ISO (la Organización Internacional de Normalización) es una federación

mundial de
organismos nacionales de normalización (organismos miembros de ISO).
El trabajo de
preparación de las normas internacionales normalmente se realiza a
través de los comités
técnicos de ISO.

Las principales diferencias comparada con la primera edición son:

— Se ha ampliado el alcance de auditoría a sistemas de gestión de
calidad y ambiental a
la auditoría de cualquier sistema de gestión;
— Se ha aclarado la relación entre ISO 19011 e ISO/IEC 17021;
— Se han introducido métodos remotos de auditoría y el concepto de
riesgo;
— Se ha adicionado la confidencialidad a los principios de auditoría;
— Las cláusulas 5, 6 y 7 han sido reorganizadas;

Auditoría Interna: A veces llamada auditoría de primera parte.

Auditoría Externa
Auditoría a proveedores: A veces llamada auditoría de segunda parte.

Auditorías de 3ra parte

Para propósitos legales,regulatorios y similares. Para certificación

Se busca que esta Norma Internacional sea aplicable a un amplio rango

de usuarios
potenciales, incluyendo auditores, organizaciones que están
implementando sistemas de
gestión, y organizaciones que necesitan realizar auditorías a sus
sistemas de gestión por
razones contractuales o regulatorias.

Directrices para auditoría de sistemas de gestión

1 Alcance: Esta es aplicable a todas las organizaciones que requieren
llevar a cabo auditorias internas o externas a sistemas de gestión o
manejar un programa de auditoría.
3 términos y Definiciones

auditoría
proceso sistemático, independiente y documentado para obtener
evidencias de la auditoría y evaluarlas de manera objetiva con el fin de
determinar la extensión en
que se cumplen los criterios de auditoría
NOTA 1 Las auditorías internas, denominadas en algunos casos como
auditorías de
primera parte, se realizan por, o en nombre de, la propia organización,
para la revisión por
la dirección y con otros fines internos.

NOTA 2 Las auditorías externas incluyen lo que se denomina auditorías

de segunda y tercera parte.
Las auditorías de segunda parte se llevan a cabo por partes que tienen
un interés en la organización, tal como los clientes, o por otras personas
en su nombre.
Las auditorías de tercera parte se llevan a cabo por organizaciones
auditoras independientes y externas, tales como aquellas que
proporcionan el registro o la certificación de conformidad.

NOTE 3 auditoría combinada. Cuando se auditan juntos dos o más

sistemas de gestión de diferentes disciplinas (ej. calidad, ambiental,
seguridad y salud ocupacional

NOTA 4 auditoría conjunta. Cuando dos o más organizaciones cooperan

para auditar a un único auditado

Criterios de auditoría
Grupo de políticas, procedimientos o requisitos usados como referencia
y contra los cuales se compara la evidencia de auditoría
si los criterios de auditoría son legales, se utilizan a menudo los
términos “cumple” o “no cumple” en un hallazgo de auditoría

evidencia de la auditoría
Registros, declaraciones de hechos o cualquier otra información que son
pertinentes para los criterios de auditoría y que son verificables.

hallazgos de la auditoría
Resultados de la evaluación de la evidencia de la auditoría recopilada frente a
los
criterios de auditoría
NOTA 1 Los hallazgos de auditoría indican conformidad o no
conformidad.
NOTA 2 Los hallazgos de auditoría pueden llevar a la identificación de
oportunidades de mejora o al registro de mejores prácticas.
NOTA 3 Si los criterios de auditoría son seleccionados de requisitos
legales o de otra índole, los hallazgos de auditoría se denominan
Cumplimiento o Incumplimiento.

conclusiones de la auditoría
resultado de una auditoría , tras considerar los objetivos de la auditoría y
todos los
hallazgos de la auditoría

cliente de la auditoría
organización o persona que solicita una auditoría
NOTA 1 En el caso de una auditoría interna, el cliente de auditoría
también puede
ser el auditado o la persona que maneja el programa de auditoría. La
solicitud de
auditoría externa pude venir de diferentes fuentes tales como entes
reguladores, partes
contratantes o clientes potenciales.

