El grado de aplicación de las siguientes disposiciones depende de los objetivos y del alcance de la auditoría específica.
La Figura siguiente proporciona una visión general de las actividades de auditoría en consideración la norma UNE-EN ISO 19011:2012.
Inicio de la Auditoría
La responsabilidad de llevar a cabo la auditoría corresponde al líder del equipo auditor designado, desde el inicio hasta que la auditoría finaliza.
La secuencia de actividades de la auditoría puede diferir dependiendo del auditado, de los procesos y de las circunstancias específicas de la auditoría.
Preparación de las actividades de Auditoría
Realización de la revisión de documentación en la preparación de la Auditoría
Se revisará la documentación pertinente del Sistema de Gestión del auditado para:
- Reunir información para preparar las actividades de auditoría y los documentos de trabajo aplicables, por ejemplo, sobre procesos, funciones, etc.
- Establecer una visión general del grado de la documentación del Sistema para detectar posibles carencias.
La documentación incluirá documentos y registros del sistema de gestión, así como informes de auditorías previas. La revisión de la documentación se dimensionará en base al tamaño, la naturaleza y la complejidad del sistema de gestión y de la organización del auditado, así como el alcance de la auditoría.
Preparación del Plan de Auditoría
El líder del equipo auditor preparará un Plan de Auditoría basado en la información contenida en el Esquema de Certificación, en el Programa de Auditoría plurianual (en caso de ser auditoría de revisión o re-certificación) y en la documentación proporcionada por el auditado.
El Plan de Auditoría tendrá en consideración el efecto de las actividades de auditoría en los procesos del auditado y proporcionará la base para el acuerdo entre el cliente de la auditoría, el equipo auditor y el auditado en lo relativo a la realización de la auditoría.
El Plan facilitará la programación en el tiempo y la coordinación eficientes de las actividades de auditoría a fin de alcanzar los objetivos.
El nivel de detalle proporcionado en el Plan de Auditoría reflejará el alcance y la complejidad de ésta.
El grado de detalle y el contenido del Plan de Auditoría pueden diferir entre la auditoría inicial y las posteriores auditorías de revisión o re-certificación.
El Plan de Auditoría será lo suficientemente flexible para permitir los cambios que pueden hacerse necesarios a medida que las actividades de auditoría se vayan llevando a cabo.
El Plan de Auditoría cubrirá o hará referencia a lo siguiente:
- el Alcance de la auditoría, incluyendo la identificación de las unidades de la organización y unidades funcionales, así como los procesos que van a auditarse.
- los Criterios de auditoría y cualquier documento de referencia.
- las ubicaciones, las fechas, el horario y la duración previstos de las actividades de auditoría que se van a llevar a cabo, incluyendo las reuniones con la dirección del auditado.
- los métodos de auditoría que se van a usar, incluyendo el grado en que se necesita el muestreo de la auditoría para obtener las evidencias de auditoría suficientes y el diseño del programa de muestreo, si es aplicable.
- las funciones y responsabilidades de los miembros del equipo auditor, así como los guías y los observadores.
- la asignación de los recursos apropiados para las áreas críticas de la auditoría.
- la identificación del representante del auditado en la auditoría.
- los temas del informe de la auditoría.
El Plan de Auditoría podrá ser revisado y aceptado por el cliente de la auditoría, y se presentará al auditado (cuando éste no sea quien contrata directamente la auditoría, es decir, el cliente).
Cualquier objeción por parte del auditado sobre el plan de auditoría se resolverá entre el líder del equipo auditor, el auditado y el cliente de la auditoría.
Realización de las actividades de Auditoría
Normalmente las actividades de auditoría se realizarán en una secuencia definida como se indica en la figura indicada anteriormente. Esta secuencia puede variar para adaptarse a las circunstancias específicas de la auditoría.
Realización de la Reunión de Apertura
El propósito de la reunión de apertura es:
- confirmar el acuerdo de todas las partes sobre el plan de auditoría.
- presentar al equipo auditor.
- asegurarse de que se pueden realizar todas las actividades de auditoría planificadas.
Se celebrará una reunión de apertura con la dirección del auditado y, cuando sea apropiado, con aquellos responsables de las funciones o de los procesos que se van a auditar. Durante esta reunión de apertura se proporcionará la oportunidad de realizar preguntas.
