ISO 19011:2018

4 Principios de auditoría
La auditoría se caracteriza por la dependencia de una serie de principios. Estos principios deberían ayudar a
que la auditoría sea una herramienta efectiva y confiable en apoyo de las políticas y controles de gestión,
proporcionando información sobre la cual una organización puede actuar para mejorar su desempeño. El
cumplimiento de estos principios es un requisito previo para proporcionar conclusiones de auditoría que
sean relevantes y suficientes, y para permitir a los auditores, trabajando independientemente unos de otros,
llegar a conclusiones similares en circunstancias similares.

La orientación dada en las Cláusulas 5 a 7 se basa en los siete principios que se detallan a continuación.

a) Integridad: la base del profesionalismo

Los auditores y la (s) persona (s) que administran un programa de auditoría deberían:

- realizar su trabajo de forma ética, con honestidad y responsabilidad;

- solo realizar actividades de auditoría si es competente para hacerlo;

- realizar su trabajo de manera imparcial, es decir, seguir siendo justo e imparcial en todos sus
tratos;

- ser sensible a cualquier influencia que pueda ejercer sobre su juicio mientras lleva a cabo una
auditoría.

b) Presentación justa: la obligación de informar veraz y exactamente

Los hallazgos de la auditoría, las conclusiones de auditoría y los informes de auditoría deberían reflejar
de manera veraz y precisa las actividades de auditoría. Se deberían informar los obstáculos significativos
encontrados durante la auditoría y las opiniones divergentes no resueltas entre el equipo de auditoría y
el auditado. La comunicación debería ser veraz, precisa, objetiva, oportuna, clara y completa.

c) Debido cuidado profesional: la aplicación de la diligencia y el juicio en la auditoría

Los auditores deberían tener el debido cuidado de acuerdo con la importancia de la tarea que realizan y
la confianza depositada en ellos por el cliente de auditoría y otras partes interesadas. Un factor
importante para llevar a cabo su trabajo con la debida atención profesional es tener la capacidad de
emitir juicios razonados en todas las situaciones de auditoría.

d) Confidencialidad: seguridad de la información

Los auditores deberían ejercer discreción en el uso y la protección de la información adquirida en el

desempeño de sus funciones. La información de auditoría no debería ser utilizada de manera
inapropiada para beneficio personal por el auditor o el cliente de auditoría, o de una manera perjudicial
para los intereses legítimos del auditado. Este concepto incluye el manejo adecuado de información
sensible o confidencial.

e) Independencia: la base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la

auditoría

Los auditores deberían ser independientes de la actividad auditada siempre que sea posible y, en todos
los casos, deberían actuar de forma tal que no estén sujetos a prejuicios ni a conflictos de intereses. Para
las auditorías internas, los auditores deberían ser independientes de la función que se está auditando, si
es posible. Los auditores deberían mantener la objetividad durante todo el proceso de auditoría para
garantizar que los hallazgos y conclusiones de la auditoría se basen solo en la evidencia de auditoría.
ISO 19011:2018

Para las organizaciones pequeñas, puede que los auditores internos no sean totalmente independientes de
la actividad que se audita, pero se deberían hacer todos los esfuerzos para eliminar el sesgo y alentar la
objetividad.

f) Enfoque basado en la evidencia: el método racional para llegar a conclusiones de auditoría fiables y
reproducibles en un proceso de auditoría sistemático

La evidencia de auditoría debería ser verificable. En general, debería basarse en muestras de la

información disponible, ya que una auditoría se lleva a cabo durante un tiempo finito y con recursos
limitados. Se debería aplicar un uso apropiado del muestreo, ya que está estrechamente relacionado con
la confianza que se puede depositar en las conclusiones de la auditoría.

g) Enfoque basado en el riesgo: un enfoque de auditoría que considera riesgos y oportunidades

El enfoque basado en el riesgo debería influir sustancialmente en la planificación, conducción y

presentación de informes de las auditorías para garantizar que las auditorías se centren en asuntos que
son importantes para el cliente de auditoría y para lograr los objetivos del programa de auditoría.

5 Administrar un programa de auditoría

5.1 Generalidades
Se debería establecer un programa de auditoría que pueda incluir auditorías que aborden uno o más
estándares del sistema de gestión u otros requisitos, realizados por separado o en combinación (auditoría
combinada).

El alcance de un programa de auditoría debería basarse en el tamaño y la naturaleza del auditado, así como
en la naturaleza, funcionalidad, complejidad, el tipo de riesgos y oportunidades, y el nivel de madurez de los
sistemas de gestión a ser auditados.

La funcionalidad del sistema de gestión puede ser aún más compleja cuando la mayoría de las funciones
importantes se subcontratan y gestionan bajo la dirección de otras organizaciones. Se debería prestar
especial atención a dónde se toman las decisiones más importantes y qué constituye la alta dirección del
sistema de gestión.

En el caso de ubicaciones/sitios múltiples (por ejemplo, diferentes países), o cuando las funciones
importantes se subcontratan y gestionan bajo el liderazgo de otra organización, se debería prestar especial
atención al diseño, la planificación y la validación del programa de auditoría.

En el caso de organizaciones más pequeñas o menos complejas, el programa de auditoría puede escalarse
adecuadamente.

Para comprender el contexto del auditado, el programa de auditoría debería, del auditado; tener en cuenta:

- objetivos organizacionales;

- cuestiones externas e internas relevantes;

- las necesidades y expectativas de las partes interesadas pertinentes;

- requisitos de confidencialidad y seguridad de la información.

La planificación de los programas de auditoría interna y, en algunos casos, los programas para auditar
proveedores externos, pueden organizarse para contribuir a otros objetivos de la organización.
ISO 19011:2018

Las personas que gestionan el programa de auditoría deberían garantizar que se mantenga la integridad de
la auditoría y que no se ejerce una influencia indebida sobre la misma.

Se debería otorgar prioridad de auditoría a la asignación de recursos y métodos a asuntos en un sistema de

gestión con mayor riesgo inherente y menor nivel de desempeño.

Se deberían asignar individuos competentes para administrar el programa de auditoría.

El programa de auditoría debería incluir información e identificar recursos para permitir que las auditorías se
realicen de manera efectiva y eficiente dentro de los plazos especificados. La información debería incluir:

a) objetivos para el programa de auditoría;

b) riesgos y oportunidades asociados con el programa de auditoría (ver 5.3) y las acciones para
abordarlos;

c) alcance (extensión, límites, ubicaciones) de cada auditoría dentro del programa de auditoría;

d) cronograma (número/duración/frecuencia) de las auditorías;

e) tipos de auditoría, como interna o externa;

f) criterios de auditoría;

g) métodos de auditoría a ser empleados;

h) criterios para seleccionar miembros del equipo de auditoría;

i) información documentada relevante.

Parte de esta información puede no estar disponible hasta que se complete una planificación de auditoría
más detallada.

La implementación del programa de auditoría debería ser monitoreada y medida en forma continua (ver 5.6)
para asegurar que se han logrado sus objetivos. El programa de auditoría debería ser revisado para
identificar las necesidades de cambios y posibles oportunidades de mejora (ver 5.7).

La Figura 1 ilustra el flujo del proceso para la gestión de un programa de auditoría.

ISO 19011:2018

NOTA 1 Esta figura ilustra la aplicación del ciclo Planear – Hacer – Verificar – Actuar, en este documento.

NOTA 2 La numeración de cláusulas/subcláusulas se refiere a las cláusulas/subcláusulas relevantes de este documento.

Figura 1 - Flujo de proceso para la gestión de un programa de auditoría

5.2 Establecimiento de objetivos del programa de auditoría

El cliente de auditoría debería asegurarse de que los objetivos del programa de auditoría se establezcan para
dirigir la planificación y la realización de auditorías, y debería garantizar que el programa de auditoría se
implemente de manera efectiva. Los objetivos del programa de auditoría deberían ser coherentes con la
orientación estratégica y los objetivos y la política del sistema de gestión de soporte del cliente de auditoría.
ISO 19011:2018

Estos objetivos pueden basarse en la consideración de lo siguiente:

a) las necesidades y expectativas de las partes interesadas pertinentes, tanto externas como internas;

b) características y requisitos de procesos, productos, servicios y proyectos, y cualquier cambio en ellos;

c) requisitos del sistema de gestión;

d) necesidad de evaluación de proveedores externos;

e) el nivel de rendimiento y el nivel de madurez del sistema o sistemas de gestión del auditado, como se
refleja en los indicadores de rendimiento relevantes (por ejemplo, KPI’s), la ocurrencia de no
conformidades, incidentes o quejas de las partes interesadas;

f) identificó riesgos y oportunidades para el auditado;

g) resultados de auditorías anteriores.

Los ejemplos de objetivos del programa de auditoría pueden incluir lo siguiente:

- identificar oportunidades para la mejora del sistema de gestión y su rendimiento;

- evaluar la capacidad del auditado para determinar su contexto;

- evaluar la capacidad del auditado para determinar riesgos y oportunidades e identificar e implementar
acciones efectivas para abordarlos;

- cumplir con todos los requisitos pertinentes, por ejemplo; requisitos legales y reglamentarios,
compromisos de cumplimiento, requisitos para la certificación de un estándar de sistema de gestión;

- obtener y mantener la confianza en la capacidad de un proveedor externo;

- determinar la idoneidad, adecuación y eficacia continuas del sistema de gestión del auditado;

- evaluar la compatibilidad y la alineación de los objetivos del sistema de gestión con la dirección
estratégica de la organización.

5.3 Determinación y evaluación de riesgos y oportunidades del programa de auditoría

Existen riesgos y oportunidades relacionados con el contexto del auditado que pueden asociarse con un
programa de auditoría y pueden afectar el logro de sus objetivos. Las personas que gestionan el programa
de auditoría deberían identificar y presentar al cliente de auditoría los riesgos y oportunidades consideradas
al desarrollar el programa de auditoría y los requisitos de recursos, para que puedan abordarse de manera
adecuada.

