NORMA NM ISO 19011:2018

MERCOSUR
ADOPCIÓN ADMINISTRATIVA /
ADOÇÃO ADMINISTRATIVA

ISO 19011
Tercera edición
2018-07

Directrices para la auditoría de los sistemas de gestión

(ISO 19011:2018, IDT)

Diretrizes para auditoria de sistemas de gestão

(ISO 19011:2018, IDT)

ASOCIACIÓN
MERCOSUR DE Número de referencia
NORMALIZACIÓN NM ISO 19011
 NM ISO 19011:2018

Índice Sumário

Prefacio Prefácio

Prefacio ISO Prefácio ISO

0 Introducción 0 Introdução

1 Objeto y campo de aplicación 1 Escopo

2 Referencias normativas 2 Referências normativas

3 Términos y definiciones 3 Termos e definições

4 Principios de auditoría 4 Princípios de auditoria

5 Gestión de un programa de auditoría 5 Gerenciando um programa de auditoria

6 Realización de una auditoría 6 Conduzindo uma auditoria

7 Competencia y evaluación de los auditores 7 Competência e avaliação de auditores

Anexo A (informativo) Orientación adicional Anexo A (informativo) Orientação adicional para

destinada a los auditores que planifican y realizan auditores planejarem e conduzirem auditorias
las auditorías

Bibliografía Bibliografia
NM ISO 19011:2018
Prefacio
La AMN - Asociación MERCOSUR de
Normalización - tiene por objeto promover y adoptar
las acciones para la armonización y la elaboración
de las Normas en el ámbito del Mercado Común del
Sur - MERCOSUR, y está integrada por los
Organismos Nacionales de Normalización de los
países miembros.
La AMN desarrolla su actividad de normalización
por medio de los CSM - Comités Sectoriales
MERCOSUR - creados para campos de acción
claramente definidos.
Las Normas MERCOSUR son elaboradas en
acuerdo con las reglas dadas en las Directivas
AMN, Parte 2.
Los Proyectos de Norma MERCOSUR, elaborados
en el ámbito de los CSM, circulan para votación
nacional por intermedio de los Organismos
Nacionales de Normalización de los países
miembros.
La homologación como Norma MERCOSUR por
parte de la Asociación MERCOSUR de
Normalización requiere la aprobación por consenso
de sus miembros.
Esta Norma MERCOSUR es una traducción
idéntica de la Norma Internacional ISO 19011:2018,
Guidelines for auditing management systems.
La traducción de esta Norma Internacional es de
responsabilidad de la Secretaría Central de ISO,
como traducción oficial en español por el Grupo de
Trabajo Spanish Translation Task Force (STTF) del
Comité Técnico ISO/CASCO, avalada por el
Translation Management Group.
Se solicita atención a la posibilidad de que algunos
elementos de este documento puedan ser objeto de
derechos de patente. La AMN no es responsable
por la identificación de cualquier o tales derechos
de patente.
Prefácio
A AMN - Asociación MERCOSUR de
Normalización - tem por objetivo promover e adotar
as ações para a harmonização e a elaboração das
normas no âmbito do Mercado Comum do Sul -
MERCOSUL, e é integrada pelos Organismos
Nacionais de Normalização dos países membros.
A AMN desenvolve sua atividade de normalização
por meio dos CSM - Comitês Setoriais
MERCOSUL - criados para campos de ação
claramente definidos.
Normas MERCOSUL são elaboradas de acordo
com as regras dadas nas Diretivas AMN, Parte 2.
Os Projetos de Norma MERCOSUL, elaborados no
âmbito dos CSM, circulam para votação
nacional por intermédio dos Organismos Nacionais
de Normalização dos países membros.
A homologação como Norma MERCOSUL
por parte da Asociación MERCOSUR de
Normalización requer a aprovação por consenso de
seus membros.
Esta Norma MERCOSUL é uma tradução idêntica
da Norma Internacional ISO 19011:2018,
Guidelines for auditing management systems.
A tradução da Norma Internacional é de
responsabilidade da ABNT - Associação Brasileira
de Normas Técnicas.
Solicita-se atenção para a possibilidade de que
alguns elementos deste documento possam ser
objetos de direitos de patente. A AMN não é
responsável pela identificação de qualquer ou tais
direitos de patente.

Prefacio ISO
ISO (Organización Internacional de Normalización)
es una federación mundial de organismos
nacionales de normalización (organismos
miembros de ISO). El trabajo de preparación de las
normas internacionales normalmente se realiza a
través de los comités técnicos de ISO. Cada
organismo miembro interesado en una materia para
la cual se haya establecido un comité técnico, tiene
el derecho de estar representado en dicho comité.
Las organizaciones internacionales, públicas y
privadas, en coordinación con ISO, también
participan en el trabajo. ISO colabora
estrechamente con la Comisión Electrotécnica
Internacional (IEC) en todas las materias de
normalización electrotécnica.
En la parte 1 de las Directivas ISO/IEC se describen
los procedimientos utilizados para desarrollar esta
norma y para su mantenimiento posterior. En
particular debería tomarse nota de los diferentes
criterios de aprobación necesarios para los distintos
tipos de documentos ISO. Esta norma se redactó
de acuerdo a las reglas editoriales de la parte 2 de
las Directivas ISO/IEC (véase
www.iso.org/directives).
Se llama la atención sobre la posibilidad de que
algunos de los elementos de este documento
puedan estar sujetos a derechos de patente. ISO
no asume la responsabilidad por la identificación de
cualquiera o todos los derechos de patente. Los
detalles sobre cualquier derecho de patente
identificado durante el desarrollo de esta norma se
indican en la introducción y/o en la lista ISO de
declaraciones de patente recibidas (véase
www.iso.org/patents).
Cualquier nombre comercial utilizado en esta
norma es información que se proporciona para
comodidad del usuario y no constituye una
recomendación.
Para obtener una explicación sobre el significado
de los términos específicos de ISO y expresiones
relacionadas con la evaluación de la conformidad,
así como información de la adhesión de ISO a los
principios de la Organización Mundial del Comercio
(OMC) respecto a los Obstáculos Técnicos al
Comercio (OTC), véase la siguiente dirección:
http://www.iso.org/iso/foreword.html.
Este documento ha sido elaborado por el Comité de
Proyecto ISO/PC 302, Directrices para la auditoría
de los sistemas de gestión.
Esta tercera edición anula y sustituye a la segunda
edición (ISO 19011:2011) que ha sido revisada
técnicamente.
NM ISO 19011:2018
Prefácio ISO
A ISO (Organização Internacional para
Normalização) é uma federação mundial de
organismos nacionais de normalização (membros
da ISO). O trabalho de preparação de Normas
Internacionais é normalmente realizado pelos
comitês técnicos da ISO. Cada organismo membro
interessado num assunto, para o qual um comitê
técnico tenha sido estabelecido, tem o direito de
estar representado no comitê em questão.
Organizações internacionais que mantenham
ligações com a ISO, sejam elas governamentais ou
não governamentais, também participam do
trabalho. A ISO tem como colaboradora próxima a
Comissão Eletrotécnica Internacional (IEC) a
respeito de toda a normalização eletrotécnica.
Na Diretiva ISO/IEC Parte 1 são descritos os
procedimentos utilizados para desenvolver esta
norma e sua posterior manutenção. Em particular,
deve-se notar os diferentes critérios de aprovação
necessários para os distintos tipos de documentos
ISO. Esta norma foi elaborada de acordo com as
regras estabelecidas na Diretiva IEC/ISO Parte 2
http://www.iso.org/directives.
Se chama a atenção para a possibilidade de que
alguns dos elementos desta Norma Internacional
podem estar sujeitos aos seus direitos de patente.
A ISO não é responsável pela identificação de
alguns ou de todos estes direitos de patente. Os
detalhes sobre qualquer direito de patente
identificado durante a elaboração desta norma são
indicados na introdução e/ ou na lista da ISO de
declarações de patentes recebidas.
http://www.iso.org/patents.
Qualquer nome comercial utilizado nesta Norma é
uma informação para a atenção dos usuários e não
constitui uma recomendação.
Para obter uma explicação sobre a natureza
voluntária dos padrões, o significado dos termos e
expressões específicos da ISO relacionados à
avaliação de conformidade, bem como informações
sobre a adesão da ISO aos princípios da
Organização Mundial do Comércio (OMC). Em
relação aos Obstáculos Técnicos ao Comércio
(TBT), consulte o seguinte endereço:
www.iso.org/iso/foreword.html.
Este documento foi preparado pelo Comitê de
Projetos ISO/PC 302, Diretrizes para a auditoria de
sistemas de gestão.
Esta terceira edição cancela e substitui a segunda
edição (ISO 19011:2011) que foi tecnicamente
revisada.
NM ISO 19011:2018
Los cambios principales en comparación con la
segunda edición son los siguientes:
- adición del enfoque basado en riesgos a los
principios de la auditoría;
- ampliación de la orientación sobre la gestión de un
programa de auditoría, incluyendo el riesgo del
programa de auditoría;
- ampliación de la orientación sobre la realización
de una auditoría, particularmente la sección sobre
planificación de la auditoría;
- ampliación de los requisitos de competencia
genérica para los auditores;
- ajuste de la terminología para reflejar el proceso y
no el objeto (“cosa”);
- eliminación del anexo que contenía los requisitos
de competencia para auditar disciplinas específicas
de sistemas de gestión (debido al gran número de
normas individuales de sistemas de gestión, no
sería práctico incluir requisitos de competencia para
todas las disciplinas);
- ampliación del Anexo A para proporcionar
orientación sobre la auditoría de (nuevos)
conceptos como el contexto de la organización, el
liderazgo y el compromiso, las auditorías virtuales,
el cumplimiento y la cadena de suministro.
As principais alterações em comparação com a
segunda edição são as seguintes:
- adição da abordagem baseada no risco aos
princípios da auditoria;
- ampliando as orientações sobre a gestão de um
programa de auditoria, incluindo o risco do
programa de auditoria;
- orientação ampliada sobre a condução de uma
auditoria, particularmente a seção sobre
planejamento de auditoria;
- extensão dos requisitos genéricos de competência
para os auditores;
- ajuste da terminologia para refletir o processo e
não o objeto ("coisa");
- eliminação do anexo contendo os requisitos de
competência para auditar disciplinas específicas de
sistemas de gestão (devido ao grande número de
padrões de sistemas de gestão individuais, não
seria prático incluir requisitos de competência para
todas as disciplinas);
- Extensão do Anexo A para fornecer orientação
sobre a auditoria de conceitos (novos) como
contexto organizacional, liderança e
comprometimento, auditorias virtuais,
conformidade e cadeia de suprimentos.

0 Introducción
Desde la publicación de la segunda edición de este
documento en 2011, se han publicado varias
normas nuevas de sistemas de gestión, muchas de
las cuales tienen una estructura común, requisitos
esenciales idénticos y términos comunes y
definiciones esenciales. Como resultado, es
necesario considerar un enfoque más amplio para
la auditoría de los sistemas de gestión, así como de
proporcionar una orientación más genérica. Los
resultados de las auditorías pueden proporcionar
entradas para el aspecto de análisis de la
planificación del negocio, y pueden contribuir a la
identificación de necesidades y actividades de
mejora.
Una auditoría puede realizarse con relación a una
serie de criterios de auditoría, de manera separada
o combinada incluyendo, pero sin limitarse a:
- los requisitos definidos en una o más normas de
sistemas de gestión;
- las políticas y los requisitos especificados por las
partes interesadas pertinentes;
- los requisitos legales y reglamentarios;
- uno o más procesos del sistema de gestión
definidos por la organización o por otras partes;
- los planes de sistemas de gestión relacionados
con la provisión de salidas específicas de un
sistema de gestión (por ejemplo, el plan de la
calidad, el plan de proyecto).
Este documento proporciona orientación para todos
los tamaños y tipos de organizaciones y auditorías
de distintos alcances y escalas, incluyendo aquellas
realizadas por equipos de auditoría grandes,
típicamente de organizaciones grandes, y aquellas
realizadas por auditores individuales, ya sea en
organizaciones grandes o pequeñas. Esta
orientación debería adaptarse según sea apropiado
al alcance, la complejidad y la escala del programa
de auditoría.
Este documento se concentra en las auditorías
internas (de primera parte) y las auditorías
realizadas por las organizaciones a sus
proveedores externos y a otras partes interesadas
externas (de segunda parte). Este documento
también puede ser útil para las auditorías externas
realizadas con fines distintos a una certificación de
sistemas de gestión de tercera parte. La Norma
ISO/IEC 17021-1 proporciona requisitos para la
auditoría de sistemas de gestión para la
certificación de tercera parte; este documento
puede proporcionar orientación adicional de utilidad
(véase la Tabla 1).
NM ISO 19011:2018
0 Introdução
Desde que a segunda edição deste documento foi
publicada, em 2012, diversas normas novas de
sistema de gestão foram publicadas, muitas das
quais possuindo uma estrutura em comum,
requisitos centrais idênticos e termos e definições
centrais em comum. Como um resultado, há, agora,
a necessidade de se considerar uma abordagem
mais ampla para auditar o sistema de gestão, assim
como para fornecer orientação que seja mais
genérica. Resultados de auditoria podem fornecer
entradas para o aspecto de análise de
planejamento de negócio e podem contribuir para a
identificação de necessidades de melhoria e
atividades.
Uma auditoria pode ser conduzida em relação a
uma gama de critérios de auditoria, separadamente
ou em combinação, incluindo, mas não limitados a:
- requisitos definidos em uma ou mais normas de
sistema de gestão;
- políticas e requisitos especificados por partes
interessadas pertinentes;
- requisitos estatutários e regulamentares;
- um ou mais processos de sistema de gestão
definidos pela organização ou outras partes;
- plano(s) de sistema de gestão relacionado(s) à
provisão de saídas específicas de um sistema de
gestão (por exemplo, plano de qualidade, plano de
projeto).
Este documento fornece orientação para todos os
tamanhos e tipos de organizações e auditorias de
variados escopos e dimensões, incluindo aquelas
conduzidas por grandes equipes de auditoria,
usualmente de organizações maiores, e aquelas
conduzidas por auditores únicos, em organizações
grandes ou pequenas. Convém que esta orientação
seja adaptada conforme apropriado ao escopo,
complexidade e dimensão do programa de
auditoria.
Este documento concentra-se em auditorias
internas (primeira parte) e auditorias conduzidas
por organizações em seus fornecedores externos e
outras partes interessadas externas (segunda
parte). Este documento pode também ser útil para
auditorias externas conduzidas para outros fins que
não a certificação de terceira parte de sistemas de
gestão. A ISO/IEC 17021-1 fornece requisitos para
auditoria de sistemas de gestão para certificação de
terceira parte; este documento pode fornecer
orientação adicional útil (ver Tabela 1).
NM ISO 19011:2018

Tabla 1 - / Tabela 1 –
Tipos distintos de auditoría / Diferentes tipos de auditorias

Auditoría de primera parte / Auditoría de segunda parte / Auditoría de tercera parte /

Auditoria de 1a parte Auditoria de 2a parte
Auditoría interna / Auditoría externa de proveedor /
Auditoria interna Auditoria de fornecedor externo
Otra auditoría externa de parte
interesada / Outra auditoria de parte
interessada externa
Auditoria de 3a parte
Auditoría de certificación y/o
acreditación / Auditoria de
certificação e/ou acreditação
Auditoría legal, reglamentaria o
similar / Auditoria estatutária,
regulamentar e similar

Para simplificar la legibilidad de este documento, se
prefiere la forma singular de “sistema de gestión”,
pero el lector puede adaptar la implementación de
la orientación a su propia situación. Esto también
aplica al uso de “persona” y “personas”, “auditor” y
“auditores”.
Para simplificar a legibilidade deste documento, a
forma singular de “sistema de gestão” é preferida,
mas o leitor pode adaptar a implementação da
orientação para sua própria situação. Isso também
é aplicável ao uso de “pessoa” e “pessoas”,
“auditor” e “auditores”.

Se pretende que este documento se aplique a un
amplio rango de usuarios potenciales, incluyendo
auditores, organizaciones que implementan
sistemas de gestión y organizaciones que
necesitan realizar auditorías de sistemas de gestión
por razones contractuales o reglamentarias. Sin
embargo, los usuarios de este documento pueden
aplicar esta orientación al desarrollar sus propios
requisitos relacionados con auditorías.
Este documento é destinado a ser aplicado a uma
ampla gama de potenciais usuários, incluindo
auditores, organizações que implementam
sistemas de gestão e organizações que necessitam
conduzir auditorias de sistemas de gestão por
razões contratuais ou regulamentares. Usuários
deste documento podem, no entanto, aplicar esta
orientação para desenvolver seus próprios
requisitos relacionados à auditoria.

La orientación en este documento también puede A orientação contida neste documento pode
usarse con el propósito de la autodeclaración, y também ser usada para o propósito de
puede ser útil para organizaciones involucradas en autodeclaração, e pode ser útil para organizações
la formación de auditores o en la certificación de envolvidas em treinamento de auditores ou
personas. certificação de pessoal.

La orientación en este documento pretende ser
flexible. Como se indica en varios puntos del texto,
el uso de esta orientación puede diferir
dependiendo del tamaño y el nivel de madurez del
sistema de gestión de una organización. También
deberían considerarse la naturaleza y la
complejidad de la organización que se va a auditar,
así como los objetivos y el alcance de las auditorías
que se van a realizar.
A orientação contida neste documento é destinada
a ser flexível. Conforme indicado em vários pontos
no texto, o uso desta orientação pode variar,
dependendo do tamanho e do nível de maturidade
do sistema de gestão de uma organização. Convém
também que sejam consideradas a natureza e a
complexidade da organização a ser auditada, assim
como os objetivos e o escopo das auditorias a
serem conduzidas.

Este documento adopta el enfoque de auditoría
combinada cuando se auditan juntos dos o más
sistemas de gestión de distintas disciplinas.
Cuando estos sistemas están integrados en un
único sistema de gestión, los principios y procesos
de auditoría son los mismos que para una auditoría
combinada (a veces, llamada auditoría integrada).
Este documento adota a abordagem de auditoria
combinada, quando dois ou mais sistemas de
gestão de diferentes disciplinas são auditados em
conjunto. Quando estes sistemas são integrados
em um sistema de gestão único, os princípios e
processos de auditoria são os mesmos que para
uma auditoria combinada (às vezes conhecida
como uma auditoria integrada).

Este documento proporciona orientación sobre la
gestión de un programa de auditoría, sobre la
planificación y la realización de auditorías de
sistemas de gestión, así como sobre la
competencia y la evaluación de un auditor y un
equipo auditor.
Este documento fornece orientação para o
gerenciamento de um programa de auditoria, sobre
o planejamento e a condução de auditoria de
sistemas de gestão, assim como sobre a
competência e a avaliação de um auditor e de uma
equipe de auditoria.
NM ISO 19011:2018
Directrices para la auditoría de los sistemas de gestión
(ISO 19011:2018, IDT)
Diretrizes para auditoria de sistemas de gestão
(ISO 19011:2018, IDT)
1 Objeto y campo de aplicación
Este documento proporciona orientación sobre la
auditoría de los sistemas de gestión, incluyendo los
principios de la auditoría, la gestión de un programa
de auditoría y la realización de auditorías de
sistemas de gestión, así como orientación sobre la
evaluación de la competencia de las personas que
participan en el proceso de auditoría. Estas
actividades incluyen a las personas responsables
de la gestión del programa de auditoría, los
auditores y los equipos auditores.
Es aplicable a todas las organizaciones que
necesitan planificar y realizar auditorías internas o
externas de sistemas de gestión, o gestionar un
programa de auditoría.
La aplicación de este documento a otros tipos de
auditorías es posible, siempre que se preste
especial atención a la competencia específica
necesaria.
2 Referencias normativas
No hay referencias normativas en este documento.
3 Términos y definiciones
Para los fines de este documento, se aplican los
términos y definiciones siguientes.
ISO e IEC mantienen bases de datos
terminológicas para su utilización en normalización
en las siguientes direcciones:
- Plataforma de búsqueda en línea de ISO:
disponible en https://www.iso.org/obp
- Electropedia de IEC: disponible en
http://www.electropedia.org/
3.1
auditoría
proceso sistemático, independiente y documentado
para obtener evidencias objetivas (3.8) y evaluarlas
de manera objetiva con el fin de determinar el grado
en que se cumplen los criterios de auditoría (3.7)
NOTA 1 a la entrada: Las auditorías internas, denominadas en
algunos casos auditorías de primera parte, se realizan por, o en
nombre de la propia organización.
1 Escopo
Este documento fornece orientação sobre a
auditoria de sistemas de gestão, incluindo os
princípios de auditoria, a gestão de um programa
de auditoria e a condução de auditoria de sistemas
de gestão, como também orientação sobre a
avaliação de competência de pessoas envolvidas
no processo de auditoria. Estas atividades incluem
a(s) pessoa(s) que gerencia(m) o programa de
auditoria, os auditores e a equipe de auditoria.
Ele é aplicável a todas as organizações que
necessitam planejar e conduzir auditorias internas
ou externas de sistemas de gestão ou gerenciar um
programa de auditoria.
A aplicação deste documento para outros tipos de
auditorias é possível, desde que seja dada
consideração especial para a necessidade de
competência específica.
2 Referências normativas
Não há referêncas normativas neste documento.
3 Termos e definições
Para os efeitos deste documento, aplicam-se os
seguintes termos e definições.
A ISO e a IEC mantêm bases de dados
terminológicas para uso em normalização nos
seguintes endereços:
- ISO Online Browsing Platform: disponível em
https://www.iso.org/obp
- IEC Electropedia: disponível em
http://www.electropedia.org/
3.1
auditoria
processo sistemático, independente e
documentado para obter evidência objetiva (3.8) e
avaliá-la objetivamente, para determinar a
extensão na qual os critérios de auditoria (3.7) são
atendidos
NOTA 1 de entrada: Auditorias internas, algumas vezes
chamadas de auditorias de primeira parte, são conduzidas pela
própria, ou em nome da própria, organização.
1

NOTA 2 a la entrada: Las auditorías externas incluyen lo que se
denomina generalmente auditorías de segunda y tercera parte.
Las auditorías de segunda parte se llevan a cabo por partes que
tienen un interés en la organización, tales como los clientes o
por otras personas en su nombre. Las auditorías de tercera parte
se llevan a cabo por organizaciones auditoras independientes,
tales como las que otorgan la certificación/registro de
conformidad o agencias gubernamentales.
[FUENTE: ISO 9000:2015, 3.13.1, modificada - las
Notas a la entrada han sido modificadas]
3.2
auditoría combinada
auditoría (3.1) llevada a cabo conjuntamente a un
único auditado (3.13) en dos o más sistemas de
gestión (3.18)
NOTA 1 a la entrada: Se conoce como sistema de gestión
integrado cuando dos o más sistemas de gestión específicos de
una disciplina se integran en un único sistema de gestión.
[FUENTE: ISO 9000:2015, 3.13.2, modificada]
3.3
auditoría conjunta
auditoría (3.1) llevada a cabo a un único auditado
(3.13) por dos o más organizaciones auditoras
[FUENTE: ISO 9000:2015, 3.13.3]
3.4
programa de auditoría
acuerdos para un conjunto de una o más auditorías
(3.1) planificadas para un periodo de tiempo
determinado y dirigidas hacia un propósito
específico
[FUENTE: ISO 9000:2015, 3.13.4, modificada - se
ha añadido texto a la definición]
3.5
alcance de la auditoría
extensión y límites de una auditoría (3.1).
NOTA 1 a la entrada: El alcance de la auditoría incluye
generalmente una descripción de las ubicaciones físicas y
virtuales, las funciones, las unidades de la organización, las
actividades y los procesos, así como el periodo de tiempo
cubierto.
NOTA 2 a la entrada: Una ubicación virtual es un lugar donde la
organización desempeña trabajo o presta un servicio usando un
entorno en línea que permite a las personas ejecutar procesos
con independencia de su ubicación física.
[FUENTE: ISO 9000:2015, 3.13.5, modificada - se
ha modificado la Nota 1 a la entrada, se ha añadido
la Nota 2 a la entrada]
3.6
plan de auditoría
descripción de las actividades y de los detalles
acordados de una auditoría (3.1)
[FUENTE: ISO 9000:2015, 3.13.6]
2
NM ISO 19011:2018
NOTA 2 de entrada: Auditorias externas incluem aquelas
geralmente chamadas de auditorias de segunda e terceira
partes. Auditorias de segunda parte são conduzidas por partes
que têm um interesse na organização, como clientes, ou por
outras pessoas em seu nome. Auditorias de terceira parte são
conduzidas por organizações de auditoria independentes, como
aquelas que fornecerem certificação/registro de conformidade,
ou por agências governamentais.
[ISO 9000:2015, 3.13.1, modificada - Notas de
entrada foram modificadas]
3.2
auditoria combinada
auditoria (3.1) realizada em um único auditado
(3.13), em dois ou mais sistemas de gestão (3.18)
NOTA 1 de entrada: Quando sistemas de gestão de duas ou
mais disciplinas específicas são integrados em um único sistema
de gestão, isso é conhecido como um sistema de gestão
integrado.
[ISO 9000:2015, 3.13.2, modificada]
3.3
auditoria conjunta
auditoria (3.1) realizada em um único auditado
(3.13), por duas ou mais organizações de auditoria
[ISO 9000:2015, 3.13.3]
3.4
programa de auditoria
arranjos para um conjunto de uma ou mais
auditorias (3.1), planejado para um período de
tempo específico e direcionado a um propósito
específico
[ISO 9000:2015, 3.13.4, modificada - texto foi
inserido à definição]
3.5
escopo da auditoria
abrangência e limites de uma auditoria (3.1)
NOTA 1 de entrada: O escopo da auditoria geralmente inclui
uma descrição dos locais físicos e virtuais, funções, unidades
organizacionais, atividades e processos, assim como o período
de tempo coberto.
NOTA 2 de entrada: Um local virtual é onde uma organização
realiza trabalho ou fornece um serviço usando um ambiente on-
line, permitindo que pessoas executem processos
independentemente de locais físicos.
[ISO 9000:2015, 3.13.5, modificada - Nota 1 de
entrada foi modificada e Nota 2 de entrada foi
inserida]
3.6
plano de auditoria
descrição das atividades e arranjos para uma
auditoria (3.1)
[ISO 9000:2015, 3.13.6]
NM ISO 19011:2018
3.7
criterios de auditoría
conjunto de requisitos (3.23) usados como
referencia frente a la cual se compara la evidencia
objetiva (3.8)
NOTA 1 a la entrada: Si los criterios de auditoría son requisitos
legales (incluyendo los reglamentarios), las palabras
“cumplimiento” o “no cumplimiento” se utilizan a menudo en los
hallazgos de la auditoría (3.10).
NOTA 2 a la entrada: Los requisitos pueden incluir políticas,
procedimientos, instrucciones de trabajo, requisitos legales,
obligaciones contractuales, etc.
[FUENTE: ISO 9000:2015, 3.13.7, modificada - se
ha cambiado la definición y se han añadido las
Notas 1 y 2 a la entrada]
3.8
evidencia objetiva
datos que respaldan la existencia o veracidad de
algo
NOTA 1 a la entrada: La evidencia objetiva puede obtenerse por
medio de la observación, medición, ensayo o por otros medios.
NOTA 2 a la entrada: La evidencia objetiva con fines de auditoría
(3.1) generalmente se compone de registros, declaraciones de
hechos u otra información que son pertinentes para los criterios
de auditoría (3.7) y verificables.
[FUENTE: ISO 9000:2015, 3.8.3]
3.9
evidencia de la auditoría
registros, declaraciones de hechos o cualquier otra
información que es pertinente para los criterios de
auditoría (3.7) y que es verificable
[FUENTE: ISO 9000:2015, 3.13.8]
3.10
hallazgos de la auditoría
resultados de la evaluación de la evidencia de la
auditoría (3.9) recopilada frente a los criterios de
auditoría (3.7)
NOTA 1 a la entrada: Los hallazgos de la auditoría indican
conformidad (3.20) o no conformidad (3.21).
NOTA 2 a la entrada: Los hallazgos de la auditoría pueden
conducir a la identificación de riesgos, oportunidades para la
mejora o el registro de buenas prácticas.
NOTA 3 a la entrada: En inglés, si los criterios de auditoría se
seleccionan de entre los requisitos legales o los requisitos
reglamentarios, el hallazgo de la auditoría se denomina
cumplimiento o no cumplimiento.
[FUENTE: ISO 9000:2015, 3.13.9, modificada - se
han modificado las Notas 2 y 3 a la entrada]
3.11
conclusiones de la auditoría
resultado de una auditoría (3.1), tras considerar los
objetivos de la auditoría y todos los hallazgos de la
auditoría (3.10)
[FUENTE: ISO 9000:2015, 3.13.10]
3.7
critérios de auditoria
conjunto de requisitos (3.23) usados como uma
referência com a qual a evidência objetiva (3.8) é
comparada
NOTA 1 de entrada: Se os critérios de auditoria forem requisitos
legais (incluindo estatutários ou regulamentares), as expressões
“compliance” ou “não compliance” são frequentemente usadas
em uma constatação de auditoria (3.10).
NOTA 2 de entrada: Requisitos podem incluir políticas,
procedimentos, instruções de trabalho, requisitos legais,
obrigações contratuais etc.
[ISO 9000:2015, 3.13.7, modificada - a definição foi
modificada e as Notas 1 e 2 de entrada foram
inseridas]
3.8
evidência objetiva
dados que apoiam a existência ou a veracidade de
alguma coisa
NOTA 1 de entrada: Evidência objetiva pode ser obtida por
observação, medição, ensaio ou outros meios.
NOTA 2 de entrada: Evidência objetiva para o propósito de
auditoria (3.1) geralmente consiste em registros, declarações de
um fato ou outra informação que seja pertinente para os critérios
de auditoria (3.7) e verificável.
[ISO 9000:2015, 3.8.3]
3.9
evidência de auditoria
registros, apresentação de fatos ou outras
informações pertinentes aos critérios de auditoria
(3.7) e verificáveis
[ISO 9000:2015, 3.13.8]
3.10
constatações de auditoria
resultados da avaliação de evidência de auditoria
(3.9) coletada, comparada com os critérios de
auditoria (3.7)
NOTA 1 de entrada: Constatações de auditoria indicam
conformidade (3.20) ou não conformidade (3.21).
NOTA 2 de entrada: Constatações de auditoria podem conduzir
à identificação de riscos, oportunidades para melhoria ou
registro de boas práticas.
NOTA 3 de entrada: Em inglês, se os critérios de auditoria forem
selecionados de requisitos estatutários ou requisitos
regulamentares, a constatação de auditoria pode ser
denominada “compliance” ou “não compliance”.
[ISO 9000:2015, 3.13.9, modificada - as Notas 2 e
3 de entrada foram modificadas]
3.11
conclusão de auditoria
resultado de uma auditoria (3.1), após levar em
consideração os objetivos de auditoria e todas as
constatações de auditoria (3.10)
[ISO 9000:2015, 3.13.10]
3

