ISO 19011:2018

INTERNATIONAL ISO
STANDARD 19011
Redline version
compares Third edition to
Second edition
Guidelines for auditing management
systems
Lignes directrices pour l'audit des systèmes de management
Reference number
ISO 19011:redline:2018(E)
©
ISO 2018
ISO 19011:redline:2018(E)
IMPORTANT — PLEASE NOTE
This is a mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
Text example 2 — indicates removed text (in red)
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
DISCLAIMER
This Redline version provides you with a quick and easy way to compare the main changes
between this edition of the standard and its previous edition. It doesn’t capture all single
changes such as punctuation but highlights the modifications providing customers with
the most valuable information. Therefore it is important to note that this Redline version is
not the official ISO standard and that the users must consult with the clean version of the
standard, which is the official standard, for implementation purposes.
© ISO 2018
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting
on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address
below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2018 – All rights reserved

ISO 19011:redline:2018(E)
Contents Page
Foreword .v
Introduction .vii
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles of auditing . 6
5 Managing an audit programme . 7
5.1 General . 7
5.2 Establishing the  audit programme objectives .11
5.3 Determining and evaluating audit programme risks and opportunities .11
5.3 5.4 Establishing the audit programme .12
5.3.1 5.4.1 Roles and responsibilities of the person individual(s) managing the
audit programme .12
5.3.2 5.4.2 Competence of the person managing the individual(s) managing audit
programme .13
5.3.3 5.4.3 Establishing the  extent of the  audit programme .14
5.3.4 Identifying and evaluating audit programme risks .14
5.3.5 Establishing procedures for the audit programme .15
5.3.6 5.4.4 Identifying Determining audit programme resources .15
5.4 5.5 Implementing the  audit programme .16
5.4.1 5.5.1 General .16
5.4.2 5.5.2 Defining the objectives, scope and criteria for an individual audit .16
5.4.3 5.5.3 Selecting the and determining audit methods .17
5.4.4 5.5.4 Selecting the  audit team members .17
5.4.5 5.5.5 Assigning responsibility for an individual audit to the audit team leader .18
5.4.6 5.5.6 Managing the  audit programme outcome results .19
5.4.7 5.5.7 Managing and maintaining audit programme records .20
5.5 5.6 Monitoring the  audit programme .20
5.6 5.7 Reviewing and improving the  audit programme .21
6 Performing Conducting an audit .22
6.1 General .22
6.2 Initiating the  audit .22
6.2.1 General.22
6.2.2 Establishing initial  contact with the  auditee .23
6.2.3 Determining the  feasibility of the  audit .23
6.3 Preparing audit activities .24
6.3.1 Performing document review in preparation for the audit review of
documented information .24
6.3.2 Preparing the audit plan Audit planning .24
6.3.3 Assigning work to the  audit team .26
6.3.4 Preparing work documents documented information for audit .26
6.4 Conducting the  audit activities .26
6.4.1 General.26
6.4.2 Assigning roles and responsibilities of guides and observers .26
6.4.2 6.4.3 Conducting the  opening meeting.27
6.4.3 Performing document review while conducting the audit .28
6.4.4 Communicating during the  audit .28
6.4.5 Audit information availability and access .29
6.4.5 6.4.6 Assigning roles and responsibilities of guides and observers Reviewing
documented information while conducting audit .29
6.4.6 6.4.7 Collecting and verifying information .30
6.4.7 6.4.8 Generating audit findings .31
ISO 19011:redline:2018(E)
6.4.8 6.4.9 Preparing Determining audit conclusions .32
6.4.9 6.4.10 Conducting the  closing meeting .33
6.5 Preparing and distributing the  audit report .34
6.5.1 Preparing the  audit report .34
6.5.2 Distributing the  audit report .35
6.6 Completing the  audit .35
6.7 Conducting audit follow-up.35
7 Competence and evaluation of auditors .35
7.1 General .35
7.2 Determining auditor competence to fulfil the needs of the audit programme  .36
7.2.1 General.36
7.2.2 Personal behaviour .37
7.2.3 Knowledge and skills .37
7.2.4 Achieving auditor competence .41
7.2.5 Audit team leaders Achieving audit team leader competence .41
7.3 Establishing the  auditor evaluation criteria .41
7.4 Selecting the  appropriate auditor evaluation method .41
7.5 Conducting auditor evaluation .42
7.6 Maintaining and improving auditor competence.42
Annex A (informative) Guidance and illustrative examples of discipline-specific knowledge
and skills of auditors .43
Annex B A (informative) Additional guidance for auditors for  planning and conducting audits .49
Bibliography .61
iv © ISO 2018 – All rights reserved

ISO 19011:redline:2018(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
International Standards areThe procedures used to develop this document and those intended for
its further maintenance are described in the ISO/IEC Directives, Part 1. In particular the different
approval criteria needed for the different types of ISO documents should be noted. This document was
drafted in accordance with the rules given ineditorial rules of the ISO/IEC Directives, Part 2 (see www
.iso .org/directives).
The main task of technical committees is to prepare International Standards. Draft International
Standards adopted by the technical committees are circulated to the member bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the member bodies
casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of
patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of
any patent rights identified during the development of the document will be in the Introduction and/or
on the ISO list of patent declarations received (see www .iso .org/patents).
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO's adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the following
URL: www .iso .org/iso/foreword .html.
ISO 19011This document was prepared by TechnicalProject Committee ISO/TC 176PC 302, Quality
management and quality assuranceGuidelines for auditing management systems, Subcommittee SC 3,
Supporting technologies.
This secondthird edition cancels and replaces the firstsecond edition (ISO 19011:20022011), which has
been technically revised.
The main differences compared with the firstto the second edition are as follows:
— the scope has been broadened from the auditing of quality and environmental management systems
to the auditing of any management systemsaddition of the risk-based approach to the principles of
auditing;
— the relationship between ISO 19011 and ISO/IEC 17021 has been clarified;
— remote audit methods and the concept of risk have been introduced;
— confidentiality has been added as a new principle of auditing;
— Clauses 5expansion of the guidance on managing an audit programme, 6 and 7 have been
reorganizedincluding audit programme risk;
— expansion of the guidance on conducting an audit, particularly the section on audit planning;
— expansion of the generic competence requirements for auditors;
— adjustment of terminology to reflect the process and not the object (“thing”);
ISO 19011:redline:2018(E)
— additional information has been included in a new Annex B, resulting in the removal of help
boxesremoval of the annex containing competence requirements for auditing specific management
system disciplines (due to the large number of individual management system standards, it would
not be practical to include competence requirements for all disciplines);
— the competence determination and evaluation process has been strengthened;
— illustrative examples of discipline-specific knowledge and skills have been included in a
newexpansion of Annex A to provide guidance on auditing (new) concepts such as organization
context, leadership and commitment, virtual audits, compliance and supply chain.
— additional guidelines are available at the following website: www .iso .org/19011auditing.
vi © ISO 2018 – All rights reserved

ISO 19011:redline:2018(E)
Introduction
Since the firstsecond edition of this International Standarddocument was published in 20022011, a
number of new management system standards have been published, many of which have a common
structure, identical core requirements and common terms and core definitions. As a result, there is now
a need to consider a broader scope ofapproach to management system auditing, as well as providing
guidance that is more generic. Audit results can provide input to the analysis aspect of business
planning, and can contribute to the identification of improvement needs and activities.
In 2006, the ISO committee for conformity assessment (CASCO) developed ISO/IEC 17021, which sets
out requirements for third party certification of management systems and which was based in part on
the guidelines contained in the first edition of this International Standard.An audit can be conducted
against a range of audit criteria, separately or in combination, including but not limited to:
— requirements defined in one or more management system standards;
— policies and requirements specified by relevant interested parties;
— statutory and regulatory requirements;
— one or more management system processes defined by the organization or other parties;
— management system plan(s) relating to the provision of specific outputs of a management system
(e.g. quality plan, project plan).
This document provides guidance for all sizes and types of organizations and audits of varying scopes
and scales, including those conducted by large audit teams, typically of larger organizations, and
those by single auditors, whether in large or small organizations. This guidance should be adapted as
appropriate to the scope, complexity and scale of the audit programme.
The second edition of ISO/IEC 17021, published in 2011, was extended to transform the guidance
offered in this International Standard into requirements for management system certification audits. It
is in this context that this second edition of this International Standard provides guidance for all users,
including small and medium-sized organizations, and concentrates on what are commonly termed
“internal audits”This document concentrates on internal audits (first party) and “audits conducted by
customers on their suppliers”organizations on their external providers and other external interested
parties (second party). While those involved inThis document can also be useful for external audits
conducted for purposes other than third party management system certification. ISO/IEC 17021-1
audits follow the requirements ofprovides requirements for auditing management systems for third
party certification; this document can provide useful additional ISO/IEC 17021:2011, they might also
find the guidanceguidance (see Table 1in this International Standard useful).
The relationship between this second edition of this International Standard and ISO/IEC 17021:2011 is
shown in Table 1.
Table 1 — Scope of this International Standard and its relationship with Different types of
ISO/IEC 17021:2011 audits
Internal auditing External auditing
Supplier auditing Third party auditing
st nd rd
1 party audit 2 party audit 3 party audit
Internal audit External provider audit Certification and/or accreditation
audit
Sometimes called first party audit  Sometimes called second Other For legal Statutory, regulatory and
external interested party audit similar purposes For certification
(see also the requirements in  ISO/
IEC 17021:2011) audit
ISO 19011:redline:2018(E)
This International Standard does not state requirements, but provides guidance on the management of
an audit programme, on the planning and conducting of an audit of the management system, as well as
on the competence and evaluation of an auditor and an audit team.
Organizations can operate more than one formal management system. To simplify the readability of
this International Standarddocument, the singular form of “management system” is preferred, but the
reader can adapt the implementation of the guidance to their own particular situation. This also applies
to the use of “personindividual” and “personsindividuals”, “auditor” and “auditors”.
This International Standarddocument is intended to apply to a broad range of potential users, including
auditors, organizations implementing management systems and organizations needing to conduct
audits of management systemsmanagement system audits for contractual or regulatory reasons. Users
of this International Standarddocument can, however, apply this guidance in developing their own
audit-related requirements.
The guidance in this International Standarddocument can also be used for the purpose of self-
declaration and can be useful to organizations involved in auditor training or personnel certification.
The guidance in this International Standarddocument is intended to be flexible. As indicated at various
points in the text, the use of this guidance can differ depending on the size and level of maturity of an
organization’s management system and on the. The nature and complexity of the organization to be
audited, as well as on the objectives and scope of the audits to be conducted, should also be considered.
This International Standard introduces the concept of risk to management systems auditing. The
approach adopted relates both to the risk of the audit process not achieving its objectives and to the
potential of the audit to interfere with the auditee’s activities and processes. It does not provide specific
guidance on the organization’s risk management process, but recognizes that organizations can focus
audit effort on matters of significance to the management system.
This International Standarddocument adopts the combined audit approach that when two or more
management systems of different disciplines are audited together, this is termed a “combined audit”.
Where these systems are integrated into a single management system, the principles and processes of
auditing are the same as for a combined audit (sometimes known as an integrated audit).
Clause 3 sets out the key terms and definitions used in this International Standard. All efforts have
been taken to ensure that these definitions do not conflict with definitions used in other standards.
Clause 4 describes the principles on which auditing is based. These principles help the user to
understand the essential nature of auditing and they are important in understanding the guidance set
out in Clauses 5 to 7.
Clause 5This document provides guidance on establishing and managingthe management of an audit
programme, establishing the audit programme objectives, and coordinating auditing activitieson the
planning and conducting of management system audits, as well as on the competence and evaluation of
an auditor and an audit team.
Clause 6 provides guidance on planning and conducting an audit of a management system.
Clause 7 provides guidance relating to the competence and evaluation of management system auditors
and audit teams.
Annex A illustrates the application of the guidance in Clause 7 to different disciplines.
Annex B provides additional guidance for auditors on planning and conducting audits.
viii © ISO 2018 – All rights reserved

INTERNATIONAL STANDARD ISO 19011:redline:2018(E)
Guidelines for auditing management systems
1 Scope
This International Standarddocument provides guidance on auditing management systems, including
the principles of auditing, managing an audit programme and conducting management system audits, as
well as guidance on the evaluation of competence of individuals involved in the audit process, including
the person. These activities include the individual(s) managing the audit programme, auditors and
audit teams.
It is applicable to all organizations that need to plan and conduct internal or external audits of
management systems or manage an audit programme.
The application of this International Standarddocument to other types of audits is possible, provided
that special consideration is given to the specific competence needed.
2 Normative references
No normative references are cited. This clause is included in order to retain clause numbering identical
with other ISO management system standardsThere are no normative references in this document.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminological databases for use in standardization at the following addresses:
— ISO Online browsing platform: available at https: //www .iso .org/obp
— IEC Electropedia: available at http: //www .electropedia .org/
3.1
audit
systematic, independent and documented process for obtaining audit objective evidence (3.3 3.8) and
evaluating it objectively to determine the extent to which the audit criteria (3.2 3.7) are fulfilled
Note 1 to entry: Internal audits, sometimes called first party audits, are conducted by the organization itself ,
or on its behalf, for management review and other internal purposes (e.g. to confirm the effectiveness of the
management system or to obtain information for the improvement of the management system). Internal audits
can form the basis for an organization’s self-declaration of conformity. In many cases, particularly in small
organizations, independence can be demonstrated by the freedom from responsibility for the activity being
audited or freedom from bias and conflict of interest. behalf of, the organization itself.
Note 2 to entry: External audits include those generally called second and third party audits. Second party audits
are conducted by parties having an interest in the organization, such as customers, or by other persons individuals
on their behalf. Third party audits are conducted by independent auditing organizations, such as regulators
or  those providing certification/registration of conformity or governmental agencies.
Note 3 to entry: When two or more management systems of different disciplines (e.g. quality, environmental,
occupational health and safety) are audited together, this is termed a combined audit.
Note 4 to entry: When two or more auditing organizations cooperate to audit a single auditee (3.7), this is termed
a joint audit.
Note 5 to entry: Adapted from ISO 9000:2005, definition 3.9.1.
ISO 19011:redline:2018(E)
[SOURCE: ISO 9000:2015, 3.13.1, modified — Note 1 to entry has been added, Note 4 to entry has been
modified]
3.2
combined audit
audit (3.1) carried out together at a single auditee (3.13) on two or more management systems (3.18)
Note 1 to entry: When two or more discipline-specific management systems are integrated into a single
management system this is known as an integrated management system.
[SOURCE: ISO 9000:2015, 3.13.2, modified]
3.3
joint audit
audit (3.1) carried out at a single auditee (3.13) by two or more auditing organizations
[SOURCE: ISO 9000:2015, 3.13.3]
3.4
audit programme
arrangements for a set of one or more audits (3.1) planned for a specific time frame and directed
towards a specific purpose
[SOURCE: ISO 9000:2015, 3.13.4, modified — wording has been added to the definition]
3.5
audit scope
extent and boundaries of an audit (3.1)
Note 1 to entry: The audit scope generally includes a description of the physical and virtual-locations, functions,
organizational units, activities and processes, as well as the time period covered.
Note 2 to entry: A virtual location is where an organization performs work or provides a service using an on-line
environment allowing individuals irrespective of physical locations to execute processes.
[SOURCE: ISO 9000:2015, 3.13.5, modified — Note 1 to entry has been modified, Note 2 to entry has
been added]
3.6
audit plan
description of the activities and arrangements for an audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.6]
3.2 3.7
audit criteria
set of policies, procedures or requirements  requirements (3.23) used as a reference against which
audit objective evidence (3.3 3.8) is compared
Note 1 to entry: Adapted from ISO 9000:2005, definition 3.9.3.
Note 21 to entry: If the audit criteria are legal (including statutory or regulatory) requirements, the terms
“compliant words “compliance” or “non-compliant compliance” are often used in an audit finding (3.4 3.10).
Note 2 to entry: Requirements may include policies, procedures, work instructions, legal requirements,
contractual obligations, etc.
[SOURCE: ISO 9000:2015, 3.13.7, modified — the definition has been changed and Notes to entry 1 and
2 have been added]
2 © ISO 2018 – All rights reserved

ISO 19011:redline:2018(E)
3.3 3.8
audit objective evidence
records, statements of fact or other information which are relevant to the data supporting the existence
or audit criteria (3.2) and verifiable  verity of something
Note 1 to entry: Audit Objective evidence can be qualitative or quantitative obtained through observation,
measurement, test or by other means.
Note 2 to entry: Objective evidence for the purpose of the audit (3.1) generally consists of records, statements of
fact, or other information which are relevant to the audit criteria (3.7) and verifiable.
[SOURCE: ISO 9000:2005, definition 3.9.4 2015, 3.8.3]
3.9
audit evidence
records, statements of fact or other information, which are relevant to the audit criteria (3.7) and
verifiable
[SOURCE: ISO 9000:2015, 3.13.8]
3.4 3.10
audit findings
results of the evaluation of the collected audit evidence (3.3 3.9) against audit criteria (3.2 3.7)
Note 1 to entry: Audit findings indicate conformity (3.20) or nonconformity (3.21).
Note 2 to entry: Audit findings can lead to the identification of risks, opportunities for improvement or recording
good practices.
Note 3 to entry: If In English if the audit criteria are selected from legal or other statutory requirements or
regulatory requirements, the audit finding is termed compliance or non-compliance.
Note 4 to entry: Adapted from ISO 9000:2005, definition 3.9.5.
[SOURCE: ISO 9000:2015, 3.13.9, modified — Notes to entry 2 and 3 have been modified]
3.5 3.11
audit conclusion
outcome of an audit (3.1), after consideration of the audit objectives and all audit findings (3.4 3.10)
Note 1 to entry: Adapted from ISO 9000:2005, definition 3.9.6.
[SOURCE: ISO 9000:2015, 3.13.10]
3.6 3.12
audit client
organization or person requesting an audit (3.1)
Note 1 to entry: In the case of internal audit, the audit client can also be the auditee (3.7 3.13) or the
person individual(s) managing the audit programme. Requests for external audit can come from sources such as
regulators, contracting parties or potential or existing clients.
Note 2 to entry: Adapted from ISO 9000:2005, definition 3.9.7.
[SOURCE: ISO 9000:2015, 3.13.11, modified — Note 1 to entry has been added]
3.7 3.13
auditee
organization as a whole or parts thereof being audited
[SOURCE: ISO 9000:2005, definition 3.9.8 2015, 3.13.12, modified]
ISO 19011:redline:2018(E)
3.8
auditor
person who conducts an audit (3.1)
3.9 3.14
audit team
one or more auditors (3.8)persons conducting an audit (3.1), supported if needed by technical experts
(3.10 3.16)
Note 1 to entry: One auditor (3.15) of the audit team (3.14) is appointed as the audit team leader.
Note 2 to entry: The audit team can include auditors-in-training.
[SOURCE: ISO 9000:2005, definition 3.9.10 2015, 3.13.14]
3.15
auditor
person who conducts an audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.15]
3.10 3.16
technical expert
person who provides specific knowledge or expertise to the audit team (3.9 3.14)
Note 1 to entry: Specific knowledge or expertise is that which  relates to the organization, the process or
activity activity, process, product, service, discipline to be audited, or language or culture.
Note 2 to entry: A technical expert to the audit team (3.14) does not act as an auditor (3.8 3.15) in the audit team .
[SOURCE: ISO 9000:2005, definition 3.9.11 2015, 3.13.16, modified — Notes to entry 1 and 2 have been
modified]
3.11 3.17
observer
person individual who accompanies the audit team (3.9 3.14) but does not audit act as an auditor (3.15)
Note 1 to entry: An observer is not a part of the audit team (3.9) and does not influence or interfere with the
conduct of the audit (3.1).
Note 2 to entry: An observer can be from the auditee (3.7), a regulator or other interested party who witnesses
the audit (3.1).
[SOURCE: ISO 9000:2015, 3.13.17, modified]
3.12
guide
person appointed by the auditee (3.7) to assist the audit team (3.9)
3.13 3.18
audit programme management system
arrangements for a  set of one interrelated or more  audits (3.1) planned for a specific time frame and
directed towards a specific purpose interacting elements of an organization to establish policies and
objectives, and processes (3.24) to achieve those objectives
Note 1 to entry: Adapted from  ISO 9000:2005, definition 3.9.2. A management system can address a single
discipline or several disciplines, e.g. quality management, financial management or environmental management.
Note 2 to entry: The management system elements establish the organization’s structure, roles and
responsibilities, planning, operation, policies, practices, rules, beliefs, objectives and processes to achieve those
objectives.
4 © ISO 2018 – All rights reserved

ISO 19011:redline:2018(E)
Note 3 to entry: The scope of a management system can include the whole of the organization, specific and
identified functions of the organization, specific and identified sections of the organization, or one or more
functions across a group of organizations.
[SOURCE: ISO 9000:2015, 3.5.3, modified — Note 4 to entry has been deleted]
3.14 3.19
audit scope risk
extent and boundaries of an effect of audit (3.1)uncertainty
Note 1 to entry: An effect is a deviation from the expected – positive or negative.
Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or
knowledge of, an event, its consequence and likelihood.
Note 3 to entry: Risk is often characterized by reference to potential events (as defined in ISO Guide 73:2009,
3.5.1.3) and consequences (as defined in ISO Guide 73:2009, 3.6.1.3), or a combination of these.
Note 4 to entry: The audit scope generally includes a description of the physical locations, organizational units,
activities and processes, as well as the time period covered Risk is often expressed in terms of a combination of
the consequences of an event (including changes in circumstances) and the associated likelihood (as defined in
ISO Guide 73:2009, 3.6.1.1) of occurrence.
[SOURCE: ISO 9000:2005, definition 3.9.13 2015, 3.7.9, modified — Notes to entry 5 and 6 have been
deleted]
3.15 3.20
audit plan conformity
description of the activities and arrangements for an fulfilment of a audit (3.1) requirement (3.23)
[SOURCE: ISO 9000:2005, definition 3.9.12 2015, 3.6.11, modified — Note 1 to entry has been deleted]
3.16 3.21
risk nonconformity
effect of uncertainty on objectives non-fulfilment of a requirement (3.23)
Note 1 to entry: Adapted from ISO Guide 73:2009, definition 1.1.
[SOURCE: ISO 9000:2015, 3.6.9, modified — Note 1 to entry has been deleted]
3.17 3.22
competence
ability to apply knowledge and skills to achieve intended results
Note 1 to entry: Ability implies the appropriate application of personal behaviour during the audit process.
[SOURCE: ISO 9000:2015, 3.10.4, modified — Notes to entry have been deleted]
3.18 3.23
conformity requirement
fulfilment of a requirement  need or expectation that is stated, generally implied or obligatory
Note 1 to entry: “Generally implied” means that it is custom or common practice for the organization and
interested parties that the need or expectation under consideration is implied.
Note 2 to entry: A specified requirement is one that is stated, for example in documented information.
[SOURCE: ISO 9000:2005, definition 3.6.1 2015, 3.6.4, modified — Notes to entry 3, 4, 5 and 6 have been
deleted]
ISO 19011:redline:2018(E)
3.19 3.24
nonconformity process
non-fulfilment of a requirement  set of interrelated or interacting activities that use inputs to deliver an
intended result
[SOURCE: ISO 9000:2005, definition 3.6.2 2015, 3.4.1, modified — Notes to entry have been deleted]
3.20 3.25
management system performance
system to establish policy and objectives and to achieve those objectives  measurable result
Note 1 to entry: Performance can relate either to quantitative or qualitative findings.
Note 2 to entry: A management system of an organization can include different management systems, such as
a quality management system, a financial management system Performance can relate to the management
of activities, processes (3.24) or an environmental management system , products, services, systems or
organizations.
[SOURCE: ISO 9000:2005, definition 3.2.2 2015, 3.7.8, modified — Note 3 to entry has been deleted]
3.26
effectiveness
extent to which planned activities are realized and planned results achieved
[SOURCE: ISO 9000:2015, 3.7.11, modified — Note 1 to entry has been deleted]
4 Principles of auditing
Auditing is characterized by reliance on a number of principles. These principles should help to make
the audit an effective and reliable tool in support of management policies and controls, by providing
information on which an organization can act in order to improve its performance. Adherence to these
principles is a prerequisite for providing audit conclusions that are relevant and sufficient, and for
enabling auditors, working independently from one another, to reach similar conclusions in similar
circumstances.
The guidance given in Clauses 5 to 7 is based on the sixseven principles outlined below.
a) Integrity: the foundation of professionalism
Auditors and the personindividual(s) managing an audit programme should:
— perform their work ethically, with honesty, diligence, and responsibility;
— observe and comply with any applicable legal requirementsonly undertake audit activities if
competent to do so;
— demonstrate their competence while performing their work;
— perform their work in an impartial manner, i.e. remain fair and unbiased in all their dealings;
— be sensitive to any influences that may be exerted on their judgement while carrying out an audit.
b) Fair presentation: the obligation to report truthfully and accurately
Audit findings, audit conclusions and audit reports should reflect truthfully and accurately the
audit activities. Significant obstacles encountered during the audit and unresolved diverging
opinions between the audit team and the auditee should be reported. The communication should
be truthful, accurate, objective, timely, clear and complete.
6 © ISO 2018 – All rights reserved

ISO 19011:redline:2018(E)
c) Due professional care: the application of diligence and judgement in auditing
Auditors should exercise due care in accordance with the importance of the task they perform
and the confidence placed in them by the audit client and other interested parties. An important
factor in carrying out their work with due professional care is having the ability to make reasoned
judgements in all audit situations.
d) Confidentiality: security of information
Auditors should exercise discretion in the use and protection of information acquired in the course
of their duties. Audit information should not be used inappropriately for personal gain by the
auditor or the audit client, or in a manner detrimental to the legitimate interests of the auditee.
This concept includes the proper handling of sensitive or confidential information.
e) Independence: the basis for the impartiality of the audit and objectivity of the audit conclusions
Auditors should be independent of the activity being audited wherever practicable, and should in
all cases act in a manner that is free from bias and conflict of interest. For internal audits, auditors
should be independent from the operating managers of the function being audited if practicable.
Auditors should maintain objectivity throughout the audit process to ensure that the audit findings
and conclusions are based only on the audit evidence.
For small organizations, it may not be possible for internal auditors to be fully independent of the
activity being audited, but every effort should be made to remove bias and encourage objectivity.
f) Evidence-based approach: the rational method for reaching reliable and reproducible audit
conclusions in a systematic audit process
Audit evidence should be verifiable. It willshould in general be based on samples of the information
available, since an audit is conducted during a finite period of time and with finite resources. An
appropriate use of sampling should be applied, since this is closely related to the confidence that
can be placed in the audit conclusions.
g) Risk-based approach: an audit approach that considers risks and opportunities
The risk-based approach should substantively influence the planning, conducting and reporting of
audits in order to ensure that audits are focused on matters that are significant for the audit client,
and for achieving the audit programme objectives.
5 Managing an audit programme
5.1 General
An organization needing to conduct audits should establish an audit programme that contributes to
the determination of the effectiveness of the auditee’s management system. The audit programmeaudit
programme should be established which can include au
...

