¿Qué no responde la norma ISO 19011:2026?
Artículo técnico · Auditorías internas
Qué no responde la norma ISO 19011:2026: cinco preguntas que siguen dependiendo del juicio del auditor
La cuarta edición de ISO 19011 actualiza la guía para auditar sistemas de gestión, sobre todo en métodos remotos y evidencia digital. Pero hay decisiones críticas que la norma, por diseño, deja en manos del auditor. Conocer esos límites es lo que distingue a un auditor competente.
Resumen rápido
ISO 19011:2026 proporciona el método de auditoría (cómo planificar, ejecutar, reportar y dar seguimiento), pero no prescribe umbrales cuantitativos para auditoría remota, no define cómo verificar la integridad de la evidencia digital o asistida por IA, no resuelve la tensión con los criterios técnicos de ISO/IEC 17025:2017, no fija tamaños de muestra para auditorías internas pequeñas y, deliberadamente, termina en el hallazgo: el tratamiento posterior de la no conformidad pertenece a otra disciplina.
Qué es y qué alcance tiene ISO 19011:2026
ISO 19011:2026 es la cuarta edición de las Directrices para la auditoría de sistemas de gestión, publicada en mayo de 2026. Cancela y reemplaza a ISO 19011:2018. Su función es orientar el método de auditoría: principios, gestión del programa de auditoría, conducción de auditorías y evaluación de la competencia de los auditores.
El principal cambio respecto de la edición 2018 es la ampliación de la guía sobre métodos de auditoría remota, incorporando contenido de la especificación técnica ISO/IEC TS 17012, y la expansión del Anexo A para abordar métodos remotos y ubicaciones virtuales.
Es importante entender una distinción fundamental: ISO 19011:2026 no reemplaza ni contiene los criterios técnicos que debe cumplir un laboratorio. En el contexto de un laboratorio de ensayo y calibración, esos criterios provienen de ISO/IEC 17025:2017. La norma de auditoría dice cómo auditar; la norma técnica dice contra qué auditar. A partir de aquí, varias preguntas legítimas quedan sin respuesta explícita.
1. ¿Cuánta auditoría puede ser remota sin comprometer las conclusiones?
ISO 19011:2026 incorpora guía detallada sobre auditoría remota e híbrida, y reconoce las ubicaciones virtuales como entornos auditables. Sin embargo, no fija un umbral cuantitativo que determine cuándo la proporción de actividad remota deja de ser suficiente.
La norma indica que el uso de métodos remotos y presenciales debe ser "adecuado y equilibrado" para asegurar el logro de los objetivos del programa de auditoría, pero la decisión final queda sujeta al juicio profesional del auditor y al análisis de riesgos.
Pensemos en una analogía: la norma funciona como un código de tránsito que dice "conduzca a una velocidad prudente según las condiciones", no como un radar que marca un límite fijo de 60 km/h. Es el conductor —el auditor— quien debe leer las condiciones (la complejidad del proceso, el riesgo, la naturaleza de la evidencia) y decidir. Auditar la revisión documental de un LIMS puede hacerse perfectamente en remoto; verificar físicamente el estado de un equipo crítico de medición o presenciar una calibración manual probablemente no.
La pregunta que queda abierta: ¿qué actividades técnicas de laboratorio exigen presencia in situ y cuáles admiten evidencia remota verificable? La norma da el principio; el criterio lo aporta el auditor.
2. ¿Cómo se verifica la integridad de la evidencia digital?
La edición 2026 presta mayor atención a la evidencia digital: registros electrónicos, hojas de cálculo, sistemas LIMS, archivos instrumentales y plataformas documentales. También insiste en la confidencialidad, la seguridad de la información y el resguardo de capturas y grabaciones.
Lo que la norma no desarrolla es un procedimiento para verificar que un registro electrónico no fue manipulado, ni cómo establecer su autenticidad y trazabilidad. El Anexo A pide que la evidencia sea completa, correcta, consistente y vigente, y que se evalúe su integridad cuando llega por medios distintos de los esperados, pero no entra en técnicas concretas de verificación digital.
Más llamativo aún: la norma menciona explícitamente el uso de "herramientas de evaluación basadas en inteligencia artificial" entre las competencias del auditor, pero no ofrece guía sobre cómo auditar procesos asistidos por IA ni sobre qué nivel de confianza puede depositarse en evidencia generada por estas herramientas. Es una laguna previsible en una norma de 2026 y un terreno donde el criterio profesional es hoy insustituible.
3. ¿Qué hace el auditor cuando el método y el criterio técnico entran en tensión?
ISO 19011:2026 deriva la competencia técnica especializada a la figura del experto técnico, que aporta conocimiento específico al equipo auditor pero no actúa como auditor. El problema es que la norma no precisa con claridad dónde termina lo que un auditor competente debe poder evaluar por sí mismo y dónde empieza lo que obligatoriamente requiere apoyo experto.
En un laboratorio, esto es muy concreto. Requisitos como la incertidumbre de medición, la trazabilidad metrológica o la validación de métodos analíticos son altamente especializados. ¿Puede un auditor interno sin formación metrológica profunda evaluar la idoneidad de un presupuesto de incertidumbre? ¿O solo puede verificar que el proceso existe y está documentado, sin juzgar su corrección técnica?