3.12
cliente de la auditoría
organización o persona que solicita una auditoría
(3.1)
NOTA 1 a la entrada: En el caso de una auditoría interna, el
cliente de la auditoría también puede ser el auditado (3.13) o las
personas que gestionan el programa de auditoría. Las
solicitudes de una auditoría externa pueden provenir de fuentes
como autoridades reglamentarias, partes contratantes o clientes
existentes o potenciales.
[FUENTE: ISO 9000:2015, 3.13.11, modificada - se
ha añadido la Nota 1 a la entrada]
3.13
auditado
organización que es auditada en su totalidad o
partes
[FUENTE: ISO 9000:2015, 3.13.12, modificada]
3.14
equipo auditor
una o más personas que llevan a cabo una
auditoría (3.1) con el apoyo, si es necesario, de
expertos técnicos (3.16)
NOTA 1 a la entrada: A un auditor (3.15) del equipo auditor (3.14)
se le designa como auditor líder del mismo.
NOTA 2 a la entrada: El equipo auditor puede incluir auditores
en formación.
[FUENTE: ISO 9000:2015, 3.13.14]
3.15
auditor
persona que lleva a cabo una auditoría (3.1)
[FUENTE: ISO 9000:2015, 3.13.15]
3.16
experto técnico
<auditoría> persona que aporta conocimientos o
experiencia específicos al equipo auditor (3.14)
NOTA 1 a la entrada: El conocimiento o pericia específicos se
relacionan con la organización, la actividad, el proceso, el
producto, el servicio, la disciplina a auditar, o el idioma o la
cultura.
NOTA 2 a la entrada: Un experto técnico del equipo auditor
(3.14) no actúa como un auditor (3.15).
[FUENTE: ISO 9000:2015, 3.13.16, modificada - se
han modificado las Notas 1 y 2 a la entrada]
3.17
observador
persona que acompaña al equipo auditor (3.14)
pero no actúa como un auditor (3.15)
[FUENTE: ISO 9000:2015, 3.13.17, modificada]
4
NM ISO 19011:2018
3.12
cliente de auditoria
organização ou pessoa que solicita uma auditoria
(3.1)
Nota 1 de entrada: No caso de auditoria interna, o cliente de
auditoria pode também ser o auditado (3.13) ou a(s) pessoa(s)
que gerencia(m) o programa de auditoria. Solicitações para
auditoria externa podem vir de fontes como reguladores, partes
contratantes ou clientes potenciais ou existentes.
[ISO 9000:2015, 3.13.11, modificada - Nota 1 de
entrada foi inserida]
3.13
auditado
organização como um todo ou suas partes, que
está sendo auditada
[ISO 9000:2015, 3.13.12, modificada]
3.14
equipe de auditoria
uma ou mais pessoas que realizam uma auditoria
(3.1), apoiadas, se necessário, por especialistas
(3.16)
Nota 1 de entrada: Um auditor (3.15) da equipe de auditoria
(3.14) é indicado como o líder da equipe de auditoria.
Nota 2 de entrada: A equipe de auditoria pode incluir auditores
em treinamento.
[ISO 9000:2015, 3.13.14]
3.15
auditor
pessoa que realiza uma auditoria (3.1)
[ISO 9000:2015, 3.13.15]
3.16
especialista
<auditoria> pessoa que provê conhecimento ou
experiência específicos para a equipe de auditoria
(3.14)
Nota 1 de entrada: Conhecimento ou experiência específicos
são relativos à organização, atividade, processo, produto,
serviço, disciplina a ser auditada ou idioma ou cultura.
Nota 2 de entrada: Um especialista para a equipe de auditoria
(3.14) não atua como um auditor (3.15).
[ISO 9000:2015, 3.13.16 - Notas 1 e 2 de entrada
foram modificadas]
3.17
observador
pessoa que acompanha a equipe de auditoria
(3.14), mas não atua como auditor (3.15)
[ISO 9000:2015, 3.13.17, modificada]
NM ISO 19011:2018
3.18
sistema de gestión
conjunto de elementos de una organización
interrelacionados o que interactúan para establecer
políticas, objetivos y procesos (3.24) para lograr
estos objetivos
NOTA 1 a la entrada: Un sistema de gestión puede tratar una
sola disciplina o varias disciplinas, por ejemplo, gestión de la
calidad, gestión financiera o gestión ambiental.
NOTA 2 a la entrada: Los elementos del sistema de gestión
establecen la estructura de la organización, los roles y las
responsabilidades, la planificación, la operación, las políticas, las
prácticas, las reglas, las creencias, los objetivos y los procesos
para lograr esos objetivos.
NOTA 3 a la entrada: El alcance de un sistema de gestión puede
incluir la totalidad de la organización, funciones específicas e
identificadas de la organización, secciones específicas e
identificadas de la organización, o una o más funciones dentro
de un grupo de organizaciones.
[FUENTE: ISO 9000:2015, 3.5.3, modificada - se ha
eliminado la Nota 4 a la entrada]
3.19
riesgo
efecto de la incertidumbre
NOTA 1 a la entrada: Un efecto es una desviación de lo
esperado, ya sea positivo o negativo.
NOTA 2 a la entrada: Incertidumbre es el estado, incluso parcial,
de deficiencia de información relacionada con la comprensión o
conocimiento de un evento, su consecuencia o su probabilidad.
NOTA 3 a la entrada: Con frecuencia el riesgo se caracteriza
por referencia a eventos potenciales (según se define en la
Guía ISO 73:2009, 3.5.1.3) y consecuencias (según se define en
la Guía ISO 73:2009, 3.6.1.3), o a una combinación de éstos.
NOTA 4 a la entrada: Con frecuencia el riesgo se expresa en
términos de una combinación de las consecuencias de un
evento (incluidos cambios en las circunstancias) y la
probabilidad (según se define en la Guía ISO 73:2009, 3.6.1.1)
asociada de que ocurra.
[FUENTE: ISO 9000:2015, 3.7.9, modificada - se
han eliminado las Notas 5 y 6 a la entrada]
3.20
conformidad
cumplimiento de un requisito (3.23)
[FUENTE: ISO 9000:2015, 3.6.11, modificada - se
ha eliminado la Nota 1 a la entrada]
3.21
no conformidad
incumplimiento de un requisito (3.23)
[FUENTE: ISO 9000:2015, 3.6.9, modificada - se ha
eliminado la Nota 1 a la entrada]
3.22
competencia
capacidad para aplicar conocimientos y habilidades
con el fin de lograr los resultados previstos
[FUENTE: ISO 9000:2015, 3.10.4, modificada - se
han eliminado las Notas a la entrada]
3.18
sistema de gestão
conjunto de elementos inter-relacionados ou
interativos de uma organização, para estabelecer
políticas, objetivos e processos (3.24) para alcançar
estes objetivos
Nota 1 de entrada: Um sistema de gestão pode abordar uma
única disciplina ou várias disciplinas, por exemplo, gestão da
qualidade, gestão financeira ou gestão ambiental.
Nota 2 de entrada: Os elementos do sistema de gestão
estabelecem a estrutura, papéis e responsabilidades,
planejamento, operação, políticas, práticas, regras, crenças,
objetivos da organização e processos para alcançar estes
objetivos.
Nota 3 de entrada: O escopo de um sistema de gestão pode
incluir a totalidade da organização, funções específicas e
identificadas da organização, seções específicas e identificadas
da organização, ou uma ou mais funções executadas por mais
de uma organização.
[ISO 9000:2015, 3.5.3, modificada - Nota 4 de
entrada foi excluída]
3.19
risco
efeito de incerteza
Nota 1 de entrada: Um efeito é um desvio do esperado - positivo
ou negativo.
Nota 2 de entrada: Incerteza é o estado, ainda que parcial, de
deficiência de informação, de compreensão e conhecimento
relacionado a um evento, sua consequência ou sua
probabilidade.
Nota 3 de entrada: Risco é frequentemente caracterizado
pela referência a “eventos” potenciais (como definido no
ISO Guia 73:2009, 3.5.1.3) e “consequências” (como definido no
ISO Guia 73:2009, 3.6.1.3), ou uma combinação destes.
Nota 4 de entrada: Risco é frequentemente expresso em termos
de uma combinação das consequências de um evento (incluindo
mudanças em circunstâncias) e da “probabilidade” associada
(como definido no ISO Guia 73:2009, 3.6.1.1) de ocorrências.
[ISO 9000:2015, 3.7.9, modificada - Notas 5 e 6 de
entrada foram excluídas]
3.20
conformidade
atendimento de um requisito (3.23)
[ISO 9000:2015, 3.6.11, modificada - Nota 1 de
entrada foi excluída]
3.21
não conformidade
não atendimento de um requisito (3.23)
[ISO 9000:2015, 3.6.9, modificada - Nota 1 de
entrada foi excluída]
3.22
competência
capacidade de aplicar conhecimento e habilidades
para alcançar resultados pretendidos
[ISO 9000:2015, 3.10.4, modificada - Notas de
entrada foram excluídas]
5

3.23
requisito
necesidad o expectativa establecida, generalmente
implícita u obligatoria
NOTA 1 a la entrada: “Generalmente implícita” significa que es
habitual o práctica común para la organización y las partes
interesadas el que la necesidad o expectativa bajo consideración
está implícita.
NOTA 2 a la entrada: Un requisito especificado es aquel que está
establecido, por ejemplo, en información documentada.
[FUENTE: ISO 9000:2015, 3.6.4, modificada - se
han eliminado las Notas 3, 4, 5 y 6 a la entrada]
3.24
proceso
conjunto de actividades mutuamente relacionadas
que utilizan las entradas para proporcionar un
resultado previsto
[FUENTE: ISO 9000:2015, 3.4.1, modificada - se
han eliminado las Notas a la entrada]
3.25
desempeño
resultado medible
NOTA 1 a la entrada: El desempeño se puede relacionar con
hallazgos cuantitativos o cualitativos.
NOTA 2 a la entrada: El desempeño se puede relacionar con la
gestión de actividades, procesos (3.24), productos, servicios,
sistemas u organizaciones.
[FUENTE: ISO 9000:2015, 3.7.8, modificada - se ha
eliminado la Nota 3 a la entrada]
3.26
eficacia
grado en el que se realizan las actividades
planificadas y se logran los resultados planificados
[FUENTE: ISO 9000:2015, 3.7.11, modificada - se
ha eliminado la Nota 1 a la entrada]
4 Principios de auditoría
La auditoría se caracteriza por depender de varios
principios. Estos principios deberían ayudar a hacer
de la auditoría una herramienta eficaz y fiable en
apoyo de las políticas y controles de gestión,
proporcionando información sobre la cual una
organización puede actuar para mejorar su
desempeño. La adhesión a esos principios es un
requisito previo para proporcionar conclusiones de
la auditoría que sean pertinentes y suficientes, y
para permitir a los auditores, que trabajan
independientemente, alcanzar conclusiones
similares en circunstancias similares.
La orientación dada en los Capítulos 5 a 7 se basa
en los siete principios señalados a continuación.
6
NM ISO 19011:2018
3.23
requisito
necessidade ou expectativa que é declarada,
geralmente implícita ou obrigatória
Nota 1 de entrada: “Geralmente implícita” significa que é
costume ou prática comum para a organização e partes
interessadas que a necessidade ou expectativa sob
consideração esteja implícita.
Nota 2 de entrada: Um requisito especificado é aquele que é
declarado, por exemplo, em informação documentada.
[ISO 9000:2015 3.6.4 - Notas 3, 4, 5 e 6 de entrada
foram excluídas]
3.24
processo
conjunto de atividades inter-relacionadas ou
interativas que utilizam entradas para entregar um
resultado pretendido
[ISO 9000:2015, 3.4.1, modificada - Notas de
entrada foram excluídas]
3.25
desempenho
resultado mensurável
Nota 1 de entrada: Desempenho pode se relacionar tanto às
constatações quantitativas como às qualitativas.
Nota 2 de entrada: Desempenho pode se relacionar à gestão de
atividades, processos (3.24), produtos, serviços, sistemas ou
organizações.
[ISO 9000:2015, 3.7.8 - Nota 3 de entrada foi
excluída]
3.26
eficácia
extensão na qual atividades planejadas são
realizadas e resultados planejados são alcançados
[ISO 9000:2015, 3.7.11 - Nota 1 de entrada foi
excluída]
4 Princípios de auditoria
A auditoria é caracterizada pela confiança em
diversos princípios. Convém que estes princípios
ajudem a tornar a auditoria uma ferramenta eficaz
e confiável, em apoio às políticas e controles de
gestão, fornecerndo informações sobre as quais
uma organização pode agir para melhorar seu
desempenho. Aderência a estes princípios é um
pré-requisito para serem fornecedias conclusões
de auditoria que sejam pertinentes e suficientes, e
para permitir que auditores trabalhando
independentemente entre si cheguem a conclusões
similares em circunstâncias similares.
As orientações dadas nas Seções 5 a 7 são
baseadas nos setes princípios apresentados
abaixo.
NM ISO 19011:2018
a) Integridad: el fundamento de la profesionalidad
Los auditores y las personas que gestionan un
programa de auditoría deberían:
- desempeñar su trabajo de forma ética, con
honestidad y responsabilidad;
- emprender actividades de auditoría sólo si son
competentes para hacerlo;
- desempeñar su trabajo de manera imparcial, es
decir, permanecer ecuánimes y sin sesgo en todas
sus acciones;
- ser sensibles a cualquier influencia que se pueda
ejercer sobre su juicio mientras lleva a cabo una
auditoría.
b) Presentación imparcial: la obligación de informar
con veracidad y exactitud
Los hallazgos, conclusiones e informes de la
auditoría deberían reflejar con veracidad y exactitud
las actividades de auditoría. Se debería informar de
los obstáculos significativos encontrados durante la
auditoría y de las opiniones divergentes sin resolver
entre el equipo auditor y el auditado. La
comunicación debería ser veraz, exacta, objetiva,
oportuna, clara y completa.
c) Debido cuidado profesional: la aplicación de
diligencia y juicio al auditar
Los auditores deberían proceder con el debido
cuidado, de acuerdo con la importancia de la tarea
que desempeñan y la confianza depositada en ellos
por el cliente de la auditoría y por otras partes
interesadas. Un factor importante al realizar su
trabajo con el debido cuidado profesional es tener
la capacidad de hacer juicios razonados en todas
las situaciones de la auditoría.
d) Confidencialidad: seguridad de la información
Los auditores deberían proceder con discreción en
el uso y la protección de la información adquirida en
el curso de sus tareas. La información de la
auditoría no debería usarse inapropiadamente para
beneficio personal del auditor o del cliente de la
auditoría, o de modo que perjudique los intereses
legítimos del auditado. Este concepto incluye el
tratamiento apropiado de la información sensible o
confidencial.
e) Independencia: la base para la imparcialidad de
la auditoría y la objetividad de las conclusiones de
la auditoría
Los auditores deberían ser independientes de la
actividad que se audita siempre que sea posible, y
 a) Integridade: o fundamento do profissionalismo
Convém que os auditores e a(s) pessoa(s) que
gerenciam um programa de auditoria:
- desempenhem seu trabalho eticamente, com
honestidade e responsabilidade;
- somente realizem atividades de auditoria se forem
competentes para isso;
- realizem seu trabalho de uma maneira imparcial,
isto é, mantenham-se justos e sem tendenciosidade
em todas as suas interações;
- desempenhem sensíveis a quaisquer influências
que possam ser exercidas sobre o seu julgamento
enquanto estiverem realizando uma auditoria.
 b) Apresentação justa: a obrigação de reportar com
veracidade e exatidão
Convém que as constatações de auditoria,
conclusões de auditoria e relatórios de auditoria
reflitam com veracidade e precisão as atividades de
auditoria. Convém que os obstáculos significativos
encontrados durante a auditoria e não resolvidos
por divergência de opiniões entre a equipe de
auditoria e o auditado sejam reportados. Convém
que a comunicação seja verdadeira, precisa,
objetiva, em tempo hábil, clara e completa.
 c) Devido cuidado profissional: a aplicação de
diligência e julgamento em auditoria
Convém que os auditores exerçam o devido
cuidado de acordo com a importância da tarefa que
eles executam e com a confiança neles depositada
pelo cliente de auditoria e por outras partes
interessadas. Um fator importante na realização do
seu trabalho com devido cuidado profissional é ter
a capacidade de fazer julgamentos ponderados em
todas as situações de auditoria.
 d) Confidencialidade: segurança de informação
Convém que os auditores tenham discrição no uso
e proteção das informações obtidas no curso de
suas obrigações. Convém que a informação de
auditoria não seja usada de forma inapropriada
para ganhos pessoais pelo auditor ou pelo cliente
de auditoria, ou de uma maneira prejudicial para os
legítimos interesses do auditado. Este conceito
inclui o manuseio apropriado de informação
sensível ou confidencial.
 e) Independência: a base para a imparcialidade da
auditoria e objetividade das conclusões de auditoria
Convém que os auditores sejam independentes da
atividade que está sendo auditada quando for
7

en todos los casos deberían actuar de una manera
libre de sesgo y conflicto de intereses. Para las
auditorías internas, los auditores deberían ser
independientes de la función que se audita, si es
posible. Los auditores deberían mantener la
objetividad a lo largo del proceso de auditoría para
asegurarse de que los hallazgos y las conclusiones
de la auditoría están basados sólo en la evidencia
de la auditoría.
Para las organizaciones pequeñas, puede que no
sea posible que los auditores internos sean
completamente independientes de la actividad que
se audita, pero deberían hacerse todos los
esfuerzos para eliminar el sesgo y fomentar la
objetividad.
f) Enfoque basado en la evidencia: el método
racional para alcanzar conclusiones de la auditoría
fiables y reproducibles en un proceso de auditoría
sistemático
La evidencia de la auditoría debería ser verificable.
En general debería basarse en muestras de la
información disponible, ya que una auditoría se
lleva a cabo durante un periodo de tiempo
delimitado y con recursos finitos. Debería aplicarse
un uso apropiado del muestreo, ya que está
estrechamente relacionado con la confianza que
puede depositarse en las conclusiones de la
auditoría.
g) Enfoque basado en riesgos: un enfoque de
auditoría que considera los riesgos y oportunidades
El enfoque basado en riesgos debería influir
sustancialmente en la planificación, la realización y
la presentación de informes de auditoría a fin de
asegurar que las auditorías se centran en asuntos
que son importantes para el cliente de la auditoría
y para alcanzar los objetivos del programa de
auditoría.
5 Gestión de un programa de auditoría
5.1 Generalidades
Debería establecerse un programa de auditoría que
puede incluir auditorías que traten una o más
normas de sistemas de gestión u otros requisitos,
realizadas por separado o en combinación
(auditoría combinada).
La extensión de un programa de auditoría debería
basarse en el tamaño y la naturaleza del auditado,
así como en la naturaleza, funcionalidad,
complejidad, el tipo de riesgos y oportunidades, y el
nivel de madurez de los sistemas de gestión que se
van a auditar.
8
NM ISO 19011:2018
praticável, e convém que ajam em todas as
situações de um tal modo que estejam livres de
tendenciosidade e conflitos de interesse. Para
auditorias internas, convém que os auditores sejam
independentes da função que está sendo auditada,
se praticável. Convém que os auditores
mantenham objetividade ao longo do processo de
auditoria para assegurar que as constatações e
conclusões de auditoria sejam baseadas apenas
nas evidências de auditoria.
Para pequenas organizações, pode não ser
possível que auditores internos tenham total
independência da atividade que está sendo
auditada, porém convém que seja feito todo o
esforço para remover a tendenciosidade e
encorajar a objetividade.
 f) Abordagem baseada em evidência: o método
racional para alcançar conclusões de auditoria
confiáveis e reprodutíveis em um processo
sistemático de auditoria.
Convém que a evidência de auditoria seja
verificável. Convém que no geral ela seja baseada
em amostras da informação disponíveis, uma vez
que uma auditoria é conduzida durante um período
de tempo finito e com recursos limitados. Convém
que o uso apropriado de amostras seja aplicado,
uma vez que esta situação está intimamente
relacionada à confiança que pode ser depositada
nas conclusões de auditoria.
 g) Abordagem baseada em risco: uma abordagem
de auditoria que considera riscos e oportunidades
Convém que a abordagem baseada em risco
influencie substancialmente o planejamento, a
condução e o relato de auditorias, para assegurar
que as auditorias sejam focadas em assuntos que
sejam significativos para o cliente de auditoria e
para alcançar os objetivos do programa de
auditoria.
5 Gerenciando um programa de auditoria
5.1 Generalidades
Convém que um programa de auditoria seja
estabelecido, o qual pode incluir auditorias que
abordem uma ou mais normas de sistema de
gestão ou outros requisitos, conduzidas
separadamente ou em combinação (auditoria
combinada).
Convém que a extensão de um programa de
auditoria seja baseada no tamanho e natureza do
auditado, assim como na natureza, funcionalidade,
complexidade, tipo de riscos e oportunidades e
nível de maturidade do(s) sistema(s) de gestão a
ser(em) auditado(s).
NM ISO 19011:2018
La funcionalidad del sistema de gestión puede ser
aún más compleja si la mayoría de las funciones
importantes están contratadas externamente y se
gestionan bajo el liderazgo de otras
organizaciones. Es necesario prestar especial
atención dónde se toman las decisiones más
importantes y qué constituye la alta dirección del
sistema de gestión.
En el caso de múltiples ubicaciones/sedes (por
ejemplo diferentes países), o cuando hay funciones
importantes contratadas externamente y forem terceirizadas e gerenciadas sob a liderança
gestionadas bajo el liderazgo de otra organización,
debería prestarse especial atención al diseño, la
planificación y la validación del programa de
auditoría.
En el caso de organizaciones más pequeñas o
menos complejas, el programa de auditoría puede
escalarse apropiadamente.
A fin de comprender el contexto del auditado, el
programa de auditoría debería tener en cuenta del
auditado:
- los objetivos organizacionales;
- las cuestiones externas e internas pertinentes;
- las necesidades y expectativas de las partes
interesadas pertinentes;
- los requisitos de seguridad y confidencialidad de
la información.
La planificación de los programas de auditoría
interna y, en algunos casos, los programas para
auditar a los proveedores externos, pueden
prepararse para contribuir a otros objetivos de la
organización.
Las personas responsables de la gestión del
programa de auditoría deberían asegurase de que
se mantiene la integridad de la auditoría y de que
no se ejerce una influencia indebida sobre la
auditoría.
Debería darse prioridad de auditoría a la asignación
de recursos y métodos para los asuntos de un
sistema de gestión con los riesgos inherentes más
altos y con los niveles de desempeño más bajos.
Deberían asignarse personas competentes para
gestionar el programa de auditoría.
El programa de auditoría debería incluir la
información e identificar los recursos que permitan
que las auditorías se realicen de forma eficaz y
eficiente dentro de los periodos de tiempo
especificados. Esta información debería incluir lo
siguiente:
A funcionalidade do sistema de gestão pode ser
ainda mais complexa quando a maioria das funções
importantes é terceirizada e gerenciada sob a
liderança de outras organizações. É necessário
prestar especial atenção ao local onde as decisões
mais importantes são tomadas e ao que constitui a
Alta Direção do sistema de gestão.
No caso de múltiplos locais/sites (por exemplo,
países diferentes), ou quando importantes funções
de uma outra organização, convém que seja dada
especial atenção ao projeto, planejamento e
validação do programa de auditoria.
No caso de organizações menores ou menos
complexas, o programa de auditoria pode ser
dimensionado apropriadamente.
Para entender o contexto do auditado, convém que
o programa de auditoria leve em conta:
- objetivos organizacionais;
- questões externas e internas pertinentes do
auditado;
- necessidades e expectativas de partes
interessadas pertinentes;
- requisitos de segurança e confidencialidade da
informação.
O planejamento de programas de auditorias
internas e, em alguns casos de programas, para
auditar fornecedores externos pode ser arranjado
para contribuir com outros objetivos da
organização.
Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoria assegure(m) que a
integridade da auditoria seja mantida e que não
haja influência indevida exercida sobre a auditoria.
Convém que seja dada prioridade de auditoria para
alocar recursos e métodos a assuntos em um
sistema de gestão com mais alto risco inerente e
mais baixo nível de desempenho.
Convém que pessoas competentes sejam
designadas para gerenciar o programa de auditoria.
Convém que o programa de auditoria inclua
informação e identifique recursos para permitir que
as auditorias sejam conduzidas de forma eficaz e
eficiente dentro dos prazos especificados. Convém
que a informação inclua:
9

a) objetivos para el programa de auditoría;
b) riesgos y oportunidades asociados con el
programa de auditoría (véase 5.3) y las acciones
para abordarlos;
c) alcance (extensión, límites, ubicaciones) de cada
auditoría dentro del programa de auditoría;
d) calendario (número/duración/frecuencia) de las
auditorías;
e) tipos de auditoría, tales como internas o
externas;
f) criterios de auditoría;
g) métodos de auditoría a emplear;
h) criterios para seleccionar a los miembros del
equipo auditor;
i) información documentada pertinente.
Parte de esta información puede no estar disponible
hasta que se complete una planificación de
auditoría más detallada.
La implementación del programa de auditoría
debería seguirse y medirse, de manera continua
(véase 5.6), para asegurarse de que se han
alcanzado sus objetivos. El programa de auditoría
debería revisarse a fin de identificar necesidades de
cambios y posibles oportunidades para la mejora
(véase 5.7).
La Figura 1 ilustra el flujo del proceso para la
gestión de un programa de auditoría.
10
NM ISO 19011:2018
 a) objetivos para o programa de auditoria;
 b) riscos e oportunidades associados ao programa
de auditoria (ver 5.3) e ações para abordá-los;
 c) escopo (extensão, limites, locais) de cada
auditoria no programa de auditoria;
 d) agendamento (número/duração/frequência) das
auditorias;
 e) tipos de auditoria, como interna ou externa;
 f) critérios de auditoria;
 g) métodos de auditoria a serem empregados;
 h) critérios para selecionar membros de equipe de
auditoria;
 i) informação documentada pertinente.
Parte desta informação pode não estar disponível
até que o planejamento mais detalhado de auditoria
esteja completo.
Convém que a implementação do programa de
auditoria seja monitorada e medida em uma base
contínua (ver 5.6), para assegurar que seus
objetivos tenham sido alcançados. Convém que o
programa de auditoria seja analisado criticamente
para identificar necessidades de mudanças e
possíveis oportunidades para melhorias (ver 5.7).
A Figura 1 ilustra o fluxo de processo para o
gerenciamento de um programa de auditoria.
 NM ISO 19011:2018

PLANIFICAR / PLANEJAR HACER / FAZER VERIFICAR / CHECAR   ACTUAR / AGIR

(PLAN) (DO) (CHECK)   (PLAN)

5.2 Establecimiento de los  

objetivos del programa de  
auditoría / Estabelecendo  
objetivos do programa de
auditoria  
5.3 Determinación y  
evaluación de los riesgos y  
oportunidades del programa
de auditoría / Determinando  
e avaliando riscos e  
oportunidades do programa  
de auditoria
5.4 Establecimiento del
programa de auditoría /  
Estabelecendo o programa  
de auditoria
 
 
 
 
6.2 Início de la auditoría /  
Iniciando a auditoria  
6.3 Preparación de las
actividades de auditoría /
Preparando atividades da
auditoria
 
 
 
PLANIFICAR / PLANEJAR
(PLAN)
5.5 Implementación del
programa de auditoría /
Implementando o
programa de auditoria
 
6.4 Realización de las
actividades de auditoría /  
Conduzindo as atividades  
da auditoria  
6.5 Preparación y
distribución del informe
de auditoría / Preparando
e distribuindo o relatório
da auditoria
HACER / FAZER
(DO)
5.2 Establecimiento de los
objetivos del programa de
auditoría / Estabelecendo
objetivos do programa de
auditoria
5.6 Seguimiento del
programa de auditoría /
Monitorando o programa
de auditoria
Capítulo 5 / Seção 5
Capítulo 6 / Seção 6
6.7 Realización de las
actividades de
seguimimento de una
auditoría / Conduzindo
acompanhamento da
auditoria
6.6 Finalización de la
auditoría / Concluindo a
auditoria
VERIFICAR / CHECAR   ACTUAR / AGIR
(CHECK)   (ACT)

NOTA 1 Esta figura ilustra la aplicación del ciclo Planificar- NOTA 1 Esta figura ilustra a aplicação do ciclo Plan-Do-Check-
Hacer-Verificar-Actuar en este documento. Act (Planejar-Fazer-Checar-Agir) neste documento.

NOTA 2 La numeración de los capítulos/apartados hace NOTA 2 A numeração da seção/subseção se refere às

referencia a los capítulos/apartados pertinentes de este seções/subseções pertinentes deste documento.
documento.

Figura 1 – Diagrama de flujo para la gestión de un programa de auditoria /

Fluxo do processo para gerenciamento de um programa de auditoria

11

5.2 Establecimiento de los objetivos del
programa de auditoría
El cliente de la auditoría debería asegurarse de que
los objetivos del programa de auditoría se han
establecido para dirigir la planificación y realización
de auditorías y debería asegurarse de que el
programa de auditoría se ha implementado
eficazmente. Los objetivos del programa de
auditoría deberían ser coherentes con la dirección
estratégica del cliente de la auditoría y servir de
apoyo a la política y los objetivos del sistema de
gestión.
Estos objetivos pueden basarse en las siguientes
consideraciones:
a) las necesidades y expectativas de las partes
interesadas pertinentes, tanto externas como
internas;
b) las características y los requisitos de los
procesos, productos, servicios y proyectos, y
cualquier cambio en ellos;
c) los requisitos del sistema de gestión;
d) la necesidad de evaluar a los proveedores
externos;
e) el nivel de desempeño del auditado y el nivel de
madurez de los sistemas de gestión, como se
refleja en los indicadores de desempeño
pertinentes (por ejemplo, los KPI), la ocurrencia de
no conformidades o incidentes o quejas de las
partes interesadas;
f) los riesgos y oportunidades identificados para el
auditado;
g) los resultados de auditorías previas.
Ejemplos de objetivos de un programa de auditoría
pueden incluir lo siguiente:
- identificar las oportunidades para la mejora del
sistema de gestión y de su desempeño;
- evaluar la capacidad del auditado para determinar
su contexto;
- evaluar la capacidad del auditado para determinar
los riesgos y oportunidades, y para identificar e
implementar acciones eficaces para abordarlos;
- cumplir todos los requisitos pertinentes, por
ejemplo los requisitos legales y reglamentarios, los
compromisos de cumplimiento, los requisitos de
certificación con una norma de sistemas de gestión;
12
NM ISO 19011:2018
5.2 Estabelecendo objetivos do programa de
auditoria
Convém que o cliente da auditoria assegure que os
objetivos do programa de auditoria sejam
estabelecidos para direcionar o planejamento e a
condução de auditorias, e convém que assegure
que o programa de auditoria seja implementado
eficazmente. Convém que os objetivos do
programa de auditoria sejam coerentes com a
direção estratégica do cliente da auditoria e apoiem
a política e os objetivos do sistema de gestão.
Estes objetivos podem ser baseados na
consideração do seguinte:
 a) necessidades e expectativas de partes
interessadas pertinentes, externas e internas;
 b) características e requisitos de processos,
produtos, serviços e projetos, e quaisquer
mudanças neles;
 c) requisitos de sistema de gestão;
 d) necessidade para avaliação de fornecedores
externos;
 e) nível de desempenho e nível de maturidade
do(s) sistema(s) de gestão do auditado, como
refletido nos indicadores de desempenho
pertinentes (por exemplo, KPI), a ocorrência de não
conformidades ou incidentes ou reclamações de
partes interessadas;
 f) riscos e oportunidades identificados para o
auditado;
 g) resultados de auditorias anteriores.
Exemplos de objetivos de programa de auditoria
podem incluir o seguinte:
- identificar oportunidades para a melhoria de um
sistema de gestão e de seu desempenho;
- avaliar a capacidade do auditado de determinar
seu contexto;
- avaliar a capacidade do auditado de determinar
riscos e oportunidades e identificar e implementar
ações eficazes para abordá-los.
- estar conforme com todos os requisitos
pertinentes, por exemplo, requisitos estatutários e
regulamentares, compromissos de compliance,
requisitos para certificação em relação a uma
norma de sistema de gestão;
NM ISO 19011:2018
- obtener y mantener la confianza en la capacidad
de un proveedor externo;
- determinar la idoneidad, la adecuación, y la
eficacia continuas del sistema de gestión del
auditado;
- evaluar la compatibilidad y la alineación de los
objetivos del sistema de gestión con la dirección
estratégica de la organización.
5.3 Determinación y evaluación de los riesgos y
oportunidades del programa de auditoría
Hay riesgos y oportunidades relacionados con el
contexto del auditado que pueden asociarse con un
programa de auditoría y pueden afectar al logro de
sus objetivos. Las personas responsables de la
gestión del programa de auditoría deberían
identificar y presentar al cliente de la auditoría los
riesgos y oportunidades considerados al desarrollar
el programa de auditoría y los requisitos de
recursos para que puedan tratarse
adecuadamente.
Puede haber riesgos asociados con lo siguiente:
a) la planificación, por ejemplo el fracaso al
establecer objetivos de la auditoría pertinentes y al
determinar la extensión, número, duración,
ubicaciones y calendario de las auditorías;
b) los recursos, por ejemplo conceder insuficiente
tiempo, equipos y/o formación para desarrollar el
programa de auditoría o para realizar una auditoría;
c) la selección del equipo auditor, por ejemplo
competencia global insuficiente para realizar
auditorías eficazmente;
d) la comunicación, por ejemplo procesos/canales
de comunicación externos/internos ineficaces;
e) la implementación, por ejemplo una coordinación
ineficaz de las auditorías dentro del programa de
auditoría, o no tener en cuenta la seguridad y
confidencialidad de la información;
f) el control de la información documentada, por
ejemplo determinación ineficaz de la información
documentada necesaria requerida por los auditores
y las partes interesadas pertinentes, fracaso a la
hora de proteger adecuadamente los registros de
auditoría para demostrar la eficacia del programa
de auditoría;
g) el seguimiento, revisión y mejora del programa
de auditoría, por ejemplo seguimiento ineficaz de
los resultados del programa de auditoría;
- obter e manter confiança na capacidade de um
fornecedor externo;
- determinar a contínua adequação, suficiência e
eficácia do sistema de gestão do auditado;
- avaliar a compatibilidade e o alinhamento dos
objetivos do sistemas de gestão com a direção
estratégica da organização.
5.3 Determinando e avaliando riscos e
oportunidades do programa de auditoria
Existem riscos e oportunidades relacionados ao
contexto do auditado que podem estar associados
a um programa de auditoria e podem afetar o
alcance de seus objetivos. Convém que a(s)
pessoa(s) que gerencia(m) o programa de auditoria
identifique(m) e apresente(m) ao cliente da
auditoria os riscos e oportunidades considerados
ao desenvolver o programa de auditoria e requisitos
de recurso, de modo que eles possam ser
abordados apropriadamente.
Podem existir riscos associados com o seguinte:
 a) planejamento, por exemplo, falha em
estabelecer objetivos de auditoria pertinentes e em
determinar a extensão, número, duração, locais e
agenda das auditorias;
 b) recursos, por exemplo, dispor de tempo,
equipamento e/ou treinamento insuficientes para
desenvolver o programa de auditoria ou conduzir
uma auditoria;
 c) seleção da equipe de auditoria, por exemplo,
competência global insuficiente para conduzir
auditorias eficazmente;
 d) comunicação, por exemplo, processos/canais de
comunicação externa/interna ineficazes;
 e) implementação, por exemplo, coordenação
ineficaz das auditorias no programa de auditoria ou
não considerar segurança e confidencialidade da
informação;
 f) controle de informação documentada, por
exemplo, determinação ineficaz da informação
documentada necessária requerida por auditores e
partes interessadas pertinentes, falha em proteger
suficientemente registros de auditoria para
demonstrar a eficácia do programa de auditoria;
 g) monitoramento, análise crítica e melhoria do
programa de auditoria, por exemplo,
monitoramento ineficaz de resultados do programa
de auditoria;
13