auditado
organización que está siendo auditada

auditor
persona que lleva a cabo una auditoría
equipo auditor
uno o más auditores que llevan a cabo una auditoría, con el apoyo, si es
necesario, de expertos técnicos
NOTA 1 A un auditor del equipo auditor se le designa como líder del
mismo.
NOTA 2 El equipo auditor puede incluir auditores en formación.

experto técnico
persona que aporta conocimientos o experiencia específicos al equipo
auditor
Un experto técnico no actúa como un auditor (3.8) en el equipo auditor.

observador
persona que acompaña al equipo auditor pero no audita
NOTA 1 Un observador no es parte del equipo auditor y no influencia o
interfiere con la realización de la auditoría
NOTA 2 Un observador pude ser una persona del auditado, un regulador u
otra parte interesada que fue testigo de la auditoría

guía
persona nombrada por el auditado para asistir al equipo auditor

programa de auditoría
conjunto de una o más auditorías planificadas para un periodo de tiempo
determinado y dirigidas hacia un propósito específico.

alcance de la auditoría
extensión y límites de una auditoría
NOTA El alcance de la auditoría incluye generalmente una descripción
de las ubicaciones, las unidades de la organización, las actividades y los
procesos, así como el período de tiempo cubierto.

plan de auditoría
descripción de las actividades y de los detalles acordados de una
auditoría

riesgo
efecto de la incertidumbre en los objetivos

competencia
habilidad para aplicar conocimientos y habilidades para alcanzar los
resultados esperados

Sistema de gestión
Sistema para establecer políticas y objetivos y para alcanzar dichos
objetivos
NOTA Un sistema de gestión de una organización puede incluir
diferentes
sistemas de gestión, tales como sistema de gestión de calidad, un
sistema de gestión
financiero o un sistema de gestión ambiental.

Principios de auditoría
La auditoria se caracteriza por depender de varios principios. Éstos
deberían hacer de la
auditoría una herramienta eficaz y fiable en apoyo de las políticas y
controles de gestión,
proporcionando información sobre la cual una organización puede actuar
para mejorar su
desempeño.
a) Integridad: el fundamento del profesionalismo
Los auditores y la persona que maneja el programa de auditoría
deberían:
— llevar a cabo su trabajo con honestidad, diligencia y responsabilidad;
— observar y cumplir con todos los requisitos legales aplicables;
— demostrar su competencia durante el desarrollo del trabajo;
— llevar a cabo su trabajo de manera imparcial; es decir, ser justo e
imparcial en todos
sus negocios;
— ser sensible a cualquier influencia ejercida sobre su juicio durante el
curso de una
auditoría.

b) Presentación ecuánime: obligación de reportar con veracidad y exactitud

Los hallazgos, conclusiones e informes de la auditoría deberían reflejar
con veracidad y
exactitud las actividades de la auditoría.
La comunicación debería ser sincera, exacta, objetiva,clara y completa.

c) Debido cuidado profesional: la aplicación de diligencia y juicio al auditar

Los auditores deberían proceder con el debido cuidado, de acuerdo con
la importancia
de la tarea que desempeñan y la confianza depositada en ellos por el
cliente de la
auditoría y por otras partes interesadas.

d) Confidencialidad: seguridad de la información

Los auditores deberían ejercitar la discreción en el uso y protección de
la información
adquirida en el curso de sus labores.

e) Independencia: la base para la imparcialidad de la auditoría y la

objetividad de las
conclusiones de la auditoría
Los auditores deberían ser independientes de la actividad que es
auditada mientras
esto sea posible, y en todo caso actuarán de manera tal que estén libres
de sesgo y
conflicto de intereses.

