15
Preámbulo
I
NCh-ISO 19011
Para los propósitos de este proyecto de norma, se han realizado los cambios editoriales
que se indican y justifican en Anexo D.
II
NCh-ISO 19011
Contenido
Página
Preámbulo I
0 Introducción 1
2 Referencias normativas 3
3 Términos y definiciones 4
4 Principios de auditoría 7
5.1 Generalidades 8
6 Realización de la auditoría 22
6.1 Generalidades 22
III
NCh-ISO 19011
Contenido
Página
7.1 Generalidades 36
Anexos
A.1 Generalidades 45
IV
NCh-ISO 19011
Contenido
Página
B.3 Muestreo 55
Figuras
V
NCh-ISO 19011
Contenido
Página
Tablas
VI
Vencimiento consulta pública: 2012.06.15
0 Introducción
La segunda edición de ISO/IEC 17021, publicada en 2011, se hizo más extensa para
transformar la orientación ofrecida en esta norma en requisitos para auditorías de
certificación de sistemas de gestión. Es en este contexto que la segunda edición de esta
norma proporciona orientación para todos los usuarios, incluyendo organizaciones
medianas y pequeñas, y se concentra en las que comúnmente se denominan auditorías
internas (primera parte) y auditorías realizadas por clientes a sus proveedores (segunda
parte). Mientras aquellos involucrados en auditorías de certificación de sistemas de
gestión cumplen los requisitos de ISO/IEC 17021:2011, también pueden encontrar útil la
orientación de esta norma.
1
NCh-ISO 19011
Auditoría externa
Auditoría interna
Auditoría del proveedor Auditoría de tercera parte
A veces se llama auditoría de A veces se llama auditoría de Para propósitos legales, reglamentarios y
primera parte segunda parte similares
Para certificación (ver también los
requisitos de ISO/IEC 17021:2011)
Esta norma no establece requisitos, sino que proporciona orientación sobre la gestión de
un programa de auditoría, sobre la planificación y realización de una auditoría del sistema
de gestión, como así también sobre la competencia y evaluación de un auditor y un
equipo auditor.
Las organizaciones pueden operar más de un sistema de gestión formal. Para simplificar la
lectura de esta norma, se prefiere la expresión particular sistema de gestión, pero el lector
puede adaptar la implementación de esta orientación a su propia situación particular. Esto
también aplica al uso de persona y personas, auditor y auditores.
Esta norma está prevista para que se aplique a una gama de usuarios potenciales,
incluyendo auditores, organizaciones que implementan sistemas de gestión, y
organizaciones que necesitan realizar auditorías de sistemas de gestión por razones
reglamentarias o contractuales. Los usuarios de esta norma pueden, sin embargo, aplicar
esta orientación para desarrollar sus propios requisitos relacionados con la auditoría.
La orientación de esta norma está prevista que sea flexible. Como se indica en varios
puntos del texto, el uso de esta orientación puede diferir dependiendo del tamaño y nivel
de madurez del sistema de gestión de una organización y de la naturaleza y la complejidad
de la organización a ser auditada, como así también de los objetivos y alcance de las
auditorías que se realizan.
Esta norma introduce el concepto de riesgo para la auditoría del sistema de gestión. El
enfoque adoptado relaciona el riesgo del proceso de auditoría de no lograr los objetivos y
el potencial de la auditoría para interferir con las actividades y procesos del auditado. No
se proporciona una orientación específica sobre el proceso de gestión de riesgos de la
organización, pero reconoce que las organizaciones pueden enfocar sus esfuerzos de
auditoría en problemas relevantes del sistema de gestión.
Esta norma adopta el enfoque que cuando dos o más sistemas de gestión de distintas
disciplinas se auditan juntos, esta auditoría se denomina "auditoría combinada". Cuando
estos sistemas están integrados en un único sistema de gestión, los principios y procesos
de auditoría son los mismos que para una auditoría combinada.
2
NCh-ISO 19011
La cláusula 4 describe los principios en los que se basa la auditoría. Estos principios
ayudan al usuario a comprender la naturaleza esencial de la auditoría y son importantes
para entender las orientaciones que se establecen en las cláusulas 5 a 7.
El Anexo B proporciona orientación adicional para los auditores sobre planear y realizar
auditorías.
Esta norma es aplicable a todas las organizaciones que necesitan realizar auditorías
internas o externas de sistemas de gestión o que gestionan un programa de auditoría.
2 Referencias normativas
3
NCh-ISO 19011
3 Términos y definiciones
Para los propósitos de esta norma, se aplican los términos y definiciones siguientes:
NOTAS
1) Las auditorías internas, denominadas a veces auditorías de primera parte, se realizan por, o en nombre de, la
propia organización, para la revisión por la dirección y otros fines internos (por ejemplo, para confirmar la
eficacia del sistema de gestión o para obtener información para el mejoramiento del sistema de gestión). Las
auditorías internas pueden constituir la base para una autodeclaración de conformidad de una organización.
