La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

ISO/IEC 17021:2011 PROCESO DE AuditORÍA

Presentaciones similares


Presentación del tema: "ISO/IEC 17021:2011 PROCESO DE AuditORÍA"— Transcripción de la presentación:

1 ISO/IEC 17021:2011 PROCESO DE AuditORÍA
Presentado a IAAC Por Mario Llerenas 14 de Junio, 2011 This is a train-the-trainer program developed by Randy Dougherty, one of the co-conveners of WG 21, which was reviewed and includes input by other members of WG21. This presentation addresses the changes related to the audit process. Another presentation addresses the changes related to competence. This presentation does not address all of requirements in ISO/IEC 17021; just the changes. What is shown in yellow is existing wording from ISO/IEC 17021:2006, with what is shown in white as new wording.

2 ISO/IEC 17021:2011 Proceso de Auditoría
2 Referencias Normativas ISO 9000:2005, Sistemas de Gestión de la — Fundamentos y vocabulario ISO 19011:2002, Directrices para la auditoría de sistemas de gestión de la calidad y/o ambiental2 ISO/IEC 17000:2004, Evaluación de la conformidad — Vocabulario y principios generales 2) Referencias en este documento a lo relevante en la guía ISO que aplica a las auditorías de otros tipos de sistemas de gestión. ISO/IEC was deleted as a normative reference. This also required us to delete the note.

3 ISO/IEC 17021:2011 Proceso de Auditoría
3 Términos y definiciones 3.4 Auditoría de certificación de tercera parte auditoría realizada por una organización auditora independiente del cliente y del usuario, con el fin de certificar el sistema de gestión de un cliente. NOTA 4 Cuando dos o más organizaciones auditoras colaboran en la auditoría de un mismo cliente, esta se denomina “auditoría conjunta”. NOTA 5 Cuando un cliente es auditado con respecto a los requisitos de dos o más normas de sistemas de gestión a la vez, la auditoría se denomina “auditoría combinada”. NOTA 6 Cuando un cliente haya integrado la aplicación de los requisitos de dos o más normas de sistemas de gestión en un único sistema de gestión y es auditado con respecto a más de una norma, la auditoría se denomina “auditoría integrada”. Because we deleted the normative reference to ISO 19011, we had to add several definitions relating to management systems auditing.

4 ISO/IEC 17021:2011 Proceso de Auditoría
3 Términos y definiciones 3.5 cliente organización cuyo sistema de gestión se audita con fines de certificación. This definition is a standards drafting convention so we can use the word client where we truly mean the organization whose management system is being audited.

5 ISO/IEC 17021:2011 Proceso de Auditoría
3 Términos y definiciones 3.6 auditor persona que lleva a cabo una auditoría You will note that this definition is different than in ISO 19011, which stated a “person with the competence”. Stating this in a definition does not make a person competent. A person conducting an audit is an auditor, but whether or not the person is competent is another matter.

6 ISO/IEC 17021:2011 Proceso de Auditoría
3 Términos y definiciones 3.8 guía persona designada por el cliente para asistir al equipo auditor. This is a new definition. It was not in ISO However, as later described in the new requirements, the guide is an important part of the third party certification audit process.

7 ISO/IEC 17021:2011 Proceso de Auditoría
3 Términos y definiciones 3.9 observador persona que acompaña al equipo auditor, pero que no audita. This is a new definition that was not in ISO The key point is that an observer does not audit.

8 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1 Requisitos generales 9.1.1 Programa de auditoría Se debe desarrollar un programa de auditoría para el ciclo completo de certificación, a fin de identificar claramente las actividades de auditoría que se requieren para permitir al organismo de certificación verificar que el sistema de gestión del cliente cumple los requisitos de certificación, según las normas o especificaciones elegidas. The first clause in Section 9 was expanded to elaborate on the audit programme. It was divided into three sub-clauses. The first sub-clause is the only new requirement.

