Guidelines for auditing management systems

This document provides guidance on auditing management systems, including the principles of auditing, managing an audit programme and conducting management system audits, as well as guidance on the evaluation of competence of individuals involved in the audit process. These activities include the individual(s) managing the audit programme, auditors and audit teams. It is applicable to all organizations that need to plan and conduct internal or external audits of management systems or manage an audit programme. The application of this document to other types of audits is possible, provided that special consideration is given to the specific competence needed.

Lignes directrices pour l'audit des systèmes de management

Le présent document fournit des lignes directrices sur l'audit de systčmes de management, comprenant les principes de l'audit, le management d'un programme d'audit et la réalisation d'audits de systčmes de management. Elle donne également des lignes directrices sur l'évaluation de la compétence des personnes impliquées dans le processus d'audit. Ces activités concernent le(s) responsable(s) du management du programme d'audit, les auditeurs et les équipes d'audit. Il est applicable ŕ tous les organismes qui doivent planifier et réaliser des audits internes ou externes de systčmes de management ou manager un programme d'audit. Le présent document peut, en principe, s'appliquer ŕ d'autres types d'audits, ŕ condition toutefois d'accorder une attention toute particuličre aux compétences spécifiques requises.

General Information

Status
Published
Publication Date
02-Jul-2018
Current Stage
6060 - International Standard published
Start Date
19-May-2018
Completion Date
03-Jul-2018
Ref Project

RELATIONS

Buy Standard

Standard
REDLINE ISO 19011:2018 - Guidelines for auditing management systems
English language
46 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 19011:2018 - Guidelines for auditing management systems
English language
46 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
REDLINE ISO 19011:2018 - Lignes directrices pour l'audit des systemes de management
French language
49 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 19011:2018 - Lignes directrices pour l'audit des systemes de management
French language
49 pages
sale 15% off
Preview
sale 15% off
Preview
Standard
ISO 19011:2018 - Guidelines for auditing management systems
Spanish language
49 pages
sale 15% off
Preview
sale 15% off
Preview

Standards Content (sample)

INTERNATIONAL ISO
STANDARD 19011
Redline version
compares Third edition to
Second edition
Guidelines for auditing management
systems
Lignes directrices pour l'audit des systèmes de management
Reference number
ISO 19011:redline:2018(E)
ISO 2018
---------------------- Page: 1 ----------------------
ISO 19011:redline:2018(E)
IMPORTANT — PLEASE NOTE
This is a mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
Text example 2 — indicates removed text (in red)
— indicates added graphic figure
— indicates removed graphic figure
1.x ... — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
DISCLAIMER

This Redline version provides you with a quick and easy way to compare the main changes

between this edition of the standard and its previous edition. It doesn’t capture all single

changes such as punctuation but highlights the modifications providing customers with

the most valuable information. Therefore it is important to note that this Redline version is

not the official ISO standard and that the users must consult with the clean version of the

standard, which is the official standard, for implementation purposes.
COPYRIGHT PROTECTED DOCUMENT
© ISO 2018

All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may

be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting

on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address

below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2018 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 19011:redline:2018(E)
Contents Page

Foreword ..........................................................................................................................................................................................................................................v

Introduction ..............................................................................................................................................................................................................................vii

1 Scope ................................................................................................................................................................................................................................. 1

2 Normative references ...................................................................................................................................................................................... 1

3 Terms and definitions ..................................................................................................................................................................................... 1

4 Principles of auditing ...................................................................................................................................................................................... 6

5 Managing an audit programme ............................................................................................................................................................. 7

5.1 General ........................................................................................................................................................................................................... 7

5.2 Establishing the  audit programme objectives ..........................................................................................................11

5.3 Determining and evaluating audit programme risks and opportunities ...........................................11

5.3 5.4 Establishing the audit programme .....................................................................................................................................12

5.3.1 5.4.1 Roles and responsibilities of the person individual(s) managing the

audit programme ..........................................................................................................................................................12

5.3.2 5.4.2 Competence of the person managing the individual(s) managing audit

programme ........................................................................................................................................................................13

5.3.3 5.4.3 Establishing the  extent of the  audit programme .........................................................................14

5.3.4 Identifying and evaluating audit programme risks ........................................................................14

5.3.5 Establishing procedures for the audit programme .........................................................................15

5.3.6 5.4.4 Identifying Determining audit programme resources .............................................................15