h) la disponibilidad y la cooperación del auditado y
la disponibilidad de evidencias a muestrear.
Las oportunidades para mejorar el programa de
auditoría pueden incluir:
- permitir llevar a cabo múltiples auditorías en una
única visita;
- minimizar el tiempo y las distancias viajando al
sitio;
- igualar el nivel de competencia del equipo auditor
con el nivel de competencia necesario para
alcanzar los objetivos de la auditoría;
- alinear las fechas de la auditoría con la
disponibilidad del personal clave del auditado.
5.4 Establecimiento del programa de auditoría
5.4.1 Roles y responsabilidades de las personas
responsables de la gestión del programa de
auditoría
Las personas responsables de la gestión del
programa de auditoría deberían:
a) establecer la extensión del programa de auditoría
de acuerdo con los objetivos pertinentes (véase
5.2) y cualquier restricción conocida;
b) determinar las cuestiones externas e internas, y
los riesgos y oportunidades que pueden afectar al
programa de auditoría, e implementar acciones
para abordarlos, integrando estas acciones en
todas las actividades de auditoría pertinentes,
según sea apropiado;
c) asegurar la selección de los equipos auditores y
la competencia general para las actividades de
auditoría, asignando roles, responsabilidades y
autoridades, y respaldando al liderazgo, según sea
apropiado;
d) establecer todos los procesos pertinentes,
incluyendo procesos para:
- la coordinación y calendario de todas las
auditorías dentro del programa de auditoría;
- el establecimiento de los objetivos, los alcances y
los criterios de auditoría de las auditorías,
determinando los métodos de auditoría y la
selección del equipo auditor;
- la evaluación de los auditores;
- el establecimiento de procesos de comunicación
externos e internos, según sea apropiado;
14
NM ISO 19011:2018
 h) disponibilidade e cooperação do auditado e
disponibilidade de evidência para ser amostrada.
Oportunidades para melhorar o programa de
auditoria podem incluir:
- permitir que múltiplas auditorias sejam conduzidas
em uma visita única;
- minimizar tempo e distância de viagem ao local;
- conciliar o nível de competência da equipe de
auditoria ao nível de competência necessário para
alcançar os objetivos da auditoria;
- alinhar datas de auditoria com a disponibilidade de
pessoal-chave do auditado.
5.4 Estabelecendo o programa de auditoria
5.4.1 Papéis e responsabilidades da(s)
pessoa(s) que gerencia(m) o programa de
auditoria
Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoria:
 a) estabeleça(m) a extensão do programa de
auditoria de acordo com os objetivos pertinentes
(ver 5.2) e quaisquer restrições conhecidas;
 b) determine(m) as questões internas e externas e
riscos e oportunidades que possam afetar o
programa de auditoria e implemente(m) ações para
abordá-los, integrando estas ações em todas as
atividades de auditoria pertinentes, conforme
apropriado;
 c) assegure(m) a seleção de equipes de auditoria e
a competência global para as atividades de
auditoria, atribuindo papéis, responsabilidades e
autoridades, e apoiando a liderança, conforme
apropriado;
 d) estabeleça(m) todos os processos pertinentes,
incluindo processos para:
- coordenação e agendamento de todas as
auditorias no programa de auditoria;
- estabelecimento de objetivos de auditoria,
escopo(s) e critérios das auditorias, determinação
de métodos de auditoria e seleção da equipe de
auditoria;
- avaliação de auditores;
- estabelecimento de processos de comunicação
interna e externa, conforme apropriado;
NM ISO 19011:2018
- la resolución de conflictos y el tratamiento de las
quejas;
- el seguimiento de la auditoría, según proceda;
- la presentación de informes al cliente de la
auditoría y a las partes interesadas pertinentes,
según sea apropiado.
e) determinar y asegurar la provisión de todos los
recursos necesarios;
f) asegurarse de que se prepara y mantiene la
información documentada apropiada, incluyendo
los registros del programa de auditoría;
g) hacer el seguimiento, revisar y mejorar el
programa de auditoría;
h) comunicar el programa de auditoría al cliente de
la auditoría y, según sea apropiado, a las partes
interesadas pertinentes.
Las personas responsables de la gestión del
programa de auditoría deberían solicitar su
aprobación al cliente de la auditoría.
5.4.2 Competencia de las personas
responsables de la gestión del programa de
auditoría
Las personas responsables de la gestión del
programa de auditoría deberían tener la
competencia necesaria para gestionar el programa
y sus riesgos y oportunidades y las cuestiones
externas e internas asociadas de forma eficaz y
eficiente, incluyendo conocimientos sobre:
a) los principios (véase el Capítulo 4), métodos y
procesos de auditoría (véanse A.1 y A.2);
b) las normas de sistemas de gestión, otras normas
pertinentes y documentos de
referencia/orientación;
c) la información relativa al auditado y a su contexto
(por ejemplo, las cuestiones externas/internas, las
partes interesadas pertinentes y sus necesidades y
expectativas, las actividades de negocio, los
productos, servicios y procesos del auditado);
d) los requisitos legales y reglamentarios aplicables
y otros requisitos pertinentes a las actividades de
negocio del auditado.
Según sea apropiado, podría considerarse el
conocimiento de gestión de riesgos, gestión de
proyectos y procesos y de tecnologías de la
información y las comunicaciones (TIC).
Las personas responsables de la gestión del
programa de auditoría deberían participar en las
- resoluções de disputas e tratamento de
reclamações;
- acompanhamento de auditoria, se aplicável;
- relato ao cliente da auditoria e partes interessadas
pertinentes, conforme apropriado.
 e) determine(m) e assegure(m) provisão de todos
os recursos necessários;
 f) assegure(m) que a informação documentada
apropriada seja preparada e mantida, incluindo
registros do programa de auditoria;
 g) monitore(m), analise(m) criticamente e
melhore(m) o programa de auditoria;
 h) comunique(m) o programa de auditoria ao cliente
de auditoria e, conforme apropriado, às partes
interessadas pertinentes.
Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoria solicite(m) sua aprovação
pelo cliente de auditoria.
5.4.2 Competência da(s) pessoa(s) que
gerencia(m) o programa de auditoria
Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoria tenha(m) a competência
necessária para gerenciar o programa e seus riscos
e oportunidades associados e questões externas e
internas eficaz e eficientemente, incluindo o
conhecimento de:
 a) princípios de auditoria (ver Seção 4), métodos e
processos (ver A.1 e A.2);
 b) normas de sistema de gestão, outras normas
pertinentes e documentos de referência/orientação;
 c) informação relativa ao auditado e seu contexto
(por exemplo, questões externas/internas, partes
interessadas pertinentes e suas necessidades e
expectativas, atividades de negócios, produtos,
serviços e processos do auditado);
 d) requisitos estatutários e regulamentares
aplicáveis, e outros requisitos pertinentes às
atividades de negócios do auditado.
Conforme apropriado, conhecimentos de gestão de
risco, gestão de projeto e processo e tecnologia da
informação e comunicação (TIC) podem ser
considerados.
Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoria se engaje(m) em atividades
15

actividades apropiadas de desarrollo continuo para
mantener la competencia necesaria para gestionar
el programa de auditoría.
5.4.3 Establecimiento de la extensión del
programa de auditoría
Las personas responsables de la gestión del
programa de auditoría deberían determinar la
extensión del programa de auditoría. Ésta puede
variar dependiendo de la información
proporcionada por el auditado sobre su contexto
(véase 5.3).
NOTA En ciertos casos, dependiendo de la estructura o las
actividades del auditado, el programa de auditoría podría
consistir únicamente en una sola auditoría (por ejemplo, un
proyecto o una organización pequeños).
Otros factores que tienen impacto en la extensión
de un programa de auditoría pueden incluir lo
siguiente:
a) el objetivo, alcance y duración de cada auditoría
y el número de auditorías a llevar a cabo, el método
de presentación de informes y, si aplica, el
seguimiento de la auditoría;
b) las normas de sistemas de gestión u otros
criterios aplicables;
c) el número, importancia, complejidad, similitud y
las ubicaciones de las actividades que se van a
auditar;
d) los factores que influyen en la eficacia del
sistema de gestión;
e) los criterios de auditoría aplicables, tales como
los acuerdos planificados para las normas de
sistemas de gestión pertinentes, los requisitos
legales y reglamentarios y otros requisitos con los
que la organización está comprometida;
f) los resultados de auditorías internas o externas
previas y revisiones por la dirección previas, si es
apropiado;
g) los resultados de una revisión previa del
programa de auditoría;
h) el idioma, las cuestiones culturales y sociales;
i) las inquietudes de las partes interesadas, tales
como quejas de clientes, incumplimiento de los
requisitos legales y reglamentarios y otros
requisitos con los que la organización está
comprometida, o cuestiones de la cadena de
suministro;
j) los cambios significativos en el contexto del
auditado o sus operaciones y los riesgos y
oportunidades asociados;
16
NM ISO 19011:2018
de desenvolvimento contínuo apropriadas para
manter a competência necessária para gerenciar o
programa de auditoria.
5.4.3 Estabelecendo a extensão do programa de
auditoria
Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoria determine(m) a extensão do
programa de auditoria. Isso pode variar
dependendo da informação fornecida pelo auditado
relativa a seu contexto (ver 5.3).
NOTA Em certos casos, dependendo da estrutura do auditado
ou suas atividades, o programa de auditoria pode consistir
somente em uma única auditoria (por exemplo, um pequeno
projeto ou pequena organização).
Outros fatores que impactam a extensão de um
programa de auditoria podem incluir o seguinte:
 a) objetivo, escopo e duração de cada auditoria e
número de auditorias a serem conduzidas, método
de relatar e, se aplicável, acompanhamento da
auditoria;
 b) normas de sistema de gestão ou outros critérios
aplicáveis;
 c) número, importância, complexidade, similaridade
e locais das atividades a serem auditadas;
 d) aqueles fatores que influenciam a eficácia do
sistema de gestão;
 e) critérios de auditoria aplicáveis, como arranjos
planejados para normas pertinentes do sistema de
gestão, requisitos estatutários e regulamentares e
outros requisitos com os quais a organização esteja
comprometida;
 f) resultados de auditorias internas ou externas e
análises críticas gerenciais anteriores, se
apropriado;
 g) resultados de análise crítica de um programa de
auditoria anterior;
 h) questões de idioma, culturais e sociais;
 i) preocupações das partes interessadas, como
reclamações de clientes, não conformidade com
requisitos estatutários e regulamentares, e outros
requisitos com os quais a organização esteja
comprometida, ou questões de cadeia de
suprimentos;
 j) mudanças significativas para o contexto do
auditado ou suas operações e riscos e
oportunidades relacionadas;
NM ISO 19011:2018
k) la disponibilidad de las tecnologías de la
información y comunicación para apoyar las
actividades de auditoría, en particular el uso de
métodos de auditoría remota (véase A.16);
l) la ocurrencia de sucesos internos y externos,
tales como no conformidades de los productos o
servicios, filtraciones en la seguridad de la
información, incidentes en materia de seguridad y
salud, actos delictivos o incidentes ambientales;
m) los riesgos y oportunidades de negocio,
incluyendo las acciones para abordarlos.
5.4.4 Determinación de los recursos del
programa de auditoría
Al determinar los recursos para el programa de
auditoría, las personas responsables de la gestión
del programa de auditoría deberían considerar:
a) los recursos financieros y de tiempo necesarios
para desarrollar, implementar, gestionar y mejorar
las actividades de auditoría;
b) los métodos de auditoría (véase A.1);
c) la disponibilidad individual y global de auditores
y expertos técnicos que tengan la competencia
apropiada para los objetivos particulares del
programa de auditoría;
d) la extensión del programa de auditoría (véase
5.4.3) y los riesgos y oportunidades relacionados
con el programa de auditoría (véase 5.3);
e) el tiempo y costos de transporte, alojamiento y
otras necesidades de la auditoría;
f) el impacto de las diferentes zonas horarias;
g) la disponibilidad de tecnologías de la información
y las comunicaciones (por ejemplo, los recursos
técnicos requeridos para establecer una auditoría
remota usando tecnologías que apoyen la
colaboración remota);
h) la disponibilidad de las herramientas, la
tecnología y los equipos requeridos;
i) la disponibilidad de la información documentada
necesaria, según lo determine el establecimiento
del programa de auditoría (véase A.5);
j) los requisitos relacionados con las instalaciones,
incluyendo las autorizaciones y equipos de
seguridad (por ejemplo, verificación de
antecedentes, equipos de protección personal,
capacidad para llevar ropa de sala limpia).
 k) disponibilidade de tecnologias da informação e
comunicação para apoiar atividades de auditoria,
em particular o uso de métodos de auditoria remota
(ver A.16);
 l) ocorrência de eventos internos e externos, como
não conformidades de produtos ou serviço, brechas
de segurança da informação, incidentes de saúde e
segurança, atos criminosos ou incidentes
ambientais;
 m) riscos e oportunidades do negócio, incluindo
ações para abordá-los.
5.4.4 Determinando recursos do programa de
auditoria
Ao determinar recursos para o programa de
auditoria, convém que a(s) pessoa(s) que
gerencia(m) o programa de auditoria considere(m):
 a) recursos financeiros e tempo necessários para
desenvolver, implementar, gerenciar e melhorar
atividades de auditoria;
 b) métodos de auditoria (ver A.1);
 c) disponibilidade individual e global de auditores e
especialistas que tenham competência apropriada
para os objetivos particulares do programa de
auditoria;
 d) extensão do programa de auditoria (ver 5.4.3) e
riscos e oportunidades do programa de auditoria
(ver 5.3);
 e) custo e tempo de viagem, acomodação e outras
necessidades de auditoria;
 f) impacto de diferentes fusos horários;
 g) a disponibilidade de tecnologias de informação e
comunicação (por exemplo, recursos técnicos
requeridos para instituir uma auditoria remota
usando tecnologias que apoiam a colaboração
remota);
 h) disponibilidade de quaisquer ferramentas,
tecnologia e equipamento requeridos;
 i) disponibilidade de informação documentada
necessária, como determinada durante o
estabelecimento de um programa de auditoria
(ver A.5);
 j) requisitos relacionados à instalação, incluindo
quaisquer liberações e equipamento de segurança
(por exemplo, verificações de histórico,
equipamento de proteção pessoal, capacidade de
usar trajes para salas limpas).
17

5.5 Implementación del programa de auditoría
5.5.1 Generalidades
Una vez que se ha establecido el programa de
auditoría (véase 5.4.3) y que se han determinado
los recursos relacionados (véase 5.4.4), es
necesario implementar la planificación operacional
y la coordinación de todas las actividades dentro del
programa.
Las personas responsables de la gestión del
programa de auditoría deberían:
a) comunicar las partes pertinentes del programa
de auditoría, incluyendo los riesgos y oportunidades
implicados, a las partes interesadas pertinentes e
informarles periódicamente de su progreso, usando
los canales de comunicación externos e internos
establecidos;
b) definir los objetivos, el alcance y los criterios para
cada auditoría individual;
c) seleccionar los métodos de auditoría (véase A.1);
d) coordinar y programar las auditorías y otras
actividades pertinentes al programa de auditoría;
e) asegurarse de que los equipos auditores tienen
la competencia necesaria (véase 5.5.4);
f) proporcionar los recursos necesarios individuales
y globales para los equipos auditores (véase 5.4.4);
g) asegurar la realización de las auditorías de
acuerdo con el programa de auditoría, gestionando
todos los riesgos, oportunidades y cuestiones
operacionales (es decir, eventos inesperados),
según surjan durante el despliegue del programa;
h) asegurarse de que la información documentada
pertinente relativa a las actividades de auditoría se
gestiona y mantiene adecuadamente (véase 5.5.7);
i) definir e implementar los controles operacionales
(véase 5.6) necesarios para el seguimiento del
programa de auditoría;
j) revisar el programa de auditoría a fin de identificar
oportunidades para mejorarlo (véase 5.7).
5.5.2 Definición de los objetivos, el alcance y los
criterios para una auditoría individual
Cada auditoría individual debería basarse en unos
objetivos, un alcance y unos criterios de auditoría
definidos. Estos deberían ser coherentes con los
objetivos globales del programa de auditoría.
18
NM ISO 19011:2018
5.5 Implementando o programa de auditoria
5.5.1 Generalidades
Uma vez que o programa de auditoria tenha sido
estabelecido (ver 5.4.3) e os recursos relacionados
tenham sido determinados (ver 5.4.4), é necessário
implementar o planejamento operacional e a
coordenação de todas as atividades no programa.
Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoria:
 a) comunique(m)-se com as partes pertinentes do
programa de auditoria, incluindo os riscos e
oportunidades envolvidos, e com as partes
interessadas pertinentes e informe(m)
periodicamente de seu progresso, usando canais
de comunicação externos e internos estabelecidos;
 b) especifique(m) objetivos, escopo e critérios para
cada auditoria individual;
 c) selecione(m) métodos de auditoria (ver A.1);
 d) coordene(m) e agende(m) auditorias e outras
atividades pertinentes ao programa de auditoria;
 e) assegure(m) que as equipes de auditoria tenham
a competência necessária (ver 5.5.4);
 f) forneça(m) recursos individuais e globais
necessários para as equipes de auditoria
(ver 5.4.4);
 g) assegure(m) a condução de auditorias de acordo
com o programa de auditoria, gerenciando todos os
riscos operacionais, oportunidades e questões (isto
é, eventos inesperados), conforme eles surjam
durante a implantação do programa;
 h) assegure(m) que a informação documentada
pertinente relativa às atividades de auditoria seja
gerenciada e mantida apropriadamente (ver 5.5.7);
 i) defina(m) e implemente(m) os controles
operacionais (ver 5.6) necessários para o
monitoramento do programa de auditoria;
 j) analise(m) criticamente o programa de auditoria
para identificar oportunidades para sua melhoria
(ver 5.7).
5.5.2 Definindo os objetivos, escopo e critérios
para uma auditoria individual
Convém que cada auditoria individual seja baseada
em objetivos, escopo e critérios de auditoria
especificados. Convém que esses sejam coerentes
com os objetivos globais do programa de auditoria.
NM ISO 19011:2018
Los objetivos de la auditoría definen qué es lo que
se va a lograr con la auditoría individual y pueden
incluir lo siguiente:
a) la determinación del grado de conformidad del
sistema de gestión que se va a auditar, o partes del
mismo, con los criterios de auditoría;
b) la evaluación de la capacidad del sistema de
gestión para ayudar a la organización a cumplir los
requisitos legales y reglamentarios pertinentes y
otros requisitos con los que la organización está
comprometida;
c) la evaluación de la eficacia del sistema de
gestión para lograr sus resultados previstos;
d) la identificación de oportunidades para la mejora
potencial del sistema de gestión;
e) la evaluación de la idoneidad y adecuación del
sistema de gestión con respecto al contexto y a la
dirección estratégica del auditado;
f) la evaluación de la capacidad del sistema de
gestión para establecer y alcanzar los objetivos y
abordar eficazmente los riesgos y oportunidades,
en un contexto cambiante, incluyendo la
implementación de las acciones relacionadas.
El alcance de la auditoría debería ser coherente con
el programa de auditoría y con los objetivos de la
auditoría. Incluye factores tales como las
ubicaciones, las funciones, las actividades y los
procesos que se van a auditar, así como el periodo
de tiempo cubierto por la auditoría.
Los criterios de auditoría se utilizan como una
referencia frente a la cual se determina la
conformidad. Pueden incluir uno o más de los
siguientes: políticas aplicables, procesos,
procedimientos, criterios de desempeño incluyendo
objetivos, requisitos legales y reglamentarios,
requisitos del sistema de gestión, información
relativa al contexto y a los riesgos y oportunidades
según determine el auditado (incluyendo los
requisitos de las partes interesadas pertinentes
externas/internas), códigos de conducta sectoriales
u otros acuerdos planificados.
En caso de algún cambio en los objetivos, el
alcance o los criterios de la auditoría, el programa
de auditoría debería modificarse, si es necesario, y
comunicarse a las partes interesadas para su
aprobación, si es apropiado.
Cuando se audita más de una disciplina a la vez, es
importante que los objetivos, el alcance y los
criterios de la auditoría sean coherentes con los
programas de auditoría pertinentes para cada
disciplina. Algunas disciplinas pueden tener un
alcance que incorpore a toda la organización, y
Os objetivos da auditoria determinam o que é para
ser realizado pela auditoria individual e podem
incluir o seguinte:
 a) determinação da extensão da conformidade do
sistema de gestão a ser auditado, ou partes dele,
com critérios de auditoria;
 b) avaliação da capacidade do sistema de gestão
de auxiliar a organização a atender os requisitos
regulamentares e estatutários pertinentes, e outros
requisitos com os quais a organização esteja
comprometida;
 c) avaliação da eficácia do sistema de gestão em
alcançar seus resultados pretendidos;
 d) identificação de oportunidades para potencial
melhoria do sistema de gestão;
 e) avaliação da adequação e suficiência do sistema
de gestão em relação ao contexto e direção
estratégica do auditado;
 f) avaliação da capacidade do sistema de gestão
para estabelecer e alcançar objetivos e abordar
riscos e oportunidades eficazmente, em um
contexto em mudança, incluindo a implementação
das ações relacionadas.
Convém que o escopo de auditoria seja coerente
com o programa e os objetivos da auditoria. Ele
inclui fatores como locais, funções, atividades e
processos a serem auditados, assim como o
período de tempo coberto pela auditoria.
Os critérios de auditoria são usados como uma
referência em relação à qual a conformidade é
determinada. Estes podem incluir um ou mais dos
seguintes: políticas aplicáveis, processos, procedi-
mentos, critérios de desempenho, incluindo
objetivos, requisitos estatutários e regulamentares,
requisitos do sistema de gestão, informação relativa
ao contexto e aos riscos e oportunidades como
determinado pelo auditado (incluindo requisitos de
partes interessadas pertinentes externas/internas),
códigos de conduta setoriais ou outros arranjos
planejados.
Convém que, na eventualidade de quaisquer
mudanças nos objetivos de auditoria, escopo ou
critérios, o programa de auditoria seja modificado,
se necessário, e comunicado as partes
interessadas para aprovação, se apropriado.
Quando mais de uma disciplina está sendo
auditada ao mesmo tempo, é importante que os
objetivos, o escopo e os critérios de auditoria sejam
coerentes com os programas de auditorias
pertinentes para cada disciplina. Algumas
disciplinas podem ter um escopo que reflita a
19

otras pueden tener un alcance que abarque a un
subconjunto de la organización.
5.5.3 Selección y determinación de los métodos
de auditoría
Las personas responsables de la gestión del
programa de auditoría deberían seleccionar y
determinar los métodos para llevar a cabo la
auditoría de manera eficaz y eficiente, dependiendo
de los objetivos, el alcance y los criterios de la
auditoría definidos.
Las auditorías pueden llevarse a cabo en el sitio,
remotamente, o como una combinación. El uso de
estos métodos debería estar adecuadamente
equilibrado, basándose, entre otros, en la
consideración de los riesgos y oportunidades
asociados.
Cuando dos o más organizaciones auditoras llevan
a cabo una auditoría conjunta del mismo auditado,
las personas responsables de la gestión de los
diferentes programas de auditoría deberían estar
de acuerdo en los métodos de auditoría y
considerar las implicaciones para la provisión de
recursos y la planificación de la auditoría. Si un
auditado opera dos o más sistemas de gestión de
disciplinas diferentes, pueden incluirse auditorías
combinadas en el programa de auditoría.
5.5.4 Selección de los miembros del equipo
auditor
Las personas responsables de la gestión del
programa de auditoría deberían designar a los
miembros del equipo auditor, incluyendo al líder del
equipo y a cualquier experto técnico necesario para
la auditoría específica.
Un equipo auditor debería seleccionarse teniendo
en cuenta las competencias necesarias para
alcanzar los objetivos de la auditoría individual
dentro del alcance definido. Si sólo hay un auditor,
el auditor debería realizar todas las tareas
aplicables a un líder de equipo auditor.
NOTA El Capítulo 7 contiene orientación sobre la determinación
de las competencias requeridas para los miembros del equipo
auditor y describe los procesos para evaluar auditores.
Para asegurar la competencia global del equipo
auditor, deberían llevarse a cabo los siguientes
pasos:
- la identificación de la competencia necesaria para
lograr los objetivos de la auditoría;
- la selección de los miembros del equipo auditor,
de tal manera que la competencia necesaria esté
presente en el equipo auditor.
20
NM ISO 19011:2018
organização inteira, e outras podem ter um escopo
que reflita um subconjunto da organização inteira.
5.5.3 Selecionando e determinando os métodos
de auditoria
Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoria selecione(m) e determine(m)
os métodos para conduzir uma auditoria eficaz e
eficientemente, dependendo dos objetivos, escopo
e critérios de auditoria estabelecidos.
Auditorias podem ser realizadas no local,
remotamente ou como uma combinação. Convém
que o uso destes métodos seja adequadamente
equilibrado, baseado em, entre outras,
consideração de riscos e oportunidades
associadas.
Quando duas ou mais organizações de auditoria
conduzem uma auditoria conjunta do mesmo
auditado, convém que as pessoas que gerenciam
os diferentes programas de auditorias estejam de
acordo sobre os métodos de auditoria e considerem
implicações para alocar recursos e planejar a
auditoria. Se um auditado operar dois ou mais
sistemas de gestão de diferentes disciplinas,
auditorias combinadas podem ser incluídas no
programa de auditoria.
5.5.4 Selecionando os membros da equipe de
auditoria
Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoria indique(m) os membros da
equipe de auditoria, incluindo o líder da equipe e
quaisquer especialistas necessários para a
auditoria específica.
Convém que uma equipe de auditoria seja
selecionada levando em conta a competência
necessária para alcançar os objetivos da auditoria
individual no escopo determinado. Se houver
somente um auditor, convém que o auditor realize
todas as obrigações aplicáveis de um líder de
equipe de auditoria.
NOTA A Seção 7 contém orientações para determinar a
competência necessária para os membros da equipe de
auditoria e descreve os processos para avaliar os auditores.
Para assegurar a competência global da equipe de
auditoria, convém realizar os seguintes passos:
- identificação da competência necessária para
alcançar os objetivos da auditoria;
- seleção dos membros da equipe de auditoria, de
modo que a competência necessária esteja
presente na equipe de auditoria.
NM ISO 19011:2018
Al decidir el tamaño y la composición del equipo
auditor para una auditoría específica, debería
considerarse lo siguiente:
a) la competencia global del equipo auditor
necesaria para lograr los objetivos de la auditoría,
teniendo en cuenta el alcance y los criterios de la
auditoría;
b) la complejidad de la auditoría;
c) si la auditoría es una auditoría combinada o
conjunta;
d) los métodos de auditoría seleccionados;
e) asegurar la objetividad e imparcialidad para
evitar cualquier conflicto de intereses en el proceso
de auditoría;
f) la capacidad de los miembros del equipo auditor
para trabajar e interactuar eficazmente con los
representantes del auditado y las partes
interesadas pertinentes;
g) las cuestiones externas/internas pertinentes,
como el idioma de la auditoría, y las características
sociales y culturales del auditado. Estas cuestiones
pueden tratarse a través de las habilidades propias
del auditor, o bien a través del apoyo de un experto
técnico, considerando también la necesidad de
intérpretes;
h) el tipo y la complejidad de los procesos a auditar.
Cuando proceda, las personas responsables de la
gestión del programa de auditoría deberían
consultar con el líder del equipo sobre la
composición del equipo auditor.
Si los auditores del equipo auditor no cubren la
competencia necesaria, los expertos técnicos con
competencia adicional deberían estar disponibles
para apoyar al equipo.
Los auditores en formación pueden incluirse en el
equipo auditor, pero deberían participar bajo la
dirección y orientación de un auditor.
Durante la auditoría pueden ser necesarios
cambios en la composición del equipo auditor, por
ejemplo, si surge un conflicto de intereses o un
problema de competencia. Si surge una situación
así, debería resolverse con las partes apropiadas
(por ejemplo, el líder del equipo auditor, las
personas responsables de la gestión del programa
de auditoría, el cliente de la auditoría o el auditado)
antes de que se realice cualquier cambio.
5.5.5 Asignación de responsabilidades al líder
del equipo auditor para una auditoría individual
Ao decidir o tamanho e a composição da equipe de
auditoria para a auditoria específica, convém que
seja considerado o seguinte:
 a) competência global necessária da equipe de
auditoria para alcançar os objetivos de auditoria,
levando em conta o escopo e os critérios de
auditoria;
 b) complexidade da auditoria;
 c) se a auditoria é uma auditoria combinada ou
conjunta;
 d) os métodos de auditoria selecionados;
 e) asseguramento da objetividade e imparcialidade
para evitar qualquer conflito de interesse do
processo de auditoria;
f) capacidade dos membros da equipe de auditoria
para trabalhar e interagir eficazmente com os
representantes do auditado e partes interessadas
pertinentes;
 g) questões externas/internas pertinentes, como o
idioma da auditoria e as características culturais e
sociais do auditado. Estas questões podem ser
abordadas pelas próprias habilidades do auditor ou
por meio do apoio de um especialista, também
considerando a necessidade de intérpretes;
 h) tipo e complexidade dos processos a serem
auditados.
Quando apropriado, convém que a(s) pessoa(s)
que gerencia(m) o programa de auditoria
consulte(m) o líder da equipe sobre a composição
da equipe de auditoria.
Se a competência necessária não for coberta pelos
auditores na equipe de auditoria, convém que
especialistas com competência adicional sejam
colocados à disposição para apoiar a equipe.
Auditores em treinamento podem ser incluídos na
equipe de auditoria, mas convém que participem
sob a direção e orientação de um auditor.
Mudanças na composição da equipe de auditoria
podem ser necessárias durante a auditoria, por
exemplo, se um conflito de interesse ou questão de
competência surgir. Se tal situação surgir, convém
que ela seja resolvida com as partes apropriadas
(por exemplo, líder da equipe de auditoria,
pessoa(s) que gerencia(m) o programa de
auditoria, cliente da auditoria ou auditado) antes
que quaisquer mudanças sejam feitas.
5.5.5 Atribuindo responsabilidade para uma
auditoria individual ao líder da equipe de
auditoria
21
 NM ISO 19011:2018

Las personas responsables de la gestión del Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoría deberían asignar a un líder programa de auditoria designe(m) a
del equipo auditor la responsabilidad de llevar a responsabilidade por conduzir a auditoria individual
cabo la auditoría individual. a um líder de equipe de auditoria.

La asignación debería hacerse con tiempo Convém que a atribuição seja feita em tempo
suficiente antes de la fecha programada de la suficiente antes da data agendada da auditoria,
auditoría, para asegurarse de la planificación eficaz para assegurar o planejamento eficaz da auditoria.
de la auditoría.

Para asegurarse de la realización eficaz de las Para assegurar a condução eficaz das auditorias
auditorías individuales, debería proporcionarse al individuais, convém que a seguinte informação seja
líder del equipo auditor la siguiente información: fornecida ao líder da equipe de auditoria:

a) los objetivos de la auditoría;  a) objetivos da auditoria;

b) los criterios de auditoría y la información  b) critérios de auditoria e qualquer informação

documentada pertinente; documentada pertinente;

c) el alcance de la auditoría, incluyendo la  c) escopo da auditoria, incluindo identificação da

identificación de la organización y sus funciones y organização e suas funções e processos a serem
los procesos que se van a auditar; auditados;

d) los procesos de la auditoría y los métodos  d) processos de auditoria e métodos associados;
asociados;

e) la composición del equipo auditor;  e) composição da equipe de auditoria;

f) los detalles de contacto del auditado, las  f) detalhes de contato do auditado, e locais, período
ubicaciones, el marco temporal y la duración de las de tempo e duração das atividades de auditoria a
actividades de auditoría que se van a llevar a cabo; serem conduzidas;

g) los recursos necesarios para llevar a cabo la  g) recursos necessários para conduzir a auditoria;
auditoría;

h) la información necesaria para evaluar y abordar  h) informação necessária para avaliar e abordar
los riesgos y oportunidades identificados para el riscos e oportunidades identificados para o alcance
logro de los objetivos de la auditoría; dos objetivos de auditoria;

i) la información que apoya a los líderes de los  i) informação que apoie o(s) líder(es) da equipe de
equipos auditores en sus interacciones con el auditoria em suas interações com o auditado para
auditado para la eficacia del programa de auditoría. a eficácia do programa de auditoria.