NORME ISO
INTERNATIONALE 19011
Troisième édition
2018-07
Lignes directrices pour l'audit des
systèmes de management
Guidelines for auditing management systems
Numéro de référence
©
ISO 2018
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2018
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en oeuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2018 – Tous droits réservés

Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes de l’audit . 5
5 Management d’un programme d’audit . 7
5.1 Généralités . 7
5.2 Détermination des objectifs du programme d’audit . 9
5.3 Détermination et évaluation des risques et des opportunités du programme d’audit .10
5.4 Établissement du programme d’audit .11
5.4.1 Rôles et responsabilités de la ou des personnes responsables du
management du programme d’audit .11
5.4.2 Compétence de la ou des personnes responsables du management du
programme d’audit .12
5.4.3 Détermination de l’étendue du programme d’audit .12
5.4.4 Détermination des ressources du programme d’audit .13
5.5 Mise en œuvre du programme d’audit .13
5.5.1 Généralités .13
5.5.2 Définition des objectifs, du champ et des critères pour chaque audit individuel .14
5.5.3 Choix et détermination des méthodes d’audit .15
5.5.4 Choix des membres de l’équipe d’audit .15
5.5.5 Attribution de la responsabilité d’un audit individuel au responsable de
l’équipe d’audit .16
5.5.6 Management des résultats du programme d’audit .17
5.5.7 Management et conservation des enregistrements du programme d’audit .17
5.6 Surveillance du programme d’audit .18
5.7 Revue et amélioration du programme d’audit .19
6 Réalisation d’un audit .19
6.1 Généralités .19
6.2 Déclenchement de l’audit .19
6.2.1 Généralités .19
6.2.2 Prise de contact avec l’audité .20
6.2.3 Détermination de la faisabilité de l’audit.20
6.3 Préparation des activités d’audit .21
6.3.1 Réalisation d’une revue des informations documentées .21
6.3.2 Planification de l’audit .21
6.3.3 Répartition des tâches au sein de l’équipe d’audit .22
6.3.4 Préparation des informations documentées en vue de l’audit .23
6.4 Réalisation des activités d’audit .23
6.4.1 Généralités .23
6.4.2 Attribution des rôles et responsabilités des guides et des observateurs .23
6.4.3 Conduite de la réunion d’ouverture .24
6.4.4 Communication pendant l’audit .25
6.4.5 Disponibilité et accès aux informations d’audit .25
6.4.6 Réalisation d’une revue des informations documentées au cours de l’audit .25
6.4.7 Recueil et vérification des informations .26
6.4.8 Production de constatations d’audit .27
6.4.9 Détermination des conclusions d’audit . .28
6.4.10 Conduite de la réunion de clôture .28
6.5 Préparation et diffusion du rapport d’audit .29
6.5.1 Préparation du rapport d’audit .29
6.5.2 Diffusion du rapport d’audit .30
6.6 Clôture de l’audit .30
6.7 Réalisation du suivi d’audit .31
7 Compétence et évaluation des auditeurs .31
7.1 Généralités .31
7.2 Déterminer la compétence d’un auditeur .32
7.2.1 Généralités .32
7.2.2 Comportements personnels .32
7.2.3 Connaissances et aptitudes .33
7.2.4 Acquisition de la compétence d’auditeur .36
7.2.5 Acquisition de la compétence de responsable d’équipe d’audit .36
7.3 Déterminer les critères d’évaluation des auditeurs .36
7.4 Choisir la méthode d’évaluation des auditeurs appropriée .36
7.5 Réaliser l’évaluation d’un auditeur . .37
7.6 Maintien et amélioration de la compétence du ou des auditeurs .37
Annexe A (informative) Lignes directrices supplémentaires destinées aux auditeurs pour la
planification et la réalisation des audits .38
Bibliographie .49
iv © ISO 2018 – Tous droits réservés

Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes
nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est
en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude
a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,
gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.
L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui
concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a été
rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www
.iso .org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de
droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant
les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de
l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de
brevets reçues par l’ISO (voir www .iso .org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www .iso .org/avant -propos.
Le présent document a été élaboré par le comité de projet ISO/PC 302, Lignes directrices pour l’audit des
systèmes de management.
Cette troisième édition annule et remplace la deuxième édition (ISO 19011:2011), qui a fait l’objet d’une
révision technique.
Les principales différences par rapport à la deuxième édition sont les suivantes:
— ajout de l’approche par les risques aux principes de l’audit;
— développement des lignes directrices relatives au management d’un programme d’audit, y compris
le risque lié au programme d’audit;
— développement des lignes directrices relatives à la réalisation d’un audit, en particulier la section
concernant la planification de l’audit;
— développement des exigences relatives aux compétences générales des auditeurs;
— ajustement de la terminologie pour refléter le processus et non l’objet («chose»);
— suppression de l’annexe contenant les exigences en matière de compétences pour l’audit de
disciplines de systèmes de management spécifiques (en raison du grand nombre de normes de
système de management individuelles, il ne serait pas pratique d’inclure des exigences en matière
de compétences pour toutes les disciplines);
— développement de l’Annexe A pour fournir des lignes directrices relatives aux (nouveaux) concepts
d’audit tels que le contexte de l’organisme, le leadership et l’engagement, les audits virtuels, la
conformité et la chaîne d’approvisionnement.
Introduction
Depuis que la deuxième édition du présent document a été publiée en 2011, plusieurs nouvelles normes
sur les systèmes de management ont été publiées, un grand nombre d’entre elles ayant une structure
commune, des exigences de base identiques et des termes et définitions de base communs. De ce fait,
il est nécessaire d’envisager une approche plus globale de l’audit des systèmes de management et de
fournir des lignes directrices plus générales. Les résultats d’audit peuvent fournir des éléments d’entrée
pour l’aspect analytique de la planification des activités, et peuvent contribuer à l’identification des
besoins et activités d’amélioration.
Un audit peut être réalisé par rapport à une série de critères d’audit, séparément ou en combinaison,
comprenant sans toutefois s’y limiter:
— les exigences définies dans une ou plusieurs normes de système de management;
— les politiques et les exigences spécifiées par les parties intéressées pertinentes;
— les exigences légales et réglementaires;
— un ou plusieurs processus de système de management définis par l’organisme ou d’autres parties;
— le(s) plan(s) de système de management se rapportant à la fourniture d’éléments de sortie spécifiques
d’un système de management (par exemple plan qualité, plan de projet).
Le présent document fournit aux organismes de toutes tailles et de tous types des lignes directrices
pour les audits de champs et échelles variables, y compris ceux réalisés par de grandes équipes d’audit,
généralement dans de grands organismes, et ceux réalisés par des auditeurs uniques, dans de grands
ou petits organismes. Il convient, selon le cas, d’adapter ces lignes directrices au champ, à la complexité
et à l’échelle du programme d’audit.
Le présent document se concentre sur les audits internes (de première partie) et les audits réalisés
par des organismes auprès de leurs prestataires externes et d’autres parties intéressées externes
(de seconde partie). Le présent document peut également être utile pour des audits externes réalisés
à d’autres fins que la certification par tierce partie d’un système de management. L’ISO/IEC 17021-1
fournit des exigences relatives à l’audit des systèmes de management en vue d’une certification par
tierce partie; toutefois, le présent document peut fournir des lignes directrices supplémentaires utiles
(voir Tableau 1).
Tableau 1 — Différent types d’audits
Audit de première partie Audit de seconde partie Audit de tierce partie
Audit interne Audit des prestataires externes Audit en vue d’une certification et/
ou d’une accréditation
Audit d’autres parties intéressées Audit à des fins légales, réglemen-
externes taires et similaires
Pour simplifier la lisibilité du présent document, la forme singulière de «système de management»
est préférable, le lecteur pouvant toutefois adapter la mise en œuvre des lignes directrices à sa
propre situation particulière. Cela s’applique également à l’utilisation de «personne» et «personnes»,
«auditeur» et «auditeurs».
Le présent document est destiné à une large gamme d’utilisateurs potentiels parmi lesquels des
auditeurs, des organismes mettant en œuvre des systèmes de management et des organismes devant
réaliser des audits de systèmes de management dans un cadre contractuel ou réglementaire. Les
utilisateurs du présent document peuvent cependant appliquer ces lignes directrices pour développer
leurs propres exigences en matière d’audit.
Les lignes directrices fournies dans le présent document peuvent également être utilisées à des fins
d’autodéclaration et peuvent par ailleurs se révéler utiles aux organismes chargés de la certification du
personnel ou de la formation d’auditeurs.
vi © ISO 2018 – Tous droits réservés

Les lignes directrices fournies dans le présent document se veulent flexibles. Comme indiqué à
différentes reprises dans le texte, l’utilisation de ces lignes directrices peut varier selon la taille et le
niveau de maturité du système de management de l’organisme. Il convient également de prendre en
considération la nature et la complexité de l’organisme à auditer, ainsi que les objectifs et le champ des
audits à réaliser.
Le présent document adopte le principe d’audit combiné lorsque deux ou plusieurs systèmes de
management de disciplines différentes sont audités ensemble. Les principes et les processus d’audit sont
identiques à ceux applicables à un audit combiné (parfois appelé audit intégré) lorsque les systèmes
définis sont intégrés dans un système de management unique.
Le présent document fournit des lignes directrices sur le management d’un programme d’audit, la
planification et la réalisation d’audits de systèmes de management, ainsi que sur la compétence et
l’évaluation d’un auditeur et d’une équipe d’audit.
NORME INTERNATIONALE ISO 19011:2018(F)
Lignes directrices pour l'audit des systèmes de
management
1 Domaine d’application
Le présent document fournit des lignes directrices sur l’audit de systèmes de management, comprenant
les principes de l’audit, le management d’un programme d’audit et la réalisation d’audits de systèmes
de management. Elle donne également des lignes directrices sur l’évaluation de la compétence des
personnes impliquées dans le processus d’audit. Ces activités concernent le(s) responsable(s) du
management du programme d’audit, les auditeurs et les équipes d’audit.
Il est applicable à tous les organismes qui doivent planifier et réaliser des audits internes ou externes de
systèmes de management ou manager un programme d’audit.
Le présent document peut, en principe, s’appliquer à d’autres types d’audits, à condition toutefois
d’accorder une attention toute particulière aux compétences spécifiques requises.
2 Références normatives
Le présent document ne contient aucune référence normative.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https: //www .iso .org/obp
— IEC Electropedia: disponible à l’adresse http: //www .electropedia .org/
3.1
audit
processus méthodique, indépendant et documenté, permettant d’obtenir des preuves objectives (3.8) et
de les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit (3.7) sont
satisfaits
Note 1 à l'article: Les audits internes, parfois appelés audits de première partie, sont réalisés par, ou pour le
compte de l’organisme lui-même.
Note 2 à l'article: Les audits externes comprennent les audits appelés généralement audits de seconde et de
tierce partie. Les audits de seconde partie sont réalisés par des parties ayant un intérêt à l’égard de l’organisme,
comme les clients ou d’autres personnes agissant en leur nom. Les audits de tierce partie sont réalisés par des
organismes d’audit indépendants, tels que ceux qui octroient l’enregistrement ou la certification de conformité
ou des organismes publics.
[SOURCE: ISO 9000:2015, 3.13.1, modifiée — les Notes à l’article ont été modifiées]
3.2
audit combiné
audit (3.1) réalisé simultanément auprès d’un seul audité (3.18) sur deux systèmes de
management (3.19) ou plus
Note 1 à l'article: Lorsque deux ou plusieurs systèmes de management spécifiques à une discipline sont intégrés
dans un seul système de management, on parle de système de management intégré.
[SOURCE: ISO 9000:2015, 3.13.2, modifiée]
3.3
audit conjoint
audit (3.1) réalisé auprès d’un seul audité (3.13) par deux organismes d’audit ou plus
[SOURCE: ISO 9000:2015, 3.13.3]
3.4
programme d’audit
dispositions relatives à un ensemble d’un ou plusieurs audits (3.1) planifié pour une durée spécifique et
dirigé dans un but spécifique
[SOURCE: ISO 9000:2015, 3.13.4, modifiée — des mots ont été ajoutés à la définition]
3.5
champ de l’audit
étendue et limites d’un audit (3.1)
Note 1 à l'article: Le champ de l’audit décrit généralement les lieux physiques et virtuels, les fonctions, les unités
organisationnelles, les activités et les processus ainsi que la période de temps couverte.
Note 2 à l'article: Un lieu virtuel est un lieu où un organisme réalise un travail ou fournit un service en utilisant
un environnement en ligne permettant à des personnes d’exécuter les processus quel que soit le lieu physique.
[SOURCE: ISO 9000:2015, 3.13.5, modifiée — la Note 1 à l’article a été modifiée, la Note 2 à l’article a été
ajoutée]
3.6
plan d’audit
description des activités et des dispositions nécessaires pour réaliser un audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.6]
3.7
critères d’audit
ensemble d’exigences (3.23) utilisées comme référence vis-à-vis de laquelle les preuves objectives (3.8)
sont comparées
Note 1 à l'article: Si les critères d’audit sont des exigences légales (y compris statutaires ou réglementaires), les
termes «conformité» et «non-conformité» sont souvent utilisés dans les constatations d’audit (3.10).
Note 2 à l'article: Les exigences peuvent comprendre des politiques, des procédures, des instructions de travail,
des exigences légales, des obligations contractuelles, etc.
[SOURCE: ISO 9000:2015, 3.13.7, modifiée — la définition a été modifiée et les Notes 1 et 2 à l’article ont
été ajoutées]
3.8
preuves objectives
données démontrant l’existence ou la véracité de quelque chose
Note 1 à l'article: Les preuves objectives sont obtenues par observation, mesure, essai ou par un autre moyen.
2 © ISO 2018 – Tous droits réservés

Note 2 à l'article: Dans le cadre d’un audit (3.1), les preuves objectives consistent généralement en enregistrements,
énoncés de faits ou d’autres informations pertinents pour les critères d’audit (3.7) et vérifiables.
[SOURCE: ISO 9000:2015, 3.8.3]
3.9
preuves d’audit
enregistrements, énoncés de faits ou autres informations pertinents pour les critères d’audit (3.7) et
vérifiables
[SOURCE: ISO 9000:2015, 3.13.8]
3.10
constatations d’audit
résultats de l’évaluation des preuves d’audit (3.9) recueillies, par rapport aux critères d’audit (3.7)
Note 1 à l'article: Les constatations d’audit indiquent la conformité (3.20) ou la non-conformité (3.21).
Note 2 à l'article: Les constatations d’audit peuvent conduire à l’identification des opportunités d’amélioration ou
à la consignation des bonnes pratiques.
Note 3 à l'article: En anglais, si les critères d’audit sont choisis parmi les exigences légales ou les exigences
réglementaires, la constatation d’audit est qualifiée de «compliance» ou «non-compliance».
[SOURCE: ISO 9000:2015, 3.13.9, modifiée — les Notes 2 et 3 à l’article ont été modifiées]
3.11
conclusions d’audit
résultat d’un audit (3.1), après avoir pris en considération les objectifs de l’audit et toutes les
constatations d’audit (3.10)
[SOURCE: ISO 9000:2015, 3.13.10]
3.12
client de l’audit
organisme ou personne demandant un audit (3.1)
Note 1 à l'article: Dans le cas d’un audit interne, le client de l’audit peut également être l’audité (3.13) ou la (les)
personne(s) qui gère(nt) le programme d’audit. Les demandes d’audit externe peuvent provenir de sources telles
que des autorités de réglementation, des parties contractantes ou des clients potentiels ou existants.
[SOURCE: ISO 9000:2015, 3.13.11, modifiée — la Note 1 à l’article a été ajoutée]
3.13
audité
organisme dans son ensemble ou parties de celui-ci qui sont audités
[SOURCE: ISO 9000:2015, 3.13.12, modifiée]
3.14
équipe d’audit
une ou plusieurs personnes réalisant un audit (3.1), assistées, si nécessaire, par des experts
techniques (3.16)
Note 1 à l'article: Un auditeur (3.15) de l’équipe d’audit (3.14) est nommé responsable de l’équipe d’audit.
Note 2 à l'article: L’équipe d’audit peut comprendre des auditeurs en formation.
[SOURCE: ISO 9000:2015, 3.13.14]
3.15
auditeur
personne qui réalise un audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.15]
3.16
expert technique
personne apportant à l’équipe d’audit (3.14) des connaissances ou une expertise spécifiques
Note 1 à l'article: Ces connaissances ou cette expertise spécifiques se rapportent à l’organisme, à l’activité, au
processus, au produit, au service ou au domaine à auditer, ou elles consistent en une assistance linguistique ou
culturelle.
Note 2 à l'article: Au sein de l’équipe d’audit (3.14), un expert technique n’agit pas en tant qu’auditeur (3.15).
[SOURCE: ISO 9000:2015, 3.13.16, modifiée — les Notes 1 et 2 à l’article ont été modifiées]
3.17
observateur
personne qui accompagne l’équipe d’audit (3.14), mais qui n’agit pas en tant qu’auditeur (3.15)
[SOURCE: ISO 9000:2015, 3.13.17, modifiée]
3.18
système de management
ensemble d’éléments corrélés ou en interaction d’un organisme, utilisés pour établir des politiques, des
objectifs et des processus (3.24) de façon à atteindre lesdits objectifs
Note 1 à l'article: Un système de management peut traiter d’un seul ou de plusieurs domaines, par exemple
management de la qualité, gestion financière ou management environnemental.
Note 2 à l'article: Les éléments du système de management comprennent la structure, les rôles et responsabilités,
la planification, le fonctionnement de l’organisme, les politiques, les pratiques, les règles, les convictions, les
objectifs et les processus permettant d’atteindre ces objectifs.
Note 3 à l'article: Le périmètre d’un système de management peut comprendre l’ensemble de l’organisme, des
fonctions ou des sections spécifiques et identifiées de l’organisme, ou une ou plusieurs fonctions dans un groupe
d’organismes.
[SOURCE: ISO 9000:2015, 3.5.3, modifiée — la Note 4 à l’article a été supprimée]
3.19
risque
effet de l’incertitude
Note 1 à l'article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2 à l'article: L’incertitude est l’état, même partiel, de manque d’information qui entrave la compréhension ou
la connaissance d’un événement, de ses conséquences ou de sa vraisemblance.
Note 3 à l'article: Un risque est souvent caractérisé par référence à des événements potentiels (tels que définis
dans le Guide ISO 73:2009, 3.5.1.3) et à des conséquences également potentielles (telles que définies dans le
Guide ISO 73:2009, 3.6.1.3), ou par référence à une combinaison des deux.
Note 4 à l'article: Un risque est souvent exprimé en termes de combinaison des conséquences d’un événement (y
compris des changements de circonstances) et de la vraisemblance de son occurrence (telle que définie dans le
Guide ISO 73:2009, 3.6.1.1).
[SOURCE: ISO 9000:2015, 3.7.9, modifiée — les Notes 5 et 6 à l’article ont été supprimées]
4 © ISO 2018 – Tous droits réservés

