Auditoría y Certificación

ISO 19011: guía completa para auditorías de sistemas de gestión

Por Equipo GRC360 20 de March, 2026 13 min de lectura
Guía Completa
Guía completa ISO 19011 para auditorías de sistemas de gestión

La auditoría es una de las herramientas más poderosas para verificar la eficacia de un sistema de gestión y encontrar oportunidades de mejora. ISO 19011:2018 es la norma internacional que proporciona las directrices para auditar cualquier sistema de gestión, ya sea de calidad (ISO 9001), seguridad de la información (ISO 27001), ambiental (ISO 14001), antisoborno (ISO 37001) o cualquier otro estándar basado en la Estructura de Alto Nivel.

En esta guía completa exploraremos los principios de auditoría, la gestión de programas de auditoría, la ejecución de auditorías y las competencias requeridas de los auditores, con enfoque práctico para empresas chilenas.

¿Qué es ISO 19011 y cuál es su alcance?

ISO 19011:2018 es una norma de directrices (no certificable) que proporciona orientación sobre la auditoría de sistemas de gestión. A diferencia de normas como ISO 27001 o ISO 9001, no establece requisitos sino buenas prácticas. Sin embargo, su aplicación es prácticamente universal en el mundo de la certificación ISO.

La norma cubre auditorías de primera parte (internas), auditorías de segunda parte (a proveedores o socios) y proporciona orientación aplicable a las auditorías de tercera parte (certificación). No reemplaza los requisitos específicos de auditoría de cada norma de sistema de gestión, sino que los complementa con una metodología general.

Los siete principios de auditoría

ISO 19011 establece siete principios que fundamentan toda auditoría de sistemas de gestión:

PrincipioDescripciónAplicación práctica
IntegridadFundamento del profesionalismo del auditorRealizar el trabajo de forma honesta, diligente y responsable
Presentación imparcialObligación de informar con veracidad y exactitudReportar hallazgos, conclusiones y recomendaciones de forma objetiva
Debido cuidado profesionalAplicar diligencia y juicio al auditarPrepararse adecuadamente, respetar la confidencialidad, actuar con competencia
ConfidencialidadSeguridad de la información obtenidaNo divulgar información de la auditoría sin autorización
IndependenciaBase de la imparcialidad y objetividadLos auditores no auditan su propio trabajo ni tienen conflictos de interés
Enfoque basado en la evidenciaMétodo racional para llegar a conclusiones fiablesLas conclusiones se basan en evidencia verificable, no en suposiciones
Enfoque basado en riesgosConsiderar riesgos y oportunidadesFocalizar los recursos de auditoría en las áreas de mayor riesgo

Gestión de un programa de auditoría

Planificación del programa

Un programa de auditoría es el conjunto de auditorías planificadas para un período determinado. La planificación debe considerar los objetivos del programa (verificar cumplimiento, identificar mejoras, preparar certificación), el alcance de cada auditoría, la frecuencia de auditorías para cada proceso o área, los recursos necesarios (auditores competentes, tiempo, logística), y los riesgos del programa (disponibilidad de auditores, acceso a áreas, cambios organizacionales).

Enfoque basado en riesgos del programa

ISO 19011 enfatiza que la frecuencia y profundidad de las auditorías deben ser proporcionales al riesgo. Los procesos con mayor impacto en la conformidad del sistema, con historial de no conformidades o con cambios significativos recientes deben auditarse con mayor frecuencia y profundidad. Consulta nuestra guía sobre mejores prácticas de auditoría interna para más detalles.

Ejecución de una auditoría: paso a paso

Fase 1: Inicio de la auditoría

Incluye la designación del líder del equipo auditor, la definición de objetivos, alcance y criterios de auditoría, la determinación de la viabilidad de la auditoría, y el contacto inicial con el auditado.

Fase 2: Preparación de actividades de auditoría

El equipo auditor debe revisar la documentación del sistema de gestión, preparar el plan de auditoría con horarios y áreas a visitar, elaborar listas de verificación (checklists) basadas en los criterios de auditoría, y asignar tareas a los miembros del equipo.

Fase 3: Realización de la auditoría

  • Reunión de apertura: Confirmar el plan, presentar al equipo, explicar la metodología
  • Recopilación de evidencia: Entrevistas, observación de actividades, revisión de documentos y registros, muestreo
  • Generación de hallazgos: Evaluar la evidencia contra los criterios de auditoría, clasificar hallazgos (conformidad, no conformidad mayor, no conformidad menor, observación, oportunidad de mejora)
  • Reunión de cierre: Presentar hallazgos preliminares, acordar plazos para acciones correctivas

Fase 4: Preparación y distribución del informe

El informe de auditoría debe documentar los hallazgos de forma clara y concisa, con evidencia suficiente para sustentar cada uno. El informe se distribuye a las partes relevantes según lo acordado.

Fase 5: Seguimiento de la auditoría

Verificar que las acciones correctivas para las no conformidades se implementaron de forma efectiva y en los plazos acordados.

Dato clave: ISO 19011 distingue entre no conformidad mayor (incumplimiento que afecta la capacidad del sistema para lograr sus resultados previstos) y no conformidad menor (incumplimiento que no afecta significativamente la capacidad del sistema). Esta clasificación es importante para la priorización de acciones correctivas.

Competencia de los auditores

ISO 19011 dedica una sección completa a las competencias de los auditores. Un auditor competente debe poseer conocimiento de la norma o normas contra las que se audita, comprensión de los procesos de la organización, habilidades de comunicación y entrevista, capacidad de análisis y juicio, comportamiento ético e imparcial, y conocimiento del enfoque basado en riesgos.

Para auditorías de sistemas específicos, los auditores necesitan competencias adicionales. Por ejemplo, un auditor de ISO 27001 necesita conocimientos de seguridad de la información, mientras que un auditor de ISO 14001 requiere conocimientos ambientales.

Técnicas de auditoría

TécnicaDescripciónCuándo usarla
EntrevistaConversación dirigida con el personalVerificar comprensión de políticas, responsabilidades y procedimientos
ObservaciónObservación directa de actividades y condicionesVerificar que las prácticas reales coinciden con los procedimientos documentados
Revisión documentalExamen de documentos y registrosVerificar la existencia y adecuación de la documentación requerida
MuestreoSelección representativa de elementosCuando no es posible revisar todos los registros o transacciones
Análisis de datosEvaluación de tendencias e indicadoresIdentificar patrones, tendencias y áreas de mejora

Auditorías combinadas e integradas

Cuando una organización tiene múltiples sistemas de gestión (por ejemplo, ISO 9001 + ISO 14001 + ISO 45001), ISO 19011 permite realizar auditorías combinadas que evalúen varios sistemas simultáneamente. Esto ahorra recursos, reduce la fatiga de auditoría y permite identificar sinergias entre sistemas. Para organizaciones con sistemas de gestión integrados, este enfoque es particularmente eficiente.

Buena práctica: Invierte en la formación de auditores internos con competencias en múltiples normas. Esto permite realizar auditorías integradas que evalúen varios sistemas simultáneamente, reduciendo la carga operativa y mejorando la eficiencia del programa de auditoría.

Gestiona tu programa de auditorías con GRC360

GRC360 te permite planificar programas de auditoría, ejecutar auditorías con checklists predefinidos, registrar hallazgos, gestionar acciones correctivas y generar informes automatizados.

Crear Cuenta Gratis

Profundiza en temas relacionados con nuestros artículos sobre cómo elegir un organismo certificador, Estructura de Alto Nivel HLS y revisión por la dirección.

Ley 21.663 Gobernanza Documentación
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis