GUÍA TÉCNICA PARA LA PLANEACIÓN

Y EJECUCIÓN DE AUDITORÍAS SSPA

Clave: 800/16000/DCO/GT/014/10
Revisión: 1
Fecha: 01/01/2010

ELABORA PROPONE AUTORIZA

Ing. Miguel A. Miranda Mendoza Ing. Luis F. Betancourt Sánchez Ing. Carlos R. Murrieta Cummings
Gerencia de Disciplina Operativa Subdirección de Disciplina Director Corporativo
y Ejecución del Sistema SSPA Operativa, Seguridad, Salud y de Operaciones
Protección Ambiental

1 de enero de 2010 1 de enero de 2010 1 de enero de 2010

Lineamientos y Guías Técnicas 209

Clave: 800/16000/DCO/GT/014/10
Revisión: 1
Fecha: 01/01/2010

GUÍA TÉCNICA PARA LA PLANEACIÓN

Y EJECUCIÓN DE AUDITORÍAS SSPA

CONTENIDO CAPÍTULO PÁGINA

1. DISPOSICIONES GENERALES
1.1. Objeto 211
1.2. Ámbito de Aplicación 211
1.3. Normatividad 211
1.4. Definiciones 211
1.5. Abreviaturas 214

2. DISPOSICIONES ESPECÍFICAS
2.1. Responsabilidades 215
2.2. Desarrollo 217

3. DISPOSICIONES FINALES 222

4. DISPOSICIONES TRANSITORIAS 222

ANEXOS
ANEXO 1. Protocolo para evaluar el elemento 223
ANEXO 2. Formato de evaluación, del proceso de la auditoría y del Equipo auditor 225

210 SASP 2
 Clave: 800/16000/DCO/GT/014/10
Revisión: 1
Fecha: 01/01/2010
1. DISPOSICIONES 1.1. Objeto
GENERALES
Establecer y documentar, las actividades que deben ejecutarse para el despliegue del proceso de planeación y ejecu-
ción de las auditorías SSPA.

1.2. Ámbito de aplicación

La presente, guía técnica aplica a las auditorías que se realizan a los sistemas, procesos y estándares, que conforman
el macroproceso SSPA, en Petróleos Mexicanos, y Organismos Subsidiarios.

1.3. NORMATIVIDAD

NOM-028-STPS-2004 Organización del Trabajo-Seguridad en los Procesos de Sustancias Químicas, (capítulo

16; Guía J.
NOM-019-STPS-2004 Constitución, Organización y funcionamiento de las comisiones de Seguridad e Higiene en
los Centros de Trabajo (cláusula 8)
ISO 19011:2002 Directrices para la Auditoría a los Sistemas de Administración de la Calidad y/o Ambiental.
ISO 14001:2004 Sistemas de Administración Ambiental- Requisitos con orientación para su uso, (cláusula 4.5)
OHSAS 18001:1999 Especificación-Sistemas Administrativos de Seguridad y Salud Ocupacionales (cláusula 4.5)
NMX-SAST-001- Sistemas de Administración de la Seguridad y la Salud en el Trabajo-Especificación,
IMNC-2000 (cláusula 4.5)

E 10
ILO-OSH-2001 Directrices relativas a los Sistemas de Gestión de la Seguridad y la Salud en el Trabajo
(OIT), (cláusula 3.13)
ISO-9000:2000 Sistemas de Administración de la Calidad – Fundamentos y vocabulario
ISO 9001:2000 Sistema de Administración de la Calidad- Requisitos (cláusula 8)

NOTA. Este listado de normas es enunciativo mas no limitativo, debiendo considerar las leyes, reglamentos, códigos,
normas, y procedimientos aplicables.

1.4. DEFINICIONES

Todos los términos utilizados en esta guía técnica, se ajustan a lo establecido en la norma ISO-9000:2000, salvo cuan-
do se indique de manera diferente. Como términos relevantes de uso frecuente y para facilitar su consulta se enlistan
los siguientes.

Auditoría.- Proceso sistemático, independiente y documentado para obtener evidencias y evaluarlas de manera objeti-
va con el fin de determinar la extensión en que se cumplen los criterios y requisitos establecidos y acordados.

Para los propósitos específicos de esta guía técnica, las auditorías pueden ser:

Primera parte.- Son realizadas por personal del centro de trabajo y su propósito es la autoevaluación del cumplimiento
al detalle de las especificaciones y estándares de los sistemas y procesos SSPA.

Segunda parte.- Son aquéllas realizadas por la SDOSSPA y las ASIPA a los Centros de Trabajo y su enfoque principal
son los sistemas de administración SSPA.

Lineamientos y Guías Técnicas 211

Clave: 800/16000/DCO/GT/014/10
Revisión: 1
Fecha: 01/01/2010

Tercera parte.- Son aquéllas realizadas por cualquier entidad externa a Petróleos Mexicanos a los Centros de Trabajo.
Se entenderán como de tercera parte, aquéllas que son llevadas a cabo por un organismo independiente acreditado
y generalmente con propósitos de certificación.

Auditoría combinada.- Es aquélla cuyo alcance incluye varios tipos de auditoría.

Auditoría conjunta.- Es aquélla que es ejecutada por varias entidades.

Auditoría integral.- Es aquélla cuyo alcance incluye todos los sistemas, elementos y requisitos del sistema
PEMEX-SSPA.

Auditado.- Organización que es auditada.

Auditor.- Persona con la competencia para llevar a cabo una auditoría.

Auditor líder.- Persona con la competencia para conducir y supervisar la ejecución de una auditoría, coordinando el
equipo auditor.

Acción correctiva.- Acción tomada para eliminar la causa de una no conformidad detectada u otra situación indesea-
ble. Se realiza para evitar la recurrencia de una no conformidad.

Acción preventiva.- Acción realizada, para eliminar la causa de una no conformidad potencial u otra situación inde-
seable. Se realiza para evitar que algo suceda.