3.20
conformité
satisfaction d’une exigence (3.23)
[SOURCE: ISO 9000:2015, 3.6.11, modifiée — la Note 1 à l’article a été supprimée]
3.21
non-conformité
non-satisfaction d’une exigence (3.23)
[SOURCE: ISO 9000:2015, 3.6.9, modifiée — la Note 1 à l’article a été supprimée]
3.22
compétence
aptitude à mettre en pratique des connaissances et des savoir-faire pour obtenir les résultats escomptés
[SOURCE: ISO 9000:2015, 3.10.4, modifiée — les Notes à l’article ont été supprimées]
3.23
exigence
besoin ou attente formulé, généralement implicite ou obligatoire
Note 1 à l'article: «Généralement implicite» signifie qu’il est habituel ou courant, pour l’organisme et les parties
intéressées, que le besoin ou l’attente en question soit implicite.
Note 2 à l'article: Une exigence spécifiée est une exigence formulée, par exemple une information documentée.
[SOURCE: ISO 9000:2015, 3.6.4, modifiée — les Notes 3, 4, 5 et 6 à l’article ont été supprimées]
3.24
processus
ensemble d’activités corrélées ou en interaction qui utilise des éléments d’entrée pour produire un
résultat escompté
[SOURCE: ISO 9000:2015, 3.4.1, modifiée — les Notes à l’article ont été supprimées]
3.25
performance
résultat mesurable
Note 1 à l'article: Les performances peuvent être liées à des résultats quantitatifs ou qualitatifs.
Note 2 à l'article: Les performances peuvent concerner le management d’activités, de processus (3.24), de produits,
de services, de systèmes ou d’organismes.
[SOURCE: ISO 9000:2015, 3.7.8, modifiée — la Note 3 à l’article a été supprimée]
3.26
efficacité
niveau de réalisation des activités planifiées et d’obtention des résultats escomptés
[SOURCE: ISO 9000:2015, 3.7.11, modifiée — la Note 1 à l’article a été supprimée]
4 Principes de l’audit
L’audit est caractérisé par le respect d’un certain nombre de principes. Il convient que ces principes
fassent de l’audit un outil efficace et fiable sur lequel la direction peut s’appuyer pour gérer ses politiques
et contrôles en fournissant des informations à partir desquelles l’organisme peut agir pour améliorer
ses performances. Le respect de ces principes est indispensable pour que les conclusions d’audit soient
pertinentes et suffisantes, et pour que des auditeurs travaillant indépendamment les uns des autres
parviennent à des conclusions similaires dans des circonstances similaires.
Les lignes directrices données dans les Articles 5 à 7 sont fondées sur les sept principes décrits ci-après.
a) Déontologie: le fondement du professionnalisme
Il convient que les auditeurs et la ou les personnes responsables du management du programme
d’audit:
— réalisent leurs tâches de manière éthique, avec honnêteté et responsabilité;
— réalisent des activités d’audit uniquement s’ils ont les compétences requises;
— réalisent leurs tâches en toute impartialité, c’est-à-dire qu’ils restent justes et sans parti pris
dans toutes leurs actions;
— soient sensibilisés à toutes les influences que peuvent exercer d’autres parties intéressées sur
leur jugement.
b) Restitution impartiale: l’obligation de rendre compte de manière sincère et précise
Il convient que les constatations, conclusions et rapports d’audit reflètent de manière sincère et
précise les activités d’audit. Il convient de consigner les obstacles importants rencontrés pendant
l’audit et les questions non résolues ou les avis divergents entre l’équipe d’audit et l’audité. Il
convient que la communication soit sincère, précise, objective, opportune, claire et complète.
c) Conscience professionnelle: l’attitude diligente et avisée au cours de l’audit
Il convient que les auditeurs agissent en accord avec l’importance des tâches qu’ils réalisent et
la confiance que leur ont accordée le client de l’audit et les autres parties intéressées. La qualité
essentielle pour réaliser leurs tâches avec conscience professionnelle réside dans la capacité de
prendre des décisions avisées dans toutes les situations d’audit.
d) Confidentialité: sécurité des informations
Il convient que les auditeurs utilisent avec précaution les informations acquises au cours de leurs
missions. Il convient que les informations d’audit ne soient pas utilisées de manière inappropriée
au seul bénéfice de l’auditeur ou du client de l’audit ou de manière qui pourrait porter préjudice aux
intérêts légitimes de l’audité. Ce concept comprend le traitement correct des informations sensibles
ou confidentielles.
e) Indépendance: le fondement de l’impartialité de l’audit et de l’objectivité des conclusions d’audit
Il convient que les auditeurs soient indépendants de l’activité auditée et n’aient ni parti pris ni conflit
d’intérêt dans toute la mesure du possible. Pour les audits internes, il convient que les auditeurs
soient, si possible, indépendants de la fonction auditée. Il convient que les auditeurs conservent
un état d’esprit objectif tout au long du processus d’audit pour s’assurer que les constatations et
conclusions d’audit sont uniquement fondées sur les preuves d’audit.
Pour les petits organismes, il peut se révéler impossible pour les auditeurs internes d’être
totalement indépendants de l’activité auditée, mais il convient de s’efforcer d’établir des relations
sans parti pris et de créer un climat d’objectivité.
f) Approche fondée sur la preuve: la méthode rationnelle pour parvenir à des conclusions d’audit
fiables et reproductibles dans un processus d’audit systématique
Il convient que les preuves d’audit soient vérifiables. Il convient généralement qu’elles s’appuient
sur des échantillons des informations disponibles, dans la mesure où un audit est réalisé avec une
durée et des ressources délimitées. Il convient d’utiliser l’échantillonnage de manière appropriée,
dans la mesure où cette utilisation est étroitement liée à la confiance qui peut être accordée aux
conclusions d’audit.
6 © ISO 2018 – Tous droits réservés

g) Approche par les risques: approche d’audit prenant en considération les risques et les opportunités
Il convient que l’approche par les risques ait une influence substantielle sur la planification, la
réalisation et le compte rendu des audits afin de s’assurer que les audits soient axés sur les questions
importantes pour le client de l’audit et de réaliser les objectifs du programme d’audit.
5 Management d’un programme d’audit
5.1 Généralités
Il convient d’établir un programme d’audit pouvant inclure des audits prenant en compte une ou
plusieurs normes de système de management ou d’autres exigences, réalisés de manière individuelle ou
combinée (audit combiné).
Il convient que l’étendue d’un programme d’audit tienne compte de la taille et de la nature de l’audité,
ainsi que de la nature, de la fonctionnalité, de la complexité, du type de risques et opportunités et du
niveau de maturité du ou des systèmes de management à auditer.
La fonctionnalité du système de management peut être encore plus complexe lorsque la plupart des
fonctions importantes sont externalisées et gérées sous la direction d’autres organismes. Une attention
particulière doit être accordée aux lieux où les décisions les plus importantes sont prises et à la
constitution de la direction du système de management.
En cas de lieux/sites multiples (par exemple dans différents pays), ou lorsque des fonctions importantes
sont externalisées et gérées sous la direction d’un autre organisme, il convient d’accorder une attention
particulière à la conception, à la planification et à la validation du programme d’audit.
Dans le cas d’organismes plus petits ou moins complexes, le programme d’audit peut être adapté de
manière appropriée.
Pour comprendre le contexte de l’audité, il convient que le programme d’audit tienne compte:
— des objectifs de l’organisme audité;
— des enjeux externes et internes pertinents;
— des besoins et attentes des parties intéressées pertinentes;
— des exigences en matière de sécurité et de confidentialité des informations.
La planification de programmes d’audit interne et, dans certains cas, de programmes d’audit de
prestataires externes, peut être organisée de manière à contribuer à d’autres objectifs de l’organisme.
Il convient que la ou les personnes responsables du management du programme d’audit s’assurent du
maintien de la déontologie de l’audit et de l’absence d’influence indue sur l’audit.
En matière d’audit, il convient d’accorder la priorité à l’affectation de ressources et de méthodes aux
problématiques qui, au sein d’un système de management, présentent un risque intrinsèque élevé et un
faible niveau de performance.
Il convient d’attribuer la responsabilité du management du programme d’audit à des personnes
compétentes.
Il convient que le programme d’audit comporte les informations et identifie les ressources permettant
de réaliser les audits de façon efficace et efficiente dans les délais spécifiés. Il convient que les
informations comprennent:
a) les objectifs du programme d’audit;
b) les risques et opportunités associés au programme d’audit (voir 5.3) et les actions à mettre en
œuvre pour y faire face;
c) le champ (étendue, limites, lieux) de chaque audit au sein du programme d’audit;
d) le calendrier (nombre/durée/fréquence) des audits;
e) les types d’audit, tels qu’internes ou externes;
f) les critères d’audit;
g) les méthodes d’audit à employer;
h) les critères de sélection des membres de l’équipe d’audit;
i) les informations documentées pertinentes.
Certaines de ces informations peuvent ne pas être disponibles tant qu’une planification plus détaillée
de l’audit n’est pas achevée.
Il convient de surveiller et mesurer de manière continue la mise en œuvre du programme d’audit
(voir 5.6) afin de s’assurer de la réalisation de ses objectifs. Il convient que le programme d’audit
fasse l’objet d’une revue afin d’identifier les besoins de changements et d’éventuelles opportunités
d’améliorations (voir 5.7).
La Figure 1 illustre le logigramme de management d’un programme d’audit.
8 © ISO 2018 – Tous droits réservés

NOTE 1 La Figure 1 illustre également l’application du cycle Plan-Do-Check-Act (Planifier-Réaliser-Vérifier-
Agir) dans le présent document.
NOTE 2 Les numéros d’articles/paragraphes renvoient aux articles et paragraphes correspondants du présent
document.
Figure 1 — Logigramme pour le management d’un programme d’audit
5.2 Détermination des objectifs du programme d’audit
Il convient que le client de l’audit s’assure de la détermination des objectifs du programme d’audit
permettant le pilotage de la planification et de la réalisation des audits, et de la mise en œuvre de
manière efficace de ce programme. Il convient que les objectifs du programme d’audit soient cohérents
avec l’orientation stratégique du client de l’audit et étayent la politique et les objectifs du système de
management.
Ces objectifs peuvent prendre en compte:
a) les besoins et les attentes des parties intéressées pertinentes, aussi bien externes qu’internes;
b) les caractéristiques et les exigences des processus, produits, services et projets, ainsi que toutes
modifications de ces derniers;
c) les exigences relatives au(x) système(s) de management;
d) la nécessité d’évaluer les prestataires externes;
e) le niveau de performance de l’audité et le niveau de maturité du (des) système(s) de management,
tels que mesurés par des indicateurs de performance pertinents (par exemple KPI), l’apparition de
non-conformités, d’incidents ou de réclamations des parties intéressées;
f) les risques et opportunités identifiés pour l’audité;
g) les résultats d’audits précédents.
Des exemples d’objectifs d’un programme d’audit peuvent comprendre les éléments suivants:
— identifier les opportunités d’amélioration d’un système de management et de ses performances;
— évaluer la capacité de l’audité à déterminer son contexte;
— évaluer la capacité de l’audité à déterminer les risques et opportunités et à identifier et mettre en
œuvre des actions efficaces pour y faire face;
— se conformer à toutes les exigences pertinentes, par exemple les exigences légales et réglementaires,
les engagements de conformité, les exigences pour la certification selon une norme de système de
management;
— obtenir et conserver la confiance dans les capacités d’un prestataire externe;
— déterminer la pertinence, l’adéquation et l’efficacité continues du système de management de
l’audité;
— évaluer la compatibilité et l’alignement des objectifs du système de management avec l’orientation
stratégique de l’organisme.
5.3 Détermination et évaluation des risques et des opportunités du programme d’audit
Des risques et opportunités liés au contexte de l’audité peuvent être associés à un programme d’audit
et sont susceptibles d’affecter la réalisation de ses objectifs. Il convient que la ou les personnes
responsables du management du programme d’audit identifient et présentent au client de l’audit les
risques et opportunités pris en compte lors de l’élaboration du programme d’audit et les besoins en
ressources afin de pouvoir les traiter de
...

NORME ISO
INTERNATIONALE 19011
Redline version
compare la Troisième édition
à la Deuxième édition
Lignes directrices pour l'audit
des systèmes de management
Guidelines for auditing management systems
Numéro de référence
ISO 19011:redline:2018(F)
©
ISO 2018
ISO 19011:redline:2018(F)
IMPORTANT — PLEASE NOTE
This is a mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
Text example 2 — indicates removed text (in red)
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
DISCLAIMER
This Redline version provides you with a quick and easy way to compare the main changes
between this edition of the standard and its previous edition. It doesn’t capture all single
changes such as punctuation but highlights the modifications providing customers with
the most valuable information. Therefore it is important to note that this Redline version is
not the official ISO standard and that the users must consult with the clean version of the
standard, which is the official standard, for implementation purposes.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2018
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en oeuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2018 – Tous droits réservés

ISO 19011:redline:2018(F)
Sommaire Page
Avant-propos .v
Introduction .vii
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes de l’audit . 6
5 Management d’un programme d’audit . 8
5.1 Généralités . 8
5.2 Détermination des objectifs du programme d’audit .11
5.3 Détermination et évaluation des risques et des opportunités du programme d’audit .12
5.3 5.4 Établissement du programme d’audit .13
5.3.1 5.4.1 Rôles et responsabilités de la personne responsable ou des personnes
responsables du management du programme d’audit .13
5.3.2 5.4.2 Compétence de la personne responsable ou des personnes responsables
du management du programme d’audit .14
5.3.3 5.4.3 Détermination de l’étendue du programme d’audit.15
5.3.4 Identification et évaluation des risques liés au programme d’audit .16
5.3.5 Établissement des procédures du programme d’audit .16
5.3.6 5.4.4 Identification Détermination des ressources du programme d’audit . .16
5.4 5.5 Mise en œuvre du programme d’audit .17
5.4.1 5.5.1 Généralités .17
5.4.2 5.5.2 Définition des objectifs, du champ et des critères pour chaque audit
individuel . .18
5.4.3 5.5.3 Détermination Choix et détermination des méthodes d’audit .19
5.4.4 5.5.4 Choix des membres de l’équipe d’audit .19
5.4.5 5.5.5 Attribution de la responsabilité d’un audit individuel au responsable de
l’équipe d’audit .20
5.4.6 5.5.6 Management du résultat des résultats du programme d’audit .21
5.4.7 5.5.7 Management et conservation des enregistrements du programme d’audit .22
5.5 5.6 Surveillance du programme d’audit .22
5.6 5.7 Revue et amélioration du programme d’audit .23
6 Réalisation d’un audit .24
6.1 Généralités .24
6.2 Déclenchement de l’audit .24
6.2.1 Généralités .24
6.2.2 Établissement du premier Prise de contact avec l’audité .25
6.2.3 Détermination de la faisabilité de l’audit.25
6.3 Préparation des activités d’audit .26
6.3.1 Réalisation d’une revue de documents dans la préparation de l’audit des
informations documentées .26
6.3.2 Préparation du plan d’audit .26
6.3.2.2 6.3.2 Planification de l’audit .27
6.3.3 Répartition des tâches au sein de l’équipe d’audit .29
6.3.4 Préparation des documents de travail informations documentées en vue
de l’audit.29
6.4 Réalisation des activités d’audit .30
6.4.1 Généralités .30
6.4.2 Attribution des rôles et responsabilités des guides et des observateurs .30
6.4.2 6.4.3 Conduite de la réunion d’ouverture.30
6.4.3 Réalisation d’une revue de documents au cours de l’audit .32
6.4.4 Communication pendant l’audit .32
6.4.5 Disponibilité et accès aux informations d’audit .32
ISO 19011:redline:2018(F)
6.4.5 6.4.6 Attribution des rôles et responsabilités des guides et des
observateurs Réalisation d’une revue des informations documentées au
cours de l’audit .33
6.4.6 6.4.7 Recueil et vérification des informations .33
6.4.7 6.4.8 Production de constatations d’audit .35
6.4.8 6.4.9 Préparation Détermination des conclusions d’audit .36
6.4.9 6.4.10 Conduite de la réunion de clôture.37
6.5 Préparation et diffusion du rapport d’audit .38
6.5.1 Préparation du rapport d’audit .38
6.5.2 Diffusion du rapport d’audit .39
6.6 Clôture de l’audit .39
6.7 Réalisation du suivi d’audit .40
7 Compétence et évaluation des auditeurs .40
7.1 Généralités .40
7.2 Détermination de la compétence de l’auditeur pour répondre aux besoins du
programme d’audit Déterminer la compétence d’un auditeur .41
7.2.1 Généralités .41
7.2.2 Comportements personnels .41
7.2.3 Connaissances et aptitudes .42
7.2.4 Acquisition de la compétence des auditeurs d’auditeur .46
7.2.5 Responsables Acquisition de la compétence de responsable d’équipe d’audit .46
7.3 Déterminer les critères d’évaluation des auditeurs .46
7.4 Choisir la méthode d’évaluation des auditeurs appropriée .46
7.5 Réaliser l’évaluation du ou des auditeurs d’un auditeur .47
7.6 Maintien et amélioration de la compétence du ou des auditeurs .47
Annexe A (informative) Lignes directrices et exemples illustratifs de connaissances et
aptitudes spécifiques à la discipline des auditeurs .49
Annexe B A (informative) Lignes directrices supplémentaires destinées aux auditeurs pour
la planification et la réalisation des audits .56
Bibliographie .70
iv © ISO 2018 – Tous droits réservés

ISO 19011:redline:2018(F)
Avant-propos
L'ISOL’ISO (Organisation internationale de normalisation) est une fédération mondiale
d'organismesd’organismes nationaux de normalisation (comités membres de l'ISOl’ISO).
L'élaborationL’élaboration des Normes internationales est en général confiée aux comités techniques de
l'ISOl’ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité technique
créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales, en liaison
avec l'ISOl’ISO participent également aux travaux. L'ISOL’ISO collabore étroitement avec la Commission
électrotechnique internationale (CEIIEC) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigéesprocédures utilisées pour élaborer le présent document
et celles destinées à sa mise à jour sont décrites dans les Directives ISO/IEC, Partie 1. Il convient, en
particulier de prendre note des différents critères d’approbation requis pour les différents types de
documents ISO. Le présent document a été rédigé conformément aux règles de rédaction données dans
les Directives ISO/CEIIEC, Partie 2 (voir www .iso .org/directives).
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de
Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des
comités membres votants.
L'attention est appeléeL’attention est attirée sur le fait que certains des éléments du présent document
peuvent faire l'objetl’objet de droits de propriété intellectuelle ou de droits analogues. L'ISOL’ISO ne
saurait être tenue pour responsable de ne pas avoir identifié de tels droits de propriété et averti de leur
existence. Les détails concernant les références aux droits de propriété intellectuelle ou autres droits
analogues identifiés lors de l’élaboration du document sont indiqués dans l’Introduction et/ou dans la
liste des déclarations de brevets reçues par l’ISO (voir www .iso .org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www .iso .org/avant -propos.
L'ISO 19011Le présent document a été élaboréeélaboré par le comité techniquede projet ISO/
TC 176PC 302, Management et assurance de la qualité, sous-comité SC 3, Techniques de soutienLignes
directrices pour l’audit des systèmes de management.
Cette deuxièmetroisième édition annule et remplace la premièredeuxième édition (ISO 19011:20022011),
qui a fait l'objet d'unel’objet d’une révision technique.
Les principales différences entre les versions de 2002 et 2011 de l’ISO 19011par rapport à la deuxième
édition sont les suivantes:
— ajout de l’approche par les risques aux principes de l’audit;
— le domaine d’application de la présente Norme internationale, qui se limitait dans la version
précédente à l’audit des systèmes de management de la qualité et de management environnemental,
concerne cette fois l’audit de tous les systèmes de management quels qu’ils soientdéveloppement
des lignes directrices relatives au management d’un programme d’audit, y compris le risque lié au
programme d’audit;
— la relation entre l’développement des lignes directrices relatives à la ISO 19011 et l’ISO/CEI 17021
est clarifiéeréalisation d’un audit, en particulier la section concernant la planification de l’audit;
— les méthodes d’audit à distance et le concept de risque sont introduitsdéveloppement des exigences
relatives aux compétences générales des auditeurs;
ISO 19011:redline:2018(F)
— la confidentialité a été ajoutée comme nouveau principeajustement de la terminologie pour refléter
le processus et non l’objet («chose»);
— suppression de l’annexe contenant les Articles 5exigences en matière de compétences pour l’audit
de disciplines de systèmes de management spécifiques (en raison du grand nombre de normes de
système de management individuelles, 6 et 7 ont été réorganisésil ne serait pas pratique d’inclure
des exigences en matière de compétences pour toutes les disciplines);
— une nouvelle Annexe B contient des informations supplémentaires, ce qui a conduit à la suppression
des textes encadrés;
— le processus de détermination et d’évaluation des compétences est renforcé;
— une nouvelle développement de l’Annexe A présente des exemples illustratifs des connaissances et
aptitudes spécifiques à la discipline;pour fournir des lignes directrices relatives aux (nouveaux)
concepts d’audit tels que le contexte de l’organisme, le leadership et l’engagement, les audits virtuels,
la conformité et la chaîne d’approvisionnement.
— de plus amples informations doivent être mises à disposition sur un site Web public de l’ISO (www
.iso .org/19011auditing).
vi © ISO 2018 – Tous droits réservés

ISO 19011:redline:2018(F)
Introduction
Depuis que la première édition de la présente Norme internationaledeuxième édition du présent
document a été publiée en 2002, un certain nombre de 2011, plusieurs nouvelles normes sur les
systèmes de management a été publié. Le résultat est que maintenant il y a un besoin de prendre en
considération un domaine d'application plus étendu d'audit du système de management, aussi bien
queont été publiées, un grand nombre d’entre elles ayant une structure commune, des exigences de
base identiques et des termes et définitions de base communs. De ce fait, il est nécessaire d’envisager
une approche plus globale de l’audit des systèmes de management et de fournir des lignes directrices,
ce qui est plus général plus générales. Les résultats d’audit peuvent fournir des éléments d’entrée pour
l’aspect analytique de la planification des activités, et peuvent contribuer à l’identification des besoins
et activités d’amélioration.
En 2006, l’ISO CASCO (Comité pour l’évaluation de la conformité) a élaboré l'ISO/CEI 17021 spécifiant
des exigences applicables à la certification par tierce partie des systèmes de management. Cette norme
était fondée partiellement sur les lignes directrices contenues dans la première édition de la présente
Norme internationale.Un audit peut être réalisé par rapport à une série de critères d’audit, séparément
ou en combinaison, comprenant sans toutefois s’y limiter:
— les exigences définies dans une ou plusieurs normes de système de management;
— les politiques et les exigences spécifiées par les parties intéressées pertinentes;
— les exigences légales et réglementaires;
— un ou plusieurs processus de système de management définis par l’organisme ou d’autres parties;
— le(s) plan(s) de système de management se rapportant à la fourniture d’éléments de sortie spécifiques
d’un système de management (par exemple plan qualité, plan de projet).
Le présent document fournit aux organismes de toutes tailles et de tous types des lignes directrices
pour les audits de champs et échelles variables, y compris ceux réalisés par de grandes équipes d’audit,
généralement dans de grands organismes, et ceux réalisés par des auditeurs uniques, dans de grands
ou petits organismes. Il convient, selon le cas, d’adapter ces lignes directrices au champ, à la complexité
et à l’échelle du programme d’audit.
La deuxième édition de l’ISO/CEI 17021, publiée en 2011, a été étendue afin de transformer les lignes
directrices proposées dans la présente Norme internationale en exigences concernant les audits
de certification du système de management. C’est dans ce contexte que cette deuxième édition de la
présente Norme internationale fournit des lignes directrices à l’intention de tous les utilisateurs, y
compris les petites et moyennes entreprises, s’intéressant par ailleurs aux dénominations communément
appliquées aux audits internes (Le présent document se concentre sur les audits internes (de première
partie) et auxles audits réalisés par les clients portant sur leurs fournisseurs (des organismes auprès
de leurs prestataires externes et d’autres parties intéressées externes (de seconde partie). Bien que
les personnes en charge des audits de certification duLe présent document peut également être utile
pour des audits externes réalisés à d’autres fins que la certification par tierce partie d’un système
de management respectent les exigences de l. L’ISO/CEIIEC 17021:2011-1, elles peuvent également
considérer comme utiles les lignes directrices définies dans la présente Norme internationale fournit
des exigences relatives à l’audit des systèmes de management en vue d’une certification par tierce
partie; toutefois, le présent document peut fournir des lignes directrices supplémentaires utiles
(voir Tableau 1).
La relation entre cette deuxième édition de la présente Norme internationale et l’ISO/CEI 17021:2011
est présentée dans le Tableau 1.
ISO 19011:redline:2018(F)
Tableau 1 — Domaine d’application de la présente Norme internationale et sa relation avec
l’ ISO/CEI 17021:2011Différent types d’audits
Audit externe
Audit interne
Audit des fournisseurs Audit de tierce partie
Audit de première partie Audit de seconde partie Audit de tierce partie
Audit interne Audit des prestataires externes Audit en vue d’une certification et/
ou d’une accréditation
re e
Parfois appelé audit de 1  partie  Parfois appelé audit de 2  par- À Audit à des fins légales,
tie Audit d’autres parties intéressées réglementaires et similaires
externes
Pour certification (voir également
les exigences spécifiées dans l’ISO/
CEI 17021:2011)
La présente Norme internationale ne spécifie pas d’exigences mais donne des lignes directrices sur
le management d’un programme d’audit, la planification et la réalisation d’un audit du système de
management, ainsi que sur la compétence et l’évaluation d’un auditeur et d’une équipe d’audit.
Les organismes peuvent utiliser deux systèmes de management formels ou plus. Pour une simplification
de la lisibilité de la présente Norme internationalePour simplifier la lisibilité du présent document, la
forme singulière de «système de management» est préférable, le lecteur pouvant toutefois adapter la
mise en œuvre des lignes directrices à sa propre situation particulière. Cela s’applique également à
l’utilisation de «personne» et «personnes», «auditeur» et «auditeurs».
La présente Norme internationale est destinéeLe présent document est destiné à une large gamme
d’utilisateurs potentiels parmi lesquels des auditeurs, des organismes mettant en œuvre des systèmes
de management et des organismes devant réaliser des audits de systèmes de management dans un
cadre contractuel ou réglementaire. Les utilisateurs de la présente Norme internationaledu présent
document peuvent cependant appliquer ces lignes directrices pour développer leurs propres exigences
en matière d’audit.
Les lignes directrices fournies dans la présente Norme internationalele présent document peuvent
également être utilisées à des fins d’autodéclaration et peuvent par ailleurs se révéler utiles aux
organismes chargés de la certification du personnel ou de la formation d’auditeurs.
Les lignes directrices fournies dans la présente Norme internationalele présent document se veulent
flexibles. Comme indiqué à différentes reprises dans le texte, l’utilisation de ces lignes directrices peut
varier selon la taille, et le niveau de maturité du système de management de l’organisme,. Il convient
également de prendre en considération la nature et la complexité de l’organisme à auditer, ainsi que
selon les objectifs et le champ des audits à réaliser.
La présente Norme internationale introduit le concept de risque dans l’audit des systèmes de
management. L’approche adoptée se rapporte à la fois au risque que le processus d’audit n’atteint
pas ses objectifs et à l’éventualité que l’audit influe sur les activités et les processus de l’audité. Cette
approche ne fournit aucune ligne directrice spécifique concernant le processus de gestion des risques
d’un organisme, mais reconnaît que les organismes peuvent concentrer l’effort d’audit sur des questions
importantes pour le système de management.
La présente Norme internationaleLe présent document adopte le principe selon lequel,d’audit combiné
lorsque deux ou plusieurs systèmes de management de disciplines différentes font l’objet d’un audit
conjoint, on parle d’audit combinésont audités ensemble. Les principes et les processus d’audit sont
identiques à ceux applicables à un audit combiné (parfois appelé audit intégré) lorsque les systèmes
définis sont intégrés dans un système de management unique.
L’Article 3 établit les termes et les définitions clés utilisés dans la présente Norme internationale. Les
définitions sont données en veillant à ne pas les rendre contradictoires avec les définitions utilisées
dans d’autres normes de systèmes de management.
viii © ISO 2018 – Tous droits réservés

