NORMA Iso INTERNACIONAL 19011 Traduccién oficial Official translation Tercorficy 2o1e07 Traduction officielle Directrices para la auditoria de los sistemas de gestionISO 19011:2018 (traduccién oficial) indice Pagina Préilogo dela versiGn en espaitol Introduccién _ win = 6 Objeto y campo de aplicacién. Referencias normativas....... ‘Términos y definiciones. 1 Principios de auditor eco 6 Gostién de un programa de aud 7 5.1 Goneralidades. 7 52 Bstablecimiento de los objetivos del programa de auditoria, seaman 53 Determinacony evaiacén delas ese y oortaidades del progama ce audivur‘a oe 5A Establecimionto del programs de audiceria 12 S41 Roles y responsaniliades de las personas responsables dela gestién del programa de auditor ' 12 542 Competencia de las personas responsables de la gestion del pro BAUM ROV EB wierererimemipree enn re 5A Estublecimicnto del alance del programa do auditorian. un 14 544 Delerminacidn de los recursos del programa de aucitoria von 5 5 Implementacién del programa de audioriaenennemnnnn 551 Generalidades ~ SA2 —_Definieibn delos objetivos, el alvance ys criterias para une auditoria individual 55.3 Selecciiny determinacion de los metodos de zuditoria 5.54 — Scleccién de los miembros del equipo auditor. 55S Asignaciénde responsabilidades sl lider del equipo auditor para una auditaria individual 55.6. Gestién de los resultados del progroma de auditoris. Gestién y mantenimiento de (os registras de! programa de aNGMOF oncom Z0 Scguimionto del programa de auditoria = 5.7 Revisién y mejora del programa de auditoria Realizacién de una anditoria: G1 Generalidades.... 62 Inicio de la auditor 621 Generalidadesno.n. 622 Establecimiento del contacto con el auditado... 23 Determinacidn de la viebilidad de Ia auditoria.. 63 Preparacidn de las actividades de auditor... G31 Realizacion dele revision de la informac 62.2 Phaificacién dela auditoria 6.3 Asigmactin de as tareas al equipo auditor 6.24 Proparacin de la informacién documentads para fa auditaria. 64 — Realizacion de las actividades de audito G41 Gencralidades. 64.2 Asignacién de roles y responsabilidades de los guias y las abservador 64.3. Reallzacion dela reunion de aperture.150 1901 018 (traduccién oficial) 644 — Comumicacion durante la auditoriawenomann “s 64.5 Disponibilidad y acceso de la informacion de auditoria.... 64.6 Revisidn de la informacién documentada durante la auditorla wns. 6.4.7 Recopilacién y verificactsn de la informaci6ed-nau-wn GAS — Generaciin de ballazgos de la audltorfa G48 — Determinacién de las eonclusiones de la auditori 64.10 Realizacién de la reuntin de cher. 65 Preparaciéa y distribucién del informe de auditor, vs 65.1 Proparacién del informe da auditors ~ G52 Distribucién del infurme de aUCIEATE snenn - 6.6 Finalizaciiin de la auditria enon on 6.7 Realizacidn de las actividades de seguimiento de una auditorta.... 7 Competencia y evaluacién de los auditores 71 Generalidades - 7.2 Determinacién dele competencia del auditor sn P2L— Cenaralidadesienannesn 722 — Comportamiento personal 722 Conocimientos y habilidades, 7.24 Logrodela comipetencia dol auditar iets 7.2.5 Logru dela competencia del lider det equipa aMiditor on 7 aon 73 Establocimionta de los eriterio de evaluacén del audito a 74 Seleccidn del metodo apropiaco de ovaluactiin del anclitor se 73 Realizacion de la evaluaci6n del auditor 2 78 — Mantenimiente y majora de la competencis del auditor: Anexo A (informative) 0 realizan las aut Bibliografia,150 19011:2018 (traduccién oficial) Prélogo 180 (Organizacion Internacional de Normalizacion] es una federacion mundial de urganismos nacionales de normalizacion (organismos miembros de ISO). El trabajo de claboracisn de las Normas Internacionales se lleva a cabo normaliente a través de los comités téenicus de ISO, Cada organismo miembro interasaio en una materia para la cual se haya establecido un comité tecnico, tiene e! derecho de estar representado en dicho comité, Las orgunizaciones internacionsles, gubernamentales y no gubernamentales, vinculadas con ISO, también particinan en el trabajo. ISD colabora estrechamente con Ja Comision Electrotécnica fnternacionel (IEC) en todos los temas dle normalizacidn electrotsenica, En la Parte 1 de las Directivas ISO/IEC se deseribun los procedimientos utilizades para decarrallar este documento y aquellos previstespare su mantenimiento posteriar. En particular deberfa tomarse nota de lus diferentes eviterios de aprobacién necesarios para los distintos tipos de documentos ISO. Este documento ha side reductado de acuerdo conlas reglas editoriales de ln Parte 2 de las Directivas ISO/IEC (véwseworw.tsu.urg/ulivecttves). Se llama la atencién sobre la pasibilidad de que algunos de los elementos de este documento puedan estar sujetos.a derechos de patente, [SO no asume la responsabilidad por la identificacidn de alguno todos los derechos de parence. Los detalles sobre cualquier derecho de patente identificado durante e! desarrollo de este documento se indicardn en la Introduccién y/o en fa lista ISO de declaraciones de patente recibidas |vcase wwwisoorg/patents) Cualquier nombre comercial uuilizade en este documente es informacion que se proporciona para comadided del usuario y no constituye uns recomendacién. Para una explicacin de la naturaleza voluntaria de las normas, cl significado de los términas especiticos dc 180 y las exprestones relacionadas con la evaluacién de la conformidad, asf como la informacién acerca de ls adhesién de (SO a los principios de la Organizacién Mundial del Comercio (OMC) respecto a los Obstaculas Técnicas al Comercie (OTC), véase waw.se.org/is hum Este documento he sido elaborado por el Comité de Prayecto IS0/PC 302, Dirsctrices para ta auditorfa de los sistemas de gestién. Esta tercera edicion anula y sustituye a la segunda edicién (ISO 1901 1:2011) que ba sido revisada Wenicamente Los cambios principales en comparacién con la segunda edicién son los siguientes — adici6n det enfogue basado en siesgos a los principios de la auiturta; — ampliacién de la ovientacién sobre la gestién de un programa de 2uditer'a, indluyendo el riesgo el programa de auchitoria — ampliacién de Ia orientactn sobre le realizacién de une auditoria, particularmente la seccién sobre planificacian de la auditor: — ampliacidn de los requisites de competencia genériea para los auditores; — juste dela terminologia para rellejar el procesa y na el abjeta ("cosa"); = ctimingci6n det anexo que contenfa tos reguisitos de competencia pars euditar disciptinas especificas de sistemas de gestidn (debido al gran nlimero de normas individuales de sistemas de Restion. no seria practico incluir requisitos ce competencia para todas las disciplitias}: — ampliacidn del Anexo A para proporcionar orfentacion sobre la auditoria de (nuevos) conceptos como el context de la orgenizactén, of liderazgo y ol compromise, las auditorfes virtuales, el cumplinicnto y a cadena de suministro,Iso 1901: 018 (traduccién oficial) Prélogo de la versién en espaiiol Este documenta ha sido traducido por el Grupo de Trabajo Spanish Pranslatinn Task Force (SITE) del Comité de Proyecto 1S0/?C 302, Direccrices para la auditoria de Ios sistemas de gestién, en cl que participan representantes de los organismos nacionales de normalizacién y representantes del sector empresarial de los siguientes paises: Argentina, Bolivia, Brasil, Chile, Colombia, Costs Ries, Cuhs, Reuador, Espafia, Estados Unides de Ainérica, Honduras, México, Perd y Uruguay. Jgualmence, ea el citado Grupo de ‘Trabajo parucipan representantes de COFANT (Comisién Panamericana de Normas Técnicas) o INLAC (Institute Latinoamericano de la Calided}, Esta traduccién es parte del resultatlo del trabejo que el Grupo |S0/PC 302/STTF, viene deserrellance este su creacién en el afin 1999 para lograr la unificacidn