Alcance de la auditoría.- Extensión y límites de la auditoría, el alcance de la auditoría incluye las unidades de la
Organización, las actividades, los procesos y los requisitos que serán auditados.

Autorizador.- Directivo responsable de autorizar el programa de auditorías.

E 10

Competencia.- Conjunto de conocimientos, destrezas, habilidades, actitudes y valores cuya aplicación en el trabajo se
traduce en un desempeño superior que contribuye al logro de los objetivos clave del negocio. Describe el área de co-
nocimiento desde la perspectiva del proceso dentro de la Organización.

Comunicación efectiva.- Es la habilidad para comunicar o transmitir ideas, opiniones o pensamientos clara y consis-
tentemente para que sean fácilmente entendidos; así como la habilidad de escuchar atentamente.

Conclusiones de la auditoría.- Resultado de una auditoría que proporciona el equipo auditor, tras considerar los objeti-
vos y todos los hallazgos de la misma.

Conformidad.- Cumplimiento de un requisito.

Corrección o acción contingente. Acción realizada, para eliminar una no conformidad, puede realizarse junto con una
acción correctiva.

Criterios de auditoría.- Conjunto de políticas, procedimientos o requisitos utilizados como referencia.

Disciplina Operativa.- La Disciplina Operativa, es el cumplimiento riguroso y continuo de todos los procedimientos e
instrucciones de trabajo, tanto operativos, administrativos y de mantenimiento de un centro de trabajo, a través del
proceso de tenerlos disponibles, con la mejor calidad, comunicándolos de forma efectiva a quienes los aplican, así
como de exigir su apego estricto y cumplimiento.

Documento.- Información y su medio de soporte (papel, disco magnético, óptico, electrónico, fotografía, etc.).

Evidencia de la auditoría.- Registros, declaraciones de hechos o cualquier otra información que son pertinentes, para
los criterios de auditoría y que son verificables.
212 SASP 2
 Clave: 800/16000/DCO/GT/014/10
Revisión: 1
Fecha: 01/01/2010
Evidencia objetiva.- Datos que respaldan la existencia o veracidad de algo.

Equipo auditor.- Uno a más auditores, que llevan a cabo una auditoría, son coordinados por un auditor líder y puede
incluir, si es necesario, expertos técnicos.

Especificación o estándar.- Son las características técnicas, que identifican a los materiales y que son establecidas
por; institutos de investigación de ciencia y tecnología, asociaciones industriales, organismos colegiados, fabricantes
entre otros, que permiten definir los parámetros mínimos o máximos que debe cumplir un material o sus partes o com-
ponentes, durante y al final de su proceso de fabricación.

Experto técnico.- Persona, que aporta experiencia o conocimientos específicos de la organización, proceso o actividad
a ser auditada, un experto técnico no tiene atribuciones de auditor.

Hallazgos de auditoría.- Desviaciones de la conformidad.

Información.- Datos que poseen significado.

Lista de verificación.- Documento que describe de manera explícita, los criterios de la auditoría, generalmente redac-
tado en forma de preguntas, y que sirve de base para el registro de la información y colección de evidencias.

No conformidad.- Incumplimiento de un requisito especificado.

Observación.- Expectativa de mejora, formulada por el auditor que no tiene carácter obligatorio para el auditado.

Plan de auditoría.- Descripción de los detalles acordados de una auditoría.

Planificador.- Persona, que integra y estructura el programa de auditorías, con base en los objetivos establecidos por
la dirección, tomando en cuenta las necesidades particulares de los organismos y centros de trabajo.

E 10
Procedimiento documentado.- Forma especificada para llevar a cabo una actividad o un proceso, en la que se estable-
ce el orden cronológico y la secuencia de acciones que deben seguirse en su realización. El término “procedimiento
documentado” en cualquier requisito del sistema PEMEX-SSPA, significa que el procedimiento debe ser elaborado,
comunicado, aplicado e implantando y mejorado continuamente.

Proceso.- Serie continua y repetible de actividades relacionadas que a través del uso de recursos convierte una o más
entradas (insumos) en una o más salidas (productos), creando valor para el cliente.

Producto.- Resultado de un proceso.

Programa de auditorías. Conjunto de una o más auditorías planificadas, para un período de tiempo determinado y diri-
gidas hacia un propósito específico. Incluye: objetivos, alcances, recursos, centros de trabajo y equipo de auditores.

Protocolo.- Lista de verificación ponderada.

Recomendación.- Propuesta de acción correctiva, sin carácter limitativo, establecida por el auditor o por el equipo de
investigación de ACR, para eliminar las causas raíz de una no conformidad.

Registro.- Documento que presenta resultados obtenidos o que proporciona evidencia objetiva, de las actividades realizadas.

Requisito regulatorio.- Requisito, de carácter técnico y obligatorio establecido en una norma, especificación o estándar
institucional, nacional, extranjero o Internacional.

SAP/AM.- Plataforma informática institucional que facilita llevar a cabo de manera integrada y sistemática todas las fa-
ses del proceso de la auditoría.

Lineamientos y Guías Técnicas 213

Clave: 800/16000/DCO/GT/014/10
Revisión: 1
Fecha: 01/01/2010

Sistema.- Es un grupo o conjunto de elementos interrelacionados e interdependientes que forman un todo y funcionan
para un propósito común. Generalmente esta definido con respecto al propósito de un sistema con un alcance mayor.

Sistema de Gestión.- Sistema para establecer la política y lograr los objetivos.

sistema PEMEX-SSPA.- Conjunto de Elementos interrelacionados e interdependientes entre sí, que toma las 12 Mejores
Prácticas Internacionales como base del Sistema y organiza los Elementos restantes en tres Subsistemas que atienden
la seguridad de los procesos, la salud en el trabajo y la protección ambiental, el cual incluye y define, las actividades
de planificación, las responsabilidades, las prácticas, los procedimientos, y los recursos necesarios para dar cumpli-
miento a la Política, los principios y los objetivos de Petróleos Mexicanos en la materia y está alineado y enfocado en
el proceso homologado definido para el mismo fin.

