Cómo planear, ejecutar y cerrar auditorías internas con criterios, cronograma y evidencias

Un programa de auditoría es el conjunto de arreglos para realizar una o varias auditorías durante un período: objetivos, alcance, criterios, métodos, frecuencia, responsables, recursos, cronograma y seguimiento. ISO 19011 cubre precisamente principios de auditoría, gestión del programa y conducción de auditorías.

No es…

  • “Hacer auditoría una vez al año”.

  • “Pasar un checklist documental”.

Sí es…

  • Un sistema continuo para decidir qué auditar, cuándo, con qué profundidad y qué se hace con los resultados.

2) Para qué sirve (y cómo se traduce a resultados)

ISO 9001 y la práctica moderna ven la auditoría interna como un mecanismo de retroalimentación para la alta dirección, capaz de mostrar puntos débiles y oportunidades reales.

Valor real (lo que sí le importa a gerencia)

  • Prevenir costos (reprocesos, desperdicio, garantías).

  • Reducir reincidencia (hallazgos repetidos).

  • Aumentar confiabilidad (estandarizar, controlar, entrenar).

  • Acelerar decisiones (datos → causas → acciones → verificación).

  • Preparar auditorías externas con menos estrés y menos hallazgos mayores.

3) Cómo construirlo: la macro arquitectura del programa (en 9 bloques)

Aquí está el “mapa” del sistema:

(1) Propósito + objetivos

(2) Alcance + procesos + criterios

(3) Gobierno: roles, independencia, recursos

(4) Competencia del equipo auditor

(5) Priorización por riesgo (APS)

(6) Plan anual + cronograma

(7) Plan por auditoría + muestreo + método

(8) Resultados: hallazgos → acciones → eficacia

(9) KPI del programa + mejora del programa

ISO 19011 insiste en gestionar el programa: definir su alcance, considerar riesgos/oportunidades, asignar responsabilidades, mantener competencia, monitorear y mantener registros del programa.

3.1 Objetivos del programa (formato “1 página”)

Regla de oro: objetivo sin métrica = intención bonita.

Plantilla rápida (copia y pega):

  • Objetivo 1: (Conformidad) Confirmar cumplimiento de criterios (norma + internos).

    • Indicador: % auditorías ejecutadas vs plan.

  • Objetivo 2: (Eficacia) Verificar que controles realmente previenen fallas.

    • Indicador: % acciones eficaces.

  • Objetivo 3: (Riesgo) Reducir reincidencias y fallas críticas.

    • Indicador: % hallazgos repetidos / total.

3.2 Alcance: qué entra y qué NO entra

Incluye:

  • Procesos (estratégicos, misionales, soporte)

  • Sedes/turnos/líneas

  • Proveedores críticos (si haces auditoría 2ª parte)

  • Proyectos o servicios críticos

Criterios típicos:

  • Norma aplicable (ej. ISO 9001)

  • Procedimientos/estándares internos

  • Requisitos contractuales del cliente

  • Requisitos legales/regulatorios

3.3 Gobierno del programa (para que sea “auditable”)

Roles mínimos

  • Dueño del programa: usualmente Líder SGC / HSEQ / Calidad.

  • Patrocinador: Alta dirección.

  • Auditor líder: planifica y conduce auditorías.

  • Auditores: ejecutan con independencia.

  • Dueños de proceso: reciben hallazgos y ejecutan acciones.

Mini-RACI

Actividad A (aprueba) R (ejecuta) C (consulta) I (informa)
Aprobar programa anual Gerencia Líder SGC Dueños proceso Todos
Plan anual Líder SGC Auditor líder Gerencia Dueños
Auditoría específica Auditor líder Equipo auditor Dueño proceso Líder SGC
Cierre acciones Dueño proceso Responsable acción Auditor líder Gerencia

4) Priorización por riesgo (la parte que vuelve “inteligente” tu programa)

ISO 19011 recomienda considerar riesgos y oportunidades que afecten el programa y ajustar la auditoría hacia áreas de mayor riesgo, complejidad y desempeño.