El líder del equipo auditor presidirá la reunión, y se considerarán los siguientes puntos, cuando sea apropiado:
- presentación de los participantes, incluyendo los observadores y los guías, y una descripción general de sus funciones.
- confirmación de los objetivos, alcance y criterios de la auditoría.
- confirmación del plan de auditoría y de otras disposiciones pertinentes con el auditado, como la fecha y hora de la reunión de cierre, cualquier reunión intermedia entre el equipo auditor y la dirección del auditado, y cualquier cambio de última hora.
- presentación de los métodos que se van a utilizar para realizar la auditoría, incluyendo la aclaración al auditado de que la evidencia de la auditoría se basará en una muestra de la información disponible.
- confirmación de los canales de comunicación formal entre el equipo auditor y el auditado.
- confirmación de que, durante la auditoría, el auditado será informado del progreso de la misma.
- confirmación de que los recursos e instalaciones que necesita el equipo auditor están disponibles.
- confirmación de los temas relacionados con la confidencialidad y la seguridad de la información.
- confirmación de los procedimientos pertinentes para el equipo auditor relativos a salud y protección, emergencia y seguridad.
- información del método de presentación de la información sobre hallazgos de la auditoría incluyendo la categorización, si la hay.
- información acerca de las condiciones bajo las cuales la auditoría puede darse por terminada.
- información acerca de la reunión de cierre.
- información acerca de cómo tratar los posibles hallazgos durante la auditoría.
- información acerca de cualquier sistema de retroalimentación del auditado sobre los hallazgos o conclusiones de la auditoría, incluyendo las quejas o apelaciones.
Revisión de la documentación durante la Auditoría
La documentación del auditado se revisará para:
- determinar la conformidad del sistema con los criterios de auditoría, con base en la documentación disponible.
- reunir información para apoyar las actividades de auditoría.
La revisión puede combinarse con otras actividades de auditoría y puede continuar a lo largo de la auditoría, siempre que no perjudique a la eficacia de la auditoría.
Si no puede proporcionarse la documentación adecuada dentro del periodo de tiempo dado en el Plan de Auditoría, el líder del equipo auditor informará tanto al responsable de la gestión del programa de auditoría como al auditado.
Dependiendo de los objetivos y el alcance de la auditoría, se tomará una decisión sobre si la auditoría debería continuar o suspenderse hasta que se resuelvan los problemas relativos a la documentación.
Las fuentes de información seleccionadas pueden variar de acuerdo con el alcance y la complejidad de la auditoría y pueden incluir lo siguiente:
- entrevistas con empleados y con otras personas;
- observación de actividades y el ambiente de trabajo y condiciones circundantes;
- documentos, tales como políticas, objetivos, planes, procedimientos, normas, instrucciones, licencias y permisos, especificaciones, planos, contratos y pedidos;
- registros, tales como registros de inspección, actas de reuniones, informes de auditoría, registros de programas de seguimiento y resultados de mediciones;
- resúmenes de datos, análisis e indicadores de desempeño;
- información sobre los programas de muestreo del auditado y sobre los procedimientos para el control de los procesos de muestreo y medición;
- informes de otras fuentes, por ejemplo, retroalimentación del cliente, encuestas y mediciones externas, otra información pertinente de partes externas y la calificación de los proveedores;
- bases de datos y sitios en Internet;
- simulaciones y modelizaciones.
Comunicación durante la Auditoría
El equipo auditor se reunirá periódicamente para intercambiar información, evaluar el progreso de la auditoría y reasignar las tareas entre los miembros del equipo auditor, según sea necesario.
Durante la auditoría, el líder del equipo auditor comunicará periódicamente los progresos de la auditoría y cualquier inquietud al auditado y, cuando sea apropiado, al cliente de la auditoría. Las evidencias recopiladas durante la auditoría que sugieren un riesgo inmediato y significativo para el auditado se comunicarán sin demora al auditado y, si es apropiado, al cliente de la auditoría.
Cuando las evidencias de la auditoría disponibles indiquen que los objetivos de la misma no son alcanzables, el líder del equipo auditor informará de las razones al cliente de la auditoría y al auditado para determinar las acciones apropiadas. Estas acciones pueden incluir la reconfirmación o la modificación del plan de auditoría, cambios en los objetivos de la auditoría o en su alcance, o la finalización de la auditoría.