En muchos casos, particularmente en organizaciones pequeñas, la independencia se puede demostrar al estar
libre de responsabilidades por la actividad que se audita o libertad de sesgo o conflicto de intereses.
2) Las auditorías externas incluyen auditorías de segunda y tercera parte. Las auditorías de segunda parte se
llevan a cabo por partes que tienen un interés en la organización, tal como los clientes, o por otras
personas en su nombre. Las auditorías de tercera parte se llevan a cabo por organizaciones auditoras
independientes, tales como autoridades reglamentarias o aquellas que otorgan la certificación.
3) Cuando se auditan juntos dos o más sistemas de gestión de diferentes disciplinas (por ejemplo, calidad,
ambiental, seguridad y salud en el trabajo), se denomina auditoría combinada.
4) Cuando dos o más organizaciones auditoras cooperan para auditar a un único auditado (3.7), se denomina
auditoría conjunta.
NOTAS
2) Si los criterios de auditoría son requisitos legales (incluyendo estatutarios o reglamentarios), a menudo los
términos cumplimiento o incumplimiento se utilizan en un hallazgo de auditoría (3.4).
NOTAS
2) Los hallazgos de auditoría pueden conducir a la identificación de oportunidades para mejoramiento o registro
de buenas prácticas.
4
NCh-ISO 19011
3) Si los criterios de auditoría se seleccionan a partir de requisitos legales u otros, los hallazgos de auditoría
se denominan cumplimiento o incumplimiento.
3.5 conclusión de una auditoría: resultado de una auditoría (3.1), después de considerar
los objetivos y todos los hallazgos de auditoría (3.4)
NOTA - Adaptada de ISO 9000:2005, 3.9.6.
3.6 cliente de la auditoría: organización o persona que solicita una auditoría (3.1)
NOTAS
1) En el caso de una auditoría interna, el cliente de la auditoría también puede ser el auditado (3.7) o la persona
que gestiona el programa de auditoría. Solicitudes de auditorías externas pueden provenir de fuentes tales
como autoridades reglamentarias, partes contractuales o clientes potenciales.
3.9 equipo auditor: uno o más auditores (3.8) que llevan a cabo una auditoría (3.1), con el
apoyo, si es necesario, de expertos técnicos (3.10)
NOTAS
1) A un auditor del equipo auditor se le designa como auditor líder del mismo.
NOTAS
3.11 observador: persona que acompaña al equipo auditor (3.9) pero que no audita
NOTAS
1) Un observador no es parte del equipo auditor (3.9) y no influye o interfiere en la realización de la auditoría
(3.1).
2) Un observador puede ser del auditado (3.7), de la autoridad reglamentaria u otro parte interesada que es
testigo de la auditoría (3.1).
5
NCh-ISO 19011
3.12 guía: persona designada por el auditado (3.7) para asistir al equipo auditor (3.9)
NOTA - El alcance de la auditoría incluye generalmente una descripción de las ubicaciones, las unidades de la
organización, las actividades y los procesos, así como el período de tiempo cubierto.
3.15 plan de auditoría: descripción de las actividades y de los detalles acordados de una
auditoría (3.1)
3.17 competencia: aptitud para aplicar conocimientos y habilidades para lograr los
resultados previstos
NOTA - Habilidad implica la aplicación apropiada del comportamiento personal durante el proceso de auditoría.
3.20 sistema de gestión: sistema para establecer la política y los objetivos y para lograr
dichos objetivos
NOTA - Un sistema de gestión de una organización podría incluir diferentes sistemas de gestión, tales como un
sistema de gestión de la calidad, un sistema de gestión financiera o un sistema de gestión ambiental.
6
NCh-ISO 19011
4 Principios de auditoría
Las orientaciones dadas en las cláusulas 5 a 7 se basan en los seis principios siguientes:
- estar atento a las influencias que se pueden ejercer sobre su juicio mientras realiza
una auditoría.
Los auditores deberían proceder con el debido cuidado de acuerdo con la importancia
de la tarea que desempeñan y la confianza depositada en ellos por el cliente de la
auditoría y por otras partes interesadas. Un factor importante al realizar su trabajo con
el debido cuidado profesional es tener la habilidad para hacer juicios razonables en
todas las situaciones de auditoría.
7
NCh-ISO 19011
no se debería utilizar inapropiadamente para beneficios personales por parte del auditor
o el cliente de la auditoría, o de manera perjudicial para los intereses legítimos del
auditado. Este concepto incluye el manejo apropiado de información confidencial o
delicada.
Los auditores deberían ser independientes de la actividad que es auditada siempre que
sea posible, y en todos los casos deberían estar libres de sesgo y conflicto de
intereses. Para las auditorías internas, los auditores deberían ser independientes de los
gerentes de operaciones de la función que se audita. Los auditores deberían mantener
la objetividad a lo largo del proceso de auditoría para asegurar que los hallazgos y
conclusiones de la auditoría están basados sólo en la evidencia de la auditoría.