4.1 Fórmula APS (Audit Priority Score)

Escalas 1–5:

APS = (Impacto × Probabilidad) + Cambio + Brecha KPI

  • Impacto (I): costo, cliente, seguridad, legal (1 bajo – 5 crítico)

  • Probabilidad (P): frecuencia real (1 rara – 5 frecuente)

  • Cambio (C): cambios recientes (0–5)

  • Brecha KPI (B): desempeño fuera de control (0–5)

Proceso I P C B APS Frecuencia
Compras / proveedores 4 4 3 4 23 trimestral/semestral
Producción 5 3 2 3 20 semestral
Servicio al cliente 4 3 1 4 17 semestral
Gestión documental 3 2 1 2 9 anual

Interpretación sugerida

  • APS ≥ 18 → auditar más frecuente + muestra más amplia

  • APS 12–17 → auditoría anual robusta

  • APS ≤ 11 → auditoría anual por muestreo

5) Plan anual (cronograma) y “reserva táctica”

ISO 19011 sugiere monitorear si se cumplen cronogramas y objetivos, y ajustar el programa según resultados y cambios.

Regla práctica

  • 85–90% auditorías planificadas

  • 10–15% capacidad para auditorías no planificadas: incidentes, reclamos críticos, cambios mayores, fallas repetidas.

Mes Auditoría Tipo Motivo
Feb Compras/Proveedores Proceso APS alto + quejas insumo
Abr Producción Proceso merma + cambio turno
Jun Servicio al cliente Proceso KPI tiempos respuesta
Ago Documental Sistema preparación auditoría externa
Oct Mantenimiento Proceso paradas no planificadas
Dic Auditoría global SGC Sistema cierre anual

6) Plan de auditoría (por auditoría): plantilla corta, poderosa

ISO 19011 cubre la conducción de auditorías y enfatiza claridad en objetivos, criterios, métodos y competencia.

6.1 Plantilla “1 hoja”

A. Objetivo: qué buscas confirmar y qué buscas mejorar
B. Alcance: proceso/sede/turno/período
C. Criterios: norma + interno + cliente + legal
D. Equipo: auditor líder + auditores + experto técnico (si aplica)
E. Agenda: entrevistas, recorridos, revisión de registros
F. Muestreo: qué revisarás y cuántos casos
G. Riesgos de auditoría: disponibilidad, turnos, datos, seguridad
H. Entregables: informe, hallazgos, conclusiones, recomendaciones

 

7) Ejecución: cómo auditar procesos (no “documentos”)

7.1 Guion del día (4 momentos)

  1. Apertura (15–20 min): alcance, agenda, reglas, confidencialidad

  2. Ejecución: entrevistas + observación + evidencias

  3. Consolidación: equipo auditor alinea hallazgos y evidencias

  4. Cierre: se comunican hallazgos con claridad y sin ambigüedad

7.2 Preguntas “inteligentes” (las que revelan la verdad)

  • ¿Cuál es el resultado del proceso y cómo lo miden (KPI)?

  • ¿Qué entrada falla más y cuál control lo detecta?

  • ¿Qué pasa cuando hay desviación? ¿quién decide? ¿en cuánto tiempo?

  • ¿Qué evidencia demuestra que el proceso es eficaz (no solo que existe)?

  • ¿Cuáles son los 3 riesgos del proceso y cómo se controlan?

7.3 Muestreo: regla práctica (no “normativa”)

El muestreo depende del riesgo y del objetivo. Para empezar sin enredarte:

Regla 1 (rápida):

  • Si el proceso es crítico: revisa 20–30 casos o 10%, lo que sea mayor (hasta donde sea operativo).

  • Si es medio: 10–15 casos.

  • Si es bajo: 5–10 casos.

Regla 2 (por tendencia):
Si tienes un KPI fuera de control, aumenta muestra donde el KPI “vive”.

8) Hallazgos: cómo escribirlos para que generen acción (y no pelea)

ISO 9001 APG enfatiza que la auditoría interna debe identificar debilidades y oportunidades, y dar aseguramiento a dirección.

8.1 Fórmula SER (Situación – Evidencia – Requisito)

  • Situación: qué observaste

  • Evidencia: registros/entrevista/observación/datos

  • Requisito: norma/procedimiento/cliente/legal

Ejemplo

  • Situación: En la muestra, 7/20 órdenes sin verificación final.

  • Evidencia: OT-1023/1031… sin firma; supervisor confirma que “a veces no alcanza el tiempo”.

  • Requisito: Procedimiento PR-XX 4.3 (verificación final obligatoria) / criterio interno.

