ISO 19011:2018 – Directrices para la auditoría de sistemas de gestión

Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Email

La ISO 19011 es una normativa internacional que establece las directrices para la auditoría de sistemas de gestión aunque también es aplicable a contextos legales y/o regulatorios como el RGPD. Esta norma ha sido crucial en proporcionar un marco consistente y eficaz para evaluar y mejorar los sistemas de gestión en todo tipo de organizaciones. Con su última actualización en 2018, la ISO 19011 ha ganado aún más relevancia, adaptándose a los cambios y desafíos del mundo empresarial moderno.

Tabla de contenidos

¿Qué es una auditoría de acuerdo con la ISO 19011?

Una auditoría es un «proceso sistemático, independiente y documentado para obtener evidencias objetivas y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría«.

¿En qué contextos puede emplearse la ISO 19011?

La ISO 19011 define una metodología de trabajo que puede emplearse para verificar el cumplimiento, y/o su grado o madurez, de acuerdo con diferentes criterios:

  • Los requisitos definidos en una o más normas de sistemas de gestión o requisitos legales como puede ser el Reglamento General de Protección de Datos, determinadas normas como la ISO 27001, ISO 27017, ISO 27701, ISO 29100, ISO 31700 o frameworks como los Controles CIS.
  • Las políticas y los requisitos especificados por las partes interesadas pertinentes (dirección, clientes, proveedores, perfil de riesgo, etc.)
  • Los planes de sistemas de gestión relacionados con la provisión de salidas específicas de un sistema de gestión.

Tipos de auditoría de acuerdo con la ISO 19011

Dentro de la norma ISO 19011 se establecen tres tipos de auditoría en función de la finalidad u objetivo de la misma:

  1. Auditoría de primera parte, o también conocida como auditoría interna, es aquella cuyo objetivo es conocer el grado de cumplimiento o de alineación con una norma, política o procedimiento de referencia de una entidad.
  2. Auditoría de segunda parte es aquella se realiza a petición de una parte interesada. El objetivo puede ser, por ejemplo, conocer el grado de cumplimiento o de alineación con referencia a una norma de un proveedor antes o durante la prestación del servicio. También suele ser demandada a la hora de valorar la adquisición de una empresa.
  3. Auditoría de tercera parte es aquella realizada con la finalidad de obtener una certificación y/o acreditación por parte de una entidad certificadora independiente.

¿Cuáles deben de ser los principios de la auditoría de acuerdo con la ISO 19011?

Con el objetivo de que la auditoría sea una herramienta eficaz y fiable esta debería de sustentarse en los siguientes principios:

  • Integridad: los auditores, y las personas que participen en un programa de auditoría, deben de desempeñar su función de forma ética, con honestidad y responsabilidad (en especial en relación a su grado de competencia en la materia objeto de auditoría).
  • Presentación imparcial: los hallazgos, conclusiones e informes de la auditoría deberían de ser veraces y exactos sin verse interferidos por opiniones subjetivas del equipo auditor.
  • Debido cuidado profesional: los auditores deben de desempeñar su función siendo consciente de la importancia de su trabajo y de la confianza depositada por la parte contratante.
  • Confidencialidad: se debe de trabajar con discreción y la información obtenida durante la auditoría no debería usarse para beneficio personal o de terceras partes.
  • Independencia: los auditores deben de ser independientes de la actividad, siempre que sea posible, y en todo caso libre de sesgos y conflicto de intereses.
  • Enfoque basado en la evidencia: las evidencias deberían de ser verificables ante terceros de tal forma que no pueda dar lugar a cualquier duda sobre su objetividad.
  • Enfoque basado en riesgos: se deben de considerar los riesgos y oportunidades a fin de asegurar que las auditorías se centran en asuntos relevantes y orientados a alcanzar los objetivos de la misma.

¿En qué se basa una auditoría de acuerdo con la ISO 19011?

Una auditoría se basa en tres conceptos: criterio, evidencia y hallazgo. En el contexto de una auditoría de cumplimiento legal también aparece el término consecuencia.

  • Criterio: contra qué auditamos. Puede ser contra una norma, un requisito o una expectativa.
  • Evidencia: cualquier información que permita verificar si un criterio es satisfecho o no.
  • Hallazgo: es el resultado de comparar la evidencia con el criterio y obtener una conclusión.
  • Consecuencia: es el efecto del hallazgo versus el incumplimiento de los requerimientos legales.

