—

© SUMMA University
1
Índice

1 Introducción ...................................................................................................................................................................... 3
2 Auditorías de sistemas de gestión: definición y características .................................................. 4
3 Clasificación de las Auditorías ............................................................................................................................. 6
4 Principios de las auditorías .................................................................................................................................. 10
5 El Auditor ........................................................................................................................................................................... 11
6 Metodología de las auditorías de sistemas de gestión ................................................................... 15
6.1 Inicio de la auditoría .................................................................................................................................... 17
6.2 Preparación de la auditoría .................................................................................................................... 19
6.3 Realización de la auditoría ..................................................................................................................... 22
6.4 Documentación del resultado de la auditoría......................................................................... 29
6.5 Finalización de la auditoría .................................................................................................................... 32
6.6 Realización de seguimiento a la auditoría .................................................................................. 32
7 Conclusiones..................................................................................................................................................................33
8 Referencias Bibliográficas ....................................................................................................................................34

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Objetivos
• Conocer qué es una auditoría y su utilidad para la mejora continua.

• Identificar los diferentes tipos de auditorías posibles (entendiendo que las

auditorías de interés para esta clase son las del Sistema de Gestión de la Calidad
(SGC), tanto internas como externas).

• Establecer los principios que debe cumplir cualquier auditoría para que resulte
de utilidad.

• Determinar los requisitos y comportamientos de los profesionales expertos que

realizan las auditorías (auditores).

• Conocer las diferentes fases que comprende una auditoria.

• Establecer las actividades de cada fase de una auditoría.

• Determinar las consideraciones a tener en cuenta en cada actividad de una

auditoría para asegurar un adecuado resultado de la misma.

1 Introducción
En la implementación de Sistemas de Gestión de la Calidad (SGC) en las empresas es
conveniente la verificación de los mismos para asegurar que cumplen lo s requisitos de
partida. Estos requisitos necesariamente deberán incluir los establecidos por la propia
empresa (parte de ellos demandados o inducidos por los clientes), y opcionalmente
pueden ampliarse a otras exigencias, como las incluidas en la norma ISO 9001.

De igual manera, durante la vida y operatividad de los SGC, es aconsejable realizar

En la implementación de Sistemas de comprobaciones periódicas sobre su idoneidad, tanto en sus contenidos (las exigencias
Gestión de la Calidad en las empresas es del mercado, los nuevos equipos de producción, los nuevos productos y servicios, la
conveniente la verificación de los mismos
actualización de normativas utilizadas como referencia, etc. sufren cambios que afectan
para asegurar que cumplen los requisitos
a la gestión de la calidad de las empresas), como en su funcionamiento.
de partida.

Las normas ISO 9000 sobre la gestión de la calidad, consideran que las empresas
tienen que realizar auditorías internas como uno de los procedimientos "para hacer el
seguimiento y medir de forma regular el desempeño de la calidad".

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 2 Auditorías de sistemas de gestión: definición y
características
A partir de la década de 1960 las auditorías ampliaron su ámbito de aplicación desde la
contabilidad financiera a la calidad. En 1979 se publicó la norma británica BS 5750
(antecedente de la ISO 9001) y en ella se introdujo la auditoría como un procedimiento
de evaluación y seguimiento de los sistemas de gestión de la calidad. Posteriormente
se traspasó la misma metodología a otros sistemas de gestión (medioambiental,
seguridad y salud en el trabajo, etc.).

En el lenguaje cotidiano es fácil que el término “auditoría” se confunda con otros

términos como “acreditación”, “homologación” o “inspección”. Las propias definiciones
del Diccionario de la Lengua Española permiten diferenciar estos términos entre sí:

• Acreditar: “Dar testimonio en documento fehaciente, de que una persona física o

jurídica tiene las facultades exigidas para desempeñar unas funciones
determinadas"; y también: "Dar seguridad o certeza de que alguna persona o
cosa es lo que representa y parece”.

• Homologar: “Contrastar una autoridad el cumplimiento de determinadas

especificaciones o características de un objeto o de una acción"; y también:
"Equiparar, poner en relación de igualdad dos cosas”.

• Inspeccionar: “Examinar, reconocer atentamente una cosa”.

Por el contrario, una auditoria es una evaluación sistemática, documentada y objetiva

de la eficacia de un sistema de gestión.

La norma ISO 19011:2018 ( Directrices para la auditoría de los sistemas de gestión ) que se
Una Auditoría es un proceso sistemático, utiliza en la auditoría de sistemas de gestión (por ejemplo, en los SGC conforme a la
independiente y documentado para norma ISO 9001), establece la siguiente definición de Auditoría: "proceso sistemático,
obtener evidencias y evaluarlas de
independiente y documentado para obtener evidencias de la auditoría y evaluarlas de
manera objetiva con el fin de determinar la
extensión en que se cumplen los criterios
manera objetiva con el fin de determinar la extensión en que se cumplen los criterios
de auditoría. de auditoría", para la cual:

• Criterios de auditoría: Grupo de políticas, procedimientos o requisitos usados

como referencia y contra los cuales se compara la evidencia de auditoría.

• Evidencia de la auditoría: Registros, declaraciones de hechos o cualquier otra

información que son pertinentes para los criterios de auditoría y que son
verificables.

Las características más determinantes de las auditorías son:

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 • No es una inspección. La auditoría analiza el funcionamiento del sistema, sus
puntos fuertes y débiles. El análisis de un sistema nunca puede ser realizado en
forma puntual, no se busca el acierto o el fallo en un determinado momento, sino
que se buscan los posibles aciertos y fallos en el funcionamiento de un sistema a
lo largo de un período de tiempo más o menos largo.

En la inspección o control, se realiza el análisis de un proceso, producto, servicio,

equipo o sistema valorando como está funcionando en ese momento, no antes ni
después. La inspección es más limitada que la auditoría, pero más fácil de
realizar, ya que un hecho puntual es menos interpretable que el funcionamiento
de un sistema.

• Es sistemática. Los resultados de la auditoría, no se basan en el azar, son debidos

a un análisis minucioso, ordenado y planificado por parte del auditor, que
permiten un grado de fiabilidad muy elevado. En este sentido, hay que destacar
que uno de los aspectos que más definen la calidad y cualidad de un auditor, es
la metodología que utiliza en la realización de la auditoría, siendo, por tanto, un
claro “elemento diferenciador” entre auditores.

• Es independiente. Sería muy difícil que alguien involucrado en el cumplimiento

de la totalidad o parte del sistema, se pueda evaluar a sí mismo de forma
objetiva, de ahí la importancia del factor de independencia del auditor.

• Análisis de resultados. La auditoría no es un simple examen de cómo se llevan a

cabo las actividades, sino que analiza los resultados para poder evaluar la
efectividad de la gestión realizada. En el caso de las auditorías de los SGC, se
Una auditoría no es una foto de la evalúa el sistema de implantación y de gestión de la calidad, y determinar si son
empresa en un momento puntual, sino la eficaces o no, en función de los resultados obtenidos.
filmación de su proceder en un período.
• Es objetiva. El resultado de la auditoría se basa en las denominadas “evidencias
objetivas”, a través de las cuales el auditor avala sus conclusiones, no pudiendo
basarlas, en ningún caso, en apreciaciones subjetivas, suposiciones, etc., siendo
necesario, por tanto, realizar las verificaciones de los procesos que sean
pertinentes para avalar la información o datos contenidos en los datos aportados
por el auditado.

• Es periódica. Cualquier sistema de gestión se implanta para una organización y

unas necesidades empresariales de un determinado momento. Los cambios en
los objetivos, en la organización, en los procesos, en los procedimientos, en las
personas, etc., pueden generar nuevas necesidades que hacen que los sistemas
implantados dejen de ser eficaces. De igual forma, los sistemas, aún no
existiendo cambios, pueden degradarse o perder su efectividad como

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 consecuencia de la confianza que la empresa tiene en el buen funcionamient o
del mismo. Las auditorías, al ser periódicas, deben impedir ese desajuste entre el
sistema y la realidad.

