Auditor y auditado: elementos para realizar y afrontar una auditoría

A continuación te contamos qué debe tener en cuenta un auditor y un auditado a la hora de preparar, realizar y afrontar una auditoría según la norma ISO 19011:2018.

Introducción

De acuerdo con la norma ISO 19011:2018, una auditoría es un “proceso sistemático, independiente y documentado para obtener evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría”.

Para llevar a cabo de manera exitosa este proceso y generar valor a la organización, es importante que tanto el auditor como la persona a auditar se preparen lo mejor posible y tengan en cuenta algunas recomendaciones y buenas prácticas que les permitan realizar y enfrentar un programa de auditoría de forma estructurada, clara y eficiente, independientemente del tipo que sea.

Es válido recordar que las auditorías pueden ser de:

• Primera parte: son las conocidas auditorías internas, se realizan por o en nombre de la propia organización.
• Segunda parte: son las que realizan aquellas partes que tienen un interés en la organización, por ejemplo, los clientes u otros en su nombre. 
• Tercera parte: son las que llevan a cabo organizaciones auditoras independientes con el objetivo de otorgar una certificación o acreditación.

A continuación presentamos algunos elementos a considerar por parte de un auditor y un auditado para hacer de la auditoría una herramienta eficaz y de valor que apoye las políticas y los controles de gestión para mejorar el desempeño en las organizaciones, tal como lo indica la norma ISO 19011:2018.

Este contenido está basado en esta norma ISO sobre directrices para la auditoría de los sistemas de gestión, por eso, esta información puede ser tenida en cuenta de forma general para la gestión de cualquier programa de auditoría. No abordaremos elementos o recomendaciones puntuales para auditorías de sistemas de gestión específicos (calidad, seguridad de la información, seguridad y salud en el trabajo, compliance, etc.).

¿Qué debe tener en cuenta el auditor?

Si eres auditor, para llegar a cabo una auditoría de la mejor manera, sea interna o externa, ten en cuenta lo siguiente: 

1. Principios de auditoría

Como auditor debes conocer y tener claros los principios que rigen la auditoría, de estos deben partir cada una de las actividades que realices como parte del programa de auditoría. Estos principios, según la norma ISO 19011:2018, son:

• Integridad. Es el fundamento de la profesionalidad y tiene que ver con desempeñar tu trabajo de forma ética, honesta y responsable; además de ser competente e imparcial, es decir, ecuánime y sin ningún tipo de sesgo en tus acciones. 

• Presentación imparcial. Como auditor tienes la obligación de informar con veracidad y exactitud, por eso, todos los hallazgos, conclusiones e informes de la auditoría deben dar cuenta del ejercicio realizado. En todo momento la comunicación debe ser veraz, exacta, objetiva, oportuna, clara y completa. 

• Debido cuidado profesional. Tiene que ver con la capacidad de hacer juicios razonados en todo momento de la auditoría. 

• Confidencialidad. Se refiere a tener discreción en el uso y protección de la información obtenida en la auditoría, esto incluye darle un tratamiento apropiado a la información sensible o confidencial. 

• Independencia. Es la base para la imparcialidad de la auditoría y la objetividad de las conclusiones. Es importante que seas independiente de la actividad que se audita y actúes en todo momento de manera libre de sesgo y conflicto de intereses.

• Enfoque basado en la evidencia. Las evidencias de la auditoría deben ser verificables y debes basarte en muestras de la información disponible. 

• Enfoque basado en riesgos. Este enfoque de auditoría debe influir en la planificación, realización y presentación de los informes de auditoría para garantizar que esta se centra en puntos que son importantes para la organización que auditas.

2. Objetivos del programa de auditoría

Es importante que conozcas y tengas claridad sobre los objetivos que tiene la organización con la auditoría que vas a realizar. Algunos objetivos de un programa de auditoría pueden ser:

• Identificar oportunidades de mejora del sistema de gestión a auditar.

• Evaluar la capacidad del auditado para identificar riesgos y oportunidades así como para implementar acciones para abordarlos.

• Cumplir los requisitos legales y reglamentarios, los compromisos de cumplimiento o los requisitos de certificación de una norma específica de sistemas de gestión.

• Evaluar la compatibilidad y alineación de los objetivos del sistema de gestión a auditar con la dirección estratégica de la organización. 

