Auditoría de Sistemas de Gestión ISO 19011:2018

DIRECTRICES PARA AUDITORÍAS DE SISTEMAS DE GESTIÓN

La norma ISO 19011:2018 – Directrices para auditoría de sistemas de gestión, ofrece
un enfoque uniforme y armonizado que permite llevar a delante una auditoría eficaz, tanto a
Sistemas de Gestión individuales como a múltiples Sistemas de Gestión, teniendo en
consideración también las recientes actualizaciones por parte de ISO a sus estándares
internacionales más utilizados (Gestión de la Calidad – ISO 9001:2015, Gestión Ambiental –
ISO 14001:2015, Gestión de SSO – ISO 45001:2018, Gestión de la Energía – ISO
50001:2018, Gestión de Seguridad Alimentaria – ISO 22000:2018, entre otros), lo que
asegura efectuar la evaluación sistemática de los procesos de una organización contenidos
en sus propios Sistemas de Gestión.

NORMA ISO 19011:2018 – AUDITORIA DE SISTEMAS DE GESTIÓN

Desde la publicación de la segunda edición de la Norma ISO 19001 en 2011,se han publicado
varios estándares nuevos del sistema de gestión, muchos de los cuales tienen una estructura
común, requisitos básicos idénticos, términos comunes y definiciones básicas. Como
resultado, es necesario considerar un enfoque más amplio para la auditoría del sistema de
gestión, así como proporcionar una guía que sea más genérica.
Los resultados de la auditoría pueden proporcionar información para el aspecto de análisis de
la planificación comercial y pueden contribuir a la identificación de las necesidades y
actividades de mejora.
Es oportuno tomar como referencia la definición del concepto de “Auditoría” que está
incluido en la propia Norma:
 Auditoría: proceso sistemático, independiente y documentado
para obtener evidencia objetiva y evaluarla objetivamente para
determinar en qué medida se cumplen los criterios de auditoría.
Nota 1: las auditorías internas, a veces llamadas auditorías de
primera parte, son realizadas por, o en nombre de, la
organización misma.
Nota 2: Las auditorías externas incluyen aquellas generalmente
llamadas auditorías de segunda y tercera parte. Las auditorías de
segunda parte se llevan a cabo por las partes que tienen un
interés en la organización, como los clientes, o por otras personas
en su nombre. Las auditorías de tercera parte son llevadas a cabo
por organizaciones de auditoría independientes, como aquellas
que proporcionan certificación / registro de conformidad o
agencias gubernamentales.

PRINCIPALES CAMBIOS EN ISO 19011:2018

Con respecto a la versión anterior publicada en 2011, entre los principales cambios en la
nueva Norma ISO 19011:2018 se pueden mencionar a los siguientes:
 Ampliación de la información para la orientación sobre la gestión de un
programa de auditoría. Esta información incluye los riesgos de un programa de
auditoría, debido a lo cual el responsable de realizar la auditoría tiene que
identificar los riesgos y oportunidades del sistema para presentarlos a la
empresa auditada, con la finalidad de que dichos riesgos se puedan tratar de
forma adecuada sin que perjudiquen los objetivos de la empresa.
 Se añade un enfoque basado en riesgos para los principios de auditoría. Este
enfoque busca la influencia en la planificación, conducción y presentación de
informes que garanticen que las auditorías se enfocan en cuestiones relevantes
para la empresa que se va a auditar.
 Ampliación de la orientación para realizar una auditoría, específicamente la
parte sobre su planificación. El responsable de un equipo auditor debe
considerar los riesgos derivados de las actividades de auditoría en los procesos
del auditado.
 Presenta mayor énfasis en la adecuada planificación, lo que conllevará a una
auditoría eficiente.
 Aumento de los requisitos generales de competencia para los auditores.
 Eliminación del anexo que contiene requisitos para auditar diferentes sistemas
de gestión debido a la gran cantidad de estos que existen actualmente.
 Ampliación del Anexo A con orientación sobre los nuevos conceptos de
auditoría como el contexto de organización, liderazgo y compromiso, auditorías
virtuales, cumplimento y cadena de suministro.
 Nueva terminología más específica.
 CRITERIOS DE AUDITORÍA
Se puede realizar una auditoría en relación con una variedad de criterios de auditoría, por
separado o en combinación, que incluyen, entre otros:
 Requisitos definidos en una o más normas del sistema de gestión;
 Políticas y requisitos especificados por las partes interesadas pertinentes;
 Requisitos legales y reglamentarios;
 Uno o más procesos del sistema de gestión definidos por la organización u otras
partes;
 Plan (es) del sistema de gestión relacionado con la provisión de productos
específicos de un sistema de gestión (por ejemplo, plan de calidad, plan del
proyecto).
La Norma ISO 19011:2018 establece una serie de criterios que hay que considerar a la hora
de afrontar una auditoría, independientemente que sea parcial o completa. Entre estos
criterios, se pueden mencionar los siguientes:
 Debe incluir los requisitos que hayan sido definidos en la norma o normas
implementadas.
 Considerar las políticas y demás requisitos que hayan sido identificados clave
por las partes interesadas.
 Incluir los requisitos legales y otros requisitos.
 Revisar los procesos (o el proceso de interés) que hayan sido definidos por la
organización o, en el caso de auditoría de segunda parte, por las partes
interesadas.
 Hay que tener en cuenta las planificaciones establecidas para las salidas de un
sistema de gestión (según el mapa de procesos elaborado previamente).
De este modo, la norma ISO 19011:2018 es una excelente guía con orientaciones que sirven
para auditar todo tipo de empresas, ya sean grandes o pequeñas o de diferentes actividades,
logrando poder programar y planificar las auditorías en función de las particulares
características de la empresa a auditar.

