ISO 19011:2026 CLAVES DE UNA REVISIÓN QUE REDEFINE LA AUDITORÍA DE SISTEMAS DE GESTIÓN

La futura norma ISO 19011:2026 se encuentra en fase final de aprobación (FDIS), último paso antes de su publicación oficial prevista a lo largo de 2026. 

Esta nueva edición sustituyó a la versión de 2018 y responde a un contexto marcado por la digitalización, la complejidad organizativa y la creciente integración de sistemas de gestión.

ISO 19011 es una norma de directrices —no certificable—, pero su impacto es clave, ya que define cómo se planifican y ejecutan auditorías en estándares ampliamente implantados como ISO 9001, ISO 14001 o ISO 45001. Por tanto, los cambios que incorpora no son meramente formales, sino que afectan directamente a la práctica profesional de la auditoría.

Desde el punto de vista estructural, la norma mantiene sus principios fundamentales: independencia, imparcialidad, enfoque basado en la evidencia y competencia del auditor. Sin embargo, introduce cambios relevantes que transforman la forma en la que se desarrollan las auditorías en la práctica.

Principales cambios de ISO 19011:2026

1. Integración de la auditoría remota

La auditoría remota deja de ser una opción puntual para integrarse plenamente en el proceso de auditoría. Se incorpora en la planificación, ejecución y obtención de evidencias, facilitando auditorías híbridas y en entornos distribuidos. Este cambio redefine el concepto tradicional de auditoría presencial.

2. Digitalización del proceso auditor

Se refuerza el uso de herramientas tecnológicas y la gestión de evidencias digitales. La auditoría se desarrolla cada vez más en entornos virtuales, lo que exige capacidad para analizar información en distintos formatos y sistemas. El auditor evoluciona hacia un perfil más analítico y menos documental.

3. Refuerzo del enfoque basado en riesgos

La norma amplía el alcance del enfoque basado en riesgos, incluyendo no solo los riesgos del proceso auditor, sino también los derivados del contexto organizativo y factores externos como la sostenibilidad o los cambios regulatorios. La auditoría se orienta así hacia el análisis y no solo hacia la verificación.

4. Mayor exigencia en la competencia del auditor

Se incrementa el peso del juicio profesional, la capacidad analítica y la comprensión del contexto organizativo. Se reduce la dependencia de auditorías basadas exclusivamente en listas de verificación, promoviendo enfoques más críticos y adaptativos.

5. Auditorías en sistemas integrados y organizaciones complejas

Se mejoran las directrices para auditorías en sistemas de gestión integrados, organizaciones multisede y entornos con múltiples partes interesadas. La norma se adapta a estructuras organizativas más complejas y menos lineales.

6. Alineación con normas ISO/IEC

Se refuerza la coherencia con normas como ISO/IEC 17021 y ISO/IEC TS 17012 (auditoría remota), lo que contribuye a una mayor consistencia entre auditorías internas y procesos de certificación.

7. Evolución del modelo de auditoría

Sin modificar la estructura de la norma, se impulsa un cambio de fondo: de auditorías centradas en el cumplimiento documental a auditorías basadas en el análisis de evidencias reales y en la comprensión del funcionamiento del sistema de gestión.

ISO 19011:2026 no supone una ruptura con el modelo anterior, pero sí consolida una evolución clara hacia auditorías más digitales, analíticas y exigentes. El cambio no está tanto en la norma como en su aplicación práctica. 

Las organizaciones que continúen operando con enfoques mecanicistas y basados únicamente en el cumplimiento formal tendrán dificultades para adaptarse a este nuevo escenario, donde el valor de la auditoría estará cada vez más ligado a su capacidad de análisis y a la comprensión real del sistema de gestión.

TOMADO DE: https://isbl.eu/

ISO 19011: 2026: PLANIFICACIÓN Y REALIZACIÓN DE AUDITORÍAS PASO A PASO

La ISO 19011:2026 dedica su capítulo 6 a la realización de auditorías de sistemas de gestión. Es uno de los bloques más prácticos de la norma, porque describe cómo preparar y conducir una auditoría concreta dentro de un programa de auditoría previamente definido.

Si en el artículo anterior veíamos que el programa de auditoría no debe confundirse con un calendario, en este caso el foco se sitúa en la auditoría individual: cómo iniciarla, cómo planificarla, cómo recopilar evidencias, cómo generar hallazgos y cómo cerrar el proceso de forma rigurosa.

La idea central es clara: una auditoría eficaz no comienza cuando el auditor entra en la sala —o se conecta a una videollamada—. Comienza mucho antes, con una adecuada definición de objetivos, alcance, criterios, recursos, métodos y condiciones de viabilidad.

La auditoría como parte de un programa

La ISO 19011:2026 sitúa la realización de cada auditoría dentro del programa de auditoría. Esto significa que una auditoría individual no debería plantearse como una actuación aislada, sino como parte de un proceso más amplio de planificación, ejecución, seguimiento y mejora.

La norma representa esta lógica mediante un flujo de proceso basado en el ciclo Plan-Do-Check-Act, donde la gestión del programa de auditoría y la realización de cada auditoría se conectan entre sí. La auditoría individual incluye fases como el inicio, la preparación, la realización de actividades, la elaboración del informe, la finalización y, cuando proceda, el seguimiento.

Esta visión es importante porque evita una auditoría desconectada de los objetivos del sistema de gestión. La auditoría debe responder a una finalidad concreta: evaluar conformidad, eficacia, adecuación, riesgos, oportunidades, desempeño o capacidad del sistema para alcanzar sus resultados previstos.

1. Inicio de la auditoría: confirmar que puede realizarse

El primer paso es iniciar formalmente la auditoría. La ISO 19011:2026 establece que la responsabilidad de conducirla debe permanecer en el líder del equipo auditor hasta que la auditoría se complete.

En esta fase, el líder del equipo auditor debe establecer contacto con el auditado con tiempo suficiente. Este contacto no es un mero trámite administrativo. Debe servir para confirmar los canales de comunicación, la autoridad para realizar la auditoría, los objetivos, el alcance, los criterios, los métodos, la composición del equipo auditor y la participación de posibles expertos técnicos.

