PUBLICADA LA NUEVA ISO 19011:2026: DIRECTRICES PARA LA AUDITORÍA DE LOS SISTEMAS DE GESTIÓN

La nueva ISO 19011:2026, Directrices para la auditoría de los sistemas de gestión, ya ha sido publicada oficialmente. 

Esta nueva edición sustituye a la versión de 2018 y actualiza una de las normas de referencia más utilizadas por organizaciones, auditores internos, auditores externos, consultores y responsables de sistemas de gestión.

Aunque ISO 19011 no es una norma certificable, su importancia práctica es enorme. Sus directrices sirven como base para planificar, realizar, informar y hacer seguimiento de auditorías de sistemas de gestión, tanto en auditorías internas como en auditorías a proveedores o auditorías externas. Por ello, su actualización afecta directamente a la forma en que muchas organizaciones gestionan sus programas de auditoría.

La ISO 19011:2026 no supone una ruptura total con la edición anterior, pero sí representa una evolución necesaria. La auditoría de sistemas de gestión se desarrolla hoy en un contexto muy diferente al de hace unos años: organizaciones más digitalizadas, procesos híbridos, cadenas de suministro más complejas, nuevos riesgos, mayor presión regulatoria y una necesidad creciente de que las auditorías aporten información útil para la toma de decisiones.

En este sentido, la nueva edición refuerza una idea clave: auditar no debe ser únicamente comprobar documentos o verificar el cumplimiento formal de requisitos, sino evaluar si el sistema de gestión funciona realmente y ayuda a la organización a mejorar su desempeño.

Entre los principales cambios y aspectos destacados de la nueva ISO 19011:2026 se encuentran los siguientes:

1. Mayor desarrollo de las auditorías remotas

La nueva edición amplía la orientación sobre los métodos de auditoría remota. Esto resulta especialmente relevante en organizaciones con equipos distribuidos, procesos digitalizados, documentación en la nube, plataformas colaborativas o centros de trabajo dispersos geográficamente.

La auditoría remota deja de verse como una solución excepcional y pasa a integrarse de forma más natural dentro de los métodos de auditoría disponibles. No obstante, su utilización exige planificación, competencia técnica, garantías sobre la fiabilidad de las evidencias y una adecuada gestión de los riesgos asociados al uso de herramientas digitales.

2. Más atención a las ubicaciones virtuales

La ISO 19011:2026 incorpora una visión más actualizada de las organizaciones y de sus entornos de trabajo. Hoy no todos los procesos se desarrollan en una ubicación física tradicional. Muchas actividades se realizan en plataformas digitales, entornos virtuales, sistemas de información compartidos o mediante trabajo remoto.

Por ello, las auditorías deben ser capaces de evaluar también estos entornos, identificando cómo se gestionan los procesos, cómo se controlan las evidencias, cómo se protege la información y cómo se asegura la eficacia del sistema de gestión cuando parte de la actividad se desarrolla en espacios no físicos.

3. Refuerzo del enfoque basado en riesgos

La nueva edición profundiza en la necesidad de aplicar un enfoque basado en riesgos no solo durante la auditoría, sino también en la planificación del programa de auditoría.

Esto significa que las auditorías no deberían programarse únicamente por rutina, calendario o exigencia documental. Deben priorizarse teniendo en cuenta la criticidad de los procesos, los cambios organizativos, los resultados anteriores, los incidentes, las oportunidades de mejora, el contexto de la organización y los riesgos que pueden afectar al sistema de gestión.

Auditar con enfoque basado en riesgos implica dedicar más atención a aquello que puede tener mayor impacto en el desempeño de la organización.

4. Actualización de la gestión del programa de auditoría

La ISO 19011:2026 introduce ajustes relevantes en la forma de gestionar los programas de auditoría. Se refuerza la necesidad de definir correctamente el alcance del programa, los objetivos, los métodos de auditoría, los recursos necesarios, las responsabilidades, los criterios de comunicación y el seguimiento de los resultados.

También se pone más énfasis en la necesidad de considerar el contexto de la organización, sus partes interesadas, el uso de tecnología, los cambios que puedan afectar al sistema de gestión y la disponibilidad de información y evidencias suficientes.

Un buen programa de auditoría no debe limitarse a cubrir requisitos mínimos. Debe ayudar a la organización a obtener una visión realista sobre el funcionamiento de sus sistemas de gestión.

5. Mayor exigencia sobre la competencia de los auditores

Uno de los aspectos más relevantes de la nueva edición es la actualización de las orientaciones sobre competencia auditora. La competencia del auditor ya no puede limitarse al conocimiento de la norma auditada y de las técnicas clásicas de auditoría.

Los auditores deben comprender los métodos de auditoría disponibles, incluidos los métodos remotos, el uso de tecnologías emergentes, las herramientas digitales, la gestión de evidencias electrónicas, la protección de datos y la seguridad de la información.

Además, cuando se auditen procesos basados en tecnología o entornos digitales, será necesario contar con conocimientos suficientes para entender los riesgos, controles y evidencias asociados.

6. Mayor claridad en la comunicación durante la auditoría

La nueva edición también refuerza la importancia de la comunicación entre las partes implicadas en la auditoría. Esto afecta a la planificación, al desarrollo de las actividades, a la comunicación de riesgos significativos, a la información sobre posibles limitaciones y a la presentación de conclusiones.

Una auditoría eficaz requiere que el equipo auditor, la organización auditada y quienes gestionan el programa de auditoría tengan una comunicación clara, ordenada y orientada a los objetivos definidos.

7. Criterios más claros para las no conformidades

La ISO 19011:2026 introduce mayor claridad sobre la necesidad de definir y comunicar los criterios utilizados cuando las no conformidades se clasifican o gradúan.

Esto es importante porque muchas organizaciones utilizan categorías como no conformidad mayor, no conformidad menor, observación u oportunidad de mejora. La nueva edición refuerza la necesidad de que estos criterios estén previamente definidos y sean comprendidos por las partes implicadas.

También se recuerda la importancia de que las no conformidades se basen en evidencias objetivas y estén vinculadas claramente con los criterios de auditoría aplicables.

8. Más atención a la cadena de suministro y a las auditorías de segunda parte

La nueva edición amplía la orientación relacionada con las auditorías en la cadena de suministro y las auditorías de segunda parte. Este punto es especialmente relevante en un contexto en el que las organizaciones dependen cada vez más de proveedores, contratistas, servicios externalizados y relaciones complejas con terceros.

Auditar la cadena de suministro no consiste solo en verificar documentación del proveedor. Implica analizar riesgos, capacidad de control, cumplimiento de requisitos, desempeño y grado de alineación con las necesidades de la organización.

9. Consideración de tecnología, digitalización y herramientas emergentes

La ISO 19011:2026 reconoce de forma más clara el papel de la tecnología en la auditoría. Las herramientas digitales pueden facilitar la recopilación de evidencias, la realización de entrevistas, el análisis documental, la trazabilidad de hallazgos o la gestión de programas de auditoría.

Sin embargo, también introducen riesgos: seguridad de la información, confidencialidad, fiabilidad de los datos, limitaciones técnicas, sesgos en herramientas automatizadas o pérdida de información contextual.

Por ello, la tecnología debe utilizarse con criterio profesional, no como sustituto del juicio auditor.

10. Una auditoría más orientada al valor

La nueva edición confirma una evolución que ya se venía produciendo en la práctica profesional: la auditoría debe aportar más valor a la organización. No basta con revisar documentos, completar listas de verificación o emitir informes repetitivos.

Una auditoría útil debe ayudar a comprender si los procesos son eficaces, si los controles funcionan, si los riesgos están bien gestionados, si las personas conocen sus responsabilidades y si el sistema de gestión contribuye realmente a los objetivos de la organización.

Desde el Instituto de Seguridad y Bienestar Laboral, consideramos que la publicación de ISO 19011:2026 es una oportunidad para revisar y mejorar la forma en que las organizaciones entienden sus auditorías internas y externas.

En ámbitos como la seguridad y salud en el trabajo, la calidad, el medio ambiente, la sostenibilidad o el bienestar laboral, la auditoría debe ser una herramienta de aprendizaje, mejora y confianza. Su finalidad no debería ser únicamente “pasar la auditoría”, sino identificar con rigor qué funciona, qué no funciona y qué decisiones deben adoptarse para mejorar.