de la terminclogga en lengua espanola en cl dmbito de la gestidn de la calidad,1S0 19014:2018 (traduceién oficial) Introduccién ~ [Desde la publicacton de Ta segunda etlicién de este documento en 2011, se han publicado varies normas nuevas de sistemas de gestién, muchas de las cuales tienen una estructura contin, requisitos esenciales idénticos y terminos camunes y definiciones esenciales, Como resultado, es neceserio considerar un fenfoque més amplio para la auditoria de los sistemas de gestién, asi come de proporcionar una rientacién mas genériea. Las resultados de as auditorias pueden proporcionar entradas para el aspecto de analisis de la planificacién de! negocio, y pueden contvibutr a la identificacion de necesidades actividades de mejora Una auditoria puede realizarse con relacién a una serie de eriterios de auditoria, de manera separada o combinada incluyende, pero sin limitarse 2: — Ios requisitos definidas en una 0 més normas de sistomas de gestisn; — las politicasy is requisites espectfieades por las partes interesadas pertinentes; — los requisites legalesy reglamentarios: — uno0 més process del sistema de gestién definidos por la orpaniracién 0 por otras partes: — tos planes de sistemas de gestidn relacionados can Ja provision de salides especificas de un sistema do gostiéa (por ejemplo el plan de calidad, el plan de proyecto} Este dowuinents proporcions orientacién para todos los tamaiios y tipos de organtzaciones y auditorlss de cistintas alemces y escalas, incluyenido aquellas realizadas por equipos de avditoria grandes, Upicamente de organizaciones grandes, y aquellas realizadas por avdilores individuales, ya sea en organizaciones grandes o pequefins. Esta orientacién deherfa adaptarse segin see apropiado al alcance, 12 complejidad y la escala del programa de audivorta, Este documento se concentra en las auditorfas internas (de primera parte) y las eudkorias realizadas, por las organizaciones a sus proveedores externos y a olras partes interesdas externas (de segunda parte}. Este dacumento también puede ser itil para las auditorfas externas realizadas con fines, istintos a una certificaclon de sistemas de gestién de tercera parte. La Norma ISO/IEC 17021-1 proporciona requisites pars la auditoria de sistemas de yestidn para la cortificacién ie teroaras partes; este documento puede proporcionar orientacién adicional de utlidad (vase le Tabla 1) ‘Tabla 1 — Tipos distintos de auditor’ Auditor de primera parte ‘Auditoria de segunda parte ‘Auditoria de tercera parte ‘ucitoria interna Audilaria externa de proveecor “aualcoria de cereieacion y/o eradicacton (Otva anditoria extama ée parte “Avaiterta legal, roglamentacia © intoresada similar Para simpliicar ta legibilidad de este dacurnente, se prefiere la forma singular de “sistema de gestion", ppere el lector puade adaptar la implementacién de ls orientacién a su propia situacién. Esto también aplica al uso de “persona” y “personas’, “auditor” y “auditores’ISO 19011:2018 (traduccién oficial) Se pretende que este documento se aplique a un amplio rango de usuarios potenciales, incluyenda auditores. organizaciones que implementan sistemas de gestin y organizaciones que necesitan realizar auditorias de sistemas de gesildn por sazones contraccuales u reglamentarias. Sin embargo, los usuarios de este documento pueden aplicar esta orieatacién al desarrallar sus prepies requisites relacionadas con auditorias. Le orientacién en este documento también puede usarse con el propésito de la autadeetaracién, y pred ser til para organtvaciones involuctadas eu la formacidn de aucitores o en fa certificacion de personas. Le ontentacién en este documenta pretende ser flexible, Como se indica en varias puntos del texto. el uso de esta orientacién pucce diferir dependiendo del tamaio y el nivel de madurez del sistenia de gestion de wna organizacién. También deberian considerarse in nataraleza y la complejidsd de [a borganizacion que se va a auditar, asi como Los objetivos y el alcance de las auditorias que se van a realizar Este documento adopta el enfoque de audicorfa combinada cuande se auditan juntas dos 0 mis sistemas lle gestiin de distintas disciplinas. Cuando estos sistemas estin integradas en un tnica sistema de gestion, los principies y procesus de auuilorfa son los mismos que para una audicurta combinada (a veces Tiamada auditoria integrada} Este documento proportiona orientaciéa sobre la gestién de un programa de auditorla, subre la planilicacifn y la realizacién de auditorias de sistemas dle gestién, asi coma sobre la competancia y la exaluacion de-un auditor y un equtpe sudicorNORMA INTERNACIONAL, ISO 19011:2018 (waduccién oficial) Directrices para la auditorfa de los sistemas de gestion 1 Objeto y campo de aplicacién Este documento proporciona orientacién sobve Is audlitoria de los sistersae de gestidn, incluyenda los prineipios de la aucitoria, la gestion de un programa de auditoria y Ja realizacién de auditorias de sistemas de gestién, asf coma orientacién sobre la evaluaciéa de la competencia de las personas que patticipan en el proceso de auclitoria, Rstas actividades incluyen a las nersonas responsables de gestionar el programa de auditorfa, los sudicares y los equipos audtiores. Bs aplicable todas las organizaciones que necesitan planificar y realizar auditorias internas 0 externas de sistemas de gestion, o gestionar un programa de auditorta, La aplicacin de este documenta 2 olrus Lipes de auditorias es posible, siempre que se preste especial atencién ala competoncia espocifiea necesaria 2 Referencias normativas No hay referencias normativas en este dacumiento, Términos y definiciones Para los fines de este documento, se aplican Ins términos y definiciones siguientes. ISO © IBC mantienen bases de datos terminoligieas pa siguientes direeciones — Plataforma de biisqueda en linea de1S0: disponible en 35: //wwnwiso.org/obp — Hlectropedia de IEC: disponible en ttyp://wwweleetropedia.orgy proceso sistemitica, independiente y documentada para ebtener evidencias ohjetivas (3.8) y evaluarlas ide manera objetiva con el fn de determinar el grado en que se cumplen los crizerios de auditor‘a (3.7) Now 1 a 1a entrada Las auditorias inveroas, de realizar por,o en nombre dels prapia orgsnizacién jominadas en algunos casos audiorfas de primera parte, se Nota 2 a [a entrada: Las anéitnrfas externas incluyen lo que se denomina generalmente auditorias de seeunda y tercera parte. Las auitorfas de segunda parte se llevan a cabo por partes que tienen un interés en la arganizactén {ales como les clientes ¢ por otras persons en su nombre. Las anditorfas de (ervera parte se llevan 2 cabo por organizaciones auditoras independientes, tales como las que otorgan la certieacién/registre de conformidad © agenctas gubernamentales. [FURNTE: ISO 9000:2015, 3.13.1, modificada — las Notas a la entrada han sido modificadas}ISO 19011:2018 (traduccién oficial) 32 auditoria combinada cudigoria (2.1) llevada @ cabo conjuntamente a un tinice auditado (3.13) en dos 9 més sistemay de postin (3.18) Nota 1 a la entrada: Se conoce coma sistema de gestién intagrada cuanda dos 0 mas sisternas de gestidn especifcos de une disciplina se integran en un tniew sister de gestion, [FUENTE: 1S0 9000-2015, 3.13.2, modificnda] a3 auditorfa conjunta auditoria (3.1) llevada a cabo a un dnicoersdizada [3.13] por dos o mds organizaciones aucitoras [FUENTE: [$0 9000:2015, 3.12.3] a4 programa de auditoria scnerdos pare un conjunte de una © mas avdltorfos (3.1) planificadas para un perindy de tiempo determinado y cirigidas hacia un propdsito especitico [FUENTE: 150 9000:2015, 3.13.4, modilicada — se ha afauido texto ala definicién), 35 alcance de Ia auditoria extension y limites de una auditor (B41) Nota 1 @ la entrada: El algance de Is suulitoria incluye