oa VERITAS NORMA CHILENA NCh/ISO 19011 VERSION 2018 Directrices para la auditoria de los sistemas de gestion ESTA VERSION ES PREPARADA POR BUREAU VERITAS CAPACITACION LTDA, PARA FINES DE DESARROLLAR ACTIVIDADES DE CAPACITACION. PROHIBIDA SU VENTA ¥/0 REPRODUCCION MATERIAL DE ESTUDIO BUREAU VERITAS CAPACITACION LTDA. PROHIBIDA SU VENTA Y/O REPRODUCCIONNCh-1SO 19011:2018 Contenido Pagina Preambulo.. Prélogo. Prélogo de la versién en espaol 54 55 586 87 61 6.2 63 64 65 66 67 TA 72 73 74 78 78 Anexos Anexo A. AA AQ Ag Referencias normativas. Términos y detiniciones .. Principios de auditoria.. Gestién de un programa de auditoria Generalidades. Establecimiento de los objetivos del programa de auditoria.... Determinacién y evaluacién de los riesgos y oportunidades del programa de auditoria Establecimiento del programa de auditoria. Implementacién del programa de auditoria. Seguimiento del programa de auditoria.. Revision y mejora del programa de auditor Realizacién de una auditoria.. Generalidades. Inicio de ta auditoria Preparacién de las actividades de auditoria Realizacién de las actividades de auditoria . Preparacién y distribucién del informe de la auditor inalizacién de la auditoria = Realizacién de las actividades de seguimiento de una auditori Competencia y evaluacién de los auditores.. Generalidades. Determinacién de fa competencia del auditor. Establecimiento de los criterios de evaluacién del auditor... Seleccién del método apropiado de evaluacién del auditor Realizacién de la evaluacién del auditot.nncnm Mantenimiento y mejora de la competencia del auditor. {informativo) Orientacién adicional destinada alos auditores que planifican y realizan las auditorias. Aplicacién de los métodos de auditoria Enfoque a procesos para la auditorla Juicio profesional.NCh-1SO 19011:2018 A4 Resultados del desempefio, AS Verificacién de la informacién . a AS — Muestreo A7 —— Auditorfa del cumplimiento dentro de un sistema de gesti AB —Auditoria del contextOnmennnnnn 9 —_Auditoria del liderazgo y el compromiso. A190 — Auditoria de riesgos y oportunidades.. AA1 Ciclo de vida AA2 —— Auditorfa de la cadena de suministro, AA3 ——Preparacién de los documentos de trabajo de auditoria AA4 —— Seleccién de las fuentes de informacién. A15 — Visitaa la ubicacién del auditado. AA6 ——Auditoria de actividades y ubicaciones AAT Realizacién de entrevistas Hallazgos de fa auditoria Figuras Figura 1 - Diagrama de flujo para la gestién de un programa de auditoria .. Figura 2—Visién general de un proceso tipico de recopilacién y verificacién de la informacién.. Tablas Tabla 1 ~Tipos distintos de auditoria, Tabla 2 ~ Métodos de evaluacién del auditor.. Tabla A.1 — Métodos de auditoria..NCh-1SO 19011:2018 Introduccién Desde la publicacién de la segunda edicién de este documento en 2011, se han publicado varias normas nuevas de sistemas de gestién, muchas de las cuales tienen una estructura comiin, requisitos esenciales idénticos y términos comunes y definiciones esenciales. Como resultado, es necesario considerarun enfoque mas amplio paral aucitoria delos sistemas de gestion, asi comode proporcionar tuna orientacisn mas genérica. Los resultados de las auditorias pueden proporcionar entradas para el aspecto de analisis de la planificacion del negocio, y pueden contribuira la identificacidn de necesidades yy actividades de mejora. Una auditorfa puede realizarse con relacién a una serie de criterios de auditoria, de manera separada ‘0 combinada incluyendo, pero sin limitarse a: — los requisites definidos en una o mas normas de sistemas de gestién; — [as poltticas y los requisitos especificados por las partes intoresadas pertinentes; — Ios requisitos legales y reglamentarios; — uno 0 més procesos del sistema de gestién definidos por la organizacién o por otras partes; — Jos planes de sistemas de gestién relacionados con la provisién de salidas especiticas de un sistema de gestién (por ejemplo, el plan de la calidad, el plan de proyecto). Este documento proporciona orientacién para todos los tamajios y tipos de organizaciones y auditorias de distintos aleances y escalas, incluyendo aquellas realizadas por equipcs de aucitoria grandes, tipicamente de organizaciones grandes, y aquellas realizadas por auditores individuales, ya sea en organizaciones grandes © pequefias. Esta orientacién deberfa adaptarse segiin sea apropiado al aleance, la complejidad y la escala del programa de auditoria, Este documento se concentra en las auditorias internas (de primera parte) y las auditorias realizadas por las organizaciones a sus proveedores extemnos y a otras partes interesadas externas (de segunda Parte). Este documento también puede ser util para las auditorias externas realizadas con fines distintos a una certificacion de sistemas de gestién de tercera parte. La norma ISO/IEC 17021-1 proporciona requisitos para la auditoria de sistemas de gestién para la certificacién de tercera parte, este documento puede proporcionar orientacién adicional de utlidad (véase la Tabla 1). Tabla 1 ~Tipos distintos de auditoria audit fa de primera parte ‘Aucltoria de segunda parte Auditoria de tercera parte ‘Auctiva interna ‘Audioria externa de proveedor [ Auitora de certicacién ylo acractaci (ire aucioria externa de part interesads | Auctoria lage, raglarnentara o similar Para simpiificar la legibilidad de este documento, se prefiere la forma singular de “sistema de gestign’, pero el lector puede adaptar la implementacién de la orientacién a su propia situacién. Esto también aplica al uso de “persona” y “personas”, “auditor” y “aucitores’. Se pretende que este documento se aplique @ un