Puede haber riesgos asociados con lo siguiente:

a) planificación, por ejemplo; no establecer los objetivos de auditoría relevantes y determinar el alcance,
el número, la duración, las ubicaciones y el cronograma de las auditorías;

b) recursos, por ejemplo; permitir tiempo, equipo y/o capacitación insuficientes para desarrollar el
programa de auditoría o realizar una auditoría;

c) selección del equipo de auditoría, por ejemplo; competencia global insuficiente para realizar
auditorías de manera efectiva;
ISO 19011:2018

d) comunicación, por ejemplo; procesos/canales de comunicación externos/internos ineficaces;

e) implementación, por ejemplo; coordinación ineficaz de las auditorías dentro del programa de
auditoría, o no considerar la seguridad y confidencialidad de la información;

f) control de la información documentada, por ejemplo; la determinación ineficaz de la información

documentada necesaria requerida por los auditores y las partes interesadas pertinentes; la falta de
protección adecuada de los registros de auditoría para demostrar la eficacia del programa de auditoría;

g) supervisar, revisar y mejorar el programa de auditoría, por ejemplo; seguimiento ineficaz de los
resultados del programa de auditoría;

h) disponibilidad y cooperación del auditado y disponibilidad de evidencia para ser muestreada. Las
oportunidades para mejorar el programa de auditoría pueden incluir:

- permitir múltiples auditorías en una sola visita;

- minimizar el tiempo y las distancias que viajan al sitio;

- hacer coincidir el nivel de competencia del equipo de auditoría con el nivel de competencia
necesario para alcanzar los objetivos de la auditoría;

- alinear las fechas de auditoría con la disponibilidad del personal clave del auditado.

5.4 Establecimiento del programa de auditoría

5.4.1 Roles y responsabilidades de las personas que gestionan el programa de auditoría

Las personas que gestionan el programa de auditoría deberían:

a) establecer la extensión del programa de auditoría de acuerdo con los objetivos relevantes (ver 5.2) y
cualquier restricción conocida;

b) determinar los problemas externos e internos, y los riesgos y oportunidades que pueden afectar el
programa de auditoría, e implementar acciones para abordarlos, integrando estas acciones en todas las
actividades de auditoría relevantes, según corresponda;

c) garantizar la selección de los equipos de auditoría y la competencia general para las actividades de
auditoría mediante la asignación de funciones, responsabilidades y autoridades, y el apoyo al liderazgo,
según corresponda;

d) establecer todos los procesos relevantes, incluidos los procesos para:

- la coordinación y programación de todas las auditorías dentro del programa de auditoría;

- el establecimiento de objetivos de auditoría, alcance (s) y criterios de las auditorías, determinación

de los métodos de auditoría y selección del equipo de auditoría;

- evaluación de auditores;

- el establecimiento de procesos de comunicación externa e interna, según corresponda;

- la resolución de disputas y el manejo de quejas;

- seguimiento de auditoría si corresponde;

ISO 19011:2018

- informar al cliente de auditoría y a las partes interesadas pertinentes, según corresponda. e)

determinar y garantizar la provisión de todos los recursos necesarios;

f) garantizar que se prepare y mantenga la información documentada apropiada, incluidos los registros
del programa de auditoría;

g) monitorear, revisar y mejorar el programa de auditoría;

h) comunicar el programa de auditoría al cliente de auditoría y, según corresponda, a las partes

interesadas pertinentes.

Las personas que gestionan el programa de auditoría deberían solicitar su aprobación al cliente de auditoría.

5.4.2 Competencia del (los) individuo (s) que gestiona (n) el programa de auditoría

La (s) persona (s) que gestiona (n) el programa de auditoría deberían tener la competencia necesaria para
gestionar el programa, sus riesgos y oportunidades asociados y los problemas externos e internos de
manera efectiva y eficiente, incluido el conocimiento de:

a) principios de auditoría (ver Cláusula 4), métodos y procesos (véanse A.1 y A.2);

b) normas del sistema de gestión, otras normas pertinentes y documentos de referencia / orientación;

c) información sobre el auditado y su contexto (por ejemplo, asuntos externos/internos, partes

interesadas relevantes y sus necesidades y expectativas, actividades comerciales, productos, servicios y
procesos del auditado);

d) requisitos legales y reglamentarios aplicables y otros requisitos relevantes para las actividades
comerciales del auditado.

Según corresponda, se puede considerar el conocimiento de la gestión de riesgos, la gestión de proyectos y

procesos, y las tecnologías de la información y las comunicaciones (TIC).

Las personas que gestionan el programa de auditoría deberían participar en actividades apropiadas de
desarrollo continuo para mantener la competencia necesaria para administrar el programa de auditoría.

5.4.3 Establecer el alcance del programa de auditoría

Las personas que gestionan el programa de auditoría deberían determinar el alcance del programa de
auditoría. Esto puede variar según la información proporcionada por el auditado con respecto a su contexto
(ver 5.3).

NOTA En algunos casos, dependiendo de la estructura del auditado o sus actividades, el programa de auditoría solo
puede consistir en una única auditoría (por ejemplo, un pequeño proyecto u organización). Otros factores que afectan el
alcance de un programa de auditoría pueden incluir los siguientes:

a) el objetivo, el alcance y la duración de cada auditoría y la cantidad de auditorías que se llevarán a

cabo, el método de notificación y, si corresponde, el seguimiento de la auditoría;

b) las normas del sistema de gestión u otros criterios aplicables;

c) el número, la importancia, la complejidad, la similitud y la ubicación de las actividades a auditar;

d) aquellos factores que influyen en la efectividad del sistema de gestión;

ISO 19011:2018

e) los criterios de auditoría aplicables, tales como los arreglos planificados para las normas del sistema
de gestión pertinentes, los requisitos legales y reglamentarios y otros requisitos con los que la
organización está comprometida;

f) resultados de auditorías internas o externas previas y revisiones de la dirección, si corresponde;

g) resultados de una revisión previa del programa de auditoría;

h) problemas lingüísticos, culturales y sociales;

i) las preocupaciones de las partes interesadas, tales como las quejas de los clientes, el incumplimiento
de los requisitos legales y reglamentarios y otros requisitos con los que la organización se compromete, o
los problemas de la cadena de suministro;

j) cambios significativos en el contexto del auditado o sus operaciones y riesgos y oportunidades

relacionados;

k) disponibilidad de tecnologías de información y comunicación para respaldar las actividades de

auditoría, en particular el uso de métodos de auditoría remota (véase A.16);

l) la ocurrencia de eventos internos y externos, tales como no conformidades de productos o servicios,

fugas de seguridad de la información, incidentes de salud y seguridad, actos delictivos o incidentes
ambientales;

m) riesgos y oportunidades comerciales, incluidas las acciones para abordarlos.

5.4.4 Determinar los recursos del programa de auditoría

Al determinar los recursos para el programa de auditoría, las personas que gestionan el programa de
auditoría deberían considerar:

a) los recursos financieros y de tiempo necesarios para desarrollar, implementar, administrar y mejorar
las actividades de auditoría;

b) métodos de auditoría (ver A.1);

c) la disponibilidad individual y general de auditores y expertos técnicos que posean las competencias
apropiadas para los objetivos particulares del programa de auditoría;

d) la extensión del programa de auditoría (ver 5.4.3) y los riesgos y oportunidades del programa de
auditoría (ver 5.3);

e) tiempo de viaje y costo, alojamiento y otras necesidades de auditoría;

f) el impacto de las diferentes zonas horarias;

g) la disponibilidad de tecnologías de información y comunicación (por ejemplo, los recursos técnicos

necesarios para establecer una auditoría remota utilizando tecnologías que admiten la colaboración
remota);

h) la disponibilidad de cualquier herramienta, tecnología y equipo requerido;

i) la disponibilidad de la información documentada necesaria, según se determine durante el

establecimiento del programa de auditoría (ver A.5);
ISO 19011:2018

j) los requisitos relacionados con la instalación, incluidos los espacios de seguridad y el equipo (por
ejemplo, verificaciones de antecedentes, equipo de protección personal, capacidad de llevar puesto el
atuendo limpio).

5.5 Implementación del programa de auditoría

5.5.1 Generalidades

Toda vez que se ha establecido el programa de auditoría (ver 5.4.3) y se han determinado los recursos
relacionados (ver 5.4.4), es necesario implementar la planificación operativa y la coordinación de todas las
actividades dentro del programa.

Las personas que gestionan el programa de auditoría deberían:

a) comunicar las partes pertinentes del programa de auditoría, incluidos los riesgos y oportunidades, a
las partes interesadas pertinentes e informarles periódicamente de su progreso, utilizando los canales de
comunicación externos e internos establecidos;

b) definir objetivos, alcance y criterios para cada auditoría individual;

c) seleccionar métodos de auditoría (ver A.1);

d) coordinar y programar auditorías y otras actividades relevantes para el programa de auditoría;

e) garantizar que los equipos de auditoría tengan la competencia necesaria (ver 5.5.4);

f) proporcionar los recursos individuales y globales necesarios a los equipos de auditoría (ver 5.4.4);

g) garantizar la realización de auditorías de acuerdo con el programa de auditoría, gestionando todos los
riesgos, oportunidades y problemas operativos (es decir, eventos inesperados), tal como surgen durante
el despliegue del programa;

h) garantizar que la información documentada relevante con respecto a las actividades de auditoría se
gestiona y mantiene de forma adecuada (ver 5.5.7);

i) definir e implementar los controles operativos (ver 5.6) necesarios para la supervisión del programa de
auditoría;

j) revisar el programa de auditoría para identificar oportunidades para su mejora (ver 5.7).