generalmente una deserspeian de las ubicasiones fsicas y s, as funeianes, as anidades dle bs orginivacién, Ine actividades y loz praceces, ant como e! pwrinda de tempo cublest. Nota 2 a Ia entrada: Una ubjeacién virtual es ux lugar dords la arganizacién dosempotia trabajo @ presta un servicio usando un entorno en linea que permite 2 las personas ejecutar procesos con incependencia Ge su ubiescién isin, [FUENTE: 180 9000:2015, 3.13.5, modificsda — se ha madilicado la Nota 1 ala entrada, so ha afiadico la Mota 2a la entrada| 3.6 plan de auditoria descripcion de las actividades y de los detalles acordados de una auditorta (3:1) [FUEWTE: 1S0 9000:2015, 3.13.0] 37 criterias de anditor conjunto de requiscas (3.23) usados como referencia rence 2 la cual se compara la evilencia objevver Bs) Nota 1 a Ia entrada: Si los criterios de aueltorfa son requisites legales (induyenda los reglamentarias), los palabras “cumpllmiento” ooo cummpliniento” se vtilzan 3 menudo en is Fallazgos de fa cular (3.10), Nota 2 2 Ia entrada: Les requicito: pueden incluir politicas, procedimientos,instrueciones de trabaje, requisites legates, obtigaciones contractuales, exe [FUENTE: 150 $000:2015, 3.13.7, modificada — se ha cambiado la definicién y se han afiadido las Notas 1 y 2ala entrada}ISO 19011:2018 (traduccién oficial) 38 evidencia objetiva ator que raspalian lo existencia 0 vorscicad de algo [Nola 1a le enwada: La evidoncia objativa puede oblunerse por medio de la abcervacién, medicién, ensayo a par ‘tras medias. Nota 2 a Ia entrada: La evidencia objetica con fines de cuutarta (3.1) generabmente se compone de regisirus, decoraciones de hethos wolrs infornacion que san pertinenter para las eviteriescle cuditori (3.7) y veifiables. [FUENTS: 180 9000:2015, 38.3] 3.9 evidencia de Ia auditoria rogistros, declaraciones de hechos o cualquier otra informacién que ¢s pertinente para los eriteries de ‘auiitoria (3.7) y que es verificable [FUENTE: 150 9000:2015, 3.13.8) 10 Nallazgos de la auditoria resultados de la evakiacién de Ia evidencia de la auditorfa (3.9) recopilada frente a los criterios de auditorta (3.7) Nota 18 a entraia: Loshallazgos te la auditoria indican conjormidad (3.20) 0 no conformidad (8.21). Nota Z a te entrada: Los hallszgos de ba iaiva la gjora del regietea de buch pes alitoria pueden conduct a 1s Mlentitacton de riesgos, oporeunidades Nora’ a la entrada: En inglés, si Ine erterins de nuitoria se celeccionan de enire los requisitos Iogales o ls requistos reglamnencartos, el hallazgo de la aucitoria se denomina cumplualente © ne cumplimicnt ENTE: 150 9000:2015, 3.13.9, modificada —se han modificado las Notas 2 yaa entrada] aad conclusiones de Ia anditoria resultado de ung ouditaria (3.1), as considerar los ebjetives de Ta auuitorla y todos los botlazg cuditaria (3.10) sete [FUENTE: 150 9000:2015, 3.13.10] 342 lente de ta auditoria corganizacién o persona que solicita una auditoria (3.1) Nota tale entrada En ol caso de una auditaria interna, el chionte de la audliteria también puede ser el eusitada (3.15) 0 las personas que gestionan el programa de auditorla Las solietudes ce una audicaria externa pueden provenir de fuentes como autoridaées reglamentarias, partes contratantes o clienter existentas o potenciales, (ru 180 9000:2015, 3.13.11, modificada — se ha afadido la Nota 1 a a entrada) 313 auditado ‘organizacién que es anditada on su totalidad o partes [FUENTE: 180 9000-2015, 3.13.12, modificada]150 1901 018 (traduccién oficial) 344 equipo auditor una o més personas que llevan @ cabo una auditeria (3.1) con el apoyo, si es necesario, de expertos téenicns (3.16) Nota tala entrada: A un ouitar (3.15) del equipo audlicor (3.14) sole designs como suuliter Ifder Gel nvstne Nota 2 Is entrada: El aquipe auditar pueda inclu auditores en formacién. [FUEWTE: Iso 9000-2015, 3.13.14) 345 auditor persona que lleva a cabo una audivorda (3.1) IFUENTE: 180 9000:2015, 3.13.15} 3.16 experte técnica persona que aporta conocimientos a experiencia sxpactficas al squipo auditor (3.14) Nora 1 ala entrada Fl corocimiento o expariencis especificas se rolacionan can ls orgonizaeln, la setividad, proceso, producto, srvicioo disciplina a auiitar, el ilions wa culura. Nota 2 ala entiades Un expertalé vivo del equine cuit (2:14) no acta como un wudttor (3.18), [FUENTE: ISO 9000:2015, 3.13.16, modificada — se han modlificado las Notas 1 y 2 ala entrada] B47 observador persona que acompsia al equipo auditor (3.14) perv no acta como wn auditor (3.15) [FUENTE: ISO 9000:2015, 3.13.17, madificadal B48 sistema de gestion onjumta de elementos de una orpanizacién intarrelacionadox © que intersetian para ostablecer politicas, abjetivos y process (3.24) para lourar estos objetivas Nora 1 a la entrada: Un sistema de gestion puele tratar una sola disciplina o varies disciplinas, por eiempla, gestidn dela calidad, goatiin finaneiera o gestiin ambient Nols 2 ly entrada Loe elementos dal sistems de gestidn establecen la estracturs de le organizacids, los roles y las resporsabildades, la planiicaclin, la operactén, las pollieas, las prietias, las regfas, las ereencias, los ‘objetivos y Ios process nara lograr esos objetivo Nota 3 ala entrada: Fl aleance de un sistem cle gestin puede ineluir la (otalidal de bx arganizacién, fumeiones cespecifcas eidentificedas dela orgarizacién, saccionss especificas ¢ identificadas de la orgenizaciéa,o una @ mas Tunciones dentro de un srapo de organizaciones, [FUENTE: 1S0 9000:2015, 3.5.3, modificada — se ha eliminado la Nota 4a la entrada150 19011:2018 (traduccién oficial) Bag riesgo efecto dle la incertidumbre [Nota ta la entrada: In efecto us una dosvizeién dela esperada, ya sea positivo a negative. Nota 2 ala entrada; Incertiduinbie es ol estada, inehuso parcial, de deficencia de infermacién relacionadia cou la Comprension « conocimienta de un eventa,su cansecvencia a sv probabilidad. Nata 3 ala entrada: Con frecuencia el riesgo se caracteriza por referencia a eventos potenciales (segiin se define en la Guia ISO 73:2009, 35.13) ¥ consecuencias (segiin se define en la Guia 1S 75:2009, 3.6.1.3}, 0 a una ccombinacin de éstos. Nota 4a la entrada: Con (recvencie cl riesgo 9 expresa en téeminas de una combinacién de las ennsecsencias de tin evento [ineuidos cambios en las cireunstancias) s la probatilidad (segin ge define ex la Guta ISO 73-2009, 56.1.1) asovials de que ocurra, [,UENTE: 150 9000:2015, 3.7.9, modificada — se han eliminado las Notas S y Ga la entrada} 320 conformidad camplimiento de un requisito (3.23) [FUENTE: ISO 9000:2015, 3.6.11, modificada — se ha eliminaclo fa Nota Lala entrada] 321 no conformidad iIncumplimiento de wn reguisica (3.23) [FUENTE: 180 9000:2015, 3.6.9, modificada — se ha eliminado la Nota 1 a la entrada} 322 competencia ‘eapacidad pare eplicar conacimientos y habilidades con el fin de lograr los resultados previstos [FUENTE: 150 9000:2015, 3.10.4, modiftcada — se han eliminado las Notas ala entrada] hecesidad o expectativa establecida, generaimente implicita u obligatoria Nota 1 ala entrada: “Generalmese implicit” sigitica que es habitual 9 practica eomun para partes interessdae el que la necesidad o expectativa baje consideracion esta impli ‘organizacion y les Nota 2 a la entrada: Un requisite sspecifiado e= aquel que esti en ddocamentada, sblecido, per ejemplo, en informacién [FUENTE: 150 9000:2015, 3.6.4, modificada — se han eliminado las Notas 3, 4,5 y 6a la entrada) 3.24 proceso Conjunto de actividades mutuamente relacionadas que utilizan las entradas para proporcionar un resultado previsto, [FUENTE: 150 9000:2015, 3.41, modificeda — se han elimitnad las Notas la entrada)180 1901 :2018 (traduccion oficial) 3.25 desempeno resultado edible Nota 1 ala enrada: Fl lesempuio se puese reluclonar con hallaags cuentiiauvas o easlitanvos, ‘oa 2 ata enya: BI