También debe solicitarse acceso a la información relevante para la planificación, incluida la información sobre riesgos y oportunidades identificados por la organización y cómo se están abordando. Además, deben confirmarse los requisitos legales, reglamentarios u otros requisitos aplicables a las actividades, procesos, productos y servicios del auditado.

En la práctica, esta fase debe responder a preguntas como:

¿Está claro qué se va a auditar?

¿Se conocen los criterios aplicables?

¿Existe autoridad para realizar la auditoría?

¿Se dispone de la información necesaria?

¿Hay restricciones de acceso, seguridad, confidencialidad o salud y seguridad?

¿Se requieren guías, observadores, intérpretes o expertos técnicos?

Si estas cuestiones no se aclaran al inicio, la auditoría puede comenzar con incertidumbres que después afectarán a la calidad de las evidencias y de las conclusiones.

2. Determinar la viabilidad de la auditoría

Uno de los aspectos más interesantes de la ISO 19011:2026 es que introduce de forma clara la necesidad de determinar la viabilidad de la auditoría. No basta con que una auditoría esté programada. Debe existir una confianza razonable en que sus objetivos pueden lograrse.

La norma indica que, para determinar la viabilidad, deben considerarse factores como la disponibilidad de información suficiente y adecuada, la cooperación del auditado, el tiempo y los recursos disponibles, y posibles eventos o circunstancias locales, regionales o mundiales que puedan afectar a la auditoría. También se recuerda que los recursos incluyen el acceso a tecnologías de la información y comunicación adecuadas.

Este punto tiene una consecuencia práctica importante: si la auditoría no es viable, debería proponerse una alternativa al cliente de auditoría, de acuerdo con el auditado.

En otras palabras, no toda auditoría debe seguir adelante a cualquier precio. Si no hay información, si no hay cooperación, si el tiempo es claramente insuficiente, si el método elegido no permite obtener evidencias fiables o si existen restricciones relevantes, la auditoría debe replantearse.

Una auditoría inviable no aporta confianza. Puede generar un informe, pero no necesariamente conclusiones sólidas.

3. Revisión de la información documentada

Antes de realizar las actividades de auditoría, el equipo auditor debe revisar la información documentada relevante del sistema de gestión. Según la ISO 19011:2026, esta revisión sirve para comprender las operaciones del auditado, sus riesgos inherentes y preparar las actividades y documentos de trabajo de auditoría. También permite obtener una visión general de la información disponible y detectar posibles deficiencias, omisiones o conflictos.

La documentación a revisar puede incluir documentos y registros del sistema de gestión, así como informes de auditorías previas. Pero la revisión no debe hacerse de forma mecánica. La norma indica que debe tenerse en cuenta el contexto de la organización, su tamaño, naturaleza, complejidad, riesgos y oportunidades, así como el alcance, criterios y objetivos de la auditoría.

Esto es clave. Revisar documentación no significa simplemente comprobar si existen procedimientos. Significa entender cómo se estructura el sistema, qué procesos son relevantes, qué evidencias pueden necesitarse y dónde pueden estar los puntos críticos.

Una buena revisión documental ayuda a planificar mejor. Una mala revisión documental convierte la auditoría en una improvisación.

4. Planificación de la auditoría con enfoque basado en riesgos

La ISO 19011:2026 insiste en que el líder del equipo auditor debe adoptar un enfoque basado en riesgos para planificar la auditoría. Esta planificación debe apoyarse en la información del programa de auditoría y en la información documentada proporcionada por el auditado.

La aplicación práctica de este enfoque puede incluir la priorización del foco auditor en función de factores como la complejidad de productos o procesos, reclamaciones de clientes, hallazgos de auditorías previas y cambios en entornos regulatorios u operativos.

Esto significa que el plan de auditoría no debe ser una agenda neutra. Debe reflejar prioridades.

No todos los procesos deben recibir la misma atención. No todas las evidencias tienen el mismo valor. No todos los riesgos tienen el mismo impacto.

Una planificación eficaz debe considerar la composición y competencia del equipo auditor, las técnicas de muestreo adecuadas, los riesgos derivados de una planificación ineficaz, las oportunidades para mejorar la eficacia y eficiencia de las actividades de auditoría y los riesgos que la propia auditoría puede generar sobre el auditado.

Este último punto suele olvidarse. La auditoría también puede interferir en las operaciones del auditado, afectar a condiciones de seguridad, calidad, medio ambiente o continuidad del servicio. Por eso debe planificarse con cuidado.

5. Qué debe contener el plan de auditoría

La norma establece que la planificación debe abordar o referenciar, entre otros aspectos, los objetivos de la auditoría, el alcance, los criterios, las ubicaciones físicas y virtuales, las fechas, horarios y duración prevista de las actividades, las reuniones con la dirección del auditado, los métodos de auditoría, la necesidad de muestreo, las responsabilidades del equipo auditor, guías, observadores o intérpretes, y la asignación de recursos en función de los riesgos y oportunidades.

También deben considerarse aspectos como el idioma de trabajo, el contenido esperado del informe, la logística, las comunicaciones, las acciones específicas frente a riesgos, las oportunidades identificadas, la confidencialidad, la seguridad de la información, actividades de seguimiento previas y la coordinación con otras auditorías en caso de auditorías conjuntas.

En la práctica, un buen plan de auditoría debería dejar claro:

qué se audita;

por qué se audita;

contra qué criterios se audita;

qué procesos, áreas, funciones o ubicaciones se incluyen;

qué método se utilizará;

qué personas participarán;

qué evidencias se prevé revisar;

qué muestras se tomarán;

qué riesgos pueden afectar a la auditoría;

cómo se gestionará la confidencialidad;

qué se hará si el plan debe modificarse.

La norma recuerda que los planes deben presentarse al auditado y al cliente de auditoría cuando sea necesario, y que cualquier cuestión relativa al plan debe resolverse entre el líder del equipo auditor, el auditado y, si procede, la persona que gestiona el programa.

6. Asignación del trabajo al equipo auditor

Cuando la auditoría la realiza más de una persona, el líder del equipo auditor debe asignar responsabilidades a cada miembro del equipo. Estas asignaciones pueden referirse a procesos, actividades, funciones o ubicaciones específicas. Deben tener en cuenta la imparcialidad, objetividad, competencia de los auditores y el uso eficaz de los recursos.