5.5.2 Definición de objetivos, alcance y criterios para una auditoría individual

Cada auditoría individual debería basarse en objetivos de auditoría definidos, alcance y criterios. Estos
deberían ser consistentes con los objetivos generales del programa de auditoría.

Los objetivos de la auditoría definen lo que se debería lograr mediante la auditoría individual y pueden
incluir lo siguiente:

a) determinación del grado de conformidad del sistema de gestión a ser auditado, o partes de él, con los
criterios de auditoría;

b) evaluación de la capacidad del sistema de gestión para ayudar a la organización a cumplir los
requisitos legales y reglamentarios pertinentes y otros requisitos con los que la organización está
comprometida;
ISO 19011:2018

c) evaluación de la efectividad del sistema de gestión para alcanzar los resultados esperados;

d) identificación de oportunidades para la mejora potencial del sistema de gestión;

e) evaluación de la idoneidad y adecuación del sistema de gestión con respecto al contexto y la dirección
estratégica del auditado;

f) evaluación de la capacidad del sistema de gestión para establecer y alcanzar objetivos y abordar de
manera efectiva los riesgos y oportunidades, en un contexto cambiante, incluida la implementación de
las acciones relacionadas.

El alcance de la auditoría debería ser coherente con el programa de auditoría y los objetivos de auditoría.
Incluye factores tales como ubicaciones, funciones, actividades y procesos a auditar, así como el período
cubierto por la auditoría.

Los criterios de auditoría se utilizan como referencia con respecto a la cual se determina la conformidad.
Estos pueden incluir uno o más de los siguientes: políticas, procesos, procedimientos aplicables, criterios de
rendimiento que incluyen objetivos, requisitos legales y reglamentarios, requisitos del sistema de gestión,
información sobre el contexto y los riesgos y oportunidades según lo determine el auditado (incluidos los
requisitos de partes interesadas internas), códigos de conducta sectoriales u otras disposiciones
planificadas.

En caso de cualquier cambio en los objetivos, el alcance o los criterios de la auditoría, el programa de
auditoría debería modificarse si es necesario y comunicarse a las partes interesadas para su aprobación, si
corresponde.

Cuando se audita más de una disciplina al mismo tiempo, es importante que los objetivos, el alcance y los
criterios de la auditoría sean consistentes con los programas de auditoría relevantes para cada disciplina.
Algunas disciplinas pueden tener un alcance que refleje a toda la organización y otras pueden tener un
alcance que refleje un subconjunto de toda la organización.

5.5.3 Selección y determinación de métodos de auditoría

El (los) individuo (s) que gestiona (n) el programa de auditoría debería (n) seleccionar y determinar los
métodos para llevar a cabo eficazmente y de manera eficiente una auditoría, dependiendo de los objetivos
de auditoría definidos, el alcance y criterios.

Las auditorías pueden realizarse en el sitio, de forma remota o como una combinación. El uso de estos
métodos debería estar adecuadamente equilibrado, en función de, entre otros, la consideración de los
riesgos y oportunidades asociados.

Cuando dos o más organizaciones auditoras lleven a cabo una auditoría conjunta del mismo auditado, las
personas que administran los diferentes programas de auditoría deberían acordar los métodos de auditoría
y considerar las implicaciones para la provisión de recursos y la planificación de la auditoría. Si un auditado
opera dos o más sistemas de gestión de diferentes disciplinas, se pueden incluir auditorías combinadas en el
programa de auditoría.

5.5.4 Selección de los miembros del equipo de auditoría

El (los) individuo (s) que gestiona (n) el programa de auditoría debería (n) nombrar a los miembros del
equipo de auditoría, incluyendo el líder del equipo y cualquier expertos técnicos necesarios para la auditoría
específica.
ISO 19011:2018

Se debería seleccionar un equipo de auditoría, teniendo en cuenta la competencia necesaria para alcanzar
los objetivos de la auditoría individual dentro del alcance definido. Si solo hay un auditor, el auditor debería
realizar todas las tareas aplicables de un líder del equipo de auditoría.

NOTA La cláusula 7 contiene una guía para determinar la competencia requerida para los miembros del equipo de
auditoría y describe los procesos para evaluar a los auditores.

Para asegurar la competencia global del equipo de auditoría, deberían realizarse los siguientes pasos:

- identificación de la competencia necesaria para alcanzar los objetivos de la auditoría;

- selección de los miembros del equipo de auditoría para que la competencia necesaria esté presente en
el equipo de auditoría.

Al decidir el tamaño y la composición del equipo de auditoría para una auditoría específica, se debería
considerar lo siguiente:

a) la competencia general del equipo de auditoría necesaria para lograr los objetivos de la auditoría,
teniendo en cuenta el alcance y los criterios de la auditoría;

b) complejidad de la auditoría;

c) si la auditoría es una auditoría combinada o conjunta;

d) los métodos de auditoría seleccionados;

e) asegurar la objetividad e imparcialidad para evitar cualquier conflicto de interés del proceso de
auditoría;

f) la capacidad de los miembros del equipo de auditoría para trabajar e interactuar eficazmente con los
representantes del auditado y las partes interesadas pertinentes;

g) los problemas externos/internos relevantes, como el idioma de la auditoría y las características

sociales y culturales del auditado. Estos problemas pueden ser abordados ya sea por las propias
habilidades del auditor o por medio del apoyo de un experto técnico, considerando también la necesidad
de intérpretes;

h) tipo y complejidad de los procesos a auditar.

Cuando corresponda, las personas que gestionan el programa de auditoría deberían consultar al líder del
equipo sobre la composición del equipo de auditoría.

Si los auditores del equipo de auditoría no cubren la competencia necesaria, los expertos técnicos con
competencia adicional deberían estar disponibles para apoyar al equipo.

Los auditores en formación pueden incluirse en el equipo de auditoría, pero deberían participar bajo la
dirección y orientación de un auditor competente.

Los cambios en la composición del equipo de auditoría pueden ser necesarios durante la auditoría, por
ejemplo; si surge un conflicto de interés o problema de competencia. Si surge una situación de este tipo,
debería resolverse con las partes apropiadas (por ejemplo, el líder del equipo de auditoría, la (s) persona (s)
que gestionan el programa de auditoría, el cliente de auditoría o el auditado) antes de realizar cualquier
cambio.
ISO 19011:2018

5.5.5 Asignar la responsabilidad de una auditoría individual al líder del equipo de auditoría

Las personas que gestionan el programa de auditoría deberían asignar la responsabilidad de llevar a cabo la
auditoría individual a un líder del equipo de auditoría.

La asignación debería hacerse con suficiente tiempo antes de la fecha programada de la auditoría, a fin de
garantizar la planificación efectiva de la auditoría.

Para garantizar la realización efectiva de las auditorías individuales, se debería proporcionar la siguiente
información al líder del equipo de auditoría:

a) objetivos de auditoría;

b) criterios de auditoría y cualquier información documentada relevante;

c) alcance de la auditoría, incluida la identificación de la organización y sus funciones y procesos a

auditar;

d) procesos de auditoría y métodos asociados;

e) composición del equipo de auditoría;

f) los datos de contacto del auditado, las ubicaciones, el marco temporal y la duración de las actividades
de auditoría que se llevarán a cabo;

g) los recursos necesarios para llevar a cabo la auditoría;

h) información necesaria para evaluar y abordar los riesgos y oportunidades identificados para el logro
de los objetivos de la auditoría;

i) información que respalda al (los) líder (es) del equipo de auditoría en sus interacciones con el auditado
para la efectividad del programa de auditoría.

La información de asignación también debería cubrir lo siguiente, según corresponda:

- Lenguaje de trabajo y de informes de la auditoría cuando esto es diferente del idioma del auditor o del
auditado, o de ambos;

- resultados de informes de auditoría según sea necesario y a quién se distribuirá;

- asuntos relacionados con la confidencialidad y la seguridad de la información, según lo requerido por el

programa de auditoría;

- cualquier acuerdo de salud, seguridad y medio ambiente para los auditores;

- requisitos para viajar o acceder a sitios remotos;

- cualquier requisito de seguridad y autorización;

- cualquier acción que se revisará, por ejemplo; acciones de seguimiento de una auditoría anterior;

- coordinación con otras actividades de auditoría, por ejemplo; cuando diferentes equipos están
auditando procesos similares o relacionados en diferentes ubicaciones o en el caso de una auditoría
conjunta.

Cuando se realiza una auditoría conjunta, es importante llegar a un acuerdo entre las organizaciones que
realizan las auditorías, antes de que comience la auditoría, sobre las responsabilidades específicas de cada
parte, particularmente con respecto a la autoridad del líder del equipo designado para la auditoría.
ISO 19011:2018

5.5.6 Gestión de los resultados del programa de auditoría

Las personas que gestionan el programa de auditoría deberían garantizar que se realicen las siguientes
actividades:

a) evaluación del logro de los objetivos para cada auditoría dentro del programa de auditoría;

b) revisión y aprobación de informes de auditoría sobre el cumplimiento del alcance y los objetivos de la
auditoría;

c) revisión de la efectividad de las acciones tomadas para abordar los hallazgos de auditoría;

d) distribución de informes de auditoría a las partes interesadas pertinentes;

e) determinación de la necesidad de cualquier auditoría de seguimiento.

La persona que administra el programa de auditoría debería considerar, cuando corresponda:

- comunicar los resultados de auditoría y las mejores prácticas a otras áreas de la organización, y

- las implicaciones para otros procesos.

5.5.7 Administrar y mantener los registros del programa de auditoría

Las personas que administran el programa de auditoría deberían garantizar que los registros de auditoría se
generen, administren y mantengan para demostrar la implementación del programa de auditoría. Los
procesos deberían establecerse para garantizar que se aborden las necesidades de confidencialidad y
seguridad de la información asociada con los registros de auditoría.