5.1 Generalidades
Una organización que necesita llevar a cabo auditorías debería establecer un programa de
auditorías que contribuya a la determinación de la eficacia del sistema de gestión del
auditado. El programa de auditoría puede incluir auditorías que consideren una o más
normas de sistemas de gestión, realizadas separadamente o en combinación.
La alta gerencia debería asegurar que se establecen los objetivos del programa de
auditoría y que se asignan una o más personas competentes para gestionar el programa
de auditoría. La extensión de un programa de auditoría se debería basar en el tamaño y
naturaleza de la organización que es auditada, así como en la naturaleza, funcionalidad,
complejidad y el nivel de madurez del sistema de gestión a ser auditado. Se debería dar
prioridad a la asignación de los recursos del programa de auditoría para auditar aquellas
materias de importancia dentro del sistema de gestión. Estas pueden incluir las
características claves de la calidad del producto o peligros relacionados a la seguridad y
salud, o aspectos ambientales relevantes y su control.
NOTA - Este concepto se conoce comúnmente como auditoría basada en el riesgo. Esta norma no proporciona
orientación adicional sobre auditoría basada en el riesgo.
8
NCh-ISO 19011
- criterios de auditoría;
- métodos de auditoría;
9
NCh-ISO 19011
NOTAS
10
NCh-ISO 19011
La alta gerencia debería asegurar que los objetivos del programa de auditoría se
establecen para dirigir la planificación y realización de auditorías y debería asegurar que el
programa de auditoría se implementa eficazmente. Los objetivos del programa de auditoría
deberían ser consistentes con, y servir de apoyo a, los objetivos y política del sistema de
gestión.
a) prioridades de gestión;
- para cumplir con requisitos externos, por ejemplo, certificación de una norma de
sistema de gestión;
- para evaluar la compatibilidad y alineación de los objetivos del sistema de gestión con
la política del sistema de gestión y los objetivos organizacionales globales.
11
NCh-ISO 19011
12
NCh-ISO 19011
NOTA - En ciertos casos, dependiendo de la estructura del auditado o sus actividades, el programa de
auditoría sólo se podría constituir de una única auditoría (por ejemplo, la actividad de proyecto pequeño).
Otros factores que afectan la extensión de un programa de auditoría incluyen los siguientes:
13
NCh-ISO 19011
- recursos, por ejemplo, no contar con el tiempo suficiente para desarrollar el programa
de auditoría o realizar una auditoría;
- registros y sus controles, por ejemplo, fallas para proteger adecuadamente los
registros de auditoría para demostrar la eficacia del programa de auditoría;
- informe a la alta gerencia sobre los logros globales del programa de auditoría;
14
NCh-ISO 19011
Cuando se identifican los recursos para el programa de auditoría, la persona que gestiona
el programa de auditoría debería considerar:
- métodos de auditoría;
5.4.1 Generalidades
- comunicar las partes pertinentes del programa de auditoría a las partes interesadas e
informarles periódicamente de su progreso;
15
NCh-ISO 19011
Los criterios de auditoría se utilizan como referencia contra los cuales se determina la
conformidad y pueden incluir políticas, procedimientos, normas, requisitos legales,
requisitos del sistema de gestión, requisitos contractuales, códigos de conducta
sectoriales u otros cambios planeados aplicables.
Cuando dos o más sistemas de gestión de diferentes disciplinas se auditan juntos (una
auditoría combinada), es importante que los objetivos, alcance y criterios de la auditoría
sean consistentes con los objetivos de los programas de auditoría pertinentes.
16
NCh-ISO 19011
Cuando dos o más organizaciones que auditan realizan una auditoría conjunta del mismo
auditado, las personas que gestionan los distintos programas de auditoría deberían acordar
el método de auditoría y considerar las implicancias en cuanto a los recursos y la
planificación de la auditoría. Si un auditado opera dos o más sistemas de gestión de
diferentes disciplinas, en el programa de auditoría se pueden incluir auditorías
combinadas.
La persona que gestiona el programa de auditoría debería designar a los miembros del
equipo auditor, incluyendo al líder del equipo y a los expertos técnicos necesarios para la
auditoría específica.
NOTA - La cláusula 7 contiene orientaciones sobre cómo determinar la competencia requerida para los miembros
del equipo auditor y describe el proceso para evaluar auditores.
a) la competencia global del equipo auditor necesaria para lograr los objetivos de la
auditoría, teniendo en cuenta el alcance y criterios de auditoría;
f) la capacidad de los miembros del equipo auditor para interactuar eficazmente con los
representantes del auditado y para trabajar juntos;
17
NCh-ISO 19011
Para asegurar la competencia global del equipo auditor, se deberían desarrollar las etapas
siguientes:
- selección de los miembros del equipo auditor de modo que todos los conocimientos y
habilidades necesarios estén presentes en el equipo auditor.