f) Enfoque basado en la evidencia: el método racional para alcanzar

conclusiones de
auditoría fiables y reproducibles en un proceso de auditoría sistemático
Gestión de un programa de auditoría

5.1 Generalidades
el programa de auditoría debería incluir la información y recursos
necesarios para organizar y conducir las auditorías de manera eficiente
dentro de los tiempos
especificados y también puede incluir lo siguiente:
— objetivos para el programa de auditoría y auditorías individuales;
— alcance/número/tipos/duración/ubicación/cronograma de las
auditorías;
— procedimientos del programa de auditoría;
— criterios de auditoría;
— métodos de auditoría;
— selección de equipos auditores;
— recursos necesarios, incluyendo viajes y hospedaje;
— procesos para manejo de confidencialidad, seguridad de la
información, salud y
seguridad y otros temas similares.
La implementación del programa de auditoría debería ser monitoreado y
medido para
asegurar que se han alcanzado los objetivos trazados.
5.2 Establecer los objetivos del programa de auditoría
La alta gerencia debería asegurar que se hayan establecido los objetivos
del programa de
auditoría de manera tal que sirvan para dirigir la planeación de las
auditorías y para
conducirlas y debería asegurar que el programa de auditoría está
efectivamente
implementado.
Estos objetivos pueden estar basados en consideración a lo siguiente:
a) prioridades de la gerencia;
b) intenciones comerciales y de otros negocios;
c) características de procesos, productos y proyectos y cualquier
cambio en estos;
d) requisitos del sistema de gestión;
e) requisitos legales y contractuales y otros requisitos a los que la
organización esté
comprometida;
f) necesidad de evaluación de proveedor;
g) necesidades y expectativas de las partes interesadas, incluyendo
clientes;
h) nivel de desempeño del auditado, reflejado en la ocurrencia de fallas o
incidentes o
quejas de clientes;
i) riesgos para el auditado;
j) resultados de auditorías previas;
k) nivel de madurez del sistema de gestión a ser auditado.

Ejemplos de objetivos de un programa de auditoría incluyen los

siguientes:
— contribuir con la mejora del sistema de gestión y su desempeño;
— cumplir con requisitos externos, ej. Certificación de una norma de
sistema de gestión;
— verificar conformidad con requisitos contractuales;
— obtener y mantener confianza en la capacidad de un proveedor;
— determinar la efectividad del sistema de gestión;
— evaluar la compatibilidad y alineación de los objetivos del sistema de
gestión con la
política del sistema de gestión y los objetivos generales de la
organización.

Roles y responsabilidades de la persona que gestiona el programa de

auditoría
La persona que gestiona el programa de auditoría debería:
— establecer el alcance del programa de auditoría;
— identificar y evaluar los riesgos del programa de auditoría;
— establecer responsabilidades de auditoría;
— establecer procedimientos para programas de auditoría;
— determinar los recursos necesarios;
— asegurar la implementación del programa de auditoría, incluyendo el
establecimiento
de objetivos, alcance y criterios de auditoría de las auditorías
individuales, determinando
los métodos de auditoría y seleccionando el equipo auditor y evaluando
los auditores;
— asegurar el manejo y mantenimiento adecuado de los registros del
programa de
auditoría;
— monitorear, revisar y mejorar el programa de auditoría.
La persona que gestiona un programa de auditoría debería informar a la
alta gerencia
acerca del contenido del mismo y de ser necesario, debería solicitar su
aprobación.

5.3.2 Competencia de la persona que gestiona el programa de auditoría

La persona que gestiona el programa de auditoría debería tener la
competencia necesaria
para gestionar dicho programa y los riesgos asociados de manera
efectiva y eficiente, así
como el conocimiento y habilidades en las siguientes áreas:
— principios, procedimientos y métodos de auditoría;
— normas de sistemas de gestión y documentos de referencia;
— actividades, productos y procesos del auditado;
— requisitos legales y de otra índole aplicables, relevantes a las
actividades y productos
del auditado;
— clientes, proveedores y otras partes interesadas del auditado, cuando
sea aplicable.
La persona que gestiona el programa de auditoría debería involucrarse
en actividades
continuas de desarrollo profesional para mantener el conocimiento y
habilidades
necesarias para gestionar el programa de auditoría.

