Norma ISO 19011 2018 Version Libre Capacitacion

NORMA ISO
INTERNACIONAL 19011
Tercera edición
2018-07
Guías y lineamientos para auditorias de

sistemas de administración
Número de referencia
ISO 19011: 2018
ISO 19011: 2018
Este documento consiste sólo de una interpretación al español, y es una copia libre de la Norma
Internacional original, publicada por ISO en Julio-2018. Sólo debe considerarse como una
consulta. El único documento oficial es el publicado originalmente en Ingles por ISO mismo.
ii ISO 2018 – Traducción sólo para capacitación

ISO 19011: 2018
CONTENIDO Página
Prefacio..................................................................................................................................................... v
Introducción............................................................................................................................................ Vi
1 Alcance....................................................................................................................................... 1
2 Referencias normativas.............................................................................................................1
3 Términos y definiciones............................................................................................................1
4 Principios de auditorias............................................................................................................ 5
5 Administración de un programa de auditorias....................................................................... 6
5.1 Generalidades............................................................................................................................ 6
5.2 Establecimiento de objetivos de un programa de auditorias....................................................... 9
5.3 Determinación y evaluación de riesgos y oportunidades de un programa de auditorías................ 9
5.4 Establecimiento de un programa de auditorias.......................................................................... 10
5.4.1 Roles y responsabilidades del(los) individuo(s) administrando programas de auditorias10
5.4.2 Competencias del(los) individuo(s) administrando programas de auditorías…………… 11
5.4.3 Establecimiento el alcance de un programa de auditorías………………………………….11
5.4.4 Determinación de los recursos de un programa de auditorías…………………………… 12
5.5 Implementación de un programa de auditorias.................................................................................. 12
5.5.1 Generalidades………………………………………………………………………………….. 12
5.5.2 Definición de objetivos, alcance y criterios para una auditoria individual………………. 13
5.5.3 Selección y determinación de métodos de auditoria.…………………………………….. 14
5.5.4 Selección de miembros de un equipo auditor……………………………………………… 14
5.5.5 Asignación de responsabilidades para una auditoria individual al líder del equipo auditor.. 15
5.5.6 Administración de resultados de un programa de auditorías………………………………16
5.5.7 Administración y mantenimiento de registros de un programa de auditorías……………… 16
5.6 Monitoreo de un programa de auditorias......................................................................................17
5.7 Revisión y mejoramiento de un programa de auditorías…………………………………………… 17
6 Conducción de una auditoria........................................................................................................ 18
6.1 Generalidades........................................................................................................................... 18
6.2 Iniciación de una auditoria......................................................................................................... 18
6.2.1 Generalidades…………………………………………………………………………………. 18
6.2.2 Establecimiento del contacto con el auditado…...………………………………………… 18
6.2.3 Determinación de la factibilidad de una auditoria………………………………………….. 19
6.3 Preparación de actividades de auditoria.................................................................................... 19
6.3.1 Ejecución de revisiones de información documentada…………………………………… 19
6.3.2 Planeación de una auditoria…………………………………………………………………. 19
6.3.3 Asignación del trabajo al equipo auditor……………………………………………………. 21
6.3.4 Preparación de información documentada para una auditoria…………………………... 21
6.4 Conducción de actividades de auditoria..................................................................................... 21
6.4.1 Generalidades…………………………………………………………………………………. 21
6.4.2 Asignación de roles y responsabilidades de guías y observadores……………………….21
6.4.3 Conducción de junta de apertura……………………………………………………………. 22
6.4.4 Comunicación durante la auditoria………………………………………………………….. 23
6.4.5 Disponibilidad de acceso de información de la auditoria…………………………………. 23
6.4.6 Revisión de la información documentada durante la conducción de la auditoria………..23
6.4.7 Recolección y verificación de información…………………………………………………. 24
6.4.8 Generación de hallazgos de auditoria……………………………………………………….. 25
6.4.9 Determinación de las conclusiones de auditoria…………………………………………….25
6.4.10 Conducción de junta de cierre………………………………………………………………….26
6.5 Preparación y distribución del reporte de auditoria.......................................................................27
6.5.1 Preparación del reporte de auditoria………………………………………………………….27
6.5.2 Distribución del reporte de auditoria…………………………………………………………..27
6.6 Completado de una auditoria...................................................................................................... 28
6.7 Conducción de seguimiento en una auditoria...............................................................................28
ISO 2018 – Traducción sólo para capacitación iii

ISO 19011: 2018
7 Competencias y evaluaciones de auditores................................................................................. 28
7.1 Generalidades............................................................................................................................ 28
7.2 Determinación de las competencias de los auditores...................................................................29
7.2.1 Generalidades…………………………………………………………………………………. 29
7.2.2 Comportamiento personal……………………………………………………………………. 29
7.2.3 Conocimientos y habilidades…………………………………………………………………..30
7.2.4 Logro de competencias de auditores……………………………………………………….. 32
7.2.5 Logro de competencias de líderes de equipos auditores…………………………………. 33
7.3 Establecimiento de criterios para evaluaciones de auditores..................................................... 33
7.4 Selección de métodos apropiados para evaluaciones de auditores.............................................33
7.5 Conducción de evaluaciones de auditores………........................................................................33
7.6 Mantenimiento y mejoramiento de competencias de auditores....................................................34
Anexo A (Informativo) Guías adicionales para auditores planeando y conduciendo auditorias……35

Bibliografía………………………………………………………………………………………………………..…. 46
iv ISO 2018 – Traducción sólo para capacitación

ISO 19011: 2018
Prefacio
ISO (Organización Internacional para la Normalización/Estandarización) es una federación mundial de organismos de
normas nacionales (organismos miembros de ISO). El trabajo de preparación de Normas Internacionales se realiza
normalmente a través de comités técnicos de ISO. Cada organismo miembro interesado en un tema para el cual se
haya establecido un comité técnico tiene el derecho a ser representado en dicho comité. Organizaciones
internacionales, gubernamentales y no gubernamentales, y en enlace con ISO, también toman parte en el trabajo. ISO
colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todos los asuntos de
normalización/estandarización electrotécnica.
Los procedimientos usados para desarrollar este documento y aquellos con el propósito de su mantenimiento posterior
son descritos en las Directrices, Parte 1, de ISO/IEC. En particular los diferentes criterios de aprobación necesarios
para los diferentes tipos de documentos ISO debieran ser notados. Este documento fue bosquejado de acuerdo con
las reglas editoriales de las Directrices, Parte 2, de ISO/IEC (ver www.iso.org/directives)
Se ofrece atención a la posibilidad de que algunos de los elementos de este documento pueden estar sujetos a
derechos de patentes. ISO no debe mantener la responsabilidad de identificar alguno o todos los derechos de
patentes. Los detalles de cualquier derecho de patente identificado durante el desarrollo de este documento estarían
en la introducción y/o en una lista ISO de declaraciones de patentes recibida (ver www.iso.org/patents)
Cualquier no nombre de marca usada en este documento es información ofrecida solo para conveniencia de los
usuarios y no constituye un endoso.
Para una explicación de la naturaleza voluntaria de normas/estándares, el significado de los términos específicos y
expresiones de ISO relacionados con evaluaciones de conformidad, así como información acerca de la adherencia de
ISO con los principios de World Trade Organization (WTO) en Technical Barriers to Trade (TBT) ver la siguiente URL:
www.iso.org/iso/foreword.html
Este documento fue preparado por el Comité de Proyectos ISO/PC 302, Lineamientos y guías para auditorías de
sistemas de administración
Esta tercera edición cancela y reemplaza la segunda edición (ISO 19011: 2011), la cual ha sido técnicamente
revisada.
Las diferencias principales comparado con la segunda edición son las siguientes:
- adición del enfoque basado en riesgos a los principios de auditorías;

- expansión de las guías sobre administración de programas de auditorías, incluyendo riesgos de programas de
auditorías mismos;
- expansión de las guías sobre conducción de auditorías, particularmente la sección de planeación de
auditorías;
- expansión de los requerimientos genéricos de competencias para auditores;
- ajuste de la terminología para reflejar el proceso y no el objeto (“cosa”);
- retiro del anexo que contiene requerimientos de competencias para auditorías de disciplinas específicas de
sistemas de administración (debido al gran número de normas individuales de sistemas de administración, no
sería práctico incluir requerimientos de competencias para todas las disciplinas);
- expansión del Anexo A para ofrecer guías sobre (nuevos) conceptos de auditorías tales, contexto de la
organización, liderazgo y compromiso, auditorias virtuales, cumplimiento y cadena de suministros.
ISO 2018 – Traducción sólo para capacitación v

ISO 19011: 2018
Introducción
Desde la segunda edición de este documento publicada en el 2011, un número de normas de nuevos sistemas de
administración se ha publicado, muchos de los cuales tienen una estructura común, requerimientos centrales
idénticos, y términos comunes y definiciones centrales. Como resultado, existe la necesidad de considerar un
enfoque más amplio para auditorías de sistemas de administración, así como el ofrecer guías que sean más
genéricas. Los resultados de auditorías pueden ofrecer una entrada a aspectos de análisis en la planeación de
negocios, y pueden contribuir a la identificación de necesidades y actividades de mejoramiento.
Una auditoria puede ser conducida contra un rango de criterios de auditorías mismos, en forma separada o en
combinación, incluyendo y sin limitarse a:
 requerimientos definidos en una o más normas de sistemas de administración;

 políticas y requerimientos especificados por partes interesadas relevantes;
 requerimientos estatutarios y regulatorios;
 uno o más procesos de sistemas de administración definidos por la organización u otras partes;
 planes de sistemas de administración relacionados con el suministro de resultados/salidas específicas de un
sistema de administración (ej., planes de calidad, planes de proyectos)
Este documento ofrece guías para todos tipos y tamaños de organizaciones y auditorias de alcances y escalas
variables, incluyendo aquellas conducidas por equipos de auditorías grandes, típicamente en organizaciones muy
grandes, y aquellas por un solo auditor, ya sea en organizaciones grandes o pequeñas. Esta guía debiera ser
adaptada y apropiada al alcance, complejidad y escala de los programas de auditorías.
Este documento se concentra en auditorías internas (de primeras partes) y auditorias conducidas por organizaciones
a sus proveedores externos y otras partes interesadas externas (segundas partes). Este documento puede ser
también útil para auditorías externas conducidas para propósitos diferentes a los de certificaciones de sistemas de
administración de terceras partes. ISO/IEC 17021-1 ofrece requerimientos para auditorias de sistemas de
administración para certificaciones de terceras partes; este documento puede ofrecer guías adicionales útiles (ver
Tabla 1).
Tabla 1 – Diferentes tipos de auditorias
Auditorías de 1as. partes Auditorías de 2das. partes Auditorías de 3as. partes
Auditorias interna Auditorías a proveedores externos Auditorías de certificación y/o
acreditación
Otras auditorias externa de partes Auditorias estatutarias/regulatorias y
interesadas similares
Para simplificar la legibilidad de este documento, se prefiere la forma singular de “sistema de administración”, aunque
el lector puede adaptar la implementación de las guías a su propia situación. Esto también aplica al uso de “individuo”
e “individuos” “auditor” y “auditores”.
Este documento tiene la intención de aplicarse a un alto rango de usuarios potenciales, incluyendo auditores,
organizaciones implementando sistemas de administración y organizaciones que necesiten conducir auditorias de
sistemas de administración por razones contractuales o regulatorias. Los usuarios de este documento pueden, sin
embargo, aplicar estas guías en el desarrollo de sus propios requerimientos relacionados con auditorias.
Las guías en este documento pueden ser también usadas para propósitos de una auto declaración y pueden ser
útiles a organizaciones involucradas en el entrenamientos a auditores o certificación de personal.
Las guías en este documento tienen la intención de ser flexibles. Como se indica en varios puntos en el texto, el uso
de estas guías puede diferir dependiendo del tamaño y nivel de madurez del sistema de administración de las
organizaciones. La naturaleza y complejidad de la organización a ser auditada, así como los objetivos y alcance de
las auditorías a ser conducidas, debieran ser también considerados.
vi ISO 2018 – Traducción sólo para capacitación

ISO 19011: 2018
Este documento adopta el enfoque de auditorías combinadas cuando dos o más sistemas de administración de
diferentes disciplinas son auditados en forma conjunta. Cuando estos sistemas se integren en un solo sistemas de
administración, los principios y procesos de auditorías son los mismos que para las auditorias combinadas (algunas
veces conocidas como auditorias integradas).
Este documento ofrece guías en la administración de un programa de auditorías, en la planeación y conducción de

auditorías de sistemas de administración, así como en las competencias y evaluaciones de auditores y equipos de
auditores.
ISO 2018 – Traducción sólo para capacitación vii

Norma Internacional ISO 19011: 2018
Guías y lineamientos para auditorias de sistemas de administración
1. Alcance
Este documento ofrece guías sobre auditorias de sistemas de administración, incluyendo principios de auditoras,
administración de un programa de auditorías y conducción de auditorías de sistemas de administración, así como
guías en la evaluación de competencias de individuos involucrados en el proceso de auditoría. Estas actividades
incluyen al(los) individuo(s) administrando el programa de auditorías, los auditores y los equipos de auditorías.
Aplica a todas las organizaciones que necesiten planear y conducir auditorías internas o externas de sistemas de
administración o administrar un programa de auditorias.
La aplicación de este documento a otros tipos de auditorias es posible, siempre y cuando se dé consideración
especial a las competencias específicas necesarias.
2. Referencias normativas
No existen referencias normativas en este documento.
3. Términos y definiciones
Para propósitos de este documento, los siguientes términos y definiciones aplican.
ISO e IEC mantienen bases de datos de términos para uso en normalización/estandarización en las siguientes
direcciones:
 Plataforma en línea de ISO: disponible en https://www.iso.org/obp

 Electropedia de IEC: disponible en http://www.electropedia.org/
3.1
auditoria
Proceso sistemático, independiente y documentado para obtener evidencias objetivas (3.8) y evaluarlas en forma
objetiva para determinar el alcance en el cual los criterios de auditoria (3.7) se cumplen.
Nota 1 de entrada Las auditorías internas, algunas veces llamadas auditorias de primeras partes, son conducidas por, o a favor,
de la organización misma.
Nota 2 de entrada Las auditorías externas incluyen aquellas generalmente llamadas como de segundas y terceras partes. Las
auditorias de segundas partes son conducidas por partes que tienen un interés en la organización, tales como, clientes, u otros
individuos en su favor. Las auditorias de terceras partes son conducidas por organizaciones de auditorías independientes, tales
como, aquellas que ofrecen certificación/registro de conformidad o agencias gubernamentales.
[FUENTE: ISO 9000: 2015, 3.13.1, modificado – Las notas de entrada han sido modificadas]
3.2
auditoria combinada
auditoría (3.1) realizada junto con un solo auditado (3.13) para dos o más sistemas de administración (3.18)
Nota 1 de entrada: cuando dos o más sistemas de administración de disciplinas específicas son integrados en un sistema de
administración esto es conocido como un sistema integrado de administración.
[FUENTE: ISO 9000: 2015, 3.13.2, Modificado]
1
ISO 2018 – Traducción sólo para capacitación
ISO 19011: 2018
3.3
auditoria conjunta
auditoria (3.1) realizada con un auditado (3.13) por dos o más organizaciones de auditoria.
[FUENTE; ISO 9000: 2015, 3.13.3]
3.4
programa de auditorias
acuerdos para un conjunto de una o más auditorias (3.1) planeadas para un esquema de tiempo específico y
dirigidas hacia un propósito especifico
[FUENTE: ISO 9001: 2015, 3.13.4, modificado – se han agregado palabras a la definición]
3.5
alcance de auditoria
extensión y límites de una auditoria (3.1).
Nota 1 de entrada: el alcance de la auditoria generalmente incluye una descripción de las localizaciones fiscas y virtuales,
funciones, unidades organizacionales, actividades y procesos, así como el periodo de tiempo cubierto.
Nota 2 de entrada: una localización virtual es donde una organización ejecute trabajos u ofrezca un servicio usando un medio
ambiente en línea y accesando individuos independientemente de las localizaciones físicas para ejecutar los procesos
[FUENTE: ISO 9000: 2015, 3.13.5 modificado, la nota 1 de entrada ha sido modificada, la nota 2 de entrada ha sido agregada]
3.6
plan de auditoria
descripción de actividades y acuerdos para una auditoria (3.1).
[FUENTE: ISO 9000: 2015, 3.13.6]
3.7
criterios de auditoria
conjunto de requerimientos (3.23) usados como una referencia y contra los cuales evidencias objetivas (3.8) son
comparadas.
Nota 1 de entrada: Si los criterios de auditoria son requerimientos legales (incluyendo estatutarios o regulatorios), las palabras
“cumplimiento” o “incumplimiento” son a menudo usadas como un hallazgo de auditoria (3.10).
Nota 2 de entrada: los requerimientos pueden incluir políticas, procedimientos, instrucciones de trabajo, requerimientos legales,
obligaciones contractuales, etc.
[FUENTE: ISO 9000: 2015, 3.13.7, modificado – la definición ha sido cambada y las notas de entrada 1 y 2 han sido agregadas]
3.8
evidencia objetiva
datos que soporten la existencia o verificación de algo.
Nota 1 de entrada: las evidencias objetivas pueden obtenerse a través de observación, mediciones, pruebas u otros medios.
Nota 2 de entrada: las evidencias objetivas para propósitos de la auditoría (3.1) generalmente consisten de registros,
declaraciones de hechos, u otra información que sea relevante a los criterios de auditoria (3.7) y sean verificables.
[FUENTE: ISO 9000: 2015, 3.8.3]
3.9
evidencias de auditoria
registros, declaraciones de hechos u otra información, la cual es relevante a los criterios de auditoria (3.7) y
verificable.
[FUENTE: ISO 9000: 2015, definición 3.13.8]
2 ISO 2018 – Traducción sólo para capacitación