Los registros pueden incluir lo siguiente:

a) Registros relacionados con el programa de auditoría, tales como:

- calendario de auditorías;

- objetivos y alcance del programa de auditoría;

- aquellos que abordan los riesgos y oportunidades del programa de auditoría, y los problemas
externos e internos relevantes;

- revisiones de la efectividad del programa de auditoría.

b) Registros relacionados con cada auditoría, tales como:

- planes de auditoría e informes de auditoría;

- evidencia de auditoría objetiva y hallazgos;

- informes de no conformidad;

- correcciones e informes de acciones correctivas;

- informes de seguimiento de auditoría.

c) Registros relacionados con el equipo de auditoría que cubren temas tales como:

- evaluación de competencia y desempeño de los miembros del equipo de auditoría;

ISO 19011:2018

- criterios para la selección de equipos de auditoría y miembros del equipo y formación de equipos
de auditoría;

- mantenimiento y mejora de la competencia.

La forma y el nivel de detalle de los registros deberían demostrar que se han logrado los objetivos del
programa de auditoría.

5.6 Seguimiento del programa de auditoría

Las personas que gestionan el programa de auditoría deberían garantizar la evaluación de:

a) sí se están cumpliendo los cronogramas y si se están logrando los objetivos del programa de auditoría;

b) el desempeño de los miembros del equipo de auditoría, incluido el líder del equipo de auditoría y los
expertos técnicos;

c) la capacidad de los equipos de auditoría para implementar el plan de auditoría;

d) retroalimentación de clientes de auditoría, auditados, auditores, expertos técnicos y otras partes

relevantes;

e) suficiencia y adecuación de la información documentada en todo el proceso de auditoría. Algunos

factores pueden indicar la necesidad de modificar el programa de auditoría. Estos pueden incluir
cambios en:

- resultados de la auditoría;

- nivel demostrado de efectividad y madurez del sistema de gestión del auditado;

- eficacia del programa de auditoría;

- alcance de la auditoría o alcance del programa de auditoría;

- el sistema de gestión del auditado;

- estándares y otros requisitos con los que la organización está comprometida;

- proveedores externos;

- identificó conflictos de interés;

- los requisitos del cliente de auditoría.

5.7 Revisión y mejora del programa de auditoría

Las personas que gestionan el programa de auditoría y el cliente de auditoría deberían revisar el programa
de auditoría para evaluar si se han alcanzado sus objetivos. Las lecciones aprendidas de la revisión del
programa de auditoría deberían usarse como insumos para la mejora del programa.

Las personas que gestionan el programa de auditoría deberían garantizar lo siguiente:

- revisión de la implementación general del programa de auditoría;

- identificación de áreas y oportunidades de mejora;

ISO 19011:2018

- aplicación de cambios al programa de auditoría si es necesario;

- revisión del desarrollo profesional continuo de los auditores, de acuerdo con 7.6;

- informe de los resultados del programa de auditoría y revisión con el cliente de auditoría y las
partes interesadas pertinentes, según corresponda.

La revisión del programa de auditoría debería considerar lo siguiente:

a) resultados y tendencias del seguimiento del programa de auditoría;

b) conformidad con los procesos del programa de auditoría e información documentada relevante;

c) la evolución de las necesidades y expectativas de las partes interesadas pertinentes;

d) registros del programa de auditoría;

e) métodos de auditoría alternativos o nuevos;

f) métodos alternativos o nuevos para evaluar a los auditores;

g) efectividad de las acciones para abordar los riesgos y oportunidades, y problemas internos y externos
asociados con el programa de auditoría;

h) cuestiones de confidencialidad y seguridad de la información relacionadas con el programa de

auditoría.

6 Realización de una auditoría

6.1 Generalidades
Esta cláusula contiene orientación sobre cómo preparar y llevar a cabo una auditoría específica como parte
de un programa de auditoría. La Figura 2 proporciona una descripción general de las actividades realizadas
en una auditoría típica. El grado en que las disposiciones de esta cláusula son aplicables depende de los
objetivos y el alcance de la auditoría específica.

6.2 Iniciando la auditoría

6.2.1 Generalidades

La responsabilidad de llevar a cabo la auditoría debería permanecer con el líder del equipo de auditoría
asignado (ver 5.5.5) hasta que se complete la auditoría (ver 6.6).

Para iniciar una auditoría, deberían considerarse los pasos en la Figura 1; sin embargo, la secuencia puede
variar según el auditado, los procesos y las circunstancias específicas de la auditoría.

6.2.2 Establecer contacto con el auditado

El líder del equipo auditor debería asegurarse de que se establezca contacto con el auditado para:

a) confirmar los canales de comunicación con los representantes del auditado;

b) confirmar la autoridad para realizar la auditoría;

ISO 19011:2018

c) proporcionar información relevante sobre los objetivos, el alcance, los criterios, los métodos y la
composición del equipo de auditoría, incluidos los expertos técnicos;

d) solicitar acceso a información relevante para fines de planificación, incluida información sobre los
riesgos y oportunidades que la organización ha identificado y cómo se abordan;

e) determinar los requisitos legales y reglamentarios aplicables y otros requisitos relevantes para las
actividades, procesos, productos y servicios del auditado;

f) confirmar el acuerdo con el auditado sobre el alcance de la divulgación y el tratamiento de la

información confidencial;

g) hacer arreglos para la auditoría incluyendo el cronograma;

h) determinar los arreglos específicos de ubicación para el acceso, la salud y la seguridad, la

confidencialidad u otros;

i) acordar la asistencia de los observadores y la necesidad de guías o intérpretes para el equipo de

auditoría;

j) determinar cualquier área de interés, preocupación o riesgo para el auditado en relación con la
auditoría específica;

k) resolver problemas relacionados con la composición del equipo de auditoría con el auditado o el
cliente de auditoría.

6.2.3 Determinación de la viabilidad de la auditoría

La viabilidad de la auditoría debería determinarse para proporcionar una confianza razonable de que se
pueden lograr los objetivos de la auditoría.

La determinación de la viabilidad debería tener en cuenta factores como la disponibilidad de lo siguiente:

a) información suficiente y apropiada para planificar y llevar a cabo la auditoría;

b) cooperación adecuada del auditado;

c) tiempo y recursos adecuados para realizar la auditoría.

NOTA Los recursos incluyen el acceso a tecnología adecuada y apropiada de información y comunicación.

Cuando la auditoría no sea factible, se debería proponer una alternativa al cliente de auditoría, de acuerdo
con el auditado.

6.3 Preparación de actividades de auditoría

6.3.1 Realizar revisión de información documentada

La información documentada del sistema de gestión relevante del auditado debería ser revisada para:

- recopilar información para comprender las operaciones del auditado y preparar las actividades de
auditoría y los documentos de trabajo de auditoría aplicables (ver 6.3.4), por ejemplo; en procesos y
funciones;
ISO 19011:2018

- establecer una visión general del alcance de la información documentada para determinar la posible
conformidad con los criterios de auditoría y detectar posibles áreas de preocupación, como deficiencias,
omisiones o conflictos.

La información documentada debería incluir, pero no limitarse a: documentos y registros del sistema de
gestión, así como informes de auditoría anteriores. La revisión debería tener en cuenta el contexto de la
organización del auditado, incluidos su tamaño, naturaleza y complejidad, y sus riesgos y oportunidades
relacionados. También debería tener en cuenta el alcance, los criterios y los objetivos de la auditoría.

NOTA Se proporciona orientación sobre cómo verificar la información en A.5.

6.3.2 Planificación de auditoría

6.3.2.1 Enfoque basado en el riesgo para la planificación

El líder del equipo de auditoría debería adoptar un enfoque basado en el riesgo para planificar la auditoría
con base en la información del programa de auditoría y la información documentada proporcionada por el
auditado.

La planificación de auditoría debería considerar los riesgos de las actividades de auditoría en los procesos
del auditado y proporcionar la base para el acuerdo entre el cliente de auditoría, el equipo de auditoría y el
auditado con respecto a la realización de la auditoría. La planificación debería facilitar la programación
eficiente y la coordinación de las actividades de auditoría para lograr los objetivos de manera efectiva.

La cantidad de detalles proporcionados en el plan de auditoría debería reflejar el alcance y la complejidad de

la auditoría, así como también el riesgo de no alcanzar los objetivos de la auditoría. Al planificar la auditoría,
el líder del equipo auditor debería considerar lo siguiente:

a) la composición del equipo de auditoría y su competencia general;

b) las técnicas de muestreo apropiadas (ver A.6);

c) oportunidades para mejorar la efectividad y eficiencia de las actividades de auditoría;

d) los riesgos para lograr los objetivos de auditoría creados por una planificación de auditoría ineficaz;

e) los riesgos para el auditado creados al realizar la auditoría.

Los riesgos para el auditado pueden derivarse de la presencia de los miembros del equipo de auditoría que
influyen negativamente en las disposiciones del auditado sobre salud y seguridad, medio ambiente y calidad,
y sus productos, servicios, personal o infraestructura (por ejemplo, contaminación en las salas limpias).

Para las auditorías combinadas, se debería prestar especial atención a las interacciones entre los procesos
operativos y los objetivos y prioridades que compiten entre sí de los diferentes sistemas de gestión.

6.3.2.2 Detalles de planificación de auditoría

La escala y el contenido de la planificación de auditoría pueden diferir, por ejemplo, entre auditorías iniciales
y posteriores, así como entre auditorías internas y externas. La planificación de la auditoría debería ser lo
suficientemente flexible como para permitir cambios que pueden ser necesarios a medida que avanzan las
actividades de auditoría.