amplio rango de usuarios potenciales, incluyendo auditores, organizaciones que implementan sistemas de gestién y organizaciones que necesitan realizar aucitorias de sistemas de gestion por razones contractuales o reglamentarias. Sin embargo, los usuarios de este documento pueden aplicar esta orientacién al desarrollar sus propios requisitos relacionados con aucitorias.Neh-Iso 19011:2018 La orientacién en este documento también puede usarse con el propésito de la autodeclaracién, y Puede ser util para organizaciones involucradas en la formacicn de auditores 0 en la certificacion de personas. La orientacién en este documento pretende ser flexible. Como se indica en varios puntos del texto, el uso de esta orientacién puede diferir dependiondo del tamafio y el nivel de madurez del sistema de gestién de una organizacién. También deberian considerarse la naluraleza y la complejidad de la organizacién que se va a auditar, asi como los objetivos y el alcance de las auditorfas que se van a realizar, Este documento adopta el enfoque de auditoria combinada cuando se auditan juntos dos 0 més sistemas de gestién de distintas disciplinas. Cuando estos sistemas estan integrados en un Unico sistema de gestién, los principios y procesos de auditoria son los mismos que para una auditorfa combinada (a veces, llamada auditoria integrada). Este documento proporciona orientacién sobre la gestién de un programa de auditoria, sobre la Planiticacién y la realizacin de auditorias de sistemas de gestion, asi como sobre la competencia y la evaluacién de un auditor y un equipo aucitor.NORMA CHILENA NCh-ISO 19011:2018 Directrices para la auditoria de los sistemas de gestion 1 Objeto y campo de aplicacién Este documento proporciona orientacién sobre la auditoria de los sistemas de gestién, incluyendo los principios de la auditor‘a, la gestién de un programa de auditoriay la realizacion de auditorlas de sistemas de gestién, asf como orientacién sobre la evaluacion de la competencia de las personas que participan en ol proceso de auditorfa, Estas actividades incluyen a las personas responsables de la gestién del programa de auditoria, los auditores y los equipos auditores. Es aplicable a todas las organizaciones que necesitan planificar y realizar auditorias internas o externas de sistemas de gestién, o gestionar un programa de auditoria, La aplicacién de este documento a otros tipos de auditorias es posible, siempre que se preste especial atencién a la competencia especifica necesaria, 2. Referencias normativas No hay referencias normativas en este documento. 3. Términos y definiciones Para los propositos de esta norma, se aplican los términos y definiciones siguientes. ISO © IEC mantienen bases de datos terminolégicas para su utlizacién en normalizacién en las siguientes direcciones: — Plataforma de busqueda en linea de ISO: disponible en httpsviwww.iso.org/obp — Electropedia de IEC: disponible en hitp://www.electropedia.org/ 34 auditoria proceso sistematico, independiente y documentado para obtener evidencias objetivas (3.8) y evaluarlas de manera objetiva con el fin de determiner el grado en que se cumplen los criterios de auditoria (3.7) NOTA a la entrada: Las ausdtorias internae, denominadas en algunos casos audtor'as de primera parte, s2 realizan por, 9 en nombre de la propia organizacién NOTA2 a la entrada: Las auditorias externas incluyen fo que se denomina generalmente auditorias de segunda y tercera parte. Las ausilorias de segunda parte se llevan a cabo por parles que lienen un interés en la organizacién, tales coma los Gentes 0 por otras personas en su nombre. Las auditorias da tercera parte se llevan a cabo por organizaciones ausiloras independiantes, alas como las que oorgan la certicaciéniragisra de conformiad 0 agencias gubernamentales, [FUENTE: ISO 9000:2015, 3.18.1, modificada — las Notas a la entrada han sido moulficadas)Nch4so 19011:2018 3.2 auditoria combinada auditoria (3.1) llevada a cabo conjuntamente a un tnico auditado (3.13) en dos o mas sistemas de gestion (3.18) NOTA 1 ala entrada: Se conoce como sistema de gestién intogrado cuando dos o mas sistemas de gestion espectices de una discipina se integran en un nic sistema de gestién, [FUENTE: ISO 9000:2015, 3.13.2, modificada] 33 auditoria conjunta auditorfa (3.1) llevada a cabo a un tinico auditado (3.13) por dos o mas organizaciones auditoras (FUENTE: ISO 9000:2016, 3.13.3} 3.4 programa de auditoria acuerdos para un conjunto de una o mas auditor‘as (3.1) planificadas para un petiodo de tiempo determinado y dirigidas hacia un propésito especitico [FUENTE: ISO 9000:2015, 3.13.4, modificada — se ha aftadido texto a la definicién] 35 alcance de la auditoria extensin y limites de una auaitorfa (3.1) NOTA 1 a la entrada: El aleance de la auditoria incluye generalmente una descripcién de las ubicaciones fisicas y virtuale, las funciones, las unidades de la organizacién, las actividades y los procesos, asi como #1 periodo de tiempo cubieno. NOTA 2 a la entrada: Una ubicacién virtual es un lugar donde la organizacién desampefa trabajo o prasta un servicio Usardo un entoma en tinea que permite a las personas ejecutar pracesos con Independencia de su ubicacién tisica. [FUENTE: ISO 9000:2015, 3.13.5, modificada — se ha modificado la Nota 1 a la entrada, se ha afiadido la Nota 2 a la entrada] 3.6 plan de auditoria descripci6n de las actividades y de los detalles acordados de una auditoria (3.1) (FUENTE: ISO 9000:2015, 3.13.6] 37 ctiterios de auditoria conjunto de requisitos (3.23) usados como referencia frente a la cual se compara la evidencia objetiva (3.8) NOTA 1 a la entrada: Si los