Norma ISO 19011 (2018)

1 alcance

Este documento proporciona orientación sobre auditoría a sistemas de gestión, incluidos los principios de
auditoría, la gestión de un programa de auditoría y la realización de auditorías del sistema de gestión, así como
orientación sobre la evaluación de la competencia de las personas involucradas en el proceso de auditoría. Estas
actividades incluyen las personas que administran el programa de auditoría, los auditores y los equipos de
auditoría. Es aplicable a todas las organizaciones que necesitan planificar y llevar a cabo auditorías internas o
externas de los sistemas de gestión o administrar un programa de auditoría. La aplicación de este documento a
otros tipos de auditorías es posible, siempre que se otorgue una consideración especial a la competencia específica
necesaria.

2 referencias normativas

No hay referencias normativas en este documento

3 términos y definiciones

Para los fines de este documento, se aplican los términos y definiciones siguientes.

ISO e IEC mantienen bases de datos terminológicas para su utilización en normalización en las siguientes
direcciones:

- Plataforma de búsqueda en línea de ISO: disponible en https://www.iso.org/obp

- Electropedia de IEC: disponible en http://www.electropedia.org/

3.1 Auditoría

Proceso sistemático, independiente y documentado para obtener evidencias objetivas (3.8) y evaluarlas de manera
objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría (3.7)

Nota 1 a la entrada: Las auditorías internas, denominadas en algunos casos auditorías de primera parte, se realizan
por, o en nombre de la propia organización.

Nota 2 a la entrada: Las auditorías externas incluyen lo que se denomina generalmente auditorías de segunda y
tercera parte. Las auditorías de segunda parte se llevan a cabo por partes que tienen un interés en la organización,
tales como los clientes o por otras personas en su nombre. Las auditorías de tercera parte se llevan a cabo por
organizaciones auditoras independientes, tales como las que otorgan la certificación/registro de conformidad o
agencias gubernamentales.
 Norma ISO 19011 (2018)

3.2 Auditoría combinada

Auditoría (3.1) llevada a cabo conjuntamente a un único auditado (3.13) en dos o más sistemas de gestión (3.18)

Nota 1 a la entrada: Se conoce como sistema de gestión integrado cuando dos o más sistemas de gestión
específicos de una disciplina se integran en un único sistema de gestión.

3.3 Auditoría conjunta

Auditoría (3.1) llevada a cabo a un único auditado (3.13) por dos o más organizaciones auditoras

3.4 Programa de auditoría

Acuerdos para un conjunto de una o más auditorías (3.1) planificadas para un periodo de tiempo determinado y
dirigidas hacia un propósito específico

3.5 Alcance de la auditoría

Extensión y límites de una auditoría (3.1)

Nota 1 a la entrada: El alcance de la auditoría incluye generalmente una descripción de las ubicaciones físicas y
virtuales, las funciones, las unidades de la organización, las actividades y los procesos, así como el periodo de
tiempo cubierto.

Nota 2 a la entrada: Una ubicación virtual es un lugar donde la organización desempeña trabajo o presta un
servicio usando un entorno en línea que permite a las personas ejecutar procesos con independencia de su
ubicación física.

3.6 Plan de auditoría

Descripción de las actividades y de los detalles acordados de una auditoría (3.1)

3.7 Criterios de auditoría

Conjunto de requisitos (3.23) usados como referencia frente a la cual se compara la evidencia objetiva (3.8)

Nota 1 a la entrada: Si los criterios de auditoría son requisitos legales (incluyendo los reglamentarios), las
palabras “cumplimiento” o “no cumplimiento” se utilizan a menudo en los hallazgos de la auditoría (3.10).

Nota 2 a la entrada: Los requisitos pueden incluir políticas, procedimientos, instrucciones de trabajo, requisitos
legales, obligaciones contractuales, etc.

3.8 Evidencia objetiva

 Norma ISO 19011 (2018)

Datos que respaldan la existencia o veracidad de algo

Nota 1 a la entrada: La evidencia objetiva puede obtenerse por medio de la observación, medición, ensayo o por
otros medios.

Nota 2 a la entrada: La evidencia objetiva con fines de auditoría (3.1) generalmente se compone de registros,
declaraciones de hechos u otra información que son pertinentes para los criterios de auditoría (3.7) y verificables.

3.9 Evidencia de la auditoría

Registros, declaraciones de hechos o cualquier otra información que es pertinente para los criterios de auditoría
(3.7) y que es verificable

3.10 Hallazgos de la auditoría

Resultados de la evaluación de la evidencia de la auditoría (3.9) recopilada frente a los criterios de auditoría (3.7)

Nota 1 a la entrada: Los hallazgos de la auditoría indican conformidad (3.20) o no conformidad (3.21).

Nota 2 a la entrada: Los hallazgos de la auditoría pueden conducir a la identificación de riesgos, oportunidades
para la mejora o el registro de buenas prácticas.

Nota 3 a la entrada: En inglés, si los criterios de auditoría se seleccionan de entre los requisitos legales o los
requisitos reglamentarios, el hallazgo de la auditoría se denomina cumplimiento o no cumplimiento.

3.11 Conclusiones de la auditoría

Resultado de una auditoría (3.1), tras considerar los objetivos de la auditoría y todos los hallazgos de la auditoría
(3.10)

3.12 Cliente de la auditoría

Organización o persona que solicita una auditoría (3.1)

Nota 1 a la entrada: En el caso de una auditoría interna, el cliente de la auditoría también puede ser el auditado
(3.13) o las personas que gestionan el programa de auditoría. Las solicitudes de una auditoría externa pueden
provenir de fuentes como autoridades reglamentarias, partes contratantes o clientes existentes o potenciales.

3.13 Auditado

Organización que es auditada en su totalidad o partes

3.14 Equipo auditor

 Norma ISO 19011 (2018)

Una o más personas que llevan a cabo una auditoría (3.1) con el apoyo, si es necesario, de expertos técnicos
(3.16)

Nota 1 a la entrada: A un auditor (3.15) del equipo auditor (3.14) se le designa como auditor líder del mismo.
Nota 2 a la entrada: El equipo auditor puede incluir auditores en formación.