5.4 5.5 Implementing the  audit programme ................................................................................................................................16

5.4.1 5.5.1 General ..............................................................................................................................................................................16

5.4.2 5.5.2 Defining the objectives, scope and criteria for an individual audit ..............................16

5.4.3 5.5.3 Selecting the and determining audit methods ................................................................................17

5.4.4 5.5.4 Selecting the  audit team members ...........................................................................................................17

5.4.5 5.5.5 Assigning responsibility for an individual audit to the audit team leader .............18

5.4.6 5.5.6 Managing the  audit programme outcome results ........................................................................19

5.4.7 5.5.7 Managing and maintaining audit programme records ...........................................................20

5.5 5.6 Monitoring the  audit programme ........................................................................................................................................20

5.6 5.7 Reviewing and improving the  audit programme ...................................................................................................21

6 Performing Conducting an audit ........................................................................................................................................................22

6.1 General ........................................................................................................................................................................................................22

6.2 Initiating the  audit ............................................................................................................................................................................22

6.2.1 General...................................................................................................................................................................................22

6.2.2 Establishing initial  contact with the  auditee .......................................................................................23

6.2.3 Determining the  feasibility of the  audit ...................................................................................................23

6.3 Preparing audit activities ............................................................................................................................................................24

6.3.1 Performing document review in preparation for the audit review of

documented information .......................................................................................................................................24

6.3.2 Preparing the audit plan Audit planning ..................................................................................................24

6.3.3 Assigning work to the  audit team ..................................................................................................................26

6.3.4 Preparing work documents documented information for audit ..........................................26

6.4 Conducting the  audit activities ..............................................................................................................................................26

6.4.1 General...................................................................................................................................................................................26

6.4.2 Assigning roles and responsibilities of guides and observers ...............................................26

6.4.2 6.4.3 Conducting the  opening meeting...............................................................................................................27

6.4.3 Performing document review while conducting the audit .......................................................28

6.4.4 Communicating during the  audit ...................................................................................................................28

6.4.5 Audit information availability and access ...............................................................................................29

6.4.5 6.4.6 Assigning roles and responsibilities of guides and observers Reviewing

documented information while conducting audit ...........................................................................29

6.4.6 6.4.7 Collecting and verifying information ......................................................................................................30

6.4.7 6.4.8 Generating audit findings .................................................................................................................................31

© ISO 2018 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 19011:redline:2018(E)

6.4.8 6.4.9 Preparing Determining audit conclusions ..........................................................................................32

6.4.9 6.4.10 Conducting the  closing meeting ..............................................................................................................33

6.5 Preparing and distributing the  audit report ..............................................................................................................34

6.5.1 Preparing the  audit report ...................................................................................................................................34

6.5.2 Distributing the  audit report .............................................................................................................................35

6.6 Completing the  audit ......................................................................................................................................................................35

6.7 Conducting audit follow-up.......................................................................................................................................................35

7 Competence and evaluation of auditors ....................................................................................................................................35

7.1 General ........................................................................................................................................................................................................35

7.2 Determining auditor competence to fulfil the needs of the audit programme  ............................36

7.2.1 General...................................................................................................................................................................................36

7.2.2 Personal behaviour .....................................................................................................................................................37

7.2.3 Knowledge and skills ................................................................................................................................................37

7.2.4 Achieving auditor competence .........................................................................................................................41

7.2.5 Audit team leaders Achieving audit team leader competence ...............................................41

7.3 Establishing the  auditor evaluation criteria ...............................................................................................................41

7.4 Selecting the  appropriate auditor evaluation method ......................................................................................41

7.5 Conducting auditor evaluation ...............................................................................................................................................42

7.6 Maintaining and improving auditor competence...................................................................................................42

Annex A (informative) Guidance and illustrative examples of discipline-specific knowledge

and skills of auditors .....................................................................................................................................................................................43

Annex B A (informative) Additional guidance for auditors for  planning and conducting audits .......49

Bibliography .............................................................................................................................................................................................................................61

iv © ISO 2018 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 19011:redline:2018(E)
Foreword

ISO (the International Organization for Standardization) is a worldwide federation of national standards

bodies (ISO member bodies). The work of preparing International Standards is normally carried out

through ISO technical committees. Each member body interested in a subject for which a technical

committee has been established has the right to be represented on that committee. International

organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.

ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of

electrotechnical standardization.

