• No se han encontrado resultados

Curso de Auditoría Ambiental Unidad Didáctica Nº 7. Directrices para la auditoría de los sistemas de gestión RECAI 171

N/A
N/A
Info
Descargar
Protected

Academic year: 2021

Share "Curso de Auditoría Ambiental Unidad Didáctica Nº 7. Directrices para la auditoría de los sistemas de gestión RECAI 171"

Copied!
50
0
0

Cargando.... (Ver texto completo ahora)

Descargar ahora ( 50 página )

Texto completo

(1)

RECAI 171

Directrices para la auditoría

de los sistemas de gestión

(2)

RECAI 172 NUEVA VERSIÓN PARA LA AUDITORÍA DE SISTEMAS DE GESTIÓN

ISO publicó el pasado 11 de Noviembre de 2011 la nueva versión de la Guía de Auditoria ISO 19011, la cual se encuentra ahora en su versión 2011 y que pasó por un extenso proceso de revisión durante 5 años aproximadamente.

En el entorno empresarial de hoy en día, muchas organizaciones incorpo-ran una serie de sistemas de gestión, tales como calidad, medio ambiente, servi-cios de TI y seguridad de la información. Como resultado, estas organizaciones quieren armonizar y, cuando sea posible, combinar la auditoría de estos sistemas. Según ISO, en comparación con la primera edición de la norma publicada en el año 2002 que se aplicaba sólo a la norma ISO 9001 (calidad) e ISO 14001 (medio ambiente), el alcance de la norma ISO 19011:2011, Directrices para la auditoría de sistemas de gestión, se ha ampliado para reflejar el pensamiento actual y la complejidad de la auditoría de múltiples sistemas de gestión basados en normas.

Esto ayudará a las organizaciones de usuarios para optimizar y facilitar la integración de sus sistemas de gestión y, una sola auditoría para sus sistemas, agilizará los procesos de auditoría, reducirá la duplicación de esfuerzos y la inte-rrupción y disminuirá las unidades de trabajo que están siendo auditadas.

Se presta especial atención a la aplicación del programa de auditoría. Mediante la plena aplicación de estas directrices, los requisitos previos se propor-cionan para hacer de la auditoría una herramienta crucial para la alta dirección, para alcanzar los objetivos de la organización.

ISO 19011:2011 proporciona orientación sobre la realización de una audi-toría de sistemas de gestión interna o externa, así como sobre la gestión de los programas de auditoría. Los destinatarios de esta norma internacional son los auditores, los directores del equipo de auditoría, los administradores del programa de auditoría, las organizaciones para la implementación de sistemas de gestión y las organizaciones que necesitan para llevar a cabo auditorías de sistemas de gestión por razones contractuales o reglamentarias.

"ISO 19011:2011 ha sido revisada para proporcionar a los auditores, orga-nizaciones que utilizan sistemas de gestión y orgaorga-nizaciones que necesitan para llevar a cabo auditorías de sistemas de gestión, la oportunidad de volver a evaluar sus propias prácticas e identificar oportunidades de mejora."

"En comparación con la versión de 2002, la norma añade el concepto de riesgo y reconoce de manera más explícita la competencia del equipo de auditoría y los auditores individuales. Además, el uso de la tecnología en la auditoría a dis-tancia es reconocido, por ejemplo, la realización de entrevistas a disdis-tancia y revi-sar los registros de forma remota.”

(3)

RECAI 173 Principales Cambios

Esta nueva versión de la norma presenta varios cambios, algunos de ellos significativos como por ejemplo: El enfoque de la guía para auditar cualquier tipo de Sistema de Gestión (no sólo calidad y ambiente), así como también la intro-ducción de los conceptos de auditorías basadas en riesgos. También se agrega un nuevo principio de auditoría, La Confidencialidad, aumentando así a un total de 6 principios por el cual el Auditor debe de regirse.

Entre otros cambios que se destacan es la organización completa del capí-tulo 5 para darle un flujo que siga el concepto de proceso, la introducción del con-cepto de auditoría a distancia, así como una revisión al capítulo 7, donde las competencias de un auditor se ha resumido de manera que pueda encajar a cual-quier tipo de auditoría en Sistemas de Gestión, y no solo de Calidad y Ambiente. Los principales cambios del documento incluyen:

 Se definió la diferencia entre la norma ISO 19011 e ISO 17021.

 Se introdujo a la auditoría el concepto de gestión de riesgo, así como la referencia a la utilización de métodos remotos de auditoría.

 Se agregó la confidencialidad como un nuevo principio y se sustituyó el principio de conducta ética por la integridad. En la ilustración 3 se hace referencia a los seis principios que según la norma debe prevalecer du-rante un proceso de auditoría.

 Se reorganizaron las secciones 5, 6 y 7 del documento. El principal cambio es la mejora de la redacción de las secciones para darles flui-dez y la inclusión de referencias al Anexo B, en el cual se hace referen-cia a técnica y herramientas específicas para llevar a cabo las orienta-ciones sugeridas en cada sección.

 Se reforzó el tema de competencias y el proceso de su evaluación. Se da un perfil más alto a las funciones del administrador del Programa de Auditorías.

 En el Anexo B se presentan ejemplos ilustrativos de conocimientos y

habilidades específicos para un mayor rango de disciplinas.

(4)

RECAI 174

PRÓLOGO

ISO (Organización Internacional de Normalización) es una federación mun-dial de organismos nacionales de normalización (organismos miembros de ISO). El trabajo de preparación de las normas internacionales normalmente se realiza a través de los comités técnicos de ISO. Cada organismo miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho comité. Las organizaciones internacionales, públi-cas y privadas, en coordinación con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (CEI) en todas las materias de normalización electrotécnica.

Las Normas Internacionales se redactan de acuerdo con las reglas esta-blecidas en la Parte 2 de las Directivas ISO/CEI.

La tarea principal de los comités técnicos es preparar Normas Internaciona-les. Los Proyectos de Normas Internacionales aceptadas por los comités técnicos son enviados a los organismos miembros para votación. La publicación como Norma Internacional requiere la aprobación por al menos el 75% de los organis-mos miembros requeridos para votar.

Se llama la atención sobre la posibilidad de que algunos de los elementos de esta Norma Internacional puedan estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera o todos los derechos de patente.

ISO 19011:2011 ha sido elaborado bajo los auspicios del Grupo de Coordi-nación Técnica Mixta y administrado por el Comité Técnico ISO / TC 176, Gestión y aseguramiento de la calidad, Subcomité SC 3, de apoyo tecnologías. Los miem-bros del Grupo de Trabajo de 16 en TC 176/SC 3 representantes de otros técni-cos comités (por ejemplo, el TC 207, TC 34) y otras partes interesadas para los sistemas de gestión incluido en el alcance de esta norma.

Esta segunda edición de la Norma ISO 19011 anula y sustituye a la norma ISO 19011: 2002 que ha sido revisada técnicamente.

(5)

RECAI 175

INTRODUCCIÓN

Desde la publicación inicial de la norma ISO 19011 en el año 2002, una se-rie de nuevas normas de gestión del sistema han sido publicadas. Esto ha dado lugar a una necesidad de considerar un alcance más amplio de auditoría de ges-tión del sistema, así como proporcionará una guía que es más genérico.

En 2006, ISO CASCO ha desarrollado un estándar con los requisitos para la gestión de 3ª Parte de auditoría del sistema de certificación fines de la norma ISO / IEC 17021.

Es en este contexto que esta revisión de la Norma ISO 19011 proporciona una guía para todos los usuarios, incluyendo las pequeñas y medianas empresas, especialmente concentrados en lo que comúnmente se denomina interna (primera parte) y auditorías de segunda parte.

Esta Norma Internacional no afecta a los requisitos estatales, pero propor-ciona una guía sobre la gestión de los programas de auditoría y en la realización de auditorías de sistemas de gestión, así como sobre la competencia y la evalua-ción de los auditores y equipos de auditoría. Los usuarios de esta norma interna-cional, sin embargo, pueden aplicar una orientación en el desarrollo de sus pro-pios requisitos relacionados con la auditoría.