3.15 Auditor

Persona que lleva a cabo una auditoría (3.1)

3.16 Experto técnico

<auditoría> persona que aporta conocimientos o experiencia específicos al equipo auditor (3.14)

Nota 1 a la entrada: El conocimiento o pericia específicos se relacionan con la organización, la actividad, el

proceso, el producto, el servicio, la disciplina a auditar, o el idioma o la cultura.

Nota 2 a la entrada: Un experto técnico del equipo auditor (3.14) no actúa como un auditor (3.15).

3.17 Observador

Persona que acompaña al equipo auditor (3.14) pero no actúa como un auditor (3.15)

3.18 Sistema de gestión

Conjunto de elementos de una organización interrelacionados o que interactúan para establecer políticas,
objetivos y procesos (3.24) para lograr estos objetivos

Nota 1 a la entrada: Un sistema de gestión puede tratar una sola disciplina o varias disciplinas, por ejemplo,
gestión de la calidad, gestión financiera o gestión ambiental.

Nota 2 a la entrada: Los elementos del sistema de gestión establecen la estructura de la organización, los roles y
las responsabilidades, la planificación, la operación, las políticas, las prácticas, las reglas, las creencias, los
objetivos y los procesos para lograr esos objetivos.

Nota 3 a la entrada: El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones
específicas e identificadas de la organización, secciones específicas e identificadas de la organización, o una o
más funciones dentro de un grupo de organizaciones.

3.19 Riesgo

Efecto de la incertidumbre
 Norma ISO 19011 (2018)

Nota 1 a la entrada: Un efecto es una desviación de lo esperado, ya sea positivo o negativo.

Nota 2 a la entrada: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la
comprensión o conocimiento de un evento, su consecuencia o su probabilidad.

Nota 3 a la entrada: Con frecuencia el riesgo se caracteriza por referencia a eventos potenciales (según se define
en la Guía ISO 73:2009, 3.5.1.3) y consecuencias (según se define en la Guía ISO 73:2009, 3.6.1.3), o a una
combinación de éstos.

Nota 4 a la entrada: Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de
un evento (incluidos cambios en las circunstancias) y la probabilidad (según se define en la Guía ISO 73:2009,
3.6.1.1) asociada de que ocurra.

3.20 Conformidad

Cumplimiento de un requisito (3.23)

3.21 No Conformidad

Incumplimiento de un requisito (3.23)

3.22 Competencia

Capacidad para aplicar conocimientos y habilidades con el fin de lograr los resultados previstos

3.23 Requisito

Necesidad o expectativa establecida, generalmente implícita u obligatoria

Nota 1 a la entrada: “Generalmente implícita” significa que es habitual o práctica común para la organización y
las partes interesadas el que la necesidad o expectativa bajo consideración está implícita.

Nota 2 a la entrada: Un requisito especificado es aquel que está establecido, por ejemplo, en información
documentada.

3.24 Proceso

Conjunto de actividades mutuamente relacionadas que utilizan las entradas para proporcionar un resultado
previsto

3.25 Desempeño

Resultado medible
 Norma ISO 19011 (2018)

Nota 1 a la entrada: El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos.

Nota 2 a la entrada: El desempeño se puede relacionar con la gestión de actividades, procesos (3.24), productos,
servicios, sistemas u organizaciones.

3.26 Eficacia

Grado en el que se realizan las actividades planificadas y se logran los resultados planificados

4 principios de auditoría

La auditoría se caracteriza por la dependencia de una serie de principios. Estos principios deberían ayudar a que la
auditoría sea una herramienta efectiva y confiable en apoyo de las políticas y controles de gestión,
proporcionando información sobre la cual una organización puede actuar para mejorar su desempeño. El
cumplimiento de estos principios es un requisito previo para proporcionar conclusiones de auditoría que sean
relevantes y suficientes, y para permitir a los auditores, trabajando independientemente unos de otros, llegar a
conclusiones similares en circunstancias similares.

La orientación dada en las Cláusulas 5 a 7 se basa en los siete principios que se detallan a continuación.

a) Integridad: la base del profesionalismo

Los auditores y la (s) persona (s) que administran un programa de auditoría deberían:

- realizar su trabajo de forma ética, con honestidad y responsabilidad;

- solo realizar actividades de auditoría si es competente para hacerlo;

- realizar su trabajo de manera imparcial, es decir, seguir siendo justo e imparcial en todos sus tratos;

- ser sensible a cualquier influencia que pueda ejercer sobre su juicio mientras lleva a cabo una auditoría.

b) Presentación justa: la obligación de informar veraz y exactamente

Los hallazgos de la auditoría, las conclusiones de auditoría y los informes de auditoría deberían reflejar de
manera veraz y precisa las actividades de auditoría. Se deberían informar los obstáculos significativos
encontrados durante la auditoría y las opiniones divergentes no resueltas entre el equipo de auditoría y el
auditado. La comunicación debería ser veraz, precisa, objetiva, oportuna, clara y completa.

c) Debido cuidado profesional: la aplicación de la diligencia y el juicio en la auditoría

Los auditores deberían tener el debido cuidado de acuerdo con la importancia de la tarea que realizan y la
confianza depositada en ellos por el cliente de auditoría y otras partes interesadas. Un factor importante para
 Norma ISO 19011 (2018)

llevar a cabo su trabajo con la debida atención profesional es tener la capacidad de emitir juicios razonados en
todas las situaciones de auditoría.

d) Confidencialidad: seguridad de la información

Los auditores deberían ejercer discreción en el uso y la protección de la información adquirida en el

desempeño de sus funciones. La información de auditoría no debería ser utilizada de manera inapropiada para
beneficio personal por el auditor o el cliente de auditoría, o de una manera perjudicial para los intereses
legítimos del auditado. Este concepto incluye el manejo adecuado de información sensible o confidencial.

e) Independencia: la base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la

auditoría

Los auditores deberían ser independientes de la actividad auditada siempre que sea posible y, en todos los
casos, deberían actuar de forma tal que no estén sujetos a prejuicios ni a conflictos de intereses. Para las
auditorías internas, los auditores deberían ser independientes de la función que se está auditando, si es posible.
Los auditores deberían mantener la objetividad durante todo el proceso de auditoría para garantizar que los
hallazgos y conclusiones de la auditoría se basen solo en la evidencia de auditoría.

