Norma ISO 19011:2026

ISO 19011:2026 — Guía completa sobre directrices para la auditoría de sistemas de gestión

La ISO 19011:2018 es la norma internacional de referencia para planificar, ejecutar y gestionar auditorías de sistemas de gestión. A diferencia de otros estándares ISO, no establece requisitos certificables, sino directrices y buenas prácticas que orientan a auditores, responsables de sistemas y organizaciones en la realización de auditorías eficaces, objetivas y basadas en evidencia. La norma se encuentra actualmente en fase FDIS (Final Draft International Standard), con publicación oficial prevista para 2026, lo que la convierte en uno de los estándares ISO más relevantes a seguir este año para cualquier profesional o equipo auditor.

Desarrollada por el Comité de Proyecto ISO/PC 302, esta tercera edición actualiza la versión de 2011 para responder a los cambios del entorno empresarial: la proliferación de normas de sistemas de gestión, la evolución tecnológica, la irrupción de las auditorías virtuales y la necesidad de un enfoque basado en riesgos que centre la auditoría en lo que realmente importa para la organización.

Su aplicación es transversal: sirve tanto para auditar sistemas de calidad (ISO 9001), medioambiente (ISO 14001), seguridad y salud (ISO 45001), seguridad de la información (ISO 27001) o energía (ISO 50001), como para gestionar programas de auditoría integrados que cubran varios sistemas simultáneamente. Esto la convierte en el estándar de referencia para cualquier profesional o equipo que quiera auditar con rigor, coherencia y valor real para la organización.

ISO 19011:2026 — Qué cambia respecto a la versión de 2018

La revisión de 2026 no reinventa la norma. Mantiene la misma estructura de capítulos, los siete principios de auditoría y el modelo de competencias. Lo que hace es modernizarla en profundidad para reflejar cómo han cambiado las auditorías desde 2018: el impacto de la pandemia en los métodos de trabajo, la normalización de la auditoría remota, la irrupción de herramientas digitales y la creciente necesidad de integrar riesgos climáticos y de sostenibilidad en la planificación del programa.

Para organizaciones y auditores ya alineados con la versión 2018, la transición será evolutiva, no disruptiva. El trabajo principal consistirá en actualizar procedimientos, plantillas y criterios de competencia para cubrir explícitamente los nuevos énfasis.

Auditoría remota e híbrida: de anexo a eje central

La versión 2018 introdujo la auditoría remota como Anexo A, de forma complementaria. La versión 2026 la integra como una modalidad plenamente reconocida a lo largo de todo el cuerpo normativo, no solo en un anexo. La revisión incluye orientación práctica sobre selección de tecnología, gestión de la seguridad de los datos en entornos remotos, verificación de evidencias digitales y planificación de contingencias cuando la tecnología falla. La auditoría híbrida —parte presencial, parte remota— recibe también tratamiento explícito como modalidad estándar.

Competencias digitales y TIC como requisito de los auditores

La versión 2026 añade de forma explícita las habilidades en tecnologías de la información y comunicación (TIC) al modelo de competencias del auditor. Esto incluye el uso de plataformas digitales de auditoría, la gestión de evidencias en formatos electrónicos, la realización de entrevistas remotas y la evaluación de los riesgos asociados al uso de herramientas digitales en el proceso auditor. El desarrollo profesional continuo en estas áreas pasa a ser un elemento específicamente recomendado.

Riesgos climáticos y sostenibilidad en la planificación del programa

La integración del cambio climático y los factores de sostenibilidad en la auditoría es uno de los añadidos más significativos. La versión 2026 orienta sobre cómo incorporar los riesgos y oportunidades relacionados con el clima en la planificación del programa de auditoría, en la definición del alcance y en la evaluación del contexto del auditado. Esto es especialmente relevante para auditorías de sistemas como ISO 14001, ISO 50001 o los sistemas integrados con componente ESG.

Mayor alineación con ISO/IEC TS 17012 y normas sectoriales

La introducción de la versión 2026 posiciona explícitamente la ISO 19011 junto a la ISO/IEC TS 17012:2024, que cubre los requisitos para la auditoría de segunda parte. El Anexo A actualizado referencia además las normas sectoriales específicas para la auditoría de cada tipo de sistema —como ISO/IEC 27007 para sistemas de seguridad de la información— reforzando la idea de que la ISO 19011 define la competencia auditora genérica mientras las normas sectoriales cubren las especificidades disciplinares.

