ISO 19011:2026

International
Standard
Redline version
compares Fourth edition
to Third edition
ISO 19011
Guidelines for auditing
management systems
Lignes directrices pour l’audit des systèmes de management
Reference number
ISO 19011:redline:2026(en) © ISO 2026

ISO 19011:redline:2026(en)
INFORMATION ON THIS REDLINE VERSION
This document is a Redline version published for information purposes. It is intended to
assist users in identifying the changes introduced in comparison with the previous edition
of the standard.
Additions are highlighted in green. Deletions are indicated by red strikethrough.
For graphics, additions are identified by a green frame, and deletions are indicated by a red
cross.
Clause and heading numbers that include modifications are highlighted in yellow in the
Table of Contents.
This Redline version is not an official ISO Standard and does not replace the current
published edition. Only the current edition of the International Standard is to be
regarded as the official document.
Markup used in this Redline version
Text example 1 added text (green highlight)
Text example 2 deleted text (red strike through)
added graphics (green frame)
deleted graphics (red cross)
1.x . modified clause and heading numbers (yellow in the Table of Contents)
© ISO 2026
All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may
be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting on
the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address below
or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii
ISO 19011:redline:2026(en)
Contents Page
Foreword .v
Introduction .vii
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles of auditing . 6
4.1 General .7
4.2 Integrity .7
4.3 Fair presentation .7
4.4 Due professional care .7
4.5 Confidentiality .7
4.6 Independence .8
4.7 Evidence-based approach .8
4.8 Risk-based approach .8
5 Managing an audit programme . 8
5.1 General .8
5.2 Establishing audit programme objectives . 12
5.3 Determining and evaluating audit programme risks and opportunities . 12
5.4 Establishing the audit programme . 13
5.4.1 Roles and responsibilities of the individual(s) managing the audit programme . 13
5.4.2 Competence of individual(s) managing the audit programme .14
5.4.3 Establishing extent of the scope of the audit programme . 15
5.4.4 Determining audit programme resources . 15
5.5 Implementing the audit programme .16
5.5.1 General .16
5.5.2 Defining the objectives, scope and criteria for an individual audit .16
5.5.3 Selecting and determining audit auditing methods .17
5.5.4 Selecting audit team members .17
5.5.5 Assigning responsibility for an individual audit to the audit team leader .18
5.5.6 Managing audit programme results .19
5.5.7 Managing and maintaining audit programme audit related records .19
5.6 Monitoring the audit programme . 20
5.7 Reviewing and improving the audit programme.21
6 Conducting an audit .21
6.1 General .21
6.2 Initiating the audit .21
6.2.1 General .21
6.2.2 Establishing contact with the auditee . 22
6.2.3 Determining the feasibility of the audit. 22
6.3 Preparing audit auditing activities. 23
6.3.1 Performing the review of documented information . 23
6.3.2 Audit planning . 23
6.3.3 Assigning work to the audit team . 25
6.3.4 Preparing documented information for the audit . 25
6.4 Conducting audit auditing activities . 25
6.4.1 General . 25
6.4.2 Assigning the roles and responsibilities of guides and observers . 25
6.4.3 Conducting the opening meeting . 26
6.4.4 Communicating during the audit .27
6.4.5 Audit information availability and access .27
6.4.5 Providing access to audit information .27
6.4.6 Reviewing documented information while conducting the audit . 28
6.4.7 Collecting and verifying information. 28

iii
ISO 19011:redline:2026(en)
6.4.8 Generating the audit findings . 29
6.4.9 Determining the audit conclusions . 30
6.4.10 Conducting the closing meeting. 30
6.5 Preparing and distributing the audit report . .31
6.5.1 Preparing the audit report .31
6.5.2 Distributing the audit report .32
6.6 Completing the audit .32
6.7 Conducting the audit follow-up . 33
7 Competence and evaluation of auditors .33
7.1 General . 33
7.2 Determining auditor competence . 34
7.2.1 General . 34
7.2.2 Personal behaviour . 34
7.2.3 Knowledge and skills . 35
7.2.4 Achieving auditor competence .37
7.2.5 Achieving audit team leader competence . 38
7.3 Establishing the auditor evaluation criteria . 38
7.4 Selecting the appropriate auditor evaluation method . 38
7.5 Conducting the auditor evaluation . 38
7.6 Maintaining and improving auditor competence . 39
Annex A (informative) Additional guidance for auditors for planning and conducting audits .40
Bibliography .52

iv
ISO 19011:redline:2026(en)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out through
ISO technical committees. Each member body interested in a subject for which a technical committee
has been established has the right to be represented on that committee. International organizations,
governmental and non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely
with the International Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
The procedures used to develop this document and those intended for its further maintenance are described
in the ISO/IEC Directives, Part 1. In particular, the different approval criteria needed for the different types
of ISO documentsdocument should be noted. This document was drafted in accordance with the editorial
rules of the ISO/IEC Directives, Part 2 (see www.iso.org/directives).
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of any patent
rights identified during the development of the document will be in the Introduction and/or on the ISO list of
patent declarations received (see www.iso.org/patents).
ISO draws attention to the possibility that the implementation of this document may involve the use of (a)
patent(s). ISO takes no position concerning the evidence, validity or applicability of any claimed patent
rights in respect thereof. As of the date of publication of this document, ISO had not received notice of (a)
patent(s) which may be required to implement this document. However, implementers are cautioned that
this may not represent the latest information, which may be obtained from the patent database available at
www.iso.org/patents. ISO shall not be held responsible for identifying any or all such patent rights.
Any trade name used in this document is information given for the convenience of users and does not
constitute an endorsement.
For an explanation onof the voluntary nature of standards, the meaning of ISO specific terms and
expressions related to conformity assessment, as well as information about ISO'sISO’s adherence to the
World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the following URL:,
see www.iso.org/iso/foreword.htmlwww.iso.org/iso/foreword.html.
This document was prepared by Project Committee ISO/PC 302, Guidelines for auditing management systems,
in collaboration with the European Committee for Standardization (CEN) Technical Committee CEN/CLC/
JTC 1, Criteria for conformity assessment bodies, in accordance with the Agreement on technical cooperation
between ISO and CEN (Vienna Agreement).
This thirdfourth edition cancels and replaces the secondthird edition (ISO 19011:20112018), which has
been technically revised.
The main differences compared to the second editionchanges are as follows:
— addition of the risk-based approach to the principles of auditing;
— expansion of the guidance on managing an audit programme, including audit programme risk;
— expansion of guidance on remote auditing methods through the introduction of guidance contained in
ISO/IEC TS 17012;
— expansion of the guidance on conducting an audit, particularly the section on audit planning;
— expansion of the generic competence requirements for auditors;
— adjustment of terminology to reflect the process and not the object (“thing”);
— removal of the annex containing competence requirements for auditing specific management system
disciplines (due to the large number of individual management system standards, it would not be
practical to include competence requirements for all disciplines);

v
ISO 19011:redline:2026(en)
— expansion of Annex A to provide guidance on auditing (new) concepts such as organization context,
leadership and commitment, virtual audits, compliance and supply chainremote auditing methods and
virtual locations.
Any feedback or questions on this document should be directed to the user’s national standards body. A
complete listing of these bodies can be found at www.iso.org/members.html.

vi
ISO 19011:redline:2026(en)
Introduction
Since the secondthird edition of this document was published in 2011, a number of new2018, several
management system standards have been published, many of which in new fields. Most of them have a
common structure, identical core requirements, and common terms and core definitions. As a result, there
is a need to consider a broader approach to management system auditing, as well as providingto provide
guidance that is more generic. Audit results can provide input to the analysis aspect of business planning,
and can contribute to the identification of improvement needs and activities.
An audit can be conductedThis document provides guidance which can be applied to audit against a range of
audit criteria (separately or in combination,) including, but not limited to:
— requirements definedspecified in one or more management system standards;
— policies, processes and requirements specified by the organization or other relevant interested parties;
— statutory and regulatory requirements;
— one or more management system processes defined by the organization and/or other parties;
— management system plan(s) relating to the provision of specific outputsresults of a management system
(e.g. quality plan, project plan).
This document provides guidance for all sizes and types of organizations andorganizations regardless of
their size and type, and audits of varying scopes and scales, including. This includes those conducted by
large audit teams, typically of larger organizations, and those by single auditors, whether in large or small
organizations. This guidance should be adapted as appropriate to the scope, complexity and scale and
complexity of the audit programme.
This document concentrates on internal audits (first party) and audits conducted by organizations on
their external providers and other external interested parties (second party). This document can also be
useful for external audits conducted for purposes other than third -party management system certification.
ISO/IEC 17021-1 provides requirements for auditing management systems for third -party certification;
however, this document can provide useful additional guidance (see Table 1).
Table 1 — Different types of audits
st nd rd
1 party auditFirst party 2 party auditSecond party 3 party auditThird party
Internal audit External provider audit Certification and/ audit or accredita-
tion audit assessment
Other Audit by the external interest- Statutory, regulatory and similar
ed party audit of an organization audit
ISO/IEC TS 17012 addresses the growing need for remote auditing methods. Its aim is to provide guidance
on implementing remote auditing methods effectively while supporting the general principles of auditing as
outlined in this document.
To simplify the readability of this document, the singular form of “management system” is preferred, but the
reader can adapt the implementation of the guidance to their own situation. This also applies to the use of
“individual” and “individuals”, “auditor” and “auditors”.
This document is intended to apply to a broad range of potential users, including auditors, organizations
implementing management systems and organizations needing to conduct management system audits for
contractual or regulatory reasons. Users ofThe guidance in this document can, however, apply this guidance
be applied to users in developing their own audit-related requirements.
The guidance in this document can also be used for the purpose of self-declaration and can be useful to
organizations involved in auditor training or personnel certificationthe training, qualification and
certification of persons participating in the audit programme.

vii
ISO 19011:redline:2026(en)
The guidance in this document is intended to be flexible. As indicated at various points in the text, the use
of this guidance can differ depending on the size and level of maturity of an organization’s management
system. The nature and complexity of the organization to be audited, as well as the objectives and scope of
the audits to be conducted, should also be considered.
This document adopts the combined audit approach when two or more management systems of different
disciplines are audited together. Where these systems are integrated into a single management system,
the principles and processes of auditing are the same as for a combined audit (sometimes known as an
“integrated audit”).
This document provides guidance on the management of an audit programme, on the planning and
conducting of management system audits, as well as on the competence and evaluation of an auditor and an
audit team.
viii
ISO 19011:redline:2026(en)
Guidelines for auditing management systems
1 Scope
This document providesgives guidance on auditing management systems, including the principles of
auditing, managing an audit programme and conducting management system audits, as well as guidance
on the evaluation of competence of individuals involved in the audit process. These activities include the
individual(s)individuals include those managing the audit programme, auditors and audit teams.
It is applicable to all organizations that need to plan and conduct internal or external audits of management
systems or manage an audit programme.
The application of this document to other types of audits is possible, provided that special consideration is
given to the specific competence needed and the objectives to be achieved.
2 Normative references
There are no normative references in this document.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
ISO and IEC maintain terminologicalterminology databases for use in standardization at the following
addresses:
— ISO Online browsing platform: available at https:// www .iso .org/ obphttps:// www .iso .org/ obp
— IEC Electropedia: available at httphttps:// www .electropedia .org/
3.1
audit
systematic, independent and documented process process (3.25) for obtaining objective evidence (3.83.9)
and evaluating it objectively to determine the extent to which the audit criteria (3.73.8) are fulfilled
Note 1 to entry: Internal audits, sometimes called first -party audits, are conducted by, or on behalf of, the organization
itself.
Note 2 to entry: External audits include those generally called second and third -party audits. Second -party audits are
conducted by parties having an interest in the organization, such as customers, or by other individuals on their behalf.
Third -party audits are conducted by independent auditing organizations, such as those providing certification/
registration of conformity conformity (3.21) or governmental agencies and regulatory authorities.
[SOURCE: ISO 9000:2015, 3.13.1 2026, 3.12.1, modified — “documented and “objective” added to the
definition. Notes to entry have been modified replaced.]
3.2
combined audit
audit (3.1) carried out together at a single auditee (3.133.14) on two or more management systems (3.183.19)
Note 1 to entry: When two or more discipline-specific management systems are integrated into a single management
system this is known as an integrated management system.
[SOURCE: ISO 9000:2015, 3.13.2, modified 2026, 3.12.2, modified — Note 1 to entry deleted.]

ISO 19011:redline:2026(en)
3.3
joint audit
audit (3.1) carried out at a single auditee (3.133.14) by two or more auditing organizations
[SOURCE: ISO 9000:2015, 3.13.3 2026, 3.12.3]
3.4
remote auditing method
method used for conducting audit activities from any place other than the location of the auditee (3.14)
Note 1 to entry: Remote auditing methods can be used in combination with on-site methods to achieve a full and
effective audit (3.1).
Note 2 to entry: Remote auditing methods can be used for virtual locations, i.e. where an organization performs work
or provides a service using an online environment, enabling individuals to execute processes (3.25) irrespective of
physical locations.
Note 3 to entry: Remote auditing methods can be used by the auditor (3.16) at one site of the auditee to audit another
site.
[SOURCE: ISO/IEC TS 17012:2024, 3.1]
3.4
3.5
audit programme
arrangements for a set of one or more audits (3.1) planned for a specific time frame and directed towards a
specific purpose
[SOURCE: ISO 9000:2015, 3.13.4, modified — wording has been added to the definition]
3.5
3.6
audit scope
extent and boundaries of an audit (3.1)
Note 1 to entry: The audit scope generally includes a description of the physical and virtual- locations (see 3.4, Note 2
to entry), functions, organizational units, activities and processes processes (3.25), as well as the time period covered.
Note 2 to entry: A virtual location is where an organization performs work or provides a service using an on-line
environment allowing individuals irrespective of physical locations to execute processes.
[SOURCE: ISO 9000:2015, 3.13.5, modified — Note 1 to entry has been modified, Note 2 to entry has been
added]
3.6
3.7
audit plan
description of the activities and arrangements for an audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.6]
3.7
3.8
audit criteria
set of requirements (3.233.24) used as a reference against which objective evidence (3.83.9) is compared
Note 1 to entry: If the audit criteria are legal (including statutory or regulatory) requirements, the words “compliance”
or “non-compliance” are often used in an audit finding (3.103.11).
Note 2 to entry: Requirements may include policies, procedures, work instructions, legal requirements, contractual
obligations, industry standards, etc.
[SOURCE: ISO 9000:2015, 3.13.7, modified — the definition has been changed and Notes to entry 1 and 2
have been added]
ISO 19011:redline:2026(en)
3.8
3.9
objective evidence
data supporting the existence or verity of something
Note 1 to entry: Objective evidence can be obtained through observation, measurement, test or by other means.
Note 2 to entry: Objective evidence for the purpose of the audit (3.1) generally consists of records, statements of fact,
or other information which are relevant to the audit criteria (3.7) and verifiable.
[SOURCE: ISO 9000:2015, 3.8.3 2026, 3.8.6, modified — Note 2 to entry deleted.]
3.9
3.10
audit evidence
records, statements of fact or other information, which are relevant to the audit criteria (3.73.8) and
verifiable
[SOURCE: ISO 9000:2015, 3.13.8]
3.10
3.11
audit findings finding
results of the evaluation of the collected audit evidence (3.93.10) against audit criteria (3.73.8)
Note 1 to entry: Audit findings indicate conformity (3.203.21) or nonconformity (3.213.22).
Note 2 to entry: Audit findings can lead to the identification of risks risks (3.20), opportunities for improvement or
recording good practices.
Note 3 to entry: In English if If the audit criteria are selected from statutory requirements or regulatory requirements,
the audit finding is termed “compliance” or “non-compliance”.
[SOURCE: ISO 9000:2015, 3.13.9, modified — Notes to entry 2 and 3 have been modified]
3.11
3.12
audit conclusion
outcome result of an audit (3.1), after consideration of the audit objectives and all audit findings (3.103.11)
[SOURCE: ISO 9000:2015, 3.13.10]
3.12
3.13
audit client
organization or person requesting an audit (3.1)
Note 1 to entry: In the case of internal audit, the audit client can also be the auditee (3.133.14) or the individual(s)
managing the audit programme audit programme (3.5). Requests for external audit can come from sources such as
regulators regulatory authorities, contracting parties, or potential or existing clients customers.
[SOURCE: ISO 9000:2015, 3.13.11 2026, 3.12.4, modified — Note 1 to entry has been added.]
3.13
3.14
auditee
organization as a whole or parts thereof being audited
[SOURCE: ISO 9000:2015, 3.13.12, modified]

ISO 19011:redline:2026(en)
3.14
3.15
audit team
one or more persons conducting an audit (3.1), supported if needed by technical experts (3.163.17)
Note 1 to entry: One auditor (3.153.16) of the audit team (3.14)audit team is appointed as the audit team leader.
Note 2 to entry: The audit team can include auditors-in-training.
[SOURCE: ISO 9000:2015, 3.13.14]
3.15
3.16
auditor
person who conducts an audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.15]
3.16
3.17
technical expert
person who provides specific knowledge or expertise to the audit team (3.143.15)
Note 1 to entry: Specific knowledge or expertise relates to the organization, the activity, process process (3.25),
product, service, discipline to be audited, or language or culture.
Note 2 to entry: A technical expert to the audit team (3.14)audit team does not act as an auditor (3.153.16).
[SOURCE: ISO 9000:2015, 3.13.16, modified — Notes to entry 1 and 2 have been modified]
3.17
3.18
observer
individual who accompanies the audit team (3.143.15) but does not act as an auditor (3.153.16) nor a technical
expert (3.17)
[SOURCE: ISO 9000:2015, 3.13.17, modified]
3.18
3.19
management system
set of interrelated or interacting elements of an organization to establish policies and objectives, and as well
as processes (3.243.25) to achieve those objectives
Note 1 to entry: A management system can address a single discipline or several disciplines, e.g. quality management,
financial management or environmental management.
Note 2 to entry: The management system elements establish the organization’s structure, roles and responsibilities,
planning, operation, policies, practices, rules, beliefs, objectives and processes to achieve those objectives.
Note 3 to entry: The scope of a management system can include the whole of the organization, specific and identified
functions of the organization, specific and identified sections of the organization, or one or more functions across a
group of organizations.
[SOURCE: ISO 9000:2015, 3.5.3 2026, 3.4.2, modified — Note Examples added to Note 1 to entry. Note 2 to
entry expanded. Notes 3 and 4 to entry has been deleted.]
3.19
3.20
risk
effect of uncertainty
Note 1 to entry: An effect is a deviation from the expected — positive or negative.