Sea cual sea el objetivo establecido para la auditoría, es fundamental conocer y entender muy bien el negocio y el entorno en el que opera la organización a auditar, pues así puedes identificar de una mejor manera las fallas u oportunidades de mejora para una verdadero aseguramiento de la entidad. 

3. Establecimiento del programa de auditoría

Aquí es importante considerar aspectos como: 

• Tipo de auditoría a realizar (primera, segunda o tercera parte) y si se trata de una auditoría simple o combinada, es decir, en la que van a ser auditados dos o más sistemas de gestión. 

• Los objetivos del programa de auditoría.

• El alcance de la auditoría, es decir, la extensión y límites que va a tener. Generalmente incluye las ubicaciones físicas y virtuales, las funciones, las unidades de la organización, las actividades y procesos y el período de tiempo cubierto.

• Los criterios de auditoría. Tienen que ver con la referencia frente a la cual se determina la conformidad, por ejemplo, políticas, procedimientos, instrucciones de trabajo, requisitos legales, obligaciones contractuales.

• Los recursos necesarios para el desarrollo del programa de auditoría, incluidos los recursos financieros y de tiempo, recursos humanos y tecnológicos.

• Las normas de sistemas de gestión u otras normas y documentos de referencia u orientación.
  

4. Establecimiento de contacto con el auditado

El líder del equipo auditor (puedes ser tú u otro auditor) debe asegurarse de contactar al auditado para, entre otras cosas:

• Confirmarle los canales de comunicación y la autoridad para realizar la auditoría.

• Brindarle información sobre los objetivos de la auditoría, el alcance, los criterios, los métodos y la composición del equipo auditor.

• Solicitar acceso a información que sea de utilidad para la planificación de la auditoría.

• Determinar los requisitos legales y reglamentarios aplicables y otros que sean relevantes para las actividades, procesos, productos y servicios del auditado.

• Definir el calendario de la auditoría. 

5. Preparación de las actividades de auditoría

En este punto debes tener en cuenta las siguientes actividades:

• Revisión de la información documentada del sistema de gestión que va a ser auditado con el fin de comprender las operaciones del auditado y preparar la auditoría.
  
  Esta información documentada debe incluir documentos y registros del sistema de gestión, además de informes de auditoría previos. Igualmente, es clave que consideres el contexto de la organización del auditado (tamaño, naturaleza, complejidad, riesgos, oportunidades) y por supuesto, el alcance, los criterios y los objetivos de la auditoría.

• Planificación de la auditoría. Una buena práctica es adoptar un enfoque basado en riesgos para la planificar la auditoría con base en la información del programa de auditoría y la información brindada por el auditado. 
  
  Para realizar esta planificación, el auditor líder debe considerar aspectos como:

• Los objetivos, el alcance y los criterios de auditoría.
• Las ubicaciones, las fechas, el horario y la duración prevista de las actividades de auditoría.
• Los métodos de auditoría que van a ser utilizados
• La composición del equipo auditor y su competencia, sus roles y responsabilidades.
• Los recursos apropiados teniendo en cuenta los riesgos y oportunidades de las áreas o procesos que van a ser auditados. 

• Asignación de las tareas al equipo auditor. El auditor líder asigna a cada miembro del equipo la responsabilidad para la auditoría de procesos, actividades, funciones o lugares específicos, lo debe hacer considerando la imparcialidad, objetividad y competencia de los auditores y el uso adecuado de los recursos.
  
  Es importante que el auditor líder realice una reunión con los demás auditores para asignar las funciones y definir posibles cambios. 

• Preparación de la información documentada. Los miembros del equipo auditor deben recopilar y revisar la información relacionada a las tareas de auditoría asignadas para preparar la información documentada de la auditoría, que puede incluir: listas de verificación físicas o digitales, detalles de muestreo de auditoría e información audiovisual. 
  
  Toda la información documentada de la auditoría debería conservarse por lo menos hasta finalizar el ejercicio de la auditoría. 

6. Realización de las actividades de auditoría

El auditor líder y su equipo de trabajo llevan a cabo las diferentes actividades de la auditoría, entre estas:

• Reunión de apertura. Esta reunión se realiza con el propósito de confirmar que todos los participantes (equipo auditor y auditado) están de acuerdo con el plan de auditoría a desarrollar. También se presenta al equipo auditor y sus roles y sirve para asegurarse de que todas las actividades planificadas puedan realizarse.
  
