ISO 19011:2026: novedades relevantes para auditorías internas en laboratorios de ensayo y calibración

Auditorías · Laboratorios · ISO 19011:2026

La edición 2026 de ISO 19011 actualiza las directrices para auditar sistemas de gestión en un contexto donde una parte importante de la evidencia ya no se encuentra únicamente en registros impresos o actividades observadas en sitio. En laboratorios de ensayo y calibración, esto obliga a revisar cómo se planifican las auditorías internas, cómo se seleccionan los métodos de auditoría y cómo se sostiene la trazabilidad de las conclusiones.

ISO 19011 no reemplaza a ISO/IEC 17025

ISO 19011:2026 proporciona directrices para auditar sistemas de gestión. No reemplaza a ISO/IEC 17025:2017 ni agrega requisitos técnicos para laboratorios de ensayo o calibración. Su función es orientar la gestión del programa de auditoría, la planificación de auditorías individuales, la recopilación y verificación de evidencia, la generación de hallazgos, la elaboración de informes, el seguimiento y la evaluación de la competencia de quienes auditan.

Para un laboratorio, la relación entre ambas normas debe mantenerse visible. ISO/IEC 17025:2017 aporta los criterios principales de competencia técnica y gestión. ISO 19011:2026 aporta el método para auditar esos criterios con orden, objetividad y trazabilidad documental. Cuando esa separación se pierde, la auditoría suele derivar en dos extremos poco útiles: revisión formal de cláusulas sin profundidad técnica, o análisis técnico interesante pero mal documentado como auditoría.

Más orientación sobre auditoría remota y ubicaciones virtuales

El cambio más visible respecto de ISO 19011:2018 es la ampliación de la orientación sobre métodos de auditoría remota. La edición 2026 incorpora el enfoque de ISO/IEC TS 17012 y amplía el Anexo A para tratar con mayor detalle los métodos remotos y las ubicaciones virtuales.

Esta actualización tiene impacto directo en laboratorios. Cada vez más evidencia se genera, procesa, revisa y conserva en entornos digitales: sistemas LIMS, archivos instrumentales, hojas de cálculo, plataformas documentales, bases de datos, registros electrónicos de equipos, correos de autorización, repositorios compartidos y sistemas para gestionar no conformidades o acciones correctivas.

La decisión relevante es si el método elegido permite obtener evidencia objetiva suficiente y verificable para cumplir el objetivo definido. Una auditoría remota puede ser adecuada para revisar documentos, registros, acciones correctivas, autorizaciones, evidencia de revisión técnica o información documentada. En cambio, puede resultar frágil para observar prácticas de manipulación de muestras, condiciones reales de operación, segregación de áreas, uso efectivo de equipos, identificación de ítems o hábitos operativos que solo se aprecian bien en el lugar de trabajo.

Auditorías híbridas: una opción razonable para muchos laboratorios

En laboratorios, la alternativa más sólida suele ser una auditoría híbrida bien planificada. Parte de la revisión documental puede realizarse antes de la visita. La observación de actividades críticas puede reservarse para el trabajo en sitio. El seguimiento de acciones correctivas puede completarse luego mediante revisión digital de registros y entrevistas breves.

Este esquema permite utilizar mejor el tiempo disponible. También exige definir con precisión qué evidencia se revisará antes, qué debe observarse físicamente, qué registros se muestrearán, qué personal será entrevistado, qué sistemas informáticos deberán estar disponibles y qué restricciones de confidencialidad o seguridad aplican.

La auditoría híbrida no debería usarse como una forma cómoda de reducir profundidad. Su valor aparece cuando permite concentrar la observación presencial en los procesos de mayor criticidad técnica y dejar para revisión remota aquello que puede verificarse adecuadamente mediante registros, datos y entrevistas.

Confidencialidad y seguridad de la información

ISO 19011:2026 da mayor visibilidad a la confidencialidad, la seguridad de la información y la protección de datos durante el proceso de auditoría. En laboratorios, este aspecto no es secundario.

Al revisar evidencia digital, el auditor puede acceder a datos de clientes, resultados no liberados, información comercial, registros de personal, datos de producción, identificaciones de muestras, métodos internos o documentación técnica sensible. Por esa razón, antes de capturar pantallas, descargar archivos, tomar fotografías, grabar entrevistas o revisar bases compartidas, deben existir reglas claras.

