• Proceso sistemático, independiente y documentado

para obtener evidencias de la auditoria y evaluarlas

de manera objetiva con el fin de determinar la
extensión en los que se cumplen los criterios de
auditoria.
• Proceso sistemático: porque siempre se tiene que desarrollar
con una misma metodología

• Proceso independiente: porque la persona que la realiza

debe ser independiente del área o proceso que se esta
auditando

• Objetivo (de la auditoría): según prioridades gerenciales;

requisitos de los clientes; exigencias legales; exigencias
contractuales; riesgos potenciales

• Alcance: según profundidad; objetivos; frecuencia; tamaño

organización; partes interesadas
CURSO DE AUDITORES INTERNOS

¿Quien ?

• PRIMERA PARTE
• SEGUNDA PARTE
• TERCERA PARTE
• INTERNA
• EXTERNA ¿Qué se audita?

• SUFICIENCIA
• CUMPLIMIENTO
• PRODUCTO/ PROCESO/PROYECTO
• Planificar y desarrollar objetiva, efectiva y eficientemente las
tareas asignadas
• Preparar los documentos de trabajo
• Recopilar y analizar las evidencias
• Documentar las observaciones.
• Participar en la elaboración del informe con los resultados de
la auditoría
• Verificar si se ejecutaron las acciones correctivas de las no
• conformidades detectadas en auditorias anteriores, en el
tiempo pactado y si fueron efectivas.
• Retener y salvaguardar los documentos pertinentes a la
auditoría
• Cooperar con y asistir al auditor líder
• Informar al personal involucrado los objetivos y alcance
de la auditoría.
• Designar miembros responsables de su personal para
acompañar a los miembros del equipo auditor.
• Poner todos los medios para asegurar un eficaz y
eficiente proceso de auditoría.
• Permitir el acceso de los auditores a las instalaciones y a
las evidencias objetivas.
• Cooperar con los auditores para alcanzar los objetivos
de la auditoría
• Determinar e iniciar acciones correctivas basadas en el
informe de las auditorías
 • Orientar al equipo

• Coordinar la auditoria

• Redactar el plan de auditoria

• Establecer y mantener las comunicaciones

• Participar en la auditoria

• Emitir el informe de la auditoria

• Seguimiento de las acciones correctivas

• Participar en la selección del equipo auditor

 • Buen trato

• No anticipar opiniones

• No hacer sugerencias

• No aceptar atenciones

• Apagar los celulares

• Prestar atención a las

respuestas
• ¿ Qué fallaría si esa no conformidad no se corrige?
• ¿Qué probabilidad hay de que esto no deseado siga
sucediendo?
• Si es algo puntual y que no afecta la calidad del producto
o servicio, se puede hacer una recomendación
(observación) y no una no conformidad.
• Qué incumple; contra qué (requisito) y cual es la
evidencia que la soporta.

• Frase con sujeto verbo y complementos

• Hacerlo en dos párrafos: en el primero colocar la

evidencia y en el segundo el incumplimiento (tal cual
como lo dice la norma).

• Poner el QQDCC (Qué, Quién, Donde, Como, Cuando)

Se trata de decir qué ha fallado, quién lo ha hecho,
donde se ha detectado, como ha sido el incumplimiento,
y cuando (definirlo en el tiempo o su duración)
• Ponerse en lugar de quien va a leer la no conformidad
• Redacción de la EVIDENCIA y la NO CONFORMIDAD por
separado:
EVIDENCIA: No se han encontrado registros de las dos
últimas copias de seguridad realizadas por el técnico de
sistemas.
NO CONFORMIDAD: No se cumple el requisito xxxxx de
la norma ISO xxxx que especifica xxxx

• Redacción de la EVIDENCIA y la NO CONFORMIDAD

en forma conjunta:
No se han encontrado registros de las dos últimas copias
de seguridad realizadas por el técnico de sistemas
incumpliendo el requisito xxxxx de la norma ISO xxxx que
especifica xxxx
 1
.

