1
Directrices para la auditoría de los sistemas de gestión
ANEXO B (informativo) Orientación adicional destinada a los auditores para planificar y realizar las auditorías
5/2/15
2
Contenido: B.1
•
Aplicación de los métodos de auditoría
B.2
•
Realización de la revisión de los documentos
B.3
•
Muestreo
B.
•
Preparación de los documentos de trabajo
B.5
•
Selección de las fuentes de información
B.!
•
Orientación sobre la visita a la ubicación del auditado
B."
•
Realización de entrevistas
B.#
•
allaz!os de la auditoría 5/2/15
2
Contenido: B.1
•
Aplicación de los métodos de auditoría
B.2
•
Realización de la revisión de los documentos
B.3
•
Muestreo
B.
•
Preparación de los documentos de trabajo
B.5
•
Selección de las fuentes de información
B.!
•
Orientación sobre la visita a la ubicación del auditado
B."
•
Realización de entrevistas
B.#
•
allaz!os de la auditoría 5/2/15
3
B.1
•
Aplicación de los $%todos de auditoría "na auditoría puede realizarse usando varios métodos# "na combinación de métodos de auditoría puede optimizar la eficiencia $ eficacia de la auditoría#
%os métodos de auditoría dependen& %os objetivos de la auditoría 'l alcance %os criterios definidos %a duración %a ubicación %a competencia de los auditores# • • • • • •
5/2/15
4
B.1
•
Aplicación de los $%todos de auditoría
%a realización de una auditoría implica una interacción entre individuos con el sistema de !estión ue se audita $ la tecnolo!ía utilizada para llevar a cabo la auditoría#
5/2/15
5
B.1
•
Aplicación de los $%todos de auditoría Pueden usarse métodos de auditoría por separado o en combinación* para alcanzar los objetivos de la auditoría#
"n euipo auditor con mltiples miembros* puede usar métodos in situ $ métodos a distancia simult+neamente#
5/2/15
B.1
•
Aplicación de los $%todos de auditoría
A",-.OR/A -0 S-."& se realizan en las instalaciones del auditado#
A",-.OR/A A ,-S.A01-A& se realizan en cualuier otro lu!ar distinto de las instalaciones del auditado#
A",-.OR/AS 0O -0.'RA1.-2AS no implican la interacción 3umana* pero implican la interacción con los euipos* las instalaciones $ la documentación# A",-.OR/AS -0.'RA1.-2AS implican la interacción entre el personal del auditado $ el euipo auditor# 5/2/15
!
B.1
•
Aplicación de los $%todos de auditoría %a .abla 4#5 ejemplos de métodos de auditoría# '(icación del auditor
&rado de i$plicación entre el auditor y el auditado )nteracción *u$ana
)n situ • •
•
•
Realizar entrevistas# 1ompletar listas de verificación $ cuestionarios con la participación del auditado# Revisar los documentos con la participación del auditado# Muestrear#
5/2/15
A distancia A través de medios de comunicación interactivos& realizar entrevistas6 completar listas de verificación $ cuestionarios6 revisar los documentos con la participación del auditado# • •
•
"
B.1
•
Aplicación de los $%todos de auditoría %a .abla 4#5 ejemplos de métodos de auditoría# '(icación del auditor
&rado de i$plicación entre el auditor y el auditado +in interacción *u$ana
)n situ •
•
• •
•
Revisar los documentos (re!istros* an+lisis de datos)# Observar el trabajo desempe7ado# Realizar visitas al sitio# 1ompletar listas de verificación# Muestrear (por ejemplo* productos)#
A distancia •
•
•
5/2/15
Revisar los documentos (re!istros* an+lisis de datos)# Observar el trabajo desempe7ado a través de medios de vi!ilancia* considerando reuisitos sociales $ le!ales# Analizar los datos#
9
B.1
•
Aplicación de los $%todos de auditoría
%a responsabilidad de la aplicación eficaz de los métodos de auditoría en la etapa de planificación recae en el responsable del pro!rama de auditoría o en el líder del euipo auditor# 'l líder del euipo auditor es responsable de realizar las actividades de auditoría#
5/2/15
10
B.1
•
Aplicación de los $%todos de auditoría
%a viabilidad de las actividades de auditoría a distancia puede depender del nivel de confianza ue e8iste entre el auditor $ el personal del auditado#