5.3.3 Establecer el alcance del programa de auditoría

La persona que gestiona el programa de auditoría debería determinar el
alcance de dicho
programa, el cual puede variar dependiendo el tamaño y naturaleza del
auditado, así
como de la naturaleza, funcionalidad, complejidad y nivel de madurez y
temas
significativos para el sistema de gestión a ser auditado.

— el objetivo, alcance y duración de cada auditoría y el número de

auditorías a llevar a
cabo, incluyendo la auditoría de seguimiento, si aplica;
— el número, importancia, complejidad, similitud y ubicaciones de las
actividades a ser
auditadas;
— aquellos factores que influencian la efectividad del sistema de
gestión;

Identificación y evaluación de los riesgos del programa de auditoría

Existen muchos riesgos diferentes asociados con el establecimiento,
implementación,
monitoreo, revisión y mejora de un programa de auditoría
Estos riesgos pueden estar asociados con lo siguiente:
— planeación; ej. Falla para establecer objetivos de auditoría relevantes
y para determinar
el alcance del programa de auditoría;
— recursos, ej. no permitir tiempo suficiente para desarrollar el
programa de auditoría o
para llevarlas a cabo;
— selección del equipo auditor, ej. el equipo no tiene la competencia
colectiva para llevar
a cabo auditorías de manera efectiva;
— implementación, ej. comunicación inefectiva del programa de
auditoría;
— registros y su control, ej. falla para proteger adecuadamente los
registros de auditoría
que demuestren la efectividad del programa de auditoría;
— monitoreo, revisión y mejora del programa de auditoría, ej. monitoreo
inefectivo de los
resultados del programa de auditoría.

Definición de objetivos, alcance y criterios para una auditoría individual

El alcance de la auditoría debería ser consistente con los objetivos y el

programa de
auditoría. Esto incluye factores como ubicaciones físicas, unidades
organizacionales,
actividades y procesos a ser auditados, así como el periodo de tiempo
cubierto por la
auditoría.
Los criterios de auditoría son usados como puntos de referencia para
determinar la
conformidad y pueden incluir políticas, procedimientos, normas,
requisitos legales,
requisitos del sistema de gestión, requisitos contractuales, códigos de
conducta de sector
y otros arreglos planeados aplicables.

Selección de métodos de auditoría

La persona que gestiona el programa de auditoría debería seleccionar y
determinar los
métodos para llevar a cabo una auditoría de manera efectiva,
dependiendo de los
objetivos, alcance y criterios de auditoría definidos.

Selección de los miembros del equipo auditor

La persona que gestiona el programa de auditoría debería nombrar los
miembros del
equipo auditor, incluyendo el líder del equipo y cualquier experto técnico
necesario para la
auditoría específica.
Un equipo auditor debería ser seleccionado teniendo en cuenta la
competencia necesaria
para alcanzar los objetivos de la auditoría individual dentro del alcance
definido. Si solo
hay un auditor, éste auditor debería llevar a cabo todos los deberes
aplicables a un líder
de equipo.

Gestión del resultado del programa de auditoría

La persona que gestiona el programa de auditoría debería asegurar que
se lleven a cabo
las siguientes actividades:
— revisar y aprobar los reportes de auditoría, incluyendo la evaluación
de idoneidad y
conveniencia de los hallazgos de auditoría;
— revisar el análisis de causa raíz y la efectividad de las acciones
correctivas o
preventivas;
— distribución de los reportes de auditoría a la alta gerencia y otras
partes relevantes;
— determinar la necesidad de una auditoría de seguimiento.