International Standards areThe procedures used to develop this document and those intended for

its further maintenance are described in the ISO/IEC Directives, Part 1. In particular the different

approval criteria needed for the different types of ISO documents should be noted. This document was

drafted in accordance with the rules given ineditorial rules of the ISO/IEC Directives, Part 2 (see www

.iso .org/directives).

The main task of technical committees is to prepare International Standards. Draft International

Standards adopted by the technical committees are circulated to the member bodies for voting.

Publication as an International Standard requires approval by at least 75 % of the member bodies

casting a vote.

Attention is drawn to the possibility that some of the elements of this document may be the subject of

patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of

any patent rights identified during the development of the document will be in the Introduction and/or

on the ISO list of patent declarations received (see www .iso .org/patents).

Any trade name used in this document is information given for the convenience of users and does not

constitute an endorsement.

For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and

expressions related to conformity assessment, as well as information about ISO's adherence to the

World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the following

URL: www .iso .org/iso/foreword .html.

ISO 19011This document was prepared by TechnicalProject Committee ISO/TC 176PC 302, Quality

management and quality assuranceGuidelines for auditing management systems, Subcommittee SC 3,

Supporting technologies.

This secondthird edition cancels and replaces the firstsecond edition (ISO 19011:20022011), which has

been technically revised.

The main differences compared with the firstto the second edition are as follows:

— the scope has been broadened from the auditing of quality and environmental management systems

to the auditing of any management systemsaddition of the risk-based approach to the principles of

auditing;
— the relationship between ISO 19011 and ISO/IEC 17021 has been clarified;
— remote audit methods and the concept of risk have been introduced;
— confidentiality has been added as a new principle of auditing;

— Clauses 5expansion of the guidance on managing an audit programme, 6 and 7 have been

reorganizedincluding audit programme risk;

— expansion of the guidance on conducting an audit, particularly the section on audit planning;

— expansion of the generic competence requirements for auditors;

— adjustment of terminology to reflect the process and not the object (“thing”);

© ISO 2018 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO 19011:redline:2018(E)

— additional information has been included in a new Annex B, resulting in the removal of help

boxesremoval of the annex containing competence requirements for auditing specific management

system disciplines (due to the large number of individual management system standards, it would

not be practical to include competence requirements for all disciplines);
— the competence determination and evaluation process has been strengthened;

— illustrative examples of discipline-specific knowledge and skills have been included in a

newexpansion of Annex A to provide guidance on auditing (new) concepts such as organization

context, leadership and commitment, virtual audits, compliance and supply chain.

— additional guidelines are available at the following website: www .iso .org/19011auditing.

vi © ISO 2018 – All rights reserved
---------------------- Page: 6 ----------------------
ISO 19011:redline:2018(E)
Introduction

Since the firstsecond edition of this International Standarddocument was published in 20022011, a

number of new management system standards have been published, many of which have a common

structure, identical core requirements and common terms and core definitions. As a result, there is now

a need to consider a broader scope ofapproach to management system auditing, as well as providing

guidance that is more generic. Audit results can provide input to the analysis aspect of business

planning, and can contribute to the identification of improvement needs and activities.

In 2006, the ISO committee for conformity assessment (CASCO) developed ISO/IEC 17021, which sets

out requirements for third party certification of management systems and which was based in part on

the guidelines contained in the first edition of this International Standard.An audit can be conducted

against a range of audit criteria, separately or in combination, including but not limited to:

— requirements defined in one or more management system standards;
— policies and requirements specified by relevant interested parties;
— statutory and regulatory requirements;

— one or more management system processes defined by the organization or other parties;

— management system plan(s) relating to the provision of specific outputs of a management system

(e.g. quality plan, project plan).

This document provides guidance for all sizes and types of organizations and audits of varying scopes

and scales, including those conducted by large audit teams, typically of larger organizations, and

those by single auditors, whether in large or small organizations. This guidance should be adapted as

appropriate to the scope, complexity and scale of the audit programme.

The second edition of ISO/IEC 17021, published in 2011, was extended to transform the guidance

offered in this International Standard into requirements for management system certification audits. It

is in this context that this second edition of this International Standard provides guidance for all users,

including small and medium-sized organizations, and concentrates on what are commonly termed

“internal audits”This document concentrates on internal audits (first party) and “audits conducted by

customers on their suppliers”organizations on their external providers and other external interested

parties (second party). While those involved inThis document can also be useful for external audits

conducted for purposes other than third party management system certification. ISO/IEC 17021-1

audits follow the requirements ofprovides requirements for auditing management systems for third

party certification; this document can provide useful additional ISO/IEC 17021:2011, they might also

find the guidanceguidance (see Table 1in this International Standard useful).