La información sobre la asignación también debería Convém que a informação de atribuição também
cubrir lo siguiente, cuando sea apropiado: abranja o seguinte, conforme apropriado:

- el idioma de trabajo y del informe de la auditoría, - idioma de trabalho e de relato da auditoria quando
cuando sea diferente del idioma del auditor o del este for diferente do idioma do auditor ou do
auditado, o de ambos; auditado, ou de ambos;

- el contenido requerido del informe de la auditoría - saída de relato de auditoria como requerido e a
y a quién debería distribuirse; quem será distribuída;

- los temas relacionados con la confidencialidad y - assuntos relacionados à confidencialidade e

la seguridad de la información, según lo requiera el segurança da informação, se requerido pelo
programa de auditoría; programa de auditoria;

- cualquier acuerdo sobre seguridad, salud y medio - quaisquer arranjos de saúde, segurança e meio
ambiente para los auditores; ambiente para os auditores;

- los requisitos de transporte o de acceso a - requisitos para viagem ou acesso a locais

ubicaciones remotas; remotos;

22
NM ISO 19011:2018
- cualquier requisito de seguridad física y de
autorización;
- cualquier acción a revisar, por ejemplo las
acciones de seguimiento de una auditoría previa;
- la coordinación con otras actividades de auditoría,
por ejemplo cuando equipos distintos están
auditando procesos similares o relacionados en
ubicaciones diferentes, o en el caso de una
auditoría conjunta.
Cuando se lleva a cabo una auditoría conjunta es
importante alcanzar un acuerdo entre las
organizaciones que llevan a cabo las auditorías,
antes de que la auditoría comience, sobre las
responsabilidades específicas de cada parte,
especialmente en lo que concierne a la autoridad
del líder del equipo auditor designado para la
auditoría.
5.5.6 Gestión de los resultados del programa de
auditoría
Las personas responsables de la gestión del
programa de auditoría deberían asegurarse de que
se realizan las siguientes actividades:
a) la evaluación del cumplimiento de los objetivos
para cada auditoría dentro del programa de
auditoría;
b) la revisión y aprobación de los informes de la
auditoría relativos al cumplimiento del alcance y los
objetivos de la auditoría;
c) la revisión de la eficacia de las acciones tomadas
para tratar los hallazgos de auditoría;
d) la distribución de informes de auditoría a las
partes interesadas pertinentes;
e) la determinación de la necesidad de alguna
auditoría de seguimiento.
Las personas responsables de la gestión del
programa de auditoría deberían considerar, cuando
sea apropiado:
- comunicar los resultados de la auditoría y las
mejores prácticas a otras áreas de la organización,
y
- las implicaciones para otros procesos.
5.5.7 Gestión y conservación de los registros
del programa de auditoría
Las personas responsables de la gestión del
programa de auditoría deberían asegurarse de que
se generan, gestionan y conservar registros de la
- quaisquer requisitos de segurança e autorização;
- quaisquer ações a serem analisadas criticamente,
por exemplo, ações de acompanhamento de uma
auditoria anterior;
- coordenação com outras atividades de auditoria,
por exemplo, quando equipes diferentes estão
auditando processos similares ou relacionados a
diferentes locais ou no caso de auditoria conjunta.
Quando uma auditoria conjunta for conduzida, é
importante alcançar acordo entre as organizações
que conduzem auditorias, antes que a auditoria
comece, sobre as responsabilidades específicas de
cada parte, particularmente em relação à
autoridade do líder de equipe indicado para a
auditoria.
5.5.6 Gerenciando os resultados do programa
de auditoria
Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoria assegure(m) que as
seguintes atividades sejam realizadas:
 a) avaliação do alcance dos objetivos para cada
auditoria no programa de auditoria;
 b) análise crítica e aprovação de relatórios de
auditoria relativos ao atendimento do escopo e
objetivos de auditoria;
 c) análise crítica da eficácia de ações tomadas para
abordar constatações de auditoria;
 d) distribuição de relatórios de auditoria às partes
interessadas pertinentes;
 e) determinação da necessidade de qualquer
auditoria de acompanhamento.
Convém que a pessoa que gerencia o programa de
auditoria considere, quando apropriado:
- comunicação dos resultados de auditoria e as
melhores práticas a outras áreas da organização, e
- implicações para outros processos.
5.5.7 Gerenciando e mantendo os registros do
programa de auditoria
Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoria assegure(m) que os registros
de auditoria sejam gerados, gerenciados e
23

auditoría para demostrar la implementación del
programa de auditoría. Deberían establecerse
procesos para asegurarse de que se tratan las
necesidades de seguridad de la información y de
confidencialidad asociadas con los registros de la
auditoría.
Los registros pueden incluir lo siguiente:
a) Los registros relacionados con el programa de
auditoría, tales como:
- el calendario de auditorías;
- los objetivos y la extensión del programa de
auditoría;
- aquellos que abordan los riesgos y
oportunidades y las cuestiones externas e
internas pertinentes del programa de auditoría;
- las revisiones de la eficacia del programa de
auditoría.
b) Los registros relacionados con cada auditoría,
tales como:
- los planes de auditoría y los informes de
auditoría;
- los hallazgos y las evidencias objetivas de la
auditoría;
- los informes de no conformidad;
- los informes de correcciones y acciones
correctivas;
- los informes de seguimiento de la auditoría.
c) Los registros relacionados con el equipo auditor
que cubran temas tales como:
- la evaluación de la competencia y el
desempeño de los miembros del equipo auditor;
- los criterios para la selección de los equipos
auditores y los miembros del equipo y la
formación de los equipos auditores;
- el mantenimiento y la mejora de
competencia.
La forma y el nivel de detalle de los registros
deberían demostrar que se han alcanzado los
objetivos del programa de auditoría.
5.6 Seguimiento del programa de auditoría
Las personas responsables de la gestión del
programa de auditoría deberían asegurar la
evaluación de:
24
NM ISO 19011:2018
mantidos para demonstrar a implementação do
programa de auditoria. Convém que os processos
sejam estabelecidos para assegurar que quaisquer
necessidades de segurança e confidencialidade de
informação associadas aos registros de auditoria
sejam abordadas.
Os registros podem incluir o seguinte:
 a) Registros relacionados ao programa de
auditoria, como:
- agenda de auditoria;
- objetivos e extensão do programa de auditoria;
- aqueles que abordam riscos e oportunidades
do programa de auditoria e questões externas e
internas pertinentes;
- análise crítica da eficácia do programa de
auditoria.
 b) Registros relacionados a cada auditoria, como:
- planos de auditoria e relatórios de auditoria;
- evidência objetiva e constatações de auditoria;
- relatórios de não conformidades;
- relatórios de correções e ações corretivas;
- relatórios de acompanhamento de auditoria.
 c) Registros relacionados à equipe de auditoria,
abrangendo tópicos como:
- avaliação de competência e desempenho dos
membros da equipe de auditoria;
- critérios para a seleção de equipes de auditoria
e membros da equipe, e formação de equipes
de auditoria;
la - manutenção e melhoria da competência.
Convém que a forma e ao nível de detalhe dos
registros demonstrem que os objetivos do
programa de auditoria foram alcançados.
5.6 Monitorando o programa de auditoria
Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoria assegure(m) a avaliação de:
NM ISO 19011:2018
a) el cumplimiento de los calendarios y el logro de
los objetivos del programa de auditoría;
b) el desempeño de los miembros del equipo
auditor, incluyendo el líder del equipo auditor y los
expertos técnicos;
c) la capacidad de los equipos auditores para
implementar el plan de auditoría;
d) la retroalimentación de los clientes de la
auditoría, de los auditados, de los auditores, de los
expertos técnicos y de otras partes pertinentes;
e) la suficiencia y adecuación de la información
documentada en todo el proceso de auditoría.
Algunos factores pueden indicar la necesidad de
modificar el programa de auditoría. Estos pueden
incluir cambios en:
- los hallazgos de la auditoría;
- el nivel demostrado de eficacia y la madurez
del sistema de gestión del auditado;
- la eficacia del programa de auditoría;
- el alcance de la auditoría o el alcance del
programa de auditoría;
- el sistema de gestión del auditado;
- las normas, y otros requisitos con los que la
organización está comprometida;
- los proveedores externos;
- los conflictos de interés identificados;
- los requisitos del cliente de la auditoría.
5.7 Revisión y mejora del programa de auditoría
Las personas responsables de la gestión del
programa de auditoría y el cliente de la auditoría
deberían revisar el programa de auditoría para
evaluar si se han alcanzado sus objetivos. Las
lecciones aprendidas de la revisión del programa de
auditoría deberían usarse como entradas para la
mejora del programa.
Las personas responsables de la gestión del
programa de auditoría deberían asegurar lo
siguiente:
- la revisión de la implementación global del
programa de auditoría;
 a) se os agendamentos estão sendo cumpridos e
se os objetivos do programa de auditoria estão
sendo alcançados;
 b) desempenho dos membros da equipe de
auditoria, incluindo o líder da equipe de auditoria e
os especialistas;
 c) capacidade das equipes de auditoria de
implementar o plano de auditoria;
 d) feedback para clientes de auditoria, auditados,
auditores, especialistas e outras partes
interessadas pertinentes;
 e) suficiência e adequação de informação
documentada em todo o processo de auditoria.
Alguns fatores podem indicar a necessidade de
modificar o programa de auditoria. Estes podem
incluir mudanças para:
- constatações de auditoria;
- nível demonstrado de eficácia e maturidade do
sistema de gestão do auditado;
- eficácia do programa de auditoria;
- escopo de auditoria ou escopo do programa de
auditoria;
- sistema de gestão do auditado;
- normas e outros requisitos com os quais a
organização está comprometida;
- fornecedores externos;
- conflitos de interesse identificados;
- requisitos do cliente da auditoria.
5.7 Analisando criticamente e melhorando o
programa de auditoria
Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoria e o cliente de auditoria
analisem criticamente o programa de auditoria para
avaliar se os seus objetivos foram alcançados.
Convém que as lições apreendidas a partir da
análise crítica do programa de auditoria sejam
usadas como entradas para a melhoria do
programa.
Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoria assegure(m) o seguinte:
- análise crítica da implementação global do
programa de auditoria;
25

- la identificación de áreas y oportunidades para la
mejora;
- la aplicación de cambios al programa de auditoría,
si es necesario;
- la revisión del desarrollo profesional continuo de
los auditores, de acuerdo con el apartado 7.6;
- la presentación de informes de los resultados del
programa de auditoría y la revisión con el cliente de
la auditoría y las partes interesadas pertinentes,
según sea apropiado.
La revisión del programa de auditoría debería
considerar lo siguiente:
a) los resultados y tendencias del seguimiento del
programa de auditoría;
b) la conformidad con los procesos del programa de
auditoría y con la información documentada
pertinente;
c) la evolución de las necesidades y expectativas
de las partes interesadas pertinentes;
d) los registros del programa de auditoría;
e) los métodos de auditoría alternativos o nuevos;
f) los métodos alternativos o nuevos para evaluar a
los auditores;
g) la eficacia de las acciones para abordar los
riesgos y oportunidades, y cuestiones internas y
externas, asociados con el programa de auditoría;
h) los temas de confidencialidad y seguridad de la
información relacionados con el programa de
auditoría.
6 Realización de una auditoría
6.1 Generalidades
Este Capítulo contiene orientación sobre la
preparación y realización de una auditoría
específica como parte de un programa de auditoría.
La Figura 2 proporciona una visión general de las
actividades desempeñadas en una auditoría típica.
El grado de aplicación de las disposiciones de este
Capítulo depende de los objetivos y del alcance de
la auditoría específica.
6.2 Inicio de la auditoría
6.2.1 Generalidades
La responsabilidad de llevar a cabo la auditoría
debería corresponder al líder del equipo auditor
26
NM ISO 19011:2018
- identificação das áreas e oportunidades para
melhoria;
- operação de mudanças no programa de auditoria,
se necessário;
- análise crítica do desenvolvimento profissional
contínuo de auditores, de acordo com 7.6;
- relatos dos resultados do programa de auditoria e
análise crítica com o cliente de auditoria e partes
interessadas pertinentes, conforme apropriado.
Convém que a análise crítica do programa de
auditoria considere o seguinte:
 a) resultados e tendências do monitoramento do
programa de auditoria;
 b) conformidade com os processos do programa de
auditoria e informação documentada pertinente;
 c) necessidades e expectativas em evolução de
partes interessadas pertinentes;
 d) registros do programa de auditoria;
 e) métodos novos ou alternativos de auditoria;
 f) métodos novos ou alternativos para avaliar
auditores;
 g) eficácia de ações para abordar os riscos e
oportunidades e questões internas e externas
associadas ao programa de auditoria;
 h) questões de confidencialidade e segurança de
informação relativas ao programa de auditoria.
6 Conduzindo uma auditoria
6.1 Generalidades
Esta Seção contém orientação para preparar e
conduzir uma auditoria específica como parte de
um programa de auditoria. A Figura 2 fornece uma
visão geral das atividades executadas em uma
auditoria típica. A extensão na qual as disposições
desta Seção são aplicáveis depende dos objetivos
e do escopo da auditoria específica.
6.2 Iniciando a auditoria
6.2.1 Generalidades
Convém que a responsabilidade por conduzir a
auditoria mantenha-se com o auditor-líder da
NM ISO 19011:2018
designado (véase 5.5.5) hasta que la auditoría
finalice (véase 6.6).
Para iniciar una auditoría, deberían considerarse
los pasos de la Figura 1; sin embargo, la secuencia
puede diferir dependiendo del auditado, de los
procesos y de las circunstancias específicas de la
auditoría.
6.2.2 Establecimiento del contacto con el
auditado
El líder del equipo auditor debería asegurarse de
que se establece contacto con el auditado para:
a) confirmar los canales de comunicación con los
representantes del auditado;
b) confirmar la autoridad para llevar a cabo la
auditoría;
c) proporcionar información pertinente sobre los
objetivos de la auditoría, el alcance, los criterios, los
métodos y la composición del equipo auditor,
incluyendo a los expertos técnicos;
d) solicitar acceso a la información pertinente con
propósitos de planificación, incluyendo información
sobre los riesgos y oportunidades que la
organización ha identificado y la manera en que se
abordan;
e) determinar los requisitos legales y
reglamentarios aplicables y otros requisitos
pertinentes para las actividades, procesos,
productos y servicios del auditado;
f) confirmar lo acordado con el auditado respecto al
grado de difusión y al tratamiento de la información
confidencial;
g) hacer los preparativos para la auditoría
incluyendo el calendario;
h) determinar los acuerdos específicos de la
ubicación en cuanto al acceso, seguridad y salud,
seguridad física, confidencialidad u otras;
i) acordar la asistencia de observadores y la
necesidad de guías o intérpretes para el equipo
auditor;
j) determinar cualquier área de interés, inquietud o
los riesgos para el auditado en relación con la
auditoría específica;
k) resolver las cuestiones relativas a la composición
del equipo auditor con el auditado o el cliente de la
auditoría.
equipe de auditoria designado (ver 5.5.5) até que a
auditoria seja concluída (ver 6.6).
Para iniciar uma auditoria, convém que os passos
da Figura 1 sejam considerados; entretanto, a
sequência pode variar, dependendo do auditado,
do processo e das circunstâncias específicas da
auditoria.
6.2.2 Estabelecendo contato com o auditado
Convém que o líder da equipe de auditoria
assegure que seja feito contato com o auditado
para:
 a) confirmar canais de comunicação com os
representantes do auditado;
 b) confirmar a autoridade para conduzir a auditoria;
 c) fornecer informação pertinente sobre os
objetivos, escopo, critérios, métodos de auditoria e
composição da equipe de auditoria, incluindo
quaisquer especialistas;
 d) solicitar acesso à informação pertinente para
propósitos de planejamento, incluindo informação
sobre os riscos e oportunidades que a organização
tenha identificado e como eles serão abordados;
 e) determinar requisitos estatutários e
regulamentares aplicáveis e outros requisitos
pertinentes às atividades, processos, produtos e
serviços do auditado;
 f) confirmar o acordo com o auditado relativo à
extensão da divulgação e ao tratamento de
informação confidencial;
g) fazer arranjos para a auditoria, incluindo o
agendamento;
 h) determinar quaisquer arranjos específicos ao
local para acesso, saúde e segurança, segurança,
confidencialidade ou outro;
 i) acordar sobre a presença de observadores e a
necessidade de guias ou intérpretes para a equipe
de auditoria;
 j) determinar quaisquer áreas de interesse,
preocupação ou riscos para o auditado em relação
à auditoria específica;
 k) resolver questões relativas à composição da
equipe de auditoria com o auditado ou o cliente de
auditoria.
27

6.2.3 Determinación de la viabilidad de la
auditoría
Debería determinarse la viabilidad de la auditoría
para proporcionar la confianza razonable en que los
objetivos de la auditoría pueden lograrse.
La determinación de la viabilidad debería tener en
cuenta factores tales como la disponibilidad de lo
siguiente:
a) la información suficiente y apropiada para
planificar y llevar a cabo la auditoría;
b) la cooperación adecuada del auditado;
c) el tiempo y los recursos adecuados para llevar a
cabo la auditoría.
NOTA Los recursos incluyen el acceso adecuado y apropiado a
tecnologías de la información y las comunicaciones.
Cuando la auditoría no es viable, debería
proponerse al cliente de la auditoría una alternativa,
de acuerdo con el auditado.
6.3 Preparación de las actividades de auditoría
6.3.1 Realización de la revisión de la
información documentada
La información documentada pertinente del sistema
de gestión del auditado debería revisarse a fin de:
- reunir información para comprender las
operaciones del auditado y preparar las actividades
de auditoría y los documentos de trabajo de
auditoría aplicables (véase 6.3.4), por ejemplo,
sobre procesos, funciones;
- establecer una visión general de la extensión de
la información documentada para determinar la
posible conformidad con los criterios de auditoría y
detectar las posibles áreas de inquietud, como
deficiencias, omisiones o conflictos.
La información documentada debería incluir, pero
no limitarse a: documentos y registros del sistema
de gestión, así como a informes de auditoría
previos. La revisión debería tener en cuenta el
contexto de la organización del auditado,
incluyendo su tamaño, naturaleza y complejidad, y
sus riesgos y oportunidades relacionados. También
debería tener en cuenta el alcance, los criterios y
los objetivos de la auditoría.
NOTA Se proporciona orientación sobre cómo verificar
información en A.5.
28
NM ISO 19011:2018
6.2.3 Determinando a viabilidade da auditoria
Convém que a viabilidade da auditoria seja
determinada para fornecer confiança razoável de
que os objetivos da auditoria podem ser
alcançados.
Convém que a determinação da viabilidade leve em
consideração fatores como a disponibilidade do
seguinte:
 a) informação apropriada e suficiente para planejar
e conduzir a auditoria;
 b) cooperação adequada do auditado;
 c) tempo e recursos adequados para conduzir a
auditoria.
NOTA Recursos incluem acesso à tecnologia da informação e
comunicação adequados e apropriados.
Quando a auditoria não for viável, convém que seja
proposta uma alternativa ao cliente de auditoria, em
comum acordo com o auditado.
6.3 Preparando as atividades da auditoria
6.3.1 Realizando análise crítica de informação
documentada
Convém que a informação documentada pertinente
do sistema de gestão do auditado seja analisada
criticamente para:
- reunir informação para entender as operações do
auditado e preparar as atividades da auditoria e
documentos de trabalho de auditoria aplicáveis (ver
6.3.4), por exemplo, sobre processos e funções;
- estabelecer uma visão geral da extensão da
informação documentada para determinar possível
conformidade com os critérios de auditoria e
detectar possíveis áreas de preocupação, como
deficiências, omissões ou conflitos.
Convém que a informação documentada inclua,
mas não se limite a: documentos e registros de
sistema de gestão, assim como relatórios de
auditorias anteriores. Convém que a análise crítica
leve em conta o contexto da organização do
auditado, incluindo seu tamanho, natureza e
complexidade, e seus riscos e oportunidades
relacionados. Convém que ela também leve em
conta o escopo, critérios e objetivos da auditoria.
NOTA Orientação sobre como verificar informação é fornecida
em A.5.
NM ISO 19011:2018
6.3.2 Planificación de la auditoría
6.3.2.1 Enfoque basado en riesgos para la
planificación
El líder del equipo auditor debería adoptar un
enfoque basado en riesgos para planificar la
auditoría, con base en la información del programa
de auditoría y en la información documentada
proporcionada por el auditado.
La planificación de la auditoría debería considerar
los riesgos de las actividades de auditoría en los
procesos del auditado y proporcionar la base para
el acuerdo entre el cliente de la auditoría, el equipo
auditor y el auditado en lo relativo a la realización
de la auditoría. La planificación debería facilitar la
programación en el tiempo y la coordinación
eficientes de las actividades de auditoría a fin de
alcanzar los objetivos eficazmente.
El nivel de detalle proporcionado en el plan de
auditoría debería reflejar el alcance y la complejidad
de ésta, así como los riesgos de no lograr los
objetivos de la auditoría. Al planificar la auditoría, el
líder del equipo auditor debería considerar lo
siguiente:
a) la composición del equipo auditor y su
competencia global;
b) las técnicas de muestreo apropiadas (véase A.6);
c) las oportunidades para mejorar la eficacia y
eficiencia de las actividades de auditoría;
d) los riesgos para el logro de los objetivos de la
auditoría generados por una planificación ineficaz
de la auditoría;
e) los riesgos para el auditado generados al realizar
la auditoría.
Los riesgos para el auditado pueden originarse por
la presencia de los miembros del equipo auditor que
influyen adversamente en las disposiciones del
auditado para la seguridad y salud, el medio
ambiente y la calidad, y sus productos, servicios,
personal o infraestructura del auditado (por
ejemplo, contaminación de espacios limpios).
Para las auditorías combinadas, debería prestarse
especial atención a las interacciones entre los
procesos operativos y los objetivos y prioridades
que concurren en los distintos sistemas de gestión.
6.3.2.2 Detalles de la planificación de la
auditoría
El grado de detalle y el contenido de la planificación
de la auditoría pueden diferir, por ejemplo, entre la
auditoría inicial y las posteriores, así como entre las
6.3.2 Planejando a auditoria
6.3.2.1 Abordagem baseada em risco para
planejamento
Convém que o líder da equipe de auditoria adote
uma abordagem baseada em risco para planejar a
auditoria, com base na informação no programa de
auditoria e na informação documentada fornecida
pelo auditado.
Convém que o planejamento de auditoria considere
os riscos das atividades de auditoria nos processos
do auditado e forneça a base para o acordo entre o
cliente de auditoria, a equipe de auditoria e o
auditado, relativo à condução da auditoria. Convém
que o planejamento facilite o agendamento e a
coordenação eficientes das atividades de auditoria
para alcançar os objetivos eficazmente.
Convém que a quantidade de detalhe fornecida no
plano de auditoria reflita o escopo e a complexidade
da auditoria, assim como o risco de não alcançar os
objetivos da auditoria. Ao planejar a auditoria,
convém que o líder da equipe de auditoria
considere o seguinte:
 a) composição da equipe de auditoria e sua
competência global;
 b) técnicas de amostragem apropriadas (ver A.6);
 c) oportunidades para melhorar a eficácia e a
eficiência das atividades de auditoria;
 d) riscos para alcançar os objetivos da auditoria
criados por um planejamento de auditoria ineficaz;
 e) riscos para o auditado criados pela realização da
auditoria.
Riscos para o auditado podem resultar da presença
dos membros da equipe de auditoria influenciando
adversamente os arranjos do auditado para saúde
e segurança, meio ambiente e qualidade e seus
produtos, serviços, pessoal ou infraestrutura (por
exemplo, contaminação em instalações de sala
limpa).
Para auditorias combinadas, convém que particular
atenção seja dada às interações entre os processos
operacionais e quaisquer objetivos e prioridades
concorrentes dos diferentes sistemas de gestão.
6.3.2.2 Detalhes do planejamento de auditoria
A dimensão e o conteúdo do planejamento de
auditoria podem variar, por exemplo, entre
auditorias iniciais e subsequentes, assim como
29

auditorías internas y externas. La planificación de la
auditoría debería ser lo suficientemente flexible
para permitir los cambios que pueden hacerse
necesarios a medida que las actividades de
auditoría se vayan llevando a cabo.
La planificación de la auditoría debería tratar o
hacer referencia a lo siguiente:
a) los objetivos de la auditoría;
b) el alcance de la auditoría, incluyendo la
identificación de la organización y de sus funciones,
así como los procesos que van a auditarse;
c) los criterios de auditoría y cualquier información
documentada;
d) las ubicaciones (físicas y virtuales), las fechas, el
horario y la duración previstos de las actividades de
auditoría que se van a llevar a cabo, incluyendo las
reuniones con la dirección del auditado;
e) la necesidad de que el equipo auditor se
familiarice con las instalaciones y procesos del
auditado (por ejemplo, realizando una visita a las
ubicaciones físicas, o revisando las tecnologías de
la información y las comunicaciones);
f) los métodos de auditoría que se van a usar,
incluyendo el grado en que se necesita el muestreo
de la auditoría para obtener las evidencias de
auditoría suficientes;
g) los roles y responsabilidades de los miembros
del equipo auditor, así como los guías y los
observadores o intérpretes;
h) la asignación de los recursos apropiados basada
en la consideración de los riesgos y oportunidades
relacionados con las actividades que se han de
auditar.
La planificación de la auditoría debería tener en
cuenta, según sea apropiado:
- la identificación de los representantes del auditado
en la auditoría;
- el idioma de trabajo y del informe de la auditoría,
cuando sea diferente del idioma del auditor o del
auditado, o ambos;
- los temas del informe de la auditoría;
- los preparativos logísticos y de comunicaciones,
incluyendo los preparativos específicos para las
ubicaciones que se van a auditar;
- las acciones específicas a tomar para abordar los
riesgos en el logro de los objetivos de la auditoría y
las oportunidades que surjan;
30
NM ISO 19011:2018
entre auditorias internas e externas. Convém que o
planejamento de auditoria seja suficientemente
flexível para permitir mudanças que possam se
tornar necessárias conforme as atividades de
auditoria progridam.
Convém que o planejamento da auditoria aborde ou
referencie o seguinte:
 a) objetivos de auditoria;
 b) escopo da auditoria, incluindo identificação da
organização e suas funções, assim como os
processos a serem auditados;
 c) critérios de auditoria e qualquer informação
documentada de referência;
 d) locais (físicos e virtuais), datas, tempo e duração
estimados das atividades de auditoria a serem
conduzidas, incluindo reuniões com a direção do
auditado;
 e) necessidade de a equipe de auditoria se
familiarizar com as instalações e processos do
auditado (por exemplo, conduzindo uma visita ao(s)
local(is) físico(s) ou analisando criticamente
tecnologia de informação e comunicação);
 f) métodos de auditoria a serem usados, incluindo
a extensão na qual a amostragem de auditoria seja
necessária para obter evidências suficientes de
auditoria;
 g) papéis e responsabilidades dos membros da
equipe de auditoria, assim como dos guias e
observadores ou intérpretes;
 h) alocação de recursos apropriados, baseada na
consideração dos riscos e oportunidades
relacionados às atividades que serão auditadas;
Convém que o planejamento da auditoria leve em
conta, conforme apropriado:
- identificação do(s) representante(s) do auditado
para a auditoria;
- idioma de trabalho e do relatório da auditoria,
quando for diferente do idioma do auditor ou do
auditado, ou de ambos;
- tópicos do relatório de auditoria;
- arranjos de logística e comunicações, incluindo
arranjos específicos para os locais a serem
auditados;
- quaisquer ações específicas a serem tomadas
para abordar riscos para se alcançarem os
objetivos de auditoria e oportunidades que surjam;
NM ISO 19011:2018
- los temas relacionados con la confidencialidad y
la seguridad de la información;
- las acciones de seguimiento de una auditoría
previa u otras fuentes, por ejemplo las lecciones
aprendidas, las revisiones de proyectos;
- las actividades de seguimiento de la auditoría
planificada;
- la coordinación con otras actividades de auditoría,
en el caso de una auditoría conjunta.
Los planes de auditoría deberían presentarse al
auditado. Cualquier cuestión sobre los planes de
auditoría debería resolverse entre el líder del
equipo auditor, el auditado y, si fuera necesario, las
personas responsables de la gestión del programa
de auditoría.
6.3.3 Asignación de las tareas al equipo auditor
El líder del equipo auditor, consultando con el
equipo auditor, debería asignar a cada miembro del
equipo la responsabilidad para auditar procesos,
actividades, funciones o lugares específicos y,
según sea apropiado, la autoridad para la toma de
decisiones. Tales asignaciones deberían tener en
cuenta la imparcialidad, la objetividad y la
competencia de los auditores y el uso eficaz de los
recursos, así como los diferentes roles y
responsabilidades de los auditores, los auditores en
formación y los expertos técnicos.
El líder del equipo auditor debería realizar
reuniones del equipo auditor, cuando sea
apropiado, para distribuir las asignaciones de
trabajo y decidir los posibles cambios. Los cambios
en las asignaciones de trabajo pueden hacerse a
medida que la auditoría se va llevando a cabo para
asegurar el logro de los objetivos de la auditoría.
6.3.4 Preparación de la información
documentada para la auditoría
Los miembros del equipo auditor deberían recopilar
y revisar la información pertinente a las tareas de
auditoría asignadas y preparar la información
documentada para la auditoría, usando cualquier
medio apropiado. La información documentada
para la auditoría puede incluir, pero no se limita a:
a) listas de verificación físicas o digitales;
b) detalles de muestreo de auditoría;
c) información audiovisual.
El uso de estos medios no debería restringir la
extensión de las actividades de auditoría, que
- assuntos relacionados à confidencialidade e
segurança da informação;
- quaisquer ações de acompanhamento de uma
auditoria anterior ou outra(s) fonte(s), por exemplo,
lições apreendidas, análises críticas de projeto;
- quaisquer atividades de acompanhamento para a
auditoria planejada;
- coordenação com outras atividades de auditoria,
no caso de uma auditoria conjunta.
Convém que os planos de auditoria sejam
apresentados ao auditado. Convém que quaisquer
questões em relação ao plano de auditoria sejam
solucionadas entre o líder da equipe de auditoria, o
auditado e, se necessário, a(s) pessoa(s) que
gerencia(m) o programa de auditoria.
6.3.3 Atribuindo trabalho para a equipe de
auditoria
Convém que o líder da equipe de auditoria, em
consulta à equipe de auditoria, atribua
responsabilidade a cada membro da equipe para
auditar processos, atividades, funções ou locais
específicos e, conforme apropriado, autoridade
para tomar decisão. Convém que as atribuições
levem em conta a imparcialidade, objetividade e
competência dos auditores, e o uso eficaz de
recursos, assim como diferentes funções e
responsabilidades dos auditores, auditores em
treinamento e especialistas.
Convém que reuniões da equipe de auditoria sejam
realizadas, conforme apropriado, pelo líder da
equipe de auditoria, para alocar as atribuições de
trabalho e decidir as possíveis mudanças. As
mudanças nas atribuições de trabalho podem ser
feitas conforme a auditoria progrida, para assegurar
o alcance dos objetivos de auditoria.
6.3.4 Preparando informação documentada para
a auditoria
Convém que os membros da equipe de auditoria
coletem e analisem criticamente a informação
pertinente às suas atribuições de auditoria e
preparem informação documentada para a
auditoria, usando qualquer meio apropriado. A
informação documentada para a auditoria pode
incluir, mas não está limitada a:
 a) listas de verificação físicas ou digitais;
 b) detalhes de amostragem de auditoria;
 c) informação audiovisual.
Convém que o uso destes meios não restrinja a
extensão das atividades de auditoria, que podem
31