1.5. Abreviaturas

ASIPA Entidades responsables en los Organismos Subsidiarios y el Corporativo de la administración de la

seguridad, la salud y la protección ambiental. Éstas son: GASIPA (PEMEX Gas y Petroquímica Básica),
SASIPA (PEMEX-Refinación), SSIPAC (PEMEX-Exploración y Producción), GCSIPA (PEMEX-
Petroquímica), GCSIPA (Dirección Corporativa de Ingeniería y Desarrollo de Proyectos) y DCA (Dirección
Corporativa de Administración).
CMSH Comisión Mixta de Seguridad e Higiene.
DCO Dirección Corporativa de Operaciones.
DO Disciplina Operativa.
GASIPA Gerencia de Auditoría de Seguridad Industrial y Protección Ambiental.
GCSIPA Gerencia de Calidad, Seguridad Industrial y Protección Ambiental.
IL Industria Limpia.
ISO International Organization for Standarization.
NISAI Nivel Integral de Seguridad y Ambiental de la Instalación.
NMX Norma Mexicana (de carácter voluntario).
NOM Norma Oficial Mexicana (de carácter obligatorio).
E 10

OHSAS Occupational Health and Safety Assessment Series.

OIC Órgano Interno de Control.
PACP Programa de Acciones Correctivas y Preventivas.
RI Reaseguro Internacional.
RR Requisitos Regulatorios.
SAA Subsistema de Administración Ambiental.
SAP/ AM Systems Applications Products / Audit Management.
SASIPA Subdirección de Auditoría de Seguridad Industrial y Protección Ambiental.
SASP Subsistema de Administración de la Seguridad de los Procesos.
SASSPA Sistema de Administración de la Seguridad, Salud y Protección Ambiental.
SAST Subsistema de Administración de la Salud en el Trabajo.
SDOSSPA Subdirección de Disciplina Operativa, Seguridad, Salud y Protección Ambiental
SG Sistemas de Gestión.
SSIPAC Subdirección de Seguridad Industrial, Protección Ambiental y Calidad.
SSPA Seguridad, Salud y Protección Ambiental.
12 MPI 12 Mejores Prácticas Internacionales.

214 SASP 2
 Clave: 800/16000/DCO/GT/014/10
Revisión: 1
Fecha: 01/01/2010
2. DISPOSICIONES 2.1. De las Responsabilidades
ESPECÍFICAS
2.1.1. Corresponde a las Direcciones Generales de Organismos Subsidiarios y Direcciones Corporativas de
Petróleos Mexicanos.

2.1.1.1. Ordenar la difusión de la presente guía, en su ámbito de competencia.

2.1.1.2. Instruir para la elaboración del procedimiento específico con base en la aplicación de la presente guía
técnica.

2.1.1.3. Dirigir y controlar su observancia y cumplimiento.

2.1.2. Corresponde a la Subdirección de Disciplina Operativa, Seguridad, Salud y Protección Ambiental, adscrita a la
Dirección Corporativa de Operaciones a través de la Gerencia de Evaluación e Inspección:

2.1.2.1. Dar seguimiento y comunicar esta guía técnica, al personal de las ASIPA de los Organismos Subsidiarios
y el Corporativo y dar cumplimiento en lo que le corresponda.

2.1.2.2. Asesorar a las ASIPA, en todo lo referente a la interpretación y aplicación de las disposiciones estable-
cidas en esta guía técnica.

2.1.2.3. Asegurar que el proceso de Planeación y Ejecución de Auditorías SSPA, se realice conforme a las dis-
posiciones establecidas en esta guía.

2.1.2.4. Revisar y mantener actualizada esta guía, con base en las propuestas de mejora realizadas por los or-
ganismos, o los resultados alcanzados del proceso de Planeación y Ejecución de Auditorías.

2.1.2.5. Asegurar la competencia y disponibilidad de los auditores.

E 10
2.1.2.6. Asegurar la competencia y disponibilidad de expertos técnicos, de acuerdo con el tipo y alcance de la auditoría.

2.1.2.7. Asegurar la disponibilidad de los recursos necesarios, para llevar a cabo con éxito las auditorías.

2.1.2.8. Designar al auditor líder, para la ejecución de una auditoría específica o bien de segunda parte

2.1.3. Corresponde a las Subdirecciones o Gerencias de Auditoría de Seguridad Industrial y Protección Ambiental de los
Organismos Subsidiarios y el Corporativo (ASIPA).

2.1.3.1. Comunicar esta guía técnica, al personal pertinente de los centros de trabajo en sus organismos y dar-
le cumplimiento en lo que le corresponda.

2.1.3.2. Asesorar, a los centros de trabajo de sus respectivos organismos en todo lo referente a la interpreta-
ción y aplicación de las disposiciones establecidas en esta guía.

2.1.3.3. Asegurar, que el proceso de Planeación y Ejecución de Auditorías, se realice conforme a las disposi-
ciones establecidas en esta guía en sus respectivos organismos.

2.1.3.4. Asegurar la competencia y disponibilidad de los auditores, en sus respectivos organismos.

2.1.3.5. Asegurar la disponibilidad de expertos técnicos, de acuerdo con el tipo y alcance de la auditoría, en
sus respectivos organismos.

2.1.3.6. Informar a la SDOSSPA, el estado que guarda la implantación y efectividad de las acciones correctivas
ejecutadas, para eliminar las causas raíz de las no conformidades.