Monitoreo del programa de auditoría

La persona que gestiona el programa de auditoría debería monitorear su
implementación,
teniendo en cuenta la necesidad de:
a) evaluar conformidad con los programas de auditoría, cronogramas y
objetivos de
auditoría;
b) evaluar el desempeño de los miembros del equipo auditor;
c) evaluar la habilidad de los equipos auditores para implementar el plan
de auditoría;
d) evaluar la retroalimentación dada por parte de la alta gerencia,
auditados, auditores y
otras partes interesadas.

Realización de la auditoría
6.2 Inicio de la auditoría
6.2.1 Generalidades
6.2.2 Establecer contacto inicial con el auditado
6.2.3 Determinar la viabilidad de la auditoría

6.3 Preparación de actividades de auditoría

6.3.1 Revisión de documentos en preparación para la auditoría
6.3.2 Preparación del plan de auditoría
6.3.3 Asignación del trabajo al equipo de auditoría
6.3.4 Preparación de los documentos de trabajo

6.4 Realización de las actividades de auditoría

6.4.1 Generalidades
6.4.2 Realización de la reunión de apertura
6.4.3 Revisión documental durante la realización de la auditoría
6.4.4 Comunicación durante la auditoría
6.4.5 Asignación de roles y responsabilidades de guías y observadores
6.4.6 Recolección y verificación de información
6.4.7 Generación de hallazgos de auditoría
6.4.8 Preparación de conclusiones de auditoría
6.4.9 Realización de reunión de cierre

6.5 Preparing and distributing the audit report

6.5.1 Preparación delºreporte de auditoría
6.5.2 Distribución del reporte de auditoría

6.2.2 Establecer contacto inicial con el auditado

El contacto inicial con el auditado para el desarrollo de la auditoría
puede ser formal o
informal y debería hacerlo el líder del equipo auditor. Los propósitos del
contacto inicial
son los siguientes:
— establecer comunicación con los representantes del auditado;
— confirmar la autoridad para la realización de la auditoría;
— proveer información sobre los objetivos, alcance y métodos de
auditoría, así como la
composición del equipo auditor, incluyendo los expertos técnicos;
— solicitar acceso a documentos y registros relevantes para propósitos
de planeación

Preparación del plan de auditoría

Al preparar el plan de auditoría, el líder del equipo auditor debería
considerar lo siguiente:
— las técnicas de muestreo apropiadas (ver Capítulo B.3);
— la composición del equipo auditor y su competencia colectiva;
— el riesgo creado por la auditoría para la organización.

Preparación de los documentos de trabajo

Los miembros del equipo auditor deberían recolectar y revisar la
información pertinente a
las tareas asignadas y preparar los documentos de trabajo que sean
necesarios como
referencia y registro del desarrollo de la auditoría. Tales documentos de
trabajo pueden
incluir:
— listas de verificación;
— planes de muestreo de auditorías;
— formularios para registrar información, tal como evidencias de apoyo,
hallazgos de
auditoría y registros de las reuniones.

Realización de la reunión de apertura

El propósito de la reunión de apertura es:
a) confirmar que todas las partes están de acuerdo con el plan de
auditoría (auditado,
equipo auditor);
b) presentar al equipo auditor;
c) asegurar que se pueden llevar a cabo todas las actividades de
auditoría planeadas.

Revisión documental durante la realización de la auditoría

La documentación relevante del auditado debería ser revisada para:

— determinar la conformidad del sistema, en cuanto a su

documentación, con los criterios
de auditoría;
— recopilar información para soportar las actividades de auditoria.

proceso de recolectar y verificar información

Fuente de información
Recolección por medio de muestreo apropiado
Evidencia de auditoría
Evaluación contra criterios de la auditoría
Hallazgos de auditoría
Revisión
Conclusiones de la auditoría

Los métodos para recolectar información incluyen los siguientes:

— entrevistas;
— observaciones;
— revisión de documentos, incluidos registros.