Este punto es especialmente importante en auditorías combinadas, auditorías multisite o auditorías con expertos técnicos. No basta con repartir apartados de una norma. Hay que asignar trabajo en función de la competencia real, la experiencia, la independencia y la capacidad para comprender el proceso auditado.

Además, la ISO 19011:2026 admite que las asignaciones puedan cambiar a medida que avanza la auditoría, si ello es necesario para alcanzar los objetivos.

Esto refuerza una idea práctica: el plan debe ser sólido, pero no rígido. Una auditoría eficaz debe poder adaptarse a lo que va encontrando.

7. Preparación de documentos de trabajo

Los miembros del equipo auditor deben recopilar y revisar la información relevante para sus asignaciones y preparar la información documentada necesaria para la auditoría. Esta puede incluir listas de verificación, detalles de muestreo o información audiovisual.

La norma advierte, sin embargo, que el uso de estos medios no debe restringir el alcance de las actividades de auditoría, que puede cambiar como resultado de la información recopilada durante la auditoría.

Este punto es clave para evitar el abuso del checklist.

Una lista de verificación puede ser útil, pero no debe convertirse en una jaula. Si durante la auditoría aparecen riesgos, evidencias contradictorias o indicios relevantes, el auditor debe tener capacidad para profundizar, ampliar muestras o redirigir preguntas.

El documento de trabajo ayuda a auditar, pero no sustituye al juicio profesional.

8. Realización de las actividades de auditoría

La ISO 19011:2026 indica que las actividades de auditoría suelen realizarse en una secuencia definida, aunque esta puede variar según las circunstancias. Algunas actividades pueden desarrollarse de forma concurrente y depender de los resultados de actividades anteriores.

En la práctica, la auditoría no siempre es lineal. Una entrevista puede llevar a revisar un registro. Un registro puede llevar a ampliar una muestra. Una observación puede abrir una nueva línea de indagación. Un hallazgo potencial puede requerir contraste adicional.

Por eso, aunque la planificación es esencial, la realización de la auditoría requiere flexibilidad y criterio.

9. Reunión de apertura

La reunión de apertura tiene tres objetivos principales: confirmar el acuerdo de todos los participantes con el plan de auditoría, presentar al equipo auditor y sus roles, y asegurar que todas las actividades planificadas pueden realizarse.

La norma indica que la reunión debe celebrarse con la dirección del auditado y, cuando proceda, con las personas responsables de las funciones o procesos a auditar. El grado de detalle dependerá de la familiaridad del auditado con el proceso de auditoría. En auditorías internas de organizaciones pequeñas puede ser una comunicación sencilla; en otros casos puede requerir mayor formalidad y registros de asistencia.

Durante esta reunión deberían confirmarse aspectos como objetivos, alcance, criterios, plan, canales de comunicación, idioma, métodos de auditoría, muestreo de evidencias, comunicación del progreso, recursos disponibles, confidencialidad, seguridad de la información, requisitos de acceso, seguridad y emergencias. También puede explicarse cómo se informarán los hallazgos, cómo se clasificarán las no conformidades, en qué condiciones puede finalizarse la auditoría y cómo se gestionarán posibles reclamaciones o apelaciones.

Una reunión de apertura bien conducida evita malentendidos. Una reunión de apertura pobre puede condicionar toda la auditoría.

10. Comunicación durante la auditoría

Durante la auditoría puede ser necesario establecer acuerdos formales de comunicación dentro del equipo auditor, con el auditado, con el cliente de auditoría e incluso con partes externas, como autoridades reguladoras, cuando existan requisitos de comunicación obligatoria.

El equipo auditor debe comunicarse periódicamente para intercambiar información, valorar el progreso y reasignar trabajo si es necesario. Además, el líder del equipo debe comunicar al auditado y, cuando proceda, al cliente de auditoría, el progreso de la auditoría, hallazgos significativos y preocupaciones relevantes.

La norma también establece que la evidencia que sugiera un riesgo inmediato y significativo debe comunicarse sin demora al auditado y, cuando corresponda, al cliente de auditoría y a quienes gestionan el programa.

Este punto es especialmente importante en auditorías de seguridad y salud en el trabajo, medio ambiente, seguridad de la información o cumplimiento legal. El auditor no debe esperar al informe final si detecta un riesgo grave e inmediato.

11. Acceso a la información de auditoría

La ISO 19011:2026 afirma que los métodos de auditoría elegidos dependen de los objetivos, alcance, criterios, duración y ubicación. La ubicación se entiende como el lugar donde la información necesaria está disponible para el equipo auditor, incluyendo ubicaciones físicas y virtuales.

Esta idea es especialmente actual. La información ya no siempre está en un archivo físico, una oficina o una planta productiva. Puede estar en plataformas digitales, bases de datos, sistemas compartidos, aplicaciones corporativas o entornos virtuales.

La norma recuerda que dónde, cuándo y cómo se accede a la información es crucial para la auditoría, con independencia de dónde se crea, usa o almacena esa información.

Por eso, la elección del método de auditoría debe adaptarse a la realidad de la información disponible. Una auditoría puede combinar métodos presenciales, remotos, revisión documental, entrevistas, observación, análisis de datos y revisión en el sitio.

12. Recopilación y verificación de la información

Durante la auditoría, la información relevante para los objetivos, alcance y criterios debe recopilarse mediante muestreo adecuado y verificarse en la medida de lo posible. La norma señala que solo debe aceptarse como evidencia de auditoría la información que pueda estar sujeta a algún grado de verificación.

Este es uno de los puntos más importantes del capítulo 6.

No toda información es evidencia.

No toda declaración es evidencia suficiente.

No todo documento prueba que algo se realiza eficazmente.

No toda evidencia tiene el mismo nivel de fiabilidad.

Cuando el grado de verificación sea bajo, el auditor debe aplicar su juicio profesional para determinar cuánta confianza puede depositarse en esa información. Además, la evidencia que conduce a hallazgos debe registrarse.

La norma identifica como métodos de recopilación de información las entrevistas, las observaciones y la revisión de información documentada, entre otros.

Una auditoría rigurosa no se basa en una única fuente. Contrasta.