Actualización de la terminología y referencias cruzadas

La revisión actualiza los términos y definiciones para alinearlos con la evolución de las normas de sistemas de gestión publicadas desde 2018 —incluyendo ISO 9001:2026 e ISO 14001:2026— y refuerza la coherencia de la terminología de auditoría a lo largo de todo el documento.

Quiero que un consultor experto me contacte

Qué es la ISO 19011 y para qué sirve

La ISO 19011:2018 proporciona el marco metodológico para realizar auditorías de sistemas de gestión de forma sistemática, independiente y documentada. Su utilidad no se limita a «hacer auditorías»; actúa como una guía estructurada que conecta los principios éticos de la auditoría, la gestión del programa, la ejecución sobre el terreno y la competencia del equipo auditor bajo un enfoque coherente y aplicable a cualquier tipo de organización.

A diferencia de las normas de sistemas de gestión —que definen qué debe tener una organización—, la ISO 19011 define cómo debe verificarse que ese sistema funciona realmente. Es, en ese sentido, la norma que da credibilidad a todas las demás.

Beneficios para las organizaciones y los auditores

  • Garantizar la objetividad e imparcialidad de las auditorías internas y externas.
  • Estructurar el programa de auditoría con criterios basados en riesgos y prioridades organizativas.
  • Mejorar la eficacia de las auditorías reduciendo el tiempo y el esfuerzo sin perder rigor.
  • Integrar la auditoría de varios sistemas en una sola actuación, optimizando recursos y minimizando el impacto en la operación.
  • Desarrollar las competencias del equipo auditor con criterios homogéneos y verificables.
  • Generar evidencia útil para la toma de decisiones, no solo para el cumplimiento.
  • Estandarizar la respuesta ante hallazgos, con procesos claros de comunicación y seguimiento.
  • Adaptarse a entornos híbridos, incorporando metodologías de auditoría remota y virtual.

Los 7 principios de auditoría de la ISO 19011

Los principios son el fundamento ético y metodológico de toda auditoría conforme a ISO 19011. No son pasos a seguir, sino valores que deben guiar el comportamiento del auditor y la calidad del proceso en su conjunto. La versión 2018 incorporó el enfoque basado en riesgos como séptimo principio, reforzando la idea de que una auditoría eficaz no puede tratar todo por igual.

1. Integridad

El fundamento de la profesionalidad. Los auditores deben realizar su trabajo con honestidad, diligencia y responsabilidad, respetando las leyes aplicables y evitando cualquier conflicto de interés que comprometa la objetividad del proceso.

2. Presentación imparcial

La obligación de reportar con veracidad y precisión. Los hallazgos, conclusiones e informes deben reflejar fielmente las evidencias obtenidas, sin omisiones, exageraciones ni sesgos. La presentación imparcial incluye también informar sobre los obstáculos encontrados durante la auditoría.

3. Debido cuidado profesional

Los auditores deben aplicar el juicio necesario en cada situación, proporcional a la importancia de la tarea y la confianza depositada. Esto implica actuar con diligencia, pensamiento crítico y habilidad para identificar situaciones que merecen mayor atención.

4. Confidencialidad

La información obtenida durante la auditoría es confidencial y debe usarse exclusivamente para los fines del proceso. Los auditores deben proteger la información de la organización auditada y no divulgarla sin autorización, salvo obligación legal.

5. Independencia

La base de la imparcialidad y la objetividad de las conclusiones. Los auditores deben ser independientes de la actividad auditada, libre de sesgos y conflictos de interés. En auditorías internas, la independencia se garantiza mediante la separación funcional entre el auditor y el área auditada.

6. Enfoque basado en evidencia

Las conclusiones de una auditoría deben estar sustentadas en evidencia objetiva, verificable y reproducible. No en percepciones, suposiciones ni declaraciones sin respaldo documental u operativo. Este principio es lo que diferencia una auditoría rigurosa de una revisión superficial.

