mÓdulo 1. nociones bÁsicas para un programa de …
Post on 20-Jul-2022
4 Views
Preview:
TRANSCRIPT
1
© IC
ON
TE
C T
od
os los D
ere
chos R
eserv
ad
os
MEMORIAS DE ESTUDIO
MÓDULO 1. NOCIONES
BÁSICAS PARA UN
PROGRAMA DE AUDITORÍA
AUDITORÍAS INTERNAS A SISTEMAS DE GESTIÓN
NTC ISO 19011:2012
La NTC ISO 19011:2012 establece las “Directrices para la Auditoría de Sistemas de Gestión”.
Dicha norma contempla los siguientes siete capítulos:
1. Objeto y cambio de aplicación
2. Referencias normativas
3. Términos y definiciones
4. Principios de Auditoria
5. Gestión de un programa de auditoría
6. Realización de una auditoria
7. Competencia y evaluación de los auditores
Definición de Auditoría
Según la NTC ISO 19011:2012, Auditoría se define como: “Proceso sistemático, independiente y
documentado para obtener evidencias y evaluarlas de manera objetiva con el fin de determinar el
grado en que se cumplen los criterios de auditoría”.
La Auditoria puede ser entendida como una herramienta al servicio de la gestión de toda
organización que ha implementado sistemas de gestión. Consiste en la evaluación sistemática,
documentada, periódica y objetiva del funcionamiento adecuado de las actividades de un
proceso.
Una Auditoría de Sistemas de Gestión Integrados es la que se aplica a Sistemas de Gestión
Integrados. La integración de sistemas más común es la de los relativos a calidad, medio
ambiente, y seguridad y salud en el trabajo, según ISO 9001, ISO 14001 y OHSAS 18001
respectivamente, pero no es la única.
2
© IC
ON
TE
C T
od
os los D
ere
chos R
eserv
ad
os
La Auditoría de Sistemas de Gestión Integrados permite comprobar el cumplimiento de las
prácticas establecidas relativas a las normas de referencia. Con estas auditorías se revisa el
cumplimiento de procesos, procedimientos e instrucciones relativos a cada una de las disciplinas,
así como el grado de eficacia a la hora de alcanzar los objetivos propuestos en cada una de ellas.
CONCEPTOS CLAVE
Características
Sistemática
No aleatorio. Las auditorías usualmente son una actividad bien planificada y programada.
Independiente
Está definido como uno de los principios de la auditoría, pues es considerada como la base de
la imparcialidad y objetividad de las conclusiones de la auditoría.
Evidenciada
Pretende que la auditoría se desarrolle siguiendo el enfoque basado en la evidencia y se
considera el fundamento racional para llegar a conclusiones confiables y reproducibles en un
proceso de auditoría sistemático.
Objetiva
Se refiere al hecho de ejecutar un proceso de evaluación objetivo, el cual es definido como
comparar la evidencia con los criterios de auditoría usando hechos antes que percepciones
subjetivas, opiniones y sentimientos.
Documentada
Consiste en que debe existir un proceso escrito, el cual ha de cumplir los pasos definidos por
la entidad para su elaboración, revisión y aprobación.
Principales actores
Auditado
Organización que es auditada.
3
© IC
ON
TE
C T
od
os los D
ere
chos R
eserv
ad
os
Auditor
Persona con la competencia para llevar a cabo una auditoría.
Observador
Persona que acompaña al equipo auditor pero no audita.
PRINCIPIOS DE AUDITORÍA
Los principios de auditoría ayudan a hacer de una auditoría integral una herramienta de apoyo,
eficaz y fiable, proporcionando una buena información sobre la cual la alta dirección de la
organización pueda actuar para mejorar el desempeño de los sistemas. Estos principios permiten
al auditor generar conclusiones de auditoria pertinentes y suficientes, y lograr un trabajo
independiente.
Integridad
El funcionamiento de la profesionalidad.
Presentación imparcial
La obligación de informar con veracidad y exactitud.
Cuidado profesional
La aplicación de diligencia y juicio al auditar.
Confidencialidad
Seguridad de la información.
Independencia
La base para la imparcialidad de la auditoria y la objetividad de las conclusiones de la auditoria.
Enfoque basado en la evidencia
El método racional para alcanzar conclusiones de la auditoria.
PROGRAMA DE AUDITORÍA
La propia naturaleza de las auditorias hace necesario que se elabore un programa de auditorías
que se celebre a lo largo del año indicando al menos el alcance, objetivo, fechas probables de
auditorías y el responsable de su desarrollo.