• No busca culpables. La auditoría busca, a través del análisis del pasado,

soluciones para el futuro. En ella se analizan los fallos del sistema, n o de las
personas que los cometieron, ya que, si éstos existieron fue porque el sistema se
lo permitió.

ANÁLISIS DE
OBJETIVA
RESULTADOS

INDEPENDIENTE PERIÓDICA

AUDITORÍA
SISTEMÁTICA CONDUCTAS

INSPECCIÓN BÚSQUEDA DE
Y CONTROL CULPABLES

3 Clasificación de las Auditorías

Dependiendo del criterio y finalidad del resultado podemos distinguir diversos tipos de
auditoría:
Las auditorías internas las establece la
propia organización a ser auditada, y 1. En función de QUIÉN AUDITA (procedencia del equipo auditor):
tienen el propósito de evaluar su propia
gestión para comprobar su idoneidad y • Auditorías internas: Son las auditorías realizadas por una organización para
detectar oportunidades de mejora. evaluar su propia gestión. Se llevan a cabo como consecuencia de una
necesidad interna de dicha organización de verificar los diferentes
procedimientos y sistemas de control interno, al objeto de saber si su
funcionamiento es el previsto y el establecido, o se requieren cambios o
mejoras.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Pueden realizarlas auditores empleados de la organización, siempre que
por la actividad que realizan y formación que tienen, estén preparados
para evaluar el correspondiente sistema de gestión.

Pueden también ser realizadas por auditores externos contratados para tal
servicio, sin que dicha externalización suponga que se considere una
auditoría externa.

Sea cual sea la opción elegida por la empresa, se trata de un aspecto

básico para el mantenimiento del sistema, contemplando muchos
sistemas la obligatoriedad de llevarlas a cabo de una forma periódica y
planificada.

• Auditorías externas: Son las auditorías realizadas por una organización al

objeto de evaluar las actividades de otras organizaciones. Se realizan
como información del grado de gestión ante terceros, configurándose
como un proceso de verificación de un periodo correspondiente,
evaluando la correspondencia o cumplimiento de las disposiciones
legales, normativas e internas aplicables.

Normalmente, suelen llevarse a cabo a requerimiento de clientes u

organismos de certificación. Ello no supone que puedan ser utilizadas
como elemento de gestión por parte de la empresa.

Este tipo de auditorías externas pueden a su vez subdividirse en:

▪ Auditorías de segunda parte , solicitadas por un cliente de la

Las auditorías externas son las auditorías empresa auditada, como información previa a la realización de la
realizadas por una organización al objeto compra o contratación para conocer si la empresa auditada cumple
de evaluar las actividades de otras los niveles de calidad necesarios, los recogidos en normas
organizaciones.
concretas o los establecidos específicamente por el cliente.

▪ Auditorías de tercera parte , ejecutadas por una tercera parte

independiente de la empresa auditada y de la que va a recibir los
resultados de dicha auditoría. Estamos en este supuesto ante las
auditorías requeridas para la certificación de los sistemas de gestión
de acuerdo a una norma (ISO 9001, ISO 14001, etc.).

2. En función de QUÉ SE AUDITA:

Cuando se decide llevar a cabo una auditoría es necesario definir el alcance u

objeto de la misma como requisito básico que debe conocer el auditor y la
empresa auditada.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 • Auditoría fiscal: Es aquella que se realiza la Administración de Finanzas del
país con el objetivo de determinar si los tributos al fisco, se efectúan en la
cuantía debida y dentro de los plazos y formas establecidos.

• Auditoría financiera: Consiste en el examen y evaluación de los

documentos, operaciones, registros y estados financieros de la entidad,
para determinar si éstos reflejan, razonablemente, su situación financiera y
los resultados de sus operaciones, así como el cumplimiento de las
disposiciones económico - financieras.

• Auditorías de procesos: Este tipo de auditoría son realizadas como

consecuencia en la mayoría de los casos de la detección de posibles
problemas, que si bien no se han manifestado, determinadas
circunstancias hacen prever la existencia de los mismos. La dirección de la
empresa, en estos casos, necesita conocerle grado de cumplimiento de
los objetivos de un proceso determinado.

Se analizan en estos casos todas las fases y factores del proceso que
Las auditorías de procesos se realizan afectan o se ven afectados por la acción preventiva, evaluándolo de
para la detección de posibles problemas. acuerdo con la documentación de referencia (normalmente, el mapa de
procesos, los flujogramas de los procesos y los procedimientos e
instrucciones de trabajo, así como los indicadores de control y sus
métricas).

• Auditoría del sistema de gestión de acuerdo a una norma: Cuando una

empresa desea establecer un sistema de gestión que se ajuste a los
requisitos establecidos en una determinada norma u otra especificación
técnica de referencia (ISO 9001, ISO 14001,...), y certificar dicho sistema de
gestión respecto a la norma de referencia, debe someterse a la auditoría
de una entidad certificadora acreditada. En estos casos, el auditor debe
evaluar la conformidad del sistema con dicha norma o especificación
técnica.

Estas auditorías de certificación permiten comprobar las excelencias de

los sistemas de gestión (Calidad, Medioambiente, Seguridad y Salud en el
Trabajo,...) de las empresas.

3. En función del ALCANCE QUE SE AUDITA:

No siempre es imprescindible conocer el estado o grado de cumplimiento del

sistema de gestión de la empresa en su totalidad, siendo posible en esos casos
limitarse a una auditoria parcial, que se limite a aquellas partes de la empresa o
del sistema sobre la que necesitamos obtener información.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 • Auditoría parcial: cuando se audita sólo algunas partes de la empresa,
algunos procesos, departamentos, etc.

• Auditoría global: cuando se audita el sistema de gestión de la totalidad de

la empresa, pudiendo en estos supuestos ser consecuencia de la suma de
auditorías parciales.

4. En función de CUÁNDO SE AUDITA:

• Auditoría programada: Cuando responde a una actividad planificada,

conocida de antemano, es decir, se notifica por escrito a la organización
Una auditoría programada es cuando
(en el momento de aprobación del otorgamiento y la renovación del
responde a una actividad planificada,
conocida de antemano.
certificado, el mes, año y duración de las auditorias de seguimiento y
renovación posterior; en la elaboración del programa de auditorías internas
de la organización, etc.).

• Auditoría extraordinaria: Se podrá realizar auditorías extraordinarias cuando

lo estime conveniente, en cualquier momento, o cuando se presente
alguna o varias de las siguientes situaciones, según aplique:

a) Quejas o reclamaciones de los clientes de la Organización o de

otras partes interesadas que afecten el alcance del Sistema de
Gestión certificado.

b) Quejas, investigaciones o sanciones de la autoridad competente

que afecten el alcance del Sistema de Gestión certificado.

c) Accidentes o enfermedades laborales que afecten el alcance del

Sistema de Gestión certificado (en el caso de la gestión de la SST).

d) Accidentes ambientales que afecten el alcance del Sistema de

Gestión certificado (en el caso de sistemas de gestión
medioambiental).

e) Cambios en la estructura organizacional, en el alcance, en los

procesos, en las operaciones o en las sedes incluidas en el
certificado de la Organización, lo cual podrá, a juicio del auditor,
ocasionar una suspensión temporal del Certificado.

f) Por solicitud de la Organización.

Ejemplos:

Veamos algunos ejemplos para ilustrar los diferentes tipos de auditorías:

La auditoria se caracteriza por depender de
varios principios que hacen que sea una
herramienta eficaz y fiable.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 • Auditoría de certificación del SGC de una empresa respecto a la norma ISO
9001. Se trata de una auditoría externa (la realiza una entidad externa
acreditada para certificar respecto a la norma), global (se audita el total del
SGC), se realiza de acuerdo a la norma ISO 9001 y una vez certificada la
empresa, se programan las auditorías de seguimiento (anuales) y de
revisión de la certificación (trianuales).