La planificación de la auditoría debería abordar o hacer referencia a lo siguiente:

a) los objetivos de la auditoría;

ISO 19011:2018

b) el alcance de la auditoría, incluida la identificación de la organización y sus funciones, así como los
procesos a auditar;

c) los criterios de auditoría y cualquier información documentada de referencia;

d) las ubicaciones (físicas y virtuales), las fechas, el tiempo previsto y la duración de las actividades de
auditoría que se llevarán a cabo, incluidas las reuniones con la administración del auditado;

e) la necesidad de que el equipo de auditoría se familiarice con las instalaciones y los procesos del
auditado (por ejemplo, realizando un recorrido por la (s) ubicación (es) física (s), o revisando la
tecnología de información y comunicación);

f) los métodos de auditoría que se utilizarán, incluido el grado en que el muestreo de auditoría es
necesario para obtener suficiente evidencia de auditoría;

g) las funciones y responsabilidades de los miembros del equipo de auditoría, así como guías y
observadores o intérpretes;

h) la asignación de recursos apropiados en base a la consideración de los riesgos y oportunidades

relacionados con las actividades que se auditarán.

La planificación de la auditoría debería tener en cuenta, según corresponda:

- identificación del (los) representante (s) del auditado para la auditoría;

- el lenguaje de trabajo y de informes de la auditoría cuando esto es diferente del lenguaje del auditor o
el auditado o ambos;

- los temas del informe de auditoría;

- arreglos de logística y comunicaciones, incluidos arreglos específicos para las ubicaciones que se
auditarán;

- cualquier acción específica que se tome para abordar los riesgos para alcanzar los objetivos de auditoría
y las oportunidades que surjan;

- cuestiones relacionadas con la confidencialidad y la seguridad de la información;

- cualquier acción de seguimiento de una auditoría anterior u otra (s) fuente (es), por ejemplo; lecciones
aprendidas, revisiones de proyectos;

- cualquier actividad de seguimiento de la auditoría planificada;

- coordinación con otras actividades de auditoría, en caso de una auditoría conjunta.

Los planes de auditoría deberían presentarse al auditado. Cualquier problema con los planes de auditoría
debería resolverse entre el líder del equipo de auditoría, el auditado y, si es necesario, la (s) persona (s) que
gestionan el programa de auditoría.

6.3.3 Asignación de trabajo al equipo de auditoría

El líder del equipo de auditoría, en consulta con el equipo de auditoría, debería asignar a cada miembro del
equipo la responsabilidad de auditar procesos, actividades, funciones o ubicaciones específicas y, según
corresponda, autoridad para la toma de decisiones. Dichas asignaciones deberían tener en cuenta la
imparcialidad y objetividad y la competencia de los auditores y el uso efectivo de los recursos, así como las
ISO 19011:2018

diferentes funciones y responsabilidades de los auditores, los auditores en formación y los expertos
técnicos.

Las reuniones del equipo de auditoría deberían ser llevadas a cabo, según corresponda, por el líder del
equipo de auditoría a fin de asignar asignaciones de trabajo y decidir posibles cambios. Se pueden realizar
cambios en las asignaciones de trabajo a medida que avanza la auditoría para garantizar el logro de los
objetivos de la auditoría.

6.3.4 Preparación de información documentada para auditoría

Los miembros del equipo de auditoría deberían recopilar y revisar la información relevante para sus
asignaciones de auditoría y preparar la información documentada para la auditoría, utilizando cualquier
medio apropiado. La información documentada para la auditoría puede incluir, pero no se limita a:

a) listas de verificación físicas o digitales;

b) detalles de muestreo de auditoría;

c) información audio visual.

El uso de estos medios no debería restringir el alcance de las actividades de auditoría, que pueden cambiar
como resultado de la información recopilada durante la auditoría.

NOTA La orientación para preparar los documentos de trabajo de auditoría figura en A.13.

La información documentada preparada para la auditoría y como resultado de la misma debería conservarse
al menos hasta la finalización de la auditoría, o según lo especificado en el programa de auditoría. La
retención de información documentada después de la finalización de la auditoría se describe en 6.6. La
información documentada creada durante el proceso de auditoría que involucra información confidencial o
de propiedad debería estar adecuadamente salvaguardada en todo momento por los miembros del equipo
de auditoría.

6.4 Realización de actividades de auditoría

6.4.1 Generalidades

Las actividades de auditoría normalmente se llevan a cabo en una secuencia definida, como se indica en la
Figura 1. Esta secuencia puede variar para adaptarse a las circunstancias de las auditorías específicas.

6.4.2 Asignación de roles y responsabilidades de guías y observadores

Los guías y observadores pueden acompañar al equipo de auditoría con las aprobaciones del líder del equipo
de auditoría, el cliente de auditoría y/o el auditado, de ser necesario. No deberían influir ni interferir en la
realización de la auditoría. Si esto no puede garantizarse, el líder del equipo auditor debería tener el derecho
de negar la presencia de observadores durante ciertas actividades de auditoría.

Para los observadores, cualquier acuerdo de acceso, salud y seguridad, medio ambiente, seguridad y
confidencialidad debería ser administrado entre el cliente de auditoría y el auditado.

Las guías, designadas por el auditado, deberían ayudar al equipo de auditoría y actuar a solicitud del líder del
equipo de auditoría o del auditor al que se le asignó. Sus responsabilidades deberían incluir lo siguiente:

a) ayudar a los auditores a identificar a los individuos para que participen en las entrevistas y confirmen
los horarios y las ubicaciones;
ISO 19011:2018

b) organizar el acceso a ubicaciones específicas del auditado;

c) garantizar que los miembros del equipo de auditoría y los observadores conozcan y respeten las
normas relativas a los acuerdos específicos de localización para el acceso, la salud y la seguridad, el
medio ambiente, la seguridad, la confidencialidad y otros asuntos, y que se aborden los riesgos;

d) ser testigo de la auditoría en nombre del auditado, cuando corresponda;

e) proporcionar aclaraciones o ayudar a recopilar información, cuando sea necesario.

6.4.3 Realización de la reunión de apertura

El propósito de la reunión de apertura es:

a) confirmar el acuerdo de todos los participantes (por ejemplo, auditado, equipo de auditoría) con el
plan de auditoría;

b) presentar al equipo de auditoría y sus roles;

c) garantizar que se puedan realizar todas las actividades de auditoría planificadas.

Se debería celebrar una reunión de apertura con la administración del auditado y, cuando corresponda, con
los responsables de las funciones o procesos a auditar. Durante la reunión, se debería brindar la
oportunidad de hacer preguntas.

El grado de detalle debería ser coherente con la familiaridad del auditado con el proceso de auditoría. En
muchos casos, por ejemplo; auditorías internas en una organización pequeña, la reunión de apertura puede
consistir simplemente en comunicar que se está llevando a cabo una auditoría y explicar la naturaleza de la
auditoría.

Para otras situaciones de auditoría, la reunión puede ser formal y los registros de asistencia deberían
conservarse. La reunión debería ser presidida por el líder del equipo de auditoría.

Se debería considerar la introducción de lo siguiente, según corresponda:

- otros participantes, incluidos observadores y guías, intérpretes y un esbozo de sus funciones;

- los métodos de auditoría para gestionar los riesgos para la organización que pueden resultar de la
presencia de los miembros del equipo de auditoría.

Se debería considerar la confirmación de los siguientes elementos, según corresponda:

- los objetivos, el alcance y los criterios de la auditoría;

- el plan de auditoría y otros arreglos relevantes con el auditado, como la fecha y hora de la reunión de
cierre, cualquier reunión interina entre el equipo de auditoría y la administración del auditado, y
cualquier cambio necesario;

- canales de comunicación formales entre el equipo de auditoría y el auditado;

- el idioma que se utilizará durante la auditoría;

- el auditado debería mantenerse informado del progreso de la auditoría durante la auditoría;

- la disponibilidad de los recursos y las instalaciones que necesita el equipo de auditoría;

- cuestiones relacionadas con la confidencialidad y la seguridad de la información;

ISO 19011:2018

- acceso relevante, salud y seguridad, seguridad, emergencia y otros arreglos para el equipo de auditoría;

- actividades en el sitio que pueden afectar la realización de la auditoría.

La presentación de información sobre los siguientes elementos se debería considerar, según corresponda:

- el método de informar los hallazgos de la auditoría, incluidos los criterios para la calificación, si
corresponde;

- condiciones bajo las cuales puede darse por terminada la auditoría;

- cómo tratar con posibles hallazgos durante la auditoría;

- cualquier sistema de retroalimentación del auditado sobre los hallazgos o conclusiones de la auditoría,
incluidas las quejas o apelaciones.

6.4.4 Comunicación durante la auditoría

Durante la auditoría, puede ser necesario hacer arreglos formales para la comunicación dentro del equipo
de auditoría, así como con el auditado, el cliente de auditoría y potencialmente con partes interesadas
externas (por ejemplo, reguladores), especialmente cuando los requisitos legales y reglamentarios requieren
la notificación obligatoria de incumplimiento.

El equipo de auditoría debería consultar periódicamente para intercambiar información, evaluar el progreso
de la auditoría y reasignar el trabajo entre los miembros del equipo de auditoría, según sea necesario.

Durante la auditoría, el líder del equipo de auditoría debería comunicar periódicamente el progreso, los
hallazgos significativos y cualquier inquietud al auditado y al cliente de auditoría, según corresponda. La
evidencia recopilada durante la auditoría que sugiera un riesgo inmediato y significativo se debería informar
sin demora al auditado y, según corresponda, al cliente de auditoría. Cualquier preocupación sobre un tema
fuera del alcance de la auditoría debería ser notada e informada al líder del equipo de auditoría, para una
posible comunicación con el cliente de auditoría y el auditado.

Cuando la evidencia de auditoría disponible indique que los objetivos de la auditoría son inalcanzables, el
líder del equipo de auditoría debería informar los motivos al cliente de auditoría y al auditado para
determinar la acción adecuada. Dicha acción puede incluir cambios en la planificación de la auditoría, los
objetivos de la auditoría o el alcance de la auditoría, o la terminación de la auditoría.

