1.

OBJETO Y CAMPO DE APLICACIÓN

Esta norma orienta sobre la auditoria de los sistemas de gestión, principios de
auditoria, programas de auditoria, realización de auditorías de sistema de gestión
sobre las personas que participan en el proceso de auditoría.
Es aplicable a todas las organizaciones que necesiten realizar auditorías internas o
externas de sistemas de gestión, se puede aplicar siempre que se presente la
competencia específica necesaria.
2. Referencias normativas
No hay referencias normativas en este documento.
3. términos
Auditoría: Proceso sistemático, independiente y documentado para obtener
evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el
grado en que se cumplen los criterios de auditoría
Auditoría combinada: Esta es llevada a cabo conjuntamente a un único auditado
en dos o más sistemas de gestión
Auditoría conjunta: Auditoría llevada a cabo a un único auditado por dos o más
organizaciones auditoras
Programa de auditoría: Acuerdos para un conjunto de una o más auditorías
planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito
específico
Alcance de la auditoría: Extensión y límites de una auditoría
Plan de auditoría: Descripción de las actividades y de los detalles acordados de
una auditoría Criterios de auditoría
Criterios de auditoría: Conjunto de requisitos usados como referencia frente a la
cual se compara la evidencia objetiva
Evidencia objetiva: Datos que respaldan la existencia o veracidad de algo
Evidencia de la auditoría: Registros, declaraciones de hechos o cualquier otra
información que es pertinente para los criterios de auditoría y que es verificable
Hallazgos de la auditoría: Resultados de la evaluación de la evidencia de la
auditoría (3.9) recopilada frente a los criterios de
Conclusiones de la auditoría: Resultado de una auditoría, tras considerar los
objetivos de la auditoría y todos los hallazgos encontrados.
Cliente de la auditoría: Organización o persona que solicita una auditoría (3.1)
Auditado: Organización que es auditada en su totalidad o partes
Equipo auditor: Una o más personas que llevan a cabo una auditoría con el
apoyo, si es necesario, de expertos técnicos
Auditor: Persona que lleva a cabo una auditoría
Experto técnico: persona que aporta conocimientos o experiencia específicos al
equipo auditor
Observador: Persona que acompaña al equipo auditor (3.14) pero no actúa como
un auditor
Sistema de gestión: Conjunto de elementos de una organización
interrelacionados o que interactúan para establecer políticas, objetivos y procesos
para lograr estos objetivos
Riesgo: Efecto de la incertidumbre
Conformidad: Cumplimiento de un requisito
No conformidad: Incumplimiento de un requisito (
Competencia: Capacidad para aplicar conocimientos y habilidades con el fin de
lograr los resultados previstos
Requisito: Necesidad o expectativa establecida, generalmente implícita u
obligatoria
Proceso: Conjunto de actividades mutuamente relacionadas que utilizan las
entradas para proporcionar un resultado previsto
Desempeño: Resultado medible
Eficacia: Grado en el que se realiza las actividades planificadas y se logran los
resultados planificados
4. principio de auditoria:
La auditoría depende de los principios, los cuales tienen como finalidad hacer de
esta una herramienta adecuada en el apoyo de las políticas y controles de
gestión con el fin de facilitar la información pertinente para que una organización
actué en pro de mejorar su desempeño, los principios son un requisito previo para
proporcionar conclusiones oportunas y aptas, además los auditores deben ser
independientes a la hora de alcanzar conclusiones similares en la auditoria.
Integridad: los auditores o encargados de la gestión de auditoria deben ser éticos,
honestos y responsables a la hora de desarrollar su trabajo y las actividades
correspondientes de manera imparcial teniendo el debido cuidado con las
situaciones que parezcan un juicio.
Presentación imparcial: Es la obligación de informar con sinceridad y precisión
los hallazgos, conclusiones e informes obtenidos de la auditoría, los cuales se
reflejan en las actividades de esta. También informar los obstáculos significativos
encontrados y de las opiniones divergentes sin resolver entre el equipo auditor y el
auditado. La comunicación debería ser veraz, exacta, objetiva, oportuna, clara y
completa.