13. Generación de hallazgos

La evidencia de auditoría debe evaluarse frente a los criterios para determinar los hallazgos. Estos hallazgos pueden indicar conformidad o no conformidad. Cuando esté previsto en el plan, los hallazgos pueden incluir conformidades, buenas prácticas, oportunidades de mejora y recomendaciones, siempre con su evidencia de apoyo.

La ISO 19011:2026 recuerda que las no conformidades y sus evidencias de apoyo deben registrarse.

Este punto es básico para la calidad del informe. Una no conformidad mal redactada suele tener tres problemas: no identifica claramente el requisito incumplido, no describe adecuadamente la evidencia y no permite entender el impacto del hallazgo.

Un buen hallazgo debe responder a tres preguntas:

¿Qué criterio se ha utilizado?

¿Qué evidencia se ha encontrado?

Qué conclusión se deriva de esa comparación?

Sin esa estructura, el informe pierde fuerza.

14. Conclusiones de auditoría, reunión de cierre e informe

Una vez evaluados los hallazgos, el equipo auditor debe determinar las conclusiones de auditoría considerando los objetivos y todos los hallazgos. Posteriormente, debe realizarse una reunión de cierre y prepararse el informe de auditoría.

La reunión de cierre no debe ser un mero trámite final. Es el momento en el que se presentan conclusiones, se explican hallazgos, se aclaran posibles discrepancias y se asegura que el auditado comprende los resultados.

El informe debe reflejar fielmente lo realizado y proporcionar una base clara para la toma de decisiones. No debe ser una colección de frases genéricas. Debe permitir entender el alcance, los criterios, los métodos utilizados, las evidencias relevantes, los hallazgos y las conclusiones.

15. Finalización y seguimiento

La auditoría se completa cuando se han realizado todas las actividades planificadas o acordadas. Sin embargo, en algunos casos puede ser necesario realizar seguimiento, por ejemplo, para verificar correcciones, acciones correctivas o medidas derivadas de hallazgos.

La lógica de la ISO 19011:2026 es coherente con la mejora continua: la auditoría no termina realmente en el informe si existen acciones posteriores que deben verificarse.

Una auditoría que detecta problemas pero no genera seguimiento puede quedarse a medio camino.

Qué deberían revisar las organizaciones

A partir de la ISO 19011:2026, las organizaciones deberían revisar cómo están planificando y realizando sus auditorías. Algunas preguntas prácticas pueden ayudar:

¿Se determina la viabilidad de la auditoría antes de realizarla?

¿Se revisa la información documentada con enfoque crítico o solo se recopilan documentos?

¿El plan de auditoría está basado en riesgos o es una agenda estándar?

¿Se definen claramente objetivos, alcance y criterios?

¿Se seleccionan métodos adecuados para obtener evidencia fiable?

¿El equipo auditor tiene competencia suficiente para los procesos asignados?

¿Se usan listas de verificación como apoyo o como sustituto del juicio auditor?

¿Se contrastan entrevistas, documentos, observaciones y datos?

¿Los hallazgos están vinculados a criterios y evidencias verificables?

¿El informe permite tomar decisiones o solo cumple un expediente?

Responder a estas preguntas permite distinguir una auditoría formal de una auditoría eficaz.

La ISO 19011:2026 refuerza una visión práctica y rigurosa de la auditoría: planificar bien, verificar adecuadamente, comunicar con claridad, registrar evidencias, formular hallazgos sólidos y emitir conclusiones defendibles.

La auditoría paso a paso no debe entenderse como una secuencia burocrática, sino como un proceso lógico para generar confianza. Cada fase cumple una función: preparar, comprobar, contrastar, concluir y mejorar.

En definitiva, una auditoría eficaz no depende solo del día de realización. Depende de la calidad de todo el proceso: desde la viabilidad inicial hasta el seguimiento final. Y ahí es donde la ISO 19011:2026 aporta una guía clara para auditar sistemas de gestión con mayor rigor, coherencia y utilidad.

TOMADO DE: https://isbl.eu/

ISO 19011: 2026: COMPETENCIA DEL AUDITOR Y EVALUACIÓN DEL EQUIPO AUDITOR

La ISO 19011:2026 dedica su capítulo 7 a la competencia y evaluación de los auditores. Es un bloque especialmente relevante porque sitúa la confianza en la auditoría en un lugar muy concreto: las personas que la planifican, la realizan, la lideran y la evalúan.

Una auditoría puede estar bien programada, tener un plan correcto y utilizar métodos adecuados, pero si el equipo auditor no tiene la competencia necesaria, las conclusiones pueden ser débiles, incompletas o poco fiables.

La norma es clara: la confianza en el proceso de auditoría y en la capacidad para alcanzar sus objetivos depende de la competencia de las personas implicadas, incluidos auditores y líderes de equipo auditor. Esta competencia debe evaluarse regularmente mediante un proceso que considere el comportamiento personal y la capacidad para aplicar conocimientos y habilidades adquiridos mediante educación, experiencia laboral, formación como auditor y experiencia en auditorías.

La competencia del auditor no es solo conocer una norma

Uno de los errores más habituales es pensar que una persona es competente para auditar porque conoce la norma que se va a auditar. Ese conocimiento es necesario, pero no suficiente.

Auditar exige mucho más.

Un auditor debe comprender los criterios aplicables, interpretar evidencias, realizar entrevistas, observar procesos, manejar información documentada, aplicar muestreo, detectar incoherencias, evaluar riesgos, comunicar hallazgos y formular conclusiones defendibles.

La ISO 19011:2026 recuerda que la competencia se relaciona con la capacidad de aplicar conocimientos y habilidades para lograr los resultados previstos. Esto implica que no basta con tener formación teórica. La competencia debe demostrarse en la práctica.

En una auditoría real, el auditor se enfrenta a información incompleta, versiones distintas de un mismo hecho, presión de tiempo, limitaciones de acceso, criterios interpretables, evidencias contradictorias y situaciones no previstas. En ese contexto, la diferencia entre un auditor formal y un auditor competente está en su capacidad para aplicar juicio profesional.

La competencia debe ajustarse al programa y a los objetivos de auditoría

La norma indica que el proceso de evaluación de la competencia debe considerar las necesidades del programa de auditoría y sus objetivos. También señala que no es necesario que todos los auditores del equipo tengan la misma competencia, pero sí que la competencia global del equipo sea suficiente para alcanzar los objetivos de auditoría.