9 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1 Requisitos generales 9.1.1 Programa de auditoría El programa de auditoría debe incluir una auditoría inicial en dos etapas, auditorías de seguimiento en el primer y segundo año, y una auditoría de renovación de la certificación en el tercer año antes de la caducidad de la certificación. El ciclo de certificación de tres años comienza con la decisión de la certificación o de renovación de la certificación. La determinación del programa de auditoría y cualquier modificación subsiguiente deben tener en cuenta el tamaño de la organización cliente, el alcance y la complejidad de su sistema de gestión y los resultados de auditorías previas. The second sub-clause is not new, it is all wording from the 2006 standard.

10 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1 Requisitos generales 9.1.1 Programa de auditoría NOTA 1 El anexo E presenta un diagrama de flujo de una auditoría y de un proceso de certificación de tercera parte típico. NOTA 2 El Anexo F enumera los elementos adicionales que pueden tenerse en cuenta cuando se desarrolla o revisa un programa de auditoría. These are informative annexes, which means they are not requirements. Annex E is a useful flowchart describing a third party audit and certification process. The second annex , Annex F, was developed as a useful place to dump “additional items for consideration” after WG 21 kept receiving comments on each draft to expand the list of items to be considered for the audit programme, audit scope or audit plan. So the standard will include the items that must be included, and this annex will include other items that may also be considered.

11 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1 Requisitos generales 9.1.1 Programa de auditoría Cuando un organismo de certificación tenga en cuenta certificaciones ya otorgadas u otras auditorías ya realizadas al cliente, debe recopilar información verificable suficiente y registrar cualquier ajuste en el programa de auditoría. The third sub-clause is not new wording.

12 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.2 Plan de auditoría Generalidades El organismo de certificación debe asegurarse de que se establezca un plan para cada auditoría, identificada en el programa de auditoría, que proporcione las bases para llegar a un acuerdo sobre la realización y la programación de las actividades de auditoría. Este plan de auditoría debe basarse en requisitos documentados del organismo de certificación. elaborado de acuerdo con los lineamientos descritos en ISO With the deletion of the reference to ISO 19011, it was necessary to expand the single clause for the audit plan to seven sub-clauses to spell out the specific requirements.

13 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos Determinación de los objetivos, alcance y criterios de la auditoría El organismo de certificación debe determinar los objetivos de la auditoría. El organismo de certificación, después de consultar al cliente, debe establecer el alcance de la auditoría y sus criterios, incluida cualquier modificación. The audit objectives are to specified by the CB, but the scope and criteria are to be specified after discussion with the client.

14 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos Determinación de los objetivos, alcance y criterios de la auditoría Los objetivos de la auditoría deben describir lo que se debe lograr con la auditoría y deben incluir lo siguiente: a) …determinación de conformidad…con los criterios de auditoría; b) …capacidad del sistema de gestión para asegurar que la organización del cliente cumple los requisitos legales, reglamentarios y contractuales aplicables; NOTA Una certificación de un sistema de gestión no es una auditoría de cumplimiento legal. c) …eficacia del sistema de gestión para asegurar que la organización del cliente cumple continuamente sus objetivos especificados; d) …áreas de mejora potencial del sistema de gestión. Note that the audit objectives SHALL include a-d. Each of the objectives is important for the value of certification. Think about it. Auditors will be expected to identify and understand the client, processes etc in order to effectively audit the system to ensure it meets/delivers against customer and contractual requirements as well as regulatory and statutory requirements. The processes should be the client’s specific processes for managing their business and delivering the expected outcomes of the management system standard and not limited to a listing of the management systems standard clauses as “processes” e,g QMS- product realisation process, which would normally contain a number of key interrelated processes unique to the clients business operation. see audit criteria --- “defined processes developed by the client” It is also expected in that information about fulfillment of the audit objectives be included in the audit report. It is more than just compliance, but also effectiveness.

15 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos Determinación de los objetivos, alcance y criterios de la auditoría El alcance de la auditoría debe describir la extensión y los límites de las auditorías, tal como, las ubicaciones físicas, las unidades organizacionales, las actividades y los procesos a auditar. Cuando el proceso inicial o de renovación consista en más de una auditoría (por ejemplo, al cubrir diferentes ubicaciones), el alcance de una auditoría individual puede no cubrir por completo el alcance de la certificación, pero el conjunto de auditorías debe ser coherente con el alcance del documento de la certificación. It is important for the scope to be specified. The scope is different for an initial audit, a surveillance audit, and a re-certification audit; or for any special audits or and follow-up audits needed to verify any correction or corrective action. Note that it is also expected in that reasonably detailed information about the scope of the audit be included in the audit report.

