

 los requisitos de la propia organización para su sistema de

gestión XXX; y

 los requisitos de esta norma internacional;

(18)

9.2 Auditoría interna (cont…..)

“La organización debe:

a) planificar, establecer, implementar y mantener un programa (s) de auditoría, incluyendo la frecuencia, métodos, responsabilidades, requisitos de planificación y reporte. El programaprograma(s) de (s) de auditorauditorííaadebedebe tomar

tomaren en consideraciconsideracióónnla la importanciaimportanciade los de los procesosprocesos concernientes

concernientesy los y los resultadosresultadosde de auditorauditorííasaspreviasprevias; b) definir el criterio de auditoría y el alcance para cada auditoría; c) seleccionar los auditores y realizar auditorías para asegurar la objetividad e imparcialidad del proceso de auditoría;

d) AsegurarAsegurarquequelos los resultadosresultadosde de laslasauditorauditorííasasson son reportadosreportadosa a los

los directivosdirectivosrelevantesrelevantes; ; y

e) retener información documentada como evidencia de la implementación del programa de auditoría y de los resultados de auditoría.”

9.3 Revisión por la dirección

“La alta dirección debe revisar el sistema de gestión XXX de la organización, a intervalos planificados, para asegurar su continua adecuación y eficacia. La revisión por la dirección debe incluir consideraciones sobre:

a) el estado de las acciones de revisiones por la dirección previas;

b) cambios en aspectos externos e internos que sean relevantes al sistema de gestión XXX;

c) informaciinformacióónnsobresobreel el desempedesempeññooXXXXXX, incluyendo tendencias en:

 no conformidades y acciones correctivas;  resultados de monitoreos y mediciones; y  resultados de auditorías.

d) oportunidades para la mejora continua.

Los resultados de la revisión por la dirección debe incluir decisiones relativas a las oportunidades de mejora continua y de cualquier necesidad de cambio al sistema de gestión XXX.

La organización debe retener información documentada como evidencia de los resultados de las revisiones por la dirección.”

(19)

10 Mejora

10.1 No conformidad y acción correctiva

“Cuando ocurre una no conformidad, la organización debe: a) reaccionar a la no conformidad, y según sea aplicable:

 tomar una acción paracontrolarcontrolary y corregirlacorregirla; y



 tratartratarcon con laslasconsecuenciasconsecuencias.

b) evaluar la necesidad de tomar una acción para eliminar las causas de la no conformidad, con el fin de con el fin de quequeno no vuelvavuelvaa a ocurrirocurrir u u ocurraocurraen en cualquier

cualquierotrootrolugarlugar, a través de:

 revisar la no conformidad;



 determinardeterminarlaslascausascausasde la no conformidad; y

 determinar si existen no conformidades similares, o pudieran ocurrir;

c) implementar cualquier acción necesaria;

d) revisar la eficacia de cualquier acción correctiva tomada; y

e) realizar los cambios en el sistema de gestión XXX, si es necesario”.

10.1 No conformidad y acción

correctiva

“Las acciones correctivas deben ser

apropiadas

a los

efectos

de

las

no

conformidades

encontradas

.

La organización debe retener la información documentada

como evidencia de:



la naturaleza de las no conformidades y cualquier acción

subsecuente tomada; y

(20)

10.2 Mejora continua

“La organización debe continuamente mejorar la

adecuación o eficacia del sistema de gestión XXX.”

Parte 2

Evolución de la norma ISO

19011 y su relación con la norma

(21)

“Antes” y “ahora”……



ISO 19011:2002 – “Directrices para la

auditoría de sistemas de gestión de la

calidad y/o ambiental”



ISO 19011:2011 – “Directrices para la

auditoría de sistemas de gestión”

Directriz antes del 2002……..

ISO 10011 Part 1

ISO 10011 Part 2

ISO 10011 Part 3

ISO 14010

ISO 14011

ISO 14012

QMS _EMS

(22)

Directriz después del 2002……

ISO 19011:2002

(Slide Courtesy Mr Dick Hortensius) QMS and EMS

Directriz a partir del 2011 ….

ISO 19011:2011

ISO 9001 ISO 14001 OHSAS 18001 ISO 27001 ISO 22000 ISO 28000 ISO 50001 ISO 22301...

(23)

Acerca de ISO 19011…..



Norma guía (no obligatoria)



Publicada el 15 de Nov. 2011



Desarrollada por un Grupo de Trabajo Conjunto

que incluyó a los “dueños” de la mayoría de las

normas de sistemas de gestión



Coordinado por el ISO/TC176/SC3



Desarrollado en colaboración cercana con el

ISO/CASCO WG21



ISO/IEC 17021:2011 – Requisitos para auditorías de

3

ra

_parte

ISO 19011:2011 y la “gestión

integrada”



Proporciona directriz sobre auditoría (de todo

tipo) de sistemas de gestión



Facilita las auditorías (integrales) combinadas



Introducción de la auditoría basada en riesgo:



Prioridad para auditar temas significativos dentro

del sistema de gestión,



Programa de auditoría y objetivos basados en

prioridades de la dirección y riesgos de la

organización.

