Auditorias de control interno: ¿Cómo se desarrollan?

30 SEPTIEMBRE, 2019

Auditorias de control interno

Cuando hablamos de auditorías de control interno, nos referimos a un

proceso de control que está integrado en las tareas operativas de entidades.
El sistema de auditorías internas se desarrolla con el objetivo de garantizar que la
información manejada en la organización, es fiable con vistas a realizar una
auditoría externa.

Las auditorías se deben realizar con un punto de vista objetivo, siendo rigurosas y
siguiendo unos pasos claros para obtener conclusiones apropiadas.

Cuando se lleva a cabo una auditoría, se elabora un documento que se conoce

como Informe de Auditoría Interna. Las organizaciones desarrollan estrategias
corporativas o planes organizacionales en los que este los sistemas de control,
incorporan este documento.

El control interno en las organizaciones a través de auditorías es muy importante

debido al crecimiento al que se han visto expuestas las organizaciones. Este
crecimiento ha provocado en la mayoría de las organizaciones:

 Descentralización y delegación de labores.

 Problemas tanto de tipo administrativo como operativos.
 Dificultad de atención directa de los problemas.

Estos problemas han provocado la necesidad de instaurar sistemas, como las

auditorias de control interno, que reduzcan errores en la gestión, por ejemplo:

 Protección apropiada de activos

 Proporción de información para una adecuada toma de decisiones.
 Simplificación de una gestión eficiente.

Informe de auditoría interna

Este documento de utilidad para las auditorias de control interno debe desarrollarlo
el auditor jefe. El auditor jefe, en relación al informe de auditoría interna, se
encarga de redactarlo, aprobarlo y revisar las No Conformidades que se
incorporan al documento.
Si empleamos como referencia una norma ISO para las auditorías, debemos
recurrir a la ISO 19011. Esta norma se ha revisado recientemente.

En este informe quedarán reflejados los aspectos a tener en cuenta al realizar las
auditorias de control interno.

 Objetivo: En este apartado quedará definido el motivo por el que se ejecuta

el proceso de auditoría interna.
 Alcance: Para realizar una auditoría es necesario, en relación de los
objetivos definidos con anterioridad, especificar sobre qué ámbito se va a
realizar la auditoría. La auditoría por ejemplo se puede desarrollar sobre
áreas concretas, sobre toda la organización o por ejemplo, sobre un
proceso.
 Información del proceso de auditoría: Hace referencia a indicar en el
informe datos como la fecha de inicio y fin. También se deberá especificar
el lugar en el que se ejecutó la auditoría.
 Identificación de hallazgos: En el documento deben quedar reflejados los
hallazgos identificados durante la auditoría. Para ello las organizaciones
pueden emplear lo establecido en la norma ISO 19011 «Directrices para la
auditoría de los sistemas de gestión». Lo importante es recopilar aquellos
requisitos que no han sido cumplidos por el motivo que sea, para más
adelante abordarlos con las medidas necesarias para que no sean motivo
de No Conformidades.
 Resultado: El personal encargado de ejecutar la auditoría para concluir,
procederá a hacer un resumen del resultado obtenido durante la auditoría
de forma clara y concisa para ejecutar en el futuro acciones que supongan
una mejora interna en la organización.
Características de una auditoría de gestión
21 JUNIO, 2017

Auditoría de gestión

La auditoría de gestión es el examen que se realiza a una organización con el

propósito de evaluar el grado de eficiencia y eficacia con que se manejan los
recursos disponibles y se logran los objetivos previstos por el ente.

La auditoría de gestión puede ser definida en los siguientes términos:

El control de gestión es el examen de la eficiencia y eficacia de las

organizaciones en la administración de los recursos públicos, determinada,
mediante la evaluación de sus procesos administrativos, la utilización de
indicadores de rentabilidad pública y desempeño y de la identificación de la
distribución del excedente público, así como de los beneficios de su
actividad.

El control de gestión y resultados es un proceso que, dentro de las directrices de

planeación estratégica, busca que las metas sean congruentes con las
previsiones. Las comisiones de regulación definirán los criterios,
características, indicadores y modelos de carácter obligatorio que permitan
evaluar la gestión y los resultados de las empresas. Concierne a la estructura
interna y personal de una empresa dada. Pretende mejorar la capacidad de esta
para hacer frente con éxito a los cambios, apunta a la evaluación de las fortalezas
y las debilidades de una organización, su equipo directivo y espíritu corporativo:
Los objetivos estratégicos constituyen el punto central de esta auditoría. Podemos
observar una gran diferencia entre la auditoría y el control de gestión. Es una
técnica de asesoramiento que prestan como servicio independiente algunos
consultores experimentados (Gratd y Backer. 1994). Es apropiada en los
siguientes casos: compra, fusión o joint ventures, reorganizaciones,
emisiones u ofertas públicas, reestructuraciones, modificaciones
legislativas, fluctuaciones del mercado, problemas de recursos humanos.

Se trata del examen de eficiencia, eficacia, economía y equidad en la

administración del recurso público por medio de información, tanto interna como
externa, de tipo contable, comercial, estadístico y operativo. Esta información, al
ser analizada, permite evaluar resultados históricos, detectar desviaciones,
establecer tendencias y producir rendimientos. De otra parte, evalúa el
cumplimiento de objetivos y metas.
El resultado obtenido sirve de herramienta en la toma de decisiones. La auditoría
externa de gestión y resultados es un procedimiento mediante el cual se
efectúa un análisis a los prestadores de servicios públicos domiciliarios con
el propósito de evaluar su gestión interna, teniendo en cuenta el objeto
social, sus objetivos generales y su eficiencia como organización, con el fin
de emitir un informe sobre la situación global del prestador. Esta evaluación
deberá servir a las personas prestadoras de servicios públicos, a las comisiones
de regulación y demás autoridades que tengan competencias en el sector de
servicios públicos domiciliarios y a los usuarios.

