Debería establecerse un programa de auditoría que puede incluir auditorías que traten una o más normas de sistemas de gestión u otros requisitos, realizadas por separado o en combinación (auditoría combinada).
La extensión de un programa de auditoría debería basarse en el tamaño y la naturaleza del auditado, así como en la naturaleza, funcionalidad, complejidad, el tipo de riesgos y oportunidades, y el nivel de madurez de los sistemas de gestión que se van a auditar.
La funcionalidad del sistema de gestión puede ser aún más compleja si la mayoría de las funciones importantes están contratadas externamente y se gestionan bajo el liderazgo de otras organizaciones. Es necesario prestar especial atención dónde se toman las decisiones más importantes y qué constituye la alta dirección del sistema de gestión.
En el caso de múltiples ubicaciones/sedes (por ejemplo diferentes países), o cuando hay funciones importantes contratadas externamente y gestionadas bajo el liderazgo de otra organización, debería prestarse especial atención al diseño, la planificación y la validación del programa de auditoría
En el caso de organizaciones más pequeñas o menos complejas, el programa de auditoría puede escalarse apropiadamente.
A fin de comprender el contexto del auditado, el programa de auditoría debería tener en cuenta del auditado:
- los objetivos organizacionales;
- las cuestiones externas e internas pertinentes;
- las necesidades y expectativas de las partes interesadas pertinentes;
- los requisitos de seguridad y confidencialidad de la información.
La planificación de los programas de auditoría interna y, en algunos casos, los programas para auditar a los proveedores externos, pueden prepararse para contribuir a otros objetivos de la organización.
Las personas responsables de la gestión del programa de auditoría deberían asegurase de que se mantiene la integridad de la auditoría y de que no se ejerce una influencia indebida sobre la auditoría.
Debería darse prioridad de auditoría a la asignación de recursos y métodos para los asuntos de un sistema de gestión con los riesgos inherentes más altos y con los niveles de desempeño más bajos.
Deberían asignarse personas competentes para gestionar el programa de auditoría.
El programa de auditoría debería incluir la información e identificar los recursos que permitan que las auditorías se realicen de forma eficaz y eficiente dentro de los periodos de tiempo especificados. Esta información debería incluir lo siguiente:
- objetivos para el programa de auditoría;
- riesgos y oportunidades asociados con el programa de auditoría y las acciones para abordarlos;
- alcance (extensión, límites, ubicaciones) de cada auditoría dentro del programa de auditoría;
- calendario (número/duración/frecuencia) de las auditorías;
- tipos de auditoría, tales como internas o externas;
- criterios de auditoría;
- métodos de auditoría a emplear;
- criterios para seleccionar a los miembros del equipo auditor;
- información documentada
Parte de esta información puede no estar disponible hasta que se complete una planificación de auditoría más detallada.
La implementación del programa de auditoría debería seguirse y medirse, de manera continua, para asegurarse de que se han alcanzado sus objetivos. El programa de auditoría debería revisarse a fin de identificar necesidades de cambios y posibles oportunidades para la mejora.
Fuente: ISO 19011: 2018
Deja una respuesta