ORIENTACIÓN AUDITORES
En un Anexo informativo, la Norma SO 19011:2018 proporciona orientación adicional para los
auditores que planifican y llevan a cabo auditorías. Entre otros aspectos, pueden mencionarse
los siguientes:
 Enfoque de proceso para la auditoría: El uso de un “enfoque de proceso” es
un requisito para todas las normas de sistemas de gestión ISO, de modo tal que
los auditores deberían comprender que auditar un sistema de gestión es auditar
los procesos de una organización y sus interacciones en relación con uno o más
estándares del sistema de gestión.
 Resultados de rendimiento: Los auditores deberían centrarse en el resultado
previsto del sistema de gestión a lo largo del proceso de auditoría. Si bien los
procesos y lo que logran son importantes, lo que cuenta es el resultado del
sistema de gestión y su desempeño.
 Contexto de auditoría: Muchos estándares de sistemas de gestión requieren
que una organización determine su contexto, incluidas las necesidades y
expectativas de las partes interesadas relevantes y los problemas externos e
internos. Para hacer esto, una organización puede usar varias técnicas para el
 análisis estratégico y la planificación. Así, los auditores deberían confirmar que
se han desarrollado procesos adecuados para esto y que se utilizan de manera
efectiva, de modo que sus resultados brinden una base confiable para
determinar el alcance y el desarrollo del sistema de gestión.
 Auditoría de riesgos y oportunidades: Una auditoría del enfoque de una
organización para la determinación de riesgos y oportunidades no se debería
realizar como una actividad independiente, sino que debería estar implícito
durante toda la auditoría de un sistema de gestión, incluso al entrevistar a la alta
dirección.

AUDITORÍAS DE SISTEMAS DE GESTIÓN – DIAGRAMA DE FLUJO

Según lo definido por la Norma SO 19011:2018, es posible establecer un Diagrama de Flujo
con la secuencia de actividades a desarrollar para llevar a delante una auditoría eficaz de
cualquier sistema de gestión.
 NORMA ISO 19011:2018 – AUDITORIA DE SISTEMAS DE GESTIÓN

TERCERIZACION DE LA AUDITORIA INTERNA

Dado el alto grado de competencia actual en los mercados resulta fundamental poder realizar
las auditorías internas de la mejor manera posible y con el mejor uso de los recursos,
sobre todo considerando que estas actividades no poseen valor agregado para el cliente
externo.
Para ello debe concentrarse la utilización de los recursos de la forma más eficiente posible
y mejorando de manera continua los niveles de performance. Los controles deben
centrarse en cuestiones o elementos significativos y que tengan un creciente impacto en la
organización.
Por todo lo expuesto hasta aquí, toda organización puede considerar como una forma segura
de realizar auditorías eficaces que cumplan con todos los requisitos y principios ya
mencionados, con mayores niveles de productividad, mejores niveles de calidad y con
menores costos, a la contratación de servicios tercerizados de auditoría interna.
De este modo se obtienen las siguientes ventajas:
 Se evitan costos fijos (sueldos, espacio físico, computadoras, gastos de
teléfono, etc.).
 Facilidad para cambiar de proveedor si los servicios no son adecuados.
 Auditorías realizadas por auditores con mayor nivel de experiencia.
 La capacitación de los auditores no corre por cuenta de la empresa sino por
parte del prestador del servicio.
 Posibilidad de recibir servicios con alto nivel de especialización, pues el
prestador del servicio puede contar con especialistas para auditar sistemas de
gestión de la calidad, gestión ambiental, de salud y seguridad ocupacional, de
inocuidad y seguridad alimentaria, de buenas prácticas de manufactura, de
gestión de la energía, etc.