Cualquier necesidad de cambio en el Plan de Auditoría que pueda evidenciarse a medida que las actividades de auditoría progresan será revisada tanto por la persona responsable de la gestión del programa de auditoría como por el auditado.
En la realización de las entrevistas se tendrá en cuenta lo siguiente:
- las entrevistas deben mantenerse con personas de los niveles y funciones apropiados que desempeñan actividades o tareas dentro del alcance de la auditoría;
- las entrevistas normalmente se llevarán a cabo durante la jornada de trabajo normal y, cuando sea posible, en el lugar de trabajo normal de la persona entrevistada;
Recopilación y verificación de la información
Durante la auditoría, se recopilará y verificará, mediante un muestreo apropiado la información pertinente a los objetivos, el alcance y los criterios de la misma, incluyendo la información relativa a las interrelaciones entre funciones, actividades y procesos. Sólo la información verificable se aceptará como evidencia de la auditoría. Se registrará la evidencia que conduce a hallazgos de la auditoría..
Los métodos para recopilar la información incluyen lo siguiente:
- entrevistas;
- observaciones;
- revisión de documentos, incluyendo los registros.
Generación de los Hallazgos de Auditoría
Los hallazgos de la auditoría pueden indicar conformidad o no conformidad con los criterios de auditoría. Cuando lo especifique el Plan de Auditoría, los hallazgos de una auditoría individual incluirán la conformidad y las buenas prácticas junto con la evidencia que los apoya, las oportunidades de mejora y cualquier recomendación para el auditado.
Los Hallazgos serán clasificados conforme a la siguiente taxonomía:
- Hallazgos de Conformidad.
- Oportunidades de Mejora.
- Observaciones.
- No Conformidades, graduadas a su vez en:
- No Conformidad Menor.
- No Conformidad Mayor.
El equipo auditor se reunirá, según sea necesario, para revisar los hallazgos de la auditoria en etapas apropiadas durante la auditoría.
Si durante la auditoría se identifican hallazgos relacionados con múltiple criterios se considerará el posible impacto en los criterios correspondientes o similares de los otros sistemas de gestión.
Se registrarán las No Conformidades y la evidencia de la auditoría que las apoya. Se revisarán con el auditado para reconocer que la evidencia de la auditoría es exacta y que las no conformidades se han comprendido.
Preparación de las conclusiones de la Auditoría
Los objetivos de esta fase son:
- preparar recomendaciones, si estuviera especificado en el plan de auditoría;
- comentar el seguimiento de la auditoría, cuando sea aplicable.
Las conclusiones de la auditoría pueden tratar aspectos tales como los siguientes:
- el grado de conformidad y el reconocimiento de la fortaleza del sistema de gestión con los criterios de auditoría.
- incluyendo la eficacia del sistema de gestión para cumplir los objetivos establecidos.
- la implementación, el mantenimiento y la mejora eficaces del sistema de gestión.
- la capacidad del proceso de revisión por la dirección para asegurar la continua idoneidad, adecuación, eficacia y mejora del sistema de gestión.
- el logro de los objetivos de la auditoría, cobertura del alcance de la auditoría y cumplimiento de los criterios de la auditoría.
- las causas raíz de los hallazgos, si se incluyen en el plan de auditoría.
- hallazgos similares encontrados en distintas áreas que se auditaron con el propósito de identificar tendencias.
Si se especifica en el Plan de Auditoría, las conclusiones de auditoría pueden llevar a recomendaciones para la mejora, o a futuras actividades de auditoría.
Realización de la Reunión de Cierre
La reunión de cierre, facilitada por el líder del equipo auditor, se realizará para presentar los hallazgos y las conclusiones de la auditoría.
Entre los participantes en la reunión de cierre deberán estar los representantes de la dirección del auditado y, cuando sea apropiado, aquellos responsables de las funciones o procesos que se han auditado.
Si está definido en el sistema de gestión o por acuerdo con el cliente de la auditoría, los participantes deberán acordar el periodo de tiempo para un plan de acción que trate los hallazgos de la auditoría.
La reunión puede será formal y las actas, incluyendo los registros de asistencia, deberán conservarse.