desetnpefo se puede relacionar car ls gestion de acumidades, nracesos (3:24), productos, servieins sistemas vi organivaciones [FUENTE: 180 9000:2015, 3.7.8, modificada — se ha eliminado ka Nota 3 ala entrada] 326 cficacia gradu en el que se realizan las actividades plantitcadas y se logran Ios resultacios planiticados [FUENTE: 150 9000:2015, 3.7.11, modfficada— se ha eliminado la Nota | a la entrada] 4. Principios de auditoria La auditorfa se caracteatza por depender de varios principios. Estos principtes detierfan ayudar a hacer ce la auditoria una herramienta oficaz y fiable en apeyo de las palitieas y controles de gesticn, proporcianando informacion sobre la exal una organivacion puede eetuar para mejorar su desempeno La adhesin 4 esos principios es un requisite previe pats praportionar conclusiones de la audicoria que sean pertinentes y suficientes, y para parmitir a los auditores, que tabyjaa independientemence alcanzar conclusiones simllares en circunstancias similares, Lis orienta dada ea los Capitulos 5 a7 sebasa en los site prineipios seiialados a continuactén, a} integridad: et tundamento de la profesianalidad Las auditores yas personas qua gesticnan un program de auditocia deberiom — desempefar su trabajo de forma étiea, con honestdad y responsabilidad, — emprenderactividades de suditoria sélo si con competentes para hacerlo; — desempefiar su trabajo de manora imparcisl, os decir, permanecer ecuinimes y sin seago en todas susacciones: — ser sensible a cualquier influencia que se pueda ejercer sobre su juicio mientras teva a cabo tuna auditor, b) Presentacién imparcial: la obligacién de informar eon veracidad y exactitud Los hallazgas, conclusiones ¢ informes de la auéitoria deberfan reflejar con veracidad y exactitud Ins actividades de auditoria, Se doberfa informar do los obstécules significativos encontrados durante la auditoria y de las opiniones divergentes sin resolver entre el equipo auditor y el auditado, La comunicacién deberfa ser vera, exacta, objetiva, oportuna, clara y completa, vere & on yyos em wo radocecsta Teewieo 87 puped Sk wheres soby pes be cole f pad apres ee diverge lay anra 6° dike a> Coends y adit ¥ 4 HA Le. ' hy pera uo Ja Crake’ eeatoore Se tuyhos180 19011:2018 (traducci6n oficial) )_ Debido euidado profesional: la aplicacién de diligencia y juicto al auditar Los anditores deberian proceder con el debide cuidado, de acuerdo con ta importancia de 1a tarea jque desempefian y la confianza depesitada en ellos por el cients de la auditoria y por otras partes interesadas, Un factor importante al realizar su trahajo con el debide cuidada profesional es tener la capacidlad de hacer jnicins razonados en todas las situaciones de Ja auditoria, €) Confidencialidad: seguridad de la informacitin Les ouditeres deberian pracader con discredién on el uso y In proteecién de la informaciéin adquirida en el curso de sus tareas. La informacién de ta auditoria no deberia usarse inapropiadamente para beneficio personal del auditor o del clicnte de Ia auditorfa, 0 de moéo que perjusique el interss logitimo del auéitade, Fste concento ineluye of tratamiento apropiade de 1a informacion sensible confidential fe) Independencia: la base para la imparcialidad de la auditoria y Ja objetividad de las conclusiones de laauditoria Los auditores deberfan ser indeprendientes de la actividad que se audita siempre que sea posible, y ten todos los easos deberian actuar de ima manera libre de cexgo y conflicto de intereses. Para las: auditorias Internas, los auéttores deberfan ser independientes de la funcién que se audita, si es posible. Los auditores deberian mantoner Ia ebjetividad a lo largo del proceso de auditoria para asegurarse de que los halla2gos y conclusiones de la auditoria estaran basados sola en la evidencia de ta auditor, Para les organizaciones peguenias, puede que no sea posible que los auditores internos sean completamente independiente: de la activided que so audita, pera deherfan hacerse todos los esfuerzos para eliminar el sesgo y fomentar la objetividad. 1) Enfogue basado en la evidencia: el método racional para aleanzar conclusiones de la auditoria flables y reproductbles en un proceso de auditoria sistemético La evldencta de la auditovfa deberta ser veriNcable, En general deberia basarse en muestras de la informacién disponible, ya que una auditoria se leva a cabo durante un periodo de tiempo delimitado y con recursos linitos, Deveria aplicarse un uso aproplado del muestreo, ya que esta estrechamente relacionade con la conflanza que puede depositarse on las conclusiones de la auditoria #)_Enfoque basado en riesgos: un enfaque de auuitoria que considera los riesgos y las oparturtidades Elenloque basodo en riesgos deberfa influir suscancialmente on la planificacién, presentacion de informes de auditoria a fin de asegurar que les auditorfas se centran en asuntos que son importantes para el cliente de la auditoria y para aleanaar los objetivos del programa de auditoria 5 Gestién de un programa de auditoria 5.1 Generalidades Deberia establecerse un programa de aucitoria que puede inctuir auditories que traten una o més normas de sistemas de gestion u otros requisitus, realizadas por separado o en combinacién (auditaria combinada),180 19011:2018 (traduccién oficial) Blalcance de un programa de avditoria deberia basarse en el tamaiio y 1a naturaleza del auditado, ast como en Ja naturaleza, funcionalidad, complejidad, el tipa de riesos y oportunidades. y el nivel de madurez de los sistemas de gestion que se van a auditar. 1a funcionalidad del sistema de gestién puede ser atin mas complefa st la mayorfa de fas funciones importantes estin contratadas externamente y se gestionan hajo el liderazgo ée otras orgenizaciones. Es necesario prestar especial atenciin a dénie se toman las decisiones mas importantes y qué constituye Ia alta direcctén del sistema de gestion, En cl caso de miltiples ubicaciones/sedes (por ejemplo diferentes paises), a cuando hay funciones importantes contratadas externamente y gestionaéas bajo cl liderazgo de otra organizacién, deberia prestarse especial atencin al disefig, kr planifieacién y kn validacién del programa de auditaria, En al case de organizaciones més pequelias « menos complejas, el programa de auditria puede escalarse apropiadamente, A fin de comprender el contexto det aucitado. el programa de auclitoria deberia tener en cuenta del auditade: ~ los objetivos organizacionates; — las cuestiones externas # internas pertinentes; — lasnecesidades y expectativas de las partes interesadas pertinentes; = los requ tase seguridad y eonfideneialidad de fa informacién, La planificacién de los programas de auditoria interna y, en algunos casos, los programas para auditar a los proveederes externas, pueden prepararse para conirlbulr a otros objetivos de la organtaacion, Las personas responsables de gestionar el programa de auditoria deberian asegurase de que se mantiene a integeidad de Ia auditoria y de que no se ejerce une influencia indcbida sebre la auditoria Deberia darse prioridad de auditoria a Ia asignacién de recursos y métodos para los asuntos de un sistema de gestié con los riesgos inherentes nids altos y con los niveles de dasemperio mas bajos Deberfan asignarse personas competentes para gestionar el programa de auditorta Bl programa de auditorfa deberfa ineluir la informacion ¢ identificar Jos recursos que permitan que las auditorias se realicen de forma efieaz y eficionte dentro de los petiodns de tiempo especificados. Esta informacidn deberia incluir lo siguiente a) abjetivos para el progrania de auditorie; bh) lesgos y opertunidades asociados con el programa de auditoria (véase 5.3) y lis acciones para tratarlass €)_aleance (extensién, limites, ubicaciones) de cada auditoria dentro del programa de auditoria; 