7. Enfoque basado en riesgos (nuevo en 2018)

Las decisiones sobre planificación, métodos, frecuencia y profundidad de las auditorías deben estar influenciadas por los riesgos y oportunidades de la organización. Esto garantiza que el esfuerzo auditor se concentre donde el impacto es mayor, haciendo la auditoría más estratégica y menos mecánica.

Quiero que un consultor experto me contacte

Gestión del programa de auditoría

El programa de auditoría es el conjunto planificado de auditorías que una organización decide llevar a cabo en un periodo determinado. Su gestión es uno de los elementos más desarrollados en la ISO 19011:2018, porque de él depende que la auditoría aporte valor real y no se convierta en un ejercicio burocrático repetitivo.

Establecimiento de los objetivos del programa

Los objetivos del programa deben alinearse con la estrategia de la organización, los requisitos de las normas aplicables y las prioridades identificadas en el análisis de riesgos. Pueden incluir verificar el cumplimiento de requisitos, evaluar la eficacia de los sistemas, identificar oportunidades de mejora o apoyar procesos de certificación.

Determinación del alcance y la extensión

El alcance define qué sistemas, procesos, ubicaciones y periodos cubre el programa. La extensión —la cantidad y duración de las auditorías— debe basarse en el riesgo asociado a cada área: procesos más críticos o con historial de no conformidades merecen mayor atención que áreas estables y de bajo impacto.

Selección de métodos de auditoría

La ISO 19011:2018 reconoce que las auditorías pueden realizarse mediante distintos métodos o combinaciones de ellos:

  • Auditorías presenciales: interacción directa con el auditado, observación in situ, revisión de instalaciones y evidencias físicas.
  • Auditorías remotas: mediante videoconferencia, acceso a sistemas de información o revisión documental digital. La versión 2018 amplió significativamente la orientación sobre esta modalidad.
  • Auditorías combinadas: presencial y remota de forma integrada, especialmente útiles en organizaciones con múltiples sedes o equipos distribuidos.

Gestión de riesgos del programa

Un programa de auditoría enfrenta sus propios riesgos: disponibilidad del equipo auditor, acceso a la información, competencia insuficiente para cubrir determinadas disciplinas o cambios organizativos que afecten al alcance. La norma exige identificar y gestionar estos riesgos para garantizar que el programa se ejecuta según lo planificado.

Seguimiento, revisión y mejora del programa

Al cierre de cada ciclo, la organización debe evaluar si el programa ha cumplido sus objetivos, si los métodos han sido adecuados y qué mejoras deben incorporarse. Esta revisión alimenta el siguiente ciclo de planificación, convirtiendo la gestión del programa en un proceso de mejora continua en sí mismo.

Realización de la auditoría: fases y actividades clave

La auditoría individual sigue un proceso estructurado que la ISO 19011 detalla en seis fases. Cada una tiene actividades específicas, responsables definidos y salidas concretas que alimentan la siguiente fase.

Fase 1 — Inicio de la auditoría

Se designa al líder del equipo auditor, se confirma la viabilidad de la auditoría y se establece el contacto inicial con el auditado. En esta fase se acuerda el acceso a la información, la logística y los recursos necesarios para ejecutar la auditoría según lo planificado.

Fase 2 — Preparación de las actividades de auditoría

El equipo auditor revisa la documentación relevante del sistema de gestión, elabora el plan de auditoría detallado y prepara los documentos de trabajo: listas de verificación, guías de entrevista y formularios de registro de evidencias. La calidad de esta preparación determina en gran medida la eficacia de la ejecución.

Fase 3 — Realización de las actividades de auditoría

Es la fase de ejecución sobre el terreno. Comienza con la reunión de apertura, donde se confirman los objetivos, el alcance y el método de trabajo con el auditado. A continuación, el equipo recopila y verifica evidencias mediante entrevistas, observación directa, revisión de documentos y registros, y muestreo de datos. Los hallazgos —tanto conformidades como no conformidades— se registran de forma sistemática y se basan exclusivamente en evidencia objetiva.

Fase 4 — Preparación y distribución del informe de auditoría

Los hallazgos se consolidan, se clasifican y se presentan al equipo auditado en la reunión de cierre, donde se exponen las conclusiones y se resuelven discrepancias sobre los hallazgos. Seguidamente, se elabora el informe de auditoría, que debe incluir los objetivos, el alcance, los criterios, el resumen del proceso, los hallazgos y las conclusiones del equipo auditor.

