Cuando se establece un programa de auditoría, según la norma ISO 19011, y se han determinado todos los recursos relacionados, es necesario implementar la planificación operacional y coordinar todas las actividades dentro del programa.
Las personas responsables de la gestión del programa de auditoría deberían:
- Comunicar todas las partes que formarán parte del programa de auditoría, incluyendo todos los riesgos y oportunidades implicados, a las partes interesadas pertinentes e informarles de forma periódica de los procesos, utilizando los canales de comunicación externos e internos establecidos.
- Definir todos los objetivos, el alcance y los criterios para cada auditoría individual.
- Seleccionar los métodos de auditoría.
- Coordinar y programar las auditorías y otras actividades pertinentes al programa de auditoría.
- Asegurarse de que los equipos auditores tienen la competencia necesaria.
- Proporcionar los recursos necesarios individuales y globales para los equipos auditores.
- Asegurar la realización de las auditorías según el programa de auditoría, gestionando todos los riesgos, oportunidades y cuestiones operacionales, según surjan durante el despliegue del programa.
- Asegurarse de que la información documentada pertinente relativa a las actividades de auditoría se gestiona y mantiene de forma adecuada.
- Definir e implantar los controles operacionales necesarios para el seguimiento del programa de auditoría.
- Revisar el programa de auditoría a fin de identificar oportunidades para mejorarlo.
Definición de los objetivos, el alcance y los criterios para una auditoría individual
Cada auditoría individual debe basarse en objetivos, alcance y criterios de auditoría que se encuentren perfectamente definidos. Estos deben ser coherentes con los objetivos globales del programa de auditoría.
Los objetivos de la auditoría definen qué es lo que se quieren conseguir con la auditoría individual y puede incluir lo siguiente:
- Determinar el grado de conformidad del sistema de gestión que se quiere auditar, o partes del mismo, con los criterios de auditoría.
- La evaluación de la capacidad del sistema de gestión para ayudar a la empresa a cumplir con los requisitos legales y reglamentarios pertinentes y otros requisitos con los que se la empresa se encuentra comprometida.
- Evaluar la eficacia del sistema de gestión para conseguir los resultados previstos.
- Identificar oportunidades para la mejora potencial del sistema de gestión.
- La evaluación de la idoneidad y adecuación del sistema de gestión con respecto al contexto y a la dirección estratégica del auditado.
- La evaluación de la capacidad que tiene el sistema de gestión para establecer y conseguir los objetivos. Es necesario tener en cuenta los riesgos y oportunidades, ya que hablamos de un contexto cambiante, incluyendo la implementación de las acciones relacionadas.
El alcance de la auditoría debe ser coherente con el programa de auditoría y con los objetivos de la auditoría. Incluye factores tales como las ubicaciones, las funciones, las actividades y los procesos que se van a auditar, así como el periodo de tiempo cubierto por la auditoría.
Los criterios de auditoría se utilizan como una referencia frente a la cual se determina la conformidad. Pueden incluir uno o más de los siguientes:
- Políticas aplicables
- Procesos
- Procedimientos
- Objetivos
- Requisitos legales
- Reglamentos
- Requisitos de sistema de gestión
- Información relativa al contexto
- Riesgos y oportunidades
- Códigos de conducta o acuerdos planificados
Si se produce algún cambio en los objetivos, alcance o criterios de auditoría, el programa de auditoría que establece la norma ISO 19011 deberá modificarse, y comunicarse a las partes interesadas para que pueda ser aprobado.
Cuando se audita más de una disciplina a la vez, es muy importante que los objetivos, el alcance y los criterios de auditoría sean coherentes con los programas de auditoría pertinentes para cada disciplina. Algunas de las disciplinas pueden tener un alcance que incorpore a toda la empresa, y otras pueden contar con un alcance que abarque a un subconjunto de la empresa.
Las personas responsables de la gestión del programa de auditoría, establecido gracias a la norma ISO 19011, deberán seleccionar y determinar los métodos que utilizarán para realizar la auditoría de forma eficiente. Deberá tener en cuenta los objetivos, el alcance y los criterios de auditoría que se encuentran definidos.
Cuando dos o más entidades de auditoría realizan una auditoría conjunta del mismo auditado, las personas responsables de la gestión de los distintos programas de auditoría deberán estar de acuerdo con los métodos que se utilizan en la auditoría y deberán considerar las implicaciones para la provisión de recursos y la planificación de la auditoría.
Selección de los miembros del equipo auditor
Las personas responsables de la gestión del programa de auditoría deben designar a los miembros del equipo auditor, incluyendo al líder del equipo y a cualquier experto técnico necesario para la auditoría específica.
Un equipo auditor debe seleccionarse teniendo en cuenta las competencias necesarias para conseguir los objetivos de la auditoría individual dentro del alcance definido. Si sólo existe un auditor, el auditor deberá realizar todas las tareas aplicables a un líder de equipo auditor.
Para asegurar la competencia general del equipo auditor, deberán llevarse a cabo los siguientes pasos:
- La identificación de la competencia necesaria para logar los objetivos de la auditoría.
- La selección de los miembros del equipo auditor, de tal forma que la competencia necesaria esté presente en el equipo auditor.
Tomado de: https://www.isotools.org