La organización debe planificar, establecer, implementar y mantener uno o varios programas
de auditoría que contribuyan a la determinación de la eficacia del sistema de gestión.
El programa de auditoría puede incluir auditorias que tengan en consideración una o más normas
de sistemas de gestión, las cuales pueden ser llevadas a cabo de manera individual o combinada
4
© IC
ON
TE
C T
od
os los D
ere
chos R
eserv
ad
os
El contenido que debe incluir un Programa de Auditoría es el siguiente:
Frecuencia.
Métodos de auditoría.
Responsabilidades.
Requisitos de planificación.
Requisitos de elaboración de informes.
Definición de criterios y alcance para cada auditoría.
Seleccionar auditores, asegurando imparcialidad.
Informar de los resultados a la dirección pertinente.
Conservar información documentada.
El programa de auditoría debe tener objetivos establecidos. Por lo general se trata de comprobar
la eficacia del sistema de gestión integrado o de alguna de sus partes.
Dichos objetivos deberían ser coherentes y servir de apoyo a la política y los objetivos del sistema
de gestión integrado.
ESTABLECIMIENTO DEL PROGRAMA DE
AUDITORIAS
El Programa de Auditoría es un esquema detallado del trabajo a realizar y los procedimientos a
emplearse durante la fase de ejecución, en el cual se determina la extensión y oportunidad de su
aplicación, así como los papeles de trabajo que han de ser elaborados.
Los aspectos a definir para el establecimiento del programa de auditorías son:
Funciones y responsabilidades
Alcance, Riesgos del programa, responsabilidades, procedimientos, recursos, asegurar la
presentación del programa, mantener registros, mejora del programa.
Competencias del responsable del programa
Conocimientos en proceso de auditorías, conocimientos de la organización.
Determinación del alcance
Tamaño, naturaleza, funcionalidad, complejidad, madures del sistema de gestión integral.
Identificación y evaluación de riesgos
Planificación, recursos, selección del equipo auditor, la implementación, seguimiento, revisión y la
mejora del programa.
5
© IC
ON
TE
C T
od
os los D
ere
chos R
eserv
ad
os
Procedimiento de auditoria
Calendario de auditorías, evaluación de riesgos. Aseguramiento de competencias de los auditores,
selección del equipo auditor, realización de las auditorias y el método de muestreo, comunicación
de los resultados, conservación de los registros, seguimiento, revisión y mejora del programa y
Seguimiento de los riesgos.
Recursos del programa
Financieros, Métodos de auditoría, Equipo auditor competente, Alcance del programa, Riesgos del
programa, Logística y Tecnología de información.
IMPLEMENTACIÓN DEL PROGRAMA DE
AUDITORIAS
Una vez se ha establecido el programa de auditorías, este debe ser implementado.
Los aspectos a tener en cuenta para la implementación del programa de auditorías son:
Definición de objetivos, criterios y alcance
Incluye:
Objetivos
Determinar conformidad del sistema con criterios, Capacidad del sistema para cumplir
requisitos legales, Eficacia del sistema de gestión y Aéreas de mejora potencial.
Criterios
Políticas, Objetivos, Procedimientos y Requisitos sectoriales.
Alcance
Coherente con objetivos del programa y Coherente con objetivos de auditoría.
Selección de los métodos de auditoria
Se seleccionan y determinan los métodos para llevar a cabo la auditoría integral de manera eficaz.
Selección de los miembros del equipo auditor
Competencias en función de los OBJETIVOS, teniendo en cuenta el alcance y los criterios de la
auditoría.
Responsabilidades del equipo auditor
Asignación de recursos y resultados
Gestión de resultados de auditoría
Calidad de los informes y su distribución, Eficacia de las acciones correctivas y Auditorías de
seguimiento.
6
© IC
ON
TE
C T
od
os los D
ere
chos R
eserv
ad
os
Gestión y mantenimiento de los registros
Incluye:
Programa: Objetivos, criterios y alcance, Riesgos del programa y Programa de auditoría.
Auditoría individual: Planes, Informes de No Conformidades, Informes de AC-AP y
Informes de seguimiento.
Competencia: Evaluación de la competencia, Selección de auditores y Mantenimiento de
la competencia.
MÓDULO 2. HABILIDADES
PARA PLANIFICAR Y LLEVAR
A CABO LA AUDITORÍA
INTERNA AL SGI
TAREAS PREVIAS
Antes de la fecha programada para la ejecución de la auditoría, el responsable de su desarrollo
deberá efectuar las siguientes tareas:
Confirmar con claridad y exactitud los objetivos, alcance, criterios de la auditoria y los
recursos de los que se dispone.