ISO 19011:redline:2026(en)
Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or
knowledge of, an event, its consequence and , or likelihood.
Note 3 to entry: Risk is often characterized by reference to potential events (as defined in ISO Guide 73:2009, 3.5.1.3)
and consequences (as defined in ISO Guide 73:2009, 3.6.1.3) , or a combination of these.
Note 4 to entry: Risk is often expressed in terms of a combination of the consequences of an event (including changes
in circumstances) and the associated likelihood (as defined in ISO Guide 73:2009, 3.6.1.1) of occurrence.
[SOURCE: ISO 9000:2015, 3.7.9 2026, 3.7.2, modified — Notes to entry 5 and 6 have been deleted Note 5 to
entry deleted.]
3.20
3.21
conformity
fulfilment of a requirement (3.233.24)
[SOURCE: ISO 9000:2015, 3.6.11 2026, 3.5.9, modified — Note 1 to entry has been deleted.]
3.21
3.22
nonconformity
non-fulfilment of a requirement (3.233.24)
[SOURCE: ISO 9000:2015, 3.6.9, modified — Note 1 to entry has been deleted 2026, 3.5.13]
3.22
3.23
competence
ability to apply knowledge and skills to achieve intended results
[SOURCE: ISO 9000:2015, 3.10.4, modified — Notes to entry have been deleted 2026, 3.10.6]
3.23
3.24
requirement
need or expectation that is stated, generally implied or obligatory
Note 1 to entry: “Generally implied” means that it is custom or common practice for the organization and interested
parties that the need or expectation under consideration is implied.
Note 2 to entry: A specified requirement is one that is stated, for example e.g. in documented information.
[SOURCE: ISO 9000:2015, 3.6.4 2026, 3.5.1, modified — Notes to entry 3, 4, 5 and 6 have been deleted and 5
to entry deleted.]
3.24
3.25
process
set of interrelated or interacting activities that use inputs to deliver an intended result
[SOURCE: ISO 9000:2015, 3.4.1 2026, 3.3.1, modified — “or transforms” deleted and “intended” added in the
definition. Notes to entry have been deleted.]
3.25
3.26
performance
measurable result
Note 1 to entry: Performance can relate either to quantitative or qualitative findings.
Note 2 to entry: Performance can relate to the management of managing activities, processes (3.243.25), products,
services, systems or organizations.

ISO 19011:redline:2026(en)
[SOURCE: ISO 9000:2015, 3.7.8, modified — Note 3 to entry has been deleted 2026, 3.7.3]
3.26
3.27
effectiveness
extent to which planned activities are realized and planned results are achieved
[SOURCE: ISO 9000:2015, 3.7.11, modified — Note 1 to entry has been deleted 2026, 3.7.17]
4 Principles of auditing
Auditing is characterized by reliance on a number of principles. These principles should help to make the
audit an effective and reliable tool in support of management policies and controls, by providing information
on which an organization can act in order to improve its performance. Adherence to these principles is
a prerequisite for providing audit conclusions that are relevant and sufficient, and for enabling auditors,
working independently from one another, to reach similar conclusions in similar circumstances.
The guidance given in Clauses 5 to 7 is based on the seven principles outlined below.
a) Integrity: the foundation of professionalism
Auditors and the individual(s) managing an audit programme should:
— perform their work ethically, with honesty and responsibility;
— only undertake audit activities if competent to do so;
— perform their work in an impartial manner, i.e. remain fair and unbiased in all their dealings;
— be sensitive to any influences that may be exerted on their judgement while carrying out an audit.
b) Fair presentation: the obligation to report truthfully and accurately
Audit findings, audit conclusions and audit reports should reflect truthfully and accurately the audit
activities. Significant obstacles encountered during the audit and unresolved diverging opinions
between the audit team and the auditee should be reported. The communication should be truthful,
accurate, objective, timely, clear and complete.
c) Due professional care: the application of diligence and judgement in auditing
Auditors should exercise due care in accordance with the importance of the task they perform and the
confidence placed in them by the audit client and other interested parties. An important factor in
carrying out their work with due professional care is having the ability to make reasoned judgements in
all audit situations.
d) Confidentiality: security of information
Auditors should exercise discretion in the use and protection of information acquired in the course of their
duties. Audit information should not be used inappropriately for personal gain by the auditor or the
audit client, or in a manner detrimental to the legitimate interests of the auditee. This concept includes
the proper handling of sensitive or confidential information.
e) Independence: the basis for the impartiality of the audit and objectivity of the audit conclusions
Auditors should be independent of the activity being audited wherever practicable, and should in all cases
act in a manner that is free from bias and conflict of interest. For internal audits, auditors should be
independent from the function being audited if practicable. Auditors should maintain objectivity
throughout the audit process to ensure that the audit findings and conclusions are based only on the
audit evidence.
For small organizations, it may not be possible for internal auditors to be fully independent of the activity
being audited, but every effort should be made to remove bias and encourage objectivity.

ISO 19011:redline:2026(en)
f) Evidence-based approach: the rational method for reaching reliable and reproducible audit conclusions
in a systematic audit process
Audit evidence should be verifiable. It should in general be based on samples of the information available,
since an audit is conducted during a finite period of time and with finite resources. An appropriate use
of sampling should be applied, since this is closely related to the confidence that can be placed in the
audit conclusions.
g) Risk-based approach: an audit approach that considers risks and opportunities
The risk-based approach should substantively influence the planning, conducting and reporting of audits
in order to ensure that audits are focused on matters that are significant for the audit client, and for
achieving the audit programme objectives.
4.1 General
Auditing is characterized by reliance on a number of principles. These principles should help to make the
audit an effective and reliable tool in support of management policies and controls, by providing information
on which an organization can act in order to improve its performance. Adherence to these principles is
fundamental to provide audit conclusions that are relevant and sufficient, and for enabling auditors, working
independently from one another, to reach similar conclusions in similar circumstances.
The guidance given in Clauses 5 to 7 is based on the seven principles outlined in 4.2 to 4.8.
4.2 Integrity
Integrity is the foundation of professionalism.
Auditors and the individual(s) managing an audit programme should:
a) perform their work ethically, with honesty and responsibility;
b) only undertake auditing activities if they are competent to do so;
c) perform their work in an impartial manner, i.e. remain fair and unbiased in all their dealings;
d) be sensitive to any influences that can be exerted on their judgement while carrying out an audit.
4.3 Fair presentation
Fair presentation is the obligation to report truthfully and accurately.
Audit findings, audit conclusions and audit reports should reflect truthfully and accurately the auditing
activities. Significant obstacles encountered during the audit and unresolved diverging opinions between the
audit team and the auditee should be reported. The communication should be truthful, accurate, objective,
timely, clear and complete.
4.4 Due professional care
Due professional care is the application of diligence and judgement in auditing.
Auditors should exercise due care irrespective of the importance of the task they perform, and the confidence
placed in them by the audit client and other interested parties. An important factor in carrying out their
work with due professional care is having the ability to make reasoned judgements in all audit situations.
4.5 Confidentiality
Confidentiality is security and privacy of information.
Auditors should exercise discretion in the use and protection of information acquired in the course of their
auditing activities. Audit information should not be used inappropriately for personal gain by the auditor or

ISO 19011:redline:2026(en)
the audit client, or in a manner detrimental to the legitimate interests of the auditee. This principle includes
the proper handling of sensitive or confidential information.
4.6 Independence
Independence is the basis for the impartiality of the audit and objectivity of the audit conclusions.
Auditors should be independent of the activity being audited wherever practicable and should in all cases act
in a manner that is free from bias and conflict of interest. Auditors should maintain objectivity throughout
the audit process to ensure that the audit findings and conclusions
...

Norme
internationale
ISO 19011
Quatrième édition
Lignes directrices pour l’audit des
2026-05
systèmes de management
Guidelines for auditing management systems
Numéro de référence
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2026
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
Sommaire Page
Avant-propos .v
Introduction .vi
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes de l’audit . 5
4.1 Généralités .5
4.2 Déontologie .5
4.3 Restitution impartiale .5
4.4 Conscience professionnelle .5
4.5 Confidentialité .6
4.6 Indépendance .6
4.7 Approche fondée sur la preuve .6
4.8 Approche par les risques .6
5 Pilotage d’un programme d’audit . 6
5.1 Généralités .6
5.2 Détermination des objectifs du programme d’audit .9
5.3 Détermination et évaluation des risques et des opportunités du programme d’audit .9
5.4 Établissement du programme d’audit .10
5.4.1 Rôles et responsabilités de la ou des personnes responsables du pilotage du
programme d’audit .10
5.4.2 Compétence de la ou des personnes responsables du pilotage du programme
d’audit .11
5.4.3 Établissement de l'étendue du programme d’audit.11
5.4.4 Détermination des ressources du programme d’audit . 12
5.5 Mise en œuvre du programme d’audit. 13
5.5.1 Généralités . 13
5.5.2 Définition des objectifs, du champ et des critères pour chaque audit individuel . 13
5.5.3 Choix et détermination des méthodes d’audit .14
5.5.4 Choix des membres de l’équipe d’audit .14
5.5.5 Attribution de la responsabilité d’un audit individuel au responsable de l’équipe
d’audit . 15
5.5.6 Management des résultats du programme d’audit .16
5.5.7 Gestion des enregistrements liés à l’audit .16
5.6 Surveillance du programme d’audit .17
5.7 Revue et amélioration du programme d’audit .18
6 Réalisation d’un audit .18
6.1 Généralités .18
6.2 Déclenchement de l’audit .19
6.2.1 Généralités .19
6.2.2 Prise de contact avec l’audité .19
6.2.3 Détermination de la faisabilité de l’audit .19
6.3 Préparation des activités d’audit. 20
6.3.1 Réalisation de la revue des informations documentées . 20
6.3.2 Planification de l’audit . 20
6.3.3 Répartition des tâches au sein de l’équipe d’audit . 22
6.3.4 Préparation des informations documentées en vue de l’audit . 22
6.4 Réalisation des activités d’audit . . . 22
6.4.1 Généralités . 22
6.4.2 Attribution des rôles et responsabilités des guides et des observateurs . 23
6.4.3 Conduite de la réunion d’ouverture . 23
6.4.4 Communication pendant l’audit .24
6.4.5 Accès aux informations d’audit . 25

iii
6.4.6 Réalisation d’une revue des informations documentées au cours de l’audit . 25
6.4.7 Recueil et vérification des informations . 25
6.4.8 Production des constats d’audit . . 26
6.4.9 Détermination des conclusions d’audit .27
6.4.10 Conduite de la réunion de clôture .27
6.5 Préparation et diffusion du rapport d’audit . 28
6.5.1 Préparation du rapport d’audit. 28
6.5.2 Diffusion du rapport d’audit . 29
6.6 Clôture de l’audit . 29
6.7 Réalisation du suivi d’audit . 30
7 Compétence et évaluation des auditeurs .30
7.1 Généralités . 30
7.2 Déterminer la compétence d’un auditeur .31
7.2.1 Généralités .31
7.2.2 Comportements personnels .31
7.2.3 Connaissances et aptitudes . .32
7.2.4 Acquisition de la compétence d’auditeur . 35
7.2.5 Acquisition de la compétence de responsable d’équipe d’audit . 35
7.3 Déterminer les critères d’évaluation des auditeurs . 35
7.4 Choisir la méthode d’évaluation des auditeurs appropriée . 35
7.5 Réaliser l’évaluation d’un auditeur . 36
7.6 Maintien et amélioration de la compétence du ou des auditeurs . 36
Annexe A (informative) Lignes directrices supplémentaires destinées aux auditeurs pour la
planification et la réalisation des audits .37
Bibliographie .49

iv
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes nationaux
de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est en général
confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude a le droit de faire
partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l’ISO participent également aux travaux. L’ISO collabore étroitement avec
la Commission électrotechnique internationale (IEC) en ce qui concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’ISO attire l’attention sur le fait que la mise en application du présent document peut entraîner l’utilisation
d’un ou de plusieurs brevets. L’ISO ne prend pas position quant à la preuve, à la validité et à l’applicabilité de
tout droit de brevet revendiqué à cet égard. À la date de publication du présent document, l’ISO n’avait pas
reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires à sa mise en application. Toutefois,
il y a lieu d’avertir les responsables de la mise en application du présent document que des informations
plus récentes sont susceptibles de figurer dans la base de données de brevets, disponible à l’adresse
www.iso.org/brevets. L’ISO ne saurait être tenue pour responsable de ne pas avoir identifié tout ou partie de
tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion de
l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au
commerce (OTC), voir www.iso.org/avant-propos.
Le présent document a été élaboré par le comité de projet ISO/PC 302, Lignes directrices pour l’audit des
systèmes de management, en collaboration avec le comité technique CEN/CLC/JTC 1, Critères applicables
aux organismes d’évaluation de la conformité, du Comité européen de normalisation (CEN), conformément à
l’Accord de coopération technique entre l’ISO et le CEN (Accord de Vienne).
Cette quatrième édition annule et remplace la troisième édition (ISO 19011:2018), qui a fait l’objet d’une
révision technique.
Les principales modifications sont les suivantes:
— développement de lignes directrices relatives aux méthodes d’audit à distance par l’introduction des
lignes directrices de l’ISO/IEC TS 17012;
— développement de l’Annexe A afin de fournir des lignes directrices relatives aux méthodes d’audit à
distance et aux sites virtuels.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/fr/members.html.

v
Introduction
Depuis que la troisième édition du présent document a été publiée en 2018, plusieurs normes de systèmes
de management ont été publiées dans de nouveaux domaines. La plupart d’entre elles ont une structure
commune, des exigences fondamentales identiques et des termes et définitions communs. De ce fait, il est
nécessaire d’envisager une approche plus globale de l’audit des systèmes de management et de fournir des
lignes directrices plus génériques.
Le présent document fournit des lignes directrices qui peuvent être appliquées à l’audit par rapport à une
série de critères d’audit (séparément ou en combinaison) comprenant, sans toutefois s’y limiter:
— les exigences spécifiées dans une ou plusieurs normes de systèmes de management;
— les politiques, les processus et les exigences spécifiés par l’organisme ou toute autre partie intéressée
pertinente;
— les exigences légales et réglementaires;
— un ou plusieurs processus du système de management définis par l’organisme et/ou d’autres parties;
— Un ou plusieurs plans de système de management se rapportant à la fourniture d’éléments de sortie
spécifiques d’un système de management (par exemple plan qualité, plan de projet).
Le présent document fournit des lignes directrices à l’attention de tous les organismes, quels que soient leur
taille et leur type, et pour des audits de champs variables. Cela inclut ceux réalisés par de grandes équipes
d’audit, généralement dans de grands organismes, et ceux réalisés par des auditeurs uniques, dans de grands
ou petits organismes. Il convient, selon le cas, d’adapter ces lignes directrices au champ et à la complexité du
programme d’audit.
Le présent document se concentre sur les audits internes (première partie) et les audits réalisés par des
organismes auprès de leurs prestataires externes et d’autres parties intéressées externes (seconde
partie). Le présent document peut également être utile pour des audits externes réalisés à d’autres fins
que la certification par tierce partie d’un système de management. L’ISO/IEC 17021-1 fournit des exigences
relatives à l’audit des systèmes de management en vue d’une certification par tierce partie; toutefois, le
présent document peut fournir des lignes directrices supplémentaires utiles (voir Tableau 1).
Tableau 1 — Différents types d’audits
Première partie Seconde partie Tierce partie
Audit interne Audit des prestataires externes Audit de certification ou évaluation
d’accréditation
Audit par la partie intéressée externe Audit à des fins légales,
d’un organisme réglementaires et similaires
L’ISO/IEC TS 17012 répond au besoin croissant de méthodes d’audit à distance. Son objectif est de fournir
des lignes directrices sur la mise en œuvre efficace de méthodes d’audit à distance tout en soutenant les
principes généraux d’audit décrits dans le présent document.
Pour simplifier la lisibilité du présent document, la forme singulière de “système de management” est
préférable. Le lecteur peut toutefois adapter la mise en œuvre des lignes directrices à sa propre situation
particulière. Cela s’applique également à l’utilisation de “personne” et “personnes”, “auditeur” et “auditeurs”.
Le présent document est destiné à une large gamme d’utilisateurs potentiels parmi lesquels des auditeurs,
des organismes mettant en œuvre des systèmes de management et des organismes devant réaliser des
audits de systèmes de management dans un cadre contractuel ou réglementaire. Les lignes directrices du
présent document peuvent être appliquées aux utilisateurs lors de l’élaboration de leurs propres exigences
en matière d’audit.
vi
Les lignes directrices fournies dans le présent document peuvent également être utilisées à des fins
d’autodéclaration et peuvent par ailleurs se révéler utiles aux organismes impliqués dans la formation, la
qualification et la certification de personnes participant au programme d’audit.
Les lignes directrices fournies dans le présent document se veulent flexibles. Comme indiqué à différentes
reprises dans le texte, l’utilisation de ces lignes directrices peut varier selon la taille et le niveau de maturité
du système de management de l’organisme. Il convient également de prendre en considération la nature et la
complexité de l’organisme à auditer, ainsi que les objectifs et le champ des audits à réaliser.
Le présent document adopte le principe d’audit combiné lorsque deux ou plusieurs systèmes de management
de disciplines différentes sont audités ensemble. Les principes et les processus d’audit sont identiques à ceux
applicables à un audit combiné (parfois appelé “audit intégré”) lorsque les systèmes définis sont intégrés
dans un système de management unique.

vii
Norme internationale ISO 19011:2026(fr)
Lignes directrices pour l’audit des systèmes de management
1 Domaine d’application
Le présent document donne des lignes directrices sur l’audit de systèmes de management, comprenant les
principes de l’audit, le pilotage d’un programme d’audit et la réalisation d’audits de systèmes de management.
Il donne également des lignes directrices sur l’évaluation de la compétence des personnes impliquées dans le
processus d’audit. Ces personnes incluent les responsables du pilotage du programme d’audit, les auditeurs
et les équipes d’audit.
Il est applicable à tous les organismes qui doivent planifier et réaliser des audits de systèmes de management
ou piloter un programme d’audit.
Le présent document peut, en principe, s’appliquer à d’autres types d’audits, à condition toutefois d’accorder
une attention toute particulière aux compétences spécifiques requises et aux objectifs à atteindre.
2 Références normatives
Le présent document ne contient aucune référence normative.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse https:// www .electropedia .org/
3.1
audit
processus (3.25) systématique, indépendant et documenté visant à obtenir des preuves objectives (3.9) et à
les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit (3.8) sont satisfaits
Note 1 à l'article: Les audits internes, parfois appelés audits première partie, sont réalisés par l’organisme lui-même ou
pour le compte celui-ci.
Note 2 à l'article: Les audits externes comprennent les audits appelés généralement audits seconde et tierce partie.
Les audits seconde partie sont réalisés par des parties ayant un intérêt à l’égard de l’organisme, comme les clients ou
d’autres personnes agissant en leur nom. Les audits tierce partie sont réalisés par des organismes d’audit externes et
indépendants, tels que ceux qui délivrent l’enregistrement ou la certification de conformité (3.21) ou des organismes
publics et des autorités de réglementation.
[SOURCE: ISO 9000:2026, 3.12.1, modifié — “documenté” et “preuves” ont été ajoutés à la définition. Les
notes à l’article ont été remplacées.]
3.2
audit combiné
audit (3.1) réalisé simultanément auprès d’un seul audité (3.14) sur deux systèmes de management (3.19) ou
plus
[SOURCE: ISO 9000:2026, 3.12.2, modifié — La Note 1 à l’article a été supprimée.]