'l pro!rama de auditoría* debería ase!urar ue el uso de los métodos a distancia e in situ es adecuado $ euilibrado* para ase!urar el lo!ro de los objetivos del pro!rama de auditoría#
5/2/15
11
B.2
•
,ealización de la re-isión de los docu$entos %os auditores deberían considerar si& %OS ,O1"M'0.OS 9"' 'S.:0 S-'0,O R'2-SA,OS
Proporcionan información suficiente para apo$ar los objetivos de la auditoría#
1ubren el alcance de la auditoría
5/2/15
12
B.2
•
,ealización de la re-isión de los docu$entos %os auditores deberían considerar si&
'l uso de tecnolo!ías de la información $ las comunicaciones* promueve la realización eficiente de la auditoría# Se necesita un cuidado específico para la se!uridad de la información debido a los re!lamentos aplicables sobre protección de datos# 0O.A& %a revisión de los documentos puede dar una indicación de la eficacia del control de los documentos dentro del sistema de !estión del auditado# 5/2/15
13
B.3
•
uestreo B.3.1 &eneralidades &
'l muestreo de una población es el proceso de seleccionar menos del 5;;< de los elementos dentro del conjunto total de datos disponibles (población) para obtener $ evaluar la evidencia sobre al!una característica de esa población* para formar una conclusión sobre la población# 'l muestreo tiene lu!ar cuando no es pr+ctico e8aminar toda la información por ejemplo* los re!istros numerosos o demasiado dispersos !eo!r+ficamente#
5/2/15
14
B.3
•
uestreo B.3.1 &eneralidades &
'% O4='.-2O ,'% M"'S.R'O& es proporcionar información para ue el auditor ten!a confianza en ue los objetivos de la auditoría pueden alcanzarse#
'% R-'S>O ASO1-A,O 1O0 '% M"'S.R'O& es ue las muestras pueden no ser representativas* $ por tanto la conclusión del auditor puede estar ses!ada#
5/2/15
15
B.3
•
uestreo B.3.1 &eneralidades &
'l muestreo para la auditoría !eneralmente implica los si!uientes pasos& 5# 'stablecer los objetivos del plan de muestreo6 ?# Seleccionar la e8tensión $ la composición de la población de la ue se va a realizar el muestreo @# Seleccionar un método de muestreo6 # ,eterminar el tama7o de la muestra a tomar6 B# %levar a cabo la actividad de muestreo6 C# Recopilar* evaluar* informar $ documentar los resultados#
5/2/15
1
B.3
•
uestreo B.3.1 &eneralidades &
Al realizar el muestreo* debería considerarse la calidad de los datos disponibles# %a selección de una muestra apropiada debería basarse en el método de muestreo $ en el tipo de datos reueridos# 'l informe de la muestra seleccionada podría tener en cuenta& 'l tama7o de la muestra* 'l método de selección $ %as estimaciones 3ec3as basadas en la muestra $ el nivel de confianza# • • •
%as auditorías pueden utilizar muestreos basados en juicios o muestreos estadísticos& 5/2/15
1!
B.3
•
uestreo B.3.2 uestreo (asado en uicios &
,epende de los conocimientos* 3abilidades $ e8periencia del euipo auditor#
"n inconveniente del muestreo basado en juicios es ue puede no 3aber una estimación estadística del efecto de la incertidumbre en los 3allaz!os de la auditoría $ en las conclusiones alcanzadas#
5/2/15
1"
B.3
•
uestreo B.3.2 uestreo (asado en uicios & •
•
PARA '% M"'S.R'O 4ASA,O '0 ="-1-OS P"',' 1O0S-,'RARS'&
%a e8periencia de auditorías previas dentro del alcance de la auditoría6 %a complejidad de los reuisitos para alcanzar los objetivos de la auditoría6 %a complejidad e interacción de los procesos de la or!anización 'l !rado de cambio en la tecnolo!ía* el factor 3umano o el sistema de !estión6 %as +reas clave de ries!o previamente identificadas $ las +reas de mejora6 'l resultado del se!uimiento de los sistemas de !estión# •
•
•
•
5/2/15
19
B.3
•
uestreo B.3.3 uestreo estadístico0
'l plan de muestreo debería basarse en los objetivos de la auditoría $ en lo ue se conoce sobre las características de la población#
'l muestreo estadístico utiliza un proceso de selección de la muestra basado en la teoría de la probabilidad#
•