El Anexo A aclara que la conciencia de los requisitos no implica pericia legal y que una auditoría de sistema de gestión no es una auditoría de cumplimiento legal. Por analogía, conocer la cláusula no equivale a dominar la técnica que esa cláusula exige. La norma reconoce el límite, pero no traza la línea exacta: queda en el juicio del responsable del programa de auditoría.
4. ¿Cuánta evidencia es "suficiente" en una auditoría interna pequeña?
El Anexo A distingue dos enfoques de muestreo: el basado en juicio y el estadístico. Y reconoce abiertamente una debilidad del primero: con el muestreo basado en juicio no es posible estimar estadísticamente el efecto de la incertidumbre sobre los hallazgos y las conclusiones.
El problema práctico es que, en auditorías internas de laboratorios pequeños, el muestreo estadístico rara vez es viable: no hay poblaciones de datos lo bastante grandes ni el tiempo asignado lo justifica. La norma no ofrece un criterio operativo para decidir el tamaño de muestra en esos casos. El principio basado en evidencia exige que las conclusiones sean proporcionales al alcance auditado, pero "cuánto es suficiente" sigue siendo una decisión de juicio profesional documentada, no un número que la norma entregue.
5. ¿Qué pasa después del hallazgo? El límite deliberado de la norma
Este es el punto más importante para quien trabaja en un laboratorio bajo ISO/IEC 17025:2017. ISO 19011:2026 termina, por diseño, en el hallazgo y su seguimiento.
La norma define qué es una no conformidad (el no cumplimiento de un requisito) y reconoce que el resultado de la auditoría puede indicar la necesidad de correcciones, acciones correctivas u oportunidades de mejora. Establece que la finalización y la eficacia de esas acciones deben verificarse, y que esa verificación puede formar parte de una auditoría posterior. Pero ahí se detiene.
El tratamiento de la no conformidad como proceso —el análisis de causa raíz, la definición de correcciones frente a acciones correctivas, la evaluación de eficacia y el cierre documental— no pertenece a ISO 19011. En un laboratorio, ese proceso lo gobierna ISO/IEC 17025:2017, cláusula 8.7.
Una norma describe cómo detectar y reportar un incumplimiento. Otra disciplina describe qué hacer después. Entre ambas está el ciclo completo de la mejora.
Esta separación no es un defecto: es una decisión de alcance. Pero tiene una consecuencia operativa clara. Un auditor que domina ISO 19011:2026 sabe generar un hallazgo sólido y sustentado en evidencia; sin embargo, si no comprende cómo se gestiona después esa no conformidad, el hallazgo corre el riesgo de derivar en una acción correctiva superficial: una respuesta administrativa, no una mejora real del sistema.
Preguntas frecuentes sobre ISO 19011:2026
¿ISO 19011:2026 reemplaza a ISO/IEC 17025:2017?
No. ISO 19011:2026 aporta el método de auditoría; ISO/IEC 17025:2017 aporta los requisitos técnicos y de gestión que el laboratorio debe cumplir. Son complementarias y se usan en conjunto.
¿Cuál es el principal cambio de ISO 19011:2026 frente a la edición 2018?
La ampliación de la guía sobre métodos de auditoría remota e híbrida —incorporando contenido de ISO/IEC TS 17012— y la expansión del Anexo A para cubrir métodos remotos y ubicaciones virtuales.
¿ISO 19011:2026 explica cómo hacer el análisis de causa raíz de una no conformidad?
No. La norma llega hasta el hallazgo y su seguimiento. El análisis de causa, las acciones correctivas y la verificación de eficacia se gestionan según ISO/IEC 17025:2017, cláusula 8.7, en el caso de laboratorios.
¿La norma define qué proporción de una auditoría puede ser remota?
No fija un porcentaje. Establece que la combinación de métodos remotos y presenciales debe ser adecuada y equilibrada, y deja la decisión al juicio profesional basado en el análisis de riesgos.
¿Aplica ISO 19011 a las auditorías internas de laboratorios?
Sí. La norma se concentra en auditorías de primera parte (internas) y de segunda parte. Para certificación de tercera parte se aplica ISO/IEC 17021-1, aunque ISO 19011 puede ofrecer guía adicional útil.
Conclusión: el valor está en lo que la norma no prescribe
Las preguntas que ISO 19011:2026 deja abiertas no son omisiones, sino el espacio donde actúa la competencia del auditor. La norma entrega un método riguroso; el auditor aporta el criterio para aplicarlo a la realidad técnica de un laboratorio: decidir el equilibrio remoto-presencial, evaluar la integridad de la evidencia digital, reconocer los límites de su propia competencia técnica, dimensionar el muestreo y —sobre todo— entender que el hallazgo es el comienzo de un proceso, no su final.
Formarse en auditoría interna y en gestión de no conformidades de manera integrada es, precisamente, lo que permite cerrar el ciclo que la norma deja deliberadamente abierto.
Formación relacionada
En MetroQuimica.Net desarrollamos un paquete que integra ambos momentos del ciclo: la auditoría interna basada en ISO 19011:2026 e ISO/IEC 17025:2017, y la gestión posterior de no conformidades y acciones correctivas. Auditar con método, redactar hallazgos con evidencia y tratar las no conformidades con solidez técnica.
Autor: Lic. Sergio G. Chesniuk · MetroQuimica.Net. Este artículo tiene fines formativos y divulgativos; no reproduce el texto de la norma ISO 19011:2026, cuya adquisición se realiza a través de ISO o sus organismos miembros.