The relationship between this second edition of this International Standard and ISO/IEC 17021:2011 is

shown in Table 1.

Table 1 — Scope of this International Standard and its relationship with Different types of

ISO/IEC 17021:2011 audits
Internal auditing External auditing
Supplier auditing Third party auditing
st nd rd
1 party audit 2 party audit 3 party audit
Internal audit External provider audit Certification and/or accreditation
audit

Sometimes called first party audit  Sometimes called second Other For legal Statutory, regulatory and

external interested party audit similar purposes For certification
(see also the requirements in  ISO/
IEC 17021:2011) audit
© ISO 2018 – All rights reserved vii
---------------------- Page: 7 ----------------------
ISO 19011:redline:2018(E)

This International Standard does not state requirements, but provides guidance on the management of

an audit programme, on the planning and conducting of an audit of the management system, as well as

on the competence and evaluation of an auditor and an audit team.

Organizations can operate more than one formal management system. To simplify the readability of

this International Standarddocument, the singular form of “management system” is preferred, but the

reader can adapt the implementation of the guidance to their own particular situation. This also applies

to the use of “personindividual” and “personsindividuals”, “auditor” and “auditors”.

This International Standarddocument is intended to apply to a broad range of potential users, including

auditors, organizations implementing management systems and organizations needing to conduct

audits of management systemsmanagement system audits for contractual or regulatory reasons. Users

of this International Standarddocument can, however, apply this guidance in developing their own

audit-related requirements.

The guidance in this International Standarddocument can also be used for the purpose of self-

declaration and can be useful to organizations involved in auditor training or personnel certification.

The guidance in this International Standarddocument is intended to be flexible. As indicated at various

points in the text, the use of this guidance can differ depending on the size and level of maturity of an

organization’s management system and on the. The nature and complexity of the organization to be

audited, as well as on the objectives and scope of the audits to be conducted, should also be considered.

This International Standard introduces the concept of risk to management systems auditing. The

approach adopted relates both to the risk of the audit process not achieving its objectives and to the

potential of the audit to interfere with the auditee’s activities and processes. It does not provide specific

guidance on the organization’s risk management process, but recognizes that organizations can focus

audit effort on matters of significance to the management system.

This International Standarddocument adopts the combined audit approach that when two or more

management systems of different disciplines are audited together, this is termed a “combined audit”.

Where these systems are integrated into a single management system, the principles and processes of

auditing are the same as for a combined audit (sometimes known as an integrated audit).

Clause 3 sets out the key terms and definitions used in this International Standard. All efforts have

been taken to ensure that these definitions do not conflict with definitions used in other standards.

Clause 4 describes the principles on which auditing is based. These principles help the user to

understand the essential nature of auditing and they are important in understanding the guidance set

out in Clauses 5 to 7.

Clause 5This document provides guidance on establishing and managingthe management of an audit

programme, establishing the audit programme objectives, and coordinating auditing activitieson the

planning and conducting of management system audits, as well as on the competence and evaluation of

an auditor and an audit team.

Clause 6 provides guidance on planning and conducting an audit of a management system.

Clause 7 provides guidance relating to the competence and evaluation of management system auditors

and audit teams.

Annex A illustrates the application of the guidance in Clause 7 to different disciplines.

Annex B provides additional guidance for auditors on planning and conducting audits.

viii © ISO 2018 – All rights reserved
---------------------- Page: 8 ----------------------
INTERNATIONAL STANDARD ISO 19011:redline:2018(E)
Guidelines for auditing management systems
1 Scope

This International Standarddocument provides guidance on auditing management systems, including

the principles of auditing, managing an audit programme and conducting management system audits, as

well as guidance on the evaluation of competence of individuals involved in the audit process, including

the person. These activities include the individual(s) managing the audit programme, auditors and

audit teams.

It is applicable to all organizations that need to plan and conduct internal or external audits of

management systems or manage an audit programme.

The application of this International Standarddocument to other types of audits is possible, provided

that special consideration is given to the specific competence needed.
2 Normative references

No normative references are cited. This clause is included in order to retain clause numbering identical

with other ISO management system standardsThere are no normative references in this document.

3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.

