AIISO19011_T032 Planificación de Auditoría

Plataformas de Aprendizaje Autodirigido

Planificación de Auditoría.

En la preparación del programa de auditoría se debe tomar en cuenta:

  • Las normas de auditoría.
  • Las técnicas de auditoría.
  • Las experiencias anteriores.
  • Los levantamientos iniciales.
  • Las experiencias de terceros.

Fases para la realización de una auditoría según ISO 19011:2018

El capítulo 6 de la norma ISO 19011 en su última versión establece que para realizar una auditoria hay que seguir las etapas de planificar, hacer, verificar y actuar. En este sentido, dentro del apartado “hacer”, la normativa define hasta 7 fases para ejecutar la auditoría en sí.

Realización de la reunión de la apertura para la auditoría

Esta fase la tiene que tener toda auditoría. Así, la reunión se realiza con la dirección del auditado o, cuando sea apropiado, con aquellos responsables de las funciones o procesos que se van a auditar. El propósito es, entre otros aspectos, proporcionar al auditado un breve resumen de cómo se llevarán a cabo las actividades de la auditoría.

Comunicación durante la auditoría según ISO 19011

Durante la auditoría, el líder del equipo auditor debería comunicar periódicamente los progresos de la misma. Por otro lado, también debe responder a cualquier inquietud del auditado, e informar cuando se apropiado al cliente de la auditoría.

Definir el papel y responsabilidades de los guías y observadores.

Los observadores de una auditoría son personas que se están preparando para ser auditores. Por su parte, los guías son personas expertas que ayudan al auditado en cuestiones muy técnicas. Sin embargo, estos pueden acompañar al equipo auditor, pero no deberían influir en la auditoría.

Recopilación y verificación de la información de la auditoría

Según la ISO 19011:2018sólo la información que es verificable puede constituir evidencia de la auditoría. Esta evidencia debería ser registrada siempre y basarse en muestras de información disponible. Por ejemplo, si auditamos una empresa de transporte, habrá que coger una muestra de los envíos que realiza. De este modo se podrá ver si se cumplen correctamente los estándares.

Los métodos para recopilar esta información en la auditoría incluyen entrevistas u observación de actividades. También consiste en la revisión de documentos del sistema de gestión.

Generación de hallazgos de la auditoría según ISO 19011

Consiste en recopilar todo aquello que hemos ido encontrando en la auditoría y que, teniendo en cuenta los procedimientos de la norma ISO y los requisitos legales, suponen un incumplimiento de la norma en cuestión. Los incumplimientos también son llamados no conformidades. No obstante, no tienen por qué ser hallazgos negativos, sino que el informe de auditoría también puede destacar puntos fuertes del sistema de gestión.

Preparación de las conclusiones de la auditoría

Las conclusiones de la auditoría se preparan en una reunión en la que se revisan los hallazgos y cualquier otra información recopilada útil. Por otro lado, se debaten y se acuerdan las conclusiones entre todo el equipo.

Tras la ejecución de la auditoría, aún quedaría la preparación y distribución del informe de auditoría, para que se dé por finalizada la misma.

6.3.2.1 Enfoque basado en el riesgo para la planificación.

Existen diferentes riesgos y oportunidades relacionadas con el contexto del auditado que puede asociarse con el programa de auditoría y puede afectar al logro de los objetivos.

Las personas responsables de la gestión del programa de auditoría deben identificar y presentar al cliente de la auditoría los riesgos y oportunidades que deberá considerar al desarrollar su programa de auditoría y los requisitos de los recursos para que puedan tratarse de forma adecuada.

Pueden existir riesgos asociados con lo siguiente:

  • Planificación
  • Recursos
  • Selección del equipo auditor
  • Comunicación
  • Implementación
  • Disponibilidad y cooperación del auditado, y la disponibilidad de evidencias a muestrear.

