AUDITORÍA INTERNA

IS0 19011 - 2018

Planificación de la auditoría Interna.

Para realizar esta planificación debemos tener en cuenta que hay procesos que pueden
necesitar varios días de auditoría, como son:

 Críticos de producción y servicio.

 Complejos o que implican a muchas funciones.
 Que presentan muchas o más No conformidades.
 Procesos que no producen los resultados esperados

Sobre el Plan de Auditorías, se puede hacer en una hoja de cálculo donde cada pestaña
es el Plan de un Departamento o Proceso o Delegación, y así en un sólo archivo
tenemos todos los Planes de auditoría de todos los Departamentos o áreas.

¿Y que debe tener este Plan de Auditoría? Pues el contenido aconsejable es el siguiente:

 Objeto de la auditoría, de forma que todas las partes implicadas conozcan el fin
perseguido con la evaluación que va a realizarse.
 Alcance de la auditoría, de forma que todas las partes implicadas conozcan los
límites dentro de los cuales se desarrollará la evaluación.
 Equipo auditor, identificando tanto al auditor jefe como a los demás miembros
equipo auditor, expertos técnicos y observadores.
 Criterio de auditoría, identificando las normas u otros documentos, internos o
externos de la organización utilizados como referencia para la realización de la auditoría.
 Otra información necesaria, identificando cualquier otra documentación que
previamente deba de estar a disposición del equipo auditor (por ejemplo, listados de
documentos, equipos, personal, dirección de las instalaciones, etc.).
 Calendario de auditoría y horarios, que cubra toda la auditoría, incluyendo las
fechas y horarios para la ejecución de la auditoría y las reuniones con los representantes
del auditado.
 Lista de distribución del informe de auditoría, incluyendo los plazos para la
emisión del citado informe y las conclusiones de la misma.

Parecen muchas cosas para el Plan, pero en las hojas de cálculo es muy fácil copiar y
pegar, y la mayoría de los datos son muy parecidos o iguales. Y también podemos crear
una primera hoja de control, en la que nos aparezca la información más importante de
cada Plan, como por ejemplo las fechas, los Departamentos / Procesos / Delegaciones y
los auditores.
 CONTENIDO MÍNIMO QUE DEBE TENER EL
INFORME DE AUDITORÍA INTERNA

El contenido mínimo que debería incluirse en el informe de auditoría aparece en la norma

ISO 19011- 2018 y debería ser:

 Objetivo de la auditoría
 Alcance de la auditoría (incluyendo procesos, departamentos, delegaciones, etc)
 Criterios de auditoría: Normas y Sistema de gestión ante los que comparamos los
hallazgos de auditoría.
 Equipo auditor, con nombres, apellidos y figura que ocupa en el equipo.
 Fechas y lugares en las que se realizó la auditoría
 Hallazgos y evidencias de la auditoría: Es recomendable que la exposición de los
hallazgos y evidencias se haga siguiendo el orden del Sistema de Gestión y / o de las
normas de aplicación, de forma que permita una fácil identificación de los requisitos
cumplidos / incumplidos.
 Conclusiones sobre el Sistema auditado
 Declaración del grado de cumplimiento del sistema auditado sobre los criterios
de auditoría.

También se debe incluir en el informe:

 Una declaración de confidencialidad de los auditores
 Las acciones sin resolver entre auditores y auditados
 Los Planes de Mejora ya establecidos
 Los puntos fuertes del Sistema
 Los problemas encontrados en el desarrollo de la auditoría (para tener en cuenta en
la próxima planificación de auditorías).
 Partes del Sistema de Gestión o de los procesos / departamentos / delegaciones
que no se han podido auditar
 El Auditor Interno debe tener en cuenta los siguientes aspectos:
1. No atosigar al auditado con una batería de preguntas
2. Darle un cierto tiempo para responder, en muchos casos deberá procesar la pregunta
3. No anticipar la respuesta
4. Replantear las preguntas cuando el auditado no las entienda
5. Nunca entrar en discusiones interpretativas con el auditado
6. No transmitir sensación de enojo ante respuestas evasivas
7. Comunicar al entrevistado los fundamentos de los hallazgos de auditoría
8. No irradiar sensación de alegría ante la detección de hallazgos