Para las organizaciones pequeñas, puede que los auditores internos no sean totalmente independientes de la
actividad que se audita, pero se deberían hacer todos los esfuerzos para eliminar el sesgo y alentar la objetividad.

f) Enfoque basado en la evidencia: el método racional para llegar a conclusiones de auditoría fiables y
reproducibles en un proceso de auditoría sistemático

La evidencia de auditoría debería ser verificable. En general, debería basarse en muestras de la información
disponible, ya que una auditoría se lleva a cabo durante un tiempo finito y con recursos limitados. Se debería
aplicar un uso apropiado del muestreo, ya que está estrechamente relacionado con la confianza que se puede
depositar en las conclusiones de la auditoría.

g) Enfoque basado en el riesgo: un enfoque de auditoría que considera riesgos y oportunidades

El enfoque basado en el riesgo debería influir sustancialmente en la planificación, conducción y presentación

de informes de las auditorías para garantizar que las auditorías se centren en asuntos que son importantes para
el cliente de auditoría y para lograr los objetivos del programa de auditoría.

5 Administrar un programa de auditoría

5.1 Generalidades
 Norma ISO 19011 (2018)

Se debería establecer un programa de auditoría que pueda incluir auditorías que aborden uno o más estándares del
sistema de gestión u otros requisitos, realizados por separado o en combinación (auditoría combinada).

El alcance de un programa de auditoría debería basarse en el tamaño y la naturaleza del auditado, así como en la
naturaleza, funcionalidad, complejidad, el tipo de riesgos y oportunidades, y el nivel de madurez de los sistemas
de gestión a ser auditados.

La funcionalidad del sistema de gestión puede ser aún más compleja cuando la mayoría de las funciones
importantes se subcontratan y gestionan bajo la dirección de otras organizaciones. Se debería prestar especial
atención a dónde se toman las decisiones más importantes y qué constituye la alta dirección del sistema de
gestión.

En el caso de ubicaciones/sitios múltiples (por ejemplo, diferentes países), o cuando las funciones importantes se
subcontratan y gestionan bajo el liderazgo de otra organización, se debería prestar especial atención al diseño, la
planificación y la validación del programa de auditoría.

En el caso de organizaciones más pequeñas o menos complejas, el programa de auditoría puede escalarse
adecuadamente.

Para comprender el contexto del auditado, el programa de auditoría debería, del auditado; tener en cuenta:

- objetivos organizacionales;

- cuestiones externas e internas relevantes;

- las necesidades y expectativas de las partes interesadas pertinentes;

- requisitos de confidencialidad y seguridad de la información.

El programa de auditoría debería incluir información e identificar recursos para permitir que las auditorías se
realicen de manera efectiva y eficiente dentro de los plazos especificados. La información debería incluir:

a) objetivos para el programa de auditoría;

b) riesgos y oportunidades asociados con el programa de auditoría (ver 5.3) y las acciones para abordarlos;

c) alcance (extensión, límites, ubicaciones) de cada auditoría dentro del programa de auditoría;

d) cronograma (número/duración/frecuencia) de las auditorías;

e) tipos de auditoría, como interna o externa;

f) criterios de auditoría;
 Norma ISO 19011 (2018)

g) métodos de auditoría a ser empleados;

h) criterios para seleccionar miembros del equipo de auditoría;

i) información documentada relevante.

Parte de esta información puede no estar disponible hasta que se complete una planificación de auditoría más
detallada.

La implementación del programa de auditoría debería ser monitoreada y medida en forma continua (ver 5.6) para
asegurar que se han logrado sus objetivos. El programa de auditoría debería ser revisado para identificar las
necesidades de cambios y posibles oportunidades de mejora (ver 5.7).

La Figura 1 ilustra el flujo del proceso para la gestión de un programa de auditoría.

5.2 Establecimiento de objetivos del programa de auditoría

El cliente de auditoría debería asegurarse de que los objetivos del programa de auditoría se establezcan para
dirigir la planificación y la realización de auditorías, y debería garantizar que el programa de auditoría se
implemente de manera efectiva. Los objetivos del programa de auditoría deberían ser coherentes con la
orientación estratégica y los objetivos y la política del sistema de gestión de soporte del cliente de auditoría

Estos objetivos pueden basarse en la consideración de lo siguiente:

a) las necesidades y expectativas de las partes interesadas pertinentes, tanto externas como internas;

b) características y requisitos de procesos, productos, servicios y proyectos, y cualquier cambio en ellos;

c) requisitos del sistema de gestión;

d) necesidad de evaluación de proveedores externos;

e) el nivel de rendimiento y el nivel de madurez del sistema o sistemas de gestión del auditado, como se refleja
en los indicadores de rendimiento relevantes (por ejemplo, KPI’s), la ocurrencia de no conformidades,
incidentes o quejas de las partes interesadas;

f) identificó riesgos y oportunidades para el auditado;

g) resultados de auditorías anteriores.

Los ejemplos de objetivos del programa de auditoría pueden incluir lo siguiente:

- identificar oportunidades para la mejora del sistema de gestión y su rendimiento;

 Norma ISO 19011 (2018)

- evaluar la capacidad del auditado para determinar su contexto;

- evaluar la capacidad del auditado para determinar riesgos y oportunidades e identificar e implementar
acciones efectivas para abordarlos;

- cumplir con todos los requisitos pertinentes, por ejemplo; requisitos legales y reglamentarios, compromisos
de cumplimiento, requisitos para la certificación de un estándar de sistema de gestión;

- obtener y mantener la confianza en la capacidad de un proveedor externo;

- determinar la idoneidad, adecuación y eficacia continuas del sistema de gestión del auditado;

- evaluar la compatibilidad y la alineación de los objetivos del sistema de gestión con la dirección estratégica
de la organización.

