La ISO 19011:2026 dedica su capítulo 6 a la realización de auditorías de sistemas de gestión. Es uno de los bloques más prácticos de la norma, porque describe cómo preparar y conducir una auditoría concreta dentro de un programa de auditoría previamente definido.
Si en el artículo anterior veíamos que el programa de auditoría no debe confundirse con un calendario, en este caso el foco se sitúa en la auditoría individual: cómo iniciarla, cómo planificarla, cómo recopilar evidencias, cómo generar hallazgos y cómo cerrar el proceso de forma rigurosa.
La idea central es clara: una auditoría eficaz no comienza cuando el auditor entra en la sala —o se conecta a una videollamada—. Comienza mucho antes, con una adecuada definición de objetivos, alcance, criterios, recursos, métodos y condiciones de viabilidad.
La auditoría como parte de un programa
La ISO 19011:2026 sitúa la realización de cada auditoría dentro del programa de auditoría. Esto significa que una auditoría individual no debería plantearse como una actuación aislada, sino como parte de un proceso más amplio de planificación, ejecución, seguimiento y mejora.
La norma representa esta lógica mediante un flujo de proceso basado en el ciclo Plan-Do-Check-Act, donde la gestión del programa de auditoría y la realización de cada auditoría se conectan entre sí. La auditoría individual incluye fases como el inicio, la preparación, la realización de actividades, la elaboración del informe, la finalización y, cuando proceda, el seguimiento.
Esta visión es importante porque evita una auditoría desconectada de los objetivos del sistema de gestión. La auditoría debe responder a una finalidad concreta: evaluar conformidad, eficacia, adecuación, riesgos, oportunidades, desempeño o capacidad del sistema para alcanzar sus resultados previstos.
1. Inicio de la auditoría: confirmar que puede realizarse
El primer paso es iniciar formalmente la auditoría. La ISO 19011:2026 establece que la responsabilidad de conducirla debe permanecer en el líder del equipo auditor hasta que la auditoría se complete.
En esta fase, el líder del equipo auditor debe establecer contacto con el auditado con tiempo suficiente. Este contacto no es un mero trámite administrativo. Debe servir para confirmar los canales de comunicación, la autoridad para realizar la auditoría, los objetivos, el alcance, los criterios, los métodos, la composición del equipo auditor y la participación de posibles expertos técnicos.
También debe solicitarse acceso a la información relevante para la planificación, incluida la información sobre riesgos y oportunidades identificados por la organización y cómo se están abordando. Además, deben confirmarse los requisitos legales, reglamentarios u otros requisitos aplicables a las actividades, procesos, productos y servicios del auditado.
En la práctica, esta fase debe responder a preguntas como:
¿Está claro qué se va a auditar?
¿Se conocen los criterios aplicables?
¿Existe autoridad para realizar la auditoría?
¿Se dispone de la información necesaria?
¿Hay restricciones de acceso, seguridad, confidencialidad o salud y seguridad?
¿Se requieren guías, observadores, intérpretes o expertos técnicos?
Si estas cuestiones no se aclaran al inicio, la auditoría puede comenzar con incertidumbres que después afectarán a la calidad de las evidencias y de las conclusiones.
2. Determinar la viabilidad de la auditoría
Uno de los aspectos más interesantes de la ISO 19011:2026 es que introduce de forma clara la necesidad de determinar la viabilidad de la auditoría. No basta con que una auditoría esté programada. Debe existir una confianza razonable en que sus objetivos pueden lograrse.
La norma indica que, para determinar la viabilidad, deben considerarse factores como la disponibilidad de información suficiente y adecuada, la cooperación del auditado, el tiempo y los recursos disponibles, y posibles eventos o circunstancias locales, regionales o mundiales que puedan afectar a la auditoría. También se recuerda que los recursos incluyen el acceso a tecnologías de la información y comunicación adecuadas.
Este punto tiene una consecuencia práctica importante: si la auditoría no es viable, debería proponerse una alternativa al cliente de auditoría, de acuerdo con el auditado.
En otras palabras, no toda auditoría debe seguir adelante a cualquier precio. Si no hay información, si no hay cooperación, si el tiempo es claramente insuficiente, si el método elegido no permite obtener evidencias fiables o si existen restricciones relevantes, la auditoría debe replantearse.
Una auditoría inviable no aporta confianza. Puede generar un informe, pero no necesariamente conclusiones sólidas.
3. Revisión de la información documentada
Antes de realizar las actividades de auditoría, el equipo auditor debe revisar la información documentada relevante del sistema de gestión. Según la ISO 19011:2026, esta revisión sirve para comprender las operaciones del auditado, sus riesgos inherentes y preparar las actividades y documentos de trabajo de auditoría. También permite obtener una visión general de la información disponible y detectar posibles deficiencias, omisiones o conflictos.