Una auditoría bien ejecutada necesita evidencia suficiente, pertinente y protegida. Acumular archivos sin criterio no mejora el sustento del hallazgo; puede aumentar riesgos de confidencialidad y manejo indebido de información. La evidencia debe conservarse de manera proporcionada al objetivo de auditoría y al uso posterior previsto.

El enfoque basado en riesgos llevado a la planificación real

ISO 19011 ya incorporaba el enfoque basado en riesgos. En la edición 2026 este enfoque adquiere importancia práctica al seleccionar métodos de auditoría, asignar recursos, definir muestras y decidir si una auditoría remota, presencial o híbrida es suficiente.

En un laboratorio, no todos los procesos tienen el mismo peso sobre la validez del resultado. La auditoría interna debería priorizar actividades donde un error pueda afectar la confiabilidad técnica, la trazabilidad metrológica, la integridad de los datos, la competencia del personal o la decisión informada del cliente.

Algunos procesos suelen requerir mayor atención:

• validación, verificación y cambios de método;
• aseguramiento de la validez de los resultados;
• trazabilidad metrológica y uso de patrones o materiales de referencia;
• competencia, autorización y supervisión del personal;
• equipos críticos, calibraciones, verificaciones intermedias y mantenimiento;
• manipulación, identificación, transporte y conservación de ítems de ensayo o calibración;
• tratamiento de datos, hojas de cálculo, LIMS y revisión técnica;
• trabajos no conformes, quejas, acciones correctivas y verificación de eficacia;
• emisión, modificación y autorización de informes o certificados.

Un programa anual de auditoría que trata todos los procesos como equivalentes desperdicia recursos. La planificación debería considerar desempeño previo, cambios recientes, quejas, resultados de ensayos de aptitud, hallazgos anteriores, complejidad técnica, volumen de trabajo y criticidad de los resultados emitidos.

Evidencia objetiva: registros, hechos y criterio auditor

La auditoría se basa en evidencia objetiva. La frase es conocida, pero en auditorías internas de laboratorios aún se debilita con frecuencia. Una impresión del auditor no basta. Una explicación verbal del auditado puede orientar la revisión, pero no siempre alcanza para fundamentar un hallazgo. Una afirmación como “el procedimiento no se cumple adecuadamente” necesita respaldo verificable.

La evidencia debe ser pertinente respecto del criterio y suficiente para sostener la conclusión. En un laboratorio puede provenir de registros técnicos, datos crudos, cálculos, informes, entrevistas, observaciones, registros de control de calidad, certificados de calibración, autorizaciones de personal, auditorías previas, ensayos de aptitud, registros de mantenimiento o trazas informáticas.

Una prueba simple ayuda a evaluar la calidad del hallazgo: otra persona técnicamente competente debería poder revisar la misma evidencia y comprender por qué se llegó a esa conclusión. Si eso no ocurre, el hallazgo necesita mejor soporte.

Auditoría vertical de resultados

El enfoque por procesos de ISO 19011 se adapta muy bien a la auditoría vertical de resultados en laboratorios. Esta técnica consiste en seleccionar un resultado emitido y reconstruir hacia atrás la cadena de evidencia.

En un laboratorio de ensayo, una auditoría vertical puede iniciar en un informe emitido y revisar:

• solicitud del cliente y revisión del contrato;
• identificación y trazabilidad de la muestra;
• método aplicado y su estado de validación o verificación;
• competencia y autorización del analista;
• equipos utilizados y su aptitud metrológica;
• controles de calidad internos;
• datos crudos, cálculos y transcripciones;
• revisión técnica;
• autorización y emisión del informe.

En un laboratorio de calibración, la misma lógica puede aplicarse desde un certificado emitido hacia los datos de medición, el presupuesto de incertidumbre, los patrones utilizados, la trazabilidad metrológica, las condiciones ambientales, el método de calibración, la competencia del personal y la revisión final.

Este enfoque suele ser más informativo que revisar cláusulas en abstracto. Permite evaluar si el sistema funciona en el punto donde realmente importa: la producción de resultados técnicamente confiables.

Muestreo: necesario, pero limitado

La auditoría trabaja con muestras de información. ISO 19011:2026 mantiene la necesidad de reconocer ese carácter muestral. En laboratorios con alto volumen de muestras, múltiples métodos, varios analistas, turnos de trabajo, sedes o sistemas informáticos, esta aclaración resulta especialmente importante.