• Consideremos el caso de una empresa con un SGC certificado respecto a

la norma internacional ISO 9001, que se ve obligada a establecer planes
anuales de auditorías internas de seguimiento. Estamos en este caso ante
auditorías internas, son auditorías de acuerdo a la norma ISO 9001, en las
fechas planificadas (que deberán ser conocidas por los afectados), y
pueden abordarse globalmente o parcialmente (por ejemplo, por procesos
o departamentos).

4 Principios de las auditorías

La auditoria se caracteriza por depender de varios principios. Estos ha cen de la auditoria
una herramienta eficaz y fiable en apoyo de las políticas y controles de gestión,
proporcionando información sobre la cual una organización puede actuar para mejorar
su desempeño. La adhesión a esos principios es un requisito previo par a proporcionar
conclusiones de la auditoria que sean pertinentes y suficientes, y para permitir a los
auditores independientemente entre sí para alcanzar conclusiones similares en
circunstancias similares.

Los principios referidos a los auditores son:

a) Conducta ética: La confianza, integridad, confidencialidad y discreción son

esenciales para auditar.

b) Presentación ecuánime: Los hallazgos, conclusiones e informes de la auditoria

deben reflejar con veracidad y exactitud las actividades de la auditoria. Se debe
informar de los obstáculos significativos encontrados durante la auditoria y de las
opiniones divergentes sin resolver entre el equipo auditor y el auditado.
La fiabilidad en el proceso de auditoría y la
habilidad de alcanzar sus objetivos c) Debido cuidado profesional: Los auditores deben proceder con el debido
dependen de la competencia del auditor.
cuidado, de acuerdo con la importancia de la tarea que desempeñan y la
confianza depositada en ellos por el cliente de la auditoria y por otras part es
interesadas. Un factor importante es tener la competencia necesaria.

Los principios que se refieren a la auditoria son:

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 a) Independencia: Los auditores deben ser independientes de la actividad que es
auditada y estar libres de sesgo y conflicto de intereses. Los auditores han de
mantener una actitud objetiva a lo largo del proceso de auditoría para asegurarse
de que los hallazgos y conclusiones de la auditoria estén sustentados en la
evidencia de la auditoria.

b) Enfoque basado en la evidencia: La evidencia de la auditoria es verificable. Está

basada en muestras de la información disponible, ya que una auditoria se lleva a
cabo durante un periodo de tiempo delimitado y con recursos finitos. El uso
apropiado del muestreo está estrechamente relacionado con la confianza que
puede depositarse en las conclusiones de la auditoria.

5 El Auditor
La fiabilidad en el proceso de auditoría y la habilidad de alcanzar sus objetivos
dependen de la competencia de aquellos individuos involucrados en la planeación y
realización de auditorías, los auditores.

La competencia debe ser evaluada a través de un proceso que tiene en cuanta el

comportamiento personal y la habilidad de aplicar el conocimiento y habilidades
ganadas a través de la educación, experiencia laboral, entrenamiento de auditor y
experiencia en auditoría.

Funciones del auditor

Para ordenar e imprimir cohesión a su labor, el auditor cuenta con un una serie de
funciones tendentes a estudiar, analizar y diagnosticar la estructura y funcionamiento
general de una organización.

Las funciones tipo del auditor son:

• Estudiar la normatividad, misión, objetivos, políticas, estrategias, planes y

programas de trabajo.

• Desarrollar el programa de trabajo de una auditoria.

• Definir los objetivos, alcance y metodología para instrumentar una auditoria.

• Captar la información necesaria para evaluar la funcionalidad y efectividad de los

procesos, funciones y sistemas utilizados.

• Recabar y revisar estadísticas sobre volúmenes y cargas de trabajo.

El auditor cuenta con un una serie de
funciones tendentes a estudiar, analizar y
diagnosticar la estructura y funcionamiento
general de una organización.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 • Diagnosticar sobre los métodos de operación y los sistemas de información.

• Detectar los hallazgos y evidencias e incorporarlos a los papeles de trabajo.

• Respetar las normas de actuación dictadas por los grupos de filiación,

corporativos, sectoriales e instancias normativas y, en su caso, globalizadoras.

• Proponer los sistemas administrativos o las modificaciones que permitan elevar

la efectividad de la organización.

• Analizar la estructura y funcionamiento de la organización en todos sus ámbitos y

niveles.

• Revisar el flujo de datos y formas.

• Considerar las variables ambientales y económicas que inciden en el

funcionamiento de la organización.

• Analizar la distribución del espacio y el empleo de equipos de oficina.

• Evaluar los registros contables e información financiera.

• Mantener el nivel de actuación a través de una interacción y revisión continua de

avances.

• Proponer los elementos de tecnología de punta requeridos para impulsar el

cambio organizacional.

• Diseñar y preparar los reportes de avance e informes de una auditoria.

Competencia del auditor

La fiabilidad en el proceso de auditoría y la confianza en el mismo dependen de la

competencia de aquellos que llevan a cabo la auditoría. Esta competencia se basa en la
demostración de:

• Las cualidades personales.

• La aptitud para aplicar los conocimientos y habilidades descritos en el apartado

anterior, adquiridos mediante la educación, la experiencia laboral, la formación
como auditor y la experiencia en auditorias.

Formación técnica y capacidad profesional

Los auditores deben disponer de una adecuada formación y experiencia específica en

el campo de la auditoría y debe destacar como experto en la materia auditada. La
consecución de esa capacidad profesional se obtiene a través de una formación teórica
y una experiencia práctica.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 El auditor, para mantener su capacidad profesional, debe llevar a cabo una
El auditor, aunque se debe a su cliente, actualización permanente de sus conocimientos, tanto en el aspecto técnico como en
que puede ser la organización auditada, cuanto a sus conocimientos generales de los diversos sectores de actividad.
ante todo se debe también a la honradez y
profesionalidad de su trabajo. La experiencia profesional práctica necesaria para acceder al ejercicio de la profesión
se deberá obtener mediante la ejecución de trabajos de auditoría bajo la supervisión y
revisión de un auditor en ejercicio.

En el caso de que el equipo auditor lo integren varias personas, existirá un auditor jefe
que deberá sopesar los conocimientos y experiencia de los restantes profesionales del
equipo de auditoría para determinar el alcance de la supervisión y de la revisión del
trabajo.

Independencia, integridad y objetividad

El auditor debe mantener durante su actuación profesional una posición de absoluta
independencia, integridad y objetividad.

La independencia supone que el auditor no esté condicionado por ninguna

predisposición que limite su imparcialidad en la consideración objetiva de los hechos,
así como en la formulación de sus conclusiones.

La integridad debe entenderse como la rectitud intachable en el ejercicio profesional,

que obliga al auditor a ser honesto y sincero en la realización de su trabajo y la emisión
de su informe.

La objetividad implica el mantenimiento de una actitud imparcial en todas las funciones

del auditor. Para ello, deberá gozar de una total independencia en sus relaciones con la
entidad auditada, debiendo ser justo y no permitiendo ningún tipo de influencia o
prejuicio.

Diligencia profesional

El auditor debe actuar con la debida diligencia profesional en la ejecución de su trabajo

El auditor debe actuar con la debida y en la emisión de su informe.
diligencia profesional en la ejecución de su
trabajo y en la emisión de su informe.
Su ejercicio exige, asimismo, una revisión crítica a cada nivel de supervisión del trabajo
efectuado y del juicio emitido por todos y cada uno de los profesionales d el equipo de
trabajo de auditoría.

El auditor cuando lo considere necesario, podrá obtener asesoramiento de otros

profesionales en materias especializadas, debiendo poner cuidado en su selección y
consulta, previa autorización de la entidad auditada.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 El auditor es responsable del cumplimento de las normas de auditoría establecidas y, a
su vez, responsable del cumplimiento de las mismas por parte de los profesionales del
equipo de auditoría.