16 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos Determinación de los objetivos, alcance y criterios de la auditoría Los criterios de auditoría deben servir de referencia para la determinación de la conformidad y deben incluir: ⎯ los requisitos de un documento normativo definido sobre sistemas de gestión; ⎯ los procesos definidos y la documentación del sistema de gestión desarrollada por el cliente. The audit criteria is the basis for determining conformance or nonconformance, and does not include the standard only.

17 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos Preparación del plan de auditoría El plan de auditoría debe ajustarse a los objetivos y el alcance de la auditoría. El plan de auditoría debe al menos incluir o hacer referencia a lo siguiente: a) los objetivos de la auditores; b) los criterios de la auditoría; c) el alcance de auditoría, incluida la identificación de las unidades organizacionales y funcionales o de los procesos a auditar; d) las fechas y los sitios en los que se van a realizar las actividades de auditoría in situ, incluidas las visitas a los sitios temporales, cuando corresponda; e) el tiempo y la duración previstos para las actividades de auditoría in situ, y f) las funciones y responsabilidades de los miembros equipo auditor y de las personas que los acompañan. NOTA 1 La información del plan de auditoría puede estar contenida en más de un documento. NOTA 2 El Anexo F enumera los elementos adicionales que pueden tenerse en cuenta cuando se prepara o revisa un plan de auditoría. The standard is now specific about what has to be included in the audit planning documents. Auditors may require further training in  the process approach to auditing (even after all this time), but better audit plans should help. The functions/ processes should be the client’s specific processes for managing their business and delivering the expected outcomes of the management system standard and not limited to a listing of the management systems standard clauses as “processes” e,g QMS- product realisation process, is not acceptable as this will normally contain a number of key interrelated processes unique to the clients business operation. see also audit criteria --- “defined processes developed by the client”.

18 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.3 Selección del equipo auditor y asignación de tareas El organismo de certificación debe tener un proceso de selección y de designación del equipo auditor, incluido el líder del equipo auditor teniendo en cuenta las competencias necesarias para lograr los objetivos de la auditoría. Este proceso debe estar basado en requisitos documentados, de acuerdo con los lineamientos descritos en ISO Si solo hay un auditor, este debe tener las competencias para realizar las tareas de un líder del equipo auditor aplicables a la auditoría en cuestión. 9.1.3 has been expanded into five sub-clauses. Some of the new sub-clauses are because of the deletion of the reference to ISO 19011, but some of the new requirements are due to learnings from the operation of third party certification audits. For example, the addition to is to incorporate a decision made by the IAF Technical Committee is response to an issue that needed clarification.

19 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.3 Selección del equipo auditor y asignación de tareas Al decidir el tamaño y la composición del equipo auditor, se debe tener en cuenta lo siguiente: a) los objetivos, alcance y criterios de la auditoría y, la duración estimada de la misma; b) si la auditoría es una auditoría combinada, integrada o conjunta; c) la competencia global del equipo auditor necesaria para lograr los objetivos de la auditoría; d) los requisitos de la certificación (incluidos todos los requisitos legales, reglamentarios o contractuales aplicables); e) el idioma y la cultura; y f) si los miembros del equipo auditor han auditado previamente el sistema de gestión del cliente. The CB is required to give consideration to a-f. It is the competence of the team that is important.

20 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.3 Selección del equipo auditor y asignación de tareas Los conocimientos y las habilidades necesarias del líder del equipo auditor y de los auditores se pueden completar con expertos técnicos, traductores e intérpretes que deben actuar bajo la dirección de un auditor. Cuando traductores o intérpretes son utilizados, ellos deben ser seleccionados de tal manera que no tengan influencia en la auditoría. NOTA Los criterios de selección de los expertos técnicos se determinan caso por caso de acuerdo con las necesidades del equipo auditor y el alcance de la auditoría. Note the considerations for use of technical experts, translators or interpreters.