Esta guía está destinada a aplicarse a una amplia gama de usuarios poten-ciales, incluyendo auditores, organizaciones de aplicación de sistemas de gestión, y las organizaciones que necesitan para llevar a cabo auditorías de sistemas de gestión de razones contractuales o reglamentarias. También pueden ser utilizados para el propósito autodeclaración. También puede ser útil para organizaciones que participan en la formación de auditores o certificación

La orientación provista en esta Norma Internacional pretende ser flexible. Como se indica en varios puntos del texto, el uso de estas directrices puede diferir de acuerdo con el tamaño, la naturaleza y la complejidad de las organizaciones que se van a auditar, así como con los objetivos y alcances de las auditorías que se vayan a realizar.

En esta Norma Internacional, en el capítulo 4, se describen los principios en que se basa la auditoría creíble. Estos principios ayudan al usuario a prender la naturaleza esencial de la auditoría y que son importantes para la com-prensión de la Guía que se establece en los capítulos 5 y 7.

El capítulo 5 ofrece orientación sobre el establecimiento y gestión de pro-gramas de auditoría, incluyendo el establecimiento de los objetivos de la auditoría, de los programas, y coordinar las actividades de auditoría.

(6)

RECAI 176 El capítulo 6 proporciona orientación sobre la realización de auditorías de sistemas de gestión.

El capítulo 7 proporciona orientación relativa a la competencia y la evalua-ción de los auditores de sistemas de gestión y equipos de auditoría.

El Anexo A ilustra la aplicación de la guía en el capítulo 7 de las distintas disciplinas (por ejemplo, calidad, medio ambiente, seguridad y salud ocupacional, la resistencia, la seguridad, la preparación y la continuidad de la gestión y el transporte y Gestión de la seguridad).

En el Anexo B se incluyen ejemplos de la evaluación de las competencias del equipo de auditoría en varias organizaciones hipotéticas en diferentes secto-res de la aviación (por ejemplo, gestión de eventos).

El Anexo C proporciona una guía adicional para los auditores en la planifi-cación y la realización de auditorías.

(7)

RECAI 177

Estructura de la Norma 19011:2011

1. Objeto y campo de aplicación 2. Referencias normativas 3. Términos y definiciones 3.1 Auditoría 3.2 Criterios de auditoría 3.3 Evidencia de la auditoría 3.4 Hallazgos de la auditoría 3.5 Conclusiones de la auditoría 3.6 Cliente de la auditoría 3.7 Auditado 3.8 Auditor 3.9 Equipo auditor 3.10 Programa de auditoría 3.11 Plan de auditoría 3.11 Programa de auditoría 3.12 Riesgo 3.13 Alcance de la auditoría 3.14 Competencia 3.15 Experto técnico 3.16 Conformidad 3.17 No conformidad 3.18 Guía 4. Principios de auditoría

5. Gestión de un programa de auditoría

5.1 Generalidades

5.2 Establecimiento del programa de auditoría 5.2.1 Objetivos del programa de auditoría

5.2.2 Funciones y responsabilidades de la(s) persona(s) que gestionan el programa de auditoría

5.2.3 Competencia de las personas responsables de gestionar el programa de auditoría

5.2.4 Determinación de la amplitud de un programa de auditoría 5.2.5 Evaluación de riesgos del programa de auditorías

5.2.6 Establecimiento de procedimientos de programa de auditoría 5.2.7 Identificación de recursos del programa de auditoría

5.3 Implementación del programa de auditoría 5.3.1 Generalidades

5.3.2 Definición de objetivos, alcance y criterios de auditoría de forma individual.

5.3.3 Determinación del método(s) de auditoría 5.3.4 Selección del equipo auditor

5.3.5 Asignación de responsabilidades al líder del equipo auditor para la(s) auditoría(s) individual(es)

(8)

RECAI 178

5.3.6 Gestión y mantenimiento de los registros del programa de auditoría 5.4 Seguimiento del programa de auditoría

5.5 Revisión y mejora del programa de auditoría

6. Actividades de auditoría

6.1 Generalidades 6.2 Inicio de la auditoría 6.2.1 Generalidades

6.2.2 Contacto inicial con el auditado

6.2.3 Determinación de la viabilidad de la auditoría 6.3 Preparación de las actividades de auditoría

6.3.1 Preparación del plan de auditoría

6.3.2 Asignación de las tareas al equipo auditor 6.3.3 Preparación de los documentos de trabajo 6.4 Realización de las actividades de auditoría 6.4.1 Revisión de la documentación

6.4.2 Realización de la reunión de apertura 6.4.3 Comunicación durante la auditoría

6.4.4 Funciones y responsabilidades de los guías y observadores 6.4.5 Recogida y verificación de la información

6.4.6 Hallazgos de la auditoría 6.4.7 Conclusiones de la auditoría 6.4.8 Realización de la reunión de cierre

6.5. Preparación y distribución del informe de auditoría 6.5.1. Preparación del informe de auditoría

6.5.2. Distribución del informe de auditoría 6.6. Finalización de la auditoría

6.7 Realización del seguimiento de una auditoría

7. Competencia y evaluación de los auditores

7.1. Generalidades

7.2. Determinar la competencia del auditor para satisfacer las necesidades del programa de auditoría

7.2.1. Conductas personales 7.2.2. Conocimientos y habilidades

7.2.3. Educación, experiencia laboral, formación como auditor y experiencia en auditorías

7.3. Criterios de evaluación

7.4. Selección del método adecuado de evaluación 7.5. Evaluación del auditor

7.6. Mantenimiento y mejora de la competencia ANEXOS

A. Conocimientos y habilidades específicas por disciplina de auditores.

B. Ejemplos de las evaluaciones específicas por disciplina de la competencia de equipos de auditoría.

C. Guía adicional para auditores para planificar y realizar auditorías. BIBLIOGRAFÍA

(9)

RECAI 179 1 OBJETO Y CAMPO DE ACTUACIÓN

Esta Norma Internacional proporciona orientación sobre las auditorías de los sistemas de gestión, incluidos los principios de auditorías, la gestión de programas de auditorías y la realización de auditorías de sistemas de ges-tión, así como la orientación sobre la evaluación de la competencia de los individuos involucrados en el proceso de auditoría, incluyendo a los res-ponsables del programa de gestión de auditoría, los auditores y los equipos de auditoría.

Esta norma es aplicable a todas las organizaciones que necesitan llevar a cabo auditorías internas o externas de los sistemas de gestión o gestionar un programa de auditoría.

La aplicación de esta Norma Internacional a otros tipos de auditorías es posible, siempre que se preste una consideración especial a la identifica-ción de la competencia necesaria de los miembros del equipo auditor.

2 REFERENCIAS NORMATIVAS

Cuando las normas u otros documentos que se han utilizado o se refiere (por ejemplo, para algunas de las definiciones en el capítulo 3) fue decidió incluir el texto original en el estándar internacional actual con el fin de crear un documento independiente.

Al final de esta norma internacional se presenta una bibliografía con una lis-ta de estos documentos, así como otra fuente material útil.

3 TÉRMINOS Y DEFINICIONES

Para los propósitos de este documento, los siguientes términos y definicio-nes dadas a continuación se aplican. Todos los esfuerzos han sido considerados que estas definiciones no deben entrar en conflicto con las definiciones utilizadas en otras normas del sistema de gestión.

3.1 Auditoría

Proceso sistemático, independiente y documentado para obtener eviden-cias de la auditoría y evaluar de manera objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría.

Nota 1: Las auditorías internas, denominadas en algunos casos como audi-torías de primera parte, se realizan por, o en nombre de, la propia organi-zación, para la revisión por la dirección y con otros fines internos, pueden constituir la base para una autodeclaración de conformidad de una

(10)

organi-RECAI 180

zación. En muchos casos, particularmente en organizaciones pequeñas, la independencia puede demostrarse al estar libre el auditor de responsabili-dades en la actividad que se audita.

Nota 2: Las auditorías externas incluyen lo que se denomina generalmente auditorías de segunda y tercera parte. Las auditorías de segunda parte se llevan a cabo por partes que tienen interés en la organización, tal como los clientes, o por otras personas en su nombre. Las auditorías de tercera par-te se llevan a cabo por organizaciones auditoras independienpar-tes y expar-ter- exter-nas, como tales como aquellas que proporcionan el registro o la certifica-ción de conformidad de acuerdo con los requisitos de las Normas ISO 9001 o ISO 14001.