La ISO 19011:2026 refuerza precisamente esa visión: auditorías más planificadas, más adaptadas a la realidad digital, más centradas en riesgos, más exigentes con la competencia profesional y más orientadas a generar información útil para la gestión.

La nueva ISO 19011:2026 no cambia la esencia de la auditoría de sistemas de gestión, pero sí actualiza sus expectativas. Las organizaciones que quieran obtener verdadero valor de sus auditorías deberán revisar sus métodos, actualizar sus programas de auditoría, formar a sus auditores y asegurar que la auditoría deja de ser un trámite para convertirse en una verdadera herramienta de mejora.

TOMADO DE: https://isbl.eu/

GESTIÓN DE LAS PARTES INTERESADAS EN LOS SG

El Análisis de las Partes Interesadas es una parte fundamental para una Buena Planificación. Todo Gerente al establecer su estrategia debería analizarlas para determinar si existen riesgos u oportunidades significativas que deberían abordarse para asegurar o sobrepasar los resultados esperados de su Gestión.

En las Normas de Sistemas de Gestión, tanto en ISO 9001:2015 como en las demás, se ha presentado como una Buena Práctica de Gestión que ayuda a las organización y gerentes a lograr los resultados esperados.

¿Quiénes son las partes interesadas?

Son todos aquellas que pueden afectar a la organización o pueden verse afectadas o percibirse como afectas por una decisión o actividad.

Pueden ser clientes, proveedores, dueños de la organización, trabajadores, legisladores, competidores, la comunidad, etc. 

La calidad de los productos y servicios de una organización está determinada por la capacidad para satisfacer a los clientes, y por el impacto previsto y el no previsto sobre las partes interesadas pertinentes. (ISO 9000:2015, Fundamentos)

¿Podremos llamar Producto o Servicio de Calidad a un producto que cumpla con los requisitos del cliente, pero que afecte negativamente a otras partes interesadas, como la comunidad, por ejemplo?

Ciertamente la Norma tiene un enfoque en el cliente, pero hace un llamado a todos los Gerentes y Organizaciones a analizar las necesidades y expectativas de las partes interesadas, identificar los riesgos u oportunidades potenciales y determinar los requisitos que se estimen convenientes, y entonces abordar, por ejemplo, temas de nuestros productos o servicios que pudieran afectar a la comunidad, a la humanidad, o bien abordar ciertas necesidades o expectativas de los trabajadores que pueden poner en riesgo la conformidad del producto servicio o el cumplimiento legal, etc.

Puede que cada parte interesada tenga necesidades y expectativas diferentes sobre la empresa o institución, o bien sobre su producto o servicios, y es difícil o hasta imposible satisfacer todas las necesidades o expectativas, pero hay que analizarlas y tomar una decisión sobre cuáles abordar, cuales son relevantes (pertinentes) y entonces especificar tu producto o servicio para satisfacer esas necesidades o expectativas y configurar los procesos necesarios para cumplir los requisitos definidos.

Una organización orientada la calidad promueve una cultura que da como resultado comportamientos, actitudes, actividades y procesos para proporcionar valor mediante el cumplimiento de las necesidades y expectativas de los clientes y otras partes interesadas pertinentes. (ISO 9000:2015, Fundamentos)

Importancia de la determinación de Requisitos pertinentes de las Partes Interesadas Pertinentes

Esta actividad juega un papel muy importante al establecer un SG porque permitirá luego determinar los procesos necesarios para cumplir los requisitos o los cambios necesarios en los procesos para que estos ayuden a la organización a cumplir los requisitos.

También juega un papel importante a la hora de establecer el alcance del Sistema de Gestión puesto que permite identificar por dónde quizá debería una organización comenzar a implementar las Buenas Prácticas Gerenciales.

Los procesos son los que elaboran los productos o los que prestan los servicios, y si no están adecuadamente configurados o es más, y si no hay procesos definidos procesos para satisfacer algún requisito, pues probablemente tendremos insatisfacción del cliente o problemas con las partes interesadas, como multas o sanciones de entes reguladores, o problemas con la comunidad, etc.

La Norma específica como Buena Práctica en 4.4 que las Organizaciones deben determinar los procesos necesarios para que el Sistema de Gestión logre los resultados esperados, dentro de los cuales debemos cumplir los requisitos establecidos. Por lo cual debemos determinar los procesos necesarios para cumplir los requisitos establecidos y asegurarnos de configurar los procesos para que estos cumplan con los requisitos, o como bien lo dice la Norma en 5.1.1 asegurar la integración de los requisitos en los procesos.

Las partes interesadas pertinentes son aquellas que generan riesgo significativo para la sostenibilidad de la organización si sus necesidades y expectativas no se cumplen. (ISO 9000:2015, Fundamentos)

Existen muchas partes interesadas, pero las pertinentes son aquellas, como dice ISO 9000:2015 (Sí 9000, no 9001), las pertinentes son aquellas que generan riesgo significativo para la sostenibilidad de la organización. Es decir que, si no hacemos algo que quiere esa parte interesada es probable que nos afecte la prestación del servicio o el suministro de productos conformes a los clientes.

Los trabajadores, por ejemplo, pueden afectar la calidad de los productos o servicios, ellos serían riesgo para la conformidad de los productos o servicios. Ahora bien, ellos pueden tener diversas necesidades o expectativas, pero no todas ellas quizá sean pertinentes (generen un riesgo significativo). 

Por ejemplo, lo más seguro es que todos tienen como necesidad un salario y como expectativa un buen salario o un aumento de salario, pero ¿Qué pasa si no se lo damos? 

Si la respuesta es que puede ocurrir un evento que puede poner en riesgo la calidad o la entrega de productos o servicios conforme, entonces deberíamos actuar y comprometernos a hacer algo al respecto. 

Si la respuesta es que no pasa nada, o es muy poco probable que pase, entonces quizá no es necesario hacer algo en este momento o período. Todo va a depender del contexto de la organización. 

Cuando llegamos a una empresa o institución las situaciones pueden ser muy diversas, podemos heredar una bomba de tiempo (una huelga inminente si no dan mejores prestaciones) o podría ser que no haya tal situación, sino que tenemos un clima laboral, la gente está contenta, o elementos intermedios. Por eso es muy importante el Análisis de las Partes interesadas, no sólo al llegar a una empresa o institución sino de manera recurrente porque las cosas (situaciones) van cambiando.

Así como este ejemplo, en el cual podría haber una bomba de tiempo en los trabajadores, así podría ser en relación con algún ente regulador o con proveedores, o con la comunidad, o con los accionistas. Hay que analizar cada relación y determinar lo que haremos. Como Gerentes sabemos que no tendremos o tenemos recursos ilimitados, por lo que habrá que priorizar donde invertiremos los recursos, por eso el análisis de riesgos sobre las partes interesadas es una herramienta importante.

Actividades para la Gestión de las Partes Interesadas

En el gráfico podemos ver el resumen del numeral 4.2 de ISO 9001:2015 y que muy seguramente se afinará en la versión 2026:

Por acá podemos expandir un poco estas etapas, pero siempre de manera simplificada:

1. Identificar las Partes Interesadas.
2. Determinar las Partes Interesadas pertinentes.
3. Identificar las Necesidades y Expectativas de las Partes Interesadas Pertinentes (PIP).
4. Analizar (Comprender) las Necesidades y Expectativas de las PIP.
5. Determinar los requisitos pertinentes de las PIP.

¿Cómo hacer esto? 

Como quieras, pero que sea práctico, funcional, eficaz para poder realizar una adecuada planificación y que ninguna parte interesada te meta el pie para que caigas y no logres los resultados esperados, que no afecten la conformidad de los productos o servicios, que no afecten la satisfacción del cliente, que no afecten la eficacia en el cumplimiento de los objetivos.

No es llenar un papel para presentar al auditor, es gestionar la organización para lograr los resultados esperados. Si la forma en la que actualmente se realiza en tu organización no sirve para la planificación, entonces debes cambiarla por un método que te ayude realmente a lograr resultados, a reducir riesgos y aprovechar oportunidades.

