Clase Maestra de Auditorias - 2a. Parte

8/17/2019 Clase Maestra de Auditorias - 2a. Parte

1/16

NIGEL CROFT

Clase Maestra de Auditor ias enSistemas de Gestión

EDUARDO LOPEZ

GATELL

Mayo 2012 (c) Eduardo Gatell 2

La nueva ISO 19011:2011

Directrices para auditoría de

sistemas de gestión

Eduardo GatellMember, ISO/TC176/SC2 – Strategic Planning and

Operations Task Group

Member, IAF/ISO Audi ting Practices Group


2/16


3/16

¿Qué se debe considerar para

fijar los objetivos del Programa

de Auditoría?


5.2 Establecimiento de los

objetivos del programa deauditoría (cont…)

Los objetivos del programa pueden considerar lo siguiente:a) las prioridades de la dirección;

b) las intenciones comerciales y de negocio;

c) las características de los procesos, productos y proyectos;

d) los requisitos del sistema de gestión;

e) los requisitos legales / contractuales;

f) la necesidad de evaluar a los proveedores;

g) las necesidades y expectativas de las partes interesadas, incluyendo los clientes;

h) el nivel de desempeño del auditado, (la ocurrencia de fallas / incidentes / quejas)

i) los riesgos del auditado

j) los resultados de auditorías previas

k) el nivel de madurez del sistema de gestión que se va a auditar



4/16


¿Qué se espera que haga la

persona que gestiona el

Programa de Auditoría?

5.3 Establecimiento del

programa de auditoría 5.3.1 La persona que gestiona el programa de auditoría

debería: establecer la extensión del programa de auditoría;

identificar y evaluar los riesgosriesgos para el programa de auditoría;

establecer las responsabilidades de la auditoría;

establecer los procedimientos;

determinar los recursos necesarios;

asegurar la implementación del programa de auditoría, incluyendo: los objetivos de la auditoría

el alcance y el criteriode las auditorías individuales

los métodos de auditoría

la selección del equipo auditor

la evaluación de los auditores;

asegurar que los registros del programa de auditoría pertinentes se gestionan y

mantienen

monitorear, revisar y mejorar el programa de auditoría

informar a la alta dirección sobre el contenido del programa de auditoría y solicitar su

aprobación según sea necesario.Mayo 2012 (c) Eduardo Gatell 8


5/16


¿Qué competencias debería

tener la persona que gestiona

el Programa de Auditoría?

5.3.2 Competencia de la

persona que gestiona el

programa de auditoría

Se necesita competencia para gestionar el programa y los riesgos

asociados, así como conocimientos y habilidades en las siguientesáreas: principios, procedimientos y métodos de auditoría;

normas de sistemas de gestión y documentos de referencia;

actividades, productos y procesos del auditado;

requisitos legales y de otro tipo aplicables pertinentes a las actividades y

productos del auditado;

clientes, proveedores y otras partes interesadas del auditado, cuando seaaplicable.

Debería estar involucrado en un desarrollo profesional continuopara mantener los conocimientos y habilidades necesarias para

gestionar el programa de auditoría.



6/16


¿Qué factores pueden

influenciar la extensión del


5.3.3 Determinación de la

extensión del programa deauditoría Otros factores incluyen:

el objetivo, alcance y duración de cada auditoría y el número de auditorías a realizarse, (incluyendoel seguimiento, si aplica)

el número, importancia, complejidad, similitud y ubicación de las actividades a ser auditadas;

los factores que influencian la eficacia del sistema de gestión;

el criterio de auditoría (eg, arreglos para los requisitos de gestión, normativos, legales ycontractuales pertinentes)

las conclusiones de auditorías previas internas y externas;

los resultados de revisiones previas al programa de auditoría;

el idioma, cultura y aspectos sociales;

las preocupciones de las partes interesadas (eg. quejas de clientes o incumplimientos legales); los cambios significativos en el auditado o sus operaciones;

las tecnologías de información y comunicación para soportar las actividades de auditoría, en

particular el uso de métodos de auditoría remotos (ver anexo B);

la ocurrencia de eventos internos y externos, (eg. falla de producto, fugas en la seguridad de lainformación, incidentes de salud y seguridad , actos criminales o incidentes ambientales).



7/16


¿Qué tipos de riesgos se

deben identificar el Programa

de Auditoría?