ISO 19011: 2018
3.10
hallazgos de auditorias
resultados de la evaluación de evidencias de auditoria (3.9) recolectadas contra criterios de auditoria (3.7).
Nota 1 de entrada: Los hallazgos de auditoria indican conformidad (3.20) o no conformidad (3.21).
Nota 2 de entrada: Los hallazgos de auditoria pueden llevar a la identificación de oportunidades de mejora o registro de buenas
prácticas.
Nota 3 de entrada: Si los criterios de auditoria son seleccionados de requerimientos legales u otros, los hallazgos de auditorías se
definen con los términos cumplimiento o incumplimiento.
[FUENTE: ISO 9000: 2015, 3.13.9, modificado – Las notas de entrada 2 y 3 han sido modificadas]
3.11
conclusiones de auditoria
resultados de una auditoria (3.1), después de considerar los objetivos de auditorías y todos los hallazgos de
auditorías (3.10).
[FUENTE: ISO 9000: 2015, 3.13.10]
3.12
cliente de la auditoria
organización o persona que solicita una auditoria (3.1).
Nota 1 de entrada: En el caso de una auditoria interna, el cliente de la auditoria puede también ser el auditado (3.13) o el(los)
individuo(s) que esté(n) administrando el programa de auditorías. Las solicitudes para auditorías externas vienen de fuentes tales
como, reguladores, partes con contratos o clientes potenciales o existentes.
[FUENTE: ISO 9000: 2015, 3.13.11, modificado – La nota 1 de entrada ha sido agregada]
3.13
auditado
organización en su totalidad o partes de ella siendo auditada.
[ISO 9000: 2015, 3.13.12, modificado]
3.14
equipo auditor
Uno o más auditores conduciendo una auditoria (3.1), y apoyados si es necesario por expertos técnicos (3.16).
Nota 1 de entrada: Un auditor (3.15) del equipo auditor (3.14) es asignado como líder del equipo auditor mismo.
Nota 2 de entrada: El equipo auditor puede incluir auditores en entrenamiento.
[FUENTE: ISO 9000: 2015, 3.13.14]
3.15
auditor
persona que conduce una auditoria (3.1).
[FUENTE: ISO 9000: 2015, 3.13.15]
3.16
experto técnico
Persona que ofrece conocimientos o experiencia específica al equipo auditor (3.14).
Nota 1 de entrada: Conocimiento o experiencia específica es aquella que se relaciona con la organización, proceso o
actividad/área a ser auditada, o el lenguaje o cultura.
Nota 2 de entrada: Un experto técnico no actúa como un auditor (3.15) en el equipo auditor (3.14).
[FUENTE: ISO 9000: 2015, 3.13.16, modificado – Las notas de entrada 1 y 2 han sido modificadas]
3
ISO 19011: 2018
3.17
observador
individuo que acompaña al equipo auditor (3.14) pero no actúa como un auditor (3.15)
[FUENTE: ISO 9000: 2015, 3.13.17, modificado]
3.18
sistema de administración (o gestión)
conjunto de elementos interrelacionados o interactuantes de una organización para establecer políticas y objetivos,
y procesos (3.24) para el logro de dichos objetivos.
Nota 1 de entrada: Un sistema de administración puede abordar una o varias disciplinas, ej., administración de calidad,
administración financiera o administración ambiental.
Nota 2 de entrada: Los elementos del sistema de administración establecen la estructura de la organización, roles y
responsabilidades, planeación, operación, políticas, prácticas, reglas, creencias, objetivos y procesos para el logro de dichos
objetivos.
Nota 3 de entrada: El alcance del sistema de administración puede incluir el total de la organización, funciones específicas e
identificadas de la organización, secciones específicas e identificadas de la organización, o una o más funciones a lo largo de un
grupo de organizaciones.
[FUENTE: ISO 9000: 2015, 3.5.3, modificado – La nota 4 de entrada ha sido eliminada]
3.19
riesgo
efecto de una incertidumbre
Nota 1 de entrada: Un efecto es una desviación de lo esperado – positivo o negativo.
Nota 2 de entrada: Incertidumbre es el estado, aún parcial, de deficiencia de información relacionada con, el entendimiento o
conocimiento de, un evento, sus consecuencias y probabilidad.
Nota 3 de entrada: Un riesgo es a menudo caracterizado por la referencia con eventos potenciales (como se define en la Guía
ISO 73: 2009, 3.5.1.3) y con secuencias (como se define en la Guía de ISO 73: 2009, 3.6.1.3), o una combinación de estos.
Nota 4 de entrada: Un riesgo a menudo se expresa en términos de una combinación de las consecuencias de un evento
(incluyendo cambios en circunstancias) y la probabilidad asociada (como se define en la Guía ISO 73: 2009, 3.6.1.1) de su
ocurrencia.
[FUENTE: ISO 9000: 2015, 3.7.9, modificado – Las notas de entrada 5 y 6 han sido eliminadas]
3.20
conformidad
cumplimiento de un requerimiento (3.23)
3.21
no conformidad
incumplimiento de un requerimiento (3.23)
3.22
competencias
habilidades/capacidades para aplicar conocimientos y habilidades para logro de resultados esperados.
[FUENTE: ISO 9000: 2015, 3.10.4, modificado – Las notas de entrada han sido eliminadas]

ISO 19011: 2018
3.23
requerimiento
necesidad o expectativa que es establecida, y generalmente es implicada u obligatoria.
Nota 1 de entrada: “Generalmente es implicada” significa que es costumbre o práctica común para la organización y partes
interesadas en que la necesidad o expectativa bajo consideración es implicada.
Nota 2 de entrada: un requerimiento especificado es aquel que es establecido, por ejemplo en información documentada.
[FUENTE: ISO 9000: 2015, 3.6.4, modificado – Las notas de entrada 3, 4, 5, y 6 han sido eliminadas].
3.24
proceso
conjunto de actividades interrelacionadas o que interactúan, que hacen uso de entradas para la entrega de un
resultado esperado.
[FUENTE: ISO 9000: 2015, 3.4.1, modificado – Las notas de entrada han sido eliminadas].
3.25
desempeño
resultado medible
Nota 1 de entrada: El despeño puede relacionarse con hallazgos cuantitativos o cualitativos.
Nota 2 de entrada: El desempeño puede relacionarse con la administración de actividades, procesos (3.24) productos, servicios,
sistemas u organizaciones.
[FUENTE: ISO 9000: 2015, 3.7.8, modificado – La nota 3 de entrada ha sido eliminada].
3.26
efectividad
alcance en el cual las actividades planeadas son realizadas y los resultados planeados se logran.
[FUENTE: ISO 9000: 2015, 3.7.11, modificado – La nota 1 de entrada ha sido eliminada].
4. Principios de auditorias
Las auditorias se caracterizan por la confiabilidad en un cierto número de principios. Estos principios debieran ayudar
a hacer que las auditorias sean una herramienta efectiva y confiable en el soporte de las políticas y controles
administrativos, ofreciendo información en la cual una organización puede actuar a fin de mejorar su desempeño. La
adherencia a estos principios es un pre requisito para ofrecer conclusiones de una auditoria que sean relevantes y
suficientes, y para permitir que los auditores, trabajando en forma independiente uno de otro, alcancen conclusiones
similares y en circunstancias similares.
Las guías ofrecidas en Secciones/Cláusulas 5 a 7 se basan en los siete principios bosquejados abajo.
a) Integridad: El fundamento del profesionalismo.
Los auditores y el(los) individuo(s) administrando un programa de auditorías debieran:
- ejecutar su trabajo con éticamente, con honestidad y responsabilidad;

- realizar actividades de auditoria solo si son competentes para hacerlo;
- ejecutar su trabajo de una manera imparcial, ej., mantenerse justos y sin sesgos en todos sus tratos;
- ser sensibles a cualquier influencia que pudiera ser ejercida en su juicio mientras realizan una auditoria.
b) Presentación justa: la obligación de reportar en forma veraz y exacta.
Los hallazgos, conclusiones y reportes de las auditorias debieran reflejar en forma veraz y exacta las
actividades de las auditorias mismas. Los obstáculos significativos encontrados durante las auditorias y las
5
ISO 19011: 2018
opiniones divergentes no resueltas entre el equipo auditor y el auditado debieran ser reportados. La
comunicación debiera ser veraz, exacta, objetiva, oportuna, clara y completa.
c) Debido cuidado profesional: la aplicación de diligencia y juicio en las auditorias.
Los auditores debieran ejercer debido cuidado y en acuerdo con la importancia de las tareas que ellos ejecutan
y la confianza puesta en ellos por los clientes de las auditorias y otras partes interesadas. Un factor importante
en la realización de su trabajo con debido cuidado profesional es contar con la habilidad de hacer juicios
razonables en todas las situaciones de auditoria.
d) Confidencialidad: seguridad (security) de la información.
Los auditores debieran ejercer discreción en el uso y protección de información obtenida en el curso de sus
deberes. La información de las auditorias no debiera ser usada en forma inapropiada para beneficio personal
por los auditores o clientes de la auditoria, o en una manera que demerite los intereses legítimos del auditado.
Este concepto incluye el manejo apropiado de información sensible o confidencial.
e) Independencia: la base para la imparcialidad de la auditoria y objetividad de las conclusiones de auditoria.
Los auditores debieran ser independientes de la actividad a ser auditada, cuando sea práctico, y debieran en
todos los casos actuar de una forma que sean libres de sesgo y conflicto de intereses. Para auditorías internas
los auditores debieran ser independientes de la función a ser auditada si es práctico. Los auditores debieran
mantener objetividad a través del procesos de auditoria para asegurar que los hallazgos y conclusiones de
auditoria mismos se basen solo en evidencias de auditoria.
Para organizaciones pequeñas, puede no ser posible que los auditores internos sean totalmente independientes
de la actividad a ser auditada, aunque debieran hacerse esfuerzos por retirar sesgo y promover objetividad.
f) Enfoque basado en evidencias: el método racional de alcanzar conclusiones de auditoria confiables y

reproducibles en un proceso sistemático de auditoria misma.
Las evidencias de auditoria debieran ser verificables. En general debieran basarse en muestras de información
disponibles, dado que una auditoria se conduce durante un periodo de tiempo finito y con recursos finitos.
Debiera aplicarse un apropiado muestreo, dado que esto está estrechamente relacionado con la confiabilidad
que puede darse en las conclusiones de auditoria.
g) Enfoque basado en riesgos: un enfoque de auditorías que considera riesgos y oportunidades
El enfoque basado en riesgos debiera influir en forma substancialmente en la planeación, conducción y reporte
de auditorías, a fin de asegurar que las auditorias se enfoquen en asuntos o temas que sean significativos al
cliente de la auditoria, y para el logro de los objetivos del programa de auditorias
5. Administración de un programa de auditorias

5.1 Generalidades
Un programa de auditorías debiera establecerse, el cual pueda incluir auditorias abordando uno o más
normas/estándares de sistemas de administración u otros requerimientos, y conducida en forma separada o
combinada (auditoria combinada).
El alcance de un programa de auditorías debiera basarse en el tamaño y naturaleza del auditado, así como la
naturaleza, funcionalidad, complejidad, tipo de riesgos y oportunidades, y el nivel de madurez del(os) sistema(s) de
administración a ser auditado(s).
La funcionalidad del sistema de administración puede ser aún más complejo cuando el máximo de las funciones
importantes son subcontratadas y administradas bajo el liderazgo de otras organizaciones. Se necesita poner
particular atención a donde se tomen las decisiones más importantes y lo que constituya la alta administración del
sistema de administración mismo.

ISO 19011: 2018
En el caso de localizaciones/plantas múltiples (ej., diferentes países), o cuando las funciones importantes sean
subcontratadas y administradas bajo el liderazgo de otra organización, debiera ponerse atención particular al diseño,
planeación y validación del programa de auditorías.
En el caso de organizaciones pequeñas o menos complejas el programa de auditorías puede ser escalonado
apropiadamente.
A fin de entender el contexto del auditado, el programa de auditorías debiera tomar en cuenta por parte del auditado:
- los objetivos organizacionales;

- los aspectos clave internos y externos relevantes;
- las necesidades y expectativas de las partes interesadas relevantes;
- los requerimientos de seguridad (security) y confidencialidad de la información.
La planeación de programas de auditorías internas, y en algunos casos programas para auditorias de proveedores
externos, pueden ser organizados para contribuir a otros objetivos de la organización.
El(los) individuo(s) administrando el programa de auditorías debiera(n) asegurar que se mantiene la integridad de las
auditorías y que no existe una influencia indebida y ejercida sobre las auditorías.
La prioridad de las auditorias debiera darse asignando recursos y métodos a asuntos/temas de un sistema de
administración con riesgos altos inherentes y un nivel de desempeño bajo.
Los individuos competentes debieran ser asignados para administrar el programa de auditorías.
El programa de auditorías debiera incluir información e identificar recursos para permitir que las auditorias sean
conducidas en forma efectiva y eficiente y dentro de los esquemas de tiempo especificados. La información debiera
incluir:
a) objetivos para el programa de auditorías;

b) riesgos y oportunidades asociados con el programa de auditorías (ver 5.3) y las acciones para abordarlos;
c) alcance (extensión, limites, localizaciones) de cada auditoria dentro del programa de auditorías mismas;
d) calendario (numero/duración/frecuencia) de las auditorias;
e) tipos de auditorías tales como, internas o externas;
f) criterios de auditorías;
g) métodos de auditorías a ser empleados;
h) criterios para seleccionar miembros de equipos auditores;
i) información documentada relevante.
Alguna de esta información puede no estar disponible hasta que se complete mayo detalle en la planeación de las
auditorías.
La implementación del programa de auditorias debiera ser monitoreado y medido sobre una base continua (ver 5.6)
para asegurar que los objetivos se hayan logrado. El programa de auditorias debiera ser revisado a fin de identificar
necesidades de cambios y posibles oportunidades para mejoramientos (ver 5.7).
La Figura 1 ilustra el flujo del proceso para la administración de un programa de auditorias.
7
ISO 19011: 2018
NOTA 1 Esta figura ilustra la aplicación del ciclo Planear-Hacer-Checar-Actuar en este documento.
NOTA 2 La numeración de cláusula/sub cláusula se refiere a las cláusulas/sub cláusulas de este documento
Figura 1 - Flujo del proceso para la administración de un programa de auditorias

ISO 19011: 2018
5.2 Establecimiento de objetivos de un programa de auditorias
El cliente de las auditorias debiera asegurar que los objetivos del programa de auditorias son establecidos para
dirigir la planeación y conducción de las auditorias y debieran asegurar que el programa de auditorías es
implementado en forma efectiva. Los objetivos del programa de auditorias debieran ser consistentes con la dirección
estratégica del cliente y el soporte a las políticas y objetivos del sistema de administración.
Estos objetivos pueden basarse considerando lo siguiente:
a) las necesidades y expectativas de las partes interesadas relevantes, tanto internas como externas;
b) características de y requerimientos para los procesos, productos, servicios y proyectos, y cualquier cambio a
estos
c) los requerimientos del sistema de administración;
d) la necesidad de evaluaciones de proveedores externos;
e) el nivel de desempeño del auditado, y el nivel de madurez del(os) sistema(s) de administración, y como se
refleje en los indicadores de desempeño relevantes (ej., KPIs), la ocurrencia de no conformidades, incidentes o
quejas de las partes interesadas;
f) los riesgos y oportunidades para el auditado identificados;
g) resultados de auditorías previas.
Ejemplos de objetivos de programas de auditorías pueden incluir lo siguiente:
 identificar oportunidades de mejoramiento para el sistema de administración y su desempeño;

 evaluar la capacidad del auditado para determinar su contexto;
 evaluar la capacidad del auditado para determinar los riesgos y oportunidades, e identificar e impl ementar
acciones efectivas para abordar estos;
 cumplir con todos los requerimientos relevantes, ej., requerimientos estatutarios y regulatorios, compromisos de
cumplimiento, requerimientos para certificación contra normas de sistemas de administración;
 obtener y mantener confiabilidad en la capacidad de un proveedor externo;
 determinar la idoneidad, adecuación y efectividad continuos del sistema de administración del auditado;
 evaluar la compatibilidad y alineamiento de los objetivos del sistema de administración con la dirección
estratégica de la organización.
5.3 Determinación y evaluación de riesgos y oportunidades de un programa de auditorias