Siempre es importante preguntarnos ¿Para qué hacemos esto? ¿Por qué la Norma considera este debe una Buena Práctica? y debemos buscar como lograr el objetivo real de esa buena práctica. Si lo hacemos, nos ayudamos a nosotros mismos, a nuestra empresa o institución.

1. Identificar las Partes Interesadas.

Hay muchas formas de hacerlo. Podrías hacerlo tú solo, te pones a identificar las partes interesadas de la organización, viendo con quiénes tiene relación la empresa o institución. El único detalle es que será una visión quizá un poco limitada y puede que no sea completa la identificación.

Puedes hacerlo involucrando a las distintas áreas de la organización, podría ser en un taller/reunión con los gerentes. Puede ser en el proceso de planeación estratégica de la organización, si existiera ese proceso, y bueno, si no existe, puedes crear el proceso de planeación estratégica y dentro de este proceso realizar el ejercicio de identificación de las partes interesadas.

Su identificación podría ser por lluvia de ideas, preguntando a cada miembro de la organización cuáles son de las diferentes partes interesadas vinculadas a la organización. Podrías utilizar post-its, ya sean físicos o electrónicos.

Podrías utilizar metodologías de mapeo de partes interesadas, como el Diagrama de Super Sistema de Rummler y Brache. 

Hay muchas maneras, pero al final lo importante es realizar el ejercicio de identificación de las partes interesadas y tratar de que no se nos escape alguna.

2. Determinar las Partes Interesadas pertinentes.

Ya lo habíamos mencionado, no todas las partes interesadas serán partes interesadas pertinentes para el SGC. 

Las partes interesadas pertinentes son aquellas que generan riesgo significativo para la sostenibilidad de la organización si sus necesidades y expectativas no se cumplen. (ISO 9000:2015, Fundamentos)

La organización puede desarrollar criterios para determinar las partes interesadas pertinentes (ISO/TS 9002:2016, Guía para la aplicación de ISO 9001), considerando su:

a) posible influencia o impacto en el desempeño;

b) capacidad para crear riesgos y oportunidades;

c) posible influencia o impacto en el mercado;

d) capacidad para afectar a la organización mediante sus decisiones o actividades.

Puedes desarrollar un formato donde le des una valoración a cada parte interesada, según el o los criterios que hayas decidido tomar en cuenta. O también, puedes hacerlo por lluvia de ideas simplemente preguntas si consideran que son pertinentes para la Calidad, si consideran que esa parte interesada puede poner en riesgo la Satisfacción del cliente, la Conformidad de los productos o servicios, o bien la eficacia en las operaciones. Si la respuesta de la mayoría es que sí entonces es pertinente.

El método lo define la organización. La Norma te dice lo que debes hacer, la organización decide cómo lo hará. Obviamente, como dijimos anteriormente, no es elegir un método sólo para presentar algo al auditor y certificarnos. Realmente es hacer el ejercicio para ayudar a la organización a lograr los resultados esperados. El método puede ser sencillo y eficaz, no necesita ser muy complicado.

Lo importante es que realmente, al final, hayamos identificado las partes interesadas que podrían afectar a la organización si sus necesidades o expectativas no se cumplen, porque después si no hacemos bien este ejercicio se pueden venir multas, sanciones, huelgas, boicots, cierre de la empresa, represalias de los trabajadores (ataques a la empresa), etc.

Entonces, aquí es un primer filtro. Pasamos de identificar las partes interesadas de la organización a determinar cuáles de ellas son pertinentes, generan riesgo significativo para la sostenibilidad de la organización si sus necesidades y expectativas no se cumplen.

3. Identificar las Necesidades y Expectativas de las Partes Interesadas Pertinentes (PIP).

Ok, ahora nos tocaría con las Partes interesadas pertinentes, identificar sus necesidades y expectativas. Nos tocaría recolectar información.

También existen diversos métodos para recolectar estas necesidades y expectativas de las partes interesadas. Podríamos entrevistarlas. Claro, lo sé, podrían ser demasiadas, pero podemos aplicar un muestreo y de esta forma conocer sus necesidades y expectativas.

Ok, si no les parece, entonces podríamos lanzar unas encuestas para que las partes interesadas las contesten y así saber sus necesidades y expectativas.

Bueno, también podríamos hacer grupos focales. Podríamos invitarles a un desayuno o un almuerzo o reunión, con algún incentivo, para que frente a frente podamos conocer sus necesidades y expectativas. 

O bien, podríamos utilizar juicio basado en expertos, y entonces podríamos identificar quién en la organización es el experto (el que mejor conoce cada parte interesada). Por ejemplo, podríamos decir que los vendedores son los expertos en los clientes, o que los responsables de compra son los expertos en los proveedores, así con cada parte interesada pertinente; y al final preguntar a estos expertos cuáles son las necesidades y expectativas de las partes interesadas.

Ahora bien, también podríamos realizar estudios especializados para cada parte interesada, como estudio de mercado para conocer las necesidades y expectativas de los clientes o de la competencia. O bien, estudios de Clima Laboral o Ambiente de trabajo para conocer las necesidades y expectativas de los trabajadores.

Hay muchas formas, la organización debe decidir de qué manera lo hará. Siempre con la recomendación que sea una manera práctica y funcional, que sea eficaz para conseguir buena información para analizar y posteriormente tomar decisiones. Que sea algo que sirva, no sólo algo para mostrar al auditor de que hicimos algo que pedía la norma. El objetivo más allá de hacer lo que pida la norma es que lo que hagamos nos sirva para lograr resultados.

Cada forma de hacer las cosas requiere de una serie de actividades muy distintas, algunas con mayor consumo de recursos (tiempo, dinero, personal, etc.). Cada organización debe tomar esto en cuenta y tomar la decisión que sea más adecuada según sus capacidades o limitaciones y los resultados que espera.

4. Analizar (Comprender) las Necesidades y Expectativas de las PIP.

Pues bien, toca analizar la información recolectada, y en este particular podríamos convocar a una reunión con el personal directivo para realizar el análisis y posteriormente determinar los requisitos pertinentes de las partes interesadas pertinentes. 

Algunas opciones que se pueden contemplar es recolectar la información procesarla, condensarla y enviarla a las personas que participarán del análisis de la información para determinación de los requisitos pertinentes.

También podrías realizar este análisis con los gerentes de segundo nivel (sin involucrar todavía a la Gerencia o Dirección General) y determinar los requisitos pertinente propuestos, que se presentarán luego a la Gerencia o Dirección General. Es que a veces la Gerencia o Dirección General es difícil agarrarla, no tiene mucho tiempo disponible, y podríamos presentar algo previamente procesado.

Es importante y un debe que la Gerencia o Dirección participe, lo recomienda la norma en 5.1.2 Liderazgo y Compromiso con respecto al Enfoque al cliente. La Alta Dirección debe asegurar la comprensión, el establecimiento y seguimiento al cumplimiento de los requisitos, y no sólo los del cliente.

Bueno, igual que como lo mencionamos en todos los pasos anteriores, lo importante es realizar el ejercicio a conciencia, sabiendo el propósito del mismo, Asegurar el logro de los resultados esperados, evitar que las partes interesadas pertinentes nos metan el pie y no nos permitan lograr los resultados, o desde el punto de vista positivo aprovechar las oportunidades para potenciar el logro de los resultados. Como Gerentes que somos necesitamos lograr los resultados esperados.

5. Determinar los requisitos pertinentes de las PIP.

No todas las Necesidades o Expectativas son pertinentes. Hay que determinar cuáles de ellas sí son pertinentes. Es decir, que si no las cumplimos podríamos poner en riesgos la Satisfacción del Cliente, la entrega de productos o servicios conformes, la Eficacia en las Operaciones (el logro de los Objetivos). 

En este caso podríamos establecer criterios como cuando hicimos el análisis de la pertinencia de las partes interesadas. O bien, podríamos preguntarnos por cada necesidad o expectativa si esta parte podría afectar el logro de los resultados si no cumplimos esa necesidad. Podríamos realizar un análisis de riesgos y oportunidades, podríamos utilizar el método What if (Qué pasa si...).

Si al no cumplir esa necesidad o expectativa se pone en riesgo el logro de los resultados del SG, entonces esta necesidad o expectativa debería ser un requisito obligatorio a cumplir.