Este punto es fundamental. No todos los auditores tienen que saber de todo. Pero el equipo auditor, en conjunto, debe cubrir las competencias necesarias para auditar el alcance definido.

Por ejemplo, si una auditoría incluye procesos técnicos complejos, requisitos legales, actividades operativas críticas, ubicaciones remotas, sistemas digitales o varios sistemas de gestión integrados, el equipo auditor debe configurarse teniendo en cuenta esa complejidad.

No se trata de asignar auditores por disponibilidad. Se trata de asignarlos por competencia.

Esta idea también conecta con la gestión del programa de auditoría. La selección del equipo auditor debe basarse en los objetivos, alcance, criterios, procesos auditados, métodos de auditoría y riesgos asociados. Un programa de auditoría maduro no pregunta primero “quién está libre”, sino “qué competencia necesitamos para auditar bien”.

Comportamiento personal: la base invisible de una buena auditoría

La ISO 19011:2026 incluye el comportamiento personal como parte de la competencia. Este aspecto suele recibir menos atención que los conocimientos técnicos, pero es decisivo.

Un auditor puede saber mucho y auditar mal si no actúa con ética, objetividad, diplomacia, observación, firmeza, apertura, perseverancia o capacidad de adaptación. La auditoría no es solo una actividad técnica; también es una actividad relacional.

El auditor entrevista personas, pide evidencias, plantea dudas, comunica hallazgos y, en ocasiones, cuestiona prácticas consolidadas. Para hacerlo bien necesita generar confianza sin perder independencia, escuchar sin dejarse arrastrar por explicaciones no verificadas y comunicar con claridad sin convertirse en parte del problema.

En la práctica, el comportamiento del auditor influye directamente en la calidad de la información que obtiene. Un auditor agresivo puede bloquear la cooperación del auditado. Un auditor excesivamente complaciente puede no profundizar lo suficiente. Un auditor rígido puede perder señales importantes. Un auditor inseguro puede aceptar evidencias insuficientes.

Por eso, la competencia no puede limitarse al conocimiento documental de normas. También debe incluir cómo se comporta el auditor cuando audita.

Conocimientos y habilidades: auditar exige una combinación de capacidades

La norma distingue entre conocimientos y habilidades comunes para auditores de cualquier disciplina y conocimientos específicos de cada sistema de gestión o sector. Esta distinción es importante porque no es lo mismo auditar un sistema de calidad, un sistema ambiental, un sistema de seguridad y salud en el trabajo, un sistema de seguridad de la información o un sistema integrado.

Entre las competencias generales, un auditor debe comprender los principios, procesos y métodos de auditoría; conocer las normas de sistemas de gestión y los documentos de referencia; entender la organización auditada y su contexto; manejar requisitos legales y reglamentarios aplicables; y aplicar técnicas de comunicación, recopilación de evidencias, muestreo, entrevista y redacción de hallazgos.

Pero esto no basta cuando el sistema auditado tiene una fuerte dimensión técnica o sectorial.

En una auditoría de prevención de riesgos laborales, por ejemplo, el auditor debe comprender los procesos preventivos, los riesgos laborales, la integración de la prevención, la planificación preventiva, la investigación de accidentes, la vigilancia de la salud, la coordinación de actividades empresariales y los requisitos legales aplicables.

En una auditoría ambiental, necesitará entender aspectos ambientales, cumplimiento legal, controles operacionales, emergencias, residuos, emisiones, vertidos o ciclo de vida.

En una auditoría de seguridad de la información, deberá comprender activos, riesgos, controles, confidencialidad, integridad, disponibilidad, accesos, incidentes y tecnologías.

La conclusión es sencilla: un auditor no puede auditar con rigor lo que no entiende.

El líder del equipo auditor: algo más que coordinar agendas

La ISO 19011:2026 diferencia también la competencia del auditor y la competencia del líder del equipo auditor. El líder del equipo debe contar con experiencia adicional para desarrollar las competencias necesarias, adquirida bajo la dirección y orientación de otro líder de equipo auditor.

Esto tiene mucho sentido práctico. Liderar una auditoría no consiste solo en repartir tareas. Implica planificar, coordinar, tomar decisiones, resolver discrepancias, gestionar tiempos, asegurar coherencia entre hallazgos, mantener la comunicación con el auditado, garantizar la objetividad del equipo, revisar conclusiones y conducir reuniones de apertura y cierre.

El líder del equipo auditor debe asegurar que la auditoría mantiene su rumbo y que las conclusiones finales están suficientemente soportadas.

En auditorías complejas, combinadas o con varios auditores, esta función es crítica. Sin liderazgo técnico, el informe puede terminar siendo una suma de observaciones inconexas, con criterios desiguales y niveles de profundidad muy diferentes.

Evaluar la competencia del auditor: no basta con guardar certificados

Otro punto especialmente relevante de la ISO 19011:2026 es que la evaluación de la competencia debe ser planificada, implementada y documentada para proporcionar resultados objetivos, consistentes, justos y fiables. La norma plantea cuatro pasos principales: determinar la competencia requerida, establecer criterios de evaluación, seleccionar el método de evaluación adecuado y realizar la evaluación.

Esto es importante porque muchas organizaciones reducen la competencia del auditor a un certificado de curso.

Pero un certificado no demuestra por sí solo que una persona audite bien.

La norma señala que los criterios de evaluación pueden ser cualitativos y cuantitativos. Los criterios cualitativos pueden referirse a la demostración de comportamientos deseados, conocimientos o desempeño de habilidades en formación o en el puesto. Los cuantitativos pueden incluir años de experiencia laboral, educación, número de auditorías realizadas u horas de formación en auditoría.

La evaluación debe, por tanto, combinar evidencias distintas.

Una organización debería poder demostrar no solo que el auditor recibió formación, sino que tiene experiencia, conocimientos aplicables, comportamiento adecuado y desempeño suficiente en auditorías reales.

Métodos para evaluar auditores

La ISO 19011:2026 indica que la evaluación debería realizarse utilizando dos o más métodos. Además, advierte que los métodos disponibles no siempre aplican a todas las situaciones, que pueden diferir en fiabilidad y que debe usarse una combinación para asegurar un resultado objetivo, consistente, justo y fiable.