M"'S.R'O 4ASA,O '0 A.R-4".OS
•
5/2/15
M"'S.R'O 4ASA,O '0 2AR-A4%'S
20
B.3
•
uestreo B.3.3 uestreo estadístico0
'% M"'S.R'O 4ASA,O '0 A.R-4".OS se usa cuando sólo 3a$ dos posibles resultados muéstrales para cada muestra (correctoDincorrecto o aptoDno apto)#
'jemplo* 1uando se evala la conformidad de los formularios completados con los reuisitos establecidos en un procedimiento
'% M"'S.R'O 4ASA,O '0 2AR-A4%'S se utiliza cuando el resultado de la muestra se da en un ran!o continuo#
'jemplo* 1uando se e8amina la ocurrencia de incidentes de se!uridad o el nmero de infracciones de se!uridad
5/2/15
21
B.3
•
uestreo B.3.3 uestreo estadístico0 Erecuencia de auditorías en el curso del a7o6
.ama7o de la or!anización6 %OS '%'M'0.OS 1%A2' 9"' AE'1.AR:0 A% M"'S.R'O ,' %A A",-.OR/A SO0& 0mero de auditores competentes6
0ivel de confianza reuerido e8ternamente# ,uración de la auditoría individual6 5/2/15
22
B.3
•
uestreo B.3.3 uestreo estadístico0
'n un plan de muestreo estadístico* el nivel de ries!o muestral (nivel de confianza aceptable) ue el auditor est+ dispuesto a aceptar es una consideración importante#
Por ejemplo* un ries!o muestral del B< corresponde a un nivel de confianza aceptable del FB<# "n ries!o muestral del B< si!nifica ue el auditor est+ dispuesto a aceptar el ries!o de ue B de cada 5;; (o 5 de cada ?;) de las muestras e8aminadas no reflejar+ los valores reales ue se verían si se e8aminara toda la población# 5/2/15
23
B.3
•
uestreo B.3.3 uestreo estadístico0
1"A0,O S' ".-%-GA '% M"'S.R'O 'S.A,/S.-1O* %OS A",-.OR'S ,'4'R/A0 ,O1"M'0.AR '% .RA4A=O R'A%-GA,O# 'S.O ,'4'R/A -01%"-R& "na descripción de la población ue se pretende muestrear* %os criterios muestrales utilizados para la evaluación (por ejemplo* ué es una muestra aceptable)*# %os par+metros estadísticos $ los métodos ue se utilizaron* 'l nmero de muestras evaluadas $ %os resultados obtenidos# 5/2/15
24
B.
•
reparación de los docu$entos de tra(ao
A% PR'PARAR %OS ,O1"M'0.OS ,' .RA4A=O* '% '9"-PO A",-.OR ,'4'R/A 1O0S-,'RAR %AS S->"-'0.'S PR'>"0.AS PARA 1A,A ,O1"M'0.O&
H9ué re!istro de auditoría se crear+ utilizando este documento de trabajoI HA ué actividad de la auditoría afecta este documento de trabajo en particularI H9uién ser+ el usuario de este documento de trabajoI H9ué información se necesita para preparar este documento de trabajoI
5/2/15
25
B.
•
reparación de los docu$entos de tra(ao
PARA %AS A",-.OR/AS 1OM4-0A,AS* ,'4'R/A0 ,'SARRO%%ARS' ,O1"M'0.OS ,' .RA4A=O PARA '2-.AR %A ,"P%-1A1-J0 ,' A1.-2-,A,'S ,' A",-.OR/A M',-A0.'&
%a coordinación del contenido de listas de verificación $ cuestionarios relacionados#
%a a!rupación de reuisitos similares provenientes de criterios diferentes#
%os documentos de trabajo deberían ser adecuados para tratar todos auellos elementos del sistema de !estión dentro del alcance de la auditoría $ pueden facilitarse en cualuier medio# 5/2/15
2
B.5
•
+elección de las fuentes de infor$ación
Observación de actividades $ el ambiente de trabajo $ condiciones circundantes6
,ocumentos como& políticas* objetivos* planes* procedimientos* licencias* planos* contratos6
A+ 'EN4E+ E )NO,A6)7N +EE66)ONAA+ 'EEN )N6'),0 Resmenes de datos* an+lisis e indicadores de desempe7o6
Mediciones6
5/2/15
2!
B.5
•
+elección de las fuentes de infor$ación Re!istros de inspección* actas de reuniones* informes de auditoría* resultados de mediciones6
'ntrevistas con empleados $ con otras personas6
A+ 'EN4E+ E )NO,A6)7N +EE66)ONAA+ 'EEN )N6'),0 -nformes de otras fuentes& encuestas $ mediciones e8ternas6
4ases de datos $ sitios en -nternet6
5/2/15
2"
B.!
•
Orientación so(re la -isita a la u(icación del auditado
Para minimizar la interferencia entre las actividades de auditoría $ los procesos de trabajo del auditado $ para ase!urar la salud $ la se!uridad del euipo auditor durante la visita* debería considerarse lo si!uiente&
planificar la visita
actividades in situ
5/2/15
29
B.!