5.3 Determinación y evaluación de riesgos y oportunidades del programa de auditoría

Existen riesgos y oportunidades relacionados con el contexto del auditado que pueden asociarse con un programa
de auditoría y pueden afectar el logro de sus objetivos. Las personas que gestionan el programa de auditoría
deberían identificar y presentar al cliente de auditoría los riesgos y oportunidades consideradas al desarrollar el
programa de auditoría y los requisitos de recursos, para que puedan abordarse de manera adecuada.

Puede haber riesgos asociados con lo siguiente:

a) planificación, por ejemplo; no establecer los objetivos de auditoría relevantes y determinar el alcance, el
número, la duración, las ubicaciones y el cronograma de las auditorías;

b) recursos, por ejemplo; permitir tiempo, equipo y/o capacitación insuficientes para desarrollar el programa
de auditoría o realizar una auditoría;

c) selección del equipo de auditoría, por ejemplo; competencia global insuficiente para realizar auditorías de
manera efectiva;

d) comunicación, por ejemplo; procesos/canales de comunicación externos/internos ineficaces;

e) implementación, por ejemplo; coordinación ineficaz de las auditorías dentro del programa de auditoría, o no
considerar la seguridad y confidencialidad de la información;

f) control de la información documentada, por ejemplo; la determinación ineficaz de la información

documentada necesaria requerida por los auditores y las partes interesadas pertinentes; la falta de protección
adecuada de los registros de auditoría para demostrar la eficacia del programa de auditoría;
 Norma ISO 19011 (2018)

g) supervisar, revisar y mejorar el programa de auditoría, por ejemplo; seguimiento ineficaz de los resultados
del programa de auditoría;

h) disponibilidad y cooperación del auditado y disponibilidad de evidencia para ser muestreada. Las
oportunidades para mejorar el programa de auditoría pueden incluir:

- permitir múltiples auditorías en una sola visita;

- minimizar el tiempo y las distancias que viajan al sitio;

- hacer coincidir el nivel de competencia del equipo de auditoría con el nivel de competencia necesario
para alcanzar los objetivos de la auditoría;

- alinear las fechas de auditoría con la disponibilidad del personal clave del auditado.

5.4 Establecimiento del programa de auditoría

Roles y responsabilidades de las personas que gestionan el programa de auditoría

Las personas que gestionan el programa de auditoría deberían:

a) establecer la extensión del programa de auditoría de acuerdo con los objetivos relevantes (ver 5.2) y
cualquier restricción conocida;

b) determinar los problemas externos e internos, y los riesgos y oportunidades que pueden afectar el programa
de auditoría, e implementar acciones para abordarlos, integrando estas acciones en todas las actividades de
auditoría relevantes, según corresponda;

c) garantizar la selección de los equipos de auditoría y la competencia general para las actividades de auditoría
mediante la asignación de funciones, responsabilidades y autoridades, y el apoyo al liderazgo, según
corresponda;

d) establecer todos los procesos relevantes, incluidos los procesos para:

- la coordinación y programación de todas las auditorías dentro del programa de auditoría;

- el establecimiento de objetivos de auditoría, alcance (s) y criterios de las auditorías, determinación de

los métodos de auditoría y selección del equipo de auditoría;

- evaluación de auditores;

- el establecimiento de procesos de comunicación externa e interna, según corresponda;

 Norma ISO 19011 (2018)

- la resolución de disputas y el manejo de quejas;

- seguimiento de auditoría si corresponde;

- informar al cliente de auditoría y a las partes interesadas pertinentes, según corresponda. e) determinar y
garantizar la provisión de todos los recursos necesarios;

f) garantizar que se prepare y mantenga la información documentada apropiada, incluidos los registros del
programa de auditoría;

g) monitorear, revisar y mejorar el programa de auditoría;

h) comunicar el programa de auditoría al cliente de auditoría y, según corresponda, a las partes interesadas
pertinentes.

Las personas que gestionan el programa de auditoría deberían solicitar su aprobación al cliente de auditoría.

5.5 Implementación del programa de auditoría

Generalidades

Toda vez que se ha establecido el programa de auditoría (ver 5.4.3) y se han determinado los recursos
relacionados (ver 5.4.4), es necesario implementar la planificación operativa y la coordinación de todas las
actividades dentro del programa.

Las personas que gestionan el programa de auditoría deberían:

a) comunicar las partes pertinentes del programa de auditoría, incluidos los riesgos y oportunidades, a las
partes interesadas pertinentes e informarles periódicamente de su progreso, utilizando los canales de
comunicación externos e internos establecidos;

b) definir objetivos, alcance y criterios para cada auditoría individual;

c) seleccionar métodos de auditoría (ver A.1);

d) coordinar y programar auditorías y otras actividades relevantes para el programa de auditoría;

e) garantizar que los equipos de auditoría tengan la competencia necesaria (ver 5.5.4);

f) proporcionar los recursos individuales y globales necesarios a los equipos de auditoría (ver 5.4.4);

g) garantizar la realización de auditorías de acuerdo con el programa de auditoría, gestionando todos los
riesgos, oportunidades y problemas operativos (es decir, eventos inesperados), tal como surgen durante el
despliegue del programa;
 Norma ISO 19011 (2018)

h) garantizar que la información documentada relevante con respecto a las actividades de auditoría se gestiona
y mantiene de forma adecuada (ver 5.5.7);

i) definir e implementar los controles operativos (ver 5.6) necesarios para la supervisión del programa de
auditoría;

j) revisar el programa de auditoría para identificar oportunidades para su mejora (ver 5.7).