Lineamientos y Guías Técnicas 215

Clave: 800/16000/DCO/GT/014/10
Revisión: 1
Fecha: 01/01/2010

2.1.3.7. Instruir la elaboración del procedimiento estratégico, con base en la aplicación de la presente guía técnica.

2.1.3.8. Designar al auditor líder, para la ejecución de auditoría de segunda parte.

2.1.4. Corresponde a las Subdirecciones de línea de negocio.

2.1.4.1. Comunicar esta guía técnica, a las gerencias de los centros de trabajo.

2.1.4.2. Establecer y comunicar a las gerencias de los centros de trabajo, la instrucción directiva clara, sobre
la importancia de la aplicación de esta guía técnica y su observancia obligatoria.

2.1.4.3. Contribuir con su compromiso y recursos, para obtener los mejores resultados en la ejecución de las
de auditorías en su línea de negocio.

2.1.4.4. Recibir los informes de sus respectivas gerencias, del estado que guarda la implantación y efectividad
de las acciones correctivas ejecutadas, para eliminar las causas raíz de las no conformidades y apoyar
con los recursos necesarios.

2.1.4.5. Instruir la elaboración del procedimiento, con base en la aplicación de esta guía técnica

2.1.5. Corresponde a las Gerencias de los Centros de Trabajo.

2.1.5.1. Comunicar esta guía técnica, en su área de influencia y al personal pertinente, y darle cumplimiento
en lo que le corresponda.

2.1.5.2. Apoyar y participar en la ejecución de las auditorías en sus centros de trabajo, esto incluye el propor-
cionar de manera expedita, toda la información solicitada y proporcionar los recursos locales requeri-
dos para la logística.

2.1.5.3. Proponer, ejecutar y asegurar el cumplimiento y la efectividad de las acciones correctivas, cuyo pro-
E 10

pósito es eliminar las causas raíz, de las no conformidades detectadas.

2.1.5.4. Informar a la ASIPA de su respectivo organismo, el estado que guardan el cumplimiento y efectividad
de las acciones correctivas, en sus centros de trabajo.

2.1.5.5. Instruir la aplicación del procedimiento estratégico, con base en la aplicación de la presente guía técnica.

2.1.6. Corresponde a la Máxima Autoridad de Seguridad, Salud y Protección Ambiental de Centros de Trabajo.

2.1.6.1. Comunicar esta guía técnica, al personal pertinente de sus centros de trabajo y darle cumplimiento en
lo que le corresponda.

2.1.6.2. Asesorar a los centros de trabajo, en todo lo referente a la interpretación y aplicación de las disposicio-
nes establecidas en esta guía técnica.

2.1.6.3. Asegurar que el proceso de “Planeación y Ejecución de las Auditorías”, es realizado conforme a las
disposiciones establecidas en esta guía técnica, en sus respectivos centros de trabajo.

2.1.6.4. Realizar auditorías SSPA de primera parte, en sus centros de trabajo, ajustándose a lo establecido en
el procedimiento estratégico.

2.1.6.5. Participar activamente en la planeación y ejecución de las auditorías SSPA de segunda parte.

2.1.6.6. Coadyuvar en la elaboración, ejecución y seguimiento, de los Programas de Acciones Correctivas y

Preventivas de su centro de trabajo.

2.1.6.7. Aplicar el procedimiento para el centro de trabajo.

216 SASP 2
 Clave: 800/16000/DCO/GT/014/10
Revisión: 1
Fecha: 01/01/2010
2.2. Desarrollo

2.2.1. Planeación de la auditoría.

2.2.1.1. Las auditorías deben realizarse de acuerdo con el programa anual único e institucional de auditorías, es-
tablecido por la SDOSSPA y las ASIPA, salvo cuando existan motivos suficientes, para que dichas depen-
dencias establezcan la necesidad de realizar auditorías fuera de programa por motivos específicos.

2.2.1.2. Las directrices para la administración del Programa de Auditorías, se establecen en la guía técnica,
para la Gestión de las Auditorías, 800/16000/DCO/GT/061/ 09.

2.2.1.3. El Gerente de Evaluación e Inspección de la SDOSSPA o su homólogo, en los Organismos Subsidiarios

(ASIPAS) y el Corporativo deben designar al auditor líder, para la ejecución de una auditoría específica
o bien de segunda parte.

2.2.1.4. Las auditorías de primera parte, las debe realizar el centros de trabajo, esta responsabilidad debe re-
caer en un representante de la Gerencia, o quien designe la Máxima Autoridad.

2.2.1.5. El auditor líder debe definir y documentar los objetivos, alcance y criterios de la auditoría, los cuales
deben ser consistentes con los objetivos globales, establecidos en el programa de Auditorías.

2.2.1.6. Con la finalidad de facilitar la captura en el modulo SAP/AM, la codificación de una auditoría debe ser
establecida de la manera siguiente:

Dependencia Organismo Centro de Tipo de Año Mes

Auditora auditado Trabajo auditoría (4 dígitos) (2 dígitos)
(máximo 7 (3 caracteres) (4 dígitos) (2 caracteres)
caracteres)
GEI PRE 0301 RI 2001 08

E 10
2.2.1.7. Los códigos para cada uno de los organismos, serán los siguientes.

Organismo Código

Dirección Corporativa de Operaciones DCO

Dirección Corporativa de Administración DCA
Dirección Corporativa de Ingeniería y Desarrollo de Proyectos DCI
PEMEX Refinación PRE
PEMEX Exploración Producción PEP
PEMEX Gas y Petroquímica Básica PGP
PEMEX Petroquímica PPQ

2.2.1.8. Los códigos para las dependencias auditoras deberán tener máximo 7 caracteres; en caso de audito-
rías de primera parte tendrán el código INT (internas).

2.2.1.9. El objetivo de una auditoría debe incluir:

a. Cumplimiento de requisitos legales y regulatorios.
b. La conformidad de los sistemas técnicos o administrativos, o partes de ellos, con los criterios de
auditoría (estándares, especificaciones).
c. Evaluación de la efectividad de los sistemas de gestión, para alcanzar los objetivos establecidos.
d. El seguimiento de hallazgos de no conformidad, recomendaciones y acciones correctivas de
auditorías previas.
e. Verificar que las áreas de mejoras potenciales a los procesos, sistemas y operaciones relacionados
con la seguridad, salud y la protección ambiental se encuentren registrados y documentados.

