MODULO VII
AUDITORIAS INTERNAS
� INFOTEP. Auditorías Internas. Módulo VII.
Tabla de Contenido
Introducción .................................................................................................................................. 3
Breve Historia ................................................................................................................................ 4
Fundamentos de auditoría. ........................................................................................................... 5
Principios de Auditoría .................................................................................................................. 5
Tipos de auditoría.......................................................................................................................... 6
Según propósito. ................................................................................................................... 6
Según alcance. ....................................................................................................................... 7
Objeto y ámbito de Aplicación ...................................................................................................... 7
Fases de una Auditoría .................................................................................................................. 9
Equipo de Aditorías ....................................................................................................................... 9
Planificación, Programación y Ejecución de las Auditorías Internas. .......................................... 10
Inicio de la Auditoría ............................................................................................................... 10
Preparación de la Auditoría .................................................................................................... 10
Realización de la Auditoría ...................................................................................................... 11
Reporte de Auditoría ............................................................................................................... 11
Cierre de la Auditoría y posterior seguimiento ....................................................................... 11
No Conformidades ...................................................................................................................... 11
Informe de los Resultados de la Auditoria .................................................................................. 12
Bibliografía .................................................................................................................................. 14
2
� INFOTEP. Auditorías Internas. Módulo VII.
Introducción
Hace mucho se fueron los días en que la preocupación y responsabilidad intrínseca de las
organizaciones se limitaba a responder estrictamente a las leyes. Después de la Segunda Guerra
Mundial los directores de organizaciones se dieron cuenta que el éxito de esas organizaciones
se asegura siento éticos y correctos en todos los ámbitos. La obediencia a solamente leyes se ha
ido sustituyendo por la autogestión respondiendo a modelos desarrollados por empresas
adelantadas en su administración, y luego por normas de gestión generadas por entidades no
gubernamentales.
3
� INFOTEP. Auditorías Internas. Módulo VII.
Breve Historia
La palabra auditoría tiene su origen en la práctica de registrar el cargamento de un barco oyendo
cómo la tripulación enumeraba en voz alta los artículos y sus cantidades. La palabra procede de
audire (oír). El auditor representaba al rey y estaba allí para garantizar que todos los impuestos
sobre el cargamento fueran correctamente registrados. Desde el principio, a los auditores se les
relacionaba con controles y conformidad. Es interesante señalar que el significado original de
auditar sigue vigente hoy en día. Cuando alguien audita, no participa ni obtiene ningún crédito
por su asistencia. Sólo escucha.
El interés por las auditorías de la calidad en sus aplicaciones empresariales despegó realmente
en la segunda mitad de los años 1980. La guerra fría estaba finalizando. Las tecnologías de la
comunicación se estaban transformando en Internet. Se firmaban acuerdos comerciales
mundiales. Todo esto condujo a la primera norma internacional amplia sobre la gestión de la
calidad ISO 9001 (1987). La comunidad Europea, Canadá y Australia fueron los primeros en
aplicar la evaluación de la conformidad, utilizada anteriormente para la certificación de
productos, con la nueva norma. Naturalmente, los registradores necesitaban una norma para
estas evaluaciones de tercera parte. Tal como han hecho otras muchas veces, los británicos
tomaron un borrador de un comité y lo publicaron como BS7229 en 1989. El documento
internacional aprobado salió dos años después de tres partes. El documento internacional
aprobado salió dos años después en tres partes. La ISO 10011-1 se publicó en diciembre de
1990. Las partes 2 y 3 salieron en mayo de 1991. En Estados Unidos se tomaron los tres
documentos internacionales separados y se publicaron como uno solo en 1994. Se le llamó
Q10011. La Norma Canadiense Q395 de 1981 fue la base de todos estos documentos nacionales
e internacionales.
A mitad de los años 1990 se iniciaron trabajos informales sobre una norma integrada ISO 19011
para auditorías, y comenzaron oficialmente en 1998. El grupo acometió una enorme tarea. No
solamente trataba de elaborar un enfoque común para los auditores de la calidad y
medioambientales sino que también trataba de desarrollar un conjunto de reglas comunes para
su aplicación en evaluaciones.
4
� INFOTEP. Auditorías Internas. Módulo VII.
Fundamentos de auditoría.
Recordando que la norma ISO se apoya fuertemente el ciclo Deming, y en sí la norma tiene una
estructura coherente con el ciclo, podemos empezar a vislumbrar la función grandísima de la
auditoría. Como detallaremos en lo que sigue, la auditoría puede tener numerosos fines basados
en el objeto a inspeccionar o auditar.