(24)

Miembros del Grupo de

Trabajo Conjunto

75 Expertos de los siguientes TCs / liaisons

ISO/TC 8 - Supply chain security and ship recycling management

ISO/TC 34 - Food safety management

ISO/TC 176 - Quality management

ISO/TC 207 - Environmental management

ISO/TC 210 - Medical devices (quality management)

ISO/TC 223 - Societal security – business continuity management

ISO/TC 241 - Road traffic safety management

ISO/PC 242 - Energy management

ISO/TMB WG on risk management

ISO/IEC JTC1/SC27 - Information security management

ISO TC 46/SC11/WG9 – Records management ISO/PC250 – Sustainable event management

La Conformidad de los Sistemas de Gestión

Requisitos para una Auto-Declaración de

Conformidad

Auditoría interna Auditoría a _proveedores Auditoría de 3ra _parte

Requisitos para Organismos que ofrecen

Auditoría y Certificación de

Sistemas de Gestión

ISO/IEC 17021: 2011 Medios de Evaluar Conformidad

Declaración de conformdidad de los

compradores

Ahora reemplazada por Directrices para auditoría de Sistemas de Gestión (ISO 19011:2011)

Directrices para auditoría de Sistemas de Gestión de la Calidad y/o Ambiental (ISO 19011: 2002)

(25)

Principales cambios

 Clarificación de la Relación entre ISO 19011 y ISO/IEC 17021;  Introducción de métodos de auditoría remota y el concepto de riesgo;  Se agregó la confidencialidad como un nuevo principio;

 Se reorganizaron las cláusulas 5, 6 y 7;

 Nuevo anexo B con directrices adicionales – no hay “help boxes”;  Se reforzó el proceso de la determinación y la evaluación de las

competencias;

 Ejemplos ilustrativos de los conocimientos y habilidades específicos

de la disciplina incluidos en un nuevo anexo A; y

 Más información disponible en un website público de ISO

(www.iso.org/ISO19011Auditing)

Requisitos para los CB’s sobre

el proceso de auditoría …..



“Situación de locura” antes del 2006



ISO/IEC Guide 62 (QMS)



ISO/IEC Guide 66 (EMS)



IAF GD2 (Guidance on ISO/IEC Guide 62)



IAF GD6 (Guidance on ISO/IEC Guide 66)



Todas referidas como Directriz (¡!) de ISO

19011 para los requisitos de las

competencias del auditor y el proceso de

auditoría

(26)

2006 a 2011……..



ISO/IEC 17021:2006 “Evaluación de la conformidad

–Requisitos para los organismos que realizan

auditorías y certificación de sistemas de gestión”

reemplaza las Guías ISO/IEC 62 y 66



IAF GD2 y GD6 retiradas (no se necesitaron más)



ISO/IEC 17021:2006 continúa requiriendo a los

CB’s que definan varias cosas (incluyendo la

competencia del auditor) “en requisitos

documentados según la directriz relevante dada en

ISO 19011”.

¡PROBLEMA!



ISO 19011 solo es una norma de directriz



¿Qué partes son “relevantes” para las auditorías de

3

ra

_parte?



¡Debate AMPLIO y controversial!



Para los “Chicos Buenos” es muy claro



Los “Chicos Malos” dicen “¡¡no puedes hacer

que hagamos eso!!”



¿La solución?



Revisión de la ISO/IEC 17021 para definir los

requisitos

para auditorías de 3

ra

_{parte de}

(27)

ISO/IEC 17021:2011



Inicialmente concevida como “ISO/IEC 17021

Parte 2”



Ahora publicada como una sola norma (Feb

2011)



Incorpora todo el texto anterior de la ISO/IEC

17021:2006 sin cambios

ISO/IEC 17021



Requisitos adicionales para el proceso de auditoría, con

un enfoque en la competencia



Necesidad reconocida de:

 Auditores y staf de soporte competentes



 UsoUsocompetente de auditores competentes (selección de equipo)



 RecursosRecursospara permitir a un equipoequipode auditoría competente

realizar unaauditorauditorííaacompetente (¡el principal recurso es el tiempo!)



La revisión a la ISO 19011 se realizó en paralelo

(muchos de los miembros fueron comunes a los dos

equipos)

(28)

“COMPETENCIA”



Se introdujo un cambio de paradigma en ISO

9000:2000, ISO 19011:2002 e ISO/IEC

17021:2006



Cambiar de requisitos prescriptivos hacia

experiencia y formación



Ir hacia la definición y aplicación de habilidades

y conocimientos necesarios para realizar el

trabajo



¡Muchas organizaciones CB’s y AB’s aún tienen

dificultades para cambiar su modo de pensar!

