Foro: Auditorías internas

Cambios nueva version ISO 19011

Temáticas
  • GISELA LOPEZ
    • 16/03/12 20:46
    • Imagen de GISELA LOPEZ
    • Reg.: 16/03/12
    • COLOMBIA
    • Posts: 1
    (7/0)

    Hola a todos, le cuento que en Colombia salio la nueva version de esta norma ayer Marzo 15 de 2012.

    Quiero compartir con ustedes los cambios mas importantes, así:

    • Se definió la diferencia entre la norma ISO 19011 e ISO 17021.
    • Se introdujo a la auditoría el concepto de gestión de riesgo, así como la referencia a la utilización de métodos remotos de auditoría.
    • Se agregó la confidencialidad como un nuevo principio y se sustituyó el principio de conducta ética por la integridad.  En la ilustración 3 se hace referencia a los seis principios que según la norma debe prevalecer durante un proceso de auditoría.
    • Se reorganizaron las secciones 5, 6 y 7 del documento.  El principal cambio es la mejora de la redacción de las secciones para darles fluidez y la inclusión de referencias al Anexo B, en el cual se hace referencia a técnica y herramientas específicas para llevar a cabo las orientaciones sugeridas en cada sección.
    • Se reforzó el tema de competencias y el proceso de su evaluación.  Se da un perfil más alto a las funciones del administrador del Programa de Auditorías.
    • En el Anexo B se presentan ejemplos ilustrativos de conocimientos y habilidades específicos para un mayor rango de disciplinas.
    • Se agregaron nuevas definiciones y se reescribieron otras.
  • Iliana
    • 16/03/12 21:51
    • Imagen de Iliana
    • Reg.: 15/03/12
    • México
    • Posts: 9
    (5/0)

    Yo la acabo de adquirir hace unos días, sin embargo aún no he tenido oportunidad de estudiarla...

     Igual más adelante podrémos comentarla....

  • trasgo
    • 27/04/12 0:36
    • Imagen de trasgo
    • Reg.: 27/04/12
    • Posts: 1
    (1/0)

    Hola Itorres como estas?

    Leo que adquiriste la norma ISO 19011:11, sera que puedes escanearla y montarla o si tienes un link por el cual se pueda descargar para poder tener acceso, ya que esta norma hasta el momento solo se encuentra en Ingles y Frances.

     Gracias

  • Gilberth Araujo
    • 27/04/12 15:53
    • Imagen de Gilberth Araujo
    • Reg.: 30/12/08
    • Chile
    • Posts: 329
    (0/0)

    La norma ya está en español desde principios de marzo

     

    Uno de los temas más interesantes tiene que ver con la gestión de riesgos en la auditoría, para lo cual les sugiero que lean la ISO 31000. 

     

    Itorres hace un planteamiento de comentarla, por lo que empiezo pidiéndoles a Uds. Qué riesgos genéricos podríamos identificar en las distintas etapas de auditoría

     

    Saludos,

    _________________

    Gilberth Araujo

    Asesor de sistemas de gestión

    Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001

    twitter@csaica

  • JMATVAL
    • 27/04/12 21:54
    • Imagen de JMATVAL
    • Reg.: 8/12/08
    • Posts: 11
    (0/0)

    Trasgo, si obtuviste la norma ISO 19011 en la versión del 2011, quiciera que me la compartieras al enlace jmatval@gmail.com

    Agradeceré si me envian una copia

    Gracias

    JMV 

  • Gilberto
    • 26/06/12 1:29
    • Imagen de Gilberto
    • Reg.: 17/04/09
    • Colombia
    • Posts: 5
    (0/0)

    Gracias Lologa por compartir esta información. 

    Me parece que ahora lo que sigue es ir generando la discusión en la interpretacion de los principales elementos cambiantes, en especial donde se introduce un nuevo concepto. Propongo inicialmente dos elementos a analizar:

    Auditorías remotas e introducción del concepto del riesgo, este último interpretado como lo indica la norma, en relación a las auditorías y quedesde ahora algunos interpretan bien diferente.

    Planteo la primer inquietud. Por qué hay algunos formadores que estan conceptuando que un sistema de gestión integrado debe ser ahora auditado con base en los riesgos? 

    saludos 

  • ElsyTrejo
    • 2/07/12 3:26
    • Imagen de ElsyTrejo
    • Reg.: 2/07/12
    • Posts: 3
    (0/0)

    Hola buenas noches, estoy iniciando en este portal. En mi busqueda de obtener la norma ISO 19011 2011 en español (la tengo en Inglés) los encontre a ustedes y me parece excelente oportunidad de intercambio. Agradeceria mucho si la tienen en español me la puedan enviar a mi correo elsytrejo@gmail.com. Muchas Gracias Colegas.

