5.5.1 Generalidades.
Una vez que se ha establecido el programa de auditoría (véase 5.4.3) y que se han determinado los recursos relacionados (véase 5.4.4), es necesario implementar la planificación operacional y la coordinación de todas las actividades dentro del programa.
Las personas responsables de la gestión del programa de auditoría deberían:
-
- Comunicar las partes pertinentes del programa de auditoría, incluidos los riesgos y oportunidades, a las partes interesadas pertinentes e informarles periódicamente de su progreso, utilizando los canales de comunicación externos e internos establecidos.
- Definir objetivos, alcance y criterios para cada auditoría individual.
- Seleccionar métodos de auditoría.
- Coordinar y programar auditorías y otras actividades relevantes para el programa de auditoría.
- Garantizar que los equipos de auditoría tengan la competencia necesaria.
- Proporcionar los recursos individuales y globales necesarios a los equipos de auditoría.
- Garantizar la realización de auditorías de acuerdo con el programa de auditoría, gestionando todos los riesgos, oportunidades y problemas operativos (es decir, eventos inesperados), tal como surgen durante el despliegue del programa.
- Garantizar que la información documentada relevante con respecto a las actividades de auditoría se gestione y mantenga de forma adecuada.
- Definir e implementar los controles operativos necesarios para la supervisión del programa de auditoría.
- Revisar el programa de auditoría para identificar oportunidades para su mejora.
5.5.2 Definición de Objetivos, Alcance y Criterios para una Auditoría Individual.
Cada auditoría individual debería basarse en objetivos de auditoría definidos, alcance y criterios. Estos deberían ser consistentes con los objetivos generales del programa de auditoría.
Los objetivos de la auditoría definen que se va a lograr con la auditoría individual y pueden incluir lo siguiente:
-
- Determinación del grado de conformidad del sistema de gestión a ser auditado, o partes de él, con los criterios de auditoría.
- Evaluación de la capacidad del sistema de gestión para ayudar a la organización a cumplir los requisitos legales y reglamentarios pertinentes y otros requisitos con los que la organización está comprometida.
- Evaluación de la efectividad del sistema de gestión para alcanzar los resultados esperados.
- Identificación de oportunidades para la mejora potencial del sistema de gestión.
- Evaluación de la idoneidad y adecuación del sistema de gestión con respecto al contexto y la dirección estratégica del auditado.
- Evaluación de la capacidad del sistema de gestión para establecer y alcanzar objetivos y abordar de manera efectiva los riesgos y oportunidades, en un contexto cambiante, incluida la implementación de las acciones relacionadas.
El alcance de la auditoría debería ser coherente con el programa de auditoría y los objetivos de auditoría. Incluye factores tales como las ubicaciones, las funciones, las actividades y los procesos que se van a auditar, así como el periodo de tiempo cubierto por la auditoría.
Los criterios de auditoría se utilizan como una referencia frente a la cual se determina la conformidad. Pueden incluir uno o más de los siguientes: políticas aplicables, procesos, procedimientos, criterios de desempeño incluyendo objetivos, requisitos legales y reglamentarios, requisitos del sistema de gestión, información relativa al contexto y a los riesgos y oportunidades según determine el auditado (incluyendo los requisitos de las partes interesadas pertinentes externas/internas), códigos de conducta sectoriales u otros acuerdos planificados.
En caso de algún cambio en los objetivos, el alcance o los criterios de la auditoría, el programa de auditoría debería modificarse, si es necesario, y comunicarse a las partes interesadas para su aprobación, si es apropiado.
Cuando se audita más de una disciplina a la vez, es importante que los objetivos, el alcance y los criterios de la auditoría sean coherentes con los programas de auditoría pertinentes para cada disciplina. Algunas disciplinas pueden tener un alcance que incorpore a toda la organización, y otras pueden tener un alcance que abarque a un subconjunto de la organización.