Lineamientos y Guías Técnicas 217

Clave: 800/16000/DCO/GT/014/10
Revisión: 1
Fecha: 01/01/2010

2.2.1.10. El auditor líder debe determinar si la realización de la auditoría es factible de acuerdo con lo progra-
mado, tomando en consideración:
a. La suficiente y apropiada información de la entidad auditada, para la planeación y ejecución
de la auditoría.
b. Una adecuada cooperación por parte del auditado.
c. El tiempo y los recursos suficientes, por parte del auditado o por parte del auditor.

2.2.1.11. Cuando la auditoría no sea factible, el auditor líder debe informarlo a la SDOSSPA y ASIPA correspon-
diente, con el conocimiento del auditado, para su reprogramación.

2.2.1.12. El auditor líder debe seleccionar y conformar un equipo de auditoría, asegurando la competencia y
perfiles adecuados de los auditores, así como la independencia y la ausencia de conflicto de intere-
ses del equipo auditor. El tamaño y características del equipo auditor debe asegurar que se obtendrán
los objetivos de la auditoría, si lo considera conveniente puede incluir expertos técnicos y/o auditores
en entrenamiento que trabajarán bajo la dirección de un auditor.

2.2.1.13. El auditor líder debe establecer contacto formal con el auditado, por lo menos 4 semanas antes de la
fecha planeada, para la realización de la auditoría en sitio, con la finalidad de definir los canales de
comunicación con el representante del auditado; la autoridad para conducir la auditoría, adelantar
información sobre los tiempos de ejecución, composición e información sobre la competencia del
equipo de auditoría, solicitar documentos y registros relevantes, comunicar las reglas de seguridad
del sitio, que deben ser observadas y acordar los detalles y la logística de la auditoría.

2.2.1.14. El equipo de auditoría, antes de la visita al sitio debe hacer una revisión previa de la documentación
del auditado, para determinar si el diseño de los procesos y sistemas es conforme con los criterios de
la auditoría; esta revisión puede ser diferida hasta que inicien las actividades en sitio si no compro-
mete la efectividad de la auditoría, de ser necesario, puede realizarse una visita preliminar al sitio.

2.2.1.15. Si la documentación resulta inadecuada, el auditor líder debe determinar si el proceso de Auditoría
E 10

continúa o se suspende, e informar al gerente de evaluación e inspección o su homólogo, en los

Organismos Subsidiarios o del Corporativo y al auditado o su representante.

2.2.1.16. El auditor líder, junto con su equipo de auditores debe preparar un plan de auditoría con base, en el
programa de auditorías y en los acuerdos previos con el auditado, el cual debe incluir:
a. Objetivos y criterios de la auditoría.

b. Alcance de la Auditoría, incluyendo las unidades organizacionales, responsabilidades,

instalaciones, procesos, sistemas y requisitos que serán auditados.

c. Programa de Auditoría, incluyendo fechas, horas u lugares donde se llevarán a cabo las
actividades. Deben incluirse reuniones con las gerencias de los auditados y reuniones del
equipo auditor.
• Los roles y responsabilidades de los miembros del equipo auditor.
• Asignación de los recursos adecuados.
• Identificación del representante del auditado y los canales de comunicación.
• Detalles de la logística.
• Términos y condiciones de confidencialidad y reserva.

2.2.1.17. Cualquier discrepancia con el Plan de Auditoría debe ser resuelto entre el auditor líder, el auditado y el
gerente de evaluación e Inspección o su homólogo en los Organismos Subsidiarios y el Corporativo.

2.2.1.18. El equipo auditor, de acuerdo con las responsabilidades asignadas debe preparar sus documentos de
trabajo que fundamentalmente son: criterios de auditoría, listas de verificación, protocolos y formatos
para el registro de la información (evidencias objetivas, hallazgos de auditoría y reuniones).

218 SASP 2
 Clave: 800/16000/DCO/GT/014/10
Revisión: 1
Fecha: 01/01/2010
2.2.1.19. El uso de listas de verificación, protocolos y formatos no debe limitar el alcance de las actividades de
auditoría, ni el resultado de la información colectada, durante la ejecución de la misma. El auditor lí-
der podrá, en cualquier momento, modificar el sentido, contenido y los alcances de las preguntas de
una lista de verificación o un protocolo, sin perder de vista el objetivo de los requisitos auditados. Sin
embargo, no tendrá atribuciones para cambiar los archivos fuentes de preguntas y ponderaciones
que se encuentran en el repositorio de documentos de SAP/AM, pues esto tiene que ser decidido por
los gerentes de auditoría o funcionarios análogos, en común acuerdo, con las máximas autoridades
de SSPA, en los Organismos Subsidiarios y el Corporativo.

2.2.2. Ejecución de la auditoría en sitio.

2.2.2.1. Debe ser realizada una reunión de apertura, con la gerencia del auditado, su representante o bien, con
los responsables de las funciones, procesos o sistemas a ser auditados cuyo objetivo, es confirmar el
plan y programa de la auditoría y dar lugar a preguntas o dudas del auditado.

2.2.2.2. Durante la ejecución de la auditoría, el equipo auditor debe realizar reuniones periódicas para inter-
cambiar información, evaluar el progreso de la auditoría y reasignar actividades, si es necesario.

2.2.2.3. Durante la ejecución de la auditoría, el auditor líder debe comunicar periódicamente el progreso de la
auditoría al auditado. Si la evidencia colectada sugiere un riesgo significativo debe ser reportado inme-
diatamente al auditado.