Uno de los papeles de la alta dirección es llevar a cabo de forma regular evaluaciones
sistemáticas de la conveniencia, adecuación, eficacia y eficiencia del sistema de gestión de la
calidad con respecto a los objetivos y a la política de la calidad. Esta revisión puede incluir
considerar la necesidad de adaptar la política y objetivos de la calidad en respuesta a las
cambiantes necesidades y expectativas de las partes interesadas. La revisión incluye la
determinación de la necesidad de emprender acciones.
Cuando se evalúan sistemas de gestión de la calidad, hay cuatro preguntas básicas que deberían
formularse en relación con cada uno de los procesos que es sometido a la evaluación:
a) ¿Se ha identificado y definido apropiadamente el proceso?
b) ¿Se han asignado las responsabilidades?
c) ¿Se han implementado y mantenido los procedimientos?
d) ¿Es el proceso eficaz para lograr los resultados requeridos?
El conjunto de las respuestas a las preguntas anteriores puede determinar el resultado de la
evaluación. La evaluación de un sistema de gestión de la calidad puede variar en alcance y
comprender una diversidad de actividades, tales como auditorías y revisiones del sistema de
gestión de la calidad y autoevaluaciones.
Auditoría, en su acepción más amplia, significa verificar que la información financiera,
administrativa y operacional que genera una entidad es confiable veraz y oportuna, en otras
palabras, es revisar que los hechos, fenómenos y operaciones se den en la forma en que fueron
planeados; que las políticas y lineamientos establecidos se hayan observado y respetado; que
se cumple con las obligaciones fiscales, jurídicas y reglamentarias en general. Asimismo, significa
evaluar la forma en que se administra y opera con el fin de aprovechar los recursos al máximo.18
Auditoria interna, según la Norma ISO 19011, es un proceso sistemático, independiente y
documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el
fin de determinar la extensión en que se cumplen los criterios de auditoría.
Principios de Auditoría
Según la norma ISO19011 “Directrices para la Auditoría de Sistemas de Gestión”, una auditoría
eficaz y fiable debe estar basada en varios principios y el incumplimiento de éstos pondrá en
riesgo su éxito.
Los Principios de Auditoría son:
5
� INFOTEP. Auditorías Internas. Módulo VII.
a) Integridad
La conducta ética es el principal activo de un auditor y éste debe ser honesto, diligente y
responsable.
b) Presentación ecuánime
El auditor debe apegarse a la verdad y ser exacto en sus observaciones, dejando de lado las
opiniones y juicios de valor.
c) Debido cuidado profesional
El proceso de auditoría es importante y el auditor debe darle la seriedad respectiva durante su
planeación, ejecución y reporte.
d) Confidencialidad
Es importante la discreción en el uso de datos y protección de la información para evitar el uso
inapropiado de los mismos.
e) Independencia
Los auditores no deben tener conflictos de interés con la actividad que auditarán y evitarán tener
un sesgo en sus criterios.
f) Enfoque basado en evidencia
La evidencia recolectada deberá ser verificable y suficiente para la determinación de hallazgos
de auditoría. Un tamaño de muestra inapropiado puede llevar a conclusiones prematuras.
Tipos de auditoría.
Ya mencionamos la catalogación básica en función del ente auditor: auditoría de primera,
segunda o tercera parte. Ahora se presenta una catalogación mayor basada en los propósitos de
una auditoría y su alcance. Las auditorías pueden servir a varios objetivos, y en esa variedad se
basa la tipología que mostraremos. Entre los objetivos de la auditoría podemos citar: las
prioridades de la dirección, los propósitos comerciales, los requisitos del sistema de gestión, los
requisitos legales, reglamentarios y contractuales, la necesidad de evaluar a los proveedores, los
requisitos del cliente, las necesidades de otras partes interesadas, y los riesgos para la
organización.
Según propósito.
De cumplimiento.
Estas auditorías persiguen demostrar que los requisitos se están cumpliendo y son adecuados,
determinar que los requisitos están implantados, enfatizar la estabilidad del sistema, y mantener
el registro para certificación.
De gestión.
Persiguen poner en tela de juicio los requisitos, determinar si los requisitos son efectivos,
manejables y familiares al personal, determinar si los requisitos son adecuados a los objetivos
de la empresa, enfatizar el logro de los resultados, y generalmente obtener información sobre
propósitos internos.