Con las respuestas a preguntas cerradas es suficiente responder con expresiones no verbales,
con actitud amigable y de buena voluntad. Cuando se hacen preguntas cerradas se debe
proseguir rápidamente con la entrevista, registrando la respuesta en el listado de comprobación
al mismo tiempo que se realiza la siguiente pregunta. Así, se evitan las pausas innecesarias.

Si se realizan preguntas abiertas de cualquier tipo, el auditor puede retroalimentar al auditado con
alguno de los siguientes métodos.

La repetición
Tiene la misión principal de alentar al auditado a suministrar más información. El auditor actuará
como “eco” del auditado para de esta forma demostrarle que es importante lo que está diciendo,
puesto que se le está escuchando y entendiendo lo que dice. Al demostrarle interés, el auditor
intenta prolongar la respuesta del auditado.
El reflejo
Tiene la misión principal de alentar al auditado a suministrar más información. El auditor actuará
como “eco” pero no repite las mismas palabras del auditado sino trata de expresar las actitudes y
sentimientos del auditado. Interpretar las actitudes y sentimientos del auditado le hace ver que se
le comprende y esto le puede tranquilizar, pero, de equivocarse, corre el peligro de acabar con una
comunicación fluida en la entrevista.
Mmmmm
Tiene la misión principal de alentar al auditado a suministrar más información. El auditor
comunica al auditado que está escuchando y desea que continúe. Según el tono con que se emita,
el auditor puede también transmitir aprobación o desaprobación por lo que debe utilizarse con
cautela, para indicar únicamente que se está escuchando.
El silencio
Tiene la misión principal de alentar al auditado a suministrar más información. El auditor
permanece en silencio, dando a entender al auditado que se espera una mejor explicación o
respuesta que la dada, procediendo a dar una mayor información que la dada sin que el auditor lo
solicite. Un auditado no es capaz de permanecer callado sin que se le pregunte más de 12
segundos. Los silencios generan una información complementaria que podía no haber aparecido.
El silencio debe ser utilizado con cautela porque, por un lado, someten a mucha presión al auditado
y por otro, si no son espontáneos, pueden dar la sensación de que el auditor está perdido.
La aclaración
Tiene la misión principal de aclarar al auditado que se entendió la respuesta dada de forma
correcta. Puede ser una observación que permite verificar la información que el auditado dio al
auditor. La aclaración puede realizarse en forma de pregunta.
El resumen
Tiene la misión principal de aclarar al auditado que se entendió la respuesta dada de forma
correcta. El auditor parafrasea de forma breve lo que dijo el auditado.
Situación 1:
“En el informe de revisión por la dirección de la empresa auditada se encuentran
los datos de:

1. DOCUMENTACIÓN DEL SISTEMA DE GESTIÓN: Documentación de

Referencia y Cambios en la Documentación.
2. REVISIÓN DE OBJETIVOS: Programa de Gestión, Objetivos, Indicadores y
Planificación de la actividad preventiva
3. COMUNICACIÓN Y RELACIONES CON LOS CLIENTES: Reclamaciones y
quejas, Encuestas
4. COMUNICACIÓN Y RELACIONES CON LOS PROVEEDORES: Evaluación de
proveedores
5. RELACIONES CON LOS TRABAJADORES: Acciones formativas,
Comunicación, Participación y Consulta.
6. COMUNICACIONES EXTERNAS
7. DESEMPEÑO DE LOS PROCESOS PRODUCTIVOS: Evolución de los Procesos
Productivos, Gestión de Residuos, Verificaciones de Equipos de Medida y
Situaciones de Emergencia
8. CUMPLIMIENTO CON LOS REQUISITOS SUSCRITOS POR LA
ORGANIZACIÓN: Requisitos suscritos por la organización, Cumplimiento de
los requisitos
9. HERRAMIENTAS DE MEJORA: Acciones de Mejora, No Conformidades,
Acciones Correctoras, Acciones Preventivas, Reclamaciones de Clientes,
Investigación de Incidentes y Accidentes
10. RESULTADO DE LAS AUDITORÍAS: Auditoría Interna y Auditoría Externa
11. CAMBIOS QUE PUEDAN AFECTAR A LOS PROCESOS PRODUCTIVOS.
El informe completo es una exposición de datos. Al preguntar a la Gerencia por un
análisis y conclusiones de los puntos vistos, nos indica que no lo registra. Se limita
a recopilan la información, hacer el informe, aprobarlo y establecer los Programas
de Gestión, Objetivos, e Indicadores del siguiente año. “
Pues ya podéis empezar. Lo interesante es que cada uno haga su propia
redacciónde No Conformidad y sus comentarios, de esta forma tendremos
más puntos de vista y será más interesante.
Recibid un cordial saludo y nos vemos en los Comentarios.

Podéis ver la serie completa de artículos sobre Tengo que hacer una Auditoría
Interna y no se por donde empezar en los siguientes enlaces:
Buenos días:

Continuamos con la serie sobre la realización de Auditorías Internas, siendo el

tema de esta semana la Reunión Final.
La finalidad fundamental de la reunión final es presentar las
conclusiones de la auditoría sobre la base de los hallazgos de auditoría, de
forma que permita una clara compresión por parte del auditado de los resultados
de la auditoría.
Normalmente, y sobre todo cuando participa más de un auditor, antes de la
reunión final, el equipo auditor se reúne para realizar una puesta en común de
los resultados. Esta reunión debe ser guiadapor el Auditor Jefe que es en última
instancia quien debe determinar la redacción de las No
Conformidadesdetectadas.
En esta reunión del equipo auditor se comenta, entre los miembros del equipo,
los hallazgos y evidencias encontrados a lo largo de la auditoría, de forma que
permite conocer la opinión de todos los auditores sobre el estado del sistema de
gestión. Las conclusiones que se extraen de esta reunión formarán parte del
contenido del informe de auditoría.
Una vez redactadas las No conformidades detectadas y aclarados otros puntos que
se consideran adecuados incluir en el informe de auditoría, se puede realizar la
reunión final.

A la reunión final deben asistir, además del equipo auditor,

los responsables de los procesos, departamentos y / o delegaciones
auditadas. Además es muy conveniente la asistencia de la dirección o su
representante. La presencia de estos cargos de la organización garantiza
la correcta transmisión de los resultados de la auditoría y
la mejora del sistema a través de la toma de las acciones correctivas
correspondientes.

El responsable de la exposición de los resultados en esta reunión final debe ser

el auditor jefe, con la colaboración de cada uno de los auditores según las
evidencias halladas. En algunas organizaciones los resultados de la auditoría deben
definirse por áreas, requisitos de las normas o procesos productivos. En estos casos
la exposición de los resultados debe seguir dichos requisitos.
Lo importante en esta reunión final es que quede claro cuales han sido
los problemas detectados en el sistema de gestión (no conformidades,
desviaciones, etc), y también es muy recomendable exponer otro tipo de
información como por ejemplo:
 No conformidades potenciales: Son hallazgos que aunque actualmente no se
pueden considerar como no conformidad, podría llegar a serlo en el futuro. Lo
interesante de estos hallazgos es que permiten establecer acciones preventivas.
 Oportunidades / Acciones de Mejora: Son acciones que propone el equipo
auditor con el objetivo de mejorar los procesos productivos o el sistema de
gestión en general.
 Puntos Fuertes / punto débiles: Se deben resaltar los puntos del sistema y de la
organización que mejor funcionan. Igualmente se deben enumerar aquellos que
están presentando un mayor número de incidencias, para que en la
planificación del siguiente periodo de auditorías se tenga en cuenta.
Con toda esta información expuesta en la reunión final se
pretende convertir la auditoría interna en una acción de mejora del sistema
que no sólo sea enumerar los problemas detectados, sino exponer una fotografía
del sistema de gestión más completa.
La duración de la reunión final suele ser de entre media hora y una hora y media,
dependiendo de los resultados de la auditoría y la organización auditada.