Es un examen objetivo, sistemático y profesional de evidencias, realizado con el

fin de proporcionar una evaluación independiente sobre el desempeño
(rendimiento) de una entidad, programa o proyecto, orientada a mejorar la
efectividad, eficiencia y economía en logro de las metas programadas y el uso de
los recursos públicos para facilitar la toma de decisiones por quienes son
responsables de adoptar acciones correctivas y mejorar la responsabilidad ante el
público.

La auditoría de gestión es el examen que se realiza a una organización con el

propósito de evaluar el grado de eficiencia y eficacia con el que se manejan
los recursos disponibles y se logran los objetivos previstos por el ente
responsable.

Características de una auditoría de gestión

Permanentes: significa que deben ser continuas en el tiempo, que contribuyan de
formas efectiva y oportuna a identificar, analizar, evaluar, tratar, comunicar y
monitorear los riesgos del prestador. La auditoría de gestión y resultados –
AEGR- debe informar, de manera inmediata, al organismo competente de
control toda situación que ponga en riesgo la prestación del servicio y que
detecte en el desarrollo de su gestión. No se consideran permanentes las
auditorías que no se realicen de forma continua, o en períodos que no cubran la
anualidad.

 Estratégicas. Se enfocan en los aspectos que señala la resolución y en los

otros críticos o relevantes del prestador que se identifiquen en el desarrollo
de la auditoría.
 Objetivas. Al desarrollarlas se debe asegurar que los hallazgos y las
conclusiones se fundamenten, en lo posible, en evidencia verificable.
 Confiables. La información que presente y reporte la auditoría debe ser
veraz y exacta, de manera que minimice los riesgos de interpretación.
 Diligentes. Se deben atender, con diligencia y oportunidad, los
requerimientos del organismo competente de control.
 Efectivas. La auditoría de gestión y resultados debe recomendar a sus
conclusiones las acciones correctivas, preventivas o de mejoramiento a
aplicar, respecto de las situaciones detectadas.
ISO 19011: Orientación adicional destinada a los auditores
15 MAYO, 2019

La auditoría de ISO 19011, o de cualquier otra norma ISO, es un proceso

sistemático y profesional que consiste en obtener y evaluar de forma objetiva la
evidencia sobre las afirmaciones relativas a los actos o eventos de carácter
económico o administrativo, con el fin de determinar el grado de correspondencia
que existe con las afirmaciones y los criterios establecidos, para que sean
comunicados los resultados a las personas interesadas. Se lleva a cabo por
profesionales que se encuentran calificados y son independientes, de
conformidad con lo que establecen la normas ISO y los procedimientos técnicos
establecidos por la organización.

Antes de realizar una auditoría ISO 19011 se deberá conocer la entidad en todos
sus componentes. Improvisar no es lo más recomendable, ya que genera
desconfianza. El auditor debe ser experto en la norma ISO 19011, si no se
entenderá que el auditor presenta incompatibilidades para realizar dicha auditoría.
El auditor externo debe ser totalmente independiente a la organización, es decir,
no pueden existir intereses que interfieran en la realización de la auditoría.

Aunque, en este caso el auditor sea experto en ISO 19011, se deberá contar con
un grupo multidisciplinar que proporcione calidad sobre el trabajo que se realiza a
diferentes organizaciones.

La puntualidad y el compromiso por parte del auditor y de los trabajadores de la

organización es algo muy importante, ya que genera respeto tanto por una parte
como por la otra.

Es necesario que el auditor realice una planificación en la que se tenga en cuenta

todos los pasos que se deben seguir, tener claro el objetivo y poder ofrecer
garantía a la organización para obtener los resultados esperados.

El auditor deberá contar con documentos de trabajo que se encuentre elaborados

de forma técnica y debidamente referenciados.

Las auditorías deben ser activas, y para ello se establecen mesas de trabajo en
las que el auditado pueda clarificar los hallazgos que se han obtenido durante la
realización de la auditoría y saber perfectamente que debe hacer en el caso de se
hayan detectado no conformidades.
Las pruebas aportadas por el auditor deben ser suficientes y competentes con el
fin de conseguir hallazgos relevantes, propios de un grupo profesional que
audita a la organización.

Las pruebas de control fortalecen el proceso de auditoría. Como una forma de no

realizar improvisaciones frente a la empresa, el auditor debe diseñar o implantar
programas de auditoría y cuestionarios de control interno. Es necesario que se
establezca el papel del supervisor que se encargará de monitorear el avance
de las auditorías y proporcione lineamientos para su complementación.

Los informes de auditoría deben ser precisos, concisos, objetivos y soportados. Es

necesario que el auditor realice una buena redacción y cuide su ortografía, ya que
es algo que dice mucho de la persona.

La comunicación es muy importante, por lo que se deberá mantener una

comunicación continua de los hallazgos encontrados siendo una auditoría
efectiva.

Los informes se deben preparar de forma técnica, con todos los requisitos y
requerimientos establecidos de buenas prácticas.

Una vez realizados los documentos de la auditoría, deberán ser archivados y

cuestionados para que puedan ser consultados en el momento de llevar a cabo.

Es necesario que se establezcan una serie de reuniones y consultas con la

gerencia de la organización y los responsables de cada área. Estas reuniones
tienen una función proactiva y con afán de mejora.

Estos han sido algunos de consejos que hemos querido resumir para que una
auditoría ISO 19011 se lleve a cabo de forma satisfactoria.

Relájese

Lo primero que debe pensar es que el auditor no es un enemigo y lo que quiere

es apoyar el proceso para mejorarlo. Lo más sensato es permanecer tranquilo,
debe tener presente todo el rato que lo que encuentre le servirá de ayuda para
mejorar.