6. Seguimiento y Revisión.

Si hay una constante en la vida es el cambio. Cambia, todo cambia, como dice Mercedes Sosa en la canción. Esto quiere decir que debemos monitorear la situación con las Partes Interesadas, hoy podemos estar bien con todas las partes interesadas, pero más adelante las cosas pueden cambiar y pueden surgir riesgos significativos que hoy no tenemos. 

Esto por una parte, pero por otra parte hay que hacer seguimiento al cumplimiento de los requisitos, para asegurarnos que logramos los resultados esperados, o bien para ajustar las estrategias o cambiarlas para asegurar los resultados.

El seguimiento y revisión, al igual, que todo lo anterior, lo define cómo y cada cuanto lo hará, la organización.

Se pueden hacer con intervalos diferenciados según cada parte interesada o requisito, pero también se puede hacer de con un intervalo igual. Habrá que analizar qué es lo mejor, lo mejor para asegurar los resultados, lo mejor para reducir los riesgos.

Podríamos ligar el seguimiento a la Revisión por la Dirección. Es más, ya está establecido en Revisión por la Dirección 9.3.2 que se realice retroalimentación sobre las partes interesadas pertinentes. 

¿Qué puede pasar si realizamos seguimiento y revisión una vez año? La pregunta clave es ¿Cuál es el riesgo con respecto a los resultados?

El riesgo puede ser que no se haya hecho nada, o bien que se haya hecho muy poco. El riesgo puede ser que hasta en ese momento nos demos cuenta que no va funcionando la cosa, que hemos tenido muchos problemas por las partes interesadas. El riesgo es que nos estalle una huelga de los trabajadores por no haber implementado las medidas necesarias, o que nos estalle un boicot de los trabajadores o de la comunidad, o que tengamos multas o cierres o sanciones de parte de los entes reguladores por no haber implementado las acciones necesarias, o que hayamos perdido uno o varios contratos con los clientes por no haber cumplido con sus requisitos. 

El riesgo que nos pase todo lo que dijimos que queríamos evitar que pasara, que se materialicen todos los riesgos.

Recuerda, que las Buenas Prácticas son Buenas Prácticas por algo, son Buenas Prácticas porque funcionan, porque muchas empresas han demostrado que funcionan y que especialistas las han propuesto porque ayudan realmente a lograr resultados. Recuerda no hacer lo que dice la norma sólo por cumplir los requisitos y certificarte, sino también hacer lo que dice la norma para lograr los resultados esperados.

Espero con este breve, pero quizá para algunos extenso artículo, haber contribuido a la comprensión de las Buenas Prácticas establecidas en la Norma, y haber ayudado con algunas opciones para llevar a cabo estas Buenas Prácticas y lograr los resultados.

Axel Chavarria Morales

Asesor en Gestión Empresarial

TOMADO DE: https://www.linkedin.com/

TODO LO QUE NECESITAS SABER SBRE ISO 53001 LA NUEVA NORMA PARA CERTIFICAR LA AGENDA 2030

Muchas organizaciones ya integran los ODS, pero carecen de un marco verificable que demuestre resultados reales. ISO 53001 nace como la nueva norma para certificar la Agenda 2030 y dar confianza a grupos de interés, inversores y administraciones.

 Conocer su enfoque, alcance y requisitos te ayudará a transformar buenas intenciones en un sistema de gestión medible, auditable y alineado con los 17 Objetivos de Desarrollo Sostenible.

ISO 53001 estructura la gestión de la Agenda 2030 dentro de la estrategia

ISO 53001 se concibe como un estándar de sistema de gestión, alineado con la estructura de alto nivel de otras normas ISO. Esto significa que integra los ODS en la estrategia corporativa y no solo en proyectos aislados, para que la contribución a la Agenda 2030 forme parte del modelo de negocio y de la toma de decisiones diaria en todas las áreas clave.

La nueva norma para certificar la Agenda 2030 se apoya en el ciclo PDCA, por lo que requiere planificar objetivos, ejecutarlos, evaluar resultados y mejorar. Este enfoque permite conectar riesgos, oportunidades y expectativas de grupos de interés con una hoja de ruta clara, de modo que los ODS se gestionen con el mismo rigor que la calidad o el medio ambiente en organizaciones de cualquier tamaño.

ISO 53001 define cómo alinear tu organización con los ODS de forma medible

La gran aportación de ISO 53001 es que obliga a definir prioridades entre los 17 ODS y sus metas, en función de tu contexto y cadena de valor. Así evitas dispersarte y centras recursos en los impactos realmente materiales, lo que facilita demostrar compromisos concretos frente a clientes, inversores y administraciones cuando buscan evidencias verificables de sostenibilidad.

En este marco, la nueva norma para certificar la Agenda 2030 impulsa indicadores cuantificables, tanto de desempeño como de impacto. Debes seleccionar métricas alineadas con los ODS priorizados y vincularlas a metas temporales. De esta forma, puedes conectar los avances de tu sistema de gestión con informes ESG, memoria de sostenibilidad y reporting no financiero exigido por la regulación europea.

ISO 53001 profundiza en el análisis de contexto y grupos de interés

La norma exige un análisis de contexto exhaustivo que incluya tendencias regulatorias, sociales y ambientales relacionadas con los ODS. Ese análisis abarca cadena de suministro, operaciones internas y entorno local, lo que permite detectar impactos positivos y negativos de tu organización sobre la Agenda 2030 y priorizar respuestas proporcionales a cada riesgo u oportunidad.

El enfoque hacia grupos de interés también gana peso en ISO 53001, ya que debes mapearlos y entender sus expectativas respecto a los ODS. Este diálogo se traduce en compromisos específicos, políticas y planes de acción supervisados desde la alta dirección, de modo que la participación de stakeholders se integre en la gobernanza del sistema y no quede en consultas puntuales sin seguimiento.

ISO 53001 integra los ODS con otros sistemas de gestión ISO

Al compartir estructura con normas como ISO 9001 o ISO 14001, ISO 53001 se integra con facilidad en un sistema de gestión ya existente. Puedes aprovechar procesos, comités y registros, incorporando nuevos requisitos relacionados con los ODS, lo que reduce esfuerzos y evita crear un sistema paralelo que genere burocracia adicional en tu organización.

Esta integración también facilita la labor de las personas responsables de sostenibilidad, calidad o compliance, que normalmente ya coordinan auditorías internas y externas. Con un sistema único puedes consolidar evidencias y gestionar acciones correctivas de forma centralizada, de manera que las mejoras relacionadas con la Agenda 2030 se enlacen con hallazgos de otras normas y generen sinergias reales.

La nueva norma para certificar la Agenda 2030 transforma el enfoque de impacto

La nueva norma para certificar la Agenda 2030 cambia el foco desde acciones puntuales hacia resultados medibles en los ODS priorizados. Esto implica vincular tus proyectos de RSC, innovación o inversiones sostenibles con metas concretas de la Agenda 2030, para que cada euro y cada hora invertida tengan un impacto trazable en indicadores claros y comunicables a los grupos de interés.

Muchas organizaciones ya se están preparando, apoyándose en borradores y guías técnicas sobre ISO 53001. La experiencia acumulada en estas primeras implantaciones demuestra que trabajar con un enfoque de sistema de gestión potencia la coherencia interna, lo que reduce mensajes contradictorios entre departamentos y alinea campañas de comunicación con la realidad de los datos reportados.

ISO 53001 refuerza la rendición de cuentas sobre los ODS

Uno de los objetivos de ISO 53001 es reducir el riesgo de greenwashing vinculado a la Agenda 2030. La norma exige evidencias documentadas de planificación, ejecución y seguimiento, incluyendo actas, registros y resultados de evaluación, por lo que cada afirmación sobre contribución a los ODS debe estar respaldada por datos revisados mediante auditorías independientes periódicas.

Este enfoque refuerza la confianza en el mercado, ya que las partes interesadas pueden verificar logros y avances. Para muchas organizaciones, disponer de un certificado ISO 53001 resultará clave en licitaciones, acuerdos con grandes clientes o financiación sostenible, porque la certificación ofrece una señal clara sobre la solidez de tu sistema de gestión y minimiza dudas sobre la credibilidad de tus compromisos.

