Gestión de un Programa de Auditoría.
El programa de auditoría debe incluir la información e identificar los recursos que permitan que las auditorías se realicen de manera eficiente y eficaz dentro de los periodos de tiempo que se encuentran especificados.
La información deberá incluir:
- Objetivos para el programa de auditoría.
- Riesgos y oportunidades asociadas al programa de auditoría y las acciones para abordarlas.
- Alcance de cada auditoría dentro del programa de auditoría.
- Calendario de las auditorías.
- Tipos de auditoría.
- Criterios de auditoría.
- Métodos de auditoría a utilizar.
- Criterios para seleccionar los miembros del equipo auditor
- Información documental pertinente.
Según la norma ISO 19011 se debe establecer un programa de auditoría que pueda incluir todas las auditorías que traten una o más normas de sistemas de gestión u otros requisitos, llevadas a cabo por separado o en combinación, dando lugar a una auditoría combinada.
La extensión de un programa de auditoría debe basarse en el tamaño y la naturaleza del auditado, así como en la naturaleza, funcionalidad, complejidad, tipo de riesgo y oportunidades, y el nivel de madurez de los sistemas de gestión que se deberán auditar. La funcionalidad del sistema de gestión puede ser aún más compleja si la mayoría de las funciones importantes se encuentran contratadas de forma externa y se gestionan bajo el liderazgo de otras empresas. Será necesario prestar especial atención a la toma de decisiones importantes y que constituye la alta dirección del sistema de gestión.
En el caso de múltiples ubicaciones o sedes, cuando existen funciones importantes contratadas de forma externa y gestionadas bajo el liderazgo de otra empresa, debe prestarse especial atención al diseño, la planificación y la validación del programa de auditoría. En el caso de empresas mucho más pequeñas o menos complejas, el programa de auditoría se puede escalar apropiadamente.
Al fin de comprender el contexto del auditado, el programa de auditoría debe tener en cuenta al auditado:
- Los objetivos organizacionales.
- Las cuestiones externas e internas pertinentes.
- Las necesidades y expectativas de las partes interesadas pertinentes.
- Los requisitos de seguridad y confidencialidad de la información.
La planificación de los programas de auditoría interna y, en algunos casos, los programas para auditar a los proveedores externos, pueden prepararse para contribuir a otros objetivos de la empresa.
Las personas responsables de la gestión del programa de auditoría deben asegurarse de que se mantiene la integridad de la auditoría y que no se ejerce una influencia indebida sobre la auditoría.
Deberá darse prioridad de auditoría a la asignación de recursos y métodos para los asuntos de un sistema de gestión con los riesgos inherentes más altos y con los niveles de desempeño más bajos.
Se deberán asignar personas competentes para que se gestione el programa de auditoría.
Una organización puede establecer más de un programa de auditoría.
NOTA 1: Esta figura ilustra la aplicación Planear, Hacer, Verificar y Actuar, en este documento.
NOTA 2: La numeración de cláusulas / sub cláusulas se refiere a las cláusulas / sub cláusulas relevantes de este documento.
Flujo del proceso para la gestión de un programa de auditoría.