Contestar a lo que se pregunta

Algunas veces comenzamos a divagar y damos mucha más información, lo que

repercute en que los auditores nos puedan preguntar todavía más cosas. Por
este motivo, se recomienda contestar únicamente a lo que nos pregunta. Esto
permite que el auditor realice un análisis y si necesita más aclaración será el quien
pregunte.

Mostrar resultados

Es necesario que se apoyen con evidencias de todas las respuestas que se

ofrezcan. Con las evidencias podrás demostrar todo erl trabajo realizado y el
que queda por realizar, si no se cuenta con evidencia de algo también es
importante comentarlo para que se establezca una oportunidad de mejora con
respecto a eso.

Si algo no le queda claro, pregunte

Cuando algo no le ha quedado claro, pregunte las veces que crea necesario, es
muy importante que se comprenda todo sin tener ninguna duda. Esta parte es muy
importante ya que se puede llegar a confusión si no se han entendido bien las
directrices marcadas por el auditor.

Da seguimiento al reporte de auditoría

Cómo las auditorías se realizan una vez cada cierto tiempo, puede ser que
dejemos el trabajo a realizar para el último día y lo realicemos de forma rápida y
mal. Esto no es una buena práctica, lo mejor sería planificar las acciones que se
deben tomar y establecer fechas en las que se tienen que alcanzar los objetivos
establecidos en la auditoría. De esta forma se realizará de una forma mucho más
sencilla y los resultados obtenidos serán los mejores.
Auditoría de gestión según el organismo competente de control
13 JULIO, 2017

Auditoría de gestión

No todas las organizaciones presentan una situación propicia para realizar una
auditoría de gestión. Es más factible aplicarla en empresas donde:

 Se tiene un sistema de control interno establecido y cada uno de los

componentes del sistema están en funcionamiento.
 Existe un sistema de evaluación del desempeño establecido a través de
indicadores, el cual es preferible si está estructurado en tableros de mando
y se hace seguimiento permanente a su cumplimiento.
 Los procesos y los procedimientos se documentan de forma debida, se
cumplen y se actualizan de manera permanente.
 El sistema de administración de riesgos del negocio está estructurado y
operando.
 Se diferencia la propiedad y la toma de decisiones de control, de manera
que la propiedad pertenece a los accionistas y la toma de decisiones a la
gerencia. Esta situación se conoce y se trata en lo que se denomina la
teoría de la gerencia.

Características

Como propiedades principales de cualquier auditoría de gestión podemos definir

las siguientes:

 Parte de un contexto general para determinar resultados específicos.

 Corrobora el cumplimiento de planes y programas en un período de tiempo
determinado.
 Concentra su esfuerzo hacia la actividad productiva.
 Identifica las potencialidades de la empresa para generar riqueza, es decir,
mide la contribución económica y social al detectar puntos críticos de la
gestión.
 Calcula índices específicos de precios para determinar la incidencia de las
variables endógenas de la gestión.
 Diseña indicadores y tableros de diagnóstico complementarios al indicador
principal.
 Utiliza una metodología flexible y cambiante para que pueda ajustarse a
cambios internos y externos.
Principios fundamentales

Entre los principales principios fundamentales de una auditoría de gestión

podemos encontrar los siguientes:

 Verifica tendencias y desviaciones, aportando acciones correctivas.

 Busca de manera permanente la mayor eficacia y eficiencia en la ejecución
del control fiscal.
 Mide el grado de cumplimiento de objetivos y metas predeterminadas para
cada organización.
 Contribuye a que las organizaciones mejoren la eficiencia financiera y
administrativa en el manejo de los recursos.
 Verifica que las organizaciones cumplen con la misión para la cual fueron
constituidas.
 Vela para que la delegación que hace el Estado de sus funcionarios se
cumpla y llegue a los beneficiarios del bien o servicios.
 Comprueba que el máximo de productividad se logre con el mínimo coste,
con el uso adecuado de la capacidad instalada.

Etapas esenciales

El desarrollo de una auditoría debe contener las etapas de planeación, ejecución y

control. En cada una de dichas etapas debe de efectuarse un análisis a la:

 Eficiencia: Análisis financiero, examen de costes, rentabilidad pública o

índice de productividad.
 Economía: Indicadores de asignación de recursos, indicadores financieros,
análisis de variables de excedentes públicos o evaluación económica.
 Eficacia: Indicadores específicos o indicadores complementarios.
 Equidad: Valor agregado, resultado de operación frente a los usuarios o
elaboración del informe.

Distinción entre auditoría de gestión y auditoría financiera

Es importante saber diferenciar entre lo que supone una auditoría de gestión y

lo que conlleva una auditoría financiera. A continuación vamos a establecer
unas directrices principales para distinguir una auditoría financiera de una
auditoría de gestión.
Auditoría financiera

 Se le concibe para dar una opinión objetiva e independiente sobre la

situación financiera y las operaciones que muestran los estados financieros.
 Su dictamen se basa en las normas de contabilidad de aceptación general.
 El contenido del dictamen u opinión del auditor independiente es muy breve
y fácilmente previsible.
 El auditor independiente, en general, no formula recomendaciones sobre la
gestión de la empresa. En el caso de hacer recomendaciones estas no
forman parte del dictamen u opinión sino que son de alcance limitado, ya
que no son consideradas como la base del informe.
 Las auditorías financieras tienen carácter periódico.

Auditoría de gestión

 La auditoría de gestión examina las prácticas de gestión.