ISO and IEC maintain terminological databases for use in standardization at the following addresses:

— ISO Online browsing platform: available at https: //www .iso .org/obp
— IEC Electropedia: available at http: //www .electropedia .org/
3.1
audit

systematic, independent and documented process for obtaining audit objective evidence (3.3 3.8) and

evaluating it objectively to determine the extent to which the audit criteria (3.2 3.7) are fulfilled

Note 1 to entry: Internal audits, sometimes called first party audits, are conducted by the organization itself ,

or on its behalf, for management review and other internal purposes (e.g. to confirm the effectiveness of the

management system or to obtain information for the improvement of the management system). Internal audits

can form the basis for an organization’s self-declaration of conformity. In many cases, particularly in small

organizations, independence can be demonstrated by the freedom from responsibility for the activity being

audited or freedom from bias and conflict of interest. behalf of, the organization itself.

Note 2 to entry: External audits include those generally called second and third party audits. Second party audits

are conducted by parties having an interest in the organization, such as customers, or by other persons individuals

on their behalf. Third party audits are conducted by independent auditing organizations, such as regulators

or  those providing certification/registration of conformity or governmental agencies.

Note 3 to entry: When two or more management systems of different disciplines (e.g. quality, environmental,

occupational health and safety) are audited together, this is termed a combined audit.

Note 4 to entry: When two or more auditing organizations cooperate to audit a single auditee (3.7), this is termed

a joint audit.
Note 5 to entry: Adapted from ISO 9000:2005, definition 3.9.1.
© ISO 2018 – All rights reserved 1
---------------------- Page: 9 ----------------------
ISO 19011:redline:2018(E)

[SOURCE: ISO 9000:2015, 3.13.1, modified — Note 1 to entry has been added, Note 4 to entry has been

modified]
3.2
combined audit

audit (3.1) carried out together at a single auditee (3.13) on two or more management systems (3.18)

Note 1 to entry: When two or more discipline-specific management systems are integrated into a single

management system this is known as an integrated management system.
[SOURCE: ISO 9000:2015, 3.13.2, modified]
3.3
joint audit
audit (3.1) carried out at a single auditee (3.13) by two or more auditing org
...

INTERNATIONAL ISO
STANDARD 19011
Third edition
2018-07
Guidelines for auditing management
systems
Lignes directrices pour l'audit des systèmes de management
Reference number
ISO 19011:2018(E)
ISO 2018
---------------------- Page: 1 ----------------------
ISO 19011:2018(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2018

All rights reserved. Unless otherwise specified, or required in the context of its implementation, no part of this publication may

be reproduced or utilized otherwise in any form or by any means, electronic or mechanical, including photocopying, or posting

on the internet or an intranet, without prior written permission. Permission can be requested from either ISO at the address

below or ISO’s member body in the country of the requester.
ISO copyright office
CP 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Phone: +41 22 749 01 11
Fax: +41 22 749 09 47
Email: copyright@iso.org
Website: www.iso.org
Published in Switzerland
ii © ISO 2018 – All rights reserved
---------------------- Page: 2 ----------------------
ISO 19011:2018(E)
Contents Page

Foreword ..........................................................................................................................................................................................................................................v

Introduction ................................................................................................................................................................................................................................vi

1 Scope ................................................................................................................................................................................................................................. 1

2 Normative references ...................................................................................................................................................................................... 1

3 Terms and definitions ..................................................................................................................................................................................... 1

4 Principles of auditing ...................................................................................................................................................................................... 5

5 Managing an audit programme ............................................................................................................................................................. 6

5.1 General ........................................................................................................................................................................................................... 6

5.2 Establishing audit programme objectives ....................................................................................................................... 9

5.3 Determining and evaluating audit programme risks and opportunities .............................................. 9

5.4 Establishing the audit programme .....................................................................................................................................10

5.4.1 Roles and responsibilities of the individual(s) managing the audit programme ..10

5.4.2 Competence of individual(s) managing audit programme ......................................................11

5.4.3 Establishing extent of audit programme ..................................................................................................11

5.4.4 Determining audit programme resources ..............................................................................................12

5.5 Implementing audit programme ..........................................................................................................................................12

5.5.1 General...................................................................................................................................................................................12

5.5.2 Defining the objectives, scope and criteria for an individual audit ...................................13

5.5.3 Selecting and determining audit methods ..............................................................................................14