eriterios de auditoria son requisites legales (inclyendo los reglamentarios), las palabras ‘cumplimiento" o "no cumpliiento” se ullizan a menudo en los hallazgos de fa auditor (3.10), NOTA 2 ala entrada: Los requisites pueden inclur polticas, procodimientos, instrucciones de trabajo, requsios legales, ‘oligaciones contractueles, ete [FUENTE: ISO 9000-2015, 3.13.7, modificada — se ha cambiado la definicién y se han afiadido las Notas 1 y 2 alla entrada) 2NCh-1SO 19011:2018 3.8 evidencia objetiva datos que respaldan la existencia o veracidad de algo NOTA 1 a la entrada: La evidencia objetiva puede obtenerse por medio de a observacion, medicién, ensayo © por aos medlos. NOTA2@ la entrada: La evidencia objetivacon fines de auditoria(3.1) generalmente se compone de regisros, detaraciones de hechos u otra informacién qua son pertinantes para los erterios de autora (3.7) y vericables, [FUENTE: ISO 9000:2015, 3.8.3] 39 evidencia de la auditoria registros, declaraciones de hechos o cualquier otra informacién que es pertinent para los criterios de auditorfa (3.7) y que es verificable {FUENTE: ISO 9000:2015, 3.13.8] 3.10 hallazgos de la auditoria resultados de la evaluacién de la evidencia de la auditoria (8.9) recopilada frente a los criterios de auaitoria (3.7) NOTA 1 ala entrada: Los hallazgos de la aucitora indican conformidad (3.20) 0 00 contormidad (8.21) NOTA 2 a Ia entrada: Los hallazgos de | mejore o el registro de buenas practicas. xditoria pueden conducir a la identilcacicn de slesgos, oportunisades para la NOTA 3a la enttada: En inglés, silos criterios de avditoria se selaccionan de entre Ios requisitoslegales 0 los raquistos regiamentarias, el hellazgo de la auditoria se denomine eumplimiente 0 no cumplimianto, [FUENTE: ISO $000:2015, 3.13.9, modificada — se han modificado las Notas 2 y 3 a la entrada) 3.11 conclusiones de la auditoria resultado de una auditorfa (3.1), tras considerar los objetivos ds la aucitoria y todos los hallazgos de a auditoria (8.10) [FUENTE: ISO 9000:2015, 3.13.10] 3.12 cliente de ta auditoria organizaci6n o persona que solicita una auditoria (3.1) NOTA 1a la enttada: En el caso de une auaioria interna, el cliante de fa ausitoria también puede ser el auditado (3.19) 0 las parsonas que gestionan el programa de aucitoria, Las solicitudes de una aucitorfa externa pueden provenir de fuentes come auloridades reglamentarias, partes contralanios o clientes exisiontes o potenciales, [FUENTE: ISO 9000:2015, 8.13.11, modificada — se ha aiadido la Nota 1 a la entrada) 3.13 auditado organizacién que es aucitaca en su totalidad o partesNCh-IS0 19011:2018 3.14 equipo auditor luna 0 mds personas que llevan a cabo una auditorfa (3.1) con el apoyo, si es necesario, de expertos técnicos (3.18) NOTA 1 2 a entrada: A un aucitor (3.15) del equipo aucttor (3.14) se le designa como auditor lider del mismo, NOTA 2 2 Ia entrada: El equipo auditor puede inclulr aueltores en formacién, [FUENTE: ISO 9000:2015, 9.13.14] 3.15 auditor persona que lleva a cabo una auditoria (3.1) [FUENTE: ISO 9000:2015, 3.13.15] 3.16 experto técnico persona que @SHAIEOROEMIaMOSOBIDEHEAER especticos al equipo aualor (3.14) el proceso, a1 NOTA 1 ala entrada: El conocimiento 0 peticia espections ee relacionan con la organizacién, la activi producto, el servicio, la dscipina a auditar,o el idioma o la cultura. NOTA2 a ented: Un expert dio del equ autor. SSA AEED [FUENTE: ISO 9000:2015, 3.13.16, modificada — se han modificado las Notas 1 y 2 a la entrada] persona qUGlEGSRIBERE al equidBlEURHSR ©. 14) pero GMCS COMOMIAUSID (3.15) [FUENTE: ISO 9000:2015, 3.13.17, modificadal 3.18 sistema de gestion Conjunto de elementos de una organizacién interrelacionados o que interactlian para establecer politicas, objetivos y procesos (3.24) para lograr estos objetivos NOTA 1 ala entrada: Un sistoma de gestion puede tratar una sola dlecilina 0 varias dsciplinas, por ejemplo, gestion de In calidad, gestinfinanciera 0 gestién ambiental NOTA 2 a la entrada: Los elementos del sistema de gestién establecen la estructura de la organizacién, los roles las ‘espensabitidaces, la planticacién, la operacion, las policas, las préctias. las reglas, las ereencias, los objetvos y os procesos para lograr esos objetivos. NOTA 3 a la entrada: El aloance de un sistema de gostién puede inclur fa totalidad do la organizacién, funciones especifcas identicadas de la organizacién, secciones especificas e idenificadas de la organizacién, o una o més funciones dentro de un grupo de organizacionas, [FUENTE: ISO 9000:2015, 3.5.3, modificada — se ha eliminado la Nota 4 a la entrada]NCh-ISO 19011:2018 3.19 riesgo efecto de la incertidumbre NOTA 1 a la entrada: Un efecto es una desviacién de lo esperado, ya sea positivo 0 negativo, NOTA 2 a la entrada: Incertidumbre @s el estado, incluso parcial, de deficiencia de informacion relacionada con la comprensién 0 canocimiento de un evento, su censecuencia o su probabildad. NOTA 8 a la entrada: Con frecuencia el riesgo se caracterlza por referencia a eventos potenciales (segin se define en la Gula ISO 73:2009, 3.5.1.3) y consecuencias (seguin se define en la Guta ISO 79:2008, 9.6.1.3], 0a una combinacién de éstos. NOTA 4 a la entrada: Con frecuencia ol riesgo se expresa on términos de una combinacién de las consecuencias de tun eventa(Ineluidas cambios en las circunstancias) y la probabilidad (segin se define en la Guia ISO 73:2009, 3.6.1.1) asociada de que courra. [FUENTE: ISO 9000:2015, 3.7.9, mouificada — se han eliminado las Notas 5 y 6 a la entrada} 3.20 conformidad cumplimiento de un requisite (3.23) [FUENTE: ISO 9000:2016, 8.6.11, modificada — se ha eliminado la Nota 1 a la entrada) 3.21 no conformidad incumplimiento de un requisito (3.23) [FUENTE: ISO 9000:2015, 3.6.9, modificada — se ha eliminado la Nota 1 a la entrada) 3.22 competencia capacidad para aplicar conocimientos y habilidades con el fin de lograr los resultados previstos [FUENTE: ISO 9000:2015, 3.10.4, modificada — se han eliminado las Notas a la entrada] 3,23 requisito necesidad o expectativa establecida, generalmente implicita u obligatoria NOTA alla entrada:"Generalmente implica significa que es habitual opréctica comin para la organizacién y las partes Imeresadas el que la necesidad o expectativa bajo consideracion esta implica, NOTA2 a la entrada: Un requisite especiticado es aquel que esté esleblecido, por ejemplo, en informacién documentada, [FUENTE: ISO 9000:2015, 3.6.4, modificada — se han eliminado las Notas 3, 4, 5 y 6 a la entrada} 3.26 proceso conjunto de actividades mutuamente relacionadas que utllizan las entradas para proporcionar un resultado previsto [FUENTE: ISO 9000:2015, 3.4.1, modificada — se han eliminado las Notas a la entrada)NCh-ISO 19011:2018 25 resultado medible NOTA 1 a la entrada: El desempefto se puede relacionar con hallazgos cuantitativs o cualitativos. NOTA 2 a la entrada: El desempero se puede relacionar con la gestién de actividades, procesos (8.24), productos, servicios, sistemas u organizaciones, [FUENTE: ISO 9000:2018, 3.7.8, modificada — se ha eliminado la Nota 3 a la entrada) grado en el que se realizan las actividades planificadas y se logran los resultados planificados [FUENTE: ISO 9000:2018, 3.7.11, modificada — se ha eliminado la Nota 1 a la entrada) 4 Principios de auditoria La auditoria se caracteriza por depender de varios principios. Estos principios deberian ayudar a hacer de la auditoria una herramienta eficaz y fiable en apoyo de las politicas y controles de gestién, proporcionando informacién sobre la cual una organizacién puede actuar pare mejorar su desempeno. La adhesién a esos principios es un requisito previo para proporcionar conclusiones de la auditoria, que sean pertinentes y suficientes, y para permitir a los auditores, que trabajan independientemente, alcanzar conclusiones similares en circunstancias similares. La orientacién dada en los Capitulos 5 a7 se basa en los siete principios sefialades a continuacién, a) GRBBABEB cl tundamento de la profesionalidad Le audioesy le personas que gestonan un programa de autoriadeberan — desempetarsu tele de orice, > CRED — emprender actividades de auditoria solo si son SSHIBSIERIBB para hacerto = desempetiar su trabajo de manor, es deci permanccer @USAIESETIBEEED on todas sus acciones; — GGPREREIBREWEEIGUSEUEERR que so puoda ojercer sobre su juiclo mientras leva a cabo una auditoria ©) @RBERIESIGRIIMPAEEL Ia cbigacisn de iA MNEReORNeIaeIaae preRaenaD Los aap ence ini Cetenes i arores cores GMAAniaAEARSIeAGMaMaS ornare durante la auditorla y de las opiniones civergentes sin resolver entre 2! equipo auditor y el aucitado, La comunicacién deberia ser veraz, exacta, objetiva, oportuna, clara y completa.NCh-ISO 19011:2018 — - scicacion de cigencie Los auditores deberian proceder con el debido cuidado, de acuerdo con la importancia dela tarea que desemperian y la confianza depositada en ellos por el cliente de la auditoria y por otras partes iMeresadasUn ater, sional es tener ineapeciged de hace d) Confidencialidad: seguridad de la informacién Los auditoresdeber‘an procedercondlscreién en eluso ylaproteccién de la informaciénadqulida en el curso de ave larece. La informacion de a eu‘it/a icici) para beneficio personal del auditor o del cliente de la auditoria, 0 de modo que per an los GR as stat Este concepto incluye el tratamiento apropiado d ©) (RBEBEREEREID a base para la (MAPANEIANEAMRe la auditoria y lA(BBJSWVIEAMBe las conciusiones: de la auditoria, Los auuitores yen todos los casos deberian actuar de una mane; las auditorias internas, los aucitores d si par siempre que sea posible, . Para, entes de Ia {uncion que se audita, Ieee cena ete ola aoe Basados Sl) Para las organizaciones pequefias, puede que no sea posible que los auditores intetnos sean fe la actividad que se audita, pero deberian hacerse todos los y fomentar la objetividad. f) Enfoque basado en la evidencia: el método racional para alcanzar conclusiones de la auditoria fiables y reproducibles en un proceso de auditoria sistematico La evidencia de la auditoria deberia ser verificable. En general deberia basarse en muestras de la informacion disponible, ya que una auditoria se lleva a cabo durante un periodo de tiempo delimitado y con recursos finitos. Deberia aplicarse un uso apropiado del muestreo, ya que esta estrechamente relacionado con la confianza que puede depositarse en las conclusiones de la auditoria, 9} Enfoque basado en riesgos: un enfoque de auditoria que considera los riesgos y oportunidades. El enfoque basado en riesgos debera intluir sustancialmente en la planificacién, la realizacién y la presentacién de informes de aucitoria a fin de asegurar que las aucitorias se centran en asuntos, ‘que son importantes para el cliente de la auditoria y para alcanzar los objetivos del programa de auditorfa. 