 No existen principios de gestión generalmente aceptados, ya que no están
codificados, sino que se basan en la práctica normal de gestión.
 Los criterios de evaluación de gestión se diseñan para cada caso específico
y se pueden extender a casos similares.
 Las recomendaciones sobre gestión deben ser extensas y adaptadas al
área examinada, analizando las causas de las ineficacias y sus
consecuencias.
 La auditoría de gestión no se realiza con la misma periodicidad de la
auditoría financiera.
 Los índices que se suelen utilizar para analizar los estados financieros
tienen un enfoque de auditoría de gestión, muchos de ellos ayudan a
evaluar la administración.
ISO 19011 ¿Cómo implementar un programa de auditoría?
20 MARZO, 2019

Cuando se establece un programa de auditoría y se determinan los recursos, es

necesario realizar la implementación operacional y la coordinación de todas
las actividades dentro del programa de auditoría, según establece la norma ISO
19011.

Las personas que son las responsables de la gestión del programa de

auditoría deberán:

 Comunicar las partes pertinentes del programa de auditoría, incluyendo

los riesgos y oportunidades implicados, a las partes interesadas, además de
informales de forma periódica sobre el progreso.
 Definir todos los objetivos, el alcance y los criterios para cada auditoría.
 Seleccionar los métodos de auditoría.
 Coordinar y programar las auditorías.
 Asegurarse de que los equipos auditores tienen la competencia necesaria.
 Proporcionar los recursos necesarios a los equipos auditores.
 Asegurarse de que se lleven a cabo las auditorías según el programa de
auditoría, gestionando todos los riesgos, oportunidades y cuestiones
 Asegurarse de que la información documentada relativa a las actividades de
auditoría se gestiona y se mantiene de forma adecuada.
 Definir e implementar todos los controles operacionales que resulten
necesarios para el seguimiento del programa de auditoría.
 Revisar el programa de auditoría con el fin de identificar oportunidades para
que se mejore.

Definir los objetivos, el alcance y los criterios para una auditoría

Según la norma ISO 19011 en cada auditoría se deberán basar en los objetivos,
alcance y criterios de auditoría que se encuentren definidos. Estos deberán ser
coherentes con los objetivos generales del programa de auditoría.

Los objetivos de la auditoría se encuentran definidos para conseguir que en la

auditoría individual se pueda incluir lo siguiente:

 Determinar el grado de conformidad del sistema de gestión que se

quiere auditar.
 La evaluación de la capacidad del sistema de gestión para ayudar a la
empresa a que cumpla con los requisitos legales.
 La evaluación de la eficacia del sistema de gestión para conseguir los
resultados
 Identificar las oportunidades para la mejora potencial del sistema de
gestión.
 Evaluar la idoneidad y la adecuación del sistema de gestión con respecto al
contexto y a la dirección estratégica del auditado.
 Evaluar la capacidad que presenta el sistema de gestión de establecer y
alcanzar todos los objetivos, además de abordar de forma eficaz todos
los riesgos y oportunidades.

El alcance que presenta la auditoría deberá ser coherente con el programa de

auditoría y con los objetivos de dicha auditoría. Se incluyen factores como la
ubicación, las funciones, las actividades y los procesos que se van a auditar, así
como el periodo de tiempo cubierto por la auditoría.

Los criterios de auditoría se utilizan como un referente frente al cual se determina

la conformidad. Se pueden incluir: políticas aplicables, procesos, procedimientos,
criterios de desempeño, objetivos, requisitos legales y reglamentarios, requisitos
del sistema de gestión, información relativa al contexto y a los riegos y
oportunidades según determine el auditado.

La norma ISO 19011 nos indica que cuando se audita más de una disciplina a la
vez, es muy importante que los objetivos, el alcance y los criterios de la auditoría
sean coherentes con los programas de auditoría pertinentes para cada
disciplina. Algunas disciplinas pueden tener un alcance que incorpore a toda la
empresa, y otras pueden contar con un alcance que abarque a un subconjunto
de la empresa.

Determinación de los métodos de auditoría

Las personas responsables de la gestión del programa de auditoría tendrán que

seleccionar y establecer los métodos para realizar las auditorías de forma eficaz
y eficiente, dependiendo de los objetivos, el alcance y los criterios que se
encuentran definidos.

Las auditorías pueden realizarse en el sitio, remotamente, o como una

combinación. La utilización de estos métodos debe estar adecuadamente
equilibrado, basándose, entre otros, en la consideración de los riesgos y
oportunidades asociadas.

Cuando dos o más empresas auditoras llevan a cabo una auditoría conjunta del
mismo auditado, las personas responsables de la gestión de los diferentes
programas de auditoría deben estar de acuerdo en los métodos de auditoría y
considerar las implicaciones para la provisión de recursos y la planificación de
la auditoría. Sin un auditado opera dos o más sistemas de gestión de disciplinas
diferentes, pueden incluirse auditorías combinadas en el programa de auditoría.

Los miembros del equipo auditor

Las personas responsables de la gestión del programa de auditoría deben

designar a los miembros del equipo auditor, incluyendo al líder del equipo y a
cualquier experto técnico necesario para la auditoría específica.

El equipo auditor debe seleccionarse teniendo en cuenta todas las competencias

necesarias para conseguir los objetivos que se presentan en la auditoría,
siempre dentro del alcance definido. Si sólo existe un auditor, dicho auditor deberá
realizar todas las tareas aplicables a un líder de equipo auditor.

Según establece la norma ISO 19011, para asegurar la competencia global del
equipo auditor, se deben realizar los siguientes pasos:

 Identificar a la competencia necesaria para conseguir los objetivos de la

auditoría.
 Seleccionar a los miembros del equipo auditor, de tal forma que la
competencia necesaria se encuentra presenten en el equipo auditor.

