Unidad 6 – Clase 2 Auditoria Interna

Auditoria Interna
Unidad 6 – Clase 2 Auditoria Interna

CONTENIDO:

1. AUDITORÍA INTERNA
1.1. Programa de auditoria
1.2. Cronograma de Auditoria
1.3. Plan de Auditoria
1.4. Listados de Auditoria
1.5. Hoja de Hallazgos
1.6. Informe final de auditoria

2. PLANEACION
2.1. Instrumento
3. EJECUCION
3.1. Política de Seguridad de la Información
3.2. Instrumento
3.3. Reunión de apertura
3.4. Durante la Auditoria
3.5. Reunión de Cierre

4. VERIFICACION
4.1. Objetivo
4.2. Instrumento
4.3. Evaluación de auditores

5. ACTUACION
5.1. Objetivo.
5.2. Instrumento

6. BIBLIOGRAFIA

La competencia por adquirir en el desarrollo del presente modulo es conocer una

auditoria interna y sus diferentes componentes.
Unidad 6 – Clase 2 Auditoria Interna

1. AUDITORIA INTERNA.

La Auditoria en un sistema de gestión, es un instrumento metodológico el cual

permite evaluar la situación actual de un proceso. Inicia con un proceso de
diagnóstico el cual se usa para determinar los recursos necesarios y el tiempo
que se empleara. Después de realizar la auditoria se debe emitir un informe, con
sugerencias y recomendaciones de mejoras garantizando la optimización del
proceso o sistema de gestión que se ha auditado. La auditoría se compone de 4
fases, las cuales son:

• Diagnóstico del estado actual del sistema de gestión.

• Planeación de la auditoria
• Ejecución de la auditoria
• Elaboración de informes de la auditoria

Figura1. Código de barras de auditoría interna.

Fuente: pichetw (S.F.) Fotografía. Disponible URL:
https://previews.123rf.com/images/pichetw/pichetw1510/pichetw151000027/47013032-
c%C3%B3digo-de-barras-de-auditor%C3%ADa-interna-con-el-fondo-de-acero-inoxidable.jpg
Unidad 6 – Clase 2 Auditoria Interna

Según lo comentado en el material elaborado por Jiménez1, la fundamentación

está basada en la guía de IRCA (Registro Internacional de Auditores Certificados
por sus siglas en inglés) la cual está relacionada con el protocolo de auditoria, los
tiempos establecidos para corregir una desviación detectada en auditoria y la
manera de redactar las no conformidades. Así mismo se emplea la guía de la
organización IAF (Foro Internacional de Acreditación) la cual provee las directrices
para los auditores encargados de realizar las auditorias de otorgamiento y
mantenimiento.

1.1. Programa de auditoría.

Este programa es un documento del área de control interno y auditoría.
Generalmente se describen las fechas de las auditorias y las normas o requisitos
que se auditaran, además se definen sus objetivos y alcances. Se realiza
anualmente mediante un planificador de las actividades. Debe cubrir el tamaño de
la organización en el alcance, establecer prioridades, tener en cuenta su
naturaleza, complejidad y madurez de los sistemas de gestión que existen dentro
de la organización. Con el desarrollo de cada programa, el auditor adquiere
control en el desarrollo, permitiendo determinar el tiempo de ejecución de los
procedimientos para realizar una comparación con los estimados, lo cual se usa
como lección aprendida para otras auditorías.

1.2. Cronograma de Auditoria

Este es un documento del área de control interno y auditoría donde se describen
los procedimientos a auditar, su fecha, hora y lugar, además de los participantes o
autores de la auditoria. Contiene características, objetivos, alcances y
metodología, además de la documentación generada para la auditoria por el
auditor líder.

1
Hernán Jiménez & Asociados. División de Consultoría. Serie de Manuales Técnicos. Auditoria Interna
Unidad 6 – Clase 2 Auditoria Interna

1.3. Plan de Auditoria

Es un documento donde se especifica el proceso auditado, el objetivo y su
alcance, además los criterios a tener en cuenta, así mismo el método y el grado
de muestreo suficiente para obtener las evidencia de la auditoria, adicional
presenta qué información es necesaria y que documentación debe estar
disponible al equipo auditor. Define el equipo auditor y los auditados, además un
registro de las actividades, plasmado en un documento que se diligencia desde el
inicio de la auditoria, para llegar a acuerdos entre las partes que intervienen.