Existen riesgos y oportunidades que están relacionados con el contexto del auditado, que pueden estar asociados
con el programa de auditorías y que pueden afectar el logro de los objetivos. El(los) individuo(s) que administre(n) el
programa de auditorías debiera(n) identificar y presentar al cliente de la auditoria los riesgos y oportunidades
considerados cuando se desarrolle el programa de auditorías y los requerimientos para recursos, tal que estos
pueden ser abordados en forma apropiada.
Puede haber riesgos asociados con lo siguiente:
a) planeación, ej., fallas en el establecimiento de objetivos de auditorías relevantes y en la determinación del

alcance, numero, duración, localizaciones y programación de las auditorias;
b) recursos, ej., el permitir tiempo, equipo y/o entrenamiento suficientes para el desarrollo de un programa de
auditorías o conducción de una auditoria;
c) selección de un equipo auditor, ej., competencias globales insuficientes para conducir auditorias en forma
efectiva;
9
ISO 19011: 2018
d) comunicación, ej., procesos/canales de comunicación internos/externos inefectivos;

e) implementación, ej., coordinación inefectiva de las auditorias dentro de un programa de auditorías mismas, o la
no consideración de la seguridad (security) y confidencialidad de la información;
f) control de la información documentada, ej., determinación inefectiva de la información documentada necesaria y
requerida por los auditores y partes interesadas relevantes, falla en proteger adecuadamente registros de
auditorías para demostrar la efectividad de programas de auditorías;
g) monitoreo, revisión y mejoramiento de programas de auditorías, ej. Monitoreo inefectivo de resultados de
programas de auditorías;
h) disponibilidad y cooperación del auditado y disponibilidad de evidencias a ser muestreadas.
Las oportunidades para mejorar programas de auditorías pueden incluir:
 el permitir auditorias múltiples a ser conducidas en una sola o misma visita;

 el minimizar tiempo y distancias de viaje a una planta;
 el empatar el nivel de competencias de un equipo auditor con el nivel de competencias necesario para el logro de
objetivos de una auditoria;
 el alinear fechas de auditoria con la disponibilidad del staff clave del auditado.
5.4 Establecimiento de un programa de auditorias
5.4.1 Roles y responsabilidades del(los) individuo(s) administrando programas de auditorias
El(los) individuo(s) administrando el programa de auditorías debiera(n):
a) establecer el contexto del programa de auditorías de acuerdo con objetivos relevantes (ver 5.2) y cualquier
restricción conocida;
b) determinar los aspectos clave internos y externos, y los riesgos y oportunidades que puedan afectar el programa
de auditoras, e implementar acciones para abordarlos, integrando éstas acciones en todas las actividades de
auditorías relevantes, conforme sea apropiado;
c) asegurar la sección de los equipos de auditoria y las competencias globales para las actividades de auditori a
asignando roles, responsabilidades y autoridad, y apoyando el liderazgo, conforme sea apropiado;
d) establecer todos los procesos relevantes incluyendo procesos mismos para:
 la coordinación y programación de todas las auditorias dentro de un programa de auditorías;
 el establecimiento de objetivos de auditoria, alcance(s) y criterios de auditorías, determinación de métodos
de auditoria y selección del equipo de auditoria;
 evaluación de auditores;
 el establecimiento de procesos de comunicación interna y externa, conforme sea apropiado;
 la resolución de disputas y manejo de quejas;
 el seguimiento de auditorías si aplica;
 el reporte al cliente de la auditoria y las partes interesadas relevantes, conforme sea apropiado.
e) determinar y asegurar el suministro de todos los recursos necesarios;
f) asegurar que la información documentada apropiada es preparada y se mantiene, incluyendo registros de
programas de auditoria;

ISO 19011: 2018
g) monitorear, revisar y mejorar el programa de auditorías;
h) comunicar el programa de auditorías al cliente de las auditorías y, conforme sea apropiado, a partes interesadas
relevantes.
El(los) individuo(s) administrando el programa de auditorías debiera(n) solicitar la aprobación por el cliente de las
auditorias mismas.
5.4.2 Competencias de(los) individuo(s) administrando programas de auditorias
La persona administrando el programa de auditorias debiera contar con las competencias necesarias para
administrar el programa y sus riesgos asociados en forma efectiva y eficiente, así como los conocimientos y
habilidades en las siguientes áreas:
a) principios de auditorías (ver Sección/Clausula 4), métodos y procesos (ver A.1 y A.2);
b) las normas de sistemas de administración, otras normas relevantes y documentos de referencia/guía;
c) información relativa al auditado y su contexto (ej., aspectos clave internos/externos, partes interesadas
relevantes y sus necesidades y expectativas, actividades, productos y servicios del negocio, y procesos del
auditado;
d) requerimientos estatutarios y regulatorios aplicables y otros requerimientos relevantes a las actividades del
negocio del auditado.
Conforme sea apropiado, el conocimiento de la administración de riesgos, la administración de proyectos y procesos,

y las tecnologías de información y comunicaciones (TIC/ICT) pueden ser considerados.
El(Los) individuo(s) administrando el programa de auditorias debieran comprometerse en actividades de desarrollo

continuo apropiadas, para mantener las competencias necesarias para administrar el programa de auditorías.
5.4.3 Establecimiento el alcance de un programa de auditorias
El(Los) individuo(s) administrando el programa de auditorias debiera determinar el alcance del programa de
auditorías. Esto puede variar dependiendo de la información ofrecida por auditado en relación a su contexto (ver
5.3).
NOTA En ciertos casos, dependiendo de la estructura del auditado ó sus actividades, el programa de auditorias puede sólo
consistir de una sola auditoria (ej., la actividad de un pequeño proyecto).
Otros factores que impactan en el alcance de un programa de auditorias incluyen lo siguiente:
a) el objetivo, alcance y duración de cada auditoria y el número de auditorías a conducir, método de reporte y, si
aplica seguimientos en la auditoria;
b) normas de sistemas de administración u otros criterios aplicables;
c) en número, importancia, complejidad, similitud y localizaciones de las actividades a ser auditadas;
d) aquellos factores que estén influenciando la efectividad del sistema de administración;
e) criterios de auditoria aplicables tales como, arreglos para normas relevantes de sistemas de administración,
requerimientos estatutarios y regulatorios y otros requerimientos a los cuales la organización e haya
comprometido;
f) resultados de auditorías internas o externas y revisiones gerenciales/directivas previas, si es apropiado;
g) resultados de revisiones previas de programas de auditorías;
h) lenguaje, y aspectos clave culturales y sociales;
i) los aspectos clave de partes interesadas tales como, quejas de clientes, incumplimientos con requerimientos
estatutarios y regulatorios y otros requerimientos a los cuales la organización se haya comprometido, o aspectos
clave en cadenas de suministros;
11
ISO 19011: 2018
j) cambios significativos en el contexto del auditado o sus operaciones y riesgos y oportunidades relacionados;
k) disponibilidad de tecnologías de información y comunicación que apoyen las actividades de auditoria, en
particular el uso de métodos de auditorías remotas (ver A.16);
l) la ocurrencia de eventos internos y externos tales como, no conformidades de productos o servicios, fugas en la
seguridad (security) de la información, incidentes de seguridad y salud, actos criminales o incidentes ambientales;
m) riesgos y oportunidades del negocio, incluyendo acciones para abordar éstos;
5.4.4 Determinación de los recursos de un programa de auditorias

Cuando se determinen recursos para programas de auditorías, el(los) individuo(s) administrando el programa de
auditorías debiera(n) considerar:
a) los recursos financieros y en tiempo necesarios para desarrollar, implementar, administrar y mejorar actividades
de auditorías;
b) los métodos de auditoría (ver A.1);
c) la disponibilidad individual y global de los auditores y expertos técnicos que tengan competencias apropiadas a
los objetivos particulares del programa de auditorías;
d) el alcance del programa de auditorías (ver 5.4.3) , y los riesgos y oportunidades del programa de auditorías
mismo (ver 5.3);
e) los tiempos y costos por viajes, alojamiento y otras necesidades de auditoria;
f) el impacto de las diferentes zonas por horarios;
g) la disponibilidad de tecnologías de información y comunicación (ej., recursos técnicos requeridos para preparar
una auditoria remota usando tecnologías que apoyen la colaboración remota misma);
h) la disponibilidad de herramientas, tecnología y equipo requeridos;
i) la disponibilidad de información documentada necesaria, y como se determine durante el establecimiento del
programa de auditorías (ver A.5);
j) los requerimientos relacionados con las instalaciones, incluyendo autorizaciones/salidas de seguridad (security)
y equipo (ej., verificaciones de antecedentes, equipo de protección personal, capacidad para ponerse
vestimenta de cuartos limpios).
5.5 Implementación de un programa de auditorias
5.5.1 Generalidades
Una vez que el programa de auditorías se ha establecido (ver 5.4.3) y los recursos relacionados se hayan
determinado (ver 5.4.4) es necesario implementar la planeación operacional y la coordinación de todas las
actividades dentro del programa.
El(los) individuo(s) administrando el programa de auditorías debiera(n):
a) Comunicar a las partes relevantes el programa de auditorías, incluyendo los riesgos y oportunidades
involucrados, las partes interesadas relevantes, e informarles periódicamente de los avances, usando canales de
comunicación internos y externos establecidos;
b) definir objetivos, alcance y criterios para cada auditoria individual;
c) seleccionar métodos de auditorías (ver A.1)
d) coordinar y programar auditorias y otras actividades relevantes al programa de auditorías mismo;
e) asegurar que los equipos de auditorías cuenten con las competencias necesarias (ver 5.5.4);

ISO 19011: 2018
f) ofrecer recursos en lo individual y global a los equipos de auditores (ver 5.4.4);
g) asegurar que se conduzcan las auditorias de acuerdo con el programa de auditorías, y administrando todos los
riesgos, oportunidades y aspectos clave (ej., eventos inesperados) operacionales, conforme surjan durante el
despliegue del programa;
h) asegurar que información documentada relevante y relativa a actividades de auditoria sea apropiadamente
administrada y mantenida (ver 5.5.7);
i) definir e implementar controles operacionales (ver 5.6) necesarios para el monitoreo del programa de auditorías;
j) revisar el programa de auditorías a fin de identificar oportunidades para su mejoramiento (ver 5.7).
5.5.2 Definición de objetivos, alcance y criterios para una auditoria individual
Cada auditoria individual debiera basarse en objetivos, alcance y criterios definidos. Estos debieran ser consistentes
con los objetivos globales del programa de auditorías.
Los objetivos de auditorías definen lo que se quiere lograr en cada auditoria individual y pueden incluir lo siguiente:
a) la determinación del alcance en la conformidad del sistema de administración a ser auditado, o partes de éste,
contra criterios de auditoria;
b) la evaluación de la capacidad del sistema de administración para apoyar a la organización en el cumplimiento de

requerimientos estatutarios y regulatorios relevantes y otros requerimientos a los cuales la organización se haya
comprometido;
c) la evaluación de la efectividad del sistema de administración en el cumplimiento de los resultados esperados;
d) la identificación de oportunidades para mejoramientos potenciales del sistema de administración;
e) la evaluación de la idoneidad y adecuación del sistema de administración con respecto al contexto y dirección
estratégica del auditado;
f) la evaluación de la capacidad del sistema de administración para establecer y lograr los objetivos, y abordar en
forma efectiva los riesgos y oportunidades, en un contexto cambiante, incluyendo la implementación de las
acciones relacionadas.
El alcance de la auditoria debiera ser consistente con el programa y objetivos de las auditorias mismas. Incluye
factores tales como, localizaciones físicas, unidades ó áreas organizacionales, actividades y procesos a ser
auditados, así como el período de tiempo cubierto por la auditoria.
Los criterios de auditorias son usados como referencia contra los cuales la conformidad se determina y pueden
incluir conforme apliquen políticas, procedimientos, estándares, normas, requerimientos legales, requerimientos del
sistema de administración, requerimientos contractuales, de códigos de conducta del sector u otros acuerdos
planeados.
En el caso de algún cambio a los objetivos, alcance o criterios de la auditoria, el programa de auditorias debiera ser
modificado si es necesario, y comunicado a las partes interesadas para aprobación, si es apropiado.
Cuando más de una disciplina(s) está(n) siendo auditada(s) al mismo tiempo, es importante que los objetivos,
alcance y criterios de auditoria sean consistentes con los programas de auditoría relevantes para cada disciplina.
Algunas disciplinas pueden tener un alcance que refleje la organización completa y otras pueden tener un alcance
que reflejen un subconjunto de toda la organización.
13
ISO 19011: 2018
5.5.3 Selección y determinación de métodos de auditoria
El(los) individuo(s) administrando el programa de auditorías debiera(n) seleccionar y determinar los métodos para
conducir auditorias en forma efectiva y eficiente, y dependiendo de los objetivos, alcance y criterios de auditoria
definidos.
Las auditorias pueden ejecutarse en planta, en forma remota o como una combinación. El uso de estos métodos
debiera ser adecuadamente balanceado, y basados en, entre otros, la consideración de riesgos y oportunidades
asociados.
Cuando dos o mas organizaciones de auditoria conduzcan una auditoria conjunta al mismo auditado, los individuos
administrando los diferentes programas de auditorias debieran acordar los métodos de auditoria y considerar las
implicaciones para recursos y planeación de la auditoria misma. Si una auditoria opera dos ó más sistemas de
administración de diferentes disciplinas, pueden incluirse auditorias combinadas en el programa de auditorias.
5.5.4 Selección de miembros de un equipo auditor
El(Los) individuo(s) administrando el programa de auditorias debiera asignar a los miembros del equipo auditor,
incluyendo el líder del equipo y expertos técnicos necesarios para la auditoria específica.
Un equipo auditor debiera ser seleccionado, tomando en cuenta las competencias necesarias para el logro de
objetivos de la auditoria individual y dentro del alcance definido. Si es sólo un auditor, dicho auditor debiera ejecutar
todos los deberes que aplican a un líder de equipo auditor.
NOTA La Sección/Cláusula 7 contiene guías para determinar las competencias requeridas por los miembros del equipo auditor
y describe los procesos para evaluar auditores.
Para asegurar las competencias globales del equipo auditor, debieran ejecutarse los siguientes pasos:
 la identificación de los conocimientos y habilidades necesarios para el logro de los objetivos de la auditoria;
 la selección de los miembros del equipo auditor tal que todos los conocimientos y habilidades necesarios estén
presentes en el equipo auditor mismo.
En la decisión del tamaño y composición del equipo auditor para una auditoria específica, debiera darse
consideración a lo siguiente:
a) las competencias globales del equipo auditor, necesarias para el logro de los objetivos de auditorías, y tomando
en cuenta el alcance y criterios de auditorías mismas;
b) la complejidad de las auditorias;
c) si la auditoria es combinada o conjunta;
d) los métodos de auditoria seleccionados;
e) el asegurar objetividad e imparcialidad para evitar cualquier conflicto de intereses del proceso de auditorías;
f) las habilidades de los miembros del equipo auditor para trabajar e interactuar en forma efectiva con los
representantes del auditado y las partes interesadas relevantes;
g) los aspectos clave internos/externos relevantes tales como, el lenguaje de la auditoria, y las características
sociales y culturales del auditado. Estos aspectos clave pueden ser abordados ya sea con habilidades propias de
los auditores o a través del soporte de un experto técnico, considerando también la necesidad de intérpretes;
h) el tipo y complejidad de los procesos a ser auditados.
Cuando sea apropiado el(los) individuo(s) administrando el programa de auditorías debiera(n) consultar al líder del
equipo en la composición del equipo auditor.
Si las competencias necesarias no se cubren por los auditores en el equipo auditor, expertos técnicos con
competencias adicionales debieran estar disponibles para apoyar al equipo.
Los auditores en entrenamiento pueden ser incluidos en el equipo auditor pero debieran participar bajo la dirección y
guía de un auditor.