Entre los métodos de evaluación se incluyen:

La revisión de registros, para verificar antecedentes del auditor, como educación, formación, experiencia profesional, credenciales y experiencia auditora.

El feedback, para conocer cómo se percibe el desempeño del auditor mediante cuestionarios, referencias, testimonios, quejas, evaluación del desempeño o revisión por pares.

La entrevista, para valorar comportamiento profesional, habilidades de comunicación, conocimientos y coherencia de la información aportada.

La observación, para evaluar el comportamiento del auditor y su capacidad para aplicar conocimientos y habilidades en situaciones reales o simuladas, como auditorías presenciadas o ejercicios de rol.

Las pruebas, para valorar conocimientos, habilidades y su aplicación mediante exámenes orales, escritos o pruebas psicométricas.

La revisión posterior a la auditoría, para analizar el desempeño durante la auditoría, identificar fortalezas y oportunidades de mejora mediante revisión y evaluación del informe, entrevistas con el líder del equipo, el equipo auditor y, si procede, feedback del auditado.

Este enfoque es mucho más sólido que limitarse a comprobar diplomas.

Una evaluación seria del auditor debería incorporar, como mínimo, revisión de formación y experiencia, observación de desempeño o revisión de informes, y feedback de personas que hayan participado en auditorías.

Qué hacer si el auditor no cumple los criterios

La norma también contempla qué ocurre cuando una persona evaluada no cumple los criterios establecidos. En ese caso, deberían realizarse acciones como formación adicional, más experiencia laboral o experiencia auditora, y posteriormente una reevaluación.

Esto evita una visión punitiva de la evaluación. No se trata de descartar personas, sino de identificar brechas de competencia y establecer un camino de desarrollo.

En la práctica, puede ocurrir que una persona tenga buena base técnica pero necesite mejorar su capacidad para redactar hallazgos. Otra puede tener experiencia auditora, pero carecer de conocimiento sectorial suficiente. Otra puede conocer la norma, pero tener dificultades para entrevistar o gestionar situaciones tensas.

La evaluación permite detectar esas brechas y actuar sobre ellas.

Mantenimiento y mejora continua de la competencia

La ISO 19011:2026 establece que auditores y líderes de equipo auditor deben mejorar continuamente su competencia. Esta competencia debe mantenerse mediante participación regular en auditorías de sistemas de gestión y desarrollo profesional continuo. La norma menciona vías como experiencia laboral adicional, formación, estudio personal, coaching, asistencia a reuniones, seminarios, conferencias u otras actividades relevantes.

También indica que quienes gestionan el programa de auditoría deben establecer mecanismos adecuados para la evaluación continua del desempeño de auditores y líderes de equipo. Las actividades de desarrollo profesional deben considerar cambios en las necesidades de la persona y de la organización, avances en la práctica auditora —incluido el uso de tecnología—, normas y documentos de apoyo relevantes, cambios en disciplinas o sectores, y análisis del feedback de auditados y partes interesadas.

Este punto es especialmente importante en 2026. La auditoría está cambiando. Crecen las auditorías remotas e híbridas, el uso de datos, los entornos virtuales, los sistemas integrados, los requisitos legales complejos, la sostenibilidad, la seguridad de la información y los modelos de gestión basados en riesgos.

Un auditor que no se actualiza pierde capacidad para aportar valor.

La competencia digital como nuevo elemento crítico

Aunque este artículo se centra en la ISO 19011:2026, conviene recordar que uno de los cambios principales de esta edición es la ampliación de la orientación sobre auditorías remotas y ubicaciones virtuales, incorporando la orientación de la ISO/IEC TS 17012.

Esto afecta directamente a la competencia del auditor.

Auditar en remoto o en entornos híbridos exige nuevas capacidades: manejo de plataformas digitales, verificación de evidencias electrónicas, protección de la información, control de accesos, gestión de entrevistas online, evaluación de la fiabilidad de registros digitales y capacidad para decidir cuándo la evidencia remota es suficiente y cuándo se requiere observación presencial.

La UNE-ISO/IEC TS 17012 también insiste en competencias específicas vinculadas al uso de tecnologías, seguridad de la información, confidencialidad, manejo de plataformas virtuales, integridad de datos y evaluación de evidencias obtenidas mediante métodos remotos.

Esto refuerza una idea crítica: el auditor de sistemas de gestión ya no puede ser solo un buen lector de normas. Debe ser capaz de auditar sistemas reales en organizaciones cada vez más digitales, distribuidas y complejas.

Qué deberían revisar las organizaciones

A partir de la ISO 19011:2026, las organizaciones deberían revisar cómo seleccionan, evalúan y desarrollan a sus auditores internos y externos. Algunas preguntas pueden ayudar:

¿Hemos definido qué competencia necesita cada auditoría?

¿Seleccionamos auditores por competencia o solo por disponibilidad?

¿Evaluamos el desempeño real de los auditores o solo archivamos certificados?

¿Tenemos criterios claros para designar líderes de equipo auditor?

¿Revisamos la calidad de los informes emitidos?

¿Recogemos feedback de auditados, clientes de auditoría o responsables del sistema?

¿Observamos auditorías para evaluar comportamiento, comunicación y juicio profesional?

¿Actualizamos la competencia de los auditores ante cambios normativos, tecnológicos o sectoriales?

¿Tenemos auditores competentes para auditorías remotas, híbridas o en entornos virtuales?

¿El equipo auditor, en conjunto, cubre los conocimientos técnicos necesarios para el alcance auditado?

Responder a estas preguntas permite pasar de una gestión documental de la competencia a una gestión real del desempeño auditor.

La ISO 19011:2026 refuerza una idea esencial: la calidad de una auditoría depende en gran medida de la competencia de quienes la realizan.

Conocer una norma es necesario, pero no suficiente. Auditar exige comportamiento profesional, juicio crítico, conocimiento técnico, capacidad de comunicación, experiencia, independencia, manejo de evidencias y aprendizaje continuo.

La evaluación del auditor tampoco puede quedarse en comprobar certificados. Debe ser un proceso planificado, documentado y basado en criterios claros, combinando distintos métodos para obtener una visión fiable del desempeño.