3.3
audit conjoint
audit (3.1) réalisé auprès d’un seul audité (3.14) par deux organismes d’audit ou plus
[SOURCE: ISO 9000:2026, 3.12.3]
3.4
méthode d’audit à distance
méthode utilisée pour mener des activités d’audit à partir de n’importe quel endroit autre que le site de
l’audité (3.14)
Note 1 à l'article: Les méthodes d’audit à distance peuvent être utilisées conjointement avec des méthodes sur site
pour réaliser un audit (3.1) complet et efficace.
Note 2 à l'article: Les méthodes d’audit à distance peuvent être utilisées pour des lieux virtuels, c’est-à-dire là où un
organisme réalise un travail ou fournit un service en utilisant un environnement en ligne, permettant à des personnes
d’exécuter les processus (3.25), quel que soit le lieu physique.
Note 3 à l'article: Les méthodes d’audit à distance peuvent être utilisées par l’auditeur (3.16) sur un site de l’audité pour
auditer un autre site.
[SOURCE: ISO/IEC TS 17012:2024, 3.1]
3.5
programme d’audit
dispositions relatives à un ensemble d’un ou plusieurs audits (3.1) planifié pour une durée spécifique et
dirigé dans un but spécifique
3.6
champ de l’audit
étendue et limites d’un audit (3.1)
Note 1 à l'article: Le champ de l’audit décrit généralement les sites physiques et virtuels (voir 3.4, Note 2 à l’article), les
fonctions, les unités organisationnelles, les activités et les processus (3.25) ainsi que la période couverte.
3.7
plan d’audit
description des activités et des dispositions nécessaires pour réaliser un audit (3.1)
3.8
critères d’audit
ensemble d’exigences (3.24) utilisées comme référence vis-à-vis de laquelle les preuves objectives (3.9) sont
comparées
Note 1 à l'article: Si les critères d’audit sont des exigences légales (y compris statutaires ou réglementaires), les termes
“conformité” et “non-conformité” sont souvent utilisés dans un constat d’audit (3.11).
Note 2 à l'article: Les exigences peuvent comprendre des politiques, des procédures, des instructions de travail, des
exigences légales, des obligations contractuelles, des normes sectorielles, etc.
3.9
preuves objectives
données démontrant l’existence ou la véracité de quelque chose
Note 1 à l'article: Les preuves objectives peuvent être obtenues par observation, mesure, essai ou par un autre moyen.
[SOURCE: ISO 9000:2026, 3.8.6, modifié — La Note 2 à l’article a été supprimée.]
3.10
preuves d’audit
enregistrements, énoncés de faits ou autres informations pertinents pour les critères d’audit (3.8)
et vérifiables
3.11
constat d’audit
résultats de l’évaluation des preuves d’audit (3.10) recueillies, par rapport aux critères d’audit (3.8)
Note 1 à l'article: Les constats d’audit indiquent la conformité (3.21) ou la non-conformité (3.22).
Note 2 à l'article: Les constats d’audit peuvent conduire à l’identification des risques (3.20), des opportunités
d’amélioration ou à la consignation des bonnes pratiques.
Note 3 à l'article: Si les critères d’audit sont choisis parmi les exigences légales ou les exigences réglementaires, le
constat d’audit est appelé “conformité” ou “non-conformité”.
3.12
conclusion d’audit
résultat d’un audit (3.1), après avoir pris en considération les objectifs de l’audit et tous les constats d’audit
(3.11)
3.13
client de l’audit
organisme ou personne demandant un audit (3.1)
Note 1 à l'article: Dans le cas d’un audit interne, le client de l’audit peut également être l’audité (3.14) ou la ou les
personnes responsables du pilotage du programme d’audit (3.5). Les demandes d’audit externe peuvent provenir de
sources telles que des autorités de réglementation, des parties contractantes ou des clients potentiels ou existants.
[SOURCE: ISO 9000:2026, 3.12.4, modifié — La Note 1 à l’article a été ajoutée.]
3.14
audité
organisme dans son ensemble ou parties de celui-ci qui sont audités
3.15
équipe d’audit
une ou plusieurs personnes réalisant un audit (3.1), assistées, si nécessaire, par des experts techniques (3.17)
Note 1 à l'article: Un auditeur (3.16) de l’équipe d’audit est nommé responsable de l’équipe d’audit.
Note 2 à l'article: L’équipe d’audit peut comprendre des auditeurs en formation.
3.16
auditeur
personne qui réalise un audit (3.1)
3.17
expert technique
personne apportant à l’équipe d’audit (3.15) des connaissances ou une expertise spécifiques
Note 1 à l'article: Ces connaissances ou cette expertise spécifiques se rapportent à l’organisme, à l’activité, au processus
(3.25) au produit, au service, au domaine à auditer, à la langue ou à la culture.
Note 2 à l'article: Au sein de l’équipe d’audit, un expert technique n’agit pas en tant qu’auditeur (3.16).
3.18
observateur
personne qui accompagne l’équipe d’audit (3.15), mais qui n’agit pas en tant qu’auditeur (3.16) ni expert
technique (3.17)
3.19
système de management
ensemble d’éléments corrélés ou en interaction d’un organisme utilisés pour établir des politiques et des
objectifs, ainsi que des processus (3.25) de façon à atteindre ces objectifs
Note 1 à l'article: Un système de management peut aborder un seul ou plusieurs domaines, par exemple management
de la qualité, gestion financière ou management environnemental.

Note 2 à l'article: Les éléments du système de management comprennent la structure, les rôles et responsabilités, la
planification, le fonctionnement de l’organisme, les politiques, les pratiques, les règles, les convictions, les objectifs et
les processus permettant d’atteindre ces objectifs.
Note 3 à l'article: Le périmètre d’un système de management peut comprendre l’ensemble de l’organisme, des fonctions
ou des sections spécifiques et identifiées de l’organisme, ou une ou plusieurs fonctions dans un groupe d’organismes.
[SOURCE: ISO 9000:2026, 3.4.2, modifié — Des exemples ont été ajoutés dans la Note 1 de l’article. La Note 2
de l’article été développée. Les Notes 3 et 4 à l’article ont été supprimées.]
3.20
risque
effet de l’incertitude
Note 1 à l'article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2 à l'article: L’incertitude est l’état, même partiel, de manque d’information qui entrave la compréhension ou la
connaissance d’un événement, de ses conséquences ou de sa vraisemblance.
Note 3 à l'article: Un risque est souvent caractérisé par référence à des événements potentiels et à des conséquences
potentielles, ou par référence à une combinaison des deux.
Note 4 à l'article: Un risque est souvent exprimé en termes de combinaison des conséquences d’un événement (y
compris des changements de circonstances) et de la vraisemblance de son occurrence.
[SOURCE: ISO 9000:2026, 3.7.2, modifié — La Note 5 à l’article a été supprimée.]
3.21
conformité
satisfaction d’une exigence (3.24)
[SOURCE: ISO 9000:2026, 3.5.9, modifié — La Note 1 à l’article a été supprimée.]
3.22
non-conformité
non-satisfaction d’une exigence (3.24)
[SOURCE: ISO 9000:2026, 3.5.13]
3.23
compétence
aptitude à mettre en pratique des connaissances et des savoir-faire pour obtenir les résultats attendus
[SOURCE: ISO 9000:2026, 3.10.6]
3.24
exigence
besoin ou attente formulé(e), généralement implicite ou obligatoire
Note 1 à l'article: “Généralement implicite” signifie qu’il est habituel ou courant, pour l’organisme et les parties
intéressées, que le besoin ou l’attente en question soit implicite.
Note 2 à l'article: Une exigence spécifiée est une exigence formulée, par exemple une information documentée.
[SOURCE: ISO 9000:2026, 3.5.1, modifié — Les Notes 3, 4 et 5 à l’article ont été supprimées.]
3.25
processus
ensemble d’activités corrélées ou en interaction qui utilise ou transforme des éléments d’entrée pour
produire un résultat attendu
[SOURCE: ISO 9000:2026, 3.3.1, modifié — “ou transforme” a été supprimé et “attendu” a été ajouté dans la
définition. Les notes à l’article ont été supprimées.]

3.26
performance
résultat mesurable
Note 1 à l'article: Les performances peuvent être liées à des résultats quantitatifs ou qualitatifs.
Note 2 à l'article: Les performances peuvent concerner la gestion d’activités, de processus (3.25), de produits, de
services, de systèmes ou d’organismes.
[SOURCE: ISO 9000:2026, 3.7.3]
3.27
efficacité
niveau de réalisation des activités planifiées et des résultats attendus
[SOURCE: ISO 9000:2026, 3.7.17]
4 Principes de l’audit
4.1 Généralités
L’audit est caractérisé par le respect d’un certain nombre de principes. Il convient que ces principes fassent
de l’audit un outil efficace et fiable sur lequel la direction peut s’appuyer pour gérer ses politiques et mesures
de maîtrise en fournissant des informations à partir desquelles l’organisme peut agir pour améliorer ses
performances. Le respect de ces principes est fondamental pour fournir des conclusions d’audit qui soient
pertinentes et suffisantes, et pour que des auditeurs travaillant indépendamment les uns des autres
parviennent à des conclusions similaires dans des circonstances similaires.
Les lignes directrices données dans l’Article 5 à l’Article 7 sont fondées sur les sept principes décrits dans 4.2
à 4.8.
4.2 Déontologie
La déontologie est le fondement du professionnalisme.
Il convient que les auditeurs et la ou les personnes responsables du pilotage du programme d’audit:
a) réalisent leurs tâches de manière éthique, avec honnêteté et responsabilité;
b) réalisent des activités d’audit uniquement s’ils ont les compétences requises;
c) réalisent leurs tâches en toute impartialité, c’est-à-dire qu’ils restent justes et sans parti pris dans toutes
leurs actions;
d) soient sensibilisés à toutes les influences que peuvent exercer d’autres parties intéressées sur leur
jugement pendant la réalisation d’un audit.
4.3 Restitution impartiale
La restitution impartiale est l’obligation de rendre compte de manière sincère et précise.
Il convient que les constats d’audit, conclusions d’audit et rapports d’audit reflètent de manière sincère et
précise les activités d’audit. Il convient de consigner les obstacles importants rencontrés pendant l’audit et
les divergences d’opinions non résolues entre l’équipe d’audit et l’audité. Il convient que la communication
soit sincère, précise, objective, opportune, claire et complète.
4.4 Conscience professionnelle
La conscience professionnelle est l’attitude diligente et avisée au cours de l’audit.

Il convient que les auditeurs agissent indépendamment de l’importance des tâches qu’ils réalisent et la
confiance que leur ont accordée le client de l’audit et les autres parties intéressées. La qualité essentielle
pour réaliser leurs tâches avec conscience professionnelle réside dans la capacité de prendre des décisions
avisées dans toutes les situations d’audit.
4.5 Confidentialité
La confidentialité est la sécurité et la confidentialité des informations.
Il convient que les auditeurs utilisent avec précaution les informations acquises au cours de leurs missions.
Il convient que les informations d’audit ne soient pas utilisées de manière inappropriée au seul bénéfice
de l’auditeur ou du client de l’audit ou de manière qui pourrait porter préjudice aux intérêts légitimes de
l’audité. Ce concept comprend le traitement correct des informations sensibles ou confidentielles.
4.6 Indépendance
L’indépendance est le fondement de l’impartialité de l’audit et de l’objectivité des conclusions d’audit.
Il convient que les auditeurs soient indépendants de l’activité auditée dans la mesure du possible et agissent
dans tous les cas d’une manière dénuée de parti pris et de conflits d’intérêts. Il convient que les auditeurs
conservent un état d’esprit objectif tout au long du processus d’audit pour s’assurer que les constats d’audit
et conclusions d’audit sont uniquement fondés sur les preuves d’audit.
Lorsqu’il est impossible pour les auditeurs internes d’être indépendants de l’activité auditée, il convient de
s’efforcer d’établir des relations sans parti pris et de créer un climat d’objectivité.
4.7 Approche fondée sur la preuve
L’approche fondée sur la preuve est la méthode rationnelle pour parvenir à des conclusions d’audit fiables et
reproductibles dans un processus d’audit systématique.
Il convient que les preuves d’audit soient vérifiables. Il convient qu’elles s’appuient sur des échantillons des
informations disponibles, dans la mesure où un audit est réalisé pendant une durée spécifiée et avec des
ressources délimitées. Il convient d’utiliser l’échantillonnage de manière appropriée, dans la mesure où
cette utilisation est étroitement liée à la confiance qui peut être accordée aux conclusions d’audit.
4.8 Approche par les risques
L’approche par les risques est l’approche d’audit prenant en considération les risques et les opportunités.
Il convient que l’approche par les risques ait une influence substantielle sur la planification et la mise en
œuvre du programme d’audit, et la planification, la réalisation et le compte rendu des audits afin de s’assurer
que les audits soient axés sur les questions importantes pour le client de l’audit et de réaliser les objectifs du
programme d’audit.
5 Pilotage d’un programme d’audit
5.1 Généralités
Il convient d’établir un programme d’audit. Il peut inclure des audits prenant en compte une ou plusieurs
normes de systèmes de management ou d’autres exigences, réalisés de manière individuelle ou combinée
(audit combiné).
Il convient que l’étendue d’un programme d’audit tienne compte de la taille et de la nature de l’audité, ainsi
que de la fonctionnalité, de la complexité, du type de risques et opportunités, du périmètre et du niveau de
maturité du ou des systèmes de management à auditer.
La fonctionnalité du système de management peut être encore plus complexe dans le cas de sites multiples
ou lorsque des fonctions importantes sont externalisées.

Il convient de porter une attention particulière lorsque des décisions importantes sont prises ainsi qu’à la
conception, à la planification et à la revue du programme d’audit.
Il convient que le programme d’audit soit adapté à la taille et la complexité de l’organisme.
Pour comprendre le contexte de l’organisme audité, il convient que le programme d’audit tienne compte:
— de ses objectifs;
— de ses enjeux externes et internes pertinents;
— des besoins et attentes des parties intéressées pertinentes;
— de l’application de technologies telles que des outils numériques;
— des exigences en matière de sécurité et de confidentialité des informations.
Lors de l’affectation des ressources et des méthodes au programme d’audit, il convient d’accorder la priorité
aux problématiques qui, au sein d’un système de management, présentent un risque intrinsèque élevé et un
faible niveau de performance.
Il convient d’attribuer la responsabilité du pilotage du programme d’audit à des personnes compétentes
(voir 5.4.2).
Il convient que le programme d’audit comporte les informations et identifie les ressources permettant
de réaliser les audits de façon efficace dans les délais spécifiés. Il est recommandé que ces informations
comprennent:
a) les objectifs du programme d’audit (voir 5.2);
b) les risques et opportunités associés au programme d’audit (voir 5.3) et les actions à mettre en œuvre
pour y faire face;
c) le champ (étendue, limites, lieux) de chaque audit au sein du programme d’audit;
d) le calendrier (nombre/durée/fréquence) des audits;
e) les types d’audit, tels qu’internes ou externes;
f) les critères d’audit;
g) les méthodes d’audit à employer, y compris les méthodes d’audit à distance (voir Article A.16);
h) les critères de sélection de l’équipe d’audit (responsable de l’équipe d’audit, auditeurs et, si nécessaire,
experts techniques);
i) les critères de participation des observateurs, le cas échéant;
j) le contexte de l’organisme fondé sur les enjeux externes et internes;
k) les informations documentées pertinentes.
Certaines de ces informations ne sont pas toujours disponibles tant qu’une planification plus détaillée de
l’audit n’est pas achevée.
Il convient de surveiller et d’évaluer de manière continue la mise en œuvre du programme d’audit (voir 5.6)
afin de s’assurer de la réalisation des objectifs du programme d’audit. Il convient que le programme d’audit
fasse l’objet d’une revue afin de déterminer les besoins de changements et d’éventuelles opportunités
d’améliorations (voir 5.7).
La Figure 1 illustre le logigramme de pilotage d’un programme d’audit.

NOTE 1 Cette figure illustre également l’application du cycle Plan-Do-Check-Act (Planifier-Déployer-Contrôler-
Agir) dans le présent document.
NOTE 2 Les numéros d’articles/paragraphes renvoient aux articles et paragraphes correspondants du présent
document.
NOTE 3 La réalisation du suivi d’audit (voir 6.7) n’est pas toujours applicable, comme illustré par les pointillés.
Figure 1 — Logigramme pour le pilotage d’un programme d’audit et la réalisation d’un audit

5.2 Détermination des objectifs du programme d’audit
Il convient que le client de l’audit s’assure de la détermination des objectifs du programme d’audit permettant
le pilotage de la planification et de la réalisation des audits, et de la mise en œuvre de manière efficace
de ce programme. Il convient que les objectifs du programme d’audit soient cohérents avec l’orientation
stratégique du client de l’audit et son contexte, et étayent les politiques et les objectifs de son système de
management.
Ces objectifs peuvent prendre en compte:
a) les besoins et les attentes des parties intéressées pertinentes, aussi bien externes qu’internes;
b) les caractéristiques et les exigences des processus, produits, services et projets, ai
...