Cuando se decide el tamaño y la composición del equipo auditor para una

auditoría específica, se debe considerar lo siguiente:

 Competencia global del equipo auditor necesaria para conseguir los

objetivos de la auditora, teniendo en cuenta el alcance y los criterios de
la auditoría.
 La complejidad de la auditoría.
 Si la auditoría es una auditoría combinada o conjunta.
 Métodos de auditoría seleccionados.
 Asegurar la objetividad e imparcialidad para evitar cualquier conflicto de
intereses en el proceso de auditoría.
 La capacidad de los miembros del equipo auditor para trabajar e
interactuar de forma eficaz con todos los representantes auditados y las
partes interesadas.
 Las cuestiones externas e internas pertinentes, como el idioma de la
auditoría, y las características sociales y culturales del auditado. Dichas
cuestiones pueden tratarse mediante las habilidades propias del auditor, o
bien mediante el apoyo de un experto técnico considerando la necesidad de
intérpretes.
 El tipo y la complejidad de los procesos que se deben auditar.

Cuando proceda, todas las personas responsables de la gestión del programa de

auditoría deberán consultar con el líder de equipo sobre la composición del
equipo auditor. Si los auditores del equipo no cubren la competencia necesaria,
los expertos técnicos con competencia adicional deben estar disponible para
apoyar al equipo. Los auditores en formación pueden incluirse en el equipo
auditor, pero deben participar bajo la dirección y orientación de un auditor.
ISO 19011 ¿Cómo se debe establecer el programa de auditoría?
13 MARZO, 2019

Las personas responsables de la gestión del programa de auditoría según la

norma ISO 19011, deben:

 Establecer la extensión del programa de auditoría según los objetivos

establecidos y cualquier restricción conocida.
 Es necesario determinar las cuestiones externas e internas, y los riesgos y
oportunidades que pueden afectar al programa de auditoría, además de
implementar acciones para abordarlos, integrando estas acciones en todas
las actividades de auditoría pertinentes.
 Asegurar la selección de los equipos auditores y la competencia
general para las actividades de auditoría, asignando roles,
responsabilidades y autoridades, además de respaldar el liderazgo.
 Establecer los diferentes procesos pertinentes, incluyendo procesos para
la coordinación y calendario de todas las auditorías dentro del programa
de auditoría, el establecimiento de los objetivos, los alcances y los criterios
de auditoría, determinando los diferente, métodos de auditoría y la
selección del equipo auditor, evaluar a los auditores, establecer procesos
de comunicación externa e interna, resolver conflictos y tratar las quejas,
seguimiento de la auditoría y presentación de informes al cliente de la
auditoría y a las partes interesadas pertinentes.
 Determinar y asegurar la provisión de los todos los recursos que
resulten necesarios.
 Asegurarse de que se prepara y mantiene la información documentada.
 Comunicar el programa de auditoría al cliente de la auditoría y, según
sea apropiado, a las partes interesadas pertinentes.
 Las personas responsables de la gestión del programa de auditoría
deben solicitar su aprobación al cliente de la auditoría.

Competencia de las personas responsables de la gestión del

programa de auditoría

Las personas responsables de la gestión del programa de auditoría deben tener la

competencia necesaria para gestionar el programa y los riesgos, además de
las oportunidades y las cuestiones externas e internas que se encuentran
asociadas de forma eficaz y eficiente, incluyendo conocimientos sobre:

 Los principios, métodos y procesos de auditoría

 Las normas de sistemas de gestión y los documentos de referencia
 La información relativa al auditado y a su contexto
 Los requisitos legales y reglamentarios aplicables y otros requisitos
pertinentes a las actividades de negocio del auditado

Según resulte apropiado, se deberá considerar el conocimiento de la gestión

de riesgos, gestión de proyectos y procesos, además de la tecnología de la
información y las comunicaciones.

Las personas responsables de la gestión del programa de auditoría deben

participar en las actividades apropiadas de desarrollo continuo para mantener la
competencia necesaria para gestionar el programa de auditoría.

Establecimiento de la extensión del programa de auditoría

Las personas responsables de la gestión del programa de auditoría

deben determinar la extensión del programa de auditoría. Ésta puede variar
dependiendo de la información proporcionada por el auditado sobre su contexto.
Otros factores que tienen impacto en la extensión de un programa de
auditoría pueden incluir:

 El objetivo, alcance y duración de cada auditoría y el número de

auditoría a llevar a cabo, el método de presentación de informes y, si aplica,
el seguimiento de la auditoría.
 Las normas de sistemas de gestión u otros criterios aplicables.
 El número, la importancia, complejidad, similitud y las ubicaciones de las
actividades que se van a auditar.
 Los factores que influyen en la eficacia del sistema de gestión.
 Los criterios de auditoría aplicables, tales como los acuerdos planificados
para las normas de sistemas de gestión pertinentes, los requisitos legales y
reglamentarios y otros requisitos con los que la empresa se encuentra
comprometida.
 Los resultados obtenidos de realizar las auditorías internas o
externas previas y revisiones por la dirección.
 Los resultados de una revisión previa del programa de auditoría.
 El idioma, los cuestiones culturales y sociales.
 Las inquietudes de las partes interesadas, como pueden ser las quejas
de clientes, el incumplimiento de los requisitos legales y reglamentarios,
además de otros requisitos con los que la empresa se encuentra
comprometidas.
 Los cambios significativos en el contexto del auditado o sus
operaciones y los riesgos y oportunidades que se encuentran asociados.
 La disponibilidad de las tecnologías de la información y comunicación para
apoyar todas las actividades de auditoría, en particular el uso de los
métodos de auditoría remota.
 La ocurrencia de sucesos internos y externos, como puede ser la no
conformidad de los productos o servicios, así como las filtraciones en la
seguridad de la información, incidentes en materia de seguridad y
salud, actos delictivos o incidentes ambientales.
 Los riesgos y oportunidades de negocio, incluyendo las acciones que
deben ser abordadas.

