La auditoría interna ISO se realiza anualmente siguiendo ISO 19011 para verificar la conformidad del sistema antes de la auditoría externa.
La auditoría interna es una de las herramientas más poderosas de cualquier sistema de gestión ISO, pero también una de las más desaprovechadas. Demasiadas organizaciones la tratan como un trámite burocrático que se realiza una vez al año para cumplir el expediente ante la certificadora. La realidad es que una auditoría interna bien ejecutada puede identificar ineficiencias que cuestan miles de euros, prevenir no conformidades en la auditoría externa y generar mejoras tangibles en los procesos del negocio. Esta guía te enseña a planificar y ejecutar auditorías internas que aporten valor real, siguiendo las directrices de ISO 19011:2018.
consulta nuestra guía relacionada Para el contexto general de ISO 9001, consulta mi guía completa de implantación y certificación.
ISO 19011: la norma guía para auditorías
ISO 19011:2018 proporciona orientación sobre la auditoría de sistemas de gestión. No es una norma certificable, pero es la referencia que utilizan los auditores profesionales y que los organismos de certificación esperan que tu organización siga para sus auditorías internas.
Los siete principios de auditoría definidos por ISO 19011 son: integridad (fundamento del profesionalismo), presentación ecuánime (obligación de informar con veracidad), debido cuidado profesional (diligencia y juicio al auditar), confidencialidad (seguridad de la información), independencia (base de la imparcialidad), enfoque basado en evidencia (método racional) y enfoque basado en riesgo (se centra en lo que más importa).
Cuando los siete principios se aplican de forma coherente, la auditoría deja de ser un mecanismo defensivo y se convierte en una herramienta de diagnóstico. Tu equipo entiende que el auditor no va a fiscalizar: va a ayudar a que el sistema funcione mejor.
Tipos de auditoría: primera, segunda y tercera parte
Antes de planificar, conviene tener claro qué tipo de auditoría estás haciendo. La diferencia no es semántica: cambia el alcance, los recursos y la presión sobre el equipo.
| Criterio | 1ª parte (interna) | 2ª parte (a proveedor/cliente) | 3ª parte (externa) |
|---|---|---|---|
| Quién audita | Personal propio o consultor contratado | Tu empresa audita a un proveedor (o un cliente te audita a ti) | Organismo de certificación acreditado por ENAC |
| Objeto | Verificar cumplimiento + mejora interna | Verificar cumplimiento contractual | Emitir certificado oficial |
| Independencia | Del proceso auditado, no de la empresa | Total respecto al auditado | Total |
| Frecuencia típica | Anual completa + parciales trimestrales | Antes de homologar + revisiones periódicas | Inicial + seguimiento anual + recertificación a los 3 años |
| Coste | 800-3.500 €/año externalizada | Equivalente a una auditoría interna | 1.500-8.000 €/año según norma y tamaño |
| Decisión asociada | Plan de mejora | Aprobar / mantener / retirar proveedor | Emitir / mantener / suspender certificado |
La auditoría interna que cubre esta guía es la de primera parte. Es la única que tú controlas en intensidad, profundidad y frecuencia, y por eso es la que más valor puede aportar.
Programa anual de auditorías basado en riesgo
Un error habitual es auditar todos los procesos con la misma intensidad. El enfoque correcto es un programa basado en riesgo que concentre los recursos de auditoría donde más impacto pueden tener.
Para diseñar el programa anual, evalúa cada proceso en función de:
- Su criticidad para la satisfacción del cliente.
- Los resultados de auditorías anteriores (procesos con hallazgos recurrentes necesitan más atención).
- Los cambios recientes (procesos modificados o nuevos).
- Los indicadores de desempeño (procesos que no alcanzan sus objetivos).
- Los requisitos legales o contractuales aplicables.
Con esta evaluación, asigna más frecuencia y profundidad a los procesos de mayor riesgo, y menos a los que funcionan de forma estable. Un industrial mediano puede acabar con un programa que audita producción y compras dos veces al año, RRHH y comercial una vez al año, y mantenimiento una vez cada dos años si ha tenido pocos hallazgos históricos.
Competencia del auditor interno
El auditor interno debe ser independiente del proceso que audita (no puede auditar su propio trabajo) y debe tener formación en técnicas de auditoría. No necesita ser un experto certificado como Lead Auditor, pero sí debe conocer los principios de auditoría y las técnicas básicas de recopilación de evidencias.
La formación mínima recomendada para un auditor interno incluye:
- Conocimiento de la norma ISO aplicable (9001, 14001, 27001, 45001).