El auditor debe prestar servicios de calidad a sus clientes, respetando los intereses de
éstos, pero sin anteponerlos nunca a sus obligaciones para con terceros, interesados en
la información que se desprenda del informe de auditoría, en cuanto al mantenimiento
de su independencia, integridad y objetividad. Esta dualidad de obligaciones requiere
para su cumplimiento un alto grado de responsabilidad y conducta ética.

El auditor es responsable de su informe y debe realizar su trabajo de acuerdo con las

normas técnicas de auditoría establecidas.

Secreto profesional
El auditor tiene el deber de mantener la confidencialidad de la información obtenida en
el curso de sus actuaciones concerniente a los negocios de sus clientes y, excepto en
los casos previstos por la normativa legal aplicable, no revelará el contenido de la
misma a persona alguna sin autorización estricta del cliente.

No obstante, el auditor recogerá en su informe cualquier negativa del cliente a mostrar

toda la información necesaria para el desarrollo completo de la auditoría.

El auditor tiene, asimismo, el deber de garantizar el secreto profesional en las

actuaciones de sus ayudantes y colaboradores.

El auditor deberá conservar y custodiar la documentación de la auditoría, incluidos los

papeles de trabajo del auditor que constituyen las pruebas y el soporte de las
conclusiones que consten en el informe.

Ejemplos:

El comportamiento adecuado de cualquier auditor, al margen de a qué tipo de auditoría

corresponda (fiscal, de sistemas de gestión como el de calidad, interna, externa,...),
debe estar acorde con los siguientes puntos:

• Ético: imparcial, sincero, honesto y discreto.

• De mentalidad abierta: dispuesto a considerar ideas o puntos de vista

El auditor siempre debe recordar que la alternativos).
auditoria puede ser un acontecimiento
importante para el auditado y que hay que • Diplomático: capacidad para desenvolverse con tacto en las relaciones con las
actuar con tacto y educación. personas.

• Observador: activamente consciente del entorno físico y las actividades.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 • Perceptivo: Consciente y capaz de entender las situaciones.

• Versátil: fácil adaptación a diferentes situaciones.

• Tenaz: persistente, orientado hacia el logro de los objetivos.

• Decidido: alcanza conclusiones oportunas basadas en el análisis y razonamientos

lógicos.

• Seguro de sí mismo: actúa y funciona de forma independiente a la vez que se

relaciona eficazmente con otros.

A su vez, los comportamientos que todo auditor debe evitar durante la auditoria son:

• No mirar al auditado.

• Formular conclusiones prematuras.

• Utilizar preguntas-respuesta.

• Utilizar preguntas en sentido negativo.

• Utilizar preguntas vagas, imprecisas.

• Formular preguntas ya contestadas.

• Utilizar tonos marcados (ironía, desprecio, agresividad).

• Actitudes como moverse mucho, dar vueltas, expresar inquietud, etc.

• Buscar errores o desviaciones sistemáticamente.

• Auditar aspectos tecnológicos.

• Aparentar falta de interés por el proceso de auditoría.

• Dejarse influenciar por presiones tales como “me van a despedir” o “la entidad así
se va al traste”, etc., que lo único que buscan es influir en el criterio del auditor.

6 Metodología de las auditorías de sistemas de gestión

Los auditores tienen que ser conscientes de la importancia de su trabajo, pues no sólo
afecta a las personas que directamente les han contratado, sino que también alcanza a
Es necesario establecer una Metodología
que establezca las etapas ordenadas y
terceras personas que utilizan los resultados de las auditorí as para la toma de
sistemáticas a seguir para garantizar su decisiones.
eficacia y alcanzar los objetivos
perseguidos, evitando dejar aspectos al
azar.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
Debido a ello, no se puede supeditar la eficacia de la auditoría a la profesionalidad del
auditor. Es necesario establecer una metodología que establezca las etapas ordenadas
y sistemáticas a seguir para garantizar su eficacia y alcanzar los objetivos perseguidos,
evitando dejar aspectos al azar.

La metodología aplicada en el desarrollo de las auditorías consta de las siguientes

fases:

1. INICIO DE LA AUDITORÍA

– Establecer contacto inicial con el auditado

– Determinar la viabilidad de la auditoría
– Designar el equipo auditor

2. PREPARACIÓN DE LA AUDITORÍA

– Revisión de documentos en preparación para la auditoría

– Preparación del plan de auditoría
– Asignación del trabajo al equipo de auditoría
– Preparación de los documentos de trabajo

3. REALIZACIÓN DE LA AUDITORÍA

– Realización de la reunión de apertura

– Revisión documental durante la realización de la auditoría
– Comunicación durante la auditoría
– Asignación de roles y responsabilidades de guías y
observadores
– Recolección y verificación de información
– Generación de hallazgos de auditoría
– Preparación de conclusiones de auditoría
– Realización de reunión de cierre

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 4. DOCUMENTACIÓN DEL RESULTADO DE LA AUDITORÍA

– Elaboración del informe de auditoría

– Distribución del informe de auditoría

5. FINALIZACIÓN DE LA AUDITORÍA

6. AUDITORÍA DE SEGUIMIENTO (si está contemplado en el plan de

auditorías)

6.1 Inicio de la auditoría

Cuando se inicia una auditoría, la responsabilidad de la misma recae, durante todo el

tiempo que dura, en el auditor (cuando sólo hay uno) o en líder del equipo auditor.

Establecer contacto inicial con el auditado

El contacto inicial con el auditado para el desarrollo de la auditoría deberá hacerlo el
líder del equipo auditor y su finalidad es:

• Establecer comunicación con los representantes del auditado.

• Confirmar la autoridad para la realización de la auditoría.

• Proveer información sobre los objetivos, alcance y métodos de auditoría, así

como la composición del equipo auditor, incluyendo los expertos técnicos.

• Solicitar acceso a documentos y registros relevantes para la preparación de la

auditoría.

• Determinar los requisitos legales, contractuales o de otro tipo aplicable a las

actividades y productos del auditado.

• Confirmar el acuerdo del auditado en lo referente al grado de divulgación y

tratamiento de la información confidencial.

• Hacer arreglos para la auditoría, incluyendo la programación de fechas.

Es necesario establecer una Metodología
• Determinar cualquier requisito específico del lugar en cuanto a acceso,
que establezca las etapas ordenadas y
seguridad, salud y seguridad y otros.
sistemáticas a seguir para garantizar su
eficacia y alcanzar los objetivos
perseguidos, evitando dejar aspectos al
azar.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 • Llegar a acuerdos sobre la participación de observadores y la necesidad de guías
para el equipo auditor.

• Determinar cualquier área de interés o inquietud del auditado en relación a la

auditoría.

Determinación de la viabilidad de la auditoría

La determinación de la viabilidad de la auditoría tiene el propósito de proporcionar una
confianza razonable de que los objetivos de auditoría pueden ser alcanzados.

Para la determinación de la viabilidad de la auditoría debe asegurarse que:

• La información es suficiente y apropiada para la planificación y realización de la

auditoría.

• El auditado está en disposición de cooperar.

• El tiempo y demás recursos son adecuados para la realización de la auditoría.

Si la auditoría no resulta viable, debe buscarse, de acuerdo con el auditado, una

alternativa para el cliente de la auditoría (el cliente de la auditoría y el auditado no
tienen por qué coincidir –auditoría de tercera parte–).

Designar el equipo auditor

Cuando la auditoria se considera viable, se debe seleccionar un equipo auditor teniendo
en cuenta la competencia necesaria para lograr los objetivos de la auditoria. Cuando
hay un solo auditor, éste debe desempeñar todas las tareas aplicables al líder del
equipo auditor.

Para determinar el equipo auditor hay que considerar:

• Número de auditores necesarios en función del alcance y finalidad de la

auditoria.

• Seleccionar el auditor jefe.

• Establecer las responsabilidades y funciones del auditor jefe.