pueden cambiarse como resultado de la
información recopilada durante la auditoría.
NOTA Se proporciona orientación sobre la preparación de
documentos de trabajo de auditoría en A.13.
La información documentada preparada para la
auditoría, y la que resulta de su uso, debería
conservarse al menos hasta que finalice la
auditoría, o según se especifique en el programa de
auditoría. La conservación de la información
documentada después de finalizada la auditoría se
describe en el Apartado 6.6. La información
documentada generada durante el proceso de
auditoría que contenga información confidencial o
protegida debería salvaguardarse de manera
adecuada en todo momento por los miembros del
equipo auditor.
6.4 Realización de las actividades de auditoría
6.4.1 Generalidades
Normalmente las actividades de auditoría se
realizan en una secuencia definida como se indica
en la Figura 1. Esta secuencia puede variar para
adaptarse a las circunstancias de auditorías
específicas.
6.4.2 Asignación de roles y responsabilidades
de los guías y los observadores
Los guías y los observadores pueden acompañar al
equipo auditor con la aprobación del líder del
equipo auditor, del cliente de la auditoría y/o del
auditado, según se requiera. Ellos no deberían
influir ni interferir en la realización de la auditoría. Si
esto no se puede asegurar, el líder del equipo
auditor debería tener el derecho de negarse a que
los observadores tomen parte en ciertas
actividades de auditoría.
Para los observadores, cualquier disposición para
el acceso, la seguridad y salud, el medio ambiente,
la seguridad física y la confidencialidad debería
gestionarse entre el cliente de la auditoría y el
auditado.
Los guías, designados por el auditado, deberían
asistir al equipo auditor y actuar cuando lo solicite
el líder del equipo auditor o el auditor al que han
sido asignados. Sus responsabilidades deberían
incluir lo siguiente:
a) ayudar a los auditores a identificar a las personas
que participarán en las entrevistas y a confirmar los
horarios y las ubicaciones;
b) acordar el acceso a ubicaciones específicas del
auditado;
c) asegurarse de que los miembros del equipo
auditor y los observadores conocen y respetan las
32
NM ISO 19011:2018
mudar como resultado da informação coletada
durante a auditoria.
NOTA Orientação para preparar documentos de trabalho de
auditoria é dada em A.13.
Convém que informação documentada preparada
para a, e resultante da auditoria seja retida no
mínimo até a conclusão da auditoria ou como
especificado no programa de auditoria. Retenção
de informação documentada após a conclusão da
auditoria está descrita em 6.6. Convém que
informação documentada, criada durante o
processo de auditoria envolvendo informação
confidencial ou proprietária, seja sempre
salvaguardada adequadamente pelos membros da
equipe de auditoria.
6.4 Conduzindo atividades da auditoria
6.4.1 Generalidades
Atividades de auditoria são normalmente
conduzidas em uma sequência estabelecida como
indicado na Figura 1. Esta sequência pode ser
alterada para se adequar às circunstâncias das
auditorias específicas.
6.4.2 Atribuindo papéis e responsabilidades
para guias e observadores
Guias e observadores podem acompanhar a equipe
de auditoria com aprovações do líder da equipe de
auditoria, cliente da auditoria e/ou auditado, se
requerido. Não convém que eles influenciem ou
interfiram na condução da auditoria. Se isso não
puder ser assegurado, convém que o líder da
equipe de auditoria tenha o direito de negar que os
observadores estejam presentes durante certas
atividades de auditoria.
Para os observadores, convém que quaisquer
arranjos para acesso, saúde e segurança, meio
ambiente, segurança e confidencialidade sejam
gerenciados entre o cliente de auditoria e o
auditado.
Convém que os guias designados pelo auditado
auxiliem a equipe de auditoria e ajam por
solicitação do líder da equipe de auditoria ou auditor
ao qual eles tiverem sido atribuídos. Convém que
suas responsabilidades incluam o seguinte:
 a) auxiliar os auditores na identificação de pessoas
para participar de entrevistas e na confirmação de
horários e locais;
 b) arranjar acesso aos locais específicos do
auditado;
 c) assegurar que as regras relativas aos arranjos
para acesso específicos do local, saúde e
NM ISO 19011:2018
reglas concernientes a los acuerdos específicos
para el acceso a la ubicación, la seguridad y salud
en el trabajo, el medio ambiente, la seguridad física,
la confidencialidad y otras cuestiones, y que se
abordan los riesgos;
d) ser testigos de la auditoría en nombre del
auditado, cuando sea apropiado;
e) proporcionar aclaraciones o ayudar en la
recopilación de información, cuando sea necesario.
6.4.3 Realización de la reunión de apertura
El propósito de la reunión de apertura es:
a) confirmar el acuerdo de todos los participantes
(por ejemplo, auditado, equipo auditor) sobre el
plan de auditoría;
b) presentar al equipo auditor y sus roles;
c) asegurarse de que se pueden realizar todas las
actividades de auditoría planificadas.
Debería celebrarse una reunión de apertura con la
dirección del auditado y, cuando sea apropiado, con
aquellos responsables de las funciones o de los
procesos que se van a auditar. Durante la reunión,
debería proporcionarse la oportunidad de realizar
preguntas.
El grado de detalle debería ser coherente con la
familiaridad del auditado con el proceso de
auditoría. En muchos casos, por ejemplo, en
auditorías internas en una organización pequeña, la
reunión de apertura puede consistir simplemente en
comunicar que se está realizando una auditoría y
explicar la naturaleza de la auditoría.
Para otras situaciones de auditoría, la reunión
puede ser formal y se debería conservar registro de
los asistentes. El líder del equipo auditor debería
presidir la reunión.
Según sea apropiado, se debería considerar la
presentación de:
- otros participantes, incluyendo los observadores y
los guías, intérpretes y una descripción general de
sus roles;
- los métodos de auditoría para gestionar riesgos
para la organización que puedan resultar de la
presencia de los miembros del equipo auditor.
Según sea apropiado, se debería considerar la
confirmación de lo siguiente:
- los objetivos, alcance y criterios de la auditoría;
- el plan de auditoría y otras disposiciones
pertinentes con el auditado, como la fecha y hora
segurança, meio ambiente, segurança,
confidencialidade e outras questões sejam
conhecidas e respeitadas pelos membros da
equipe de auditoria e observadores, e que
quaisquer riscos sejam abordados;
 d) testemunhar a auditoria em nome do auditado,
quando apropriado;
 e) fornecer esclarecimento ou auxiliar na coleta de
informação, quando necessário.
6.4.3 Conduzindo a reunião de abertura
O propósito da reunião de abertura é:
 a) confirmar o acordo de todas os participantes (por
exemplo, auditado, equipe de auditoria) com o
plano de auditoria;
 b) apresentar a equipe de auditoria e suas funções;
 c) assegurar que todas as atividades planejadas de
auditoria possam ser realizadas.
Convém que uma reunião de abertura seja
realizada com a direção do auditado e, onde
apropriado, aqueles responsáveis pelas funções ou
processos a serem auditados. Durante a reunião,
convém que seja dada uma oportunidade para
perguntas.
Convém que o grau de detalhe seja coerente com
a familiaridade do auditado com o processo da
auditoria. Em muitas situações, por exemplo, em
auditorias internas em uma pequena organização,
a reunião de abertura pode simplesmente consistir
em comunicar que uma auditoria está sendo
conduzida e explicar a natureza da auditoria.
Para outras situações de auditoria, a reunião pode
ser formal, e convém que registros de presença
sejam mantidos. Convém que a reunião seja
presidida pelo líder da equipe de auditoria.
Convém considerar introduzir o seguinte, conforme
apropriado:
- outros participantes, incluindo observadores e
guias, intérpretes e um delineamento de suas
funções;
- métodos de auditoria para gerenciar riscos para a
organização que podem resultar da presença dos
membros da equipe de auditoria.
Convém que seja considerada a confirmação dos
seguintes itens, conforme apropriado:
- objetivos, escopo e critérios de auditoria;
- plano de auditoria e outros arranjos pertinentes
com o auditado, como data e horário da reunião de
33

de la reunión de cierre, cualquier reunión intermedia
entre el equipo auditor y la dirección del auditado, y
cualquier cambio necesario;
- los canales de comunicación formal entre el
equipo auditor y el auditado;
- el idioma que se va a utilizar durante la auditoría;
- que durante la auditoría se mantiene informado al
auditado del progreso de la misma;
- la disponibilidad de los recursos e instalaciones
que necesita el equipo auditor;
- los temas relacionados con la confidencialidad y
la seguridad de la información;
- los acuerdos pertinentes para el equipo auditor
relativos al acceso, seguridad y salud, seguridad
física, emergencia y otros acuerdos;
- las actividades en el sitio que pueden tener
impacto en la realización de la auditoría.
Según sea apropiado, se debería considerar la
presentación de la información sobre los siguientes
elementos:
- el método de informar los hallazgos de la auditoría
incluyendo los criterios para la categorización, si
existen;
- las condiciones bajo las cuales la auditoría puede
darse por terminada;
- cómo tratar los posibles hallazgos durante la
auditoría;
- cualquier sistema de retroalimentación del
auditado sobre los hallazgos o conclusiones de la
auditoría, incluyendo las quejas o apelaciones.
6.4.4 Comunicación durante la auditoría
Durante la auditoría, puede ser necesario llegar a
acuerdos formales para la comunicación dentro del
equipo auditor, así como con el auditado, el cliente
de la auditoría, y potencialmente con las partes
interesadas externas (por ejemplo autoridades
reglamentarias), especialmente cuando los
requisitos legales y reglamentarios exijan la
comunicación obligatoria de las no conformidades.
El equipo auditor debería reunirse periódicamente
para intercambiar información, evaluar el progreso
de la auditoría, y reasignar las tareas entre los
miembros del equipo auditor, según sea necesario.
Durante la auditoría, el líder del equipo auditor
debería comunicar periódicamente los progresos,
los hallazgos importantes y cualquier inquietud al
34
NM ISO 19011:2018
encerramento e de quaisquer reuniões
intermediárias entre a equipe de auditoria e a
direção do auditado e qualquer(quaisquer)
mudança(s) necessária(s);
- canais formais de comunicação entre a equipe de
auditoria e o auditado;
- idioma a ser usado durante a auditoria;
- que o auditado será mantido informado do
progresso da auditoria durante a auditoria;
- disponibilidade dos recursos e instalações
necessárias pela equipe de auditoria;
- assuntos relacionados à confidencialidade e
segurança da informação;
- arranjos pertinentes de acesso, saúde e
segurança, segurança, emergência e outros
arranjos para a equipe de auditoria;
- atividades no local que possam impactar a
condução da auditoria.
Convém que seja considerado apresentar
informação sobre os seguintes itens, conforme
apropriado:
- método de relatar constatações da auditoria,
incluindo critérios de classificação, se houver;
- condições sob as quais a auditoria pode ser
encerrada;
- como lidar com possíveis constatações
encontradas durante a auditoria;
- qualquer sistema para feedback do auditado sobre
as constatações ou conclusões da auditoria,
incluindo reclamações ou apelações.
6.4.4 Comunicação durante a auditoria
Durante a auditoria, pode ser necessário fazer
arranjos formais para comunicação entre a equipe
de auditoria, assim como com o auditado, o cliente
de auditoria e com partes potencialmente
interessadas externas (por exemplo,
regulamentadores), especialmente onde, os
requisitos estatutários e regulamentares requerem
mandatoriamente relatar não conformidades.
Convém que a equipe de auditoria se comunique
periodicamente para trocar informação, avaliar o
progresso da auditoria e reatribuir trabalho entre os
membros da equipe de auditoria, se necessário.
Durante a auditoria, convém que o líder da equipe
de auditoria comunique periodicamente o
progresso da auditoria, quaisquer constatações
NM ISO 19011:2018
auditado y, cuando sea apropiado, al cliente de la
auditoría. Las evidencias recopiladas durante la
auditoría que sugieren un riesgo inmediato y
significativo deberían comunicarse sin demora al
auditado y, según sea apropiado, al cliente de la
auditoría. Cualquier inquietud sobre una cuestión
fuera del alcance de la auditoría debería anotarse y
notificarse al líder del equipo auditor, para su
posible comunicación al cliente de la auditoría y al
auditado.
Cuando las evidencias de auditoría disponibles
indican que los objetivos de la misma no son
alcanzables, el líder del equipo auditor debería
informar de las razones al cliente de la auditoría y
al auditado para determinar las acciones
apropiadas. Estas acciones pueden incluir cambios
en la planificación de la auditoría, en los objetivos
de la auditoría o en su alcance, o dar por terminada
la auditoría.
Cualquier necesidad de cambios en el plan de
auditoría que pueda evidenciarse a medida que
progresan las actividades de auditoría debería
revisarse y aprobarse, según sea apropiado, tanto
por las personas responsables de la gestión del
programa de auditoría como por el cliente de la
auditoría, y debería presentarse al auditado.
6.4.5 Disponibilidad y acceso de la información
de auditoría
Los métodos de auditoría elegidos para una
auditoría dependen de los objetivos de auditoría
definidos, el alcance y los criterios, así como la
duración y la ubicación. La ubicación es el lugar en
el que la información necesaria para la actividad
específica de auditoría está disponible para el
equipo auditor. Esto puede incluir ubicaciones
físicas y virtuales.
El lugar, el momento y la manera en que se accede
a la información de auditoría es crucial para la
auditoría. Esto es independiente del lugar en el que
se crea, usa y/o almacena la información. Es
necesario determinar los métodos de auditoría
basándose en estas cuestiones (véase la
Tabla A.1). La auditoría puede usar una mezcla de
métodos. Además, las circunstancias de la
auditoría pueden implicar que los métodos
necesiten cambiar durante la auditoría.
6.4.6 Revisión de la información documentada
durante la auditoría
La información documentada pertinente del
auditado debería revisarse para:
- determinar la conformidad del sistema con los
criterios de auditoría, sobre la base de la
documentación disponible;
significativas e quaisquer preocupações ao
auditado e ao cliente da auditoria, conforme
apropriado. Convém que a evidência coletada
durante a auditoria que sugira um risco imediato e
significativo seja relatada sem demora ao auditado
e, conforme apropriado, ao cliente da auditoria.
Convém que qualquer preocupação sobre um
assunto fora do escopo da auditoria seja notada e
relatada ao líder da equipe de auditoria, para
possível comunicação ao cliente da auditoria e ao
auditado.
Quando a evidência de auditoria disponível indicar
que os objetivos de auditoria são inatingíveis,
convém que o líder da equipe de auditoria relate as
razões ao cliente da auditoria e ao auditado, para
determinação da ação apropriada. Tal ação pode
incluir mudanças no planejamento da auditoria,
objetivos ou escopo da auditoria ou encerramento
da auditoria.
Convém que qualquer necessidade de mudanças
no plano da auditoria que possa se tornar aparente,
conforme as atividades de auditoria progridam, seja
analisada criticamente e aceita, conforme
apropriado, pela(s) pessoa(s) que gerencia(m) o
programa de auditoria e pelo cliente de auditoria, e
seja apresentada ao auditado.
6.4.5 Disponibilidade e acesso de informação de
auditoria
Os métodos de auditoria escolhidos para uma
auditoria dependem dos objetivos, escopo e
critérios de auditoria estabelecidos, assim como
duração e local. O local é onde a informação
necessária para a atividade específica de auditoria
está disponível para a equipe de auditoria. Isso
pode incluir locais físicos e virtuais.
Onde, quando e como acessar a informação de
auditoria é crucial para a auditoria. Isso é
independente de onde a informação é criada, usada
e/ou armazenada. Com base nestas questões, os
métodos de auditoria necessitam ser determinados
(ver Tabela A.1). A auditoria pode usar uma mistura
de métodos. Além disso, circunstâncias de auditoria
podem significar que os métodos necessitam ser
modificados durante a auditoria.
6.4.6 Analisando criticamente a informação
documentada ao conduzir a auditoria
Convém que a informação documentada pertinente
do auditado seja analisada criticamente para:
- determinar a conformidade do sistema, até onde
documentada, com os critérios de auditoria;
35

- reunir información para apoyar las actividades de
auditoría.
NOTA Se proporciona orientación sobre cómo verificar la
documentación en A.5.
La revisión puede combinarse con otras actividades
de auditoría y puede continuar a lo largo de la
auditoría, siempre que no vaya en detrimento de la
eficacia de la realización de la auditoría.
Si no puede proporcionarse la información
documentada adecuada dentro del periodo de
tiempo dado en el plan de auditoría, el líder del
equipo auditor debería informar tanto a las
personas responsables de la gestión del programa
de auditoría como al auditado. Dependiendo de los
objetivos y el alcance de la auditoría, debería
tomarse una decisión sobre si la auditoría debería
continuar o suspenderse hasta que se resuelvan los
problemas relativos a la información documentada.
6.4.7 Recopilación y verificación de la
información
Durante la auditoría, la información pertinente a los
objetivos, el alcance y los criterios de la misma,
incluyendo la información relativa a las
interrelaciones entre funciones, actividades y
procesos, debería recopilarse mediante un
muestreo apropiado y debería verificarse, en la
medida de lo posible.
NOTA 1 Para verificar la información, véase A.5.
NOTA 2 Se proporciona orientación sobre el muestreo en A.6.
Sólo debería aceptarse como evidencia de la
auditoría la información que puede estar sujeta a
algún grado de verificación. Cuando el grado de
verificación es bajo, el auditor debería utilizar su
juicio profesional para determinar el grado de
fiabilidad que se puede depositar en la información
como evidencia. Debería registrarse la evidencia
que conduce a hallazgos de la auditoría. Si, durante
la recopilación de evidencias objetivas, el equipo
auditor es consciente de cualesquiera
circunstancias o riesgos u oportunidades nuevos o
que han cambiado, el equipo debería abordarlos en
consecuencia.
La Figura 2 proporciona una visión general de un
proceso típico, desde la recopilación de información
hasta las conclusiones de la auditoría.
36
NM ISO 19011:2018
- reunir informação para apoiar as atividades de
auditoria.
NOTA Orientação sobre como verificar a informação é fornecida
em A.5.
A análise crítica pode ser combinada com as outras
atividades de auditoria e pode continuar ao longo
da auditoria, desde que isso não seja prejudicial à
eficácia da condução da auditoria.
Se informação documentada adequada não puder
ser fornecida no período de tempo dado no plano
de auditoria, convém que o líder da equipe de
auditoria informe à(s) pessoa(s) que gerencia(m) o
programa de auditoria e ao auditado. Dependendo
dos objetivos e do escopo da auditoria, convém que
uma decisão seja tomada sobre se convém
continuar ou suspender a auditoria até que
preocupações com informação documentada
sejam resolvidas.
6.4.7 Coletando e verificando informação
Convém que, durante a auditoria, informação
pertinente aos objetivos, escopo e critérios de
auditoria, incluindo informação relativa às
interfaces entre funções, atividades e processos,
seja coletada por meio de amostragem apropriada
e convém que seja verificada, até onde praticável.
NOTA 1 Para verificar informação, ver A.5.
NOTA 2 Orientação sobre amostragem é dada em A.6.
Convém que somente informação que possa estar
sujeita a algum grau de verificação seja aceita
como evidência de auditoria. Onde o grau de
verificação for baixo, convém que o auditor use seu
julgamento profissional para determinar o grau de
confiança que pode ser depositado nela como
evidência. Convém que a evidência de auditoria
que leve a constatações de auditoria seja
registrada. Se, durante a coleta de evidência
objetiva, a equipe de auditoria tomar ciência de
quaisquer circunstâncias novas ou modificadas, ou
riscos ou oportunidades, convém que eles sejam
convenientemente abordados pela equipe.
A Figura 2 fornece uma visão geral de um processo
típico, desde coletar informação até alcançar as
conclusões da auditoria.
NM ISO 19011:2018

 
Fuente de información / Fonte de informação

Recopilación mediante un muestreo apropiado /

Coletando por meio de amostragem apropriada

Evidencia de la auditoría / Evidência de auditoria

Evaluación frente a los criterios de auditoría /

Avaliação em relação aos critérios de auditoria

Hallazgos de la auditoría / Constatações de auditoria

Revisión / Analisando criticamente

Conclusiones de la auditoría /
Conclusões de auditoria

Figura 2 – Visión general de un proceso típico de recopilación y verificación de la información /

Visão geral de um processo usual para coletar e verificar informação

Los métodos para recopilar la información incluyen, Métodos para coletar informação incluem o, mas
pero sin limitarse a, lo siguiente: não estão limitados ao, seguinte:

- entrevistas; - entrevistas;

- observaciones; - observações;

- revisión de la información documentada. - análise crítica de informação documentada.

NOTA 3 Se proporciona orientación sobre la selección de las NOTA 3 Orientação sobre a seleção de fontes de informação e
fuentes de información y la observación en A.14. de observação é dada em A.14.

NOTA 4 Se proporciona orientación sobre las visitas a la NOTA 4 Orientação sobre visitas à localização do auditado é
ubicación del auditado en A.15. dada em A.15.

NOTA 5 Se proporciona orientación sobre la realización de NOTA 5 Orientação sobre a condução de entrevistas é dada em
entrevistas en A.17. A.17.

6.4.8 Generación de hallazgos de la auditoría 6.4.8 Gerando constatações de auditoria

La evidencia de la auditoría debería evaluarse Convém que a evidência de auditoria seja avaliada
frente a los criterios de auditoría para determinar los em relação aos critérios de auditoria para
hallazgos de la auditoría. Los hallazgos de la determinar as constatações de auditoria. As

37

auditoría pueden indicar conformidad o no
conformidad con los criterios de auditoría. Cuando
lo especifique el plan de auditoría, los hallazgos de
una auditoría individual deberían incluir la
conformidad y las buenas prácticas junto con la
evidencia que los apoya, las oportunidades de
mejora y cualquier recomendación para el auditado.
Deberían registrarse las no conformidades y la
evidencia de la auditoría que las apoya.
Las no conformidades pueden clasificarse
dependiendo del contexto de la organización y de
sus riesgos. Esta clasificación puede ser
cuantitativa (por ejemplo, de uno a cinco) y
cualitativa (por ejemplo, menor, mayor). Deberían
revisarse con el auditado para reconocer que la
evidencia de la auditoría es exacta y que las no
conformidades se han comprendido. Se debería
realizar todo el esfuerzo posible para resolver
cualquier opinión divergente relativa a las
evidencias o a los hallazgos de la auditoría. Las
cuestiones no resueltas deberían registrarse en el
informe de la auditoría.
El equipo auditor debería reunirse, según sea
necesario, para revisar los hallazgos de la auditoria
en etapas apropiadas durante la auditoría.
NOTA 1 Se proporciona orientación adicional sobre la
identificación y evaluación de los hallazgos de la auditoría en
A.18.
NOTA 2 La conformidad o no conformidad con los criterios de
auditoría relacionados con requisitos legales o reglamentarios u
otros requisitos, se denomina en algunas ocasiones
cumplimiento o no cumplimiento.
6.4.9 Determinación de las conclusiones de la
auditoría
6.4.9.1 Preparación para la reunión de cierre
El equipo auditor debería reunirse antes de la
reunión de cierre para:
a) revisar los hallazgos de la auditoría y cualquier
otra información apropiada recopilada durante la
auditoría frente a los objetivos de la misma;
b) acordar las conclusiones de la auditoría,
teniendo en cuenta la incertidumbre inherente al
proceso de auditoría;
c) preparar recomendaciones, si estuviera
especificado en el plan de auditoría;
d) comentar el seguimiento de la auditoría, cuando
sea aplicable.
38
NM ISO 19011:2018
constatações de auditoria podem indicar
conformidade ou não conformidade com os critérios
de auditoria. Quando especificado pelo plano de
auditoria, convém que as constatações de auditoria
individual incluam conformidade e boas práticas
junto com suas evidências de apoio, oportunidades
para melhoria e quaisquer recomendações para o
auditado.
Convém que não conformidades e evidências de
auditoria que as apoiam sejam registradas.
Não conformidades podem ser classificadas
dependendo do contexto da organização e de seus
riscos. Esta classificação pode ser quantitativa (por
exemplo, de 1 a 5) e qualitativa (por exemplo,
menor e maior). Convém que elas sejam analisadas
criticamente com o auditado para obter
reconhecimento de que a evidência de auditoria é
exata, e que as não conformidades são entendidas.
Convém que todo o empenho seja feito para
resolver quaisquer opiniões divergentes relativas
às evidências ou constatações de auditoria.
Convém que questões não resolvidas sejam
registradas no relatório de auditoria.
Convém que a equipe de auditoria se reúna como
necessário para analisar criticamente as
constatações de auditoria em estágios apropriados
durante a auditoria.
NOTA 1 Orientação adicional sobre a identificação e avaliação
de constatações de auditoria é dada em A.18.
NOTA 2 Conformidade ou não conformidade com critérios de
auditoria relacionados aos requisitos estatutários ou
regulamentares ou outros requisitos é algumas vezes referida
como compliance ou não compliance.
6.4.9 Determinando conclusões de auditoria
6.4.9.1 Preparação para a reunião de
encerramento
Convém que a equipe de auditoria conferencie
antes da reunião de encerramento para:
 a) analisar criticamente as constatações da
auditoria e qualquer outra informação apropriada
coletada durante a auditoria, em relação aos
objetivos de auditoria;
 b) acordar sobre as conclusões de auditoria,
levando em conta a incerteza inerente ao processo
de auditoria;
c) preparar recomendações, se especificado pelo
plano de auditoria;
 d) discutir o acompanhamento de auditoria, como
aplicável.
NM ISO 19011:2018
6.4.9.2 Contenido de las conclusiones de la
auditoría
Las conclusiones de la auditoría deberían tratar
aspectos tales como los siguientes:
a) el grado de conformidad con los criterios de
auditoría y la robustez del sistema de gestión,
incluyendo la eficacia del sistema de gestión para
cumplir los resultados previstos, la identificación de
riesgos y la eficacia de las acciones tomadas por el
auditado para abordar los riesgos;
b) la implementación, el mantenimiento y la mejora
eficaces del sistema de gestión;
c) el logro de los objetivos de la auditoría, cobertura
del alcance de la auditoría y cumplimiento de los
criterios de la auditoría;
d) hallazgos similares encontrados en distintas
áreas auditadas o en una auditoría conjunta o en
una auditoría previa, con el propósito de identificar
tendencias.
Si se especifica en el plan de auditoría, las
conclusiones de auditoría pueden llevar a
recomendaciones para la mejora, o a futuras
actividades de auditoría.
6.4.10 Realización de la reunión de cierre
La reunión de cierre debería realizarse para
presentar los hallazgos y las conclusiones de la
auditoría.
La reunión de cierre debería estar presidida por el
líder del equipo auditor y los representantes de la
dirección del auditado deberían asistir y, cuando
sea aplicable, debería incluir:
- a los responsables de las funciones o procesos
que se han auditado;
- al cliente de la auditoría;
- a otros miembros del equipo auditor;
- a otras partes interesadas pertinentes, según lo
determinen el cliente de la auditoría y/o el auditado.
Si es aplicable, el líder del equipo auditor debería
advertir al auditado de las situaciones encontradas
durante la auditoría que pueden disminuir la
confianza en las conclusiones de la auditoría. Si
está definido en el sistema de gestión o por acuerdo
con el cliente de la auditoría, los participantes
deberían acordar el periodo de tiempo para un plan
de acción que trate los hallazgos de la auditoría.
6.4.9.2 Conteúdo de conclusões de auditoria
Convém que as conclusões de auditoria abordem
questões como as seguintes:
 a) extensão da conformidade com os critérios de
auditoria e robustez do sistema de gestão, incluindo
a eficácia do sistema de gestão em alcançar os
resultados pretendidos, a identificação de riscos e
eficácia das ações tomadas pelo auditado para
abordar riscos;
 b) implementação a eficaz, manutenção e melhoria
do sistema de gestão;
 c) alcance dos objetivos de auditoria, cobertura do
escopo de auditoria e atendimento de critérios de
auditoria;
 d) constatações similares feitas em diferentes
áreas que foram auditadas ou de uma auditoria
conjunta ou prévia com o propósito de identificar
tendências.
Se especificado pelo plano de auditoria, conclusões
de auditoria podem levar a recomendações para
melhoria, ou a futuras atividades de auditoria.
6.4.10 Conduzindo a reunião de encerramento
Convém que seja realizada uma reunião de
encerramento para apresentar as constatações e
conclusões de auditoria.
Convém que a reunião de encerramento seja
presidida pelo líder da equipe de auditoria, com a
participação da direção do auditado, e inclua, como
aplicável:
- aqueles responsáveis pelas funções ou processos
que foram auditados;
- cliente de auditoria;
- outros membros da equipe de auditoria;
- outras partes interessadas pertinentes, como
determinado pelo cliente da auditoria e/ou pelo
auditado.
Se aplicável, convém que o líder da equipe de
auditoria alerte ao auditado sobre situações
encontradas durante a auditoria que possam
diminuir a confiança que pode ser depositada nas
conclusões de auditoria. Se for especificado no
sistema de gestão ou por acordo com o cliente de
auditoria, convém que os participantes acordem o
período de tempo para um plano de ação abordar
constatações de auditoria.
39

El grado de detalle debería tener en cuenta la
eficacia del sistema de gestión para alcanzar los
objetivos del auditado, incluyendo consideraciones
sobre su contexto y los riesgos y oportunidades.
La familiaridad del auditado con el proceso de
auditoría también debería tenerse en cuenta
durante la reunión de cierre, para asegurarse de
que se proporciona el nivel correcto de detalle a los
participantes.
Para algunas situaciones de auditoría, la reunión
puede ser formal y las actas, incluyendo los
registros de asistencia, deberían conservarse. En
otras situaciones, por ejemplo, en auditorías
internas, la reunión de cierre puede ser menos
formal y consistir sólo en comunicar los hallazgos
de la auditoría y las conclusiones de la misma.
Cuando sea apropiado, en la reunión de cierre
debería explicarse al auditado lo siguiente:
a) advertir que la evidencia de la auditoría
recopilada se basó en una muestra de la
información disponible y no es necesariamente
totalmente representativa de la eficacia global de
los procesos del auditado;
b) el método de presentación de la información;
c) la manera en que deberían tratarse los hallazgos
de auditoría basándose en el proceso acordado;
d) las posibles consecuencias de no tratar
adecuadamente los hallazgos de auditoría;
e) la presentación de los hallazgos y conclusiones
de la auditoría de tal manera que se comprendan y
se reconozcan por la dirección del auditado;
f) cualquier actividad posterior a la auditoría
relacionada (por ejemplo, implementación y
revisión de acciones correctivas, tratamiento de
quejas de la auditoría, proceso de apelación).
Cualquier opinión divergente relativa a los
hallazgos de la auditoría o las conclusiones entre el
equipo auditor y el auditado debería discutirse y, si
es posible, resolverse. Si no se resuelve, deberían
registrarse todas las opiniones.
Si lo especifican los objetivos de la auditoría,
pueden presentarse recomendaciones de
oportunidades para la mejora. Se debería enfatizar
que las recomendaciones no son obligatorias.
6.5 Preparación y distribución del informe de la
auditoría
40
NM ISO 19011:2018
Convém que o grau de detalhe leve em conta a
eficácia do sistema de gestão em alcançar os
objetivos do auditado, incluindo consideração de
seu contexto e riscos e oportunidades.
Convém que também seja levada em consideração
durante a reunião de encerramento a familiaridade
do auditado com o processo de auditoria, para
assegurar que o nível correto de detalhe seja
fornecido aos participantes.
Para algumas situações de auditoria, a reunião
pode ser formal e convém que atas, incluindo
registros de presença, sejam conservadas. Em
outras situações, por exemplo, auditorias internas,
a reunião de encerramento pode ser menos formal
e consistir apenas em comunicar as constatações
de auditoria e as conclusões de auditoria.
Conforme apropriado, convém que o seguinte seja
explicado ao auditado na reunião de encerramento:
 a) aviso de que a evidência de auditoria coletada
foi baseada em uma amostragem da informação
disponível e que não é necessariamente totalmente
representativa da eficácia global dos processos do
auditado;
 b) método de relatar;
 c) como convém que a constatação de auditoria
seja abordada no processo acordado;
 d) possíveis consequências de não abordar
suficientemente as constatações de auditoria;
 e) apresentação das constatações e conclusões de
auditoria, de uma maneira que elas sejam
entendidas e reconhecidas pela direção do
auditado;
 f) quaisquer atividades pós-auditoria relacionadas
(por exemplo, implementação e análise crítica de
ações corretivas, abordagem de reclamações de
auditoria, processo de apelação).
Convém que quaisquer opiniões divergentes
relativas às constatações ou conclusões de
auditoria entre a equipe de auditoria e o auditado
sejam discutidas e, se possível, resolvidas. Se não
resolvidas, convém que isso seja registrado.
Se especificado pelos objetivos da auditoria,
recomendações de oportunidades para melhorias
podem ser apresentadas. Convém que seja
enfatizado que as recomendações não são
restritivas.
6.5 Preparando e distribuindo o relatório de
auditoria
NM ISO 19011:2018
6.5.1 Preparación del informe de la auditoría
El líder del equipo auditor debería informar de las
conclusiones de la auditoría de acuerdo con el
programa de auditoría. El informe de la auditoría
debería proporcionar un registro completo, preciso,
conciso y claro de la auditoría, y debería incluir o
hacer referencia a lo siguiente:
a) los objetivos de la auditoría;
b) el alcance de la auditoría, particularmente la
identificación de la organización (el auditado) y de
las funciones o procesos auditados;
c) la identificación del cliente de la auditoría;
d) la identificación del equipo auditor y de los
participantes del auditado en la auditoría;
e) las fechas y ubicaciones donde se realizaron las
actividades de auditoría;
f) los criterios de auditoría;
g) los hallazgos de la auditoría y las evidencias
relacionadas;
h) las conclusiones de la auditoría;
i) una declaración del grado en el que se han
cumplido los criterios de la auditoría;
j) cualquier opinión divergente sin resolver entre el
equipo auditor y el auditado;
k) las auditorías, por naturaleza, son un ejercicio de
muestreo; como tales, hay un riesgo de que las
evidencias de la auditoría examinadas no sean
representativas.
El informe de la auditoría también puede incluir o
hacer referencia a lo siguiente, cuando sea
apropiado:
- el plan de auditoría, incluyendo el horario;
- un resumen del proceso de auditoría, incluyendo
cualquier obstáculo encontrado que pueda
disminuir la confianza en las conclusiones de la
auditoría;
- la confirmación de que se han cumplido los
objetivos de la auditoría dentro del alcance de la
auditoría, de acuerdo con el plan de auditoría;
- cualquier área dentro del alcance de la auditoría
no cubierta, incluyendo cualquier cuestión sobre la
disponibilidad de las evidencias, los recursos o la
confidencialidad, con las justificaciones
relacionadas;
6.5.1 Preparando o relatório de auditoria
Convém que o líder da equipe de auditoria relate as
conclusões de auditoria de acordo com o programa
de auditoria. Convém que o relatório de auditoria
forneça um registro completo, exato, conciso e
claro da auditoria, e convém que inclua ou se refira
ao seguinte:
 a) objetivos de auditoria;
 b) escopo de auditoria, particularmente a
identificação da organização (o auditado) e as
funções ou processos auditados;
 c) identificação do cliente de auditoria;
 d) identificação da equipe de auditoria e de
participantes do auditado na auditoria;
 e) datas e locais onde as atividades de auditoria
foram conduzidas;
 f) critérios de auditoria;
 g) constatações de auditoria e evidências
relacionadas;
 h) conclusões de auditoria;
 i) uma declaração sobre o grau no qual os critérios
de auditoria foram atendidos;
 j) quaisquer opiniões divergentes não resolvidas
entre a equipe de auditoria e o auditado;
 k) auditorias por natureza são um exercício de
amostragem; como tal, há um risco de que a
evidência de auditoria examinada não seja
representativa.
O relatório de auditoria pode também incluir ou se
referir ao seguinte, conforme apropriado:
- plano de auditoria, incluindo agenda;
- um resumo do processo de auditoria, incluindo
quaisquer obstáculos encontrados que possam
reduzir a confiabilidade das conclusões de
auditoria;
- confirmação de que os objetivos de auditoria
foram alcançados no escopo de auditoria de acordo
com o plano de auditoria;
- quaisquer áreas no escopo da auditoria não
cobertas, incluindo quaisquer questões de
disponibilidade de evidência, recursos ou
confidencialidade, com justificativas relacionadas;
41