Debido cuidado profesional: los auditores deberán proceder con el debido
cuidado, de acuerdo con la importancia de la tarea que desempeñan y la
confianza depositada en ellos por el cliente de la auditoría y por otras partes
interesadas. Además deberán tener juicios razonados en todas las situaciones
que se presenten en la auditoría.
Confidencialidad: Los auditores deberán proceder con discreción en el uso y la
protección de la información adquirida en el desarrollo de sus tareas, esta
información no debería usarse inapropiadamente para beneficio personal del
auditor o del cliente de la auditoría, o de modo que perjudique los intereses
legítimos del auditado con el fin de garantizar la seguridad de la información.
Independencia: Los auditores deberán ser independientes de la actividad que se
audita siempre que sea posible, y en todos los casos deberían actuar de una
manera libre de sesgo y conflicto de intereses. Para las auditorías internas, los
auditores deberían ser independientes de la función que se audita, si es posible.
Los auditores deberían mantener la objetividad a lo largo del proceso de auditoría
para asegurarse de que los hallazgos y las conclusiones de la auditoría están
basados sólo en la evidencia de la auditoría. Para las organizaciones pequeñas,
puede que no sea posible que los auditores internos sean completamente
independientes de la actividad que se audita, pero deberían hacerse todos los
esfuerzos para eliminar el sesgo y fomentar la objetividad.
Enfoque basado en la evidencia: el método racional para alcanzar conclusiones
de la auditoría fiables y reproducibles en un proceso de auditoría sistemático La
evidencia de la auditoría debería ser verificable. En general debería basarse en
muestras de la información disponible, ya que una auditoría se lleva a cabo
durante un periodo de tiempo delimitado y con recursos finitos. Debería aplicarse
un uso apropiado del muestreo, ya que está estrechamente relacionado con la
confianza que puede depositarse en las conclusiones de la auditoría.
Enfoque basado en riesgos: un enfoque de auditoría que considera los riesgos y
oportunidades El enfoque basado en riesgos debería influir sustancialmente en la
planificación, la realización y la presentación de informes de auditoría a fin de
asegurar que las auditorías se centran en asuntos que son importantes para el
cliente de la auditoría y para alcanzar los objetivos del programa de auditoría.
5. La norma ISO 19011: propone que se dé más de una auditoria para analizar los
diferentes sistemas de gestión, y se pueden realizar en conjunto o combinadas.
Para realizar una auditoria bien detallada se deben tener en cuenta las
necesidades de la organización, objetivos organizacionales, las cuestiones
externas e internas pertinentes, y además una parte fundamental como lo son los
requisitos de confidencialidad y seguridad de la empresa.
El cliente de la auditoria debe asegurar que los objetivos de la misma estén
definidos y que correspondan al tema central de dicha auditoria; dichas metas
deben ser coherentes y estar de acuerdo con el direccionamiento estratégico de la
empresa y deben servir de base para la política y los objetivos del sistema de
gestión de la calidad.
Evaluación de riesgos.
En toda auditoria se deben tener en cuenta la evaluación de riesgos y
oportunidades que se debe realizar por el equipo auditor y debe ser presentada al
cliente; dichos riesgos pueden afectar el logro de los objetivos de la empresa.
Los riesgos que más se presentan son:
- Planificación: puede fracasar el establecimiento de los objetivos de la
auditoria, las fechas y las cantidades a realizar de auditorías.
- Recursos: puede afectar una auditoria el poco tiempo dado para realizar la
misma, insuficiencia de recursos o información.
- Equipo auditor: un equipo auditor que no sea lo suficientemente
competente, no podrá realizar una auditoría de manera eficaz.
- Seguimiento de la auditoria: un seguimiento ineficaz puede afectar la
culminación la auditoria.

Establecimiento del programa de auditoria

Para realizar el programa de auditoria se deben asignar los roles y
responsabilidades de las personas que van a realizar la auditoria, las
competencias generales que deben tener y la determinación de recursos para la
realización de dicha auditoria.