- Formación en técnicas de auditoría según ISO 19011 (un curso de 16-24 horas es suficiente).
- Experiencia práctica (al menos una auditoría acompañando a un auditor experimentado).
Si tu empresa no tiene a nadie con este perfil, hay dos caminos: formar a una persona interna (típicamente del departamento de calidad o de un proceso transversal como administración) o contratar un auditor externo independiente que ejecute la auditoría como si fuese de primera parte. La segunda opción es la que más PYMEs eligen porque la inversión es asumible y el resultado profesional.
Planificación de la auditoría individual
Cada auditoría individual necesita un plan que defina:
- Objetivo y alcance de la auditoría.
- Procesos o áreas a auditar.
- Criterios de auditoría (requisitos de la norma, procedimientos internos, requisitos legales).
- Equipo auditor.
- Calendario (fechas, horarios, duración).
- Recursos necesarios (acceso a documentación, personas a entrevistar, instalaciones a visitar).
Comunica el plan con antelación suficiente a los responsables de los procesos auditados. El objetivo no es pillar a nadie, sino verificar el cumplimiento y encontrar oportunidades de mejora. Avisar con dos semanas de antelación es lo razonable para PYMEs.
Técnicas de recopilación de evidencias
La entrevista
Es la técnica más importante y la más difícil de dominar. Haz preguntas abiertas que empiecen con qué, cómo, cuándo, quién y dónde. Evita preguntas que se respondan con sí o no. Escucha activamente. Verifica lo que te dicen con evidencias documentales o físicas. Y no interrogues: conversa.
Una pregunta poderosa es "muéstrame cómo lo haces". Sirve para validar lo que la persona acaba de explicar y para ver el proceso en su contexto real. Lo que ves frente a la pantalla suele diferir bastante de lo que está descrito en el procedimiento.
La revisión documental
Verifica que los documentos existen, están actualizados, son accesibles para quienes los necesitan y se corresponden con la práctica real. Los auditores experimentados comparan lo que dice el procedimiento con lo que observan en la práctica.
La observación directa
Observa los procesos en funcionamiento. Compara lo que ves con lo que dicen los procedimientos. Identifica discrepancias entre la práctica real y la documentada. El gemba walk (caminar por el lugar donde ocurre el trabajo) es la mejor forma de hacer auditoría operativa.
Clasificación de hallazgos
Los hallazgos de la auditoría interna se clasifican en:
- No conformidades mayores: incumplimiento sistemático de un requisito de la norma que afecta a la capacidad del SGC.
- No conformidades menores: incumplimiento puntual o parcial que no compromete el sistema globalmente.
- Observaciones: situaciones que podrían convertirse en no conformidades si no se atienden.
- Oportunidades de mejora: sugerencias para mejorar la eficacia del proceso auditado.
Redacta cada hallazgo de forma profesional: describe la evidencia encontrada, indica el requisito incumplido (cláusula de la norma o procedimiento interno) y describe la desviación de forma objetiva y verificable. Un hallazgo bien redactado se sostiene solo en una auditoría externa cuando alguien pregunta de dónde sale.
Seguimiento de acciones correctivas
El valor real de la auditoría se materializa en el seguimiento. Para cada no conformidad, debe definirse una acción correctiva con responsable y plazo, analizar la causa raíz (no solo la corrección inmediata), implementar la acción y verificar su eficacia. Si la acción correctiva no elimina la causa raíz, la no conformidad reaparecerá en la siguiente auditoría.
consulta nuestra guía relacionada Consulta mi guía de gestión de no conformidades y acciones correctivas para profundizar en el análisis de causa raíz.
Caso real: industria auxiliar de automoción en Castilla y León
Una PYME industrial del entorno de Valladolid con 38 empleados, certificada en ISO 9001 e IATF 16949, había normalizado tener un buen puñado de no conformidades menores en cada auditoría externa, varias de ellas recurrentes del año anterior. La causa: auditorías internas hechas por el responsable de calidad en una sola jornada cada mes de noviembre, justo antes de la externa, con un cuestionario tipo checklist.
Rediseñamos el programa anual: pasamos a tres rondas (febrero, junio y octubre), cada una centrada en un grupo de procesos según su riesgo, y formamos a tres auditores internos adicionales en distintas áreas. La auditoría de octubre se convirtió en simulacro completo de la externa.