- un resumen cubriendo las conclusiones de la
auditoría y los principales hallazgos de la auditoría
que las apoyan;
- las buenas prácticas identificadas;
- el seguimiento acordado del plan de acción, si
existiera;
- una declaración sobre la naturaleza confidencial
de los contenidos;
- cualquier implicación para el programa de
auditoría o las auditorías posteriores.
6.5.2 Distribución del informe de la auditoría
El informe de la auditoría debería emitirse en el
periodo de tiempo acordado. Si se retrasa, las
razones deberían comunicarse al auditado y a las
personas responsables de la gestión del programa
de auditoría.
El informe de la auditoría debería estar fechado,
revisado y aceptado, según sea apropiado, de
acuerdo con el programa de auditoría.
A continuación, el informe de la auditoría debería
distribuirse a las partes interesadas pertinentes
definidas en el programa de auditoría o en el plan
de auditoría.
Al distribuir el informe de la auditoría, deberían
tenerse en cuenta las medidas apropiadas para
asegurar la confidencialidad.
6.6 Finalización de la auditoría
La auditoría finaliza cuando se hayan realizado
todas las actividades de auditoría planificadas, o si
se ha acordado de otro modo con el cliente de la
auditoría (por ejemplo, podría haber una situación
inesperada que impida que la auditoría se finalice
de acuerdo con el plan de auditoría).
La información documentada perteneciente a la
auditoría debería conservarse o eliminarse de
común acuerdo entre las partes participantes y de
acuerdo con el programa de auditoría y los
requisitos aplicables.
Salvo que se requiera por ley, el equipo auditor y
las personas responsables de la gestión del
programa de auditoría no deberían revelar ninguna
información obtenida durante la auditoría ni el
informe de la auditoría a ninguna otra parte, sin la
aprobación explícita del cliente de la auditoría y,
cuando sea apropiado, la del auditado. Si se
requiere revelar el contenido de un documento de
la auditoría, el cliente de la auditoría y el auditado
deberían ser informados tan pronto como sea
posible.
42
NM ISO 19011:2018
- um resumo cobrindo as conclusões de auditoria e
as principais constatações de auditoria que a
apoiam;
- boas práticas identificadas;
- acompanhamento de plano de ação acordado, se
houver;
- uma declaração da natureza confidencial dos
conteúdos;
- quaisquer implicações para o programa de
auditoria ou auditorias subsequentes.
6.5.2 Distribuindo o relatório da auditoria
Convém que o relatório de auditoria seja emitido em
um período de tempo acordado. Se ele estiver
atrasado, convém que as razões sejam
comunicadas ao auditado e à(s) pessoa(s) que
gerencia(m) o programa de auditoria.
Convém que o relatório de auditoria seja datado,
analisado criticamente e aceito, conforme
apropriado, de acordo com o programa de auditoria.
Convém que o relatório de auditoria seja então
distribuído às partes interessadas pertinentes
especificadas no programa de auditoria ou plano de
auditoria.
Ao distribuir o relatório de auditoria, convém que
medidas apropriadas para assegurar a
confidencialidade sejam consideradas.
6.6 Concluindo a auditoria
A auditoria é concluída quando todas as atividades
de auditoria planejadas tiverem sido realizadas ou,
de outro modo, tiver sido acordado com o cliente de
auditoria (por exemplo, pode haver uma situação
inesperada que impeça a auditoria ser concluída de
acordo com o plano de auditoria).
Convém que informação documentada pertencente
à auditoria seja retida ou descartada por acordo
entre as partes participantes e de acordo com o
programa de auditoria e com os requisitos
aplicáveis.
A menos que requerido por lei, não convém que a
equipe de auditoria e a(s) pessoa(s) que
gerencia(m) o programa de auditoria divulguem
qualquer informação obtida durante a auditoria, ou
o relatório de auditoria, para qualquer outra parte
sem a aprovação explícita do cliente da auditoria e,
onde apropriado, a aprovação do auditado. Se a
divulgação do conteúdo de um documento de
auditoria for requerida, convém que o cliente da
auditoria e o auditado sejam informados assim que
possível.
NM ISO 19011:2018
Las lecciones aprendidas de la auditoría pueden
identificar los riesgos y oportunidades para el
programa de auditoría y para el auditado.
6.7 Realización de las actividades de
seguimiento de una auditoría
Los resultados de la auditoría pueden, dependiendo
de los objetivos de la auditoría, indicar la necesidad
de correcciones, o de acciones correctivas, u
oportunidades para la mejora. Tales acciones
generalmente son decididas y emprendidas por el
auditado en un intervalo de tiempo acordado.
Cuando sea apropiado, el auditado debería
mantener informadas a las personas responsables
de la gestión del programa de auditoría y/o al
equipo auditor sobre el estado de estas acciones.
Debería verificarse si se completaron las acciones
y su eficacia. Esta verificación puede ser parte de
una auditoría posterior. Debería presentarse un
informe con los resultados a la persona
responsable de la gestión del programa de
auditoría, y al cliente de la auditoría para la revisión
por la dirección.
7 Competencia y evaluación de los
auditores
7.1 Generalidades
La confianza en el proceso de auditoría y la
capacidad de lograr sus objetivos depende de la
competencia de aquellas personas que participen
en la realización de las auditorías, incluyendo los
auditores y líderes de equipos auditores. La
competencia debería evaluarse regularmente a
través de un proceso que considere el
comportamiento personal y la capacidad para
aplicar los conocimientos y las habilidades
adquiridos a través de la educación, la experiencia
laboral, la formación como auditor y la experiencia
en auditorías. Este proceso debería tener en cuenta
las necesidades del programa de auditoría y sus
objetivos. Algunos de los conocimientos y
habilidades descritos en el Apartado 7.2.3 son
comunes a los auditores de cualquier disciplina de
sistema de gestión; otros son específicos de
disciplinas de sistemas de gestión individuales. No
es necesario que cada auditor en el equipo auditor
tenga la misma competencia. Sin embargo, la
competencia global del equipo auditor necesita ser
suficiente para lograr los objetivos de la auditoría.
La evaluación de la competencia del auditor
debería planificarse, implementarse y seja planejada, implementada e documentada para
documentarse para proporcionar un resultado que
es objetivo, coherente, imparcial y fiable. El proceso
de evaluación debería incluir cuatro pasos
principales, como se indica a continuación:
Lições apreendidas da auditoria podem identificar
riscos e oportunidades para o programa de
auditoria e o auditado.
6.7 Conduzindo o acompanhamento da
auditoria
O resultado da auditoria pode, dependendo dos
objetivos da auditoria, indicar a necessidade para
correções ou para ações corretivas ou
oportunidades para melhoria. Tais ações são
usualmente decididas e realizadas pelo auditado
em um período de tempo acordado. Conforme
apropriado, convém que o auditado mantenha a(s)
pessoa(s) que gerencia(m) o programa de auditoria
e/ou a equipe de auditoria informadas da situação
destas ações.
Convém que a conclusão e a eficácia destas ações
sejam verificadas. Esta verificação pode ser parte
de uma auditoria subsequente. Convém que os
resultados sejam relatados à pessoa que gerencia
o programa de auditoria e relatados ao cliente de
auditoria para análise crítica pela direção.
7 Competência e avaliação de auditores
7.1 Generalidades
Confiança no processo de auditoria e na
capacidade para alcançar seus objetivos depende
da competência daquelas pessoas que estão
envolvidas na realização de auditorias, incluindo
auditores e líderes da equipe de auditoria. Convém
que a competência seja avaliada regularmente por
meio de um processo que considere o
comportamento pessoal e a capacidade para
aplicar conhecimento e habilidades obtidos por
meio de educação, experiência de trabalho,
treinamento de auditor e experiência de auditoria.
Convém que este processo leve em consideração
as necessidades do programa de auditoria e seus
objetivos. Alguns dos conhecimentos e habilidades
descritos em 7.2.3 são comuns para auditores de
qualquer disciplina de sistema de gestão; outros
são específicos para disciplinas particulares de
sistemas de gestão. Não é necessário que cada
auditor na equipe de auditoria tenha a mesma
competência. Entretanto, a competência global da
equipe de auditoria necessita ser suficiente para
alcançar os objetivos da auditoria.
Convém que a avaliação da competência do auditor
fornecer um resultado que seja objetivo, coerente,
justo e confiável. Convém que o processo de
avaliação inclua quatro passos principais, como a
seguir:
43

a) determinar la competencia requerida para
cumplir las necesidades del programa de auditoría;
b) establecer los criterios de evaluación;
c) seleccionar el método de evaluación apropiado;
d) realizar la evaluación.
El resultado del proceso de evaluación debería
proporcionar la base para lo siguiente:
- la selección de los miembros del equipo auditor
(como se describe en 5.5.4);
- la determinación de la necesidad de mejorar la
competencia (por ejemplo, formación adicional);
- la evaluación continua del desempeño de los
auditores.
Los auditores deberían desarrollar, mantener y
mejorar su competencia mediante el desarrollo
profesional continuo y la participación regular en
auditorías (véase 7.6).
En los Apartados 7.3, 7.4 y 7.5 se describe un
proceso para evaluar a los auditores y a los líderes
de equipos auditores.
Los auditores y los líderes de equipos auditores
deberían ser evaluados respecto a los criterios
establecidos en los Apartados 7.2.2 y 7.2.3, así
como respecto a los criterios establecidos en el
Apartado 7.1.
La competencia requerida de las personas
responsables de la gestión del programa de
auditoría se describe en el Apartado 5.4.2.
7.2 Determinación de la competencia del auditor
7.2.1 Generalidades
Al decidir la competencia necesaria para una
auditoría, se debería considerar el conocimiento y
las habilidades de un auditor relacionados con lo
siguiente:
a) el tamaño, la naturaleza, la complejidad, los
productos, los servicios y los procesos de los
auditados;
b) los métodos de auditoría;
c) las disciplinas del sistema de gestión que se va a
auditar;
d) la complejidad y los procesos del sistema de
gestión que se va a auditar;
44
NM ISO 19011:2018
 a) determinar a competência necessária para
atender às necessidades do programa de auditoria;
 b) estabelecer os critérios de avaliação;
 c) selecionar o método apropriado de avaliação;
 d) conduzir a avaliação.
Convém que o resultado do processo de avaliação
forneça uma base para o seguinte:
- seleção dos membros da equipe de auditoria
(como descrito em 5.5.4);
- determinação da necessidade para competência
melhorada (por exemplo, treinamento adicional);
- avaliação continuada do desempenho de
auditores.
Convém que os auditores desenvolvam,
mantenham e melhorem suas competências por
meio de um desenvolvimento profissional contínuo
e participação regular em auditorias (ver 7.6).
Um processo para avaliação dos auditores e líderes
de equipes de auditoria está descrito em 7.3, 7.4 e
7.5.
Convém que auditores e líderes de equipes de
auditoria sejam avaliados em relação aos critérios
estabelecidos em 7.2.2 e 7.2.3, assim como aos
critérios estabelecidos em 7.1.
A competência requerida da(s) pessoa(s) que
gerencia(m) o programa de auditoria está descrita
em 5.4.2.
7.2 Determinando a competência de auditor
7.2.1 Generalidades
Ao decidir a competência necessária para uma
auditoria, convém que o conhecimento e as
habilidades de um auditor relacionados ao seguinte
sejam considerados:
 a) tamanho, natureza, complexidade, produtos,
serviços e processos de auditados;
 b) métodos para auditar;
 c) disciplinas do sistema de gestão a serem
auditadas;
 d) complexidade e processos do sistema de gestão
a serem auditados;
NM ISO 19011:2018
e) los tipos y niveles de riesgos y oportunidades
abordados por el sistema de gestión;
f) los objetivos y extensión del programa de
auditoría;
g) la incertidumbre en el logro de los objetivos de
auditoría;
h) otros requisitos, tales como los impuestos por el
cliente de la auditoría u otras partes interesadas
pertinentes, cuando sea apropiado.
Esta información debería compararse con lo
enumerado en el Apartado 7.2.3.
7.2.2 Comportamiento personal
Los auditores deberían poseer los atributos
necesarios que les permitan actuar de acuerdo con
los principios de la auditoría tal como se describe
en el Capítulo 4. Los auditores deberían demostrar
un comportamiento profesional durante el
desempeño de las actividades de auditoría. Los
comportamientos profesionales deseados incluyen
ser:
a) ético, es decir, imparcial, sincero, honesto y
discreto;
b) de mentalidad abierta, es decir, dispuesto a
considerar ideas o puntos de vista alternativos;
c) diplomático, es decir, con tacto en las relaciones
con las personas;
d) observador, es decir, activamente consciente del
entorno físico y las actividades;
e) perceptivo, es decir, consciente y capaz de
entender las situaciones;
f) versátil, es decir, capaz de adaptarse fácilmente
a diferentes situaciones;
g) tenaz, es decir, persistente y orientado hacia el
logro de los objetivos;
h) decidido, es decir, capaz de alcanzar
conclusiones oportunas basadas en el análisis y el
razonamiento lógico;
i) seguro de sí mismo, es decir, capaz de actuar y
funcionar independientemente a la vez que
interactúa eficazmente con otros;
j) capaz de actuar con firmeza, es decir, capaz de
actuar de manera responsable y ética, aunque
estas acciones puedan no ser siempre populares y
en alguna ocasión puedan causar desacuerdos o
alguna confrontación;
 e) tipos e níveis de riscos e oportunidades
abordados pelo sistema de gestão;
 f) objetivos e extensão do programa de auditoria;
 g) incerteza de alcançar os objetivos de auditoria;
 h) outros requisitos, como aqueles impostos pelo
cliente de auditoria ou outras partes interessadas
pertinentes, onde apropriado.
Convém que esta informação seja conciliada com
aquela listada em 7.2.3.
7.2.2 Comportamento pessoal
Convém que os auditores possuam os atributos
necessários para possibilitá-los a agir de acordo
com os princípios de auditoria, como descrito na
Seção 4. Convém que aos auditores demonstrem
comportamento profissional durante o desempenho
das atividades de auditoria. Comportamento
profissional desejado inclui ser:
 a) ético, isto é, ser justo, verdadeiro, sincero,
honesto e discreto;
 b) mente aberta, isto é, estar disposto a considerar
ideias ou pontos de vista alternativos;
 c) diplomático, isto é, ser sensível ao lidar com
pessoas;
 d) observador, isto é, observar ativamente o
ambiente físico e as atividades;
 e) perceptivo, isto é, estar consciente e ser capaz
de entender situações;
 f) versátil, isto é, ser capaz de prontamente se
adaptar a diferentes situações;
 g) tenaz, isto é, ser persistente focado em alcançar
objetivos;
 h) decisivo, isto é, ser capaz de alcançar
conclusões em tempo hábil com base em raciocínio
lógico e análise;
 i) autoconfiante, isto é, ser capaz de agir e
funcionar independentemente enquanto interage
eficazmente com outros;
 j) capaz de agir com firmeza, isto é, ser capaz de
atuar responsavelmente e eticamente, mesmo que
estas ações possam não ser sempre populares e
possam algumas vezes resultar em desacordo ou
confrontação;
45

k) abierto a la mejora, es decir, dispuesto a
aprender de las situaciones;
l) abierto a las diferencias culturales, es decir,
observador y respetuoso con la cultura del
auditado;
m) colaborador, es decir, que interactúa
eficazmente con los demás, incluyendo los
miembros del equipo auditor y el personal del
auditado.
7.2.3 Conocimientos y habilidades
7.2.3.1 Generalidades
Los auditores deberían poseer:
a) los conocimientos y las habilidades necesarios
para lograr los resultados previstos de las
auditorías que se espera que lleven a cabo;
b) competencia genérica, y un cierto nivel de
conocimientos y habilidades específicos de la
disciplina y del sector.
Los líderes del equipo auditor deberían tener los
conocimientos y habilidades adicionales necesarios
para dirigir al equipo auditor.
7.2.3.2 Conocimientos y habilidades genéricos
de los auditores de sistemas de gestión
Los auditores deberían tener conocimientos y
habilidades en las áreas señaladas a continuación.
a) Principios, procesos y métodos de auditoría: los
conocimientos y habilidades en esta área permiten
al auditor asegurarse de que las auditorías se
realizan de manera coherente y sistemática.
Un auditor debería ser capaz de:
- comprender los tipos de riesgos y
oportunidades asociados con la auditoría y los
principios del enfoque basado en riesgos para la
auditoría;
- planificar y organizar el trabajo eficazmente;
- llevar a cabo la auditoría dentro del horario
acordado;
- establecer prioridades y centrarse en los temas
de importancia;
- comunicarse de forma eficaz oralmente y por
escrito (personalmente, o mediante el uso de
intérpretes);
46
NM ISO 19011:2018
 k) aberto a melhorias, isto é, ser disposto a
aprender com situações;
 l) culturalmente sensível, isto é, ser observador e
respeitoso com a cultura do auditado;
 m) colaborativo, isto é, interagir eficazmente com
outros, incluindo os membros da equipe de
auditoria e o pessoal do auditado.
7.2.3 Conhecimento e habilidades
7.2.3.1 Generalidades
Convém que os auditores possuam:
 a) conhecimento e habilidades necessários para
alcançar os resultados pretendidos das auditorias
que se espera que eles desempenhem;
b) competência genérica e um nível de
conhecimento e habilidades de disciplinas e setores
específicos.
Convém que os líderes das equipes de auditoria
tenham conhecimento e habilidades adicionais
necessários para fornecer liderança à equipe de
auditoria.
7.2.3.2 Conhecimento e habilidades genéricos
de auditores do sistema de gestão
Convém que os auditores tenham conhecimento e
habilidades nas áreas delineadas abaixo.
 a) Princípios, processos e métodos de auditoria:
conhecimento e habilidades nesta área possibilitam
o auditor a assegurar que as auditorias sejam
desempenhadas de maneira coerente e
sistemática.
Convém que um auditor seja capaz de:
- entender os tipos de riscos e oportunidades
associados à auditoria e os princípios da
abordagem baseada em risco para auditar;
- planejar e organizar o trabalho eficazmente;
- desempenhar a auditoria dentro do calendário
acordado;
- priorizar e focar assuntos de significância;
- comunicar-se eficazmente, oralmente e por
escrito (pessoalmente ou com o uso de
intérpretes);
NM ISO 19011:2018

- recopilar información, mediante entrevistas - coletar informação por meio de entrevistas,

eficaces, escuchando, observando y revisando escuta, observação e análise crítica de
la información documentada, incluyendo informação documentada eficazes, incluindo
registros y datos; registros e dados;

- comprender lo apropiado de utilizar técnicas de - entender a propriedade e consequências de

muestreo para las auditorías, y sus usar técnicas de amostragem para auditar;
consecuencias;

- comprender y tener en consideración las - entender e considerar opiniões de

opiniones de los expertos técnicos; especialistas;

- auditar un proceso de principio a fin, incluyendo - auditar um processo do início ao fim, incluindo
las interrelaciones con otros procesos y las as inter-relações com outros processos e
diferentes funciones, cuando sea apropiado; diferentes funções, onde apropriado;

- verificar la pertinencia y exactitud de la - verificar a relevância e a exatidão da

información recopilada; informação coletada;

- confirmar que la evidencia de la auditoría es - confirmar a suficiência e a propriedade da

suficiente y apropiada para apoyar los hallazgos evidência de auditoria para apoiar constatações
y conclusiones de la auditoría; e conclusões de auditoria;

- evaluar los factores que pueden afectar a la - avaliar aqueles fatores que possam afetar a
fiabilidad de los hallazgos y conclusiones de la confiabilidade das constatações e conclusões
auditoría; de auditoria;

- documentar las actividades de auditoría y los - documentar atividades de auditoria e

hallazgos de la auditoría y preparar informes; constatações de auditoria e preparar relatórios;

- mantener la confidencialidad y seguridad de la - manter a confidencialidade e a segurança da

información. informação.

b) Normas de sistemas de gestión y otras  b) Normas de sistema de gestão e outras

referencias: los conocimientos y habilidades en referências: conhecimento e habilidades nesta área
esta área permiten al auditor comprender el alcance possibilitam o auditor a entender o escopo da
de la auditoría y aplicar los criterios de auditoría, y auditoria e aplicar critérios de auditoria, e convém
deberían cubrir lo siguiente: que abranjam o seguinte:

- las normas de sistemas de gestión u otros - normas de sistema de gestão ou outros

documentos normativos o de orientación/apoyo documentos normativos ou de orientação/apoio
usados para establecer los criterios o los usados para estabelecer critérios ou métodos de
métodos de auditoría; auditoria;

- la aplicación de normas de sistemas de gestión - aplicação de normas de sistema de gestão pelo

por parte del auditado y de otras organizaciones; auditado e outras organizações;

- las relaciones e interacciones entre los - relacionamentos e interações entre os

procesos de los sistemas de gestión; processos do(s) sistema(s) de gestão;

- la comprensión de la importancia y la prioridad - entendimento da importância e prioridade de

de las múltiples normas o referencias; normas ou referências múltiplas;

- la aplicación de normas o referencias a las - aplicação de normas ou referências a

diferentes situaciones de auditoría. diferentes situações de auditoria.

c) La organización y su contexto: los conocimientos  c) A organização e seu contexto: conhecimento e

y habilidades en esta área permiten al auditor habilidades nesta área possibilitam o auditor a
comprender la estructura, el propósito y las entender a estrutura, propósito e práticas de gestão
prácticas de gestión del auditado, y deberían cubrir do auditado, e convém que abranjam o seguinte:
lo siguiente:

47

- las necesidades y expectativas de las partes
interesadas pertinentes que tienen impacto en el
sistema de gestión;
- el tipo de organización, su gobernanza,
tamaño, estructura, funciones y relaciones;
- los conceptos generales del negocio y de la
gestión, los procesos y la terminología
relacionada, incluyendo la planificación, la
preparación de presupuestos y la gestión de las
personas;
- los aspectos culturales y sociales del auditado.
d) Requisitos legales y reglamentarios aplicables y
otros requisitos: los conocimientos y las habilidades
en esta área permiten al auditor ser consciente de
los requisitos de la organización y trabajar de
acuerdo con ellos. Los conocimientos y las
habilidades específicos de la jurisdicción o de las
actividades, procesos, productos y servicios del
auditado deberían cubrir lo siguiente:
- los requisitos legales y reglamentarios y sus
autoridades gubernamentales;
- la terminología legal básica;
- los contratos y la responsabilidad legal.
NOTA Ser consciente de los requisitos legales y reglamentarios
no implica ser experto en temas legales, y una auditoría de un
sistema de gestión no debería tratarse como una auditoría de
cumplimiento legal.
7.2.3.3 Competencia de los auditores en la
disciplina y en el sector específicos
Los equipos auditores deberían tener la
competencia colectiva apropiada en la disciplina y
en el sector específico para auditar los tipos
particulares de sistemas de gestión y sectores.
La competencia de los auditores en la disciplina y
en el sector específicos incluye lo siguiente:
a) los requisitos y principios del sistema de gestión,
y su aplicación;
b) los fundamentos de las disciplinas y sectores
relacionados con las normas de sistemas de
gestión aplicados por el auditado;
c) la aplicación de métodos, técnicas, procesos y
prácticas específicos de la disciplina y el sector,
para permitir al equipo auditor evaluar la
conformidad dentro del alcance de la auditoría
definido y generar los hallazgos y conclusiones
apropiados de la auditoría;
d) los principios, los métodos y las técnicas
pertinentes para la disciplina y el sector, tales que
48
NM ISO 19011:2018
- necessidades e expectativas de partes
interessadas pertinentes que impactam o
sistema de gestão;
- tipo de organização, governança, tamanho,
estrutura, funções e relacionamentos;
- conceitos gerais de gestão e negócios,
processos e terminologia relacionada, incluindo
planejamento, orçamento e gestão de pessoas;
- aspectos culturais e sociais do auditado.
d) Requisitos regulamentares e estatutários
aplicáveis e outros requisitos: conhecimento e
habilidades nesta área possibilitam o auditor a estar
consciente de, e trabalhar de acordo com, os
requisitos da organização. Convém que
conhecimento e habilidades específicos para a
jurisdição ou para as atividades, processos,
produtos e serviços do auditado abranjam o
seguinte:
- requisitos estatutários e regulamentares e suas
agências governamentais;
- terminologia legal básica;
- contratação e responsabilidade.
NOTA Consciência dos requisitos estatutários e regulamentares
não implica especialização em leis e não convém que uma
auditoria de sistema de gestão seja tratada como uma auditoria
de compliance.
7.2.3.3 Competência de auditores em disciplina
e setor específicos
Convém que as equipes de auditoria tenham
competência coletiva apropriada da disciplina e do
setor específicos para auditar os tipos particulares
de sistemas de gestão e setores.
A competência de auditores na disciplina e setor
específicos inclui o seguinte:
 a) requisitos e princípios de sistema de gestão e
suas aplicações;
 b) fundamentos da(s) disciplina(s) e setor(es)
relacionados às normas de sistema de gestão,
como aplicados pelo auditado;
 c) aplicação de métodos, técnicas, processos e
práticas de disciplina e de setor específicos para
possibilitar a equipe de auditoria a avaliar a
conformidade no escopo de auditoria estabelecido
e gerar constatações e conclusões de auditoria
apropriadas;
 d) princípios, métodos e técnicas pertinentes à
disciplina e setor, tais que o auditor possa
NM ISO 19011:2018

el auditor pueda determinar y evaluar los riesgos y determinar e avaliar os riscos e oportunidades
oportunidades asociados con los objetivos de la associados aos objetivos da auditoria.
auditoría.

7.2.3.4 Competencia genérica del líder de un 7.2.3.4 Competência genérica de líder de equipe
equipo auditor de auditoria

A fin de facilitar la realización eficiente y eficaz de Para facilitar a condução eficiente e eficaz da
la auditoría, un líder de equipo auditor debería tener auditoria, convém que um líder de equipe de
la competencia para: auditoria tenha competência para:

a) planificar la auditoría y asignar tareas de  a) planejar a auditoria e atribuir tarefas de auditoria
auditoría de acuerdo con la competencia específica de acordo com a competência específica dos
de los miembros individuales del equipo auditor; membros individuais da equipe de auditoria;

b) discutir las cuestiones estratégicas con la alta  b) discutir questões estratégicas com a Alta
dirección del auditado para determinar si han Direção do auditado para determinar se ela
considerado estas cuestiones al evaluar los riesgos considerou estas questões ao avaliar seus riscos e
y oportunidades; oportunidades;

c) desarrollar y mantener una relación de trabajo  c) desenvolver e manter um relacionamento de

colaborativa entre los miembros del equipo auditor; trabalho colaborativo entre os membros da equipe
de auditoria;

d) gestionar el proceso de auditoría, incluyendo:  d) gerenciar o processo de auditoria, incluindo:

- hacer un uso eficaz de los recursos durante la - fazer uso eficaz dos recursos durante a
auditoría; auditoria;

- gestionar la incertidumbre de lograr los - gerenciar a incerteza de alcançar objetivos de

objetivos de la auditoría; auditoria;

- proteger la seguridad y la salud de los - proteger a saúde e segurança dos membros da

miembros del equipo auditor durante la equipe de auditoria durante a auditoria, incluindo
auditoría, incluyendo asegurar el cumplimiento assegurar compliance dos auditores com os
de los auditores con los acuerdos pertinentes de arranjos pertinentes de saúde e segurança, e
seguridad y salud y seguridad física; segurança;

- dirigir a los miembros del equipo auditor; - orientar os membros da equipe de auditoria;

- proporcionar dirección y orientación a los - fornecer direção e orientação para auditores

auditores en formación; em treinamento;

- prevenir y resolver los conflictos y problemas - prevenir e resolver conflitos e problemas que
que puedan ocurrir durante la auditoría, possam ocorrer durante a auditoria, incluindo
incluyendo aquellos dentro del equipo auditor, aqueles na equipe de auditoria, se necessário.
cuando sea necesario.

e) representar al equipo auditor en las  e) representar a equipe de auditoria nas

comunicaciones con las personas responsables de comunicações com a(s) pessoa(s) que gerencia(m)
la gestión del programa de auditoría, el cliente de la o programa de auditoria, o cliente de auditoria e o
auditoría y el auditado; auditado;

f) liderar el equipo auditor para alcanzar las  f) liderar a equipe de auditoria para alcançar as
conclusiones de la auditoría; conclusões de auditoria;

g) preparar y completar el informe de la auditoría.  g) preparar e concluir o relatório de auditoria.

7.2.3.5 Conocimientos y habilidades para 7.2.3.5 Conhecimento e habilidades para auditar

auditar múltiples disciplinas múltiplas disciplinas

Al auditar sistemas de gestión de múltiples Ao auditar sistemas de gestão de múltiplas

disciplinas, el miembro del equipo auditor debería disciplinas, convém que o membro da equipe de

49

tener conocimientos de las interacciones y
sinergias entre los distintos sistemas de gestión.
Los líderes de equipos auditores deberían
comprender los requisitos de cada una de las
normas de sistemas de gestión que se auditan y
reconocer los límites de su competencia en cada
una de las disciplinas.
NOTA Las auditorías de múltiples disciplinas llevadas a cabo de
manera simultánea pueden realizarse como una auditoría
combinada o como una auditoría de un sistema de gestión
integrado que cubre múltiples disciplinas.
7.2.4 Logro de la competencia del auditor
La competencia del auditor puede obtenerse
usando una combinación de lo siguiente:
a) completando exitosamente los programas de
formación que cubren los conocimientos y
habilidades genéricos de un auditor;
b) experiencia en una función técnica, de dirección
o profesional pertinente que involucre el ejercicio de
juicio, la toma de decisiones, la solución de
problemas y la comunicación con miembros de la
dirección, profesionales, pares, clientes y otras
partes interesadas pertinentes;
c) educación/formación y experiencia en una
disciplina y sector de sistemas de gestión
específicos que contribuye al desarrollo de la
competencia global;
d) experiencia en auditorías adquirida bajo la
supervisión de un auditor competente en la misma
disciplina.
NOTA La culminación exitosa de un curso de formación
dependerá del tipo de curso. Para cursos con un componente de
examen puede suponer aprobar exitosamente el examen. Para
otros cursos, puede significar participar en el curso y
completarlo.
7.2.5 Logro de la competencia del líder del
equipo auditor
Un líder de equipo auditor debería haber adquirido
experiencia adicional en auditoría para desarrollar
la competencia descrita en el Apartado 7.2.3.4.
Esta experiencia adicional debería haberse
adquirido trabajando bajo la dirección y orientación
de un líder de equipo auditor diferente.
7.3 Establecimiento de los criterios de
evaluación del auditor
Los criterios deberían ser cualitativos (tales como
haber demostrado el comportamiento deseado, los
conocimientos o el desempeño de las habilidades,
en la formación o en el lugar de trabajo) y
cuantitativos (tales como los años de experiencia
50
NM ISO 19011:2018
auditoria tenha um entendimento das interações e
sinergia entre os diferentes sistemas de gestão.
Convém que líderes da equipe de auditoria
entendam os requisitos de cada uma das normas
de sistema de gestão que estão sendo auditadas e
reconheçam os limites de sua competência em
cada uma das disciplinas.
NOTA Auditorias de múltiplas disciplinas feitas simultaneamente
podem ser feitas como uma auditoria combinada ou como uma
auditoria de sistema de gestão integrada que abranja múltiplas
disciplinas.
7.2.4 Alcançando a competência de auditor
A competência de auditor pode ser adquirida
usando uma combinação do seguinte:
 a) conclusões com sucesso de programas de
treinamento que abranjam conhecimento e
habilidades genéricos de auditor;
 b) experiência em uma posição técnica, gerencial
ou profissional pertinente, envolvendo o exercício
de julgamento, tomada de decisão, solução de
problema e comunicação com gerentes,
profissionais, pares, clientes e outras partes
interessadas pertinentes;
 c) educação/treinamento e experiência em uma
disciplina e setor específicos de sistema de gestão
que contribuam para o desenvolvimento da
competência global;
 d) experiência de auditoria adquirida sob
supervisão de um auditor competente na mesma
disciplina.
NOTA A conclusão com sucesso de um curso de treinamento
dependerá do tipo do curso. Para cursos com componente de
exame, isso pode significar ser aprovado no exame. Para outros
cursos, isso pode significar participar no curso e concluí-lo.
7.2.5 Alcançando a competência do líder da
equipe de auditoria
Convém que um líder da equipe de auditoria tenha
adquirido experiência adicional em auditoria para
desenvolver a competência descrita em 7.2.3.4.
Convém que esta experiência adicional tenha sido
adquirida trabalhando sob a direção e orientação de
um líder de equipe de auditoria diferente.
7.3 Estabelecendo os critérios de avaliação de
auditor
Convém que os critérios sejam qualitativos (como
ter demonstrado comportamento, conhecimento ou
desempenho desejável das habilidades, em
treinamento ou em local de trabalho) e quantitativos
(como os anos de experiência de trabalho e
NM ISO 19011:2018

laboral y de educación, el número de auditorías educação, número de auditorias conduzidas, horas

realizadas, las horas de formación en auditoría). de treinamento em auditoria).

