DE NORMA DE DIRECTRICES PARA AUDITORIAS DE SISTEMAS DE GESTIÓN

A partir del 2015 cuando se publicó la versión vigente de ISO 9001, que es la norma internacional que contiene los requisitos para la gestión de calidad en cualquier tipo de organización, se desencadenó una serie de revisiones de otras normas de sistemas de gestión que tienen su base en ésta norma pero que son específicas para cierto tipo de organizaciones, como el caso de la norma ISO/IEC 17025 la cual contiene los requisitos para la gestión de calidad de laboratorios de ensayo y calibración publicada en 2017, también ISO 31000 norma sobre la gestión de riesgos publicada recientemente y otras normas como la ISO 19011 que  contiene lineamientos para la auditoría de sistemas de gestión, la cual fue publicada en Julio de 2018.

Los lineamientos que se describen en la norma ISO 19011 son aplicables a cualquier tipo de organización que necesite realizar auditorías de sistemas de gestión,  dichas auditorías pueden ser internas o de primera parte, o externas que incluyen las de segunda parte realizadas por un proveedor externo o por otras partes interesadas y las auditorias de tercera parte que son realizadas por entes de certificación o acreditación, como por ejemplo las realizadas por la Oficina Guatemalteca de Acreditación –OGA– .  En este último tipo de auditoría podemos incluir también las auditorías que realizan entes reguladores o legales, como por ejemplo las auditorías realizadas por Ministerio de Salud Pública y Asistencia Social de Guatemala –MSPAS–.

Para tener una mejor compresión de los principales cambios que se presentan en esta nueva versión de la norma, veamos lo que un poco el origen de la misma.  La norma fue inicialmente publicada por ISO en 2002 con el título “Directrices para la auditoría de los sistemas de gestión de la calidad y/o ambiental”, esta norma a su vez remplazó seis normas anteriores de familia de normas ISO 9000 (calidad) y de la familia de normas ISO 14000 (ambiente) las cuales fueron la ISO 10011-1, ISO 10011-2 e ISO 10011-3 en la familia de ISO 9000 y en la familia de ISO 1400 remplazó a ISO 14010, ISO 14011 e ISO 14012. (ISO, ISO.ORG, 2002)

En 2012 se publicó la primera revisión de la versión inicial, 10 años después de publicada la primera versión, en la cual su principal cambio fue un la ampliación de la cobertura, hacia todos los sistemas de gestión, no solo calidad y ambiente, además incluyeron los tres tipos de auditorías antes mencionadas.

La segunda revisión de la norma ISO 19011 fue publicada recientemente en 2018, con menos años de diferencia entre revisiones, lo cual puede ser un indicativo de la necesidad de las normas ISO de adaptarse a un consumidor que está cambiando cada vez más rápido.  Vemos como las normas de sistemas de gestión son similares a los organismos vivos, que deben buscar cambiar para adaptarse a un medio ambiente en constate evolución.   Las normas ISO son dinámicas y van de la mano con los cambios y retos globales que transforman la sociedad.

Principales cambios en la norma ISO 19011:2018

  1. Adición del enfoque basado en el riesgo a los principios de auditoría:

Los principios de auditoría, tiene como objetivo que los auditores, que trabajan de forma independiente unos de otros, puedan llegar a conclusiones similares en circunstancias similares.    Al incluir el enfoque basado en riesgos se busca ejercer una influencia sustancial de la planificación, realización y presentación de informes de las auditorías con el fin de garantizar que las auditorías se centran en asuntos que son importantes para el cliente de auditoría, y para el logro de los objetivos del programa de auditoría.

  • Ampliación de la orientación sobre la gestión de un programa de auditoría, incluido el riesgo del programa de auditoría:

Debido a que existen riesgos y oportunidades que pueden estar asociados con un programa de auditoría y puede afectar a la consecución de sus objetivos. En el requisito 5.3 la norma indica que la persona que gestiona el programa debe identificar y presentar al cliente de la auditoría los riesgos y oportunidades en el programa de auditoría y en los recursos, de modo que puedan abordarse adecuadamente.