5.6 Seguimiento del programa de auditoría

Las personas que gestionan el programa de auditoría deberían garantizar la evaluación de:

a) sí se están cumpliendo los cronogramas y si se están logrando los objetivos del programa de auditoría;

b) el desempeño de los miembros del equipo de auditoría, incluido el líder del equipo de auditoría y los
expertos técnicos;

c) la capacidad de los equipos de auditoría para implementar el plan de auditoría;

d) retroalimentación de clientes de auditoría, auditados, auditores, expertos técnicos y otras partes relevantes;

e) suficiencia y adecuación de la información documentada en todo el proceso de auditoría. Algunos factores

pueden indicar la necesidad de modificar el programa de auditoría. Estos pueden incluir cambios en:

- resultados de la auditoría;

- nivel demostrado de efectividad y madurez del sistema de gestión del auditado;

- eficacia del programa de auditoría;

- alcance de la auditoría o alcance del programa de auditoría;

- el sistema de gestión del auditado;

- estándares y otros requisitos con los que la organización está comprometida;

- proveedores externos;

- identificó conflictos de interés;

- los requisitos del cliente de auditoría.

 Norma ISO 19011 (2018)

5.7 Revisión y mejora del programa de auditoría

Las personas que gestionan el programa de auditoría y el cliente de auditoría deberían revisar el programa de
auditoría para evaluar si se han alcanzado sus objetivos. Las lecciones aprendidas de la revisión del programa de
auditoría deberían usarse como insumos para la mejora del programa.

Las personas que gestionan el programa de auditoría deberían garantizar lo siguiente:

- revisión de la implementación general del programa de auditoría;

- identificación de áreas y oportunidades de mejora;

- aplicación de cambios al programa de auditoría si es necesario;

- revisión del desarrollo profesional continuo de los auditores, de acuerdo con 7.6;

- informe de los resultados del programa de auditoría y revisión con el cliente de auditoría y las partes
interesadas pertinentes, según corresponda.

La revisión del programa de auditoría debería considerar lo siguiente:

a) resultados y tendencias del seguimiento del programa de auditoría;

b) conformidad con los procesos del programa de auditoría e información documentada relevante;

c) la evolución de las necesidades y expectativas de las partes interesadas pertinentes;

d) registros del programa de auditoría;

e) métodos de auditoría alternativos o nuevos;

f) métodos alternativos o nuevos para evaluar a los auditores;

g) efectividad de las acciones para abordar los riesgos y oportunidades, y problemas internos y externos
asociados con el programa de auditoría;

h) cuestiones de confidencialidad y seguridad de la información relacionadas con el programa de auditoría.

6 Realización de una auditoría

6.1 Generalidades
 Norma ISO 19011 (2018)

Esta cláusula contiene orientación sobre cómo preparar y llevar a cabo una auditoría específica como parte de un
programa de auditoría. La Figura 2 proporciona una descripción general de las actividades realizadas en una
auditoría típica. El grado en que las disposiciones de esta cláusula son aplicables depende de los objetivos y el
alcance de la auditoría específica.

6.2 Iniciando la auditoría

Generalidades

La responsabilidad de llevar a cabo la auditoría debería permanecer con el líder del equipo de auditoría asignado
(ver 5.5.5) hasta que se complete la auditoría (ver 6.6).

Para iniciar una auditoría, deberían considerarse los pasos en la Figura 1; sin embargo, la secuencia puede variar
según el auditado, los procesos y las circunstancias específicas de la auditoría.

Establecer contacto con el auditado

El líder del equipo auditor debería asegurarse de que se establezca contacto con el auditado para:

a) confirmar los canales de comunicación con los representantes del auditado;

b) confirmar la autoridad para realizar la auditoría;

c) proporcionar información relevante sobre los objetivos, el alcance, los criterios, los métodos y la
composición del equipo de auditoría, incluidos los expertos técnicos;

d) solicitar acceso a información relevante para fines de planificación, incluida información sobre los riesgos y
oportunidades que la organización ha identificado y cómo se abordan;

e) determinar los requisitos legales y reglamentarios aplicables y otros requisitos relevantes para las
actividades, procesos, productos y servicios del auditado;

f) confirmar el acuerdo con el auditado sobre el alcance de la divulgación y el tratamiento de la información

confidencial;

g) hacer arreglos para la auditoría incluyendo el cronograma;

h) determinar los arreglos específicos de ubicación para el acceso, la salud y la seguridad, la confidencialidad u
otros;

i) acordar la asistencia de los observadores y la necesidad de guías o intérpretes para el equipo de auditoría;
 Norma ISO 19011 (2018)

j) determinar cualquier área de interés, preocupación o riesgo para el auditado en relación con la auditoría
específica;

k) resolver problemas relacionados con la composición del equipo de auditoría con el auditado o el cliente de
auditoría.

Determinación de la viabilidad de la auditoría

La viabilidad de la auditoría debería determinarse para proporcionar una confianza razonable de que se pueden
lograr los objetivos de la auditoría.

La determinación de la viabilidad debería tener en cuenta factores como la disponibilidad de lo siguiente:

a) información suficiente y apropiada para planificar y llevar a cabo la auditoría;

b) cooperación adecuada del auditado;

c) tiempo y recursos adecuados para realizar la auditoría.

6.3 Preparación de actividades de auditoría

Realizar revisión de información documentada

La información documentada del sistema de gestión relevante del auditado debería ser revisada para:

- recopilar información para comprender las operaciones del auditado y preparar las actividades de auditoría y
los documentos de trabajo de auditoría aplicables (ver 6.3.4), por ejemplo; en procesos y funciones;

- establecer una visión general del alcance de la información documentada para determinar la posible
conformidad con los criterios de auditoría y detectar posibles áreas de preocupación, como deficiencias,
omisiones o conflictos.

La información documentada debería incluir, pero no limitarse a: documentos y registros del sistema de gestión,
así como informes de auditoría anteriores. La revisión debería tener en cuenta el contexto de la organización del
auditado, incluidos su tamaño, naturaleza y complejidad, y sus riesgos y oportunidades relacionados. También
debería tener en cuenta el alcance, los criterios y los objetivos de la auditoría.

