La ISO 19011:2026 dedica su capítulo 7 a la competencia y evaluación de los auditores. Es un bloque especialmente relevante porque sitúa la confianza en la auditoría en un lugar muy concreto: las personas que la planifican, la realizan, la lideran y la evalúan.
Una auditoría puede estar bien programada, tener un plan correcto y utilizar métodos adecuados, pero si el equipo auditor no tiene la competencia necesaria, las conclusiones pueden ser débiles, incompletas o poco fiables.
La norma es clara: la confianza en el proceso de auditoría y en la capacidad para alcanzar sus objetivos depende de la competencia de las personas implicadas, incluidos auditores y líderes de equipo auditor. Esta competencia debe evaluarse regularmente mediante un proceso que considere el comportamiento personal y la capacidad para aplicar conocimientos y habilidades adquiridos mediante educación, experiencia laboral, formación como auditor y experiencia en auditorías.
La competencia del auditor no es solo conocer una norma
Uno de los errores más habituales es pensar que una persona es competente para auditar porque conoce la norma que se va a auditar. Ese conocimiento es necesario, pero no suficiente.
Auditar exige mucho más.
Un auditor debe comprender los criterios aplicables, interpretar evidencias, realizar entrevistas, observar procesos, manejar información documentada, aplicar muestreo, detectar incoherencias, evaluar riesgos, comunicar hallazgos y formular conclusiones defendibles.
La ISO 19011:2026 recuerda que la competencia se relaciona con la capacidad de aplicar conocimientos y habilidades para lograr los resultados previstos. Esto implica que no basta con tener formación teórica. La competencia debe demostrarse en la práctica.
En una auditoría real, el auditor se enfrenta a información incompleta, versiones distintas de un mismo hecho, presión de tiempo, limitaciones de acceso, criterios interpretables, evidencias contradictorias y situaciones no previstas. En ese contexto, la diferencia entre un auditor formal y un auditor competente está en su capacidad para aplicar juicio profesional.
La competencia debe ajustarse al programa y a los objetivos de auditoría
La norma indica que el proceso de evaluación de la competencia debe considerar las necesidades del programa de auditoría y sus objetivos. También señala que no es necesario que todos los auditores del equipo tengan la misma competencia, pero sí que la competencia global del equipo sea suficiente para alcanzar los objetivos de auditoría.
Este punto es fundamental. No todos los auditores tienen que saber de todo. Pero el equipo auditor, en conjunto, debe cubrir las competencias necesarias para auditar el alcance definido.
Por ejemplo, si una auditoría incluye procesos técnicos complejos, requisitos legales, actividades operativas críticas, ubicaciones remotas, sistemas digitales o varios sistemas de gestión integrados, el equipo auditor debe configurarse teniendo en cuenta esa complejidad.
No se trata de asignar auditores por disponibilidad. Se trata de asignarlos por competencia.
Esta idea también conecta con la gestión del programa de auditoría. La selección del equipo auditor debe basarse en los objetivos, alcance, criterios, procesos auditados, métodos de auditoría y riesgos asociados. Un programa de auditoría maduro no pregunta primero “quién está libre”, sino “qué competencia necesitamos para auditar bien”.
Comportamiento personal: la base invisible de una buena auditoría
La ISO 19011:2026 incluye el comportamiento personal como parte de la competencia. Este aspecto suele recibir menos atención que los conocimientos técnicos, pero es decisivo.
Un auditor puede saber mucho y auditar mal si no actúa con ética, objetividad, diplomacia, observación, firmeza, apertura, perseverancia o capacidad de adaptación. La auditoría no es solo una actividad técnica; también es una actividad relacional.
El auditor entrevista personas, pide evidencias, plantea dudas, comunica hallazgos y, en ocasiones, cuestiona prácticas consolidadas. Para hacerlo bien necesita generar confianza sin perder independencia, escuchar sin dejarse arrastrar por explicaciones no verificadas y comunicar con claridad sin convertirse en parte del problema.
En la práctica, el comportamiento del auditor influye directamente en la calidad de la información que obtiene. Un auditor agresivo puede bloquear la cooperación del auditado. Un auditor excesivamente complaciente puede no profundizar lo suficiente. Un auditor rígido puede perder señales importantes. Un auditor inseguro puede aceptar evidencias insuficientes.
Por eso, la competencia no puede limitarse al conocimiento documental de normas. También debe incluir cómo se comporta el auditor cuando audita.
Conocimientos y habilidades: auditar exige una combinación de capacidades
La norma distingue entre conocimientos y habilidades comunes para auditores de cualquier disciplina y conocimientos específicos de cada sistema de gestión o sector. Esta distinción es importante porque no es lo mismo auditar un sistema de calidad, un sistema ambiental, un sistema de seguridad y salud en el trabajo, un sistema de seguridad de la información o un sistema integrado.
Entre las competencias generales, un auditor debe comprender los principios, procesos y métodos de auditoría; conocer las normas de sistemas de gestión y los documentos de referencia; entender la organización auditada y su contexto; manejar requisitos legales y reglamentarios aplicables; y aplicar técnicas de comunicación, recopilación de evidencias, muestreo, entrevista y redacción de hallazgos.