  • Ampliación de la orientación sobre la realización de una auditoría, en particular la sección sobre planificación de la auditoría:

En la sección 6.3.2.1 Enfoque basado en el riesgo para la planificación, la norma ISO 19011 nos indica que el líder del equipo auditor debería adoptar un enfoque basado en riesgos para la planificación de la auditoría sobre la base de la información en el programa de auditoría y la información documentada proporcionada por el auditado.

Además la planificación de la auditoría debe considerar los riesgos de las actividades de auditoría sobre los procesos del auditado y proporcionar la base para el acuerdo entre todos los involucrados en la gestión de las auditorías.

La planificación debe facilitar la programación eficaz y la coordinación de las actividades de auditoría con el fin de alcanzar los objetivos de manera efectiva.

  • Ampliación de los requisitos generales de competencia para los auditores:

La competencia del equipo auditor es un tema fundamental para alcanzar el éxito de los objetivos de la auditoría, empezando con el comportamiento personal descrito en la sección 7.2.2 y los conocimientos y habilidades generales de los auditores de sistemas de gestión que se amplían en la sección 7.2.3.2, además del conocimiento de normas de sistemas de gestión y otras referencias, la organización y su contexto, requisitos legales y reglamentarios y otros requisitos.

  • Ajuste de la terminología para reflejar el proceso y no el objeto:

Se amplió la sección de términos y definiciones, una de los principales términos nuevos es “evidencia objetiva” que se define como datos que respaldan la existencia o veracidad de algo y contiene dos notas explicativas, que explican que la evidencia objetiva puede obtenerse a través de la observación, medición, prueba o por otros medios.   La evidencia objetiva para el propósito de la auditoría, generalmente se compone de registros, declaraciones de hecho, u otra información que sean pertinentes para los criterios de auditoría y es verificable.   Esta definición es incorporada de la norma ISO 9000:2015.

Incluye nuevos términos como auditoría combinada, auditoría conjunta, requisito, proceso, desempeño y eficacia.

  • Eliminación del anexo que contiene los requisitos de competencia para auditar disciplinas específicas del sistema de gestión:

Esto se debe a una mayor diversidad de normas de sistemas de gestión individuales. 

  • Ampliación del Anexo A para proporcionar orientación sobre conceptos de auditoría “nuevos” tales como contexto de organización, liderazgo y compromiso, auditorías virtuales, cumplimiento y cadenas de suministro.

Actualización del gráfico del ciclo de PHVA (Plan-Do-Check-Act):

El siguiente gráfico diagrama el flujo del proceso de gestión de un programa de auditoría según la versión 2018 de ISO 19011.   

(ISO, 19011, 2018)

Pasos a seguir a partir del cambio en la norma

Es necesario tener en cuenta que la norma ISO 19011 no es una norma certificable, son directrices para realizar auditorías, por lo que cada organización debe decir en qué medida adopta estos lineamientos para una correcta gestión de un programa de auditorías, la realización y el seguimiento de las auditorias individuales.

Lo primero es conocer el documento,  para quienes se preguntan en dónde puedo obtener la norma, en Guatemala esta la Comisión Guatemalteca de Normas COGUANOR, desafortunadamente no cuentan con un sistema de cobros que les permitan vender las normas que adoptan directamente de ISO, por lo que tenemos que comprarlas directamente de la página web de ISO.

El mantenimiento de la competencia de los auditores internos es un requisito común en los sistemas de gestión, por lo que las organizaciones que cuenten con equipos auditores capacitados, deben mantener esa competencia actualizando a sus auditores con los nuevos lineamientos que incluye ISO 19011:2018.

Revisar el sistema de gestión para identificar posibles modificaciones necesarias para implementar los lineamientos que se consideren necesarios.