Determinar los recursos del programa de auditoría

A la hora de establecer los recursos necesarios para el programa de auditoría

según la norma ISO 19011, las personas responsables de la gestión del
programa de auditoría deben considerar:

 Los recursos financieros y el tiempo necesario para desarrollar,

implantar, gestionar y mejorar las actividades de auditoría.
 Los métodos de auditoría.
 La disponibilidad individual y global de auditores y expertos técnicos
que tengan la competencia apropiada para los objetivos particulares del
programa de auditoría.
 La extensión del programa de auditoría, los riesgos y oportunidades que
se relacionan con el programa de auditoría.
 El tiempo y el costo en el transporte, alojamiento y otras necesidades de
auditoría.
 El impacto que genera encontrarse en diferentes zonas horarias.
 La disponibilidad de la tecnología de la información y las comunicaciones.
 La disponibilidad de la información documentada necesaria, según
determine el establecimiento del programa de auditoría.
 Los requisitos que se encuentran relacionados con las instalaciones,
incluyendo las autorizaciones y equipos de seguridad.
Realización de las actividades de auditoría según ISO 19011
3 ABRIL, 2019

Según ISO 19011, las actividades de auditoría se suelen realizar en una

secuencia que ha sido definida de manera previa. Aun así, dicha
secuencia podrá modificarse para poder adaptarse mejor a las circunstancias de
auditorías específicas.

Lo primero a lo que se deberá proceder será a la asignación de los roles y el

establecimiento de las responsabilidades de los guías y observadores. Estos
podrán acompañar al equipo auditor siempre y cuando cuenten con la aprobación
de su líder y del cliente auditado. Hay que destacar que estos no podrán interferir
en la auditoria. Si esto no se puede conseguir, el líder del equipo auditor tiene el
derecho a negar su participación en ciertas partes de la auditoria.

Los guías designados por el auditado deberán de asistir al equipo auditor y actuar
cuando lo solicite su líder. Entre sus responsabilidades destacan:

 Ayudar a los auditores a identificar a los participantes de las entrevistas y a

confirmar los horarios y localizaciones
 Acordar el acceso a las ubicaciones del auditado
 Estar seguros de que los miembros del equipo auditor y los observadores
son conocedores y respetan las reglas que indican los acuerdos específicos
para el acceso a la ubicación, la seguridad y salud en el trabajo, el medio
ambiente, la seguridad física, la confidencialidad y otras cuestiones, y que
se abordan los riesgos
 Serán testigos de la auditoría en representación del auditado, cuando sea
necesario
 Ayudarán en la recopilación de información.

Reunión de apertura, acuerdos de comunicación y disponibilidad de la

información

Debería celebrarse una reunión de apertura con la dirección del auditado y

con aquellos responsables de las funciones o de los procesos que se van a
auditar. Durante la reunión, debería proporcionarse la oportunidad de realizar
preguntas. Habrá que establecer varias cuestiones:

 Confirmar el acuerdo de todos los participantes sobre el plan de auditoría.

 Presentar al equipo auditor y sus roles.
 Asegurar la planificación acordada.

En lo relativo a la comunicación, habrá que establecer acuerdos formales para

la comunicación dentro del equipo auditor, así como con el auditado, el
cliente de la auditoría, y en el caso de que fuera necesario, con partes
externas (por ejemplo, autoridades reglamentarias), en concreto cuando los
requisitos legales y reglamentarios exijan la comunicación obligatoria de las no
conformidades.

El equipo auditor debería reunirse de forma periódica para intercambiar

información, evaluar el progreso de la auditoría, y reasignar las tareas entre
los miembros del equipo auditor, según sea conveniente. Por su parte, el líder
del equipo deberá comunicar periódicamente los progresos y hallazgos más
importantes al auditado, así como las principales inquietudes, sobre todo aquellas
que sugieran un riesgo inmediato.

Cuando las evidencias disponibles apunten a que los objetivos de la misma no son
alcanzables, el líder del equipo auditor tendrá que informar de las razones al
cliente de la auditoría y al auditado para determinar acciones a emprender que
sean apropiadas. Estas pueden suponer cambios en la planificación de la
auditoría, en los objetivos de la misma o en su alcance, o incluso dar por
terminada la auditoría. Toda esta serie de cambios en el plan de auditoria
deberán revisarse y aprobarse por los responsables y el cliente de la auditoria.

En lo relativo a la disponibilidad y el acceso a la información, la ISO 19011

establece que es muy importante para la auditoría conocer el lugar, el
momento y la manera en que se accede a la información. Esta información
puede establecer lugares físicos y virtuales.

Revisión, recopilación y verificación de la información

La información documentada del auditado debería revisarse con el fin de:

 Determinar la conformidad del sistema con los criterios de auditoría, sobre

la base de la documentación que esté disponible.
 Reunir información para apoyar las actividades de auditoría.

Si no se puede proporcionar la información documentada acordada dentro del

margen de tiempo fijado en el plan de auditoría, deberá de tomarse la decisión
sobre si esta debería continuar o se debería suspender hasta que la información
pueda ser proporcionada.

Durante la realización de la auditoría, la información deberá recopilarse de

manera apropiada y ser verificada, siempre y cuando sea posible. De hecho,
sólo debería aceptarse como evidencia aquella información que esté sujeta a
algún grado de verificación. Cuando el grado de verificación sea bajo, el auditor
debe recurrir a su criterio profesional con el fin de determinar cuál es el grado de
fiabilidad que posee la información.

Los métodos mediante los cuales se puede recopilar información podrán

ser: entrevistas, observaciones y revisiones de la información que se haya
documentado. Aunque estos no tienen por qué ser los únicos.