6
� INFOTEP. Auditorías Internas. Módulo VII.
Según alcance.
De producto.
Estas auditorías tienen la finalidad de re-evaluación de tareas completadas, medición de
características y examen de formularios, y aplicarse a evaluaciones de servicio.
De proceso.
Las auditorias de proceso tienen el cometido de efectuar examen de un proceso en profundidad,
examen micro o detallado, y generalmente obtener información de procesos en pocas horas.
De sistema.
En este tipo de auditorías pretenden examen de los controles al más alto nivel de la empresa,
examen de aspectos macro o requisitos generales, criterio vertical (examen de todos los
controles de una unidad), y criterio horizontal (examen de un control para todas las unidades).
Objeto y ámbito de Aplicación
El objeto de una auditoria consiste en proporcionar los elementos técnicos que puedan ser
utilizados por el auditor para obtener la información y comprobación necesaria que fundamente
su opinión profesional sobre los aspectos de una entidad sujetos a un examen. Consiste en
apoyar a los miembros de la organización en relación al desempeño de sus actividades, para
ello la auditoria les proporciona análisis, evaluaciones, recomendaciones, asesoría y toda
aquella información relacionada con todas las actividades revisadas por el auditor, la auditoria
se encarga de promocionar un control efectivo o un mecanismo de prevención a un costo
considerado como razonable.
Auditoría Interna Auditoría Externa
Auditoría a proveedores Auditorías de 3ra parte
A veces llamada auditoría de A veces llamada auditoría de Para propósitos legales,
primera parte. segunda parte. regulatorios y similares.
Para certificación.
Algunas definiciones de conceptos importantes:
Criterios de auditoría
Grupo de políticas, procedimientos o requisitos usados como referencia y contra los cuales se
compara la evidencia de auditoría.
Evidencia de la auditoría
Registros, declaraciones de hechos o cualquier otra información que son pertinentes para los
criterios de auditoría y que son verificables.
Hallazgos de la auditoría
Resultados de la evaluación de la evidencia de la auditoría recopilada frente a los criterios de
auditoría.
7
� INFOTEP. Auditorías Internas. Módulo VII.
Conclusiones de la auditoría
Resultado de una auditoría, tras considerar los objetivos de la auditoría y todos los hallazgos
de la auditoría.
Cliente de la auditoría
Organización o persona que solicita una auditoría.
Auditado
Organización que está siendo auditada
Auditor
Persona que lleva a cabo una auditoría.
Equipo Auditor
Uno o más auditores que llevan a cabo una auditoría, con el apoyo, si es necesario, de expertos
técnicos.
Experto técnico
Persona que aporta conocimientos o experiencia específicos al equipo auditor.
Guía
Persona nombrada por el auditado para asistir al equipo auditor.
Programa de auditoría
Conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y
dirigidas hacia un propósito específico.
Alcance de la auditoría
Extensión y límites de una auditoría.
El alcance de la auditoría incluye generalmente una descripción de las ubicaciones, las
unidades de la organización, las actividades y los procesos, así como el período de tiempo
cubierto.
Plan de Auditoría
Descripción de las actividades y de los detalles acordados de una auditoría.
Riesgo
Efecto de la incertidumbre en los objetivos.
Competencia
Habilidad para aplicar conocimientos y habilidades para alcanzar los resultados esperados.
Conformidad
Cumplimiento de un requisito.
No conformidad
Incumplimiento de un requisito.
Sistema de gestión
Sistema para establecer políticas y objetivos y para alcanzar dichos objetivos.
Un sistema de gestión de una organización puede incluir diferentes sistemas de gestión,
tales como sistema de gestión de calidad, un sistema de gestión financiero o un sistema de
gestión ambiental.
8
� INFOTEP. Auditorías Internas. Módulo VII.