• Determinar las áreas y los requisitos que van a auditar cada uno de los miembros
del equipo, de acuerdo con su experiencia y conocimientos técnicos.

• Establecer los plazos para llevar a cabo la auditoria en cada área o para cada
requisito.

En el momento de decidir el tamaño y la composición del equipo auditor, se debe

El equipo auditor se debe seleccionar
considerar los siguientes:
teniendo en cuenta la competencia
necesaria para lograr los objetivos de la
auditoria.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 • Los objetivos, el alcance, los criterios y la duración estimada de la auditoria.

• Si la auditoria es una auditoria combinada o conjunta.

• La competencia global del equipo auditor necesaria para conseguir los objetivos
de la auditoria.

• Los requisitos legales, reglamentarios, contractuales y de

acreditación/certificación, según sea aplicable.

• La necesidad de asegurarse de la independencia del equipo auditor con

respecto a las actividades a auditar y de evitar conflictos de intereses.

• La capacidad de los miembros del equipo auditor para interactuar eficazmente

con el auditado y trabajar conjuntamente.

• El idioma de la auditoria y la comprensión de las características sociales y

culturales particulares del auditado.

Si el conocimiento y habilidades necesarios no se encuentran cubiertos en su total idad

por los auditores del equipo auditor, se pueden satisfacer incluyendo expertos técnicos.
Los expertos técnicos deben actuar bajo la dirección de un auditor.

Los auditores en formación pueden incluirse en el equipo auditor, pero no deben

auditar sin una dirección u orientación.

Tanto el cliente de la auditoria como el auditado pueden requerir la sustitución de

miembros en particular del equipo auditor con argumentos razonables basados en los
principios de la auditoria. Estos argumentos deben comunicarse al líder del equipo
auditor y a aquellos con la responsabilidad asignada para la gestión del programa de
auditoría, quienes deben resolver el tema con el cliente de la auditoria y el auditado
antes de tomar alguna decisión sobre la sustitución de los miembros del equipo auditor.

En el caso de las auditorías internas, los auditores pueden ser personal externo al
equipo técnico de la Dirección Ejecutiva, pero este personal debe ser previamente
En la preparación de la auditoría hay que informado de las condiciones de trabajo y del Sistema de Gestión de la Dirección
conocer la documentación del sistema de
Ejecutiva. Las personas designadas como auditores para un área específica no deben
gestión a auditar.
estar involucradas en el desarrollo de labores dentro de esa área.

6.2 Preparación de la auditoría

Revisión de documentos en preparación para la auditoría

El equipo auditor debe revisar la documentación del sistema de gestión objeto de la
auditoría con el fin de:

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 • Tener una visión general del grado de documentación del sistema de gestión
para detectar posibles incorrecciones o vacíos (la norma respecto a la que se va
a auditar el sistema será el referente en la realización de esta revisión
documental).

• Reunir información para preparar la auditoría (elaboración de los documentos de

trabajo, listas de verificación, etc.).

Preparación del plan de auditoría

El líder del equipo auditor debería preparar un plan de auditoría basado en la
información contenida en el programa de auditoría y en la documentación e ntregada
por el auditado. El plan de auditoría debería considerar el efecto de las actividades de
auditoría en los procesos del auditado y proveer la base para el acuerdo entre el cliente
de auditoría, el equipo auditor y el auditado referente a la realiza ción de la auditoría.

El plan de auditoría debe facilitar la programación y coordinación eficiente de sus

actividades con el fin de alcanzar los objetivos.

Debe ser elaborado por el líder del equipo auditor a partir de la información contenida
en el programa de auditoría y la documentación del sistema de gestión, y contar con la
aceptación del cliente y del auditado (no siempre ambas figuras coinciden).

En la elaboración de este plan deben considerarse los elementos siguientes:

• Las técnicas de muestreo a utilizar.

• La composición del equipo auditor y su competencia colectiva.

• Posibles riesgos que la auditoría pudiera crear al auditor.

Ejemplo:

Según la actividad y características de las instalaciones de la empresa auditada, la

presencia del equipo auditor puede influir en la calidad, por ejemplo contaminando
instalaciones con cuartos limpios.

El plan de auditoría debe comprender o hacer referencia a lo siguiente:

El plan de auditoría debe contemplar los
objetivos, el alcance, lugar y fecha, el
a) Los objetivos de la auditoría.
método a seguir y los roles y
b) El alcance de auditoría, incluyendo la identificación de las unidades
responsabilidades.
organizacionales y funcionales, así como los procesos a ser auditados.

c) Los criterios de auditoría y cualquier documento de referencia.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 d) La ubicación, fechas, tiempo esperado y duración de las actividades de auditoría
a realizar, incluyendo reuniones con la gerencia del auditado.

e) Los métodos de auditoría a utilizar, incluyendo el grado de muestreo requerido

para obtener suficiente evidencia de auditoría y el diseño del plan de muestreo,
si aplica.

f) Los roles y responsabilidades de los miembros del equipo auditor, así como de
los guías y observadores, en el caso que los hubiera.

g) La adjudicación de recursos apropiados para áreas críticas de la auditoría.

El plan de auditoría debe ser lo suficientemente flexible para permitir cambios que se
puedan hacer necesarios durante el progreso de las actividades de auditoría.

En el caso del plan de auditorías internas, debe ser aprobado por la Dirección de la
organización.

Asignación de trabajo al equipo auditor

El líder del equipo auditor deberá asignar a cada miembro del equipo la responsabilidad
para auditar procesos, funciones, lugares, áreas o actividades específicos, teniendo en
cuenta la necesidad de independencia y competencia de los auditores, el
aprovechamiento eficaz de los recursos, así como las diferentes funciones y
responsabilidades de los auditores, auditores en formación y expertos técnicos.

Preparación de los documentos de trabajo

El equipo auditor deberá recolectar y revisar la información pertinente a las tareas
asignadas y preparar los documentos de trabajo que sean necesarios como referencia y
registro del desarrollo de la auditoría. Tales documentos de trabajo pueden
El plan de auditoría debe ser lo
suficientemente flexible para permitir
comprender:
cambios que se puedan hacer necesarios
• Listas de verificación (check-lists).
durante el progreso de las actividades de
auditoría. • Planes de muestreo de auditorías.

• Formularios para registrar información, tal como evidencias de apoyo, hallazgos

de auditoría y registros de las reuniones.

Elaboración del check-list

La lista de verificación permite llevar a cabo la auditoría de una forma correcta. En

ocasiones las listas de chequeo se detallan en mayor grado y se establecen métodos
cuantificados para evaluar el resultado final de la auditoría. De esta forma se reduce la

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 variabilidad de la auditoría, aunque siempre queda un componente de subjetividad, ya
que la calificación a cada respuesta tiene que ser dada por el auditor.

La elaboración del check-list tiene como beneficios para el auditor, entre otros:

• Sirve como guía básica para la auditoría.

• Permite verificar, previamente a la auditoría, que todos los aspectos importantes

del sistema serán auditados.

• Indica en cada etapa, para cada elemento y área/departamento a auditar, las

comprobaciones a realizar, documentos, registros, personas, etc.

• Permite ir anotando los resultados de la auditoría, de manera que no se pierda

ningún dato.

La elaboración del check-list tiene como beneficios para el auditado:

• Permite conocer las líneas básicas por las que se va a guiar el auditor, facilitando
la comunicación y haciendo de la auditoría lo que debe de ser: una herramienta
de ayuda en la Gestión de la Calidad.

• Es una muestra de la objetividad del auditor.

Existen distintos modelos de check-list:

• Lista de preguntas. En este caso, el auditor se guía por las preguntas del
cuestionario y, de acuerdo con las evidencias presentadas por el auditado y con
su propio criterio, contesta sí, no, o no aplicable.

• Lista de actividades. El auditor utiliza una lista de actividades que quiere auditar.
Para cada una de ellas verifica si realmente se está realizando y además puntúa,
según una determinada escala, el grado de adecuación y efectividad.