Hallazgos, conclusiones y cierre de la auditoría

El resultado de la auditoría deberá evaluarse en relación a las evidencias frente a

los criterios de la misma. Así se podrán establecer los hallazgos de la misma.
Estos podrán indicar conformidad o no conformidad con respecto a los criterios.
Cuando así lo especifique el plan de auditoría, los hallazgos deberán incluir
tanto la conformidad como las buenas prácticas, junto con la evidencia que
los apoye, las oportunidades de mejora y cualquier otra recomendación para el
auditado.

Las conclusiones de la auditoría deberían tratar aspectos como:

1. El grado de conformidad con los criterios de auditoría y la robustez del

sistema de gestión para alcanzar los resultados marcados, así como la
eficacia de las acciones tomadas por el auditado para tratar los riesgos
2. La eficacia de la implementación, el mantenimiento y la mejora del sistema
de gestión
3. Si se han alcanzado los objetivos de la auditoría
4. Identificación de tendencias comunes en áreas concretas.

Finalmente, si así lo especifica el plan de auditoría, las conclusiones podrán

acompañarse de recomendaciones para la mejora, o a futuras actividades de
auditoría.

Tanto los hallazgos como las conclusiones deberán de presentarse en una

reunión de cierre, que pone fin a la realización de actividades de la auditoría.
ISO 19011: Objetivos de un plan de auditoría
20 FEBRERO, 2019

Según la norma ISO 19011 se debe establecer un programa de auditoría que

pueda incluir todas las auditorías que traten una o más normas de sistemas de
gestión u otros requisitos, llevadas a cabo por separado o en combinación, dando
lugar a una auditoría combinada.

La extensión de un programa de auditoría debe basarse en el tamaño y la

naturaleza del auditado, así como en la naturaleza, funcionalidad, complejidad,
tipo de riesgo y oportunidades, y el nivel de madurez de los sistemas de gestión
que se deberán auditar. La funcionalidad del sistema de gestión puede ser aún
más compleja si la mayoría de las funciones importantes se encuentran
contratadas de forma externa y se gestionan bajo el liderazgo de otras empresas.
Será necesario prestar especial atención a la toma de decisiones importantes y
que constituye la alta dirección del sistema de gestión.

En el caso de múltiples ubicaciones o sedes, cuando existen funciones

importantes contratas de forma externa y gestionadas bajo el liderazgo de otra
empresa, debe prestarse especial atención al diseño, la planificación y la
validación del programa de auditoría.

En el caso de empresas mucho más pequeñas o menos complejas, el programa

de auditoría se puede escalar apropiadamente.

Al fin de comprender el contexto del auditado, el programa de auditoría debe tener

en cuenta al auditado:

 Los objetivos organizacionales

 Las cuestiones externas e internas pertinentes
 Las necesidades y expectativas de las partes interesadas pertinentes
 Los requisitos de seguridad y confidencialidad de la información

La planificación de los programas de auditoría interna y, en algunos casos, los

programas para auditar a los proveedores externos, pueden prepararse para
contribuir a otros objetivos de la empresa.

Las personas responsables de la gestión del programa de auditoría deben

asegurarse de que se mantiene la integridad de la auditoría y que no se ejerce
una influencia indebida sobre la auditoría.
Deberá darse prioridad de auditoría a la asignación de recursos y métodos para
los asuntos de un sistema de gestión con los riesgos inherentes más altos y con
los niveles de desempeño más bajos.

Se deberán asignar personas competentes para que se gestione el programa de

auditoría.

El programa de auditoría debe incluir la información e identificar los recursos que

permitan que las auditorías se realicen de manera eficiente y eficaz dentro de
los periodos de tiempo que se encuentran especificados. La información deberá
incluir:

 Objetivos para el programa de auditoría

 Riesgos y oportunidades asociadas al programa de auditoría y las acciones
para abordarlas
 Alcance de cada auditoría dentro del programa de auditoría
 Calendario de las auditorías
 Tipos de auditoría
 Criterios de auditoría
 Métodos de auditoría a utilizar
 Criterios para seleccionar los miembros del equipo auditor
 Información documental pertinente.

Puede ser que parte de la información no se encuentre disponible hasta que se

complete una planificación de auditoría mucho más detallada.

La implementación del programa de auditoría debe realizarse y medirse de

forma continua, para asegurar que se han alcanzado los objetivos. El programa
de auditoría debe revisarse a fin de identificar necesidades de cambios y posibles
oportunidades para la mejora.

Establecer los objetivos del programa de auditoría según ISO 19011

El cliente de la auditoría debe asegurar que los objetivos del programa de

auditoría se han establecido para dirigir la planificación y realización de
auditorías y debería asegurarse de que el programa de auditoría se he
implantado eficazmente. El objetivo del programa de auditoría debe ser coherente
con la dirección estratégica del cliente de la auditoría y servir de apoyo a la política
y los objetivos del sistema de gestión.
Los objetivos pueden basarse en las siguientes consideraciones:

 Las necesidades y expectativas de las partes interesadas pertinentes, ya

sean externas o internas.
 Las características y los requisitos de los procesos, productos, servicios y
proyectos, y cualquier cambio en ellos.
 Los requisitos del sistema de gestión.
 La necesidad de evaluar a los proveedores externos
 El nivel de desempeño del auditado y el nivel de madurez de los sistemas
de gestión, como se refleja en los indicadores de desempeño pertinentes, la
ocurrencia de no conformidades o incidentes o quejas de las partes
interesadas.
 Los riesgos y oportunidades identificados para el auditado.
 Los resultados de auditorías previas.

Determinar y evaluar los riesgos y oportunidades del programa de

auditoría según la norma ISO 19011

Existen diferentes riesgos y oportunidades relacionadas con el contexto del

auditado que puede asociarse con el programa de auditoría y puede afectar al
logro de los objetivos. Las personas responsables de la gestión del programa de
auditoría deben identificar y presentar al cliente de la auditoría los riesgos y
oportunidades que deberá considerar al desarrollar su programa de auditoría y
los requisitos de los recursos para que puedan tratarse de forma adecuada.