Pero esto no basta cuando el sistema auditado tiene una fuerte dimensión técnica o sectorial.
En una auditoría de prevención de riesgos laborales, por ejemplo, el auditor debe comprender los procesos preventivos, los riesgos laborales, la integración de la prevención, la planificación preventiva, la investigación de accidentes, la vigilancia de la salud, la coordinación de actividades empresariales y los requisitos legales aplicables.
En una auditoría ambiental, necesitará entender aspectos ambientales, cumplimiento legal, controles operacionales, emergencias, residuos, emisiones, vertidos o ciclo de vida.
En una auditoría de seguridad de la información, deberá comprender activos, riesgos, controles, confidencialidad, integridad, disponibilidad, accesos, incidentes y tecnologías.
La conclusión es sencilla: un auditor no puede auditar con rigor lo que no entiende.
El líder del equipo auditor: algo más que coordinar agendas
La ISO 19011:2026 diferencia también la competencia del auditor y la competencia del líder del equipo auditor. El líder del equipo debe contar con experiencia adicional para desarrollar las competencias necesarias, adquirida bajo la dirección y orientación de otro líder de equipo auditor.
Esto tiene mucho sentido práctico. Liderar una auditoría no consiste solo en repartir tareas. Implica planificar, coordinar, tomar decisiones, resolver discrepancias, gestionar tiempos, asegurar coherencia entre hallazgos, mantener la comunicación con el auditado, garantizar la objetividad del equipo, revisar conclusiones y conducir reuniones de apertura y cierre.
El líder del equipo auditor debe asegurar que la auditoría mantiene su rumbo y que las conclusiones finales están suficientemente soportadas.
En auditorías complejas, combinadas o con varios auditores, esta función es crítica. Sin liderazgo técnico, el informe puede terminar siendo una suma de observaciones inconexas, con criterios desiguales y niveles de profundidad muy diferentes.
Evaluar la competencia del auditor: no basta con guardar certificados
Otro punto especialmente relevante de la ISO 19011:2026 es que la evaluación de la competencia debe ser planificada, implementada y documentada para proporcionar resultados objetivos, consistentes, justos y fiables. La norma plantea cuatro pasos principales: determinar la competencia requerida, establecer criterios de evaluación, seleccionar el método de evaluación adecuado y realizar la evaluación.
Esto es importante porque muchas organizaciones reducen la competencia del auditor a un certificado de curso.
Pero un certificado no demuestra por sí solo que una persona audite bien.
La norma señala que los criterios de evaluación pueden ser cualitativos y cuantitativos. Los criterios cualitativos pueden referirse a la demostración de comportamientos deseados, conocimientos o desempeño de habilidades en formación o en el puesto. Los cuantitativos pueden incluir años de experiencia laboral, educación, número de auditorías realizadas u horas de formación en auditoría.
La evaluación debe, por tanto, combinar evidencias distintas.
Una organización debería poder demostrar no solo que el auditor recibió formación, sino que tiene experiencia, conocimientos aplicables, comportamiento adecuado y desempeño suficiente en auditorías reales.
Métodos para evaluar auditores
La ISO 19011:2026 indica que la evaluación debería realizarse utilizando dos o más métodos. Además, advierte que los métodos disponibles no siempre aplican a todas las situaciones, que pueden diferir en fiabilidad y que debe usarse una combinación para asegurar un resultado objetivo, consistente, justo y fiable.
Entre los métodos de evaluación se incluyen:
La revisión de registros, para verificar antecedentes del auditor, como educación, formación, experiencia profesional, credenciales y experiencia auditora.
El feedback, para conocer cómo se percibe el desempeño del auditor mediante cuestionarios, referencias, testimonios, quejas, evaluación del desempeño o revisión por pares.
La entrevista, para valorar comportamiento profesional, habilidades de comunicación, conocimientos y coherencia de la información aportada.
La observación, para evaluar el comportamiento del auditor y su capacidad para aplicar conocimientos y habilidades en situaciones reales o simuladas, como auditorías presenciadas o ejercicios de rol.
Las pruebas, para valorar conocimientos, habilidades y su aplicación mediante exámenes orales, escritos o pruebas psicométricas.
La revisión posterior a la auditoría, para analizar el desempeño durante la auditoría, identificar fortalezas y oportunidades de mejora mediante revisión y evaluación del informe, entrevistas con el líder del equipo, el equipo auditor y, si procede, feedback del auditado.
Este enfoque es mucho más sólido que limitarse a comprobar diplomas.
Una evaluación seria del auditor debería incorporar, como mínimo, revisión de formación y experiencia, observación de desempeño o revisión de informes, y feedback de personas que hayan participado en auditorías.
Qué hacer si el auditor no cumple los criterios
La norma también contempla qué ocurre cuando una persona evaluada no cumple los criterios establecidos. En ese caso, deberían realizarse acciones como formación adicional, más experiencia laboral o experiencia auditora, y posteriormente una reevaluación.
Esto evita una visión punitiva de la evaluación. No se trata de descartar personas, sino de identificar brechas de competencia y establecer un camino de desarrollo.