2.2.2.4. Cuando la evidencia colectada indique, que los objetivos de la auditoría no podrán ser alcanzados, el
auditor líder debe informar las razones al auditado y al gerente de evaluación e inspección o su homó-
logo en los Organismos Subsidiarios y al Corporativo. Las acciones que pueden ser.
a. Reconfirmar o modificar el plan de la auditoría.
b. Cambiar los objetivos o el alcance de la auditoría.
c. Suspender la auditoría.

2.2.2.5. El equipo auditor debe investigar y colectar la información relevante relacionada con los objetivos, al

E 10
alcance y los criterios de la auditoría, incluyendo información relacionada con las actividades, funcio-
nes, procesos y sistemas SSPA.
Los métodos para colectar información pueden ser:
a. Entrevistas.
b. Observación de actividades.
c. Revisión de documentos.

2.2.2.6. Toda la información debe ser verificada, sólo la información que es verificable puede convertirse en
evidencias de auditoría. La evidencia de auditoría está basada en muestras de información disponible,
por lo que siempre existirá un elemento de incertidumbre en las conclusiones de la auditoría, y el per-
sonal que participa en un proceso de auditoría deben ser consciente de la aplicación siguiente:
a. Las evidencias de la auditoría deben ser evaluadas contra los criterios de la auditoría para generar
hallazgos de auditoría. Los hallazgos de la auditoría, pueden indicar conformidad o no conformidad.

b. Los hallazgos de conformidad deben ser resumidos indicando las instalaciones, funciones,
procesos y sistemas que fueron auditados. Si se incluyeron en el plan de auditoría, los hallazgos
de conformidad y su evidencia de soporte deben ser registrados.

c. Las no conformidades y su evidencia de soporte deben ser registradas.

d. Las conclusiones de una auditoría, pueden ser cualitativas o cuantitativas, las evaluaciones
cualitativas, utilizan listas de verificación y generan conclusiones de conformidad y no
conformidad; las evaluaciones cuantitativas utilizan protocolos con criterios de ponderación
para cada uno de los requisitos y generan estimados numéricos asociados al cumplimiento. Ver
Anexo 1, se ejemplifica con un protocolo del elemento de Auditorías del Subsistema de ASP.

Lineamientos y Guías Técnicas 219

Clave: 800/16000/DCO/GT/014/10
Revisión: 1
Fecha: 01/01/2010

e. Para el caso particular, de las auditorías que se realicen a los subsistemas de administración
del PEMEX-SSPA, se debe determinar el tipo de riesgo de cada no conformidad, de acuerdo
con la metodología establecida en los “Lineamientos para el análisis y evaluación de riesgos en
Petróleos Mexicanos y Organismos Subsidiarios – COMERI 144”

f. Los métodos de evaluación cuantitativa, para el cumplimento de los requisitos de otros tipos de
auditoría como: requisitos regulatorios, reaseguro internacional, comisiones mixtas de higiene y
seguridad y el NISAI se ajustarán a los propuestos por los responsables de la implantación del
estándar. De manera similar, la determinación del tipo de riesgo para cada no conformidad detectada.

g. Las no conformidades deben ser revisadas con el auditado para confirmar que la evidencia de
auditoría es segura y que la no conformidad ha sido entendida. Deben hacerse esfuerzos por
resolver las discrepancias, relacionadas con las evidencias de auditoría o los hallazgos y los
puntos sin resolver deben quedar registrados.

2.2.2.7. El equipo auditor debe reunirse antes de la reunión de cierre para:

a. Revisar los hallazgos de la auditoría o cualquier otra información, recolectada y evaluarla
contra los objetivos de la auditoría.

b. Establecer claramente las no conformidades.

c. Acordar, sobre las conclusiones de la auditoría.

d. Preparar recomendaciones, si esto ha sido especificado en los objetivos de la auditoría.

e. Decidir sobre la ejecución de auditorías de seguimiento, si esto está considerado en el plan

de auditoría.

2.2.2.8. El auditor líder debe conducir la reunión de cierre, cuyo objetivo es, presentar los hallazgos, las no
E 10

conformidades y las conclusiones de la auditoría, asegurándose de que han sido reconocidas y en-
tendidas por el auditado, acordar la fecha, para presentar el plan de acción de acciones correctivas
y preventivas, la cual no podrá ser mayor a 21 días naturales, después de enviado el informe final de
la auditoría.

2.2.2.9. El auditor líder, puede hacer recomendaciones para resolver las no conformidades detectadas, si así
está especificado en los objetivos de la auditoría, pero éstas no son de carácter limitativo para el audi-
tado; es decir, como resultado del proceso de investigación y análisis de causas raíz, el auditado pue-
de revisarlas, adaptarlas, modificarlas, ampliarlas o sustituirlas y aun proponer otras adicionales. El
programa de acciones correctivas y preventivas (PACP) elaborado por el auditado debe ser validado
por el auditor líder.

2.2.2.10. El auditado debe evaluar el desempeño del proceso de la auditoría, generando un registro, que será
comunicado a la SDOSSPA y ASIPA correspondiente; esta información debe ser utilizada para mejo-
rar el desempeño y efectividad de auditorías subsecuentes, esta evaluación debe hacerse siguiendo
el formato establecido, en el ANEXO 2.

2.2.2.11. Los hallazgos, las no conformidades y las conclusiones de la auditoría, así como las recomendaciones
y la fecha acordada para presentar el plan de acciones correctivas deben quedar documentadas, en el
informe preliminar de la auditoría, que debe ser entregado en el sitio al auditado. Este no es un docu-
mento definitivo pues será reemplazado, en la fecha acordada, por el informe final de la auditoría.

2.2.3. Informe de auditoría.

2.2.3.1. El auditor líder, es el responsable de la preparación y contenidos del informe de auditoría, que debe incluir:
a. Nombre y breve descripción de la entidad auditada (centro de trabajo).