5. Gestién de un programa de auditoria 5.1 Generalidades: Deberia establecerse un programa de auditeria que puede inclur auditorias que traten una o més normas de sistemas de gestion u otros requisitos, realizadas por separado 0 en combinacion (auditoria combinada)..NCh-ISO 19011:2018 La extensién de un programa de auditora deberia basarse en el tamaio y la naturaleza del auditado, asi como en la natufaleza, funcionalidad, complejidad, ol tipo de riesgos y oportunidades, y el nivel de madurez de los sisterias de gestién que se van a auditar. La funcionalidad del sistema de gestién puede ser atin mas compleja si la mayoria de las funciones importantes estan contratadas externamente y se gestionan bajo el liderazgo de otras organizaciones. Es necesario prestar especial atencién cénde se toman las decisiones mas importantes y qué constituye la alta direccién del sistema de gestién. En el caso de multiples ubicaclones/sedes (por ejemplo, diferentes paises), 0 cuando hay funciones, importantes contratadas externamente y gestionadas bajo el liderazgo de otra organizacién, deberla prestarse especial atencién al disefio, la planificacién y la validacién del programa de auditoria. En el caso de organizaciones mas pequeftas 0 menos complejas, el programa de auditorla puede escalarse apropiadamente, A fin de comprender el contexto del auditado, el programa de auditoria deberia tener en cuenta det auditado: — los objetivos organizacionales; — [as cuestiones externas e internas pertinentes; — las necesidades y expectativas de las partes interesadas pertinentes; — los requisitos de seguridad y confidencialidad de la informacién. La planificacién de fos programas de aucitorfa interna y, en algunos casos, los programas para auditar a los proveedores externos, pueden prepararse para contribuir a otros objetivos de la organizacién. Las personas responsables de la gestién del programa de auditoria deberian asegurase de que se mantiene la integridad de la auditoria y de que no se ejerce una influencia indebida sobre la auditoria, Deberia darse priotidad de auditorfa a la asignacién de recursos y métodos para los asuntos de un sistema de gestién con los riesgos inherentes més altos y con los niveles de desempefio mas bajos. Deberfan asignarse personas competentes para gestionar el programa de auditoria, El programa de auditoria deberia incluir la informacion e identificar los recursos que permitan que las, auditorias se realicen de forma eficaz y eficiente dentro de los periodos de tiempo especificados. Esta informacién deberia incluir lo siguiente: a) objetivos para el programa de auditoria; b) rlesgos y oportunidades asociados con el programa de auditoria (véase 5.3) y las acciones para abordarlos; ©) _aleance (extensién, limites, ubicaciones) de cada auditoria dentro del programa de auditor d)__calendario (nvimero/duraciénitrecuencia) de las auditorias; €} _tipos de auditoria, tales como internas o externas;NCh-ISO 19011:2018 4) _otiterios de auditor; 9) métodos de auditoria a emplear; h) criterios para seleccionar a los miembros de! equipo auditor; i) informacién documentada pertinente. Parte de esta informacién puede no estar disponible hasta que se complete una planificacién de auditoria més detallada. La implementacién del programa de auditoria deberla seguirse y medirse, de manera continua (véase 5.6), para asegurarse de que se han alcanzado sus objetivos. El programa de auditoria deberfa revisarse a fin de identificar necesidades de cambios y posibles oportunidades para la mejora (véase 5.7), La Figura 1 ilustra ol flujo del proceso para la gestién de un programa de auditoria,NCh4SO 19011:2018 PLARIICAR vce veRiFcan scTuaR 2 cane Selerchre Sapogira Clee lee fa a usniaies 57 fein lager eed Ludi afte 5 fsb ears ‘elon 5 onan 54 Sepimenn L___| greens || sa i ‘acer eden capt s s2inioce iin 67 Reaizacin | 63 remain 54 sata co Sirmmee, |_| Sacmme, beatae eeavtiare de eats eserumante 35 apaosin eatin 8 Frain Lies ‘eine en Puaviican sucen Veniecan sAcTuan NOTA 1 Esta Figu usta la apicacén del ciclo Planiicar-Hace:Yericer-Acuar en este documento NOTA 2 La nuneraein de los capulaseparedos hace referencia alos captulcstapatados petinenies ce este cocument, Figura 1 ~ Diagrama de flujo para la gestién de un programa de auditoria 10.NCh-1S0 19011:2018 5.2. Establecimiento de los objetivos del programa de auditoria El cliente de la auditoria deberia asegurarse de que los objetivos del programa de auditoria se han. establecido para dirgir la planificacién y realizacién de aucitorias y deberia asegurarse de que el programa de auditoria se ha implementado eficazmente. Los objetivos del programa de auditoria deberian ser coherentes con la direccién estratégica del cliente de la aucitoria y servir de apoyo a la politica y los objetivos del sistema de gestién. Estos objetivos pueden basarse en las siguientes consideraciones: a) las necesidades y expectativas de las partes interesadas pertinentes, tanto externas como internas; b) las caracteristicas y los requisitos de los procesos, productos, servicios y proyectos, y cualquier cambio en ellos; ©) los requisitos del sistema de gestién; 4d) la necesidad de evaluar a los proveedores extemnos; el nivel de desempefo dal auditado y el nivel de madurez de los sistemas de gestién, como se refleja en los indicadores de desempefio pertinentes (por ejemplo, los KP), la ocurrencia de no conformidades 0 incidentes o quejas de las partes interesadas; 4) los riesgos y oportunidades identiticados para el auditado; 9) los resultados de auditorias previas Ejemplos de objetivos de un programa de auditoria pueden incluir lo siguiente: — identificar las oportunidades para la mejora del sistema de gestién y de su desemperio; — evaluar la capacidad del auditado para determinar su contexto; — evaluar la capacidad del auditado para determinar los riesgos y oportunidades, y para identificar e implementar acciones eficaces para abordarlos; — cumplir todas los requisitos pertinentes, por ejemplo, los requisites legales y reglamentarios, los. compromisos