Los riesgos para los auditores internos en la Norma ISO 9001:2015  están asociados a prácticas, costumbres y comportamientos culturales que se presentan con frecuencia en las organizaciones, sin importar el tamaño o el sector económico en que se desempeñen.

Pero, aunque estos riesgos para los auditores internos, sean en cierto modo inevitables, ello no es impedimento para que dejemos de emprender acciones para contrarrestarlos, ya que su impacto, atenta contra el espíritu y los requisitos de normas como ISO 9001.

8 mayores riesgos para los auditores internos en 2018.

El mayor riesgo que puede correr un auditor interno es el desconocimiento de la norma que audita. Es probable, que muchos de los riesgos para los auditores internos que mencionamos a continuación, se puedan eliminar solo con un profundo conocimiento de la norma auditada:

No auditar lo que más interesa a la Alta Dirección.

Algunos auditores insisten en poner énfasis especial a ciertos riesgos en unidades de negocio y no prestar atención a todo aquello que afecta a los objetivos de la organización propuestos por la Alta Dirección. Esto genera el desinterés de los altos ejecutivos de la organización por los resultados del trabajo del auditor interno.

No comunicar los resultados en el momento oportuno.

Usualmente, el auditor interno comunica los resultados de su labor en un informe escrito, muy formal, que se publica meses después de concluida la labor de campo. Esta costumbre tradicional hace que el informe final sea un documento muy bien presentado, dotado de una excelente redacción y acorde con todas las normas internacionales al respecto. Pero totalmente inoperante, porque los problemas identificados han producido daños irreparables.

Utilizar un plan de auditoría rígido e inmodificable.

La gestión de riesgos es por naturaleza dinámica y cambiante. Así, la labor de auditoría debe adaptarse a esta condición, siendo ágil y modificable en cualquier momento. Lo que hoy es importante auditar, puede no serlo mañana, o incluso unas horas después.

Incapacidad para auditar algunas fuentes de riesgo.

Algunos auditores internos suelen ser muy cautelosos en el desarrollo de su labor, y con el ánimo de no generar roces o discordia con algún área de la organización, evitan auditar fuentes potenciales de riesgo aduciendo no tener la capacidad o la autoridad para hacerlo. Si existe un riego potencial, es importante para la organización, y debe ser importante para la auditoría interna.

Derrochar recursos y tiempo preciosos.

Una vez inicia la auditoría, algunos auditores se enfocan en perseguir un objetivo que no estaba programado, consumiendo recursos y tiempo destinados a su meta original. Otros, por el contrario, aunque ya han concluido su labor continúan “auditando” con el ánimo de copar las horas planificadas inicialmente, sin tener en cuenta que cada hora de auditoría tiene un coste en recursos, especialmente económicos, para la organización.

No centrarse en la prevención sino en establecer culpas.

Un principio básico de auditoría dice que se deben buscar las fallas antes de que estas se hagan evidentes. Sin embargo, algunos auditores no utilizan una linterna para iluminar el camino, sino un espejo retrovisor para ver un camino ya recorrido. La auditoría no es una diligencia judicial que pretende hallar culpables. Es, ante todo una forma de prevenir riesgos, gestionarlos, eliminarlos o tratarlos.

No contar con miembros clave en el equipo de auditoría.

Conservar y retener recursos humanos con competencias en labores de auditoría debe ser una iniciativa constante que parta del liderazgo de la Alta Dirección. Uno de los mayores riesgos para los auditores internos en 2018, sin duda será el no contar con asistentes calificados en sus equipos de trabajo.

No contar con la confianza de la Alta Dirección.

Si la gerencia, o los altos ejecutivos de la organización no creen en el trabajo y en los resultados de los auditores internos, difícilmente apoyarán su labor. Algunos auditores internos suelen culpar a la Alta Dirección cuando sus indicaciones no son acatadas de inmediato, sin detenerse a pensar en la relevancia de las mismas o el impacto beneficioso que realmente tienen sobre el sistema de gestión.

