Auditorias internas de los sistemas de gestión

Publicado el 16 diciembre 2012 por Jlcolom

Resumen: Para realizar una auditoría con éxito y alcanzar un resultado favorable, deben conocerse las mejores prácticas de auditoría y los requerimientos relacionados con la misión y actividad del auditor.

Muchos piensan que las auditorías internas, realizadas por personal de la propia empresa,son únicamente un paso previo para preparar las auditorías de certificación o recertificación que marca el cumplimiento de una norma.

El objetivo que se persigue con la auditoría interna es doble:

    Por otro, lograrlo que realmente interesa: optimizar para mejorar la eficacia y la eficiencia en la gestión, y en consecuencia los resultados de la empresa, asegurando que el sistema de gestión continúa siendo adecuado a la realidad de la empresa.

Cada norma ISO incorpora un capítulo sobre las auditorías internas. No solo eso, sino que si consultamos que dice la norma ISO 19011:2011 "DIRECTRICES PARA LA AUDITORIA DE LOS SISTEMAS DE GESTIÓN", en el capítulo 3.1 "Definiciones de auditoría", dice textualmente:

- Las auditorías internas, denominadas en algunos casos como auditorías de primera parte, se realizan por, o en nombre de, la propia organización,para la revisión por la dirección y con otros fines internos (por ejemplo para confirmar el funcionamiento previsto del sistema de gestión o para obtener información para la mejora del sistema de gestión), y pueden constituir la base para una autodeclaración de conformidad de una organización.

- Las auditorías externas incluyen lo que se denomina generalmente auditorías de segunda y tercera parte. Las auditorías de segunda parte se llevan a cabo por partes que tienen un interés en la organización, tal como los clientes, o por otras personas en su nombre. Las auditorías de tercera parte se llevan a cabo por organizaciones auditoras independientes y externas, tales como aquellas que proporcionan el registro o la certificación de conformidad de acuerdo con los requisitos de las Normas ISO.

Se ve claramente la desvinculación de objetivos entre una y otra. Además, con independencia de la periodicidad de auditorías internas definida en el propio SG, éstas deberían hacerse cuando:

El programa de auditorías internas debe basarse en:

Podemos considerar la fase de preparación como la más crítica del proceso de auditoría. Todo proceso de preparación eficaz, incluye 7 pasos:

Se prestará especial atención a los siguientes puntos, corroborándolo todo con evidencias documentales:

El informe de auditoría debe incluir una hoja resumen que describa la información clave relacionada con la auditoría. Debería incluir:

El rol de la "función interna de auditoría" debería establecerse en un "estatuto de auditoría" aprobado por los órganos de gobierno corporativo y el "comité de auditoría" (caso de existir).

, dicho estatuto debería establecer claramente las responsabilidades y los objetivos de la Dirección de cada área a auditar y Para la función de auditoría describir detalladamente:

Pueden contemplarse auditorías verticales, por ejemplo del departamento de SI (Sistemas de Información); o auditorías transversales, por ejemplo de cumplimiento de la regulación vigente en materia de protección de datos.

NOTA DEL EDITOR: Debe distinguirse entre el estatuto de auditoría, que es un documento de alcance general que cubre todas las posibles actividades de auditoría en una organización y unacarta de compromiso que se centra en un ejercicio particular de auditoría que se pretende iniciar con un objetivo específico.

El auditor debe desarrollar un plan de auditoría que tome en consideración los objetivos relevantes del auditado con respecto al área auditada.

La planificación debe lograr correspondencia entre los recursos disponibles de auditoría y las tareas definidas en el plan.

Es importante considerar el área bajo revisión y conocer su relación con la organización desde los puntos de vista:

Los pasos para realizar una planificación de auditoría, según ISACA (Information Systems Audit and Control Association), son:

Para lograr la comprensión del negocio, el auditor podría apoyarse en:

Pasos según ISACA que debe seguir un auditor para determinar el nivel de cumplimiento de una organización con los requerimientos externos:

Los pasos básicos para la realización de una auditoría, normalmente incluyen:

Definiciones admitidas en general por las normas ISO, relativas a sistemas de gestión:

Guidelines for auditing management systems. (- BS EN ISO 19011:2011. Incorporating corrigendum December 2011).

- AENOR ediciones. Cómo gestionar con éxito una auditoría interna conforme a ISO 9001:2008. Ann W. Philips. 2010.

- ISACA. ITAF© (A Professional Practices Framework for IS Audit/Assurance). 2nd Edition. 2013.

La presente obra y su título están protegidos por el derecho de autor. Las denominadas obras derivadas, es decir, aquellas que son el resultado de la transformación de ésta para generar otras basadas en ella, también se ven afectadas por dicho derecho.