 

🔴 No conformidad: incumple requisito (riesgo real)
🟠 Observación: cumple hoy, pero hay debilidad o tendencia
🟢 Oportunidad: mejora que aumenta eficacia/eficiencia

 

9) Acciones correctivas: el cierre que evita repetición

La acción correctiva debe ir más allá de “arreglar el caso”. ISO 9001 (a través de la lógica de desempeño y mejora) y la guía APG resaltan que la auditoría ayuda a identificar puntos débiles y oportunidades; el valor aparece cuando cierras con eficacia.

9.1 Corrección vs Acción correctiva

  • Corrección: arregla el caso puntual.

  • Acción correctiva: elimina la causa para que no se repita.

9.2 Método 5 Porqués (simple)

  1. ¿Por qué pasó?

  2. ¿Por qué existía esa condición?

  3. ¿Por qué el control no lo detectó?

  4. ¿Por qué no estaba claro/entrenado/estandarizado?

  5. ¿Qué cambio de sistema lo evita?

9.3 Verificación de eficacia (obligatoria si quieres madurez)

Define una prueba medible:

  • 60 días, muestra ≥ 30 casos, 0 órdenes sin verificación final.

  • Reducción del 30% de reclamos del proceso X en 2 meses.

 

10) KPI del programa (tablero que gerencia sí mira)

ISO 19011 habla de monitorear si se cumplen cronogramas, objetivos y desempeño del equipo auditor; aquí lo aterrizo a indicadores operativos.

KPI Fórmula Para qué sirve
Cumplimiento del programa auditorías realizadas / planificadas disciplina del sistema
Tiempo de cierre Σ días (hallazgo→cierre) / # hallazgos agilidad
Reincidencia # hallazgos repetidos / # hallazgos calidad del cierre
Eficacia # acciones eficaces / # acciones impacto real
Densidad por proceso # hallazgos / proceso dónde está el riesgo
Tendencia hallazgos mes n vs n-1 foco y decisiones

10.2 Tablero visual (ejemplo)

MES: Abril
Programa: 3/3 auditorías ✅
Hallazgos: 🔴2 🟠4 🟢3
Cierre acciones: 65% (meta 90%)
Reincidencia: 1/6 = 16.7% (meta <10%)
Procesos críticos: Producción 🔥 | Compras ⚠️
Decisión: estandarizar verificación final + capacitación + control digital

11) “Modo avanzado”: madurez del programa (nivel 1 → nivel 4)

Nivel 1 — Cumplimiento: hay cronograma y actas, poco impacto.
Nivel 2 — Control: hallazgos claros, acciones con fechas, seguimiento básico.
Nivel 3 — Eficacia: KPI del programa + verificación de eficacia + baja reincidencia.
Nivel 4 — Estrategia: auditoría anticipa riesgos, alimenta decisiones y cambios de sistema.

12) Checklist final (2 minutos para saber si tu programa está bien armado)

✅ Objetivos con métricas
✅ Alcance claro por procesos/sedes/turnos
✅ Priorización por riesgo (APS) + frecuencia justificada
✅ Cronograma anual + 10–15% reserva táctica
✅ Plan de auditoría por proceso (criterios, método, muestreo)
✅ Hallazgos escritos en SER (sin ambigüedad)
✅ Acciones con causa raíz + eficacia verificable
✅ Tablero mensual con tendencias y decisiones

Fuentes de referencia (para sustentar el enfoque)

  • ISO 19011: guía de auditoría, principios, gestión del programa y conducción de auditorías.

  • ISO 9001 APG (ISO/TC 176): la auditoría interna como mecanismo de retroalimentación y aseguramiento para dirección.

  • Resumen de apoyo sobre cláusula 9.2 (auditorías internas planificadas para confirmar conformidad y eficacia).

 

¿Quieres más información?

Ingresa a nuestras formaciones online, aprenderás muchos conceptos sobre normatividad internacional vigente. ¡No olvides registrarte! también hay formaciones sin ningún costo.

Encontrarás una formación con más de 10 herramientas útiles que puedes usar para el levantamiento de procesos.

¿Te interesa profundizar más en este tema u otros? Visita otros artículos de nuestra revista para encontrar información de interés para ti. Haz clic aquí.

 

¿Necesitas ayuda con tus procesos?

¡Nosotros te asesoramos!

Escríbenos al WhatsApp o déjanos tus datos en el siguiente formulario:

Nombre de la Empresa a la que representas
Número de teléfono fijo o celular