Fase 5 — Finalización de la auditoría

La auditoría se considera finalizada cuando el informe ha sido aprobado, distribuido a los destinatarios previstos y conservado conforme a los requisitos del programa. Los registros de la auditoría deben gestionarse con criterios de confidencialidad y conservarse durante el tiempo estipulado.

Fase 6 — Seguimiento de la auditoría

Una auditoría no termina con el informe. La organización auditada debe implementar las acciones correctivas derivadas de los hallazgos y el equipo auditor, o el responsable del programa, debe verificar su cierre y eficacia. Este seguimiento cierra el ciclo y asegura que la auditoría genera mejora real.

Quiero que un consultor experto me contacte

Tipos de auditoría según la ISO 19011

La norma distingue tres tipos de auditoría según quién las realiza y con qué propósito:

Auditorías de primera parte (internas)

Realizadas por la propia organización o en su nombre. Su objetivo es verificar el desempeño y la conformidad del sistema de gestión con los requisitos de la norma aplicable, la política interna y los objetivos establecidos. Son un requisito explícito en normas como ISO 9001, ISO 14001, ISO 45001 o ISO 50001, y sus resultados deben ser revisados por la dirección. Cuando se ejecutan bien, son la fuente más valiosa de información para la mejora del sistema.

Auditorías de segunda parte (externas a proveedores)

Las realizan clientes, compradores u otras partes interesadas sobre sus proveedores o socios. Su objetivo es evaluar si el proveedor cumple con los requisitos acordados contractualmente o con los estándares que la organización compradora exige en su cadena de suministro. Son especialmente relevantes en sectores con requisitos estrictos de homologación de proveedores.

Auditorías de tercera parte (certificación)

Las llevan a cabo organismos de certificación acreditados e independientes. Su resultado puede ser la emisión, el mantenimiento o la retirada de un certificado de conformidad con una norma ISO. Aunque la ISO 19011 no regula específicamente las auditorías de certificación —que tienen su propio marco en la ISO/IEC 17021—, sus principios y metodología son aplicables y complementarios.

Auditorías combinadas e integradas

La ISO 19011:2018 dedica atención específica a las auditorías combinadas —que auditan simultáneamente varios sistemas de gestión de una misma organización— y a las auditorías conjuntas, realizadas por dos o más organismos auditores de forma coordinada. Estas modalidades son especialmente eficientes para organizaciones con sistemas integrados, ya que reducen el tiempo de auditoría, minimizan la interferencia en la operación y generan una visión más completa del desempeño global.

 

Competencia y evaluación de los auditores

La competencia del equipo auditor es uno de los factores que más influye en la calidad y el valor de una auditoría. La ISO 19011 dedica un capítulo completo a este tema, estableciendo los atributos, conocimientos, habilidades y métodos de evaluación que deben considerarse.

Atributos personales del auditor

Más allá de los conocimientos técnicos, la norma identifica un conjunto de cualidades personales que determinan la eficacia del auditor en la práctica: pensamiento analítico, adaptabilidad, capacidad de observación, persistencia, apertura a puntos de vista distintos, sensibilidad intercultural y habilidades de comunicación tanto verbal como escrita.

Conocimientos y habilidades necesarios

Un auditor competente debe dominar los principios, procedimientos y técnicas de auditoría, así como los sistemas de gestión aplicables al alcance de su trabajo. Adicionalmente, necesita conocimiento del contexto organizativo del auditado: sector, procesos, cadena de valor, requisitos legales y partes interesadas relevantes.

Competencias específicas por disciplina

A diferencia de la versión 2011, la ISO 19011:2018 eliminó el anexo con los requisitos de competencia específicos por disciplina, dado el creciente número de normas de sistemas de gestión que haría imposible mantenerlo actualizado. En su lugar, la norma orienta sobre cómo determinar las competencias necesarias para cada auditoría concreta, en función del alcance, los criterios y la complejidad del sistema auditado.