1. PREPARACION DE LA AUDITORIA
4. Reunión equipo auditor

Plan de auditoria
Lista de verificación 5. Reunión final con el auditado

2. Reunión inicial con el auditado

Reporte

3. Ejecución de la
Auditoria Seguimiento

6. Cierre de la auditoria
1

Fin
INICIACION DE LA AUDITORIA

•Alcance y objetivos de la auditoria

•Frecuencia de la auditoria

•Revisión preliminar de la documentación

OBJETIVOS DE LA AUDITORIA

• Determinar el cumplimiento de los requisitos de la norma 27001

• Determinar la EFICACIA de los procedimientos existentes

en el manual de politicas de calidad de la organización..

• Proporcionar al auditado una oportunidad para MEJORAR el

departamento de sistemas
 Alcance de la auditoria

Localización Física Actividades organizacionales

Disposición de la
información

Recursos asignados
Suficiente
 PLAN DE AUDITORIA

– Objetivos y alcance.
– Documento de referencia.
– Áreas que serán auditadas.
– Personas que serán entrevistadas.
– Relación de los miembros del grupo de auditores.
– Fecha y lugar.
– Hora y duración esperada para cada actividad principal.
– Programación de reuniones por realizar con la gerencia.
– Asignaciones del equipo auditor.
 Frecuencia de la auditoria

•Cambios regulatorios

•Cambios en administración

•Cambio de políticas

Necesidades •Cambios de técnica

•Cambios de Tecnología

•Cambios en el sistema de calidad

CLIENTE
•Resultados de auditorias
anteriores
 LISTAS DE VERIFICACIÓN

Revisar la documentación

El auditor decide la elaboración de una lista de

preguntas significativas sobre temas específicos.

La lista debe ser utilizada únicamente como una guía

 RECOLECCIÓN DE EVIDENCIA OBJETIVA

Objetivo:

Obtener pruebas tangibles de cómo esta operando

Sistemas en cada uno de sus componentes.
Evidencias:
• Un procedimiento.
• Un registro.
• Un video.
• Entre otros.
... CÓMO RECOLECTAR EVIDENCIA OBJETIVA ? ..

Auditar Por Trazabilidad

Investigar mediante el seguimiento a un caso

formal, a un documento, registro o producto.
 .. CÓMO RECOLECTAR EVIDENCIA OBJETIVA ?..

Auditar Por Función

Investigar las actividades de la empresa

asociadas a un rol o posición de la organización
 PREPARACIÓN
DE LA HOJA
DE VERIFICACIÓN
 LA HOJA DE VERIFICACIÓN

Debe elaborarse en concordancia con la actividad a auditar.

Debe utilizarse como soporte para la preparación de entrevistas.

Permite estructurar el proceso de evaluación a realizar.

No debe utilizarse como herramienta para un interrogatorio.

Es solo una guía para determinar si las actividades ejecutadas

corresponden a las disposiciones adoptadas.
 COMO ELABORAR UNA HOJA DE VERIFICACIÓN?

Partir de los documentos aplicables para el alcance seleccionado.

Identificar los cargos que se relacionan con el alcance
de la auditoria.

Identificar afirmaciones en los documentos aplicables.

Identificar registros que se deriven de las disposiciones o

documentos auditar.

Analizar actividades con posibles riesgos de generar

no con conformidades
COMO ELABORAR UNA HOJA DE VERIFICACIÓN?

Las preguntas, actividades o registros a verificar no

necesaria mente deben ser preparadas en orden.

Siempre concentrarse en el alcance de la auditoria.

Considerar la verificación de:

Disponibilidad de procedimientos.
Evaluación del grado de conocimiento.
Consistencia de la información en registros.
TIPOS DE PREGUNTAS EN LA AUDITORIA

Las preguntas de la auditoria pueden ser:

Cerradas
Suministra información puntual.