  La recomendación es hacer esta reunión con la dirección del auditado y si es necesario, con los responsables de los procesos que se van a auditar. Es importante que durante esta reunión los auditores puedan resolver las preguntas que tengan los auditados. 

• Comunicación durante la auditoría. Como buena práctica, el equipo auditor debería reunirse de forma periódica para intercambiar información, evaluar el progreso y si es necesario, reasignar tareas entre los auditores. 
  
  Además, es bueno que comuniquen periódicamente al auditado sobre los progresos, hallazgos importantes y cualquier inquietud que surja en el proceso de auditoría.

• Revisión de la información documentada en la auditoría. Realizar esta revisión permite determinar la conformidad del sistema con los criterios de auditoría (con base en la documentación disponible) y reunir información que apoye las actividades de auditoría. 
  
  Esta revisión puede ser realizada a la par de otras actividades y puede continuar a lo largo del proceso de auditoría. 

• Recopilación y verificación de la información. La información sobre los objetivos, el alcance y los criterios de auditoría, así como la relativa a funciones, actividades y procesos, debe ser recopilada mediante un muestreo apropiado y en lo posible, ser verificada. 
  
  Para recopilar la información y obtener evidencias de los hallazgos de la auditoría, los auditores pueden realizar entrevistas, observaciones y revisar la información documentada. 

• Generación de hallazgos de la auditoría. Aquí es importante que la evidencia de la auditoría se evalúe frente a los criterios de la auditoría para determinar los hallazgos de la misma. 
  
  Estos hallazgos pueden indicar conformidad o no conformidad con dichos criterios. Y es necesario que todos los hallazgos incluyan la evidencia que los soporta, las oportunidades de mejora y cualquier recomendación adicional para el auditado. 
  
  Con respecto a las no conformidades, estas pueden clasificarse de manera cuantitativa o cualitativa y deben revisarlas con el auditado para asegurarse de que sean comprendidas. 

• Determinación de las conclusiones de la auditoría. Esta última actividad consta de diferentes acciones, por ejemplo:

• Preparación de la reunión de cierre. Aquí el equipo auditor debe revisar los hallazgos de la auditoría y cualquier otra información relacionada con la misma; concertar las conclusiones de la auditoría realizada y preparar las recomendaciones.

• Contenido de las conclusiones de la auditoría, que deberían incluir aspectos como el grado de conformidad con los criterios de auditoría y la solidez y eficacia del sistema de gestión para cumplir los resultados, así como recomendaciones para la mejora o próximas auditorías.

• Realización de la reunión de cierre. Esta reunión es para que se presenten los hallazgos y las conclusiones de la auditoría y debería ser presidida por el líder del equipo auditor. Entre otros, en esta reunión es bueno que participen los representantes de la dirección del auditado, los responsables de las funciones o procesos auditados, otros miembros del equipo auditor, entre otras partes interesadas. 

7. Preparación y distribución del informe de auditoría

El auditor líder es responsable de informar las conclusiones de la auditoría realizada según el programa de auditoría establecido. Este informe debe brindar un registro completo, preciso, conciso y claro del ejercicio realizado y entre otras cosas debería incluir:

• Los objetivos y alcance de la auditoría (funciones y procesos auditados).
• Identificación del equipo auditor y de los participantes auditados.
• Criterios de la auditoría.
• Hallazgos y evidencias relacionadas.
• Conclusiones.
• Declaración del grado de cumplimiento de los criterios de la auditoría.

Por otro lado, es importante que este informe sea emitido en un periodo de tiempo establecido y sea fechado, revisado y aceptado según el programa de auditoría. 

8. Actividades de seguimiento de una auditoría

Al finalizar la auditoría, es importante que los auditores estén al tanto de las acciones correctivas u oportunidades de mejora que hayan surgido y que debe llevar a cabo el auditado en un periodo de tiempo establecido. El equipo debería verificar si estas acciones se completan y si tienen la eficacia esperada para remediar las no conformidades.

Tener presente todos los anteriores elementos, de la ISO 19011:2018, servirá a los auditores líderes y sus equipos de trabajo para que preparen y realicen auditorías, sean internas o externas, de una manera más clara y práctica. En otras palabras, es una hoja de ruta para la preparación, ejecución y finalización de los programas de auditoría que lleven a cabo. 