21 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.3 Selección del equipo auditor y asignación de tareas Los auditores en formación pueden incorporarse al equipo auditor como participantes, siempre que se designe un auditor como evaluador. El evaluador debe tener la competencia para asumir las tareas y tener la responsabilidad final de las actividades y los hallazgos del auditor en formación. This requirement is unique for third party certification audits.

22 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.3 Selección del equipo auditor y asignación de tareas El líder del equipo auditor, en consulta con el equipo auditor debe asignar a cada miembro del equipo la responsabilidad de auditar procesos, funciones, sitios, áreas o actividades específicos. Esta asignación de tareas debe tener en cuenta la necesidad de competencias, el empleo eficaz y eficiente del equipo auditor, así como las diferentes funciones y responsabilidades de los auditores, los auditores en formación y los expertos técnicos. Se pueden hacer cambios en la asignación de tareas en la medida que progrese la auditoría para asegurar el logro de los objetivos de la auditoría. It is not enough just to have the necessary competence on the team, the audit team leader is responsible for assigning audit team members that have the competence needed to audit what they are assigned.

23 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.4 Determinación del tiempo de auditoría …procedimientos documentados para determinar el tiempo de auditoría y …determinar el tiempo necesario para planificar y realizar una auditoría completa y eficaz …….. Se debe registrar el tiempo de auditoría determinado por el CB y la justificación correspondiente. Al determinar el tiempo de auditoría, el CB debe considerar , entre otros, los siguientes aspectos: a) los requisitos de la norma……… pertinente; b) el tamaño y la complejidad; c) el contexto tecnológico y reglamentario; d) toda contratación externa…..; e) los resultados de cualquier auditoría previa; f) el número de sitios y consideraciones sobre multisitios; g) los riesgos asociados a los productos, procesos o actividades …; h) si las auditorías son combinadas , conjuntas o integradas. Cuando se hayan establecido criterios específicos para un esquema de certificación específico, por ejemplo ISO/TS o ISO/IEC 27006, se deben aplicar estos criterios. There are only a few additions to for determining audit time.

24 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.4 Determinación del tiempo de auditoría El tiempo empleado por un miembro cualquiera del equipo que no haya sido designado como auditor (es decir, los expertos técnicos, los traductores, los intérpretes, los observadores y los auditores en formación) no se deben contabilizar en el tiempo de auditoría establecido anteriormente. This requirement is specific to third party certification audits, and was added to prevent what were bad practices by a few CBs.

25 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.5 Muestreo multisitio There are no new requirements for for multisite sampling; just a new title for the clause.

26 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.6 Comunicación de las tareas del equipo auditor There are no new requirements for 9.1.6; just a new title for the clause.

27 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.7 Comunicación relativa a los miembros del equipo auditor

28 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.8 Comunicación del plan de auditoría There are no new requirements for 9.1.8; just a new title for the clause.

29 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Generalidades El organismo de certificación debe tener un proceso para realizar las auditorías in situ. Definido en requisitos documentados de acuerdo con los lineamientos descritos en la guía ISO Este proceso debe incluir una reunión de apertura al comienzo de la auditoría y una reunión de cierre a la conclusión de la auditoría. NOTA Además de visitar las ubicaciones (por ejemplo, la fábrica), la expresión in situ puede incluir el acceso remoto a un sitio o sitios electrónicos que contienen información pertinente para la auditoría del sistema de gestión. NOTA 2 El término “auditado” como es usado en ISO significa la organización a ser auditada. This single clause, 9.1.9, has the most extensive addition of requirements. This is due to the deletion of reference to ISO 19011, but also to needed new requirements to improve the credibility of third party certification audits. This single clause has been expanded into 17 sub-clauses. A formal opening and closing meeting is required.