1.4. Listados de Auditoria

Es un documento o lista de chequeo que cambia dependiendo del criterio de
auditor líder, sirve como herramienta para el control de la auditoria, el registro de
hallazgos y las conclusiones. Es recomendable crear una lista para cada
proceso auditado y no debe superar las 20 preguntas o controles en cada listado.

Este listado se crea después de tener el plan, el cronograma, el objetivo y el

alcance de la misma. Las preguntas deben apuntar a la verificación del
cumplimiento de un requisito. La lista sirve para realizar una autoevaluación de
parte de los funcionarios de auditoria interna, o ser previamente revisada por un
ente externo. Estas listas no abarcan todas las situaciones, por lo que se requiere
que el equipo realice un análisis previo para sugerir las mejores prácticas.

1.5. Hoja de Hallazgos.

Es un documento donde se especifican los hallazgos encontrados y sus atributos.
Sirve como soporte para realizar las conclusiones y recomendaciones en el
informe final de auditoria. Con este documento se profundiza y se caracterizan
las No Conformidades, generando opciones de mejora. Favorece a una definición
previa del análisis, que busca llegar a una acción preventiva o correctiva. Estas no
son establecidas por el auditor sino del dueño del proceso o ambiente auditado.
Unidad 6 – Clase 2 Auditoria Interna

Posterior a la auditoria y entrega del informe, se hace un seguimiento de las

acciones implementadas buscando mitigar la No Conformidad con esta
herramienta.

1.6. Informe final de auditoria.

Es el documento final donde se refleja el estado de la organización, a partir de los
criterios de auditoria definidos en el inicio de la auditoria. Detalla las
recomendaciones y conclusiones del equipo auditor y si se realiza la auditoria
interna, establece los plazos para levantar las No Conformidades encontradas.

Este documento no debe ser técnico porque están dirigido a los directivos y
gerentes de la organización y gerentes y su presentación se deben dar en
formatos gráficos dinámicos, tablas y cuadros que permitan concluir los datos
encontrados en el reporte. Como soporte se debe dejar documentado de forma
técnica la evolución de la auditoria; se usa la hoja de hallazgos y el reporte final
de cumplimiento de la auditoria.

Según la información y los formatos suministrados por Jiménez2, un plan de

auditoria interna, contempla las siguientes fases:

• Planeación
• Ejecución
• Verificación
• Actuación

2
Hernán Jiménez & Asociados División de Consultoría Serie de Manuales Técnicos. Doc406. Auditoria
Interna.
Unidad 6 – Clase 2 Auditoria Interna

2. PLANEACION.

La planeación de la auditoria es importante para emplear adecuadamente el

tiempo asignado a cada proceso de manera eficiente, buscando realizar una
revisión sistemática confiable y encontrar oportunidades de mejora en su sistema
de gestión. Se desea realizar una revisión detallada del grado de implementación
del sistema de gestión integral, de una organización dentro de un tiempo límite
relativamente corto de tiempo, empleando técnicas de muestreo, rastreo de
registros, observación de la operación y entrevistas a personal operativo y
directivo. Se realiza una valoración del sistema de gestión de una organización, a
partir de los conceptos del Autor Hoyle, relacionado en la bibliografía, quien por su
experiencia ha logrado convertir el concepto de auditorías en asesorías de
mejoramiento, más que en inspecciones para detectar fallas en la disciplina de las
organizaciones.