Nota 3: Cuando se auditan juntos un sistema de gestión de la calidad y un sistema de gestión ambiental, se denominan auditorías combinadas.

Nota 4: Cuando dos o más organizaciones cooperan para auditar a un úni-co auditado se denomina auditoría conjunta.

3.2 Criterios de auditoría

Conjunto de políticas, procedimientos o requisitos

NOTA: Los criterios de auditoría se utilizan como una referencia a la cual se compara la evidencia de la auditoría.

3.3 Evidencia de la auditoría

Registro, declaraciones de hecho o cualquier otra información que son per-tinentes para los criterios de auditoría y que son verificables.

NOTA: La evidencia de la auditoría puede ser cualitativa o cuantitativa.

3.4 Hallazgos de la auditoría

Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de auditoría.

NOTA: Los hallazgos de la auditoría pueden indicar tanto conformidad o no conformidad con los criterio de auditoría como oportunidades de mejora.

3.5 Conclusiones de la auditoría

Resultados de una auditoría, que proporciona el equipo auditor tras con-siderar los objetivos de la auditoría y todos los hallazgos de la auditoría.

3.6 Cliente de la auditoría

(11)

RECAI 181 3.7 Auditado

Organización que es auditada.

3.8 Auditor

Persona con la competencia para llevar a cabo una auditoría (3.1).

3.9 Equipo auditor

Uno o más auditores (3.8) que llevan a cabo una auditoría (3.1) con el apoyo, si es necesario, de expertos técnicos (3.15).

NOTA 1: A un auditor del equipo auditor se designa como líder del mismo. NOTA 2: El equipo auditor incluye auditores en formación.

3.10 Programa de auditoría

Conjunto de una o más auditorías (3.1) planificadas para un periodo de tiempo determinado y dirigidas a un propósito específico.

NOTA: Un programa de auditoría incluye todas las actividades necesarias para planificar, organizar y llevar a cabo las auditorías

3.11 Plan de auditoría

Descripción de las actividades y disposiciones para una auditoría (3.1).

3.12 Riesgo

Efecto de la incertidumbre sobre los objetivos

3.13 Alcance de la auditoría

Extensión y límites de una auditoría.

NOTA: El alcance de la auditoría incluye generalmente una descripción de las ubicaciones, las unidades de la organización, las actividades y los pro-cesos, así como el periodo de tiempo cubierto.

3.14 Competencia

Capacidad de aplicar conocimientos y habilidades para alcanzar los resul-tados previstos.

NOTA: implica la capacidad de la aplicación adecuada de la conducta per-sonal durante el proceso de auditoría

(12)

RECAI 182 3.15 Experto técnico

Persona que aporta conocimientos o experiencia específicos al equipo auditor (3.9).

NOTA 1: El conocimiento o experiencia específicos son los relacionados con la organización, el proceso de la actividad a auditar, el idioma o la orientación cultural.

NOTA 2: Un experto técnico no actúa como un auditor en el equipo audi-tor. 3.16 Conformidad Cumplimiento de un requisito. 3.17 No conformidad Incumplimiento de un requisito. 3.18 Guía

Persona designada por el auditado para ayudar al equipo de auditoría

4 PRINCIPIOS DE AUDITORÍA

La auditoría se caracteriza por depender de varios principios. Éstos hacen de la auditoría una herramienta eficaz y fiable de apoyo de las políticas y controles de gestión, proporcionando información sobre la cual una organi-zación puede actuar para mejorar su desempeño. La adhesión a esos prin-cipios es un requisito previo para proporcionar conclusiones de la auditoría que sean pertinentes y suficientes, y para permitir a los auditores trabajar independientemente entre sí para alcanzar conclusiones similares en circunstancias similares.

Los principios siguientes se refieren a los auditores:

a) Integridad:la base de la profesionalidad.

Los auditores y los que gestionan el programa de auditoría(s) deben:

- desempeñarán su trabajo con honestidad, diligencia y responsa-bilidad;

- observar y respetar todos los requisitos legales aplicables;

- demostrar su competencia técnica, mientras llevan a cabo su tra-bajo;

- realizar su trabajo de manera imparcial, es decir, siguen siendo justo e imparcial en todos sus tratos;

(13)

RECAI 183 - ser sensible a las influencias que pueden ser ejercidas por otras

partes interesadas en su juicio, mientras se realice una auditoría

b) Presentación ecuánime: la obligación de informar con veracidad y exactitud.

Los hallazgos, conclusiones e informes de la auditoría reflejan con veracidad y exactitud las actividades de las auditorías. Se informa de los obstáculos significativos encontrados durante la auditoría y de las opiniones divergentes sin resolver entre el equipo auditor y el auditado.

c) Debido cuidado profesional: la aplicación de diligencia y juicio al audi-tor.

Los auditores proceden con el debido cuidado, de acuerdo con la importancia de la tarea que desempeñan y la confianza depositada en ellos por el cliente de la auditoría y por otras partes interesadas. Un fac-tor importante es tener la competencia necesaria.

d) Confidencialidad: seguridad de la información

Los auditores deben ser prudentes en el uso y la protección de la infor-mación adquirida en el ejercicio de sus funciones. La inforinfor-mación de la auditoría no debe ser utilizada de forma inapropiada para el beneficio personal por el auditor o el cliente de auditoría o de una manera perju-dicial para los intereses legítimos de la entidad auditada. Este concepto incluye el manejo adecuado de información sensible, confidencial o cla-sificada.

e) Independencia: la base para la imparcialidad de la auditoría y la objeti-vidad de las conclusiones de la auditoría.

Los auditores son independientes de la actividad que es auditada y están libres de sesgo y conflicto de intereses. Los auditores mantienen una actitud objetiva a lo largo del proceso de auditoría para asegurarse de que los hallazgos y conclusiones de la auditoría estarán basados sólo en la evidencia de la auditoría.

f) Enfoque basado en la evidencia: el método racional para alcanzar conclusiones de la auditoría fiable y reproducible en un proceso de audi-torías sistemático.

La evidencia de la auditoría es verificable. Está basado en muestras de información disponible, ya que una auditoría se lleva a cabo durante un periodo de tiempo limitado y con recursos finitos. El uso apropiado del muestreo está estrechamente relacionado con la confianza que puede depositarse en las conclusiones de la auditoría.

La orientación dada en los capítulos restantes de esta Norma Interna-cional está basada en los principios establecidos anteriormente.

(14)

RECAI 184 5 GESTIÓN DE UN PROGRAMA DE AUDITORÍA

5.1 Generalidades

Una organización que necesita llevar a cabo las auditorías debe establecer un programa de auditoría (s). El cliente de auditoría debe establecer el objetivo (s) a ser alcanzado por el programa de auditoría (s). El programa (s) debe ser capaz de determinar la eficacia del sistema de gestión de la entidad auditada en el cumplimiento de sus objetivos.

El cliente de auditoría debe asignar (a) persona competente (s) con la res-ponsabilidad de gestionar el programa de auditoría (s).

El programa debe ser adecuado y eficaz establecido e implementado. El programa de auditoría debe incluir la planificación de los tipos y el número de auditorías necesarias, así como proporcionar información y recursos ne-cesarios para organizar y llevar a cabo sus auditorías de manera eficaz y eficiente dentro de los plazos especificados.

El alcance de un programa de auditoría debe estar basado en el tamaño y la naturaleza del auditado, así como en la naturaleza, funcionalidad, la complejidad y el nivel de madurez del sistema de gestión a ser auditada. Se debe dar prioridad a la asignación de los recursos del programa de au-ditoría para auditar los asuntos de importancia dentro del sistema de ges-tión. Esto puede incluir las características fundamentales de la calidad del producto o servicio, la seguridad y riesgos para la salud y los riesgos y as-pectos ambientales significativos y su control.

NOTA Este concepto se conoce comúnmente como basado en el riesgo de auditoría.

El programa de auditoría (s) puede incluir auditorías del sistema de gestión único, múltiple o integrado (s) llevado a cabo ya sea por separado o en combinación.

Los resultados deben ser monitoreados y medidos para asegurar que el ob-jetivo se ha logrado. El programa de auditoría debe ser revisado con el fin de identificar las posibles mejoras.