En definitiva, un sistema de gestión no mejora por recibir auditorías, sino por recibir auditorías bien realizadas que constituyan un elemento determinante de la mejora continua para la organización. Y eso empieza por contar con auditores competentes, evaluados y en desarrollo permanente. 

Por eso, la formación de auditores internos competentes es un aspecto no menor que la organización no puede dejar al garete. La alta dirección debe presupuestar los recursos suficientes para que sus auditores adquieran las competencias adecuadas para que el sistema, o los sistemas de gestión, aporten lo planificado a la organización misma y a las partes interesadas.

TOMADO DE: https://isbl.eu/

ISO 19011: 2026: PRINCIPIOS DE AUDITORÍA Y NUEVO ENFOQUE PARA AUDITAR SISTEMAS DE GESTIÓN

La publicación de la ISO 19011:2026, cuarta edición de la norma internacional sobre directrices para la auditoría de los sistemas de gestión, supone una actualización relevante para todas aquellas organizaciones que realizan auditorías internas, auditorías a proveedores, auditorías de segunda parte o auditorías vinculadas a requisitos legales, reglamentarios o contractuales.

Aunque la ISO 19011 no es una norma certificable, su importancia práctica es indiscutible: proporciona el marco de referencia para planificar, realizar y mejorar auditorías de sistemas de gestión, así como para evaluar la competencia de las personas que intervienen en el proceso auditor.

Esta nueva edición sustituye a la ISO 19011:2018 y ha sido revisada técnicamente. Entre los cambios principales, la propia norma destaca la ampliación de las orientaciones sobre métodos de auditoría remota, incorporando contenidos procedentes de la ISO/IEC TS 17012, y la ampliación del Anexo A para incluir directrices sobre auditorías remotas y ubicaciones virtuales.

Sin embargo, antes de abordar los métodos, los programas o la competencia de los auditores, conviene detenerse en la base de todo el modelo: los principios de auditoría.

Una norma para auditar sistemas de gestión en contextos cada vez más complejos

La ISO 19011:2026 parte de una realidad evidente: desde la edición de 2018 se han desarrollado normas de sistemas de gestión en nuevos ámbitos y muchas de ellas comparten estructura, requisitos comunes, términos y definiciones. Esto exige una visión más amplia y flexible de la auditoría de sistemas de gestión.

La norma no se limita a auditorías de calidad, medio ambiente o seguridad y salud en el trabajo. Puede aplicarse a auditorías frente a distintos criterios: requisitos de normas de sistemas de gestión, políticas internas, procesos, requisitos legales y reglamentarios, compromisos contractuales, planes de gestión o requisitos definidos por partes interesadas.

Este enfoque es importante porque desplaza la auditoría desde una lógica estrecha de “comprobar documentos” hacia una función más amplia: evaluar si el sistema de gestión es adecuado, eficaz y capaz de apoyar los objetivos de la organización.

La ISO 19011:2026 también recuerda que sus directrices son aplicables a organizaciones de cualquier tamaño y tipo, y a auditorías de distinto alcance, desde auditorías realizadas por grandes equipos hasta auditorías desarrolladas por un único auditor. La clave está en adaptar el método al alcance, complejidad y madurez del sistema auditado.

Qué entiende la ISO 19011:2026 por auditoría

La norma define la auditoría como un proceso sistemático, independiente y documentado para obtener evidencia objetiva y evaluarla objetivamente con el fin de determinar en qué medida se cumplen los criterios de auditoría.

Esta definición contiene varias ideas esenciales.

En primer lugar, la auditoría debe ser sistemática. No puede depender de la improvisación, de preguntas aisladas o de la intuición del auditor. Requiere planificación, método, criterios definidos y trazabilidad.

En segundo lugar, debe ser independiente. La independencia no siempre significa que el auditor sea externo, especialmente en auditorías internas, pero sí exige objetividad, ausencia de sesgos y control de posibles conflictos de interés.

En tercer lugar, debe estar documentada. Las conclusiones de auditoría deben poder explicarse y sostenerse mediante evidencias, registros, hallazgos y criterios.

Y, por último, debe basarse en evidencia objetiva. La auditoría no se construye sobre opiniones, percepciones o declaraciones no verificadas, sino sobre información que pueda contrastarse.

Los siete principios de auditoría en la ISO 19011:2026

La ISO 19011:2026 mantiene siete principios de auditoría. Estos principios son la base para que la auditoría sea una herramienta eficaz y fiable al servicio de la gestión, y para que diferentes auditores puedan llegar a conclusiones similares en circunstancias similares.

1. Integridad

La integridad es la base del profesionalismo auditor. Implica actuar con ética, honestidad y responsabilidad. También exige que las personas auditoras solo acepten actividades para las que sean competentes y que trabajen de forma imparcial.

Este principio tiene una consecuencia práctica clara: una auditoría pierde valor cuando el auditor actúa condicionado por intereses comerciales, presiones internas, relaciones personales o expectativas del cliente.

Auditar bien no significa buscar problemas artificialmente, pero tampoco suavizar conclusiones para evitar incomodidades. La integridad exige sostener lo que la evidencia demuestra.

2. Presentación imparcial

La presentación imparcial implica informar de forma veraz y exacta. Los hallazgos, conclusiones e informes de auditoría deben reflejar fielmente las actividades realizadas, los obstáculos encontrados y las posibles discrepancias no resueltas entre el equipo auditor y el auditado.

Este principio es especialmente relevante porque muchos informes de auditoría pierden utilidad por exceso de generalidad. Expresiones como “se recomienda mejorar”, “se observa cierta debilidad” o “convendría revisar” pueden resultar poco útiles si no están conectadas con criterios, evidencias y riesgos concretos.

La presentación imparcial exige claridad. Un informe debe permitir entender qué se ha auditado, qué se ha encontrado, en qué evidencia se basa y qué implicaciones tiene.

3. Debido cuidado profesional

El debido cuidado profesional exige aplicar diligencia y juicio en todas las situaciones de auditoría. No basta con seguir una lista de comprobación. El auditor debe ser capaz de interpretar el contexto, valorar la relevancia de la evidencia, identificar riesgos y emitir conclusiones razonadas.

