Directrices para la Auditoría de Sistemas de Gestión: Principios y Prácticas

1. Objeto y Campo de Aplicación

Esta Norma Internacional proporciona orientación sobre la auditoría de los sistemas de gestión, incluyendo los principios de la auditoría, la gestión de un programa de auditoría y la realización de auditorías de sistemas de gestión. Asimismo, ofrece orientación sobre la evaluación de la competencia de los individuos implicados en el proceso de auditoría, incluyendo a la persona que gestiona el programa de auditoría, los auditores y los equipos auditores.

Es aplicable a todas las organizaciones que necesitan realizar auditorías internas o externas de sistemas de gestión, o gestionar un programa de auditoría.

La aplicación de esta Norma Internacional a otros tipos de auditorías es posible, siempre que se preste especial atención a la competencia específica necesaria.

2. Referencias Normativas

No se citan referencias normativas. Se incluye este capítulo para mantener la numeración de los capítulos idéntica a otras normas de sistemas de gestión ISO.

3. Términos y Definiciones

Para el propósito de este documento, son aplicables los siguientes términos y definiciones:

3.1 Auditoría

Proceso sistemático, independiente y documentado para obtener evidencias de la auditoría (3.3) y evaluarlas de forma objetiva con el fin de determinar la extensión en que se cumplen los criterios de auditoría (3.2).

NOTA 1 Las auditorías internas, algunas veces llamadas auditorías de primera parte, se realizan por la propia organización, o en su nombre, para la revisión por la dirección y para otros propósitos internos (por ejemplo, para confirmar la eficacia del sistema de gestión o para obtener información para la mejora del sistema de gestión). Las auditorías internas pueden formar la base para una autodeclaración de conformidad de una organización. En muchos casos, particularmente en organizaciones pequeñas, la independencia puede demostrarse al estar libre el auditor de responsabilidades en la actividad que se audita o al estar libre de sesgo y conflicto de intereses.

NOTA 2 Las auditorías externas incluyen auditorías de segunda y tercera parte. Las auditorías de segunda parte se llevan a cabo por partes que tienen un interés en la organización, tal como los clientes, o por otras personas en su nombre. Las auditorías de tercera parte se llevan a cabo por organizaciones auditoras independientes, tales como autoridades reglamentarias o aquellas que proporcionan el registro o la certificación.

NOTA 3 Cuando dos o más sistemas de gestión de disciplinas diferentes (por ejemplo, de la calidad, ambiental, seguridad y salud ocupacional) se auditan juntos, se denomina auditoría combinada.

NOTA 4 Cuando dos o más organizaciones auditoras cooperan para auditar a un único auditado (3.7), se denomina auditoría conjunta.

NOTA 5 Adaptado de la Norma ISO 9000:2005, definición 3.9.1.

3.2 Criterios de Auditoría

Conjunto de políticas, procedimientos o requisitos usados como una referencia frente a la cual se compara la evidencia de la auditoría (3.3)

NOTA Adaptado de la Norma ISO 9000:2005, definición 3.9.3.

3.3 Evidencia de la Auditoría

Registros, declaraciones de hechos o cualquier otra información que son pertinentes para los criterios de auditoría (3.2) y que son verificables.

NOTA La evidencia de la auditoría puede ser cualitativa o cuantitativa. [ISO 9000:2005, definición 3.9.4]

3.4 Hallazgos de la Auditoría

Resultados de la evaluación de la evidencia de la auditoría (3.3) recopilada frente a los criterios de auditoría (3.2).

NOTA 1 Los hallazgos de la auditoría pueden indicar conformidad o no conformidad.

NOTA 2 Los hallazgos de la auditoría pueden conducir a la identificación de oportunidades para la mejora o el registro de buenas prácticas.

NOTA 3 Si los criterios de auditoría se seleccionan de entre los requisitos legales y otros requisitos, el hallazgo de la auditoría se denomina cumplimiento o no cumplimiento.

NOTA 4 Adaptado de la Norma ISO 9000:2005, definición 3.9.5.