220 SASP 2
 Clave: 800/16000/DCO/GT/014/10
Revisión: 1
Fecha: 01/01/2010
b. Codificación de la auditoría.
c. Objetivos de la auditoría.
d. Alcance de la auditoría.
e. Nombres de los miembros del equipo auditor y del auditor líder.
f. Las fechas y lugares donde se realizaron las actividades de la auditoría.
g. Los criterios de la auditoría.
h. Los hallazgos de la auditoría.
i. Las no conformidades, su tipo de riesgo y su codificación.
j. La calificación global de la auditoría.
k. Las conclusiones de la auditoría.
l. El plan de auditoría.
m. La lista de los representantes, del auditado.
n. Aclaración sobre la incertidumbre inherente al proceso de auditoría, sobretodo si fueron encontrados
obstáculos, que pudieran disminuir la confiabilidad de las conclusiones de la auditoría.
o. Cualquier punto divergente no resuelto.
p. Recomendaciones, si se especificó en los objetivos de la auditoría.
q. Acuerdo de planes de acción de seguimiento, si los hay.
r. Términos y condiciones de confidencialidad.
s. Lista de distribución del informe.

2.2.3.2. Con la finalidad de facilitar la captura en el modulo SAP/AM, la codificación de los hallazgos de no
conformidad de una auditoría debe hacerse de la manera siguiente:

Dependencia
Organismo Centro de Tipo de Tipo de
Auditora Año Mes Consecutivo
auditado Trabajo auditoría Riesgo
(máximo 7 (4 dígitos) (2 dígitos) (4 caract.)
(3 caract.) (4 dígitos) (2 caract.) (2 caract.)
caracteres)
GEI PRE 0301 RI 2001 08 H001 A1

2.2.3.3. El informe de auditoría debe ser emitido dentro del tiempo acordado, el cual no deberá ser mayor a 15

E 10
días naturales, después de la fecha de la reunión de cierre y las razones de cualquier retraso deben
ser comunicadas al auditado y a la gerencia de evaluación e inspección o entidad análoga en los
Organismos Subsidiarios y acordada una nueva fecha.

2.2.3.4. El informe de auditoría debe ser firmado por el auditor líder, revisado por el subgerente de auditorías
y aprobado por el gerente de evaluación e inspección o su equivalente, en los Organismos Subsidiarios
y el Corporativo.

2.2.3.5. Los informes de las auditorías deben ser enviados al auditado, a su línea de negocio, a la ASIPA res-
pectiva y a la SDOSSPA.

2.2.3.6. La SDOSSPA debe preparar, informes ejecutivos mensuales y presentarlos a la DCO.

2.2.3.7. El proceso de ejecución de la auditoría, termina con la distribución del informe.

2.2.3.8. Todo proceso de auditoría debe ser ejecutado y conducido utilizando la plataforma informática SAP/AM.

2.2.4. Auditorías de seguimiento.

2.2.4.1. Las conclusiones de la auditoría, pueden indicar la necesidad de acciones correctivas, preventivas o
de mejora, pero estas acciones son definidas y llevadas a cabo por el auditado, dentro de un período
de tiempo acordado. Esta actividad debe ajustarse a lo establecido en la Guía Técnica para la
Administración de Acciones Correctivas y Preventivas, 800/16000/DCO/GT/042/10.

2.2.4.2. El auditor líder, es el responsable de la fase del control de las acciones correctivas y preventivas, es
decir, la información correspondiente al estatus de cada acción.

Lineamientos y Guías Técnicas 221

Clave: 800/16000/DCO/GT/014/10
Revisión: 1
Fecha: 01/01/2010

2.2.4.3. La conclusión y efectividad de las acciones correctivas debe ser verificada por el auditor líder o algún
miembro del equipo auditor designado por él, utilizando los criterios que se establecen en la guía refe-
rida. Esto puede hacerse con base en el aporte de evidencias objetivas y por los siguientes medios:
a. Auditoría formal de seguimiento
b. Visita al sitio
c. Información concluyente

2.2.4.4. Los resultados de esta verificación deben indicar si las acciones correctivas han sido cumplidas y han
sido efectivas. Si han sido cumplidas y han sido efectivas, el auditor líder debe declarar que la no con-
formidad ha sido resuelta (cerrada). Cuando todas las acciones correctivas han sido cumplidas y han
sido efectivas, el auditor líder debe declarar cerrada la auditoría en su conjunto. Deben quedar regis-
tros de tales decisiones, los cuales deben incluir las evidencias que las respaldan.

2.2.4.5. Formatos. El uso del formato genérico en papel, para los protocolos que aparece en el ANEXO 1, es
un modelo y no es obligatorio, pues toda la información que ahí aparece está precargada en SAP/AM.
Siempre que sea posible, el proceso deberá ser ejecutado en el ambiente AM, de manera que el uso
del formato no es necesario. El usuario puede preparar versiones en Word o en Excel de los formatos,
pero finalmente la única información válida será la que quede registrada en SAP/AM. El formato que
aparece en el ANEXO 2 debe manejarse en papel, pues es una evaluación y registro, elaborada por el
representante del auditado, escaneado e incorporado como documentación de soporte en el expe-
diente de la auditoría, en SAP/AM.

3. DISPOSICIONES 3.1. Interpretación

FINALES
Corresponde a la SDOSSPA, hacer la interpretación de los contenidos y requisitos establecidos en esta guía.

3.2. Supervisión y control

E 10

Es responsabilidad de la SDOSSPA, comunicar y supervisar la aplicación adecuada de esta guía técnica, así como de
mantenerla disponible y actualizada.

4. DISPOSICIONES 4.1. Entrada en vigor

TRANSITORIAS
Esta guía técnica, entrará en vigor 30 días después de que la SDOSSPA disponga de las evidencias objetivas, de que ha
sido difundida y comunicada a las ASIPA, de los Organismos Subsidiarios y el Corporativo.