ISO 19011: 2018
Cambios en la composición del equipo auditor pueden ser necesarios durante la auditoria, ej., si se genera un
conflicto de intereses o un aspecto clave de competencias. Si se deriva una situación, debiera ser resuelta con las
partes apropiadas (ej., líder del equipo auditor, el(los) individuo(s) administrando el programa de auditorias, el cliente
de la auditoria o el auditado) y antes de que los cambios se realicen.
5.5.5 Asignación de responsabilidades para una auditoria individual al líder del equipo auditor
El(Los) individuo(s) administrando el programa de auditorías debiera asignar las responsabilidades para conducir la
auditoria individual al líder del equipo auditor.
La asignación debiera hacerse en un tiempo suficiente previo a la fecha programada de la auditoria, a fin de
asegurar la efectiva planeación de la auditoria misma.
Para asegurar la efectiva conducción de las auditorías individuales, debiera ofrecerse la siguiente información al líder
del equipo auditor:
a) objetivos de la auditoria;
b) criterios de la auditoria y cualquier información documentada relevante;
c) alcance de la auditoria, incluyendo la identificación de la organización y sus funciones y procesos a ser
auditados;
d) los procesos de auditoria y métodos asociados;
e) la composición del equipo auditor;
f) detalles de contacto del auditado, localizaciones, esquema de tiempo y duración de las actividades de auditoria
a ser conducidas;
g) los recursos necesarios para conducir la auditoria;
h) información necesaria para evaluar y abordar riesgos y oportunidades identificados para el logro de los objetivos
de la auditoria;
i) información que soporte al(los) líder(es) del equipo auditor en sus interacciones con el auditado para la
efectividad del programa de auditorías.
La información de asignación debiera también cubrir lo siguiente, conforme sea apropiado:
 el lenguaje de trabajo y para reportes de la auditoria, donde éste sea diferente al lenguaje del auditor o del
auditado, o de ambos;
 el resultado de reporte de auditoria conforme se requiera y a quien sea distribuido;
 asuntos relacionados con confidencialidad y seguridad (security) de la información, conforme se requiera por
el programa de auditorías;
 cualquier acuerdo de seguridad, salud y ambiental para los auditores;
 requerimientos para viaje o acceso a sitios remotos;
 cualquier requerimiento de seguridad (security) y autorizaciones;
 cualquier acción a ser revisada, ej., acciones de seguimiento de auditorias previas;
 la coordinación con otras actividades de auditoria, ej., cuando diferentes equipos están auditando procesos
similares o relacionados en diferentes localizaciones o en el caso de una auditoria conjunta.
Cuando se conduzca una auditoria conjunta, es importante alcanzar un acuerdo entre las organizaciones que
conduzcan las auditorías, antes de que la auditoria misma comience, sobre responsabilidades específicas de cada
parte, y particularmente en relación a la autoridad del líder del equipo asignada para la auditoria.
15
ISO 19011: 2018
5.5.6 Administración de resultados de un programa de auditorias
El(los) individuo(s) administrando el programa de auditorías debiera(n) asegurar que las siguientes actividades sean
ejecutadas:
a) la evaluación de logro de objetivos para cada auditoria dentro del programa de auditorías;
b) la revisión y aprobación de reportes de auditorías, en relación al cumplimento del alcance y objetivos de la
auditoria misma;
c) la revisión de la efectividad de las acciones tomadas para abordar los hallazgos de auditoria;
d) la distribución de reportes de auditorías a partes interesadas relevantes;
e) la determinación de la necesidad de alguna auditoría de seguimiento.
El individuo administrando el programa de auditorías debiera considerar, cuando sea apropiado:
 La comunicación de resultados de auditorías y mejores prácticas a otras áreas de la organización, y

 Las implicaciones para otros procesos
5.5.7 Administración y mantenimiento de registros de un programa de auditorias
La persona administrando el programa de auditorias debiera asegurar que los registros de auditorias sean creados,
administrados y mantenidos para demostrar la implementación del programa de auditorias. Debieran establecerse
procesos para asegurar que cualquier necesidad de seguridad (security) y confidencialidad de la información
asociada con registros de auditorías sea abordada.
Los registros debieran incluir lo siguiente:
a) registros relacionados con el programa de auditorias tales como:

 el programa o calendario de auditorias
 los objetivos y alcance del programa de auditorías;
 aquellos riesgos y oportunidades del programa de auditorías abordándose, y aspectos clave internos y
externos relevantes;
 las revisiones de la efectividad del programa de auditorías;
b) los registros relacionados con cada auditoria tales como,

 planes y reportes de auditoria;
 evidencias de auditoria objetivas y hallazgos;
 reportes de no conformidades;
 reportes de correcciones y acciones correctivas;
 reportes de seguimientos, de auditoria;
c) registros relacionados con el personal auditor cubriendo tópicos tales como,

 competencias y evaluaciones de desempeño de los auditores;
 selección de los equipos auditores y miembros de los equipos;
 mantenimiento y mejoramiento de las competencias.
La forma y nivel de detalles de los registros debiera demostrar que los objetivos del programa de auditorías se hayan
logrado.

ISO 19011: 2018
5.6 Monitoreo de un programa de auditorias

El(Los) individuo(s) administrando el programa de auditorías debiera(n) asegurar la evaluación de:
a) si los calendarios se han cumplido y los objetivos del programa de auditorías se han logrado;
b) el desempeño de los miembros del equipo auditor incluyendo al líder del equipo auditor mismo y los expertos
técnicos;
c) la habilidad de los equipos de auditores para implementar el plan de auditoria;
d) la retroalimentación de los clientes de la auditoria, los auditados, los auditores, los expertos técnicos y otras
partes relevantes;
e) la suficiencia y adecuación de la información documentada del proceso de auditorías completo.
Algunos factores pueden indicar la necesidad de modificar el programa de auditorías. Estos pueden incluir cambios
en:
 hallazgos de auditoria;
 nivel demostrado de la efectividad y madurez del sistema de administración del auditado;
 efectividad del programa de auditorías;
 alcance de la auditoria o del programa de auditorías;
 el sistema de administración del auditado;
 normas/estándares, y otros requerimientos a los cuales la organización está comprometida;
 proveedores externos;
 conflictos de interés identificados;
 requerimientos del cliente de la auditoria.
5.7 Revisión y mejoramiento de un programa de auditorias
El(Los) individuo(s) administrando el programa de auditorías y el cliente de la auditoria debieran revisar el programa
de auditorias mismo para evaluar si sus objetivos se han logrado. Las lecciones aprendidas de revisiones de
programas de auditorias debieran ser usadas como entradas para el mejoramiento del programa.
El(Los) individuo(s) administrando el programa de auditorías debiera(n) asegurar lo siguiente:
 la revisión de la implementación global del programa de auditorías;

 la identificación de áreas y oportunidades para mejoramiento;
 la aplicación de cambios al programa de auditorías si es necesario;
 la revisión del desarrollo profesional continuo de los auditores, de acuerdo con 7.6;
 el reporte de resultados del reporte de auditorías y la revisión con el cliente de la auditoria y las partes
interesadas relevantes, conforme sea apropiado.
Las revisiones del programa de auditorías debieran considerar lo siguiente:

a) resultados y tendencias del monitoreo del programa de auditorías;
b) conformidad con los procesos del programa de auditorías y la información documentada relevante;
c) las necesidades y expectativas en evolución de las de las partes interesadas relevantes;
d) los registros del programa de auditorías;
17
ISO 19011: 2018
e) los métodos alternativos o nuevos de auditoría;
f) los métodos alternativos o nuevos para evaluar auditores
g) la efectividad de las acciones para abordar los riesgos y oportunidades y los factores internos y externos
asociados con el programa de auditorías;
h) los aspectos clave de confidencialidad y seguridad (security) de la información, en relación al programa de
auditorías.
6. Conducción de una auditoria

6.1 Generalidades
Esta cláusula o sección contiene guías para la preparación y conducción de actividades de auditorias como parte de
un programa de auditorias mismo. La Figura 2 ofrece un bosquejo de las actividades típicas de una auditoria. La
extensión ó alcance en el cual las disposiciones de esta sección apliquen depende de los objetivos y alcance de la
auditoria específica.
6.2 Iniciación de una auditoria

6.2.1 Generalidades
Cuando se inicia una auditoria se inicie, la responsabilidad para conducir la auditoria misma se mantiene en el líder
del equipo auditor asignado (ver 5.5.5) hasta que la auditoria se complete (ver 6.6).
Para iniciar una auditoria, los pasos en la Figura 1 debieran ser considerados; sin embargo, la secuencia puede
diferir dependiendo del auditado, procesos y circunstancias específicas de la auditoria misma.
6.2.2 Establecimiento del contacto con el auditado
El líder del equipo auditor debiera asegurar que se hace contacto con el auditado para:
a) confirmar canales de comunicación con los representantes del auditado;
b) confirmar la autoridad para conducir la auditoria;
c) ofrecer información relevante de los objetivos, alcance, criterios, y métodos de auditoria, y la composición del
equipo auditor, incluyendo expertos técnicos;
d) solicitar acceso a información relevante para propósitos de planeación, incluyendo información sobre los riesgos
y oportunidades que la organización haya identificado y cómo son abordados;
e) determinar los requerimientos estatutarios y regulatorios aplicables y otros requerimientos relevantes a las
actividades, procesos, productos y servicios del auditado;
f) confirmar el acuerdo con el auditado en relación al alcance en la revelación y trato de información confidencial;
g) hacer acuerdos para la auditoria incluyendo el programa/calendario;
h) determinar acuerdos específicos por localización para acceso, seguridad y salud, seguridad (security),
confidencialidad o algún otro;
i) acordar la asistencia de observadores y la necesidad de guías o interpretes para el equipo auditor;
j) determinar cualquier área de interés, preocupación o riesgos al auditado en relación a la auditoria específica;
k) resolver aspectos clave en relación a la composición del equipo auditor con el auditado o con el cliente de la
auditoria.

ISO 19011: 2018
6.2.3 Determinación de la factibilidad de una auditoria
La factibilidad de una auditoria debiera determinarse para ofrecer una confiabilidad razonable de que los objetivos de
la auditoria puedan lograrse.
La determinación de la factibilidad debiera tomar en consideración factores tales como, la disponibilidad de lo

siguiente:
a) información suficiente y apropiada para la planeación y conducción de la auditoria;

b) cooperación adecuada del auditado;
c) tiempo y recursos adecuados para conducir la auditoria.
NOTA los recursos incluyen acceso a tecnologías de información y comunicación adecuadas y apropiadas.
Cuando la auditoria no sea factible, debiera proponerse una alternativa al cliente de la auditoria misma, y en acuerdo
con el auditado
6.3 Preparación de actividades de auditoria
6.3.1 Ejecución de revisiones de información documentada
La información documentada relevante del sistema de administración del auditado debiera ser revisada, a fin de:
 recolectar información para entender las operaciones del auditado, y preparar las actividades de auditoria y los
documentos de trabajo aplicables para la auditoria misma (ver 6.3.4), ej., sobre procesos, funciones/áreas;
 establecer un bosquejo del alcance de la información documentada para determinar la posible conformidad con
los criterios de auditoria y detectar posibles áreas de preocupación tales como, deficiencias, omisiones o
conflictos.
La documentación debiera incluir, conforme aplique, los documentos y registros del sistema de administración, así
como los reportes de auditorias previos. La revisión de los documentos debiera tomar en cuenta el tamaño,
naturaleza y complejidad del sistema de administración y organización del auditado, y los objetivos y alcance de la
auditoria.
NOTA Guías sobre cómo verificar información se ofrecen en A.5.
6.3.2 Planeación de una auditoria
6.3.2.1 Enfoque basado en riesgos a la planeación
El líder del equipo auditor debiera adoptar un enfoque basado en riesgos para planear la auditoria y basada en la
información del programa de auditorías y la información documentada ofrecida por el auditado.
La planeación de una auditoria debiera considerar los riesgos de las actividades de auditoria sobre los procesos del
auditado y ofrecer las bases para un acuerdo entre el cliente de la auditoria, el equipo auditor y el auditado en
relación a la conducción de la auditoria misma. La planeación debiera facilitar una programación y coordinación
eficiente de actividades de auditoria, a fin de lograr los objetivos en forma efectiva.
La cantidad de detalles ofrecidos en el plan de auditoria debiera reflejar el alcance y complejidad de la auditoria
misma, así como los riesgos de no lograr los objetivos de la auditoria misma. En la planeación de una auditoria, el
líder del equipo auditor debiera considerar lo siguiente:
a) la composición del equipo auditor y sus competencias globales;

b) las técnicas de muestreo apropiadas (ver A.6);
c) las oportunidades para mejorar la efectividad y eficiencia de las actividades de la auditoria;
19
ISO 19011: 2018
d) los riesgos para lograr los objetivos de la auditoria, creados por una planeación inefectiva de la auditoria misma;
e) los riesgos al auditado, creados por la ejecución de la auditoria misma.
Los riesgos al auditado pueden resultar de la presencia de miembros del equipo auditor que influyan adversamente
en los acuerdos del auditado por la salud y seguridad, medio ambiente y calidad, y sus productos, servicios, personal
o infraestructura (ej., contaminación en instalaciones limpias).
Para auditorías combinadas, se debiera dar particular atención a las interacciones entre procesos operacionales y
objetivos y prioridades concernientes de los diferentes sistemas de administración.
6.3.2.2 Detalles para la planeación de auditorias
La escala y contenido de una planeación de auditoria puede diferir, por ejemplo, entre las auditorías inicial y
subsecuentes, así como entre las auditorías internas y externas. La planeación de una auditoria debiera ser lo
suficientemente flexible para permitir cambios que pudieran llegar a ser necesarios conforme avancen actividades de
la auditoria misma.
La planeación de una auditoria debiera abordar o hacer referencia a lo siguiente:
a) los objetivos de la auditoria;
b) el alcance de la auditoria, incluyendo la identificación de la organización y sus funciones, así como de los
procesos a ser auditados;
c) los criterios de auditoria y cualquier información documentada de referencia;
d) las localizaciones (físicas y virtuales), fechas, tiempos esperados y duración de las actividades de auditoria a ser
conducidas, incluyendo juntas con la administración del auditado;
e) la necesidad del equipo auditor de familiarizarse con las instalaciones y procesos del auditado (ej., conduciendo
un tour de la(s) localización(es) física(s), o revisando información y tecnologías de comunicación);
f) los métodos de auditoría a ser usados, incluyendo el alcance en el cual el muestreo de auditoria es necesario
para obtener evidencias de auditoria suficientes;
g) los roles y responsabilidades de los miembros del equipo auditor, así como de los guías y observadores, o
interpretes;
h) la asignación de recursos apropiados y en basados en la consideración de riesgos y oportunidades relacionados

con las actividades a ser auditadas.
La planeación de una auditoría debiera tomar en cuenta, conforme sea apropiado:
 la identificación del(los) representante(s) del auditado para la auditoria;
 el lenguaje de trabajo y de los reportes de la auditoria cuando éste sea diferente del lenguaje del auditor o del
auditado, o de ambos;
 los tópicos del reporte de auditoría;
 la logística y acuerdos en comunicación, incluyendo acuerdos específicos para las localizaciones a ser
auditadas;
 medidas específicas a ser tomadas para abordar efectos de incertidumbres en el logro de los objetivos de la
auditoria;
 asuntos relacionados con la confidencialidad y seguridad (security) de la información;

 acciones de seguimiento de auditorías previas;
 actividades de seguimiento para auditorias planeadas;
 coordinación con otras actividades de auditoria, en caso de una auditoria conjunta.

ISO 19011: 2018
Los planes de auditorías debieran ser presentados al auditado. Cualquier aspectos clave con los planes de
auditorías debiera ser resuelto entre el líder del equipo auditor, el auditado y, si es necesario, el(los) individuo(s)
administrando el programa de auditorías.
6.3.3 Asignación del trabajo al equipo auditor
El líder del equipo auditor, en consulta con el equipo auditor mismo, debiera asignar a cada miembro del equipo las
responsabilidades para auditar procesos, actividades, funciones ó localizaciones. Tales asignaciones debieran tomar
en cuenta la independencia y competencias de los auditores y el uso efectivo de los recursos, así como de los
diferentes roles y responsabilidades de los auditores, los auditores en entrenamiento y los expertos técnicos.
Anuncios del equipo auditor debieran mantenerse, conforme sea apropiado, por el líder del equipo auditor, a fin de
ubicar asignaciones de trabajo y decidir posibles cambios. Pueden hacerse cambios a las asignaciones de trabajo
conforme la auditoria avance y a fin de asegurar el logro de los objetivos de la auditoria.
6.3.4 Preparación de información documentada para una auditoria
Los miembros del equipo auditor debieran recolectar y revisar información relevante a sus asignaciones de auditoria
y preparar información documentada para la auditoria misma, usando cualquier medio apropiado. La información
documentada para la auditoria puede incluir aunque no se limita a:
a) checklists/listas de chequeo físicas o digitales;

b) detalles del muestreo de auditoria;
c) información audiovisual.
El uso de estos medios no debiera restringirse al alcance de las actividades de auditoria, las cuales pueden cambiar
como resultado de la información recolectada durante la auditoria misma.
NOTA Guías sobre la preparación de documentos de trabajo son ofrecidas en A.13.
La información documentada preparada para, y como resultado de, las auditorías debiera retenerse al menos hasta
que se complete la auditoria, o como se especifique en el plan de la auditoria misma. La retención de la información
documentada después de que la auditoria se complete se describe en 6.6. La información documentada creada
durante el proceso de la auditoría y que involucre información confidencial o de derechos de propiedad debiera ser
salvaguardada adecuadamente todo el tiempo por los miembros del equipo auditor.
6.4 Conducción de actividades de auditoria
6.4.1 Generalidades
Las actividades de auditoria son normalmente conducidas en una secuencia definida como se indica en la Figura 2.
Esta secuencia puede variar para adecuarse a las circunstancias de auditorias específicas.
6.4.2 Asignación de roles y responsabilidades de guías y observadores
Guías y observadores pueden acompañar al equipo auditor con la aprobación del líder del equipo auditor, el cliente
de la auditoria y/o el auditado, si se requiere. Ellos no debieran influir o interferir con la conducción de la auditoria. Si
esto no puede asegurarse, el líder del equipo auditor debiera tener el derecho a negar a los observadores a estar
presentes durante ciertas actividades de auditoria.
Para observadores, acuerdos para acceso, seguridad y salud, medio ambiente, seguridad (security) y
confidencialidad debieran ser administrados entre el cliente de la auditoria y el auditado.
21
ISO 19011: 2018
Guías, asignados por el auditado, debieran apoyar al equipo auditor y actuar a solicitud del líder del equipo auditor o
auditores a los cuales hayan sido asignados. Sus responsabilidades debieran incluir lo siguiente:
a) Asistencia a los auditores en la identificación de individuos a participar en las entrevistas y la confirmación de

tiempos y localizaciones;
b) acuerdos en el acceso a localizaciones especificas del auditado;
c) el aseguramiento de que las reglas relacionadas con acuerdos específicos por localización para acceso,
seguridad y salud, medio ambiente, seguridad (security), confidencialidad y otros aspectos clave sean
conocidos y respetados por los miembros del equipo auditor y observadores y cualquier riesgo sea abordado;
d) el atestiguamiento de la auditoria en favor del auditado, cuando sea apropiado;
e) el ofrecimiento de clarificación o asistencia en la recolección de información, cuando se necesite.
6.4.3 Conducción de junta de apertura
El propósito de la junta de apertura es:

a) confirmar el acuerdo de todos los participantes (ej., auditado(s), equipo auditor) con el plan de la auditoria;
b) presentar al equipo auditor y sus roles;
c) asegurar que todas las actividades de auditoria planeadas puedan ser ejecutadas.
Una junta de apertura debiera realizarse con la administración del auditado y, cuando sea apropiado, con aquellos
responsables de las funciones o procesos a ser auditados. Durante la junta, debiera ofrecerse la oportunidad de
hacer preguntas.
El grado de detalles debiera ser consistente con la familiaridad del auditado con el proceso de auditoría. En muchos
casos, ej., auditorías internas en una organización pequeña, la junta de apertura puede consistir simplemente en la
comunicación de que una auditoria se está conduciendo y la explicación de la naturaleza de la auditoria misma.
Para otras situaciones de auditoria, la junta puede ser formal y debieran retenerse registros de asistencia. La junta
debiera ser dirigida por el líder del equipo auditor.
La introducción de siguiente debiera ser considerada, conforme sea apropiado:
 otros participantes, incluyendo observadores y guías, intérpretes y un bosquejo de sus roles;

 los métodos de auditoria para administrar riesgos a la organización y los cuales resultes de la presencia de los
miembros del equipo auditor.
La confirmación de los siguientes aspectos debiera ser considerada, conforme sea apropiado:
 los objetivos, alcance y criterios de auditoria;

 el plan de auditoria y otros acuerdos relevantes con el auditado tales como, la fecha y tiempo para la junta de
cierre, juntas provisionales entre el equipo auditor y la administración del auditado, y cambios necesarios;
 canales de formales de comunicación entre el equipo auditor y el auditado;
 el lenguaje a ser usado durante la auditoria;
 el auditado siendo informado del avance de la auditoria durante la auditoria misma;
 la disponibilidad de recursos e instalaciones necesarios por el equipo auditor;
 asuntos relacionados con confidencialidad y seguridad (security) de la información;