Para las organizaciones que ya tienen implementado sistemas de gestión actualizados a partir de ISO 9001:2015 podrán notar como ambas normas se integran y son coherentes y apoyo para otros sistemas de gestión.

REFERENCIAS

 

EXPERT, I. (2018). ISO EXPERT. Obtenido de http://www.iso19011expert.com/introduction-to-iso-19011/

ISO. (2002). ISO.ORG. Obtenido de http://www.iso.org/news/2002/10/Ref834.html

ISO. (Julio de 2018). 19011. Guidelines for auditing management systems. International Organization for Standardization.

STD, G. (2018). GLOBAL STD. Obtenido de https://www.globalstd.com/guidance-gfsi/iso-19011-2018-ha-sido-publicada

TOOLS, I. (s.f.). ISO TOOLS. Obtenido de https://www.isotools.org/2018/07/17/iso-190112018-vs-iso-190112011-cambios-de-la-nueva-version/

1 Comment

  1. Berenice Arndt

    octubre 23, 2022 at 1:25 pm

    ¡REENVÍE ESTE CORREO ELECTRÓNICO A ALGUIEN DE SU EMPRESA QUE PUEDE TOMAR DECISIONES IMPORTANTES!

    ¡¡Hemos hackeado su sitio webhttps://www.patricia.gt y extrajo sus bases de datos.

    ¿Cómo pasó esto?

    nuestro equipo ha encontrado una vulnerabilidad dentro de su sitio que pudimos explotar. Después de encontrar la vulnerabilidad, pudimos obtener las credenciales de su base de datos y extraer su base de datos completa y mover la información a un servidor extranjero.

    ¿Qué significa esto?

    Pasaremos sistemáticamente por una serie de pasos para dañar totalmente su reputación. Primero, su base de datos se filtrará o se venderá al mejor postor que utilizará con cualquiera que sean sus intenciones. ¡A continuación, si se encuentran correos electrónicos, se les enviará por correo electrónico que su información ha sido vendida o filtrada y su sitio! tuvo la culpa de dañar su reputación y tener clientes/asociados enojados con cualquier cosa que hagan los clientes/asociados enojados. Por último, cualquier enlace que haya indexado en los motores de búsqueda se desindexará en función de las técnicas blackhat que usamos en el pasado para desindexar nuestros objetivos.

    ¿Cómo paro esto?

    Estamos dispuestos a abstenernos de destruir la reputación de su sitio por una pequeña tarifa. La tarifa actual es de $2900 en bitcoins (.15 BTC).

    Envíe el bitcoin a la siguiente dirección bitcoin (asegúrese de copiar y pegar):

    3Pxky4yQGgTfa7X36aTwU8TnXLs3MsohZk

    una vez que haya pagado, automáticamente se nos informará que fue su pago. Tenga en cuenta que debe realizar el pago dentro de los 5 días posteriores a la recepción de este correo electrónico o la filtración de la base de datos, los correos electrónicos enviados y la desindexación de su sitio ¡COMENZARÁ!

    ¿Cómo obtengo bitcoins?

    Puede comprar bitcoins fácilmente a través de varios sitios web o incluso fuera de línea desde un bitcoin-ATM.

    ¿Qué pasa si no pago?

    si decide no pagar, iniciaremos el ataque en la fecha indicada y lo mantendremos hasta que lo haga, no hay contramedida para esto, solo terminará desperdiciando más dinero tratando de encontrar una solución. Destruiremos por completo su reputación entre Google y sus clientes.

    Esto no es un engaño, no responda a este correo electrónico, no intente razonar o negociar, no leeremos ninguna respuesta. ¡Una vez que haya pagado, dejaremos de hacer lo que estábamos haciendo y nunca volverá a saber de nosotros!

    Tenga en cuenta que bitcoin es anónimo y nadie se enterará de que ha cumplido.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.