Fases de una Auditoría
Para efectuarse de manera exitosa una auditoria deberá seguir una metodología, la cual se
detallará a continuación basándonos en la establecida para la auditoría integral:
1. Análisis General y Diagnóstico:
i. Evaluación Preliminar
ii. Plan de Trabajo
iii. Ejecución
iv. Diagnóstico
2. Planeación Específica:
i. Determinación de Objetivos
ii. Elaboración de programas
iii. Determinación de Recursos
iv. Seguimiento del Programa
3. Ejecución:
i. Obtención de evidencia
ii. Técnicas y Recurso
iii. Coordinación y supervisión
4. Informe de Resultados:
i. Observaciones y oportunidades de mejora
ii. Estructura, contenido y presentación
iii. Discusión con el cliente y definición de compromisos
iv. Informe ejecutivo
5. Diseño Implementación y evaluación:
i. Diseño
ii. Implementación
iii. Evaluación
Equipo de Aditorías
Perfil de los componentes de la auditoría:
Equipo de Auditor:
Debe estar compuesto por un auditor líder, otros auditores y/o técnicos.
Estos deben ser independientes de la actividad auditada.
Auditor líder:
Debe asegurar una conducta eficiente y efectiva de la auditoria dentro de sus alcances.
Auditor:
Planear y desarrollar las tareas asignadas objetiva y eficientemente.
9
� INFOTEP. Auditorías Internas. Módulo VII.
Planificación, Programación y Ejecución de las Auditorías Internas.
5.2Establecer los Objetivos del programa de auditoría
5.3 Establecer el programa de auditoría
Roles y responsabilidades de la persona que gestiona
el programa de auditoría.
Competencia de la persona que gestiona el programa PLANEAR
de auditoría
Establecer el alcance del programa de auditoría
Identificar y evaluar los riesgos del programa de
Auditoría.
Establecer procedimientos para el pr ograma de
Auditoría
Identificar los recursos para el programa de auditor ía
5.4 Implementación del programa de auditoría
5.4.1 Generalidades Competencia y
Evaluación de
Definición de los objetivos , alcance y criterios para una Auditores
auditoría individual
Selección de los métodos de auditoría (Capítulo7)
Selección de los miembros del equipo auditor HACER
Realización de una
Asig nación de responsabilidades de una auditor ía Auditoría
individual al líder del equipo auditor
Gestionar el resultado del programa de auditoría (Capítulo 6)
Gestionar y mantener registros del programa de
auditoría
5.5 Monitorear el programa de auditoría VERIFICAR
5.6 Revisar y mejorar el programa de auditoría ACTUAR
Flujo de proceso para la gestión de un programa de auditoría. Norma ISO 19011
Inicio de la Auditoría
Se debe establecer contacto con el dueño del proceso a ser auditado y acordar el alcance y la
viabilidad de la auditoría en el tiempo y fecha programados. Se debe “sacar cita” y determinar
cualquier requisito necesario para la ejecución de la auditoría (permisos de acceso, equipo de
protección, requerimientos legales, etc.)
Preparación de la Auditoría
El auditor debe revisar las normas, procedimientos internos, requerimientos específicos del
cliente, políticas internas de trabajo, reglamentos e instrucciones específicas al proceso que será
auditado y deberá preparar un Plan de Auditoría que refleje objetivo, alcance, criterios de
auditoría, ubicación, fecha, tiempo esperado y duración de las actividades.
10
� INFOTEP. Auditorías Internas. Módulo VII.
Realización de la Auditoría
Se debe realizar una reunión de apertura para confirmar que todas las partes estén de acuerdo
con el programa de auditoría y posteriormente se debe reunir la evidencia documentada para
determinar la conformidad del Sistema de Gestión. Sólo información verificable debe ser
aceptada como evidencia de auditoría. Se realiza una reunión de cierre para presentar los
hallazgos y conclusiones de la auditoría.
Reporte de Auditoría
Se debe generar un reporte de auditoría completo, exacto, conciso y claro, de las conclusiones
de la auditoría y los principales hallazgos: no conformidades mayores y menores, incluyendo
observaciones. El reporte de auditoría debe ser revisado, fechado, aprobado y distribuido a las
partes interesadas.
Cierre de la Auditoría y posterior seguimiento
La auditoría termina cuando se han llevado a cabo todas las actividades de auditoría y el
auditado debe definir las acciones correctivas o preventivas que deberán ser implementadas. El
auditado debería mantener informado al equipo auditor acerca del status de las acciones
implementadas, que podrán ser verificadas en ese momento o en alguna auditoría posterior.
No Conformidades
Como resultado del proceso de auditorías internas se debe generar un Reporte de Auditoría que
indique las No Conformidades encontradas. Un problema común es que estas No
Conformidades no son claras ni entendibles para el auditado, lo cual no promueve la mejora
continua pero sí es causa de dudas y discusiones.