ISO 19011:redline:2018(F)
L’Article 4 décrit les principes de base de l’audit. Ces principes permettent à l’utilisateur de comprendre
les fondements de l’audit, de même qu’ils sont importants pour la compréhension des lignes directrices
spécifiées dans les Articles 5 à 7.
L’Article 5 donneLe présent document fournit des lignes directrices pour la détermination etsur le
management d’un programme d’audit, y compris l’établissement des objectifs d’un programme d’audit
et la coordination des activitésla planification et la réalisation d’audits de systèmes de management,
ainsi que sur la compétence et l’évaluation d’un auditeur et d’une équipe d’audit.
L’Article 6 donne des lignes directrices pour planifier et réaliser l’audit d’un système de management.
L’Article 7 donne des lignes directrices relatives à la compétence et à l’évaluation des auditeurs et des
équipes d’audit d’un système de management.
L’Annexe A illustre l’application des lignes directrices de l’Article 7 à différentes disciplines.
L’Annexe B fournit des lignes directrices supplémentaires destinées aux auditeurs sur la planification et
la réalisation des audits.
NORME INTERNATIONALE ISO 19011:redline:2018(F)
Lignes directrices pour l'audit des systèmes
de management
1 Domaine d’application
La présente Norme internationaleLe présent document fournit des lignes directrices sur l’audit de
systèmes de management, comprenant les principes de l’audit, le management d’un programme d’audit
et la réalisation d’audits de systèmes de management. Elle donne également des lignes directrices sur
l’évaluation de la compétence des personnes impliquées dans le processus d’audit, y compris le ou la
responsable. Ces activités concernent le(s) responsable(s) du management du programme d’audit, les
auditeurs et les équipes d’audit.
ElleIl est applicable à tous les organismes qui doivent planifier et réaliser des audits internes ou
externes de systèmes de management ou manager un programme d’audit.
La présente Norme internationaleLe présent document peut, en principe, s’appliquer à d’autres types
d’audits, à condition toutefois d’accorder une attention toute particulière aux compétences spécifiques
requises.
2 Références normatives
Aucune référence normative n’est citée. L’inclusion du présent article permet de conserver une
numérotation des articles identique à celle utilisée dans d’autres normes de systèmes de management
ISOLe présent document ne contient aucune référence normative.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https: //www .iso .org/obp
— IEC Electropedia: disponible à l’adresse http: //www .electropedia .org/
3.1
audit
processus méthodique, indépendant et documenté, permettant d’obtenir des preuves d’audit
(3.3)  objectives (3.8) et de les évaluer de manière objective pour déterminer dans quelle mesure les
critères d’audit (3.2 3.7) sont satisfaits
Note 1 à l'article: Les audits internes, parfois appelés audits de première partie, sont réalisés par, ou pour le compte
de l’organisme lui-même, pour la revue de direction et d’autres besoins internes (par exemple pour confirmer le
fonctionnement prévu du système de management ou pour obtenir des informations permettant d’améliorer le
système de management), et peuvent servir de base à l’autodéclaration de conformité de l’organisme. Dans de
nombreux cas et en particulier pour les petits organismes, l’indépendance peut être démontrée par l’absence de
responsabilité vis-à-vis de l’activité à auditer, ou de divergence et de conflit d’intérêt. .
Note 2 à l'article: Les audits externes comprennent les audits appelés généralement audits de seconde et de tierce
partie. Les audits de seconde partie sont réalisés par des parties ayant un intérêt à l’égard de l’organisme, comme
les clients ou d’autres personnes agissant en leur nom. Les audits de tierce partie sont réalisés par des organismes
d’audit indépendants, tels que les autorités de réglementation ou les organismes qui octroient l’enregistrement
ou la certification ceux qui octroient l’enregistrement ou la certification de conformité ou des organismes publics.
ISO 19011:redline:2018(F)
Note 3 à l'article: Lorsque deux ou plusieurs systèmes de management de différentes disciplines (par exemple
qualité, environnement, santé et sécurité au travail) font l’objet d’un audit conjoint, on parle d’audit combiné.
Note 4 à l'article: Lorsque deux ou plusieurs organismes d’audit coopèrent pour auditer un seul audité (3.7), on
parle d’audit conjoint.
Note 5 à l'article: Adapté de l’ISO 9000:2005, définition 3.9.1.
[SOURCE: ISO 9000:2015, 3.13.1, modifiée — la Note 1 à l’article a été ajoutée, la Note 4 à l’article a été
modifiée.]
3.2
audit combiné
audit (3.1) réalisé simultanément auprès d’un seul audité (3.18) sur deux systèmes de management
(3.19) ou plus
Note 1 à l'article: Lorsque deux ou plusieurs systèmes de management spécifiques à une discipline sont intégrés
dans un seul système de management, on parle de système de management intégré.
[SOURCE: ISO 9000:2015, 3.13.2, modifiée]
3.3
audit conjoint
audit (3.1) réalisé auprès d’un seul audité (3.13) par deux organismes d’audit ou plus
[SOURCE: ISO 9000:2015, 3.13.3]
3.4
programme d’audit
dispositions relatives à un ensemble d’un ou plusieurs audits (3.1) planifié pour une durée spécifique et
dirigé dans un but spécifique
[SOURCE: ISO 9000:2015, 3.13.4, modifiée — des mots ont été ajoutés à la définition]
3.5
champ de l’audit
étendue et limites d’un audit (3.1)
Note 1 à l'article: Le champ de l’audit décrit généralement les lieux physiques et virtuels, les fonctions, les unités
organisationnelles, les activités et les processus ainsi que la période de temps couverte.
Note 2 à l'article: Un lieu virtuel est un lieu où un organisme réalise un travail ou fournit un service en utilisant
un environnement en ligne permettant à des personnes d’exécuter les processus quel que soit le lieu physique.
[SOURCE: ISO 9000:2015, 3.13.5, modifiée — la Note 1 à l’article a été modifiée, la Note 2 à l’article a été
ajoutée]
3.6
plan d’audit
description des activités et des dispositions nécessaires pour réaliser un audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.6]
3.2 3.7
critères d’audit
ensemble de politiques, procédures ou exigences  d’exigences (3.23) utilisées comme référence vis-à-vis
de laquelle les preuves d’audit (3.3 ) objectives (3.8) sont comparées
Note 1 à l'article: Si les critères d’audit sont des exigences légales (y compris statutaires ou réglementaires), les
termes «conformité» et «non-conformité» sont souvent utilisés dans les constatations d’audit (3.10).
Note 2 à l'article: Adapté de l’ Les exigences peuvent comprendre des politiques, des procédures, des instructions
de ISO 9000:2005, définition 3.9.3travail, des exigences légales, des obligations contractuelles, etc.
2 © ISO 2018 – Tous droits réservés

ISO 19011:redline:2018(F)
[SOURCE: ISO 9000:2015, 3.13.7, modifiée — la définition a été modifiée et les Notes 1 et 2 à l’article ont
été ajoutées]
3.3 3.8
preuves d’audit objectives
enregistrements, énoncés de faits ou d’autres informations pertinents pour les données démontrant
l’existence ou critères d’audit (3.2) et vérifiables la véracité de quelque chose
Note 1 à l'article: Les preuves d’audit peuvent être qualitatives ou quantitatives objectives sont obtenues par
observation, mesure, essai ou par un autre moyen.
Note 2 à l'article: Dans le cadre d’un audit (3.1), les preuves objectives consistent généralement en enregistrements,
énoncés de faits ou d’autres informations pertinents pour les critères d’audit (3.7) et vérifiables.
[SOURCE: ISO 9000:2005, définition 3.9.4 2015, 3.8.3]
3.9
preuves d’audit
enregistrements, énoncés de faits ou autres informations pertinents pour les critères d’audit (3.7) et
vérifiables
[SOURCE: ISO 9000:2015, 3.13.8]
3.4 3.10
constatations d’audit
résultats de l’évaluation des preuves d’audit (3.3 3.9) recueillies, par rapport aux critères d’audit (3.2 3.7)
Note 1 à l'article: Les constatations d’audit indiquent la conformité (3.20) ou la non-conformité (3.21).
Note 2 à l'article: Les constatations d’audit peuvent conduire à l’identification des opportunités d’amélioration ou
à la consignation des bonnes pratiques.
Note 3 à l'article: Si En anglais, si les critères d’audit sont choisis parmi les exigences légales ou d’autres les
exigences réglementaires, la constatation d’audit est qualifiée de conformité ou non conformité «compliance» ou
«non-compliance».
Note 4 à l'article: Adapté de l’ISO 9000:2005, définition 3.9.5.
[SOURCE: ISO 9000:2015, 3.13.9, modifiée — les Notes 2 et 3 à l’article ont été modifiées]
3.5 3.11
conclusions d’audit
résultat d’un audit (3.1), après avoir pris en considération les objectifs de l’audit et toutes les
constatations d’audit (3.4 3.10)
[SOURCE: ISO 9000:2015, 3.13.10]
3.6 3.12
client de l’audit
organisme ou personne demandant un audit (3.1)
Note 1 à l'article: Dans le cas d’un audit interne, le client de l’audit peut également être l’audité (3.7 3.13) ou la
personne qui gère (les) personne(s) qui gère(nt) le programme d’audit. Les demandes d’audit externe peuvent
provenir de sources telles que des autorités de réglementation, des parties contractantes ou des clients potentiels
ou existants.
Note 2 à l'article: Adapté de l’ISO 9000:2005, définition 3.9.7.
[SOURCE: ISO 9000:2015, 3.13.11, modifiée — la Note 1 à l’article a été ajoutée]
ISO 19011:redline:2018(F)
3.7 3.13
audité
organisme qui est audité dans son ensemble ou parties de celui-ci qui sont audités
[SOURCE: ISO 9000:2005, définition 3.9.8 2015, 3.13.12, modifiée]
3.8
auditeur
personne qui réalise un audit (3.1)
3.9 3.14
équipe d’audit
un une ou plusieurs auditeurs (3.8)personnes réalisant un audit (3.1), assistés assistées, si nécessaire,
par des experts techniques (3.10 3.16)
Note 1 à l'article: Un auditeur (3.15) de l’équipe d’audit (3.14) est nommé responsable de l’équipe d’audit.
Note 2 à l'article: L’équipe d’audit peut comprendre des auditeurs en formation.
[SOURCE: ISO 9000:2005, définition 3.9.10 2015, 3.13.14]
3.15
auditeur
personne qui réalise un audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.15]
3.10 3.16
expert technique
〈audit〉 personne apportant à l’équipe d’audit (3.9 3.14) des connaissances ou une expertise
spécifiques
Note 1 à l'article: Ces connaissances ou cette expertise spécifiques sont relatives se rapportent à l’organisme,
au processus ou à l’activité à l’activité, au processus, au produit, au service ou au domaine à auditer, ou elles
consistent en une assistance linguistique ou culturelle.
Note 2 à l'article: Au sein de l’équipe d’audit (3.14), un expert technique n’agit pas en tant qu’auditeur (3.8 3.15).
[SOURCE: ISO 9000:2005, définition 3.9.11 2015, 3.13.16, modifiée — les Notes 1 et 2 à l’article ont été
modifiées]
3.11 3.17
observateur
personne qui accompagne l’équipe d’audit (3.9 3.14) mais ne réalise pas d’audit , mais qui n’agit pas en
tant qu’auditeur (3.15)
Note 1 à l'article: L’observateur ne fait pas partie intégrante de l’équipe d’audit et n’influence en aucune manière
la réalisation de l’audit (3.1).
Note 2 à l'article: Un observateur peut être désigné par l’audité (3.7), des Pouvoirs Publics ou toute autre partie
intéressée qui assiste à l’audit (3.1).
[SOURCE: ISO 9000:2015, 3.13.17, modifiée]
3.12
guide
personne nommée par l’audité (3.7) pour assister l’équipe d’audit (3.9)
4 © ISO 2018 – Tous droits réservés

ISO 19011:redline:2018(F)
3.13
programme d’audit
dispositions relatives à un ensemble d’un ou plusieurs audits (3.1) planifié pour une durée spécifique et
dirigé dans un but spécifique
3.14 3.18
champ de l’audit système de management
étendue et limites d’un ensemble d’éléments corrélés ou en interaction d’un organisme, utilisés pour
établir des politiques, des objectifs et audit (3.1)des processus (3.24) de façon à atteindre lesdits objectifs
Note 1 à l'article: Un système de management peut traiter d’un seul ou de plusieurs domaines, par exemple
management de la qualité, gestion financière ou management environnemental.
Note 2 à l'article: Le champ de l’audit décrit généralement les lieux, les unités organisationnelles, les activités Les
éléments du système de management comprennent la structure, les rôles et responsabilités, la planification,
le fonctionnement de l’organisme, les politiques, les pratiques, les règles, les convictions, les objectifs et les
processus ainsi que la période de temps couverte permettant d’atteindre ces objectifs.
Note 3 à l'article: Le périmètre d’un système de management peut comprendre l’ensemble de l’organisme, des
fonctions ou des sections spécifiques et identifiées de l’organisme, ou une ou plusieurs fonctions dans un groupe
d’organismes.
[SOURCE: ISO 9000:2005, définition 3.9.13 2015, 3.5.3, modifiée — la Note 4 à l’article a été supprimée]
3.15
plan d’audit
description des activités et des dispositions nécessaires pour réaliser un audit (3.1)
[SOURCE: ISO 9000:2005, définition 3.9.12]
3.16 3.19
risque
effet de l’incertitude sur les objectifs
Note 1 à l'article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2 à l'article: L’incertitude est l’état, même partiel, de manque d’information qui entrave la compréhension ou
la connaissance d’un événement, de ses conséquences ou de sa vraisemblance.
Note 3 à l'article: Adapté de l’ Un risque est souvent caractérisé par référence à des événements potentiels (tels
que définis dans le Guide ISO 73:2009, 3.5.1.3) et à des conséquences également potentielles (telles que définies
dans le ISO  Guide ISO 73:2009, définition 1.1 3.6.1.3), ou par référence à une combinaison des deux.
Note 4 à l'article: Un risque est souvent exprimé en termes de combinaison des conséquences d’un événement (y
compris des changements de circonstances) et de la vraisemblance de son occurrence (telle que définie dans le
Guide ISO 73:2009, 3.6.1.1).
[SOURCE: ISO 9000:2015, 3.7.9, modifiée — les Notes 5 et 6 à l’article ont été supprimées]
3.20
conformité
satisfaction d’une exigence (3.23)
[SOURCE: ISO 9000:2015, 3.6.11, modifiée — la Note 1 à l’article a été supprimée]
3.21
non-conformité
non-satisfaction d’une exigence (3.23)
[SOURCE: ISO 9000:2015, 3.6.9, modifiée — la Note 1 à l’article a été supprimée]
ISO 19011:redline:2018(F)
3.17 3.22
compétence
capacité à appliquer aptitude à mettre en pratique des connaissances et des aptitudes savoir-faire pour
obtenir les résultats escomptés
Note 1 à l'article: La capacité implique la bonne application des comportements personnels pendant le processus
d’audit.
[SOURCE: ISO 9000:2015, 3.10.4, modifiée — les Notes à l’article ont été supprimées]
3.18 3.23
conformité exigence
satisfaction d’une exigence besoin ou attente formulé, généralement implicite ou obligatoire
Note 1 à l'article: «Généralement implicite» signifie qu’il est habituel ou courant, pour l’organisme et les parties
intéressées, que le besoin ou l’attente en question soit implicite.
Note 2 à l'article: Une exigence spécifiée est une exigence formulée, par exemple une information documentée.
[SOURCE: ISO 9000:2005, définition 3.6.1 2015, 3.6.4, modifiée — les Notes 3, 4, 5 et 6 à l’article ont été
supprimées]
Note 3 à l'article: Si les critères d’audit (3.2) sont des exigences légales (y compris statutaires ou réglementaires),
une constatation d’audit (3.4) utilise souvent les termes «conforme à la réglementation» ou «non conforme à la
réglementation».
3.19 3.24
non-conformité processus
non-satisfaction d’une exigence ensemble d’activités corrélées ou en interaction qui utilise des éléments
d’entrée pour produire un résultat escompté
[SOURCE: ISO 9000:2005, définition 3.6.2 2015, 3.4.1, modifiée — les Notes à l’article ont été supprimées]
3.20 3.25
système de management performance
système permettant d
...

NORME ISO
INTERNATIONALE 19011
Redline version
compare la Troisième édition
à la Deuxième édition
Lignes directrices pour l'audit
des systèmes de management
Guidelines for auditing management systems
Numéro de référence
ISO 19011:redline:2018(F)
©
ISO 2018
ISO 19011:redline:2018(F)
IMPORTANT — PLEASE NOTE
This is a mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
Text example 2 — indicates removed text (in red)
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
DISCLAIMER
This Redline version provides you with a quick and easy way to compare the main changes
between this edition of the standard and its previous edition. It doesn’t capture all single
changes such as punctuation but highlights the modifications providing customers with
the most valuable information. Therefore it is important to note that this Redline version is
not the official ISO standard and that the users must consult with the clean version of the
standard, which is the official standard, for implementation purposes.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2018
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en oeuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2018 – Tous droits réservés

ISO 19011:redline:2018(F)
Sommaire Page
Avant-propos .v
Introduction .vii
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes de l’audit . 6
5 Management d’un programme d’audit . 8
5.1 Généralités . 8
5.2 Détermination des objectifs du programme d’audit .11
5.3 Détermination et évaluation des risques et des opportunités du programme d’audit .12
5.3 5.4 Établissement du programme d’audit .13
5.3.1 5.4.1 Rôles et responsabilités de la personne responsable ou des personnes
responsables du management du programme d’audit .13
5.3.2 5.4.2 Compétence de la personne responsable ou des personnes responsables
du management du programme d’audit .14
5.3.3 5.4.3 Détermination de l’étendue du programme d’audit.15
5.3.4 Identification et évaluation des risques liés au programme d’audit .16
5.3.5 Établissement des procédures du programme d’audit .16
5.3.6 5.4.4 Identification Détermination des ressources du programme d’audit . .16
5.4 5.5 Mise en œuvre du programme d’audit .17
5.4.1 5.5.1 Généralités .17
5.4.2 5.5.2 Définition des objectifs, du champ et des critères pour chaque audit
individuel . .18
5.4.3 5.5.3 Détermination Choix et détermination des méthodes d’audit .19
5.4.4 5.5.4 Choix des membres de l’équipe d’audit .19
5.4.5 5.5.5 Attribution de la responsabilité d’un audit individuel au responsable de
l’équipe d’audit .20
5.4.6 5.5.6 Management du résultat des résultats du programme d’audit .21
5.4.7 5.5.7 Management et conservation des enregistrements du programme d’audit .22
5.5 5.6 Surveillance du programme d’audit .22
5.6 5.7 Revue et amélioration du programme d’audit .23
6 Réalisation d’un audit .24
6.1 Généralités .24
6.2 Déclenchement de l’audit .24
6.2.1 Généralités .24
6.2.2 Établissement du premier Prise de contact avec l’audité .25
6.2.3 Détermination de la faisabilité de l’audit.25
6.3 Préparation des activités d’audit .26
6.3.1 Réalisation d’une revue de documents dans la préparation de l’audit des
informations documentées .26
6.3.2 Préparation du plan d’audit .26
6.3.2.2 6.3.2 Planification de l’audit .27
6.3.3 Répartition des tâches au sein de l’équipe d’audit .29
6.3.4 Préparation des documents de travail informations documentées en vue
de l’audit.29
6.4 Réalisation des activités d’audit .30
6.4.1 Généralités .30
6.4.2 Attribution des rôles et responsabilités des guides et des observateurs .30
6.4.2 6.4.3 Conduite de la réunion d’ouverture.30
6.4.3 Réalisation d’une revue de documents au cours de l’audit .32
6.4.4 Communication pendant l’audit .32
6.4.5 Disponibilité et accès aux informations d’audit .32
ISO 19011:redline:2018(F)
6.4.5 6.4.6 Attribution des rôles et responsabilités des guides et des
observateurs Réalisation d’une revue des informations documentées au
cours de l’audit .33
6.4.6 6.4.7 Recueil et vérification des informations .33
6.4.7 6.4.8 Production de constatations d’audit .35
6.4.8 6.4.9 Préparation Détermination des conclusions d’audit .36
6.4.9 6.4.10 Conduite de la réunion de clôture.37
6.5 Préparation et diffusion du rapport d’audit .38
6.5.1 Préparation du rapport d’audit .38
6.5.2 Diffusion du rapport d’audit .39
6.6 Clôture de l’audit .39
6.7 Réalisation du suivi d’audit .40
7 Compétence et évaluation des auditeurs .40
7.1 Généralités .40
7.2 Détermination de la compétence de l’auditeur pour répondre aux besoins du
programme d’audit Déterminer la compétence d’un auditeur .41
7.2.1 Généralités .41
7.2.2 Comportements personnels .41
7.2.3 Connaissances et aptitudes .42
7.2.4 Acquisition de la compétence des auditeurs d’auditeur .46
7.2.5 Responsables Acquisition de la compétence de responsable d’équipe d’audit .46
7.3 Déterminer les critères d’évaluation des auditeurs .46
7.4 Choisir la méthode d’évaluation des auditeurs appropriée .46
7.5 Réaliser l’évaluation du ou des auditeurs d’un auditeur .47
7.6 Maintien et amélioration de la compétence du ou des auditeurs .47
Annexe A (informative) Lignes directrices et exemples illustratifs de connaissances et
aptitudes spécifiques à la discipline des auditeurs .49
Annexe B A (informative) Lignes directrices supplémentaires destinées aux auditeurs pour
la planification et la réalisation des audits .56
Bibliographie .70
iv © ISO 2018 – Tous droits réservés