30 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ realización de la reunión de apertura Se debe realizar una reunión formal de apertura con la dirección del cliente y, cuando sea apropiado, con los responsables de las funciones o procesos a auditar. Se debe registrar la asistencia a la misma. El propósito de la reunión de apertura, que debe conducirla normalmente el líder del equipo auditor, es proporcionar una corta explicación sobre la manera en que se desarrollarán las actividades de auditoría y debe incluir los elementos siguientes. El grado de detalle debe ser coherente con la familiaridad que tenga el cliente con el proceso de auditoría: A formal opening meeting shall be conducted with attendance recorded. And while every one of the 16 items a-p shall be addressed in the opening meeting, the degree of detail provided by the audit team leader will depend on how familiar the personnel of the client are with the audits. So it will need to be detailed for a new client, but can be briefer is subsequent surveillance and recertification audits, unless there has been significant turnover with many new personnel.

31 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Realización de la reunión de apertura a) presentación de los participantes, incluyendo una breve descripción de sus funciones; b) confirmación del alcance de la certificación; c) confirmación del plan de auditoría (incluyendo el tipo y el alcance de la auditoría, los objetivos y criterios), cualquier cambio, y otros aspectos pertinentes con el cliente, tales como la fecha y la hora de la reunión de cierre, las reuniones intermedias entre el equipo auditor y la dirección del cliente;

32 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Realización de la reunión de apertura d) confirmación de los canales de comunicación formales entre el equipo auditor y el cliente; e) confirmación de que están disponibles los recursos y la logística necesaria para el equipo auditor; f) confirmación de los temas relativos a la confidencialidad; g) confirmación de los procedimientos de protección, emergencia y seguridad en el trabajo pertinentes para el equipo auditor; h) confirmación de la disponibilidad, de las funciones y de la identidad de los guías y observadores;

33 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Realización de la reunión de apertura i) el método para presentar la información, incluyendo cualquier categorización de los hallazgos de auditoría; j) información sobre las condiciones bajo las cuales la auditoría puede darse por terminada prematuramente; k) confirmación de que el líder y los miembros del equipo auditor, que representan el organismo de certificación, son responsables de la auditoría y que deben controlar la ejecución del plan de auditoría, incluyendo las actividades y los datos históricos de auditoría;

34 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Realización de la reunión de apertura l) confirmación del estado de los hallazgos de la revisión o auditoría anterior, cuando corresponda; m) los métodos y procedimientos a utilizar para llevar a cabo la auditoría sobre la base de un muestreo; n) confirmación del idioma que se utilizará durante la auditoría; o) confirmación de que durante la auditoría se mantendrá informado al cliente sobre el progreso de la auditoría y de cualquier problema; p) oportunidad al cliente de hacer preguntas.

35 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Comunicación durante la auditoría Durante la auditoría, el equipo auditor debe evaluar periódicamente el progreso de la auditoría e intercambiar información. El líder del equipo auditor debe reasignar, si fuera necesario, el trabajo entre el equipo auditor y comunicar periódicamente al cliente el progreso de la auditoría y cualquier problema. The audit team leader is responsible for assigning and reassigning work as needed to fulfill the audit objectives. It is the audit team leader that is responsible for keeping the client informed of progress and of any concerns.

36 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Comunicación durante la auditoría Cuando las evidencias disponibles de la auditoría indiquen que los objetivos de la auditoría no son alcanzables o sugiera la presencia de un riesgo inmediato y significativo (por ejemplo en materia de seguridad), el líder del equipo auditor debe informar de este hecho al cliente y, si es posible, al organismo certificador para determinar las acciones adecuadas. Estas acciones pueden incluir la reconfirmación o la modificación del plan de auditoría, cambios en los objetivos de la auditoría o en su alcance, o la finalización de la auditoría. El líder del equipo auditor debe informar al organismo de certificación el resultado de las acciones tomadas. What to do when the audit is not going well.

37 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Observadores y guías Observadores La presencia y la justificación de observadores durante una actividad de auditoría debe acordarse entre el organismo certificador y el cliente antes de la realización de la auditoría. El equipo auditor debe asegurarse de que los observadores no influyen ni interfieren en el proceso de auditoría o el resultado de la auditoría. NOTA Los observadores pueden ser miembros de la organización del cliente, consultores, personal de un organismo de acreditación que esté presente, autoridades reglamentarias o cualquier otra persona cuya presencia esté justificada. Observers are not to influence the outcome of an audit. Audit team members are expected to prevent observers that are consultants from answering questions or otherwise interfering in an audit.