3.5 Conclusiones de la Auditoría

Resultado de una auditoría (3.1), tras considerar los objetivos de la auditoría y todos los hallazgos de la auditoría (3.4)

NOTA Adaptado de la Norma ISO 9000:2005, definición 3.9.6.

3.6 Cliente de la Auditoría

Organización o persona que solicita una auditoría (3.1)

NOTA 1 En el caso de una auditoría interna, el cliente de la auditoría también puede ser el auditado (3.7) o la persona que gestiona el programa de auditoría. Las solicitudes de una auditoría externa pueden venir de fuentes como autoridades reglamentarias, partes contratantes o clientes potenciales.

NOTA 2 Adaptado de la Norma ISO 9000:2005, definición 3.9.7.

3.7 Auditado

Organización que es auditada [ISO 9000:2005, definición 3.9.8]

3.8 Auditor

Persona que lleva a cabo una auditoría (3.1)

3.9 Equipo Auditor

Uno o más auditores (3.8) que llevan a cabo una auditoría (3.1), con el apoyo, si es necesario, de expertos técnicos (3.10).

NOTA 1 A un auditor del equipo se le designa como líder del mismo.

NOTA 2 El equipo auditor puede incluir auditores en formación.

[ISO 9000:2005, definición 3.9.10]

3.10 Experto Técnico

Persona que aporta conocimientos o experiencia específicos al equipo auditor (3.9)

NOTA 1 El conocimiento o experiencia específicos son los relacionados con la organización, el proceso o la actividad a auditar, el idioma o la orientación cultural.

NOTA 2 Un experto técnico no actúa como un auditor (3.8) en el equipo auditor (3.9). [ISO 9000:2005, definición 3.9.11]

3.11 Observador

Persona que acompaña al equipo auditor (3.9) pero que no audita.

NOTA 1 Un observador no es parte del equipo auditor y no influye ni interfiere en la realización de la auditoría (3.1).

NOTA 2 Un observador puede provenir del auditado (3.7), una autoridad reglamentaria u otra parte interesada que testifica la auditoría (3.1).

3.12 Guía

Persona designada por el auditado (3.7) para asistir al equipo auditor (3.9)

3.13 Programa de Auditoría

Detalles acordados para un conjunto de una o más auditorías (3.1) planificadas para un período de tiempo determinado y dirigidas hacia un propósito específico.

NOTA Adaptado de la Norma ISO 9000:2005, definición 3.9.2.

3.14 Alcance de la Auditoría

Extensión y límites de una auditoría (3.1)

NOTA El alcance de la auditoría incluye generalmente una descripción de las ubicaciones, las unidades de la organización, las actividades y los procesos

, así como el periodo de tiempo cubierto.

3.15 Plan de auditoría.  Descripción de las actividades y de los detalles acordados de una auditoría (3.1) [ISO 9000:2005, definición 3.9.12]

3.16 Riesgo. Efecto de la incertidumbre sobre los objetivos

NOTA Adaptado de la Guía ISO 73:2009, definición 1.1.

3.17 Competencia.  Aptitud para aplicar conocimientos y habilidades para alcanzar los

resultados pretendidos NOTA La aptitud implica la aplicación apropiada del comportamiento personal durante el proceso de auditoría.

3.18 Conformidad. Cumplimiento de un requisito [ISO 9000:2005, definición 3.6.1] nOTA Si los criterios de auditoría (3.2) son requisitos legales (incluyendo legales y reglamentarios), los términos “conforme” o “no conforme” a menudo se usan en un hallazgo de auditoría (3.4).

3.19 No conformidad. Incumplimiento de un requisito [ISO 9000:2005, definición 3.6.2]

3.20 Sistema de gestión.  Sistema para establecer la política y los objetivos y para lograr dichos objetivos

NOTA Un sistema de gestión de una organización puede incluir diferentes sistemas de gestión, tales como un sistema de gestión de la calidad, un sistema de gestión financiera o un sistema de gestión ambiental. [ISO 9000:2005, definición 3.2.2]