  • ElsyTrejo
    • 2/07/12 3:44
    • Imagen de ElsyTrejo
    • Reg.: 2/07/12
    • Posts: 3
    (0/0)

    Buenas noches leyendo tu comentario quisiera saber si tienes la ISO 31000 para revisar los criterios de riesgos en auditorías.

    Gracias

  • Gilberth Araujo
    • 17/08/12 22:58
    • Imagen de Gilberth Araujo
    • Reg.: 30/12/08
    • Chile
    • Posts: 329
    (2/0)
    Gilberto escribió:

    Gracias Lologa por compartir esta información. 

    Me parece que ahora lo que sigue es ir generando la discusión en la interpretacion de los principales elementos cambiantes, en especial donde se introduce un nuevo concepto. Propongo inicialmente dos elementos a analizar:

    Auditorías remotas e introducción del concepto del riesgo, este último interpretado como lo indica la norma, en relación a las auditorías y quedesde ahora algunos interpretan bien diferente.

    Planteo la primer inquietud. Por qué hay algunos formadores que estan conceptuando que un sistema de gestión integrado debe ser ahora auditado con base en los riesgos? 

    saludos 

     

     

    Te recomiendo que leas la ISO 31000, trata de gestión de riesgos y lo hace de forma detallada.

     

    Los riesgos a los que hace la norma ISO 19011:2011 son los riesgos asociados a la auditoría:

    • Incumplimiento del cronograma de auditoría
    • Fallas de comunicación (ejemplo auditorías en otros idiomas con traductores no especializados en la materia)
    • Falta de precisión en los hallazgos en el área técnica (por la competencia del auditor respecto a la naturaleza del negocio)

    Las auditorías de sistemas integrados se hacen en base en los riesgos porque tienen componentes (sistemas) que se planifican en función a los riesgos, pero en calidad por ejemplo, no se ha introducido hasta ahora el concepto de gestión de riesgos en calidad ( fue un cambio que la ISO no quiso meter en la 9001 del año 2008)

     

    En conclusión, la gestión de los riesgos de auditoría de sistemas de gestión no tiene que ver con la gestión de los riesgos de los sistemas que se estén auditando.

     

    Saludos, 

     

     

     

    _________________

    Gilberth Araujo

    Asesor de sistemas de gestión

    Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001

    twitter@csaica

  • alexortizr
    • 18/08/12 0:11
    • Imagen de alexortizr
    • Reg.: 27/05/11
    • Posts: 23
    (0/0)

    Hola Gilbert

    Si esta dentro de tus posibilidades, me puedes compartir la ISO 31000 para ampliar mis conocimientos en ese rubro, este es mi correo delarosa81@hotmail.com  , saludos y quedo en espera de tus comentarios.  

    Alexander Ortiz

  • lilisofy
    • 6/09/12 1:30
    • Imagen de lilisofy
    • Reg.: 5/09/12
    • Posts: 1
    (0/0)

    hola

    me podrian colaborar con ampliación del concepto de riesgo en las auditorias.

    Gracias

  • Wilbert Arturo Vivas Torrez
    • 7/09/12 19:20
    • Moderador
    • Imagen de Wilbert Arturo Vivas Torrez
    • Reg.: 22/04/09
    • Poza Rica, Veracruz, México
    • Posts: 2580
    (2/0)
    lilisofy escribió:

    hola

    me podrian colaborar con ampliación del concepto de riesgo en las auditorias.

    Gracias

    lilisofy, existen dferentes riesgos asociados con la auditoría, los cuales pueden afectar el logro de los objetivos. Los cuales deben ser considerados por quien gestiona el programa, entre los que se pueden mencionar:

     

    • Fallas al establecer los objetivos relevantes de la auditoría y en determinar la extensión del mismo
    • Tiempo insuficiente para el desarrollo de la auditoría
    • Falta de competencia del equipo auditor
    • Falla en la comunicación del programa de auditoría
    • Inadecuada protección de los registros que demuestren la efectividad de la auditoría
    • Mal monitoreo de los resultados de auditoría

     

     Como podrás identificar, la definición de riesgo en la norma contempla cualquier posible "obstáculo" que se interponga entre el equipo auditor y el logro de sus objetivos.

