La publicación de la ISO 19011:2026, cuarta edición de la norma internacional sobre directrices para la auditoría de los sistemas de gestión, supone una actualización relevante para todas aquellas organizaciones que realizan auditorías internas, auditorías a proveedores, auditorías de segunda parte o auditorías vinculadas a requisitos legales, reglamentarios o contractuales.
Aunque la ISO 19011 no es una norma certificable, su importancia práctica es indiscutible: proporciona el marco de referencia para planificar, realizar y mejorar auditorías de sistemas de gestión, así como para evaluar la competencia de las personas que intervienen en el proceso auditor.
Esta nueva edición sustituye a la ISO 19011:2018 y ha sido revisada técnicamente. Entre los cambios principales, la propia norma destaca la ampliación de las orientaciones sobre métodos de auditoría remota, incorporando contenidos procedentes de la ISO/IEC TS 17012, y la ampliación del Anexo A para incluir directrices sobre auditorías remotas y ubicaciones virtuales.
Sin embargo, antes de abordar los métodos, los programas o la competencia de los auditores, conviene detenerse en la base de todo el modelo: los principios de auditoría.
Una norma para auditar sistemas de gestión en contextos cada vez más complejos
La ISO 19011:2026 parte de una realidad evidente: desde la edición de 2018 se han desarrollado normas de sistemas de gestión en nuevos ámbitos y muchas de ellas comparten estructura, requisitos comunes, términos y definiciones. Esto exige una visión más amplia y flexible de la auditoría de sistemas de gestión.
La norma no se limita a auditorías de calidad, medio ambiente o seguridad y salud en el trabajo. Puede aplicarse a auditorías frente a distintos criterios: requisitos de normas de sistemas de gestión, políticas internas, procesos, requisitos legales y reglamentarios, compromisos contractuales, planes de gestión o requisitos definidos por partes interesadas.
Este enfoque es importante porque desplaza la auditoría desde una lógica estrecha de “comprobar documentos” hacia una función más amplia: evaluar si el sistema de gestión es adecuado, eficaz y capaz de apoyar los objetivos de la organización.
La ISO 19011:2026 también recuerda que sus directrices son aplicables a organizaciones de cualquier tamaño y tipo, y a auditorías de distinto alcance, desde auditorías realizadas por grandes equipos hasta auditorías desarrolladas por un único auditor. La clave está en adaptar el método al alcance, complejidad y madurez del sistema auditado.
Qué entiende la ISO 19011:2026 por auditoría
La norma define la auditoría como un proceso sistemático, independiente y documentado para obtener evidencia objetiva y evaluarla objetivamente con el fin de determinar en qué medida se cumplen los criterios de auditoría.
Esta definición contiene varias ideas esenciales.
En primer lugar, la auditoría debe ser sistemática. No puede depender de la improvisación, de preguntas aisladas o de la intuición del auditor. Requiere planificación, método, criterios definidos y trazabilidad.
En segundo lugar, debe ser independiente. La independencia no siempre significa que el auditor sea externo, especialmente en auditorías internas, pero sí exige objetividad, ausencia de sesgos y control de posibles conflictos de interés.
En tercer lugar, debe estar documentada. Las conclusiones de auditoría deben poder explicarse y sostenerse mediante evidencias, registros, hallazgos y criterios.
Y, por último, debe basarse en evidencia objetiva. La auditoría no se construye sobre opiniones, percepciones o declaraciones no verificadas, sino sobre información que pueda contrastarse.
Los siete principios de auditoría en la ISO 19011:2026
La ISO 19011:2026 mantiene siete principios de auditoría. Estos principios son la base para que la auditoría sea una herramienta eficaz y fiable al servicio de la gestión, y para que diferentes auditores puedan llegar a conclusiones similares en circunstancias similares.
1. Integridad
La integridad es la base del profesionalismo auditor. Implica actuar con ética, honestidad y responsabilidad. También exige que las personas auditoras solo acepten actividades para las que sean competentes y que trabajen de forma imparcial.