4) calendario [mimero/duracién/Irecuencia) de las aucitories; 2) tipos deauditor‘a, tales como internas 0 externas 1) evkerios de auditoria;180 19011:2018 (traduccién ofi £) métodos de aucitoria a emplear; h)_ criterias para seleccionar a los miembros del equipo auditor; 1) informacién documentads pertinente, Parte de esta informacién puede no estar disponible hasta que se complete una planificacién de auditoria mas detallada, Ja implementaciéin del programa de auéitoria deheria seguirse y medirse, de manera continua {véase 5.6), pars asogurarse de que se han aleanzado sus objetives. EI programa de auditurfa deberfa revisarse a fin Ge identificar necesidades de cambios y posibles oportunidades para la mejora (wease 5.1). la Figura 1 iluctra el flujo del procesa para Ia gestién de mn programa de auditoria,PLANIFICAR :2018 (traduccion oficial) wacrR 52 Esabisniens ‘eos eetos ‘vanurieaR. acTuaR yee 57 Renan Sins yur prone aula T es tmsemesinata| | 5 Seruiicmo fer | | ee 62 Incl e | ‘nanan i i q I 2 rgatason pein 1 67 Retin | estes ana | ieee | cence ean \ psp’ | lee rel I és rrmasin | | ! Yate 68 Fratton i fates |?) “debaudora p———— contin WOTA1 — Esta Figura ihstra I aplicaciin del cielo Planificar-Hiacer-Verificar-Actusr en ests dacument NOTA2 La numeraciéa de los capftules/apsartadas hace referencia a las capitulasjapartados pertinentes de este documento, Figura 1— Diagrama de flujo para la gestién de un programa de auditoria150 19011:2018 (traduccidn oficial) 5.2 Establecimiento de las objetivos del programa de auditoria Fl cliente de la auditoria deberia ascgurarse de que los objetives del programa de suditoria se han establecido para dirigir la planificacidn y cealtwactou de auditorias y deberia asegurarse de que el programa de wudlitria se ha implementado oficazmente. Los objetives del programa de auditaria deberian ser coherentes con la direcxion estratégica del cliente de la auditoria y servir de apoyo a la politica y los objetlvos de! sistema de gestion. Estos objetives pueden basarse en las siguientes consideraciones: 4) las necesidades y expectativas de las partes interesadas pertinentes, tanto externas como internas; b]_ las caracteristieas y los requisitos de lo cambio en ellos; yocesos, productos, servicios y prayectos, y cualquier ©). Ios requisitos del sistema de gestidn: di). la necesidad de evaluar 2 Ios proveedores externas; e] elnivelde desempeno det auditado y el nlvel de madurez de los sistemas de gestidn, como se refleja fen los indieadotes de desempetio pertinentes (por ejemplo Ins KPT), la ocurrencia de no conformiades o incidentes o quejas de las partes interesadas; 1) tos rlesgosy oporwunidades identifcades para el auditade; 2) ns resultados de auuitorfes previas Luss ejemplos de objetivos de un programa de auditoria pueden incluirlos siguientes — iMentificar las oportunidades para la mejora del sistema de gestiin y desu desempefo; = evaliar la capacicad del auditade para determinar su contextey — evaluar la capacidad del audivada para determinar los rlesgos y oportunidades, y para identiticar » implementar acciunes efleaces pera tratarlus, — cumplir todos los requisites pertinentes, por ojemplo los requisitos lagales y r compromisos de camplimiento, los requisites de certificacion con una narma de sistemas de gestion; smentaries, los — oblenery mantener la confianza en la copacidad de un proveedor externos — determina Ia idoneidad, la adecuacién, yla eficacia continuas del sistema de gestion del auditade; — evaluar Ia compatibilidad y Ia alineacién de los abjetivos del sistema ce gestién con la direcciin estratégica de la organizacién. 5.3. Determinacion y evaluacion de los riesgos y oportunidades del programa de auditoria Hay riesgos y oportunidades relacionados con el contexto de! suditado que pueden asuciarse con un programa de auditoria y pueden afector al aleance de sus objetivos. Las personae responsable: de xgestionar el programa de auditoria ceberian identificar y presentar al cliente de la auditoria los resgas y oporiunidades considcrados al desarrollar el programa de auditoria y los requisitos de recursos, para que puedan tratarce adecuadamenta150 19011:2018 (traduccién oficial) Pucde haber ricsgos asociacios con los siguieates puntes: a) la planificacién, por ejemplo el racaso ala hora de establecer objetivos de la auditorta pectinentes y al determinar el alcance, nimero, duracin, ubicaciones y calendaria de las auditorias; bh) los recursos, por ejemplo conceder insuficiente tiempo, cquipas y/o formacién para desarrollar el programa de audicoria o pata realizar una auditorfa; ) Ia seleccidn del equipy auditor, por ejemplo competencia general incuficionte para realizar auditorias effcazmente; d)_ la comunicacion, por e;emplo procesos/canales de comunicacidn externos/internus inetitaces #) Ia implementacién, por ejemplo una ceordinacién ineficaz de las auditarias centre del programa de auditorfa, o no tener en cuenta la seguridad y confidencialidad de la informaciéns f] el control de la informacion docamentada, por ejemplo determinacién inaficaz de la informacion documentada necesaria requericla por los auditorss y las partes interesadas pertinentes, fracaso 4 la hore de protegar adecuadamente los registros de auditoria para demastrar la eficacia del programa de audicoria; 2). 21 seguimiento, revision y mejora det programa de auditorta, por ejemplo seguimnsento inetica de los resultados del programa de auditoria; 1). la disponsbilidad y la cooperactén del suditado y la disponibilidad de evideneias a muestreer Las oportunidades para mejorar el programa Ue audivorta pueden incuir — permit evar cabo milsiplesauditortas en une dna visas — minimizar e tempo y las distancias vajando at sitio; — igualar el nivel de competencia del equipo audilor cun el nivel de competencia necesario para alcanzar les objetivos de le auditeria, = alinear las fechas de la auditorla con ta disponibilidad del personal clave del auditado, 5.4 Establecimiento del programa de auditoria 5uA.d Roles y responsabilidades de Ins personas responsables de Ia gestién del programa de auditoria Las personas responsables de la gesti6n del programa de auditoria deberiam: a) establecer et alcance del programa de auditorfa de acuerdo con los cbjetives pertinentes (véase 5.2) y cualquier restricetén conocida, b) determinar las cuestiones externas e internas, y los riesgos y oportunidades que pueden afectar al programa de auditoris, « implementar aeciones para tratarlas, incegranda estas aeciones en todas Jas actividades de auiitoria pertinence, segin sea apropiado; )_asegurar Ia seleccion de los equinos aucitores y la competencia general para las actividades de aucitorfa, asignando roles, responsobilidedes y autoridades, y respaldando al liderazgo, cegin sea apropiado:150 19011:2018 (traduccion oficial) ©). establecer todos los procesos pertinentes, induyendo procesos pare: — th coordinacién y el calendarin de todas las anditorias dentro del programa de auditor: cl establecimiento de los cbjetivos, lus aleances y los critevios de auditoria de las auditorias, Geterminanda los métodos de audlitoria y la seleccidn del equipo auditor, — ta evatacén de lng autores; = elestablocimianto cle procesos de comunicacién externas # interns, sein proceda; — la resulucidn de disputas y la gestign de las quejass — al sequimiento de la anditora, enfin proceda; — la presentacién de informes al cliente de la auditorfa y a las partes interesedas pertinentes sogtin sea apropiade, 4) determinar y asegurar la provisién de todos las recursos necesarios: 1) ascgurarse de que se prepara y mantiene la informacién documentada apropiada, incuyendo los registros del programa de auditorta; 2) hacer el seguimiento, ravisary mejorar el programa da auditorta; 1h) comunicar el programa de auditoria