Nuestro servicio de Auditorías Internas

Con cada auditoría, nuestros clientes consiguen progresivamente mejorar la eficacia de sus
sistemas de gestión, lo que influye favorablemente en la gestión global de la empresa.
En Calidad & Gestión podemos ocuparnos de llevar a cabo las auditorías internas que su
empresa necesite, para evidenciar la conformidad de su sistema con los requisitos de normas
internacionales de gestión.

ISO 19011:2018, la nueva guía de auditoría para

auditar los sistemas de gestión de las
organizaciones.
Por: Jesús López Patiño / DQS de México /
Jesus.Lopez@dqsmexico.com

En el 2015 se emitieron las últimas versiones de las normas

internacionales más reconocidas, ISO 9001:2015 e ISO 14001:2015. En
estas últimas versiones las normas adoptan una estructura nueva
llamada estructura de alto nivel; la cual, tiene como objetivo
estandarizar la forma de las normas internacionales, esto se ha
comprobado con las actualizaciones en otras normas internacionales
como IATF 16949, ISO 22000:2018, EffCI GMP 2017, entre otras.

No sólo normas ya existentes, sino normas de primera emisión ha n

adoptado esta estructura de alto nivel. ISO 22301:2012 fue la primera
norma en adoptar esta estructura. Y también existen normas como ISO
37001:2016 para los sistemas de gestión anticorrupción que también
hacen uso de la estructura de alto nivel.

Continuando con la actualización que han tenido las normas

internacionales ISO, no es ninguna sorpresa que ISO 19011 también
fuera revisada, la norma ha sido publicada en el segundo semestre del
2018.

ISO 19011 es la guía que se utiliza para la auditoría de sis temas de

gestión como lo pueden ser:

-ISO 9001:2015 Sistema de gestión de calidad

-ISO 14001:2015 Sistema de gestión ambiental

-ISO 45001:2018 Sistema de gestión de seguridad y de salud

ocupacional

-IATF 16949:2016 Sistema de gestión de calidad específ ico para la

cadena de proveeduría automotriz.

Entre otros…

Esta norma no establece requisitos, sin embargo, proporciona una guía

sobre la gestión de los programas de auditoría y en la realización de
auditorías, así como en la competencia y evaluación que deben de tener
los auditores.

La norma aplica para cualquier tipo de usuario u organización.

Independientemente de giro o tamaño; ISO 19011 tiene como objetivo
principal el ser la guía de auditorías especialmente para auditorías
internas y auditorías de segunda parte.

ISO 19011:2018 es la tercera versión de la norma y reemplaza a la

anterior ISO 19011:2011. La nueva versión provee orientación hacia la
auditoría de sistemas de gestión. Incluyendo principios de auditoría,
gestión de programas de auditoría y conducción de los mismos. La
norma también provee orientación acerca de la evaluación de
 competencia de todo aquel involucrado en el proceso de auditorías.

Entre los cambios principales que engloba la nueva versión de la norma

se encuentran los siguientes:

 Se agrega el pensamiento basado en riesgos a los principios de

auditoría.

 Se expande la guía en la gestión de programa de auditoría, incluyendo

el riesgo del programa de auditoría.

 También se expande la orientación en la conducción de auditorías,

particularmente en la sección de planificación de la auditoría.

 Se incrementan los requisitos de competencia genérica para los

auditores.

 Se ajusta la terminología para reflejar el proceso y no el objeto o cosa

 Se removió el anexo que contenía los requerimientos de competencia

para disciplinas específicas de sistemas de gestión (esto debido al gran
número de normas de sistemas de gestión, no sería práctico incluir
requerimientos para cada una de las disciplinas)

 Se expande el anexo A para proveer orientación en auditar nuevos

conceptos de las últimas versiones de las normas como lo son el
Contexto de la organización, liderazgo y compromiso, auditorías
virtuales y cadena de proveeduría.