• Diagrama de flujo. Es un check-list para realizar una auditoría por actividades o

En la reunión de apertura se aprueba el
tareas. El auditor dispone de un diagrama de flujo completo de la actividad en el
plan de auditoría, se presenta al equipo que se indican, para cada uno de los puntos críticos, todos los elementos de la
auditor y se clarifican todas las dudas del misma: personas, materiales, equipos e información.
auditado.
Cualquiera de los modelos es válido en tanto aporte los beneficios deseados.

6.3 Realización de la auditoría

Realización de la reunión de apertura

El propósito de la reunión de apertura es:

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 a) Confirmar el plan de auditoría.

b) Presentar al equipo auditor.

c) Proporcionar un breve resumen de cómo se llevaran a cabo las actividades de

auditoría.

d) Asegurar que se pueden llevar a cabo todas las actividades de auditoría

planeadas.

e) Confirmar los canales de comunicación.

f) Proporcionar al auditado la oportunidad de realizar preguntas.

La reunión de apertura debe realizarse preferentemente con la dirección del auditado

o, en su defecto, con los responsables de las funciones o procesos que se van a
auditar.

Revisión documental durante la realización de la auditoría

La documentación relevante del auditado que no haya sido revisada en la fase de

preparación de la auditoría, deberá ser revisada en esta fase. Ello puede hacerse en
paralelo con la realización de otras actividades de la auditoría, y su finalidad es:

• Determinar la conformidad del sistema, en cuanto a su documentación, con los

criterios de auditoría.

• Recopilar información para soportar las actividades de auditoría.

Comunicación durante la auditoría

Durante la auditoría se producen intercambios de información entre el equipo auditor,
así como con el auditado, el cliente de auditoría y potenciales entes externos (por
ejemplo, los entes reguladores), especialmente cuando los requisitos normativos
incluyen el reporte obligatorio de no conformidades.

El equipo auditor debe reunirse periódicamente para intercambiar información, evaluar

En la auditoría se producen intercambios el progreso de la auditoría y re-asignar trabajo entre sus miembros.
de información entre el auditado y el
equipo auditor. Durante la auditoría, el líder del equipo auditor debe mantener informados al auditado y
al cliente de auditoría sobre el avance de la auditoría y de cualquier duda que se
suscite.

Ante cualquier evidencia recolectada durante la auditoría que sugiera un riesgo

significativo inminente, el auditado debe ser informado inmediatamente.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Cuando la evidencia de auditoría disponible indique que no se pueden alcanzar los
objetivos de auditoría, el líder del equipo auditor debería r eportar las razones al cliente
de auditoría y al auditado para determinar las acciones apropiadas. Tales acciones
pueden incluir la modificación del plan de auditoría, cambios a los objetivos o alcance
de la auditoría, o suspensión de la misma.

Asignación de roles y responsabilidades de guías y observadores

El equipo auditor puede estar acompañado por guías y observadores (por ejemplo,
entes reguladores u otras partes interesadas). Éstos no deben ni interferir ni influenciar
en la auditoría.

Los guías nombrados por el auditado tendrán como cometido:

• Ayudar a los auditores a identificar a los individuos que van a participar en las
En auditor debe recolectar información entrevistas y confirmar los tiempos.
como para poder constatar que el
funcionamiento correcto del sistema de • Organizar la logística de acceso a las instalaciones del auditado.
gestión o, por el contrario, la existencia de
• Asegurar que el equipo auditor y los observadores conocen y respetan las reglas
no conformidades.
relacionadas con la seguridad de la ubicación y los procedimientos de
emergencia.

• Ser testigo de la auditoría en nombre del auditado.

• Ayudar a recolectar información y aclarar las dudas que surjan.

Cualquier obligación relacionada con salud y seguridad y confidencialidad y seg uridad

de la información debería ser manejada entre el cliente de auditoría y el auditado, al
margen de los observadores.

Recolección y verificación de la información

Durante la auditoría debe recolectarse, por medio de muestreo apropiado, y verificarse,

toda la información relevante a los objetivos, alcance y criterios de la auditoría. Sólo la
información verificable es válida como evidencia de auditoría. La evidencia de auditoría
que conduce a hallazgos de auditoría debe ser registrada.

Los métodos para recopilar esta información incluyen:

• Entrevistas con empleados y con otras personas. Las entrevistas deben hacerse
con personas de niveles y funciones adecuadas que desempeñen tareas o
actividades dentro del alcance de la auditoria. No se deben realizarse preguntas
que predispongan las respuestas y los resultados de la entrevista deben ser
resumidos y revisados por la persona entrevistada.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 • Observación de actividades y del ambiente de trabajo y condiciones
circundantes.

• Revisión de documentos, tales como política, objetivos, planes, procedimientos,

normas, instrucciones, licencias y permisos, especificaciones, planos, contratos y
pedidos.

• Revisión de registros, tales como registros de inspección, actas de reunión,

informes de auditorías, registros de programas de seguimiento y resultados de
mediciones.

• Resúmenes de datos, análisis e indicadores de desempeño.

• Información sobre los programas de muestreo del auditado y sobre los

De denomina hallazgo a cualquier posible procedimientos para el control de los procesos de muestreo y medición.
discrepancia documental o funcional
detectada. • Informes de otras fuentes, por ejemplo, retroalimentación del cliente, otra
información pertinente de partes externas y la calificación de los proveedores.

• Bases de datos informáticas y sitios de Internet.

Generación de hallazgos de auditoría

Durante la realización de la auditoría, el auditor busca elementos de juicio que

sustenten su percepción sobre el estado de la gestión de la prevención. El equipo
auditor analiza las diversas actividades realizadas por la empresa en relación con la
gestión auditada, comparando si el sistema implantado cumple los requisitos
establecidos por los reglamentos, normas o documentos según los cuales se diseñó.
Cuando en una determinada actuación existe una discrepancia entre los requisitos y la
forma de llevarse a cabo por parte de la entidad, se ha realizado un hallazgo.

Un hallazgo no implica la evidencia de una desviación, ya que una entidad no tiene por
qué cumplir todos los requisitos de una norma o reglamento, pueden existir aspectos
que no requieren ser aplicados dada su forma de trabajo, proceso productivo, etc.

Los hallazgos pueden dividirse en:

• Conformidades: Son aquellas discrepancias con los requisitos establecidos de las

normas y reglamentos consecuencia de la ausencia y aplicabilidad de alguno de
ellos a la entidad.

• No conformidades. Demuestran fallos en el cumplimiento del sistema de

acuerdo con los requerimientos estándar.

• Observaciones: Son discrepancias con los requerimientos que no demuestran un

fallo en un cumplimento de los mismos, sino que debilita o puede debilitar la

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 eficacia del mismo. En general, las observaciones no corregidas acaban
convirtiéndose en no conformidades.

Los hallazgos se refieren a hechos y condiciones, en general, fáciles de identificar. Sin

embargo, los hallazgos deben ser claramente demostrados como discrepancias como
estándares establecidos. Para probarlos están las evidencias objetivas.

Las evidencias objetivas

La evidencia objetivas son pruebas documentales o físicas, de realidades que son

indubitables independientemente de las personas que las perciban.

El proceso de recolección de evidencias no es fácil. Se pueden considerar de dos tipos:

• Evidencia inmediata: Se obtiene de los documentos y registros del sistema.

Los hallazgos deben sustentarse en
evidencias objetiva, y no es intuiciones,
• Evidencia corroborativa: Toda la información que el auditor obtiene para
impresiones o suposiciones. asegurarse de la veracidad y exactitud de la anterior evidencia. Se consigue
mediante la verificación, inspección, análisis, confirmaciones, entrevistas, etc.

Uno de los problemas es definir hasta dónde llegar en la obtención de las evidencias,
siendo suficiente cuando el auditor pueda llegar a conclusiones razonables de que los
hechos o criterios que está juzgando han quedado satisfactoriamente justificados.