Este principio tiene una consecuencia práctica clara: una auditoría pierde valor cuando el auditor actúa condicionado por intereses comerciales, presiones internas, relaciones personales o expectativas del cliente.
Auditar bien no significa buscar problemas artificialmente, pero tampoco suavizar conclusiones para evitar incomodidades. La integridad exige sostener lo que la evidencia demuestra.
2. Presentación imparcial
La presentación imparcial implica informar de forma veraz y exacta. Los hallazgos, conclusiones e informes de auditoría deben reflejar fielmente las actividades realizadas, los obstáculos encontrados y las posibles discrepancias no resueltas entre el equipo auditor y el auditado.
Este principio es especialmente relevante porque muchos informes de auditoría pierden utilidad por exceso de generalidad. Expresiones como “se recomienda mejorar”, “se observa cierta debilidad” o “convendría revisar” pueden resultar poco útiles si no están conectadas con criterios, evidencias y riesgos concretos.
La presentación imparcial exige claridad. Un informe debe permitir entender qué se ha auditado, qué se ha encontrado, en qué evidencia se basa y qué implicaciones tiene.
3. Debido cuidado profesional
El debido cuidado profesional exige aplicar diligencia y juicio en todas las situaciones de auditoría. No basta con seguir una lista de comprobación. El auditor debe ser capaz de interpretar el contexto, valorar la relevancia de la evidencia, identificar riesgos y emitir conclusiones razonadas.
Este principio es clave en la nueva forma de entender las auditorías. En sistemas de gestión cada vez más complejos, digitalizados y sometidos a cambios rápidos, el auditor necesita criterio profesional. La auditoría no puede reducirse a verificar si existe un procedimiento o si un registro está firmado.
La pregunta relevante es más exigente: ¿el sistema funciona, es adecuado y contribuye a los resultados previstos?
4. Confidencialidad
La confidencialidad se relaciona con la seguridad y privacidad de la información. La norma recuerda que la información obtenida durante la auditoría no debe utilizarse de forma inapropiada ni en perjuicio de los intereses legítimos del auditado.
Este principio adquiere todavía más importancia con las auditorías remotas, el intercambio digital de documentación, el acceso a plataformas, la revisión de bases de datos, el uso de grabaciones o la participación de equipos distribuidos.
En la práctica, la confidencialidad ya no puede entenderse solo como “no contar lo visto en la auditoría”. También exige proteger archivos, accesos, evidencias digitales, capturas, grabaciones, comunicaciones y registros generados durante el proceso auditor.
5. Independencia
La independencia es la base de la imparcialidad y de la objetividad de las conclusiones. La ISO 19011:2026 señala que los auditores deben ser independientes de la actividad auditada siempre que sea posible y actuar libres de sesgo y conflicto de interés.
En auditorías internas puede no ser posible una independencia plena, especialmente en organizaciones pequeñas. Pero la norma deja claro que, cuando no sea posible, deben hacerse todos los esfuerzos necesarios para eliminar sesgos y favorecer la objetividad.
Esto obliga a las organizaciones a revisar cómo diseñan sus auditorías internas. No debería auditar un proceso quien es responsable directo de su ejecución, ni deberían asignarse auditorías solo por disponibilidad, cercanía o conocimiento informal del área.
6. Enfoque basado en evidencias
La auditoría debe basarse en evidencias verificables. La norma recuerda que la evidencia se obtiene mediante muestras de la información disponible, porque una auditoría se realiza durante un tiempo limitado y con recursos finitos.
Este principio es fundamental para evitar uno de los errores más habituales: confundir evidencia con declaración.
Que una persona afirme que una actividad se realiza no es suficiente por sí solo. Puede ser una fuente de información, pero debe contrastarse, cuando sea posible, con registros, observaciones, datos, trazabilidad, indicadores, entrevistas adicionales o evidencias objetivas.