El líder del equipo de auditoría debería adoptar un enfoque basado en el riesgo para planificar la auditoría con base en la información del programa de auditoría y la información documentada proporcionada por el auditado.

Al planificar la auditoría, el líder del equipo auditor debería considerar lo siguiente:

  1. La composición del equipo de auditoría y su competencia general.
  2. Las técnicas de muestreo apropiadas.
  3. Oportunidades para mejorar la efectividad y eficiencia de las actividades de auditoría.
  4. Los riesgos para lograr los objetivos de auditoría creados por una planificación de auditoría ineficaz.
  5. Los riesgos para el auditado creados al realizar la auditoría.

6.3.2.2 Detalles de planificación de auditoría.

El contenido mínimo del plan de auditoría debe cubrir o hacer referencia a:

  • Objetivo de la auditoría.
  • Alcance de la auditoría incluyendo la identificación de las unidades organizativas y funcionales y los procesos a ser auditados.
  • Criterios de auditoría y cualquier documento de referencia.
  • Ubicación/es (físicas y virtuales), fechas, horario y la duración previstos de las actividades de auditoría que se van a llevar a cabo.
  • Métodos de auditoría a utilizar, incluyendo el grado de muestreo requerido para obtener las evidencias de auditoría.
  • Funciones y responsabilidades de los miembros del equipo auditor así como de los guías y observadores.
  • Asignación de recursos apropiados basada en la consideración de los riesgos y oportunidades relacionados con las actividades que se han de auditar.

El plan de auditoria es un documento que el líder del equipo auditor designado, diseña y distribuye, días previos a la realización de cada auditoria, debe realizar una planificación más detallada de la auditoria, el grado de detalle y el contenido del plan de la auditoría, puede diferir, por ejemplo, entre la auditoría

Un plan de auditoría describe las actividades y de los detalles acordados de una auditoría.

Tal como recomienda la norma ISO 19011el Auditor Jefe debe preparar el plan de auditoría, con un enfoque basado en riesgos, con base en la información del programa de auditoría y en la información documentada entregada por el auditado.

El plan de auditoría debe considerar los riesgos de las actividades de auditoría en los procesos del auditado que puede causar el equipo auditor en cuanto a la realización de la auditoría, y proporcionar la base para el acuerdo entre el cliente de la auditoría, el equipo auditor y el auditado, en lo relativo a la realización de la auditoría. El plan debe facilitar la programación en el tiempo y la coordinación eficiente de las actividades de auditoría a fin de alcanzar  los objetivos.

El nivel de detalle proporcionado en el plan de auditoría debe reflejar el alcance y complejidad de la auditoría, así como los riesgos de no lograr los objetivos de la auditoría.

Al preparar el plan de Auditoría, el Auditor Jefe debe ser consciente de:

  • Técnicas de muestreo apropiadas.
  • Composición del equipo auditor y su competencia colectiva.
  • Las oportunidades para mejorar la eficacia y eficiencia de las actividades de auditoría.
  • Los riesgos para el auditado generados al realizar la auditoría.

Los riesgos creados por la auditoría para la organización podrían ser, por ejemplo: influencia en la salud y seguridad, la calidad, para los productos, servicios, personal o infraestructura del auditado (por ejemplo, contaminación de espacios limpios).

El grado de detalle y el contenido del plan de auditoría puede diferir, por ejemplo, entre la auditoría inicial y las posteriores así como entre auditorías internas y externas. El plan de auditoría debería ser lo suficientemente flexible para permitir cambios que se consideren necesarios a medida que las actividades de auditoría se vayan llevando a cabo.

El plan de auditoría puede ser revisado y aceptado por el cliente de auditoría y debería ser presentado al auditado.  Cualquier objeción por parte del auditado al plan de auditoría debería ser resuelta entre el líder del equipo auditor, el auditado y el cliente de auditoría y, si fuera necesario, las personas responsables de la gestión del programa de auditoría.