Roles y responsabilidades de las personas responsables de la gestión del
programa de auditoría
Las personas responsables de la gestión del programa de auditoría deberían:
- Establecer la extensión del programa de auditoría de acuerdo con los
objetivos pertinentes
 - Determinar las cuestiones externas e internas, y los riesgos y
oportunidades que pueden afectar al programa de auditoría, las actividades
de auditoría pertinentes, según sea apropiado;
- Asegurar la selección de los equipos auditores y la competencia general
para las actividades de auditoría, asignando roles, responsabilidades y
autoridades
- Establecer todos los procesos pertinentes
Competencias de los auditores
El equipo auditor debe tener ciertas características y competencias para poder
desarrollar correctamente una auditoria.
Deben tener claros los conocimientos como.
- Principios de una auditoria
- Normatividad del sistema de gestión de la calidad
- Información sobre el auditado y el contexto en el que se desarrolla la
empresa a nivel organizacional.
- Requisitos legales.
Extensión del programa de auditoria.
El programa de auditoria debe tener claro la extensión de dicho programa, esta se
genera de acuerdo a la información brindada por el auditado frente a su contexto
organizacional, así el equipo auditor podrá definir y planear la extensión de la
auditoria.
Los factores que pueden afectar dicha extensión son:
- Numero de auditorías.
- Cuantas normas del sistema de gestión de calidad se van a auditar.
- Los criterios de la auditoria.
- Los resultados de auditorías internas o externas realizadas con
anterioridad.
- Las inquietudes que se generen por parte de las partes interesadas de la
auditoria.
- Los riesgos y oportunidades encontrados.
Otra parte fundamental de la auditoria es la definición de los recursos que se van a
utilizar en la auditoria; se deben considerar recursos como:
- Recursos financieros.
- Recursos tecnológicos.
- Recurso tiempo
- Disponibilidad de las partes interesadas de la auditoria.
- Costos de transporte, alojamiento, y otras necesidades que puede tener la
auditoria.
Cuanto ya se tengan todas las partes anteriormente dichas, se procede a
implementar el programa de capacitación; se definen objetivos, alcance y criterios
de la auditoria, se selecciona al líder auditor, los recursos, y se asignan las
responsabilidades al líder auditor.
Una vez culminada la auditoria se realiza un seguimiento de la misma, donde se
analice el cumplimiento de objetivos propuestos, desempeño del equipo auditor y
se realiza una retroalimentación por parte de los clientes de la auditoria.
6 Realización de una auditoría´
Generalidades Este capítulo contiene orientación sobre la preparación y
realización de una auditoría específica como parte de un programa de auditoría. El
grado de aplicación de las disposiciones de este capítulo depende de los objetivos
y del alcance de la auditoría específica.
Inicio de la auditoría
Generalidades La responsabilidad de llevar a cabo la auditoría debería
corresponder al líder del equipo auditor designado hasta que la auditoría finalice.
Para iniciar una auditoría, deberían considerarse los pasos
Sin embargo, la secuencia puede diferir dependiendo del auditado, de los
procesos y de las circunstancias específicas de la auditoría.
Establecimiento del contacto con el auditado El líder del equipo auditor debería
asegurarse de que se establece contacto con el auditado
Preparación de las actividades de auditoría
Realización de la revisión de la información documentada La información
documentada pertinente del sistema de gestión del auditado debería revisarse a
fin de: reunir información para comprender las operaciones del auditado y preparar
las actividades de auditoría y los documentos de trabajo de auditoría aplicables.
La información documentada debería incluir: documentos y registros del sistema
de gestión, informes de auditoría previos.
La revisión debería tener en cuenta el contexto de la organización del auditado,
incluyendo su tamaño, naturaleza y complejidad, y sus riesgos y oportunidades
relacionados. También debería tener en cuenta el alcance, los criterios y los
objetivos de la auditoría.
Enfoque basado en riesgos para la planificación
El líder del equipo auditor debería adoptar un enfoque basado en riesgos para
planificar la auditoría, con base en la información del programa de auditoría y en la
información documentada proporcionada por el auditado. La planificación de la
auditoría debería considerar los riesgos de las actividades de auditoría en los
procesos del auditado y proporcionar la base para el acuerdo entre el cliente de la
auditoría.