Una evidencia adecuada es aquella que se ajusta a los hechos, circunstancias o

criterios que realmente tienen importancia en relación con el hecho examinado.

La búsqueda de evidencias

Durante la realización de la auditoria, el auditor analiza los distintos aspectos del

sistema realizando hallazgos. Para sustentarlos necesita evidencias objetivas, para
localizarlas se utiliza una serie de técnicas como son la observación.

La observación o percepción a través de los sentidos, a veces no es válida como

evidencia objetiva pero permite al auditor percibir por dónde tiene que encaminar la
investigación para conseguir la evidencia. Durante la auditoria el auditor debe estar
atento de cómo son realizadas las diversas operaciones, los comentarios entre el
personas, etc., que le permitan intuir la forma de trabajo de la entidad. Descubriendo los
puntos fuertes y débiles de la acción preventiva, que posteriormente fundamentará a
través de evidencias.

La búsqueda de evidencias se basa, fundamentalmente en la revisión de documentos y

registros y en las entrevistas con las distintas personas durante la auditoria.

• Revisión de documentos y registros: Tiene como objetivo evaluar si el sistema

Las No Conformidades pueden ser está diseñado de acuerdo a los estándares que le son de aplicación, ya que, de
clasificadas atendiendo a su gravedad,
amplitud y frecuencia.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 no ser así, las acciones posteriormente realizadas tampoco estarán de acuerdo
con los requisitos. Se debe analizar si los documentos son coherentes con el
estándar, si cubren los requisitos del estándar, si definen claramente cómo,
cuándo, dónde y quién realiza las distintas actividades y si están aprobados y
claramente identificados. Se debe comprobar que los registros están de acuerdo
con los requeridos en la documentación del sistema de gestión, si han sido
correctamente utilizados, si la información es completa y si está identific ado
quién los realizó.

• Entrevistas: Es la comunicación oral entre el auditor y personas de la entidad

auditada. La mayoría de hechos plasmados deben ser validados mediante
evidencias que refuten las informaciones obtenidas verbalmente. Se puede
validar la información obtenida cuando:

– Varios entrevistados dicen lo mismo.

– Existencia de documentos o registros que avalen las informaciones

recibidas.

Las no conformidades y su soporte de evidencia de auditoría tienen que ser registradas.

Además deben ser revisadas con el auditado a fin de obtener reconocimiento de que la
evidencia de auditoría es correcta y que las no conformidades son entendidas.

No todas las no conformidades inciden de igual forma en la eficacia del sistema de

gestión.

En este sentido, la Norma ISO 19011establece que "las no conformidades pueden estar
clasificadas", aunque no determina ni los niveles o clases a considerar, ni su
denominación, o los criterios de clasificación de las no conformidades. Corresponderá
al auditor (interno o externo) el determinar, como parte del procedimiento o programa
de auditoría, si va a recurrir a alguna clasificación de las no conformidades detectadas
con el fin de facilitar la comprensión de las conclusiones de la auditoría.

Los criterios de graduación permiten la categorización cualitativa de las no

conformidades. Cuando se recurre a una graduación de las no conformidades ésta
suele basarse en combinaciones que conjugan:

• La gravedad del problema detectado o efecto de la no conformidad en la

eficacia del Sistema de Gestión.

• Su amplitud o alcance de la no conformidad dentro del Sistema.

• Su frecuencia o el carácter sistemático o puntual de su aparición.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Ejemplo:

Los criterios de graduación pueden ser muy variados, según las necesidades del cliente
de auditoría, o los criterios del auditor. En este sentido se puede recurrir a una
clasificación en dos niveles (se usan diferentes denominaciones, como por ejemplo: No
Conformidades y Observaciones; No Conformidades y Desviaciones; No Conformidades
Mayores y Menores), en tres niveles (también son posibles denominaciones diferentes:
No Conformidades Categoría 1, Categoría 2 y Categoría 3; No Conformidades Críticas,
Mayores y Menores) o incluso cuatro niveles (No Conformidad, Desviación,
Las No Conformidades pueden ser
clasificadas atendiendo a su gravedad,
Observación, Acción de Mejora). Tampoco habría objeción en usar más niveles.
amplitud y frecuencia.
El uso de niveles de gravedad en las no conformidades es útil en la elaboración del
plan de acciones correctoras para priorizar su resolución.

Preparación de conclusiones de auditoría

El equipo auditor deberá reunirse antes de la reunión de cierre con el fin de:

a) Revisar los hallazgos de la auditoría y cualquier otra información apropiada

recopilada durante la auditoría frente a los objetivos de la misma.

b) Consensuar las conclusiones.

c) Preparar las recomendaciones, si así está establecido en el plan de auditoría.

d) Discutir el seguimiento a la auditoría, según sea aplicable.

Fuente de información

Recolección por medio de muestreo apropiado

Evidencia de auditoría

Evaluación contra criterios de la auditoría

Hallazgos de auditoría

Revisión

Conclusiones de la auditoría

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Las conclusiones de auditoría pueden tratar aspectos tales como los siguientes:

• El grado de conformidad con los criterios de la auditoría y la idoneidad del

sistema de gestión, incluyendo la efectividad del mismo para cumplir con los
objetivos establecidos.

• La efectiva implementación, mantenimiento y mejora del sistema de gestión.

• La capacidad del proceso de revisión por la dirección de asegurar la continua

idoneidad, capacidad, efectividad y mejora del sistema de gestión.

• Logro de los objetivos de auditoría, cubrimiento del alcance de la auditoría y

cumplimiento con los criterios de la auditoría.

• Origen de las causas de los hallazgos.

• Hallazgos similares encontrados en diferentes áreas auditadas con el propósito

de identificar tendencias.

• Recomendaciones para la mejora o futuras actividades de auditoría (en la medida

que lo contemple el plan de auditoría).

Realización de la reunión de cierre

Debe realizarse una reunión de cierre, promovida por el líder del equipo auditor, para
presentar los hallazgos y conclusiones de la auditoría. Los participantes de la reunión
de cierre deberían incluir la gerencia del auditado y, cuando sea apropiado, aquellos
responsables de las funciones o procesos que han sido auditados, y también pueden
incluir al cliente de auditoría u otras partes.

Si está definido en el sistema de gestión, o por acuerdo con el cliente de auditoría, los
En la reunión de cierre se deben participantes deberán acordar el intervalo de tiempo para que el auditado presente un
presentar al auditado los hallazgos y plan de acción para dar tratamiento a los hallazgos de auditoría.
conclusiones de la auditoría (que luego
irán incluidos en el informe de auditoría). Cualquier opinión divergente relativa a los hallazgos de la auditoría o a las conclusiones
entre el equipo auditor y el auditado deberán discutirse y, si es posible, resolverse. Si no
se resolvieran, las dos opiniones deberían registrarse.

6.4 Documentación del resultado de la auditoría

Elaboración del informe de auditoría

El objetivo fundamental del informe de auditoría es proporcionar información a la

dirección de la organización sobre el grado de cumplimiento de su política, sobre la

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 eficacia del sistema de gestión de la prevención de riesgos laborales, y sobre la
fiabilidad de las medidas adoptadas.

La preparación y contenido del informe de auditoría tiene que ser claro, preciso
completo, reflejando fielmente el resultado de la misma, y debiendo estar fechado y
firmado.

Los documentos de auditoría deben ser conservados como soporte documental del
informe emitido.

La estructura del informe debe seguir una serie de pautas:

1. Número y referencia del informe. El informe debe numerarse de forma que

quede claramente identificado. La codificación y numeración del informe seguirá
los siguientes criterios:

• No será compleja, en muchos casos se pretende transmitir gran

información con el código, su complejidad la hace inoperante.

• Indicarán el año de la auditoría, de forma que, auditorías al mismo

departamento o empresa en diferentes años, tengan un código similar.

