Hola a todos, le cuento que en Colombia salio la nueva version de esta norma ayer Marzo 15 de 2012.
Quiero compartir con ustedes los cambios mas importantes, así:
La norma ya está en español desde principios de marzo
Uno de los temas más interesantes tiene que ver con la gestión de riesgos en la auditoría, para lo cual les sugiero que lean la ISO 31000.
Itorres hace un planteamiento de comentarla, por lo que empiezo pidiéndoles a Uds. Qué riesgos genéricos podríamos identificar en las distintas etapas de auditoría
Saludos,
Gilberth Araujo
Asesor de sistemas de gestión
Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001
Trasgo, si obtuviste la norma ISO 19011 en la versión del 2011, quiciera que me la compartieras al enlace jmatval@gmail.com
Agradeceré si me envian una copia
Gracias
JMV
Gracias Lologa por compartir esta información.
Me parece que ahora lo que sigue es ir generando la discusión en la interpretacion de los principales elementos cambiantes, en especial donde se introduce un nuevo concepto. Propongo inicialmente dos elementos a analizar:
Auditorías remotas e introducción del concepto del riesgo, este último interpretado como lo indica la norma, en relación a las auditorías y quedesde ahora algunos interpretan bien diferente.
Planteo la primer inquietud. Por qué hay algunos formadores que estan conceptuando que un sistema de gestión integrado debe ser ahora auditado con base en los riesgos?
saludos
Hola buenas noches, estoy iniciando en este portal. En mi busqueda de obtener la norma ISO 19011 2011 en español (la tengo en Inglés) los encontre a ustedes y me parece excelente oportunidad de intercambio. Agradeceria mucho si la tienen en español me la puedan enviar a mi correo elsytrejo@gmail.com. Muchas Gracias Colegas.
Gilberto escribió:Gracias Lologa por compartir esta información.
Me parece que ahora lo que sigue es ir generando la discusión en la interpretacion de los principales elementos cambiantes, en especial donde se introduce un nuevo concepto. Propongo inicialmente dos elementos a analizar:
Auditorías remotas e introducción del concepto del riesgo, este último interpretado como lo indica la norma, en relación a las auditorías y quedesde ahora algunos interpretan bien diferente.
Planteo la primer inquietud. Por qué hay algunos formadores que estan conceptuando que un sistema de gestión integrado debe ser ahora auditado con base en los riesgos?
saludos
Te recomiendo que leas la ISO 31000, trata de gestión de riesgos y lo hace de forma detallada.
Los riesgos a los que hace la norma ISO 19011:2011 son los riesgos asociados a la auditoría:
Las auditorías de sistemas integrados se hacen en base en los riesgos porque tienen componentes (sistemas) que se planifican en función a los riesgos, pero en calidad por ejemplo, no se ha introducido hasta ahora el concepto de gestión de riesgos en calidad ( fue un cambio que la ISO no quiso meter en la 9001 del año 2008)
En conclusión, la gestión de los riesgos de auditoría de sistemas de gestión no tiene que ver con la gestión de los riesgos de los sistemas que se estén auditando.
Saludos,
Gilberth Araujo
Asesor de sistemas de gestión
Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001
Hola Gilbert
Si esta dentro de tus posibilidades, me puedes compartir la ISO 31000 para ampliar mis conocimientos en ese rubro, este es mi correo delarosa81@hotmail.com , saludos y quedo en espera de tus comentarios.
Alexander Ortiz
lilisofy escribió:hola
me podrian colaborar con ampliación del concepto de riesgo en las auditorias.
Gracias
lilisofy, existen dferentes riesgos asociados con la auditoría, los cuales pueden afectar el logro de los objetivos. Los cuales deben ser considerados por quien gestiona el programa, entre los que se pueden mencionar:
Como podrás identificar, la definición de riesgo en la norma contempla cualquier posible "obstáculo" que se interponga entre el equipo auditor y el logro de sus objetivos.
Saludos.
lilisofy escribió:Hola
me podrian colaborar con ampliación del concepto de riesgo en las auditorias.
Gracias
La norma define:
"3.16
riesgo
efecto de la incertidumbre en los objetivos"
Luego establece
"5.3.4 Identificación y evaluación de los riesgos del programa de auditoría
Existen muchos riesgos diferentes asociados con el establecimiento, implementación, monitoreo, revisión y mejora de un programa de auditoría, que pueden afectar el logro de sus objetivos. La persona que gestiona el programa debería considerar estos riesgos para su desarrollo. Estos riesgos pueden estar asociados con lo siguiente:
— planeación; ej. Falla para establecer objetivos de auditoría relevantes y para determinar el alcance del programa de auditoría;
— recursos, ej. no permitir tiempo suficiente para desarrollar el programa de auditoría o para llevarlas a cabo;
— selección del equipo auditor, ej. el equipo no tiene la competencia colectiva para llevar a cabo auditorías de manera efectiva;
— implementación, ej. comunicación inefectiva del programa de auditoría;
— registros y su control, ej. falla para proteger adecuadamente los registros de auditoría que demuestren la efectividad del programa de auditoría;
— monitoreo, revisión y mejora del programa de auditoría, ej. monitoreo inefectivo de los resultados del programa de auditoría"
La misma norma te da ejemplos de identificación del riesgo, pero establece que deberíais evaluarlos y tomar medidas para que no afecten la gestión del programa de auditoría.
Los riesgos pueden estar o no bajo el control de la organización, por ejemplo, el cambio de una ley relacionada con el sistema de gestión a auditar es un riesgo que puede afectar la determinación del cumplimiento legal en una organización
Luego de identificar el riesgo se deben analizar, y luego evaluar. Dependiendo del impacto que te resulte de la evaluación debes establecer medidas para tratar los riesgos.
Los riesgos identificados en la primera etapa pueden:
modificar, desviar, degradar o retrasar el logro de los objetivos
El análisis es una etapa que sirve de entrada para la evaluación y la determinación de las estrategias para tratar los riesgos
"5.6 Revisión y mejora del programa de auditoría
...
La revisión del programa de auditoría debería considerar lo siguiente:
...
f) efectividad de las mediadas tomadas para tratar los riesgos asociados con el programa de auditoría;"
El análisis del riesgo implica: las causas y fuentes del riesgo y las consecuencias positivas y negativas y la probabilidad de ocurrencia
La evaluación del riesgo implica establecer un nivel de riesgo en relación a los recursos, objetivos y expectativas de la organización y la implicación para los productos/servicios, la imagen de la organización y el estado del mercado.
Es necesario dejar registro de estas etapas.
Saludos
Gilberth Araujo
Asesor de sistemas de gestión
Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001