ISO 19011: 2018
 acuerdos relevantes sobre acceso, seguridad y salud, seguridad (security), emergencias y otros acuerdos para el
equipo auditor;
 actividades en planta que puedan impactar la conducción de la auditoria.
En la presentación de información sobre los siguientes aspectos, debiera considerarse, conforme sea apropiado:
 el método o reporte de hallazgos de auditorías incluyendo los criterios para graduación, si existe alguna;
 las condiciones bajo las cuales la auditoria puede ser terminada;
 como tratar con los hallazgos posibles durante la auditoria;
 cualquier sistema para retroalimentación del auditado sobre los hallazgos y conclusiones de la auditoria,
incluyendo quejas o apelaciones.
6.4.4 Comunicación durante la auditoria

Durante la auditoria, puede ser necesario hacer acuerdos formales para comunicación dentro del equipo auditor, así
como con el auditado, el cliente de la auditoria y potencialmente con organismos externos (ej., agencias
reguladoras), especialmente cuando se requiera por requerimientos legales el reporte obligatorio de incumplimientos.
El equipo auditor debiera consultar periódicamente el intercambiar información, evaluar el avance de la auditoria y
reasignar trabajo entre los miembros del equipo auditor conforme sea necesario.
Durante la auditoria, el líder del equipo auditor debiera comunicar en forma periódica el avance de la auditoria y
cualquier inquietud del auditado y el cliente de la auditoria, conforme sea apropiado. Las evidencias recolectadas
durante la auditoria que sugieran un riesgo inmediato y significativo al auditado debieran ser reportadas sin retraso al
auditado mismo y, conforme sea apropiado, al cliente de la auditoria. Cualquier inquietud acerca de algún aspecto
clave fuera del alcance de la auditoria debiera ser notado y reportado al líder del equipo auditor, para posible
comunicación al cliente de la auditoria y auditado.
Cuando las evidencias de auditoria disponibles indiquen que los objetivos de la auditoria sean no alcanzables, el
líder del equipo auditor debiera reportar las razones al cliente de la auditoria y al auditado para determinar las
acciones apropiadas. Tales acciones pueden incluir la reconfirmación o modificación del plan de auditoria, los
cambios al objetivo o alcance de la auditoria o la terminación de la auditoria misma.
Cualquier necesidad de cambios en el plan de la auditoria los cuales puedan llegar a ser aparentes conforme las
actividades de auditoria avancen debieran ser revisados y aprobados, conforme sea apropiado, por la persona
administrando el programa de auditorias y el auditado.
6.4.5 Disponibilidad de acceso de información de la auditoria
Los métodos de auditoria seleccionados para una auditoria misma dependen de los objetivos alcance y criterios de
auditoria definidos, así como de la duración y localización. La localización es donde la información necesaria para las
actividades de auditoria específicas esté disponible al equipo auditor. Esto puede incluir localizaciones físicas y
virtuales.
Dónde, cuándo, y cómo accesar información de la auditoria es crucial para la auditoria misma. Esto es independiente
de dónde la información se haya creado, usada y/o almacenada. En base a estos aspectos clave, los métodos de
auditoria necesitan determinarse (ver Tabla A.1). La auditoria puede usar una mezcla de métodos. También, las
circunstancias de la auditoria pueden significar que los métodos necesiten cambiarse durante la auditoria misma.
6.4.6 Revisión de la información documentada durante la conducción de la auditoria

La información documentada relevante del auditado debiera ser revisada para:
 determinar la conformidad del sistema, en lo documentado, con criterios de auditoria;

 recolectar información que soporte las actividades de auditoria.
NOTA Guías en cómo verificar información se ofrecen en A.5.
23
ISO 19011: 2018
Las revisiones pueden combinarse con otras actividades de auditoria y pueden continuar a lo largo de la auditoria
misma, siempre y cuando esto no sea en detrimento de la efectividad de la conducción de la auditoria.
Si no puede ofrecerse información documentada adecuada dentro del esquema de tiempo ofrecido en el plan de
auditoria, el líder del equipo auditor debiera informar tanto a el(los) individuo(s) administrando el programa de
auditorías como al auditado. Dependiendo de los objetivos y alcance de la auditoria, debiera tomarse la decisión de
si la auditoria misma continua o se suspende hasta que los aspectos clave de la información documentada se
resuelvan.
6.4.7 Recolección y verificación de información
Durante la auditoria, información relevante en los objetivos, alcance y criterios dela auditoria misma, incluyendo
información relativa a interfaces entre funciones, actividades y procesos debiera ser recolectada por medios de
muestreo apropiados y debiera ser verificada en lo practico posible.
NOTA 1 Para verificación de información ver A.5
NOTA 2 Guías sobre muestreo son ofrecidas A.6
Solo información que pueda estar sujeta a un cierto grado de verificación debiera aceptarse como evidencia de
auditoria. Cuando el grado de verificación sea bajo el auditor debiera usar su juicio profesional para determinar el
grado de confiabilidad que pueda poner en las evidencias. Las evidencias de auditoria que dirijan a hallazgos de la
auditoria misma debieran ser registrados. Si durante la recolección de evidencias objetivas el equipo auditor llega a
estar consiente de circunstancias, riesgos u oportunidades nuevos o que cambiaron, estas debieran ser abordadas
por el equipo acordadamente.
La Figura 2 ofrece un bosquejo del proceso, desde la recolección de información hasta alcanzar conclusiones de la
auditoria misma.
Fuentes de información
Recolección por medios de muestreo apropiados

apropiados
Evidencias de auditoria
Evaluación contra criterios de auditoria
Hallazgos de auditoria
Revisiones
Conclusiones de auditoria
Figura 2 – Bosquejo del proceso de recolección y verificación de información
Métodos de recolección de información incluyen lo siguiente:
 entrevistas,

ISO 19011: 2018
 observaciones,
 revisiones de información documentada.
NOTA 3 Guías en la selección de fuentes de información y observación son ofrecidas en A.14.
NOTA 4 Guías en visitas de la localización del auditado son ofrecidas en A.15
NOTA 5 Guías en la conducción de entrevistas son ofrecidas en A.17
6.4.8 Generación de hallazgos de auditoria

Las evidencias de auditoría debieran ser evaluadas contra criterios de auditorías a fin de determinar hallazgos de
auditoria mismos. Los hallazgos de auditoría pueden indicar conformidad o no conformidad con criterios de auditoría.
Cuando se especifique por el plan de auditorías, los hallazgos de auditorías individuales debieran incluir conformidad
y buenas prácticas junto con sus evidencias de soporte, oportunidades para mejoramientos y recomendaciones al
auditado.
Las no conformidades y evidencias de auditoria de soporte debieran ser registradas.
Las no conformidades pueden ser graduadas dependiendo del contexto de la organización y sus riesgos. Esta
graduación puede ser cuantitativa (ej., 1 a 5) y cualitativa (ej., menor, mayor). Debieran ser revisadas con el auditado
a fin de obtener reconocimiento de que las evidencias de auditoría son exactas y que las no conformidades son
entendidas. Debiera hacerse el intento de resolver cualquier opinión divergente relativa a las evidencias y hallazgos
de las auditorías. Los aspectos clave no resueltos debieran registrarse en el reporte de auditoría.
El equipo auditor debiera cumplir a necesidad el revisar los hallazgos de auditorías en las etapas apropiadas durante
la auditoría.
NOTA 1 Guías adicionales en la identificación y evaluación de hallazgos de auditorías son ofrecidas en A.18.
NOTA 2 La conformidad o no conformidad con criterios de auditoría relacionados con requerimientos estatutarios y regulatorios u otros
requerimientos, algunas veces se refiere a cumplimientos o incumplimientos.
6.4.9 Determinación de las conclusiones de auditoria
6.4.9.1 Preparación para la junta de cierre
El equipo auditor debiera consultar previo a la junta de cierre a fin de:
a) revisar los hallazgos de auditorías y cualquier otra información apropiada recolectada durante la auditoría, contra
los objetivos de auditoría mismos;
b) acordar las conclusiones de auditorías, tomando en cuenta la incertidumbre inherente en el proceso de
auditorías mismo;
c) preparar recomendaciones, si se especifican por el plan de auditoría;
d) discutir seguimientos de auditorías, conforme sean aplicables.
6.4.9.2 Contenido de las conclusiones de la auditoria
Las conclusiones de auditorías debieran abordar aspectos clave tales como los siguientes:
a) el alcance de la conformidad con los criterios de auditoría y robustez del sistema de administración, incluyendo la
efectividad del sistema de administración misma en el cumplimiento de resultados esperados, la identificación de
riesgos y efectividad de las acciones tomadas por el auditado para abordar dichos riesgos;
b) la efectiva implementación, mantenimiento y mejoramiento del sistema de administración;
c) el logro de los objetivos de auditoría, la cobertura del alcance de la auditoría misma y el cumplimiento con los
criterios de auditoría;
d) hallazgos similares encontrados en diferentes áreas que fueron auditadas o de auditorías previas o conjuntas
para propósitos de identificación de tendencias.
25
ISO 19011: 2018
Si se especifica por el plan de auditoría, las conclusiones de auditoria puede conducir a recomendaciones para
mejoramientos o futuras actividades de auditoria.
6.4.10 Conducción de junta de cierre
Una junta de cierre debiera sostenerse para presentar los hallazgos y conclusiones de auditoría.
La junta de cierre debiera ser dirigida por el líder del equipo auditor y ser atendida por la administración del auditado,
e incluir, conforme aplique:
 aquellos responsables por las funciones o procesos que se hayan auditado;

 el cliente de la auditoría;
 otros miembros del equipo auditor;
 otras partes interesadas relevantes y como se determine por el cliente de la auditoría y/o auditado.
Si es aplicable, el líder del equipo auditor debiera aconsejar al auditado de situaciones encontradas durante la
auditoría que pudieran reducir la confiabilidad de que puedan tomarse en las conclusiones de auditoría. Si se define
en el sistema de administración o por acuerdo con el cliente de la auditoría, los participantes debieran acordar el
esquema de tiempo para un plan de acciones para abordar los hallazgos de auditoria.
El grado de los detalles debiera tomar en cuenta la efectividad del sistema de administración en el logro de los
objetivos del auditado, incluyendo consideraciones de su contexto, y riesgos y oportunidades.
La familiaridad del auditado con el proceso de la auditoría debiera también tomarse en consideración durante la junta
de cierre, para asegurar que el nivel correcto de detalles se ofrezca a los participantes.
Para algunas situaciones de auditoría, la junta puede ser formal y con minutas, incluyendo registros de asistencia,
debieran mantenerse. En otros casos, ej., auditorías internas, la junta de cierre puede ser menos formal y consistir
solamente en la comunicación de hallazgos y conclusiones de auditoría.
Conforme sea apropiado, lo siguiente debiera ser explicado al auditado en la junta de cierre:
a) el sugerir que las evidencias de auditoria recolectada se basaron en una muestra de información disponible y no
es necesaria y totalmente representativa de la efectividad global de los procesos del auditado;
b) el método de reporte;
c) el cómo los hallazgos de auditoría debieran ser abordados en base al proceso acordado;
d) las posibles consecuencias de no abordar adecuadamente los hallazgos de auditoría;
e) la presentación de los hallazgos y conclusiones de auditoría, de tal manera que sean entendidos y reconocidos
por la administración del auditado;
f) cualquier actividad posterior y relacionada con la auditoría (ej., implementación y revisión de acciones
correctivas, el abordar quejas de auditoría, el proceso de apelaciones).
Cualquier opinión divergente y relacionada con los hallazgos y conclusiones de la auditoría entre el equipo auditor y
el auditado debieran ser discutidas y, si es posible, resueltas. Si no se resuelven, esto debiera registrarse.
Si se especifica por los objetivos de la auditoría, pueden presentarse oportunidades para recomendaciones de
mejoramientos. Debiera enfatizarse que las recomendaciones no son obligatorias.

ISO 19011: 2018
6.5 Preparación y distribución del reporte de auditoria

6.5.1 Preparación del reporte de auditoria
El líder del equipo auditor debiera reportar los resultados de auditorías de acuerdo con el programa de auditorías. El
reporte de auditoria debiera ofrecer un registro completo, exacto, conciso y claro de la auditoria misma, y debiera
incluir o hacer referencia a lo siguiente:
a) los objetivos de la auditoria;

b) el alcance de la auditoria, particularmente la identificación de las unidades o procesos organizacionales y
funcionales auditados;
c) la identificación del cliente de la auditoria;
d) la identificación del equipo auditor y los participantes del auditado en la auditoria;
e) las fechas y localizaciones donde las actividades de auditoria fueron conducidas;
f) los criterios de auditoria;
g) los hallazgos de auditoria y evidencias relacionadas;
h) las conclusiones de auditoria;
i) una declaración del grado en el cual los criterios de auditoria se hayan cumplido.
j) Cualquier opinión divergente y no resuelta entre el equipo auditor y el auditado;
k) Las auditorias por naturaleza son un ejercicio de muestreo; como tales existe el riesgo de que las evidencias de
auditorías examinadas no sean representativas.
El reporte de auditoria puede también incluir o hacer referencia a lo siguiente, conforme sea apropiado:
 el plan de la auditoria incluyendo el calendario de tiempo;
 el resumen del proceso de auditoria, incluyendo obstáculos encontrados que pudieran decrementar la
confiabilidad de las conclusiones de auditoria;
 la confirmación de que los objetivos de auditoria se han logrado dentro del alcance de la auditoria y de acuerdo
con el plan de auditoria misma;
 cualquier áreas dentro del alcance de la auditoria no cubierto, incluyendo aspectos clave de disponibilidad de
evidencias, recursos o confidencialidad, con justificaciones asociadas;
 un resumen cubriendo las conclusiones de la auditoria y los hallazgos principales de la auditoria misma que lo
soporten;
 buenas practicas identificadas;
 seguimientos a planes de acción de acordados, si existe alguno;
 una declaración de la naturaleza de contenidos confidenciales;
 cualquier implicación para el programa de auditorías o auditorías subsecuentes;
6.5.2 Distribución del reporte de auditoria
El reporte de auditoria debiera ser publicado dentro del periodo de tiempo acordado. Si esto se retrasa, debieran
comunicarse las razones al auditado y a la persona administrando el programa de auditorías.
El reporte de auditoria debiera estar fechado, revisado y aprobado, conforme sea apropiado, y de acuerdo con el
programa de auditorías.
27
ISO 19011: 2018
El reporte de auditoria debiera ser distribuido a las partes interesadas relevantes y definidas en el programa de
auditorías o el plan de la auditoría.
Cuando se distribuya el reporte de auditoría, medidas apropiadas para asegurar confidencialidad debieran
considerarse.
6.6 Completado de una auditoria

Las auditorias se completan cuando todas las actividades de auditoria misma planeadas se hayan completado, o
como se haya acordado otra cosa con el cliente de la auditoria (ej., puede haber una situación inesperada que
prevenga que la auditoría sea completada de acuerdo con el plan).
La información documentada que pertenezca a la auditoria debiera ser retenida o dispuesta por acuerdo entre las
partes participantes y de acuerdo con el programa de auditorías y requerimientos aplicables.
A menos que sea requerido por ley, el equipo auditor y la persona administrando el programa de auditorías no
debiera difundir el contenido de los documentos, y cualquier otra información obtenida durante la auditoria, o el
reporte de la auditoria, a cualquier otra parte sin la aprobación explícita del cliente de la auditoria y, cuando sea
apropiado, la aprobación del auditado mismo. Si se requiere de la difusión del contenido de los documentos de
auditoria, el cliente de la auditoria y el auditado debieran ser informados lo más pronto posible.
Las lecciones aprendidas de la auditoria debieran integrarse en el proceso de mejoramiento continuo del sistema de
administración de las organizaciones auditadas
6.7 Conducción de seguimientos en una auditoria