Si toda la competencia necesaria no es cubierta por los auditores del equipo auditor, se
deberían incluir en éste expertos técnicos con la competencia adicional. Los expertos
técnicos deberían operar bajo la dirección de un auditor, pero no deberían actuar como
auditores.
Los auditores en formación se pueden incluir en el equipo auditor, pero deberían participar
bajo la dirección y orientación de un auditor.
Pueden ser necesarios ajustes de tamaño y composición del equipo auditor durante la
auditoría, es decir, si surge un conflicto de intereses o problema de competencia. Si surge
tal situación, se debería discutir con las partes interesadas (por ejemplo, el líder del equipo
auditor, la persona que gestiona el programa de auditoría, el cliente de la auditoría o el
auditado) antes de que se haga cualquier ajuste.
5.4.5 Asignación de responsabilidad de una auditoría individual al líder del equipo auditor
Para asegurar una realización eficaz de las auditorías individuales, se debería proporcionar
al líder del equipo auditor de la información siguiente:
a) objetivos de la auditoría;
18
NCh-ISO 19011
h) información necesaria para evaluar y tratar los riesgos identificados para el logro de los
objetivos de la auditoría.
- idioma de trabajo y del informe de auditoría cuando éste sea distinto del idioma del
auditor o del auditado, o de ambos;
La persona que gestiona el programa de auditoría debería asegurar que se desarrollan las
actividades siguientes:
19
NCh-ISO 19011
La persona que gestiona el programa de auditoría debería asegurar que los registros de
auditoría se generan, gestionan y mantienen para demostrar la implementación del
programa de auditoría. Se deberían establecer los procesos para asegurar que se abordan
las necesidades de confidencialidad asociadas con los registros de auditoría.
- informes de no conformidades;
La forma y nivel de detalle de los registros debería demostrar que los objetivos de
programa de auditoría se han logrado.
20
NCh-ISO 19011
- hallazgos de auditoría;
- cambio de proveedor.
f) eficacia de las medidas para tratar los riesgos asociados con el programa de auditoría;
21
NCh-ISO 19011
- revisar el desarrollo profesional continuo de los auditores, de acuerdo con 7.4, 7.5
y 7.6.
6 Realización de la auditoría
6.1 Generalidades
6.2.1 Generalidades
Para iniciar una auditoría, se deberían considerar las etapas que se indican en Figura 2; sin
embargo, la secuencia puede diferir dependiendo del auditado, procesos y circunstancias
específicas de la auditoría.
22
NCh-ISO 19011
6.2.1 Generalidades
6.2.2 Establecimiento del contacto inicial con el auditado
6.2.3 Determinación de la factibilidad de la auditoría
6.4.1 Generalidades
6.4.2 Realización de la reunión de apertura
6.4.3 Revisión de documentos mientras se realiza la auditoría
6.4.4 Comunicación durante la auditoría
6.4.5 Asignación de roles y responsabilidades de guías y observadores
6.4.6 Recopilación y verificación de información
6.4.7 Generación de hallazgos de auditoría
6.4.8 Preparación de las conclusiones de la auditoría
6.4.9 Realización de la reunión de cierre
NOTA - La numeración de las subcláusulas se refiere a las subcláusulas pertinentes de esta norma.
23
NCh-ISO 19011
El contacto inicial con el auditado para el desarrollo de la auditoría puede ser formal o
informal y se debería hacer por medio del líder del equipo auditor. Los propósitos del
contacto inicial son los siguientes:
La documentación del sistema de gestión pertinente del auditado se debería revisar con el
fin de:
NOTA - En cláusula B.2 se proporciona orientación sobre cómo llevar a cabo la revisión documental.
6.3.2.1 El líder del equipo auditor debería preparar un plan de auditoría basado en la
información contenida en el programa de auditoría y en la documentación proporcionada
por el auditado. El plan de auditoría debería considerar el efecto de las actividades de
auditoría sobre los procesos del auditado y sentar las bases para el acuerdo entre el
cliente de la auditoría, el equipo de auditoría y el auditado con respecto a la realización de
la auditoría. El plan debería facilitar la coordinación y calendarización eficiente de las
actividades de auditoría con el fin de lograr los objetivos eficazmente.
Por ejemplo, pueden surgir riesgos para la organización a partir de la presencia de los
miembros del equipo auditor que afecten la salud y seguridad, el medio ambiente y la
calidad, además de representar amenazas para los productos, servicios, personal o
infraestructura del auditado (por ejemplo, contaminación en las instalaciones de salas
limpias).
25
NCh-ISO 19011
6.3.2.2 La amplitud y el contenido del plan de auditoría puede diferir, por ejemplo, entre
las auditorías iniciales y las posteriores, como así también entre las auditorías internas y
externas. El plan de auditoría debería ser suficientemente flexible para permitir los cambios
que pueden llegar a ser necesarios según el progreso de las actividades de auditoría.
f) los roles y responsabilidades de los miembros del equipo auditor, como así también de
los guías y observadores;
- el idioma de trabajo y del informe de auditoría cuando éste sea distinto del idioma del
auditor, del auditado o de ambos;
26
NCh-ISO 19011
El líder del equipo auditor, en consulta con el equipo auditor, debería asignar a cada
miembro del equipo la responsabilidad de auditar procesos, actividades, funciones o
ubicaciones específicos. Cada asignación debería tomar en cuenta la independencia y
competencia de los auditores y el uso eficaz de los recursos, como así también los
distintos roles y responsabilidades de los auditores, auditores en formación y expertos
técnicos.