7.4 Selección del método apropiado de 7.4 Selecionando o método apropriado de

evaluación del auditor avaliação de auditor

La evaluación debería llevarse a cabo usando dos Convém que a avaliação seja conduzida usando
o más de los métodos indicados en la Tabla 2. Al dois ou mais dos métodos dados na Tabela 2. Ao
utilizar la Tabla 2, se debería tener en cuenta lo usar a Tabela 2, convém que seja notado o
siguiente: seguinte:

a) los métodos señalados representan una variedad  a) os métodos delineados representam uma gama
de opciones que pueden no ser aplicables en todas de opções e podem não ser aplicáveis a todas
las situaciones; situações;

b) los diversos métodos señalados pueden diferir  b) os vários métodos delineados podem variar
en su fiabilidad; quanto à sua confiabilidade;

c) debería utilizarse una combinación de métodos  c) convém que uma combinação de métodos seja
para asegurar un resultado objetivo, coherente, usada para assegurar um resultado que seja
imparcial y fiable. objetivo, coerente, justo e confiável.

51
 NM ISO 19011:2018

Tabla 2 - / Tabela 2 –
Métodos de evaluación del auditor / Métodos de avaliação de auditores

Método de evaluación /
Objetivos Ejemplos / Exemplos
Métodos de avaliação
Análisis de los registros de educación,
Revisión de registros / formación, laborales, credenciales
Análise crítica dos Verificar los antecedentes del auditor / profesionales y experiencia en auditorías /
Verificar a formação profissional do auditor Análise de registros de educação,
registros treinamento, emprego, credenciais
profissionais e experiência em auditar
Encuestas, cuestionarios, referencias
Proporcionar información sobre cómo se personales, recomendaciones, quejas,
Retroalimentación / percibe el desempeño del auditor / Fornecer evaluación del desempeño, revisión entre
Realimentação informação sobre como o desempenho do pares / Pesquisas, questionários, referências
auditor é percebido pessoais, testemunhos, reclamações, avaliação
de desempenho, análise crítica por pares
Evaluar el comportamiento profesional
deseado y las habilidades de comunicación,
para verificar la información y examinar los
conocimientos, y para obtener información
Entrevista adicional / Avaliar o comportamento Entrevistas personales / Entrevista pessoal
profissional e a habilidade de comunicação
desejados para verificar informação e testar
conhecimento e para adquirir informação
adicional
Evaluar el comportamiento profesional
deseado y la aptitud para aplicar los Juego de roles, auditorías en presencia de un
conocimientos y habilidades / Avaliar o testigo, desempeño en una situación real /
Observación / Observação
comportamento profissional desejado e a Desempenho de funções, auditorias de
capacidade para aplicar conhecimento e testemunho e desempenho no trabalho
habilidades
Evaluar el comportamiento deseado y los
Exámenes orales y escritos, exámenes
conocimientos y habilidades y su aplicación /
Examen / Teste psicotécnicos / Exames orais e escritos,
Avaliar o comportamento e conhecimento e
testes psicométricos
habilidades desejados e sua aplicação
Revisión del informe de la auditoría,
Proporcionar información sobre el desempeño
entrevistas con el líder del equipo auditor, el
del auditor durante las actividades de
equipo auditor y, si es apropiado,
Revisión después de la auditoría, identificar fortalezas y
retroalimentación del auditado / Análise crítica
auditoria / Análise crítica oportunidades para la mejora / Fornecer
do relatório de auditoria, entrevistas com o
pós-auditoria informações sobre o desempenho do auditor
líder da equipe de auditoria e com, a equipe
durante as atividades de auditoria, identificar
de auditoria e, se apropriado, feedback do
forças e oportunidades para melhoria
auditado

7.5 Realización de la evaluación del auditor 7.5 Conduzindo a avaliação de auditor

La información recopilada sobre el auditor bajo
evaluación debería compararse con los criterios
establecidos en el Apartado 7.2.3. Cuando un
auditor bajo evaluación del que se espera que
participe en un programa de auditoría no cumple los
criterios, entonces debería adquirir formación
adicional, experiencia laboral o experiencia en
auditorías, y debería realizarse posteriormente una
nueva evaluación.
Convém que a informação coletada sobre o auditor
em avaliação seja comparada em relação aos
critérios estabelecidos em 7.2.3. Quando um
auditor em avaliação do qual se espera participação
no programa de auditoria não preenche os critérios,
convém que, então, sejam realizados treinamentos,
trabalhos ou experiências em auditoria adicionais e
que seja realizada uma reavaliação subsequente.

7.6 Mantenimiento y mejora de la competencia 7.6 Mantendo e melhorando a competência de

del auditor auditor

Los auditores y los líderes de equipos auditores Convém que os auditores e líderes da equipe de
deberían mejorar su competencia de manera auditoria melhorem continuamente sua

52
NM ISO 19011:2018
continua. Los auditores deberían mantener su
competencia en auditoría a través de la
participación regular en auditorías de sistemas de
gestión y del desarrollo profesional continuo. Esto
puede conseguirse a través de medios como
experiencia laboral adicional, formación, auto
estudio, tutorías, asistencia a reuniones,
seminarios y conferencias u otras actividades
pertinentes.
Las personas responsables de la gestión del
programa de auditoría deberían establecer los
mecanismos adecuados para la evaluación
continua del desempeño de los auditores, y de los
líderes de equipos auditores.
Las actividades de desarrollo profesional continuo
deberían tener en cuenta lo siguiente:
a) los cambios en las necesidades de la persona y
de la organización responsable de la realización de
la auditoría;
b) los desarrollos en las técnicas de auditoría,
incluyendo el uso de tecnología;
c) las normas pertinentes, incluyendo documentos
de orientación/apoyo, y otros requisitos;
d) los cambios en el sector o en las disciplinas.
competência. Convém que os auditores
mantenham sua competência em auditar por meio
de participação regular em auditorias de sistemas
de gestão e desenvolvimento profissional contínuo.
Isso pode ser alcançado por meios como
experiência adicional de trabalho, treinamento,
estudo privado, instrução, participação em
reuniões, seminários e conferências ou outras
atividades pertinentes.
Convém que a(s) pessoa(s) que gerencia(m) o
programa de auditoria estabeleça(m) mecanismos
adequados para a avaliação contínua do
desempenho dos auditores e líderes da equipe de
auditoria.
Convém que as atividades de desenvolvimento
profissional contínuo levem em conta o seguinte:
 a) mudanças nas necessidades das pessoas e da
organização responsável pela condução da
auditoria;
 b) desenvolvimentos na prática de auditar,
incluindo o uso de tecnologia;
 c) normas pertinentes, incluindo documentos de
orientação/apoio e outros requisitos;
 d) mudanças no setor ou disciplinas.
53
 NM ISO 19011:2018

Anexo A
(informativo)

Orientación adicional destinada a los auditores que planifican y realizan las auditorías

Orientação adicional para auditores planejarem e conduzirem auditorias

A.1 Aplicación de los métodos de auditoría A.1 Aplicando os métodos de auditoria

Una auditoría puede realizarse usando una
variedad de métodos de auditoría. En este anexo
puede encontrarse una explicación de los métodos
de auditoría usados comúnmente. Los métodos de
auditoría elegidos para una auditoría dependen de
los objetivos de la auditoría, el alcance y los
criterios definidos, así como de la duración y la
ubicación. También deberían considerarse la
competencia disponible de los auditores y cualquier
incertidumbre que surja de la aplicación de los
métodos de auditoría. Aplicar una variedad y
combinación de diferentes métodos de auditoría
puede optimizar la eficiencia y eficacia del proceso
de auditoría y sus resultados.
Uma auditoria pode ser realizada usando uma
variedade de métodos de auditoria. Uma explicação
sobre os métodos mais comuns usados em
auditoria pode ser encontrada neste Anexo. Os
métodos de auditoria escolhidos para uma auditoria
dependem dos objetivos, escopo e critérios de
auditoria estabelecidos, assim como da duração e
localização. Convém que a disponibilidade do
auditor com competência e qualquer incerteza que
surja da aplicação dos métodos de auditoria sejam
também consideradas. Aplicar uma variedade e
combinação de diferentes métodos de auditoria
pode otimizar a eficiência e a eficácia do processo
de auditoria e do seu resultado.

La realización de una auditoría implica una
interacción entre personas dentro del sistema de
gestión que se audita y la tecnología utilizada para
llevar a cabo la auditoría. La Tabla A.1 proporciona
ejemplos de métodos de auditoría que pueden
usarse, por separado o en combinación, para lograr
los objetivos de la auditoría. Si una auditoría
supone el uso de un equipo auditor con múltiples
miembros, pueden usarse métodos in situ y
métodos remotos simultáneamente.
O desempenho de uma auditoria envolve uma
interação entre pessoas no sistema de gestão que
está sendo auditado e a tecnologia usada para
conduzir a auditoria. A Tabela A.1 fornece
exemplos de métodos de auditoria que podem ser
usados, individualmente ou em combinação, para
alcançar os objetivos de auditoria. Se uma auditoria
envolver o uso de uma equipe de auditoria com
múltiplos membros, métodos presenciais ou
remotos podem ser usados simultaneamente.

NOTA Se proporciona información adicional sobre visitar las NOTA Informação adicional para visitar locais físicos é dada em
ubicaciones físicas en A.15. A.15.

54
NM ISO 19011:2018

Tabla A.1 - / Tabela A.1 –

Métodos de auditoría / Métodos de auditoria

Grado de interacción Ubicación del auditor / Localização do auditor

entre el auditor
y el auditado /
Extensão do In situ / No local A distancia / Remoto
envolvimento entre o
auditor e o auditado
Realizar entrevistas / Conduzir entrevistas A través de medios de comunicación interactivos:/
Completar listas de verificación y Por meios de comunicação interativa:
cuestionarios con la participación del — realizar entrevistas / conduzir entrevistas;
auditado / Preencher listas de verificação e — observar el trabajo realizado con un guía a
questionários com a participação do auditado distancia / observar trabalho realizado com
Revisar los documentos con la guia remoto;
Interacción humana / participación del auditado / Conduzir — completar listas de verificación y cuestionarios
Interação humana análise crítica documental com a / preencher listas de verificação e
participação do auditado questionários;
Muestrear / Amostrar — revisar los documentos con la participación del
auditado / conduzir análise crítica documental
com a participação do auditado.
Revisar los documentos (por ejemplo, Revisar los documentos (por ejemplo, registros,
registros, análisis de datos) / Conduzir análisis de datos) / Conduzir análise crítica
análise crítica documental documental (por exemplo, registros, análise de
(por exemplo, registros, análise de dados) dados)
Observar el trabajo desempeñado / Observar el trabajo desempeñado a través de
Observar trabalho realizado medios de vigilancia, considerando los requisitos
Sin interacción sociales y legales / Observar o trabalho realizado
Realizar visitas al sitio / Conduzir visita no
humana / Sem por meios de monitoramento, considerando
local
interação humana requisitos sociais, estatutários e regulamentares.
Completar listas de verificación / Preencher
listas de verificação Analizar los datos / Analisar dados.

Muestrear (por ejemplo, productos) /

Amostrar (por exemplo, produtos)
Las actividades de auditoría in situ se realizan en las instalaciones del auditado. Las actividades de auditoría a distancia
se realizan en cualquier otro lugar distinto de las instalaciones del auditado, sin tener en cuenta la distancia. / Atividades
presenciais de auditoria são realizadas no local do auditado. Atividades de auditoria remota são realizadas em qualquer
local que não o local do auditado, independentemente da distância.
Las actividades de auditoría interactivas implican la interacción entre el personal del auditado y el equipo auditor. Las
actividades de auditoría no interactivas no implican la interacción humana con las personas que representan al auditado,
pero implican la interacción con los equipos, las instalaciones y la documentación. / Atividades de auditoria interativa
envolvem a interação entre o pessoal do auditado e a equipe de auditoria. Atividades de auditoria não interativa não
envolvem interação humana com pessoas que representam o auditado, mas envolvem interação com o equipamento,
facilities e documentação.

La responsabilidad de la aplicación eficaz de los A responsabilidade pela aplicação eficaz dos

métodos de auditoría para cualquier auditoría dada
en la etapa de planificación recae en las personas
responsables de la gestión del programa de
auditoría o en el líder del equipo auditor. El líder del
equipo auditor es responsable de realizar las
actividades de auditoría.
métodos de auditoria para qualquer auditoria no
estágio de planejamento permanece com a(s)
pessoa(s) que gerencia(m) o programa de auditoria
ou com o líder da equipe de auditoria. O líder da
equipe de auditoria tem esta responsabilidade de
conduzir as atividades de auditoria.

La viabilidad de las actividades de auditoría a A viabilidade das atividades de auditoria remota

distancia puede depender de varios factores (por
ejemplo, el nivel de riesgo para el logro de los
objetivos de la auditoría, el nivel de confianza que
existe entre el auditor y el personal del auditado, y
los requisitos reglamentarios).
pode depender de vários fatores (por exemplo, o
nível de risco em alcançar os objetivos de auditoria,
o nível de confiança entre o auditor e o pessoal do
auditado e os requisitos regulamentares).

55

En lo que respecta al programa de auditoría,
debería asegurarse que el uso de la aplicación a
distancia e in situ de los métodos de auditoría es
adecuado y equilibrado, para asegurar el logro
satisfactorio de los objetivos del programa de
auditoría.
A.2 Enfoque a procesos para la auditoría
El uso de un “enfoque a procesos” es un requisito
para todas las normas de sistemas de gestión de
ISO de acuerdo con las Directivas ISO/IEC, Parte
1, Anexo SL. Los auditores deberían comprender
que auditar un sistema de gestión es auditar los
procesos de una organización y sus interacciones
en relación con una o más normas de sistemas de
gestión. Se logran resultados coherentes y
predecibles de manera más eficaz y eficiente
cuando las actividades se comprenden y se
gestionan como procesos interrelacionados que
funcionan como un sistema coherente.
A.3 Juicio profesional
Los auditores deberían aplicar su juicio profesional
durante el proceso de auditoría y evitar
concentrarse en los requisitos específicos de cada
capítulo de la norma en detrimento de alcanzar el
resultado previsto del sistema de gestión. Algunos
capítulos de las normas de sistemas de gestión de
ISO no se prestan fácilmente a la auditoría en
términos de comparación entre un conjunto de
criterios y el contenido de un procedimiento o una
instrucción de trabajo. En estas situaciones, los
auditores deberían usar su juicio profesional para
determinar si la intención del capítulo se ha
cumplido.
A.4 Resultados del desempeño
Los auditores deberían centrarse en el resultado
previsto del sistema de gestión a lo largo del
proceso de auditoría. Aunque son importantes los
procesos y lo que deberían lograr, lo que cuenta es
el resultado del sistema de gestión y su
desempeño. También es importante considerar el
nivel de integración de los diferentes sistemas de
gestión y sus resultados previstos.
La ausencia de un proceso o de documentación
puede ser importante en una organización de alto
riesgo o compleja, pero no tan importante en otras
organizaciones.
A.5 Verificación de la información
En la medida de lo posible, los auditores deberían
considerar si la información proporciona evidencia
objetiva suficiente para demostrar que se han
cumplido los requisitos, como ser:
56
NM ISO 19011:2018
No nível do programa de auditoria, convém que
seja assegurado que o uso de aplicação remota ou
presencial de métodos de auditoria seja adequado
e equilibrado, para assegurar um alcance
satisfatório dos objetivos do programa de auditoria.
A.2 Abordagem de processo para auditar
O uso de uma “abordagem de processo” é um
requisito para todas normas de sistema de gestão
da ISO de acordo com a ISO/IEC Directives, Part 1,
Annex SL. Convém que os auditores entendam que
auditar um sistema de gestão é auditar processos
de uma organização e suas interações em relação
a uma ou mais normas de sistema de gestão.
Resultados coerentes e previsíveis são alcançados
mais eficaz e eficientemente quando atividades são
entendidas e gerenciadas como processos inter-
relacionados que funcionam como um sistema
coerente.
A.3 Julgamento profissional
Convém que os auditores apliquem julgamento
profissional durante o processo de auditoria e
evitem se concentrar em requisitos específicos de
cada Seção da norma, às expensas de alcançar o
resultado pretendido do sistema de gestão.
Algumas Seções de normas de sistema de gestão
da ISO não se prestam prontamente à auditoria em
termos de comparação entre um conjunto de
critérios e o conteúdo de um procedimento ou
instrução de trabalho. Nestas situações, convém
que os auditores usem seu julgamento profissional
para determinar se a intenção da Seção foi
atendida.
A.4 Resultados de desempenho
Convém que os auditores estejam focados no
resultado pretendido do sistema de gestão ao longo
do processo de auditoria. Enquanto processos e o
que eles alcançam são importantes, o resultado do
sistema de gestão e o seu desempenho são o que
conta. Também é importante considerar o nível da
integração de diferentes sistemas de gestão e seus
resultados pretendidos.
A ausência de um processo ou documentação pode
ser importante em uma organização de alto risco ou
complexa, mas não tão significativa em outras
organizações.
A.5 Verificando a informação
Até onde praticável, convém que os auditores
considerem se a informação fornece evidência
objetiva suficiente para demonstrar que os
requisitos estão sendo atendidos, assim como se a
informação é:
NM ISO 19011:2018
a) completa (todo el contenido esperado está en la
información documentada);
b) correcta (el contenido es conforme con otras
fuentes fiables, tales como normas y reglamentos);
c) coherente (la información documentada es
coherente consigo misma y con documentos
relacionados);
d) actual (el contenido está actualizado).
También debería tenerse en cuenta si la
información que se está verificando proporciona
evidencia objetiva suficiente para demostrar que se
han cumplido los requisitos.
Si se proporciona información de una manera
distinta a la esperada (por ejemplo, por personas
diferentes, medios alternativos), debería evaluarse
la integridad de la evidencia.
Se necesita un cuidado específico para la
seguridad de la información debido a los
reglamentos aplicables sobre protección de datos
(en particular, para la información que queda fuera
del alcance de la auditoría pero que también está
contenida en el documento).
A.6 Muestreo
A.6.1 Generalidades
El muestreo para la auditoría tiene lugar cuando no
es práctico o no es rentable examinar toda la
información disponible durante la auditoría, por
ejemplo, los registros son demasiado numerosos o
están demasiado dispersos geográficamente para
justificar el examen de cada elemento de la
población. El muestreo para la auditoría de una
población grande es el proceso de seleccionar
menos del 100% de los elementos dentro del
conjunto total de datos disponibles (población) para
obtener y evaluar la evidencia sobre alguna
característica de esa población, para formar una
conclusión sobre la población.
El objetivo del muestreo de la auditoría es
proporcionar información para que el auditor tenga
confianza en que los objetivos de la auditoría
pueden lograrse o se lograrán.
El riesgo asociado con el muestreo es que las
muestras pueden no ser representativas de la
población de la que se seleccionan. Por tanto, la
conclusión del auditor puede estar sesgada y ser
diferente de la que se alcanzaría si se examinara
toda la población. Puede haber otros riesgos
dependiendo de la variabilidad dentro de la
población de la que se va a realizar el muestreo y
del método elegido.
 a) completa (todo o conteúdo esperado está
contido na informação documentada);
 b) correta (o conteúdo está conforme com outras
fontes confiáveis, como normas e
regulamentações);
 c) coerente (a informação documentada é coerente
em si e coerente com documentos relacionados);
 d) atual (o conteúdo está atualizado).
Convém que seja também considerado se a
informação que está sendo verificada fornece
evidência objetiva suficiente para demonstrar que
requisitos estão sendo atendidos.
Se informação for fornecida de uma maneira
diferente da esperada (por exemplo, por pessoas
diferentes, meios alternativos), convém que a
integridade da evidência seja avaliada.
Cuidado específico é necessário para a segurança
da informação devido a regulamentações
aplicáveis à proteção de dados (em particular para
informação que esteja fora do escopo da auditoria,
mas que também está contida neste documento).
A.6 Amostragem
A.6.1 Generalidades
Amostragem de auditoria é realizada quando não é
prático ou oneroso examinar todas as informações
disponíveis durante uma auditoria, por exemplo,
registros são muito numerosos ou muito dispersos
geograficamente para justificar o exame de cada
item na população. Amostragem de auditoria de
uma grande população é o processo de selecionar
menos de 100 % dos itens no conjunto total de
dados disponíveis (população) para obter e avaliar
evidências sobre alguma característica daquela
população, para formar uma conclusão relativa à
população.
O objetivo da amostragem de auditoria é fornecer
informação para que o auditor tenha confiança de
que os objetivos de auditoria podem ser ou serão
alcançados.
O risco associado à amostragem é que as amostras
podem não ser representativas da população da
qual elas são selecionadas. Portanto, a conclusão
do auditor pode ser tendenciosa e diferente daquela
que seria alcançada se a população inteira fosse
examinada. Pode haver outros riscos, dependendo
da variabilidade na população a ser amostrada e do
método escolhido.
57

El muestreo para la auditoría generalmente implica
los siguientes pasos:
a) establecer los objetivos de muestreo;
b) seleccionar la extensión y la composición de la
población de la que se va a realizar el muestreo;
c) seleccionar un método de muestreo;
d) determinar el tamaño de la muestra a tomar;
e) llevar a cabo la actividad de muestreo;
f) recopilar, evaluar, informar y documentar los
resultados.
Al realizar el muestreo, debería considerarse la
calidad de los datos disponibles, ya que un
muestreo de datos insuficientes o imprecisos no
dará un resultado útil. La selección de una muestra
apropiada debería basarse en el método de
muestreo y en el tipo de datos requeridos, por
ejemplo, para inferir un patrón de comportamiento
particular o realizar inferencias sobre una
población.
El informe de la muestra seleccionada podría tener
en cuenta el tamaño de la muestra, el método de
selección y las estimaciones hechas basadas en la
muestra y el nivel de confianza.
Las auditorías pueden utilizar el muestreo basado
en juicio (véase A.6.2) o muestreo estadístico
(véase A.6.3).
A.6.2 Muestreo basado en juicio
El muestreo basado en juicio depende de la
competencia y la experiencia del equipo auditor
(véase el Capítulo 7).
Para el muestreo basado en juicio puede
considerarse lo siguiente:
a) la experiencia de auditorías previas dentro del
alcance de la auditoría;
b) la complejidad de los requisitos (incluyendo los
requisitos legales y reglamentarios) para lograr los
objetivos de la auditoría;
c) la complejidad e interacción de los procesos de
la organización y los elementos del sistema de
gestión;
d) el grado de cambio en la tecnología, el factor
humano o el sistema de gestión;
e) los riesgos y oportunidades significativos
previamente identificados para la mejora;
58
NM ISO 19011:2018
A amostragem de auditoria usualmente envolve os
seguintes passos:
 a) estabelecer os objetivos da amostragem;
 b) selecionar a extensão e a composição da
população a ser amostrada;
 c) selecionar um método de amostragem;
 d) determinar o tamanho da amostra a ser tomada;
 e) conduzir a atividade de amostragem;
 f) compilar, avaliar, relatar e documentar
resultados.
Quando da amostragem, convém que seja dada
consideração à qualidade dos dados disponíveis,
uma vez que amostragem insuficiente e dados
imprecisos não fornecerão um resultado útil.
Convém que a seleção de uma amostra apropriada
seja baseada no método de amostragem e no tipo
de dados requeridos, por exemplo, para inferir um
padrão particular de comportamento ou extrair
inferências sobre uma população.
Relatar a amostra selecionada pode levar em conta
o tamanho da amostra, método de seleção e
estimativas feitas com base na amostra e no nível
de confiança.
Auditorias podem usar amostragem com base em
julgamento (ver A.6.2) ou amostragem estatística
(ver A.6.3).
A.6.2 Amostragem com base em julgamento
Amostragem com base em julgamento depende da
competência e experiência da equipe de auditoria
(ver Seção 7).
Para amostrar com base em julgamento, pode ser
considerado o seguinte:
 a) experiência anterior de auditoria no escopo de
auditoria;
 b) complexidade de requisitos (incluindo requisitos
estatutários e regulamentares) para alcançar os
objetivos de auditoria;
 c) complexidade e interação dos processos da
organização e elementos do sistema de gestão;
 d) grau de mudança em tecnologia, fator humano
ou sistema de gestão;
 e) riscos significativos e oportunidades para
melhoria, identificados previamente;
NM ISO 19011:2018
f) la salida del seguimiento de los sistemas de
gestión.
Un inconveniente del muestreo basado en juicio es
que puede no haber una estimación estadística del
efecto de la incertidumbre en los hallazgos de la
auditoría y en las conclusiones alcanzadas.
A.6.3 Muestreo estadístico
Si se decide utilizar muestreo estadístico, el plan de
muestreo debería basarse en los objetivos de la
auditoría y en lo que se conoce sobre las
características de la población global de la que se
toman las muestras.
El diseño del muestreo estadístico utiliza un
proceso de selección de la muestra basado en la
teoría de la probabilidad. El muestreo basado en
atributos se usa cuando sólo hay dos posibles
resultados muestrales para cada muestra (por
ejemplo, correcto/incorrecto o apto/no apto). El
muestreo basado en variables se utiliza cuando el
resultado de la muestra se da en un rango continuo.
El plan de muestreo debería tener en cuenta si es
probable que los resultados que se examinan estén
basados en atributos o basados en variables. Por
ejemplo, cuando se evalúa la conformidad de los
formularios completados con los requisitos
establecidos en un procedimiento, podría usarse un
enfoque basado en atributos. Cuando se examina
la ocurrencia de incidentes de inocuidad de los
alimentos o el número de infracciones de
seguridad, es probable que sea más apropiado un
enfoque basado en variables.
Los elementos que pueden afectar al plan de
muestreo de la auditoría son:
a) el contexto, tamaño, naturaleza y complejidad de
la organización;
b) el número de auditores competentes;
c) la frecuencia de las auditorías;
d) la duración de la auditoría individual;
e) cualquier nivel de confianza requerido
externamente;
f) la ocurrencia de eventos indeseables y/o
inesperados.
Cuando se desarrolla un plan de muestreo
estadístico, el nivel de riesgo muestral que el
auditor está dispuesto a aceptar es una
consideración importante. A veces, esto se
denomina nivel de confianza aceptable. Por
 f) saída de monitoramento de sistemas de gestão.
Um obstáculo para a amostragem com base em
julgamento é que pode não existir estimativa
estatística do efeito da incerteza nas constatações
da auditoria e nas conclusões alcançadas.
A.6.3 Amostragem estatística
Se for decidido usar amostragem estatística,
convém que o plano de amostragem seja baseado
nos objetivos de auditoria e no que é conhecido
sobre as características da população global da
qual é para as amostras devem serem coletadas.
O projeto de amostragem estatística usa um
processo de seleção de amostra baseado na teoria
da probabilidade. Amostragem com base em
atributo é usada quando há apenas dois possíveis
resultados para cada amostra (por exemplo,
correta/incorreta ou aprovada/reprovada).
Amostragem com base em variável é usada quando
os resultados da amostra ocorrem em um intervalo
contínuo.
Convém que o plano de amostragem leve em conta
se os resultados que estão sendo examinados têm
probabilidade de serem baseados em atributo ou
baseados em variável. Por exemplo, ao avaliar
conformidade de formulários preenchidos em
relação aos requisitos estabelecidos em um
procedimento, pode ser usada uma abordagem
com base em atributo. Ao examinar a ocorrência de
incidentes de segurança de alimentos ou o número
de violações de segurança, uma abordagem com
base em variável seria provavelmente mais
apropriada.
Elementos que podem afetar o plano de
amostragem de auditoria são:
 a) contexto, tamanho, natureza e complexidade da
organização;
 b) número de auditores competentes;
 c) frequência de auditorias;
 d) tempo de auditoria individual;
 e) qualquer nível de confiança externamente
requerido;
 f) ocorrência de eventos indesejáveis e/ou
inesperados.
Quando um plano de amostragem estatística é
desenvolvido, o nível de risco de amostragem que
o auditor está disposto a aceitar é uma
consideração importante. Isto é sempre referido
como o nível de confiança aceitável. Por exemplo,
59

ejemplo, un riesgo muestral del 5% corresponde a
un nivel de confianza aceptable del 95%. Un riesgo
muestral del 5% significa que el auditor está
dispuesto a aceptar el riesgo de que 5 de cada 100
(o 1 de cada 20) de las muestras examinadas no
reflejará los valores reales que se verían si se
examinara toda la población.
Cuando se utiliza el muestreo estadístico, los
auditores deberían documentar apropiadamente el
trabajo realizado. Esto debería incluir una
descripción de la población que se pretende
muestrear, los criterios de muestreo utilizados para
la evaluación (por ejemplo, qué es una muestra
aceptable), los parámetros estadísticos y los
métodos que se utilizaron, el número de muestras
evaluadas y los resultados obtenidos.
A.7 Auditoría del cumplimiento dentro de
un sistema de gestión
El equipo auditor debería considerar si el auditado
dispone de procesos eficaces para:
a) identificar sus requisitos legales y reglamentarios
y otros requisitos con los que está comprometido;
b) gestionar sus actividades, productos y servicios
para lograr el cumplimiento de estos requisitos;
c) evaluar su estado de cumplimiento.
Además de la orientación genérica proporcionada
en este documento, al evaluar los procesos que el
auditado ha implementado para asegurar el
cumplimiento de los requisitos pertinentes, el
equipo auditor debería tener en consideración si el
auditado:
1) dispone de un proceso eficaz para identificar
cambios en los requisitos de cumplimiento y para
considerarlos como parte de la gestión del cambio;
2) dispone de personas competentes para
gestionar sus procesos de cumplimiento;
3) mantiene y proporciona la información
documentada apropiada sobre su estado de
cumplimiento según lo requieran los organismos
reglamentarios y otras partes interesadas;
4) incluye los requisitos de cumplimiento en su
programa de auditoría interna;
5) trata todas las instancias de no cumplimiento;
6) tiene en consideración el desempeño del
cumplimiento en sus revisiones por la dirección.
60
NM ISO 19011:2018
um risco de amostragem de 5 % corresponde a um
nível de confiança aceitável de 95 %. Um risco de
amostragem de 5 % significa que o auditor está
disposto a aceitar o risco que 5 em um total de 100
(ou 1 em 20) das amostras examinadas não
refletirão os valores reais que seriam vistos se a
população inteira fosse examinada.
Quando amostragem estatística é usada, convém
que os auditores documentem apropriadamente o
trabalho realizado. Convém que isso inclua uma
descrição da população que se destina a ser
amostrada, os critérios de amostragem usados
para a avaliação (por exemplo, o que é uma
amostra aceitável), os parâmetros e métodos
estatísticos que foram utilizados, o número de
amostras avaliadas e os resultados obtidos.
A.7 Auditoria de compliance em um sistema
de gestão
Convém que a equipe de auditoria considere se o
auditado possui processos eficazes para:
 a) identificar seus requisitos estatutários e
regulamentares e outros requisitos com os quais
esteja comprometido;
 b) gerenciar suas atividades, produtos e serviços
para alcançar compliance com estes requisitos;
 c) avaliar sua situação de compliance.
Adicionalmente à orientação genérica dada neste
documento, ao avaliar os processos que o auditado
implementou para assegurar compliance com
requisitos pertinentes, convém que a equipe de
auditoria considere se o auditado:
 1) tem um processo eficaz para identificar
mudanças em requisitos de compliance e para
considerá-las parte do gerenciamento de mudança;
 2) tem pessoas competentes para gerenciar seus
processos de compliance;
 3) mantém e fornece informação documentada
apropriada sobre sua situação de compliance,
como requerido por reguladores ou outras partes
interessadas;
 4) inclui requisitos de compliance em seu programa
de auditoria internas;
 5) aborda quaisquer situações de não compliance;
 6) considera desempenho de compliance em suas
análises críticas pela direção.
NM ISO 19011:2018
A.8 Auditoría del contexto
Muchas normas de sistemas de gestión requieren
que una organización determine su contexto,
incluyendo las necesidades y expectativas de las
partes interesadas pertinentes y las cuestiones
externas e internas. Para hacer esto, una
organización puede usar varias técnicas de análisis
y planificación estratégicas.
Los auditores deberían confirmar que se han
desarrollado los procesos adecuados para esto, y
que se usan eficazmente, de manera que sus
resultados proporcionan una base fiable para
determinar el alcance y el desarrollo del sistema de
gestión. Para hacer esto, los auditores deberían
tener en consideración la evidencia objetiva relativa
a lo siguiente:
a) los procesos o métodos usados;
b) la idoneidad y la competencia de las personas
que contribuyen a los procesos;
c) los resultados de los procesos;
d) la aplicación de los resultados para determinar el
alcance y el desarrollo del sistema de gestión;
e) las revisiones periódicas del contexto, según sea
apropiado.
Los auditores deberían tener el conocimiento
pertinente específico del sector y una comprensión
de las herramientas de gestión que las
organizaciones pueden usar con el fin de hacer
juicios con respecto a la eficacia de los procesos
usados para determinar el contexto.
A.9 Auditoría del liderazgo y el compromiso
Muchas normas de sistemas de gestión tienen
requisitos adicionales para la alta dirección.
Estos requisitos incluyen demostrar el compromiso
y el liderazgo mediante la toma de
responsabilidades sobre la eficacia del sistema de
gestión y el cumplimiento de una serie de
responsabilidades. Estas incluyen tareas que la alta
dirección debería asumir por sí misma y otras que
pueden delegarse.
Los auditores deberían obtener evidencia objetiva
del grado en el que la alta dirección está implicada
en la toma de decisiones relativas al sistema de
gestión y la manera en que demuestra el
compromiso para asegurar su eficacia. Esto puede
lograrse revisando los resultados de los procesos
pertinentes (por ejemplo las políticas, los objetivos,
los recursos disponibles, las comunicaciones de la
A.8 Contexto de auditoria
Muitas normas de sistemas de gestão requerem
que uma organização determine seu contexto,
incluindo as necessidades e expectativas de partes
interessadas pertinentes e questões externas e
internas. Para fazer isto, uma organização pode
usar várias técnicas para análise e planejamento
estratégicos.
Convém que os auditores confirmem que
processos adequados foram desenvolvidos para
isto e são usados eficazmente, de modo que seus
resultados forneçam uma base confiável para
determinar o escopo e o desenvolvimento do
sistema de gestão. Para fazer isso, convém que os
auditores considerem evidência objetiva
relacionada ao seguinte:
 a) processo(s) ou método(s) usado(s);
 b) adequação e competência das pessoas que
contribuem para o(s) processo(s);
 c) resultados do(s) processo(s);
 d) aplicação dos resultados para determinar o
escopo e o desenvolvimento do sistema de gestão;
 e) análise crítica periódica de contexto, conforme
apropriado.
Convém que os auditores tenham conhecimento de
setor específico pertinente e entendimento das
ferramentas de gestão que organizações podem
usar para fazer um julgamento relativo à eficácia
dos processos usados para determinar o contexto.
A.9 Auditoria de liderança e
comprometimento
Muitas normas de sistema de gestão aumentaram
os requisitos para a Alta Direção.
Estes requisitos incluem demonstrar
comprometimento e liderança, assumindo a
responsabilidade por prestar contas pela eficácia
do sistema de gestão e cumprir diversas
responsabilidades. Convém que isto inclua tarefas
que a Alta Direção assuma e outras que podem ser
delegadas.
Convém que os auditores obtenham evidência
objetiva sobre o grau de envolvimento da Alta
Direção na tomada de decisão relacionada ao
sistema de gestão e como ela demonstra
comprometimento para assegurar sua eficácia. Isto
pode ser alcançado analisando criticamente os
resultados de processos pertinentes (por exemplo,
políticas, objetivos, recursos disponíveis,
61

