ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de normalización (organismos miembros de ISO). El trabajo de elaboración de las Normas Internacionales se lleva a cabo normalmente a través de los comités técnicos de ISO. Cada organismo miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho comité. Las organizaciones internacionales, gubernamentales y no gubernamentales, vinculadas con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todos los temas de normalización electrotécnica.En la Parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar este documento y aquellos previstos para su mantenimiento posterior. En particular debería tomarse nota de los diferentes criterios de aprobación necesarios para los distintos tipos de documentos ISO. Este documento ha sido redactado de acuerdo con las reglas editoriales de la Parte 2 de las Directivas ISO/IEC (véase www.iso.org/directives).Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de alguno o todos los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante el desarrollo de este documento se indicarán en la Introducción y/o en la lista ISO de declaraciones de patente recibidas (véase www.iso.org/patents).Cualquier nombre comercial utilizado en este documento es información que se proporciona para comodidad del usuario y no constituye una recomendación.Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos específicos de ISO y las expresiones relacionadas con la evaluación de la conformidad, así como la información acerca de la adhesión de ISO a los principios de la Organización Mundial del Comercio (OMC) respecto a los Obstáculos Técnicos al Comercio (OTC), véase www.iso.org/iso/foreword.html.Este documento ha sido elaborado por el Comité de Proyecto ISO/PC 302, Directrices para la auditoría de los sistemas de gestión.Esta tercera edición anula y sustituye a la segunda edición (ISO 19011:2011) que ha sido revisada técnicamente.Los cambios principales en comparación con la segunda edición son los siguientes:

• — adición del enfoque basado en riesgos a los principios de la auditoría;
• — ampliación de la orientación sobre la gestión de un programa de auditoría, incluyendo el riesgo del programa de auditoría;
• — ampliación de la orientación sobre la realización de una auditoría, particularmente la sección sobre planificación de la auditoría;
• — ampliación de los requisitos de competencia genérica para los auditores;
• — ajuste de la terminología para reflejar el proceso y no el objeto (“cosa”);
• — eliminación del anexo que contenía los requisitos de competencia para auditar disciplinas específicas de sistemas de gestión (debido al gran número de normas individuales de sistemas de gestión, no sería práctico incluir requisitos de competencia para todas las disciplinas);
• — ampliación del Anexo A para proporcionar orientación sobre la auditoría de (nuevos) conceptos como el contexto de la organización, el liderazgo y el compromiso, las auditorías virtuales, el cumplimiento y la cadena de suministro.

Introducción

Desde la publicación de la segunda edición de este documento en 2011, se han publicado varias normas nuevas de sistemas de gestión, muchas de las cuales tienen una estructura común, requisitos esenciales idénticos y términos comunes y definiciones esenciales. Como resultado, es necesario considerar un enfoque más amplio para la auditoría de los sistemas de gestión, así como de proporcionar una orientación más genérica. Los resultados de las auditorías pueden proporcionar entradas para el aspecto de análisis de la planificación del negocio, y pueden contribuir a la identificación de necesidades y actividades de mejora.Una auditoría puede realizarse con relación a una serie de criterios de auditoría, de manera separada o combinada incluyendo, pero sin limitarse a:

• — los requisitos definidos en una o más normas de sistemas de gestión;
• — las políticas y los requisitos especificados por las partes interesadas pertinentes;
• — los requisitos legales y reglamentarios;
• — uno o más procesos del sistema de gestión definidos por la organización o por otras partes;
• — los planes de sistemas de gestión relacionados con la provisión de salidas específicas de un sistema de gestión (por ejemplo, el plan de la calidad, el plan de proyecto).

Este documento proporciona orientación para todos los tamaños y tipos de organizaciones y auditorías de distintos alcances y escalas, incluyendo aquellas realizadas por equipos de auditoría grandes, típicamente de organizaciones grandes, y aquellas realizadas por auditores individuales, ya sea en organizaciones grandes o pequeñas. Esta orientación debería adaptarse según sea apropiado al alcance, la complejidad y la escala del programa de auditoría.Este documento se concentra en las auditorías internas (de primera parte) y las auditorías realizadas por las organizaciones a sus proveedores externos y a otras partes interesadas externas (de segunda parte). Este documento también puede ser útil para las auditorías externas realizadas con fines distintos a una certificación de sistemas de gestión de tercera parte. La Norma ISO/IEC 17021-1 proporciona requisitos para la auditoría de sistemas de gestión para la certificación de tercera parte; este documento puede proporcionar orientación adicional de utilidad (véase la Tabla 1).Tabla 1 — Tipos distintos de auditoría

Para simplificar la legibilidad de este documento, se prefiere la forma singular de “sistema de gestión”, pero el lector puede adaptar la implementación de la orientación a su propia situación. Esto también aplica al uso de “persona” y “personas”, “auditor” y “auditores”.Se pretende que este documento se aplique a un amplio rango de usuarios potenciales, incluyendo auditores, organizaciones que implementan sistemas de gestión y organizaciones que necesitan realizar auditorías de sistemas de gestión por razones contractuales o reglamentarias. Sin embargo, los usuarios de este documento pueden aplicar esta orientación al desarrollar sus propios requisitos relacionados con auditorías.La orientación en este documento también puede usarse con el propósito de la autodeclaración, y puede ser útil para organizaciones involucradas en la formación de auditores o en la certificación de personas.La orientación en este documento pretende ser flexible. Como se indica en varios puntos del texto, el uso de esta orientación puede diferir dependiendo del tamaño y el nivel de madurez del sistema de gestión de una organización. También deberían considerarse la naturaleza y la complejidad de la organización que se va a auditar, así como los objetivos y el alcance de las auditorías que se van a realizar.Este documento adopta el enfoque de auditoría combinada cuando se auditan juntos dos o más sistemas de gestión de distintas disciplinas. Cuando estos sistemas están integrados en un único sistema de gestión, los principios y procesos de auditoría son los mismos que para una auditoría combinada (a veces, llamada auditoría integrada).Este documento proporciona orientación sobre la gestión de un programa de auditoría, sobre la planificación y la realización de auditorías de sistemas de gestión, así como sobre la competencia y la evaluación de un auditor y un equipo auditor

fuente: https://www.iso.org/obp/ui#iso:std:iso:19011:ed-3:v1:es