Confirmar que el equipo auditor conozca claramente sus funciones (complejidad, la
extensión y las actividades a desempeñar en la auditoria).
Contactar al auditor inicialmente para comunicarle el desarrollo previsto de la auditoria,
recordarle las fechas previas planificadas, la duración estimada y la composición del
equipo auditor.
7
© IC
ON
TE
C T
od
os los D
ere
chos R
eserv
ad
os
SECUENCIA DE IMPLEMENTACIÓN
Generalmente, una auditoría se lleva a cabo mediante la siguiente secuencia de pasos. Sin
embargo, dicha secuencia puede variar dependiendo del auditado, los procesos y las
circunstancias específicas de la auditoría.
Paso 1. Inicio de la auditoria
Incluye los preparativos de la auditoría y la determinación de la viabilidad del proceso de
auditoría.
Paso 2. Preparación de actividades de auditoría
En este paso se realiza una revisión de documentos, se prepara el plan de la auditoría, se
asigna tareas de auditoría al equipo auditor, se preparan los documentos de trabajo del auditor
(como listas de verificación) y, cuando sea aplicable, se define el plan de muestreo estadístico.
Paso 3. Realización de actividades de auditoría
Corresponde al trabajo de campo de la auditoria donde se realiza una reunión de apertura, se
revisa la documentación, se confirman canales formales de comunicación durante la auditoria,
se asignas funciones a guías y observadores, se recopila y verifica información, se generan
los hallazgos y las conclusiones, y se realiza una reunión de cierre.
Paso 4. Preparación, aprobación y distribución del informe de auditoria
En este paso se elabora le informe de auditoría (el cual contiene los hallazgos y la conclusión),
se aprueba por quien corresponda y se distribuye a los receptores designados.
Paso 5. Realización de actividades de seguimiento
Las conclusiones de la auditoria pueden indicar la necesidad de acciones correctivas,
preventivas o de mejora, tales acciones son decididas y emprendidas por el auditado y no se
consideran parte de la auditoria. Sin embargo, debería verificarse si dichas acciones fueron
implementadas y determinar su eficacia (esta verificación puede ser parte de una auditoria
posterior).
8
© IC
ON
TE
C T
od
os los D
ere
chos R
eserv
ad
os
PREPARACIÓN DE ACTIVIDADES
Revisión de documentos
Consiste en una revisión documental completa, correcta, coherente y vigente del proceso auditado,
teniendo en cuenta el tamaño, la naturaleza y la complejidad del sistema y la organización, y los
objetivos y el alcance de la auditoría.
Plan de auditoría
El Plan de Auditoría es la programación adecuada del tiempo para el desarrollo de las
actividades para lograr los objetivos planificados.
Se debe tener en consideración:
Técnicas de muestreo
Composición del equipo auditor
Riesgos significativos del Sistema de Gestión Integrado.
Ejemplo de estructura de un Plan de Auditoría
Asignación de tareas
Las diferentes tareas de la auditoría son asignadas a los miembros del equipo auditor con base
en:
La competencia de los auditores.
Las funciones y responsabilidades.
El uso eficaz de los recursos.
Documentos de trabajo
Los documentos de trabajo consisten en información relacionada con las tareas de auditoría
asignadas (según sea necesario) como referencia y registro de evidencia de la auditoria.
9
© IC
ON
TE
C T
od
os los D
ere
chos R
eserv
ad
os
Incluye:
Listas de verificación
Planes de muestreo
Registro Hallazgos de auditoría
Registro de reuniones.
Una lista de verificación puede diseñarse a partir de los componentes de gestión:
Planeación del proceso
Responsabilidades y recursos
Información documentada (Control del proceso, Comunicación en el proceso, Gestión de
desviaciones)
Seguimiento y medición
Mejora del proceso
Para auditorías combinadas, deberían prepararse documentos de trabajo donde se agrupen
requisitos similares de criterios diferentes y se coordine la preparación de los contenidos de las
listas de verificación.
Plan de muestreo estadístico
Cuando se decide utilizar muestreo estadístico, el plan de muestreo se debería basar en los
objetivos de la auditoria y en lo que se conoce sobre las características de la población global de
la que se toman las muestras.
Los elementos clave que pueden afectar el muestreo de la auditoría son:
Tamaño de la organización.
Número de auditores competentes.
Frecuencia de auditorías en el curso del año.