Según corresponda, el líder del equipo auditor debería realizar reuniones con el equipo
auditor, con el fin de distribuir asignaciones de tareas y decidir posibles cambios. Se
pueden hacer cambios en las asignaciones de tareas según los progresos de la auditoría
con el fin de asegurar el logro de los objetivos de la auditoría.
Los miembros del equipo auditor deberían recopilar y revisar la información pertinente a
sus auditorías asignadas y preparar los documentos de trabajo, según corresponda, para
referencia y para registrar evidencia de auditoría. Tales documentos de trabajo pueden
incluir lo siguiente:
- listas de verificación;
NOTA - En cláusula B.4 se proporciona orientación sobre cómo preparar documentos de trabajo.
27
NCh-ISO 19011
6.4.1 Generalidades
a) confirmar el acuerdo de todas las partes (por ejemplo, auditado, equipo auditor) con el
plan de auditoría;
c) asegurar que todas las actividades de auditoría planeadas se pueden llevar a cabo.
Se debería realizar una reunión de apertura con la gerencia del auditado y, cuando
corresponda, con aquellos responsables por las funciones o procesos a ser auditados.
Durante la reunión, se debería dar la oportunidad de hacer consultas.
El grado de detalle debería ser consistente con la familiaridad del auditado con el proceso
de auditoría. En muchos casos, por ejemplo, auditorías internas en una organización
pequeña, la reunión de apertura simplemente puede consistir en comunicar al auditado
sobre la auditoría que se lleva a cabo y explicar la naturaleza de la auditoría.
Para otras situaciones de auditoría, la reunión puede ser formal y se deberían mantener
registros de asistencia. La reunión debería ser dirigida por el líder del equipo auditor, y
según corresponda, se deberían considerar los ítemes siguientes:
- conformación del plan de auditoría y otros arreglos pertinentes con el auditado, tales
como la fecha y hora de la reunión de cierre, las reuniones intermedias entre el equipo
auditor y la gerencia del auditado, y cualquier cambio de última hora;
- presentación de los métodos para gestionar los riesgos para la organización que
pueden surgir de la presencia de los miembros del equipo auditor;
28
NCh-ISO 19011
- información acerca de las condiciones bajo las cuales puede finalizar la auditoría;
NOTA - En cláusula B.2 se proporciona orientación sobre cómo llevar a cabo una revisión documental.
La revisión puede ser combinada con las otras actividades de auditoría y puede continuar
durante la auditoría, siempre que ello no vaya en desmedro de la eficacia de la realización
de la auditoría.
Durante la auditoría, puede ser necesario hacer arreglos formales para comunicarse entre
el equipo auditor, como así entre el auditado, el cliente de la auditoría y potencialmente
con organismos externos (por ejemplo, autoridades reglamentarias), especialmente cuando
los requisitos legales exigen el informe mandatorio de no cumplimientos.
Según sea necesario, el equipo auditor se debería reunir periódicamente para intercambiar
información, evaluar el progreso de la auditoría, y reasignar tareas entre los miembros del
equipo auditor.
Los guías, asignados por el auditado, deberían asistir al equipo auditor y actuar en
respuesta a las solicitudes del líder del equipo auditor. Sus responsabilidades deberían
incluir las siguientes:
30
NCh-ISO 19011
c) asegurar que las reglas sobre los procedimientos de seguridad y salud de la ubicación
se conocen y respetan por parte de los miembros del equipo auditor y los
observadores.
La Figura 3 proporciona una visión general de los procesos, desde recopilar información
hasta llegar a las conclusiones de la auditoría.
Fuente de información
Evidencia de auditoría
Hallazgos de auditoría
Revisión
Conclusiones
- entrevistas;
- observaciones;
NOTAS
3) En cláusula B.6 se proporciona orientación sobre visitas a las ubicaciones del auditado.
La evidencia de auditoría se debería evaluar frente a los criterios de auditoría con el fin de
determinar los hallazgos de auditoría. Los hallazgos de auditoría pueden indicar
conformidad o no conformidad con los criterios de auditoría. Cuando se especifica en el
plan de auditoría, los hallazgos de una auditoría individual deberían incluir la conformidad y
las buenas prácticas junto con su evidencia de respaldo, oportunidades de mejoramiento,
y las recomendaciones para el auditado.
El equipo de auditoría se debería reunir, según sea necesario, para revisar los hallazgos de
auditoría en las etapas apropiadas durante la auditoría.