ISO 53001 impulsa la mejora continua en la contribución a los ODS

Con la nueva norma para certificar la Agenda 2030, no basta con implantar buenas prácticas iniciales; es obligatorio medir resultados y revisar periódicamente el sistema. Esto te lleva a reajustar prioridades, optimizar recursos y lanzar iniciativas más ambiciosas, para que la contribución de tu organización a los ODS crezca año tras año en lugar de quedarse estancada en acciones simbólicas sin seguimiento real.

La revisión por la dirección juega un papel decisivo, porque obliga a revisar metas, riesgos e indicadores con visión estratégica. En este punto, contar con datos consolidados y accesibles es fundamental para tomar decisiones rápidas, de modo que la Agenda 2030 no se perciba como un proyecto aislado, sino como un componente permanente del cuadro de mando corporativo.

En muchos proyectos iniciales, las organizaciones están trabajando con el borrador de la norma para anticiparse a la publicación definitiva. Esta fase ofrece un campo de aprendizaje muy valioso sobre interpretación de requisitos y ajustes prácticos, como se observa en experiencias compartidas sobre ISO 53001 draft aplicada a la certificación de la Agenda 2030, donde se detallan avances y retos en los primeros pilotos.

ISO 53001 convierte la Agenda 2030 en un sistema de gestión verificable, medible y auditable, alejando tu organización del greenwashing y acercándola a resultados reales en los ODS.

Claves para preparar tu organización ante ISO 53001 y reducir la brecha

Si quieres llegar con ventaja cuando se generalice la nueva norma para certificar la Agenda 2030, resulta fundamental evaluar la madurez actual de tu organización. Puedes comenzar revisando políticas existentes, análisis de materialidad y reportes ESG, identificando huecos frente al enfoque de sistema de gestión, para definir un plan de transición realista que no bloquee tu día a día ni sobrecargue a los equipos clave.

Otra palanca esencial es la formación de mandos intermedios y responsables de procesos, porque serán quienes integren los ODS en procedimientos, indicadores y decisiones diarias. Si comprenden el lenguaje ISO y el enfoque de mejora continua, les resultará más sencillo traducir los requisitos de ISO 53001 en acciones concretas alineadas con riesgos, oportunidades y objetivos ya existentes en la organización.

Primeros pasos prácticos para alinear tus procesos con ISO 53001

Un enfoque muy eficaz consiste en mapear procesos clave y vincularlos con los ODS más relevantes, antes incluso de hablar de certificación. Puedes analizar cómo cada proceso impacta en cuestiones sociales, ambientales y económicas, para después seleccionar indicadores de resultado razonables, de modo que cuando implantes ISO 53001 ya dispongas de una base de datos y experiencias sobre las que construir el sistema de gestión completo.

También ayuda revisar proyectos actuales de sostenibilidad y reorientarlos hacia metas claras de la Agenda 2030. Esta revisión convierte iniciativas dispersas en programas estructurados con responsables, plazos y recursos definidos, lo que acerca tus prácticas a la lógica de planificación, seguimiento y mejora que la norma exigirá al evaluar la coherencia de tu contribución a los ODS.

Lecciones extraídas de los debates sobre la futura ISO 53001

Los debates técnicos sobre la futura ISO 53001 ponen de relieve la importancia de conectar la norma con marcos como los estándares de reporte ESG y las exigencias regulatorias europeas. Estas reflexiones ayudan a entender hacia dónde evolucionarán las expectativas de mercado, como se recoge en análisis especializados sobre la futura ISO 53001 y su relación con los ODS, en los que se prioriza la coherencia entre gestión, indicadores y comunicación.

Todo apunta a que la nueva norma para certificar la Agenda 2030 se convertirá en un referente para demostrar impacto real, especialmente en sectores sometidos a fuerte presión regulatoria y social. Quedarse al margen del proceso de aprendizaje inicial supondrá una desventaja competitiva, ya que las organizaciones más avanzadas consolidarán metodologías y datos que después resultarán difíciles de igualar a corto plazo.

Digitalización y datos fiables como base para un sistema ISO 53001 robusto

ISO 53001 exige trazabilidad de datos, evidencias y decisiones, por lo que depender de hojas de cálculo dispersas genera riesgos elevados. Centralizar la información de objetivos, indicadores, acciones y auditorías en una plataforma especializada reduce errores, facilita el seguimiento y permite responder con rapidez a auditores y grupos de interés cuando solicitan información detallada sobre determinados ODS o metas específicas.

La digitalización también mejora la colaboración interna, ya que distintos departamentos pueden registrar avances, subir evidencias y actualizar indicadores en tiempo real. Esta dinámica compartida incrementa el sentido de responsabilidad sobre los ODS, porque cada área ve cómo sus datos alimentan cuadros de mando globales que la alta dirección utiliza para tomar decisiones estratégicas sobre la Agenda 2030.

La experiencia de organizaciones pioneras demuestra que anticiparse a ISO 53001, estructurar la información clave y formar a los equipos facilita mucho la transición hacia un sistema certificado. Cuanto antes conectes tus proyectos de sostenibilidad con un enfoque de sistema de gestión, más sencillo resultará demostrar un impacto consistente y aprovechar la nueva norma para certificar la Agenda 2030 como una ventaja competitiva real.

Preguntas frecuentes sobre ISO 53001 y la nueva norma para certificar la Agenda 2030

¿Qué es ISO 53001 y cuál es su relación con la Agenda 2030?

ISO 53001 es una futura norma internacional que establecerá requisitos para un sistema de gestión orientado a la Agenda 2030 y los ODS. Su objetivo es convertir la contribución a los ODS en procesos planificados, medibles y auditables, de forma que las organizaciones puedan certificar de manera independiente su enfoque de gestión y demostrar resultados coherentes ante sus grupos de interés.

¿Cómo se implanta un sistema de gestión conforme a ISO 53001?

Implantar ISO 53001 implica seguir el ciclo PDCA: analizar contexto y grupos de interés, priorizar ODS, definir objetivos e indicadores, implementar acciones, evaluar resultados y mejorar. Es fundamental documentar procesos, responsabilidades y evidencias, de manera que el sistema resulte comprensible para las personas internas y verificable por auditores externos durante la certificación.

¿En qué se diferencian ISO 53001 y otros estándares de sostenibilidad o ESG?

Mientras muchos marcos ESG se centran en reportar información, ISO 53001 se centra en gestionar la contribución a los ODS dentro de un sistema estructurado. Un informe ESG describe resultados, pero la norma establece cómo planificar, ejecutar y mejorar, por lo que funciona como la base de gestión sobre la que después se construye el reporting conforme a exigencias regulatorias o de mercado.

¿Por qué puede ser importante certificarse en la nueva norma para certificar la Agenda 2030?

La certificación según ISO 53001 aportará una garantía independiente sobre el modo en que gestionas los ODS. Esto reducirá el riesgo de percepciones de greenwashing y reforzará tu posición ante clientes, inversores y administraciones, de forma que la contribución a la Agenda 2030 pase de ser un discurso genérico a una ventaja competitiva demostrable basada en evidencias verificadas.

¿Cuánto tiempo puede llevar preparar una organización para cumplir ISO 53001?

El tiempo necesario depende del tamaño, complejidad y nivel de madurez en sostenibilidad de cada organización. Como referencia, muchas implantaciones de sistemas de gestión similares oscilan entre seis y doce meses, incluso más cuando se parte de cero, de modo que resulta clave iniciar pronto el diagnóstico y la planificación para llegar preparados a la nueva norma para certificar la Agenda 2030.

TOMADO DE: https://www.kantansoftware.com/

SÍGUENOS PARA ESTAR ACTUALIZADOS SOBRE NUESTRAS PUBLICACIONES

 Si deseas permanecer actualizado sobre la evolución de las Normas ISO, síguenos con estos breves pasos.

PREGUNTAS FRECUENTES SOBRE LA ISO 19011:2026

La futura ISO 19011:2026 marcará un nuevo estándar para la gestión de auditorías internas, y prepararte a tiempo te permite reducir riesgos, ganar eficiencia y reforzar la confianza en tu sistema integrado.

 Descubrirás qué cambios puedes esperar, cómo impactarán en tu programa de auditorías y cómo Kantan Software te ayuda a anticiparte y adaptar tus procesos con agilidad.