Norme
internationale
Redline version
compare la Quatrième
édition à la Troisième
édition
ISO 19011
Lignes directrices pour l’audit des
systèmes de management
Guidelines for auditing management systems
Numéro de référence
ISO 19011:redline:2026(fr) © ISO 2026

ISO 19011:redline:2026(fr)
INFORMATION SUR LA PRÉSENTE VERSION AVEC MARQUES DE RÉVISION
Le présent document est une version avec marques de révision, publié à titre informatif.
Il a pour objectif d’aider les utilisateurs à identifier les modifications introduites par
rapport à l’édition précédente de la norme.
Les ajouts sont mis en évidence en vert. Les suppressions sont indiquées par un texte barré
en rouge.
Pour les éléments graphiques, les ajouts sont signalés par un cadre vert, et les suppressions
par une croix rouge.
Les numéros d’articles et de titres contenant des modifications sont surlignés en jaune
dans le Sommaire.
La présente version avec marques de révision n’est pas une norme ISO officielle et ne
remplace pas l’édition publiée en vigueur. Seule l’édition actuelle de la Norme
internationale doit être considérée comme le document officiel.
Marquage utilisé dans la présente version avec marques de révision
Text example 1 texte ajouté (surlignage vert)
Text example 2 texte supprimé (barré en rouge)
graphique ajouté (cadre vert)
graphique supprimé (croix rouge)
1.x . numéros d’articles et de titres modifiés (surlignés en jaune dans le
Sommaire)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2026
Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en œuvre, aucune partie de cette
publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,
y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut
être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Genève
Tél.: +41 22 749 01 11
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii
ISO 19011:redline:2026(fr)
Sommaire Page
Avant-propos .v
Introduction .vii
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes de l’audit . 6
4.1 Généralités .7
4.2 Déontologie .8
4.3 Restitution impartiale .8
4.4 Conscience professionnelle .8
4.5 Confidentialité .8
4.6 Indépendance .8
4.7 Approche fondée sur la preuve .8
4.8 Approche par les risques .9
5 Management Pilotage d’un programme d’audit . 9
5.1 Généralités .9
5.2 Détermination des objectifs du programme d’audit . 13
5.3 Détermination et évaluation des risques et des opportunités du programme d’audit . 13
5.4 Établissement du programme d’audit .14
5.4.1 Rôles et responsabilités de la ou des personnes responsables du management
pilotage du programme d’audit .14
5.4.2 Compétence de la ou des personnes responsables du management pilotage du
programme d’audit . 15
5.4.3 Détermination de l’étendue Établissement de l'étendue du programme d’audit .16
5.4.4 Détermination des ressources du programme d’audit .16
5.5 Mise en œuvre du programme d’audit.17
5.5.1 Généralités .17
5.5.2 Définition des objectifs, du champ et des critères pour chaque audit individuel .18
5.5.3 Choix et détermination des méthodes d’audit .18
5.5.4 Choix des membres de l’équipe d’audit .19
5.5.5 Attribution de la responsabilité d’un audit individuel au responsable de l’équipe
d’audit . 20
5.5.6 Management des résultats du programme d’audit .21
5.5.7 Management et conservation des enregistrements du programme d’audit .21
5.5.7 Gestion des enregistrements liés à l’audit .21
5.6 Surveillance du programme d’audit . 22
5.7 Revue et amélioration du programme d’audit . 22
6 Réalisation d’un audit .23
6.1 Généralités . 23
6.2 Déclenchement de l’audit . 23
6.2.1 Généralités . 23
6.2.2 Prise de contact avec l’audité . 23
6.2.3 Détermination de la faisabilité de l’audit .24
6.3 Préparation des activités d’audit.24
6.3.1 Réalisation d’une de la revue des informations documentées .24
6.3.2 Planification de l’audit . 25
6.3.3 Répartition des tâches au sein de l’équipe d’audit .27
6.3.4 Préparation des informations documentées en vue de l’audit .27
6.4 Réalisation des activités d’audit . . .27
6.4.1 Généralités .27
6.4.2 Attribution des rôles et responsabilités des guides et des observateurs .27
6.4.3 Conduite de la réunion d’ouverture . 28
6.4.4 Communication pendant l’audit . 29

iii
ISO 19011:redline:2026(fr)
6.4.5 Disponibilité et accès Accès aux informations d’audit . 30
6.4.6 Réalisation d’une revue des informations documentées au cours de l’audit . 30
6.4.7 Recueil et vérification des informations . 30
6.4.8 Production de constatations des constats d’audit .32
6.4.9 Détermination des conclusions d’audit .32
6.4.10 Conduite de la réunion de clôture . 33
6.5 Préparation et diffusion du rapport d’audit . 34
6.5.1 Préparation du rapport d’audit. 34
6.5.2 Diffusion du rapport d’audit . 35
6.6 Clôture de l’audit . 35
6.7 Réalisation du suivi d’audit . 35
7 Compétence et évaluation des auditeurs .36
7.1 Généralités . 36
7.2 Déterminer la compétence d’un auditeur .37
7.2.1 Généralités .37
7.2.2 Comportements personnels .37
7.2.3 Connaissances et aptitudes . . 38
7.2.4 Acquisition de la compétence d’auditeur .41
7.2.5 Acquisition de la compétence de responsable d’équipe d’audit .41
7.3 Déterminer les critères d’évaluation des auditeurs .41
7.4 Choisir la méthode d’évaluation des auditeurs appropriée .41
7.5 Réaliser l’évaluation d’un auditeur .42
7.6 Maintien et amélioration de la compétence du ou des auditeurs .42
Annexe A (informative) Lignes directrices supplémentaires destinées aux auditeurs pour la
planification et la réalisation des audits .43
Bibliographie .56

iv
ISO 19011:redline:2026(fr)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes nationaux
de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est en général
confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude a le droit de faire
partie du comité technique créé à cet effet. Les organisations internationales, gouvernementales et non
gouvernementales, en liaison avec l’ISO participent également aux travaux. L’ISO collabore étroitement avec
la Commission électrotechnique internationale (IEC) en ce qui concerne la normalisation électrotechnique.
Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont
décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier, de prendre note des différents
critères d’approbation requis pour les différents types de documents ISO. Le présent document a
été rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir
www.iso.org/directives).
L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet
de droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable
de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant les
références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de l’élaboration du
document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de brevets reçues par l’ISO
(voir www.iso.org/brevets).
L’ISO attire l’attention sur le fait que la mise en application du présent document peut entraîner l’utilisation
d’un ou de plusieurs brevets. L’ISO ne prend pas position quant à la preuve, à la validité et à l’applicabilité de
tout droit de brevet revendiqué à cet égard. À la date de publication du présent document, l’ISO n’avait pas
reçu notification qu’un ou plusieurs brevets pouvaient être nécessaires à sa mise en application. Toutefois,
il y a lieu d’avertir les responsables de la mise en application du présent document que des informations
plus récentes sont susceptibles de figurer dans la base de données de brevets, disponible à l’adresse
www.iso.org/brevets. L’ISO ne saurait être tenue pour responsable de ne pas avoir identifié tout ou partie de
tels droits de propriété.
Les appellations commerciales éventuellement mentionnées dans le présent document sont données pour
information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un engagement.
Pour une explication de la nature volontaire des normes, la signification des termes et expressions
spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion de
l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles techniques au
commerce (OTC), voir le lien suivant: www.iso.org/avant-propos.
Le présent document a été élaboré par le comité de projet ISO/PC 302, Lignes directrices pour l’audit des
systèmes de management., en collaboration avec le comité technique CEN/CLC/JTC 1, Critères applicables
aux organismes d’évaluation de la conformité, du Comité européen de normalisation (CEN), conformément à
l’Accord de coopération technique entre l’ISO et le CEN (Accord de Vienne).
Cette troisièmequatrième édition annule et remplace la deuxièmetroisième édition (ISO 19011:20112018),
qui a fait l’objet d’une révision technique.
Les principales différences par rapport à la deuxième éditionmodifications sont les suivantes:
— ajout de l’approche par les risques aux principes de l’audit;
— développement desde lignes directrices relatives au management d’un programme d’audit, y compris le
risque lié au programme d’auditaux méthodes d’audit à distance par l’introduction des lignes directrices
de l’ISO/IEC TS 17012;
— développement des lignes directrices relatives à la réalisation d’un audit, en particulier la section
concernant la planification de l’audit;
— développement des exigences relatives aux compétences générales des auditeurs;
— ajustement de la terminologie pour refléter le processus et non l’objet («chose»);

v
ISO 19011:redline:2026(fr)
— suppression de l’annexe contenant les exigences en matière de compétences pour l’audit de disciplines de
systèmes de management spécifiques (en raison du grand nombre de normes de système de management
individuelles, il ne serait pas pratique d’inclure des exigences en matière de compétences pour toutes les
disciplines);
— développement de l’Annexe A pourafin de fournir des lignes directrices relatives aux (nouveaux) concepts
d’audit tels que le contexte de l’organisme, le leadership et l’engagement, les audits virtuels, la conformité
et la chaîne d’approvisionnementméthodes d’audit à distance et aux sites virtuels.
Il convient que l’utilisateur adresse tout retour d’information ou toute question concernant le présent
document à l’organisme national de normalisation de son pays. Une liste exhaustive desdits organismes se
trouve à l’adresse www.iso.org/fr/members.html.

vi
ISO 19011:redline:2026(fr)
Introduction
Depuis que la deuxièmetroisième édition du présent document a été publiée en 2011 2018, plusieurs
nouvelles normes sur lesnormes de systèmes de management ont été publiées, un grand nombre d’entre
elles ayant dans de nouveaux domaines. La plupart d’entre elles ont une structure commune, des exigences
de basefondamentales identiques et des termes et définitions de base communs. De ce fait, il est nécessaire
d’envisager une approche plus globale de l’audit des systèmes de management et de fournir des lignes
directrices plus générales. Les résultats d’audit peuvent fournir des éléments d’entrée pour l’aspect
analytique de la planification des activités, et peuvent contribuer à l’identification des besoins et activités
d’amélioration.génériques.
Un audit peut être réaliséLe présent document fournit des lignes directrices qui peuvent être appliquées
à l’audit par rapport à une série de critères d’audit (séparément ou en combinaison,) comprenant, sans
toutefois s’y limiter:
— les exigences définiesspécifiées dans une ou plusieurs normes de systèmesystèmes de management;
— les politiques, les processus et les exigences spécifiées par les parties intéressées pertinentesspécifiés
par l’organisme ou toute autre partie intéressée pertinente;
— les exigences légales et réglementaires;
— un ou plusieurs processus dedu système de management définis par l’organisme et/ou d’autres parties;
— le(s) plan(s)Un ou plusieurs plans de système de management se rapportant à la fourniture d’éléments de
sortie spécifiques d’un système de management (par exemple plan qualité, plan de projet).
Le présent document fournit aux organismes de toutes tailles et de tous types des lignes directrices pour
lesdes lignes directrices à l’attention de tous les organismes, quels que soient leur taille et leur type, et pour
des audits de champs et échelles variables, y comprisvariables. Cela inclut ceux réalisés par de grandes
équipes d’audit, généralement dans de grands organismes, et ceux réalisés par des auditeurs uniques, dans
de grands ou petits organismes. Il convient, selon le cas, d’adapter ces lignes directrices au champ, et à la
complexité et à l’échelle du programme d’audit.
Le présent document se concentre sur les audits internes (de première partie) et les audits réalisés par
des organismes auprès de leurs prestataires externes et d’autres parties intéressées externes (de seconde
partie). Le présent document peut également être utile pour des audits externes réalisés à d’autres fins
que la certification par tierce partie d’un système de management. L’ISO/IEC 17021-1 fournit des exigences
relatives à l’audit des systèmes de management en vue d’une certification par tierce partie; toutefois, le
présent document peut fournir des lignes directrices supplémentaires utiles (voir Tableau 1).
Tableau 1 — Différent Différents types d’audits
Audit de première partiePremière Audit de seconde partieSeconde Audit de tierce partieTierce partie
partie partie
Audit interne Audit des prestataires externes Audit en vue d’une certification et/ou
d’une accréditation de certification ou
évaluation d’accréditation
Audit d’autres parties intéressées Audit à des fins légales,
externes par la partie intéressée réglementaires et similaires
externe d’un organisme
L’ISO/IEC TS 17012 répond au besoin croissant de méthodes d’audit à distance. Son objectif est de fournir
des lignes directrices sur la mise en œuvre efficace de méthodes d’audit à distance tout en soutenant les
principes généraux d’audit décrits dans le présent document.
Pour simplifier la lisibilité du présent document, la forme singulière de «“système de management»” est
préférable, le lecteur pouvant. Le lecteur peut toutefois adapter la mise en œuvre des lignes directrices à
sa propre situation particulière. Cela s’applique également à l’utilisation de «personne» et «personnes»,
«auditeur» et «auditeurs»“personne” et “personnes”, “auditeur” et “auditeurs”.

vii
ISO 19011:redline:2026(fr)
Le présent document est destiné à une large gamme d’utilisateurs potentiels parmi lesquels des auditeurs,
des organismes mettant en œuvre des systèmes de management et des organismes devant réaliser des audits
de systèmes de management dans un cadre contractuel ou réglementaire. Les utilisateurslignes directrices
du présent document peuvent cependant appliquer ces lignes directrices pour développerêtre appliquées
aux utilisateurs lors de l’élaboration de leurs propres exigences en matière d’audit.
Les lignes directrices fournies dans le présent document peuvent également être utilisées à des fins
d’autodéclaration et peuvent par ailleurs se révéler utiles aux organismes chargés de la certification du
personnel ou de la formation d’auditeursimpliqués dans la formation, la qualification et la certification de
personnes participant au programme d’audit.
Les lignes directrices fournies dans le présent document se veulent flexibles. Comme indiqué à différentes
reprises dans le texte, l’utilisation de ces lignes directrices peut varier selon la taille et le niveau de maturité
du système de management de l’organisme. Il convient également de prendre en considération la nature et la
complexité de l’organisme à auditer, ainsi que les objectifs et le champ des audits à réaliser.
Le présent document adopte le principe d’audit combiné lorsque deux ou plusieurs systèmes de management
de disciplines différentes sont audités ensemble. Les principes et les processus d’audit sont identiques à ceux
applicables à un audit combiné (parfois appelé “audit intégré”) lorsque les systèmes définis sont intégrés
dans un système de management unique.
Le présent document fournit des lignes directrices sur le management d’un programme d’audit, la
planification et la réalisation d’audits de systèmes de management, ainsi que sur la compétence et l’évaluation
d’un auditeur et d’une équipe d’audit.

viii
ISO 19011:redline:2026(fr)
Lignes directrices pour l’audit des systèmes de management
1 Domaine d’application
Le présent document fournitdonne des lignes directrices sur l’audit de systèmes de management,
comprenant les principes de l’audit, le managementpilotage d’un programme d’audit et la réalisation d’audits
de systèmes de management. ElleIl donne également des lignes directrices sur l’évaluation de la compétence
des personnes impliquées dans le processus d’audit. Ces activités concernent le(s) responsable(s) du
managementpersonnes incluent les responsables du pilotage du programme d’audit, les auditeurs et les
équipes d’audit.
Il est applicable à tous les organismes qui doivent planifier et réaliser des audits internes ou externes de
systèmes de management ou managerpiloter un programme d’audit.
Le présent document peut, en principe, s’appliquer à d’autres types d’audits, à condition toutefois d’accorder
une attention toute particulière aux compétences spécifiques requises et aux objectifs à atteindre.
2 Références normatives
Le présent document ne contient aucune référence normative.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en normalisation,
consultables aux adresses suivantes:
— ISO Online browsing platform: disponible à l’adresse https:// www .iso .org/ obphttps:// www .iso .org/ obp
— IEC Electropedia: disponible à l’adresse httphttps:// www .electropedia .org/
3.1
audit
processus méthodique processus (3.25) systématique, indépendant et documenté, permettant d’obtenir
visant à obtenir des preuves objectives (3.83.9) et de à les évaluer de manière objective pour déterminer dans
quelle mesure les critères d’audit (3.73.8) sont satisfaits
Note 1 à l'article: Les audits internes, parfois appelés audits de première partie, sont réalisés par, l’organisme lui-
même ou pour le compte de l’organisme lui-même celui-ci.
Note 2 à l'article: Les audits externes comprennent les audits appelés généralement audits de seconde et de tierce
partie. Les audits de seconde partie sont réalisés par des parties ayant un intérêt à l’égard de l’organisme, comme les
clients ou d’autres personnes agissant en leur nom. Les audits de tierce partie sont réalisés par des organismes d’audit
externes et indépendants, tels que ceux qui octroient délivrent l’enregistrement ou la certification de conformité
conformité (3.21) ou des organismes publics et des autorités de réglementation.
[SOURCE: ISO 9000:2015, 3.13.1, modifiée — les Notes à 2026, 3.12.1, modifié — “documenté” et “preuves”
ont été ajoutés à la définition. Les notes à l’article ont été modifiées remplacées.]

ISO 19011:redline:2026(fr)
3.2
audit combiné
audit (3.1) réalisé simultanément auprès d’un seul audité (3.183.14) sur deux systèmes de management (3.19)
ou plus
Note 1 à l'article: Lorsque deux ou plusieurs systèmes de management spécifiques à une discipline sont intégrés dans
un seul système de management, on parle de système de management intégré.
[SOURCE: ISO 9000:2015, 3.13.2, modifiée]
[SOURCE: ISO 9000:2026, 3.12.2, modifié — La Note 1 à l’article a été supprimée.]
3.3
audit conjoint
audit (3.1) réalisé auprès d’un seul audité (3.133.14) par deux organismes d’audit ou plus
[SOURCE: ISO 9000:2015, 3.13.3 2026, 3.12.3]
3.4
méthode d’audit à distance
méthode utilisée pour mener des activités d’audit à partir de n’importe quel endroit autre que le site de
l’audité (3.14)
Note 1 à l'article: Les méthodes d’audit à distance peuvent être utilisées conjointement avec des méthodes sur site
pour réaliser un audit (3.1) complet et efficace.
Note 2 à l'article: Les méthodes d’audit à distance peuvent être utilisées pour des lieux virtuels, c’est-à-dire là où un
organisme réalise un travail ou fournit un service en utilisant un environnement en ligne, permettant à des personnes
d’exécuter les processus (3.25), quel que soit le lieu physique.
Note 3 à l'article: Les méthodes d’audit à distance peuvent être utilisées par l’auditeur (3.16) sur un site de l’audité pour
auditer un autre site.
[SOURCE: ISO/IEC TS 17012:2024, 3.1]
3.4
3.5
programme d’audit
dispositions relatives à un ensemble d’un ou plusieurs audits (3.1) planifié pour une durée spécifique et
dirigé dans un but spécifique
[SOURCE: ISO 9000:2015, 3.13.4, modifiée — des mots ont été ajoutés à la définition]
3.5
3.6
champ de l’audit
étendue et limites d’un audit (3.1)
Note 1 à l'article: Le champ de l’audit décrit généralement les lieux sites physiques et virtuels (voir 3.4, Note 2 à
l’article), les fonctions, les unités organisationnelles, les activités et les processus processus (3.25) ainsi que la période
de temps couverte.
Note 2 à l'article: Un lieu virtuel est un lieu où un organisme réalise un travail ou fournit un service en utilisant un
environnement en ligne permettant à des personnes d’exécuter les processus quel que soit le lieu physique.
[SOURCE: ISO 9000:2015, 3.13.5, modifiée — la Note 1 à l’article a été modifiée, la Note 2 à l’article a été
ajoutée]
3.6
3.7
plan d’audit
description des activités et des dispositions nécessaires pour réaliser un audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.6]