El programa de auditoría debe incluir:

- los objetivos de la auditoría;

- medida / número de tipos y localidades y las citas de las auditorías; - procedimientos de auditoríaprincipal;

- los criterios de auditoría; - los métodos de auditoría;

(15)

RECAI 185 - la incertidumbre en la consecución de los objetivos del programa de

auditoría y las medidas preventivas que deben aplicarse; - los recursos necesarios, incluidos los viajes y el alojamiento;

- los procesos de manejo de la confidencialidad, seguridad de la in-formación y otros asuntos similares;

Diagrama de flujo del proceso para la gestión de un programa de auditoría

NOTA 1. Esta figura también ilustra la aplicación de la metodología: Planificar – Hacer - Verificar – Actuar

NOTA 2.- Los números en ésta y en todas las figuras subsiguientes hacen referen-cia a los capítulos pertinentes de esta norma.

Actuar

5.4 Seguimiento del programa de auditoría 5.3 Implementación del programa de auditoría

5.3.1 Generalidades

5.3.2 Definición de objetivos, alcance y criterios de auditoría de forma individual.

5.3.3 Determinación del método(s) de auditoría 5.3.4 Selección del equipo auditor

5.3.5 Asignación de responsabilidades al líder del equipo auditor para la(s) auditoría(s) indivi-dual(es)

5.3.6 Gestión y mantenimiento de los registros del programa de auditoría

5.2 Establecimiento del programa de auditoría

5.2.1 Objetivos del programa de auditoría

5.2.2 Funciones y responsabilidades de la(s) persona(s) que gestionan el programa de auditoría

5.2.3 Competencia de las personas responsables de gestionar el programa de auditoría

5.2.4 Determinación de la amplitud de un programa de auditoría

5.2.5 Evaluación de riesgos del programa de auditorías 5.2.6 Establecimiento de procedimientos de programa

de auditoría

5.2.7 Identificación de recursos del programa de audi-toría

Mejora de programa de auditoría

(5.5)

Competencia y eva-luación de los

audi-tores (capítulo 7) Actividades de audi-toría (capítulo 6) Planificar Hacer Verificar

(16)

RECAI 186 5.2 Establecimiento del programa de auditoría

5.2.1 Objetivos del programa de auditoría

Deberían establecer los objetivos de un programa de auditoría para dirigir la planificación y realización de las auditorías.

Estos objetivos pueden basarse considerando:

- Prioridades de la dirección;

- Intenciones comerciales y de negocios; - Requisitos de los sistemas de gestión; - Requisitos legales y otros;

- Necesidad de evaluación de proveedores;

- Necesidades y expectativas de las partes interesadas (clien-tes);

- Nivel de rendimiento del auditado, como se refleja en la ocu-rrencia de fallas o incidentes o quejas de los clientes;

- Riesgos para la entidad auditada; - Resultados de auditorías anteriores; - Nivel de madurez del sistema de gestión.

Algunos ejemplos de los objetivos del programa de auditoría pueden incluir lo siguiente:

- Contribuir a la mejora de un sistema de gestión y su funcionamiento; - Para satisfacer las necesidades externas, p.ej., certificación de un

sistema estándar de gestión;

- Para verificar la conformidad con los requisitos contractuales;

- Para obtener y mantener la confianza en la capacidad de un provee-dor;

- Para evaluar la compatibilidad y la alineación de los objetivos del sis-tema de gestión con el sissis-tema de gestión, la política y los objetivos generales de la empresa;

(17)

RECAI 187 5.2.2 Papel y responsabilidad de la persona (s) de la gestión del

programa de auditoría (s)

La persona (s) asignado la responsabilidad de gestionar el pro-grama de auditoría (s) deben:

- Establecer el alcance del programa de auditoría; - Evaluar los riesgos para el programa de auditoría;

- Establecer responsabilidades y procedimientos de auditoría; - Garantizar los recursos necesarios que proporcionan,

inclu-yendo la evaluación de los auditores;

- Garantizar la aplicación del programa de auditoría, tales como la definición de objetivos de la auditoría, el alcance y los crite-rios de la auditorías individuales, se determinan los métodos de auditoría y la selección del equipo auditor;

- Asegurarse de que los registros pertinentes del programa de auditoría son administrados y mantenidos;

- Monitorear, revisar y mejorar el programa de auditoría.

La persona (s) asignado la responsabilidad de gestionar un pro-grama de auditoría (s) deberá informar a la alta dirección sobre el contenido del programa de auditoría y, si procede, pedir su aprobación.

5.2.3 Competencia de las personas responsables de gestionar el programa de auditoría

La persona (s) responsable de la gestión del programa de auditor-ía (s) debe tener competencias para gestionar el programa (s) de auditoría de forma eficaz y eficiente, así como las competencias en las siguientes áreas de interés para su organización y los obje-tivos del programa de auditoría:

- Los principios de auditoría, procedimientos, métodos y técni-cas;

- Sistema de gestión ۛ y documentos de referencia;

- Los requisitos legales aplicables y otros relacionados con las actividades y / o productos de la organización para ser Auditado

- Productos y procesos organizacionales;

- Cliente (s), proveedor (s) y otras partes interesadas de la or-ganización a ser auditada, en su caso;

- Los riesgos asociados con el programa de auditoría (s).

5.2.4 Determinación de la amplitud de un programa de auditoría La persona (s) responsable de la gestión del programa de auditoría (s) debe establecer el alcance de un programa de auditoría que

(18)

pue-RECAI 188 de variar dependiendo del tamaño y naturaleza de la organización a auditar, así como en la naturaleza, funcionalidad, la complejidad y el nivel de madurez del sistema de gestión (s) a ser auditado. Otros factores impactando en la medida de un programa de auditoría in-cluyen:

- El alcance, objetivo y duración de cada auditoría que se realice;

- La frecuencia de las auditorías que se realizaron;

- El número, la importancia, la similitud y la ubicación de las acti-vidades a ser auditadas;

- Aquellas cuestiones de importancia para la eficacia del sistema de gestión;

- Los requisitos legales y otros requisitos, tales como las normas, requisitos contractuales y otros criterios de auditoría;

- La necesidad de cumplir con los requisitos externos, por ejem-plo, para la certificación;

- Las conclusiones de anteriores auditorías internas o externas o los resultados de un examen de auditoría del programa anterior;

- Lenguaje, temas sociales y culturales;

- La preocupación de las partes interesadas, tales como quejas de los clientes o las infracciones regulatorias;

- Los cambios significativos en la organización a ser auditada o de sus operaciones;

- El alcance y la madurez de la información y las comunicaciones de la entidad auditada, que pueden afectar la utilización de métodos de auditoría remotas;

- La ocurrencia de eventos internos y externos, tales como la falla del producto, contaminación, pérdida de seguridad de la infor-mación, de la salud y el incidente de seguridad, los actos delicti-vos o incidente ambiental.

5.2.5 Evaluación de riesgos del programa de auditorías

Hay una variedad de riesgos asociados con el establecimiento, im-plementación, seguimiento y revisión de un programa de auditoría que puedan afectar a los objetivos del programa de auditoría. La persona (s) responsable de la gestión del programa de la auditoría debe considerar estos riesgos en el desarrollo de un programa de auditoría. Estos riesgos pueden estar asociados con:

- Planificación, por ejemplo, el fracaso para establecer objetivos de auditoría pertinentes y determinar la extensión del programa de auditoría;

- Los recursos, p. ej., lo que permite el tiempo suficiente para que la persona responsable de la gestión del programa de auditoría pue-da desarrollar el programa de auditoría;

(19)

RECAI 189

- Selección del equipo de auditoría, por ejemplo, el equipo no tiene la competencia colectiva para llevar a cabo la auditoría con efica-cia;

- La aplicación, por ejemplo, la comunicación ineficaz del programa de auditoría;

- Los registros, p. ej. la falta de protección adecuada los registros de auditoría para demostrar la efectividad del programa de audi-toría;

- Control, revisión y mejora del programa de auditoría, por ejemplo, control efectivo del programa de resultados de auditoría.