5.3.4 Identicación y

evaluación de riesgos delprograma de auditoría

Los riesgos pudieran estar asociados con: La planificación (eg. falla al establecer objetivos de auditoría

pertinentes y al determinar la extensión del programa de auditoría)

Los recursos (eg. asignando tiempo insuficiente)

La selección del equipo auditor (eg. el equipo no tiene la

competencia colectiva para realizar auditorías eficazmente)

La implementación (eg. comunicación no eficaz del programa de

auditoría) Los registros y controles (eg. falla en la protección de los registros de

la auditoría para demostrar la eficacia del programa)

El monitoreo, revisión y mejora del programa de auditoría (eg.monitoreo no eficaz de los resultados)



8/16


¿Qué debería cubrir el/los

procedimientos para el


5.3.5 Establecimiento de

procedimientos para el programade auditoría Deberían tratar lo siguiente, según sea aplicable:

la planificación y calendarización de auditorías considerando los

riesgos;

asegurar la seguridad y confidencialidad de la información;

asegurar la competencia de los auditores y líderes de equipo;

la selección de equipos de auditoría apropiados / la asignación de roles

y responsabilidades;

la realización de auditorías, incluyendo el uso del muestreo apropiado

la realización de auditorías de seguimiento, si es aplicable;

reportar a la alta dirección sobre los logros del programa de auditoría;

mantenimiento de registros del programa;

el monitoreo / revisión del desempeño y riesgos, así como la mejora de

la eficacia del programa de auditoría.



9/16


¿Qué influye en la selección

de los miembros del equipo

auditor?

5.4.4 Selección de los

miembros del equipo auditor

Se necesita señalar miembros del equipo auditor, incluyendo líder del equipo

expertos técnicos requeridos

Tomar en cuenta la compentencia necesaria para lograr los

objetivos de la auditoría individual dentro del alcance

definido.

Si solo hay un auditor, el auditor debería realizar todas las

tareas aplicables de un auditor líder del equipo.

NOTA, La cláusula 7 contiene directrices sobre la

determinación de las competencias requeridas de los

miembros del equipo auditor y describe los procesos para la

evaluación de los auditores.Mayo 2012 (c) Eduardo Gatell 18


10/16

5.4.4 Selección de los miembros

del equipo auditor (cont…)

Se necesita considerar:a) lala competenciacompetencia colectivacolectiva deldel equipoequipo auditorauditor para lograr losobjetivos de la auditoría, tomando en cuenta el alcance y el criterio de

la auditoría;

b) la complejidad de la auditoría y si es combinada o conjunta;

c) los métodos de auditoría seleccionados;

d) los requisitos legales / contractuales, etc

e) la necesidad de independiencia y de evitar conflicto de intereses

f) lala habilidadhabilidad deldel equipoequipo auditorauditor parapara interactuar interactuar eficazmenteeficazmente

con elcon el auditadoauditado yy trabajar trabajar enen equipoequipo;

g) el idioma de la auditoría, / laslas caracter caracter íísticassticas socialessociales yyculturalesculturales deldel auditadoauditado (pudiera necesitarse que sean tratadas por

vía de un experto técnico).


5.4.4 Selección de los miembros

del equipo auditor (cont…) Deberían realizarse las siguientes etapas:

identificar los conocimientos y habilidades necesarias para lograr los

objetivos de la auditoría;

seleccionar al equipo de modo que todo el conocimiento y habilidadesnecesarias estén presentes

PudieraPudiera serser necesarionecesario elel usouso dede expertosexpertos ttéécnicoscnicos paraatraer la competencia adicional (¡no debrerían actuar como

auditores!).

Pudiera incluirse auditores en entrenamiento, pero bajo la

dirección y guía de un auditor. Pudiera necesitarse ajustar el tamaño / composición del

equipo auditor durante la auditoría, (eg. si surgiera un

conflicto de intereses o de competencia). Se necesita discutir

con las partes pertinentes antes de hacer cualquier ajuste.Mayo 2012 (c) Eduardo Gatell 20


11/16

Actividades típicas de

auditoría


6.2 Inicio de la auditoría(6.2.1 General; 6.2.2 Establecimiento del contacto inicial;

6.2.3 Determinación de la factibilidad)

6.3 Actividades de preparación de la auditoría(6.3.1 Rev. doc.; 6.3.2 Plan de

Auditoría; 6.3.3 Asignación de tareas; 6.3.4 Preparación de doc. de trabajo)

6.4 Actividades de realización de la auditoría(6.4.1 General; 6.4.2 Reunión de

Apertura; 6.4.3 Rev. doc. durante la auditoría; 6.4.4 Comunicación; 6.4.5 Guías /

Observadores; 6.4.6 Recolección/verif. de inf.; 6.4.7 Generación de hallazgos;

6.4.8 Preparación de conclusiones;6.4.9 Reunión de cierre)

6.5 Preparación / distribución del reporte de auditoría

(6.5.1 Preparación del reporte; 6.5.2 Distribución del reporte)

6.6 Finalizacion de la auditor ía

6.7 Realización de las actividades de seguimiento(si se especifica en el plan)


¿Cuáles son los

propósitos/elementos del

contacto inicial con el

auditado?


12/16

6.2.2 Establecimiento del

contacto inicial con el auditado Líder del equipo auditor (informal o formal)

Los propósitos son: establecer comunicación con los representantes del auditado;

confirmar la autoridad para realizar la auditoría;

proporcionar información sobre los objetivos, alcance y métodos de la auditoría, y la

composición del equipo auditor, incluyendo expertos técnicos;

solicitar el acceso a documentos y registros pertinentes con el propósito de

planificación;

determinar los requisitos legales, contractuales y de otro tipo pertinentes a las

actividades y productos del auditado;

confirmar el acuerdo con el auditado sobrel la extensión y tratamiento de la

información confidencial;

hacer los arreglos para la auditoría incluyendo horarios y fechas;

determinar cualquier requisito de acceso, seguridad, salud y seguridad personal, etc.

acordar la participación de observadores y la necesidad de guías para el equipo aud;

determinar cualquier área de interés o preocupación del auditado.