de cumplimiento, los requisitos de certificacién con una norma de sistemas de gestién; — obtener y mantener la confianza en la capacidad de un proveedor externo; — determinarla idoneidad, la adecuacién, y la eficacia continuas del sistema de gestién del auditado; — evaluar la compatibilidad y la alineacién de los objetives del sistema de gestién con la direccién estratégica de la organizacién, 5.3 Deterr auditoria acién y evaluacién de los riesgos y oportunidades del programa de Hay riesgos y oportunidades relacionados con el cantexto del auditado que pueden asociarse con un programa de auditorla y pueden afectar al logro de sus objetivos. Las personas responsables de laNCh-1SO 19011:2018 gestién del programa de auditoria deberian identificar y presentar al cliente de la aucitoria los riesgos: y oportunidades considerados al desarrollar el programa de auditoria y los requisitos de recursos para {que puedan tratarse adecuadamente. Puade haber riesgos asociados con lo siguiente: a) a planificacién, por ejemplo, el fracaso al establecer objetivos de la auditorfa pertinentes y al determinar la extensién, nimero, duracién, ubicaciones y calendario de las auditorias; b) los recursos, por ejemplo, conceder insuficiente tiempo, equipos y/o formacién para desarrollar el programa de auditoria o para realizar una aucitoria; ©) laseleccién del equipo auditor, por ejemplo, competencia global insuficiente para realizar auditorias eficazmente; 4) la comunicacién, por ejemplo, procesos/canales de comunicacién externos/internos ineficaces; 2) la implementacién, por ejemplo, una coordinacién ineficaz de las auditorias dentro dal programa de auditorfa, ono tener en cuenta la seguridad y confidencialidad de la informacién; f) el control de la informacién documentada, por ejemplo, determinacién ineficaz de la informacién documentada necesaria requerida por los auditores y las partes interesadas pertinentes, fracaso a la hora de proteger adecuadamente los registros de auditoria para demosttar la eficacia del programa de auditoria; 9) el seguimiento, revisién y mejora del programa de auditoria, por ejemplo, seguimiento ineficaz de los resultados del programa de auditori h) la disponibilidad y la cooperacién del auditado y la disponiblidad de evidencias a muestrear. Las oportunidades para mejorar ol programa de auditoria pueden incluir — permitir levar a cabo multiples aucitorias en una tinica visit — minimizar el tiempo y las distancias vigjando al sitio; — igualar el nivel de competencia del equipo auditor con el nivel de competencia necesario para aleanzar los objetivos de la auditoria; — alinear las fechas de la auditoria con la disponibilidad del personal clave del auditado. 5.4 Establecimiento del programa de auditoria 5.4.1 Roles y responsabilidades de las personas responsables de la gestién del programa de auditoria Las personas responsables de la gestidn del programa de auditoria deberian: a) establecer la extensién del programa de auditoria de acuerdo con los objetivos pettinentes (véase 5.2) y cualquier restriccién conocida; b) determinar las cuestiones externas @ intetnas, y los riesgos y oportunidades que pueden afectar al programa de aucitoria, ¢ implementar acciones para abordarlos, integrando estas acciones en todas las actividades de auditoria pertinentes, segtin sea apropiado; 12NCh-ISO 19011:2018 ©) asegurar la seleccién de los equipos auditores y la competencia general para las actividades de auditoria, asignando roles, responsabilidades y autoridades, y respaldando al liderazgo, segin sea apropiado; 4) establecer todos los procesos pertinentes, incluyendo procesos pa — [a coordinacién y calendario de todas las auditorias dentro del programa de auditori — el establecimiento de los objetivos, los alcances y los criterios de auditoria de las auditorfas, determinando los métodos de auditoria y la seleccién del equipo auditor; — la evaluacién de los auditores; — el establecimiento de procesos de comunicacién extetnos e internos, seguin sea apropiado; — la resolucién de contlictos y el tratamiento de las quejas; — el seguimiento de la auditoria, segun proceda; — la presentacién de informes al cliente de la auditoria y a las partes interesadas pertinentes, ‘segiin sea apropiado. ) determinar y asegurar la provisién de todos los recursos necesarios; 4) asegurarse de que se prepara y mantiens la informacién documentada apropiada, incluyendo los registros del programa de auditorfa; @) hacer el seguimiento, revisar y mejorar el programa de auditoria; h)comunicar el programa de auditoria a cliente de la auditoria y, segiin sea apropiado, a las partes interesadas pertinentes. Las personas responsables de la gestién del programa de auditorfa deberian sclicitar su aprobacién alcliente dela auditoria, 5.4.2 Competencia de las personas responsables de la gestién del programa de auditoria Las personas responsables de la gestién del programa de auditorfa deberfan tener la competencia necesaria para gestionar el programa y sus riesgos y oportunidades y las cuestiones externas internas asociadas de forma eficaz y eficiente, incluyendo conocimientos sobre: 18) _ los principios (véase el Capitulo 4), métodos y procesos de auditoria (véanse A.1 y A.2) b) las normas de sistemas de gestion, otras normas partinentes y documentos de referencia oriantacion; ©} Ia informacién relativa al aucitado y a su contexto (por ejemplo, las cuestiones externassinternas, las partes interesadas pertinentes y sus necesidades y expectativas, las actividades de negocio, Jos productos, servicios y procesos del auditado); d) los requisites legales y reglamentacios aplicables y otros requisitos pertinentes a las actividades de negocio del auditado.NCh-41S0 19011:2018 ‘Seguin sea apropiado, podria considerarse el conocimiento de gestion de riesgos, gestién de proyectos y procesos y de tecnologias de la informacién y las comunicaciones (TIC). Las personas responsables de la gestidn del programa de auditoria deberian participar en las actividades apropiadas de desarrollo continuo para mantener la competencia necesatia para gestionar el programa de auditoria. 