DIRECTRICES PARA LA

AUDITORÍA DE LOS
SISTEMAS DE GESTIÓN
ISO 19011:2011
1. Objeto y campo de aplicación
• Esta Norma Internacional proporciona orientación
sobre la auditoría de los sistemas de gestión,
incluyendo los principios de la auditoría, la gestión de
un programa de auditoría y la realización de
auditorías de sistemas de gestión, así como
orientación sobre la evaluación de la competencia de
los individuos que participan en el proceso de
auditoría, incluyendo a la persona que gestiona el
programa de auditoría, los auditores y los equipos
auditores.
• Es aplicable a todas las organizaciones que
necesitan realizar auditorías internas o externas
de sistemas de gestión, o gestionar un programa
de auditoría.
2.Referencias normativas

No se citan referencias normativas. Se incluye

este capítulo para conservar una numeración
de capítulos idéntica a la utilizada en otras
normas de sistemas de gestión ISO.
3. Términos y definiciones
Para el propósito de este documento, se
aplican los siguientes términos y
definiciones.

3.1 auditoría
proceso sistemático, independiente y
documentado para obtener evidencias de
la auditoría (3.3) y evaluarlas de manera
objetiva con el fin de determinar el grado en
que se cumplen los criterios de auditoría
(3.2).
3.2 criterios de auditoria
conjunto de políticas, procedimientos o
requisitos usados como referencia frente a
la cual se compara la evidencia de la
auditoría (3.3)

3.3 evidencia de la auditoría

registros, declaraciones de hechos o
cualquier otra información que es pertinente
para los criterios de auditoría (3.2) y que
es verificable
3.4 hallazgos de la auditoría
resultados de la evaluación de la evidencia de la
auditoría (3.3) recopilada frente a los criterios de
auditoría (3.2)
3.5 conclusiones de la auditoría
resultado de una auditoría (3.1), tras considerar los
objetivos de la auditoría y todos los hallazgos de la
auditoría (3.4)
3.6 cliente de la auditoría
organización o persona que solicita una auditoría (3.1)
3.7 auditado
organización que es auditada
3.8 auditor
persona que lleva a cabo una auditoría (3.1)
3.9 equipo auditor
uno o más auditores (3.8) que llevan a cabo
una auditoría (3.1), con el apoyo, si es
necesario, de expertos técnicos (3.10).
3.10 experto técnico
persona que aporta conocimientos o
experiencia específicos al equipo auditor (3.9)
3.11 observador
persona que acompaña al equipo auditor (3.9)
pero que no audita.
3.12 guía
persona designada por el auditado (3.7) para
asistir al equipo auditor (3.9)
3.13 programa de auditoría
detalles acordados para un conjunto de una
o más auditorías (3.1) planificadas para un
periodo de tiempo determinado y dirigidas
hacia un propósito específico
3.14 alcance de la auditoría
extensión y límites de una auditoría (3.1)
3.15 plan de auditoría
descripción de las actividades y de los
detalles acordados de una auditoría (3.1)
3.16 riesgo
efecto de la incertidumbre sobre los objetivos
3.17 competencia
capacidad para aplicar conocimientos y
habilidades para alcanzar los resultados
pretendidos
3.18 conformidad
cumplimiento de un requisito
3.19 no conformidad
incumplimiento de un requisito
3.20 sistema de gestión
sistema para establecer la política y los
objetivos y para lograr dichos objetivos
4. Principios de auditoría
• La auditoría se caracteriza por depender de
varios principios.
• Estos principios deberían ayudar a hacer de
la auditoría una herramienta eficaz y fiable
en apoyo de las políticas y controles de
gestión, proporcionando información sobre
la cual una organización puede actuar para
mejorar su desempeño.
• La orientación se basa en los seis principios
señalados a continuación.
a) Integridad: el fundamento de la profesionalidad
• Los auditores y las personas que gestionan un
programa de auditoría deberían:
─ desempeñar su trabajo con honestidad, diligencia y
responsabilidad;
─ observar y cumplir todos los requisitos legales
aplicables;
─ demostrar su competencia al desempeñar su
trabajo;
─ desempeñar su trabajo de manera imparcial, es
decir, permanecer ecuánime y sin sesgo en todas
sus acciones;
─ ser sensible a cualquier influencia que se pueda
ejercer sobre su juicio mientras lleva a cabo una
auditoría.
b) Presentación imparcial: la obligación de
informar con veracidad y exactitud
Los hallazgos, conclusiones e informes de
la auditoría deberían reflejar con veracidad y
exactitud las actividades de auditoría. Se
debería informar de los obstáculos
significativos encontrados durante la
auditoría y de las opiniones divergentes sin
resolver entre el equipo auditor y el
auditado. La comunicación debería ser
veraz, exacta, objetiva, oportuna, clara y
completa.
c) Debido cuidado profesional: la aplicación
de diligencia y juicio al auditar