En la práctica, puede ocurrir que una persona tenga buena base técnica pero necesite mejorar su capacidad para redactar hallazgos. Otra puede tener experiencia auditora, pero carecer de conocimiento sectorial suficiente. Otra puede conocer la norma, pero tener dificultades para entrevistar o gestionar situaciones tensas.
La evaluación permite detectar esas brechas y actuar sobre ellas.
Mantenimiento y mejora continua de la competencia
La ISO 19011:2026 establece que auditores y líderes de equipo auditor deben mejorar continuamente su competencia. Esta competencia debe mantenerse mediante participación regular en auditorías de sistemas de gestión y desarrollo profesional continuo. La norma menciona vías como experiencia laboral adicional, formación, estudio personal, coaching, asistencia a reuniones, seminarios, conferencias u otras actividades relevantes.
También indica que quienes gestionan el programa de auditoría deben establecer mecanismos adecuados para la evaluación continua del desempeño de auditores y líderes de equipo. Las actividades de desarrollo profesional deben considerar cambios en las necesidades de la persona y de la organización, avances en la práctica auditora —incluido el uso de tecnología—, normas y documentos de apoyo relevantes, cambios en disciplinas o sectores, y análisis del feedback de auditados y partes interesadas.
Este punto es especialmente importante en 2026. La auditoría está cambiando. Crecen las auditorías remotas e híbridas, el uso de datos, los entornos virtuales, los sistemas integrados, los requisitos legales complejos, la sostenibilidad, la seguridad de la información y los modelos de gestión basados en riesgos.
Un auditor que no se actualiza pierde capacidad para aportar valor.
La competencia digital como nuevo elemento crítico
Aunque este artículo se centra en la ISO 19011:2026, conviene recordar que uno de los cambios principales de esta edición es la ampliación de la orientación sobre auditorías remotas y ubicaciones virtuales, incorporando la orientación de la ISO/IEC TS 17012.
Esto afecta directamente a la competencia del auditor.
Auditar en remoto o en entornos híbridos exige nuevas capacidades: manejo de plataformas digitales, verificación de evidencias electrónicas, protección de la información, control de accesos, gestión de entrevistas online, evaluación de la fiabilidad de registros digitales y capacidad para decidir cuándo la evidencia remota es suficiente y cuándo se requiere observación presencial.
La UNE-ISO/IEC TS 17012 también insiste en competencias específicas vinculadas al uso de tecnologías, seguridad de la información, confidencialidad, manejo de plataformas virtuales, integridad de datos y evaluación de evidencias obtenidas mediante métodos remotos.
Esto refuerza una idea crítica: el auditor de sistemas de gestión ya no puede ser solo un buen lector de normas. Debe ser capaz de auditar sistemas reales en organizaciones cada vez más digitales, distribuidas y complejas.
Qué deberían revisar las organizaciones
A partir de la ISO 19011:2026, las organizaciones deberían revisar cómo seleccionan, evalúan y desarrollan a sus auditores internos y externos. Algunas preguntas pueden ayudar:
¿Hemos definido qué competencia necesita cada auditoría?
¿Seleccionamos auditores por competencia o solo por disponibilidad?
¿Evaluamos el desempeño real de los auditores o solo archivamos certificados?
¿Tenemos criterios claros para designar líderes de equipo auditor?
¿Revisamos la calidad de los informes emitidos?
¿Recogemos feedback de auditados, clientes de auditoría o responsables del sistema?
¿Observamos auditorías para evaluar comportamiento, comunicación y juicio profesional?
¿Actualizamos la competencia de los auditores ante cambios normativos, tecnológicos o sectoriales?
¿Tenemos auditores competentes para auditorías remotas, híbridas o en entornos virtuales?
¿El equipo auditor, en conjunto, cubre los conocimientos técnicos necesarios para el alcance auditado?
Responder a estas preguntas permite pasar de una gestión documental de la competencia a una gestión real del desempeño auditor.
La ISO 19011:2026 refuerza una idea esencial: la calidad de una auditoría depende en gran medida de la competencia de quienes la realizan.
Conocer una norma es necesario, pero no suficiente. Auditar exige comportamiento profesional, juicio crítico, conocimiento técnico, capacidad de comunicación, experiencia, independencia, manejo de evidencias y aprendizaje continuo.
La evaluación del auditor tampoco puede quedarse en comprobar certificados. Debe ser un proceso planificado, documentado y basado en criterios claros, combinando distintos métodos para obtener una visión fiable del desempeño.
En definitiva, un sistema de gestión no mejora por recibir auditorías, sino por recibir auditorías bien realizadas que constituyan un elemento determinante de la mejora continua para la organización. Y eso empieza por contar con auditores competentes, evaluados y en desarrollo permanente.
Por eso, la formación de auditores internos competentes es un aspecto no menor que la organización no puede dejar al garete. La alta dirección debe presupuestar los recursos suficientes para que sus auditores adquieran las competencias adecuadas para que el sistema, o los sistemas de gestión, aporten lo planificado a la organización misma y a las partes interesadas.
TOMADO DE: https://isbl.eu/
No hay comentarios.:
Publicar un comentario