al cliente de ly suditoria y, segiin sea apropiado, a las parses Interesadas pertinentes Las personas responsables de la gestidn del programa de auditoria deherfan solictiar su aprobactin al clionte dela auditoria 5.4.2 Competencia de las personas responsables de la gesti¢n del programa deanditoria Las personas responsabies de la gestién del programa de auditoria deberian tener la competencia necesaria para gestionar el programa y sis riesgos y oportunidades, y las cuestiones externas ¢ internas asociadas de forma eficaz.y eficiente, incluyenda conacimientos sobre: 8). los principios (véase el Capitulo 4), métodos y procesas de auditoria (véanse A.T y 8.2): ») normas de sistemas de gestidn, otras normas pertinentes y documentos de referencia forientacion; la informacion relativa al auditade y a su contexto (por ejemplo las cuestiones externas/internas, las partes interesudas pertinentes y sus necesidades y expectativas, las actividades de negocio, los productos, servicios y procesos del auditado); 6), los requisitos legales y reglamentario: negocio del auditado. aplicahles y otros requisites pertinentes a las actividades de Seguin sea aproplado, podria considerarse el conccimiento de gestion de riesgos, gestion de proyectos y procesos,y de Tecnologias de la Informacién y las Comunicaciones (TIC),150 19011:2018 (traduccién oficial) Las personas responsables de Is gestién del programa de auditorfa deberian participar =n lay actividades apropiadas de desarrollo continuo para mantener [a competencia necesaria para gestionar el programa de auditoria. 5.4.3. Establecimiento del alcance del programa de auditoria Las personas responsables de la gestién del programa de auditerva deberian determinar el aleance del programa de audicorfa, Este puede variar depencitendo dea iniormacion proporcionada par el auditado sobre sui context (véase 5.3) NOTA Rn ciortos eas0s, dependionda de la esirvesura o ls actividades del auditado, el programa de audivurfa podtia corsistirinicaimente en un sola aucitara [por ejempla,tin proyecto 0 una oreanivzacién neqietine) Otros factores que tienen impacto en ia extensidn de un programa de auditorfa pueden incluir los siguientes: a) el objetivo, aleance y curacién de cada audicoria y el nimero de auditorias a llevar @ cabo, el método de prasentacion de informes y, stapliea, el seguirnionto de la auditoria; b) tas normas de sistemas de gestidn u otras criterios aplicables; ©) cl nimero, imporsaneia, complejidad, similitud y Ia ubicacién de las actividades ous se van a aucitar: los Factores que influyen en Is efieseia dol sistome de gestién; ©) los criterios de auditorfa aplicables, tales como los acuerdos planilicades para las normas de sistemas de gestidn pertinentes, Ins requisttos legales y reglamentarins y atros requisites enn los gue la organizacién esta comprometida; 6) los resultados de auditarfas Internas o externas previas y revisiones por la direcciGn previas, si es aprapiade; fh) los resultados de uns revision provis dol programa de auditorta; 1h) elidioma, las evestiones culturales y sociales; i] las preoeupactones de las partes interesadas, tales conto quejas We clientes, incumplimiento de los requisites legsles y reglamentarias y ottos requisites con los que la organizacion esta comprometida, o cuestiones de la cadena de suministro; J) los cambios signifcatives en el contexte del auditado © sus operaciones y los riesgos ¥ pportunidades asociados: k) la disponibilidad de las teenologgas do Ia informacién y comunicacién para apoyar las actividades de auditoria, en particular el uso de métados cle auditoria remota [véase A.16); 1) la ocurrencia de sucesos intornas y axtemnos, tales come no conformidades de los productos: @ servicios, liraciones en la seguridad de la informactén, incidentes en materia de seguridad y salud, actos delictives o incidentes ambientales; 1m) os riesgos y oportunidades de negocio, incluyende las acciones para tratarlos.ISO 19011:2018 (traduccién oficial) Determinacién de los recursos del programa de auditoria Al determinar los recursas par2 el programa de auditoria, las persunas responsables de Ia gestion del programa de auditorfa deberfan considerar: a). los recursos financieres y de clempo necesarios para desarrellar, implementar, gestionar y mejorar las actividades de euditor‘a b)_ los métodos de auditoria (véese A.) ©) la disponibilided individual y global de auditores y expertos técnicos que tengan In competencia apropiada para los objetivos particulares del programa de auditor‘: 4) claleance del programa de auditoria (véase 5: pprerama de auclitaria (véase 5.3): 3) y los riesgos y oportunidades relaciumdos con cl 4) elUempo y costos de transporte, alojamiento y otras necesidades de la audlitorta: A) elimpacte de las diferentes zonas horarias; '5) lo disponibilided de tecnologia de la informacién y las comunicaciones (por ejemplo los recursos tecnicos requeridos para establecer una auditoria remota usando teenologtes que apoyen la colaboraciéa remot A) Ta disponibilidad de fas herramientas, ta tecnologia y los equipos requeridus; 3} Ip disponibilided de la tnformaci6n documentada necesaria, segdn lo determine el establecimiento dal programa de aucitoria (véase 4.5}; 4) lox requisites relacionados con las instalaciones, inclayendo las autorizaciones y equipas de seguridad (por ejemplo verificacién de antecedentes, equipes de proteccion personal, capacidad para llevar ropa de sala limpia} 5.5 Implementacion del programa de auditoria 554. Generalidades lina vex que se ha establecido o} programa de auditorfs (véase 5.4.3] y que se han determinado les recursos relacionados |véase 5.4.4), es necesario implementar la planficacin operacional y la courdiacin de todas las actividades dentro del programa. Las personas responsables dela gestidn del programa de auditoria deberian: a) comunicar las partes pertinentes del programa de auditorig, Incluyendo los riesges y oportunidades implicados, a las partes interesadas pertinentes e informarles periédicamente de st progreso, usando los canales de comunicacion extemos ¢ internos estabtecidos; bb) definir los objetives. ct alcanceyy los criterios para cada auditoria individual: ©). seleccionarlos métodos de anditoria (véase 8.1: 4) coordinary programar as auditor(as y otras actividades pertinentes al programa de auditor: fe) _asegurarse do que los equipos auditores tienen kx competencia necesaria (véase 5.5.4)ISO 19011:2018 (traduccion oficial) A) proporcionar Ios recursos naeessrio’ individuales y glebales para los equipos auéitores (véase 5.4.4); 2) asegurar la realizacion de las auditorias de acuerde con el programa de auditoria, gestionando todos los riesgos operecionales, upurtuntdades y cuestlones (es decir, eventos inesperados), seein surjan durante el despliegue de! programas hh) _asegurarse de que la informacién documentada pertinente relativa a las actividades de auditarfa se gestiona y mantiene adecuadamente (véase 5.5.7) i) definir ¢ implementar las controles oneracionales (véase 5.6) necesarios para el seguimiento del programa de auditoria; j) _revisar el programa de auditoria a fin de identificar oportanidades para mejorarlo (véase 3.7) 5.5.2. Definicién de los objetivas, ol alcance y los criterios para una auditorfa individual Cada ouditoria individual deberfa hasorse en unos objetivas, un alcance y unos eviterios de auditorta dfinidos. Estos deberian ser caherentes con los oljetivos glohales del programa de auditorts Ls abjetivos de Ia auditoria defiren qué es lo que se va a lograr con la auditoria individual y pueden inclulr lo siguiente: a] la determinacion del grade de coulormidad del sistema de gestidn que se va a auditar, 0 de parte de El, con los criterios de auditoria 1b} la evalvacion de Ia capacidad del sistema de gestién para ayudar a la