Los auditores deberían proceder con el

debido cuidado, de acuerdo con la
importancia de la tarea que desempeñan y la
confianza depositada en ellos por el cliente
de la auditoría y por otras partes interesadas.
Un factor importante al realizar su trabajo con
el debido cuidado profesional es tener la
capacidad de hacer juicios razonados en
todas las situaciones de la auditoría.
d) Confidencialidad: seguridad de la
información
Los auditores deberían proceder con
discreción en el uso y la protección de la
información adquirida en el curso de sus
tareas. La información de la auditoría no
debería usarse inapropiadamente para
beneficio personal del auditor o del cliente
de la auditoría, o de modo que perjudique el
interés legítimo del auditado. Este concepto
incluye el tratamiento apropiado de la
información sensible o confidencial.
e) Independencia: la base para la imparcialidad
de la auditoría y la objetividad de las
conclusiones de la auditoría
Los auditores deberían ser independientes de la
actividad que se audita siempre que sea posible, y
en todos los casos deberían actuar de una manera
libre de sesgo y conflicto de intereses.
Para las auditorías internas, los auditores deberían
ser independientes de los responsables operativos
de la función que se audita. Los auditores
deberían mantener la objetividad a lo largo del
proceso de auditoría para asegurarse de que los
hallazgos y conclusiones de la auditoría estarán
basados sólo en la evidencia de la auditoría.
f) Enfoque basado en la evidencia: el método
racional para alcanzar conclusiones de la
auditoría fiables y reproducibles en un proceso
de auditoría sistemático
La evidencia de la auditoría debería ser verificable.
En general se basará en muestras de la
información disponible, ya que una auditoría se
lleva a cabo durante un periodo de tiempo
delimitado y con recursos finitos. Debería
aplicarse un uso apropiado del muestreo, ya que
está estrechamente relacionado con la confianza
que puede depositarse en las conclusiones de la
auditoría.
5 Gestión de un programa de auditoría
5.1 Generalidades
Una organización que necesita llevar a cabo
auditorías debería establecer un programa
de auditoría que contribuya a la
determinación de la eficacia del sistema de
gestión del auditado.
El programa de auditoría puede incluir
auditorías que tengan en consideración una
o más normas de sistemas de gestión,
llevadas a cabo de manera individual o
combinada.
• El programa de auditoría debería incluir la
información y los recursos necesarios para
organizar y llevar a cabo sus auditorías de
forma eficaz y eficiente dentro de los
periodos de tiempo especificados y también
puede incluir lo siguiente:
─ objetivos para el programa de auditoría y
para las auditorías individuales;
─ alcance/número/tipos/duración/ubicaciones/
calendario de las auditorías;
─ procedimientos del programa de auditoría;
─ criterios de auditoría;
─ métodos de auditoría;
─ selección de equipos auditores;
─ recursos necesarios, incluyendo viajes y
alojamiento;
─ procesos para tratar la confidencialidad, la
seguridad de la información, la salud y la
seguridad y otros asuntos similares.
• La implementación del programa de
auditoría debería seguirse y medirse para
asegurarse de que se han alcanzado sus
objetivos. El programa de auditoría debería
revisarse para identificar posibles mejoras.
5.2 Establecimiento de los objetivos del
programa de auditoría
• Los objetivos del programa de auditoría
deberían ser coherentes y servir de apoyo a la
política y los objetivos del sistema de gestión.
• Estos objetivos pueden considerar lo siguiente:
a) prioridades de la dirección;
b) propósitos comerciales y de negocio;
c) características de procesos, productos y
proyectos, y cualquier cambio en ellos;
d) requisitos del sistema de gestión;
e) requisitos legales y contractuales y otros
requisitos con los que la organización está
comprometida;
f) necesidad de evaluar a los proveedores;
g) necesidades y expectativas de partes
interesadas, incluyendo los clientes;
h) nivel de desempeño del auditado, como se
refleja en la ocurrencia de fallos o incidentes o
en quejas de clientes;
i) riesgos para el auditado;
j) resultados de auditorías previas;
k) nivel de madurez del sistema de gestión que se
audita.
• Ejemplos de objetivos de un programa de auditoría
incluyen los siguientes:
─ contribuir a la mejora del sistema de gestión y a su
desempeño;
─ cumplir los requisitos externos, por ejemplo, la
certificación con una norma de sistemas de gestión;
─ verificar la conformidad con los requisitos
establecidos;
─ obtener y mantener la confianza en la capacidad de
un proveedor;
─ determinar la eficacia del sistema de gestión;
─ evaluar la compatibilidad y la alineación de los
objetivos del sistema de gestión con la política del
sistema de gestión y los objetivos globales de la
organización.
5.3 Establecimiento del programa de auditoría
5.3.1 Funciones y responsabilidades de la
persona responsable de la gestión del
programa de auditoría