El enfoque basado en evidencias también obliga a manejar adecuadamente el muestreo. Una auditoría no revisa todo. Por eso, la selección de muestras debe ser coherente con los riesgos, el alcance, los procesos auditados y los objetivos de la auditoría.
7. Enfoque basado en riesgos
El enfoque basado en riesgos es uno de los elementos más importantes de la auditoría moderna. La ISO 19011:2026 indica que este enfoque debe influir de forma sustancial en la planificación e implementación del programa de auditoría, así como en la planificación, realización e informe de las auditorías.
Esto tiene una consecuencia directa: una auditoría no debería dedicar el mismo esfuerzo a todo. Debe centrarse en lo significativo.
Procesos con mayor riesgo inherente, bajo desempeño, cambios recientes, incidentes, quejas, incumplimientos previos o impacto relevante sobre los objetivos del sistema deberían recibir una atención prioritaria. Por el contrario, auditar mecánicamente todos los apartados con el mismo nivel de profundidad puede generar una falsa sensación de control.
El enfoque basado en riesgos no consiste en añadir una matriz al informe. Consiste en tomar mejores decisiones de auditoría: dónde mirar, con qué profundidad, qué evidencias solicitar, qué muestras seleccionar y qué conclusiones son realmente relevantes.
El nuevo enfoque: menos checklist y más juicio profesional
La ISO 19011:2026 no elimina la utilidad de listas de verificación, entrevistas o revisión documental. Pero sí refuerza una idea: la auditoría debe ser una herramienta para generar información fiable sobre el desempeño, la conformidad y la eficacia del sistema de gestión.
Esto supone superar una visión excesivamente formalista de la auditoría.
Una auditoría pobre se limita a preguntar si existe un procedimiento.
Una auditoría útil verifica si el procedimiento es adecuado, si se aplica, si genera resultados y si permite controlar los riesgos relevantes.
Una auditoría pobre revisa documentos aislados.
Una auditoría útil conecta evidencias, procesos, responsabilidades, indicadores, incidentes, objetivos y decisiones.
Una auditoría pobre busca cerrar una obligación anual.
Una auditoría útil ayuda a la organización a comprender mejor su sistema de gestión y a tomar decisiones de mejora.
Qué deberían revisar las organizaciones a partir de la ISO 19011:2026
La actualización de la norma invita a revisar cómo se están realizando las auditorías internas y externas de sistemas de gestión. Algunas preguntas prácticas pueden ayudar:
¿Los principios de auditoría están realmente integrados en la forma de auditar?
¿Los auditores tienen independencia suficiente respecto a las actividades auditadas?
¿Los informes reflejan con claridad evidencias, criterios y conclusiones?
¿Se priorizan los procesos más relevantes por riesgo, desempeño o impacto?
¿La auditoría aporta información útil para mejorar el sistema o solo cumple un requisito documental?
¿Se protege adecuadamente la información manejada durante la auditoría?
¿Las conclusiones podrían ser defendidas ante terceros con base en evidencias verificables?
Responder honestamente a estas preguntas puede mostrar si la organización está utilizando la auditoría como una herramienta de gestión o simplemente como un trámite periódico.
La ISO 19011:2026 refuerza una idea esencial: auditar sistemas de gestión exige método, competencia, independencia, evidencia y enfoque basado en riesgos.
Los principios de auditoría no son una introducción teórica de la norma. Son la base sobre la que se construye todo el proceso auditor. Sin integridad, imparcialidad, confidencialidad, independencia, evidencia verificable y atención a los riesgos relevantes, la auditoría pierde credibilidad y utilidad.
En un contexto en el que los sistemas de gestión son cada vez más amplios, integrados, digitales y sometidos a mayores exigencias, la auditoría debe evolucionar. La nueva ISO 19011:2026 apunta precisamente en esa dirección: auditorías menos mecánicas, más rigurosas y orientadas a generar confianza y mejora real.
TOMADO DE: https://isbl.eu/
No hay comentarios.:
Publicar un comentario