Una No Conformidad es un no cumplimiento a un requisito, algo que está incorrecto en un
producto, servicio o proceso; algo que debe ser abordado, revisado y corregido. Una No
Conformidad debe ser solucionada para evitar errores recurrentes.
La correcta redacción de una No Conformidad consta de 3 partes:
1. Requisito / Criterio
El auditor deberá tener claro cuál es el requisito o criterio que no se está cumpliendo; éstos se
encuentran en normas internacionales, procedimientos internos, leyes federales o locales,
requerimientos específicos del cliente, políticas de trabajo, reglamentos, etc. Si el auditor no
especifica cuál es el criterio que se está incumpliendo, no se puede levantar la No Conformidad,
pues ésta no puede basarse en suposiciones, corazonadas o criterios personales.
2. Evidencia / Hallazgo
Es importante anotar lo más detallado posible qué fue lo que se encontró durante la auditoría,
pues la evidencia es la base para que el dueño del proceso pueda implementar las acciones más
adecuadas. La evidencia debe estar apegada a la verdad, basada en documentos, entrevistas o
en la observación y además ser verificable. Si la evidencia no es sólida, no se puede redactar la
No Conformidad. La evidencia no puede estar basada en la percepción, suposición ni ideas
propias del auditor.
11
� INFOTEP. Auditorías Internas. Módulo VII.
3. Redacción / Enunciado
La redacción de la No Conformidad debe ser clara, concisa, auto explicativa, y no prestarse a la
ambigüedad. Es importante que el auditor busque la mejor forma de redactar la No Conformidad
para que sea completamente entendida.
Aquí un ejemplo de una correcta redacción de No Conformidad:
Requisito
La instrucción de ingeniería 10/009 requiere que los troqueles sean pintados dentro de una hora
después de ser arenados.
Evidencia
Los registros examinados FOC-22A de la pintura de los troqueles 322/A y 125/C en el área de
pintura 5, correspondientes al 1er turno del 20 de marzo 2018, no fueron pintados hasta 6 horas
después de haber sido arenadas; sin embargo, éstos troqueles se muestran como aprobados.
Informe de los Resultados de la Auditoria
Preparación del reporte de auditoría
El líder del equipo auditor debería reportar los resultados de acuerdo con los procedimientos
del programa de auditoria.
El reporte de auditoría debería proveer un registro complete, exacto, conciso y claro de la
auditoría y debería incluir o hacer referencia a lo siguiente:
a) los objetivos de la auditoría;
b) el alcance de la auditoría, particularmente la identificación de las unidades de la organización
y de las unidades funcionales o los procesos auditados; c) identificación del cliente de
auditoría;
d) identificación del equipo auditor y los participantes del auditado en la auditoría;
e) las fechas y los lugares donde se realizaron las actividades de auditoría;
f) los criterios de auditoría;
g) los hallazgos de la auditoría y la evidencia relacionada;
h) las conclusiones de la auditoría;
i) una declaración sobre el grado en el cual se han cumplido los criterios de la auditoría.
Distribución del reporte de auditoría
El reporte de auditoría debería ser emitido dentro de un periodo de tiempo acordado. En caso
de demoras, las razones deberían ser comunicadas a la persona que gestiona el programa de
auditoría.
El reporte de la auditoría debería estar fechado, revisado y aprobado, según aplique, de acuerdo
con los procedimientos del programa de auditoría.
El reporte de la auditoría debería entonces der distribuido a los receptores designados en los
procedimientos o plan de auditoría.
12
� INFOTEP. Auditorías Internas. Módulo VII.
Finalización de la auditoría
La auditoría finalice cuando todas las actividades de auditoría planeadas hayan sido llevadas a
cabo, o acordadas de otro modo con el cliente de auditoria (ej. puede presentarse una situación
inesperada que no permita que la auditoría sea completada de acuerdo con el plan).
Los documentos pertenecientes a la auditoría deberían conservarse o destruirse de común
acuerdo entre las partes participantes y de acuerdo con los procedimientos del programa de
auditoría y los requisitos aplicables.
13
� INFOTEP. Auditorías Internas. Módulo VII.
Bibliografía
— Curso-taller: Auditor Interno ISO 9001:2015. Wise Business SRL6
— Auditorías de la calidad para mejorar su comportamiento. Dennis R. Arter. Ediciones
Díaz de Santos.
— Norma ISO 19011.
— www.iso.org/tc176/sc02/public
www.iso.org/tc176/ISO9001AuditingPracticesGroup
14