Definición de competencia

Nueva definición (ISO/IEC 17021:2011 e ISO

19011) “capacidad para aplicar conocimientos

y habilidades para alcanzar los resultados

pretendidos”

ISO19011:2011 agrega una NOTA – “La

capacidad implica la aplicación apropiada del

comportamiento personal

durante el proceso

de la auditoría.”

(29)

ISO/IEC 17021:2011 May 2012 and :2011 (c) Nigel H Croft 57

Parte 3

Nuevos conceptos introducidos

en ISO 19011:2011, y los 6

principios en los que está basada

(30)

Extractos de ISO 19011:2011



Proporciona una directriz para todos los usuarios,

incluyendo organizaciones pequeñas y medianas,



Se concentra en auditorías de “primera parte” (internas)

y auditorías de “segunda parte” (realizadas por clientes

a sus proveedores)



Los requisitos para aquellos involucrados en auditorías

de “tercera parte” (certificación) se dan en ISO/IEC

17021:2011, pero la ISO 19011 todavía puede

proporcionar directrices útiles

Extractos de ISO 19011:2011

(cont…)



Introduce el concepto de riesgo a la auditoría de

sistemas de gestión.

 Relacionados tanto al riesgo de que el proceso de auditoría no

logre los objetivos como los potenciales provocados por la interferencia de la auditoría con las actividades y procesos del auditado.



No da una directriz específica sobre los riesgos propios

de los procesos de la organización, pero reconoce que

la organización puede enfocar el esfuerzo de la auditoría

en los asuntos significativos para el sistema de gestión.



Continúa siendo “basada en principios” y ahora se

(31)

Principio (a) - Integridad



“La base del profesionalismo”



Los auditores y el personal que gestiona un programa de

auditoría deberían:

 desempeñar su trabajo con honestidadhonestidad, , diligenciadiligenciay y responsabilidad

responsabilidad;;

 observar y cumplir con cualquierrequisitorequisitolegal legal aplicableaplicable;



 demostrardemostrarcompetenciacompetenciadurante el desempeño de su trabajo;

 desempeñar su trabajo de una maneraimparcialimparcial, i.e.

permaneciendo ecuánime y sin sesgos en todas sus acciones; y

 ser sensible a sensible a cualquiercualquierinfluenciainfluenciaque se pudiera ejercer sobre su juicio mientras lleva a cabo una auditoría.

Principio (b) – Presentación

imparcial



“La obligación de reportar con veracidad y

exactitud”



Los hallazgos, conclusiones y reportes de auditoría

deberían

reflejar

con

veracidad

y

exactitud

las

actividades de la auditoría;



Se deberían reportar los obst

obst

á

_á

culos

_culos

significativos

_{significativos}

encontrados durante la auditoría así como las

opiniones divergentes sin resolver entre el equipo

auditor y los auditados; y

(32)

Principio (c) – Debido cuidado

profesional



“La aplicación de diligencia y el juicio al

auditar”



Los auditores deberían proceder con el debido

cuidado

de

acuerdo

con la

importancia

de la

tarea

que

desempe

ñ

an

y la confianza depositada

en ellos por el cliente de la auditoría y otras partes

interesadas.



Un factor importante al realizar su trabajo con el

debido

cuidado

profesional

es tener la capacidad

de hacer

juicios

razonados

en todas las

situaciones de la auditoría

Principio (d) - Confidencialidad



“Seguridad en la información”



Los auditores deberían

proceder

con

discreci

ó

n

en el uso y protección de la información adquirida

durante el curso de sus tareas.



La información de auditoría

no

deber

í

a

utilizarse

inapropiadamente

para

beneficio

personal del

auditor o del

cliente

de la

auditor

í

a

, o de modo

que perjudique el legítimo interés del auditado.



Este concepto incluye el

tratamiento

apropiado

de la

informaci

(33)

Principio (e) - Independencia



“La base para la imparcialidad de la auditoría y la objetividad

de las conclusiones de la auditoría”

 Los auditores deberían ser independientesindependientesde la actividad a ser

auditada siempre que sea posible, y deberían en todos los casos actuar de manera que esténlibreslibresde de sesgosesgoy y conflictoconflictode de interesesintereses;

 Para auditorías internas, los auditores deberían ser independientesindependientesde de los

los responsablesresponsablesoperativosoperativosde la función que se audita;

 Los auditores deberíanmantenermantenersusuobjetividadobjetividaddurante el proceso de

auditoría para asegurar que los hallazgoshallazgosde de auditorauditorííaay y laslas conclusiones

conclusionesestestáánnbasadasbasadassolamentesolamenteen la en la evidenciaevidenciade de auditorauditorííaa;

 Para lasorganizacionesorganizacionespequepequeññasas, pudiera no ser posible que los auditores internos no fueran totalmente independientes de la actividad que se audita, perose se deberdeberííananhacerhacertodostodoslos los esfuerzosesfuerzosparapara eliminar

eliminarel el sesgosesgoy y fomentarfomentarla la objetividadobjetividad.