Pueden existir riesgos asociados con lo siguiente:

 Planificación
 Recursos
 Selección del equipo auditor
 Comunicación
 Implementación
 Control de la información documentada
 Seguimiento, revisión y mejora del programa de auditoría
 Disponibilidad y cooperación del auditado, y la disponibilidad de evidencias
a muestrear.

La oportunidad de mejorar el programa de auditoría puede incluir:

 Permitir que se lleven a cabo múltiples auditorías en una única visita

 Minimizar el tiempo y las distancias viajando al sitio
 Igualar el nivel de competencia del equipo auditor con el nivel de
competencia necesario para alcanzar los objetivos de la auditoría
 Alinear las fechas de la auditoría con la disponibilidad del personal clave del
auditado
¿Qué conocimientos y habilidades debe poseer un auditor según ISO
19011?
24 ABRIL, 2019

El conocimiento específico, teórico y práctico, de la profesión, evidentemente es

muy importante. Para poder llevar a cabo una buena labor profesional en un
determinado puesto, la persona designada deberá contar con los conocimientos
y habilidades necesarios para poder llevar a cabo dicha labor.

Las competencias y habilidades de un profesional se pueden definir como

un conjunto de recursos personales que entran en juego en la ejecución de
una determinada actividad laboral. Esto englobaría a habilidades,
conocimientos, destrezas y comportamientos.

Según ISO 19011, de manera general un auditor deberá poseer

los conocimientos y habilidades necesarios para lograr los resultados
previstos de las auditorias que se espera que se lleven a cabo. Por otro lado,
también debería tener la competencia genérica o el nivel apropiado de
conocimientos y habilidades específicos de la disciplina y del sector en el que se
desarrolle su profesión.

La norma también especifica que los líderes del equipo deberían tener los
conocimientos y habilidades adicionales necesarios para dirigir al equipo
auditor.

Conocimientos y habilidades genéricos de los auditores de sistemas de gestión

ISO 19011 establece que un auditor debe poseer conocimientos y habilidades en
cuatro áreas determinadas. Estas serían las siguientes:

1) En los principios, procesos y métodos de realización de una auditoría:

poseer conocimientos y habilidades en este aspecto permitirán al auditor
asegurarse de que las auditorías se realizan de manera correcta y sistemática.

De esta manera, un auditor debería ser capaz de:

 Entender los tipos de riesgos y oportunidades que están asociados con la

auditoría y los principios del enfoque basado en riesgos para la auditoría.
 Planificar y organizar el trabajo de manera eficaz.
 Realizar la auditoría dentro del horario acordado.
 Establecer las prioridades y temas de importancia.
 Poder comunicarse de manera eficaz, tanto oralmente como por escrito.
 Recopilar información, a través de entrevistas eficaces, escuchando,
observando y revisando la información documentada, incluyendo registros y
datos.
 Entender la importancia de utilizar técnicas de muestreo para las auditorías,
y sus consecuencias.
 Tener en consideración las opiniones de los expertos técnicos.
 Auditar un proceso de principio a fin, incluyendo las interrelaciones con
otros procesos y las diferentes funciones, cuando sea apropiado.
 Poder verificar la pertinencia y la exactitud de la información que haya sido
recopilada.
 Confirmar que la evidencia de la auditoría es suficiente y adecuada para
apoyar los hallazgos y conclusiones de la auditoría.
 Realizar una evaluación de los factores que pueden afectar a la fiabilidad de
los hallazgos, así como las conclusiones de la auditoría.
 Llevar a cabo la documentación de las actividades de auditoría y los
hallazgos de la auditoría y preparar informes.
 Mantener la confidencialidad y seguridad de la información.

2) En normas de sistemas de gestión y otras referencias: los conocimientos y

habilidades en esta área permitirán al auditor entender cuál es el alcance de la
auditoría y como aplicar sus criterios de manera adecuada:

 Las normas de sistemas de gestión, así como otros documentos normativos

o de orientación que se empleen para establecer los criterios o los métodos
de auditoría.
 La aplicación de normas de sistemas de gestión por parte del auditado y de
otras organizaciones.
 Aquellas relaciones entre los procesos de los sistemas de gestión.
 Poder comprender la importancia y la prioridad de las múltiples normas o
referencias.
 La aplicación de normas o referencias a las diferentes situaciones de
auditoría.

3) Sobre la organización y su contexto: los conocimientos y habilidades en esta

área le permitirán comprender la estructura, el propósito y las prácticas de gestión
del auditado, y deberían cubrir lo siguiente:

 Aquellas necesidades y expectativas de las partes interesadas que tienen

impacto en el sistema de gestión.
 Cual es el tipo de organización, su, tamaño, estructura, funciones y
relaciones, así como su gobernanza.
 Los conceptos generales del negocio y de la gestión, así como los procesos
y la terminología relacionada, teniendo en cuenta la planificación, la
preparación de presupuestos y la gestión de las personas.
 Los aspectos culturales y sociales del auditado.

4) En aquellos requisitos legales y reglamentarios aplicables y otros

requisitos: los conocimientos y las habilidades en esta área contribuyen a que el
auditor sea consciente de los requisitos de la organización, con el objetivo de
trabajar de acuerdo con ellos. Los conocimientos y las habilidades específicos de
la jurisdicción o de las actividades, procesos, productos y servicios del auditado
deberían cubrir lo siguiente:

 Requisitos legales y reglamentarios y sus autoridades gubernamentales.

 La terminología legal básica.
 Los contratos y la responsabilidad legal.

Conocer los requisitos legales y reglamentarios no requiere ser experto en temas

legales. También habrá que tener en cuenta que una auditoría de un sistema de
gestión no debería tratarse como una auditoría de cumplimiento legal.