38 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Observadores y guías Guías Cada auditor debe estar acompañado de un guía, a menos que se acuerde de otra manera entre el líder del equipo auditor y el cliente. Los guías se asignan al equipo auditor para facilitar la auditoría. El equipo auditor debe asegurarse de que los guías no influyan ni interfieran en el proceso de auditoría ni en los resultados de la auditoría. The norm is for CB auditors to have a guide.

39 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Observadores y guías Guías NOTA Las responsabilidades de un guía pueden incluir: a) establecer los contactos y horarios para las entrevistas; b) acordar las visitas a partes específicas del sitio o de la organización; c) asegurarse de que las reglas concernientes a los procedimientos de protección personal y de seguridad del sitio sean conocidas y respetadas por los miembros del equipo auditor; d) presenciar la auditoría en nombre del cliente ; e) proporcionar aclaraciones o informaciones cuando lo solicite un auditor. A guide should not be answering questions except when specifically asked by an auditor.

40 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Recopilación y verificación de la información Durante la auditoría, la información pertinente para los objetivos, el alcance y los criterios de auditoría (incluyendo la información relacionada con las interfases entre funciones, actividades y procesos) debe recopilarse mediante un muestreo apropiado, y verificarse para convertirse en evidencias de auditoría. Note the emphasis on collecting and verifying evidence. A CB auditor should not rely solely upon answers to interview questions but try to verify information by other means.

41 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Recopilación y verificación de la información Los métodos para recopilar la información deben incluir, entre otros; a) las entrevistas; b) la observación de los procesos y actividades; c) la revisión de la documentación y de los registros. This is straight out of ISO

42 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Identificación y registro de los hallazgos de auditoría Los hallazgos de auditoría que resumen la conformidad y detallan las noconformidades así como las evidencias de auditoría que las respaldan, deben registrarse y ser objeto de un informe, que permita tomar una decisión informada sobre la concesión o mantenimiento de la certificación. There was lots of debate about the wording in this clause, “summarizing conformity and detailing nonconformity”. The key to the level of detail needed is in the words “recorded and reported to enable an informed certification decision to be made”

43 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Identificación y registro de los hallazgos de auditoría Se pueden identificar y registrar oportunidades de mejora a menos que lo prohíban los requisitos de un esquema de certificación de un sistema de gestión. Sin embargo, los hallazgos de auditoría que corresponden a noconformidades según el apartado b) y c) no deben ser registrados como oportunidades de mejora. Nonconformities shall not be recorded as OFIs. No soft grading.

44 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Identificación y registro de los hallazgos de auditoría Un hallazgo de noconformidad debe redactarse con relación a un requisito específico de los criterios de auditoría, contener una mención clara de la no conformidad e identificar en detalle las evidencias en que se basa la no conformidad. Las no conformidades deben discutirse con el cliente, con el fin de asegurar que las evidencias son exactas y que las no conformidades se entienden. Sin embargo, el auditor debe abstenerse de sugerir la causa de las no conformidades o su solución. Three parts of a nonconformity: the criteria, the statement of finding, and the evidence. The auditor shall stay away from suggesting the cause or solutions.

45 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Identificación y registro de los hallazgos de auditoría NOTA Las no conformidades que corresponden a los requisitos del apartado b), se pueden clasificar como no conformidades mayores, mientras que las otras no conformidades [ c)] se pueden clasificar como no conformidades menores.

46 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Identificación y registro de los hallazgos de auditoría El líder del equipo auditor debe tratar de resolver todas las diferencias de opinión sobre las evidencias o los hallazgos de la auditoría entre el equipo auditor y el cliente. Se deben registrar los puntos no resueltos. Recognizing that audits can easily become confrontational, it is important to try to resolve differences between the audit team and the client, and when this cannot be accomplished to record this.