ISO 19011:redline:2026(fr)
3.7
3.8
critères d’audit
ensemble d’exigences (3.233.24) utilisées comme référence vis-à-vis de laquelle les preuves objectives (3.83.9)
sont comparées
Note 1 à l'article: Si les critères d’audit sont des exigences légales (y compris statutaires ou réglementaires), les termes
«conformité» et « “conformité” et “non-conformité» ” sont souvent utilisés dans les un constatationsconstat d’audit
(3.103.11).
Note 2 à l'article: Les exigences peuvent comprendre des politiques, des procédures, des instructions de travail, des
exigences légales, des obligations contractuelles, des normes sectorielles, etc.
[SOURCE: ISO 9000:2015, 3.13.7, modifiée — la définition a été modifiée et les Notes 1 et 2 à l’article ont été
ajoutées]
3.8
3.9
preuves objectives
données démontrant l’existence ou la véracité de quelque chose
Note 1 à l'article: Les preuves objectives sont peuvent être obtenues par observation, mesure, essai ou par un autre
moyen.
Note 2 à l'article: Dans le cadre d’un audit (3.1), les preuves objectives consistent généralement en enregistrements,
énoncés de faits ou d’autres informations pertinents pour les critères d’audit (3.7) et vérifiables.
[SOURCE: ISO 9000:2015, 3.8.3 2026, 3.8.6, modifié — La Note 2 à l’article a été supprimée.]
3.9
3.10
preuves d’audit
enregistrements, énoncés de faits ou autres informations pertinents pour les critères d’audit (3.73.8)
et vérifiables
[SOURCE: ISO 9000:2015, 3.13.8]
3.10
3.11
constatations constat d’audit
résultats de l’évaluation des preuves d’audit (3.93.10) recueillies, par rapport aux critères d’audit (3.73.8)
Note 1 à l'article: Les constatations constats d’audit indiquent la conformité (3.203.21) ou la non-conformité (3.213.22).
Note 2 à l'article: Les constatations constats d’audit peuvent conduire à l’identification des risques (3.20), des
opportunités d’amélioration ou à la consignation des bonnes pratiques.
Note 3 à l'article: En anglais, si Si les critères d’audit sont choisis parmi les exigences légales ou les exigences
réglementaires, la constatation d’audit est qualifiée de «compliance» ou «non-compliance» le constat d’audit est appelé
“conformité” ou “non-conformité”.
[SOURCE: ISO 9000:2015, 3.13.9, modifiée — les Notes 2 et 3 à l’article ont été modifiées]
3.11
3.12
conclusions conclusion d’audit
résultat d’un audit (3.1), après avoir pris en considération les objectifs de l’audit et toutes tous les
constatationsconstats d’audit (3.103.11)
[SOURCE: ISO 9000:2015, 3.13.10]

ISO 19011:redline:2026(fr)
3.12
3.13
client de l’audit
organisme ou personne demandant un audit (3.1)
Note 1 à l'article: Dans le cas d’un audit interne, le client de l’audit peut également être l’ audité (3.13)l’audité (3.14)
ou la (les) personne(s) qui gère(nt) le programme d’audit ou les personnes responsables du pilotage du programme
d’audit (3.5). Les demandes d’audit externe peuvent provenir de sources telles que des autorités de réglementation,
des parties contractantes ou des clients potentiels ou existants.
[SOURCE: ISO 9000:2015, 3.13.11, modifiée — la 2026, 3.12.4, modifié — La Note 1 à l’article a été ajoutée.]
3.13
3.14
audité
organisme dans son ensemble ou parties de celui-ci qui sont audités
[SOURCE: ISO 9000:2015, 3.13.12, modifiée]
3.14
3.15
équipe d’audit
une ou plusieurs personnes réalisant un audit (3.1), assistées, si nécessaire, par des experts techniques
(3.163.17)
Note 1 à l'article: Un auditeur (3.153.16) de l’ équipe d’audit (3.14)l’équipe d’audit est nommé responsable de l’équipe
d’audit.
Note 2 à l'article: L’équipe d’audit peut comprendre des auditeurs en formation.
[SOURCE: ISO 9000:2015, 3.13.14]
3.15
3.16
auditeur
personne qui réalise un audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.15]
3.16
3.17
expert technique
personne apportant à l’équipe d’audit (3.143.15) des connaissances ou une expertise spécifiques
Note 1 à l'article: Ces connaissances ou cette expertise spécifiques se rapportent à l’organisme, à l’activité, au processus,
processus (3.25) au produit, au service ou , au domaine à auditer, ou elles consistent en une assistance linguistique ou
culturelle à la langue ou à la culture.
Note 2 à l'article: Au sein de l’ équipe d’audit (3.14)l’équipe d’audit, un expert technique n’agit pas en tant qu’auditeur
(3.153.16).
[SOURCE: ISO 9000:2015, 3.13.16, modifiée — les Notes 1 et 2 à l’article ont été modifiées]
3.17
3.18
observateur
personne qui accompagne l’équipe d’audit (3.143.15), mais qui n’agit pas en tant qu’auditeur (3.153.16) ni
expert technique (3.17)
[SOURCE: ISO 9000:2015, 3.13.17, modifiée]

ISO 19011:redline:2026(fr)
3.18
3.19
système de management
ensemble d’éléments corrélés ou en interaction d’un organisme utilisés pour établir des politiques, et des
objectifs et , ainsi que des processus (3.243.25) de façon à atteindre lesdits ces objectifs
Note 1 à l'article: Un système de management peut traiter d’un aborder un seul ou de plusieurs domaines, par exemple
management de la qualité, gestion financière ou management environnemental.
Note 2 à l'article: Les éléments du système de management comprennent la structure, les rôles et responsabilités, la
planification, le fonctionnement de l’organisme, les politiques, les pratiques, les règles, les convictions, les objectifs et
les processus permettant d’atteindre ces objectifs.
Note 3 à l'article: Le périmètre d’un système de management peut comprendre l’ensemble de l’organisme, des fonctions
ou des sections spécifiques et identifiées de l’organisme, ou une ou plusieurs fonctions dans un groupe d’organismes.
[SOURCE: ISO 9000:2015, 3.5.3, modifiée — la Note 2026, 3.4.2, modifié — Des exemples ont été ajoutés dans
la Note 1 de l’article. La Note 2 de l’article été développée. Les Notes 3 et 4 à l’article a été supprimée ont été
supprimées.]
3.19
3.20
risque
effet de l’incertitude
Note 1 à l'article: Un effet est un écart, positif ou négatif, par rapport à une attente.
Note 2 à l'article: L’incertitude est l’état, même partiel, de manque d’information qui entrave la compréhension ou la
connaissance d’un événement, de ses conséquences ou de sa vraisemblance.
Note 3 à l'article: Un risque est souvent caractérisé par référence à des événements potentiels (tels que définis dans le
Guide ISO 73:2009, 3.5.1.3) et à des conséquences également potentielles (telles que définies dans le Guide ISO 73:2009,
3.6.1.3) potentielles, ou par référence à une combinaison des deux.
Note 4 à l'article: Un risque est souvent exprimé en termes de combinaison des conséquences d’un événement
(y compris des changements de circonstances) et de la vraisemblance de son occurrence (telle que définie dans le
Guide ISO 73:2009, 3.6.1.1) .
[SOURCE: ISO 9000:2015, 3.7.9, modifiée — les Notes 5 et 6 à l’article ont été supprimées]
[SOURCE: ISO 9000:2026, 3.7.2, modifié — La Note 5 à l’article a été supprimée.]
3.20
3.21
conformité
satisfaction d’une exigence (3.233.24)
[SOURCE: ISO 9000:2015, 3.6.11, modifiée — la 2026, 3.5.9, modifié — La Note 1 à l’article a été supprimée.]
3.21
3.22
non-conformité
non-satisfaction d’une exigence (3.233.24)
[SOURCE: ISO 9000:2015, 3.6.9, modifiée — la Note 1 à l’article a été supprimée 2026, 3.5.13]
3.22
3.23
compétence
aptitude à mettre en pratique des connaissances et des savoir-faire pour obtenir les résultats escomptés
attendus
[SOURCE: ISO 9000:2015, 3.10.4, modifiée — les Notes à l’article ont été supprimées 2026, 3.10.6]

ISO 19011:redline:2026(fr)
3.23
3.24
exigence
besoin ou attente formulé(e), généralement implicite ou obligatoire
Note 1 à l'article: « “Généralement implicite» ” signifie qu’il est habituel ou courant, pour l’organisme et les parties
intéressées, que le besoin ou l’attente en question soit implicite.
Note 2 à l'article: Une exigence spécifiée est une exigence formulée, par exemple une information documentée.
[SOURCE: ISO 9000:2015, 3.6.4, modifiée — les 2026, 3.5.1, modifié — Les Notes 3, 4, 5 et 6 et 5 à l’article ont
été supprimées.]
3.24
3.25
processus
ensemble d’activités corrélées ou en interaction qui utilise ou transforme des éléments d’entrée pour
produire un résultat escompté attendu
[SOURCE: ISO 9000:2015, 3.4.1, modifiée — les Notes 2026, 3.3.1, modifié — “ou transforme” a été supprimé
et “attendu” a été ajouté dans la définition. Les notes à l’article ont été supprimées.]
3.25
3.26
performance
résultat mesurable
Note 1 à l'article: Les performances peuvent être liées à des résultats quantitatifs ou qualitatifs.
Note 2 à l'article: Les performances peuvent concerner le management la gestion d’activités, de processus (3.243.25),
de produits, de services, de systèmes ou d’organismes.
[SOURCE: ISO 9000:2015, 3.7.8, modifiée — la Note 3 à l’article a été supprimée 2026, 3.7.3]
3.26
3.27
efficacité
niveau de réalisation des activités planifiées et d’obtention des résultats escomptés attendus
[SOURCE: ISO 9000:2015, 3.7.11, modifiée — la Note 1 à l’article a été supprimée 2026, 3.7.17]
4 Principes de l’audit
L’audit est caractérisé par le respect d’un certain nombre de principes. Il convient que ces principes fassent de
l’audit un outil efficace et fiable sur lequel la direction peut s’appuyer pour gérer ses politiques et contrôles en
fournissant des informations à partir desquelles l’organisme peut agir pour améliorer ses performances. Le
respect de ces principes est indispensable pour que les conclusions d’audit soient pertinentes et suffisantes,
et pour que des auditeurs travaillant indépendamment les uns des autres parviennent à des conclusions
similaires dans des circonstances similaires.
Les lignes directrices données dans les Articles 5 à 7 sont fondées sur les sept principes décrits ci-après.
a) Déontologie: le fondement du professionnalisme
Il convient que les auditeurs et la ou les personnes responsables du management du programme d’audit:
— réalisent leurs tâches de manière éthique, avec honnêteté et responsabilité;
— réalisent des activités d’audit uniquement s’ils ont les compétences requises;
— réalisent leurs tâches en toute impartialité, c’est-à-dire qu’ils restent justes et sans parti pris dans
toutes leurs actions;
ISO 19011:redline:2026(fr)
— soient sensibilisés à toutes les influences que peuvent exercer d’autres parties intéressées sur leur
jugement.
b) Restitution impartiale: l’obligation de rendre compte de manière sincère et précise
Il convient que les constatations, conclusions et rapports d’audit reflètent de manière sincère et précise
les activités d’audit. Il convient de consigner les obstacles importants rencontrés pendant l’audit et
les questions non résolues ou les avis divergents entre l’équipe d’audit et l’audité. Il convient que la
communication soit sincère, précise, objective, opportune, claire et complète.
c) Conscience professionnelle: l’attitude diligente et avisée au cours de l’audit
Il convient que les auditeurs agissent en accord avec l’importance des tâches qu’ils réalisent et la confiance
que leur ont accordée le client de l’audit et les autres parties intéressées. La qualité essentielle pour
réaliser leurs tâches avec conscience professionnelle réside dans la capacité de prendre des décisions
...

Norma Internacional
ISO 19011
Cuarta edición
Directrices para la auditoría de los
2026-05
sistemas de gestión
Guidelines for auditing management systems
Publicado por la Secretaría Central de ISO en Ginebra, Suiza,
como traducción oficial en español avalada por el Translation
Management Group, que ha certificado la conformidad en
relación con las versiones inglesa y francesa.
Número de referencia
DOCUMENTO PROTEGIDO POR COPYRIGHT
© ISO 2026
Todos los derechos reservados. Salvo que se especifique de otra manera o se requiera en el contexto de su implementación, no
puede reproducirse ni utilizarse ninguna parte de esta publicación bajo ninguna forma y por ningún medio, electrónico o mecánico,
incluidos el fotocopiado, o la publicación en Internet o una Intranet, sin la autorización previa por escrito. La autorización puede
solicitarse a ISO en la siguiente dirección o al organismo miembro de ISO en el país del solicitante.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Publicado en Suiza
Versión en español publicada en 2026

Traducción oficial
ii
Índice Página
Prólogo .v
Prólogo de la versión en español.vi
Introducción .vii
1 Objeto y campo de aplicación . 1
2 Referencias normativas . 1
3 Términos y definiciones . 1
4 Principios de auditoría . 5
4.1 Generalidades .5
4.2 Integridad .5
4.3 Presentación imparcial .5
4.4 Debido cuidado profesional .6
4.5 Confidencialidad .6
4.6 Independencia .6
4.7 Enfoque basado en la evidencia .6
4.8 Enfoque basado en el riesgo .6
5 Gestión de un programa de auditoría . 7
5.1 Generalidades .7
5.2 Establecimiento de los objetivos del programa de auditoría .10
5.3 Determinación y evaluación de los riesgos y oportunidades del programa de auditoría .10
5.4 Establecimiento del programa de auditoría .11
5.4.1 Roles y responsabilidades de las personas responsables de la gestión del
programa de auditoría .11
5.4.2 Competencia de las personas responsables de la gestión del programa de
auditoría . 12
5.4.3 Establecimiento del alcance del programa de auditoría . 12
5.4.4 Determinación de los recursos del programa de auditoría . 13
5.5 Implementación del programa de auditoría .14
5.5.1 Generalidades .14
5.5.2 Definición de los objetivos, el alcance y los criterios para una auditoría individual .14
5.5.3 Selección y determinación de los métodos de auditoría . 15
5.5.4 Selección de los miembros del equipo auditor . 15
5.5.5 Asignación de responsabilidades al líder del equipo auditor para una auditoría
individual .16
5.5.6 Gestión de los resultados del programa de auditoría .17
5.5.7 Gestión de registros relacionados con la auditoría .18
5.6 Seguimiento del programa de auditoría .18
5.7 Revisión y mejora del programa de auditoría .19
6 Realización de una auditoría .20
6.1 Generalidades . 20
6.2 Inicio de la auditoría . 20
6.2.1 Generalidades . 20
6.2.2 Establecimiento del contacto con el auditado . 20
6.2.3 Determinación de la viabilidad de la auditoría . 20
6.3 Preparación de las actividades de auditoría .21
6.3.1 Realización de la revisión de la información documentada .21
6.3.2 Planificación de la auditoría .21
6.3.3 Asignación de las tareas al equipo auditor . 23
6.3.4 Preparación de la información documentada para la auditoría . 23
6.4 Realización de las actividades de auditoría . 23
6.4.1 Generalidades . 23
6.4.2 Asignación de los roles y las responsabilidades de los guías y los observadores .24
6.4.3 Realización de la reunión de apertura .24

Traducción oficial
iii
6.4.4 Comunicación durante la auditoría . 25
6.4.5 Acceso a la información de auditoría . 26
6.4.6 Revisión de la información documentada durante la auditoría . 26
6.4.7 Recopilación y verificación de la información . 26
6.4.8 Generación de los hallazgos de la auditoría .27
6.4.9 Determinación de las conclusiones de la auditoría. 28
6.4.10 Realización de la reunión de cierre . 28
6.5 Preparación y distribución del informe de la auditoría . 29
6.5.1 Preparación del informe de la auditoría . 29
6.5.2 Distribución del informe de la auditoría . 30
6.6 Finalización de la auditoría . 30
6.7 Realización de las actividades de seguimiento de la auditoría .31
7 Competencia y evaluación de los auditores.31
7.1 Generalidades .31
7.2 Determinación de la competencia del auditor .32
7.2.1 Generalidades .32
7.2.2 Comportamiento personal .32
7.2.3 Conocimientos y habilidades . 33
7.2.4 Logro de la competencia del auditor . 35
7.2.5 Logro de la competencia del líder del equipo auditor . 36
7.3 Establecimiento de los criterios de evaluación del auditor . 36
7.4 Selección del método apropiado de evaluación del auditor . 36
7.5 Realización de la evaluación del auditor.37
7.6 Mantenimiento y mejora de la competencia del auditor .37
Anexo A (informativo) Orientación adicional destinada a los auditores para planificar y
realizar las auditorías .38
Bibliografía.50

Traducción oficial
iv
Prólogo
ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales
de normalización (organismos miembros de ISO). El trabajo de elaboración de las Normas Internacionales
se lleva a cabo normalmente a través de los comités técnicos de ISO. Cada organismo miembro interesado
en una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado
en dicho comité. Las organizaciones internacionales, gubernamentales y no gubernamentales, vinculadas
con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica
Internacional (IEC) en todos los temas de normalización electrotécnica.
En la Parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar este
documento y aquellos previstos para su mantenimiento posterior. En particular debería tomarse nota de los
diferentes criterios de aprobación necesarios para los distintos tipos de documentos ISO. Este documento
ha sido redactado de acuerdo con las reglas editoriales de la Parte 2 de las Directivas ISO/IEC (véase
www.iso.org/directives).
ISO llama la atención sobre la posibilidad de que la implementación de este documento pueda conllevar el uso
de una o varias patentes. ISO no se posiciona respecto a la evidencia, validez o aplicabilidad de los derechos
de patente reivindicados. A la fecha de publicación de este documento, ISO no había recibido notificación
de que una o varias patentes pudieran ser necesarias para su implementación. No obstante, se advierte a
los usuarios que esta puede no ser la información más reciente, la cual puede obtenerse de la base de datos
de patentes disponible en www.iso.org/patents. ISO no será responsable de la identificación de parte o la
totalidad de dichos derechos de patente.
Cualquier nombre comercial utilizado en este documento es información que se proporciona para comodidad
del usuario y no constituye una recomendación.
Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos específicos de
ISO y las expresiones relacionadas con la evaluación de la conformidad, así como la información acerca de la
adhesión de ISO a los principios de la Organización Mundial del Comercio (OMC) respecto a los Obstáculos
Técnicos al Comercio (OTC), véase www.iso.org/iso/foreword.html.
Este documento ha sido elaborado por el Comité de Proyecto ISO/PC 302, Directrices para la auditoría de los
sistemas de gestión, en colaboración con el Comité Técnico CEN/CLC/JTC 1, Criterios relativos a los organismos
de evaluación de la conformidad, del Comité Europeo de Normalización (CEN), de conformidad con el Acuerdo
de cooperación técnica entre ISO y CEN (Acuerdo de Viena).
Esta cuarta edición anula y sustituye a la tercera edición (ISO 19011:2018) que ha sido revisada técnicamente.
Los cambios principales en comparación con la edición previa son los siguientes:
— ampliación de la orientación sobre métodos de auditoría remota mediante la introducción de la orientación
contenida en la Especificación Técnica ISO/IEC TS 17012;
— ampliación del Anexo A para proporcionar orientación sobre los métodos de auditoría remota y las
ubicaciones virtuales.
Cualquier comentario o pregunta sobre este documento deberían dirigirse al organismo nacional de
normalización del usuario. En www.iso.org/members.html se puede encontrar un listado completo de estos
organismos.
Traducción oficial
v
Prólogo de la versión en español
Este documento ha sido traducido por el Grupo de Trabajo Spanish Translation Task Force (STTF) del Comité
Técnico ISO/CASCO, Comité para la evaluación de la conformidad, en el que participan representantes de
los organismos nacionales de normalización y otras partes interesadas, para lograr la unificación de la
terminología en lengua española en el ámbito de la evaluación de la conformidad.
Este documento ha sido validado por el ISO/TMBG/Spanish Translation Management Group (STMG)
conformado por los siguientes países: Argentina, Bolivia, Chile, Colombia, Costa Rica, Cuba, Ecuador, El
Salvador, España, Guatemala, Honduras, República Dominicana, México, Panamá, Paraguay, Perú y Uruguay.

Traducción oficial
vi
Introducción
Desde la publicación de la tercera edición de este documento en 2018, se han publicado varias normas de
sistemas de gestión en nuevos campos. Muchas de ellas tienen una estructura común, requisitos esenciales,
términos comunes y definiciones esenciales idénticos. Como resultado, es necesario considerar un enfoque
más amplio para la auditoría de los sistemas de gestión, así como proporcionar una orientación más genérica.
Este documento proporciona orientación que puede aplicarse para auditar con respecto a una serie de
criterios de auditoría (de manera separada o combinada) incluyendo, pero sin limitarse a:
— los requisitos especificados en una o más normas de sistemas de gestión;
— las políticas, los procesos y los requisitos especificados por la organización u otras partes interesadas
pertinentes;
— los requisitos legales y reglamentarios;
— uno o más procesos del sistema de gestión definidos por la organización y/o por otras partes;
— los planes de sistemas de gestión relacionados con la provisión de resultados específicos de un sistema
de gestión (por ejemplo, el plan de la calidad, el plan de proyecto).
Este documento proporciona orientación para todas las organizaciones, independientemente de su tamaño
y tipo, y para auditorías de distintos alcances. Esto incluye aquellas realizadas por equipos de auditoría
grandes, típicamente de organizaciones grandes, y aquellas realizadas por auditores individuales, ya sea en
organizaciones grandes o pequeñas. Esta orientación debería adaptarse según sea apropiado al alcance y la
complejidad del programa de auditoría.
Este documento se concentra en las auditorías internas (de primera parte) y las auditorías realizadas por
las organizaciones a sus proveedores externos y a otras partes interesadas externas (de segunda parte).
Este documento también puede ser útil para las auditorías externas realizadas con fines distintos a una
certificación de sistemas de gestión de tercera parte. La Norma ISO/IEC 17021-1 proporciona requisitos para
la auditoría de sistemas de gestión para la certificación de tercera parte; aunque este documento puede
proporcionar orientación adicional de utilidad (véase la Tabla 1).
Tabla 1 — Tipos distintos de auditoría
Primera parte Segunda parte Tercera parte
Auditoría de certificación o evalua-
Auditoría interna Auditoría externa de proveedor
ción de acreditación
Auditoría realizada por la parte interesada Auditoría legal, reglamentaria o
externa de una organización similar
La Especificación Técnica ISO/IEC TS 17012 aborda la necesidad creciente de métodos de auditoría remota.
Su propósito es dar orientación para la implementación eficaz de los métodos de auditoría remota, apoyando
al mismo tiempo los principios generales de auditoría que se señalan en este documento.
Para simplificar la legibilidad de este documento, se prefiere la forma singular de “sistema de gestión”, pero
el lector puede adaptar la implementación de la orientación a su propia situación. Esto también aplica al uso
de “persona” y “personas”, “auditor” y “auditores”.
Se pretende que este documento se aplique a un amplio rango de usuarios potenciales, incluyendo auditores,
organizaciones que implementan sistemas de gestión y organizaciones que necesitan realizar auditorías de
sistemas de gestión por razones contractuales o reglamentarias. La orientación dada en este documento
puede aplicarse por los usuarios al desarrollar sus propios requisitos relacionados con auditorías.
La orientación en este documento también puede usarse con el propósito de la autodeclaración, y puede
ser útil para organizaciones involucradas en la formación, la titulación y la certificación de personas que
participan en el programa de auditoría.

Traducción oficial
vii
La orientación en este documento pretende ser flexible. Como se indica en varios puntos del texto, el uso de
esta orientación puede diferir dependiendo del tamaño y el nivel de madurez del sistema de gestión de una
organización. También deberían considerarse la naturaleza y la complejidad de la organización que se va a
auditar, así como los objetivos y el alcance de las auditorías que se van a realizar.
Este documento adopta el enfoque de auditoría combinada cuando se auditan juntos dos o más sistemas de
gestión de distintas disciplinas. Cuando estos sistemas están integrados en un único sistema de gestión, los
principios y procesos de auditoría son los mismos que para una auditoría combinada (a veces denominada
“auditoría integrada”).
Traducción oficial
viii
Norma Internacional ISO 19011:2026(es)
Directrices para la auditoría de los sistemas de gestión
1 Objeto y campo de aplicación
Este documento da orientación sobre la auditoría de los sistemas de gestión, incluyendo los principios de
la auditoría, la gestión de un programa de auditoría y la realización de auditorías de sistemas de gestión,
así como orientación sobre la evaluación de la competencia de las personas que participan en el proceso
de auditoría. Estas personas incluyen a aquellas responsables de la gestión del programa de auditoría, los
auditores y los equipos auditores.
Es aplicable a todas las organizaciones que necesitan planificar y realizar auditorías de sistemas de gestión
o gestionar un programa de auditoría.
La aplicación de este documento a otros tipos de auditorías es posible, siempre que se preste especial
atención a la competencia específica necesaria y los objetivos a lograr.
2 Referencias normativas
No hay referencias normativas en este documento.
3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones siguientes:
ISO e IEC mantienen bases de datos terminológicas para su utilización en normalización en las siguientes
direcciones:
— Plataforma de búsqueda en línea de ISO: disponible en https:// www .iso .org/ obp
— Electropedia de IEC: disponible en https:// www .electropedia .org/
3.1
auditoría
proceso (3.25) sistemático, independiente y documentado para obtener evidencias objetivas (3.9) y evaluarlas
de manera objetiva con el fin de determinar el grado en el que se cumplen los criterios de auditoría (3.8)
Nota 1 a la entrada: Las auditorías internas, denominadas en algunos casos auditorías de primera parte, se realizan
por la propia organización o en su nombre.
Nota 2 a la entrada: Las auditorías externas incluyen lo que se denomina generalmente auditorías de segunda y tercera
parte. Las auditorías de segunda parte se llevan a cabo por partes que tienen un interés en la organización, tales como
los clientes o por otras personas en su nombre. Las auditorías de tercera parte se llevan a cabo por organizaciones
auditoras independientes, tales como las que otorgan la certificación/registro de conformidad (3.21) o agencias
gubernamentales y autoridades reguladoras.
[FUENTE: ISO 9000:2026, 3.12.1, modificado — Se ha añadido “documentado” y “objetivas” en la definición.
Se han sustituido las Notas a la entrada.]
3.2
auditoría combinada
auditoría (3.1) llevada a cabo conjuntamente a un único auditado (3.14) en dos o más sistemas de gestión
(3.19)
[FUENTE: ISO 9000:2026, 3.12.2, modificado — Se ha eliminado la Nota 1 a la entrada.]

Traducción oficial
3.3
auditoría conjunta
auditoría (3.1) llevada a cabo a un único auditado (3.14) por dos o más organizaciones auditoras
[FUENTE: ISO 9000:2026, 3.12.3]
3.4
método de auditoría remota
método utilizado para realizar actividades de auditoría desde cualquier lugar distinto de la ubicación del
auditado (3.14)
Nota 1 a la entrada: Los métodos de auditoría remota pueden utilizarse en combinación con los métodos in situ para
lograr una auditoría (3.1) completa y eficaz.
Nota 2 a la entrada: Los métodos de auditoría remota pueden utilizarse para ubicaciones virtuales, es decir, cuando
una organización realiza un trabajo o proporciona un servicio utilizando un entorno virtual, lo que permite a las
personas ejecutar procesos (3.25) independientemente de su ubicación física.
Nota 3 a la entrada: Los métodos de auditoría remota pueden ser utilizados por el auditor (3.16) en un sitio del auditado
para auditar otro sitio.
[FUENTE: ISO/IEC TS 17012:2024, 3.1]
3.5
programa de auditoría
acuerdos para un conjunto de una o más auditorías (3.1) planificadas para un periodo de tiempo determinado
y dirigidas hacia un propósito específico
3.6
alcance de la auditoría
extensión y límites de una auditoría (3.1)
Nota 1 a la entrada: El alcance de la auditoría incluye generalmente una descripción de las ubicaciones físicas (véase
3.4, Nota 2 a la entrada) y virtuales, las funciones, las unidades de la organización, las actividades y los procesos (3.25),
así como el periodo de tiempo cubierto.
3.7
plan de auditoría
descripción de las actividades y de los detalles acordados de una auditoría (3.1)
3.8
criterios de auditoría
conjunto de requisitos (3.24) usados como una referencia frente a la cual se compara la evidencia objetiva
(3.9)
Nota 1 a la entrada: Si los criterios de auditoría son requisitos legales (incluyendo los reglamentarios), las palabras
“cumplimiento” o “incumplimiento” se utilizan a menudo en un hallazgo de la auditoría (3.11).
Nota 2 a la entrada: Los requisitos pueden incluir políticas, procedimientos, instrucciones de trabajo, requisitos
legales, obligaciones contractuales, normas de la industria, etc.
3.9
evidencia objetiva
datos que respaldan la existencia o veracidad de algo
Nota 1 a la entrada: La evidencia objetiva puede obtenerse por medio de la observación, medición, ensayo u otros
medios.
[FUENTE: ISO 9000:2026, 3.8.6, modificado — Se ha eliminado la Nota 2 a la entrada.]
3.10
evidencia de la auditoría
registros, declaraciones de hechos o cualquier otra información que sea pertinente para los criterios de
auditoría (3.8) y que es verificable

Traducción oficial
3.11
hallazgo de la auditoría
resultados de la evaluación de la evidencia de la auditoría (3.10) recopilada frente a los criterios de auditoría
(3.8)
Nota 1 a la entrada: Los hallazgos de la auditoría indican conformidad (3.21) o no conformidad (3.22).
Nota 2 a la entrada: Los hallazgos de la auditoría pueden conducir a la identificación de riesgos (3.20), oportunidades
para la mejora o el registro de buenas prácticas.
Nota 3 a la entrada: Si los criterios de auditoría se seleccionan a partir de los requisitos legales o los requisitos
reglamentarios, el hallazgo de la auditoría se denomina “cumplimiento” o “incumplimiento”.
3.12
conclusión de la auditoría
resultado de una auditoría (3.1), tras considerar los objetivos de la auditoría y todos los hallazgos de la
auditoría (3.11)
3.13
cliente de la auditoría
organización o persona que solicita una auditoría (3.1)
Nota 1 a la entrada: En el caso de una auditoría interna, el cliente de la auditoría también puede ser el auditado (3.14) o
las personas que gestionan el programa de auditoría (3.5). Las solicitudes de una auditoría externa pueden provenir de
fuentes como autoridades reguladoras, partes contratantes o clientes existentes o potenciales.
[FUENTE: ISO 9000:2026, 3.12.4, modificado — Se ha añadido la Nota 1 a la entrada.]
3.14
auditado
organización que es auditada en su totalidad o partes
3.15
equipo auditor
una o más personas que llevan a cabo una auditoría (3.1) con el apoyo, si es necesario, de expertos técnicos
(3.17)
Nota 1 a la entrada: A un auditor (3.16) del equipo auditor se le designa como auditor líder del mismo.
Nota 2 a la entrada: El equipo auditor puede incluir auditores en formación.
3.16
auditor
persona que lleva a cabo una auditoría (3.1)
3.17
experto técnico
persona que aporta conocimiento o experiencia específicos al equipo auditor (3.15)
Nota 1 a la entrada: El conocimiento o experiencia específicos son los relacionados con la organización, la actividad,
proceso (3.25), producto, servicio o disciplina a auditar, el idioma o la cultura.
Nota 2 a la entrada: Un experto técnico del equipo auditor no actúa como auditor (3.16).
3.18
observador
persona que acompaña al equipo auditor (3.15) pero que no actúa como un auditor (3.16) ni como un experto
técnico (3.17)
Traducción oficial
3.19
sistema de gestión
conjunto de elementos de una organización interrelacionados o que interactúan para establecer políticas y
objetivos, así como procesos (3.25) para lograr estos objetivos
Nota 1 a la entrada: Un sistema de gestión puede tratar una sola disciplina o varias disciplinas, por ejemplo, gestión de
la calidad, gestión financiera o gestión ambiental.
Nota 2 a la entrada: Los elementos del sistema de gestión establecen la estructura, los roles y las responsabilidades,
la planificación, la operación, las políticas, las prácticas, las reglas y las creencias de la organización, así como sus
objetivos y los procesos para lograr esos objetivos.
Nota 3 a la entrada: El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones
específicas e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más
funciones dentro de un grupo de organizaciones.
[FUENTE: ISO 9000:2026, 3.4.2, modificado — Se han añadido ejemplos en la Nota 1 a la entrada. Se ha
ampliado la Nota 2 a la entrada. Se han eliminado las Notas 3 y 4 a la entrada.]
3.20
riesgo
efecto de la incertidumbre
Nota 1 a la entrada: Un efecto es una desviación de lo esperado, ya sea positivo o negativo.
Nota 2 a la entrada: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la
comprensión o conocimiento de un evento, su consecuencia o su probabilidad.
Nota 3 a la entrada: Con frecuencia el riesgo se caracteriza por referencia a eventos y consecuencias potenciales, o a
una combinación de estos.
Nota 4 a la entrada: Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de un
evento (incluidos cambios en las circunstancias) y la probabilidad asociada de que ocurra.
[FUENTE: ISO 9000:2026, 3.7.2, modificado — Se ha eliminado la Nota 5 a la entrada.]
3.21
conformidad
cumplimiento de un requisito (3.24)
[FUENTE: ISO 9000:2026, 3.5.9]
3.22
no conformidad
incumplimiento de un requisito (3.24)
[FUENTE: ISO 9000:2026, 3.5.13]
3.23
competencia
capacidad para aplicar conocimiento y habilidades con el fin de lograr los resultados previstos
[FUENTE: ISO 9000:2026, 3.10.6]
3.24
requisito
necesidad o expectativa establecida, generalmente implícita u obligatoria
Nota 1 a la entrada: “Generalmente implícita” significa que es habitual o práctica común para la organización y las
partes interesadas que la necesidad o expectativa bajo consideración esté implícita.
Nota 2 a la entrada: Un requisito especificado es el que está declarado, por ejemplo, en información documentada.
[FUENTE: ISO 9000:2026, 3.5.1, modificado — Se han eliminado las Notas 3, 4 y 5 a la entrada.]

Traducción oficial
3.25
proceso
conjunto de actividades interrelacionadas o que interactúan que utilizan entradas para proporcionar un
resultado previsto
[FUENTE: ISO 9000:2026 3.3.1, modificado — Se ha eliminado “o transforman” y se ha añadido “previsto” en
la definición. Se han eliminado las Notas a la entrada.]
3.26
desempeño
resultado medible
Nota 1 a la entrada: El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos.
Nota 2 a la entrada: El desempeño se puede relacionar con la gestión de actividades, procesos (3.25), productos,
servicios, sistemas u organizaciones.
[FUENTE: ISO 9000:2026, 3.7.3]
3.27
eficacia
grado en el que se realizan las actividades planificadas y se logran los resultados planificados
[FUENTE: ISO 9000:2026, 3.7.17]
4 Principios de auditoría
4.1 Generalidades
La auditoría se caracteriza por depender de varios principios. Estos principios deberían ayudar a hacer de
la auditoría una herramienta eficaz y fiable en apoyo de las políticas y controles de gestión, proporcionando
información sobre la cual una organización puede actuar para mejorar su desempeño. La adhesión a esos
principios es fundamental para proporcionar conclusiones de la auditoría que sean pertinentes y suficientes,
y para permitir a los auditores, que trabajan independientemente, alcanzar conclusiones similares en
circunstancias similares.
La orientación dada en los Capítulos 5 a 7 se basa en los siete principios señalados en los apartados 4.2 a 4.8.
4.2 Integridad
La integridad es el fundamento de la profesionalidad.
Los auditores y las personas que gestionan un programa de auditoría deberían:
a) desempeñar su trabajo de forma ética, con honestidad y responsabilidad;
b) emprender actividades de auditoría solo si son competentes para hacerlo;
c) desempeñar su trabajo de manera imparcial, es decir, permanecer ecuánimes y sin sesgo en todas sus
acciones;
d) ser sensibles a cualquier influencia que se pueda ejercer sobre su juicio mientras lleva a cabo una
auditoría.
4.3 Presentación imparcial
La presentación imparcial es la obligación de informar con veracidad y exactitud.
Los hallazgos, conclusiones e informes de la auditoría deberían reflejar con veracidad y exactitud las
actividades de auditoría. Se debería informar de los obstáculos significativos encontrados durante la

Traducción oficial
auditoría y de las opiniones divergentes sin resolver entre el equipo auditor y el auditado. La comunicación
debería ser veraz, exacta, objetiva, oportuna, clara y completa.
4.4 Debido cuidado profesional
El debido cuidado profesional es la aplicación de diligencia y juicio al auditar.
Los auditores deberían proceder con el debido cuidado, independientemente de la importancia de la tarea que
desempeñan y la confianza depositada en ellos por el cliente de la auditoría y por otras partes interesadas.
Un factor importante al realizar su trabajo con el debido cuidado profesional es tener la capacidad de hacer
juicios razonados en todas las situaciones de la auditoría.
4.5 Confidencialidad
La confidencialidad es la seguridad y privacidad de la información.
Los auditores deberían proceder con discreción en el uso y la protección de la información adquirida en el
curso de sus actividades de auditoría. La información de la auditoría no debería usarse inapropiadamente
para beneficio personal del auditor o del cliente de la auditoría, o de modo que perjudique los intereses
legítimos del auditado. Este principio incluye el tratamiento apropiado de la información sensible o
confidencial.
4.6 Independencia
La independencia es la base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la
auditoría.
Los auditores deberían ser independientes de la actividad que se audita siempre que sea posible, y en todos
los casos deberían actuar de una manera libre de sesgo y conflicto de intereses. Los auditores deberían
mantener la objetividad a lo largo del proceso de auditoría para asegurarse de que los hallazgos y las
conclusiones de la auditoría están basados solo en la evidencia de la auditoría.
Cuando no resulte posible que los auditores internos sean independientes de la actividad que se audita,
deberían hacerse todos los esfuerzos para eliminar el sesgo y fomentar la objetividad.
4.7 Enfoque basado en la evidencia
El enfoque basado en la evidencia es el método racional para alcanzar conclusiones de la auditoría fiables y
reproducibles en un proceso de auditoría sistemático.
La evidencia de la auditoría debería ser verificable. Debería basarse en muestras de la información
disponible, ya que una auditoría se lleva a cabo durante una duración especificada y con recursos finitos.
Debería aplicarse un uso apropiado del muestreo, ya que está estrechamente relacionado con la confianza
que puede depositarse en las conclusiones de la auditoría.
4.8 Enfoque basado en el riesgo
El enfoque basado en el riesgo es un enfoque de auditoría que considera los riesgos y oportunidades.
El enfoque basado en el riesgo debería influir sustancialmente en la planificación y la implementación del
programa de auditoría, y en la planificación, la realización y la presentación de informes de auditoría a fin de
asegurar que las auditorías se centran en asuntos que son importantes para el cliente de la auditoría y para
alcanzar los objetivos del programa de auditoría.

Traducción oficial
5 Gestión de un programa de auditoría
5.1 Generalidades
Debería establecerse un programa de auditoría. Este puede incluir auditorías que traten una o más normas
de sistemas de gestión u otros requisitos, realizadas por separado o en combinación (auditoría combinada).
La extensión de un programa de auditoría debería basarse en el tamaño y la naturaleza del auditado, así
como en la funcionalidad, la complejidad, el tipo de riesgos y oportunidades, el alcance y el nivel de madurez
de los sistemas de gestión que se van a auditar.
La funcionalidad del sistema de gestión puede ser aún más compleja en el caso de múltiples ubicaciones o
cuando hay funciones importantes contratadas externamente.
Debería prestarse especial atención a dónde se toman las decisiones importantes y al diseño, planificación y
revisión del programa de auditoría.
El programa de auditoría debería adaptarse de acuerdo con el tamaño y la complejidad de la organización.
A fin de comprender el contexto del auditado, el programa de auditoría debería tener en cuenta los siguientes
aspectos de la organización:
— los objetivos organizacionales;
— las cuestiones externas e internas pertinentes;
— las necesidades y expectativas de las partes interesadas pertinentes;
— la aplicación de tecnología, como herramientas digitales;
— los requisitos de seguridad y confidencialidad de la información.
A la hora de asignar recursos y métodos al programa de auditoría, debería darse prioridad a los asuntos del
sistema de gestión con mayor riesgo inherente y menores niveles de desempeño.
Deberían asignarse personas competentes para gestionar el programa de auditoría (véase 5.4.2).
El programa de auditoría debería incluir la información e identificar los recursos que permitan que las
auditorías se realicen de forma eficaz dentro de los periodos de tiempo especificados. Esta información
debería incluir lo siguiente:
a) los objetivos del programa de auditoría (véase 5.2);
b) los riesgos y oportunidades asociados con el programa de auditoría (véase 5.3) y las acciones para
abordarlos;
c) el alcance (extensión, límites, ubicaciones) de cada auditoría dentro del programa de auditoría;
d) el calendario (número/duración/frecuencia) de las auditorías;
e) los tipos de auditoría, tales como internas o externas;
f) los criterios de auditoría;
g) los métodos de auditoría a emplear, incluyendo los métodos de auditoría remota (véase el Capítulo A.16);
h) los criterios para seleccionar al equipo auditor (líder del equipo auditor, auditores y, según sea necesario,
expertos técnicos);
i) los criterios para la participación de observadores, según sea pertinente;
j) el contexto de la organización sobre la base de cuestiones externas e internas;
k) la información documentada pertinente.

Traducción oficial
Parte de esta información no siempre está disponible hasta que se completa una planificación de auditoría
más detallada.
La implementación del programa de auditoría debería seguirse y evaluarse, de manera continua (véase 5.6),
para asegurarse de que se han alcanzado los objetivos de su programa de auditoría. El programa de auditoría
debería revisarse a fin de determinar la necesidad de cambios y posibles oportunidades para la mejora
(véase 5.7).
La Figura 1 ilustra el flujo del proceso para la gestión de un programa de auditoría.

Traducción oficial
NOTA 1 Esta figura ilustra la aplicación del ciclo Planificar-Hacer-Verificar-Actuar en este documento.
NOTA 2 La numeración de los capítulos/apartados hace referencia a los capítulos/apartados pertinentes de este
documento.
NOTA 3 La realización de las acti
...

Norma Internacional
Redline version
compara la Cuarta
edición con la Tercera
edición
ISO 19011
Directrices para la auditoría de los
sistemas de gestión
Guidelines for auditing management systems
Publicado por la Secretaría Central de ISO en Ginebra, Suiza,
como traducción oficial en español avalada por el Translation
Management Group, que ha certificado la conformidad en
relación con las versiones inglesa y francesa.
Número de referencia
ISO 19011:redline:2026(es) © ISO 2026

ISO 19011:redline:2026(es)
INFORMACIÓN SOBRE ESTA VERSIÓN CON MARCAS DE REVISIÓN
Este documento es una versión con marcas de revisión, publicada a título informativo. Su
objetivo es ayudar a los usuarios a identificar los cambios introducidos con respecto a la
edición anterior de la norma.
Las adiciones se resaltan en verde.
Las eliminaciones se indican con texto tachado en rojo.
En los elementos gráficos, las adiciones se señalan con un recuadro verde y las
eliminaciones con una cruz roja.
Los números y títulos de los capítulos que contienen modificaciones se resaltan en amarillo
en el índice de contenidos.
Esta versión con marcas de revisión no es una norma ISO oficial y no sustituye a la
edición publicada vigente. Solo la edición actual de la Norma Internacional debe
considerarse como el documento oficial.
Marcado utilizado en esta versión con marcas de revisión
Ejemplo de texto 1 texto añadido (resaltado en verde)
Text example 2 texto eliminado (tachado en rojo)
gráfico añadido (enmarcado en verde)
gráfico eliminado (cruz roja)
1.x . Números y títulos de los capítulos modificados (resaltados en amarillo
en el índice)
DOCUMENTO PROTEGIDO POR COPYRIGHT
© ISO 2026
Todos los derechos reservados. Salvo que se especifique de otra manera o se requiera en el contexto de su implementación, no
puede reproducirse ni utilizarse ninguna parte de esta publicación bajo ninguna forma y por ningún medio, electrónico o mecánico,
incluidos el fotocopiado, o la publicación en Internet o una Intranet, sin la autorización previa por escrito. La autorización puede
solicitarse a ISO en la siguiente dirección o al organismo miembro de ISO en el país del solicitante.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Email: copyright@iso.org
Website: www.iso.org
Publicado en Suiza
Versión en español publicada en 2026
Traducción oficial
ii
ISO 19011:redline:2026(es)
Índice Página
Prólogo .
Prólogo de la versión en español.
Introducción .
1 Objeto y campo de aplicación .
2 Referencias normativas .
3 Términos y definiciones .
4 Principios de auditoría .
4.1 Generalidades .
4.2 Integridad .
4.3 Presentación imparcial .
4.4 Debido cuidado profesional .
4.5 Confidencialidad .
4.6 Independencia .
4.7 Enfoque basado en la evidencia .
4.8 Enfoque basado en el riesgo .
5 Gestión de un programa de auditoría .
5.1 Generalidades .
5.2 Establecimiento de los objetivos del programa de auditoría .
5.3 Determinación y evaluación de los riesgos y oportunidades del programa de auditoría .
5.4 Establecimiento del programa de auditoría .
5.4.1 Roles y responsabilidades de las personas responsables de la gestión del
programa de auditoría .
5.4.2 Competencia de las personas responsables de la gestión del programa de auditoría .
5.4.3 Establecimiento de la extensión del alcance del programa de auditoría .
5.4.4 Determinación de los recursos del programa de auditoría .
5.5 Implementación del programa de auditoría .
5.5.1 Generalidades .
5.5.2 Definición de los objetivos, el alcance y los criterios para una auditoría individual .
5.5.3 Selección y determinación de los métodos de auditoría .
5.5.4 Selección de los miembros del equipo auditor .
5.5.5 Asignación de responsabilidades al líder del equipo auditor para una auditoría
individual .
5.5.6 Gestión de los resultados del programa de auditoría .
5.5.7 Gestión y conservación de los registros del programa de registros relacionados
con la auditoría .
5.6 Seguimiento del programa de auditoría .
5.7 Revisión y mejora del programa de auditoría .
6 Realización de una auditoría .
6.1 Generalidades .
6.2 Inicio de la auditoría .
6.2.1 Generalidades .
6.2.2 Establecimiento del contacto con el auditado .
6.2.3 Determinación de la viabilidad de la auditoría .
6.3 Preparación de las actividades de auditoría .
6.3.1 Realización de la revisión de la información documentada .
6.3.2 Planificación de la auditoría .
6.3.3 Asignación de las tareas al equipo auditor .
6.3.4 Preparación de la información documentada para la auditoría .
6.4 Realización de las actividades de auditoría .
6.4.1 Generalidades .
6.4.2 Asignación de los roles y las responsabilidades de los guías y los observadores .
6.4.3 Realización de la reunión de apertura .

Traducción oficial
iii
ISO 19011:redline:2026(es)
6.4.4 Comunicación durante la auditoría .
6.4.5 Disponibilidad y acceso de Acceso a la información de auditoría .
6.4.6 Revisión de la información documentada durante la auditoría .
6.4.7 Recopilación y verificación de la información .
6.4.8 Generación de los hallazgos de la auditoría .
6.4.9 Determinación de las conclusiones de la auditoría.
6.4.10 Realización de la reunión de cierre .
6.5 Preparación y distribución del informe de la auditoría .
6.5.1 Preparación del informe de la auditoría .
6.5.2 Distribución del informe de la auditoría .
6.6 Finalización de la auditoría .
6.7 Realización de las actividades de seguimiento de una la auditoría .
7 Competencia y evaluación de los auditores.
7.1 Generalidades .
7.2 Determinación de la competencia del auditor .
7.2.1 Generalidades .
7.2.2 Comportamiento personal .
7.2.3 Conocimientos y habilidades .
7.2.4 Logro de la competencia del auditor .
7.2.5 Logro de la competencia del líder del equipo auditor .
7.3 Establecimiento de los criterios de evaluación del auditor .
7.4 Selección del método apropiado de evaluación del auditor .
7.5 Realización de la evaluación del auditor.
7.6 Mantenimiento y mejora de la competencia del auditor .
Anexo A (informativo) Orientación adicional destinada a los auditores que planifican y realizan
para planificar y realizar las auditorías .
Bibliografía.

Traducción oficial
iv
ISO 19011:redline:2026(es)
Prólogo
ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales
de normalización (organismos miembros de ISO). El trabajo de elaboración de las Normas Internacionales
se lleva a cabo normalmente a través de los comités técnicos de ISO. Cada organismo miembro interesado
en una materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado
en dicho comité. Las organizaciones internacionales, gubernamentales y no gubernamentales, vinculadas
con ISO, también participan en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica
Internacional (IEC) en todos los temas de normalización electrotécnica.
En la Parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar este
documento y aquellos previstos para su mantenimiento posterior. En particular debería tomarse nota de los
diferentes criterios de aprobación necesarios para los distintos tipos de documentos ISO. Este documento
ha sido redactado de acuerdo con las reglas editoriales de la Parte 2 de las Directivas ISO/IEC (véase
www.iso.org/directiveswww.iso.org/directives).
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar
sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de alguno o todos los
derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante el desarrollo de
este documento se indicarán en la Introducción y/o en la lista ISO de declaraciones de patente recibidas
(véase www.iso.org/patents).
ISO llama la atención sobre la posibilidad de que la implementación de este documento pueda conllevar el uso
de una o varias patentes. ISO no se posiciona respecto a la evidencia, validez o aplicabilidad de los derechos
de patente reivindicados. A la fecha de publicación de este documento, ISO no había recibido notificación
de que una o varias patentes pudieran ser necesarias para su implementación. No obstante, se advierte a
los usuarios que esta puede no ser la información más reciente, la cual puede obtenerse de la base de datos
de patentes disponible en www.iso.org/patents. ISO no será responsable de la identificación de parte o la
totalidad de dichos derechos de patente.
Cualquier nombre comercial utilizado en este documento es información que se proporciona para comodidad
del usuario y no constituye una recomendación.
Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos específicos de
ISO y las expresiones relacionadas con la evaluación de la conformidad, así como la información acerca de la
adhesión de ISO a los principios de la Organización Mundial del Comercio (OMC) respecto a los Obstáculos
Técnicos al Comercio (OTC), véase www.iso.org/iso/foreword.htmlwww.iso.org/iso/foreword.html.
Este documento ha sido elaborado por el Comité de Proyecto ISO/PC 302ISO/PC 302, Directrices para
la auditoría de los sistemas de gestión., en colaboración con el Comité Técnico CEN/CLC/JTC 1, Criterios
relativos a los organismos de evaluación de la conformidad, del Comité Europeo de Normalización (CEN), de
conformidad con el Acuerdo de cooperación técnica entre ISO y CEN (Acuerdo de Viena).
Esta terceracuarta edición anula y sustituye a la segundatercera edición (ISO 19011:20112018) que ha sido
revisada técnicamente.
Los cambios principales en comparación con la segunda edición previa son los siguientes:
— adición del enfoque basado en riesgos a los principios de la auditoría;
— ampliación de la orientación sobre la gestión de un programa de auditoría, incluyendo el riesgo del
programa de auditoríamétodos de auditoría remota mediante la introducción de la orientación contenida
en la Especificación Técnica ISO/IEC TS 17012;
— ampliación de la orientación sobre la realización de una auditoría, particularmente la sección sobre
planificación de la auditoría;
— ampliación de los requisitos de competencia genérica para los auditores;
— ajuste de la terminología para reflejar el proceso y no el objeto (“cosa”);

Traducción oficial
v
ISO 19011:redline:2026(es)
— eliminación del anexo que contenía los requisitos de competencia para auditar disciplinas específicas
de sistemas de gestión (debido al gran número de normas individuales de sistemas de gestión, no sería
práctico incluir requisitos de competencia para todas las disciplinas);
— ampliación del Anexo A para proporcionar orientación sobre la auditoría de (nuevos) conceptos como el
contexto de la organización, el liderazgo y el compromiso, las auditorías virtuales, el cumplimiento y la
cadena de suministrolos métodos de auditoría remota y las ubicaciones virtuales.
Cualquier comentario o pregunta sobre este documento deberían dirigirse al organismo nacional de
normalización del usuario. En www.iso.org/members.html se puede encontrar un listado completo de estos
organismos.
Traducción oficial
vi
ISO 19011:redline:2026(es)
Prólogo de la versión en español
Este documento ha sido traducido por el Grupo de Trabajo Spanish Translation Task Force (STTF) del Comité
Técnico ISO/CASCO, Comité para la evaluación de la conformidad, en el que participan representantes de
los organismos nacionales de normalización y representantes del sector empresarial de los siguientes
países:otras partes interesadas, para lograr la unificación de la terminología en lengua española en el ámbito
de la evaluación de la conformidad.
Este documento ha sido validado por el ISO/TMBG/Spanish Translation Management Group (STMG)
conformado por los siguientes países: Argentina, Bolivia, Chile, Colombia, Costa Rica, Cuba, Ecuador, El
Salvador, España, Estados Unidos de América, Guatemala, Honduras, República Dominicana, México, Panamá,
Perú, República DominicanaParaguay, Perú y Uruguay.
Igualmente, en el citado Grupo de Trabajo participan representantes de COPANT (Comisión Panamericana
de Normas Técnicas) e INLAC (Instituto Latinoamericano de la Calidad).
Esta traducción es parte del resultado del trabajo que el Grupo ISO/CASCO/STTF viene desarrollando desde
su creación en el año 2002 para lograr la unificación de la terminología en lengua española en el ámbito de
la evaluación de la conformidad.

Traducción oficial
vii
ISO 19011:redline:2026(es)
Introducción
Desde la publicación de la segundatercera edición de este documento en 20112018, se han publicado varias
normas nuevas de sistemas de gestión, muchas de las cuales en nuevos campos. Muchas de ellas tienen una
estructura común, requisitos esenciales idénticos y, términos comunes y definiciones esenciales idénticos.
Como resultado, es necesario considerar un enfoque más amplio para la auditoría de los sistemas de
gestión, así como de proporcionar una orientación más genérica. Los resultados de las auditorías pueden
proporcionar entradas para el aspecto de análisis de la planificación del negocio, y pueden contribuir a la
identificación de necesidades y actividades de mejora.
Una auditoría puede realizarse con relaciónEste documento proporciona orientación que puede aplicarse
para auditar con respecto a una serie de criterios de auditoría (de manera separada o combinada) incluyendo,
pero sin limitarse a:
— los requisitos definidosespecificados en una o más normas de sistemas de gestión;
— las políticas, los procesos y los requisitos especificados por lasla organización u otras partes interesadas
pertinentes;
— los requisitos legales y reglamentarios;
— uno o más procesos del sistema de gestión definidos por la organización y/o por otras partes;
— los planes de sistemas de gestión relacionados con la provisión de salidas específicasresultados
específicos de un sistema de gestión (por ejemplo, el plan de la calidad, el plan de proyecto).
Este documento proporciona orientación para todos los tamaños y tipos de organizaciones ytodas las
organizaciones, independientemente de su tamaño y tipo, y para auditorías de distintos alcances y escalas,
incluyendo. Esto incluye aquellas realizadas por equipos de auditoría grandes, típicamente de organizaciones
grandes, y aquellas realizadas por auditores individuales, ya sea en organizaciones grandes o pequeñas. Esta
orientación debería adaptarse según sea apropiado al alcance, la complejidad y la escalacomplejidad del
programa de auditoría.
Este documento se concentra en las auditorías internas (de primera parte) y las auditorías realizadas por
las organizaciones a sus proveedores externos y a otras partes interesadas externas (de segunda parte).
Este documento también puede ser útil para las auditorías externas realizadas con fines distintos a una
certificación de sistemas de gestión de tercera parte. La Norma ISO/IEC 17021-1 proporciona requisitos para
la auditoría de sistemas de gestión para la certificación de tercera parte; aunque este documento puede
proporcionar orientación adicional de utilidad (véase la Tabla 1).
Tabla 1 — Tipos distintos de auditoría
Auditoría de primera Primera
Auditoría de segunda Segunda parte Auditoría de tercera Tercera parte
parte
Auditoría de certificación y/o o eva-
Auditoría interna Auditoría externa de proveedor
luación de acreditación
Otra auditoría externa de parte interesada
Auditoría legal, reglamentaria o
Auditoría realizada por la parte interesada
similar
externa de una organización
La Especificación Técnica ISO/IEC TS 17012 aborda la necesidad creciente de métodos de auditoría remota.
Su propósito es dar orientación para la implementación eficaz de los métodos de auditoría remota, apoyando
al mismo tiempo los principios generales de auditoría que se señalan en este documento.
Para simplificar la legibilidad de este documento, se prefiere la forma singular de “sistema de gestión”, pero
el lector puede adaptar la implementación de la orientación a su propia situación. Esto también aplica al uso
de “persona” y “personas”, “auditor” y “auditores”.
Se pretende que este documento se aplique a un amplio rango de usuarios potenciales, incluyendo auditores,
organizaciones que implementan sistemas de gestión y organizaciones que necesitan realizar auditorías

Traducción oficial
viii
ISO 19011:redline:2026(es)
de sistemas de gestión por razones contractuales o reglamentarias. Sin embargo, los usuarios de este
documento pueden aplicar esta orientaciónLa orientación dada en este documento puede aplicarse por los
usuarios al desarrollar sus propios requisitos relacionados con auditorías.
La orientación en este documento también puede usarse con el propósito de la autodeclaración, y puede ser
útil para organizaciones involucradas en la formación de auditores o en, la titulación y la certificación de
personas que participan en el programa de auditoría.
La orientación en este documento pretende ser flexible. Como se indica en varios puntos del texto, el uso de
esta orientación puede diferir dependiendo del tamaño y el nivel de madurez del sistema de gestión de una
organización. También deberían considerarse la naturaleza y la complejidad de la organización que se va a
auditar, así como los objetivos y el alcance de las auditorías que se van a realizar.
Este documento adopta el enfoque de auditoría combinada cuando se auditan juntos dos o más sistemas
de gestión de distintas disciplinas. Cuando estos sistemas están integrados en un único sistema de gestión,
los principios y procesos de auditoría son los mismos que para una auditoría combinada (a veces, llamada
denominada “auditoría integrada”).
Este documento proporciona orientación sobre la gestión de un programa de auditoría, sobre la planificación
y la realización de auditorías de sistemas de gestión, así como sobre la competencia y la evaluación de un
auditor y un equipo auditor.
Traducción oficial
ix
ISO 19011:redline:2026(es)
Directrices para la auditoría de los sistemas de gestión
1 Objeto y campo de aplicación
Este documento proporcionada orientación sobre la auditoría de los sistemas de gestión, incluyendo los
principios de la auditoría, la gestión de un programa de auditoría y la realización de auditorías de sistemas
de gestión, así como orientación sobre la evaluación de la competencia de las personas que participan en el
proceso de auditoría. Estas actividadespersonas incluyen a las personasaquellas responsables de la gestión
del programa de auditoría, los auditores y los equipos auditores.
Es aplicable a todas las organizaciones que necesitan planificar y realizar auditorías internas o externas de
sistemas de gestión o gestionar un programa de auditoría.
La aplicación de este documento a otros tipos de auditorías es posible, siempre que se preste especial
atención a la competencia específica necesaria y los objetivos a lograr.
2 Referencias normativas
No hay referencias normativas en este documento.
3 Términos y definiciones
Para los fines de este documento, se aplican los términos y definiciones siguientes.:
ISO e IEC mantienen bases de datos terminológicas para su utilización en normalización en las siguientes
direcciones:
— Plataforma de búsqueda en línea de ISO: disponible en https:// www .iso .org/ obp
— Electropedia de IEC: disponible en httphttps:// www .electropedia .org/
3.1
auditoría
proceso proceso (3.25) sistemático, independiente y documentado para obtener evidencias objetivas (3.83.9)
y evaluarlas de manera objetiva con el fin de determinar el grado en el que se cumplen los criterios de
auditoría (3.73.8)
Nota 1 a la entrada: Las auditorías internas, denominadas en algunos casos auditorías de primera parte, se realizan
por, o en nombre de la propia organización la propia organización o en su nombre.
Nota 2 a la entrada: Las auditorías externas incluyen lo que se denomina generalmente auditorías de segunda y tercera
parte. Las auditorías de segunda parte se llevan a cabo por partes que tienen un interés en la organización, tales como
los clientes o por otras personas en su nombre. Las auditorías de tercera parte se llevan a cabo por organizaciones
auditoras independientes, tales como las que otorgan la certificación/registro de conformidad conformidad (3.21) o
agencias gubernamentales y autoridades reguladoras.
[FUENTE: ISO 9000:2015, 3.13.1, modificada — 2026, 3.12.1, modificado — Se ha añadido “documentado” y
“objetivas” en la definición. Se han sustituido las Notas a la entrada han sido modificadas .]

Traducción oficial
ISO 19011:redline:2026(es)
3.2
auditoría combinada
auditoría (3.1) llevada a cabo conjuntamente a un único auditado (3.133.14) en dos o más sistemas de gestión
(3.183.19)
Nota 1 a la entrada: Se conoce como sistema de gestión integrado cuando dos o más sistemas de gestión específicos de
una disciplina se integran en un único sistema de gestión.
[FUENTE: ISO 9000:2015, 3.13.2, modificada]
[FUENTE: ISO 9000:2026, 3.12.2, modificado — Se ha eliminado la Nota 1 a la entrada.]
3.3
auditoría conjunta
auditoría (3.1) llevada a cabo a un único auditado (3.133.14) por dos o más organizaciones auditoras
[FUENTE: ISO 9000:2015, 3.13.3 2026, 3.12.3]
3.4
método de auditoría remota
método utilizado para realizar actividades de auditoría desde cualquier lugar distinto de la ubicación del
auditado (3.14)
Nota 1 a la entrada: Los métodos de auditoría remota pueden utilizarse en combinación con los métodos in situ para
lograr una auditoría (3.1) completa y eficaz.
Nota 2 a la entrada: Los métodos de auditoría remota pueden utilizarse para ubicaciones virtuales, es decir, cuando
una organización realiza un trabajo o proporciona un servicio utilizando un entorno virtual, lo que permite a las
personas ejecutar procesos (3.25) independientemente de su ubicación física.
Nota 3 a la entrada: Los métodos de auditoría remota pueden ser utilizados por el auditor (3.16) en un sitio del auditado
para auditar otro sitio.
[FUENTE: ISO/IEC TS 17012:2024, 3.1]
3.4
3.5
programa de auditoría
acuerdos para un conjunto de una o más auditorías (3.1) planificadas para un periodo de tiempo determinado
y dirigidas hacia un propósito específico
[FUENTE: ISO 9000:2015, 3.13.4, modificada — se ha añadido texto a la definición]
3.5
3.6
alcance de la auditoría
extensión y límites de una auditoría (3.1)
Nota 1 a la entrada: El alcance de la auditoría incluye generalmente una descripción de las ubicaciones físicas (véase
3.4, Nota 2 a la entrada) y virtuales, las funciones, las unidades de la organización, las actividades y los procesos
procesos (3.25), así como el periodo de tiempo cubierto.
Nota 2 a la entrada: Una ubicación virtual es un lugar donde la organización desempeña trabajo o presta un servicio
usando un entorno en línea que permite a las personas ejecutar procesos con independencia de su ubicación física.
[FUENTE: ISO 9000:2015, 3.13.5, modificada — se ha modificado la Nota 1 a la entrada, se ha añadido la
Nota 2 a la entrada]
3.6
3.7
plan de auditoría
descripción de las actividades y de los detalles acordados de una auditoría (3.1)
[FUENTE: ISO 9000:2015, 3.13.6]

Traducción oficial
ISO 19011:redline:2026(es)
3.7
3.8
criterios de auditoría
conjunto de requisitos (3.233.24) usados como una referencia frente a la cual se compara la evidencia objetiva
(3.83.9)
Nota 1 a la entrada: Si los criterios de auditoría son requisitos legales (incluyendo los reglamentarios), las palabras
“cumplimiento” o “no cumplimiento incumplimiento” se utilizan a menudo en los un hallazgoshallazgo de la auditoría
(3.103.11).
Nota 2 a la entrada: Los requisitos pueden incluir políticas, procedimientos, instrucciones de trabajo, requisitos
legales, obligaciones contractuales, normas de la industria, etc.
[FUENTE: ISO 9000:2015, 3.13.7, modificada — se ha cambiado la definición y se han añadido las Notas 1 y
2 a la entrada]
3.8
3.9
evidencia objetiva
datos que respaldan la existencia o veracidad de algo
Nota 1 a la entrada: La evidencia objetiva puede obtenerse por medio de la observación, medición, ensayo o por u otros
medios.
Nota 2 a la entrada: La evidencia objetiva con fines de auditoría (3.1) generalmente se compone de registros,
declaraciones de hechos u otra información que son pertinentes para los criterios de auditoría (3.7) y verificables.
[FUENTE: ISO 9000:2015, 3.8.3 2026, 3.8.6, modificado — Se ha eliminado la Nota 2 a la entrada.]
3.9
3.10
evidencia de la auditoría
registros, declaraciones de hechos o cualquier otra información que es sea pertinente para los criterios de
auditoría (3.73.8) y que es verificable
[FUENTE: ISO 9000:2015, 3.13.8]
3.10
3.11
hallazgos hallazgo de la auditoría
resultados de la evaluación de la evidencia de la auditoría (3.93.10) recopilada frente a los criterios de
auditoría (3.73.8)
Nota 1 a la entrada: Los hallazgos de la auditoría indican conformidad (3.203.21) o no conformidad (3.213.22).
Nota 2 a la entrada: Los hallazgos de la auditoría pueden conducir a la identificación de riesgos riesgos (3.20),
oportunidades para la mejora o el registro de buenas prácticas.
Nota 3 a la entrada: En inglés, si Si los criterios de auditoría se seleccionan a partir de entre los requisitos legales
o los requisitos reglamentarios, el hallazgo de la auditoría se denomina “cumplimiento o no cumplimiento ” o
“incumplimiento”.
[FUENTE: ISO 9000:2015, 3.13.9, modificada — se han modificado las Notas 2 y 3 a la entrada]
3.11
3.12
conclusiones conclusión de la auditoría
resultado de una auditoría (3.1), tras considerar los objetivos de la auditoría y todos los hallazgos de la
auditoría (3.103.11)
[FUENTE: ISO 9000:2015, 3.13.10]

Traducción oficial
ISO 19011:redline:2026(es)
3.12
3.13
cliente de la auditoría
organización o persona que solicita una auditoría (3.1)
Nota 1 a la entrada: En el caso de una auditoría interna, el cliente de la auditoría también puede ser el auditado
(3.133.14) o las personas que gestionan el programa de auditoría programa de auditoría (3.5). Las solicitudes de una
auditoría externa pueden provenir de fuentes como autoridades reglamentarias reguladoras, partes contratantes o
clientes existentes o potenciales.
[FUENTE: ISO 9000:2015, 3.13.11, modificada — se 2026, 3.12.4, modificado — Se ha añadido la Nota 1 a la
entrada.]
3.13
3.14
auditado
organización que es auditada en su totalidad o partes
[FUENTE: ISO 9000:2015, 3.13.12, modificada]
3.14
3.15
equipo auditor
una o más personas que llevan a cabo una auditoría (3.1) con el apoyo, si es necesario, de expertos técnicos
(3.163.17)
Nota 1 a la entrada: A un auditor (3.153.16) del equipo auditor (3.14)equipo auditor se le designa como auditor líder del
mismo.
Nota 2 a la entrada: El equipo auditor puede incluir auditores en formación.
[FUENTE: ISO 9000:2015, 3.13.14]
3.15
3.16
auditor
persona que lleva a cabo una auditoría (3.1)
[FUENTE: ISO 9000:2015, 3.13.15]
3.16
3.17
experto técnico
〈auditoría〉 persona que aporta conocimientos conocimiento o experiencia específicos al equipo
auditor (3.143.15)
Nota 1 a la entrada: El conocimiento o pericia específicos se relacionan experiencia específicos son los relacionados
con la organización, la actividad, el proceso proceso (3.25), el producto, el servicio, la servicio o disciplina a auditar, o
el idioma o la cultura.
Nota 2 a la entrada: Un experto técnico del equipo auditor (3.14)equipo auditor no actúa como un auditor (3.153.16).
[FUENTE: ISO 9000:2015, 3.13.16, modificada — se han modificado las Notas 1 y 2 a la entrada]
3.17
3.18
observador
persona que acompaña al equipo auditor (3.143.15) pero que no actúa como un auditor (3.153.16) ni como un
experto técnico (3.17)
[FUENTE: ISO 9000:2015, 3.13.17, modificada]

Traducción oficial
ISO 19011:redline:2026(es)
3.18
3.19
sistema de gestión
conjunto de elementos de una organización interrelacionados o que interactúan para establecer políticas,
objetivos y y objetivos, así como procesos (3.243.25) para lograr estos objetivos
Nota 1 a la entrada: Un sistema de gestión puede tratar una sola disciplina o varias disciplinas, por ejemplo, gestión de
la calidad, gestión financiera o gestión ambiental.
Nota 2 a la entrada: Los elementos del sistema de gestión establecen la estructura de la organización , los roles y
las responsabilidades, la planificación, la operación, las políticas, las prácticas, las reglas, y las creencias, los de la
organización, así como sus objetivos y los procesos para lograr esos objetivos.
Nota 3 a la entrada: El alcance de un sistema de gestión puede incluir la totalidad de la organización, funciones
específicas e identificadas de la organización, secciones específicas e identificadas de la organización, o una o más
funciones dentro de un grupo de organizaciones.
[FUENTE: ISO 9000:2015, 3.5.3, modificada — se ha eliminado la Nota 2026, 3.4.2, modificado — Se han
añadido ejemplos en la Nota 1 a la entrada. Se ha ampliado la Nota 2 a la entrada. Se han eliminado las Notas
3 y 4 a la entrada.]
3.19
3.20
riesgo
efecto de la incertidumbre
Nota 1 a la entrada: Un efecto es una desviación de lo esperado, ya sea positivo o negativo.
Nota 2 a la entrada: Incertidumbre es el estado, incluso parcial, de deficiencia de información relacionada con la
comprensión o conocimiento de un evento, su consecuencia o su probabilidad.
Nota 3 a la entrada: Con frecuencia el riesgo se caracteriza por referencia a eventos potenciales (según se define
en la Guía ISO 73:2009, 3.5.1.3) y consecuencias (según se define en la Guía y consecuencias ISO 73:2009, 3.6.1.3)
potenciales, o a una combinación de éstos estos.
Nota 4 a la entrada: Con frecuencia el riesgo se expresa en términos de una combinación de las consecuencias de un
evento (incluidos cambios en las circunstancias) y la probabilidad (según se define en la Guía ISO 73:2009, 3.6.1.1)
asociada de que ocurra.
[FUENTE: ISO 9000:2015, 3.7.9, modificada — se han eliminado las Notas 5 y 6 2026, 3.7.2, modificado — Se
ha eliminado la Nota 5 a la entrada.]
3.20
3.21
conformidad
cumplimiento de un requisito (3.233.24)
[FUENTE: ISO 9000:2015, 3.6.11, modificada — se ha eliminado la Nota 1 a la entrada 2026, 3.5.9]
3.21
3.22
no conformidad
incumplimiento de un requisito (3.233.24)
[FUENTE: ISO 9000:2015, 3.6.9, modificada — se ha eliminado la Nota 1 a la entrada 2026, 3.5.13]
3.22
3.23
competencia
capacidad para aplicar conocimientos conocimiento y habilidades con el fin de lograr los resultados previstos
[FUENTE: ISO 9000:2015, 3.10.4, modificada — se han eliminado las Notas a la entrada 2026, 3.10.6]

Traducción oficial
ISO 19011:redline:2026(es)
3.23
3.24
requisito
necesidad o expectativa establecida, generalmente implícita u obligatoria
Nota 1 a la entrada: “Generalmente implícita” significa que es habitual o práctica común para la organización y las
partes interesadas el que la necesidad o expectativa bajo consideración está esté implícita.
Nota 2 a la entrada: Un requisito especificado es aquel el que está establecido declarado, por ejemplo, en información
documentada.
[FUENTE: ISO 9000:2015, 3.6.4, modificada — se 2026, 3.5.1, modificado — Se han eliminado las Notas 3, 4,
5 y 6  y 5 a la entrada.]
3.24
3.25
proceso
conjunto de actividades mutuamente relacionadas que utilizan las interrelacionadas o que interactúan que
utilizan entradas para proporcionar un resultado previsto
[FUENTE: ISO 9000:2015, 3.4.1, modificada — se 2026 3.3.1, modificado — Se ha eliminado “o transforman”
y se ha añadido “previsto” en la definición. Se han eliminado las Notas a la entrada.]
3.25
3.26
desempeño
resultado medible
Nota 1 a la entrada: El desempeño se puede relacionar con hallazgos cuantitativos o cualitativos.
Nota 2 a la entrada: El desempeño se puede relacionar con la gestión de actividades, procesos (3.243.25), productos,
servicios, sistemas u organizaciones.
[FUENTE: ISO 9000:2015, 3.7.8, modificada — se ha eliminado la Nota 3 a la entrada 2026, 3.7.3]
3.26
3.27
eficacia
grado en el que se realizan las actividades planificadas y se logran los resultados planificados
[FUENTE: ISO 9000:2015, 3.7.11, modificada — se ha eliminado la Nota 1 a la entrada 2026, 3.7.17]
4 Principios de auditoría
La auditoría se caracteriza por depender de varios principios. Estos principios deberían ayudar a hacer de
la auditoría una herramienta eficaz y fiable en apoyo de las políticas y controles de gestión, proporcionando
información sobre la cual una organización puede actuar para mejorar su desempeño. La adhesión a esos
principios es un requisito previo para proporcionar conclusiones de la auditoría que sean pertinentes
y suficientes, y para permitir a los auditores, que trabajan independientemente, alcanzar conclusiones
similares en circunstancias similares.
La orientación dada en los Capítulos 5 a 7 se basa en los siete principios señalados a continuación.
a) Integridad: el fundamento de la profesionalidad
Los auditores y las personas que gestionan un programa de auditoría deberían:
— desempeñar su trabajo de forma ética, con honestidad y responsabilidad;
— emprender actividades de auditoría sólo si son competentes para hacerlo;

Traducción oficial
ISO 19011:redline:2026(es)
— desempeñar su trabajo de manera imparcial,
...