Generación de hallazgos de auditoría

La evidencia de auditoría debería ser evaluada contra los criterios de la
auditoría a fin de
determinar los hallazgos de la auditoría. Los hallazgos de auditoría
pueden indicar
conformidad o no conformidad con los criterios de la auditoría. los
hallazgos individuales de auditoría deberían incluir conformidad y
buenas prácticas junto con su evidencia de soporte, oportunidades de
mejora y recomendaciones para el auditado.

Preparación de conclusiones de auditoría

Ele quipo auditor debería reunirse antes de la reunión de cierre con el fin
de:
a) revisar los hallazgos de la auditoría y cualquier otra información
apropiada recopilada
durante la auditoría frente a los objetivos de la misma;
b) llegar a un acuerdo respecto a las conclusiones, teniendo en cuenta la
incertidumbre
inherente en el proceso de auditoría;
c) preparar recomendaciones, si esto está especificado en el plan de
auditoría;
d) discutir el seguimiento a la auditoría, según sea aplicable.

Las conclusiones de auditoría pueden tratar aspectos tales como los

siguientes:
— el grado de conformidad con los criterios de la auditoría y la robustez
del sistema de
gestión, incluyendo la efectividad del sistema de gestión para cumplir
con los objetivos
establecidos;
— la efectiva implementación, mantenimiento y mejora del sistema de
gestión;
— la capacidad del proceso de revisión por la dirección de asegurar la
continua idoneidad,
capacidad, efectividad y mejora del sistema de gestión;
— logro de los objetivos de auditoria, cubrimiento del alcance de la
auditoría y
cumplimiento con los criterios de la auditoría;
— causas raíz de los hallazgos, si está especificado en el plan de
auditoría;
— hallazgos similares encontrados en diferentes áreas auditadas con el
propósito de
identificar tendencias.
Si el plan de auditoría así lo especifica, las conclusiones de la auditoría
pueden llevar a
recomendaciones para la mejora o futuras actividades de auditoría.

Realización de la reunión de cierre

Se debería llevar a cabo una reunión de cierre, facilitada por el líder del
equipo auditor,
para presentar los hallazgos y conclusiones de la auditoría. Los
participantes de la
reunión de cierre deberían incluir la gerencia del auditado y, cuando sea
apropiado,
aquellos responsables por las funciones o procesos que han sido
auditados, y también pueden incluir al cliente de auditoría u otras
partes.

Aplicación de métodos de auditoría

Una auditoría puede ser realizada usando un amplio rango de métodos
de auditoría. En
este anexo se puede encontrar una explicación de los métodos de
auditoría comúnmente
usados. Los métodos de auditoría escogidos para una auditoría
dependen de los
objetivos, alcance y criterios de auditoría definidos, así como de la
duración y ubicación.

Hallazgos de auditoría
B.8.1 Determinación de hallazgos de auditoría
Al determinar los hallazgos de auditoría, se debería considerar lo
siguiente:
— seguimiento de registros y conclusiones de auditorías previas;
— requisitos del cliente de auditoría;
— hallazgos que exceden la práctica normal, u oportunidades de mejora;
— tamaño de la muestra;
— categorización (de haberla) de los hallazgos de auditoría;
B.8.2 Registro de conformidades
Para registros de conformidad, se debería tener en cuenta lo siguiente:
— identificación de los criterios de auditoría contra los cuales se
muestra la conformidad;
— evidencia de auditoria para soportar la conformidad;
— declaración de conformidad, si aplica.
B.8.3 Registro de no conformidades
Para registros de no conformidad, se debería tener en cuenta lo
siguiente:
— descripción o referencia a los criterios de auditoría;
— declaración de no conformidad;
— evidencia de auditoría;
— hallazgos de auditoría relacionados, si aplica.