2.1. Instrumento.

El instrumento, es un proceso de auditoría, el cual requiere una buena planeación,

a partir del comportamiento y su nivel de importancia, para realizar un programa
anual con varias auditoras, enfocado en los procesos críticos. Se debe realizar
una convocatoria. Posteriormente se sigue un protocolo basado en la norma
ISO19011, buscando detectar mejoras para realizar en los siguientes días, el que
requiere de un seguimiento y un cierre con el informe a la dirección. Algunas
competencias que debe tener el auditor son:

• Establecer y comprender los riesgos del negocio

• Plantear un plan de auditoría, con criterios claros, identificando los riesgos
y requisitos de las partes interesadas.
• Tener empatía con el personal de la empresa auditada, para trabajar en
forma colaborativa. No de buscar culpables.
Unidad 6 – Clase 2 Auditoria Interna

• Explicar en forma positiva los resultados de las evaluaciones y proponer

acciones correctivas.
• Solicitar a las autoridades de la empresa la presentación de los riesgos y
conseguir soportes relacionados para incluirlos en su informe de auditoría.
• Hacer seguimiento a los compromisos y a los tiempos establecidos para las
acciones correctivas que se detectaron durante la auditoría.
• Reunir información requerida empleado técnicas apropiadas: entrevista,
revisión de datos, revisión de documentos y observación.
• Seleccionar muestras confiables y mantenerse focalizado en los objetivos y
no pierde de vista los requisitos.
• Determinar el nivel de robustez y cumplimiento de los procesos que posee
la organización.
• Llegar a conclusiones sobre la efectividad del sistema.
• Tener capacidad de comunicarse en forma concreta, técnica, sin juicios de
valor, se hace entender.

Cuando la organización cuenta con sistemas de gestión, debe tener los

documentos requeridos para atender los requisitos de las normas en una auditoria
de certificación o de mantenimiento. Los documentos e información son:

• Procedimiento de auditoria
• Programa de auditoria interna anual
• Plan de auditoría
• Notas de campo
• Informe a la dirección
• Registro de no conformidad
• Evaluación de los auditores
Unidad 6 – Clase 2 Auditoria Interna

Existe un formato denominado plan de auditoria, que describe el empleo del

tiempo y el día asignado en el programa para realizar la auditoria.

DOCUMENTO DEL SISTEMA DE GESTIÓN INTEGRAL ISO9001:9.2

ISO14001:9.2

ISO27001:9.2

PLAN DE AUDITORIA Versión 1.02

PROCESO: Procesos a ser auditados FECHA: 22/08/2018

CRITERIO AUDITORIA: ISO9001:2015 e ISO14001:2015

HORA ACTIVIDAD CARGO

Formato 1. Plan de Auditoria

Fuente: Hernán Jiménez & Asociados. Manual Técnico. Doc406

3. EJECUCION.

3.1. Política de Seguridad de la Información

Se debe revisar la política de seguridad de la información existente. Algunos
riesgos a los que se enfrentan deben llevar a unas directrices que orienten al uso
adecuado de ciertas destrezas tecnológicas, evitando el uso indebido, que genera
problemas a los bienes, servicios y operaciones tecnológicas.

El alcance debe extenderse a toda la organización, a partir del análisis de riesgos

y vulnerabilidades existentes.

El nivel de detalle, se da a partir de la ISO 27001:2013, la cual establece un

Sistema de Gestión de Seguridad de la Información. Se desarrolla a partir del
ciclo PHVA, el cual significa “PLANEAR” a partir de los puntos débiles y fortalezas
de los activos de la organización, “HACER” realizando las medidas para proteger
los activos identificados, “VERIFICAR” garantizando que las medidas sirven para
proteger los activos. Se deben establecen métricas y evaluaciones que permitan
Unidad 6 – Clase 2 Auditoria Interna

conocer el estado de la seguridad de la información y de los activos informáticos,

y “ACTUAR” que hace énfasis al detectar que no se está cumpliendo las
medidas, contramedidas o controles sobre los activos y recursos. Además si estas
acciones han evolucionado, se deben tomar nuevas medidas buscando garantizar
la seguridad de la información y los activos informáticos.

La existencia de una política de seguridad de la información no garantiza

seguridad de la información, ya que la política es un compendio de direcciones y
controles de seguridad generados por la alta dirección, pero para que sea
efectiva, se debe realizar un seguimiento y evaluación de la dirección.