La futura ISO 19011:2026 redefine la forma de gestionar y auditar sistemas de gestión

La futura ISO 19011:2026 seguirá siendo la guía de referencia mundial para planificar y ejecutar auditorías de sistemas de gestión. Es previsible que profundice en el enfoque basado en riesgos, la integración de varias normas y el uso intensivo de herramientas digitales. Esto afectará a tu programa anual de auditorías, a la competencia del equipo auditor y a la forma de registrar evidencias.

Hoy muchas organizaciones ya gestionan auditorías internas para ISO 9001, 14001 o 45001 de forma integrada y alineada con ISO 19011:2018. El nuevo texto no cambiará los fundamentos, pero sí puede exigir más madurez en áreas como la objetividad del auditor, el enfoque a partes interesadas y la trazabilidad de las decisiones.

La futura ISO 19011:2026 exigirá una preparación anticipada en tu programa de auditorías

Adaptarte a la futura ISO 19011:2026 consiste en revisar un procedimiento y en alinear todo tu ciclo de auditoría interna. Necesitas revisar el plan anual, los criterios, las listas de verificación, los métodos de muestreo y la forma de tratar los riesgos detectados. Cuanto antes empieces este análisis, menor será el impacto cuando se publique la nueva versión.

Una de las claves estará en la planificación de las auditorías internas de calidad, ya que se consolidan como la herramienta principal para comprobar la eficacia del sistema. Profundizar en los pasos del proceso te ayudará a construir un enfoque robusto y coherente con la futura ISO 19011:2026, apoyando auditorías que realmente aporten valor y no solo cumplan una exigencia formal.

Si quieres reforzar tu metodología, resulta muy útil revisar los pasos para realizar una auditoría interna de calidad ISO 9001, y traducir cada fase a requisitos de competencia, planificación y registro compatibles con un enfoque integrado de auditorías.

La evolución de ISO 19011 hacia 2026 refuerza el enfoque basado en riesgos y oportunidades

La futura ISO 19011:2026 seguirá alineada con la estructura de alto nivel de las normas ISO de sistemas de gestión. Esto implica que los riesgos y oportunidades seguirán ocupando un lugar central en la planificación de auditorías. No bastará con verificar el cumplimiento documental, tendrás que priorizar procesos, actividades y sedes donde el riesgo para clientes, medio ambiente o seguridad sea mayor.

Esta orientación facilita que tu programa de auditorías tenga una lógica muy clara para la dirección. Tu plan anual debería justificar por qué aumentas la frecuencia en ciertos procesos críticos, cómo relacionas los hallazgos con los riesgos identificados y qué evidencias usas para demostrar que las acciones reducen dichos riesgos en el tiempo.

El programa de auditorías deberá priorizar riesgos, contexto y partes interesadas

La futura ISO 19011:2026 reforzará la conexión entre auditoría, contexto y partes interesadas. Los auditores internos necesitarán comprender mejor las expectativas del cliente, los requisitos legales y los compromisos estratégicos de la organización. Esa comprensión permitirá definir criterios más relevantes y preguntas que lleguen al corazón de los procesos, más allá de la mera revisión de registros.

Por ejemplo, si tu sistema combina ISO 9001 e ISO 14001, el programa de auditorías tendrá que identificar procesos con fuerte impacto ambiental y alta criticidad para la satisfacción del cliente. Esa doble mirada te ayudará a detectar no conformidades cruzadas y oportunidades de mejora que afecten a más de un sistema de gestión a la vez.

La digitalización de las auditorías internas ganará peso con la futura ISO 19011:2026

Aunque la futura ISO 19011:2026 no prescribirá herramientas concretas, sí favorecerá el uso sistemático de software para auditar. Esto incluye la planificación, la asignación de auditores, la captura de evidencias y el seguimiento de acciones. El uso de plataformas como Kantan reduce errores manuales, acorta tiempos de análisis y mejora la trazabilidad de hallazgos y decisiones.

Digitalizar tu sistema de auditorías facilita que compartas datos en tiempo real con la dirección y responsables de proceso. Además, simplifica la integración de auditorías para distintas normas, ya que puedes usar matrices comunes de riesgos, checklists paramétricas y flujos de trabajo homogéneos para todas las normas ISO implementadas.

La futura ISO 19011:2026 incrementará las exigencias sobre la competencia del equipo auditor

Uno de los ejes más sensibles de la futura ISO 19011:2026 será la competencia de los auditores internos. No basta con conocer la norma, el auditor tendrá que demostrar habilidades para analizar datos, entrevistar personas, gestionar conflictos y utilizar herramientas digitales. Ese conjunto de capacidades será clave para garantizar auditorías objetivas, profundas y orientadas a la mejora.

Trabajar el desarrollo del equipo auditor se vuelve estratégico. Necesitas definir perfiles, establecer criterios de selección y ofrecer formación periódica. Aspectos como la independencia, la ética y la capacidad de comunicación serán tan importantes como el dominio técnico de cada norma de gestión aplicada en tu organización.

Si te interesa fortalecer este aspecto, resulta esencial revisar la importancia del equipo auditor, su selección y entrenamiento, y extender esos principios a un entorno donde la futura ISO 19011:2026 demandará más rigor en la evaluación de competencias.

La formación del auditor deberá abordar habilidades técnicas, digitales y blandas

La formación vinculada a la futura ISO 19011:2026 se orientará a un perfil de auditor más completo. Deberás contemplar contenidos sobre interpretación de varias normas, análisis de procesos, identificación de riesgos, manejo de herramientas de software y competencias interpersonales. El objetivo será que el auditor pueda desenvolverse con solvencia en auditorías presenciales, remotas o mixtas.

Diseñar un plan de formación anual para auditores internos te permite demostrar ante organismos de certificación que cuentas con un enfoque sistemático. Registrar cursos, asistencias, evaluaciones y seguimientos en una plataforma única facilitará justificar la competencia actualizada del equipo frente a los nuevos requisitos que incorpore la futura ISO 19011:2026.

La independencia y la objetividad del auditor seguirán bajo especial vigilancia

La futura ISO 19011:2026 mantendrá la independencia como principio esencial de la auditoría. Esto implica evitar que las personas auditen procesos sobre los que tienen responsabilidad directa. Gestionar esta separación es más complejo en organizaciones pequeñas o con estructuras muy matriciales, por lo que conviene analizar alternativas creativas sin comprometer la objetividad.

Una buena práctica consiste en usar matrices de competencias cruzadas y rotación de auditores entre procesos y sedes. De esa forma, garantizas que siempre haya alguien capaz de auditar de forma independiente, sin dejar de cubrir todos los ámbitos clave de tu sistema de gestión integrado.

La futura ISO 19011:2026 transformará el ciclo de vida de hallazgos, acciones y mejora continua

Más allá de la planificación y la ejecución, la futura ISO 19011:2026 impactará con fuerza en cómo gestionas los resultados de tus auditorías. Los hallazgos no deberían quedarse en listados de no conformidades, sino alimentar un sistema vivo de mejora continua. Esto exige una gestión disciplinada de acciones correctivas, análisis de causa raíz y medición de eficacia.

Los órganos de gobierno y la alta dirección esperan evidencias claras del retorno de las auditorías internas. Un sistema bien estructurado permite demostrar que los hallazgos impulsan mejoras en indicadores clave, reducen reclamaciones o minimizan riesgos de incumplimiento legal, algo que toma aún más relevancia en entornos regulados.

Los hallazgos deberán vincularse con riesgos, indicadores y decisiones de la dirección

La futura ISO 19011:2026 reforzará la necesidad de trazar un hilo lógico entre hallazgos, riesgos y decisiones. No basta con cerrar acciones, debes poder explicar cómo un hallazgo concreto se relaciona con un riesgo priorizado y qué impacto tiene la acción correctiva aplicada. Este razonamiento fortalece la confianza de la dirección en el valor estratégico de las auditorías.

En la práctica, esto se traduce en mapear cada hallazgo con riesgos del registro corporativo, indicadores afectados y decisiones tomadas en comités de seguimiento. La automatización de estos enlaces a través de software específico hará mucho más sostenible esta trazabilidad cuando tu organización maneja decenas de auditorías al año.