ISO 19011:redline:2018(F)
Avant-propos
L'ISOL’ISO (Organisation internationale de normalisation) est une fédération mondiale
d'organismesd’organismes nationaux de normalisation (comités membres de l'ISOl’ISO).
L'élaborationL’élaboration des Normes internationales est en général confiée aux comités techniques de
l'ISOl’ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité technique
créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales, en liaison
avec l'ISOl’ISO participent également aux travaux. L'ISOL’ISO collabore étroitement avec la Commission
électrotechnique internationale (CEIIEC) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigéesprocédures utilisées pour élaborer le présent document
et celles destinées à sa mise à jour sont décrites dans les Directives ISO/IEC, Partie 1. Il convient, en
particulier de prendre note des différents critères d’approbation requis pour les différents types de
documents ISO. Le présent document a été rédigé conformément aux règles de rédaction données dans
les Directives ISO/CEIIEC, Partie 2 (voir www .iso .org/directives).
La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de
Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour
vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des
comités membres votants.
L'attention est appeléeL’attention est attirée sur le fait que certains des éléments du présent document
peuvent faire l'objetl’objet de droits de propriété intellectuelle ou de droits analogues. L'ISOL’ISO ne
saurait être tenue pour responsable de ne pas avoir identifié de tels droits de propriété et averti de leur
existence. Les détails concernant les références aux droits de propriété intellectuelle ou autres droits
analogues identifiés lors de l’élaboration du document sont indiqués dans l’Introduction et/ou dans la
liste des déclarations de brevets reçues par l’ISO (voir www .iso .org/brevets).
Les appellations commerciales éventuellement mentionnées dans le présent document sont données
pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un
engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion
de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles
techniques au commerce (OTC), voir le lien suivant: www .iso .org/avant -propos.
L'ISO 19011Le présent document a été élaboréeélaboré par le comité techniquede projet ISO/
TC 176PC 302, Management et assurance de la qualité, sous-comité SC 3, Techniques de soutienLignes
directrices pour l’audit des systèmes de management.
Cette deuxièmetroisième édition annule et remplace la premièredeuxième édition (ISO 19011:20022011),
qui a fait l'objet d'unel’objet d’une révision technique.
Les principales différences entre les versions de 2002 et 2011 de l’ISO 19011par rapport à la deuxième
édition sont les suivantes:
— ajout de l’approche par les risques aux principes de l’audit;
— le domaine d’application de la présente Norme internationale, qui se limitait dans la version
précédente à l’audit des systèmes de management de la qualité et de management environnemental,
concerne cette fois l’audit de tous les systèmes de management quels qu’ils soientdéveloppement
des lignes directrices relatives au management d’un programme d’audit, y compris le risque lié au
programme d’audit;
— la relation entre l’développement des lignes directrices relatives à la ISO 19011 et l’ISO/CEI 17021
est clarifiéeréalisation d’un audit, en particulier la section concernant la planification de l’audit;
— les méthodes d’audit à distance et le concept de risque sont introduitsdéveloppement des exigences
relatives aux compétences générales des auditeurs;
ISO 19011:redline:2018(F)
— la confidentialité a été ajoutée comme nouveau principeajustement de la terminologie pour refléter
le processus et non l’objet («chose»);
— suppression de l’annexe contenant les Articles 5exigences en matière de compétences pour l’audit
de disciplines de systèmes de management spécifiques (en raison du grand nombre de normes de
système de management individuelles, 6 et 7 ont été réorganisésil ne serait pas pratique d’inclure
des exigences en matière de compétences pour toutes les disciplines);
— une nouvelle Annexe B contient des informations supplémentaires, ce qui a conduit à la suppression
des textes encadrés;
— le processus de détermination et d’évaluation des compétences est renforcé;
— une nouvelle développement de l’Annexe A présente des exemples illustratifs des connaissances et
aptitudes spécifiques à la discipline;pour fournir des lignes directrices relatives aux (nouveaux)
concepts d’audit tels que le contexte de l’organisme, le leadership et l’engagement, les audits virtuels,
la conformité et la chaîne d’approvisionnement.
— de plus amples informations doivent être mises à disposition sur un site Web public de l’ISO (www
.iso .org/19011auditing).
vi © ISO 2018 – Tous droits réservés

ISO 19011:redline:2018(F)
Introduction
Depuis que la première édition de la présente Norme internationaledeuxième édition du présent
document a été publiée en 2002, un certain nombre de 2011, plusieurs nouvelles normes sur les
systèmes de management a été publié. Le résultat est que maintenant il y a un besoin de prendre en
considération un domaine d'application plus étendu d'audit du système de management, aussi bien
queont été publiées, un grand nombre d’entre elles ayant une structure commune, des exigences de
base identiques et des termes et définitions de base communs. De ce fait, il est nécessaire d’envisager
une approche plus globale de l’audit des systèmes de management et de fournir des lignes directrices,
ce qui est plus général plus générales. Les résultats d’audit peuvent fournir des éléments d’entrée pour
l’aspect analytique de la planification des activités, et peuvent contribuer à l’identification des besoins
et activités d’amélioration.
En 2006, l’ISO CASCO (Comité pour l’évaluation de la conformité) a élaboré l'ISO/CEI 17021 spécifiant
des exigences applicables à la certification par tierce partie des systèmes de management. Cette norme
était fondée partiellement sur les lignes directrices contenues dans la première édition de la présente
Norme internationale.Un audit peut être réalisé par rapport à une série de critères d’audit, séparément
ou en combinaison, comprenant sans toutefois s’y limiter:
— les exigences définies dans une ou plusieurs normes de système de management;
— les politiques et les exigences spécifiées par les parties intéressées pertinentes;
— les exigences légales et réglementaires;
— un ou plusieurs processus de système de management définis par l’organisme ou d’autres parties;
— le(s) plan(s) de système de management se rapportant à la fourniture d’éléments de sortie spécifiques
d’un système de management (par exemple plan qualité, plan de projet).
Le présent document fournit aux organismes de toutes tailles et de tous types des lignes directrices
pour les audits de champs et échelles variables, y compris ceux réalisés par de grandes équipes d’audit,
généralement dans de grands organismes, et ceux réalisés par des auditeurs uniques, dans de grands
ou petits organismes. Il convient, selon le cas, d’adapter ces lignes directrices au champ, à la complexité
et à l’échelle du programme d’audit.
La deuxième édition de l’ISO/CEI 17021, publiée en 2011, a été étendue afin de transformer les lignes
directrices proposées dans la présente Norme internationale en exigences concernant les audits
de certification du système de management. C’est dans ce contexte que cette deuxième édition de la
présente Norme internationale fournit des lignes directrices à l’intention de tous les utilisateurs, y
compris les petites et moyennes entreprises, s’intéressant par ailleurs aux dénominations communément
appliquées aux audits internes (Le présent document se concentre sur les audits internes (de première
partie) et auxles audits réalisés par les clients portant sur leurs fournisseurs (des organismes auprès
de leurs prestataires externes et d’autres parties intéressées externes (de seconde partie). Bien que
les personnes en charge des audits de certification duLe présent document peut également être utile
pour des audits externes réalisés à d’autres fins que la certification par tierce partie d’un système
de management respectent les exigences de l. L’ISO/CEIIEC 17021:2011-1, elles peuvent également
considérer comme utiles les lignes directrices définies dans la présente Norme internationale fournit
des exigences relatives à l’audit des systèmes de management en vue d’une certification par tierce
partie; toutefois, le présent document peut fournir des lignes directrices supplémentaires utiles
(voir Tableau 1).
La relation entre cette deuxième édition de la présente Norme internationale et l’ISO/CEI 17021:2011
est présentée dans le Tableau 1.
ISO 19011:redline:2018(F)
Tableau 1 — Domaine d’application de la présente Norme internationale et sa relation avec
l’ ISO/CEI 17021:2011Différent types d’audits
Audit externe
Audit interne
Audit des fournisseurs Audit de tierce partie
Audit de première partie Audit de seconde partie Audit de tierce partie
Audit interne Audit des prestataires externes Audit en vue d’une certification et/
ou d’une accréditation
re e
Parfois appelé audit de 1  partie  Parfois appelé audit de 2  par- À Audit à des fins légales,
tie Audit d’autres parties intéressées réglementaires et similaires
externes
Pour certification (voir également
les exigences spécifiées dans l’ISO/
CEI 17021:2011)
La présente Norme internationale ne spécifie pas d’exigences mais donne des lignes directrices sur
le management d’un programme d’audit, la planification et la réalisation d’un audit du système de
management, ainsi que sur la compétence et l’évaluation d’un auditeur et d’une équipe d’audit.
Les organismes peuvent utiliser deux systèmes de management formels ou plus. Pour une simplification
de la lisibilité de la présente Norme internationalePour simplifier la lisibilité du présent document, la
forme singulière de «système de management» est préférable, le lecteur pouvant toutefois adapter la
mise en œuvre des lignes directrices à sa propre situation particulière. Cela s’applique également à
l’utilisation de «personne» et «personnes», «auditeur» et «auditeurs».
La présente Norme internationale est destinéeLe présent document est destiné à une large gamme
d’utilisateurs potentiels parmi lesquels des auditeurs, des organismes mettant en œuvre des systèmes
de management et des organismes devant réaliser des audits de systèmes de management dans un
cadre contractuel ou réglementaire. Les utilisateurs de la présente Norme internationaledu présent
document peuvent cependant appliquer ces lignes directrices pour développer leurs propres exigences
en matière d’audit.
Les lignes directrices fournies dans la présente Norme internationalele présent document peuvent
également être utilisées à des fins d’autodéclaration et peuvent par ailleurs se révéler utiles aux
organismes chargés de la certification du personnel ou de la formation d’auditeurs.
Les lignes directrices fournies dans la présente Norme internationalele présent document se veulent
flexibles. Comme indiqué à différentes reprises dans le texte, l’utilisation de ces lignes directrices peut
varier selon la taille, et le niveau de maturité du système de management de l’organisme,. Il convient
également de prendre en considération la nature et la complexité de l’organisme à auditer, ainsi que
selon les objectifs et le champ des audits à réaliser.
La présente Norme internationale introduit le concept de risque dans l’audit des systèmes de
management. L’approche adoptée se rapporte à la fois au risque que le processus d’audit n’atteint
pas ses objectifs et à l’éventualité que l’audit influe sur les activités et les processus de l’audité. Cette
approche ne fournit aucune ligne directrice spécifique concernant le processus de gestion des risques
d’un organisme, mais reconnaît que les organismes peuvent concentrer l’effort d’audit sur des questions
importantes pour le système de management.
La présente Norme internationaleLe présent document adopte le principe selon lequel,d’audit combiné
lorsque deux ou plusieurs systèmes de management de disciplines différentes font l’objet d’un audit
conjoint, on parle d’audit combinésont audités ensemble. Les principes et les processus d’audit sont
identiques à ceux applicables à un audit combiné (parfois appelé audit intégré) lorsque les systèmes
définis sont intégrés dans un système de management unique.
L’Article 3 établit les termes et les définitions clés utilisés dans la présente Norme internationale. Les
définitions sont données en veillant à ne pas les rendre contradictoires avec les définitions utilisées
dans d’autres normes de systèmes de management.
viii © ISO 2018 – Tous droits réservés

ISO 19011:redline:2018(F)
L’Article 4 décrit les principes de base de l’audit. Ces principes permettent à l’utilisateur de comprendre
les fondements de l’audit, de même qu’ils sont importants pour la compréhension des lignes directrices
spécifiées dans les Articles 5 à 7.
L’Article 5 donneLe présent document fournit des lignes directrices pour la détermination etsur le
management d’un programme d’audit, y compris l’établissement des objectifs d’un programme d’audit
et la coordination des activitésla planification et la réalisation d’audits de systèmes de management,
ainsi que sur la compétence et l’évaluation d’un auditeur et d’une équipe d’audit.
L’Article 6 donne des lignes directrices pour planifier et réaliser l’audit d’un système de management.
L’Article 7 donne des lignes directrices relatives à la compétence et à l’évaluation des auditeurs et des
équipes d’audit d’un système de management.
L’Annexe A illustre l’application des lignes directrices de l’Article 7 à différentes disciplines.
L’Annexe B fournit des lignes directrices supplémentaires destinées aux auditeurs sur la planification et
la réalisation des audits.
NORME INTERNATIONALE ISO 19011:redline:2018(F)
Lignes directrices pour l'audit des systèmes
de management
1 Domaine d’application
La présente Norme internationaleLe présent document fournit des lignes directrices sur l’audit de
systèmes de management, comprenant les principes de l’audit, le management d’un programme d’audit
et la réalisation d’audits de systèmes de management. Elle donne également des lignes directrices sur
l’évaluation de la compétence des personnes impliquées dans le processus d’audit, y compris le ou la
responsable. Ces activités concernent le(s) responsable(s) du management du programme d’audit, les
auditeurs et les équipes d’audit.
ElleIl est applicable à tous les organismes qui doivent planifier et réaliser des audits internes ou
externes de systèmes de management ou manager un programme d’audit.
La présente Norme internationaleLe présent document peut, en principe, s’appliquer à d’autres types
d’audits, à condition toutefois d’accorder une attention toute particulière aux compétences spécifiques
requises.
2 Références normatives
Aucune référence normative n’est citée. L’inclusion du présent article permet de conserver une
numérotation des articles identique à celle utilisée dans d’autres normes de systèmes de management
ISOLe présent document ne contient aucune référence normative.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en
normalisation, consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https: //www .iso .org/obp
— IEC Electropedia: disponible à l’adresse http: //www .electropedia .org/
3.1
audit
processus méthodique, indépendant et documenté, permettant d’obtenir des preuves d’audit
(3.3)  objectives (3.8) et de les évaluer de manière objective pour déterminer dans quelle mesure les
critères d’audit (3.2 3.7) sont satisfaits
Note 1 à l'article: Les audits internes, parfois appelés audits de première partie, sont réalisés par, ou pour le compte
de l’organisme lui-même, pour la revue de direction et d’autres besoins internes (par exemple pour confirmer le
fonctionnement prévu du système de management ou pour obtenir des informations permettant d’améliorer le
système de management), et peuvent servir de base à l’autodéclaration de conformité de l’organisme. Dans de
nombreux cas et en particulier pour les petits organismes, l’indépendance peut être démontrée par l’absence de
responsabilité vis-à-vis de l’activité à auditer, ou de divergence et de conflit d’intérêt. .
Note 2 à l'article: Les audits externes comprennent les audits appelés généralement audits de seconde et de tierce
partie. Les audits de seconde partie sont réalisés par des parties ayant un intérêt à l’égard de l’organisme, comme
les clients ou d’autres personnes agissant en leur nom. Les audits de tierce partie sont réalisés par des organismes
d’audit indépendants, tels que les autorités de réglementation ou les organismes qui octroient l’enregistrement
ou la certification ceux qui octroient l’enregistrement ou la certification de conformité ou des organismes publics.
ISO 19011:redline:2018(F)
Note 3 à l'article: Lorsque deux ou plusieurs systèmes de management de différentes disciplines (par exemple
qualité, environnement, santé et sécurité au travail) font l’objet d’un audit conjoint, on parle d’audit combiné.
Note 4 à l'article: Lorsque deux ou plusieurs organismes d’audit coopèrent pour auditer un seul audité (3.7), on
parle d’audit conjoint.
Note 5 à l'article: Adapté de l’ISO 9000:2005, définition 3.9.1.
[SOURCE: ISO 9000:2015, 3.13.1, modifiée — la Note 1 à l’article a été ajoutée, la Note 4 à l’article a été
modifiée.]
3.2
audit combiné
audit (3.1) réalisé simultanément auprès d’un seul audité (3.18) sur deux systèmes de management
(3.19) ou plus
Note 1 à l'article: Lorsque deux ou plusieurs systèmes de management spécifiques à une discipline sont intégrés
dans un seul système de management, on parle de système de management intégré.
[SOURCE: ISO 9000:2015, 3.13.2, modifiée]
3.3
audit conjoint
audit (3.1) réalisé auprès d’un seul audité (3.13) par deux organismes d’audit ou plus
[SOURCE: ISO 9000:2015, 3.13.3]
3.4
programme d’audit
dispositions relatives à un ensemble d’un ou plusieurs audits (3.1) planifié pour une durée spécifique et
dirigé dans un but spécifique
[SOURCE: ISO 9000:2015, 3.13.4, modifiée — des mots ont été ajoutés à la définition]
3.5
champ de l’audit
étendue et limites d’un audit (3.1)
Note 1 à l'article: Le champ de l’audit décrit généralement les lieux physiques et virtuels, les fonctions, les unités
organisationnelles, les activités et les processus ainsi que la période de temps couverte.
Note 2 à l'article: Un lieu virtuel est un lieu où un organisme réalise un travail ou fournit un service en utilisant
un environnement en ligne permettant à des personnes d’exécuter les processus quel que soit le lieu physique.
[SOURCE: ISO 9000:2015, 3.13.5, modifiée — la Note 1 à l’article a été modifiée, la Note 2 à l’article a été
ajoutée]
3.6
plan d’audit
description des activités et des dispositions nécessaires pour réaliser un audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.6]
3.2 3.7
critères d’audit
ensemble de politiques, procédures ou exigences  d’exigences (3.23) utilisées comme référence vis-à-vis
de laquelle les preuves d’audit (3.3 ) objectives (3.8) sont comparées
Note 1 à l'article: Si les critères d’audit sont des exigences légales (y compris statutaires ou réglementaires), les
termes «conformité» et «non-conformité» sont souvent utilisés dans les constatations d’audit (3.10).
Note 2 à l'article: Adapté de l’ Les exigences peuvent comprendre des politiques, des procédures, des instructions
de ISO 9000:2005, définition 3.9.3travail, des exigences légales, des obligations contractuelles, etc.
2 © ISO 2018 – Tous droits réservés

ISO 19011:redline:2018(F)
[SOURCE: ISO 9000:2015, 3.13.7, modifiée — la définition a été modifiée et les Notes 1 et 2 à l’article ont
été ajoutées]
3.3 3.8
preuves d’audit objectives
enregistrements, énoncés de faits ou d’autres informations pertinents pour les données démontrant
l’existence ou critères d’audit (3.2) et vérifiables la véracité de quelque chose
Note 1 à l'article: Les preuves d’audit peuvent être qualitatives ou quantitatives objectives sont obtenues par
observation, mesure, essai ou par un autre moyen.
Note 2 à l'article: Dans le cadre d’un audit (3.1), les preuves objectives consistent généralement en enregistrements,
énoncés de faits ou d’autres informations pertinents pour les critères d’audit (3.7) et vérifiables.
[SOURCE: ISO 9000:2005, définition 3.9.4 2015, 3.8.3]
3.9
preuves d’audit
enregistrements, énoncés de faits ou autres informations pertinents pour les critères d’audit (3.7) et
vérifiables
[SOURCE: ISO 9000:2015, 3.13.8]
3.4 3.10
constatations d’audit
résultats de l’évaluation des preuves d’audit (3.3 3.9) recueillies, par rapport aux critères d’audit (3.2 3.7)
Note 1 à l'article: Les constatations d’audit indiquent la conformité (3.20) ou la non-conformité (3.21).
Note 2 à l'article: Les constatations d’audit peuvent conduire à l’identification des opportunités d’amélioration ou
à la consignation des bonnes pratiques.
Note 3 à l'article: Si En anglais, si les critères d’audit sont choisis parmi les exigences légales ou d’autres les
exigences réglementaires, la constatation d’audit est qualifiée de conformité ou non conformité «compliance» ou
«non-compliance».
Note 4 à l'article: Adapté de l’ISO 9000:2005, définition 3.9.5.
[SOURCE: ISO 9000:2015, 3.13.9, modifiée — les Notes 2 et 3 à l’article ont été modifiées]
3.5 3.11
conclusions d’audit
résultat d’un audit (3.1), après avoir pris en considération les objectifs de l’audit et toutes les
constatations d’audit (3.4 3.10)
[SOURCE: ISO 9000:2015, 3.13.10]
3.6 3.12
client de l’audit
organisme ou personne demandant un audit (3.1)
Note 1 à l'article: Dans le cas d’un audit interne, le client de l’audit peut également être l’audité (3.7 3.13) ou la
personne qui gère (les) personne(s) qui gère(nt) le programme d’audit. Les demandes d’audit externe peuvent
provenir de sources telles que des autorités de réglementation, des parties contractantes ou des clients potentiels
ou existants.
Note 2 à l'article: Adapté de l’ISO 9000:2005, définition 3.9.7.
[SOURCE: ISO 9000:2015, 3.13.11, modifiée — la Note 1 à l’article a été ajoutée]
ISO 19011:redline:2018(F)
3.7 3.13
audité
organisme qui est audité dans son ensemble ou parties de celui-ci qui sont audités
[SOURCE: ISO 9000:2005, définition 3.9.8 2015, 3.13.12, modifiée]
3.8
auditeur
personne qui réalise un audit (3.1)
3.9 3.14
équipe d’audit
un une ou plusieurs auditeurs (3.8)personnes réalisant un audit (3.1), assistés assistées, si nécessaire,
par des experts techniques (3.10 3.16)
Note 1 à l'article: Un auditeur (3.15) de l’équipe d’audit (3.14) est nommé responsable de l’équipe d’audit.
Note 2 à l'article: L’équipe d’audit peut comprendre des auditeurs en formation.
[SOURCE: ISO 9000:2005, définition 3.9.10 2015, 3.13.14]
3.15
auditeur
personne qui réalise un audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.15]
3.10 3.16
expert technique
〈audit〉 personne apportant à l’équipe d’audit (3.9 3.14) des connaissances ou une expertise
spécifiques
Note 1 à l'article: Ces connaissances ou cette expertise spécifiques sont relatives se rapportent à l’organisme,
au processus ou à l’activité à l’activité, au processus, au produit, au service ou au domaine à auditer, ou elles
consistent en une assistance linguistique ou culturelle.
Note 2 à l'article: Au sein de l’équipe d’audit (3.14), un expert technique n’agit pas en tant qu’auditeur (3.8 3.15).
[SOURCE: ISO 9000:2005, définition 3.9.11 2015, 3.13.16, modifiée — les Notes 1 et 2 à l’article ont été
modifiées]
3.11 3.17
observateur
personne qui accompagne l’équipe d’audit (3.9 3.14) mais ne réalise pas d’audit , mais qui n’agit pas en
tant qu’auditeur (3.15)
Note 1 à l'article: L’observateur ne fait pas partie intégrante de l’équipe d’audit et n’influence en aucune manière
la réalisation de l’audit (3.1).
Note 2 à l'article: Un observateur peut être désigné par l’audité (3.7), des Pouvoirs Publics ou toute autre partie
intéressée qui assiste à l’audit (3.1).
[SOURCE: ISO 9000:2015, 3.13.17, modifiée]
3.12
guide
personne nommée par l’audité (3.7) pour assister l’équipe d’audit (3.9)
4 © ISO 2018 – Tous droits réservés