Los resultados de una auditoria pueden, dependiendo de los objetivos de la auditoria misma, indicar la necesidad de
correcciones o acciones correctivas, u oportunidades de mejoramiento. Tales acciones son generalmente decididas
y ejecutadas por el auditado y dentro de un esquema de tiempo acordado. Conforme sea apropiado, el auditado
debiera mantener informado del estatus de estas acciones a(los) individuo(s) administrando el programa de
auditorías y/o al equipo auditor.
El completado y efectividad de estas acciones debieran ser verificados. Esta verificación puede ser parte de una
auditoria subsecuente. Los resultados debieran ser reportados al individuo administrando el programa de auditorías
y al cliente de la auditoria para revisiones directivas/gerenciales.
7. Competencias y evaluaciones de auditores

7.1 Generalidades
La confiabilidad en el proceso de auditorías y las habilidades para el logro de los objetivos depende de las
competencias de aquellos individuos que estén involucrados en la planeación y conducción de las auditorías
mismas, incluyendo auditores y líderes de equipos auditores. Las competencias debieran ser evaluadas a través de
un proceso que considere el comportamiento personal y las habilidades para aplicar conocimientos y habilidades
mismas logradas a través de educación, experiencia de trabajo, entrenamiento en auditorías y experiencia en
auditorías mismas. Este proceso debiera tomar en cuenta las necesidades del programa de auditorías y sus
objetivos. Algunos de los conocimientos y habilidades descritos en 7.2.3 son comunes a los auditores de cualquier
disciplina de sistemas de administración; otros son específicos a disciplinas de sistemas de administración
individuales. No es necesario que cada auditor en un equipo auditor mismo cuente con las mismas competencias;
sin embargo, las competencias globales del equipo auditor necesitan ser suficientes para el logro de los objetivos de
auditoria.
La evaluación de las competencias de los auditores debiera ser planeada, implementada y documentada para
ofrecer un resultado que sea objetivo, consistente, justo y confiable. El proceso de evaluación debiera incluir cuatro
pasos principales, como sigue:
a) determinación de las competencias del personal auditor para cumplir con las necesidades del programa de
auditorías;
b) establecimiento de los criterios de evaluaciones;
c) selección de métodos de evaluación apropiados;
ISO 19011: 2018
d) conducción de evaluaciones.
Los resultados del proceso de evaluaciones debieran ofrecer bases para lo siguiente:
 selección de los miembros del equipo auditor como se describe en 5.4.4;
 la determinación y necesidades para mejorar competencias (ej. entrenamiento adicional);
 la continua evaluación del desempeño de los auditores.
Los auditores debieran desarrollar, mantener y mejorar sus competencias a través del desarrollo profesional continuo
y la participación regular en auditorías (ver 7.6).
Un proceso para evaluación de auditores y líderes de equipos auditores es descrito en 7.3, 7.4 y 7.5.
Los auditores y líderes de equipos auditores debieran ser evaluados contra criterios establecidos en 7.2.2 y 7.2.3, así
como los criterios establecidos en 7.1.
Las competencias requeridas del(los) individuo(s) administrando el programa de auditorías son descritas en 5.4.2.
7.2 Determinación de las competencias de los auditores
7.2.1 Generalidades
En la decisión de las competencias necesarias para una auditoría, los conocimientos y habilidades de los auditores
relacionados con lo siguiente debieran considerarse:
a) el tamaño, naturaleza y complejidad de la organización a ser auditada;

b) las disciplinas de sistemas de administración a ser auditadas;
c) los objetivos y alcance del programa de auditorías;
d) otros requerimientos tales como, aquellos impuestos por organismos internos, cuando sea apropiado;
e) el rol del procedo de auditorías en el sistema de administración del auditado;
f) la complejidad del sistema de administración a ser auditado;
g) la incertidumbre en el logro de los objetivos de auditoria;
h) otros requerimientos tales como, aquellos impuestos por el cliente de la auditoria u otras partes interesadas
relevantes cuando sea apropiado.
Esta información debiera ser cotejada contra la que se lista en 7.2.3.
7.2.2 Comportamiento personal
Los auditores debieran contar con cualidades necesarias que les permitan actuar de acuerdo con los principios de
auditorías como son descritos en la Cláusula/Sección 4. Los auditores debieran exhibir un comportamiento
profesional durante el desempeño de las actividades de auditoria, incluyendo el ser:
a) ético, ej., justo, veraz, sincero, honesto y discreto;

b) de mente abierta, ej., deseando considerar ideas o puntos de vista alternativos;
c) diplomático, ej., táctico en el trato con la gente;
d) observador, ej., observando físicamente sus alrededores y actividades de forma activa;
e) perceptivo, ej., consciente y capaz de entender situaciones;
f) versátil, ej., que es capaz de adaptarse fácilmente a diferentes situaciones;
29
ISO 19011: 2018
g) tenaz, ej., persistente, y enfocado al logro de objetivos;

h) decisivo, ej., que es capaz de alcanzar conclusiones oportunas en base a razonamiento y análisis lógicos;
i) auto confiable, ej., que es capaz de actuar y funcionar en forma independiente y a la vez interactuar en forma
efectiva con otros;
j) actuar con fortaleza, ej., que es capaz de actuar responsable y éticamente, aunque estas acciones no siempre
sean populares y puedan algunas veces resultar en desacuerdo ó confrontación;
k) abierto a mejoramientos, ej., deseando aprender de situaciones, y esforzándose por mejores resultados de
auditorias;
l) sensible culturalmente, ej., observador y respetuoso de la cultura del auditado;
m) colaborativo, ej., interactuar en forma efectiva con otros, incluyendo a los miembros del equipo auditor y el
personal del auditado.
7.2.3 Conocimientos y habilidades

7.2.3.1 Generalidades
Los auditores debieran contar con:
a) conocimientos y habilidades necesarias para el logro de los resultados esperados de auditorías que se espera
ejecuten;
b) las competencias genéricas y nivel de conocimientos y habilidades de la disciplina, y sector específicos.
Los líderes de equipo auditores debieran contar con conocimientos y habilidades adicionales y necesarios para
ofrecer liderazgo al equipo auditor
7.2.3.2 Conocimientos y habilidades genéricas para auditores de sistemas de administración
Los auditores debieran contar con conocimientos y habilidades en las áreas bosquejadas abajo.
a) Principios de auditorías, procesos y métodos: los conocimientos y habilidades en esta área permiten a los
auditores asegurar que las auditorias son ejecutadas en forma consistente y sistemática.
Los auditores debieran ser capaces de:

 entender los tipos de riesgos y oportunidades asociados con auditorias y los principios del enfoque basado
en riesgos a las auditorias mismas;
 planear y organizar el trabajo en forma efectiva;
 ejecutar las auditorias dentro del calendario de tiempo acordado;
 priorizar y enfocarse en asuntos de significancia;
 comunicar en forma efectiva, oralmente y por escrito (ya sea personalmente o a través del uso de
intérpretes);
 recolectar información a través de entrevistas efectivas, escuchando, observando y revisando información
documentada, incluyendo registros y datos;
 entender lo apropiado y las consecuencias de usar técnicas de muestreo para auditorias;
 entender y considerar opiniones de expertos técnicos;
 auditar un proceso de principio a fin, incluyendo las interrelaciones con otros procesos y las diferentes
funciones, cuando sea apropiado;
 verificar la relevancia y exactitud de la información recolectada;

ISO 19011: 2018
 confirmar la suficiencia y lo apropiado de las evidencias de auditoria para soportar hallazgos y

conclusiones de auditorías mismas;
 evaluar aquellos factores que puedan afectar la confiabilidad de los hallazgos y conclusiones de auditoria;
 documentar actividades y hallazgos de auditorías, y preparar reportes;
 mantener la confidencialidad y seguridad (security) de la información.
b) Normas de sistemas de administración y otras referencias: los conocimientos y habilidades en esta área
permiten a los auditores entender el alcance de una auditoria y aplicación de criterios de auditoria misma, y
debieran cubrir los siguiente:
 Normas o estándares de sistemas de administración u otra normativa o guías/documentos de soporte
usados para establecer criterios o métodos de auditorías mismas;
 la aplicación de normas o estándares de sistemas de administración por el auditado y otras organizaciones;
 relaciones e interacciones entre los procesos del sistema de administración;
 entendimiento de la importancia y prioridad de normas o estándares o referencias múltiples;
 la aplicación de normas o estándares o referencias de las diferentes situaciones de auditorias;
c) La organización y su contexto: Los conocimientos y habilidades en esta área permiten a los auditores
comprender la estructura, negocios y prácticas administrativas del auditado, y debieran cubrir lo siguiente:
 Necesidades y expectativas de las partes interesadas relevantes que impacten el sistema de
administración;
 Tipo de la organización, gobernanza, tamaño, estructura, funciones y relaciones;
 conceptos generales de negocios y administración, procesos y terminología relacionada, incluyendo
planeación, presupuesto y administración de individuos;
 aspectos culturales y sociales del auditado.
d) Requerimientos legales y contractuales y otros, que apliquen al auditado: conocimientos y habilidades en
esta área permiten a los auditores estar conscientes de, y dentro del trabajo, los requerimientos legales y
contractuales de la organización. Los conocimientos y habilidades específicas de la jurisdicción o de las
actividades o productos del auditado debieran cubrir lo siguiente:
 leyes y regulaciones y sus agencias gubernamentales;
 terminología legal básica;
 contratos y aspectos legales.
NOTA la concientización en requerimientos estatutarios y regulatorios no implica experiencia legal y una auditoria de
sistemas de administración no debiera ser tratada como una auditoria de cumplimiento legal.
7.2.3.3 Competencias de los auditores por disciplina y sector específicos
Los equipos de auditores debieran tener competencias apropiadas y en forma colectiva de la disciplina y sector
específicos para auditar tipos de sistemas de administración y sectores particulares.
Las competencias de auditores en disciplinas y sectores específicos incluyen lo siguiente:
a) requerimientos y principios de sistemas de administración, y su aplicación;

b) fundamentos de la(s) disciplina(s) y sector(es) relacionados con las normas de sistemas de administración y
como se aplique por el auditado;
c) aplicación de métodos, técnicas, procesos y prácticas por disciplina y sector específico que permitan al equipo
auditor evaluar la conformidad dentro del alcance de auditoria definido y generar hallazgos y conclusiones de
auditoria apropiados
31
ISO 19011: 2018
d) principios métodos y técnicas relevantes a la disciplina y sector tales como, que el auditor pueda determinar y
evaluar riesgos y oportunidades asociados con los objetivos de auditoria.
7.2.3.4 Competencias genéricas de líderes de equipos auditores

A fin de facilitar la conducción eficiente y efectiva de una auditoria, el líder del equipo de auditoria debiera contar con
las competencias para:
a) planear la auditoria y asignar tareas de auditoria misma de acuerdo con las competencias específicas e
individuales de los miembros del equipo auditor;
b) discutir aspectos clave estratégicos con la alta administración del auditado para determinar si han considerado
dichos aspectos clave cuando se evalúen sus riesgos y oportunidades;
c) desarrollar y mantener una relación de trabajo colaborativa entre los miembros del equipo auditor;
d) administrar el proceso de auditoría, incluyendo:
 planear la auditoria y hacer un uso efectivo de recursos durante la auditoria misma;
 administración de incertidumbres para el logro de los objetivos de la auditoria;
 protección de la salud y seguridad de los miembros del equipo auditor durante la auditoria, incluyendo el
asegurar cumplimiento de los auditores con acuerdos relevantes de seguridad y salud, y seguridad
(security) mismos;
 organizar y dirigir a los miembros del equipo auditor;
 ofrecer dirección y guía a los auditores en entrenamiento;
 prevención y resolución de conflictos, conforme sea necesario;
e) representar al equipo auditor en comunicaciones con el(los) individuo(s) administrando el programa de
auditorías, el cliente de la auditoria y el auditado;
f) dirigir al equipo auditor para alcanzar las conclusiones de auditoría;
g) preparar y completar el reporte de auditoria.
7.2.3.5 Conocimientos y habilidades para auditorías de disciplinas múltiples

Cuando se auditen sistemas de administración de disciplinas múltiples, los miembros del equipo auditor debieran
contar con un entendimiento en las interacciones y sinergia entre los diferentes sistemas de administración.
Los líderes del equipo auditor debieran entender los requerimientos de cada una de las normas de sistemas de
administración a ser auditados y reconocer los límites de sus competencias en cada una de las disciplinas.
NOTA las auditorias de disciplinas múltiples hechas en forma simultanea pueden hacerse como una auditoria combinada o como
una auditoria de sistemas de administración integrados que cubren disciplinas múltiples.
7.2.4 Logro de competencias de auditores
Las competencias de los auditores pueden adquirirse usando una combinación de lo siguiente:
a) La terminación exitosa de programas de entrenamiento que cubran los conocimientos y habilidades genéricos de
auditor:
b) experiencia en posiciones técnicas, administrativas o profesionales relevantes involucrando el del ejercicio del
juicio, toma de decisiones, solución de problemas y comunicación con gerentes, profesionales, colegas, clientes
y otras partes interesadas relevantes;
c) educación/entrenamiento y experiencia en alguna disciplina y sector específicos de sistemas de administración
que contribuya al desarrollo de las competencias globales;
ISO 19011: 2018
d) experiencia en auditorías lograda bajo la supervisión de un auditor en la misma disciplina.
NOTA La terminación exitosa de un curso de entrenamiento depende del tipo de curso mismo. Para cursos con el componente
de un examen, puede significar la aprobación del examen mismo en forma exitosa. Para otros cursos, puede significar la
participación y terminado del curso mismo.
7.2.5 Logro de competencias de líderes de equipos auditores

Un líder de equipo auditor debiera adquirir experiencia en auditorias adicional para lograr las competencias descritas
en 7.2.3.4. Esta experiencia adicional debiera ser conseguida trabajando bajo la dirección y guía de otro líder de
equipo auditor diferente.
7.3 Establecimiento de criterios de evaluaciones de auditores

Los criterios pueden ser cualitativos (tales como, haber demostrado comportamiento personal, conocimientos o
desempeño de habilidades, entrenamiento o en el lugar de trabajo) y cuantitativos (tales como, años de experiencia
de trabajo y educación, número de auditorias conducidas, horas de entrenamiento en auditorias).
7.4 Selección de métodos apropiados para evaluaciones de auditores

La evaluación debiera conducirse usando uno o más de los métodos seleccionados de los indicados en la Tabla 2.
En el uso de la Tabla 2, debiera notarse lo siguiente:
a) Los métodos bosquejados representan un rango de opciones y pueden no aplicarse en todas las situaciones;
b) Los diferentes métodos bosquejados pueden diferir en su confiabilidad;
c) Debiera utilizarse una combinación de métodos para asegurar que los resultados sean objetivos, consistentes,
justos y confiables.
Tabla 2 – Métodos de evaluación de auditores
Método de evaluación Objetivos Ejemplos

Análisis de registros de educación,
entrenamiento, empleo, credenciales
Revisión de registros Verificar los fundamentos del auditor
profesionales y experiencia en
auditorias
Encuestas, cuestionarios, referencias
Ofrecer información acerca de cómo se percibe el personales, testimonios, quejas,
Retroalimentación
desempeño del auditor evaluaciones de desempeño,
revisiones
Evaluar el comportamiento personal y las
habilidades de comunicación, para verificar
Entrevistas Entrevistas personales
información y probar conocimientos, y obtener
información adicional
Evaluar el comportamiento personal y las
Toma de roles, auditorias de testigo,
Observaciones habilidades para aplicar conocimientos y
desempeño en el trabajo
habilidades mismas
Evaluar el comportamiento personal y Exámenes orales y escritos, pruebas
Pruebas
conocimientos y habilidades, y su aplicación psicométricas
Revisiones del reporte de auditoria
Ofrecer información del desempeño del auditor, entrevistas con el líder del equipo
Revisiones post-
durante actividades de auditoria, e identificar auditor, el equipo auditor, y si es
auditoria
fuerzas y debilidades apropiado, retroalimentación del
auditado.
7.5 Conducción de evaluaciones de auditores

La información recolectada acerca de los auditores bajo evaluación debiera compararse contra los criterios
establecidos en 7.2.3. Cuando los auditores bajo evaluación que se espera participen en el programa de auditorías
33
ISO 19011: 2018
no cumplen con los criterios, entonces entrenamiento, trabajo y experiencia adicional en auditorias debiera
realizarse, y una re evaluación subsecuente debiera ejecutarse.
7.6 Mantenimiento y mejoramiento de competencias de auditores

Los auditores y líderes de equipos auditores debieran mejorar continuamente sus competencias. Los auditores
debieran mantener sus competencias de auditoria a través de la participación regular en auditorias de sistemas de
administración y desarrollo profesional continuo. Esto puede lograrse a través de medios tales como experiencia de
trabajo adicional, entrenamiento, estudio particular, coaching, asistencia a juntas, seminarios y conferencias, u otras
actividades relevantes.
El(los) individuo(s) administrando el programa de auditorías debiera(n) establecer mecanismos adecuados para la
evaluación continua del desempeño de los auditores, y líderes de equipos auditores.
Las actividades de desarrollo profesional continuo debieran tomar en cuenta lo siguiente:
a) cambios en las necesidades de los individuos y los responsables de la organización para conducir las auditorias;
b) desarrollos en la práctica de auditorías incluyendo el uso de tecnología;
c) normas o estándares relevantes incluyendo documentos de guía/soporte y otros requerimientos;
d) cambios en el sector o disciplinas.