Duración de la auditoría individual.
Nivel de confianza requerido externamente.
REALIZACIÓN DE ACTIVIDADES
Reunión de apertura
En esta reunión se confirman los objetivos, el plan de Auditoría, los canales de comunicación, los
recursos y los métodos asociados con la confidencialidad. Además, se presentan los métodos de
auditoría e información de cómo gestionar los hallazgos.
10
© IC
ON
TE
C T
od
os los D
ere
chos R
eserv
ad
os
Revisión de documentación
Por medio de una revisión documental se busca determinar conformidad del proceso auditado con
lo documentado, considerando criterios.
Comunicación
El equipo auditor debe informar el estado de avance y la viabilidad de la auditoría frente a los
objetivos propuestos.
Las siguientes son algunas recomendaciones para la comunicación:
Mirar con interés al auditado.
Preguntar frente a cuestiones relevantes para el auditado.
Focalizar la agenda en los asuntos de impacto para cubrir lo planificado.
Evaluar el entendimiento frente a las evidencias presentadas.
Evaluar la necesidad de llevar a cabo revisiones sobre aspectos adicionales.
Neutralizar las emociones.
Asignación de funciones
Los observadores deben evitar interferir en el proceso.
Los guías deben facilitar la orientación de los auditores, e informar sobre medidas de protección
y seguridad de las instalaciones.
Recopilación y verificación de información
Durante la auditoría se debe recopilar información (mediante un muestreo apropiado) y verificarla.
Sólo la información verificable debe aceptarse como evidencia.
Las evidencias están constituidas por registros, declaraciones de hecho u otra información que
sea pertinente para los criterios de auditoría y que son verificables. La evidencia de la auditoría
puede ser cualitativa o cuantitativa.
Algunas de las principales fuentes de información son las siguientes:
Entrevistas al personal
Observación de los equipos en funcionamiento
Observación de condiciones del medio
Observación de condiciones de mantenimiento.
Observación de condiciones de operación.
Revisión de información documentada.
11
© IC
ON
TE
C T
od
os los D
ere
chos R
eserv
ad
os
Hallazgos y conclusiones
Una vez se recopilan las evidencias, estas deben ser evaluadas contra los criterios de auditoría.
Los resultados de dicha evaluación se conocen como hallazgos de la auditoría.
Los hallazgos pueden ser positivos en el caso de tratarse de fortalezas, o negativos si consisten
en oportunidades de mejora o no conformidades.
Una no conformidad registra la evidencia objetiva de una conclusión adversa al cumplimiento de
un requisito. Esto se aplica si la falla es completa o parcial.
Se debería expresar en términos de:
¿Qué ocurrió?
¿Cuándo ocurrió?
¿Dónde ocurrió?
¿Cuántas cantidades se evidenciaron?
¿Cuál requisito se incumple?
Recopilación y verificación de información
Las conclusiones de la auditoría son el resultado tras considerar los objetivos de la auditoría y
todos los hallazgos de la auditoría.
Se deben generar conclusiones que indiquen:
Grado de conformidad del sistema frente a los criterios de auditoría especificados.
Logro de los objetivos de auditoría.
Adecuación, conveniencia y eficacia.
Nivel de Integración del Sistema frente a los componentes de gestión evaluados.
El grado de “evolución” de la mejora continua experimentado.
Objetivo de evaluación Conclusión
Conveniencia (Realidad Vs Criterios)
El sistema de gestión es Conveniente para la organización.
Eficacia (Realidad Vs Objetivos)
El sistema de gestión es Eficaz para el cumplimiento de las expectativas de la organización.
Adecuación (Criterios Vs Objetivos)
El sistema de gestión es Adecuado para las necesidades de la organización.
Ejemplo de conclusiones que indican la conveniencia, eficacia y adecuación del sistema de gestión
Reunión de cierre
En la reunión de cierre se presentan los hallazgos y las conclusiones de la auditoría y se explican
aspectos asociados con:
12
© IC
ON
TE
C T
od
os los D
ere
chos R
eserv
ad
os
Recopilación de evidencias basadas en muestreo.
Nivel de Integración de los sistemas de gestión.
Método de presentación de la información
Proceso de tratamiento de los hallazgos
Actividades de seguimiento posteriores.
INFORME DE AUDITORÍA
Una vez obtenidas las conclusiones de la auditoría, se debe preparar y distribuir el informe de
auditoría, el cual debe proporcionar un registro completo, preciso, conciso y claro de la auditoría.
