4. Principios de 5.

Gestión de un
auditoría Programa de Auditoría
La auditoria
Se caracteriza por 5.1 Generalidade
depender de
varios principios
Una organización que:
Necesita llevar a cabo una au
La adhesión a esos establecer un programa de
principios contribuya a la determinación d
Es un del sistema de gestión del audita
Requisito previo para
P proporcionar La alta gerencia debería:
ri conclusiones de la
Asegurar que los objetivos de
n auditoría pertinentes
auditoría se hayan establecido
y suficientes para
ci permitir a los más personas competentes pa
pi auditores trabajar programa de auditoría.
o independientemente La implementación
s entre sí. debería
Monitorearse y medirse para a
han alcanzado los objetivos traz
a) Integridad: el
fundamento del Y debería
profesionalismo
Ser revisado para identificar pos
b) Presentación ecuánime:
obligación de reportar con
veracidad y exactitud
5.2 Establecer los obje
del programa de audito
c) Debido cuidado
profesional: la aplicación
de diligencia y juicio al Estos objetivos pueden es
auditar consideración a lo siguiente
 c) Debido cuidado
profesional: la aplicación
de diligencia y juicio al Estos objetivos pueden es
auditar consideración a lo siguiente
d) Confidencialidad:
seguridad de la a) prioridades de la gerencia;
información b) intenciones comerciales
c) características de proce
proyectos y cualquier cambio
e) Independencia: la base d) requisitos del sistema de g
para la imparcialidad de la e) requisitos legales y con
auditoría y la objetividad de requisitos a los que la
las conclusiones de la comprometida;
auditoría f) necesidad de evaluación de
g) necesidades y expectati
f) Enfoque basado en la interesadas, incluyendo client
evidencia: el método h) nivel de desempeño del au
racional para alcanzar la ocurrencia de fallas o inci
conclusiones de auditoría clientes;
fiables y reproducibles en i) riesgos para el auditado;
un proceso de auditoría j) resultados de auditorías pre
sistemático k) nivel de madurez del sistem
auditad:

5.3 Establecer el pro

de auditoría

5.3.1 Roles y respon

persona que gestiona
auditoría

La persona que gesti

auditoría debería inform
acerca del contenido
necesario, debería solicit

5.3.2 Competencia de
gestiona el programa de

La persona que gesti

auditoría debería involu
continuas de desarro
mantener el conocim
necesarias para gestio
auditoría.
La persona que gesti
auditoría debería involu
continuas de desarro
mantener el conocim
necesarias para gestio
auditoría.

5.3.3 Establecer el alc

auditoría

La persona que ges

auditoría debería determ
programa, el cual pued
tamaño y naturaleza de
la naturaleza, funcionali
de madurez y temas
sistema de gestión a ser

5.3.4 Identificación y
riesgos del programa d

La persona que gestio

considerar estos riesgos

5.3.5 Establecer pro

programa de auditoría

La persona que ges

auditoría debería es
procedimientos que
siguiente, según sea ap

— planeación y prog
teniendo en cuenta los
auditoría;
— asegurar la seguridad
información;
— asegurar la compete
los líderes del equipo au
— seleccionar equipos
y asignar sus roles y res
— llevar a cabo auditorí
métodos de muestreo a
información;
— asegurar la compete
los líderes del equipo au
— seleccionar equipos
y asignar sus roles y res
— llevar a cabo auditorí
métodos de muestreo a
— conducir auditoría
necesario;
— reportar a la alta
resultado general del pr
— mantener registros de
— monitorear y revisar
y mejorar la efectivi
auditoría

5.3.6 Identificar los rec

auditoría

La persona que ges

debería considerar:
— recursos financie
desarrollar, implementa
actividades de auditoría
— métodos de auditoría
— disponibilidad de lo
técnicos que tengan la
para los objetivos partic
auditoría;
— alcance del progra
riesgos del mismo;
— tiempo y costos
— disponibilidad de la in

5.4 Implementació
programa de audit

5.4.1 Generalidades
5.4.1 Generalidades

La persona que gesti

auditoría debería:
— comunicar las pa
programa de auditoría a
informales periódicamen
definir objetivos para ca
coordinar y programa
actividades relevantes al
selección de equipos de
recursos necesarios y
auditorías se lleven a cab

5.4.2 Definición
objetivos, alcance
criterios para
auditoría individual

Cada auditoría individua

en objetivos, alcance y
documentados

5.4.3 Selección
métodos de auditoría

Seleccionar y determina
a cabo una auditoría
dependiendo de los obje
de auditoría definidos.