La documentación a revisar puede incluir documentos y registros del sistema de gestión, así como informes de auditorías previas. Pero la revisión no debe hacerse de forma mecánica. La norma indica que debe tenerse en cuenta el contexto de la organización, su tamaño, naturaleza, complejidad, riesgos y oportunidades, así como el alcance, criterios y objetivos de la auditoría.
Esto es clave. Revisar documentación no significa simplemente comprobar si existen procedimientos. Significa entender cómo se estructura el sistema, qué procesos son relevantes, qué evidencias pueden necesitarse y dónde pueden estar los puntos críticos.
Una buena revisión documental ayuda a planificar mejor. Una mala revisión documental convierte la auditoría en una improvisación.
4. Planificación de la auditoría con enfoque basado en riesgos
La ISO 19011:2026 insiste en que el líder del equipo auditor debe adoptar un enfoque basado en riesgos para planificar la auditoría. Esta planificación debe apoyarse en la información del programa de auditoría y en la información documentada proporcionada por el auditado.
La aplicación práctica de este enfoque puede incluir la priorización del foco auditor en función de factores como la complejidad de productos o procesos, reclamaciones de clientes, hallazgos de auditorías previas y cambios en entornos regulatorios u operativos.
Esto significa que el plan de auditoría no debe ser una agenda neutra. Debe reflejar prioridades.
No todos los procesos deben recibir la misma atención. No todas las evidencias tienen el mismo valor. No todos los riesgos tienen el mismo impacto.
Una planificación eficaz debe considerar la composición y competencia del equipo auditor, las técnicas de muestreo adecuadas, los riesgos derivados de una planificación ineficaz, las oportunidades para mejorar la eficacia y eficiencia de las actividades de auditoría y los riesgos que la propia auditoría puede generar sobre el auditado.
Este último punto suele olvidarse. La auditoría también puede interferir en las operaciones del auditado, afectar a condiciones de seguridad, calidad, medio ambiente o continuidad del servicio. Por eso debe planificarse con cuidado.
5. Qué debe contener el plan de auditoría
La norma establece que la planificación debe abordar o referenciar, entre otros aspectos, los objetivos de la auditoría, el alcance, los criterios, las ubicaciones físicas y virtuales, las fechas, horarios y duración prevista de las actividades, las reuniones con la dirección del auditado, los métodos de auditoría, la necesidad de muestreo, las responsabilidades del equipo auditor, guías, observadores o intérpretes, y la asignación de recursos en función de los riesgos y oportunidades.
También deben considerarse aspectos como el idioma de trabajo, el contenido esperado del informe, la logística, las comunicaciones, las acciones específicas frente a riesgos, las oportunidades identificadas, la confidencialidad, la seguridad de la información, actividades de seguimiento previas y la coordinación con otras auditorías en caso de auditorías conjuntas.
En la práctica, un buen plan de auditoría debería dejar claro:
qué se audita;
por qué se audita;
contra qué criterios se audita;
qué procesos, áreas, funciones o ubicaciones se incluyen;
qué método se utilizará;
qué personas participarán;
qué evidencias se prevé revisar;
qué muestras se tomarán;
qué riesgos pueden afectar a la auditoría;
cómo se gestionará la confidencialidad;
qué se hará si el plan debe modificarse.
La norma recuerda que los planes deben presentarse al auditado y al cliente de auditoría cuando sea necesario, y que cualquier cuestión relativa al plan debe resolverse entre el líder del equipo auditor, el auditado y, si procede, la persona que gestiona el programa.
6. Asignación del trabajo al equipo auditor
Cuando la auditoría la realiza más de una persona, el líder del equipo auditor debe asignar responsabilidades a cada miembro del equipo. Estas asignaciones pueden referirse a procesos, actividades, funciones o ubicaciones específicas. Deben tener en cuenta la imparcialidad, objetividad, competencia de los auditores y el uso eficaz de los recursos.
Este punto es especialmente importante en auditorías combinadas, auditorías multisite o auditorías con expertos técnicos. No basta con repartir apartados de una norma. Hay que asignar trabajo en función de la competencia real, la experiencia, la independencia y la capacidad para comprender el proceso auditado.
Además, la ISO 19011:2026 admite que las asignaciones puedan cambiar a medida que avanza la auditoría, si ello es necesario para alcanzar los objetivos.
Esto refuerza una idea práctica: el plan debe ser sólido, pero no rígido. Una auditoría eficaz debe poder adaptarse a lo que va encontrando.
7. Preparación de documentos de trabajo
Los miembros del equipo auditor deben recopilar y revisar la información relevante para sus asignaciones y preparar la información documentada necesaria para la auditoría. Esta puede incluir listas de verificación, detalles de muestreo o información audiovisual.