Por otro lado, una buena práctica es apoyarse en herramientas tecnológicas como un software de gestión para que el ejercicio de auditoría sea más organizado, simple, eficiente y objetivo. 

Con el sistema de gestión de Auditorías de Pirani en tu organización podrán mejorar los procesos de auditoría y generar realmente valor. Entre otras funcionalidades con Pirani será más simple:

• Planificar los programas de auditoría.
• Crear los planes de auditoría y listas de chequeo con la información necesaria como criterios de evaluación, preguntas para el auditado y comentarios adicionales.
• Gestionar los planes de auditoría, es decir, podrán asignar puntuaciones, agregar observaciones, adjuntar evidencias de los hallazgos y mucho más. 
• Dar seguimiento a las acciones correctivas para la remediación de los hallazgos. Aquí, por ejemplo, podrán asignar responsables, establecer fechas límite y añadir comentarios y evidencias relacionadas con cada acción. 

Crea ahora tu cuenta en Pirani y conoce cómo ayudamos a tu organización a hacer más eficientes los procesos de auditoría. 

¿Qué debe tener en cuenta el auditado?

Si eres un auditado, ten presente que para que una auditoría cumpla con sus objetivos, además de la preparación, planeación y profesionalismo del auditor líder y su equipo, es clave el papel que cumples, pues debes prepararte y tener toda la disposición para ser evaluado por parte de los auditores.

Entre otras cosas, como persona a auditar deberías:

• Tener conocimiento de qué te van a auditar, es decir, sobre qué procesos o numerales de una norma o regulación vas a ser evaluado, pues así podrás prepararte adecuadamente para responder las preguntas del equipo auditor. 

• Conocer el plan de auditoría: objetivo, alcance, ítems a evaluar, cronograma.

• Responder de forma clara a las preguntas del auditor y mostrar evidencias que soporten lo que haces. Por eso, es fundamental que estés muy bien preparado, conozcas tus procesos y tengas todo documentado adecuadamente, de esta forma evitas caer en imprecisiones.

• Ser responsable de los planes de remediación para corregir los hallazgos. Estos planes los debes ejecutar en el periodo de tiempo definido por el equipo auditor. 

• Conocer el informe final de auditoría y con base a los resultados y recomendaciones prepararte para una próxima auditoría. 

Es común que como auditado puedas sentirte nervioso durante la auditoría. La mejor manera de evitar esto es prepararte con tiempo, tener todo el proceso y documentos organizados, responder con naturalidad a las preguntas que te hace el auditor y en caso de que haya no conformidades, comprometerse con su pronta remediación. 

Por último, debes tener presente que los procesos de auditoría se realizan con el fin de conocer el grado de cumplimiento que tiene la organización con respecto a su estrategia o a normas y regulaciones específicas y a partir de esto, poder generar realmente valor. Y tú eres parte clave de este proceso. 

Conclusiones

1. Para llevar a cabo auditorías, sean de primera, segunda o tercera parte, si eres auditor es fundamental que conozcas los principios que rigen este proceso, que agrega valor a las organizaciones. Entre otros, algunos de estos principios son: integridad, imparcialidad, confidencialidad, objetividad e independencia. 
   
   
2. El proceso de auditoría está conformado por diferentes elementos que son necesarios para realizar un buen trabajo, por ejemplo: el programa de auditoría, las actividades del plan de auditoría, el informe final de auditoría, el seguimiento de la auditoría, etc. Es necesario que el auditor líder y su equipo de trabajo tengan claridad sobre todo esto y se preparen de la mejor manera posible.
   
   
3. El uso de herramientas tecnológicas, como el sistema de gestión de Auditorías de Pirani, puede ayudar a los auditores a realizar su trabajo de forma más simple, eficiente, eficaz y objetiva. En una sola plataforma pueden tener toda la información que necesitan para el ejercicio de auditoría.
   
   
4. El auditado también tiene un papel clave en el proceso de auditoría. Esta persona debe prepararse adecuadamente para afrontar la auditoría, para ello debe conocer muy bien sus procesos, así como el plan de auditoría (objetivos, alcance, cronograma).

Referencia bibliográfica

1. Norma ISO 19011:2018: Directrices para la auditoría de los sistemas de gestión