47 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Preparación de las conclusiones de la auditoría Antes de la reunión de cierre, el equipo auditor debe: a) revisar los hallazgos de la auditoría y cualquier otra información apropiada reunida durante la auditoría, con respecto a los objetivos de la auditoría; b) acordar las conclusiones de la auditoría, teniendo en cuenta la incertidumbre inherente al proceso de auditoría; c) identificar toda acción de seguimiento necesaria; d) confirmar que el programa de auditoría es adecuado o identificar cualquier modificación que sea necesaria (por ejemplo, el alcance, los horarios o las fechas de la auditoría, la frecuencia de las acciones de seguimiento, las competencias) Preparing the audit conclusions is an audit team function.

48 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Realización de la reunión de cierre Se debe realizar una reunión formal de cierre, con la dirección del cliente y, cuando sea apropiado, con los responsables de las funciones o procesos auditados. Se debe registrar la asistencia a la misma. El propósito de la reunión de cierre, que debe conducirla normalmente el líder del equipo auditor, es presentar las conclusiones de la auditoría, incluyendo las recomendaciones relativas a la certificación. Las no conformidades se deben presentar de manera que se entiendan y se debe acordar el plazo de respuesta. NOTA La expresión “que se entiendan” no significa necesariamente que el cliente haya aceptado las no conformidades. The closing meeting is to be formal with attendance recorded.

49 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Realización de la reunión de cierre La reunión de cierre también debe incluir los siguientes elementos. El grado de detalle debe ser coherente con el grado de familiaridad que tenga el cliente con el proceso de auditoría: a) informar al cliente que las evidencias de auditorías reunidas se basan en un muestreo de la información, lo que introduce, de hecho, un elemento de incertidumbre; b) el método y el marco temporal utilizados para presentar la información, incluyendo la categorización de los hallazgos de auditoría; The closing meeting shall include the 6 items a-f, but as with the opening meeting, the level of detail will depend on the experience of the personnel of the client.

50 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Realización de la reunión de cierre c) el proceso del organismo de certificación para el tratamiento de las no conformidades, incluyendo cualquier consecuencia relativa al estado de la certificación del cliente; d) el plazo para que el cliente presente un plan de corrección y acciones correctivas para cualquier no conformidad identificada durante la auditoría; e) las actividades del organismo de certificación posteriores a la auditoría; f) la información acerca de los procesos de tratamiento de las quejas y de apelaciones.

51 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.1.9 Realización de auditorías in situ Realización de la reunión de cierre El cliente debe tener la posibilidad de hacer preguntas. Las diferencias de opinión acerca de los hallazgos o las conclusiones de la auditoría entre el equipo auditor y el cliente deben discutirse y, en la medida de lo posible, deben resolverse. Las diferencias de opinión que no se resuelven deben registrarse y remitirse al organismo de certificación. Again, it is important to try to resolve any differences, and if these cannot be resolved to record this.

52 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos Informe de auditoría El organismo de certificación debe proporcionar un informe escrito de cada auditoría. El informe debe estar de acuerdo con los lineamientos descritos en la guía ISO El equipo auditor puede identificar oportunidades de mejora, pero no debe recomendar soluciones específicas. El organismo de certificación debe mantener propiedad del informe de auditoría. The standard has not changed in the expectation of there being a written report for each audit, but is more specific about what is to be included in the written report.

53 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos Informe de auditoría El líder del equipo auditor debe asegurar que se prepara el informe de auditoría y debe ser responsable de su contenido. El informe de auditoría debe proporcionar un registro completo, exacto, claro y conciso de la auditoría que permita tomar una decisión informada y debe incluir o hacer referencia a lo siguiente: “The audit report shall provide an accurate, concise and clear record of the audit to enable an informed certification decision to be made…” Every word is this statement is important…accurate…concise…clear…record of the audit. Why? to enable an informed certification decision to be made. This cannot be emphasized strong enough. The purpose of the report is to enable an informed certification decision to be made. Go back to regarding audit findings we have the the same issue “audit finding summarizing conformity and detailing nonconformity and its supporting audit evidence shall be recorded and reported to enable an informed certification decision…” Industry has enough concern about the content and quality of audit reports that it has initiated another CASCO Working Group, WG 33, that is writing a new standard, ISO/IEC on the content of management systems audit reports. Some certification bodies will have to re visit their report formats.