Cualquier necesidad de cambios en el plan de auditoría que pueda hacerse aparente a medida que avancen
las actividades de auditoría debería ser revisada y aceptada, según corresponda, tanto por la (s) persona (s)
que gestiona (n) el programa de auditoría como por el cliente de auditoría y presentada al auditado.

6.4.5 Disponibilidad y acceso a la información de auditoria

Los métodos de auditoría elegidos para una auditoría dependen de los objetivos de auditoría definidos, el
alcance y los criterios, así como la duración y la ubicación. La ubicación es donde la información necesaria
para la actividad de auditoría específica está disponible para el equipo de auditoría. Esto puede incluir
ubicaciones físicas y virtuales.

Dónde, cuándo y cómo acceder a la información de auditoría es crucial para la auditoría. Esto es
independiente de donde se crea, usa y/o almacena la información. En función de estos problemas, es
necesario determinar los métodos de auditoría (ver Tabla A.1). La auditoría puede usar una mezcla de
métodos. Además, las circunstancias de auditoría pueden significar que los métodos deberían cambiar
durante la auditoría.
ISO 19011:2018

6.4.6 Revisión de información documentada durante la realización de la auditoría

La información documentada relevante del auditado debería ser revisada para:

- determinar la conformidad del sistema, en la medida documentada, con los criterios de auditoría;

- recopilar información para apoyar las actividades de auditoría.

NOTA Se proporciona orientación sobre cómo verificar la información en A.5.

La revisión se puede combinar con las otras actividades de auditoría y puede continuar a lo largo de la
auditoría, siempre que esto no sea perjudicial para la efectividad de la realización de la auditoría.

Si no se puede proporcionar la información documentada adecuada dentro del marco de tiempo dado en el
plan de auditoría, el líder del equipo de auditoría debería informar tanto a la (s) persona (s) que gestionan el
programa de auditoría como al auditado. Dependiendo de los objetivos y el alcance de la auditoría, se
debería tomar una decisión sobre si la auditoría debería continuar o suspenderse hasta que se resuelvan los
problemas de información documentada.

6.4.7 Recopilación y verificación de información

Durante la auditoría, la información relevante para los objetivos, el alcance y los criterios de la auditoría,
incluida la información relacionada con las interfaces entre funciones, actividades y procesos, debería
recopilarse mediante un muestreo apropiado y debería verificarse, en la medida de lo posible.

NOTA 1 Para verificar la información, ver A.5.

NOTA 2 La orientación sobre el muestreo se muestra en A.6.

Solo la información que puede estar sujeta a cierto grado de verificación debería aceptarse como evidencia
de auditoría. Cuando el grado de verificación es bajo, el auditor debería usar su juicio profesional para
determinar el grado de confianza que se le puede atribuir como evidencia. La evidencia de auditoría que
conduzca a los hallazgos de auditoría debería registrarse. Si, durante la recopilación de evidencia objetiva, el
equipo de auditoría se da cuenta de cualquier circunstancia nueva o cambiada, o riesgos u oportunidades
nuevas, el equipo debería abordarlas en consecuencia.

La Figura 2 proporciona una visión general de un proceso típico, desde la recopilación de información hasta
llegar a conclusiones de auditoría.
ISO 19011:2018

Figura 2 - Descripción de un proceso típico de recopilación y verificación de información

Los métodos de recopilación de información incluyen, entre otros, los siguientes:
- entrevistas;
- observaciones;
- revisión de información documentada.
NOTA 3 En A.14 se proporciona orientación sobre la selección de fuentes de información y
observación.
NOTA 4 La guía para visitar la ubicación del auditado se encuentra en A.15.
NOTA 5 La orientación sobre la realización de entrevistas se da en A.17.
ISO 19011:2018

6.4.8 Generación de hallazgos de auditoría

La evidencia de auditoría debería ser evaluada contra los criterios de auditoría para determinar los hallazgos
de auditoría. Los hallazgos de auditoría pueden indicar conformidad o no conformidad con los criterios de
auditoría. Cuando el plan de auditoría lo especifican los hallazgos de la auditoría individual deberían incluir
conformidad y buenas prácticas junto con su evidencia de respaldo, oportunidades de mejora y cualquier
recomendación al auditado.

Se deberían registrar las no conformidades y su evidencia de auditoría de respaldo.

Las no conformidades se pueden clasificar según el contexto de la organización y sus riesgos. Esta
clasificación puede ser cuantitativa (por ejemplo, de 1 a 5) y cualitativa (por ejemplo, menor, mayor).
Deberían revisarse con el auditado para obtener un reconocimiento de que la evidencia de auditoría es
precisa y que las no conformidades se entienden. Se debería hacer todo lo posible para resolver las
opiniones divergentes sobre la evidencia o los hallazgos de auditoría. Los problemas no resueltos deberían
registrarse en el informe de auditoría.

El equipo auditor debería reunirse según sea necesario para revisar los hallazgos de auditoría en las etapas
apropiadas durante la auditoría.

NOTA 1 Se proporciona orientación adicional sobre la identificación y evaluación de los hallazgos de auditoría en A.18.

NOTA 2 La conformidad o no conformidad con los criterios de auditoría relacionados con los requisitos legales o
reglamentarios u otros requisitos, a veces se denomina cumplimiento o incumplimiento.

6.4.9 Determinación de conclusiones de auditoría

6.4.9.1 Preparación para la reunión de clausura

El equipo de auditoría debería consultar antes de la reunión de cierre para:

a) revisar los hallazgos de la auditoría y cualquier otra información apropiada recopilada durante la
auditoría, en relación con los objetivos de la auditoría;

b) acordar las conclusiones de la auditoría, teniendo en cuenta la incertidumbre inherente al proceso de

auditoría;

c) preparar recomendaciones, si así lo específica el plan de auditoría;

d) discutir el seguimiento de la auditoría, según corresponda.

6.4.9.2 Contenido de las conclusiones de la auditoría

Las conclusiones de la auditoría deberían abordar cuestiones tales como las siguientes:

a) el grado de conformidad con los criterios de auditoría y la solidez del sistema de gestión, incluida la
eficacia del sistema de gestión para alcanzar los resultados previstos, la identificación de los riesgos y la
eficacia de las medidas adoptadas por el auditado para abordar los riesgos;

b) la implementación, el mantenimiento y la mejora efectivos del sistema de gestión;

c) el logro de los objetivos de la auditoría, la cobertura del alcance de la auditoría y el cumplimiento de

los criterios de auditoría;

d) hallazgos similares realizados en diferentes áreas que fueron auditadas o de una auditoría conjunta o
previa con el propósito de identificar tendencias.
ISO 19011:2018

Si el plan de auditoría lo especifica, las conclusiones de la auditoría pueden llevar a recomendaciones de

mejora o a futuras actividades de auditoría.

6.4.10 Realización de la reunión de clausura

Se debería realizar una reunión de cierre para presentar los hallazgos y conclusiones de la auditoría.

La reunión de cierre debería ser presidida por el líder del equipo de auditoría y asistida por la administración
del auditado e incluir, según corresponda:

- los responsables de las funciones o procesos que han sido auditados;

- el cliente de auditoría;

- otros miembros del equipo de auditoría;

- otras partes interesadas relevantes según lo determine el cliente de auditoría y/o el auditado.

Si corresponde, el líder del equipo auditor debería informar al auditado sobre las situaciones encontradas
durante la auditoría que pueden disminuir la confianza que se puede depositar en las conclusiones de la
auditoría. Si se define en el sistema de gestión o por acuerdo con el cliente de auditoría, los participantes
deberían acordar el marco de tiempo para un plan de acción para abordar los hallazgos de auditoría.

El grado de detalle debería tener en cuenta la efectividad del sistema de gestión para lograr los objetivos del
auditado, incluida la consideración de su contexto y los riesgos y oportunidades.

La familiaridad del auditado con el proceso de auditoría también debería tenerse en cuenta durante la
reunión de cierre, para garantizar que se proporciona el nivel correcto de detalle a los participantes.

Para algunas situaciones de auditoría, la reunión puede ser formal y las actas, incluidos los registros de
asistencia, deberían mantenerse. En otros casos, por ejemplo; auditorías internas, la reunión de cierre
puede ser menos formal y consistir únicamente en comunicar los hallazgos de la auditoría y las conclusiones
de la auditoría.

Según corresponda, lo siguiente debería explicarse al auditado en la reunión de clausura:

a) informar que la evidencia de auditoría recopilada se basó en una muestra de la información disponible
y no es necesariamente representativa de la eficacia general de los procesos del auditado;

b) el método de informar;

c) cómo debería abordarse la conclusión de la auditoría en función del proceso acordado;

d) posibles consecuencias de no abordar adecuadamente los hallazgos de la auditoría;

e) presentación de los hallazgos y conclusiones de auditoría de tal manera que la gerencia del auditado
los comprenda y los reconozca;

f) cualquier actividad posterior a la auditoría relacionada (por ejemplo, implementación y revisión de

acciones correctivas, tratamiento de quejas de auditoría, proceso de apelación).

Cualquier opinión divergente con respecto a los hallazgos o conclusiones de la auditoría entre el equipo de
auditoría y el auditado debería debatirse y, si es posible, resolverse. Si no se resuelve, esto debería
registrarse.

