5.4.3 Establecimiento de la Extensión del Programa de Auditoría.
Las personas responsables de la gestión del programa de auditoría deberían determinar la extensión del programa de auditoría. Ésta puede variar dependiendo de la información proporcionada por el auditado sobre su contexto (véase 5.3).
NOTA: En ciertos casos, dependiendo de la estructura o las actividades del auditado, el programa de auditoría podría consistir únicamente en una sola auditoría (por ejemplo, un proyecto o una organización pequeños).
Otros factores que tienen impacto en la extensión de un programa de auditoría pueden incluir lo siguiente:
-
- el objetivo, alcance y duración de cada auditoría y el número de auditorías a llevar a cabo, el método de presentación de informes y, si aplica, el seguimiento de la auditoría;
- las normas de sistemas de gestión u otros criterios aplicables;
- el número, importancia, complejidad, similitud y las ubicaciones de las actividades que se van a auditar;
- los factores que influyen en la eficacia del sistema de gestión;
- los criterios de auditoría aplicables, tales como los acuerdos planificados para las normas de sistemas de gestión pertinentes, los requisitos legales y reglamentarios y otros requisitos con los que la organización está comprometida;
- los resultados de auditorías internas o externas previas y revisiones por la dirección previas, si es apropiado;
- los resultados de una revisión previa del programa de auditoría;
- el idioma, las cuestiones culturales y sociales;
- las inquietudes de las partes interesadas, tales como quejas de clientes, incumplimiento de los requisitos legales y reglamentarios y otros requisitos con los que la organización está comprometida, o cuestiones de la cadena de suministro;
- los cambios significativos en el contexto del auditado o sus operaciones y los riesgos y oportunidades asociados;
- la disponibilidad de las tecnologías de la información y comunicación para apoyar las actividades de auditoría, en particular el uso de métodos de auditoría remota (véase A.16);
- la ocurrencia de sucesos internos y externos, tales como no conformidades de los productos o servicios, filtraciones en la seguridad de la información, incidentes en materia de seguridad y salud, actos delictivos o incidentes ambientales;
- los riesgos y oportunidades de negocio, incluyendo las acciones para abordarlos.