Pronto habrá una auditoría y será necesario prepararlo todo: instalaciones, evidencias documentadas, entrevistas, logística (traslados, viajes), etc… Información acerca de esta preparación deberá estar presente en el programa y en el plan de auditoría, pero ¿qué contendrá cada uno y quién se encargará de la elaboración? El plan corre por cuenta del auditor responsable o líder y sirve para precisar los recursos de una auditoría en específico. Comprende fechas, horarios, criterios de evaluación, riesgos, oportunidades, autoridades y responsabilidades de esa auditoría. Respectivamente, la responsabilidad de la creación del programa recae en la organización auditada y generalmente es hecho por el encargado del sistema de gestión. Busca establecer qué partes del sistema de gestión se revisarán, cómo, cuándo y con qué frecuencia. Pese a que ambos documentos son partes relevantes del proceso de auditoría, se encuentran justificados en el apartado 9.2 de cada norma ISO con estructura armonizada y forman parte de la etapa de verificación del ciclo PHVA, abarcan objetivos, funciones y alcances bien diferenciados.
| Programa de auditoría (ISO 19011) | Plan de auditoría (ISO 19011) |
| Acuerdos para un conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico. | Descripción de las actividades y de los detalles acordados de una auditoría. |
Si te sientas frente al computador y te preguntas: ¿esto va en el programa o en el plan?, ¿por qué necesito hacer los dos?, ¿qué exige la norma ISO en este sentido?; sigue leyendo y descúbrelo.
Un plano general
El programa de auditoría se propone asegurar la revisión total del sistema de gestión a lo largo del tiempo, toma en cuenta los cambios que ha sufrido el sistema, riesgos, oportunidades, resultados de auditorías anteriores, entre otras cosas. Permite a la organización asignar recursos de manera eficiente, coordinar momentos del año en los que se deberían realizar las auditorías, estimar la formación de auditores internos y comunicar las expectativas al respecto a partes interesadas como la alta dirección.
¿Qué no incluye el programa?
- Fechas definitivas de auditoría y detalles del equipo de auditores.
- Horarios detallados y la duración exacta de las reuniones y entrevistas de auditoría
- Listas de verificación.
Detalles concretos y especificaciones
El plan es un documento operativo y ayuda a entender cómo será la auditoría, quién la hará, cuándo, su duración y qué procesos serán revisados. Seguir el plan es una forma de contribuir con la eficacia del programa y del sistema en general.
¿Qué no incluye el plan?
- La frecuencia de auditorías del sistema.
- El presupuesto anual destinado a la actividad de auditoría.
- Objetivos estratégicos de la empresa.
¿Por qué ambos documentos se suelen confundir?
El programa es el libro completo, el plan es el capítulo. Tal vez la confusión se deba a que, en el lenguaje cotidiano, el programa y el plan se suelen usar como sinónimos. O porque el plan se desprende del programa y es fácil verlo como el mismo documento. A esto se le suma la falta de formación y el poco nivel de involucramiento de los colaboradores en los sistemas de gestión.
En cuanto a jerarquías, ambos son igualmente necesarios. Además, ISO 19011 en sus cláusulas 5. Gestión del programa de auditoría y 6.3.2 Planificación de la auditoría concibe la elaboración de los dos documentos.
| Elemento clave | Programa de auditoría | Plan de auditoría |
| Alcance | Todo el SG y todos los procesos (visión general). | Una única auditoría, enfocada en procesos o áreas específicas (visión detallada). |
| Temporalidad | Mediano/largo plazo (un año). | Corto plazo (un día o una semana específica). |
| Objetivo | Asegurar que todo el sistema sea auditado con la frecuencia requerida, basándose en el riesgo y resultados previos. | Definir el cómo, cuándo y quién de una auditoría específica. |
| ¿Qué incluye? | Frecuencia de auditorías por proceso, criterios de selección de auditores, alcance de las auditorías futuras, recursos globales necesarios. | Objetivos y alcance de la auditoría actual, criterios de auditoría, equipo auditor, cronograma, reuniones específicas. |
| Rol estratégico | Previsión y asignación de recursos. | Ejecución y enfoque operacional. |
Relevancia para la organización
- El programa: Muestra a la alta dirección que la verificación del sistema de gestión es una actividad planificada capaz de hallar riesgos y oportunidades, además de determinar el cumplimiento con la norma, y solicita recursos para ello.
- El plan: Al tener un itinerario claro y objetivos definidos, se minimiza la interrupción del trabajo, se asegura la participación de las personas y la auditoría se enfoca en los puntos de mayor valor.
Ahora que están claras las diferencias entre ambos documentos, establezcamos, con la ayuda de ISO 19011, qué va en cada uno:
| Programa de auditoría | Plan de auditoría |
| Objetivos organizacionales | Revisión de la información documentada |
| Cuestiones externas (nuevas leyes o requisitos de clientes) e internas pertinentes (resultados esperados de la estrategia, cambios organizacionales) | Composición del equipo auditor y su competencia |
| Necesidades y expectativas de las partes interesadas pertinentes | Oportunidades para mejorar la eficacia y eficiencia de las actividades de auditoría |
| Requisitos de seguridad y confidencialidad de la información. | Riesgos para el logro de los objetivos de la auditoría generados por una planificación ineficaz de la auditoría |
| Objetivos para el programa de auditoría | Riesgos para el auditado generados al realizar la auditoría. |
| Riesgos y oportunidades asociados con el programa de auditoría | Objetivos de la auditoría |
| alcance (extensión, límites, ubicaciones) de cada auditoría dentro del programa de auditoría | Alcance de la auditoría, incluyendo la identificación de la organización y de sus funciones, así como los procesos que van a auditarse |
| Alcance (extensión, límites, ubicaciones) de cada auditoría dentro del programa de auditoría | Criterios de auditoría |
| Calendario (número/duración/frecuencia) de las auditorías | Ubicaciones (físicas y virtuales), las fechas, el horario y la duración previstos de las actividades de auditoría que se van a llevar a cabo, incluyendo las reuniones con la dirección del auditado |
| Tipos de auditoría (internas, externas) | La necesidad de que el equipo auditor se familiarice con las instalaciones y procesos del auditado (por ejemplo, realizando una visita a las ubicaciones físicas, o revisando las tecnologías de la información y las comunicaciones) |
| Métodos de auditoría a emplear | Métodos de auditoría que se van a usar, incluyendo el grado en que se necesita el muestreo de la auditoría para obtener las evidencias de auditoría suficientes |
| Criterios para seleccionar a los miembros del equipo auditor | Roles y responsabilidades de los miembros del equipo auditor |
| Información documentada pertinente | Asignación de los recursos apropiados |
| Criterios de auditoría; (referencias que tendrá el equipo auditor, como las prioridades y procesos por auditar) | Preparativos logísticos y de comunicaciones |
| Acciones específicas por tomar para abordar los riesgos en el logro de los objetivos de la auditoría y las oportunidades que surjan | |
| Acciones de seguimiento de una auditoría previa u otras fuentes | |
| Actividades de seguimiento de la auditoría planificada; | |
| Coordinación con otras actividades de auditoría, en el caso de una auditoría conjunta. |
0 comentarios