Si así lo especifican los objetivos de la auditoría, se pueden presentar recomendaciones para oportunidades
de mejora. Se debería enfatizar que las recomendaciones no son vinculantes.
ISO 19011:2018

6.5 Preparación y distribución del informe de auditoría

6.5.1 Preparación del informe de auditoría

El líder del equipo auditor debería informar las conclusiones de la auditoría de acuerdo con el programa de
auditoría. El informe de auditoría debería proporcionar un registro completo, preciso, conciso y claro de la
auditoría, e incluir o hacer referencia a lo siguiente:

a) objetivos de auditoría;

b) alcance de la auditoría, particularmente identificación de la organización (el auditado) y las funciones

o procesos auditados;

c) identificación del cliente de auditoría;

d) identificación del equipo de auditoría y los participantes del auditado en la auditoría;

e) fechas y lugares donde se llevaron a cabo las actividades de auditoría;

f) criterios de auditoría;

g) hallazgos de auditoría y evidencia relacionada;

h) conclusiones de auditoría;

i) una declaración sobre el grado en que se han cumplido los criterios de auditoría;

j) cualquier opinión divergente no resuelta entre el equipo de auditoría y el auditado;

k) las auditorías por naturaleza son un ejercicio de muestreo; como tal, existe el riesgo de que la
evidencia de auditoría examinada no sea representativa.

El informe de auditoría también puede incluir o hacer referencia a lo siguiente, según corresponda:

- el plan de auditoría, incluido el cronograma;

- un resumen del proceso de auditoría, incluidos los obstáculos encontrados que pueden disminuir la
fiabilidad de las conclusiones de la auditoría;

- confirmación de que los objetivos de la auditoría se han logrado dentro del alcance de la auditoría de
acuerdo con el plan de auditoría;

- cualquier área dentro del alcance de la auditoría no cubierta incluyendo cualquier problema de
disponibilidad de evidencia, recursos o confidencialidad, con justificaciones relacionadas;

- un resumen que cubre las conclusiones de la auditoría y los principales hallazgos de la auditoría que los
respaldan;

- buenas prácticas identificadas;

- seguimiento del plan de acción acordado, si corresponde;

- una declaración de la naturaleza confidencial de los contenidos;

- cualquier compromiso para el programa de auditoría o auditorías posteriores.

ISO 19011:2018

6.5.2 Distribuir el informe de auditoría

El informe de auditoría debería emitirse dentro del tiempo acordado. Si se retrasa, los motivos deberían
comunicarse al auditado y a la (s) persona (s) que gestionan el programa de auditoría.

El informe de auditoría debería estar fechado, revisado y aceptado, según corresponda, de conformidad con
el programa de auditoría.

El informe de auditoría debería distribuirse a las partes interesadas pertinentes definidas en el programa de
auditoría o el plan de auditoría.

Al distribuir el informe de auditoría, se deberían considerar medidas apropiadas para garantizar la

confidencialidad.

6.6 Completar la auditoría

La auditoría se completa cuando se han llevado a cabo todas las actividades de auditoría planificadas, o
según se acuerde con el cliente de auditoría (por ejemplo, puede haber una situación inesperada que impida
completar la auditoría de acuerdo con el plan de auditoría).

La información documentada relativa a la auditoría debería conservarse o eliminarse por acuerdo entre las
personas participantes y de acuerdo con el programa de auditoría y los requisitos aplicables.

A menos que lo exija la ley, el equipo de auditoría y las personas que gestionan el programa de auditoría no
deberían divulgar ninguna información obtenida durante la auditoría, o el informe de auditoría, a ninguna
otra parte sin la aprobación explícita del cliente de auditoría y, cuando corresponda, la aprobación del
auditado. Si se requiere la divulgación del contenido de un documento de auditoría, el cliente de auditoría y
el auditado deberían ser informados lo más pronto posible.

Las lecciones aprendidas de la auditoría pueden identificar riesgos y oportunidades para el programa de
auditoría y el auditado.

6.7 Realización de seguimiento de auditoría

El resultado de la auditoría puede, dependiendo de los objetivos de la auditoría, indicar la necesidad de
correcciones o de acciones correctivas u oportunidades de mejora. Tales acciones generalmente son
decididas y llevadas a cabo por el auditado dentro de un plazo acordado. Según corresponda, el auditado
debería mantener informadas a las personas que gestionan el programa de auditoría y/o al equipo de
auditoría sobre el estado de estas acciones.

La finalización y efectividad de estas acciones debería ser verificada. Esta verificación puede ser parte de una
auditoría posterior. Los resultados se deberían informar a la persona que gestiona el programa de auditoría
y se informa al cliente de auditoría para su revisión por la dirección.
ISO 19011:2018

7 Competencia y evaluación de auditores

7.1 Generalidades
La confianza en el proceso de auditoría y la capacidad para lograr sus objetivos depende de la competencia
de las personas que participan en la realización de las auditorías, incluidos los auditores y el líder del equipo
de auditoría. La competencia debería evaluarse periódicamente a través de un proceso que considera el
comportamiento personal y la capacidad de aplicar el conocimiento y las habilidades adquiridas a través de
la educación, la experiencia laboral, la formación de auditores y la experiencia de auditoría. Este proceso
debería tomar en consideración las necesidades del programa de auditoría y sus objetivos. Algunos de los
conocimientos y habilidades descritos en 7.2.3 son comunes para los auditores de cualquier disciplina del
sistema de gestión; otros son específicos de las disciplinas del sistema de gestión individual. No es necesario
que cada auditor en el equipo de auditoría tenga la misma competencia. Sin embargo, la competencia
general del equipo de auditoría debería ser suficiente para lograr los objetivos de la auditoría.

La evaluación de la competencia del auditor debería planificarse, implementarse y documentarse para

proporcionar un resultado objetivo, consistente, justo y confiable. El proceso de evaluación debería incluir
cuatro pasos principales, de la siguiente manera:

a) determinar la competencia requerida para satisfacer las necesidades del programa de auditoría;

b) establecer los criterios de evaluación;

c) seleccione el método de evaluación apropiado;

d) realizar la evaluación.

El resultado del proceso de evaluación debería proporcionar una base para lo siguiente:

- selección de los miembros del equipo de auditoría (como se describe en 5.5.4);

- determinar la necesidad de una competencia mejorada (por ejemplo, capacitación adicional);

- evaluación continua del desempeño de los auditores.

Los auditores deberían desarrollar, mantener y mejorar su competencia a través del desarrollo profesional
continuo y la participación regular en las auditorías (ver 7.6).

Un proceso para evaluar a los auditores y al líder del equipo de auditoría se describe en 7.3, 7.4 y 7.5. Los
auditores y los jefes de los equipos de auditoría deberían evaluarse según los criterios establecidos en 7.2.2
y 7.2.3, así como los criterios establecidos en 7.1.

La competencia requerida de la (s) persona (s) que gestiona (n) el programa de auditoría se describe en
5.4.2.

7.2 Determinación de la competencia del auditor

7.2.1 Generalidades

Al decidir la competencia necesaria para una auditoría, los conocimientos y habilidades de un auditor
relacionado con lo siguiente, debería ser considerado:

a) el tamaño, naturaleza, complejidad, productos, servicios y procesos de los auditados;

ISO 19011:2018

b) los métodos para auditar;

c) las disciplinas del sistema de gestión que se auditarán;

d) la complejidad y los procesos del sistema de gestión a auditar;

e) los tipos y niveles de riesgos y oportunidades abordados por el sistema de gestión;

f) los objetivos y el alcance del programa de auditoría;

g) la incertidumbre en el logro de los objetivos de la auditoría;

h) otros requisitos, como los impuestos por el cliente de auditoría u otras partes interesadas pertinentes,
según corresponda.

Esta información debería coincidir con la que se detalla en 7.2.3.

7.2.2 Comportamiento personal

Los auditores deberían poseer los atributos necesarios para que puedan actuar de acuerdo con los principios
de auditoría descritos en la Cláusula 4. Los auditores deberían exhibir un comportamiento profesional
durante la realización de las actividades de auditoría. Los comportamientos profesionales deseados incluyen
ser:

a) ético, es decir, justo, veraz, sincero, honesto y discreto;

b) de mente abierta, es decir, dispuesto a considerar ideas o puntos de vista alternativos;

c) diplomático, es decir, discreto al tratar con individuos;

d) observador, es decir, observando activamente el entorno físico y las actividades;

e) perceptivo, es decir, consciente de y capaz de comprender situaciones;

f) versátil, es decir, capaz de adaptarse fácilmente a diferentes situaciones;

g) tenaz, es decir persistente y enfocado en alcanzar objetivos;

h) decisivo, es decir, capaz de llegar a conclusiones oportunas basadas en el razonamiento lógico y el

análisis;

i) autosuficiente, es decir, capaz de actuar y funcionar independientemente mientras interactúa

efectivamente con otros;

j) capaz de actuar con fortaleza, es decir, capaz de actuar de manera responsable y ética, aunque estas
acciones no siempre sean populares y en ocasiones pueden dar lugar a desacuerdos o confrontaciones;

k) abierto a la mejora, es decir, dispuesto a aprender de las situaciones;

l) culturalmente sensible, es decir, atento y respetuoso con la cultura del auditado;

m) colaborador, es decir, interacción efectiva con otros, incluidos los miembros del equipo de auditoría y
el personal del auditado

7.2.3 Conocimiento y habilidades

7.2.3.1 Generalidades
ISO 19011:2018

Los auditores deberían poseer:

a) el conocimiento y las habilidades necesarias para lograr los resultados esperados de las auditorías que
se espera que realicen;

b) competencia genérica y un nivel de disciplina y conocimientos y habilidades específicos del sector.

El líder del equipo de auditoría debería tener los conocimientos y habilidades adicionales necesarios para
proporcionar liderazgo al equipo de auditoría.

7.2.3.2 Conocimientos genéricos y habilidades de los auditores del sistema de gestión

Los auditores deberían tener conocimiento y habilidades en las áreas que se detallan a continuación.

a) Principios, procesos y métodos de auditoría: el conocimiento y las habilidades en esta área le permiten
al auditor asegurar que las auditorías se realicen de manera consistente y sistemática.