ISO 19011:redline:2018(F)
3.13
programme d’audit
dispositions relatives à un ensemble d’un ou plusieurs audits (3.1) planifié pour une durée spécifique et
dirigé dans un but spécifique
3.14 3.18
champ de l’audit système de management
étendue et limites d’un ensemble d’éléments corrélés ou en interaction d’un organisme, utilisés pour
établir des politiques, des objectifs et audit (3.1)des processus (3.24) de façon à atteindre lesdits objectifs
Note 1 à l'article: Un système de management peut traiter d’un seul ou de plusieurs domaines, par exemple
management de la qualité, gestion financière ou management environnemental.
Note 2 à l'article: Le champ de l’audit décrit généralement les lieux, les unités organisationnelles, les activités Les
éléments du système de management comprennent la structure, les rôles et responsabilités, la planification,
le fonctionnement de l’organisme, les politiques, les pratiques, les règles, les convictions, les objectifs et les
processus ainsi que la période de temps couverte permettant d’atteindre ces objectifs.
Note 3 à l'article: Le périmètre d’un système de management peut comprendre l’ensemble de l’organisme, des
fonctions ou des sections spécifiques et identifiées de l’organisme, ou une ou plusieurs fonctions dans un groupe
d’organismes.
[SOURCE: ISO 9000:2005, définition 3.9.13 2015, 3.5.3, modifiée — la Note 4 à l’article a été supprimée]
3.15
plan d’audit
description des activités et des dispositions nécessaires pour réaliser un audit (3.1)
[SOURCE: ISO 9000:2005, définition 3.9.12]
3.16 3.19
risque
effet de l’incertitude sur les objectifs
Note 1 à l'article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2 à l'article: L’incertitude est l’état, même partiel, de manque d’information qui entrave la compréhension ou
la connaissance d’un événement, de ses conséquences ou de sa vraisemblance.
Note 3 à l'article: Adapté de l’ Un risque est souvent caractérisé par référence à des événements potentiels (tels
que définis dans le Guide ISO 73:2009, 3.5.1.3) et à des conséquences également potentielles (telles que définies
dans le ISO  Guide ISO 73:2009, définition 1.1 3.6.1.3), ou par référence à une combinaison des deux.
Note 4 à l'article: Un risque est souvent exprimé en termes de combinaison des conséquences d’un événement (y
compris des changements de circonstances) et de la vraisemblance de son occurrence (telle que définie dans le
Guide ISO 73:2009, 3.6.1.1).
[SOURCE: ISO 9000:2015, 3.7.9, modifiée — les Notes 5 et 6 à l’article ont été supprimées]
3.20
conformité
satisfaction d’une exigence (3.23)
[SOURCE: ISO 9000:2015, 3.6.11, modifiée — la Note 1 à l’article a été supprimée]
3.21
non-conformité
non-satisfaction d’une exigence (3.23)
[SOURCE: ISO 9000:2015, 3.6.9, modifiée — la Note 1 à l’article a été supprimée]
ISO 19011:redline:2018(F)
3.17 3.22
compétence
capacité à appliquer aptitude à mettre en pratique des connaissances et des aptitudes savoir-faire pour
obtenir les résultats escomptés
Note 1 à l'article: La capacité implique la bonne application des comportements personnels pendant le processus
d’audit.
[SOURCE: ISO 9000:2015, 3.10.4, modifiée — les Notes à l’article ont été supprimées]
3.18 3.23
conformité exigence
satisfaction d’une exigence besoin ou attente formulé, généralement implicite ou obligatoire
Note 1 à l'article: «Généralement implicite» signifie qu’il est habituel ou courant, pour l’organisme et les parties
intéressées, que le besoin ou l’attente en question soit implicite.
Note 2 à l'article: Une exigence spécifiée est une exigence formulée, par exemple une information documentée.
[SOURCE: ISO 9000:2005, définition 3.6.1 2015, 3.6.4, modifiée — les Notes 3, 4, 5 et 6 à l’article ont été
supprimées]
Note 3 à l'article: Si les critères d’audit (3.2) sont des exigences légales (y compris statutaires ou réglementaires),
une constatation d’audit (3.4) utilise souvent les termes «conforme à la réglementation» ou «non conforme à la
réglementation».
3.19 3.24
non-conformité processus
non-satisfaction d’une exigence ensemble d’activités corrélées ou en interaction qui utilise des éléments
d’entrée pour produire un résultat escompté
[SOURCE: ISO 9000:2005, définition 3.6.2 2015, 3.4.1, modifiée — les Notes à l’article ont été supprimées]
3.20 3.25
système de management performance
système permettant d
...

NORMA ISO
INTERNACIONAL 19011
Traducción oficial
Tercera edición
Official translation
2018-07
Traduction officielle
Directrices para la auditoría de los
sistemas de gestión
Guidelines for auditing management systems
Lignes directrices pour l'audit des systèmes de management

Publicado por la Secretaría Central de ISO en Ginebra, Suiza, como
traducción oficial en español avalada por el Translation
Management Group, que ha certificado la conformidad en relación
con las versiones inglesa y francesa.

Número de referencia
(traducción oficial)
©
ISO 2018
DOCUMENTO PROTEGIDO POR COPYRIGHT

©  ISO 2018. Publicado en Suiza
Reservados los derechos de reproducción. Salvo prescripción diferente, o requerido en el contexto de su implementación, no
podrá reproducirse ni utilizarse ninguna parte de esta publicación bajo ninguna forma y por ningún medio, electrónico o
mecánico, incluidos el fotocopiado, o la publicación en Internet o una Intranet, sin la autorización previa por escrito. La
autorización puede solicitarse a ISO en la siguiente dirección o al organismo miembro de ISO en el país solicitante.
ISO copyright office
Ch. de Blandonnet 8  CP 401
CH-1214 Vernier, Ginebra, Suiza
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Versión española publicada en 2018

Traducción oficial/Official translation/Traduction officielle
ii © ISO 2018 — Todos los derechos reservados

Índice Página
Prólogo . v
Prólogo de la versión en español . vi
Introducción . vii
1 Objeto y campo de aplicación .1
2 Referencias normativas.1
3 Términos y definiciones .1
4 Principios de auditoría .6
5 Gestión de un programa de auditoría .7
5.1 Generalidades . 7
5.2 Establecimiento de los objetivos del programa de auditoría . 11
5.3 Determinación y evaluación de los riesgos y oportunidades del programa de
auditoría . 11
5.4 Establecimiento del programa de auditoría . 12
5.4.1 Roles y responsabilidades de las personas responsables de la gestión del
programa de auditoría . 12
5.4.2 Competencia de las personas responsables de la gestión del programa de
auditoría . 13
5.4.3 Establecimiento de la extensión del programa de auditoría . 14
5.4.4 Determinación de los recursos del programa de auditoría . 15
5.5 Implementación del programa de auditoría . 15
5.5.1 Generalidades . 15
5.5.2 Definición de los objetivos, el alcance y los criterios para una auditoría
individual . 16
5.5.3 Selección y determinación de los métodos de auditoría . 17
5.5.4 Selección de los miembros del equipo auditor . 17
5.5.5 Asignación de responsabilidades al líder del equipo auditor para una
auditoría individual . 18
5.5.6 Gestión de los resultados del programa de auditoría . 19
5.5.7 Gestión y conservación de los registros del programa de auditoría . 20
5.6 Seguimiento del programa de auditoría . 21
5.7 Revisión y mejora del programa de auditoría . 21
6 Realización de una auditoría . 22
6.1 Generalidades . 22
6.2 Inicio de la auditoría . 22
6.2.1 Generalidades . 22
6.2.2 Establecimiento del contacto con el auditado . 22
6.2.3 Determinación de la viabilidad de la auditoría . 23
6.3 Preparación de las actividades de auditoría . 23
6.3.1 Realización de la revisión de la información documentada . 23
6.3.2 Planificación de la auditoría. 24
6.3.3 Asignación de las tareas al equipo auditor . 26
6.3.4 Preparación de la información documentada para la auditoría . 26
6.4 Realización de las actividades de auditoría . 26
6.4.1 Generalidades . 26
6.4.2 Asignación de roles y responsabilidades de los guías y los observadores . 27
6.4.3 Realización de la reunión de apertura . 27
Traducción oficial/Official translation/Traduction officielle
6.4.4 Comunicación durante la auditoría . 28
6.4.5 Disponibilidad y acceso de la información de auditoría . 29
6.4.6 Revisión de la información documentada durante la auditoría. 29
6.4.7 Recopilación y verificación de la información . 30
6.4.8 Generación de hallazgos de la auditoría . 31
6.4.9 Determinación de las conclusiones de la auditoría . 31
6.4.10 Realización de la reunión de cierre . 32
6.5 Preparación y distribución del informe de la auditoría . 33
6.5.1 Preparación del informe de la auditoría . 33
6.5.2 Distribución del informe de la auditoría . 34
6.6 Finalización de la auditoría. 34
6.7 Realización de las actividades de seguimiento de una auditoría . 35
7 Competencia y evaluación de los auditores. 35
7.1 Generalidades . 35
7.2 Determinación de la competencia del auditor . 36
7.2.1 Generalidades . 36
7.2.2 Comportamiento personal . 36
7.2.3 Conocimientos y habilidades . 37
7.2.4 Logro de la competencia del auditor . 40
7.2.5 Logro de la competencia del líder del equipo auditor . 41
7.3 Establecimiento de los criterios de evaluación del auditor . 41
7.4 Selección del método apropiado de evaluación del auditor . 41
7.5 Realización de la evaluación del auditor . 42
7.6 Mantenimiento y mejora de la competencia del auditor . 42
Anexo A (informativo) Orientación adicional destinada a los auditores que planifican y
realizan las auditorías . 43
Bibliografía . 56

Traducción oficial/Official translation/Traduction officielle
iv © ISO 2018 — Todos los derechos reservados

Prólogo
ISO (Organización Internacional de Normalización) es una federación mundial de organismos
nacionales de normalización (organismos miembros de ISO). El trabajo de elaboración de las Normas
Internacionales se lleva a cabo normalmente a través de los comités técnicos de ISO. Cada organismo
miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho
de estar representado en dicho comité. Las organizaciones internacionales, gubernamentales y no
gubernamentales, vinculadas con ISO, también participan en el trabajo. ISO colabora estrechamente con
la Comisión Electrotécnica Internacional (IEC) en todos los temas de normalización electrotécnica.
En la Parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar este
documento y aquellos previstos para su mantenimiento posterior. En particular debería tomarse nota
de los diferentes criterios de aprobación necesarios para los distintos tipos de documentos ISO. Este
documento ha sido redactado de acuerdo con las reglas editoriales de la Parte 2 de las Directivas
ISO/IEC (véase www.iso.org/directives).
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de alguno o
todos los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante el
desarrollo de este documento se indicarán en la Introducción y/o en la lista ISO de declaraciones de
patente recibidas (véase www.iso.org/patents).
Cualquier nombre comercial utilizado en este documento es información que se proporciona para
comodidad del usuario y no constituye una recomendación.
Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos específicos
de ISO y las expresiones relacionadas con la evaluación de la conformidad, así como la información
acerca de la adhesión de ISO a los principios de la Organización Mundial del Comercio (OMC) respecto a
los Obstáculos Técnicos al Comercio (OTC), véase www.iso.org/iso/foreword.html.
Este documento ha sido elaborado por el Comité de Proyecto ISO/PC 302, Directrices para la auditoría
de los sistemas de gestión.
Esta tercera edición anula y sustituye a la segunda edición (ISO 19011:2011) que ha sido revisada
técnicamente.
Los cambios principales en comparación con la segunda edición son los siguientes:
— adición del enfoque basado en riesgos a los principios de la auditoría;
— ampliación de la orientación sobre la gestión de un programa de auditoría, incluyendo el riesgo del
programa de auditoría;
— ampliación de la orientación sobre la realización de una auditoría, particularmente la sección sobre
planificación de la auditoría;
— ampliación de los requisitos de competencia genérica para los auditores;
— ajuste de la terminología para reflejar el proceso y no el objeto (“cosa”);
— eliminación del anexo que contenía los requisitos de competencia para auditar disciplinas
específicas de sistemas de gestión (debido al gran número de normas individuales de sistemas de
gestión, no sería práctico incluir requisitos de competencia para todas las disciplinas);
— ampliación del Anexo A para proporcionar orientación sobre la auditoría de (nuevos) conceptos
como el contexto de la organización, el liderazgo y el compromiso, las auditorías virtuales, el
cumplimiento y la cadena de suministro.
Traducción oficial/Official translation/Traduction officielle
Prólogo de la versión en español
Este documento ha sido traducido por el Grupo de Trabajo Spanish Translation Task Force (STTF) del
Comité Técnico ISO/CASCO, Comité para la evaluación de la conformidad, en el que participan
representantes de los organismos nacionales de normalización y representantes del sector empresarial
de los siguientes países:
Argentina, Bolivia, Chile, Colombia, Costa Rica, Cuba, Ecuador, El Salvador, España, Estados Unidos de
América, Guatemala, Honduras, México, Panamá, Perú, República Dominicana y Uruguay.
Igualmente, en el citado Grupo de Trabajo participan representantes de COPANT (Comisión
Panamericana de Normas Técnicas) e INLAC (Instituto Latinoamericano de la Calidad).
Esta traducción es parte del resultado del trabajo que el Grupo ISO/CASCO/STTF viene desarrollando
desde su creación en el año 2002 para lograr la unificación de la terminología en lengua española en el
ámbito de la evaluación de la conformidad.

Traducción oficial/Official translation/Traduction officielle
vi © ISO 2018 — Todos los derechos reservados

Introducción
Desde la publicación de la segunda edición de este documento en 2011, se han publicado varias normas
nuevas de sistemas de gestión, muchas de las cuales tienen una estructura común, requisitos esenciales
idénticos y términos comunes y definiciones esenciales. Como resultado, es necesario considerar un
enfoque más amplio para la auditoría de los sistemas de gestión, así como de proporcionar una
orientación más genérica. Los resultados de las auditorías pueden proporcionar entradas para el
aspecto de análisis de la planificación del negocio, y pueden contribuir a la identificación de necesidades
y actividades de mejora.
Una auditoría puede realizarse con relación a una serie de criterios de auditoría, de manera separada o
combinada incluyendo, pero sin limitarse a:
— los requisitos definidos en una o más normas de sistemas de gestión;
— las políticas y los requisitos especificados por las partes interesadas pertinentes;
— los requisitos legales y reglamentarios;
— uno o más procesos del sistema de gestión definidos por la organización o por otras partes;
— los planes de sistemas de gestión relacionados con la provisión de salidas específicas de un sistema
de gestión (por ejemplo, el plan de la calidad, el plan de proyecto).
Este documento proporciona orientación para todos los tamaños y tipos de organizaciones y auditorías
de distintos alcances y escalas, incluyendo aquellas realizadas por equipos de auditoría grandes,
típicamente de organizaciones grandes, y aquellas realizadas por auditores individuales, ya sea en
organizaciones grandes o pequeñas. Esta orientación debería adaptarse según sea apropiado al alcance,
la complejidad y la escala del programa de auditoría.
Este documento se concentra en las auditorías internas (de primera parte) y las auditorías realizadas
por las organizaciones a sus proveedores externos y a otras partes interesadas externas (de segunda
parte). Este documento también puede ser útil para las auditorías externas realizadas con fines
distintos a una certificación de sistemas de gestión de tercera parte. La Norma ISO/IEC 17021-1
proporciona requisitos para la auditoría de sistemas de gestión para la certificación de tercera parte;
este documento puede proporcionar orientación adicional de utilidad (véase la Tabla 1).
Tabla 1 — Tipos distintos de auditoría
Auditoría de primera parte Auditoría de segunda parte Auditoría de tercera parte
Auditoría interna Auditoría externa de proveedor Auditoría de certificación y/o
acreditación
Otra auditoría externa de parte Auditoría legal, reglamentaria o
interesada similar
Para simplificar la legibilidad de este documento, se prefiere la forma singular de “sistema de gestión”,
pero el lector puede adaptar la implementación de la orientación a su propia situación. Esto también
aplica al uso de “persona” y “personas”, “auditor” y “auditores”.
Traducción oficial/Official translation/Traduction officielle
Se pretende que este documento se aplique a un amplio rango de usuarios potenciales, incluyendo
auditores, organizaciones que implementan sistemas de gestión y organizaciones que necesitan realizar
auditorías de sistemas de gestión por razones contractuales o reglamentarias. Sin embargo, los usuarios
de este documento pueden aplicar esta orientación al desarrollar sus propios requisitos relacionados
con auditorías.
La orientación en este documento también puede usarse con el propósito de la autodeclaración, y puede
ser útil para organizaciones involucradas en la formación de auditores o en la certificación de personas.
La orientación en este documento pretende ser flexible. Como se indica en varios puntos del texto, el
uso de esta orientación puede diferir dependiendo del tamaño y el nivel de madurez del sistema de
gestión de una organización. También deberían considerarse la naturaleza y la complejidad de la
organización que se va a auditar, así como los objetivos y el alcance de las auditorías que se van a
realizar.
Este documento adopta el enfoque de auditoría combinada cuando se auditan juntos dos o más sistemas
de gestión de distintas disciplinas. Cuando estos sistemas están integrados en un único sistema de
gestión, los principios y procesos de auditoría son los mismos que para una auditoría combinada (a
veces, llamada auditoría integrada).
Este documento proporciona orientación sobre la gestión de un programa de auditoría, sobre la
planificación y la realización de auditorías de sistemas de gestión, así como sobre la competencia y la
evaluación de un auditor y un equipo auditor.

Traducción oficial/Official translation/Traduction officielle
viii © ISO 2018 — Todos los derechos reservados

NORMA INTERNACIONAL
Directrices para la auditoría de los sistemas de gestión
1 Objeto y campo de aplicación
Este documento proporciona orientación sobre la auditoría de los sistemas de gestión, incluyendo los
principios de la auditoría, la gestión de un programa de auditoría y la realización de auditorías de
sistemas de gestión, así como orientación sobre la evaluación de la competencia de las personas que
participan en el proceso de auditoría. Estas actividades incluyen a las personas responsables de la
gestión del programa de auditoría, los auditores y los equipos auditores.
Es aplicable a todas las organizaciones que necesitan planificar y realizar auditorías internas o externas
de sistemas de gestión, o gestionar un programa de auditoría.
La aplicación de este documento a otros tipos de auditorías es posible, siempre que se preste especial
atención a la competencia específica necesaria.
2 Referencias normativas
No hay referencias normativas en este documento.
3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones siguientes.
ISO e IEC mantienen bases de datos terminológicas para su utilización en normalización en las
siguientes direcciones:
— Plataforma de búsqueda en línea de ISO: disponible en https://www.iso.org/obp
— Electropedia de IEC: disponible en http://www.electropedia.org/
3.1
auditoría
proceso sistemático, independiente y documentado para obtener evidencias objetivas (3.8) y evaluarlas
de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría (3.7)
Nota 1 a la entrada: Las auditorías internas, denominadas en algunos casos auditorías de primera parte, se
realizan por, o en nombre de la propia organización.
Nota 2 a la entrada: Las auditorías externas incluyen lo que se denomina generalmente auditorías de segunda y
tercera parte. Las auditorías de segunda parte se llevan a cabo por partes que tienen un interés en la organización,
tales como los clientes o por otras personas en su nombre. Las auditorías de tercera parte se llevan a cabo por
organizaciones auditoras independientes, tales como las que otorgan la certificación/registro de conformidad o
agencias gubernamentales.
[FUENTE: ISO 9000:2015, 3.13.1, modificada — las Notas a la entrada han sido modificadas]
Traducción oficial/Official translation/Traduction officielle
3.2
auditoría combinada
auditoría (3.1) llevada a cabo conjuntamente a un único auditado (3.13) en dos o más sistemas de
gestión (3.18)
Nota 1 a la entrada: Se conoce como sistema de gestión integrado cuando dos o más sistemas de gestión
específicos de una disciplina se integran en un único sistema de gestión.
[FUENTE: ISO 9000:2015, 3.13.2, modificada]
3.3
auditoría conjunta
auditoría (3.1) llevada a cabo a un único auditado (3.13) por dos o más organizaciones auditoras
[FUENTE: ISO 9000:2015, 3.13.3]
3.4
programa de auditoría
acuerdos para un conjunto de una o más auditorías (3.1) planificadas para un periodo de tiempo
determinado y dirigidas hacia un propósito específico
[FUENTE: ISO 9000:2015, 3.13.4, modificada — se ha añadido texto a la definición]
3.5
alcance de la auditoría
extensión y límites de una auditoría (3.1)
Nota 1 a la entrada: El alcance de la auditoría incluye generalmente una descripción de las ubicaciones físicas y
virtuales, las funciones, las unidades de la organización, las actividades y los procesos, así como el periodo de
tiempo cubierto.
Nota 2 a la entrada: Una ubicación virtual es un lugar donde la organización desempeña trabajo o presta un
servicio usando un entorno en línea que permite a las personas ejecutar procesos con independencia de su
ubicación física.
[FUENTE: ISO 9000:2015, 3.13.5, modificada — se ha modificado la Nota 1 a la entrada, se ha añadido la
Nota 2 a la entrada]
3.6
plan de auditoría
descripción de las actividades y de los detalles acordados de una auditoría (3.1)
[FUENTE: ISO 9000:2015, 3.13.6]
3.7
criterios de auditoría
conjunto de requisitos (3.23) usados como referencia frente a la cual se compara la evidencia objetiva
(3.8)
Nota 1 a la entrada: Si los criterios de auditoría son requisitos legales (incluyendo los reglamentarios), las
palabras “cumplimiento” o “no cumplimiento” se utilizan a menudo en los hallazgos de la auditoría (3.10).
Nota 2 a la entrada: Los requisitos pueden incluir políticas, procedimientos, instrucciones de trabajo, requisitos
legales, obligaciones contractuales, etc.
[FUENTE: ISO 9000:2015, 3.13.7, modificada — se ha cambiado la definición y se han añadido las
Notas 1 y 2 a la entrada]
Traducción oficial/Official translation/Traduction officielle
2 © ISO 2018 — Todos los derechos reservados

3.8
evidencia objetiva
datos que respaldan la existencia o veracidad de algo
Nota 1 a la entrada: La evidencia objetiva puede obtenerse por medio de la observación, medición, ensayo o por
otros medios.
Nota 2 a la entrada: La evidencia objetiva con fines de auditoría (3.1) generalmente se compone de registros,
declaraciones de hechos u otra información que son pertinentes para los criterios de auditoría (3.7) y verificables.
[FUENTE: ISO 9000:2015, 3.8.3]
3.9
evidencia de la auditoría
registros, declaraciones de hechos o cualquier otra información que es pertinente para los criterios de
auditoría (3.7) y que es verificable
[FUENTE: ISO 9000:2015, 3.13.8]
3.10
hallazgos de la auditoría
resultados de la evaluación de la evidencia de la auditoría (3.9) recopilada frente a los criterios de
auditoría (3.7)
Nota 1 a la entrada: Los hallazgos de la auditoría indican conformidad (3.20) o no conformidad (3.21).
Nota 2 a la entrada: Los hallazgos de la auditoría pueden conducir a la identificación de riesgos, oportunidades
para la mejora o el registro de buenas prácticas.
Nota 3 a la entrada: En inglés, si los criterios de auditoría se seleccionan de entre los requisitos legales o los
requisitos reglamentarios, el hallazgo de la auditoría se denomina cumplimiento o no cumplimiento.
[FUENTE: ISO 9000:2015, 3.13.9, modificada — se han modificado las Notas 2 y 3 a la entrada]
3.11
conclusiones de la auditoría
resultado de una auditoría (3.1), tras considerar los objetivos de la auditoría y todos los hallazgos de la
auditoría (3.10)
[FUENTE: ISO 9000:2015, 3.13.10]
3.12
cliente de la auditoría
organización o persona que solicita una auditoría (3.1)
Nota 1 a la entrada: En el caso de una auditoría interna, el cliente de la auditoría también puede ser el auditado
(3.13) o las personas que gestionan el programa de auditoría. Las solicitudes de una auditoría externa pueden
provenir de fuentes como autoridades reglamentarias, partes contratantes o clientes existentes o potenciales.
[FUENTE: ISO 9000:2015, 3.13.11, modificada — se ha añadido la Nota 1 a la entrada]
3.13
auditado
organización que es auditada en su totalidad o partes
[FUENTE: ISO 9000:2015, 3.13.12, modificada]
Traducción oficial/Official translation/Traduction officielle
3.14
equipo auditor
una o más personas que llevan a cabo una auditoría (3.1) con el apoyo, si es necesario, de expertos
técnicos (3.16)
Nota 1 a la entrada: A un auditor (3.15) del equipo auditor (3.14) se le designa como auditor líder del mismo.
Nota 2 a la entrada: El equipo auditor puede incluir auditores en formación.
[FUENTE: ISO 9000:2015, 3.13.14]
3.15
auditor
persona que lleva a cabo una auditoría (3.1)
[FUENTE: ISO 9000:2015, 3.13.15]
3.16
experto técnico
persona que aporta conocimientos o experiencia específicos al equipo auditor (3.14)
Nota 1 a la entrada: El conocimiento o pericia específicos se relacionan con la organización, la actividad, el proceso,
el producto, el servicio, la disciplina a auditar, o el idioma o la cultura.
Nota 2 a la entrada: Un experto técnico del equipo auditor (3.14) no actúa como un auditor (3.15).
[FUENTE: ISO 9000:2015, 3.13.16, modificada — se han modificado las Notas 1 y 2 a la entrada]
3.17
observador
persona que acompaña al equipo auditor (3.14) pero no actúa como un auditor (3.15)
[FUENTE: ISO 9000:2015, 3.13.17, modificada]
3.18
sistema de gestión
conjunto de elementos de una organización interrelacionados o que interactúan para establecer
políticas, objetivos y procesos (3.24) para lograr estos objetivos
Nota 1 a la entrada: Un sistema de gestión puede tratar una sola disciplina o varias disciplinas, por ejemplo,
gestión de la calidad, gestión financiera o gestión ambiental.
Nota 2 a la entrada: Los elementos del sistema de gestión establecen la estructura de la organización, los roles y
las responsabilidades, la planificación, la operación, las políticas, las prácticas, las reglas, las creencias, los
objetivos y los procesos para lograr esos objetivos.
Nota 3 a la entrada: El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones
específicas e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más
funciones dentro de un grupo de organizaciones.
[FUENTE: ISO 9000:2015, 3.5.3, modificada — se ha eliminado la Nota 4 a la entrada]
Traducción oficial/Official translation/Traduction officielle
4 © ISO 2018 — Todos los derechos reservados