El auditor debe seleccionar muestras con criterio. Puede usar muestreo basado en juicio profesional o, cuando corresponda, muestreo estadístico. En ambos casos debe comprender los límites de la conclusión. Revisar tres informes no autoriza a declarar que todo el sistema funciona sin debilidades. Revisar un caso problemático tampoco permite generalizar sin evidencia adicional.

El informe debería declarar, de manera proporcionada, el alcance de la muestra revisada y las limitaciones asociadas. Esta práctica mejora la trazabilidad de la conclusión y reduce el riesgo de afirmaciones excesivas.

Hallazgos con mejor sustento

La edición 2026 no cambia la naturaleza básica del hallazgo de auditoría, pero su énfasis en evidencia, riesgos, métodos y competencia empuja a mejorar la redacción. En laboratorios, una no conformidad técnicamente útil debería incluir al menos cuatro elementos:

• criterio aplicable;
• evidencia objetiva verificable;
• descripción clara del incumplimiento;
• riesgo o impacto técnico potencial.

No conviene redactar hallazgos como recomendaciones encubiertas. Tampoco ayudan formulaciones excesivamente generales, por ejemplo: “falta mejorar la trazabilidad”. Una redacción sólida permite entender qué se revisó, qué se encontró, frente a qué criterio se comparó y por qué importa.

Ejemplo frágil:

El laboratorio debe mejorar sus registros de equipos.

Ejemplo más útil:

En tres de cinco registros revisados de uso del equipo X no se identificó la verificación intermedia aplicable antes de la serie analítica, a pesar de estar definida en el procedimiento interno. Esta situación reduce la trazabilidad de la aptitud del equipo al momento de generar los resultados incluidos en los informes revisados.

Competencia del auditor interno

ISO 19011:2026 dedica una sección importante a la competencia y evaluación de auditores. Para laboratorios, este tema no debería resolverse con una constancia genérica de asistencia a un curso de auditoría. Un auditor puede conocer la estructura general de una auditoría y, aun así, no tener criterio suficiente para evaluar evidencia técnica compleja.

Auditar un laboratorio exige comprender, en proporción al alcance auditado, conceptos como método, validación, verificación, incertidumbre, trazabilidad metrológica, control de calidad, competencia técnica, integridad de datos, revisión de resultados, reglas de decisión y aptitud para el uso. Cuando el auditor no posee esa competencia, el equipo auditor debería incorporar apoyo técnico especializado.

Este aspecto es especialmente sensible en laboratorios pequeños, donde la independencia puede ser difícil de gestionar y las funciones suelen concentrarse en pocas personas. En esos casos corresponde reconocer los riesgos de sesgo y establecer medidas razonables para proteger la objetividad.

Qué conviene revisar en el sistema de auditorías internas

Frente a ISO 19011:2026, los laboratorios no necesitan rehacer por completo su sistema de auditorías internas. Conviene revisar algunos elementos concretos:

• si el procedimiento de auditorías internas contempla métodos remotos, presenciales e híbridos;
• si el programa anual prioriza procesos según riesgo, desempeño y criticidad técnica;
• si los planes de auditoría definen claramente objetivo, alcance, criterios, muestra y método;
• si las listas de verificación ayudan a auditar procesos y resultados, además de requisitos normativos;
• si existe control sobre capturas de pantalla, fotografías, grabaciones y evidencia digital;
• si los informes declaran alcance, muestra, limitaciones y evidencia asociada a los hallazgos;
• si el seguimiento de acciones correctivas evalúa eficacia y no se limita al cierre documental;
• si la competencia de los auditores internos es adecuada para los procesos técnicos auditados.

Conclusión

ISO 19011:2026 actualiza el marco de auditoría para un entorno donde la información está cada vez más distribuida, digitalizada y mediada por tecnología. Para laboratorios de ensayo y calibración, esto se traduce en una necesidad concreta: auditorías internas mejor planificadas, con métodos adecuados al riesgo y con conclusiones sustentadas en evidencia verificable.

Una auditoría interna útil debe permitir reconstruir cómo funciona el sistema en la práctica y cómo se sostiene la validez de los resultados. Cuando la auditoría no puede conectar evidencia, criterio, hallazgo y conclusión, su aporte técnico queda limitado, aunque haya cumplido el calendario previsto.