Tras la realización de las actividades pertinentes de una auditoría será preciso emitir una serie de documentos que informen de las conclusiones de la la misma.
Es el líder del equipo auditor quien debe informar de dichas conclusiones. Este deberá proporcionar un registro completo, preciso, conciso y claro de la auditoría y deberá incluir y hacer referencia a los siguientes aspectos:
1) Los objetivos que tenía la auditoría.
2) El alcance de la auditoría, concretamente la identificación de la organización y de las funciones o procesos auditados.
3) Quien ha sido el cliente de la auditoría.
4) La identificación del equipo auditor y de los participantes del auditado en la auditoría.
5) Fechas y ubicaciones donde se realizaron las actividades de auditoría.
6) Criterios que ha seguido la auditoría.
7) Todos los hallazgos de la auditoría y las evidencias relacionadas a estos.
8) Las conclusiones obtenidas de la auditoría.
9) Una declaración del grado o nivel en el que se han cumplido los criterios de la auditoría.
10) Cualquier opinión que aun esté sin resolver entre el equipo auditor y el auditado.
Hay que tener en cuenta que las auditorías, por naturaleza, son un ejercicio de muestreo; por lo que constituye un riesgo que las evidencias de la auditoría examinadas no sean representativas.
Según ISO 19011, el informe de la auditoría también puede incluir o hacer referencia a lo siguiente cuando se considere apropiado:
- El plan de auditoría, incluyendo el horario.
- Un resumen del proceso de auditoría, incluyendo cualquier obstáculo encontrado que pueda disminuir la confianza en las conclusiones de la auditoría.
- La confirmación de que se han cumplido los objetivos de la auditoría dentro del alcance de la auditoría, de acuerdo con el plan de auditoría.
- Cualquier área dentro del alcance de la auditoría no cubierta, incluyendo cualquier cuestión sobre la disponibilidad de las evidencias, los recursos o la confidencialidad, con las justificaciones relacionadas.
- Un resumen cubriendo las conclusiones de la auditoría y los principales hallazgos de la auditoría que las apoyan.
- Las buenas prácticas identificadas.
- El seguimiento acordado del plan de acción, si existiera.
- Una declaración sobre la naturaleza confidencial de los contenidos.
- Cualquier implicación para el programa de auditoría o las auditorías posteriores.
Según ISO 19011, la auditoría finaliza cuando se hayan realizado todas las actividades de auditoría planificadas.
Distribución del informe de la auditoría
ISO 19011 establece que el informe de la auditoría debería emitirse en el periodo de tiempo que se haya acordado previamente. Si se atrasa, las razones deberían de ser comunicadas al auditado y a las personas responsables de la gestión del programa de auditoría.
Dicho informe debería estar fechado, revisado y aceptado, según sea apropiado, de acuerdo con el programa de auditoría.
Una vez que el informe de la auditoría esté aceptado, este debería distribuirse a las partes interesadas pertinentes definidas en el programa de auditoría o en el plan de auditoría.
Deberán tenerse en cuenta las medidas apropiadas para asegurar la confidencialidad del informe de auditoría cuando se comience a distribuir a las partes interesadas.
Finalización de la auditoría
La auditoría se dará por finalizada cuando se hayan realizado todas las actividades de auditoría planificadas. ISO 19011 también establece que esta podrá darse por finalizada si se ha acordado de otro modo con el cliente de la auditoría
La información documentada que pertenezca a la auditoría se podrá conservar o eliminar, según hayan acordado las partes implicadas. Siempre se tendrá que actuar de acuerdo con el programa de auditoría y los requisitos aplicables.
Salvo por exigencia legal, el equipo auditor y las personas responsables de la gestión del programa de auditoría no podrán revelar ningún tipo de información que haya sido obtenido a lo largo del proceso de auditoría. Tampoco se podrá informar a ninguna parte del resultado o conclusiones recogidas en el informe de la auditoría, sin contar con la aprobación del cliente auditado. Si se hiciera necesario desvelar el contenido de un documento de la auditoría, el cliente de la auditoría y el auditado deberían ser informados tan pronto como se pueda.
Las lecciones aprendidas de la auditoría pueden identificar los riesgos y oportunidades para el programa de auditoría y para el auditado.
Seguimiento de la auditoría
En función de los objetivos de la auditoría, los resultados de esta podrán indicar la necesidad de llevar a cabo correcciones o acciones correctivas, cuyo fin sea la mejora. Dichas acciones por norma general son decididas y emprendidas por el auditado en un intervalo de tiempo acordado previamente. El auditado debería informar a las personas responsables de la gestión del programa de auditoría y/o al equipo auditor sobre el estado de estas acciones, cuando sea apropiado.
Se deberá verificar si se completaron las acciones y cuál fue su eficacia. Esta verificación podría formar parte de una auditoría posterior. Debería presentarse un informe con los resultados a la persona responsable de la gestión del programa de auditoría, y al cliente de la auditoría para la revisión por la dirección.
Tomado de: https://www.isotools.org