3.19
riesgo
efecto de la incertidumbre
Nota 1 a la entrada: Un efecto es una desviación de lo esperado, ya sea positivo o negativo.
Nota 2 a la entrada: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la
comprensión o conocimiento de un evento, su consecuencia o su probabilidad.
Nota 3 a la entrada: Con frecuencia el riesgo se caracteriza por referencia a eventos potenciales (según se define
en la Guía ISO 73:2009, 3.5.1.3) y consecuencias (según se define en la Guía ISO 73:2009, 3.6.1.3), o a una
combinación de éstos.
Nota 4 a la entrada: Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de
un evento (incluidos cambios en las circunstancias) y la probabilidad (según se define en la Guía ISO 73:2009,
3.6.1.1) asociada de que ocurra.
[FUENTE: ISO 9000:2015, 3.7.9, modificada — se han eliminado las Notas 5 y 6 a la entrada]
3.20
conformidad
cumplimiento de un requisito (3.23)
[FUENTE: ISO 9000:2015, 3.6.11, modificada — se ha eliminado la Nota 1 a la entrada]
3.21
no conformidad
incumplimiento de un requisito (3.23)
[FUENTE: ISO 9000:2015, 3.6.9, modificada — se ha eliminado la Nota 1 a la entrada]
3.22
competencia
capacidad para aplicar conocimientos y habilidades con el fin de lograr los resultados previstos
[FUENTE: ISO 9000:2015, 3.10.4, modificada — se han eliminado las Notas a la entrada]
3.23
requisito
necesidad o expectativa establecida, generalmente implícita u obligatoria
Nota 1 a la entrada: “Generalmente implícita” significa que es habitual o práctica común para la organización y las
partes interesadas el que la necesidad o expectativa bajo consideración está implícita.
Nota 2 a la entrada: Un requisito especificado es aquel que está establecido, por ejemplo, en información
documentada.
[FUENTE: ISO 9000:2015, 3.6.4, modificada — se han eliminado las Notas 3, 4, 5 y 6 a la entrada]
3.24
proceso
conjunto de actividades mutuamente relacionadas que utilizan las entradas para proporcionar un
resultado previsto
[FUENTE: ISO 9000:2015, 3.4.1, modificada — se han eliminado las Notas a la entrada]
Traducción oficial/Official translation/Traduction officielle
3.25
desempeño
resultado medible
Nota 1 a la entrada: El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos.
Nota 2 a la entrada: El desempeño se puede relacionar con la gestión de actividades, procesos (3.24), productos,
servicios, sistemas u organizaciones.
[FUENTE: ISO 9000:2015, 3.7.8, modificada — se ha eliminado la Nota 3 a la entrada]
3.26
eficacia
grado en el que se realizan las actividades planificadas y se logran los resultados planificados
[FUENTE: ISO 9000:2015, 3.7.11, modificada — se ha eliminado la Nota 1 a la entrada]
4 Principios de auditoría
La auditoría se caracteriza por depender de varios principios. Estos principios deberían ayudar a hacer
de la auditoría una herramienta eficaz y fiable en apoyo de las políticas y controles de gestión,
proporcionando información sobre la cual una organización puede actuar para mejorar su desempeño.
La adhesión a esos principios es un requisito previo para proporcionar conclusiones de la auditoría que
sean pertinentes y suficientes, y para permitir a los auditores, que trabajan independientemente,
alcanzar conclusiones similares en circunstancias similares.
La orientación dada en los Capítulos 5 a 7 se basa en los siete principios señalados a continuación.
a) Integridad: el fundamento de la profesionalidad
Los auditores y las personas que gestionan un programa de auditoría deberían:
— desempeñar su trabajo de forma ética, con honestidad y responsabilidad;
— emprender actividades de auditoría sólo si son competentes para hacerlo;
— desempeñar su trabajo de manera imparcial, es decir, permanecer ecuánimes y sin sesgo en
todas sus acciones;
— ser sensibles a cualquier influencia que se pueda ejercer sobre su juicio mientras lleva a cabo
una auditoría.
b) Presentación imparcial: la obligación de informar con veracidad y exactitud
Los hallazgos, conclusiones e informes de la auditoría deberían reflejar con veracidad y exactitud
las actividades de auditoría. Se debería informar de los obstáculos significativos encontrados
durante la auditoría y de las opiniones divergentes sin resolver entre el equipo auditor y el
auditado. La comunicación debería ser veraz, exacta, objetiva, oportuna, clara y completa.
Traducción oficial/Official translation/Traduction officielle
6 © ISO 2018 — Todos los derechos reservados

c) Debido cuidado profesional: la aplicación de diligencia y juicio al auditar
Los auditores deberían proceder con el debido cuidado, de acuerdo con la importancia de la tarea
que desempeñan y la confianza depositada en ellos por el cliente de la auditoría y por otras partes
interesadas. Un factor importante al realizar su trabajo con el debido cuidado profesional es tener
la capacidad de hacer juicios razonados en todas las situaciones de la auditoría.
d) Confidencialidad: seguridad de la información
Los auditores deberían proceder con discreción en el uso y la protección de la información
adquirida en el curso de sus tareas. La información de la auditoría no debería usarse
inapropiadamente para beneficio personal del auditor o del cliente de la auditoría, o de modo que
perjudique los intereses legítimos del auditado. Este concepto incluye el tratamiento apropiado de
la información sensible o confidencial.
e) Independencia: la base para la imparcialidad de la auditoría y la objetividad de las conclusiones de
la auditoría
Los auditores deberían ser independientes de la actividad que se audita siempre que sea posible, y
en todos los casos deberían actuar de una manera libre de sesgo y conflicto de intereses. Para las
auditorías internas, los auditores deberían ser independientes de la función que se audita, si es
posible. Los auditores deberían mantener la objetividad a lo largo del proceso de auditoría para
asegurarse de que los hallazgos y las conclusiones de la auditoría están basados sólo en la evidencia
de la auditoría.
Para las organizaciones pequeñas, puede que no sea posible que los auditores internos sean
completamente independientes de la actividad que se audita, pero deberían hacerse todos los
esfuerzos para eliminar el sesgo y fomentar la objetividad.
f) Enfoque basado en la evidencia: el método racional para alcanzar conclusiones de la auditoría
fiables y reproducibles en un proceso de auditoría sistemático
La evidencia de la auditoría debería ser verificable. En general debería basarse en muestras de la
información disponible, ya que una auditoría se lleva a cabo durante un periodo de tiempo
delimitado y con recursos finitos. Debería aplicarse un uso apropiado del muestreo, ya que está
estrechamente relacionado con la confianza que puede depositarse en las conclusiones de la
auditoría.
g) Enfoque basado en riesgos: un enfoque de auditoría que considera los riesgos y oportunidades
El enfoque basado en riesgos debería influir sustancialmente en la planificación, la realización y la
presentación de informes de auditoría a fin de asegurar que las auditorías se centran en asuntos
que son importantes para el cliente de la auditoría y para alcanzar los objetivos del programa de
auditoría.
5 Gestión de un programa de auditoría
5.1 Generalidades
Debería establecerse un programa de auditoría que puede incluir auditorías que traten una o más
normas de sistemas de gestión u otros requisitos, realizadas por separado o en combinación (auditoría
combinada).
Traducción oficial/Official translation/Traduction officielle
La extensión de un programa de auditoría debería basarse en el tamaño y la naturaleza del auditado, así
como en la naturaleza, funcionalidad, complejidad, el tipo de riesgos y oportunidades, y el nivel de
madurez de los sistemas de gestión que se van a auditar.
La funcionalidad del sistema de gestión puede ser aún más compleja si la mayoría de las funciones
importantes están contratadas externamente y se gestionan bajo el liderazgo de otras organizaciones.
Es necesario prestar especial atención dónde se toman las decisiones más importantes y qué constituye
la alta dirección del sistema de gestión.
En el caso de múltiples ubicaciones/sedes (por ejemplo diferentes países), o cuando hay funciones
importantes contratadas externamente y gestionadas bajo el liderazgo de otra organización, debería
prestarse especial atención al diseño, la planificación y la validación del programa de auditoría.
En el caso de organizaciones más pequeñas o menos complejas, el programa de auditoría puede
escalarse apropiadamente.
A fin de comprender el contexto del auditado, el programa de auditoría debería tener en cuenta del
auditado:
— los objetivos organizacionales;
— las cuestiones externas e internas pertinentes;
— las necesidades y expectativas de las partes interesadas pertinentes;
— los requisitos de seguridad y confidencialidad de la información.
La planificación de los programas de auditoría interna y, en algunos casos, los programas para auditar a
los proveedores externos, pueden prepararse para contribuir a otros objetivos de la organización.
Las personas responsables de la gestión del programa de auditoría deberían asegurase de que se
mantiene la integridad de la auditoría y de que no se ejerce una influencia indebida sobre la auditoría.
Debería darse prioridad de auditoría a la asignación de recursos y métodos para los asuntos de un
sistema de gestión con los riesgos inherentes más altos y con los niveles de desempeño más bajos.
Deberían asignarse personas competentes para gestionar el programa de auditoría.
El programa de auditoría debería incluir la información e identificar los recursos que permitan que las
auditorías se realicen de forma eficaz y eficiente dentro de los periodos de tiempo especificados. Esta
información debería incluir lo siguiente:
a) objetivos para el programa de auditoría;
b) riesgos y oportunidades asociados con el programa de auditoría (véase 5.3) y las acciones para
abordarlos;
c) alcance (extensión, límites, ubicaciones) de cada auditoría dentro del programa de auditoría;
d) calendario (número/duración/frecuencia) de las auditorías;
e) tipos de auditoría, tales como internas o externas;
f) criterios de auditoría;
Traducción oficial/Official translation/Traduction officielle
8 © ISO 2018 — Todos los derechos reservados

g) métodos de auditoría a emplear;
h) criterios para seleccionar a los miembros del equipo auditor;
i) información documentada pertinente.
Parte de esta información puede no estar disponible hasta que se complete una planificación de
auditoría más detallada.
La implementación del programa de auditoría debería seguirse y medirse, de manera continua
(véase 5.6), para asegurarse de que se han alcanzado sus objetivos. El programa de auditoría debería
revisarse a fin de identificar necesidades de cambios y posibles oportunidades para la mejora
(véase 5.7).
La Figura 1 ilustra el flujo del proceso para la gestión de un programa de auditoría.
Traducción oficial/Official translation/Traduction officielle
NOTA 1 Esta Figura ilustra la aplicación del ciclo Planificar-Hacer-Verificar-Actuar en este documento.
NOTA 2 La numeración de los capítulos/apartados hace referencia a los capítulos/apartados pertinentes de
este documento.
Figura 1 — Diagrama de flujo para la gestión de un programa de auditoría
Traducción oficial/Official translation/Traduction officielle
10 © ISO 2018 — Todos los derechos reservados

5.2 Establecimiento de los objetivos del programa de auditoría
El cliente de la auditoría debería asegurarse de que los objetivos del programa de auditoría se han
establecido para dirigir la planificación y realización de auditorías y debería asegurarse de que el
programa de auditoría se ha implementado eficazmente. Los objetivos del programa de auditoría
deberían ser coherentes con la dirección estratégica del cliente de la auditoría y servir de apoyo a la
política y los objetivos del sistema de gestión.
Estos objetivos pueden basarse en las siguientes consideraciones:
a) las necesidades y expectativas de las partes interesadas pertinentes, tanto externas como internas;
b) las características y los requisitos de los procesos, productos, servicios y proyectos, y cualquier
cambio en ellos;
c) los requisitos del sistema de gestión;
d) la necesidad de evaluar a los proveedores externos;
e) el nivel de desempeño del auditado y el nivel de madurez de los sistemas de gestión, como se refleja
en los indicadores de desempeño pertinentes (por ejemplo, los KPI), la ocurrencia de no
conformidades o incidentes o quejas de las partes interesadas;
f) los riesgos y oportunidades identificados para el auditado;
g) los resultado
...

NORMA ISO
INTERNACIONAL 19011
Traducción oficial
Tercera edición
Official translation
2018-07
Traduction officielle
Directrices para la auditoría de los
sistemas de gestión
Guidelines for auditing management systems
Lignes directrices pour l'audit des systèmes de management

Publicado por la Secretaría Central de ISO en Ginebra, Suiza, como
traducción oficial en español avalada por el Translation
Management Group, que ha certificado la conformidad en relación
con las versiones inglesa y francesa.

Número de referencia
(traducción oficial)
©
ISO 2018
DOCUMENTO PROTEGIDO POR COPYRIGHT

©  ISO 2018. Publicado en Suiza
Reservados los derechos de reproducción. Salvo prescripción diferente, o requerido en el contexto de su implementación, no
podrá reproducirse ni utilizarse ninguna parte de esta publicación bajo ninguna forma y por ningún medio, electrónico o
mecánico, incluidos el fotocopiado, o la publicación en Internet o una Intranet, sin la autorización previa por escrito. La
autorización puede solicitarse a ISO en la siguiente dirección o al organismo miembro de ISO en el país solicitante.
ISO copyright office
Ch. de Blandonnet 8  CP 401
CH-1214 Vernier, Ginebra, Suiza
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Versión española publicada en 2018

Traducción oficial/Official translation/Traduction officielle
ii © ISO 2018 — Todos los derechos reservados

Índice Página
Prólogo . v
Prólogo de la versión en español . vi
Introducción . vii
1 Objeto y campo de aplicación .1
2 Referencias normativas.1
3 Términos y definiciones .1
4 Principios de auditoría .6
5 Gestión de un programa de auditoría .7
5.1 Generalidades . 7
5.2 Establecimiento de los objetivos del programa de auditoría . 11
5.3 Determinación y evaluación de los riesgos y oportunidades del programa de
auditoría . 11
5.4 Establecimiento del programa de auditoría . 12
5.4.1 Roles y responsabilidades de las personas responsables de la gestión del
programa de auditoría . 12
5.4.2 Competencia de las personas responsables de la gestión del programa de
auditoría . 13
5.4.3 Establecimiento de la extensión del programa de auditoría . 14
5.4.4 Determinación de los recursos del programa de auditoría . 15
5.5 Implementación del programa de auditoría . 15
5.5.1 Generalidades . 15
5.5.2 Definición de los objetivos, el alcance y los criterios para una auditoría
individual . 16
5.5.3 Selección y determinación de los métodos de auditoría . 17
5.5.4 Selección de los miembros del equipo auditor . 17
5.5.5 Asignación de responsabilidades al líder del equipo auditor para una
auditoría individual . 18
5.5.6 Gestión de los resultados del programa de auditoría . 19
5.5.7 Gestión y conservación de los registros del programa de auditoría . 20
5.6 Seguimiento del programa de auditoría . 21
5.7 Revisión y mejora del programa de auditoría . 21
6 Realización de una auditoría . 22
6.1 Generalidades . 22
6.2 Inicio de la auditoría . 22
6.2.1 Generalidades . 22
6.2.2 Establecimiento del contacto con el auditado . 22
6.2.3 Determinación de la viabilidad de la auditoría . 23
6.3 Preparación de las actividades de auditoría . 23
6.3.1 Realización de la revisión de la información documentada . 23
6.3.2 Planificación de la auditoría. 24
6.3.3 Asignación de las tareas al equipo auditor . 26
6.3.4 Preparación de la información documentada para la auditoría . 26
6.4 Realización de las actividades de auditoría . 26
6.4.1 Generalidades . 26
6.4.2 Asignación de roles y responsabilidades de los guías y los observadores . 27
6.4.3 Realización de la reunión de apertura . 27
Traducción oficial/Official translation/Traduction officielle
6.4.4 Comunicación durante la auditoría . 28
6.4.5 Disponibilidad y acceso de la información de auditoría . 29
6.4.6 Revisión de la información documentada durante la auditoría. 29
6.4.7 Recopilación y verificación de la información . 30
6.4.8 Generación de hallazgos de la auditoría . 31
6.4.9 Determinación de las conclusiones de la auditoría . 31
6.4.10 Realización de la reunión de cierre . 32
6.5 Preparación y distribución del informe de la auditoría . 33
6.5.1 Preparación del informe de la auditoría . 33
6.5.2 Distribución del informe de la auditoría . 34
6.6 Finalización de la auditoría. 34
6.7 Realización de las actividades de seguimiento de una auditoría . 35
7 Competencia y evaluación de los auditores. 35
7.1 Generalidades . 35
7.2 Determinación de la competencia del auditor . 36
7.2.1 Generalidades . 36
7.2.2 Comportamiento personal . 36
7.2.3 Conocimientos y habilidades . 37
7.2.4 Logro de la competencia del auditor . 40
7.2.5 Logro de la competencia del líder del equipo auditor . 41
7.3 Establecimiento de los criterios de evaluación del auditor . 41
7.4 Selección del método apropiado de evaluación del auditor . 41
7.5 Realización de la evaluación del auditor . 42
7.6 Mantenimiento y mejora de la competencia del auditor . 42
Anexo A (informativo) Orientación adicional destinada a los auditores que planifican y
realizan las auditorías . 43
Bibliografía . 56

Traducción oficial/Official translation/Traduction officielle
iv © ISO 2018 — Todos los derechos reservados

Prólogo
ISO (Organización Internacional de Normalización) es una federación mundial de organismos
nacionales de normalización (organismos miembros de ISO). El trabajo de elaboración de las Normas
Internacionales se lleva a cabo normalmente a través de los comités técnicos de ISO. Cada organismo
miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho
de estar representado en dicho comité. Las organizaciones internacionales, gubernamentales y no
gubernamentales, vinculadas con ISO, también participan en el trabajo. ISO colabora estrechamente con
la Comisión Electrotécnica Internacional (IEC) en todos los temas de normalización electrotécnica.
En la Parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar este
documento y aquellos previstos para su mantenimiento posterior. En particular debería tomarse nota
de los diferentes criterios de aprobación necesarios para los distintos tipos de documentos ISO. Este
documento ha sido redactado de acuerdo con las reglas editoriales de la Parte 2 de las Directivas
ISO/IEC (véase www.iso.org/directives).
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan
estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de alguno o
todos los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante el
desarrollo de este documento se indicarán en la Introducción y/o en la lista ISO de declaraciones de
patente recibidas (véase www.iso.org/patents).
Cualquier nombre comercial utilizado en este documento es información que se proporciona para
comodidad del usuario y no constituye una recomendación.
Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos específicos
de ISO y las expresiones relacionadas con la evaluación de la conformidad, así como la información
acerca de la adhesión de ISO a los principios de la Organización Mundial del Comercio (OMC) respecto a
los Obstáculos Técnicos al Comercio (OTC), véase www.iso.org/iso/foreword.html.
Este documento ha sido elaborado por el Comité de Proyecto ISO/PC 302, Directrices para la auditoría
de los sistemas de gestión.
Esta tercera edición anula y sustituye a la segunda edición (ISO 19011:2011) que ha sido revisada
técnicamente.
Los cambios principales en comparación con la segunda edición son los siguientes:
— adición del enfoque basado en riesgos a los principios de la auditoría;
— ampliación de la orientación sobre la gestión de un programa de auditoría, incluyendo el riesgo del
programa de auditoría;
— ampliación de la orientación sobre la realización de una auditoría, particularmente la sección sobre
planificación de la auditoría;
— ampliación de los requisitos de competencia genérica para los auditores;
— ajuste de la terminología para reflejar el proceso y no el objeto (“cosa”);
— eliminación del anexo que contenía los requisitos de competencia para auditar disciplinas
específicas de sistemas de gestión (debido al gran número de normas individuales de sistemas de
gestión, no sería práctico incluir requisitos de competencia para todas las disciplinas);
— ampliación del Anexo A para proporcionar orientación sobre la auditoría de (nuevos) conceptos
como el contexto de la organización, el liderazgo y el compromiso, las auditorías virtuales, el
cumplimiento y la cadena de suministro.
Traducción oficial/Official translation/Traduction officielle
Prólogo de la versión en español
Este documento ha sido traducido por el Grupo de Trabajo Spanish Translation Task Force (STTF) del
Comité Técnico ISO/CASCO, Comité para la evaluación de la conformidad, en el que participan
representantes de los organismos nacionales de normalización y representantes del sector empresarial
de los siguientes países:
Argentina, Bolivia, Chile, Colombia, Costa Rica, Cuba, Ecuador, El Salvador, España, Estados Unidos de
América, Guatemala, Honduras, México, Panamá, Perú, República Dominicana y Uruguay.
Igualmente, en el citado Grupo de Trabajo participan representantes de COPANT (Comisión
Panamericana de Normas Técnicas) e INLAC (Instituto Latinoamericano de la Calidad).
Esta traducción es parte del resultado del trabajo que el Grupo ISO/CASCO/STTF viene desarrollando
desde su creación en el año 2002 para lograr la unificación de la terminología en lengua española en el
ámbito de la evaluación de la conformidad.