NOTA - En cláusula B.8 se proporciona orientación adicional sobre la identificación y evaluación de hallazgos
de auditoría.
El equipo de auditoría se debería reunir antes de la reunión de cierre con el fin de:
- la capacidad del proceso de revisión del sistema de gestión para asegurar la continua
idoneidad, adecuación, eficacia y mejoramiento del sistema de gestión;
Se debería realizar una reunión de cierre, presidida por el líder del equipo auditor, para
presentar los hallazgos y conclusiones de la auditoría. Entre los participantes en la reunión
de cierre deberían estar la gerencia del auditado y, cuando sea apropiado, aquellos
responsables por las funciones o procesos que han sido auditados, y además se puede
incluir al cliente de la auditoría y a otras partes. Según corresponda, el líder del equipo
auditor debería informar al auditado sobre situaciones encontradas durante la auditoría
que pueden disminuir la confianza que se puede depositar en las conclusiones de la
auditoría. Si está definido en el sistema de gestión o por acuerdo con el cliente de la
auditoría, los participantes deberían acordar el plazo para un plan de acción para tratar los
hallazgos de auditoría.
El grado de detalle debería ser consistente con la familiaridad del auditado con el proceso
de auditoría. Para algunas situaciones de auditoría, la reunión puede ser formal y breve,
incluyendo registros de asistencia, los que se deberían mantener. En otros casos,
por ejemplo, auditorías internas, la reunión de cierre es menos formal y puede consistir
únicamente en la comunicación de los resultados de la auditoría y las conclusiones de la
auditoría.
33
NCh-ISO 19011
El líder del equipo auditor debería informar los resultados de la auditoría de acuerdo con
los procedimientos del programa de auditoría.
e) las fechas y ubicaciones donde se llevaron a cabo las actividades del auditado;
i) una declaración sobre el grado en que se han cumplido los criterios de auditoría.
34
NCh-ISO 19011
- confirmación de que los objetivos de la auditoría se han logrado dentro del alcance de
la auditoría de acuerdo con el plan de auditoría;
La auditoría finaliza cuando todas las actividades de auditoría planeadas se han llevado a
cabo, o según se haya acordado con el cliente de la auditoría (por ejemplo, puede haber
una situación inesperada que evita que la auditoría se finalice de acuerdo al plan).
35
NCh-ISO 19011
Los documentos relacionados con la auditoría se deberían retener o destruir por acuerdo
entre las partes participantes y en conformidad con los procedimientos del programa de
auditoría y los requisitos aplicables.
A menos que sea requerido por ley, el equipo auditor y la persona que gestiona el
programa de auditoría no deberían revelar los contenidos de documentos, u otra
información obtenida durante la auditoría, o el informe de auditoría, a otra parte sin la
aprobación explícita del cliente de la auditoría y, cuando sea apropiado, la aprobación del
auditado. Si se requiere la divulgación de los contenidos de un documento de auditoría, se
les debería avisar tan pronto como sea posible al cliente de la auditoría y al auditado.
a) determinar la competencia del personal de auditoría para cumplir con las necesidades
del programa de auditoría;
36
NCh-ISO 19011
d) realizar la evaluación.
El resultado del proceso de evaluación debería proporcionar una base para lo siguiente:
Los auditores deberían desarrollar, mantener y mejorar sus competencias a través del
desarrollo profesional continuo y la participación regular en auditorías (ver 7.6).
En 7.4 y 7.5 se describe un proceso para evaluar auditores y líderes de equipos auditores.
Los auditores y líderes de equipos auditores se deberían evaluar frente a los criterios
establecidos en 7.2.2 y 7.2.3.
7.2 Determinación de la competencia del auditor para cumplir las necesidades del
programa de auditoría
7.2.1 Generalidades
- otros requisitos, tales como aquellos impuestos por organismos externos, cuando
corresponda;
Esta información se debería comparar con la que se lista en 7.2.3.2, 7.2.3.3 y 7.2.3.4.
37
NCh-ISO 19011
Los auditores deberían poseer las cualidades necesarias que les permitan actuar de
acuerdo con los principios de auditoría según se describe en cláusula 4. Los auditores
deberían mostrar un comportamiento profesional durante la ejecución de las actividades
de auditoría, además de ser:
- actuar con fortaleza, es decir, capaz de actuar responsable y éticamente, aunque estas
acciones puedan no siempre ser populares y a veces den como resultado desacuerdos
o confrontaciones;
- colaborador, es decir, interacción eficaz con otros, incluyendo a los miembros del
equipo auditor y personal del auditado.
7.2.3.1 Generalidades
Los auditores deberían poseer los conocimientos y habilidades necesarias para lograr los
resultados previstos de las auditorías que se espera lleven a cabo. Todos los auditores
deberían poseer los conocimientos y competencias genéricas y también se debería esperar
que posean alguna disciplina y conocimientos y habilidades específicos del sector. Los
líderes de equipos auditores deberían tener conocimientos y habilidades adicionales
necesarias para proporcionar liderazgo al equipo auditor.
