Agustinas 1022 OF 1004, Santiago

+569 3179 0476

contacto@gaconsultingsolutions.com

¿Cómo elaborar un programa de auditoría en 5 pasos?

Por Mariángela Gatta

23 de diciembre de 2025

Mirando grosso modo, el programa puede parecer un simple calendario en Google que ves solo para conocer las fechas de las auditorías. Pero al observar con mayor detenimiento percibes que estás ante una herramienta que ayuda a controlar, revisar, analizar y optimizar todo el ciclo de cumplimiento. Puede anticipar los riesgos, identificar oportunidades y convertir la auditoría en un proceso de mejora continua.

El plan y el programa no son lo mismo, como explicamos detalladamente en este artículo. Por ahora, nos quedaremos con el programa y lo definiremos como un acuerdo para un conjunto de una o más auditorías planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico (ISO 19011: 2018). Según nuestra experiencia como auditores, es un documento que se nutre gracias a personas de diferentes áreas de la organización. Recoge aportes y conocimientos únicos que contribuyen a que cada miembro del equipo sea responsable de la eficacia del programa. 

Si somos capaces de crear un buen programa, en vez de temer la revisión del auditor, enfrentaremos el proceso como si se tratara de un ejercicio que detecta no conformidades, identifica amenazas antes de que se conviertan en riesgos, destaca oportunidades, optimiza los recursos y aporta a los objetivos de la empresa. ¡Empecemos a confeccionarlo en solo 5 pasos!

  • Paso 1 –  designa a los elaboradores y gestores del programa:  por su carácter técnico, el programa requiere ser confeccionado y gestionado por profesionales que conozcan los principios de las auditorías, las normas de sistemas de gestión que se estén auditando, el negocio y contexto de la organización auditada, los requisitos legales y reglamentarios aplicables a las empresa, las prioridades estratégicas, entre otros. ¿Cuántas auditorías al año serán? Depende de la cantidad de ubicaciones, el alcance, duración, giro del negocio, sistemas de gestión involucrados, entre otros. ¿Quiénes serían los indicados para ponerse manos a la obra? Generalmente quienes coordinan el sistema de gestión que será auditado.
  • Paso 2 – un comienzo general que dé forma al proceso: Para elaborar el programa debemos conocer la siguiente información:
  • objetivos organizacionales: para no perder de vista lo que mueve a la organización. Gracias a la auditoría, que corresponde a la etapa verificar del ciclo PHVA, sabremos si las tácticas implementadas nos están orientando hacia los resultados esperados. 
  • cuestiones internas: estas nos llevan a responder una pregunta clave: ¿tenemos lo necesario para enfrentar la auditoría o es necesario generar nuevos recursos? Podríamos mencionar, por ejemplo, el nivel de conocimiento de los auditados, capacidades técnicas del sistema de gestión para mostrar evidencias, entre otros. 
  • cuestiones externas: se relacionan con los factores del entorno que tengan que ver con la empresa, tales como nuevas leyes, componentes o intereses del mercado, comportamiento de los consumidores, amenazas a la economía, cambio climático, etc. Esta información puede ayudar, entre otras cosas, a identificar auditorías necesarias y establecer prioridades entre estas.
  • necesidades y expectativas de las partes interesadas: consideremos qué espera el cliente (que la empresa se  certifique con determinada norma o que se mantengan las certificaciones alcanzadas), y qué exigen los entes reguladores (que se implemente algún marco normativo en particular) y no perdamos de vista la posibilidad de que haya controles de entes fiscalizadores…
  •  Los métodos: acotemos si la auditoría se hará de forma presencial o remota, cuáles serán los canales de comunicación y la información que se puede necesitar, si se han establecido acuerdos de revisiones con proveedores y clientes, el tipo de revisiones acordadas, etc. Esto ayudará a entender la dimensión del trabajo que traerá la ejecución del programa. 
  • Paso 3 – detalles que no admiten cabos sueltos: Las generalidades dan paso a aspectos puntuales que no conviene ignorar:
  • objetivos del programa de auditoría: define qué quieres lograr con el programa: verificar la eficacia del sistema de gestión, identificar brechas con requisitos aplicables, hacer seguimiento a políticas específicas, definir qué tan adecuado es el nivel de documentación, etc. 
  •  riesgos y oportunidades: contempla que es posible que los recursos planificados no sean suficientes o que se cuenta con un presupuesto cómodo, que los lapsos no se cumplan o que existen oportunidades de combinar eventos, que no haya información disponible o que se esta desarrollando nueva información documentada, que los auditores no estén calificados o que contamos con nuevos auditores calificados, entre otros. Por cada riesgo u oportunidad asociada al programa, establezcamos de qué manera lo gestionaremos y quiénes se encargarán de hacerlo. 
  • alcance: definamos qué procesos, sistemas de gestión y qué lineas de negocio se van a auditar y que ubicaciones implican. Explica si se tratará de una auditoría interna o externa. 
  • calendario: estima fechas y frecuencia de las auditorías, esta guía facilitará tu trabajo. 
  • criterios de auditoría: no solo se auditan las normas de sistemas de gestión, podemos incluir procedimientos de la organización, requisitos de los clientes y demás, dado que la conformidad podría declararse sobre esa base. 
  • métodos de auditoría a emplear: abarcan listas de chequeo, análisis de datos y/o documentos, entrevistas, visita a instalaciones, observacion de ensayos y pruebas … esto ayuda a elegir el auditor de acuerdo con sus competencias. 
  • criterios para seleccionar a los miembros del equipo auditor: dependerá de las competencias definidas para abordar el proceso. 
  • información documentada pertinente: está ligada a la norma que se evalúe. Por ejemplo, si se trata de ISO/IEC 27001, estos son los 76 documentos que no le pueden faltar a tu SGSI, si es un SGC estos documentos son claves. Y si se trata de un SGEn, aquí te ofrecemos una lista detallada
  • Paso 4 – asigna recursos: no nos referimos solo al dinero, sino a los espacios (instalaciones que requieran permisos y equipos de protección) , disponibilidad de las personas (auditadas y auditores) , competencias, procesos e información. Para ello conviene asegurar que exista la tecnología necesaria para materializar el proceso (por ejemplo, en el caso de auditorías remotas) y que todas las partes involucradas conozcan el manejo de tales métodos. 
  • Paso 5 – haz seguimiento. Cuando lleves a cabo el programa, puedes hacer el seguimiento periódicamente, teniendo en mente 2 objetivos: asegurarse de que la auditoría se lleve a cabo y verificar que el proceso culminó o si requiere algún complemento o mejora.  . 

¡Ya el programa está listo! Ahora queda comunicarlo a las partes interesadas pertinentes y hacer tu mayor esfuerzo para que todo salga muy bien. 

Contenido relacionado

0 comentarios

Enviar un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Expertos en Sistemas de Gestión
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
🤖

Asistente GACS

ISO 27001 & Ciberseguridad

5 preguntas

¡Límite Alcanzado!

Has usado tus 5 preguntas gratuitas

Contactar por WhatsApp
🤖
¡Hola! Soy tu asistente experto en ISO 27001 y Ciberseguridad de GA Consulting Solutions.

¿En qué puedo ayudarte hoy?