Traducción oficial/Official translation/Traduction officielle
vi © ISO 2018 — Todos los derechos reservados

Introducción
Desde la publicación de la segunda edición de este documento en 2011, se han publicado varias normas
nuevas de sistemas de gestión, muchas de las cuales tienen una estructura común, requisitos esenciales
idénticos y términos comunes y definiciones esenciales. Como resultado, es necesario considerar un
enfoque más amplio para la auditoría de los sistemas de gestión, así como de proporcionar una
orientación más genérica. Los resultados de las auditorías pueden proporcionar entradas para el
aspecto de análisis de la planificación del negocio, y pueden contribuir a la identificación de necesidades
y actividades de mejora.
Una auditoría puede realizarse con relación a una serie de criterios de auditoría, de manera separada o
combinada incluyendo, pero sin limitarse a:
— los requisitos definidos en una o más normas de sistemas de gestión;
— las políticas y los requisitos especificados por las partes interesadas pertinentes;
— los requisitos legales y reglamentarios;
— uno o más procesos del sistema de gestión definidos por la organización o por otras partes;
— los planes de sistemas de gestión relacionados con la provisión de salidas específicas de un sistema
de gestión (por ejemplo, el plan de la calidad, el plan de proyecto).
Este documento proporciona orientación para todos los tamaños y tipos de organizaciones y auditorías
de distintos alcances y escalas, incluyendo aquellas realizadas por equipos de auditoría grandes,
típicamente de organizaciones grandes, y aquellas realizadas por auditores individuales, ya sea en
organizaciones grandes o pequeñas. Esta orientación debería adaptarse según sea apropiado al alcance,
la complejidad y la escala del programa de auditoría.
Este documento se concentra en las auditorías internas (de primera parte) y las auditorías realizadas
por las organizaciones a sus proveedores externos y a otras partes interesadas externas (de segunda
parte). Este documento también puede ser útil para las auditorías externas realizadas con fines
distintos a una certificación de sistemas de gestión de tercera parte. La Norma ISO/IEC 17021-1
proporciona requisitos para la auditoría de sistemas de gestión para la certificación de tercera parte;
este documento puede proporcionar orientación adicional de utilidad (véase la Tabla 1).
Tabla 1 — Tipos distintos de auditoría
Auditoría de primera parte Auditoría de segunda parte Auditoría de tercera parte
Auditoría interna Auditoría externa de proveedor Auditoría de certificación y/o
acreditación
Otra auditoría externa de parte Auditoría legal, reglamentaria o
interesada similar
Para simplificar la legibilidad de este documento, se prefiere la forma singular de “sistema de gestión”,
pero el lector puede adaptar la implementación de la orientación a su propia situación. Esto también
aplica al uso de “persona” y “personas”, “auditor” y “auditores”.
Traducción oficial/Official translation/Traduction officielle
Se pretende que este documento se aplique a un amplio rango de usuarios potenciales, incluyendo
auditores, organizaciones que implementan sistemas de gestión y organizaciones que necesitan realizar
auditorías de sistemas de gestión por razones contractuales o reglamentarias. Sin embargo, los usuarios
de este documento pueden aplicar esta orientación al desarrollar sus propios requisitos relacionados
con auditorías.
La orientación en este documento también puede usarse con el propósito de la autodeclaración, y puede
ser útil para organizaciones involucradas en la formación de auditores o en la certificación de personas.
La orientación en este documento pretende ser flexible. Como se indica en varios puntos del texto, el
uso de esta orientación puede diferir dependiendo del tamaño y el nivel de madurez del sistema de
gestión de una organización. También deberían considerarse la naturaleza y la complejidad de la
organización que se va a auditar, así como los objetivos y el alcance de las auditorías que se van a
realizar.
Este documento adopta el enfoque de auditoría combinada cuando se auditan juntos dos o más sistemas
de gestión de distintas disciplinas. Cuando estos sistemas están integrados en un único sistema de
gestión, los principios y procesos de auditoría son los mismos que para una auditoría combinada (a
veces, llamada auditoría integrada).
Este documento proporciona orientación sobre la gestión de un programa de auditoría, sobre la
planificación y la realización de auditorías de sistemas de gestión, así como sobre la competencia y la
evaluación de un auditor y un equipo auditor.

Traducción oficial/Official translation/Traduction officielle
viii © ISO 2018 — Todos los derechos reservados

NORMA INTERNACIONAL
Directrices para la auditoría de los sistemas de gestión
1 Objeto y campo de aplicación
Este documento proporciona orientación sobre la auditoría de los sistemas de gestión, incluyendo los
principios de la auditoría, la gestión de un programa de auditoría y la realización de auditorías de
sistemas de gestión, así como orientación sobre la evaluación de la competencia de las personas que
participan en el proceso de auditoría. Estas actividades incluyen a las personas responsables de la
gestión del programa de auditoría, los auditores y los equipos auditores.
Es aplicable a todas las organizaciones que necesitan planificar y realizar auditorías internas o externas
de sistemas de gestión, o gestionar un programa de auditoría.
La aplicación de este documento a otros tipos de auditorías es posible, siempre que se preste especial
atención a la competencia específica necesaria.
2 Referencias normativas
No hay referencias normativas en este documento.
3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones siguientes.
ISO e IEC mantienen bases de datos terminológicas para su utilización en normalización en las
siguientes direcciones:
— Plataforma de búsqueda en línea de ISO: disponible en https://www.iso.org/obp
— Electropedia de IEC: disponible en http://www.electropedia.org/
3.1
auditoría
proceso sistemático, independiente y documentado para obtener evidencias objetivas (3.8) y evaluarlas
de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría (3.7)
Nota 1 a la entrada: Las auditorías internas, denominadas en algunos casos auditorías de primera parte, se
realizan por, o en nombre de la propia organización.
Nota 2 a la entrada: Las auditorías externas incluyen lo que se denomina generalmente auditorías de segunda y
tercera parte. Las auditorías de segunda parte se llevan a cabo por partes que tienen un interés en la organización,
tales como los clientes o por otras personas en su nombre. Las auditorías de tercera parte se llevan a cabo por
organizaciones auditoras independientes, tales como las que otorgan la certificación/registro de conformidad o
agencias gubernamentales.
[FUENTE: ISO 9000:2015, 3.13.1, modificada — las Notas a la entrada han sido modificadas]
Traducción oficial/Official translation/Traduction officielle
3.2
auditoría combinada
auditoría (3.1) llevada a cabo conjuntamente a un único auditado (3.13) en dos o más sistemas de
gestión (3.18)
Nota 1 a la entrada: Se conoce como sistema de gestión integrado cuando dos o más sistemas de gestión
específicos de una disciplina se integran en un único sistema de gestión.
[FUENTE: ISO 9000:2015, 3.13.2, modificada]
3.3
auditoría conjunta
auditoría (3.1) llevada a cabo a un único auditado (3.13) por dos o más organizaciones auditoras
[FUENTE: ISO 9000:2015, 3.13.3]
3.4
programa de auditoría
acuerdos para un conjunto de una o más auditorías (3.1) planificadas para un periodo de tiempo
determinado y dirigidas hacia un propósito específico
[FUENTE: ISO 9000:2015, 3.13.4, modificada — se ha añadido texto a la definición]
3.5
alcance de la auditoría
extensión y límites de una auditoría (3.1)
Nota 1 a la entrada: El alcance de la auditoría incluye generalmente una descripción de las ubicaciones físicas y
virtuales, las funciones, las unidades de la organización, las actividades y los procesos, así como el periodo de
tiempo cubierto.
Nota 2 a la entrada: Una ubicación virtual es un lugar donde la organización desempeña trabajo o presta un
servicio usando un entorno en línea que permite a las personas ejecutar procesos con independencia de su
ubicación física.
[FUENTE: ISO 9000:2015, 3.13.5, modificada — se ha modificado la Nota 1 a la entrada, se ha añadido la
Nota 2 a la entrada]
3.6
plan de auditoría
descripción de las actividades y de los detalles acordados de una auditoría (3.1)
[FUENTE: ISO 9000:2015, 3.13.6]
3.7
criterios de auditoría
conjunto de requisitos (3.23) usados como referencia frente a la cual se compara la evidencia objetiva
(3.8)
Nota 1 a la entrada: Si los criterios de auditoría son requisitos legales (incluyendo los reglamentarios), las
palabras “cumplimiento” o “no cumplimiento” se utilizan a menudo en los hallazgos de la auditoría (3.10).
Nota 2 a la entrada: Los requisitos pueden incluir políticas, procedimientos, instrucciones de trabajo, requisitos
legales, obligaciones contractuales, etc.
[FUENTE: ISO 9000:2015, 3.13.7, modificada — se ha cambiado la definición y se han añadido las
Notas 1 y 2 a la entrada]
Traducción oficial/Official translation/Traduction officielle
2 © ISO 2018 — Todos los derechos reservados

3.8
evidencia objetiva
datos que respaldan la existencia o veracidad de algo
Nota 1 a la entrada: La evidencia objetiva puede obtenerse por medio de la observación, medición, ensayo o por
otros medios.
Nota 2 a la entrada: La evidencia objetiva con fines de auditoría (3.1) generalmente se compone de registros,
declaraciones de hechos u otra información que son pertinentes para los criterios de auditoría (3.7) y verificables.
[FUENTE: ISO 9000:2015, 3.8.3]
3.9
evidencia de la auditoría
registros, declaraciones de hechos o cualquier otra información que es pertinente para los criterios de
auditoría (3.7) y que es verificable
[FUENTE: ISO 9000:2015, 3.13.8]
3.10
hallazgos de la auditoría
resultados de la evaluación de la evidencia de la auditoría (3.9) recopilada frente a los criterios de
auditoría (3.7)
Nota 1 a la entrada: Los hallazgos de la auditoría indican conformidad (3.20) o no conformidad (3.21).
Nota 2 a la entrada: Los hallazgos de la auditoría pueden conducir a la identificación de riesgos, oportunidades
para la mejora o el registro de buenas prácticas.
Nota 3 a la entrada: En inglés, si los criterios de auditoría se seleccionan de entre los requisitos legales o los
requisitos reglamentarios, el hallazgo de la auditoría se denomina cumplimiento o no cumplimiento.
[FUENTE: ISO 9000:2015, 3.13.9, modificada — se han modificado las Notas 2 y 3 a la entrada]
3.11
conclusiones de la auditoría
resultado de una auditoría (3.1), tras considerar los objetivos de la auditoría y todos los hallazgos de la
auditoría (3.10)
[FUENTE: ISO 9000:2015, 3.13.10]
3.12
cliente de la auditoría
organización o persona que solicita una auditoría (3.1)
Nota 1 a la entrada: En el caso de una auditoría interna, el cliente de la auditoría también puede ser el auditado
(3.13) o las personas que gestionan el programa de auditoría. Las solicitudes de una auditoría externa pueden
provenir de fuentes como autoridades reglamentarias, partes contratantes o clientes existentes o potenciales.
[FUENTE: ISO 9000:2015, 3.13.11, modificada — se ha añadido la Nota 1 a la entrada]
3.13
auditado
organización que es auditada en su totalidad o partes
[FUENTE: ISO 9000:2015, 3.13.12, modificada]
Traducción oficial/Official translation/Traduction officielle
3.14
equipo auditor
una o más personas que llevan a cabo una auditoría (3.1) con el apoyo, si es necesario, de expertos
técnicos (3.16)
Nota 1 a la entrada: A un auditor (3.15) del equipo auditor (3.14) se le designa como auditor líder del mismo.
Nota 2 a la entrada: El equipo auditor puede incluir auditores en formación.
[FUENTE: ISO 9000:2015, 3.13.14]
3.15
auditor
persona que lleva a cabo una auditoría (3.1)
[FUENTE: ISO 9000:2015, 3.13.15]
3.16
experto técnico
persona que aporta conocimientos o experiencia específicos al equipo auditor (3.14)
Nota 1 a la entrada: El conocimiento o pericia específicos se relacionan con la organización, la actividad, el proceso,
el producto, el servicio, la disciplina a auditar, o el idioma o la cultura.
Nota 2 a la entrada: Un experto técnico del equipo auditor (3.14) no actúa como un auditor (3.15).
[FUENTE: ISO 9000:2015, 3.13.16, modificada — se han modificado las Notas 1 y 2 a la entrada]
3.17
observador
persona que acompaña al equipo auditor (3.14) pero no actúa como un auditor (3.15)
[FUENTE: ISO 9000:2015, 3.13.17, modificada]
3.18
sistema de gestión
conjunto de elementos de una organización interrelacionados o que interactúan para establecer
políticas, objetivos y procesos (3.24) para lograr estos objetivos
Nota 1 a la entrada: Un sistema de gestión puede tratar una sola disciplina o varias disciplinas, por ejemplo,
gestión de la calidad, gestión financiera o gestión ambiental.
Nota 2 a la entrada: Los elementos del sistema de gestión establecen la estructura de la organización, los roles y
las responsabilidades, la planificación, la operación, las políticas, las prácticas, las reglas, las creencias, los
objetivos y los procesos para lograr esos objetivos.
Nota 3 a la entrada: El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones
específicas e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más
funciones dentro de un grupo de organizaciones.
[FUENTE: ISO 9000:2015, 3.5.3, modificada — se ha eliminado la Nota 4 a la entrada]
Traducción oficial/Official translation/Traduction officielle
4 © ISO 2018 — Todos los derechos reservados

3.19
riesgo
efecto de la incertidumbre
Nota 1 a la entrada: Un efecto es una desviación de lo esperado, ya sea positivo o negativo.
Nota 2 a la entrada: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la
comprensión o conocimiento de un evento, su consecuencia o su probabilidad.
Nota 3 a la entrada: Con frecuencia el riesgo se caracteriza por referencia a eventos potenciales (según se define
en la Guía ISO 73:2009, 3.5.1.3) y consecuencias (según se define en la Guía ISO 73:2009, 3.6.1.3), o a una
combinación de éstos.
Nota 4 a la entrada: Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de
un evento (incluidos cambios en las circunstancias) y la probabilidad (según se define en la Guía ISO 73:2009,
3.6.1.1) asociada de que ocurra.
[FUENTE: ISO 9000:2015, 3.7.9, modificada — se han eliminado las Notas 5 y 6 a la entrada]
3.20
conformidad
cumplimiento de un requisito (3.23)
[FUENTE: ISO 9000:2015, 3.6.11, modificada — se ha eliminado la Nota 1 a la entrada]
3.21
no conformidad
incumplimiento de un requisito (3.23)
[FUENTE: ISO 9000:2015, 3.6.9, modificada — se ha eliminado la Nota 1 a la entrada]
3.22
competencia
capacidad para aplicar conocimientos y habilidades con el fin de lograr los resultados previstos
[FUENTE: ISO 9000:2015, 3.10.4, modificada — se han eliminado las Notas a la entrada]
3.23
requisito
necesidad o expectativa establecida, generalmente implícita u obligatoria
Nota 1 a la entrada: “Generalmente implícita” significa que es habitual o práctica común para la organización y las
partes interesadas el que la necesidad o expectativa bajo consideración está implícita.
Nota 2 a la entrada: Un requisito especificado es aquel que está establecido, por ejemplo, en información
documentada.
[FUENTE: ISO 9000:2015, 3.6.4, modificada — se han eliminado las Notas 3, 4, 5 y 6 a la entrada]
3.24
proceso
conjunto de actividades mutuamente relacionadas que utilizan las entradas para proporcionar un
resultado previsto
[FUENTE: ISO 9000:2015, 3.4.1, modificada — se han eliminado las Notas a la entrada]
Traducción oficial/Official translation/Traduction officielle
3.25
desempeño
resultado medible
Nota 1 a la entrada: El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos.
Nota 2 a la entrada: El desempeño se puede relacionar con la gestión de actividades, procesos (3.24), productos,
servicios, sistemas u organizaciones.
[FUENTE: ISO 9000:2015, 3.7.8, modificada — se ha eliminado la Nota 3 a la entrada]
3.26
eficacia
grado en el que se realizan las actividades planificadas y se logran los resultados planificados
[FUENTE: ISO 9000:2015, 3.7.11, modificada — se ha eliminado la Nota 1 a la entrada]
4 Principios de auditoría
La auditoría se caracteriza por depender de varios principios. Estos principios deberían ayudar a hacer
de la auditoría una herramienta eficaz y fiable en apoyo de las políticas y controles de gestión,
proporcionando información sobre la cual una organización puede actuar para mejorar su desempeño.
La adhesión a esos principios es un requisito previo para proporcionar conclusiones de la auditoría que
sean pertinentes y suficientes, y para permitir a los auditores, que trabajan independientemente,
alcanzar conclusiones similares en circunstancias similares.
La orientación dada en los Capítulos 5 a 7 se basa en los siete principios señalados a continuación.
a) Integridad: el fundamento de la profesionalidad
Los auditores y las personas que gestionan un programa de auditoría deberían:
— desempeñar su trabajo de forma ética, con honestidad y responsabilidad;
— emprender actividades de auditoría sólo si son competentes para hacerlo;
— desempeñar su trabajo de manera imparcial, es decir, permanecer ecuánimes y sin sesgo en
todas sus acciones;
— ser sensibles a cualquier influencia que se pueda ejercer sobre su juicio mientras lleva a cabo
una auditoría.
b) Presentación imparcial: la obligación de informar con veracidad y exactitud
Los hallazgos, conclusiones e informes de la auditoría deberían reflejar con veracidad y exactitud
las actividades de auditoría. Se debería informar de los obstáculos significativos encontrados
durante la auditoría y de las opiniones divergentes sin resolver entre el equipo auditor y el
auditado. La comunicación debería ser veraz, exacta, objetiva, oportuna, clara y completa.
Traducción oficial/Official translation/Traduction officielle
6 © ISO 2018 — Todos los derechos reservados

c) Debido cuidado profesional: la aplicación de diligencia y juicio al auditar
Los auditores deberían proceder con el debido cuidado, de acuerdo con la importancia de la tarea
que desempeñan y la confianza depositada en ellos por el cliente de la auditoría y por otras partes
interesadas. Un factor importante al realizar su trabajo con el debido cuidado profesional es tener
la capacidad de hacer juicios razonados en todas las situaciones de la auditoría.
d) Confidencialidad: seguridad de la información
Los auditores deberían proceder con discreción en el uso y la protección de la información
adquirida en el curso de sus tareas. La información de la auditoría no debería usarse
inapropiadamente para beneficio personal del auditor o del cliente de la auditoría, o de modo que
perjudique los intereses legítimos del auditado. Este concepto incluye el tratamiento apropiado de
la información sensible o confidencial.
e) Independencia: la base para la imparcialidad de la auditoría y la objetividad de las conclusiones de
la auditoría
Los auditores deberían ser independientes de la actividad que se audita siempre que sea posible, y
en todos los casos deberían actuar de una manera libre de sesgo y conflicto de intereses. Para las
auditorías internas, los auditores deberían ser independientes de la función que se audita, si es
posible. Los auditores deberían mantener la objetividad a lo largo del proceso de auditoría para
asegurarse de que los hallazgos y las conclusiones de la auditoría están basados sólo en la evidencia
de la auditoría.
Para las organizaciones pequeñas, puede que no sea posible que los auditores internos sean
completamente independientes de la actividad que se audita, pero deberían hacerse todos los
esfuerzos para eliminar el sesgo y fomentar la objetividad.
f) Enfoque basado en la evidencia: el método racional para alcanzar conclusiones de la auditoría
fiables y reproducibles en un proceso de auditoría sistemático
La evidencia de la auditoría debería ser verificable. En general debería basarse en muestras de la
información disponible, ya que una auditoría se lleva a cabo durante un periodo de tiempo
delimitado y con recursos finitos. Debería aplicarse un uso apropiado del muestreo, ya que está
estrechamente relacionado con la confianza que puede depositarse en las conclusiones de la
auditoría.
g) Enfoque basado en riesgos: un enfoque de auditoría que considera los riesgos y oportunidades
El enfoque basado en riesgos debería influir sustancialmente en la planificación, la realización y la
presentación de informes de auditoría a fin de asegurar que las auditorías se centran en asuntos
que son importantes para el cliente de la auditoría y para alcanzar los objetivos del programa de
auditoría.
5 Gestión de un programa de auditoría
5.1 Generalidades
Debería establecerse un programa de auditoría que puede incluir auditorías que traten una o más
normas de sistemas de gestión u otros requisitos, realizadas por separado o en combinación (auditoría
combinada).
Traducción oficial/Official translation/Traduction officielle
La extensión de un programa de auditoría debería basarse en el tamaño y la naturaleza del auditado, así
como en la naturaleza, funcionalidad, complejidad, el tipo de riesgos y oportunidades, y el nivel de
madurez de los sistemas de gestión que se van a auditar.
La funcionalidad del sistema de gestión puede ser aún más compleja si la mayoría de las funciones
importantes están contratadas externamente y se gestionan bajo el liderazgo de otras organizaciones.
Es necesario prestar especial atención dónde se toman las decisiones más importantes y qué constituye
la alta dirección del sistema de gestión.
En el caso de múltiples ubicaciones/sedes (por ejemplo diferentes países), o cuando hay funciones
importantes contratadas externamente y gestionadas bajo el liderazgo de otra organización, debería
prestarse especial atención al diseño, la planificación y la validación del programa de auditoría.
En el caso de organizaciones más pequeñas o menos complejas, el programa de auditoría puede
escalarse apropiadamente.
A fin de comprender el contexto del auditado, el programa de auditoría debería tener en cuenta del
auditado:
— los objetivos organizacionales;
— las cuestiones externas e internas pertinentes;
— las necesidades y expectativas de las partes interesadas pertinentes;
— los requisitos de seguridad y confidencialidad de la información.
La planificación de los programas de auditoría interna y, en algunos casos, los programas para auditar a
los proveedores externos, pueden prepararse para contribuir a otros objetivos de la organización.
Las personas responsables de la gestión del programa de auditoría deberían asegurase de que se
mantiene la integridad de la auditoría y de que no se ejerce una influencia indebida sobre la auditoría.
Debería darse prioridad de auditoría a la asignación de recursos y métodos para los asuntos de un
sistema de gestión con los riesgos inherentes más altos y con los niveles de desempeño más bajos.
Deberían asignarse personas competentes para gestionar el programa de auditoría.
El programa de auditoría debería incluir la información e identificar los recursos que permitan que las
auditorías se realicen de forma eficaz y eficiente dentro de los periodos de tiempo especificados. Esta
información debería incluir lo siguiente:
a) objetivos para el programa de auditoría;
b) riesgos y oportunidades asociados con el programa de auditoría (véase 5.3) y las acciones para
abordarlos;
c) alcance (extensión, límites, ubicaciones) de cada auditoría dentro del programa de auditoría;
d) calendario (número/duración/frecuencia) de las auditorías;
e) tipos de auditoría, tales como internas o externas;
f) criterios de auditoría;
Traducción oficial/Official translation/Traduction officielle
8 © ISO 2018 — Todos los derechos reservados

g) métodos de auditoría a emplear;
h) criterios para seleccionar a los miembros del equipo auditor;
i) información documentada pertinente.
Parte de esta información puede no estar disponible hasta que se complete una planificación de
auditoría más detallada.
La implementación del programa de auditoría debería seguirse y medirse, de manera continua
(véase 5.6), para asegurarse de que se han alcanzado sus objetivos. El programa de auditoría debería
revisarse a fin de identificar necesidades de cambios y posibles oportunidades para la mejora
(véase 5.7).
La Figura 1 ilustra el flujo del proceso para la gestión de un programa de auditoría.
Traducción oficial/Official translation/Traduction officielle
NOTA 1 Esta Figura ilustra la aplicación del ciclo Planificar-Hacer-Verificar-Actuar en este documento.
NOTA 2 La numeración de los capítulos/apartados hace referencia a los capítulos/apartados pertinentes de
este documento.
Figura 1 — Diagrama de flujo para la gestión de un programa de auditoría
Traducción oficial/Official translation/Traduction officielle
10 © ISO 2018 — Todos los derechos reservados

5.2 Establecimiento de los objetivos del programa de auditoría
El cliente de la auditoría debería asegurarse de que los objetivos del programa de auditoría se han
establecido para dirigir la planificación y realización de auditorías y debería asegurarse de que el
programa de auditoría se ha implementado eficazmente. Los objetivos del programa de auditoría
deberían ser coherentes con la dirección estratégica del cliente de la auditoría y servir de apoyo a la
política y los objetivos del sistema de gestión.
Estos objetivos pueden basarse en las siguientes consideraciones:
a) las necesidades y expectativas de las partes interesadas pertinentes, tanto externas como internas;
b) las características y los requisitos de los procesos, productos, servicios y proyectos, y cualquier
cambio en ellos;
c) los requisitos del sistema de gestión;
d) la necesidad de evaluar a los proveedores externos;
e) el nivel de desempeño del auditado y el nivel de madurez de los sistemas de gestión, como se refleja
en los indicadores de desempeño pertinentes (por ejemplo, los KPI), la ocurrencia de no
conformidades o incidentes o quejas de las partes interesadas;
f) los riesgos y oportunidades identificados para el auditado;
g) los resultado
...