Abiertas
Permiten obtener descripciones
de procesos o actividades.
- Asignación del equipo auditor
Asignación de elementos específicos
•Del sistema de calidad
•Departamento funcionales

- Documentos de trabajo
•Listas de verificación.
•Formularios para informar observaciones
de la auditoria.
•Formularios para la documentación de
evidencia que respalde
las conclusiones alcanzadas por los
auditores.
 Ejecución de la auditoria
REUNION DE APERTURA
• Presentar miembros a la directiva.
• Revisar alcance y objetivos.
• Métodos utilizados en la auditoria.
• Conductos oficiales de
comunicación.
• Necesidad de recursos
especiales.
• Explicar NC , como se reportan y
califican (mayor /menor).
• Hora y fecha de reunión de cierre
y otras.
• Aclaraciones.
 Recolección de evidencias:
ENTREVISTA

• Haga sentir cómodo al auditado

¿Qué? ¿Como?
• Sea amigable. ¿Por qué?
• Explique el propósito de la ¿Muéstreme? ¿Donde?
auditoria. ¿Quien?
¿Cuando?
• Evite preguntas cuya respuesta
sea SI o NO.
• Trate de no hacer preguntas
directas
• Trate de no hacer preguntas
dirigidas

Los 7 amigos del auditor

 AUDITOR

POSITIVO NEGATIVO

•CORTÉS • AGRESIVO
•AMIGABLE •DISCUTIDOR
•INFORMATIVO •DESCONSIDERADO
•COLABORADOR •INCONSISTENTE
•CONSTRUCTIVO
•CRÍTICO
 EJECUTANDO LA AUDITORIA
• Haga un muestreo de actividades, no se centre en una.
• Busque evidencia observando lo que ocurre y revisando registros.
• Haga anotaciones completas.
• Escuche las explicaciones del auditado.
• Anote y confírmelas más adelante si es procedente. No de la impresión de que
no cree.
• Escriba los detalles : procedimientos, registros, ordenes , lotes, etc.
• Auditoria abierta y amigable resultará en un acuerdo de que el problema
existe.
• Verifique si la NC es o no puntual.
 REPORTE DE NO CONFORMIDADES.

• Cada N.C. debe tener un reporte separado.

• Reporte debe contener 3 ítems :
Descripción completa y precisa de lo observado.
Referencia a la cláusula del estándar / documento de
calidad de la organización.
Explicación de los requisitos de la cláusula / documento.
• Las N.C. deben atribuirse solamente a una cláusula de la
norma, la más aplicable.
• En ocasiones , la única referencia es la documentación de la
organización.
 LA REUNION DE CIERRE

PREPARACION REUNION DE CIERRE

• Cada uno relata sus hallazgos.
• El equipo evalúa y revisa los
hallazgos.
• Se define si son NC y su clase.
• Se prepara un borrador del reporte
final.
DIRIGIDA POR
EL AUDITOR LIDER
• Agradecimientos.
• Resumen del alcance.
• Objetivo y método usado.
• No todas las NC se pueden
descubrir.
• Preguntas y discusiones al final.
• Presentación de las NC por el
equipo. Hechos solamente.
• Resumen general por el A. Líder.
• Invitación a discutir cualquier punto.
• Acuerdo de las fechas para
terminación de las acciones
correctivas
 INFORME FINAL DE LA AUDITORIA

Listos al terminar la
• Alcance y objetivos. auditoria o muy
• Fechas e identificación de la organización. cerca.

• Detalles del plan de auditoria, miembros y entrevistas.

• Documentos de referencia : norma, manual de calidad, etc.
• Relación de las no conformidades encontradas.
• Análisis de las fortalezas del sistema.
• Capacidad del sistema para lograr los objetivos de calidad definidos.

Detalles y NC
Precisos, soportados y aceptadas por las
referencias precisas. partes involucradas
 SEGUIMIENTO

VERIFIQUE LA IMPLEMENTACIÓN DE ACCIONES CORRECTIVAS DESPUÉS DE LA FECHA ESTABLECIDA

NO
SI

ESTABLEZCA UNA
NUEVA FECHA

VERIFIQUE DE
SI CIERRE LOS REPORTES
NUEVO DE NO CONFORMIDAD

NO

ESCALE
 REDACTE LA NO CONFORMIDAD A LOS
SIGUIENTES CASOS.
CASO 1. En el departamento de ventas el auditor descubre que
una contraseña común fue utilizada por toda la organización para
acceder a un software especializado.

CASO 2. En la revisión documental, un auditor advierte que no

existe licencia de uso del S.O. del servidor principal de la
organización.

CASO 3. En una organización de comisionistas de bolsa, se

encuentra publicado en la intranet un listado con todos los datos
privados de los empleados de la compañía.