Un ejemplo muy sencillo, y real, es la ITV:

  • Criterio: Real Decreto 920/2017, de 23 de octubre, por el que se regula la Inspección Técnica de Vehículos.
  • Evidencia: durante la inspección visual se ha observado que los discos de freno están muy desgastados.
  • Hallazgo: de acuerdo con lo establecido RD 920/2017 el vehículo tiene que frenar adecuadamente, y en circunstancias de seguridad, habiéndose observado que este tiene los discos de freno desgastados por lo que no podría frenar adecuadamente lo que sería considerado una deficiencia muy grave.
  • Consecuencia: una deficiencia muy grave inhabilita la puesta en circulación del vehículo y, si así fuere, una posible sanción de hasta 500 €.

¿Cómo se desarrolla una auditoría de acuerdo con la ISO 19011?

Para que una auditoría sea eficiente y eficaz debe de estar pasada en un programa de auditoría que, a su vez, puede dividirse en planes de auditoría.

Si pretendemos que la auditoría se desarrolle de manera eficiente y el resultado sea eficaz deberemos de establecer, como mínimo:

  • Objetivo, alcance y criterios: qué o quién pretendemos auditar, contra qué norma o procedimiento y qué conclusiones pretendemos obtener.
  • Método/a de auditoría: si va a ser una revisión documental, in situ, entrevistas presenciales o virtuales, encuestas, exámenes, etc.
  • Selección del equipo auditor: quién va a a liderar la auditoría y, en caso de que sea necesario, quién le apoyará. 
  • Gestión de resultados: una vez conocidos los resultados a quién hay que comunicárselos.
  • Gestión y conservación de registros: todas los hallazgos obtenidos en la auditoría deberán de estar debidamente evidenciados de cara a su defensa ante el cliente o terceras partes.

¿Qué ventajas tiene para mi empresa realizar una auditoría?

Realizar una autoría tiene múltiples beneficios:

  • Cumplimiento normativo: asegura que tu empresa cumple con las normativas de protección de datos y privacidad, evitando así posibles sanciones y multas.
  • Identificación de vulnerabilidades y riesgos: permite descubrir y evaluar riesgos en el manejo de datos personales, ayudando a prevenir brechas de seguridad y proteger la información confidencial.
  • Mejora de la seguridad de los datos:  ofrece recomendaciones para reforzar las medidas de seguridad, mejorar las políticas de gestión de datos y adoptar mejores prácticas en seguridad de la información.
  • Ventaja competitiva y aumento de la confianza de los clientes: al demostrar un compromiso serio con la protección de datos, la empresa puede aumentar la confianza de los clientes, esencial en mercados donde la privacidad es una gran preocupación y, además, está regulado.

✅Diferénciate de la competencia, mejora tu reputación y atrae más clientes.

Adrián Murciego Lobato

Adrián Murciego Lobato

Estoy especializado en protección de datos y privacidad, tanto desde la vertiente legal como tecnológica. Cuento con la Certificación como Delegado de Protección de Datos de acuerdo con el Esquema ENAC-AEPD y DPO Senior y Auditor por la APEP. También con formación en Auditoría y Seguridad Informática por la Universidad Antonio Nebrija, Auditor Líder 27001 y 27701, Implementador Líder ISO 27001, 27701 y 29100 por USACH y del Esquema Nacional de Seguridad por AENOR. Asociado de la Asociación Profesional Española de la Privacidad (APEP). Cumplen, Asociación Española de Delegados de Protección de Datos y del ISMS Forum. Mi pasión es la formación y la privacidad. Tengo la suerte de trabajar mezclando ambas.

Creemos que esto también puede interesarte...

¿Tienes alguna duda? ¿Te gustaría ampliar el contenido? ¡Déjanos tu comentario!

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información básica sobre protección de datos

Responsable: DATADYSER AUDITORES SLU
Finalidad: Gestionar los comentarios de nuestro blog.
Legitimación: Consentimiento del interesado
Destinatarios: No se comunicarán a terceros salvo imperativo legal
Derechos: Tienes derecho a acceder, rectificar, suprimir, solicitar la limitación del tratamiento así como portar tus datos u oponerte a su tratamiento. También tienes derecho a retirar tu consentimiento en cualquier momento.
Información adicional: Puedes consultar la información adicional y detallada sobre nuestra Política de Privacidad en nuestra web: https://datadyser.com/politica-privacidad/