5.2.6 Establecimiento de procedimientos de programa de auditoría La persona (s) responsable de la gestión del programa de auditoría (s) debe establecer uno o más programas de auditoría procedimien-tos, abordando los siguientes:

- Planificación y programación de auditorías teniendo en cuenta los riesgos del programa de auditoría;

- La gestión de seguridad de la información, la confidencialidad, los riesgos para la organización de las actividades de auditoría y otros asuntos relacionados con el programa de auditoría;

- Asegurar la competencia de los auditores y los líderes del equipo de auditoría;

- Selección de los equipos auditores apropiados y la asignación de sus funciones y responsabilidades;

- Las auditorías que realizan, incluyen el uso de métodos de mues-treo apropiados;

- La realización de la auditoría de seguimiento, en su caso;

- Informar al cliente de auditoría (por ejemplo, la alta gerencia) de los logros globales del programa de auditoría;

- El mantenimiento de registros de auditoría de los programas;

- Supervisar la ejecución, los riesgos y la eficacia del programa de auditoría.

5.2.7 Identificación de recursos del programa de auditoría

Al identificar los recursos para el programa de auditoría, la persona (s) responsable de programa de auditoría de gestión (s) debe consi-derar:

- Los recursos financieros necesarios para desarrollar, implemen-tar, gestionar y mejorar las actividades de auditoría;

- Los métodos y técnicas de auditoría;

- La disponibilidad de auditores expertos y técnicos que posean las competencias adecuadas a la auditoría y objetivos del programa;

(20)

RECAI 190 - La medida del programa de auditoría;

- El tiempo de viaje y el costo, el alojamiento y otras necesidades de auditoría;

- El alcance y la madurez de los sistemas de información y la co-municación de la organización a ser auditada, que puede afectar el uso de métodos de auditoría remotas.

5.3 Implementación del programa de auditoría 5.3.1 Generalidades

La persona (s) responsable del programa (s) de gestión de auditoría deben poner en práctica el programa de auditoría a través de:

- La comunicación de las partes pertinentes del programa de audi-toría a las partes pertinentes e informar periódicamente de los mismos de su progreso;

- La definición de objetivos, el alcance y los criterios para cada au-ditoría en particular;

- De coordinación y planificación de las auditorías y otras activida-des relacionadas con el programa de auditoría;

- Asegurar la selección de los equipos de auditoría con la compe-tencia necesaria;

- Proporcionar los recursos necesarios a los equipos de auditoría; - Asegurar la realización de auditorías de acuerdo con el programa

de auditoría y dentro del plazo acordado;

- Asegurar que las actividades de auditoría se registran y los regis-tros se gestionan adecuadamente y se mantiene.

5.3.2 Definición de objetivos, alcance y criterios de auditoría de forma individual.

Con base en la información contenida en el programa de auditoría y con el fin de desarrollar el plan de auditoría para cada uno de audi-toría individual, es necesario identificar y documentar los objetivos específicos de auditoría, el alcance, métodos, criterios y procedi-mientos.

Los objetivos de la auditoría deben definir lo que debe ser realizada por la auditoría individual y debe estar documentada en el plan de auditoría. Se pueden incluir los siguientes:

- La determinación del grado de conformidad de un sistema de ges-tión a auditar, o partes de él, con los criterios de auditoría:

- Evaluación de la capacidad de un sistema de gestión para garan-tizar el cumplimiento de los requisitos legales y de otra índole;

(21)

RECAI 191 - Evaluación de la eficacia de un sistema de gestión para lograr los

objetivos especificados;

- La identificación de áreas de mejora potencial de un sistema de gestión;

- Tratamiento de información confidencial, incluyendo el alcance de la divulgación.

Los objetivos de la auditoría individual deben ser definidos por la persona responsable de la gestión del programa de auditoría y es compatible con los objetivos generales del programa de auditoría.

El alcance de la auditoría debe ser coherente con el programa de auditoría y los objetivos de la auditoría. Se incluye factores tales co-mo ubicaciones físicas, unidades organizativas, actividades y proce-sos a auditar, así como la duración de la auditoría.

Los criterios de auditoría se utilizan como una referencia contra el cual se determina la conformidad y pueden incluir aplicable políticas, objetivos, procedimientos, normas, requisitos legales, re-quisitos del sistema de gestión, contractuales rere-quisitos o de la in-dustria / negocio códigos de conducta del sector.

El alcance de la auditoría y los criterios de auditoría deben ser defi-nidos conjuntamente por la persona (s) responsable de la gestión del programa de auditoría y el líder del equipo de auditoría de acuerdo con los procedimientos del programa de auditoría. Cualquier cambio en los objetivos de auditoría, el alcance de auditoría o los criterios de auditoría deben ser acordados por las mismas partes y el programa de auditoría debe ser modificado en consecuencia.

Cuando una auditoría combinada se va a realizar, se debe asegurar que:

- Los objetivos de auditoría derivados de diferentes programas de auditoría están alineados, incluidos los objetivos derivados de la combinación;

- El alcance de la auditoría es consistente con los requisitos deriva-dos de las normas específicas del sistema de gestión;

- Los criterios de auditoría se seleccionan de manera que la efi-ciencia se puede obtener mediante la combinación de requisitos similares o sujetos a referencias diferentes.

5.3.3 Determinación del método (s) de auditoría

La persona (s) responsable de la gestión del programa de auditoría (s) debe seleccionar y determinar los métodos de auditoría para una auditoría en función de los objetivos de la auditoría definidos, el al-cance y los criterios para la efectiva realización de la auditoría.

(22)

RECAI 192 Nota de orientación de cómo determinar los métodos de auditoría fi-gura en el Anexo C

Cuando dos o más unas organizaciones auditadas realizan una audi-toría conjunta en la misma entidad auditada, las personas responsa-bles de la gestión de los diferentes programas de auditoría deben cooperar e intercambiar información durante el establecimiento de los programas de auditoría. Se debe prestar especial atención a la división de responsabilidades, el de la programación de auditorías conjuntas, la provisión de recursos adicionales, la competencia del equipo auditor y los procedimientos apropiados. El acuerdo sobre estos asuntos debe ser alcanzado antes de comenzar las activida-des de auditoría.

Si una organización a ser auditada opera dos o más sistemas de gestión de las distintas disciplinas, en combinación las auditorías pueden ser incluidas en el programa de auditoría. En tal caso, se debe prestar especial atención a la competencia del equipo de audi-toría.

5.3.4 Selección del equipo auditor

La persona (s) responsable de la gestión del programa de auditoría (s) debe designar a los miembros del equipo de auditoría, incluyendo el líder del equipo y cualquier experto técnico (s) necesarios para la auditoría específica.

Un equipo de auditoría debe ser seleccionado, teniendo en cuenta la competencia necesaria para lograr los objetivos de la auditoría indi-vidual dentro del alcance definido. Si hay un solo auditor, el auditor debe realizar todos los derechos aplicables de un líder del equipo auditor.

NOTA: El capítulo 7 contiene una guía para determinar la competen-cia requerida para los miembros del equipo auditor y describe los procesos para la evaluación de los auditores.

Al decidir el tamaño y la composición del equipo de auditoría por la auditoría específica, se debe considerar a la lo siguiente:

- La competencia general del equipo de auditoría necesarios para al-canzar los objetivos de auditoría, el alcance y los criterios;

- Si la auditoría es una auditoría combinada o conjunta;

- El tipo de métodos de auditoría que han sido seleccionados;

- Los requisitos legales y otros requisitos tales como los requisitos con-tractuales;

(23)

RECAI 193 - La necesidad de garantizar la independencia del equipo de auditoría de las actividades a auditar y para evitar cualquier conflicto de inter-eses;

- La capacidad de los miembros del equipo auditor para interactuar efi-cazmente con los representantes del auditado y trabajar juntos;

- El idioma de la auditoría, y una comprensión de las características so-ciales y culturales del auditado. Estos problemas pueden ser aborda-dos, ya sea por las habilidades propias del auditor o a través del apo-yo de un experto técnico.

Para asegurar la competencia global del equipo de auditoría, los siguien-tes pasos se deben realizar:

- Identificación de los conocimientos y habilidades necesarias para al-canzar los objetivos de la auditoría;

- Selección de los miembros del equipo auditor, para que todo el cono-cimiento y las habilidades necesarias estén presentes en el equipo de auditoría.

Si toda la competencia necesaria no esté cubierta por los auditores en el equipo de auditoría, los expertos técnicos con más competencia pueden ser incluidos en los equipos. Los expertos técnicos deberían operar bajo la dirección de un auditor, pero no debe actuar como auditores.