Además, este informe debe entregarse en los tiempos definidos y distribuirse al cliente de auditoría
y a quienes incluya el procedimiento de auditoría.
El contenido mínimo de un informe de auditoría es el siguiente:
Objetivo, alcance, criterios y cliente
Equipo auditor
Fechas de auditoria
Aspectos favorables de la actividad auditada.
Aspectos débiles de la actividad auditada.
Solicitud de acciones correctivas.
Conclusiones de la auditoría.
Grado de cumplimiento de los criterios de auditoría.
Las características del informe de auditoría son:
Específico
Se enfoca en los problemas de control y los organiza de acuerdo con las normas.
Significativo
Identifica qué necesitan los usuarios del reporte en términos de alcanzar las metas y objetivos
organizacionales.
Asequible
13
© IC
ON
TE
C T
od
os los D
ere
chos R
eserv
ad
os
Especifica acciones correctivas que son alcanzables y que agregarán valor a la organización.
Demostrar la capacidad de la entidad para implantar las recomendaciones del informe y
mantener un nivel aceptable de operación.
Orientado a resultados
Generar resultados que sean claros, redactados de forma concisa, y vinculados a las normas.
Oportunos
Especifica el alcance y parámetros de los hallazgos oportunamente.
ACTIVIDADES DE SEGUIMIENTO
El proceso de auditoría se dará por finalizado cuando se ponga en marcha el plan de acciones
correctivas, el cual debe contener acciones para solucionar cada no conformidad encontrada.
Posteriormente, es necesario realizar seguimiento.
En caso de que las conclusiones de la auditoría indiquen la necesidad de correcciones, acciones
correctivas, preventivas o de mejora, se debería verificar si se completaron dichas acciones y su
eficacia.
La verificación de la realización de las correcciones, acciones correctivas, preventivas o de mejora,
puede efectuarse mediante una auditoría posterior.
SEGUIMIENTO DEL PROGRAMA DE AUDITORÍA
Es importante efectuar seguimiento a la implementación del programa de auditoría con el fin de
determinar modificaciones que contribuyan a la mejora del mismo.
El seguimiento del programa de auditoría se realiza considerando la necesidad de:
Evaluar la conformidad del programa
Evaluar el desempeño de los auditores
Evaluar la capacidad de los auditores para implementar el plan de auditoria.
Retroalimentar el programa de auditoria.
Con base en ello, se determina la necesidad de modificar el programa según:
Los hallazgos de la auditoria
Eficacia del sistema
Cambios del sistema
Cambios de requisitos
14
© IC
ON
TE
C T
od
os los D
ere
chos R
eserv
ad
os
Cambios de proveedor
REVISIÓN Y MEJORA DEL PROGRAMA DE
AUDITORÍA
También se debe revisar el programa mediante indicadores de gestión que permitan evaluar si se
han alcanzado sus objetivos, y utilizar los resultados de dicha revisión para la mejora continua del
programa.
Los aspectos a considerar para dicha revisión son los siguientes:
Resultados y tendencias del seguimiento del programa de auditoria.
Conformidad con los procedimientos del programa de auditoría.
Evolución de las necesidades y expectativas de las partes interesadas.
Registros del programa de auditoria.
Métodos de auditoría alternativos o nuevos.
Eficacia de las medidas para tratar los riesgos asociados.
Temas de confidencialidad y seguridad de la información relacionados.
COMPETENCIA DE LOS AUDITORES
Los auditores deben poseer las cualidades, los conocimientos y las habilidades necesarias para
el adecuado desarrollo de las auditorías.
La competencia del auditor se centra en dos condiciones básicas:
La de mayor impacto está representada por el conocimiento del proceso.
La segunda condición está relacionada con el conocimiento de los criterios de auditoría
(referenciales).
La educación y la experiencia contribuyen con el desarrollo de las competencias del auditor.
Las competencias del auditor deben ser evaluadas. Para ello, es posible emplear dos tipos de
criterios:
Cuantitativos: Por ejemplo: años de experiencia laboral y de educación, número de
auditorías dirigidas y horas de formación en auditoría, entre otros.
Cualitativos: Por ejemplo: conductas personales, desarrollo de habilidades, entre otros.
Dichos criterios pueden ser aplicados con base en métodos que permitan determinar el nivel de
cumplimiento.
15
© IC
ON
TE
C T
od
os los D
ere
chos R
eserv
ad
os
Algunos de los métodos que se pueden aplicar en la evaluación de auditores son:
Revisión de registros
Entrevistas
Observación
Examen
Revisión después de la auditoría
top related