38
NCh-ISO 19011
39
NCh-ISO 19011
- contratación y responsabilidad.
No es necesario para cada auditor del equipo auditor tener la misma competencia; sin
embargo, la competencia global del equipo auditor necesita ser suficiente para lograr los
objetivos de la auditoría.
40
NCh-ISO 19011
a) equilibrar las fortalezas y debilidades de los miembros individuales del equipo auditor;
b) desarrollar una relación de trabajo armoniosa entre los miembros del equipo auditor;
d) representar al equipo auditor durante las comunicaciones con la persona que gestiona
el programa de auditoría, el cliente de la auditoría y el auditado;
Los auditores que pretenden participar como miembros de un equipo auditor en auditorías
de sistemas de gestión que tratan múltiples disciplinas deberían tener la competencia
necesaria para auditar al menos una de las disciplinas del sistema de gestión y un
entendimiento de la interacción y sinergia entre los distintos sistemas de gestión.
Los líderes de equipos auditores que realizan auditorías de sistemas de gestión que tratan
múltiples disciplinas deberían entender los requisitos de cada una de las normas de
sistemas de gestión y reconocer los límites de sus conocimientos y habilidades en cada
una de las disciplinas.
Los conocimientos y habilidades del auditor se pueden adquirir utilizando una combinación
de lo siguiente:
El líder de un equipo auditor debería haber adquirido experiencia adicional en auditoría para
desarrollar los conocimientos y habilidades que se describen en 7.2.3. Esta experiencia
adicional debería haber sido adquirida trabajando bajo la dirección y orientación de un líder
de equipo auditor distinto.
42
NCh-ISO 19011
- se debería utilizar una combinación de métodos para asegurar un resultado que sea
objetivo, consistente, justo y confiable.
Los auditores y los líderes de equipos auditores deberían mejorar continuamente sus
competencias. Los auditores deberían mantener sus competencias de auditoría a través de
la participación regular en auditorías de sistemas de gestión y desarrollo profesional
continuo. El desarrollo profesional continuo involucra la mantención y mejoramiento de la
competencia. Esto se puede lograr a través de medios tales como experiencia laboral
adicional, formación, estudio privado, entrenamiento, asistencia a reuniones, seminarios y
conferencias u otras actividades pertinentes.
- la práctica de la auditoría;
44
NCh-ISO 19011
Anexo A
(Informativo)
A.1 Generalidades
- peligros potenciales y otros factores del lugar de trabajo que afectan la seguridad;
45
NCh-ISO 19011
NOTA - Para información adicional, ver el proyecto de norma ISO DIS 39001 desarrollado por ISO/TC 241
sobre sistemas de gestión de la seguridad del tráfico por carretera.
- terminología ambiental;
- gestión de recursos naturales (por ejemplo, combustibles fósiles, agua, flora y fauna,
suelo);
- diseño ambiental;
46
NCh-ISO 19011
- manejo de productos;
NOTA - Para información adicional, ver las normas desarrolladas por ISO/TC 207 sobre gestión ambiental.
NOTA - Para información adicional, ver las normas desarrolladas por ISO/TC 176 sobre gestión de la calidad.
- análisis de muestras de los registros creados en los procesos del negocio. Las
características clave de los registros, sistemas de registros, procesos y controles de
los registros;
- evaluación del riesgo (por ejemplo, evaluación de los riesgos a través de fallas al
generar, mantener y controlar adecuadamente los registros de los procesos del
negocio de la organización);
48
NCh-ISO 19011
NOTA - Para información adicional, ver las normas desarrolladas por ISO/TC 46/SC 11 sobre gestión de los
registros.
49
NCh-ISO 19011
NOTA - Para información adicional, ver las normas desarrolladas por ISO/TC 8, ISO/TC 223 e ISO/TC 247
sobre gestión de la recuperación, protección, preparación y continuidad.
50
NCh-ISO 19011
NOTA - Para información adicional, ver las normas desarrolladas por ISO/IEC JTC 1/SC 27 sobre gestión de
la seguridad de la información.
- identificación del peligro, incluyendo los factores que afectan el desempeño personal
en el lugar de trabajo (tales como los factores físicos, químicos y biológicos, como
así también de género, edad, discapacidad u otros factores fisiológicos, psicológicos
o de la salud);
- métodos para vigilar la exposición y evaluar los riesgos para la seguridad y salud en
el trabajo (incluyendo las que se derivan de los factores humanos antes mencionados
o relativos a la higiene del trabajo) y las estrategias relacionadas para eliminar o
minimizar tales riesgos;
51
NCh-ISO 19011
NOTA - Para información adicional, ver las normas desarrolladas por grupo de proyecto OHSAS sobre gestión
de la seguridad y salud en el trabajo.