5.4.4 Selección de
miembros del equ
audito

Nombrar los miembros

incluyendo el líder de
experto técnico necesa
específica.

5.4.5 Asignación
responsabilidad de
auditoría individual al
equipo auditor
 5.4.5 Asignación
responsabilidad de
auditoría individual al
equipo auditor

Asignar la responsabilid
la auditoría individual al l

5.4.6 Gestión
resultado del programa
auditoría

llevar a cabo las siguiente

— revisar y aprobar los r
revisar el análisis de caus
— distribución de los rep
alta gerencia y otras parte
— determinar la necesida

5.4.7 Gestión
mantenimiento
registros de programa
auditoría

Asegurar que se creen, ges

los registros de auditoría
implementación de un progr

5.5 Monitoreo del pr

de auditoría

Debería monitorear su imple

en cuenta la necesidad de:
a) evaluar conformidad con
b) evaluar el desempeño
equipo auditor;
c) evaluar la habilidad de l
para implementar el plan de
d) evaluar la retroalimentac
b) evaluar el desempeño
equipo auditor;
c) evaluar la habilidad de l
para implementar el plan de
d) evaluar la retroalimentac

5.6 Revisión y mej

programa de aud

Revisar dicho programa p

alcanzado sus objetivos
 O
S

9
0
0
0

2
0
0
5
I

:
ón de un 6 . Realización de
de Auditoría la auditoría

5.1 Generalidades 6.2 Inicio de la auditoría

ión que:
ar a cabo una auditoría debería
6.2.1 Generalidades
un programa de auditoría que
la determinación de la efectividad
e gestión del auditado. Cuando se da inicio a una auditoría, la
responsabilidad de llevar a cabo dicha
debería: auditoría sigue siendo del líder del
equipo auditor hasta que la auditoría se
e los objetivos del programa de haya finalizado.
hayan establecido y asignar una o
as competentes para gestionar el
auditoría. 6.2.2 Establecer contacto inicial
con el auditado
entación
debería
y medirse para asegurar que se El contacto inicial con el auditado
do los objetivos trazados. para el desarrollo de la auditoría
puede ser formal o informal y
debería debería hacerlo el líder del equipo
auditor.
para identificar posibles mejoras.

6.2.3 Determinación de la
viabilidad de la auditoría
ablecer los objetivos
grama de auditoría La viabilidad de la auditoría debería
ser determinada a fin de proveer
una confianza razonable de que los
objetivos de auditoría pueden ser
etivos pueden estar basados en alcanzados
ción a lo siguiente:

etivos pueden estar basados en
ción a lo siguiente:
des de la gerencia;
nes comerciales
erísticas de procesos, productos y
y cualquier cambio en estos;
os del sistema de gestión;
tos legales y contractuales y otros
a los que la organización esté
etida;
ad de evaluación de proveedor;
dades y expectativas de las partes
s, incluyendo clientes;
desempeño del auditado, reflejado en
cia de fallas o incidentes o quejas de
para el auditado;
os de auditorías previas;
madurez del sistema de gestión a ser
Establecer el programa
de auditoría
Roles y responsabilidades de la
a que gestiona el programa de
ía
ersona que gestiona un programa de
ría debería informar a la alta gerencia
a del contenido del mismo y de ser
ario, debería solicitar su aprobación.
Competencia de la persona que
na el programa de auditoría
ersona que gestiona el programa de
ría debería involucrarse en actividades
uas de desarrollo profesional para
ner el conocimiento y habilidades
arias para gestionar el programa de
ría.
ser determinada a fin de proveer
una confianza razonable de que los
objetivos de auditoría pueden ser
alcanzados
6.3 Preparación de
actividades de auditoría
6.3.1 Revisión de documentos en
preparación para la auditoría
Lo documentación debería incluir,
según sea aplicable, los
documentos y registros del sistema
de gestión, así como reportes de
auditorías previa
6.3.2 Preparación del plan de
auditoría
6.3.2.1 El líder del equipo auditor
debería preparar un plan de
auditoría basado en la información
contenida en el programa de
auditoría y en la documentación
entregada por el auditado.
6.3.2.2 La escala y contenido el
plan de auditoría puede diferir, por
ejemplo, entre la auditoría inicial y
auditorías subsecuentes, así como
entre auditorías internas y externas.
6.3.3 Asignación de trabajo al
equipo auditor
El líder del equipo auditor,
consultando con el equipo auditor,
debería asignar a cada miembro del
equipo la responsabilidad para
auditar procesos, funciones,
lugares, áreas o actividades
específicos.