Este principio es clave en la nueva forma de entender las auditorías. En sistemas de gestión cada vez más complejos, digitalizados y sometidos a cambios rápidos, el auditor necesita criterio profesional. La auditoría no puede reducirse a verificar si existe un procedimiento o si un registro está firmado.

La pregunta relevante es más exigente: ¿el sistema funciona, es adecuado y contribuye a los resultados previstos?

4. Confidencialidad

La confidencialidad se relaciona con la seguridad y privacidad de la información. La norma recuerda que la información obtenida durante la auditoría no debe utilizarse de forma inapropiada ni en perjuicio de los intereses legítimos del auditado.

Este principio adquiere todavía más importancia con las auditorías remotas, el intercambio digital de documentación, el acceso a plataformas, la revisión de bases de datos, el uso de grabaciones o la participación de equipos distribuidos.

En la práctica, la confidencialidad ya no puede entenderse solo como “no contar lo visto en la auditoría”. También exige proteger archivos, accesos, evidencias digitales, capturas, grabaciones, comunicaciones y registros generados durante el proceso auditor.

5. Independencia

La independencia es la base de la imparcialidad y de la objetividad de las conclusiones. La ISO 19011:2026 señala que los auditores deben ser independientes de la actividad auditada siempre que sea posible y actuar libres de sesgo y conflicto de interés.

En auditorías internas puede no ser posible una independencia plena, especialmente en organizaciones pequeñas. Pero la norma deja claro que, cuando no sea posible, deben hacerse todos los esfuerzos necesarios para eliminar sesgos y favorecer la objetividad.

Esto obliga a las organizaciones a revisar cómo diseñan sus auditorías internas. No debería auditar un proceso quien es responsable directo de su ejecución, ni deberían asignarse auditorías solo por disponibilidad, cercanía o conocimiento informal del área.

6. Enfoque basado en evidencias

La auditoría debe basarse en evidencias verificables. La norma recuerda que la evidencia se obtiene mediante muestras de la información disponible, porque una auditoría se realiza durante un tiempo limitado y con recursos finitos.

Este principio es fundamental para evitar uno de los errores más habituales: confundir evidencia con declaración.

Que una persona afirme que una actividad se realiza no es suficiente por sí solo. Puede ser una fuente de información, pero debe contrastarse, cuando sea posible, con registros, observaciones, datos, trazabilidad, indicadores, entrevistas adicionales o evidencias objetivas.

El enfoque basado en evidencias también obliga a manejar adecuadamente el muestreo. Una auditoría no revisa todo. Por eso, la selección de muestras debe ser coherente con los riesgos, el alcance, los procesos auditados y los objetivos de la auditoría.

7. Enfoque basado en riesgos

El enfoque basado en riesgos es uno de los elementos más importantes de la auditoría moderna. La ISO 19011:2026 indica que este enfoque debe influir de forma sustancial en la planificación e implementación del programa de auditoría, así como en la planificación, realización e informe de las auditorías.

Esto tiene una consecuencia directa: una auditoría no debería dedicar el mismo esfuerzo a todo. Debe centrarse en lo significativo.

Procesos con mayor riesgo inherente, bajo desempeño, cambios recientes, incidentes, quejas, incumplimientos previos o impacto relevante sobre los objetivos del sistema deberían recibir una atención prioritaria. Por el contrario, auditar mecánicamente todos los apartados con el mismo nivel de profundidad puede generar una falsa sensación de control.

El enfoque basado en riesgos no consiste en añadir una matriz al informe. Consiste en tomar mejores decisiones de auditoría: dónde mirar, con qué profundidad, qué evidencias solicitar, qué muestras seleccionar y qué conclusiones son realmente relevantes.

El nuevo enfoque: menos checklist y más juicio profesional

La ISO 19011:2026 no elimina la utilidad de listas de verificación, entrevistas o revisión documental. Pero sí refuerza una idea: la auditoría debe ser una herramienta para generar información fiable sobre el desempeño, la conformidad y la eficacia del sistema de gestión.

Esto supone superar una visión excesivamente formalista de la auditoría.

Una auditoría pobre se limita a preguntar si existe un procedimiento.

Una auditoría útil verifica si el procedimiento es adecuado, si se aplica, si genera resultados y si permite controlar los riesgos relevantes.

Una auditoría pobre revisa documentos aislados.

Una auditoría útil conecta evidencias, procesos, responsabilidades, indicadores, incidentes, objetivos y decisiones.

Una auditoría pobre busca cerrar una obligación anual.

Una auditoría útil ayuda a la organización a comprender mejor su sistema de gestión y a tomar decisiones de mejora.

Qué deberían revisar las organizaciones a partir de la ISO 19011:2026

La actualización de la norma invita a revisar cómo se están realizando las auditorías internas y externas de sistemas de gestión. Algunas preguntas prácticas pueden ayudar:

¿Los principios de auditoría están realmente integrados en la forma de auditar?

¿Los auditores tienen independencia suficiente respecto a las actividades auditadas?

¿Los informes reflejan con claridad evidencias, criterios y conclusiones?

¿Se priorizan los procesos más relevantes por riesgo, desempeño o impacto?

¿La auditoría aporta información útil para mejorar el sistema o solo cumple un requisito documental?

¿Se protege adecuadamente la información manejada durante la auditoría?

¿Las conclusiones podrían ser defendidas ante terceros con base en evidencias verificables?

Responder honestamente a estas preguntas puede mostrar si la organización está utilizando la auditoría como una herramienta de gestión o simplemente como un trámite periódico.

La ISO 19011:2026 refuerza una idea esencial: auditar sistemas de gestión exige método, competencia, independencia, evidencia y enfoque basado en riesgos.

Los principios de auditoría no son una introducción teórica de la norma. Son la base sobre la que se construye todo el proceso auditor. Sin integridad, imparcialidad, confidencialidad, independencia, evidencia verificable y atención a los riesgos relevantes, la auditoría pierde credibilidad y utilidad.

En un contexto en el que los sistemas de gestión son cada vez más amplios, integrados, digitales y sometidos a mayores exigencias, la auditoría debe evolucionar. La nueva ISO 19011:2026 apunta precisamente en esa dirección: auditorías menos mecánicas, más rigurosas y orientadas a generar confianza y mejora real.

TOMADO DE: https://isbl.eu/