La ejecución de la auditoria requiere que el auditor desarrolle habilidades

comunicativas, de observación y de lectura muy rápida para poder realizar
entrevistas, observar las instalaciones y revisar los registros (información
documentada) suministrada por los entrevistados.

3.2. Instrumento.
En esta unidad se presenta en forma detallada cada uno de los pasos para poder
llevar a cabo la auditoria interna en los sitios de trabajo de la organización. Se
inicia el protocolo de la auditoria con la reunión de apertura.

3.3. Reunión de Apertura

La primera actividad a realizar en la ejecución del plan de auditoria, es una
reunión, en la cual se da por iniciada la auditoria y se dejan claros los puntos más
relevantes; la formalidad y complejidad de esta reunión depende del tamaño,
actividad y diversidad de la empresa y el alcance de la auditoria. Está reunión
debe estar presidida por el auditor líder, con la participación del cliente de la
auditoria, cuando se considere necesario con algunos responsables de las
funciones y procesos a auditar y con quienes conforman el equipo auditor.
 Unidad 6 – Clase 2 Auditoria Interna

3.4. Durante la Auditoria

Durante la auditoria se diligencia el formato de notas de campo en tiempo real,
delante de los auditados, en las columnas tres (“notas del auditor”) y la columna
cuatro (“NCF”) en caso de que se detecte una no conformidad.

DOCUMENTO DEL SISTEMA DE GESTIÓN INTEGRAL ISO9001:9.2

ISO14001:9.2

ISO27001:9.2

NOTAS DE CAMPO Versión 2.01

EMPRESA: Fecha: Auditor:

OBJETIVO DE LA AUDITORIA:

CRITERIO DE AUDITORIA:

PROCESO: NUMERO AUDITORIA:

REQUISITO PREGUNTAS NOTAS DEL AUDITOR NCF

NORMA

Personas entrevistadas / cargo:

Formato 2. Notas de Campo

Fuente: Hernán Jiménez & Asociados. Manual Técnico. Doc406
 Unidad 6 – Clase 2 Auditoria Interna

3.5. Reunión de cierre

Al finalizar la recolección de evidencias y antes de presentar el informe de
auditoría, se debe realizar una reunión de cierre con el principal objetivo de
presentar los hallazgos y conclusiones de la auditoria.

Es importante el uso de un formato para redactar la no conformidad detectada y

registrada en las notas de campo como NCF.

DOCUMENTO DEL SISTEMA DE GESTIÓN INTEGRAL ISO9001:9.2

ISO14001:9.2

NO CONFORMIDAD Versión 2.02

ISO27001:9.2

Proceso: Consecutivo X-XX

Fecha: 22/08/2018

Reporte de la No Conformidad

Clasificación Mayor Menor X Obs.

Firmado: Fecha: 22/08/2018

Análisis de Causas

Firmado : Fecha

Acción Correctiva Propuesta

Revisión de la Acción Correctiva (Seguimiento)

Cumplido SI No Nueva Fecha

Eficacia de la Solución:

Firmado: Fecha:

Formato 3. No Conformidad
Fuente: Hernán Jiménez & Asociados. Manual Técnico. Doc406
Unidad 6 – Clase 2 Auditoria Interna

4. VERIFICACION
4.1. Objetivo
Durante los días de auditoria es necesario dejar un tiempo para poder
analizar los resultados alcanzados y las fallas encontradas en la revisión de
registros. De esta manera pueden aparecer patrones de fallas en
momentos en los cuales no se diligencian los registros y después se
diligencia la plana, es decir se completa información para mostrar a los
auditores y no como soporte de las actividades realizadas.

4.2. Instrumento.
Para lograr este objetivo es necesario manejar patrones de series de
tiempo que permitan determinar si las fallas detectadas cumplen algún
patrón o si se trata de eventos fortuitos.

4.3. Evaluación de Auditores

Por otra parte, los auditores son evaluados para poder determinar su
competencia y si es necesario volver a entrenarlo en alguna destreza
específica sobre la cual pueda estar presentando falencias.