5, .3 Estable jento de la exten: n del programa de auditoria Las personas responsables de la gestidn del programa de audltoria deberfan determinar la extensién del programa de auditoria, Esta puede variar dependiendo de la informacion proporcionada por el auditado sobre su contexto (véase 5.3). NOTA En clertos casos, dependiondo de la estructura olas actividades det auditado, el programa de auditoria podria cconsistr dnicamente en una sola aucitoria (por ejemplo, un proyecto 0 una organizacién pequetios) ‘Otros factores que tienen impacto en la extensién de un programa de auditoria pueden inciuir lo siguiente: a) el objetivo, alcance y duracién de cada auditoria y el nimero de auditorias a llevar a cabo, el método de presentacién de informes y, si aplica, el seguimiento de la auditoria; b) las normas de sistemas de gestién u otros criterios aplicables; ©) el ndmero, importancia, complajidad, similitud y las ubicaciones de las actividades que se van a auditar; d) los factores que influyen en la eficacia del sistema de gestion; e) os criterios de auditoria aplicables, tales como los acuerdos planificados para las normas de sistemas de gestion pertinentes, los requisitos legales y reglamentarios y otros requisitos con los que la organizacién esta comprometida; 4) los resultados de auditorfas internas o externas previas y revisiones por le direccién previas, si es apropiado; 9) 108 resultados de una revision previa del programa de autora; h) el idioma, tas cuestiones culturales y sociales; ') las inquietudes de las partes interesadas, tales como quejas de clientes, incumplimiento de los requisitos legales y reglementarios y otros requisitos con los que la organizacién esta comprometida, o cuestiones de la cadena de suministro; 1) fos cambios significatives en el contexto del auditado 0 sus operaciones y los riesgos y oportunidades asociados; ) la disponibitidad de tas tecnotogtas de la informacién y comunicacin para apoyar las actividades de auditoria, en particular el uso de métodos de auditoria remota (véase A.16); 1) la ocurrencia de sucesos internos y externos, tales como no conformidades de los productos 0 servicios, fitraciones en la seguridad de la informacisn, incidentes en materia de seguridad y salud, actos delictivos o incidentes ambientales; m)_ los riesgos y oportunidades de negocio, incluyendo las acciones para abordarlos. 14NCh-1SO 19011:2018 5.4.4 Determinacién de los recursos del programa de auditoria Al determinar los recursos para el programa de auditoria, las personas responsables de la gestién del programa de auditoria deberian considerar: 1a) _ 0s recursos financieras y de tiempo necesarios para desarrollar, implementar, gesti las actividades de auditor b)_ los métodos de aucitoria (véase A.1); ©) la disponibilidad individual y global de auditores y expertos técnicos que tengan la competencia apropiada para los objetivos particulares del programa de aucitoria; d) la extensién del programa de auditoria (véase 5.4.3) y los riesgos y oportunidades relacionados con el programa de auditoria (véase 5.3); €) el tiempo y costos de transporte, alojamiento y otras necesidades de la auditoria; f)_elimpacto de las diferentes zonas horerias; 9) la disponibilidad de tecnologias de la informacién y las comunicaciones (por ejemplo, los recursos ‘técnicos requeridos para establecer una auditoria remota usando tecnologias que apoyen la colaboracién remota); h) Ia disponibilidad de las herramientas, la tecnologia y los equipos requeridos; i) la disponibilidad de la informacién documentada necesatia, segiin lo determine el establecimiento del programa de auditoria (véase A.5); 1) los requisitos relacionados con fas instalaciones, incluyendo las autorizaciones y equipos de seguridad (por ejemplo, verificacién de antecedentes, equipos de proteccién personal, capacidad para llevar ropa de sala limpia). 5.5. Implementacién del programa de au 5.5.1. Generalidades Una vez que se ha establecido el programa de auditoria (véase 5.4.3) y que se han determinado los recursos relacionados (véase 5.4.4), es necesario implementar la planificacién operacional y la coordinacién de todas las actividades dentro del programa, Las personas tesponsables de la gesti6n del programa de auditoria deberian: a) comunicarlas partes pertinentes del programa de auitoria, incluyendo los riesgos y oportunidades implicados, a las partes interesadas pertinentes ¢ informarles periddicamente de su progreso, usando los canales de comunicacién externos internos establecidos; 1b) dotinir los objetivos, el aleance y los criterios para cada auditoria individual; ©) seleccionar los métodos de auditorta (véase A.1); )_coordinar y programar las auditorias y otras actividades pertinentes al programa de auditoria;NCh-IS0 1901 @) asegurarse de que los equipos auditores tisnen la competencia necesaria (véase 5.5.4); 1) proporeionar los recursos necesarios individuals y globales para los equipos aucitores (vease 5.4.4); 9) asegurar la realizacién de las auditorias de acuerdo con el programa de auditoria, gestionando todos los riesgos, oportunidades y cuestiones operacionales (es decir, eventos inesperados), segiin surjan durante el despliegue del program: hh) asegurarse de que la informacién documentada pertinente relativa a las actividades de auditoria se gestiona y mantiene adecuadamente (véase 5.5.7); i) definir e implementar fos controles operacionales (véase 5.6) necesarios para el seguimiento del programa de auditoria; ji) revisar el programa de auditorfa a fin de identificar oportunidades para mejorarlo (véase .7). 