organizacién a compli los requisitos legeles y reglamentarios pertinentes y otros requisitas con les que Ia arganivacién esta compromecidas ©] laevaluacion dela eficacia del sistema de gestion para lograr sus resultados previstos: 4) lnidentifieacién de pporunidades para la mejors potencial del sistema de gestiém, fe] ln evaluaciin de la idoneidad y adecuacién del sistora de gestién can respecte al contexto y a la direccidn estratégica del auditado, 1) laevaluacién dela capacidad det sistema de gestion para establecer y alcanzat lus ebjetivos y tratar eficazments los riesgos y oportunidades, an un contexta cambiante, inclayende la implementacion de las acciones relacionatas El aleance de Ia auditoria deberia ser enherente con el programa de auditoria y con lns objetivos de la auditorfa. Incluye factores tales com la ubicucién, las funciones, las actividades y los pracesos que se van a auditor, 1 camo @l psriedin de tiempo cubierta por la auditoria, Los criterios de auditor‘a co utilizan como una roferencia frente a la cual se detormina la conformidad, Pueden incluir uno © mas de los siguientes: politicas aplicables, procesas, procedimientos, criterias de dosempefio incluyendo objetivos, requisites legales y reglamenterios, requisites del sistema de gestion, informacién relativa al contexta y a los riesgos y opartunidades segiin determine el auditadn (ineluyendo [os requisitos de las parves interesadas pertinentes externasfinternas), cédigos de conducta sectoriales u otros acuerdos planificados.10 19011:2048 (traduccion oficial) En caso de algin cambio en los adjetivos, cl alcance o lus eriterins de la auditoria, el programa de auditoria deberia modilicarse, si ¢s necesarie, y comunicarse a las partes intoresadas para su aprobacién, si as apropiada, Cuando se audita mis de una disciplina = la ves, es importante que los objetivas, el alcanre y los criterions de Ja auditoria sean coherentes con los programas le auditoria pertinentes pari calla disciplina, Algunas disciplinas pueden tener un alcance que ineorpore 2 toda la organizacién, y otras pueden coner un aleance que abarque a un subconjanto de la organizacién, 5.5.3. Seleccidn y determinacién de les métodos de auditoria Las personas responsables de Ia gestidn del programa de auditoria deberian seleccionar y determinar Tos métodos para llevar a cabo la auditoria de manera cficat y eficionte, dapendienda de los objetivos, el alcance y los criterios de la auditoria definidos. Las auditorias pueden llovarse a cabo en ¢! sitio, remotamente, o come una combinacion. El uso de estos mécodos deberfa estar adecuadamente equililrado, basdadose, entre otvos, e la consideracién de los Fesgor y oportunidades asociados, Cuando dos o mile organizaciones auditoras llevan a cabo una auditoria conjunta del mismo auditado, las personas responsables de la gestiOn cle los diferentes programas de auditoria deberian ester de acuerdo en los métadas de audiluria y considera las iy planificacién de la auditoria, Si un auditada opera dos a més sistemas de gestiéa de diseiplinas iferentes, pueden incluirse auditortes combinedas cn cl programa deauditori licaciones para la provisién de recursos y la 5.54 Seleccién de los miembros del equipo auilitor Las personas responsables de Ia gestién del programa de auditaria deherian designar a los miembros del equipo auditer, incluyendo al lider del equipa y a cualquier experto tfcnieo necesarlo para la auditoria espocifica Un cqnipo auditor deberia scleccionerse tentendo en cuenta las competencias necesorias para aleanzer Jos objetivos ce la auditoria individual dentro del alcance detinide. Si solo hay un auditor, el audicor eberia realizar todas las tareas aplicables a un lider de equipo audivor NOTA FI Gapitula 7 contiene arentacién sate la detertninacién de las competencias riembres del 2quipo auditory describe los procesos para evaluar auditores, juerides pare Tos Para asegurar la competencia global del equipo auditor, deberian llevarse a cabo los sigaientes nasos: — la identificacién de [2 competencia necesaria para aleanzarlos abjetivs de ly auditoria; — la selaccién de los miembros del equipo auditor, de tal manera que la competencia necesaria esté presente en el equipo auditor. Al decidir el tamano y la composicién del equipo auditor para wna euditorfa especifice, deberia considerarse lo siguiente: a) la competencia glebal del equipo auditor necesaria para conseguir los objetives de la auditorta, teniendo en cuenta el aleance y los criterios de la auditoria; 1) lacomplejidad dea auditorie; ©) _sile euditor‘a os una auditoria combinada o conjunta;Iso 1901 018 (traduccion oficial) 4) los métodos de auditoria soleccionados; ©) asegurar la abjetividad e imparcialidad para ovitar cualquier conflicto de intareses en el proceso de auditorfa; f) Wo eapacidad de los miembros del equipo auditor pars trabajar ¢ intersecuar efiearmente con las representantes del auditado ¥ las partes interesacas pertinentes; 4) las enestiones externas/internas pertinentes. como el idioma de la auditoria, y las caracteristicas sociales y cultuvales del auditado, Estas cuestiones pueden tralarse a través de las habilidades propia del suditor, @ bien a través del spoyo de un exporta téenico, consideranda también La nnecesidad de interpretes; h) ol tipay la complejicall de los procesos a auditar Cuando proceda, las personas responsables de la gostiéa del programa de auditarfa deberian consular cone lider cel equipo sobre la campostctén del equipo auditor. Si los auditores del equipo auditor no cubren Je competencia necesaria, los expertos téenicos cum ‘competencia adicional deberian estar disponibles para apoyaral equipo. 1s auditores en formacion pueden incluirse en el equipo auditor, pero deberian patticipar bajo Ia direccién y orientacién de un auditor. Durante la auditorfa pueden sor necesarios cambios en la composicién del equipo auditor, por ejemplo, si surge un conflicto de intereses o un problema de competencia. Si surge una situacion asi, deberia resulverse con las partes apropiadas (por cjemple, cl lider del equipo auditor, las personas sesponsables de la gestidn dol programa de suditoria, el cliente de la auditoria 0 e! auditado} antes d= que se realice cualquier cambio. 555 Asignacién de responsabilidades al lider del equipo auditor para una auditoria individual Las personas responsables de lz gestién del programa de aucitoria deberian esignar a un lider del equipo auditor la responsabilidad de llevar a cabo la audicorta individual. La usignacion deberia hacerse con tiempo suficiente antes de la fecha programada de la audit, para asegurarse dela planifieaci6n elieuz de la auditoria, Para asegurarse de la realizacidn efieaz de las auditorias individuales, deberfa proporcionarse al Kder del equipo anditor Ia siguiente informacién: a). los ebjetivas de ln auditarts; bb). los criterios de auditor‘a y la informacién documenta pertinente: ©) claleance de la auditoria, incluyendo la identificacién de 1a organivacidn y sus funciones y los nracesos que se van a auditar; ) Ios pracesos de Ia auditoria y los métodas asociados: 2) la composicién del equipo auditor; 1) los detalles de contacto del auditada, las ubicaciones, el marco temporal y la duracién de las actividades de auditorfa que se vana llevar # cabo;ISO 19011:2018 (traduecién oficial) 8] los recursos necesarios para llevar a cabo la auditoria; 1h) 12 Informacion necesarta para evaluar y tratar las rigsgos ¥ oportunidades identificados para el logra de las objetives de la auditorta, 1) 1 jnfurmacidn que apoya @ los lideres de los equipos audivores en sus interacciones cua el auditae para la eficacia del programa de auditocfa, La informaciGn sobre la asignacién también deberia cubrir lo siguiente, cuando sca apropiado: = elidioma de trabajo y del informe