• Permitirá identificar modificaciones, cuando en casos excepcionales sea

necesario. No dando lugar a error entre el informe y su modificación o
modificaciones.

2. Identificación de la empresa auditora cuando el auditor no actúe como auditor

Los datos o información que la empresa independiente.
pone a disposición del grupo auditor
son estrictamente confidenciales. 3. Firma del auditor jefe.

4. Firma de los miembros del grupo auditor (no es imprescindible).

5. Paginado, identificando la página y el número de páginas del informe.

6. Declaración de limitación de responsabilidad. Las revisiones realizadas a

documentos, registros, etc. durante la auditoría son de carácter muestral,
pudiendo existir actuaciones no conformes, que durante la muestra no han sido
detectadas. Con el fin de transmitir o dejar claro este hecho al auditado es
conveniente incluir en el informe una declaración de limitación de
responsabilidad.

7. Declaración de confidencialidad. Los datos o información que la empresa pone a

disposición del grupo auditor son estrictamente confidenciales. Hemos indicado
en otro capítulo que el auditado puede exigir una declaración de
confidencialidad.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 Aun habiéndola entregado, a petición del auditado o no, en el informe debe incluirse
una declaración de confidencialidad.

El contenido del Informe de auditoría debe contener los trabajos realizados y los
resultados obtenidos estando relacionados directamente con el objeto y alcance de la
auditoría. No es una simple trascripción de las entrevistas, información, hechos
observados, pretende transmitir a su lector el grado de cumplimiento del sistema
indicando de forma clara los hallazgos detectados.

El informe debe incluir como mínimo los siguientes aspectos:

• Objeto: Se indicará el objeto de la auditoria de acuerdo con el incluido en el plan

de auditoría.

• Alcance: El alcance debe quedar claramente reflejado en el informe, teniendo en

cuenta lo siguiente:

– Estándar bajo el cual se ha realizado la auditoria.

– Centro o centros de trabajo auditados.

– Actividades auditadas

• Equipo auditor: El equipo de personas que han participado en el desarrollo de la

auditoria debe quedar reflejado en el informe.

• Interlocutores: por parte de la empresa. Indicando entre éstos últimos las

La auditoría finaliza cuando todas las personas que se consideren relevantes para el informe, no siendo necesario
actividades de auditoría planeadas indicar todos y cada uno de los interlocutores de la empresa.
hayan sido llevadas a cabo.
• Documentos de referencia: El auditor evalúa si el sistema implantado cumple con
los requisitos incluidos en los documentos de referencia, debiendo quedar
definidos cuáles son los mismos.

• Realización: Este apartado es el contenido básico del informe, en el se reflejan

todos los trabajos realizados y las conclusiones obtenidas. Expresando, de una
forma estándar, la opinión profesional sobre el estado de la empresa en materia
de prevención. En él se reflejan los aspectos básicos de la auditoria. El informe
incluirá las no conformidades y observaciones encontradas a lo largo de su
realización.

Distribución del informe de auditoría

El reporte de auditoría deberá ser emitido dentro de un periodo de tiempo acordado y

distribuido a los receptores designados en los procedimientos o plan de auditoría.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 6.5 Finalización de la auditoría

La auditoría finaliza cuando todas las actividades de auditoría planeadas hayan sido
llevadas a cabo, o acordadas de otro modo con el cliente de auditoría (por ejemplo,
puede presentarse una situación inesperada que no permita que la auditorí a sea
completada de acuerdo con el plan).

La información resultante del proceso de auditoría debe tener la consideración de

confidencial.

Los resultados de toda auditoria debe contribuir a la mejora continua del sistema de
gestión de las organizaciones auditadas.

6.6 Realización de seguimiento a la auditoría

Dependiendo de los objetivos de la auditoría, las conclusiones de la auditoría pueden

indicar la necesidad de acciones correctivas, preventivas, o de mejora.

Las no conformidades inevitablemente deben ser corregidas, y con tal finalidad es

obligatorio elaborar un plan de acciones correctivas. En la medida que también se
pretendan atender las observaciones resultantes de la auditoría, introduciendo las
oportunas acciones preventivas o de mejora, se puede aprovechar el propio plan de
acciones correctivas para su planificación, dándolas el mismo tratamiento.
Las no conformidades inevitablemente
deben ser corregidas, y con tal finalidad
Plan de acciones correctivas
es obligatorio elaborar un plan de
Las áreas afectadas por la auditoria establecerán las acciones correctivas que permitan
acciones correctivas.
eliminar las causas que han originado las no conformidades. La acción correctiva
incluirá:

• Medidas a adoptar.

• Plazo de ejecución.

• Responsable de su ejecución.

Tales acciones generalmente son decididas y emprendidas por el auditado en un

intervalo de tiempo acordado. Según sea apropiado, el auditado deberá mantener
informados a la persona que gestiona el programa de auditoría y al equipo auditor
acerca del estado de esas acciones.

Tal y como se ha indicado anteriormente, en el plan de acciones correctivas se pueden

planificar también las acciones preventivas o de mejora, que el equipo auditor haya
observado y que el auditado haya considerado oportuno implementar.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
La finalización y efectividad de estas acciones debería ser verificada. Esta verificación
puede ser parte de una auditoría posterior.

7 Conclusiones
• La norma ISO 9001 contempla que las organizaciones deben realizar auditorías
internas de su gestión de la calidad para hacer un seguimiento del mismo, y para
aprovechar sus resultados para la mejora de esa gestión.

• La auditoría no es una inspección destinada a determinar la situación en un

momento concreto. Su finalidad es analizar y evaluar el funcionamiento en un
período.

• Es conveniente que se realicen de manera periódica y así poder compararlas y

evaluar la evolución.

• Para que las valoraciones sean útiles, las auditorías han de ser objetivas e
independientes (principios de las auditorias).

• A su vez, el comportamiento de los auditores debe facilitar esa objetividad e

independencia de las auditorías. Para ello, el auditor debe responder a los
principios de comportamiento ético, presentación ecuánime de los resultados y
mostrando una adecuada profesionalidad.

• En una auditoría de un sistema de gestión, como puede ser el SGC conforme a la

norma ISO 9001, se distinguen cinco fases: Inicio, Preparación, Realización,
Documentación del resultado y Conclusión de la auditoría.

• La fase de preparación es muy importante para que la realización propiamente

de la auditoría resulte eficaz y eficiente. La elaboración de listas de verificación
ayuda inicialmente para la planificación de la auditoría y asegurar que se cubren
todos los procesos o aspectos de la gestión, y después para realizar una
valoración uniforme y lo más objetiva posible de los elementos auditados.

• Las percepciones del auditor sobre el sistema de gestión auditado deben

justificarse con identificación de discrepancia entre los requisitos documentados
y su plasmación funcional (hallazgos).

• Estos hallazgos o discrepancias deben justificarse con pruebas o evidencias

objetivas que no dejen duda sobre los mismos.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.
 • El resultado de la auditoría será una serie de no conformidades u observaciones
que quedan recogidas en el informe de auditoría elaborado por el equipo auditor.

• La organización auditada debe establecer un plan para solventar las no

conformidades y prevenir los peligros recogidos en las observaciones. La
solución debe centrarse en la evitación de las causas de las no conformidades y
observaciones.

8 Referencias Bibliográficas
• International Organization for Standardization (2015). Norma internacional ISO
9001: 2015 Sistema de gestión de la calidad – Requisitos. Ginebra, ISO.

• International Organization for Standardization (2018). Norma internacional ISO

1[Link] Guidelines for auditing management systemsGinebra, ISO.

• International Organization for Standardization (2015). Norma internacional ISO/IEC

17021-[Link] Evaluación de la conformidad. Requisitos para los organismos que
realizan la auditoría y la certificación de sistemas de gestión. Parte 1: Requisitos.
Ginebra, ISO.

Nota Técnica preparada por SUMMA University. Su difusión, reproducción o uso total o parcial para
cualquier otro propósito queda prohibida. Todos los derechos reservados.