ersona que gestiona el programa de
ría debería involucrarse en actividades
uas de desarrollo profesional para
ner el conocimiento y habilidades
arias para gestionar el programa de
ría.
Establecer el alcance del programa de
oría
persona que gestiona el programa de
oría debería determinar el alcance de dicho
ama, el cual puede variar dependiendo el
ño y naturaleza del auditado, así como de
turaleza, funcionalidad, complejidad y nivel
madurez y temas significativos para el
ma de gestión a ser auditado
Identificación y evaluación de los
os del programa de auditoría
ersona que gestiona el programa debería
iderar estos riesgos para su desarrollo
Establecer procedimientos para el
rama de auditoría
persona que gestiona el programa de
toría debería establecer uno o más
edimientos que den tratamiento a lo
ente, según sea aplicable
laneación y programación de auditorías
ndo en cuenta los riesgos del programa de
oría;
segurar la seguridad y confidencialidad de la
mación;
segurar la competencia de los auditores y
deres del equipo auditor;
eleccionar equipos de auditoría apropiados
gnar sus roles y responsabilidades;
var a cabo auditorías, incluyendo el uso de
dos de muestreo adecuados;
consultando con el equipo auditor,
debería asignar a cada miembro del
equipo la responsabilidad para
auditar procesos, funciones,
lugares, áreas o actividades
específicos.
6.3.4 Preparación de los
documentos de trabajo
Los miembros del equipo auditor
deberían recolectar y revisar la
información pertinente a las tareas
asignadas y preparar los
documentos de trabajo que sean
necesarios como referencia y
registro del desarrollo de la
auditoría.
6.4 Realización de
actividades de auditoría
6.4.2 Realización de la
reunión de apertura
Se debería realizar una reunión de
apertura con la dirección del auditado
o, cuando sea apropiado, con
aquellos responsables para las
funciones o procesos que se van a
auditar. Durante la reunión de
apertura se debería dar la oportunidad
de hacer preguntas
6.4.3 Revisión documental
durante la realización de la
auditoría
La revisión puede estar combinada
con otras actividades de auditoría y
puede continuar a todo lo largo de la
misma, en tanto esto no vaya en
detrimento de la efectividad en la
mación;
segurar la competencia de los auditores y
deres del equipo auditor;
eleccionar equipos de auditoría apropiados
gnar sus roles y responsabilidades;
var a cabo auditorías, incluyendo el uso de
dos de muestreo adecuados;
onducir auditoría de seguimiento, si es
sario;
eportar a la alta gerencia acerca del
tado general del programa de auditoría;
antener registros del programa de auditoría;
onitorear y revisar el desempeño y riesgos
ejorar la efectividad del programa de
oría
6 Identificar los recursos del programa de
toría
persona que gestiona dicho programa
ría considerar:
recursos financieros necesarios para
rrollar, implementar, gestionar y mejorar las
dades de auditoría;
étodos de auditoría;
isponibilidad de los auditores y expertos
cos que tengan la competencia adecuada
los objetivos particulares del programa de
oría;
lcance del programa de auditoría y los
os del mismo;
empo y costos
sponibilidad de la información
4 Implementación del
ograma de auditoría
Generalidades
La revisión puede estar combinada
con otras actividades de auditoría y
puede continuar a todo lo largo de la
misma, en tanto esto no vaya en
detrimento de la efectividad en la
realización de la auditoría.
6.4.4 Comunicación durante
la auditoría
Durante la auditoría puede resultar
necesario hacer arreglos formales de
comunicación entre el equipo auditor,
así como con el auditado, el cliente de
auditoría y potenciales entes externos
(ej. entes reguladores), especialmente
cuando los requisitos legales incluyen
el reporte obligatorio de no
conformidades.
6.4.5 Asignación de roles y
responsabilidades de guías y
observadores
Los guías y observadores (ej. entes
reguladores u otras partes
interesadas) pueden acompañar al
equipo de auditores. Estos no
deberían influenciar o interferir con la
realización de la auditoría
6.4.6 Recolección y
Verificación de la información
Durante la auditoría, la información
relevante a los objetivos, alcance y
criterios de la auditoría, incluyendo
información relacionada con
interfaces entre funciones, actividades
y procesos debería ser recolectada
 Durante la auditoría, la información
Generalidades relevante a los objetivos, alcance y
criterios de la auditoría, incluyendo
información relacionada con
ersona que gestiona el programa de interfaces entre funciones, actividades
ría debería: y procesos debería ser recolectada
omunicar las partes pertinentes del por medio de muestreo apropiado y
ama de auditoría a las partes relevantes e debería ser verificada
ales periódicamente acerca del progreso;
objetivos para cada auditoría individual,
nar y programar auditorías y otras
ades relevantes al programa; asegurar la 6.4.7 Generación de hallazgos
ión de equipos de auditoría, proveer los de auditoría
os necesarios y asegurar que las
rías se lleven a cabo.
La evidencia de auditoría debería ser
evaluada contra los criterios de la
Definición de auditoría a fin de determinar los
ivos, alcance y hallazgos de la auditoría.
rios para una
oría individual
6.4.8 Preparación de
conclusiones de auditoría
auditoría individual debería estar basada
bjetivos, alcance y criterios de auditoría
mentados Si el plan de auditoría así lo
especifica, las conclusiones de la
auditoría pueden llevar a
Selección de
recomendaciones para la mejora o
dos de auditoría
futuras actividades de auditoría