5.5.4 Selecting audit team members .........................................................................................................................14

5.5.5 Assigning responsibility for an individual audit to the audit team leader..................15

5.5.6 Managing audit programme results .............................................................................................................16

5.5.7 Managing and maintaining audit programme records ................................................................16

5.6 Monitoring audit programme .................................................................................................................................................17

5.7 Reviewing and improving audit programme .............................................................................................................17

6 Conducting an audit .......................................................................................................................................................................................18

6.1 General ........................................................................................................................................................................................................18

6.2 Initiating audit ......................................................................................................................................................................................18

6.2.1 General...................................................................................................................................................................................18

6.2.2 Establishing contact with auditee ..................................................................................................................18

6.2.3 Determining feasibility of audit .......................................................................................................................19

6.3 Preparing audit activities ............................................................................................................................................................19

6.3.1 Performing review of documented information................................................................................19

6.3.2 Audit planning .................. .................................................... ...........................................................................................19

6.3.3 Assigning work to audit team ............................................................................................................................21

6.3.4 Preparing documented information for audit .....................................................................................21

6.4 Conducting audit activities ........................................................................................................................................................21

6.4.1 General...................................................................................................................................................................................21

6.4.2 Assigning roles and responsibilities of guides and observers ...............................................21

6.4.3 Conducting opening meeting .............................................................................................................................22

6.4.4 Communicating during audit .............................................................................................................................23

6.4.5 Audit information availability and access ...............................................................................................23

6.4.6 Reviewing documented information while conducting audit ...............................................23

6.4.7 Collecting and verifying information ..........................................................................................................24

6.4.8 Generating audit findings ......................................................................................................................................25

6.4.9 Determining audit conclusions ........................................................................................................................25

6.4.10 Conducting closing meeting ................................................................................................................................26

6.5 Preparing and distributing audit report ........................................................................................................................27

6.5.1 Preparing audit report .............................................................................................................................................27

6.5.2 Distributing audit report .......................................................................................................................................27

6.6 Completing audit ................................................................................................................................................................................28

6.7 Conducting audit follow-up.......................................................................................................................................................28

© ISO 2018 – All rights reserved iii
---------------------- Page: 3 ----------------------
ISO 19011:2018(E)

7 Competence and evaluation of auditors ....................................................................................................................................28

7.1 General ........................................................................................................................................................................................................28

7.2 Determining auditor competence ......... ...............................................................................................................................29

7.2.1 General...................................................................................................................................................................................29

7.2.2 Personal behaviour .....................................................................................................................................................29

7.2.3 Knowledge and skills ................................................................................................................................................30

7.2.4 Achieving auditor competence .........................................................................................................................32

7.2.5 Achieving audit team leader competence ...............................................................................................33

7.3 Establishing auditor evaluation criteria.........................................................................................................................33

7.4 Selecting appropriate auditor evaluation method ................................................................................................33

7.5 Conducting auditor evaluation ...............................................................................................................................................33

7.6 Maintaining and improving auditor competence...................................................................................................34

Annex A (informative) Additional guidance for auditors planning and conducting audits .....................35

Bibliography .............................................................................................................................................................................................................................46

iv © ISO 2018 – All rights reserved
---------------------- Page: 4 ----------------------
ISO 19011:2018(E)
Foreword

ISO (the International Organization for Standardization) is a worldwide federation of national standards

bodies (ISO member bodies). The work of preparing International Standards is normally carried out

through ISO technical committees. Each member body interested in a subject for which a technical

committee has been established has the right to be represented on that committee. International

organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.

ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of

electrotechnical standardization.

The procedures used to develop this document and those intended for its further maintenance are

described in the ISO/IEC Directives, Part 1. In particular the different approval criteria needed for the

different types of ISO documents should be noted. This document was drafted in accordance with the

editorial rules of the ISO/IEC Directives, Part 2 (see www .iso .org/directives).

Attention is drawn to the possibility that some of the elements of this document may be the subject of

patent rights. ISO shall not be held responsible for identifying any or all such patent rights. Details of

any patent rights identified during the development of the document will be in the Introduction and/or

on the ISO list of patent declarations received (see www .iso .org/patents).

Any trade name used in this document is information given for the convenience of users and does not

constitute an endorsement.

For an explanation on the voluntary nature of standards, the meaning of ISO specific terms and

expressions related to conformity assessment, as well as information about ISO's adherence to the

World Trade Organization (WTO) principles in the Technical Barriers to Trade (TBT) see the following

URL: www .iso .org/iso/foreword .html.