Planificación de auditoría

Enfoque basado en el riesgo para la planificación

El líder del equipo de auditoría debería adoptar un enfoque basado en el riesgo para planificar la auditoría con
base en la información del programa de auditoría y la información documentada proporcionada por el auditado.
 Norma ISO 19011 (2018)

La planificación de auditoría debería considerar los riesgos de las actividades de auditoría en los procesos del
auditado y proporcionar la base para el acuerdo entre el cliente de auditoría, el equipo de auditoría y el auditado
con respecto a la realización de la auditoría. La planificación debería facilitar la programación eficiente y la
coordinación de las actividades de auditoría para lograr los objetivos de manera efectiva.

6.4 Realización de actividades de auditoría

Generalidades

Las actividades de auditoría normalmente se llevan a cabo en una secuencia definida. Esta secuencia puede variar
para adaptarse a las circunstancias de las auditorías específicas.

Asignación de roles y responsabilidades de guías y observadores

Los guías y observadores pueden acompañar al equipo de auditoría con las aprobaciones del líder del equipo de
auditoría, el cliente de auditoría y/o el auditado, de ser necesario. No deberían influir ni interferir en la realización
de la auditoría. Si esto no puede garantizarse, el líder del equipo auditor debería tener el derecho de negar la
presencia de observadores durante ciertas actividades de auditoría.

Para los observadores, cualquier acuerdo de acceso, salud y seguridad, medio ambiente, seguridad y
confidencialidad debería ser administrado entre el cliente de auditoría y el auditado.

Las guías, designadas por el auditado, deberían ayudar al equipo de auditoría y actuar a solicitud del líder del
equipo de auditoría o del auditor al que se le asignó. Sus responsabilidades deberían incluir lo siguiente:

a) ayudar a los auditores a identificar a los individuos para que participen en las entrevistas y confirmen los
horarios y las ubicaciones;

b) organizar el acceso a ubicaciones específicas del auditado;

c) garantizar que los miembros del equipo de auditoría y los observadores conozcan y respeten las normas
relativas a los acuerdos específicos de localización para el acceso, la salud y la seguridad, el medio ambiente,
la seguridad, la confidencialidad y otros asuntos, y que se aborden los riesgos;

d) ser testigo de la auditoría en nombre del auditado, cuando corresponda;

e) proporcionar aclaraciones o ayudar a recopilar información, cuando sea necesario.

6.5 Preparación y distribución del informe de auditoría

Preparación del informe de auditoría

 Norma ISO 19011 (2018)

El líder del equipo auditor debería informar las conclusiones de la auditoría de acuerdo con el programa de
auditoría. El informe de auditoría debería proporcionar un registro completo, preciso, conciso y claro de la
auditoría, e incluir o hacer referencia a lo siguiente:

a) objetivos de auditoría;

b) alcance de la auditoría, particularmente identificación de la organización (el auditado) y las funciones o

procesos auditados;

c) identificación del cliente de auditoría;

d) identificación del equipo de auditoría y los participantes del auditado en la auditoría;

e) fechas y lugares donde se llevaron a cabo las actividades de auditoría;

f) criterios de auditoría;

g) hallazgos de auditoría y evidencia relacionada;

h) conclusiones de auditoría;

i) una declaración sobre el grado en que se han cumplido los criterios de auditoría;

j) cualquier opinión divergente no resuelta entre el equipo de auditoría y el auditado;

k) las auditorías por naturaleza son un ejercicio de muestreo; como tal, existe el riesgo de que la evidencia de
auditoría examinada no sea representativa.

El informe de auditoría también puede incluir o hacer referencia a lo siguiente, según corresponda:

- el plan de auditoría, incluido el cronograma;

- un resumen del proceso de auditoría, incluidos los obstáculos encontrados que pueden disminuir la fiabilidad
de las conclusiones de la auditoría;

- confirmación de que los objetivos de la auditoría se han logrado dentro del alcance de la auditoría de acuerdo
con el plan de auditoría;

Distribuir el informe de auditoría

El informe de auditoría debería emitirse dentro del tiempo acordado. Si se retrasa, los motivos deberían
comunicarse al auditado y a la (s) persona (s) que gestionan el programa de auditoría. El informe de auditoría
debería estar fechado, revisado y aceptado, según corresponda, de conformidad con el programa de auditoría. El
informe de auditoría debería distribuirse a las partes interesadas pertinentes definidas en el programa de auditoría
 Norma ISO 19011 (2018)

o el plan de auditoría. Al distribuir el informe de auditoría, se deberían considerar medidas apropiadas para
garantizar la confidencialidad.

6.6 Completar la auditoría

La auditoría se completa cuando se han llevado a cabo todas las actividades de auditoría planificadas, o según se
acuerde con el cliente de auditoría (por ejemplo, puede haber una situación inesperada que impida completar la
auditoría de acuerdo con el plan de auditoría).

La información documentada relativa a la auditoría debería conservarse o eliminarse por acuerdo entre las
personas participantes y de acuerdo con el programa de auditoría y los requisitos aplicables.

A menos que lo exija la ley, el equipo de auditoría y las personas que gestionan el programa de auditoría no
deberían divulgar ninguna información obtenida durante la auditoría, o el informe de auditoría, a ninguna otra
parte sin la aprobación explícita del cliente de auditoría y, cuando corresponda, la aprobación del auditado. Si se
requiere la divulgación del contenido de un documento de auditoría, el cliente de auditoría y el auditado deberían
ser informados lo más pronto posible.

6.7 Realización de seguimiento de auditoría

El resultado de la auditoría puede, dependiendo de los objetivos de la auditoría, indicar la necesidad de

correcciones o de acciones correctivas u oportunidades de mejora. Tales acciones generalmente son decididas y
llevadas a cabo por el auditado dentro de un plazo acordado. Según corresponda, el auditado debería mantener
informadas a las personas que gestionan el programa de auditoría y/o al equipo de auditoría sobre el estado de
estas acciones.