ISO 19011: 2018
Anexo A
(informativo)
Guías adicionales para auditores planeando y conduciendo auditorias
A.1 Aplicación de métodos de auditoría
Una auditoria puede ejecutarse en un rango de diferentes métodos de auditoria mismos. Una explicación de los
métodos de auditoria comúnmente usados puede encontrarse en este anexo. Los métodos seleccionados para una
auditoria dependen de los objetivos definidos de la auditoria misma, el alcance y los criterios, así como la duración y
localización. Las competencias de auditores disponibles y cualquier otra incertidumbre que se derive de la
aplicación de los métodos de auditorias debieran ser también considerados. La aplicación de una variedad y
combinación de diferentes métodos de auditorias puede optimizar la eficiencia y efectividad del proceso de
auditorias y sus resultados.
El desempeño de una auditoria involucra interacciones entre individuos con el sistema de administración siendo
auditado y la tecnología usada para conducir las auditorias. La Tabla A.1 ofrece ejemplos de métodos de auditorias
que pueden ser usados, en forma única ó una combinación, a fin de lograr los objetivos de la auditoria misma. Si
una auditoria involucra el uso de un equipo auditor con miembros múltiples, ambos métodos en planta y remotos
pueden ser usados simultáneamente.
NOTA Información adicional acerca de visitas físicas en localizaciones es ofrecida en A.15.
Tabla A.1 – Métodos de auditorias
Alcance del Localización del auditor

involucramiento entre el
auditor y el auditado En planta Remoto
Interacción humana Conducción de entrevistas. Vía comunicación interactiva significa:

Completado de checklists y - conducción de entrevistas;
cuestionarios con la participación - observación de trabajo ejecutado con
del auditado. guías remotas;
Conducción de revisiones de - completado de checklists y cuestionarios;
documentos con la participación - conducción de revisiones de documentos
del auditado. con la participación del auditado.
Muestreo.
No interacción humana Conducción de revisiones de Conducción de revisiones de documentos

documentos (ej., registros, análisis (ej., registros, análisis de datos).
de datos). Observación del trabajo ejecutado, vía
Observación de trabajo ejecutado. medios de vigilancia, considerando
Conducción de visitas en planta. requerimientos sociales, estatutarios y
Completado de checklists. regulatorios.
Muestreo (ej., productos) Análisis de datos.
Las actividades de auditoria en planta son ejecutadas en la localización del auditado. Actividades de auditoria remotas son
ejecutadas en cualquier lugar diferente a la localización del auditado, independientemente de la distancia.
Actividades de auditoria interactivas involucran la interacción entre personal del auditado y el equipo auditor. Actividades de auditoria
no interactivas involucran no interacción humana con individuos que representen al auditado pero que se involucran con la
interacción con equipo, instalaciones y documentación.
La responsabilidad de la aplicación efectiva de métodos de auditorias para una cierta auditoria en la etapa de
planeación se mantiene en el(los) individuo(s) administrando el programa de auditorías o en el líder del equipo
auditor. El líder del equipo auditor tiene esta responsabilidad para conducir actividades de auditoria.
35
ISO 19011: 2018
La factibilidad de actividades de auditoria remotas puede depender de varios factores (ej., el nivel de riesgo para el
logro de objetivos de auditorías, el nivel de confiabilidad entre el auditor y el personal auditado y los requerimientos
regulatorios).
Al nivel del programa de auditorias, debiera asegurarse que el uso y aplicación de métodos de auditorias remotas ó
en planta sea adecuado y balanceado, a fin de asegurar un logro satisfactorio de los objetivos del programa de
auditorias.
A.2 Enfoque de procesos a las auditorias
El uso del “enfoque de procesos” es un requerimiento para todas las normas/estándares de sistemas de
administración de ISO, de acuerdo con las Directrices ISO/IEC, Parte 1, Anexo SL. Los auditores debieran entender
que auditar un sistema de administración es auditar los procesos de la organización y sus interacciones en relación
a una o más norma(s) de sistemas de administración. Resultados consistentes y predecibles se logran de una forma
más efectiva y eficiente cuando las actividades son entendidas y administradas como procesos interrelacionados
que funcionan como un sistema coherente.
A.3 Juicio profesional
Los auditores debieran aplicar juicio profesional durante el proceso de auditoría y evitar concentrarse en
requerimientos específicos de cada sección/cláusulas de la norma, a expensas de lograr el resultado esperado del
sistema de administración. Algunas secciones/cláusulas de las normas ISO de sistemas de administración no
permiten por si mismas auditar en términos de comparación entre un conjunto de criterios y el contenido de un
procedimiento o instrucción de trabajo. En estas situaciones, los auditores debieran usar su juicio profesional para
determinar si la intención de la sección/clausula se cumple.
A.4 Resultados de desempeño
Los auditores debieran enfocarse al resultado esperado del sistema de administración a través del proceso de
auditorías, aún y cuando los procesos y lo que estos logren sea importante, el resultado del sistema de
administración y su desempeño es lo que cuenta. Es también importante considerar el nivel de integración de los
diferentes sistemas de administración y sus resultados esperados.
La ausencia de un proceso o documentación puede ser importante en un alto riesgo u organización compleja pero
no ser significativo en otras organizaciones.
A.5 Verificación de información
En la medida de lo práctico, los auditores debieran considerar si la información ofrece evidencia objetiva y suficiente
para demostrar que los requerimientos se cumplen tal que sea:
a) completa (todo el contenido esperado está en la información documentada);

b) correcta (el contenido cumple con otras fuentes confiables tales como normas/estándares y regulaciones);
c) consistente (la información documentada es consistente consigo misma y con los documentos relacionados);
d) actual (el contenido esta actualizado).
Debiera también considerarse si la información a ser verificada ofrece evidencia objetiva suficiente para demostrar
que el requerimiento se ha cumplido.
Si la información se ofrece de otra manera a la esperada (ej., por diferentes individuos, medios alternativos), debiera
evaluarse la integridad de las evidencias.
Se necesita cuidado específico para la seguridad (security) de la información debido a regulaciones que apliquen
sobre la protección de datos (en particular para información que este fuera del alcance de la auditoria, pero que
también este contenida en los documentos).

ISO 19011: 2018
A.6 Muestreo
A.6.1 Generalidades
El muestreo en las auditorias toma lugar cuando no es práctico ó efectivo en costo examinar toda la información
durante una auditoria, ej., los registros son muy numerosos ó muy dispersos geográficamente como para justificar el
examinar cada elemento ó ítem en la población. El muestreo en las auditorias de una población grande es el
proceso de seleccionar menos del 100% de los elementos ó ítems dentro del total del conjunto (población) de datos
disponibles para obtener y evaluar evidencias acerca de alguna característica de la población misma, y a fin de
formar una conclusión respecto de la población.
El objetivo del muestreo en las auditorias es ofrecer información para el auditor que cuente con la confiabilidad de
que los objetivos de la auditoria puedan ó sean logrados.
Los riesgos asociados con el muestreo es que las muestras pueden no ser representativas de la población de la
cual fueron seleccionadas, y por tanto que las conclusiones del auditor sean sesgadas y sean diferentes de lo que
se haya alcanzado si la población completa fuera examinada. Puede haber otros riesgos dependiendo de la
variabilidad dentro de la población a muestrear y el método seleccionado.
El muestreo en las auditorias típicamente involucra los siguientes pasos:
a) establecimiento de objetivos del plan de muestreo;

b) selección del alcance y composición de la población a ser muestreada;
c) selección del método de muestreo;
d) determinación del tamaño de muestra a tomar;
e) conducción de la actividad de muestreo;
f) recopilación, evaluación, reporte y documentación de resultados.
Cuando se muestree, debiera darse consideración a la calidad de los datos disponibles, dado que un muestreo
insuficiente y datos inexactos no ofrecen un resultado útil. La selección de una muestra apropiada debiera basarse
tanto en un método de muestreo como en el tipo de datos requeridos, ej., para inferir un patrón de comportamiento
particular u obtener inferencias a partir de una población.
El reporte de la muestra seleccionada pudiera tomar en cuenta el tamaño de la muestra, el método de selección y
los estimativos basados en la muestra y el nivel de confiabilidad.
Las auditorias pueden usar ya sea el muestreo basado en el juicio (ver A.6.2) o el muestreo estadístico (ver A.6.3).
A.6.2 Muestreo basado en el juicio
El muestreo basado en el juicio confía en el conocimiento, habilidades y experiencia del equipo auditor (ver
Cláusula/ Sección 7).
Para el muestreo basado en el juicio, lo siguiente puede ser considerado:

a) experiencia en auditorias previas dentro del alcance de la auditoria;
b) complejidad de los requerimientos (incluyendo requerimientos legales) para lograr los objetivos de la auditoria;
c) complejidad e interacción de los procesos y elementos del sistema de administración de la organización;
d) grado de cambios en la tecnología, factores humanos ó sistema de administración mismo;
e) áreas de riesgo y de mejoramientos clave identificadas previamente;
f) resultados de monitoreo de sistemas de administración.
Una desventaja del muestreo basado en el juicio es que no hay un estimativo estadístico del efecto en la
incertidumbre en los hallazgos de la auditoria y en las conclusiones alcanzadas.
37
ISO 19011: 2018
A.6.3 Muestreo estadístico
Si las decisiones se toman con el uso del muestreo estadístico, el plan de muestreo debiera basarse en los
objetivos de la auditoria y en lo conocido acerca de las características de la población global de la cual las muestras
serán tomadas.
El diseño de un muestreo estadístico usa un proceso de selección de una muestra basado en la teoría de la
probabilidad. El muestreo basado en atributos es usado cuando sólo hay dos posibles resultados en la muestra (ej.,
correcto / incorrecto O pasa/falla). El muestreo basado en variables se usa cuando los resultados de la muestra
ocurren en un rango continuo.
El plan de muestreo debiera tomar en cuenta si los resultados siendo examinados son probables de ser basados en
atributos ó variables. Por ejemplo, cuando se evalúe la conformidad con formas completadas con los requerimientos
establecidos en un procedimiento, el enfoque basado en atributos pudiera ser usado. Cuando se examine la
ocurrencia de incidentes en la seguridad de los alimentos o el número de infracciones de seguridad (security), el
enfoque basado en variables pudiera ser probable como más apropiado.
Los elementos que pueden afectar el plan de muestreo de las auditorias son:
a) el contexto, tamaño, naturaleza y complejidad de la organización;

b) el número de auditores competentes;
c) la frecuencia de las auditorias durante el año;
d) el tiempo de las auditorias individuales;
e) algún nivel de confiabilidad requerido externamente;
f) la ocurrencia de eventos no deseables y/o inesperados
Cuando se desarrolle un plan de muestreo estadístico, el nivel de riesgo que el auditor esté deseando aceptar es
una importante consideración. Esto a menudo es referido como nivel de confiabilidad aceptable. Por ejemplo, un
riesgo del 5% en el muestreo corresponde a un nivel de confiabilidad del 95%. Un riesgo del 5% en el muestreo
significa que el auditor está deseando aceptar el riesgo de que en 5 de cada 100 (ó 1 en 20) muestras examinadas
no reflejen los valores actuales que se hayan visto si la población entera se examinara.
Cuando se use muestreo estadístico, los auditores debieran documentar apropiadamente el trabajo ejecutado. Esto
debiera incluir una descripción de la población que se intentó muestrear, los criterios de muestreo usados para la
evaluación (ej., cual es una muestra aceptable), los parámetros y métodos estadísticos que fueron utilizados, el
número de muestras evaluadas y los resultados obtenidos.
A.7 Auditorias de cumplimiento dentro de los sistemas de administración
El equipo auditor debiera considerar si el auditado cuenta con procesos efectivos para:
a) identificación de sus requerimientos estatutarios y regulatorios y otros requerimientos a los que este
comprometido;
b) administración de sus actividades, productos y servicios para el logro del cumplimiento con estos
requerimientos;
c) evaluación de su status de cumplimiento.
Además de guías genéricas ofrecidas en este documento, cuando se evalúen los procesos que el auditado ha
implementado para asegurar cumplimiento con requerimientos relevantes, el equipo auditor debiera considerar si el
auditado:
1) cuenta con un proceso efectivo para identificar cambios en los requerimientos de cumplimiento y para
considerarlos como parte de la administración de cambios;
2) cuenta con individuos competentes para administrar sus procesos de cumplimiento;

ISO 19011: 2018
3) mantiene y ofrece información documentada apropiada de su status de cumplimiento como sea requerido por
los reguladores u otras partes interesadas;
4) incluye requerimientos de cumplimiento en su programa de auditorías internas;
5) aborda cualquier situación de incumplimiento;
6) considera desempeño en el cumplimiento en sus revisiones directivas/gerenciales.
A.8 Auditorias al contexto
Muchas normas de sistemas de administración requieren que las organizaciones determinen su contexto,
incluyendo necesidades y expectativas de partes interesadas relevantes y aspectos clave internos y externos. Para
hacer esto, las organizaciones pueden usar varias técnicas para análisis y planeación estratégicos.
Los auditores debieran confirmar que se han desarrollado procesos adecuados para esto y son usados en forma
efectiva, de forma tal que sus resultados ofrezcan bases confiables para determinar el alcance y desarrollo del
sistema de administración. Para hacer esto, los auditores debieran considerar evidencias objetivas relacionadas con
lo siguiente:
a) el(los) proceso(s) o método(s) usados;

b) la adecuación y competencias de los individuos que contribuyan al(los) proceso(s);
c) los resultados del(os) proceso(s);
d) la aplicación de los resultados para determinar el alcance y desarrollo del sistema de administración;
e) revisiones periódicas del contexto, conforme sea apropiado;
Los auditores debieran contar con conocimientos y entendimiento específicos del sector de las herramientas de
administración que las organizaciones pueden usar a fin de hacer un juicio relativo a la efectividad de los procesos
usados para determinar el contexto.
A.9 Auditorias al liderazgo y compromiso
Muchas normas de sistemas de administración han incrementado sus requerimientos para la alta administración.
Estos requerimientos incluyen el demostrar compromiso y liderazgo tomando responsabilidad por la efectividad del
sistema de administración y cumpliendo con un cierto número de responsabilidades. Estas incluyen tareas que la
alta administración debiera ejecutar por sí misma y otras que pueden ser delegadas.
Los auditores debieran obtener evidencias objetivas del grado en el cual la alta administración está involucrada en
la toma de decisiones relacionada con el sistema de administración y como se demuestra el compromiso para
asegurar su efectividad. Esto puede lograrse revisando los resultados de procesos relevantes (por ejemplo,
políticas, objetivos, recursos disponibles, comunicados de la alta administración) y entrevistando a staff para
determinar el grado de compromiso de la alta administración.
Los auditores debieran también buscar entrevistar a la alta administración para confirmar que tienen un
entendimiento adecuado de aspectos clave y específicos por disciplina y que son relevantes a su sistema de
administración, y junto con el contexto con el cual su organización opere, de forma tal que puedan asegurar que el
sistema de administración logre sus resultados esperados.
Los auditores no solo debieran enfocarse al liderazgo en los niveles de la alta administración, sino también debieran
auditar el liderazgo y compromiso de otros niveles de administración, conforme sea apropiado.
39
ISO 19011: 2018
A.10 Auditorias de riesgos y oportunidades
Como parte de la asignación de una auditoria individual, la determinación y administración de los riesgos y
oportunidades de la organización pueden ser incluidos. Los objetivos centrales para tal asignación de auditoría son:
- ofrecer aseguramiento en la credibilidad de(los) proceso(s) para identificación de riesgos y oportunidades;

- ofrecer aseguramiento de que los riesgos y oportunidades sean determinados y administrados correctamente;
- revisar cómo la organización aborde sus riesgos y oportunidades determinados.
Una auditoria al enfoque de la organización para la determinación de riesgos y oportunidades no debiera ejecutarse
como una actividad por sí misma. Debiera ser implícita durante la auditoria completa de un sistema de
administración, incluyéndose durante las entrevistas a la alta administración. Un auditor debiera actuar de acuerdo
con los siguientes pasos y recolectar evidencias objetivas como sigue:
a) entradas usadas por la organización para determinar sus riesgos y oportunidades, y las cuales pueden incluir:
- análisis de factores clave internos y externos;
- dirección estratégica de la organización;
- partes interesadas, relacionadas con el sistema de administración de la disciplina específica y sus
requerimientos, también:
- fuentes potenciales de riesgos tales como, aspectos ambientales, y peligros de seguridad, etc.
b) método con el cual son evaluados los riesgos y oportunidades, y el cual puede diferir entre disciplinas y
sectores.
El trato de la organización y sus riesgos y oportunidades, incluyendo el nivel de riesgos que desee aceptar y cómo
son controlados, requerirán de la aplicación del juicio profesional del auditor.
A.11 Ciclo de vida
Algunos sistemas de administración de disciplinas específicas requieren de la aplicación de una perspectiva de ciclo
de vida para sus productos y servicios. Los auditores no debieran considerar éste como un requerimiento para
adoptar el enfoque del ciclo de vida. Una perspectiva de ciclo de vida involucra la consideración del control e
influencia que la organización tiene sobre las etapas o fases de los ciclos de vida de sus productos y servicios. Las
etapas en un ciclo de vida incluyen la adquisición de materias primas, el diseño, la producción, el transporte/envío,
el uso, el final del tratamiento de vida y la disposición final. Éste enfoque permite que la organización identifique
aquellas áreas donde, y en consideración con su alcance, pueda minimizar sus impactos en el medio ambiente
cuando se agregue valor a la organización. El auditor debiera usar su juicio profesional en cómo la organización ha
aplicado la perspectiva del ciclo de vida en términos de su estrategia y:
a) la vida del producto o servicio;

b) la influencia en la organización de la cadena de suministros;
c) la longitud de la cadena de suministros;
d) la complejidad tecnológica del producto.
Si una organización ha combinado varios sistemas de administración en un sistema para cumplir sus propias
necesidades, el auditor debiera observar cuidadosamente cualquier traslape relativo a la consideración de un ciclo
de vida.
A.12 Auditorias de cadenas de suministros
La auditoría a la cadena de suministros para requerimientos específicos puede ser requerida. El programa de
auditorías de proveedores debiera ser desarrollado con criterios de auditoria aplicables para los tipos de
proveedores y suministradores externos. El alcance de las auditorías a la cadena de suministros puede diferir, ej.,