cionar y determinar los métodos para llevar

bo una auditoría de manera efectiva, 6.4.9 Realización de la reunión
ndiendo de los objetivos, alcance y criterios de cierre
ditoría definidos.

Selección de los Se debería llevar a cabo una reunión

mbros del equipo de cierre, facilitada por el líder del
o equipo auditor, para presentar los
hallazgos y conclusiones de la
rar los miembros del equipo auditor, auditoría
endo el líder del equipo y cualquier
o técnico necesario para la auditoría
ífica. 6.5 Preparación y
distribución del reporte
Asignación de de auditoría
onsabilidad de una
oría individual al líder del
po auditor
 6.5 Preparación y
distribución del reporte
Asignación de de auditoría
onsabilidad de una
oría individual al líder del
po auditor 6.5.1 Preparación del reporte
de auditoría
ar la responsabilidad de la realización de
ditoría individual al líder del equipo auditor
El líder del equipo auditor debería
reportar los resultados de acuerdo
con los procedimientos del programa
Gestión del
de auditoria
tado del programa de
oría

6.5.2 Distribución del reporte

a cabo las siguientes actividades:
de auditoría
isar y aprobar los reportes de auditoría; —
r el análisis de causa raíz
tribución de los reportes de auditoría a la
erencia y otras partes relevantes; El reporte de auditoría debería ser
erminar la necesidad emitido dentro de un periodo de
tiempo acordado. En caso de
Gestión y demoras, las razones deberían ser
enimiento de comunicadas a la persona que
ros de programa de gestiona el programa de auditoría.
oría

que se creen, gestionen y mantengan

tros de auditoría para demostrar la 6.6 Finalización de la
ntación de un programa de auditoría auditoría

La auditoría finalice cuando todas las

Monitoreo del programa
actividades de auditoría planeadas
de auditoría hayan sido llevadas a cabo, o
acordadas de otro modo con el cliente
monitorear su implementación, teniendo de auditoria (ej. puede presentarse
a la necesidad de: una situación inesperada que no
ar conformidad con los programas permita que la auditoría sea
ar el desempeño de los miembros del completada de acuerdo con el plan).
uditor;
ar la habilidad de los equipos auditores
lementar el plan de auditoría;
ar la retroalimentación
ar el desempeño de los miembros del
uditor;
ar la habilidad de los equipos auditores
lementar el plan de auditoría;
ar la retroalimentación
6.7 Realización de
seguimiento a la
Revisión y mejora del
auditoría
rograma de auditoría
Dependiendo de los objetivos de la
dicho programa para evaluar si se han auditoría, las conclusiones de la
do sus objetivos auditoría pueden indicar la necesidad
de acciones correctivas, preventivas,
o de mejora
 7 . Competencia y
evaluación de auditores

uditoría
7.1 Generalidades

La competencia debería ser evaluada a

través de un proceso que tiene en
una auditoría, la cuanta el comportamiento personal y la
ar a cabo dicha habilidad de aplicar el conocimiento y
o del líder del habilidades ganadas a través de la
e la auditoría se educación, experiencia laboral,
entrenamiento de auditor y experiencia
en auditoría

acto inicial

7.2 Determinación de las

con el auditado competencias de auditor
de la auditoría requeridas para satisfacer las
o informal y
líder del equipo
necesidades del programa de
auditoría

de la
ía 7.2.2 Comportamiento personal

ditoría debería
n de proveer Los auditores deberían mostrar un
ble de que los comportamiento profesional durante
a pueden ser el desarrollo de las actividades de
auditoría
n de proveer
ble de que los comportamiento profesional durante
a pueden ser el desarrollo de las actividades de
auditoría

n de 7.2.3 Conocimiento y habilidades

ditoría

umentos en
Los auditores deberían poseer el
ditoría
conocimiento y habilidades
necesarias para alcanzar los
ebería incluir, resultados esperados de las
cable, los auditorías que se espera que
s del sistema realicen.
o reportes de Los auditores deberían tener el
conocimiento y habilidades
específicas para la disciplina y
l plan de sector que sean apropiados para
auditor un tipo particular de sistema
de gestión y sector
quipo auditor
n plan de
a información
rograma de 7.2.4 Logro de competencias de
ocumentación auditor.
ado.