Los auditores en formación pueden ser incluidos en el equipo de auditor-ía, pero deben participar en la dirección y orientación de un auditor.

Tanto el cliente como auditor y el auditado podrá solicitar la sustitución de determinados miembros del equipo auditor en condiciones razonables motivos basados en los principios de auditoría descrita en el capítulo 4. Ejemplos de argumentos razonables incluyen los conflictos de las situa-ciones de interés (como en el caso de las auditorías de segunda o terce-ra parte, un miembro del equipo de auditoría de haber sido un ex em-pleado de la entidad auditada o de haber prestado servicios de consultor-ía para la entidad auditada), la falta de competencia o comportamiento poco ético anterior. Estos argumentos deberían comunicarse al líder del equipo auditor y de la persona asignó la responsabilidad de la gestión del programa de auditoría, que debe discutir el tema con el cliente de audi-toría y auditado antes de tomar cualquier decisión o sustitución de miembros del equipo auditor.

Cuando una auditoría conjunta se lleva a cabo, es importante llegar a un acuerdo entre las organizaciones que realizan las auditorías antes de que comience la auditoría, las responsabilidades específicas de cada partido, en particular en lo que respecta a la autoridad del líder del equi-po designado para la auditoría.

(24)

RECAI 194 5.3.5 Asignación de responsabilidades al líder del equipo auditor para la(s) auditoría(s) individual(es)

La persona responsable de la gestión del programa de auditoría debe asignar la responsabilidad de la realización de la auditoría individual a un líder del equipo auditor. La asignación debe hacerse con tiempo suficien-te para garantizar de la eficaz planificación de las auditorías.

Para garantizar la eficaz realización de la auditoría individual (s), la si-guiente información debe ser proporcionada a los líderes del equipo de auditoría:

- Los objetivos de la auditoría;

- Los criterios de auditoría y cualquier otro documento de referencia; - Los métodos y procedimientos de auditoría;

- El alcance de la auditoría, incluyendo la identificación de las unidades organizativas y funcionales y los procesos a auditar;

- La composición del equipo auditor;

- El lugar (sitios), las fechas y la duración de las actividades de auditor-ía que se realice;

- La asignación de recursos adecuados para llevar a cabo la auditoría.

La información de la asignación también debería abarcar los siguientes aspectos:

- El idioma de trabajo y presentación de informes de la auditoría, cuan-do sea diferente del idioma del auditor y / o de la entidad auditada; - El contenido de los informes solicitados por el programa de auditoría; - Los asuntos relacionados con la seguridad y la confidencialidad de la

información, si es requerido por el programa de auditoría;

- Las acciones de seguimiento, por ejemplo, de una auditoría anterior, en su caso;

- La coordinación con otras actividades de auditoría, en caso de una auditoría conjunta.

La persona responsable del programa de auditoría debe asegurar que la información proporcionada adecuadamente las direcciones identifica los riesgos para el logro de los objetivos de la auditoría.

5.3.6 Gestión y mantenimiento de los registros del programa de auditoría

La persona (s) responsable de la gestión del programa de auditoría (s) debe gestionar y mantener registros para demostrar la aplicación del programa de auditoría. Se debería establecer procesos para asegurarse de que ninguna de privacidad o confidencialidad necesidades asociadas con los registros de auditoría se cumplen.

(25)

RECAI 195

a) Se registra en relación con el programa de auditoría, tales como;

- Auditoría de los objetivos del programa;

- Los riesgos frente al programa de auditoría;

- Las opiniones de la efectividad del programa de auditoría.

b) Los registros relacionados con la auditoría individuales, tales como:

- Los planes de auditoría y los informes de auditoría; - Los informes de no conformidades;

- Los informes de acción correctiva y acción preventiva; - Los informes de seguimiento, en su caso.

c) Los registros relacionados con el personal de auditoría que abarcan temas tales como:

- La competencia y la evaluación del desempeño de los miembros del equipo auditor;

- La selección del equipo de auditoría;

- El mantenimiento y la mejora de la competencia.

La forma y el nivel de detalle de los registros deben cumplir con los objetivos del programa de auditoría (s).

5.4 Seguimiento del programa de auditoría

La persona (s) responsable de la gestión del programa de auditoría (s) deben vigilar la aplicación del programa (s) de auditoría a intervalos pe-riódicos considerando la necesidad de:

- Revisar y aprobar los informes de auditoría, y asegurar su distri-bución a la alta dirección y otras organizaciones;

- Determinar la necesidad de una auditoría de seguimiento; - Evaluar el desempeño de los miembros del equipo auditor;

- Evaluar la capacidad de los equipos de auditoría para implemen-tar el plan de auditoría;

- Evaluar la conformidad con los programas de auditoría, horarios y objetivos de la auditoría;

- Evaluar la opinión de la alta dirección, los auditados, auditores y otras partes interesadas.

Algunos factores pueden determinar la necesidad de modificar el pro-grama de auditoría, antes de su terminación, tales como:

- Los resultados iniciales de la auditoría;

- Demostrar el nivel de eficacia del sistema de gestión;

- Los cambios a la del cliente o del sistema de gestión de la enti-dad auditada;

(26)

RECAI 196 - Cambio de los requisitos legales y / o norma;

- Cambio de proveedor.

.

5.5 Revisión y mejora del programa de auditoría

La persona (s) responsable del programa (s) de gestión de auditoría debe revisar el programa de auditoría para evaluar si sus objetivos se han cumplido. Las lecciones aprendidas de la revisión del programa de auditoría deben ser utilizadas para la mejora continua del proceso.

La revisión del programa de auditoría debe considerar, por ejemplo:

- Resultados y tendencias de la vigilancia;

- Conformidad con el procedimiento del programa de auditoría (s); - Las necesidades y expectativas de las partes interesadas;

- Los registros de auditoría del programa; - Alternativas o nuevos métodos de auditoría;

- Eficacia de las medidas para hacer frente a los riesgos asociados con el programa de auditoría;

- Confidencialidad y seguridad de la información en relación con el programa de auditoría.

La persona (s) responsable de la gestión del programa de auditoría (s) debe examinar la aplicación general de la fiscalización programa (s), identificar el área de mejora y modificación del programa si es necesa-rio. También deberían:

- Revisar el desarrollo profesional continuo de los auditores, de acuerdo con 7.4, 7.5 y 7.6;

- Reportar los resultados de la revisión del programa de auditoría a la alta dirección.

Los resultados de las revisiones del programa de auditoría pueden lle-var a acciones correctivas y preventivas y a la mejora del programa de auditoría.

6 ACTIVIDADES DE AUDITORÍA 6.1 Generalidades

Este capítulo proporciona orientación sobre la planificación y forma de llevar a cabo actividades de auditoría como parte de un programa de auditoría. La figura 2 proporciona una visión general de las actividades de auditoría típicas. El grado de aplicación de las disposiciones de este capítulo depende del alcance y complejidad de cada auditoría específi-ca y del uso previsto de las conclusiones de la auditoría.

(27)

RECAI 197 Visión global de las actividades típicas de auditoría

NOTA: Las líneas discontinuas indican que cualquier acción de seguimiento de la auditoría generalmente no se considera parte de la auditoría.

Preparación de las actividades de auditoría

(6.3) 6.3.1 Preparación del plan de auditoría 6.3.2 Asignación de las tareas al equipo auditor 6.3.3 Preparación de los documentos de trabajo

Realización de las actividades de auditoría

(6.4) 6.4.1 Revisión de la documentación 6.4.2 Realización de la reunión de apertura 6.4.3 Comunicación durante la auditoría

6.4.4 Funciones y responsabilidades de los guías y obser-vadores

6.4.5 Recogida y verificación de la información 6.4.6 Hallazgos de la auditoría

6.4.7 Conclusiones de la auditoría 6.4.8 Realización de la reunión de cierre

Preparación y distribución del informe de auditoría

(6.5)

6.5.1 Preparación del informe de auditoría 6.5.2 Distribución del informe de auditoría

Finalización de la auditoría

(6.6)

Realización del seguimiento de la auditoría

(6.7)

Inicio de la auditoría

(6.2) 6.2.1 Generalidades

6.2.2 Contacto inicial con el auditado

(28)

RECAI 198 6.2 Inicio de la auditoría

6.2.1 Generalidades

Cuando se inicia una auditoría, la responsabilidad de esta audi-toría se asigna al líder del equipo auditor, como se define en el Programa de auditoría. Esta tarea se lleva a cabo por la perso-na que es responsable de la gestión del programa auditoría me-diante la transferencia de información para la auditoría (ver 5.3.5).