ISO 19011: 2018
auditoria al sistema de administración completo, auditoria a un solo proceso, auditoria de producto, auditoria de una
configuración.
A.13 Preparación de documentos de trabajo para auditorias
Cuando se preparen documentos de trabajo para auditorías, el equipo auditor debiera considerar las preguntas
abajo mostradas para cada documento.
a) ¿Qué registros de auditorias serán creados usando este documento de trabajo?

b) ¿Qué actividad de auditoria está ligada con este documento de trabajo particular?
c) ¿Quién será el usuario de este documento de trabajo?
d) ¿Qué información es necesaria para preparar este documento de trabajo?
Para auditorias combinadas, los documentos de trabajo debieran ser desarrollados para evitar duplicidad de
actividades de auditoria:
 integrando requerimientos similares de diferentes criterios;

 coordinando el contenido de checklists y cuestionarios relacionados.
Los documentos de trabajo debieran ser adecuados para abordar todos aquellos elementos del sistema de
administración dentro del alcance de la auditoria y pueden ser ofrecidos en cualquier medio.
A.14 Selección de fuentes de información
Las fuentes de información seleccionadas pueden variar de acuerdo al alcance y complejidad de la auditoria y
pueden incluir lo siguiente:
a) entrevistas con empleados y otras personas;
b) observaciones de actividades y alrededores del medio ambiente de trabajo y condiciones;
c) documentos tales como, políticas, objetivos, planes, procedimientos, estándares ó normas, instrucciones,
licencias y permisos, especificaciones, dibujos, contratos y órdenes;
d) registros tales como, registros de inspección, minutas de juntas, reportes de auditorias, registros de programas
de monitoreo y resultados de mediciones;
e) resúmenes de datos, análisis e indicadores de desempeño;
f) información sobre los planes de muestreo de los auditados y sobre los procedimientos para control del muestreo
y procesos de medición;
g) reportes de otras fuentes, ej., retroalimentación de los clientes, encuestas y mediciones externas, y otra
información relevante de partes externas y evaluaciones de proveedores;
h) bases de datos y sitios web;
i) simulaciones y modelados.
A.15 Visitas a localizaciones de auditados
Para minimizar la interferencia entre actividades de auditoria y procesos de trabajo del auditado y para asegurar la
salud y seguridad del equipo auditor durante una visita, lo siguiente debiera ser considerado:
a) planeación de las visitas:
 asegurar permisos y accesos a aquellas partes de la localización del auditado, a ser vistadas de acuerdo con
el alcance de la auditoria;
41
ISO 19011: 2018
 ofrecer información adecuada a los auditores sobre asuntos de seguridad (security), salud (ej. cuarentena),
seguridad y salud en el trabajo, normas culturales y horas de trabajo para la visita, incluyendo, vacunas y
autorizaciones solicitadas y recomendadas si aplica;
 confirmar con el auditado que cualquier equipo de protección personal (EPP) requerido esté disponible para el
equipo auditor, si aplica;
 confirmar acuerdos con el auditado en relación al uso de dispositivos móviles y cámaras, incluyendo grabación
de información tal como, fotografías de localizaciones y equipo, fotografías o fotocopias de documentos,
videos de actividades y entrevistas, tomando en consideración asuntos de seguridad (security) y
confidencialidad;
 excepto para auditorias no programadas y compatibles, asegurar que el personal a ser visitado será informado
acerca de los objetivos y alcance de la auditoria misma.
b) actividades en planta:
 evitar cualquier distracción innecesaria de los procesos operacionales;

 asegurar que el equipo auditor esté usando el EPP apropiadamente (si aplica);
 asegurar que los procedimientos de emergencias sean comunicados (ej., salidas de emergencia, puntos de
reunión);
 programar la comunicación para minimizar interrupciones;
 adaptar el tamaño del equipo auditor al número de guías y observadores de acuerdo con el alcance de la
auditoria, a fin de evitar interferencias con los procesos operacionales y de la forma más práctica;
 no tocar ó manipular cualquier equipo, a menos que sea explícitamente permitido, aun y cuando se sea
competente ó con licencia;
 si ocurre algún incidente durante la visita en planta, el líder del equipo auditor debiera revisar la situación con
el auditado y, si es necesario, con el cliente de la auditoria y alcanzar algún acuerdo de si la auditoria debiera
interrumpirse, reprogramarse o continuar;
 si se toman copias de documentos en cualquier medio, solicitar permiso por anticipado y considerar asuntos
de confidencialidad y seguridad (security);
 cuando se tomen notas, evitar la recolección de información personal, a menos que se requiera por los
objetivos de la auditoria ó criterios de auditoria misma.
c) actividades de auditorías virtuales:
- aseguran que el equipo auditor este usando protocolos de acceso remotos acordados, incluyendo dispositivos
solicitados, software, etc.;
- si se toman copias en fotografía de cualquier documento y de cualquier tipo, se solicita permiso por anticipado
y se consideran asuntos de confidencialidad y seguridad (security), evitando grabaciones individuales sin
permiso;
- si ocurre algún incidente durante el acceso remoto, el líder del equipo auditor debiera revisar la situación con
el auditado y, si es necesario, con el cliente de la auditoria y alcanzar algún acuerdo de si la auditoria debiera
interrumpirse, reprogramarse o continuar;
- usan planes/diagramas de piso de la localización remota para referencia;
- mantienen respeto por la privacidad durante los tiempos de descanso de la auditoria.
Necesita darse consideración a la disposición de información y evidencias de auditoria, independientemente del tipo
de medio en una fecha posterior, y una vez que la necesidad del tiempo de retención haya terminado.

ISO 19011: 2018
A.16 Auditorías virtuales a actividades y localizaciones
Las auditorias virtuales son conducidas cuando una organización ejecuta trabajo u ofrece un servicio usando un
ambiente en línea, que permita que personas independientemente de la localización física ejecuten procesos (ej.,
intranet de la compañía, una “nube de computación”). La auditoría de una localización virtual es algunas veces
referida como auditoria virtual. Las auditorias remotas se refieren al uso de tecnología para recolectar información,
entrevistar a un auditado, etc., y cuando los métodos “cara-a-cara” no son posibles o deseables.
Una auditoria virtual sigue el proceso estándar de auditoria y cuando se esté usando tecnología para verificar
evidencias objetivas. El auditado y equipo auditor debieran asegurar requerimientos de tecnología apropiados para
auditorias virtuales, y los cuales pueden incluir:
- asegurar que el equipo auditor esté usando protocolos de acceso remoto acordados incluyendo dispositivos
solicitados, software, etc.;
- conducir chequeos técnicos en forma anticipada a la auditoria para resolver aspectos clave técnicos;
- asegurar planes de contingencia que estén disponibles y comunicados (ej., interrupción del acceso, uso de
tecnología alternativa), incluyendo el suministro de un tiempo extra para auditoria si es necesario;
Las competencias de los auditores debieran incluir:
- capacidades técnicas para usar equipo electrónico apropiado y otra tecnología durante la auditoria;
- experiencia en facilitar juntas en forma virtual para conducir la auditoria en forma remota.
Cuando se conduzcan juntas de apertura o se audite virtualmente, los auditores debieran considerar los siguientes
aspectos:
- riesgos asociados con auditorias virtuales o remotas;

- el uso de planes/diagramas de piso de localizaciones remotas para referencia o mapeo de información
electrónica;
- el facilitar la prevención por interrupciones o distracciones por ruido;
- el solicitar permiso por anticipado para tomar copia de documentos en fotografías o cualquier tipo de grabación, y
considerando asuntos de confidencialidad y seguridad (security);
- el asegurar confidencialidad y privacidad durante los tiempos de descanso de la auditoria ej., poniendo
micrófonos en silencio (muting), cámaras en pausa.
A.17 Conducción de entrevistas
Las entrevistas son un importante medio de recolección de información y debieran realizarse de una forma adaptada
a la situación y persona entrevistada, ya sea cara a cara u otra vía ó medio de comunicación. Sin embargo, el auditor
debiera considerar lo siguiente:
a) las entrevistas debieran sostenerse con personas de niveles y funciones apropiadas y ejecutando actividades
y tareas dentro del alcance de la auditoria;
b) las entrevistas debieran conducirse normalmente durante las horas normales de trabajo y, cuando sea
práctico, en el lugar de trabajo normal de la persona siendo entrevistada;
c) la tentativa de poner a la persona siendo entrevistada en disponibilidad ó facilidad previo a y durante la
entrevista;
d) la razón para la entrevista y cualquier nota que se tome debiera ser explicada;
e) las entrevistas pueden ser iniciadas preguntando a las personas que describan su trabajo;
f) la selección cuidadosa del tipo de preguntas usadas (ej., abiertas, cerradas, preguntas dirigidas, pregunta
apreciativa);
43
ISO 19011: 2018
g) conciencia de la limitada comunicación no verbal en condiciones virtuales; en su lugar debiera enfocarse en

los tipos de preguntas para encontrar evidencias objetivas;
h) los resultados de las entrevistas debieran ser resumidos y revisados con el individuo entrevistado;
i) a los individuos entrevistados debiera agradecerse por su participación y cooperación.
A.18 Hallazgos de auditorias
A.18.1 Determinación de hallazgos de auditorias
Cuando se determinen los hallazgos de auditorias, debiera considerarse lo siguiente:
a) seguimiento de reportes y conclusiones de auditorias previas;

b) requerimientos de clientes de auditorías;
c) exactitud, suficiencia y lo apropiado de las evidencias objetivas para soportar hallazgos de auditorías;
d) alcance en el cual las actividades de auditoria planeadas son realizadas y los resultados planeados se logren;
e) hallazgos que excedan prácticas normales, u oportunidades para mejoramientos;
f) tamaños de muestras;
g) categorización (si hay alguna) de los hallazgos de auditorias;
A.18.2 Registro de conformidades
Para registros de conformidades, lo siguiente debiera considerarse:
a) identificación de los criterios de auditoria contra los cuales se muestra la conformidad;

b) evidencias de auditoria para soportar conformidades;
c) declaración de conformidades, si aplica.
A.18.3 Registro de no conformidades

Para registros de no conformidades, lo siguiente debiera considerarse:
a) descripción o referencia con los criterios de auditoria;
b) evidencias de auditoria;
c) declaraciones de no conformidad;
d) hallazgos de auditoria relacionados, si aplica.
A.18.4 Trato con hallazgos relacionados con criterios múltiples
Durante una auditoria, es posible identificar hallazgos relacionados con criterios múltiples. Cuando un auditor
identifique un hallazgo ligado a un criterio en una auditoria combinada, el auditor debiera considerar el posible
impacto con los criterios correspondientes o similares de los otros sistemas de administración.
Dependiendo de los arreglos con el cliente de la auditoria, el auditor puede ya sea levantar:
a) hallazgos por separado para cada criterio; o

b) un solo hallazgo, combinando las referencias con los criterios múltiples.

ISO 19011: 2018
Dependiendo de los arreglos con el cliente de la auditoria, el auditor puede guiar al auditado en cómo responder a
estos hallazgos.
45
ISO 19011: 2018
Bibliografía
[1] ISO 9000: 2015 Sistemas de administración de calidad – Fundamentos y vocabulario

[2] ISO 9001, Sistemas de administración de calidad - Requerimientos
[3] Guía 73: 2009 de ISO, administración de riesgos – Vocabulario
[4] ISO/IEC 17021-1, Evaluaciones de conformidad – Requerimientos para organismos que ofrecen auditorías
y certificaciones de sistemas de administración – Parte 1: Requerimientos
1) ver www.iso.org/tc176/ISO9001AuditingPracticesGroup

Norma ISO 19011 2018 Version Libre Capacitacion

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Norma ISO 19011 2018 Version Libre Capacitacion

Cargado por

Copyright:

Formatos disponibles

NORMA ISO

Guías y lineamientos para auditorias de

ii ISO 2018 – Traducción sólo para capacitación

ISO 2018 – Traducción sólo para capacitación iii

Anexo A (Informativo) Guías adicionales para auditores planeando y conduciendo auditorias……35

iv ISO 2018 – Traducción sólo para capacitación

- adición del enfoque basado en riesgos a los principios de auditorías;

ISO 2018 – Traducción sólo para capacitación v

 requerimientos definidos en una o más normas de sistemas de administración;

vi ISO 2018 – Traducción sólo para capacitación

Este documento ofrece guías en la administración de un programa de auditorías, en la planeación y conducción de

ISO 2018 – Traducción sólo para capacitación vii

Guías y lineamientos para auditorias de sistemas de administración

No existen referencias normativas en este documento.

Para propósitos de este documento, los siguientes términos y definiciones aplican.

 Plataforma en línea de ISO: disponible en https://www.iso.org/obp

[FUENTE: ISO 9000: 2015, 3.13.2, Modificado]

[FUENTE; ISO 9000: 2015, 3.13.3]

[FUENTE: ISO 9000: 2015, 3.13.6]

[FUENTE: ISO 9000: 2015, 3.8.3]

[FUENTE: ISO 9000: 2015, definición 3.13.8]

2 ISO 2018 – Traducción sólo para capacitación

[ISO 9000: 2015, 3.13.12, modificado]

Nota 2 de entrada: El equipo auditor puede incluir auditores en entrenamiento.

[FUENTE: ISO 9000: 2015, 3.13.14]

[FUENTE: ISO 9000: 2015, 3.13.15]

[FUENTE: ISO 9000: 2015, 3.13.17, modificado]

Nota 1 de entrada: Un efecto es una desviación de lo esperado – positivo o negativo.

4 ISO 2018 – Traducción sólo para capacitación

Nota 1 de entrada: El despeño puede relacionarse con hallazgos cuantitativos o cualitativos.

a) Integridad: El fundamento del profesionalismo.

Los auditores y el(los) individuo(s) administrando un programa de auditorías debieran:

- ejecutar su trabajo con éticamente, con honestidad y responsabilidad;

b) Presentación justa: la obligación de reportar en forma veraz y exacta.

c) Debido cuidado profesional: la aplicación de diligencia y juicio en las auditorias.

d) Confidencialidad: seguridad (security) de la información.

e) Independencia: la base para la imparcialidad de la auditoria y objetividad de las conclusiones de auditoria.

f) Enfoque basado en evidencias: el método racional de alcanzar conclusiones de auditoria confiables y

g) Enfoque basado en riesgos: un enfoque de auditorías que considera riesgos y oportunidades

5. Administración de un programa de auditorias

6 ISO 2018 – Traducción sólo para capacitación

- los objetivos organizacionales;

a) objetivos para el programa de auditorías;

La Figura 1 ilustra el flujo del proceso para la administración de un programa de auditorias.

Figura 1 - Flujo del proceso para la administración de un programa de auditorias

8 ISO 2018 – Traducción sólo para capacitación

5.2 Establecimiento de objetivos de un programa de auditorias

Estos objetivos pueden basarse considerando lo siguiente:

Ejemplos de objetivos de programas de auditorías pueden incluir lo siguiente:

 identificar oportunidades de mejoramiento para el sistema de administración y su desempeño;

5.3 Determinación y evaluación de riesgos y oportunidades de un programa de auditorias

Puede haber riesgos asociados con lo siguiente:

a) planeación, ej., fallas en el establecimiento de objetivos de auditorías relevantes y en la determinación del

d) comunicación, ej., procesos/canales de comunicación internos/externos inefectivos;

Las oportunidades para mejorar programas de auditorías pueden incluir:

 el permitir auditorias múltiples a ser conducidas en una sola o misma visita;

5.4 Establecimiento de un programa de auditorias

5.4.1 Roles y responsabilidades del(los) individuo(s) administrando programas de auditorias

El(los) individuo(s) administrando el programa de auditorías debiera(n):

10 ISO 2018 – Traducción sólo para capacitación

5.4.2 Competencias de(los) individuo(s) administrando programas de auditorias

Conforme sea apropiado, el conocimiento de la administración de riesgos, la administración de proyectos y procesos,

El(Los) individuo(s) administrando el programa de auditorias debieran comprometerse en actividades de desarrollo

5.4.3 Establecimiento el alcance de un programa de auditorias