Detalles de la planificación de la auditoría
El grado de detalle y el contenido de la planificación de la auditoría pueden diferir,
por ejemplo, entre la auditoría inicial y las posteriores, así como entre las
auditorías internas y externas. La planificación de la auditoría debería ser lo
suficientemente flexible para permitir los cambios que pueden hacerse necesarios
a medida que las actividades de auditoría se vayan llevando a cabo.
Asignación de las tareas al equipo auditor
El líder del equipo auditor, consultando con el equipo auditor, debería asignar a
cada miembro del equipo la responsabilidad para auditar procesos, actividades,
funciones o lugares específicos y, según sea apropiado, la autoridad para la toma
de decisiones. Tales asignaciones deberían tener en cuenta la imparcialidad, la
objetividad y la competencia de los auditores y el uso eficaz de los recursos, así
como los diferentes roles y responsabilidades de los auditores, los auditores en
formación y los expertos técnicos.
Preparación de la información documentada para la auditoría
Los miembros del equipo auditor deberían recopilar y revisar la información
pertinente a las tareas de auditoría asignadas y preparar la información
documentada para la auditoría, usando cualquier medio apropiado.
La información documentada generada durante el proceso de auditoría que
contenga información confidencial o protegida debería salvaguardarse de manera
adecuada en todo momento por los miembros del equipo auditor.
Realización de las actividades de auditoría
Generalidades Normalmente
Las actividades de auditoría se realizan en una secuencia definida como se indica.
Esta secuencia puede variar para adaptarse a las circunstancias de auditorías
Asignación de roles y responsabilidades de los guías y los observadores Los guías
y los observadores pueden acompañar al equipo auditor con la aprobación del
líder del equipo auditor, del cliente de la auditoría y/o del auditado, según se
requiera.
Realización de la reunión de apertura
El propósito de la reunión de apertura es: confirmar el acuerdo de todos los
participantes (por ejemplo, auditado, equipo auditor) sobre el plan de auditoría;
presentar al equipo auditor y sus roles asegurarse de que se pueden realizar todas
las actividades de auditoría planificadas.
Revisión de la información documentada durante la auditoría
La información documentada pertinente del auditado debería revisarse para: —
determinar la conformidad del sistema con los criterios de auditoría, sobre la base
de la documentación disponible; — reunir información para apoyar las actividades
de auditoría. La revisión puede combinarse con otras actividades de auditoría y
puede continuar a lo largo de la auditoría, siempre que no vaya en detrimento de
la eficacia de la realización de la auditoría.
Realización de la reunión de cierre
La reunión de cierre debería realizarse para presentar los hallazgos y las
conclusiones de la auditoría. La reunión de cierre debería estar presidida por el
líder del equipo auditor y los representantes de la dirección del auditado deberían
asistir y, cuando sea aplicable, debería incluir: — a los responsables de las
funciones o procesos que se han auditado; — al cliente de la auditoría; — a otros
miembros del equipo auditor; — a otras partes interesadas pertinentes, según lo
Preparación y distribución del informe de la auditoría
Preparación del informe de la auditoría El líder del equipo auditor debería informar
de las conclusiones de la auditoría de acuerdo con el programa de auditoría. El
informe de la auditoría debería proporcionar un registro completo, preciso, conciso
y claro de la auditoría, y debería incluir o hacer referencia a lo siguiente
Distribución del informe de la auditoría
El informe de la auditoría debería emitirse en el periodo de tiempo acordado. Si se
retrasa, las razones deberían comunicarse al auditado y a las personas
responsables de la gestión del programa de auditoría. El informe de la auditoría
debería estar fechado, revisado y aceptado, según sea apropiado, de acuerdo con
el programa de auditoría. A continuación, el informe de la auditoría debería
distribuirse a las partes interesadas pertinentes definidas en el programa de
auditoría o en el plan de auditoría. Al distribuir el informe de la auditoría, deberían
tenerse en cuenta las medidas apropiadas para asegurar la confidencialidad.