de la auditoria, cuando sea diferente del idiom del auditor 0 del auditado, ode ambos; — In salida éel informe deauditoria segin se requiera, y 2 quién deberia disteibuirse; — Ios esuntos relacionades con la coniidencialidad y la seguridad dela informactén, sein lo requicrs el programa le aucitaria — Ins acnerdas sabre seguridad, salud y media ambiente para los auditores — los requisites de transporte » deaccesu a ubicaciones remotas; cualquier requisite de soguridad fisiea y de autorizacién; — cualquicraccién a revisar, por cjemplo las aeciones ue seguimiento de una auditoria previa; — 1s coordinacién con otras actividades de auditoria, por ejemplo cuando eyuipos distintos estin auilitanda procesos similares 9 relacionados en uhicacionas diferentes, 9 en el caso de une audicoria conjunta Cuando se leva a cabo una aucitoria conjunts es importante aleanzar un acuerdo entre las onganizaciones que llevan a cabo las auditarlas, antes de que la auditoria comience, sobre las responsahilidades especificas de cada parte, especialmente en Io que concierne a fa autoridd del Lider del equipo auditor designado para la auditor'a, 55.6 Gestion de los resultados del praprama de auditoria Las personas responsables de la gestiin del programa de auditoria deberian aseaurarse de que se realizan las siguientes actividades: a) Ia evaluacin del cumplimicnto de lus objetivas para cada audttorfa dentro del programa de auditoria; b) Is revisidn y aprobacién de los inlormes de la auditoria relativos al cumplimiente del aleance y los objetivos de la auditaria: ¢}._ la revisién de la eficacia de las acciones tomadas para tratar los hallazgas de auditor‘ay )_ la distribueién de informes de auiditorta a las partes intoresadas pertinentes; ©) Ia determinacién de la necesidad de alguna auditorfa de seguimiento,Iso 19011: 018 (traduccidn oficial) Las personas respensables de la gestién del programa de auditoria deherian considerar, cuanda sea apropiado: — comunicar los resultados de la aucitoria y las mejores practicasa otras areas de la organizacion, y — lesimplicaciones para otros procesos 5.5.7. Gestién y mantenimiento de los registros del programa de auditeria Las personas responsables de la gestién del programa de auditoria deberian asegurarse de que se generan, gestionan y mantienen registros de la auditoria para demastrar la implementacion del programa de auditoria, Deberian establecerse prcesos para asegurarse de gue se watan las: nocesidades de soguridad de Ia informacion y do confidencialicad asaciadas can los registros de la audhitersa, Los registros pueden incluir Io siguiente: 2) Los registros relacionados con el programa de auditor, tales como: = elealendarto de auditorias; — os ebjetivos y el aleance del programa de auditoris; — los que traton los rieagos y opertunidacies y las cvestiones externas ¢ internas pertinentes del programa de suciteria — Ins revisiones de fa elicacia del programa de auditoria 1) Los registros relacionados con cada anditarfa, tales como: — 0s planes de suditoria y lst informes de auditor; Jos hallazgos y las evideneias objetivas dela auditorin; — Ios informes de no confocmidad — tos informes de correcetones y acciones currecuvas; — Jos informes de las suditonies de seguiniento €)_ Los registros relacionados con el equipo auditor que cubran temas tales come: — lacvaluacion dela competencia¥ el desempeno delos miembros del equipo aueltor — os criterios para la seleccion de los equipos auditores y los miembros del equipo y la formacién ds los equipos auditores; = elmantenimiente y la mejora de la comperencia. La forma y el nivel de detalle de los registres deberfan demostrar que se han alcanzade los objetivos del programa de auditor‘a,180 19011:2018 (traduccién oficial) 5.6 Seguimiento del programma de auditorfa Las personas responsables de la gestion del programa de auuitoria deberfan asegurar la evaluacian de: si se cumplen los calendlarios y se alcanzan los objetivos del programa de aucitoria; 1h) el desempeito de lor miembros del equipo auditor, ineluyende el Ider del equipo auditor y los expertas tecnicos la capacidad de os equipas auditores para implementar el plan de auditorta; J). Ta retroatimentacién de los clientes de Ia anditoria, de los anditadas, de los auditores, é¢ los eypertos Léenicos y de otras partes pertinentes; e} lasuliciencia y adecuacton delle informacion documentada en todo el proceso de auuiteria, Algunos factores pueden indicar la necesidad de moekficar et programa de auditorfa. Estos pueden incuir cambios en — los hallazgos de ta suditortay — elnive! demostrado de eficacia yla madures del sistema de gestion del auditado; — laeticacia del programa de audhitoria — elaleance de la auditovia 6 el aleance éel programa deanditaria: — elsistema de gestidn dal auditador — las normnas, y otrus requisites con los que la organizaciéa est eomprometida — los proveedorvs externas; — los confictos de interés identificados; — los requisites del cliente de In auditor 5.7 Revisién y mejora del programa de auditoria Las personas responsables de Ie gestion del programa de auditoria y el clente de la auditoria deberian revisar cl programa de auditerfa pera evaluar si se han aleanzado sus objetivos. Las lecciones aprenilidas ce la revision del programa de auditoria deberian usarse como elementos de entrada para Ja mejora del programa, Las personas responsables de la gestidn del programa de auditoria deberian asegurar lo siguiente: — larevisign dela implementacidn global del programa de auditoria; — laidentificacion de.reas y oportunidades para la mejora: — laaplicacion de cambios al programa de auditoria si es necesario; — larevisién del desarrollo profesional continuo de los auditores, deacuerde con el apartado 7.6;1s0 19011:2018 (traduccion oficial) — Js presentacién de informes de los risultados del programa de auditoria y In revisién con el cliente de Ia auditoria y las partes interesadas pertinentes, segiin sea apropiado, La revisién del programa de auditaria deberia considerar lo siguiente: a) los resultadasy tendlencias del seguimiento del programa de auditoria; 1) la conformidad con los procesos del programa de auditoria y con la informacion documentada pertinente: ¢) lhevoluciin de tas necacidades y oxpectativas de las partes interesadas pertinentes; )_ los registras del programa de auditors; €) los métodas de auditoria alternatives o nuevas; 1) os métodos alternatives o nuevos para evaluar alos auditores: fg) Is effcacia de las acciones para tratar los sTesges y oportunidades, y cuestiones internes y externas, asociados con al programa de anditorta; h} tos temas de confidencialidad y seguridad de la informacién relacionades cua el prog auditor, ama de G Realizacién de una auditoria 61 Generalidades Este capitulo contione erientacidn sobre le propar cién de una auditeria especifica como parte de 1m programa de anditoria, La Figura 2 proporcions una visién general de las actividades desempefiadas ea una auditoria Upics. El grado de aplicaciOn de les dispusiciones We este capitulo depenile delos objetivos y del sleance de la auditoria expectfca 6.2 Inicio de la auditorfa 621 Generalidades La responsabilidad de llevar a caho Ja auditoria deberia corresponder al lider del equip auditor designado (vase 5.5.5) hasta que la auditoria Finaliza (véase 6.6). Para iuiciar una auditorfa, deberfan conslderarse los pasos de Ja Figura 1; sin embargo, le secuencia puede diferir dependienda del auditado, de los procesos y de lus cireunsiancias especificas de la auditorfa, 62.2 Establecimienta del contacto con el auditado El lider del equipo auditor deberia asegurarse de que se establece contacto con el suditado para: a) confirmar lor canales de comunieacién eon loz representantes del auditado; b) confirmar Ia autoridad para llevar 2 cabe Ia auditoria;