Cuando sea apropiado, en la reunión de cierre deberá explicarse al auditado lo siguiente:
- aclarar que la evidencia de la auditoría recopilada se basó en una muestra de la información disponible.
- el método de presentación de la información.
- el proceso de tratamiento de los hallazgos de la auditoría y sus posibles consecuencias
- la presentación de los hallazgos y conclusiones de la auditoría de tal manera que se comprendan y se reconozcan por la dirección del auditado.
- todas las actividades posteriores a la auditoría relacionadas (por ejemplo, implementación de acciones correctivas, tratamiento de quejas de la auditoría, proceso de apelación).
Cualquier opinión divergente relativa a los hallazgos de la auditoría o las conclusiones entre el equipo auditor y el auditado deben discutirse y, si es posible, resolverse. Si no se resuelve, deberán registrarse todas las opiniones.
Si lo especifican los objetivos de la auditoría, pueden presentarse recomendaciones para la mejora. Se debería enfatizar que las recomendaciones no tienen carácter vinculante.
Informe de Auditoría
Preparación del informe de Auditoría
El líder del equipo auditor informará de los resultados de la auditoría de acuerdo con los procedimientos del programa de auditoría.
El informe de auditoría proporcionará un registro completo, preciso, conciso y claro de la auditoría, y hará referencia a lo siguiente:
- los objetivos de la auditoría;
- el alcance de la auditoría, particularmente la identificación de las unidades de la organización y de las unidades funcionales o los procesos auditados;
- la identificación del cliente de la auditoría;
- la identificación del equipo auditor y de los participantes del auditado en la auditoría;
- las fechas y ubicaciones donde se realizaron las actividades de auditoría;
- los criterios de auditoría;
- los hallazgos de la auditoría y las evidencias relacionadas;
- las conclusiones de la auditoría;
- y una declaración del grado en el que se han cumplido los criterios de la auditoría,
El informe de la auditoría también puede incluir o hacer referencia a lo siguiente, cuando sea apropiado:
- el plan de auditoría, incluyendo el horario;
- un resumen del proceso de auditoría, incluyendo cualquier obstáculo encontrado que pueda disminuir la confianza en las conclusiones de la auditoría;
- la confirmación de que se han cumplido los objetivos de la auditoría dentro del alcance de la auditoría, de acuerdo con el plan de auditoría;
- cualquier área dentro del alcance de la auditoría no cubierta;
- un resumen cubriendo las conclusiones de la auditoría y los principales hallazgos de la auditoría que las apoyan;
- las opiniones divergentes sin resolver entre el equipo auditor y el auditado;
- las oportunidades para la mejora, si se especifica en el plan de auditoría;
- las buenas prácticas identificadas;
- los planes de acción del seguimiento acordados, si los hubiera;
- una declaración sobre la naturaleza confidencial de los contenidos;
- cualquier implicación para el programa de auditoría o las auditorías posteriores;
- la lista de distribución del informe de la auditoría.
El informe de auditoría se emitirá en el periodo de tiempo acordado, si se retrasa, se comunicarán las razones al auditado y a la persona responsable de la gestión del programa de auditoría.
Finalización de la Auditoría
La auditoría finaliza cuando se hayan realizado todas las actividades de auditoría planificadas, o si se ha acordado de otro modo con el cliente de la auditoría.
En caso de No Conformidad Mayor, puede finalizar esta auditoría y emplazarse para una posterior, cuya finalidad será auditar exclusivamente la No Conformidad Mayor, o bien todo el sistema de nuevo (en función del alcance de la No Conformidad Mayor detectada).
Si se detecta una No Conformidad Mayor y la organización disponía previamente de la Declaración o Certificado de Conformidad con el Esquema Nacional de Seguridad, ésta quedará suspendida temporalmente hasta su solución.
Declaración y/o Certificación de Conformidad con el Esquema Nacional de Seguridad
A la finalización de la Auditoría, se emitirán:
- La Declaración de Conformidad, en caso de que la propuesta de trabajo tuviese esa finalidad sobre Sistemas de categoría BÁSICA.
- La Certificación de Conformidad para los Sistemas de categorías MEDIA y ALTA, y para los de categoría BÁSICA en caso de que la oferta los incluyese.