En la siguiente certificación las no conformidades menores se redujeron de forma notable y no se repitió ninguna de las recurrentes históricas. Más relevante para la dirección: los hallazgos internos descubiertos en febrero y junio se convirtieron en acciones de mejora que redujeron el reproceso interno y acortaron plazos de respuesta a cliente.
FAQ sobre auditoría interna ISO
¿Tengo que hacer una auditoría interna completa cada año?
ISO 9001 exige que en el periodo de certificación (3 años) se hayan auditado todos los procesos del SGC al menos una vez. En la práctica, casi todas las PYMEs hacen una auditoría completa anual para preparar bien la externa, aunque la norma permite repartir el alcance entre varias auditorías parciales. Lo importante es que el programa, por riesgo, justifique tu decisión y que ningún proceso pase más de tres años sin auditarse.
¿Puede el responsable de calidad auditar su propio trabajo?
No. El principio de independencia de ISO 19011 prohíbe que un auditor revise un proceso del que es responsable. En PYMEs muy pequeñas, donde el responsable de calidad es además el único auditor formado, la solución habitual es contratar un auditor externo para auditar específicamente el proceso de gestión de calidad, mientras él audita el resto.
¿Cuánto cuesta externalizar la auditoría interna?
Para una PYME de 15-30 empleados con una sola norma, una auditoría interna externalizada de 1-2 jornadas se sitúa entre 800 y 1.500 euros. Para sistemas integrados (ISO 9001 + 14001 + 45001), entre 1.500 y 3.500 euros. Es una inversión que se amortiza con creces si evita una no conformidad mayor en la auditoría externa que retrase el certificado.
¿Qué pasa si en la auditoría interna encuentro una no conformidad mayor?
Lo mejor que te puede pasar antes de la externa. La registras, abres acción correctiva con análisis de causa raíz, la cierras en plazo y documentas la evidencia de eficacia. Cuando llegue el auditor externo, verá un sistema que detecta y corrige problemas por sí solo, que es exactamente lo que la norma exige. Lo grave no es tener no conformidades: es no detectarlas.
¿Cuánto debe durar una auditoría interna?
Para una PYME de 20-30 empleados con ISO 9001, una auditoría interna completa razonable son entre 1,5 y 2,5 jornadas de auditor. Menos de eso suele significar auditoría superficial; más es habitualmente exceso. Para sistemas integrados con 3-4 normas, multiplica por 1,5-2.
¿Sirve la misma auditoría interna para varias normas?
Sí, si los auditores tienen competencia en todas las normas del alcance. Una auditoría integrada audita cada proceso una sola vez verificando todos los requisitos aplicables (calidad, medio ambiente, seguridad, información). Es el modelo más eficiente y el que recomiendo siempre que el SGI esté bien diseñado.
Mini-glosario
- ISO 19011: norma guía (no certificable) para auditorías de sistemas de gestión.
- Equipo auditor: una o varias personas que realizan la auditoría, con un auditor líder.
- Criterios de auditoría: requisitos contra los que se compara la evidencia (norma, procedimientos, legislación, contrato).
- Evidencia objetiva: información verificable basada en hechos, registros o declaraciones.
- Hallazgo: resultado de evaluar la evidencia frente a los criterios.
- Causa raíz: factor primario que origina una no conformidad y que, eliminado, impide su repetición.
- Auditor líder: responsable de la planificación, ejecución y reporte de la auditoría.
Checklist: 10 pasos para una auditoría interna que aporte valor
- Diseña un programa anual basado en riesgo, no en costumbre.
- Asegura la independencia: nadie audita su propio proceso.
- Forma a al menos dos auditores internos para no depender de una sola persona.
- Distribuye el plan con dos semanas de antelación a los auditados.
- Prepara checklist específico por proceso, no uno genérico.
- Combina entrevista, revisión documental y observación directa.
- Registra evidencias objetivas para cada hallazgo (fotos, capturas, referencias).
- Redacta no conformidades con cláusula, evidencia y desviación.
- Exige análisis de causa raíz, no solo corrección inmediata.
- Verifica la eficacia de las acciones correctivas en la siguiente auditoría.
¿Necesitas un auditor interno experimentado o formación para tu equipo de auditoría? Hablamos. Realizo auditorías internas y formo a auditores internos para que las auditorías de tu empresa aporten valor real.
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs. Relacionado: Certificación ISO España: Organismos y Costes Comparados.
¿Necesitas ayuda con esto?
Trabaja conmigo en Implantación y certificación ISO
Consultoría a medida en implantación y certificación ISO. Primera sesión sin coste.
Agendar sesión →