52
NCh-ISO 19011
Anexo B
(Informativo)
La ejecución de una auditoría implica una interacción entre las personas con el sistema
de gestión que se audita y la tecnología utilizada para realizar la auditoría. La Tabla B.1
proporciona ejemplos de métodos de auditoría que se pueden utilizar, individualmente o
en combinación, con el fin de lograr los objetivos de la auditoría. Si una auditoría implica
el uso de un equipo auditor con varios miembros, se pueden utilizar simultáneamente los
métodos in situ y a distancia.
53
NCh-ISO 19011
Las actividades de auditoría in situ se llevan a cabo en la ubicación del auditado. Las actividades de auditoría a
distancia se llevan a cabo en cualquier lugar distinto de la ubicación del auditado, sin tener en cuenta la distancia.
Las actividades de auditoría interactivas implican interacción entre el personal del auditado y el equipo auditor.
Las actividades de auditoría no interactivas no implican interacción con personas que representan al auditado,
pero implican interacción con equipos, instalaciones y documentación.
- correcta (el contenido se ajusta a otras fuentes confiables, tales como normas y
reglamentos);
54
NCh-ISO 19011
NOTA - La revisión documental puede dar una indicación de la eficacia del control de los documentos dentro
del sistema de gestión del auditado.
B.3 Muestreo
B.3.1 Generalidades
El riesgo asociado con el muestreo es que las muestras pueden ser no representativas
de la población de la cual se seleccionaron, y por lo tanto la conclusión del auditor
puede ser sesgada y distinta de la que se podría lograr si toda la población fuese
examinada. Se pueden presentar otros riesgos dependiendo de la variabilidad dentro de
la población a ser muestreada y el método escogido.
55
NCh-ISO 19011
Las auditorías pueden utilizar muestreo basado en el juicio (ver B.3.2) o muestreo
estadístico (ver B.3.3).
- complejidad de los requisitos (incluyendo los requisitos legales) para lograr los
objetivos de la auditoría;
56
NCh-ISO 19011
- el tamaño de la organización;
57
NCh-ISO 19011
Los documentos de trabajo deberían ser adecuados para abordar todos aquellos
elementos del sistema de gestión dentro del alcance de la auditoría y pueden ser
proporcionados en cualquier medio.
- información sobre los planes de muestreo del auditado y sobre los procedimientos
para el control del muestreo y los procesos de medición;
- simulación y modelado.
58
NCh-ISO 19011
a) planear la visita:
b) actividades in situ:
- no tocar o manipular los equipos, a menos que esté permitido explícitamente, aun
siendo competente o con licencia;
- si ocurre un incidente durante la visita in situ, el líder del equipo auditor debería
revisar la situación con el auditado y, si es necesario, con el cliente de la
auditoría y definir si la auditoría se debería interrumpir, recalendarizar o continuar;
59
NCh-ISO 19011
- cuando se toman notas, evitar recopilar información personal a menos que sea
requerido por los objetivos o criterios de la auditoría.
- las entrevistas se pueden iniciar pidiendo a las personas que describan su trabajo;
60
NCh-ISO 19011
- tamaño de la muestra;
- descripción de la no conformidad;
- evidencia de auditoría;
Durante una auditoría, es posible identificar hallazgos relacionados con múltiples criterios.
Cuando un auditor identifica un hallazgo que se vincula a un criterio en una auditoría
combinada, el auditor debería considerar el posible impacto sobre los criterios
correspondientes o similares de los otros sistemas de gestión.
61
NCh-ISO 19011
Anexo C
(Informativo)
[8] ISO 22000 Food safety management systems - Requirements for any
organization in the food chain.
[15] ISO 28000 Specification for security management systems for the
supply chain.
[16] ISO 30301 Information and documentation - Management system for
records - Requirements.
62
NCh-ISO 19011
La equivalencia de las Normas Internacionales señaladas anteriormente con Norma Chilena, y su grado
de correspondencia es el siguiente:
1) En preparación.
63
NCh-ISO 19011
(conclusión)
Norma Internacional Norma nacional Grado de correspondencia
ISO/IEC 27000 No hay -
ISO/IEC 27001 NCh-ISO 27001.Of2009 La Norma Chilena NCh-ISO 27001.Of2009 es
una adopción idéntica de la versión en inglés de
la Norma Internacional ISO/IEC 27001:2005.
ISO/IEC 27002 NCh-ISO 27002.Of2009 La Norma Chilena NCh-ISO 27002.Of2009 es
una adopción idéntica de la versión en inglés de
la Norma Internacional ISO/IEC 27002:2005.
ISO/IEC 27003 No hay -
ISO/IEC 27004 No hay -
ISO/IEC 27005 NCh-ISO 27005.Of2009 La Norma Chilena NCh-ISO 27005.Of2009 es
una adopción idéntica de la versión en inglés de
la Norma Internacional ISO/IEC 27005:2008.
ISO 28000 No hay -
ISO/IEC 30301 No hay -
ISO 31000 No hay -
ISO 39001 No hay -
ISO 50001 No hay -
ISO Guide 73:2009 No hay -
64
NCh-ISO 19011
Anexo D
(Informativo)
65