Auditoría Interna ISO 9001: Guía Paso a Paso | GRC360

La auditoría interna es uno de los requisitos más importantes de ISO 9001 y, paradójicamente, uno de los que más ansiedad genera en las organizaciones. La cláusula 9.2 establece que la organización debe realizar auditorías internas a intervalos planificados para verificar que el SGC cumple con los requisitos de la norma y que se implementa y mantiene eficazmente. Pero una auditoría bien planificada no es motivo de temor: es una oportunidad invaluable para descubrir mejoras y fortalecer el sistema de gestión.

En este artículo te guiaremos paso a paso para planificar, ejecutar y dar seguimiento a auditorías internas de ISO 9001. Si estás empezando con la norma, te recomendamos primero leer nuestra guía completa de ISO 9001.

¿Qué exige ISO 9001 sobre auditoría interna?

La cláusula 9.2 establece requisitos específicos que la organización debe cumplir:

Planificar, establecer, implementar y mantener un programa de auditoría que incluya frecuencia, métodos, responsabilidades, requisitos de planificación e informes.
Definir los criterios y alcance de cada auditoría.
Seleccionar auditores que aseguren objetividad e imparcialidad del proceso.
Asegurar que los resultados se reporten a la dirección pertinente.
Realizar correcciones y acciones correctivas sin demora injustificada.
Conservar información documentada como evidencia del programa y sus resultados.

Planificación del programa de auditoría

El programa de auditoría es el documento maestro que define la estrategia de auditoría para un período determinado (generalmente un año). Debe considerar:

Frecuencia

La norma no especifica una frecuencia mínima, pero todos los procesos del SGC deben auditarse al menos una vez en el ciclo de certificación (3 años). La práctica recomendada es auditar cada proceso al menos una vez al año, con mayor frecuencia para procesos críticos o que hayan presentado no conformidades.

Priorización basada en riesgos

El programa debe considerar la importancia de los procesos, los cambios que afecten a la organización y los resultados de auditorías previas. Procesos con no conformidades recurrentes o que manejan riesgos altos merecen auditorías más frecuentes.

Recursos

Definir quiénes serán los auditores internos, qué formación necesitan y cuánto tiempo se asignará a cada auditoría. En pymes, es común que los auditores sean colaboradores de otras áreas capacitados en técnicas de auditoría.

Elemento del programa	Contenido
Alcance del programa	Todos los procesos del SGC durante el año 2026
Frecuencia	Semestral para procesos críticos, anual para procesos de soporte
Equipo auditor	Nombres de auditores internos calificados y sus competencias
Calendario	Fechas planificadas para cada auditoría del período
Criterios	ISO 9001:2015, procedimientos internos, requisitos legales
Métodos	Entrevistas, revisión documental, observación en terreno

Preparación de la auditoría individual

Antes de cada auditoría específica, el auditor debe prepararse adecuadamente:

Revisar documentación: Leer los procedimientos, instructivos y registros del proceso a auditar. Revisar resultados de auditorías anteriores y el estado de acciones correctivas previas.
Elaborar la lista de verificación (checklist): Preparar preguntas específicas basadas en los requisitos aplicables de ISO 9001 y los procedimientos internos del proceso.
Comunicar al auditado: Notificar con anticipación la fecha, hora, alcance y duración estimada de la auditoría. El objetivo no es sorprender sino verificar.
Confirmar logística: Sala de reunión, acceso a sistemas, disponibilidad de las personas clave del proceso.

Tip para pymes: En empresas pequeñas donde todos se conocen, mantener la objetividad es un desafío. La regla fundamental es que nadie audite su propio trabajo. Si tienes pocos auditores, considera intercambios de auditoría con otras empresas del mismo rubro.

Ejecución de la auditoría

La auditoría se desarrolla en las siguientes fases:

Reunión de apertura

Breve reunión con los responsables del proceso para confirmar el alcance, la agenda y los criterios de la auditoría. Establecer el tono: es una evaluación colaborativa, no una inspección punitiva.

Recopilación de evidencia

El auditor utiliza tres técnicas principales:

Entrevistas: Conversar con las personas que ejecutan el proceso para verificar que entienden sus responsabilidades y siguen los procedimientos.
Revisión documental: Verificar que los registros existen, están actualizados y demuestran conformidad con los requisitos.
Observación: Observar la ejecución real del proceso para comparar con lo documentado.

Clasificación de hallazgos

Los hallazgos se clasifican en:

No conformidad mayor: Incumplimiento total de un requisito o falla sistemática que compromete la eficacia del SGC.
No conformidad menor: Incumplimiento parcial o aislado que no compromete la eficacia general del sistema.
Observación: Situación que podría convertirse en no conformidad si no se atiende, o una oportunidad de mejora.
Oportunidad de mejora: Sugerencia para mejorar la eficacia o eficiencia del proceso sin que exista un incumplimiento.

Reunión de cierre

Presentar los hallazgos al equipo auditado, asegurar que se comprendan y acordar plazos para las acciones correctivas. Es importante que no haya sorpresas: todo hallazgo debe haberse comunicado durante la auditoría.

Informe de auditoría

El informe debe ser claro, objetivo y útil. Debe incluir:

Objetivo y alcance de la auditoría
Criterios de auditoría utilizados
Equipo auditor y personas entrevistadas
Resumen de hallazgos clasificados
Descripción detallada de cada no conformidad con la evidencia que la sustenta
Conclusión sobre la eficacia del proceso auditado
Plazos acordados para acciones correctivas

Seguimiento de acciones correctivas

El valor real de la auditoría se materializa en las acciones correctivas. Para cada no conformidad, el responsable del proceso debe:

Análisis de causa raíz: Utilizar herramientas como los 5 Por Qué, diagrama de Ishikawa o análisis de Pareto para identificar la verdadera causa del problema.
Definir la acción correctiva: Una acción que elimine la causa raíz, no solo el síntoma.
Implementar y registrar: Ejecutar la acción dentro del plazo acordado y documentar la evidencia.
Verificar eficacia: El auditor debe verificar que la acción fue implementada y que efectivamente eliminó la causa raíz. Más detalles sobre este proceso en nuestro artículo de no conformidades y acciones correctivas.

Error común: Tratar las acciones correctivas como un trámite. Si la acción correctiva es "capacitar al personal", eso probablemente no ataca la causa raíz. Pregúntate por qué la persona no sabía lo que debía hacer y trabaja sobre esa causa.

Digitaliza tus auditorías internas

Con GRC360 puedes planificar el programa de auditoría, ejecutar auditorías con listas de verificación digitales y dar seguimiento automático a las acciones correctivas. Todo en un solo lugar.

Crear Cuenta Gratis

Competencia de los auditores internos

ISO 9001 exige que los auditores sean competentes y objetivos. Las competencias clave incluyen:

Conocimiento de ISO 9001:2015 y sus requisitos
Conocimiento de los procesos de la organización
Habilidades de comunicación y entrevista
Capacidad de análisis y pensamiento crítico
Integridad y ética profesional

La formación puede obtenerse a través de cursos de auditor interno ISO 9001 de 16 horas, complementados con experiencia práctica como auditor acompañante antes de auditar de manera independiente. Para una visión más amplia sobre auditoría, consulta nuestro artículo sobre mejores prácticas de auditoría interna. También puedes revisar cómo realizar auditorías con herramientas digitales en nuestra guía de auditoría interna con GRC360.

Recomendación: Forma al menos a dos auditores internos en tu empresa para asegurar la continuidad del programa de auditoría y permitir la rotación que garantiza la objetividad.

Auditoría interna ISO 9001: cómo prepararse paso a paso