La responsabilidad de realizar la auditoría asignado permanece con el líder del equipo de auditoría hasta que la auditoría se haya completado.

Para iniciar una auditoría, los siguientes pasos deben ser consi-derados, sin embargo, la secuencia puede variar dependiendo del auditado, procesos y situaciones específicas.

6.2.2 Establecer contacto inicial con el auditado

El contacto inicial de la auditoría con el auditado puede ser in-formal o in-formal y debe ser realizada por el líder del equipo de auditoría. Los efectos del contacto inicial son:

- Establecer canales de comunicación con el representante de la entidad auditada (s);

- Para confirmar la autoridad para llevar a cabo la auditoría; - Para proporcionar información sobre el alcance de la

auditor-ía, los métodos de auditoría y la composición del equipo audi-tor;

- Para solicitar el acceso a los documentos pertinentes a efec-tos de planificación, incluyendo los registros;

- Para determinar los requisitos legales aplicables y otros;

- Para confirmar el acuerdo con el auditado sobre el alcance de la divulgación y el tratamiento de la información confidencial; - Para hacer los arreglos para la auditoría, incluida la

progra-mación de la fecha (s);

- Para llegar a un acuerdo sobre la asistencia de observadores y la necesidad de guías para el equipo de auditoría;

- Para averiguar, las expectativas y necesidades de la entidad auditada ha relacionado con la auditoría específica.

6.2.3 Determinación de la viabilidad de la auditoría

La viabilidad de una auditoría determina si todos los recursos necesarios, la información, arreglos, etc., son el lugar para

(29)

RECAI 199 proporcionar la confianza razonable de que los objetivos de la auditoría se puedan lograr.

- Información suficiente y apropiada para planificar la auditoría.

- La cooperación adecuada del auditado, y

- El tiempo adecuado y los recursos apropiados.

Cuando la auditoría no es viable, debería proponerse al cliente de la auditoría una alternativa tras consulta con el auditado.

6.3 Preparación de las actividades de auditoría 6.3.1 Preparación del plan de auditoría

El líder del equipo auditor debería preparar un plan de auditoría basa-do en la información contenida en el programa de auditoría y basa- documen-tación proporcionada por el auditado. El plan de auditoría debe consi-derar el efecto de la auditoría de la entidad auditada de procesos y proporcionan la base para el acuerdo entre el cliente de auditoría, el equipo de auditoría y el auditado, respecto de la realización de la audi-toría. El plan debería facilitar la programación y coordinación eficaz de las actividades de auditoría a la de lograr un resultado eficaz.

La cantidad de detalle proporcionado en el plan de auditoría deberá re-flejar el alcance y la complejidad de la auditoría así como los riesgos y el efecto de la incertidumbre sobre el resultado de la auditoría. En la preparación del plan de auditoría el líder del equipo auditor debe tener conocimiento de técnicas de muestreo apropiadas (véase el Anexo C.5), la compatibilidad de los miembros del equipo de auditoría y los riesgos a la organización creada por la auditoría.

NOTA: Los riesgos para la organización puede incluir un miembro del equipo de auditoría que manejan mal la información de la entidad audi-tada, crea una de seguridad, salud, medio ambiente o un riesgo para la seguridad como una amenaza para los productos de la entidad audita-da, servicios, personal y / o de la infraestructura.

Para las auditorías combinada y conjunta, se debe prestar especial atención a las interfaces entre los procesos del sistema de gestión (s).

Los detalles pueden variar, por ejemplo, entre auditorías iniciales y subsiguientes y también entre interna y externa auditorías. El plan de auditoría debería ser suficientemente flexible para permitir cambios que pueden ser necesarios como la auditoría de actividades de pro-greso.

(30)

RECAI 200 - Los objetivos de la auditoría;

- El alcance de la auditoría, incluyendo la identificación de las unida-des organizativas y funcionales y los procesos a auditar;

- Los criterios de auditoría y cualquier otro documento de referencia; - Los lugares, fechas, horas y duración previstos de las actividades de

auditoría que se llevará a cabo, incluidas las reuniones con la enti-dad auditada de gestión, así como otras reuniones;

- El método de auditoría que se utilizará como el grado en que es ne-cesario el muestreo de auditoría para obtener evidencia de pruebas suficientes y el diseño del programa de muestreo, si procede;

- Las funciones y responsabilidades de los miembros del equipo audi-tor, así como guías y observadores;

- La asignación de recursos adecuados a las áreas críticas de la audi-toría.

El plan de auditoría también debe cubrir lo siguiente, según corresponda:

- La identificación del representante de la entidad auditada para la au-ditoría;

- El idioma de trabajo y presentación de informes de la auditoría, cuando sea diferente del idioma del auditor y/ de la entidad auditada;

- Los temas del informe de auditoría;

- La logística y las medidas de comunicación, incluyendo medidas es-pecíficas para los sitios que se van a auditar;

- Las medidas concretas adoptadas para hacer frente a los riesgos y el efecto de la incertidumbre sobre los objetivos de la auditoría;

- Asuntos relacionados con la confidencialidad y seguridad de la in-formación;

- Las medidas de seguimiento, por ejemplo, de una auditoría previa;

- Coordinación con otras actividades de auditoría, en caso de una au-ditoría conjunta.

El plan debe ser revisado y aceptado por el cliente de auditoría, y se presentará a la entidad auditada, antes de comenzar las actividades de auditoría.

Cualquier objeción del auditado debería ser resuelta entre el líder del equipo auditor, auditado y / o de la persona responsables de la gestión del programa de auditoría. Cualquier plan de auditoría debería ser acor-dada entre las partes que se trate antes de continuar con la auditoría.

6.3.2 Asignación de las tareas al equipo auditor

El líder del equipo auditor, en consulta con el equipo auditor, debería asignar a cada miembro del equipo la responsabilidad de procesos de auditoría específicos, funciones, lugares, áreas o actividades. Estas

(31)

RECAI 201 tareas deben respetar la independencia y la competencia de los audito-res y el uso eficaz de los recursos, así como diferentes roles y audito- respon-sabilidades de los auditores, auditores en formación y expertos técni-cos.

Reuniones del equipo de auditoría, que deben ser mantenidos en una base regular por el líder del equipo auditor, debe asignar el trabajo y decidir los posibles cambios. Los cambios en las asignaciones de tra-bajo pueden ser realizados como la auditoría avanza para asegurar el logro de los objetivos de la auditoría.

6.3.3 Preparación de los documentos de trabajo

Los miembros del equipo de auditoría deben revisar la información re-levante para sus tareas de auditoría y preparación de los documentos de trabajos, según sea necesario para la referencia y para el registro de evidencias de la auditoría. Estos documentos de trabajo deben in-cluir:

- Listas de verificación y planes de muestreo de auditoría.

- Formularios para registrar información, como evidencia de apoyo, hallazgos de auditoría y registros de las reuniones.

El uso de listas de verificación y formularios no debería restringir la ex-tensión de las actividades de auditoría, que pueden cambiar como re-sultado de la información recopilada durante la auditoría.

NOTA: Guía de orientación sobre la preparación de documentos de tra-bajo figura en el Anexo C.4 de la presente norma.

Documentos de trabajo, incluidos los registros resultantes de su uso, debe mantenerse al menos hasta que se complete la auditoría. Retención de documentos después de la finalización de auditoría se describe en 6.7. Esos documentos relacionados con la información con-fidencial o de propiedad deberán estar debidamente protegidos en todo momento por los miembros del equipo auditor.

6.4 Realización de las actividades de auditoría 6.4.1 Revisión de la documentación

Como parte de las actividades de auditoría de la gestión correspon-diente auditado la documentación del sistema debe ser revisado a:

(32)

RECAI 202 - Recopilar información para la preparación de las actividades de

auditoría;

- Obtener una visión general sobre el alcance de la documentación del sistema;

- Determinar la conformidad del sistema, en la medida tal como se documenta, con los criterios de auditoría.

NOTA: Guía de orientación de cómo realizar una revisión de docu-mentos figura en el Anexo C.3 de la presente norma.