REGISTRO DEL SISTEMA DE GESTIÓN INTEGRAL ISO9001:9.2

ISO27001:9.2

ISO14001:9.2

CALIFICACIÓN DE AUDITORES INTERNOS Versión 1.08

INTEGRALES
CONTROLADO

AUDITORIA INTERNA NUMERO: FECHA:

NOMBRE DEL AUDITOR:

ELEMENTO CONCEPTO EVALUADO PESO CALIFICACIÓN PONDERADO

Unidad 6 – Clase 2 Auditoria Interna

REGISTRO DEL SISTEMA DE GESTIÓN INTEGRAL ISO9001:9.2

ISO27001:9.2

ISO14001:9.2

CALIFICACIÓN DE AUDITORES INTERNOS Versión 1.08

INTEGRALES
CONTROLADO

TOTAL

CRITERIOS DE EVALUACIÓN CALIFICACIÓN

Excelente 5

Bueno 4

Aceptable 3

Regular 2

Deficiente 1

GUÍA DE VALORACIÓN CALIFICACIÓN

4–5

3.0 – 3.9

2.9 – 2.0

1.9 – 0.0

COMENTARIOS DE CALIFICACIÓN:

Formato 4. Calificación Auditores Internos

Fuente: Hernán Jiménez & Asociados. Manual Técnico. Doc406
Unidad 6 – Clase 2 Auditoria Interna

5. ACTUACION

5.1. Objetivo
El informe a la dirección es el documento que se entrega a la alta dirección de la
empresa auditada y debe permite realizar acciones correctivas de alto valor
agregado para la organización, reduciendo fallas delante del cliente final y
disminuyendo costos de operación.

5.2. Instrumento
El informe a la dirección es un elemento que permite desarrollar mejoras
continuas al sistema de gestión integral de una empresa y a su vez debe permitir
a la alta dirección conocer la capacidad de su negocio para realizar mejoras a
adaptarse a los cambios.

Los auditores presentan el informe a la dirección en la reunión de cierre y por ello

es necesario ser muy específicos en las posibles mejoras del sistema de gestión
que puedan aportar valor agregado a la gerencia y nunca emplear la frase “la
norma lo exige”, lo cual para un gerente representa una exigencia obligatoria que
no está acorde con sus intereses. Pero si el informe se centra en posibles ahorros
reales de costos y formas de mejorar los ingresos de la organización, el equipo
auditor puede contar con el apoyo de la alta dirección para llevar a cabo los
cambios propuestos, pues para la alta dirección solamente resulta atractivo llevar
a cabo acciones con impacto financiero.

Si el informe se centra sobre registros no firmados, incumplimiento en el

diligenciamiento de formatos y fallas en el almacenamiento de archivos, el
sistema de gestión es despreciado por la alta dirección lo clasifican como algo
burocrático que no aporta valor, calificación que será muy difícil de cambiar en los
siguientes años. La idea por esta razón consiste en que el sistema de gestión de
Unidad 6 – Clase 2 Auditoria Interna

la empresa se encuentre asociado al plan estratégico de la organización y a sus

acciones, planes de mejora de productos, servicios, ampliación de mercados y
demás acciones gerenciales relacionadas con las actividades de la misión de la
empresa. El certificado debe ser visto como una herramienta para conseguir
nuevos clientes, mejorar el posicionamiento en los mercados.

El siguiente es el formato estándar empleado por las organizaciones certificadoras

de todo el mundo para presentar el informe a la dirección, por eso podemos
afirmar que es un formato estandarizado y que no ha sido modificado en los
últimos 20 años porque representa un resumen practico de clausura de los
resultados alcanzados, sin entrar en detalles que no interesan a la alta dirección.
Cuando hay varios auditores en una organización, uno de ellos debe asumir el rol
de auditor líder de la auditoria o coordinador. Esa persona es quien lee y explica
los resultados encontrados en el ejercicio de la auditoria.