alta dirección) y entrevistando al personal para
determinar el grado de compromiso de la alta
dirección.
Los auditores también deberían intentar entrevistar
a la alta dirección para confirmar que tienen una
comprensión adecuada de las cuestiones
específicas de la disciplina pertinentes para su
sistema de gestión, junto con el contexto en el que
opera su organización, de manera que puedan
asegurar que el sistema de gestión alcanza sus
resultados previstos.
Los auditores no deberían centrarse en el liderazgo
sólo al nivel de la alta dirección, sino que deberían
auditar el liderazgo y el compromiso a otros niveles
de dirección, según sea apropiado.
A.10 Auditoría de riesgos y oportunidades
La determinación y la gestión de los riesgos y
oportunidades de la organización pueden incluirse
como parte de la asignación de una auditoría
individual. Los objetivos principales para una
asignación de una auditoría de este tipo son:
- asegurar la credibilidad de los procesos de
identificación de riesgos y oportunidades;
- asegurarse de que los riesgos y oportunidades se
determinan y gestionan correctamente;
- revisar la manera en que la organización aborda
los riesgos y oportunidades que ha determinado.
Una auditoría del enfoque de una organización a la
determinación de riesgos y oportunidades no
debería desempeñarse como una actividad aislada.
Debería estar implícita durante toda la auditoría de
un sistema de gestión, incluso durante la entrevista
con la alta dirección. Un auditor debería actuar de
acuerdo con los siguientes pasos y recopilar
evidencias objetivas de la siguiente manera:
a) entradas usadas por la organización para
determinar sus riesgos y oportunidades, que
pueden incluir:
- el análisis de las cuestiones externas e
internas;
- la dirección estratégica de la organización;
- las partes interesadas relacionadas con su
sistema de gestión de la disciplina específica,
así como sus requisitos,
- las fuentes potenciales de riesgos como los
aspectos ambientales y los peligros para la
seguridad, etc.
62
NM ISO 19011:2018
comunicações da Alta Direção) e entrevistando
pessoal para determinar o grau de engajamento da
Alta Direção.
Convém que os auditores também visem
entrevistar a Alta Direção para confirmar se ela tem
um entendimento suficiente das questões da
disciplina específica pertinentes para seu sistema
de gestão, junto com o contexto em que sua
organização opera, para que ela possa assegurar
que o sistema de gestão alcance os seus
resultados pretendidos.
Não convém que os auditores apenas foquem na
liderança no nível da Alta Direção, mas convém
também auditar liderança e comprometimento em
outros níveis de gestão, conforme apropriado.
A.10 Auditoria de riscos e oportunidades
Como parte da atribuição de uma auditoria
individual, podem ser incluídas a determinação e a
gestão dos riscos e oportunidades da organização.
Os objetivos centrais para tal atribuição de auditora
são para:
- assegurar a credibilidade do(s) processo(s) de
identificação de riscos e oportunidades;
- assegurar que riscos e oportunidades sejam
corretamente determinados e gerenciados;
- analisar criticamente como a organização aborda
seus riscos e oportunidades determinados.
Não convém que uma auditoria da abordagem de
uma organização para a determinação de riscos e
oportunidades seja realizada como uma atividade
independente. Convém que esteja implícita durante
toda a auditoria de um sistema de gestão, inclusive
ao entrevistar a Alta Direção. Convém que um
auditor aja de acordo com os seguintes passos e
colete evidência objetiva como a seguir:
 a) entradas usadas pela organização para
determinar seus riscos e oportunidades, os quais
podem incluir:
- análise de questões internas e externas;
- direção estratégica da organização;
- partes interessadas, relacionadas ao seu
sistema de gestão de disciplina específica e aos
seus requisitos também;
- fontes potenciais de risco, como aspectos
ambientais e perigos de segurança etc.
NM ISO 19011:2018
b) método por el que se evalúan los riesgos y
oportunidades, que puede diferir entre disciplinas y
sectores.
El tratamiento que la organización hace de sus
riesgos y oportunidades, incluyendo el nivel de
riesgo que desea aceptar y la manera en que lo
controla, requerirá la aplicación de juicio profesional
por parte del auditor.
A.11 Ciclo de vida
Algunos sistemas de gestión específicos de una
disciplina requieren la aplicación de una
perspectiva de ciclo de vida a sus productos y
servicios. Los auditores no deberían considerar
esto como un requisito para adoptar un enfoque de
ciclo de vida. Una perspectiva de ciclo de vida
implica considerar el control y la influencia que la
organización tiene sobre las etapas del ciclo de vida
de sus productos y servicios. Las etapas en un ciclo
de vida incluyen la adquisición de materias primas,
el diseño, producción, transporte/entrega, uso,
tratamiento al final de la vida útil, y disposición final.
Este enfoque permite a la organización identificar
aquellas áreas en las que, al considerar su alcance,
puede minimizar su impacto en el medio ambiente
al tiempo que añade valor a la organización. El
auditor debería usar su juicio profesional sobre la
manera en que la organización ha aplicado la
perspectiva de ciclo de vida en términos de su
estrategia y de:
a) la vida del producto o servicio;
b) la influencia de la organización sobre la cadena
de suministro;
c) la longitud de la cadena de suministro;
d) la complejidad tecnológica del producto.
Cuando una organización ha combinado varios
sistemas de gestión en un único sistema de gestión
para cumplir sus propias necesidades, el auditor
debería observar cuidadosamente cualquier
superposición concerniente a la consideración del
ciclo de vida.
A.12 Auditoría de la cadena de suministro
Puede requerirse la auditoría de la cadena de
suministro para requisitos específicos. El programa
de auditoría del proveedor debería desarrollarse
con los criterios de auditoría aplicables para el tipo
de suministradores y proveedores externos. El
alcance de la auditoría de la cadena de suministro
puede diferir, por ejemplo, auditoría del sistema de
gestión completo, auditoría de un único proceso,
auditoría de un producto, auditoría de la
configuración.
 b) método pelo qual riscos e oportunidades são
avaliados, que pode variar entre disciplinas e
setores.
O tratamento da organização de seus riscos e
oportunidades, incluindo o nível do risco que ela
deseja aceitar e como ele é controlado, requererá a
aplicação de julgamento profissional pelo auditor.
A.11 Ciclo de vida
Alguns sistemas de gestão de disciplinas
específicas requerem a aplicação de uma
perspectiva de ciclo de vida para seus produtos e
serviços. Não convém que os auditores considerem
isto um requisito para adotar uma abordagem de
ciclo de vida. Uma perspectiva de ciclo de vida
envolve consideração do controle e influência que
a organização tem sobre os estágios do ciclo de
vida de seu produto e serviço. Estágios em um ciclo
de vida incluem a aquisição de matérias-primas,
projeto, produção, transporte/entrega, uso,
tratamento de fim de vida e descarte final. Esta
abordagem possibilita que a organização
identifique aquelas áreas onde, considerando seu
escopo, ela pode minimizar seu impacto no
ambiente enquanto adiciona valor à organização.
Convém que os auditores usem seu julgamento
profissional sobre como a organização aplicou uma
perspectiva de ciclo de vida em termos de sua
estratégia e:
 a) vida do produto ou serviço;
 b) influência da organização na cadeia de
suprimentos;
 c) comprimento da cadeia de suprimentos;
 d) complexidade tecnológica do produto.
Se uma organização tiver combinado vários
sistemas de gestão em um único sistema de gestão
para atender as suas próprias necessidades,
convém que o auditor olhe cuidadosamente para
qualquer sobreposição relativa à consideração do
ciclo de vida.
A.12 Auditoria da cadeia de suprimento
A auditoria da cadeia de suprimentos em relação
aos requisitos específicos pode ser requerida.
Convém que o programa de auditoria do fornecedor
seja desenvolvido com critérios de auditoria
aplicáveis para o tipo de fornecedores e
fornecedores externos. O escopo da auditoria da
cadeia de suprimentos pode variar, por exemplo,
auditoria completa do sistema de gestão, auditoria
de processo único, auditoria de produto, auditoria
de configuração.
63
 NM ISO 19011:2018

A.13 Preparación de los documentos de A.13 Preparando documentos de trabalho

trabajo de auditoría de auditoria

Al preparar los documentos de trabajo de auditoría, Ao preparar documentos de trabalho de auditoria,

el equipo auditor debería considerar las siguientes convém que a equipe de auditoria considere as
preguntas para cada documento. questões abaixo para cada documento.

a) ¿Qué registro de auditoría se creará utilizando  a) Qual registro de auditoria será criado usando
este documento de trabajo? este documento de trabalho?

b) ¿Con qué actividad de la auditoría está  b) Qual atividade de auditoria está ligada a este
relacionado este documento de trabajo en documento de trabalho específico?
particular?

c) ¿Quién será el usuario de este documento de  c) Quem será o usuário deste documento de
trabajo? trabalho?

d) ¿Qué información se necesita para preparar este  d) Qual informação é necessária para preparar este
documento de trabajo? documento de trabalho?

Para las auditorías combinadas, deberían Para auditorias combinadas, convém que
desarrollarse documentos de trabajo para evitar la documentos de trabalho sejam desenvolvidos para
duplicación de actividades de auditoría mediante: evitar a duplicação de atividades de auditoria, por:

- la agrupación de requisitos similares provenientes - agrupamento de requisitos similares de diferentes

de criterios diferentes; critérios;

- la coordinación del contenido de listas de - coordenação do conteúdo de listas de verificação

verificación y cuestionarios relacionados. e questionários relacionados.

Los documentos de trabajo de auditoría deberían Convém que os documentos de trabalho de

ser adecuados para tratar todos aquellos elementos auditoria sejam suficientes para abordar todos
del sistema de gestión dentro del alcance de la aqueles elementos do sistema de gestão no escopo
auditoría y pueden facilitarse en cualquier medio. de auditoria e que possam ser fornecidos em
qualquer mídia.

A.14 Selección de las fuentes de A.14 Selecionando fontes de informação

información

Las fuentes de información seleccionadas pueden As fontes de informação selecionadas podem variar
variar de acuerdo con el alcance y la complejidad de acordo com o escopo e a complexidade da
de la auditoría y pueden incluir lo siguiente: auditoria, e podem incluir o seguinte:

a) entrevistas con empleados y con otras personas;  a) entrevistas com empregados e outras pessoas;

b) observación de actividades y el ambiente de  b) observações de atividades e do ambiente de

trabajo y condiciones circundantes; trabalho e condições ao redor;

c) información documentada, como políticas,  c) informação documentada, como políticas,

objetivos, planes, procedimientos, normas, objetivos, planos, procedimentos, normas,
instrucciones, licencias y permisos, instruções, licenças e permissões, especificações,
especificaciones, planos, contratos y pedidos; desenhos, contratos e ordens de compra;

d) registros, tales como registros de inspección,  d) registros, como registros de inspeção, atas de
actas de reuniones, informes de auditoría, registros reuniões, relatórios de auditoria, registros de
de programas de seguimiento y resultados de programa de monitoramento e os resultados de
mediciones; medições;

e) resúmenes de datos, análisis e indicadores de  e) sumários de dados, análises e indicadores de

desempeño; desempenho;

64
NM ISO 19011:2018
f) información sobre los planes de muestreo del
auditado y sobre cualquier procedimiento para el
control de los procesos de muestreo y medición;
g) informes de otras fuentes, por ejemplo,
retroalimentación del cliente, encuestas y
mediciones externas, otra información pertinente
de partes externas y la calificación de los
proveedores externos;
h) bases de datos y sitios web;
i) simulaciones y modelizaciones.
A.15 Visita a la ubicación del auditado
Para minimizar la interferencia entre las actividades
de auditoría y los procesos de trabajo del auditado
y para asegurar la salud y la seguridad del equipo
auditor durante la visita, debería considerarse lo
siguiente:
a) Planificar la visita:
- asegurar la autorización y el acceso a aquellas
partes de la ubicación del auditado, para visitarlas
de acuerdo con el alcance de la auditoría;
- proporcionar la información adecuada a los
auditores sobre seguridad física, salud (por
ejemplo, cuarentena), cuestiones de seguridad y
salud en el trabajo y normas culturales y horas de
trabajo para la visita, incluyendo la vacunación y
autorizaciones requeridas y recomendadas, si es
aplicable;
- confirmar con el auditado que cualquier equipo de
protección personal (EPP) estará disponible para el
equipo auditor, si es aplicable;
- confirmar los acuerdos con el auditado sobre el
uso de dispositivos móviles y cámaras, incluyendo
la grabación de información como fotografías de
ubicaciones y equipos, copias de capturas de
pantalla o fotocopias de documentos, vídeos de
actividades y entrevistas, teniendo en cuenta las
cuestiones de seguridad y confidencialidad;
- excepto para auditorías ad hoc no programadas,
asegurarse de que el personal visitado será
informado sobre los objetivos y el alcance de la
auditoría.
b) Actividades in situ:
- evitar cualquier interrupción innecesaria de los
procesos operativos;
- asegurarse de que el equipo auditor está
utilizando el EPP correctamente (si procede);
 f) informação sobre os planos de amostragem do
auditado e sobre quaisquer procedimentos para o
controle de amostragem e processos de medição;
 g) relatórios de outras fontes, por exemplo,
feedback de clientes, medições e pesquisas
externas, outra informação pertinente de partes
externas e classificações de fornecedores
externos;
 h) base de dados e sites;
 i) simulação e modelagem.
A.15 Visitando a localização do auditado
Para minimizar a interferência entre atividades de
auditoria e os processos de trabalho do auditado, e
para assegurar a saúde e segurança da equipe de
auditoria durante uma visita, convém que seja
considerado o seguinte:
 a) Planejamento da visita:
- assegurar permissão e acesso àquelas partes da
localidade do auditado a serem visitadas, de acordo
com o escopo de auditoria;
- fornecer informação suficiente aos auditores sobre
segurança, saúde (por exemplo, quarentena),
assuntos de saúde ocupacional e segurança e
normas culturais e horário de trabalho para a visita,
incluindo vacinação e liberações requeridas e
recomendadas, se aplicável;
- confirmar com o auditado que qualquer
equipamento de proteção individual (EPI) requerido
estará disponível para a equipe de auditoria, se
aplicável;
- confirmar os arranjos com o auditado, relativos ao
uso de dispositivos celulares e câmeras, incluindo
gravar informação como fotografias de locais e
equipamento, cópias de captura de tela ou
fotocópias de documentos, vídeos de atividades e
entrevistas, levando em consideração assuntos de
segurança e confidencialidade;
- assegurar que o pessoal que está sendo visitado
será informado sobre o escopo e objetivos de
auditoria, exceto para auditorias ad hoc não
planejadas.
 b) Atividades presenciais:
- evitar qualquer distúrbio desnecessário dos
processos operacionais;
- assegurar que a equipe de auditoria esteja usando
EPI apropriadamente (se aplicável);
65

- asegurarse de que se comunican los
procedimientos de emergencia (por ejemplo,
salidas de emergencia, puntos de reunión);
- programar la comunicación para minimizar las
interrupciones;
- adaptar el tamaño del equipo auditor y el número
de guías y observadores de acuerdo con el alcance
de la auditoría, para evitar interferencias con los
procesos operativos tanto como sea posible;
- no tocar ni manipular ningún equipo, a menos que
se permita explícitamente, incluso cuando se tenga
la competencia o se esté autorizado;
- si tiene lugar un incidente durante la visita in situ,
el líder del equipo auditor debería revisar la
situación con el auditado y, si es necesario, con el
cliente de la auditoría y llegar a un acuerdo sobre si
la auditoría se debería interrumpir, volver a
programar o continuar;
- si se hacen copias de documentos en cualquier
medio, pedir permiso con antelación y considerar
las cuestiones de confidencialidad y seguridad;
- cuando se toman notas, evitar recopilar
información personal a menos que lo requieran los
objetivos de la auditoría o los criterios de auditoría.
c) Actividades de la auditoría virtual:
- asegurarse de que el equipo auditor está usando
los protocolos de acceso remoto acordados,
incluyendo los dispositivos, software, etc.
requeridos;
- si se toman copias de capturas de pantalla de
documentos de cualquier tipo, pedir permiso por
adelantado y considerar las cuestiones de
confidencialidad y seguridad, y evitar grabar a las
personas sin su permiso;
- si sucede un incidente durante el acceso remoto,
el líder del equipo auditor debería revisar la
situación con el auditado y, si es necesario, con el
cliente de la auditoría, y llegar a un acuerdo sobre
si la auditoría se debería interrumpir, reprogramar o
continuar;
- usar planos/diagramas de planta de la ubicación
remota como referencia;
- mantener el respeto a la privacidad durante las
pausas en la auditoría.
Es necesario tener en cuenta la disposición de la
información y de las evidencias de auditoría,
independientemente del tipo de medio, más
66
NM ISO 19011:2018
- assegurar que procedimentos de emergência
sejam comunicados (por exemplo, saídas de
emergência, pontos de encontro);
- agendar comunicação para minimizar
perturbações;
- adaptar o tamanho da equipe de auditoria e o
número de guias e observadores de acordo com o
escopo da auditoria, para evitar interferência com
os processos operacionais até onde praticável;
- não tocar ou manipular qualquer equipamento, a
menos que seja explicitamente permitido, mesmo
quando competente ou licenciado;
- se um incidente ocorrer durante a visita no local,
convém que o líder da equipe de auditoria analise
criticamente a situação com o auditado e, se
necessário, com o cliente da auditoria, para chegar
a um acordo sobre se convém que a auditoria seja
interrompida, reagendada ou continuada;
- no caso de fazer cópias de documentos em
qualquer meio, solicitar permissão com
antecedência e considerar assuntos de
confidencialidade e segurança;
- ao fazer anotações, evitar coletar informação
pessoal, a menos que requerido pelos objetivos de
auditoria ou pelos critérios de auditoria.
 c) Atividades de auditoria virtual:
- assegurar que a equipe de auditoria esteja usando
protocolos de acesso remoto incluindo dispositivos
requeridos, software etc.;
- se fizer cópias de captura de tela de documentos
de qualquer tipo, solicitar permissão com
antecedência e considerar assuntos de
confidencialidade e segurança, e evitar gravar
pessoas sem sua permissão;
- se um incidente ocorrer durante o acesso remoto,
convém que o líder da equipe de auditoria verifique
a situação com o auditado e, se necessário, com o
cliente de auditoria, e chegue a um acordo sobre se
convém que a auditoria seja interrompida,
reagendada ou continuada;
- usar plantas baixas/diagramas do local remoto
para referência;
- manter respeito à privacidade durante os
intervalos de auditoria.
É necessário considerar a disposição de
informação e a evidência de auditoria,
independentemente do tipo de mídia, em data
NM ISO 19011:2018
adelante, una vez que haya pasado la necesidad de
su conservación.
A.16 Auditoría de actividades y ubicaciones
virtuales
Las auditorías virtuales se realizan cuando una
organización desempeña trabajo o proporciona un
servicio usando un entorno en línea que permite a
las personas con independencia de la ubicación
física, ejecutar procesos (por ejemplo, la intranet de
la empresa, una “computación en la nube”). A veces
se refiere a la auditoría de una ubicación virtual
como auditoría virtual. Las auditorías remotas
hacen referencia al uso de tecnología para recopilar
información, entrevistar a un auditado, etc., cuando
los métodos “cara a cara” no son posibles o
deseables.
Una auditoría virtual sigue el proceso estándar de
auditoría a la vez que se usa la tecnología para
verificar las evidencias objetivas. El auditado y el
equipo auditor deberían asegurar los requisitos
tecnológicos apropiados para las auditorías
virtuales, que pueden incluir:
- asegurarse de que el equipo auditor está usando
los protocolos de acceso remoto acordados,
incluyendo los dispositivos, software, etc.
requeridos;
- realizar verificaciones técnicas antes de la
auditoría para resolver cuestiones técnicas;
- asegurarse de que se dispone de planes de
contingencia y de que se comunican (por ejemplo,
interrupción del acceso, uso de tecnologías
alternativas), incluyendo la provisión de tiempo
adicional para la auditoría si es necesario.
La competencia del auditor debería incluir:
- habilidades técnicas para usar los equipos
electrónicos apropiados y otras tecnologías durante
la auditoría;
- experiencia en facilitar reuniones virtualmente
para realizar la auditoría de manera remota.
Al llevar a cabo la reunión de apertura o la auditoría
virtual, el auditor debería tener en consideración los
siguientes elementos:
- los riesgos asociados con las auditorías virtuales
o remotas;
- usar planos/diagramas de planta de las
ubicaciones remotas como referencia o para
asignar información electrónica;
posterior, uma vez que a necessidade de sua
retenção tenha cessado.
A.16 Auditoria de atividades e locais
virtuais
Auditorias virtuais são conduzidas quando uma
organização realiza trabalho ou fornece um serviço
usando um ambiente online que permita que
pessoas executem processos independentemente
de locais físicos (por exemplo, intranet da
organização, uma “nuvem computacional”).
Auditoria de um local virtual é algumas vezes
referida como auditoria virtual. Auditorias remotas
se referem ao uso de tecnologia para coletar
informação, entrevistar um auditado etc., quando
métodos “cara a cara” não são possíveis ou
desejáveis.
Uma auditoria virtual segue o processo-padrão de
auditoria ao usar tecnologia para verificar evidência
objetiva. Convém que o auditado e a equipe de
auditoria assegurem requisitos apropriados de
tecnologia para auditorias virtuais, podendo incluir:
- assegurar que a equipe de auditoria esteja usando
protocolos de acesso remoto acordados, incluindo
dispositivos requeridos, software etc.;
- conduzir verificações técnicas antes da auditoria
para resolver questões técnicas;
- assegurar que planos de contingência estejam
disponíveis e sejam comunicados (por exemplo,
interrupção de acesso, uso de tecnologia
alternativa), incluindo provisão para tempo extra de
auditoria, se necessário.
Convém que a competência de auditor inclua:
- habilidades técnicas para usar equipamento
eletrônico apropriado e outra tecnologia ao auditar;
- experiência em facilitar reuniões virtuais para
conduzir a auditoria remotamente.
Ao conduzir a reunião de abertura ou auditar
virtualmente, convém que o auditor considere os
seguintes itens:
- riscos associados com auditorias virtuais ou
remotas;
- uso de plantas baixas/diagramas de locais
remotos para referência ou mapeamento de
informação eletrônica;
67

- facilitar la prevención de interferencias e
interrupciones en la señal por ruidos de fondo;
- pedir permiso por adelantado para tomar capturas
de pantalla de documentos o cualquier tipo de
grabación, y considerar las cuestiones de
confidencialidad y seguridad;
- asegurar la confidencialidad y la privacidad
durante las pausas en la auditoría, por ejemplo
silenciando los micrófonos, pausando las cámaras.
A.17 Realización de entrevistas
Las entrevistas son un medio importante para
recopilar información y deberían llevarse a cabo de
un modo adaptado a la situación y a la persona
entrevistada, sea cara a cara o por otros medios de
comunicación. Sin embargo, el auditor debería
considerar lo siguiente:
a) las entrevistas deberían mantenerse con
personas de los niveles y funciones apropiados que
desempeñan actividades o tareas dentro del
alcance de la auditoría;
b) las entrevistas normalmente deberían llevarse a
cabo durante la jornada de trabajo normal y, cuando
sea posible, en el lugar de trabajo normal de la
persona entrevistada;
c) debería intentarse que la persona entrevistada
esté cómoda antes de la entrevista y durante la
misma;
d) debería explicarse la razón de la entrevista y
cualquier toma de notas;
e) las entrevistas pueden iniciarse solicitando a las
personas que describan su trabajo;
f) debería seleccionarse cuidadosamente el tipo de
preguntas utilizado (por ejemplo, preguntas
abiertas, cerradas, inductivas, indagaciones
apreciativas);
g) tomar conciencia de la limitación en la
comunicación no verbal en los entornos virtuales;
en su lugar, debería hacerse hincapié en el tipo de
preguntas a usar para encontrar evidencias
objetivas;
h) los resultados de la entrevista deberían
resumirse y revisarse con la persona entrevistada;
i) debería agradecerse a las personas entrevistadas
su participación y cooperación.
68
NM ISO 19011:2018
- facilitação para a prevenção de perturbações e
interrupções de ruído de fundo;
- pedido de permissão com antecedência para fazer
cópias de captura de tela de documentos ou
qualquer tipo de gravações, considerando assuntos
de confidencialidade e segurança;
- asseguramento de confidencialidade e
privacidade durante os intervalos de auditoria, por
exemplo, silenciando microfones, pausando
câmeras.
A.17 Conduzindo entrevistas
Entrevistas são um meio importante de coletar
informação e convém que sejam realizadas de
maneira adaptada à situação e à pessoa
entrevistada, presencialmente ou por outros meios
de comunicação. Entretanto, convém que o auditor
considere o seguinte:
 a) convém que entrevistas sejam realizadas com
pessoas de níveis e funções apropriadas que
realizam atividades ou tarefas no escopo de
auditoria;
 b) convém que entrevistas sejam normalmente
conduzidas durante o horário normal de trabalho e,
quando praticável, no local de trabalho da pessoa
que está sendo entrevistada;
 c) convém que sejam feitas tentativas para colocar
a pessoa que está sendo entrevistada à vontade
antes e durante a entrevista;
 d) convém que seja explicada a razão para a
entrevista e qualquer anotação;
 e) entrevistas podem ser iniciadas pedindo às
pessoas que descrevam seu trabalho;
 f) convém que o tipo de questão usado seja
cuidadosamente selecionado (por exemplo,
questões abertas, fechadas, perguntas
importantes, investigação apreciativa);
 g) conscientizar-se da limitação da comunicação
não verbal em ambientes virtuais; ao invés, convém
que o foco seja no tipo de questões a serem usadas
para encontrar evidência objetiva;
 h) convém que os resultados de entrevistas sejam
resumidos e analisados criticamente com a pessoa
entrevistada;
 i) convém agradecer às pessoas entrevistadas por
sua participação e cooperação.
NM ISO 19011:2018

A.18 Hallazgos de la auditoría A.18 Constatações de auditoria

A.18.1 Determinación de los hallazgos de la A.18.1 Determinando as constatações de

auditoría auditoria

Al determinar los hallazgos de la auditoría, debería Ao determinar as constatações da auditoria,

considerarse lo siguiente: convém que seja considerado o seguinte:

a) el seguimiento de los registros y las conclusiones  a) acompanhamento de registros e conclusões de

de auditorías previas; auditoria anterior;

b) los requisitos del cliente de la auditoría;  b) requisitos do cliente de auditoria;

c) la exactitud, la suficiencia y la adecuación de las  c) exatidão, suficiência e adequação de evidência

evidencias objetivas para apoyar los hallazgos de objetiva para apoiar as constatações de auditoria;
la auditoría;

d) el grado en que se han realizado las actividades  d) extensão na qual as atividades de auditoria
de auditoría planificadas y en que se han logrado planejadas são realizadas e os resultados
los resultados planificados; planejados são alcançados;

e) los hallazgos que excedan la práctica normal, o  e) constatações que excedam a prática normal, ou
las oportunidades de mejora; oportunidades para melhoria;

f) el tamaño de muestra;  f) tamanho da amostra;

g) la categorización (si existe) de los hallazgos de  g) classificação (se houver) das constatações de
la auditoría. auditoria.

A.18.2 Registro de conformidades A.18.2 Registrando as conformidades

Para los registros de conformidad, debería Para registros de conformidade, convém que seja
considerarse lo siguiente: considerado o seguinte:

a) la descripción de o la referencia a los criterios de  a) descrição dos critérios de auditoria em relação
auditoría respecto a los cuales se muestra la aos quais a conformidade for apresentada ou
conformidad; referência a eles;

b) la evidencia de la auditoría para respaldar la  b) evidência de auditoria para apoiar conformidade
conformidad y la eficacia, si es aplicable; e eficácia, se aplicável;

c) la declaración de conformidad, si es aplicable.  c) declaração de conformidade, se aplicável.

A.18.3 Registro de no conformidades A.18.3 Registrando não conformidades

Para los registros de no conformidad, debería Para registros de não conformidades, convém que
considerarse lo siguiente: seja considerado o seguinte:

a) la descripción de los criterios de auditoría o la  a) descrição dos critérios de auditoria ou referência
referencia a los mismos; a eles;

b) la evidencia de la auditoría;  b) evidência de auditoria;

c) la declaración de no conformidad;  c) declaração de não conformidades;

d) los hallazgos de la auditoría relacionados, si es  d) constatações de auditoria relacionadas, se

aplicable. aplicável.

69
 NM ISO 19011:2018

A.18.4 Tratamiento de los hallazgos A.18.4 Tratando de constatações relacionadas

relacionados con múltiples criterios aos múltiplos critérios

Durante una auditoría es posible identificar Durante uma auditoria, é possível identificar
hallazgos relacionados con múltiples criterios. constatações relacionadas aos múltiplos critérios.
Cuando un auditor identifica un hallazgo vinculado Quando um auditor identifica uma constatação
a un criterio en una auditoría combinada, el auditor relacionada a um critério em uma auditoria
debería considerar el posible impacto en los combinada, convém que o auditor considere o
criterios correspondientes o similares de otros possível impacto sobre os critérios
sistemas de gestión. correspondentes ou similares dos outros sistemas
de gestão.

Dependiendo de lo acordado con el cliente de la Dependendo dos arranjos com o cliente de

auditoría, el auditor puede considerar: auditoria, o auditor pode considerar:

a) hallazgos separados para cada criterio; o  a) separar as constatações para cada critério; ou

b) un único hallazgo, combinando las referencias a  b) uma simples constatação, combinando as
los múltiples criterios. referências aos múltiplos critérios.

Dependiendo de lo acordado con el cliente de la Dependendo dos arranjos com o cliente de

auditoría, el auditor puede guiar al auditado sobre auditoria, o auditor pode orientar o auditado sobre
cómo responder a esos hallazgos. como responder a estas constatações.

70
NM ISO 19011:2018

Bibliografía

Bibliografia

[1] ISO 9000:2015, Quality management systems - Fundamentals and vocabulary

1)
[2] ISO 9001, Quality management systems - Requirements

[3] ISO Guide 73:2009, Risk management - Vocabulary

[4] ISO/IEC 17021-1, Conformity assessment - Requirements for bodies providing

audit and certification of management systems - Part 1: Requirements

_____________ _____________
1) 1)
Véase: Ver:
www.iso.org/tc176/ISO9001AuditingPracticesGroup www.iso.org/tc176/ISO9001AuditingPracticesGroup

71
 NM ISO 19011:2018

ICS 03.120.10; 03.100.70

Descriptores: requisitos; sistema de gestión de la calidad
Palavras chave: requisitos; sistema de gestão da qualidade
Número de páginas: 71