54 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos Informe de auditoría a) la identificación del organismo de certificación; b) el nombre y la dirección del cliente y del representante de la dirección del cliente; c) el tipo de auditoría (por ejemplo, auditoría inicial, de seguimiento o de renovación de la certificación); d) los criterios de la auditoría; e) los objetivos de la auditoría; The 10 items, a-j, shall be addressed in the report. It will probably require some free text areas where the auditor indicates how audit objectives (see a)conformity of the client’s management system b) ability of the MS to meet applicable statutory, legal and contractual requirements, and c) effectiveness, were evaluated and confirmed. Accreditation bodies will need to review and challenge audit reports more critically to ascertain if the  information confirms all the audit objectives were met and sufficient information is available an informed decision

55 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos Informe de auditoría f) el alcance de la auditoría, particularmente la identificación de las unidades organizacionales o funcionales o los procesos auditados, así como la duración de la auditoría; g) la identificación del líder del equipo auditor, los miembros del equipo auditor y cualquier persona acompañante; h) las fechas y lugares en los que se realizaron las actividades de auditoría (in situ o fuera); i) los hallazgos, las evidencias, y las conclusiones de la auditoría, coherentes con los requisitos del tipo de auditoría; j) cualquier problema no resuelto, si fuera identificado. Audit reports should indicate/justify why the audit team are confident to recommend certification, and not just record minor non-conformities that were identified therefore the recommendation is to certify.

56 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos Eficacia de las correcciones y acciones correctivas El organismo de certificación debe revisar las correcciones, identificar las causas y las acciones correctivas enviadas por el cliente para determinar si son aceptables. El organismo de certificación debe verificar la eficacia de cualquier corrección y acción correctiva tomada. Se deben registrar las evidencias obtenidas que confirmen la resolución de las no conformidades. Se debe informar al cliente del resultado de la revisión y de la verificación. The standard has added the requirement for the CB to verify the effectiveness of any correction and corrective actions, and to record the evidence that was obtained.

57 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos Eficacia de las correcciones y acciones correctivas NOTA La verificación de la eficacia de la corrección y de la acción correctiva puede realizarse sobre la base de una revisión de la documentación enviada por el cliente, o cuando sea necesario, por una verificación in situ. Verification can be based on review of documentation or done on-site.

58 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos Auditorías adicionales There are no new requirements for 9.1.3; just a title.

59 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos Decisión de certificación There are no new requirements for ; just a new title.

60 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos Acciones previas a la toma de decisión There are no new requirements for ; just a new title.

61 ISO/IEC 17021:2011 Proceso de Auditoría
9 Requisitos relativos a los Procesos 9.2 Auditoría inicial y certificación 9.2.1 Solicitud 9.2.2 Revisión de la solicitud Después de la revisión de la solicitud, el organismo de certificación debe aceptar o bien rechazar la solicitud de certificación. Cuando el organismo de certificación rechaza una solicitud de certificación como resultado de la revisión, debe documentar las razones de su rechazo e indicarlas claramente al cliente. NOTA Al rechazar una solicitud de certificación, el organismo de certificación debería tener cuidado para no actuar contradiciendo los principios establecidos en el capítulo 4. This is the only new requirement in 9.2, There are no other changes in the other parts of section 9.

62 ISO/IEC 17021:2011 Proceso de Auditoría
10 Requisitos relativos al sistema de gestión de los organismos de certificación 10.2 Opción 1: Requisitos del sistema de gestión de acuerdo con la norma ISO 9001 Diseño y desarrollo Para la aplicación de los requisitos del ISO 9001, cuando se desarrolle un nuevo esquema del sistema de gestión de certificación, o se adapte un existente a circunstancias especiales, el organismo de certificación debe asegurar que los lineamientos descritos en la guía ISO 19011, y los que sean apropiados a situaciones de tercera parte, son incluidos como entradas del diseño. The only change in Section 10 is to delete the normative reference to ISO


Descargar ppt "ISO/IEC 17021:2011 PROCESO DE AuditORÍA"

Presentaciones similares


Anuncios Google