El uso de software para auditorías permitirá responder mejor a la ISO 19011:2026

Una plataforma como Kantan Software facilita cumplir la futura ISO 19011:2026 con un esfuerzo administrativo mínimo. Puedes definir tu programa de auditorías, asignar auditores, registrar hallazgos desde web o móvil y lanzar acciones correctivas con flujos automatizados. Todo queda centralizado, auditable y accesible para el equipo de gestión y la dirección.

El uso de un software especializado elimina hojas de cálculo dispersas y versiones contradictorias de listas de verificación. Además, te permite parametrizar criterios de evaluación alineados con múltiples normas y con las buenas prácticas que consolidará la futura ISO 19011:2026, reforzando la coherencia entre todas tus auditorías internas.

Anticipar los cambios de la futura ISO 19011:2026 te permite transformar tus auditorías internas en una auténtica palanca de mejora. No se trata solo de actualizar documentos, sino de construir un modelo de auditoría más estratégico, digital y conectado con el negocio, algo que las direcciones valoran cada vez más en entornos competitivos y regulados.

La futura ISO 19011:2026 será una oportunidad para convertir las auditorías internas en una herramienta estratégica, digital y basada en riesgos.

Si empiezas a trabajar ahora en tu programa de auditorías, llegarás a la publicación de la futura ISO 19011:2026 con una base sólida. Podrás ajustar matices, incorporar nuevos requisitos y demostrar ante certificadores y partes interesadas que tu organización no reacciona tarde, sino que lidera el cambio con un enfoque proactivo y planificado.

En resumen, la futura ISO 19011:2026 traerá exigencias más claras sobre riesgos, digitalización y competencia de auditores, pero también abre una ventana para profesionalizar tu sistema de auditorías internas. Si combinas metodología sólida, formación y un buen soporte tecnológico, podrás cumplir con la norma y extraer un valor real de cada auditoría realizada.

Preguntas frecuentes sobre la futura ISO 19011:2026

¿Qué es la futura ISO 19011:2026 y por qué resulta relevante?

La futura ISO 19011:2026 será la actualización de la guía internacional para auditar sistemas de gestión ISO. Es relevante porque orienta cómo planificar, ejecutar y mejorar las auditorías internas e integradas. Afectará directamente a tu programa de auditorías, a la competencia del equipo auditor y a la forma de demostrar que tus sistemas aportan resultados y no simple cumplimiento documental.

¿Cómo puedo preparar mi programa de auditorías para la futura ISO 19011:2026?

Para prepararte, revisa tu programa anual, incorpora un enfoque robusto basado en riesgos y asegura la independencia de los auditores. Conviene revisar plantillas, listas de verificación y criterios de evaluación, además de digitalizar la planificación y el seguimiento de hallazgos. Anticipar estos ajustes hará que la transición sea rápida cuando se publique la versión definitiva.

¿En qué se diferencian las auditorías actuales de las que plantea la futura ISO 19011:2026?

Las auditorías actuales ya se basan en la versión 2018 de la norma, centrada en principios de auditoría, gestión de programas y realización de auditorías. La futura ISO 19011:2026 mantendrá esos pilares, pero reforzará el enfoque basado en riesgos, la integración de normas, la digitalización y los requisitos de competencia del auditor, elevando el nivel de exigencia y profesionalización del proceso de auditoría.

¿Por qué la competencia del auditor será aún más crítica con la futura ISO 19011:2026?

La competencia del auditor será más crítica porque la futura ISO 19011:2026 hará mayor énfasis en la capacidad para analizar riesgos, integrar varias normas y usar herramientas digitales. Un auditor poco preparado puede pasar por alto riesgos clave o generar hallazgos poco útiles. En cambio, un equipo competente convierte cada auditoría en una oportunidad real de aprendizaje y mejora continua.

¿Cuánto tiempo necesito para adaptar mi sistema de auditorías a la futura ISO 19011:2026?

El tiempo dependerá de la madurez actual de tu programa de auditorías y del grado de digitalización existente. Si ya trabajas con enfoque basado en riesgos y utilizas software especializado, la adaptación será relativamente rápida. Si dependes de hojas de cálculo y no tienes un plan claro de competencias, necesitarás varios meses para rediseñar procesos y formar adecuadamente al equipo auditor.

TOMADO DE: https://www.kantansoftware.com/

CÓMO GERENCIAR LOS RIESGOS DE PROYECTO Y MAXIMIZAR LA PROBABILIDAD DE ALCANZAR LOS OBJETIVOS

Antes de que empecemos a hablar de cómo gerenciar riesgos, vale la pena hacer una breve conceptuación. Es natural que asociemos riesgos a errores en los proyectos.

En verdad, riesgos son eventos o condiciones futuras con cierta probabilidad de ocurrir y que pueden llegar a tener impacto en el proyecto. 

El impacto puede ser negativo o positivo.  cuando se trata de una amenaza, o positivo, en las situaciones en que el riesgo se configura en una oportunidad. De una forma o de otra, tenerlos mapeados y gerenciados es fundamental para el éxito del proyecto. Pero eso aún no es realidad en muchas empresas. Un sondeo del Project Management Institute (PMI) muestra que una parte significativa de ellas aún no adopta prácticas de gerencia de riesgos.

El mismo estudio del PMI revela que, entre los proyectos que fracasaron, el 29% de ellos tuvieron como origen de la falla la falta de definición de riesgos y oportunidades.

Como gerenciar los riesgos de proyecto

Gerenciar los riesgos significa aumentar la probabilidad de que eventos positivos ocurran o aumenten su impacto y disminuir la chance de ocurrencia de amenazas o minimizar sus consecuencias.  De este modo, se logra maximizar las chances de éxito del proyecto. A continuación, vamos a describir los siete procesos fundamentales para la gerencia de riesgos de proyecto.

1 – Planificar la gerencia

Se debe iniciar el proceso de planificación de riesgos ya en la concepción del proyecto que idealmente, debe estar concluido antes del inicio efectivo de su ejecución. Esta etapa define cómo serán tratadas las actividades de gerencia de riesgos del proyecto. Esto busca garantizar que haya grado, tipo y visibilidad adecuados a los propios riesgos y a la importancia del proyecto.  Un plan de gerencia de riesgos típico contiene los siguientes elementos:

Estrategia de riesgos

Hacer un abordaje general de la gerencia de riesgos de aquel proyecto específico.

Metología

Definir herramientas y fuentes de datos que deben ser usados para gerenciar los riesgos.

Papeles y responsabilidades

Definir al líder y demás miembros del equipo de gestión de riesgos y las responsabilidades de cada uno de ellos.

Financiación

Identificar el origen de los fondos necesarios para las actividades de gerencia de riesgo. También se establecen criterios para el uso de reservas de contingencia.

Plazos

Definir de cuánto en cuánto tiempo las actividades para gerenciar los riesgos serán ejecutadas durante el ciclo de vida del proyecto. Además de eso, define las actividades de gestión de riesgos a ser incluidas en el cronograma del proyecto.

Categoría de los riesgos

Identificar la forma para agrupar los riesgos del proyecto. Un modo común de hacer esto es creando una estructura que abrigue jerárquicamente las posibles fuentes de riesgos. El PMBOK, guía editado por el Project Management Institute (PMI), sugiere el uso de una Estructura Analítica de Riesgos (EAR), como en la figura a continuación:

Apetito por riesgos de las partes interesadas

Se debe registrar el apetito por los riesgos de las principales partes interesadas, informando los límites de los riesgos mensurables. Eso va a determinar el nivel aceptable de exposición al riesgo general del proyecto y será usado en las definiciones de probabilidad e impactos a ser utilizados en la evaluación y priorización de los riesgos del proyecto.

Definición de probabilidad e impacto de los riesgos

Los niveles de probabilidad e impacto están directamente asociados al apetito a riesgos de la organización y de las partes interesadas. El proyecto puede tener definiciones específicas de probabilidad que pueden derivar de definiciones generales de la propia organización. La figura a continuación muestra un ejemplo de definiciones de probabilidad e impacto relacionadas a los objetivos de costo, plazo y desempeño de un proyecto. Ellas pueden ayudar a evaluar las amenazas (atraso, costo adicional y bajo desempeño) como también las oportunidades (reducción de tiempo o costo y mejora en el desempeño).

Ejemplo de definiciones de probabilidad e impacto

Matriz de probabilidad e impacto

Las reglas de priorización pueden ser aquellas definidas por la organización y adaptadas para el proyecto en cuestión. Los riesgos con impacto positivo y las amenazas son incluidas en una matriz permitiendo que se calcule la probabilidad-impacto de cada riesgo.