Métodos de evaluación de los auditores

La norma proporciona una guía detallada sobre cómo evaluar a los auditores mediante distintos métodos: revisión de registros de formación y experiencia, retroalimentación de auditorías anteriores, evaluación del desempeño in situ, entrevistas y pruebas escritas. La evaluación debe ser proporcional al nivel de responsabilidad del auditor y documentarse para soportar decisiones de selección del equipo.

Mantenimiento y desarrollo de la competencia

La competencia no es estática. Los auditores deben mantenerse actualizados frente a la evolución de las normas, las tecnologías de auditoría —incluyendo herramientas digitales y auditoría remota— y los cambios en los sectores que auditan. La participación regular en auditorías, la formación continua y la autoevaluación son los mecanismos que la norma recomienda para garantizar que la competencia se mantiene a lo largo del tiempo.

Auditorías virtuales y remotas: el Anexo A de la ISO 19011

En la versión 2018, la auditoría remota se trataba en el Anexo A como una modalidad complementaria. La versión 2026 da un paso más: integra la auditoría remota e híbrida en el cuerpo principal de la norma, normalizando su uso y ampliando la orientación sobre condiciones, tecnología, seguridad de datos y gestión de riesgos específicos de esta modalidad.

El Anexo A instruye sobre cuándo es apropiada la auditoría remota, qué condiciones deben darse para garantizar su eficacia —conectividad, acceso a la información, confidencialidad— y cómo gestionar los riesgos específicos de esta modalidad, como la dificultad para observar directamente procesos físicos o la dependencia de la infraestructura tecnológica del auditado.

Las auditorías remotas no sustituyen completamente a las presenciales en todos los casos, pero sí son una herramienta válida y reconocida por la norma para complementarlas, reducir costes y aumentar la frecuencia de las verificaciones sin incrementar el impacto en la operación.

ISO 19011 y su relación con otras normas

La ISO 19011 es una norma transversal, diseñada para aplicarse en combinación con cualquier estándar de sistema de gestión. Entender cómo se relaciona con las principales normas ISO ayuda a aprovechar mejor su potencial.

Con ISO 9001, ISO 14001, ISO 45001 y ISO 50001, la ISO 19011 proporciona la metodología para ejecutar las auditorías internas que estas normas exigen como requisito. Sin una guía metodológica sólida, las auditorías internas tienden a ser superficiales, sesgadas o inconsistentes entre ciclos.

Con ISO/IEC 17021, que regula los requisitos para los organismos de certificación, la ISO 19011 es complementaria: mientras la 17021 define los requisitos del organismo certificador, la 19011 orienta sobre la metodología de auditoría aplicable tanto en certificación como en auditorías internas y de segunda parte.

Con la Estructura Armonizada (EA), la ISO 19011 facilita la realización de auditorías combinadas sobre sistemas que comparten la misma estructura de capítulos, permitiendo verificar varios sistemas en una sola actuación con un equipo auditor integrado.

Kantan Software para la gestión de auditorías conforme a ISO 19011

Gestionar un programa de auditorías de forma manual —con hojas de cálculo, correos electrónicos y documentos dispersos— hace que el proceso sea más lento, menos trazable y más vulnerable a errores e inconsistencias. Kantan integra todos los módulos necesarios para gestionar el programa de auditorías conforme a la metodología de la ISO 19011, con una estructura que cubre desde la planificación del programa hasta el cierre de las acciones correctivas derivadas de los hallazgos.

Con Kantan puedes definir y gestionar el programa de auditorías con criterios basados en riesgos, elaborar planes de auditoría individuales, ejecutar las auditorías con listas de verificación personalizables, registrar hallazgos y evidencias en tiempo real desde la app móvil, generar informes de auditoría con flujos de aprobación y distribuirlos automáticamente, y hacer seguimiento del cierre de las acciones correctivas hasta verificar su eficacia.

Además, Kantan se mantiene actualizado con los ciclos de revisión de ISO: cuando la ISO 19011:2026 sea publicada oficialmente, los módulos de auditoría reflejarán los nuevos énfasis en métodos remotos, evidencias digitales y riesgos climáticos, sin que los clientes tengan que gestionar esa transición por su cuenta.

Quiero que un consultor experto me contacte

Suscríbete a la Newsletter

Haz click aquí y descárgate el Whitepaper: Las claves del Éxito en la Gestión de Riesgos
Inscríbete al worskhop online
Volver arriba