Como se ha observado, ISO ha intentado estandarizar la estructura de

todas las nuevas versiones de las normas. Por lo que ISO 19011 ahora
debe englobar los requisitos que han ganado importancia en estas
últimas versiones. Conceptos como pensamiento basado en riesgos y
contexto de la organización y sus part es interesadas, ahora deben de
contemplarse dentro de las auditorías internas y auditorías de segunda
parte. Es por ello que ISO 19011:2018 se conceptualizó para facilitar el
entendimiento de estos conceptos y mostrarse como una verdadera guía
aplicable a los nuevos requisitos que se abordan en la estructura de alto
 nivel.

Sería importante esclarecer las diferencias entre los distintos tipos de

auditoría que se ven involucradas dentro del ámbito que ISO 19011
engloba. Esto con el fin de que se conozca la i mportancia de su guía y
los beneficios que permite al conocer los lineamientos que desarrolla.

Dentro del mundo de los sistemas de gestión, las auditorías principales

se pueden dividir en tres, de las cuáles cada una tiene su función:

 Auditorías internas: Las auditorías internas son las que generalmente

realiza la misma organización con el fin de conocer su desempeño de
acuerdo a los requisitos de las normas de gestión que se encuentren
implementadas. También dentro de este tipo de auditoría se revisa l a
consecución de objetivos de la organización. Se planifican tomando en
consideración el estado y la importancia de los procesos de las áreas a
auditar, así como resultado de auditorías previas. Para llevar a cabo una
auditoría interna se deben definir los criterios de la misma, su alcance,
su frecuencia y su metodología. Se debe de asegurar que ésta, como las
demás auditorías, sean objetivas e imparciales.

 Auditorías de segunda parte: Por lo general son auditorías que solicita

una organización a sus proveedores con el fin de validar que cumplan
con los requerimientos normativos necesarios, tanto para cumplir con
los lineamientos de la organización, como para cumplir requerimientos
legales y específicos de la industria.

 Auditorías de tercera parte: Son auditorías realizadas por organismos

de certificación como DQS de México. Son auditorías que permiten la
certificación de los sistemas de gestión de las organizaciones. Este tipo
de auditorías tienen validez internacional y demuestran que la
organización certificada cumple con los requisitos regulatorios,
normativos y organizacionales que le sean aplicables. Para lograr este
tipo de auditoría se debe contemplar también que la organización debe
haber realizado al menos una auditoría interna previamente.
 Uno de los apartados más
importantes que se revisan dentro de estos tipos de auditoría es la
competencia del personal. Como se ha mencionado, se debe contemplar
los requisitos de ISO 19011:2018 para la calificación de auditores, es
menester demostrar que se cuenta con capacitación dentro de la nueva
versión ISO 19011:2018.

Debido a esto, el personal de las organizaciones que cuenten con un

sistema de gestión implementado debe demostrar que cuenta con esta
capacitación. Este tipo de capacitaciones también l as brindan
organismos de certificación como DQS de México.

Los equipos auditor necesitan haber tomado cursos de Auditor interno y

Auditor líder específicos para su sistema de gestión, verbigracia “ Auditor
Interno ISO 9001:2015”. Este tipo de cursos también se basa en ISO
19011. Por lo que el personal debe actualizarse como Auditor Interno y
Auditor Líder en el ramo específico de su sistema de gestión, pero con
cursos que se basen en ISO 19011:2018

Las auditorías son una actividad clave para los sistemas d e gestión, a
veces se les ve erróneamente como un simple requisito. Empero, en
realidad pueden ser una parte importante para el proceso de mejora
continua de las organizaciones. Entre más sea el compromiso de la Alta
Dirección con las auditorías mejores re sultados se obtienen y se tiene
por resultado procesos proactivos y eficientes que permiten el logro de
los objetivos.

Con ISO 19011:2018 se busca estandarizar y facilitar distintos criterios

dentro de los procesos de auditoría. Desde su planificación y
calificación, hasta su desarrollo. ISO 19011 no es una norma certificable
ya que se conforma de una serie de buenas prácticas que buscan
brindar la orientación adecuada hacia los distintos tipos de auditoría de
sistemas de gestión que se basen en otras norm as, los cuales sí son
certificables.