La documentación puede incluir documentos pertinentes del sistema de gestión y registros, así como los informes de auditoría anteriores. La revisión de los documentos debe tener en cuenta el tamaño, natu-raleza y complejidad del sistema de gestión de la entidad auditada y de la organización y los objetivos y el alcance de la auditoría.

La revisión se puede combinar con las otras actividades de auditoría y pueden continuar durante toda la auditoría, si esto no va en detrimen-to de la eficacia de la realización de la audidetrimen-toría.

Si la documentación adecuada no se puede proporcionar en el plazo establecido en el plan de auditoría, el líder del equipo auditor debería informar a la persona responsable de la gestión del programa de audi-toría y el auditado. Dependiendo del alcance de la audiaudi-toría y los obje-tivos debe ser una decisión tomada en cuanto a si la auditoría se debe continuar o suspenderse hasta que las preocupaciones de documen-tación se han resuelto.

6.4.2 Realización de la reunión de apertura

El propósito de la reunión de apertura es para confirmar el plan de au-ditoría, presentar al equipo de auditoría y garantizar que todas las acti-vidades de auditoría planeados están en su lugar.

Una reunión de apertura se celebrará con la gestión del auditado y, en su caso, los responsables de las funciones o los procesos a auditar.

En muchos casos, por ejemplo, las auditorías internas en una organi-zación pequeña, la sesión de apertura puede simplemente consistir en comunicar que una auditoría se lleva a cabo y explicar la naturaleza de la auditoría.

Para las situaciones de auditoría, la reunión puede ser formal y los re-gistros de la asistencia deben ser guardados. La reunión debería ser presidida por el líder del equipo auditor, y los siguientes puntos deben ser considerados, según el caso:

(33)

RECAI 203 - Presentación de los participantes incluidos los observadores y

gu-ías, y una descripción de sus funciones;

- La confirmación de la auditoría de los objetivos, alcance y criterios; - La confirmación del plan de auditoría y otras disposiciones

perti-nentes con el auditado, como la fecha y hora para la sesión de clausura, las reuniones intermedias entre el equipo auditor y la ges-tión de la entidad auditada, y los cambios de última hora;

- Presentación de los métodos que se utilizarán para llevar a cabo la auditoría, incluido el asesoramiento de la entidad auditada que la evidencia de auditoría se basa en una muestra de la información disponible;

- La introducción de métodos para gestionar los riesgos para la or-ganización, productos, servicios, personal y / o la infraestructura asociada con la auditoría;

- Confirmación de los canales formales de comunicación entre el equipo auditor y el auditado;

- La confirmación de la lengua (s) que se utilizará durante la auditor-ía;

- La confirmación de que, durante la auditoría, el auditado será in-formado del progreso de las auditorías;

- La confirmación de que los recursos e instalaciones que necesita el equipo auditor están disponibles;

- Confirmación de los asuntos relacionados con la confidencialidad y seguridad de la información;

- La confirmación de la salud y seguridad que, de emergencia y pro-cedimientos de seguridad para el equipo de auditoría;

- La información sobre el método de comunicación de los resultados de auditoría incluyendo la clasificación;

- Información sobre las condiciones bajo las cuales la auditoría pue-de darse por terminados;

- La información sobre la sesión de clausura;

- Información acerca de cómo hacer frente a posibles hallazgos du-rante la auditoría;

- La información acerca de cualquier sistema de retroalimentación de la entidad auditada en los resultados o las conclusiones de la audi-toría, incluyendo las quejas o apelaciones.

6.4.3 Comunicación durante la auditoría

Puede que sea necesario para hacer los arreglos formales para la co-municación dentro del equipo de auditoría con el auditado y, poten-cialmente, con los organismos reguladores externos (por ejemplo) du-rante la auditoría, especialmente si los requisitos legales exigen la noti-ficación obligatoria de las no conformidades.

(34)

RECAI 204 El equipo auditor debería consultarse periódicamente para intercam-biar información, evaluar el progreso de la auditoría y reasignar el tra-bajo entre los miembros del equipo de auditoría, según sea necesario.

Durante la auditoría, el líder del equipo auditor debería comunicar pe-riódicamente los avances de la auditoría y cualquier inquietud al audi-tado y el cliente de auditoría, según corresponda. Las pruebas recogi-das durante la auditoría que sugieren un riesgo inmediato y significati-vo a la entidad auditada deben informar sin demora al auditado y, en su caso, al cliente de auditoría.

Cuando la evidencia de auditoría disponible indica que los objetivos de la auditoría son inalcanzables, el líder del equipo de auditoría debe in-formar las razones al cliente de auditoría y el auditado para determinar la acción apropiada. Tal acción podrá incluir la reconfirmación o la mo-dificación del plan de auditoría, los cambios en los objetivos de la audi-toría o el alcance de la audiaudi-toría, o la terminación de la audiaudi-toría.

Cualquier necesidad de cambios en el plan de auditoría, que puede llegar a ser evidente a medida que las actividades de progreso de la Auditoría deben ser revisadas y aprobada por la persona responsable de la gestión del programa de auditoría y, en su caso, la entidad audi-tada.

6.4.4 Funciones y responsabilidades de los guías y observado-res

Los guías y observadores (por ejemplo, el regulador u otras partes in-teresadas) podrán acompañar al equipo de auditoría. No deben influir o interferir con la realización de la auditoría.

Guías, designados por la entidad fiscalizada, deben ayudar al equipo de auditoría y actuar sobre la petición del líder del equipo auditor. Sus responsabilidades deberían incluir lo siguiente:

- El establecimiento de contactos y el calendario para las entrevistas;

- Organizar el acceso a partes específicas o en los sitios de la enti-dad auditada;

- Garantizar que las normas relativas a la seguridad del sitio y los procedimientos de seguridad son conocidos y respetados por los miembros del equipo auditor y los observadores;

- Testigos de la auditoría en nombre de la entidad auditada;

- Proporcionar aclaraciones o ayudar en la recolección de informa-ción.

(35)

RECAI 205 6.4.5 Recogida y verificación de la información

Durante la auditoría, la información pertinente a los objetivos de la au-ditoría, el alcance de auditoría y los criterios de auau-ditoría, incluyendo la información relativa a las interfaces entre las funciones, actividades y procesos, deben ser recogidos por medio de muestreo y debe ser veri-ficada. Sólo la información que es verificable debería ser aceptada como evidencia de auditoría. La evidencia de auditoría correspondien-te a los resultados de la auditoría debe ser registrada. Si durancorrespondien-te la re-colección de evidencias, el equipo auditor se da cuenta de cualquier riesgo nuevo o distinto, que debe abordarse en consecuencia.

NOTA: Guía sobre el muestreo se indican en el Anexo C.5 de la pre-sente norma.

La figura 3 proporciona una visión general del proceso, desde la reco-pilación de información para llegar a conclusiones de la auditoría

Visión general del proceso desde la recopilación de información hasta las conclusiones de la auditoría

Fuentes de información

Conclusiones de la auditoría Recopilación mediante un muestreo

apropiado y verificación

Evaluación frente a los criterio de auditoría

Revisión

Evidencia de la auditoría

Referencias

Descargar ahora ( PDF - 50 página - 238.69 KB )

Documento similar

Informe de la campaña de control del mercado de termómetros digitales de uso clínico

La campaña ha consistido en la revisión del etiquetado e instrucciones de uso de todos los ter- mómetros digitales comunicados, así como de la documentación técnica adicional de

guía de registro

You may wish to take a note of your Organisation ID, which, in addition to the organisation name, can be used to search for an organisation you will need to affiliate with when you

Introducción

Where possible, the EU IG and more specifically the data fields and associated business rules present in Chapter 2 –Data elements for the electronic submission of information

Capítulo 1

The 'On-boarding of users to Substance, Product, Organisation and Referentials (SPOR) data services' document must be considered the reference guidance, as this document includes the

Capítulo 2

In medicinal products containing more than one manufactured item (e.g., contraceptive having different strengths and fixed dose combination as part of the same medicinal

Capítulo 7

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

Anexo I

Products Management Services (PMS) - Implementation of International Organization for Standardization (ISO) standards for the identification of medicinal products (IDMP) in

Capítulo 8

This section provides guidance with examples on encoding medicinal product packaging information, together with the relationship between Pack Size, Package Item (container)