• La persona responsable de la gestión del

programa de auditoría debería:
─ establecer el alcance del programa de auditoría;
─ identificar y evaluar los riesgos para el programa
de auditoría;
─ establecer las responsabilidades de la auditoría;
─ establecer procedimientos para los programas
de auditoría;
─ determinar los recursos necesarios;
─ asegurarse de la implementación del programa de
auditoría, incluyendo el establecimiento de los
objetivos, el alcance y los criterios de auditoría de
las auditorías individuales, la determinación de los
métodos de auditoría y la selección del equipo
auditor y la evaluación de los auditores;
─ asegurarse de que se gestionan y mantienen los
registros apropiados del programa de auditoría;
─ seguimiento, revisión y mejora del programa de
auditoría.
• La persona responsable de la gestión del
programa de auditoría debería informar a la alta
dirección de los contenidos del programa de
auditoría y, cuando sea necesario, solicitar su
aprobación.
5.3.2 Competencia de la persona responsable de
la gestión del programa de auditoría
• La persona responsable de la gestión del programa
de auditoría debería tener la competencia necesaria
para gestionar el programa y sus riesgos asociados
de forma eficaz y eficiente, así como conocimientos
y habilidades en las siguientes áreas:
— principios, procedimientos y métodos de auditoría;
— normas de sistemas de gestión y documentos de
referencia;
— actividades, productos y procesos del auditado;
— requisitos legales y otros requisitos aplicables
pertinentes para las actividades y productos del
auditado;
— clientes, proveedores y otras partes
interesadas del auditado, cuando sea
aplicable.
• La persona responsable de la gestión del
programa de auditoría debería participar en
las actividades de desarrollo profesional
continuo, apropiadas para mantener los
conocimientos y las habilidades necesarios
para gestionar el programa de auditoría.
5.3.3 Determinación del alcance del
programa de auditoría
• La persona responsable de la gestión del
programa de auditoría debería determinar el
alcance del programa de auditoría, que
puede variar dependiendo del tamaño y la
naturaleza del auditado, así como de la
naturaleza, funcionalidad, complejidad y el
nivel de madurez del sistema de gestión que
se va a auditar, y de asuntos de importancia
para el mismo.