Ejemplo de Matriz Probabilidad e Impacto

informes para Gerenciar los riesgos

Describir el contenido y el formato a ser usado para registrar los riesgos, así como la comunicación sobre ellos. Es por medio de los informes que se mostrará a las partes interesadas cómo la gestión de riesgos está siendo conducida, evidencias de los análisis y posibles acciones que hayan sido necesarias.

Seguimiento

Definir cómo las actividades relacionadas a los riesgos serán documentadas y auditadas.

2 – Identificar los riesgos

En esta etapa se identifican individual y formalmente los riesgos inherentes al proyecto y a las fuentes de riesgo en potencial. El equipo del proyecto y su gerente deben trabajar activamente en el levantamiento de las amenazas y oportunidades que puedan afectar al proyecto. Clientes, especialistas, usuarios finales y otras partes interesadas también deben ser involucrados en la identificación de los riesgos del proyecto.

Se debe adoptar un formato estándar para identificación y registro de los riesgos. Esto es para asegurar el pleno entendimiento de los involucrados a fin de que puedan apoyar en la especificación e identificación de las respuestas a los riesgos enumerados. Este es un proceso interactivo que dura todo el ciclo de vida del proyecto pues nuevos riesgos pueden surgir, así como el nivel general de riesgo del proyecto puede cambiar. Al final de esta etapa se debe tener:

• Lista de riesgos identificados
• Posibles responsables por cada riesgo
• Lista de respuestas a los riesgos

3 – Análisis Cualitativo de los Riesgos

El análisis cualitativo de los riegos sirve para organizarlos según su probabilidad de ocurrencia e impacto. Se trata de un proceso de naturaleza subjetiva. Por lo tanto, es natural que exista cierta parcialidad en el análisis de los riesgos. Siempre que fuera posible, utilice el apoyo de un tercero como facilitador para marcar las curvas que aparezcan.

4 – Análisis Cuantitativo de los Riesgos

Analizar cuantitativamente los riesgos y evaluar numéricamente los efectos que éstos puedan tener sobre los objetivos del proyecto. También ayuda a identificar a aquellos que demandarán más atención. Normalmente se usa el análisis de Monte Carlo. Con el se simulan los efectos combinados de los riesgos del proyecto para evaluar los posibles impactos. Cuando se evalúan los riesgos involucrando costos, por ejemplo, las estimativas del proyecto son colocadas en perspectivas optimista, probable y pesimista. En posesión de estas informaciones, se calculan las probabilidades de que cada escenario ocurra. De ese modo, se puede lograr construir respuestas eficaces. Por ejemplo, suponga que el costo total del proyecto esté estimado (escenario más probable) en US$ 500.000,00. Realizando el análisis cuantitativo de los riesgos, se puede llegar a conclusiones del tipo:

• Existe apenas un 25% de chance de que el proyecto sea concluido dentro del presupuesto de US$ 500.000,00.
• Por otro lado, existe apenas un 10% de probabilidad de que el costo sobrepase US$ 600.000,00.

En posesión de informaciones como estas, se pueden anticipar los problemas e implementar acciones para mitigarlos.

5 – Planificar Respuestas a los Riesgos

Tener respuestas adecuadas a los riesgos puede minimizar los impactos negativos y maximizar la chance de aprovechar oportunidades. Lo contrario también es verdad. Tomar acciones inadecuadas puede potencializar los efectos maléficos de una amenaza o neutralizar las ganancias que un riesgo positivo tendría.

La guía PMBOK del PMI propone algunas estrategias para trabajar con amenazas y oportunidades asociadas a proyectos:

Estrategias para Amenazas

Escalar: una determinada amenaza debe ser escalada cuando estuviera fuera del foco del proyecto o la respuesta necesaria está por sobre la autoridad de la gerencia del proyecto. El gerente del proyecto puede determinar quién debe ser notificado, si la amenaza se concreta.

Prevenir: se usa cuando el equipo tomará acciones para neutralizar los efectos de la amenaza contra el proyecto o, inclusive, eliminar el riesgo. Es particularmente importante para amenazas con alta probabilidad y alto impacto y puede involucrar cambios en el plan de gerencia del proyecto. Por ejemplo, para prevenir la ocurrencia de determinado riesgo, se puede decidir prorrogar el proyecto o reducir su foco.

Transferir: normalmente involucra pasar la responsabilidad por los impactos a terceros mediante contratación de seguro, pago de bonos, cauciones y garantías.

Mitigar: se trata de disminuir la probabilidad o el impacto de una amenaza. Puede involucrar la aplicación de más pruebas o el uso de procesos menos complejos o la elección de proveedores más estables.

Aceptar: los análisis pueden llevar a la conclusión de que ninguna acción será tomada debido a la baja prioridad o inviabilidad práctica o económica. Incluso habiendo adoptado la estrategia de aceptación, revisiones periódicas del riesgo son importantes. Esto busca identificar cambios significativos que lleven al cambio en la estrategia.

Estrategias para Oportunidades

Escalar: incluso una oportunidad puede generar efectos con los cuales el equipo del proyecto no pueda lidiar. Oportunidades escaladas pueden ser administradas en nivel de programa, cartera o inclusive involucrando otras partes de la organización. El gerente del proyecto puede determinar quién será notificado. Cuando surja la oportunidad, la persona o personas deben ser informadas.

Explorar: normalmente se define la estrategia de exploración para riesgos con efecto positivo y alta prioridad. Es decir, que la organización desea garantizar que su beneficio sea aprovechado. En este tipo de estrategia, se aumenta la probabilidad de ocurrencia buscando alcanzar el 100% de chance.

Compartir: se puede optar por elegir un tercero como responsable por la oportunidad, compartiendo con él los beneficios, caso el riesgo ocurra. Casos típicos de compartida involucran asociaciones, otros equipos o, inclusive, una empresa de propósito.

Mejorar: usada cuando se desea aumentar la chance de ocurrencia de la oportunidad o potencializar sus impactos. Se puede aumentar la probabilidad de una oportunidad potencializándose sus causas. También es posible aumentar sus beneficios enfocando en los fenómenos que influyen en su potencial.

Aceptar: del mismo modo que para las amenazas, se puede concluir que, debido a su baja prioridad o costo/beneficio desfavorable, se optará por no determinar cualquier acción. Asimismo, se indica una revisión periódica para verificar cambios en la naturaleza o potencial de la oportunidad.

6 – Implementar Respuestas a los Riesgos

Hay que cuidar que el acto de gerenciar los riesgos no se quede solo en las etapas de identificación y creación de respuestas. Es fundamental que los responsables estén atentos. Y cuando sea necesario, tomen las acciones necesarias para la implementación de las repuestas a los riesgos. Ajustes en el cronograma, revisión de costos entre otros elementos levantados en la etapa de planificación de respuestas necesitan ser implementados.  Recordando que las debidas solicitudes de cambio deben ser llevadas a cabo según plan de gerencia del proyecto.

7 – Monitorear los Riesgos

La buena administración de los riesgos depende directamente del monitoreo. Es necesario hacer el seguimiento constante de la evolución de las condiciones de riesgo generales y específicas del proyecto. Este proceso necesita ser ejecutado durante todo el ciclo de vida del proyecto. Él brinda subsidios para la tomada de decisiones basadas en informaciones actualizadas. Uno de los objetivos de este proceso es mantener al equipo y a las demás partes interesadas informada. Por ejemplo, si ocurre el surgimiento de nuevas amenazas u oportunidades no mapeadas durante la planificación de la gerencia de riesgos.

Conclusión

Gerenciar los riesgos de un proyecto no es apenas una cuestión de minimizar pérdidas o actuar proactivamente para el éxito del emprendimiento. Él contribuye con la mejora de la ejecución de las actividades, aumentando la visibilidad, facilitando la comunicación y brindando elementos fundamentales para las lecciones aprendidas.

Para formar una buena gestión de proyectos y carteras, en el mercado existen softwares sue ofrecen una solución con bajo costo total de propiedad con gerencia de riesgos integrada. Vale la pena auscultar esta posiblidad.

TOMADO DE: https://blog.softexpert.com/