DOCUMENTO DEL SISTEMA DE GESTIÓN INTEGRAL ISO9001:9.2

ISO14001:9.2

ISO45001:9.2

INFORME A LA DIRECCIÓN Versión 2.01

OBJETIVO DE LA AUDITORIA

CRITERIOS DE AUDITORIA

METODOLOGÍA EMPLEADA

FORTALEZAS DEL SISTEMA DE GERENCIA INTEGRAL

Unidad 6 – Clase 2 Auditoria Interna

OBSERVACIONES

NO CONFORMIDADES

DISCREPANCIAS Y PENDIENTES

CARGO NOMBRE PROCESO

DECLARACIÓN DE CONFIDENCIALIDAD

Formato 5. Informe a la Dirección

Fuente: Hernán Jiménez & Asociados. Manual Técnico. Doc406

**Se recomienda complementar la lectura de estas cartillas con los casos y los
ejercicios del Manual Técnico. Doc406 realizado por Hernán Jiménez & Asociados
Unidad 6 – Clase 2 Auditoria Interna

6. BIBLIOGRAFIA

• Ángel Pola Maseda. ISO9000 y las auditorías internas del sistema de calidad.
Metodología. Editorial EL Management en el bolsillo. España, Barcelona. 1997

• Ángel Pola Maseda. ISO9000 y las auditorías internas del sistema de calidad.
Documentación práctica. Ediciones Granica S.A.: Colección de bolsillo.
España, Barcelona. 1997.

• Bureau Veritas. Curso de transición a la norma ISO9001:2015 para auditores

certificados por IRCA. Numero IRCA 9150. A17897) Londres, febrero 2016.

• Chevrontexaco. Excelencia Operativa. Guía para la verificación de procesos.

OE process review. Traducido en Buenos Aires, Abril de 2004.

• Chevrontexaco. Corporation Auditing Department. Standards & Procedures for

auditing. 2004.

• Chevrontexaco. Corporation Auditing Department. Business Process and

Application Auditing. 2004.
• Coma, Paco. La gestión basada en procesos. Cómo mejorar el desempeño de
tu empresa. Aprenden las nociones básicas para implantar la gestión por
procesos en tu compañía. España, 2016

• David Hoyle. ISO9000. Manual de valoración del sistema de calidad. ISO9000.

Editorial Paraninfo, 1998.

• Exxon – Mobil. Control Integrity Management Systems. Programa de auditoria

por procesos del Operacional Integrity Management System SHE, Safety. 2006.

• ISO. Norma ISO19011. Publicaciones de la organización ISO, fuerza de tarea

al español. Ginebra, Suiza 2011.

• Icontec, Manual de habilidades para auditoria. Una introducción básica a la

panificación y realización de auditorías de sistemas de gestión en las
organizaciones. Icontec, ISBN 958-9383-37-8. Bogotá, Colombia, Octubre de
2010

• Jiménez, Hernán. Guía para la implementación de sistemas de gestión de la

calidad basado en la norma ISO9001. CD con 68 ejemplos y guías para
implementar, mantener, mejorar y diseñar sistemas de gestión para varios
sectores. Publicación actualizada cada seis meses. Para copias puede
Unidad 6 – Clase 2 Auditoria Interna

contactarnos en el teléfono 313-3210580 de Bogotá. HJ & Asociados, Bogotá,

agosto de 2018.

• Mallen, David y Colina Christine. Manual de habilidades de auditoría. Icontec,

2003.

• INSTITUTO COLOMBIANO DE NORMALIZACION Y CERTIFICACION.

Tecnología de la información. Técnicas de Seguridad. Sistemas de Gestión de
Seguridad de la Información (SGSI). Requisitos. NTC-ISO/IEC 27001:2005. Bogotá
D.C. El instituto 37p.

• INSTITUTO COLOMBIANO DE NORMALIZACION Y CERTIFICACION. Tecnología de

la información. Técnicas de Seguridad. Sistemas de Gestión de Seguridad de la
Información (SGSI). Requisitos. NTC-ISO/IEC 27001:2013. Bogotá D.C. El instituto
26p.

DIRECCIONES WEB

• https://www.youtube.com/watch?v=Bsdql3qR1Ek

• http://www.captio.net/blog/identificar-y-elaborar-el-mapa-de-procesos-de-la-
empresa

• http://www.iaf.nu/articles/ISO_9001_Auditing_Practices_Group/37 (Guía
auditoria)