Tratamiento de No Conformidades, ¿lo hago bien?

Publicado el 28 de mayo de 2013por ISO Calidad 2000
Buenos días:
En los diferentes cursos y auditorias que realizamos nos encontramos con relativa
frecuencia tratamientos de No Conformidades que no son del todo correctos, o que no se
aprovechan al máximo para mejorar el sistema de gestión.

En el artículo de hoy, os dejamos una pequeña guía en la que se explica cómo deben
tratarse las No Conformidades de Auditorias para corregirlas y, además, para intentar
obtener el máximo rendimiento a estas acciones de mejora. Es recomendable que no sólo
la empleéis para las No Conformidades de Auditoria, sino para cualquier No Conformidad
del Sistema de Gestión. Se incluye una columna con un ejemplo para aclarar la sistemática.
Indicar que, aunque el ejemplo está relacionado con situaciones de emergencia, este
sistema es válido para el tratamiento de No Conformidades de cualquier sistema de gestión
basado en normas ISO y similares. El Sistema es el siguiente:

FASE EJEMPLO

Detección: Este es el principio de toda

No Conformidad, la detección. Una
vez identificada, se debe redactar de
forma que incluya tres partes básicas:
la evidencia, que demuestra que está
mal o no se ha obtenido el resultado
esperado; el documento del sistema,
que indica cómo se debe hacer con
13/04/2013 No se ha realizado el simulacro
semestral de la delegación DL5 establecido
en el PG.07.02 en contra del punto de la
norma ISO 14001 4.4.7. y OHSAS 4.4.7. Lo
detecta el Auditor Interno.
referencia, si la hay, a los registros; y
el punto de la norma de referencia. En
la No conformidad también se debe
indicar la fecha y la persona que lo ha
detectado.
Análisis del Efecto: Se comprueba
qué efecto ha tenido y se actúa sobre
éste para repararlo. A este tipo de
acciones se les llama:
Acciones Reparadoras y suelen ser
inmediatas. Se les puede asignar un
responsable y un plazo.
Análisis de la Causas: Se comprueba
cuáles son las causas que han
motivado esa No Conformidad. Para
realizar este análisis hay muchas
técnicas (Ishikawa, Pareto, etc), pero lo
importante es identificar todas aquellas
que hayan podido tener una relación
con la No Conformidad. Después, se
analizan y se determina cuáles de
estas causas son las que han tenido
una relación más directa con la No
Conformidad.
Acción Correctiva: Es la acción que
se emprende para actuar sobre las
causas que han tenido una relación
más directa sobre la No Conformidad.
Como pueden ser varias, se pueden
emprender varias acciones correctivas
para una misma No Conformidad. Se
deben asignar responsables y plazos.
Acciones Preventivas: Para no
desaprovechar la identificación de las
Efecto: Sin prueba periódica semestral
Acción Reparadora: 15/04/2013 Se ha
realizar el simulacro. Responsable de la
Delegación.
Causas:
1. Al responsable de la delegación se le
había pasado por carga de trabajo
elevada.
2. El Director de Sistemas no tiene
obligación de revisar los simulacros.
3. Tanto ISO 14001 como OHSAS 18001
indican que se deben realizar pruebas
periódicas cuando sea factible.
Causas con relación directa: la primera y
la segunda.
Acción Correctiva:
1. Rebajar la carga de otros trabajos al
Responsable de la Delegación de forma
que se le permita llevar adecuadamente
el Sistema de Gestión. Si esto no es
posible, delegar algunas de las funciones
de esta persona en personal de la
oficina. Responsable: Director de
Sistemas. Plazo: 1 mes.
2. Establecer un sistema por el cual el
Director de Sistemas revise
periódicamente la realización de los