Un auditor debería ser capaz de:

- comprender los tipos de riesgos y oportunidades asociados con la auditoría y los principios del
enfoque de auditoría basado en el riesgo;

- planificar y organizar el trabajo de manera efectiva;

- realizar la auditoría dentro del cronograma acordado;

- priorizar y enfocarse en asuntos importantes;

- comunicarse de manera efectiva, oralmente y por escrito (ya sea personalmente o mediante el
uso de intérpretes);

- recopilar información mediante entrevistas efectivas, escuchar, observar y revisar información

documentada, incluidos registros y datos;

- comprender la idoneidad y las consecuencias del uso de técnicas de muestreo para la auditoría;

- entender y considerar las opiniones de los expertos técnicos;

- auditar un proceso de principio a fin, incluidas las interrelaciones con otros procesos y diferentes
funciones, según corresponda;

- verificar la relevancia y exactitud de la información recopilada;

- confirmar la suficiencia e idoneidad de la evidencia de auditoría para respaldar los hallazgos y

conclusiones de la auditoría;

- evaluar aquellos factores que pueden afectar la confiabilidad de los hallazgos y conclusiones de la
auditoría;

- documentar las actividades de auditoría y los hallazgos de auditoría, y preparar informes;

- mantener la confidencialidad y seguridad de la información.

b) Normas del sistema de gestión y otras referencias: el conocimiento y las habilidades en esta área le
permiten al auditor comprender el alcance de la auditoría y aplicar criterios de auditoría, y deberían
cubrir lo siguiente:
ISO 19011:2018

- normas del sistema de gestión u otros documentos normativos u orientativos/de apoyo utilizados
para establecer criterios o métodos de auditoría;

- la aplicación de los estándares del sistema de gestión por el auditado y otras organizaciones;

- relaciones e interacciones entre los procesos del sistema de gestión;

- comprender la importancia y la prioridad de múltiples estándares o referencias;

- aplicación de estándares o referencias a diferentes situaciones de auditoría.

c) La organización y su contexto: el conocimiento y las habilidades en esta área le permiten al auditor

comprender la estructura, el propósito y las prácticas de gestión del auditado y debería cubrir lo
siguiente:

- necesidades y expectativas de las partes interesadas relevantes que impactan en el sistema de

gestión;

- tipo de organización, gobierno, tamaño, estructura, funciones y relaciones;

- conceptos generales de negocios y gestión, procesos y terminología relacionada, incluida la

planificación, presupuestación y gestión de personas;

- aspectos culturales y sociales del auditado.

d) Requisitos reglamentarios y legales aplicables y otros requisitos: el conocimiento y las habilidades en

esta área le permiten al auditor conocer y trabajar dentro de los requisitos de la organización. Los
conocimientos y habilidades específicos de la jurisdicción o de las actividades, procesos, productos y
servicios del auditado deberían cubrir lo siguiente:

- requisitos legales y reglamentarios, así como sus agencias de gobierno;

- terminología jurídica básica;

- contratación y responsabilidad.

NOTA La conciencia de los requisitos legales y reglamentarios no implica pericia legal y una auditoría del sistema de
gestión no debería tratarse como una auditoría de cumplimiento legal.

7.2.3.3 Disciplina y competencia sectorial específica de los auditores

Los equipos de auditoría deberían tener la disciplina colectiva y la competencia específica del sector
apropiada para auditar los tipos particulares de sistemas y sectores de gestión.

La disciplina y la competencia de auditores específica del sector incluyen lo siguiente:

a) requisitos y principios del sistema de gestión, y su aplicación;

b) fundamentos de la (s) disciplina (s) y sector (es) relacionados con los estándares de los sistemas de
gestión aplicados por el auditado;

c) aplicación de disciplina y métodos, técnicas, procesos y prácticas específicos del sector para permitir
que el equipo de auditoría evalúe la conformidad dentro del alcance de auditoría definido y genere
conclusiones y conclusiones de auditoría apropiadas;

d) principios, métodos y técnicas relevantes para la disciplina y el sector, de modo que el auditor pueda
determinar y evaluar los riesgos y oportunidades asociados con los objetivos de la auditoría.
ISO 19011:2018

7.2.3.4 Competencia genérica del líder del equipo de auditoría

Con el fin de facilitar la realización eficiente y efectiva de la auditoría, un líder del equipo de auditoría
debería tener la competencia para:

a) planificar la auditoría y asignar tareas de auditoría de acuerdo con la competencia específica de los
miembros del equipo de auditoría individual;

b) discutir cuestiones estratégicas con la alta dirección del auditado para determinar si han considerado
estos problemas al evaluar sus riesgos y oportunidades;

c) desarrollar y mantener una relación de trabajo colaborativo entre los miembros del equipo de
auditoría;

d) gestionar el proceso de auditoría, que incluye:

- hacer un uso efectivo de los recursos durante la auditoría;

- gestionar la incertidumbre de alcanzar los objetivos de auditoría;

- proteger la salud y la seguridad de los miembros del equipo de auditoría durante la auditoría, lo
que incluye garantizar el cumplimiento de los auditores con los acuerdos de seguridad y salud
pertinentes;

- dirigir a los miembros del equipo de auditoría;

- proporcionar dirección y orientación a los auditores en formación;

- prevenir y resolver conflictos y problemas que puedan ocurrir durante la auditoría, incluidos los
que están dentro del equipo de auditoría, según sea necesario.

e) representar al equipo de auditoría en las comunicaciones con las personas que gestionan el programa
de auditoría, el cliente de auditoría y el auditado;

f) llevar al equipo de auditoría a alcanzar las conclusiones de la auditoría;

g) preparar y completar el informe de auditoría.

7.2.3.5 Conocimiento y habilidades para auditar múltiples disciplinas

Al auditar múltiples sistemas de gestión de la disciplina, el miembro del equipo de auditoría debería
comprender las interacciones y la sinergia entre los diferentes sistemas de gestión.

Los líderes del equipo de auditoría deberían comprender los requisitos de cada uno de los estándares del
sistema de gestión auditados y reconocer los límites de su competencia en cada una de las disciplinas. NOTA
Las auditorías de múltiples disciplinas realizadas simultáneamente pueden realizarse como una auditoría
combinada o como una auditoría de un sistema integrado de gestión que abarca múltiples disciplinas.

7.2.4 Alcanzar la competencia del auditor

La competencia del auditor se puede adquirir usando una combinación de lo siguiente:

a) completar con éxito programas de capacitación que cubren el conocimiento y las habilidades del
auditor genérico;
ISO 19011:2018

b) experiencia en un puesto técnico, gerencial o profesional relevante que implique el ejercicio del juicio,
la toma de decisiones, la resolución de problemas y la comunicación con gerentes, profesionales,
compañeros, clientes y otras partes interesadas relevantes;

c) educación/capacitación y experiencia en una disciplina y sector específico del sistema de gestión que
contribuyen al desarrollo de la competencia general;

d) experiencia de auditoría adquirida bajo la supervisión de un auditor competente en la misma

disciplina.

NOTA La finalización exitosa de un curso de capacitación dependerá del tipo de curso. Para los cursos con un
componente de examen puede significar aprobar el examen con éxito. Para otros cursos, puede significar participar y
completar el curso.

7.2.5 Lograr la competencia del líder del equipo de auditoría

Un líder del equipo de auditoría debería haber adquirido experiencia de auditoría adicional para desarrollar
la competencia descrita en 7.2.3.4. Esta experiencia adicional debería haberse obtenido trabajando bajo la
dirección y guía de un líder diferente del equipo de auditoría.

7.3 Establecimiento de criterios de evaluación del auditor

Los criterios deberían ser cualitativos (como haber demostrado el comportamiento deseado, el
conocimiento o el desempeño de las habilidades, en la capacitación o en el lugar de trabajo) y cuantitativos
(como los años de experiencia laboral y educación, el número de auditorías realizadas, las horas de auditoría
formación).

7.4 Selección del método de evaluación del auditor apropiado

La evaluación debería realizarse utilizando dos o más de los métodos que figuran en la Tabla 2. Al utilizar la
Tabla 2, se debería tener en cuenta lo siguiente:

a) los métodos descritos representan una gama de opciones y pueden no aplicarse en todas las situaciones;

b) los diversos métodos descritos pueden diferir en su fiabilidad;

c) se debería usar una combinación de métodos para garantizar un resultado objetivo, consistente, justo y
confiable.
ISO 19011:2018

7.5 Realización de la evaluación del auditor

La información recopilada sobre el auditor en evaluación debería compararse con los criterios establecidos
en 7.2.3. Cuando un auditor bajo evaluación que se espera que participe en el programa de auditoría no
cumple con los criterios, se debería realizar una capacitación adicional, trabajo o experiencia de auditoría y
se debería realizar una reevaluación posterior.

7.6 Mantenimiento y mejora de la competencia del auditor

Los auditores y los líderes del equipo de auditoría deberían mejorar continuamente su competencia. Los
auditores deberían mantener su competencia de auditoría a través de la participación regular en las
auditorías del sistema de gestión y el desarrollo profesional continuo. Esto se puede lograr a través de
medios tales como experiencia laboral adicional, capacitación, estudio privado, entrenamiento, asistencia a
reuniones, seminarios y conferencias u otras actividades relevantes.

Las personas que gestionan el programa de auditoría deberían establecer mecanismos adecuados para la
evaluación continua del desempeño de los auditores y del líder del equipo de auditoría.
ISO 19011:2018

Las actividades de desarrollo profesional continuo deberían tener en cuenta lo siguiente:

a) cambios en las necesidades del individuo y la organización responsable de la realización de la

auditoría;

b) desarrollos en la práctica de la auditoría, incluido el uso de la tecnología;

c) normas relevantes que incluyen orientación/documentos justificativos y otros requisitos;

d) cambios en el sector o disciplinas.