5.8.2 Definicién de los objetivos, el alcance y los criterios para una auditoria individual Cada auditoria individual deberfa basarse en unos objetivos, un alcance y unos criterios de auditorfa definidos. Estos deberian ser coherentes con los objetivos globales del programa de auditoria, Los objetivos de la auditoria definen qué es lo que se va a lograr con la auditoria individual y pueden incluir lo siguiente: a) la determinacién del grado de conformidad del sistema de gestién que se va a auditar, 0 partes del_ mismo, con fos crterios de aucito b) la evaluacién de la capacidad del sistema de gestién para ayudar a la organizacién a cumplir los requisitos legales y reglamentarios pertinentes y otros requisitos con los que la organizacion esta comprometida; ©) la evaluacién de la eficacia del sistema de gestion para lograr sus resultados previstos; 4d) Ia identificacién de oportunidades para la mejora potencial del sistema de gestién; ©) [a evaluacién de la idoneidad y adecuacién del sistema de gestién con respecto al contexto y ala direccidn estratégica del aucitado; f) la evaluacién de la capacidad del sistema de gestién para establecer y alcanzar los objetivos y abordar eficazmente los riesgos y oportunidades, en un contexto cambiante, incluyendo la implementacién de las acciones relacionadas. El alcance de Ia aucitoria deberia ser coherente con el programa de auditoria y con los objativos de la auditoria, Incluye factores tales como las ubicaciones, las funciones, las actividades y los pracesos que se van a auditar, asf como el periodo de tiempo cubferto por la auditoria, Los criterios de aucitoria se utlizan como una referencia frente a la cual se determina la conformidad, Pusden incluir uno o més de los siguientes: politicas aplicables, procesos, procedimientos, criterios de desempefo incluyendo objetivos, requisites legales y reglamentarios, requisites del sistema de gestidn, informacién relativa al contexto y a los riesgos y oportunidades segiin determine el auditado (incluyendo los requisites de las partes interesadas pertinentes externasiinternas), cécigos de conducta sectoriales u otros acuerdos planificados. 16Nch-ISO 19011:2018 En caso de algin cambio en los objetivos, el alcance o los erterios de la auditoria, el programa de auditoria deberia modificarse, si es necesario, y comunicarse a las partes interesadas para su aprobacién, si es apropiado. Cuando se audita mas de una disciplina a la vez, es importante que los objetivos, el alcance y los ctiterios de la auditorla sean coherentes con los programas de ausitorfa pertinentes para cada disciplina, Algunas disciplinas pueden tener un alcance que incorpore a toda la organizacién, y otras pueden tener un alcance que abarque a un subconjunto de la organizacién, 5.5.3 Seleccidn y determinacién de los métodos de auditoria Las personas responsables de la gestién del programa de auditorfa deberian seleccionar y determinar los métodos para llevar a cabo la auditoria de manera eficaz y eficiente, dependiendo de ios objetivos, el alcance y los criterios de la auditorfa definidos. Las auditorias pueden Hlevarse a cabo en el sitio, remotamente, o como una combinacién. El uso de estos métodos deberfa estar adecuadamente equilibrado, basdndose, entre otros, en la consideracién de los riesgos y oportunidades asociados. Cuando dos 0 mas organizaciones aucitoras llevan a cabo una aucitoria conjunta del mismo aucitado, las personas responsables de la gestion de los diferentes programas de audltoria deberian estar de acuerdo en los métodos de auditoria y considerar las implicaciones para la provision de recursos y la planificacién de la ausltoria. Si un auditado opera dos o mas sistemas de gestion de disciplinas diferentes, pueden incluirse auitorias combinadas en el programa de auditor. 5.6.4 Seleccién de los miembros del equipo auditor Las personas responsables de la gestién del programa de auitoria deberian designar a los miembros del equipo auditor, incluyendo al lider del equipo y a cualquier experto técnico necesario para la auditoria especitica, Un equipo auditor deberia seleccionarse teniendo en cuenta las competencias necesarias para alcanzar los objetivos de la auditoria individual dentro del alcance definido. Si sélo hay un auditor, el auditor deberia realizar todas las tareas aplicables a un lider de equipo auditor. NOTA El Capitulo 7 contiene orientacién sobre la determinacién de las comnpotencias requeridas para los miemoros del equipo ausiter y describe los procesos para evaluar autores. Para asagurar la competencia global del equipo auditor, deberian levarse a cabo los siguientes pasos: —_laiidentificacién de la competencia necesaria para lograr los objetivos de la auditoria; — la seleccién de los miembros del equipo auditor, de tal manera que la competencia necesaria esté presente en el equipo auditor. Al decidir el tamaiio y la composicién de! equipo auditor para una auditoria especitica, deberia considerarse lo siguiente: a) la competencia global del equipo auditor necesaria para lograr los objetivos de la aucitoria teniendo en cuenta el aleance y os criterios de la auditoria; b) la complejidad de la audit