Tels: (506) 2203-6333 (506) 2203-6340

¿Quién es el Auditor en el SGSI?

El auditor es la persona que comprueba que el SGSI de una organización se ha diseñado, implementado, verificado y mejorado conforme a lo detallado en la norma. En general, se distinguen tres clases de auditores:

Auditor Interno

Audita la organización en nombre de sí misma, normalmente, como mantenimiento del sistema de gestión y como preparación a la auditoría de certificación;

Auditor de Cliente

Audita una organización en nombre de un cliente de la misma; por ejemplo, una empresa que audita a su proveedor de outsourcing;

Auditor Independiente

Audita una organización como tercera parte imparcial; normalmente, porque la organización tiene la intención de lograr la certificación y contrata para ello los servicios de una entidad de certificación.

El auditor, sobre todo si actúa como de tercera parte, ha de disponer también de una certificación personal. Esto quiere decir que, nuevamente un tercero (entidad de certificación revisada por una entidad de acreditación o mediante el registro del auditor en registros de auditores internacionalmente reconocidos como IRCA), certifica que posee las competencias profesionales y personales necesarias para desempeñar la labor de auditoría de la materia para la que está certificado.

Al auditor se le exigen una serie de atributos personales, conocimientos y habilidades, educación formal, experiencia laboral y formación como auditor. Estos lineamientos son necesarios que sean conocidos por todo tipo de auditores (internos, segunda parte y certificación) ya que el documento UNE-EN ISO/IEC 1901, contiene la descripción de todas las actividades necesarias y fundamentales para desarrollar con éxito un programa completo de auditoría.

La norma UNE-EN ISO/IEC 17021:2011 “Evaluación de la conformidad. Requisitos para los organismos que realizan la auditoría y la certificación de sistemas de gestión”, tiene por objeto aumentar la confianza en los certificados emitidos conforme a las normas de sistema de gestión, tales como ISO 9001, ISO 14001 e ISO 27001.

Esta norma establece nuevos requisitos para la auditoría de los sistemas de gestión y para la competencia del auditor con el fin de aumentar el valor de la certificación del sistema de gestión de las organizaciones del sector público y privado en todo el mundo. En la primera edición de 2006 se establecieron seis principios: imparcialidad, competencia, responsabilidad, transparencia, confidencialidad, y tratamiento de quejas. Estos principios constituyen la base para los requisitos específicos que figuran en la norma.

La nueva edición de ISO/IEC 17021:2011 mantiene estos principios y los requisitos, pero agrega nuevos requisitos desarrollados en respuesta a los comentarios del mercado sobre el uso de la primera edición. Los nuevos requisitos previstos en la norma se refieren a la competencia de los auditores que llevan a cabo la certificación y la forma en que se manejan y desempeñan. El cumplimiento de estos requisitos tiene por objeto garantizar que los organismos de certificación operen de manera competente, consistente e imparcial.

Existen diversas organizaciones internacionales de certificación de auditores, con el objeto de facilitar la estandarización de requerimientos y garantizar un alto nivel de profesionalidad de los auditores, además de homologar a las instituciones que ofrecen cursos de formación de auditor. Algunas de estas organizaciones son IRCA o RABQSA.

IRCA (International Register of Certificated Auditors) es el mayor organismo mundial de certificación de auditores de sistemas de gestión. Tiene su sede en el Reino Unido y, por ello -debido al origen inglés de la norma BS 7799-2 y, por tanto, de ISO 27001-, tiene ya desde hace años un programa de certificación de auditores de sistemas de gestión de seguridad de la información.

Su página web, también en español, es una buena fuente de consulta de los requisitos y los grados de auditor de uso como referencia y reconocimiento a nivel internacional. Dispone de un enlace directo a las últimas novedades del IRCA desde nuestra sección de boletines.

En cuanto a la práctica de la auditoría, al auditor se le exige que se muestre ético, con mentalidad abierta, diplomático, observador, perceptivo, versátil, tenaz, decidido y seguro de sí mismo. Estas actitudes son las que deberían crear un clima de confianza y colaboración entre auditor y auditado. El auditado debe tomar el proceso de auditoría siempre desde un punto de vista constructivo y de mejora continua, y no de fiscalización de sus actividades. Para ello, el auditor debe fomentar en todo momento un ambiente de tranquilidad, colaboración, información y trabajo conjunto.

Comments are closed.