La finalización y efectividad de estas acciones debería ser verificada. Esta verificación puede ser parte de una
auditoría posterior. Los resultados se deberían informar a la persona que gestiona el programa de auditoría y se
informa al cliente de auditoría para su revisión por la dirección.

7 Competencia y evaluación de auditores

7.1 Generalidades

La confianza en el proceso de auditoría y la capacidad para lograr sus objetivos depende de la competencia de las
personas que participan en la realización de las auditorías, incluidos los auditores y el líder del equipo de
auditoría. La competencia debería evaluarse periódicamente a través de un proceso que considera el
comportamiento personal y la capacidad de aplicar el conocimiento y las habilidades adquiridas a través de la
educación, la experiencia laboral, la formación de auditores y la experiencia de auditoría. Este proceso debería
 Norma ISO 19011 (2018)

tomar en consideración las necesidades del programa de auditoría y sus objetivos. Algunos de los conocimientos y
habilidades descritos en 7.2.3 son comunes para los auditores de cualquier disciplina del sistema de gestión; otros
son específicos de las disciplinas del sistema de gestión individual. No es necesario que cada auditor en el equipo
de auditoría tenga la misma competencia. Sin embargo, la competencia general del equipo de auditoría debería ser
suficiente para lograr los objetivos de la auditoría.

La evaluación de la competencia del auditor debería planificarse, implementarse y documentarse para

proporcionar un resultado objetivo, consistente, justo y confiable. El proceso de evaluación debería incluir cuatro
pasos principales, de la siguiente manera:

a) determinar la competencia requerida para satisfacer las necesidades del programa de auditoría;

b) establecer los criterios de evaluación;

c) seleccione el método de evaluación apropiado;

d) realizar la evaluación.

El resultado del proceso de evaluación debería proporcionar una base para lo siguiente:

- selección de los miembros del equipo de auditoría (como se describe en 5.5.4);

- determinar la necesidad de una competencia mejorada (por ejemplo, capacitación adicional);

- evaluación continua del desempeño de los auditores

7.2 Determinación de la competencia del auditor

Generalidades

Al decidir la competencia necesaria para una auditoría, los conocimientos y habilidades de un auditor relacionado
con lo siguiente, debería ser considerado:

a) el tamaño, naturaleza, complejidad, productos, servicios y procesos de los auditados;

b) los métodos para auditar;

c) las disciplinas del sistema de gestión que se auditarán;

d) la complejidad y los procesos del sistema de gestión a auditar;

e) los tipos y niveles de riesgos y oportunidades abordados por el sistema de gestión;

 Norma ISO 19011 (2018)

f) los objetivos y el alcance del programa de auditoría;

g) la incertidumbre en el logro de los objetivos de la auditoría;

h) otros requisitos, como los impuestos por el cliente de auditoría u otras partes interesadas pertinentes, según
corresponda.

Comportamiento personal

Los auditores deberían poseer los atributos necesarios para que puedan actuar de acuerdo con los principios de
auditoría descritos en la Cláusula 4. Los auditores deberían exhibir un comportamiento profesional durante la
realización de las actividades de auditoría. Los comportamientos profesionales deseados incluyen ser:

a) ético, es decir, justo, veraz, sincero, honesto y discreto;

b) de mente abierta, es decir, dispuesto a considerar ideas o puntos de vista alternativos;

c) diplomático, es decir, discreto al tratar con individuos;

d) observador, es decir, observando activamente el entorno físico y las actividades;

e) perceptivo, es decir, consciente de y capaz de comprender situaciones;

f) versátil, es decir, capaz de adaptarse fácilmente a diferentes situaciones;

g) tenaz, es decir persistente y enfocado en alcanzar objetivos;

h) decisivo, es decir, capaz de llegar a conclusiones oportunas basadas en el razonamiento lógico y el análisis;

i) autosuficiente, es decir, capaz de actuar y funcionar independientemente mientras interactúa efectivamente

con otros;

j) capaz de actuar con fortaleza, es decir, capaz de actuar de manera responsable y ética, aunque estas acciones
no siempre sean populares y en ocasiones pueden dar lugar a desacuerdos o confrontaciones;

k) abierto a la mejora, es decir, dispuesto a aprender de las situaciones;

l) culturalmente sensible, es decir, atento y respetuoso con la cultura del auditado;

m) colaborador, es decir, interacción efectiva con otros, incluidos los miembros del equipo de auditoría y el
personal del auditado

Conocimiento y habilidades

Generalidades
 Norma ISO 19011 (2018)

Los auditores deberían poseer:

a) el conocimiento y las habilidades necesarias para lograr los resultados esperados de las auditorías que se
espera que realicen;

b) competencia genérica y un nivel de disciplina y conocimientos y habilidades específicos del sector.

El líder del equipo de auditoría debería tener los conocimientos y habilidades adicionales necesarios para
proporcionar liderazgo al equipo de auditoría.

Conocimientos genéricos y habilidades de los auditores del sistema de gestión

Los auditores deberían tener conocimiento y habilidades en las áreas que se detallan a continuación.

a) Principios, procesos y métodos de auditoría: el conocimiento y las habilidades en esta área le permiten al
auditor asegurar que las auditorías se realicen de manera consistente y sistemática.