Finalización de la auditoría
La auditoría finaliza cuando se hayan realizado todas las actividades de auditoría
planificadas, o si se ha acordado de otro modo con el cliente de la auditoría (por
ejemplo, podría haber una situación inesperada que impida que la auditoría se
finalice de acuerdo con el plan de auditoría). La información documentada
perteneciente a la auditoría debería conservarse o eliminarse de común acuerdo
entre las partes participantes y de acuerdo con el programa de auditoría y los
requisitos aplicables.
7. Competencia y evaluación de los auditores
Generalidades
El proceso de auditoria depende de las competencias y de las personas que
participen, se evaluaran las competencias según el proceso que sea necesario de
acuerdo con la capacidad y comportamiento personal, para evidenciar
conocimientos, habilidades y experiencia que se haya obtenido en las auditorias.
Será necesario tener en cuenta objetivos y necesidades del programa de auditoria,
no es necesario que todos los auditores tengan las mismas competencias, pero si
es importante que el equipo auditor logre los objetivos plateados.
La evaluación de cada competencia se debe planear, implementarse y
documentarse para un mejor resultado, hay cuatro pasos principales:
 Determinar la competencia requerida para cumplir las necesidades del
programa de auditoría
 Establecer los criterios de evaluación
  Seleccionar el método de evaluación apropiado
 Realizar la evaluación.
El resultado de la evaluación será la base para la selección de los miembros del
equipo auditor, determinación de la necesidad de mejora y la evaluación continua
de desempeño del equipo auditor.
Determinación de la competencia del auditor
Generalidades
Según la competencia para la auditoria se deben tener en cuenta los conocimientos
y habilidades relacionadas con los siguientes ocho aspectos
 El tamaño, la naturaleza, la complejidad, los productos, los servicios y los
procesos de los auditados
 Los métodos de auditoría
 Las disciplinas del sistema de gestión que se va a auditar
 La complejidad y los procesos del sistema de gestión que se va a auditar
 Los tipos y niveles de riesgos y oportunidades abordados por el sistema de
gestión
 Los objetivos y extensión del programa de auditoría
 La incertidumbre en el logro de los objetivos de auditoría
 Impuestos del cliente de la auditoría u otras partes interesadas pertinentes,
cuando sea apropiado.

Comportamiento personal
Los auditores deberán tener comportamientos y conocimientos profesionales en el
transcurso de las actividades, tales como ser imparcial, ético, discreto, observador,
perceptivo, versátil, decidido, firme, colaborador y respetuoso.
Conocimientos y habilidades
Generalidades
Los auditores deberán tener conocimientos y habilidades para los resultados
previstos de las auditorias que se lleven a cabo; especial nivel de conocimientos y
habilidades específicas de disciplina y del sector para dirigir el equipo auditor.
Conocimientos y habilidades genéricos de los auditores de sistemas de gestión
Es importante que los auditores tengan habilidades y conocimientos tales como
Principios, procesos y métodos de auditoría.
Un auditor debe tener la capacidad de planificar y organizar, cumplir con el tiempo
estimado, comunicación efectiva, documentar las actividades y hallazgos, mantener
la confidencialidad y seguridad de la información.
Logro de la competencia del auditor
La competencia del auditor puede obtenerse usando una combinación en la que
complete los conocimientos y habilidades, la toma de decisiones, resolución de
problemas, educación, formación, disciplina y experiencia en auditorias.
Logro de la competencia del líder del equipo auditor
El líder del equipo auditor debe adquirir experiencia adicional para desarrollar
distintas competencias y experiencia adquirida bajo la orientación de un líder auditor
de distinto equipo.
Establecimiento de los criterios de evaluación del auditor
Los criterios deben ser cualitativos evidenciando el comportamiento, conocimientos,
habilidades en el lugar de trabajo y cuantitativos como en experiencia laboral,
educación y en el número de auditorías realizadas.
Selección del método apropiado de evaluación del auditor
Se deben tener en cuenta los siguientes métodos para la evaluación:
 Varios métodos que no pueden ser aplicables en toda situación
 Se pueden utilizar métodos combinados para asegurar un resultado objetivo,
coherente y fiable.