¿Cuál es el propósito y

cuidados a tener al realizar

una “revisión de la

documentación” para preparar

una auditoría?


13/16

6.3 Preparación de las

actividades de auditoría6.3.1 Realización de lala revisirevisióónn de lade la documentacidocumentacióónn en laen la preparacipreparacióónn

de lade la auditor auditor ííaa

Debería revisarse la documentación pertinente del SG a auditarse para: recabar información para preparar las actividades de la auditoría y los documentos de

trabajo aplicables (ver 6.3.4), eg sobre procesos, funciones;

establecer una visión general de la extensión de la documentación del sistema para

detectar posibles carencias.

NOTA Se da una directriz de cómo realizar una revisión de la

documentación en la cláusula B.3.

La documentación debería incluir, cuando sea aplicable: documentos y registros del sistema de gestión

reportes de auditorías previas, si son pertinentes.

La revisión de la documentación debería tomar en cuenta el tamaño, lanaturaleza y la complejidad del sistema de gestión del auditado, y de la

organización, los objetivos de la auditoría y el alcance.



¿Qué debe considerar el

auditor líder del equipo para

preparar el plan de auditoría?


14/16

6.3.2 Preparación del plan de

auditoría El auditor líder debería preparar el plan de auditoría con base en la información

contenida en el programa de auditoría y en la documentación proporcionada por

el auditado.

El plan debería considerar el efecto de la auditoría en los procesos del auditado Debería proporcionar bases para el acuerdo entre el cliente de la auditoría, el equipo auditor y el

auditado

Debería facilitar la programación y coordinación eficiente de las actividades de auditoría.

ElEl nivelnivel dede detalledetalle del plandel plan deber deber ííaa reflejarareflejara elel alcancealcance y lay la complejidadcomplejidad dede

lala auditor auditor ííaa, así como el efecto de la incertidumbre en el logro de los objetivos.

Al preparar el plan de la auditoría, el auditor líder debería estar consciente de: las técnicas de muestreo apropiadas (ver capitulo B.5);

la composición del equipo audiot y su competencia colectiva;

los riesgos para la organización creados por la auditoria.

Los riesgos pudieran resultar de los miembros del equipo auditor al influenciar lasalud y seguridad, el ambiente y la calidad, y su presencia puede presentar

amenazas para los productos, servicios, personal o infraestructura (ej,

contaminación).



¿Qué debe considerar el

proceso de evaluación de los

auditores?


15/16

7.1 General

El proceso de evaluación debería incluir cuatro pasos:a) determinar determinar lala competenciacompetencia del personal de la auditoría para cumplir las

necesidades del programa de auditoría;

b) establish evaluation crit eriaestablish evaluation criteria;

c) seleccionar el mméétodotodo apropiadoapropiado dede evaluacievaluacióónn;

d) realizar realizar lala evaluacievaluacióónn.

El resultado del proceso de evaluación debería

proporcionar la base para:la selección de los miembros del equipo auditor como se describe en 5.4.4;

determinar determinar lala necesidadnecesidad dede mejorar mejorar lala competenciacompetencia (ej. formación

adicional);evaluacievaluacióónn continua delcontinua del desempedesempeññoo de losde los auditoresauditores.

November 2010 (c) Nigel H Croft 29


¿Qué tipos de conocimientos y

habilidades “específicas de la

disciplina y sector” deben

considerar ?


16/16

7.2.3.3 Conocimientos y habilidades

específicas de la disciplina y sector

Debería incluir:requisitos y principios sobre la disciplina específica del SG y su aplicación;

requisitos legales pertinentes a la disciplina y el sector, de modo que el auditor esté

consciente de los requisitos específicos en la jurisdicción y obligaciones, actividades y

productos del auditado;

los requisitos de las partes interesadas pertinentes a la disciplina específica;

los fundamentos de la disciplina y la aplicación de métodos de negocio y métodos técnicos

específicos de la disciplina, técnicas, procesos y prácticas, suficientes para permitir que el

auditor examine el SG y genere los hallazgos y conclusiones apropiadas;

conocimientos específicos de la disciplina relacionados al sector particular, naturaleza de

las operaciones o lugar de trabajo a ser auditado, suficientes para que el auditor evalúe las

actividades, procesos y productos del auditado (bienes y servicios);

los principios de gestión de riesgos, métodos y técnicas pertinentes a la disciplina y sector,

de modo que el auditor pueda evaluar y controlar los riesgos asociados con el programa deauditoría.

November 2010 (c) Nigel H Croft 31

MUCHAS GRACIAS!

[email protected]@inlac.com

www.thecroftalliance.comMay 2012 32(c) Nigel H Croft

Documents

Clase Maestra de Auditorias - 2a. Parte