Un auditor debería ser capaz de:

- comprender los tipos de riesgos y oportunidades asociados con la auditoría y los principios del enfoque
de auditoría basado en el riesgo;

- planificar y organizar el trabajo de manera efectiva;

- realizar la auditoría dentro del cronograma acordado;

- priorizar y enfocarse en asuntos importantes;

- comunicarse de manera efectiva, oralmente y por escrito (ya sea personalmente o mediante el uso de
intérpretes);

- recopilar información mediante entrevistas efectivas, escuchar, observar y revisar información

documentada, incluidos registros y datos;

b) Normas del sistema de gestión y otras referencias: el conocimiento y las habilidades en esta área le permiten
al auditor comprender el alcance de la auditoría y aplicar criterios de auditoría, y deberían cubrir lo siguiente:

- normas del sistema de gestión u otros documentos normativos u orientativos/de apoyo utilizados para
establecer criterios o métodos de auditoría;

- la aplicación de los estándares del sistema de gestión por el auditado y otras organizaciones;
 Norma ISO 19011 (2018)

- relaciones e interacciones entre los procesos del sistema de gestión;

- comprender la importancia y la prioridad de múltiples estándares o referencias;

- aplicación de estándares o referencias a diferentes situaciones de auditoría.

c) La organización y su contexto: el conocimiento y las habilidades en esta área le permiten al auditor

comprender la estructura, el propósito y las prácticas de gestión del auditado y debería cubrir lo siguiente:

- necesidades y expectativas de las partes interesadas relevantes que impactan en el sistema de gestión;

- tipo de organización, gobierno, tamaño, estructura, funciones y relaciones;

- conceptos generales de negocios y gestión, procesos y terminología relacionada, incluida la

planificación, presupuestación y gestión de personas;

- aspectos culturales y sociales del auditado.

d) Requisitos reglamentarios y legales aplicables y otros requisitos: el conocimiento y las habilidades en esta
área le permiten al auditor conocer y trabajar dentro de los requisitos de la organización. Los conocimientos y
habilidades específicos de la jurisdicción o de las actividades, procesos, productos y servicios del auditado
deberían cubrir lo siguiente:

- requisitos legales y reglamentarios, así como sus agencias de gobierno;

- terminología jurídica básica;

- contratación y responsabilidad.

Disciplina y competencia sectorial específica de los auditores

Los equipos de auditoría deberían tener la disciplina colectiva y la competencia específica del sector apropiada
para auditar los tipos particulares de sistemas y sectores de gestión.

La disciplina y la competencia de auditores específica del sector incluyen lo siguiente:

a) requisitos y principios del sistema de gestión, y su aplicación;

b) fundamentos de la (s) disciplina (s) y sector (es) relacionados con los estándares de los sistemas de gestión
aplicados por el auditado;

c) aplicación de disciplina y métodos, técnicas, procesos y prácticas específicos del sector para permitir que el
equipo de auditoría evalúe la conformidad dentro del alcance de auditoría definido y genere conclusiones y
conclusiones de auditoría apropiadas;
 Norma ISO 19011 (2018)

d) principios, métodos y técnicas relevantes para la disciplina y el sector, de modo que el auditor pueda
determinar y evaluar los riesgos y oportunidades asociados con los objetivos de la auditoría.

Competencia genérica del líder del equipo de auditoría

Con el fin de facilitar la realización eficiente y efectiva de la auditoría, un líder del equipo de auditoría debería
tener la competencia para:

a) planificar la auditoría y asignar tareas de auditoría de acuerdo con la competencia específica de los
miembros del equipo de auditoría individual;

b) discutir cuestiones estratégicas con la alta dirección del auditado para determinar si han considerado estos
problemas al evaluar sus riesgos y oportunidades;

c) desarrollar y mantener una relación de trabajo colaborativo entre los miembros del equipo de auditoría;

d) gestionar el proceso de auditoría, que incluye:

- hacer un uso efectivo de los recursos durante la auditoría;

- gestionar la incertidumbre de alcanzar los objetivos de auditoría;

- proteger la salud y la seguridad de los miembros del equipo de auditoría durante la auditoría, lo que
incluye garantizar el cumplimiento de los auditores con los acuerdos de seguridad y salud pertinentes;

e) representar al equipo de auditoría en las comunicaciones con las personas que gestionan el programa de
auditoría, el cliente de auditoría y el auditado;

f) llevar al equipo de auditoría a alcanzar las conclusiones de la auditoría;

g) preparar y completar el informe de auditoría.

7.3 Establecimiento de criterios de evaluación del auditor

Los criterios deberían ser cualitativos (como haber demostrado el comportamiento deseado, el conocimiento o el
desempeño de las habilidades, en la capacitación o en el lugar de trabajo) y cuantitativos (como los años de
experiencia laboral y educación, el número de auditorías realizadas, las horas de auditoría formación).

7.4 Selección del método de evaluación del auditor apropiado

La evaluación debería realizarse utilizando dos o más de los métodos que figuran en la Tabla 2. Al utilizar la
Tabla 2, se debería tener en cuenta lo siguiente:

a) los métodos descritos representan una gama de opciones y pueden no aplicarse en todas las situaciones;
 Norma ISO 19011 (2018)

b) los diversos métodos descritos pueden diferir en su fiabilidad;

c) se debería usar una combinación de métodos para garantizar un resultado objetivo, consistente, justo y
confiable.

7.5 Realización de la evaluación del auditor

La información recopilada sobre el auditor en evaluación debería compararse con los criterios establecidos en
7.2.3. Cuando un auditor bajo evaluación que se espera que participe en el programa de auditoría no cumple con
los criterios, se debería realizar una capacitación adicional, trabajo o experiencia de auditoría y se debería realizar
una reevaluación posterior.

7.6 Mantenimiento y mejora de la competencia del auditor

Los auditores y los líderes del equipo de auditoría deberían mejorar continuamente su competencia. Los auditores
deberían mantener su competencia de auditoría a través de la participación regular en las auditorías del sistema de
gestión y el desarrollo profesional continuo. Esto se puede lograr a través de medios tales como experiencia
laboral adicional, capacitación, estudio privado, entrenamiento, asistencia a reuniones, seminarios y conferencias
u otras actividades relevantes.

Las personas que gestionan el programa de auditoría deberían establecer mecanismos adecuados para la
evaluación continua del desempeño de los auditores y del líder del equipo de auditoría.

Las actividades de desarrollo profesional continuo deberían tener en cuenta lo siguiente:

a) cambios en las necesidades del individuo y la organización responsable de la realización de la auditoría;

b) desarrollos en la práctica de la auditoría, incluido el uso de la tecnología;

c) normas relevantes que incluyen orientación/documentos justificativos y otros requisitos;

d) cambios en el sector o disciplinas.