Las personas responsables de la gestión del programa de auditoría según la norma ISO 19011, deben:
- Establecer la extensión del programa de auditoría según los objetivos establecidos y cualquier restricción conocida.
- Es necesario determinar las cuestiones externas e internas, y los riesgos y oportunidades que pueden afectar al programa de auditoría, además de implementar acciones para abordarlos, integrando estas acciones en todas las actividades de auditoría pertinentes.
- Asegurar la selección de los equipos auditores y la competencia general para las actividades de auditoría, asignando roles, responsabilidades y autoridades, además de respaldar el liderazgo.
- Establecer los diferentes procesos pertinentes, incluyendo procesos para la coordinación y calendario de todas las auditorías dentro del programa de auditoría, el establecimiento de los objetivos, los alcances y los criterios de auditoría, determinando los diferente, métodos de auditoría y la selección del equipo auditor, evaluar a los auditores, establecer procesos de comunicación externa e interna, resolver conflictos y tratar las quejas, seguimiento de la auditoría y presentación de informes al cliente de la auditoría y a las partes interesadas pertinentes.
- Determinar y asegurar la provisión de los todos los recursos que resulten necesarios.
- Asegurarse de que se prepara y mantiene la información documentada.
- Comunicar el programa de auditoría al cliente de la auditoría y, según sea apropiado, a las partes interesadas pertinentes.
- Las personas responsables de la gestión del programa de auditoría deben solicitar su aprobación al cliente de la auditoría.
Competencia de las personas responsables de la gestión del programa de auditoría
Las personas responsables de la gestión del programa de auditoría deben tener la competencia necesaria para gestionar el programa y los riesgos, además de las oportunidades y las cuestiones externas e internas que se encuentran asociadas de forma eficaz y eficiente, incluyendo conocimientos sobre:
- Los principios, métodos y procesos de auditoría
- Las normas de sistemas de gestión y los documentos de referencia
- La información relativa al auditado y a su contexto
- Los requisitos legales y reglamentarios aplicables y otros requisitos pertinentes a las actividades de negocio del auditado
Según resulte apropiado, se deberá considerar el conocimiento de la gestión de riesgos, gestión de proyectos y procesos, además de la tecnología de la información y las comunicaciones.
Las personas responsables de la gestión del programa de auditoría deben participar en las actividades apropiadas de desarrollo continuo para mantener la competencia necesaria para gestionar el programa de auditoría.
Establecimiento de la extensión del programa de auditoría
Las personas responsables de la gestión del programa de auditoría deben determinar la extensión del programa de auditoría. Ésta puede variar dependiendo de la información proporcionada por el auditado sobre su contexto.
Otros factores que tienen impacto en la extensión de un programa de auditoría pueden incluir:
- El objetivo, alcance y duración de cada auditoría y el número de auditoría a llevar a cabo, el método de presentación de informes y, si aplica, el seguimiento de la auditoría.
- Las normas de sistemas de gestión u otros criterios aplicables.
- El número, la importancia, complejidad, similitud y las ubicaciones de las actividades que se van a auditar.
- Los factores que influyen en la eficacia del sistema de gestión.
- Los criterios de auditoría aplicables, tales como los acuerdos planificados para las normas de sistemas de gestión pertinentes, los requisitos legales y reglamentarios y otros requisitos con los que la empresa se encuentra comprometida.
- Los resultados obtenidos de realizar las auditorías internas o externas previas y revisiones por la dirección.
- Los resultados de una revisión previa del programa de auditoría.
- El idioma, los cuestiones culturales y sociales.
- Las inquietudes de las partes interesadas, como pueden ser las quejas de clientes, el incumplimiento de los requisitos legales y reglamentarios, además de otros requisitos con los que la empresa se encuentra comprometidas.
- Los cambios significativos en el contexto del auditado o sus operaciones y los riesgos y oportunidades que se encuentran asociados.
- La disponibilidad de las tecnologías de la información y comunicación para apoyar todas las actividades de auditoría, en particular el uso de los métodos de auditoría remota.
- La ocurrencia de sucesos internos y externos, como puede ser la no conformidad de los productos o servicios, así como las filtraciones en la seguridad de la información, incidentes en materia de seguridad y salud, actos delictivos o incidentes ambientales.
- Los riesgos y oportunidades de negocio, incluyendo las acciones que deben ser abordadas.
Determinar los recursos del programa de auditoría
A la hora de establecer los recursos necesarios para el programa de auditoría según la norma ISO 19011, las personas responsables de la gestión del programa de auditoríadeben considerar:
- Los recursos financieros y el tiempo necesario para desarrollar, implantar, gestionar y mejorar las actividades de auditoría.
- Los métodos de auditoría.
- La disponibilidad individual y global de auditores y expertos técnicos que tengan la competencia apropiada para los objetivos particulares del programa de auditoría.
- La extensión del programa de auditoría, los riesgos y oportunidades que se relacionan con el programa de auditoría.
- El tiempo y el costo en el transporte, alojamiento y otras necesidades de auditoría.
- El impacto que genera encontrarse en diferentes zonas horarias.
- La disponibilidad de la tecnología de la información y las comunicaciones.
- La disponibilidad de la información documentada necesaria, según determine el establecimiento del programa de auditoría.
- Los requisitos que se encuentran relacionados con las instalaciones, incluyendo las autorizaciones y equipos de seguridad.
Tomado de: https://www.isotools.org/