La norma advierte, sin embargo, que el uso de estos medios no debe restringir el alcance de las actividades de auditoría, que puede cambiar como resultado de la información recopilada durante la auditoría.
Este punto es clave para evitar el abuso del checklist.
Una lista de verificación puede ser útil, pero no debe convertirse en una jaula. Si durante la auditoría aparecen riesgos, evidencias contradictorias o indicios relevantes, el auditor debe tener capacidad para profundizar, ampliar muestras o redirigir preguntas.
El documento de trabajo ayuda a auditar, pero no sustituye al juicio profesional.
8. Realización de las actividades de auditoría
La ISO 19011:2026 indica que las actividades de auditoría suelen realizarse en una secuencia definida, aunque esta puede variar según las circunstancias. Algunas actividades pueden desarrollarse de forma concurrente y depender de los resultados de actividades anteriores.
En la práctica, la auditoría no siempre es lineal. Una entrevista puede llevar a revisar un registro. Un registro puede llevar a ampliar una muestra. Una observación puede abrir una nueva línea de indagación. Un hallazgo potencial puede requerir contraste adicional.
Por eso, aunque la planificación es esencial, la realización de la auditoría requiere flexibilidad y criterio.
9. Reunión de apertura
La reunión de apertura tiene tres objetivos principales: confirmar el acuerdo de todos los participantes con el plan de auditoría, presentar al equipo auditor y sus roles, y asegurar que todas las actividades planificadas pueden realizarse.
La norma indica que la reunión debe celebrarse con la dirección del auditado y, cuando proceda, con las personas responsables de las funciones o procesos a auditar. El grado de detalle dependerá de la familiaridad del auditado con el proceso de auditoría. En auditorías internas de organizaciones pequeñas puede ser una comunicación sencilla; en otros casos puede requerir mayor formalidad y registros de asistencia.
Durante esta reunión deberían confirmarse aspectos como objetivos, alcance, criterios, plan, canales de comunicación, idioma, métodos de auditoría, muestreo de evidencias, comunicación del progreso, recursos disponibles, confidencialidad, seguridad de la información, requisitos de acceso, seguridad y emergencias. También puede explicarse cómo se informarán los hallazgos, cómo se clasificarán las no conformidades, en qué condiciones puede finalizarse la auditoría y cómo se gestionarán posibles reclamaciones o apelaciones.
Una reunión de apertura bien conducida evita malentendidos. Una reunión de apertura pobre puede condicionar toda la auditoría.
10. Comunicación durante la auditoría
Durante la auditoría puede ser necesario establecer acuerdos formales de comunicación dentro del equipo auditor, con el auditado, con el cliente de auditoría e incluso con partes externas, como autoridades reguladoras, cuando existan requisitos de comunicación obligatoria.
El equipo auditor debe comunicarse periódicamente para intercambiar información, valorar el progreso y reasignar trabajo si es necesario. Además, el líder del equipo debe comunicar al auditado y, cuando proceda, al cliente de auditoría, el progreso de la auditoría, hallazgos significativos y preocupaciones relevantes.
La norma también establece que la evidencia que sugiera un riesgo inmediato y significativo debe comunicarse sin demora al auditado y, cuando corresponda, al cliente de auditoría y a quienes gestionan el programa.
Este punto es especialmente importante en auditorías de seguridad y salud en el trabajo, medio ambiente, seguridad de la información o cumplimiento legal. El auditor no debe esperar al informe final si detecta un riesgo grave e inmediato.
11. Acceso a la información de auditoría
La ISO 19011:2026 afirma que los métodos de auditoría elegidos dependen de los objetivos, alcance, criterios, duración y ubicación. La ubicación se entiende como el lugar donde la información necesaria está disponible para el equipo auditor, incluyendo ubicaciones físicas y virtuales.
Esta idea es especialmente actual. La información ya no siempre está en un archivo físico, una oficina o una planta productiva. Puede estar en plataformas digitales, bases de datos, sistemas compartidos, aplicaciones corporativas o entornos virtuales.
La norma recuerda que dónde, cuándo y cómo se accede a la información es crucial para la auditoría, con independencia de dónde se crea, usa o almacena esa información.
Por eso, la elección del método de auditoría debe adaptarse a la realidad de la información disponible. Una auditoría puede combinar métodos presenciales, remotos, revisión documental, entrevistas, observación, análisis de datos y revisión en el sitio.
12. Recopilación y verificación de la información
Durante la auditoría, la información relevante para los objetivos, alcance y criterios debe recopilarse mediante muestreo adecuado y verificarse en la medida de lo posible. La norma señala que solo debe aceptarse como evidencia de auditoría la información que pueda estar sujeta a algún grado de verificación.