    Saludos. 

    _________________
    Ing. Wilbert Arturo Vivas Torrez
    Veritas et Triumphus
    Director y consultor

    Integrante de
    - Padrón Nacional de Evaluadores de la entidad mexicana de acreditación, a.c.
    - ISO/TC 176/SC 03/WG 19 “Revision of ISO 10013”
    - ISO/PC 302 "Guidelines for auditing management systems“
    - ISO/CASCO/JWG 48 "Joint ISO/CASCO - ISO/PC 283 WG; ISO/IEC TS 17021-10 Competence requirements for auditing and certification of occupational health & safety MS“
    - ISO/TC 283/WG 3 “Implementation Handbook”
    - ISO/TC 176/TF 4 “Future concepts in quality management”
    - ISO/TC 176/SC 2/GT 4 “Interpretations”

    Certificado por CONOCER en EC0217 y EC0301

    Cel. (+52) 782 185 3484
    Correo: veritas.et.triumphus@gmail.com

    Sígueme en: www.facebook.com/veritasettriumphus

    Lo importante no es tener la respuesta, sino hacer la pregunta correcta.
    Wilbert Vivas
  • Gilberth Araujo
    • 7/09/12 21:19
    • Imagen de Gilberth Araujo
    • Reg.: 30/12/08
    • Chile
    • Posts: 329
    (1/0)
    lilisofy escribió:

    Hola

    me podrian colaborar con ampliación del concepto de riesgo en las auditorias.

    Gracias

    La norma define:

    "3.16
    riesgo
    efecto de la incertidumbre en los objetivos"

     Luego establece

    "5.3.4 Identificación y evaluación de los riesgos del programa de auditoría
    Existen muchos riesgos diferentes asociados con el establecimiento, implementación, monitoreo, revisión y mejora de un programa de auditoría, que pueden afectar el logro de sus objetivos. La persona que gestiona el programa debería considerar estos riesgos para su desarrollo. Estos riesgos pueden estar asociados con lo siguiente:
    — planeación; ej. Falla para establecer objetivos de auditoría relevantes y para determinar el alcance del programa de auditoría;
    — recursos, ej. no permitir tiempo suficiente para desarrollar el programa de auditoría o para llevarlas a cabo;
    — selección del equipo auditor, ej. el equipo no tiene la competencia colectiva para llevar a cabo auditorías de manera efectiva;
    — implementación, ej. comunicación inefectiva del programa de auditoría;
    — registros y su control, ej. falla para proteger adecuadamente los registros de auditoría que demuestren la efectividad del programa de auditoría;
    — monitoreo, revisión y mejora del programa de auditoría, ej. monitoreo inefectivo de los resultados del programa de auditoría"

     

    La misma norma te da ejemplos de identificación del riesgo, pero establece que deberíais evaluarlos  y tomar medidas para que no  afecten la gestión del programa de auditoría.

    Los riesgos pueden estar o no bajo el control de la organización, por ejemplo, el cambio de una ley relacionada con el sistema de gestión a auditar es un riesgo que puede afectar la determinación del cumplimiento legal en una organización

    Luego de identificar el riesgo se deben analizar, y luego evaluar. Dependiendo del impacto que te resulte de la evaluación debes establecer medidas para tratar los riesgos.

     

     

    Los riesgos identificados en la primera etapa pueden:

    modificar, desviar, degradar o retrasar el logro de los objetivos

     

    El análisis es una etapa que sirve de entrada para la evaluación y la determinación de las estrategias para tratar los riesgos

    "5.6 Revisión y mejora del programa de auditoría
    ...
    La revisión del programa de auditoría debería considerar lo siguiente:


    ...

    f) efectividad de las mediadas tomadas para tratar los riesgos asociados con el programa de auditoría;"

     El análisis del riesgo implica: las causas y fuentes del riesgo y las consecuencias positivas y negativas y la probabilidad de ocurrencia

     

    La evaluación del riesgo implica establecer un nivel de riesgo en relación a los recursos, objetivos y expectativas de la organización y la implicación para los productos/servicios, la imagen de la organización y el estado del mercado.

     

    Es necesario dejar registro de estas etapas.

    Saludos

    _________________

    Gilberth Araujo

    Asesor de sistemas de gestión

    Experto en las normas ISO 9001, ISO/IEC 27001, ISO/IEC 20000-1, ISO 22301 e ISO 50001

    twitter@csaica