4.2. Normatividad o disposiciones que se dejan sin efecto

Esta Guía, sustituye a cualquier otro documento Corporativo que haya sido emitido sobre el particular. Los Organismos
Subsidiarios, podrán tener sus propios procedimientos, cuyo propósito sea la planeación y ejecución de auditorías,
pero deberán ajustarse como mínimo a las disposiciones establecidas en este documento.

222 SASP 2
 Clave: 800/16000/DCO/GT/014/10
Revisión: 1
Fecha: 01/01/2010
ANEXOS ANEXO 1
PROTOCOLO: Elemento 10 de Auditoría del Subsistema de ASP

Organismo: Fecha:
Línea de Negocio: Auditado:
Centro de trabajo: Auditor:
Instalación: Calificación Global:

CRITERIO DE AUDITORÍA: Subsistema de Administración de la Seguridad de los Procesos ( SASP )

Puntos Codificación Preguntas clave Evidencias objetivas / Si ó No Puntos

Máx. Observaciones reales
100 10 ELEMENTO: Auditorías
12 10.1 REQUISITO: Definir, documentar y administrar un programa de auditorías a los procesos y sistemas
SSPA, que incluya los objetivos, el alcance, las responsabilidades, los procedimientos y los recursos
para llevarlo a cabo.
3 Disponibilidad
2 10.1.1 ¿Se dispone de un procedimiento para la elaboración, documentación
y administración de un programa de auditorías?
1 10.1.2 ¿Este procedimiento está disponible para su consulta para todo el
personal involucrado?
4 Calidad
1 10.1.3 ¿Se especifica que esta es una responsabilidad de la Máxima
Autoridad SSPA?
1 10.1.4 ¿El procedimiento especifica que deben definirse los objetivos, el
alcance, las responsabilidades, los procedimientos y los recursos

E 10
para llevar a cabo el programa de auditorías?
1 10.1.5 ¿Se especifican los tipos de auditoría que pueden ser realizados?
1 10.1.6 ¿Se establecen los criterios para definir la frecuencia de las
auditorías?
2 Comunicación
1 10.1.7 ¿Este procedimiento ha sido comunicado a los responsables e
involucrados?
1 10.1.8 ¿Ha sido evaluado el grado de entendimiento de los contenidos del
procedimiento de los responsables?
3 Cumplimiento
1 10.1.9 ¿Se tiene definido y documentado un programa de auditorías?
1 10.1.10 ¿Se tiene definidos los objetivos, el alcance, las responsabilidades y
los procedimientos para la ejecución del programa de auditorías?
1 10.1.11 ¿Se han identificado y se proporcionan los recursos necesarios para
su ejecución?

Lineamientos y Guías Técnicas 223

Clave: 800/16000/DCO/GT/014/10
Revisión: 1
Fecha: 01/01/2010

Metodología para evaluar el elemento.

1. Cada uno de los requisitos del estándar, es evaluado desde la óptica de la Disciplina Operativa y cada fase de la
DO, contribuye con un 25 % en el cumplimiento:

Fase de DO % peso Interpretación

Disponibilidad 25 El requisito está documentado y está disponible para su consulta en los sitios donde
se aplica.
Calidad 25 El requisito está satisfactoriamente definido de acuerdo con el estándar.
Comunicación 25 El requisito ha sido comunicado a los involucrados y es entendido. Se han realizado
evaluaciones al personal para medir el grado de entendimiento.
Cumplimiento 25 El requisito es aplicado sin excepción en la ejecución de las actividades.

2. Cada fase de DO debe ser evaluada desglosándola en una o varias preguntas clave, las cuales deben corres-
ponder con los requisitos que se pretende evaluar.
3. En la página 19 se muestra un ejemplo genérico para un protocolo de auditoría relacionado con:

Criterio de auditoría SASP

o estándar:
Elemento: Elemento 10 de Auditoría del Subsistema de ASP.
Requisito: Contar con un procedimiento para la administración de Auditoría.

4. Para determinar el estado actual de la implantación de un elemento o sub-elemento, se calcula el porcentaje de

cumplimiento, dividiendo el valor total de la calificación obtenida, entre el total del valor que se puede obtener; por
E 10

elemento. Para el caso particular del SASP, de la misma manera se calcula el porcentaje del segmento
(Tecnología, Instalaciones y Personal) de forma similar, se puede obtener un porcentaje de calificación para todo
el estándar. Una vez obtenido el porcentaje total, se determina el estado del Sistema, bajo los siguientes criterios.

% obtenido Estado Actual Observaciones

95.1 a 100 Excelente Seguridad de los Procesos en Mejora Continua.

70.1 a 95 Bueno Seguridad de los Procesos Administrada.
0 a 70 No satisfactorio La Seguridad de los Procesos no esta administrada, con el riesgo potencial que
ocurra un accidente.

224 SASP 2
 Clave: 800/16000/DCO/GT/014/10
Revisión: 1
Fecha: 01/01/2010
ANEXO 2
FORMATO DE EVALUACIÓN DEL PROCESO DE LA AUDITORÍA

Instrucciones: Coloque una cruz en la casilla que, a su juicio, responda mejor a la pregunta.

I. Evaluación del Proceso.

REQUISITO SI NO OBSERVACIONES

1. ¿El auditor líder estableció contacto formal con el

auditado o su representante por lo menos 4 semanas
antes de la fecha planeada para la realización de la
auditoría en sitio?
2. ¿El auditado recibió con anticipación el plan de la auditoría?
3. ¿Se realizó de acuerdo con lo programado la reunión
de apertura?
4. ¿El auditor líder comunicó periódicamente al auditado el
progreso de la auditoría?
5. ¿Se realizó de acuerdo con lo programado la reunión de cierre?
6. ¿El auditor entregó al final de la auditoría en sitio un
informe preliminar que contiene los hallazgos de no
conformidad y las recomendaciones?

Organismo: Fecha:
Subdirección: Auditoría:
Codificación
Centro de Trabajo

E 10
Representante del auditado: Nombre:
Firma:

Lineamientos y Guías Técnicas 225