Este es uno de los puntos más importantes del capítulo 6.
No toda información es evidencia.
No toda declaración es evidencia suficiente.
No todo documento prueba que algo se realiza eficazmente.
No toda evidencia tiene el mismo nivel de fiabilidad.
Cuando el grado de verificación sea bajo, el auditor debe aplicar su juicio profesional para determinar cuánta confianza puede depositarse en esa información. Además, la evidencia que conduce a hallazgos debe registrarse.
La norma identifica como métodos de recopilación de información las entrevistas, las observaciones y la revisión de información documentada, entre otros.
Una auditoría rigurosa no se basa en una única fuente. Contrasta.
13. Generación de hallazgos
La evidencia de auditoría debe evaluarse frente a los criterios para determinar los hallazgos. Estos hallazgos pueden indicar conformidad o no conformidad. Cuando esté previsto en el plan, los hallazgos pueden incluir conformidades, buenas prácticas, oportunidades de mejora y recomendaciones, siempre con su evidencia de apoyo.
La ISO 19011:2026 recuerda que las no conformidades y sus evidencias de apoyo deben registrarse.
Este punto es básico para la calidad del informe. Una no conformidad mal redactada suele tener tres problemas: no identifica claramente el requisito incumplido, no describe adecuadamente la evidencia y no permite entender el impacto del hallazgo.
Un buen hallazgo debe responder a tres preguntas:
¿Qué criterio se ha utilizado?
¿Qué evidencia se ha encontrado?
Qué conclusión se deriva de esa comparación?
Sin esa estructura, el informe pierde fuerza.
14. Conclusiones de auditoría, reunión de cierre e informe
Una vez evaluados los hallazgos, el equipo auditor debe determinar las conclusiones de auditoría considerando los objetivos y todos los hallazgos. Posteriormente, debe realizarse una reunión de cierre y prepararse el informe de auditoría.
La reunión de cierre no debe ser un mero trámite final. Es el momento en el que se presentan conclusiones, se explican hallazgos, se aclaran posibles discrepancias y se asegura que el auditado comprende los resultados.
El informe debe reflejar fielmente lo realizado y proporcionar una base clara para la toma de decisiones. No debe ser una colección de frases genéricas. Debe permitir entender el alcance, los criterios, los métodos utilizados, las evidencias relevantes, los hallazgos y las conclusiones.
15. Finalización y seguimiento
La auditoría se completa cuando se han realizado todas las actividades planificadas o acordadas. Sin embargo, en algunos casos puede ser necesario realizar seguimiento, por ejemplo, para verificar correcciones, acciones correctivas o medidas derivadas de hallazgos.
La lógica de la ISO 19011:2026 es coherente con la mejora continua: la auditoría no termina realmente en el informe si existen acciones posteriores que deben verificarse.
Una auditoría que detecta problemas pero no genera seguimiento puede quedarse a medio camino.
Qué deberían revisar las organizaciones
A partir de la ISO 19011:2026, las organizaciones deberían revisar cómo están planificando y realizando sus auditorías. Algunas preguntas prácticas pueden ayudar:
¿Se determina la viabilidad de la auditoría antes de realizarla?
¿Se revisa la información documentada con enfoque crítico o solo se recopilan documentos?
¿El plan de auditoría está basado en riesgos o es una agenda estándar?
¿Se definen claramente objetivos, alcance y criterios?
¿Se seleccionan métodos adecuados para obtener evidencia fiable?
¿El equipo auditor tiene competencia suficiente para los procesos asignados?
¿Se usan listas de verificación como apoyo o como sustituto del juicio auditor?
¿Se contrastan entrevistas, documentos, observaciones y datos?
¿Los hallazgos están vinculados a criterios y evidencias verificables?
¿El informe permite tomar decisiones o solo cumple un expediente?
Responder a estas preguntas permite distinguir una auditoría formal de una auditoría eficaz.
La ISO 19011:2026 refuerza una visión práctica y rigurosa de la auditoría: planificar bien, verificar adecuadamente, comunicar con claridad, registrar evidencias, formular hallazgos sólidos y emitir conclusiones defendibles.
La auditoría paso a paso no debe entenderse como una secuencia burocrática, sino como un proceso lógico para generar confianza. Cada fase cumple una función: preparar, comprobar, contrastar, concluir y mejorar.
En definitiva, una auditoría eficaz no depende solo del día de realización. Depende de la calidad de todo el proceso: desde la viabilidad inicial hasta el seguimiento final. Y ahí es donde la ISO 19011:2026 aporta una guía clara para auditar sistemas de gestión con mayor rigor, coherencia y utilidad.
TOMADO DE: https://isbl.eu/
No hay comentarios.:
Publicar un comentario