contenido el El conocimiento y habilidades de

de diferir, por auditor se pueden adquirir usando
toría inicial y una combinación de lo siguiente: —
es, así como educación formal/entrenamiento y
as y externas. experiencia que contribuye al
desarrollo de conocimiento y
habilidades en la disciplina y sector
de sistema de gestión que el auditor
trabajo al busca auditar; — programas de
entrenamiento que cubren
conocimiento genérico y habilidades
de auditor;
po auditor,
uipo auditor,
miembro del
ilidad para
funciones, 7.2.5 Líderes de equipo auditor
actividades
uipo auditor,
miembro del
ilidad para
funciones, 7.2.5 Líderes de equipo auditor
actividades

Un líder de equipo auditor debería

haber adquirido experiencia
de los adicional de auditoría para
o desarrollar el conocimiento y
habilidades descritas en 7.2.3. Esta
uipo auditor experiencia adicional debería haber
revisar la sido ganada al trabajar bajo la
a las tareas dirección y guía de un líder de
parar los equipo auditor diferente.
o que sean
eferencia y
llo de la
7.3 Establecimiento de criterios
de evaluación del auditor

de Los criterios deberían ser

itoría cualitativos (tales como haber
demostrado un comportamiento
personal, conocimiento o
desempeño de habilidades en
entrenamiento o en el lugar de
trabajo) y cuantitativos (tales como
los años de experiencia laboral y
una reunión de educación, número de auditorías
ón del auditado realizadas, horas de entrenamiento
propiado, con en auditoría).
es para las
que se van a
reunión de
r la oportunidad 7.4 Selección del método
apropiado de evaluación del
auditor
ocumental
ón de la
La evaluación debería ser realizada
usando dos o más de los métodos
seleccionados de aquellos que
star combinada aparecen en la Tabla 2.
de auditoría y Al usar la Tabla 2 se debe tener en
o lo largo de la cuenta lo siguiente:
o no vaya en — los métodos presentados
ectividad en la representan un rango de opciones y
pueden no aplicar en todas las
 usando dos o más de los métodos
seleccionados de aquellos que
star combinada aparecen en la Tabla 2.
de auditoría y Al usar la Tabla 2 se debe tener en
o lo largo de la cuenta lo siguiente:
o no vaya en — los métodos presentados
ectividad en la representan un rango de opciones y
ría. pueden no aplicar en todas las
situaciones; — los varios métodos
presentados pueden diferir en su
confiabilidad; — se debería usar una
n durante combinación de métodos para
asegurar un resultado que sea
objetivo, consistente, justo y confiable.
puede resultar
os formales de
equipo auditor,
do, el cliente de
entes externos 7.5 Realización de la
especialmente evaluación del auditor
egales incluyen
orio de no
La información recopilada de la
persona debería compararse contra
los criterios establecidos en 7.2.3.
Cuando una persona que se espera
que participe en el programa de
de roles y
auditoría no cumple con los criterios,
de guías y
se debería tomar entrenamiento,
trabajo o experiencia de auditoría
adicional y se debería llevar a cabo
dores (ej. entes una re-evaluación posterior.
otras partes
acompañar al
es. Estos no
interferir con la 7.6 Mantenimiento y mejora de
oría la competencia del auditor

Los auditores y los líderes de equipo

ón y auditor deberían mejorar
ormación continuamente su competencia.

, la información
tivos, alcance y
oría, incluyendo
cionada con
ones, actividades
ser recolectada
, la información
tivos, alcance y
oría, incluyendo
cionada con
ones, actividades
ser recolectada
reo apropiado y

hallazgos

oría debería ser

criterios de la
determinar los
ría.

ón de
ditoría

uditoría así lo
clusiones de la
llevar a
ra la mejora o
auditoría

e la reunión

abo una reunión

por el líder del
presentar los
siones de la

ny
porte
ny
porte

del reporte

auditor debería
os de acuerdo
os del programa

n del reporte

ría debería ser

un periodo de
En caso de
s deberían ser
persona que
de auditoría.

ando todas las

ría planeadas
a cabo, o
o con el cliente
e presentarse
rada que no
uditoría sea
con el plan).
objetivos de la
siones de la
ar la necesidad
s, preventivas,