simulacros. Responsable: Director de
Sistemas. Plazo: 1 mes.
Acción Preventiva sobre la tercera causa:
Establecer en el Sistema de Gestión las
causas, se pueden establecer acciones
de mejora sobre las causas que no han
tenido una relación tan directa con la
No Conformidad. Se deben asignar
responsables y plazos.
Seguimiento de las acciones
emprendidas: Se debe indicar
la evolución de las medidas propuestas
(acciones correctivas y preventivas),
incluyendo las personas que las están
realizando y las fechas de estas
acciones implantadas.
Verificación de la Eficacia y Cierre:
En este punto se trata de determinar si
cada una de las acciones propuestas
ha sido eficaz, es decir, ha obtenido
el resultado esperado y se ha
eliminado/controlado esa causa de la
No Conformidad. Se debe indicar el
responsable que establece dicha
situaciones de emergencias en las cuales no
es factible realizar un simulacro. Para este
tipo de situaciones proponer un sistema
mediante Check List que permita comprobar
la correcta actuación según el
Procedimiento PG.07.02. Responsable:
Director de Sistemas. Plazo: 3 meses.
Seguimiento:
1. 10/05/2013 El Departamento de Gestión
de Sistemas de la Central va a asumir
parte de las funciones de los
responsables de delegación según el
Organigrama Revisión: 8 del 05/05/2013.
2. 10/05/2013 El Director de Sistemas
revisará mensualmente el cumplimiento
de los plazos para la realización de los
simulacros según el nuevo registro
RPG.07.02d “Planificación de
Simulacros por delegación”
3. 09/07/2013 El Director de Sistema ha
revisado el Plan General de
Emergencias y se ha establecido que
para las situaciones relativas a
catástrofes naturales (terremotos,
inundaciones, etc) y atentados
terroristas, no es factible la realización de
un simulacro. Por este motivo, cuando se
realicen simulacros que incluyan
situaciones de evacuación, se
comprobará el procedimiento de
emergencias según el nuevo Chek List
RPG.07.02 que permite la revisión de
forma teórica de las situaciones de
catástrofes naturales y atentados.
Verificaciones y cierre:
1. 15/05/2013 Desde que el Departamento
de Gestión de Sistemas de la Central ha
asumido las nuevas competencias, no se
han producido No Conformidades
relativas a planificación de situaciones de
emergencias, pero si se han producido
en cuanto a identificación de estas
eficacia y la fecha. Cuando la acción ha
sido eficaz, se procede a su cierre,
indicando que ha sido eficaz, la
persona que hace dicho cierre y la
fecha.
Si la acción no ha sido eficaz, se debe
indicar la No Conformidad que se ha
abierto. Después, se procede a
su cierre, indicando que NO ha sido
eficaz, la persona que hace dicho cierre
y la fecha. En esta nueva No
Conformidad se deberá realizar un
nuevo estudio de las causas, tomando
como información de partida las causas
y acciones ya identificadas e
implantadas.
situaciones en las nuevas obras
contratadas. ACCIÓN NO EFICAZ, se
relaciona con Informe de No
Conformidad INC 21Dl3 e INC 31Dl6.
Director de Sistemas. Fecha de
cierre: 15/05/2013.
2. 15/05/2013 El Director de Sistemas ya
ha comprobado que se están cumpliendo
los plazos para la realización de los
simulacros de las siete delegaciones.
ACCIÓN EFICAZ. Director de Sistemas.
Fecha de cierre: 15/06/2013.
3. 17/07/2013 En los cinco simulacros que
han incluido evacuaciones, se ha
comprobado mediante el Check
List RPG.07.02e la correcta preparación
antes las situaciones de emergencias
provocadas por catástrofes naturales y
atentados. Director de Sistemas. Fecha
de cierre: 17/09/2013.