•
Orientación so(re la -isita a la u(icación del auditado
a8 lanificar la -isita0 5# Ase!urar la autorización $ el acceso a auellas partes de la ubicación del auditado# ?# Proporcionar la información adecuada a los auditores sobre SS. $ normas culturales para la visita* inclu$endo la vacunación6 # '8cepto para auditorías no pro!ramadas* ase!urarse de ue el personal visitado ser+ informado sobre los objetivos $ el alcance de la auditoría6 @# 1onfirmar con el auditado ue el euipo de protección individual estar+ disponible para el euipo auditor6
5/2/15
30 •
B.!
Orientación so(re la -isita a la u(icación del auditado
(8 Acti-idades in situ0 •
•
•
•
•
'vitar cualuier interrupción innecesaria6 Ase!urarse de ue el euipo auditor est+ utilizando el 'PP6 Ase!urarse de ue se comunican los procedimientos de emer!encia6 Pro!ramar la comunicación para minimizar las interrupciones6 0o tocar ni manipular nin!n euipo* a menos ue se permita e8plícitamente* incluso cuando se ten!a la competencia o se esté autorizado6 5/2/15
31
B.!
•
Orientación so(re la -isita a la u(icación del auditado
(8 Acti-idades in situ0 •
•
•
•
Si tiene lu!ar un incidente durante la visita in situ* el líder del euipo auditor debería revisar la situación con el auditado# Si se toman foto!rafías o vídeos* pedir la autorización de la dirección con antelación* evitar tomar foto!rafías de personas sin su permiso6 Si se 3acen copias de documentos de cualuier tipo* pedir permiso con antelación $ considerar las cuestiones de confidencialidad $ se!uridad6
1uando se toman notas* evitar recopilar información personal a menos ue lo reuieran los objetivos de la auditoría o los criterios de auditoría# 5/2/15
32
B."
•
,ealización de entre-istas
En las entre-istas sea cara a cara o por otros $edios de co$unicación9 se de(ería considerar lo si:uiente0 ,eberían mantenerse con personas de los niveles apropiados ue desempe7an actividades dentro del alcance de la auditoría6 %as entrevistas normalmente deberían llevarse a cabo durante la jornada $ en lu!ar de trabajo de la persona entrevistada6 -ntentar ue la persona entrevistada esté a !usto6 ,ebería e8plicarse la razón de la entrevista $ cualuier toma de notas6
5/2/15
33
B."
•
,ealización de entre-istas
En las entre-istas sea cara a cara o por otros $edios de co$unicación9 se de(ería considerar lo si:uiente0 Selección cuidadosa del tipo de pre!unta (pre!untas abiertas* cerradas)6 %as entrevistas pueden iniciarse pre!untando a las personas ue describan su trabajo6 ,ebería a!radecerse a las personas entrevistadas su participación $ cooperación# %os resultados de la entrevista deberían resumirse $ revisarse con el entrevistado6
5/2/15
34
B.#
•
;allaz:os de la auditoría B.#.1 eter$inación de los *allaz:os de la auditoría0 •
%os reuisitos del cliente de la auditoría6 •
A% ,'.'RM-0AR %OS A%%AG>OS ,' %A A",-.OR/A* ,'4'R/A 1O0S-,'RARS'&
'l se!uimiento de los re!istros $ las conclusiones de auditorías previas6 •
•
•
%os 3allaz!os ue e8cedan la pr+ctica normal* o las oportunidades de mejora6
'l tama7o muestral6
%a cate!orización (si la 3a$) de los 3allaz!os de la auditoría6
5/2/15
35
B.#
•
;allaz:os de la auditoría B.#.2 ,e:istro de confor$idades0
PARA %OS R'>-S.ROS ,' 1O0EORM-,A,* ,'4'R/A 1O0S-,'RARS' %O S->"-'0.' •
•
•
%a evidencia de la auditoría para respaldar la conformidad6 %a identificación de los criterios de auditoría respecto a los ue se muestra la conformidad6 %a declaración de conformidad* si es aplicable#
5/2/15
3
B.#
•
;allaz:os de la auditoría B.#.3 ,e:istro de no confor$idades0 PARA %OS R'>-S.ROS ,' %AS 0O 1O0EORM-,A,'S* ,'4'R/A 1O0S-,'RARS'& •
%a descripción de los criterios de auditoría o la referencia a los
•
%a declaración de no conformidad6
•
%a evidencia de la auditoría6
•
%os 3allaz!os de la auditoría relacionados* si es aplicable## 5/2/15
3!
B.#. 4rata$iento de los *allaz:os relacionados con $
•
•
allaz!os separados para cada criterio6 o "n nico 3allaz!o* combinando las referencias a los mltiples criterios#
5/2/15