This document was prepared by Project Committee ISO/PC 302, Guidelines for auditing management

systems.

This third edition cancels and replaces the second edition (ISO 19011:2011), which has been technically

revised.
The main differences compared to the second edition are as follows:
— addition of the risk-based approach to the principles of auditing;

— expansion of the guidance on managing an audit programme, including audit programme risk;

— expansion of the guidance on conducting an audit, particularly the section on audit planning;

— expansion of the generic competence requirements for auditors;
— adjustment of terminology to reflect the process and not the object (“thing”);

— removal of the annex containing competence requirements for auditing specific management

system disciplines (due to the large number of individual management system standards, it would

not be practical to include competence requirements for all disciplines);

— expansion of Annex A to provide guidance on auditing (new) concepts such as organization context,

leadership and commitment, virtual audits, compliance and supply chain.
© ISO 2018 – All rights reserved v
---------------------- Page: 5 ----------------------
ISO 19011:2018(E)
Introduction

Since the second edition of this document was published in 2011, a number of new management system

standards have been published, many of which have a common structure, identical core requirements

and common terms and core definitions. As a result, there is a need to consider a broader approach

to management system auditing, as well as providing guidance that is more generic. Audit results can

provide input to the analysis aspect of business planning, and can contribute to the identification of

improvement needs and activities.

An audit can be conducted against a range of audit criteria, separately or in combination, including but

not limited to:
— requirements defined in one or more management system standards;
— policies and requirements specified by relevant interested parties;
— statutory and regulatory requirements;

— one or more management system processes defined by the organization or other parties;

— management system plan(s) relating to the provision of specific outputs of a management system

(e.g. quality plan, project plan).

This document provides guidance for all sizes and types of organizations and audits of varying scopes

and scales, including those conducted by large audit teams, typically of larger organizations, and

those by single auditors, whether in large or small organizations. This guidance should be adapted as

appropriate to the scope, complexity and scale of the audit programme.

This document concentrates on internal audits (first party) and audits conducted by organizations

on their external providers and other external interested parties (second party). This document can

also be useful for external audits conducted for purposes other than third party management system

certification. ISO/IEC 17021-1 provides requirements for auditing management systems for third party

certification; this document can provide useful additional guidance (see Table 1).

Table 1 — Different types of audits
st nd rd
1 party audit 2 party audit 3 party audit
Internal audit External provider audit Certification and/or accreditation
audit
Other external interested party Statutory, regulatory and similar
audit audit

To simplify the readability of this document, the singular form of “management system” is preferred,

but the reader can adapt the implementation of the guidance to their own situation. This also applies to

the use of “individual” and “individuals”, “auditor” and “auditors”.

This document is intended to apply to a broad range of potential users, including auditors, organizations

implementing management systems and organizations needing to conduct management system audits

for contractual or regulatory reasons. Users of this document can, however, apply this guidance in

developing their own audit-related requirements.

The guidance in this document can also be used for the purpose of self-declaration and can be useful to

organizations involved in auditor training or personnel certification.

The guidance in this document is intended to be flexible. As indicated at various points in the text,

the use of this guidance can differ depending on the size and level of maturity of an organization’s

management system. The nature and complexity of the organization to be audited, as well as the

objectives and scope of the audits to be conducted, should also be considered.
vi © ISO 2018 – All rights reserved
---------------------- Page: 6 ----------------------
ISO 19011:2018(E)

This document adopts the combined audit approach when two or more management systems of different

disciplines are audited together. Where these systems are integrated into a single management system,

the principles and processes of auditing are the same as for a combined audit (sometimes known as an

integrated audit).

This document provides guidance on the management of an audit programme, on the planning and

conducting of management system audits, as well as on the competence and evaluation of an auditor

and an audit team.
© ISO 2018 – All rights reserved vii
---------------------- Page: 7 ----------------------
INTERNATIONAL STANDARD ISO 19011:2018(E)
Guidelines for auditing management systems
1 Scope

This document provides guidance on auditing management systems, including the principles of auditing,

managing an audit programme and conducting management system audits, as well as guidance on

the evaluation of competence of individuals involved in the audit process. These activities include the

individual(s) managing the audit programme, auditors and audit teams.

It is applicable to all organizations that need to plan and conduct internal or external audits of

management systems or manage an audit programme.

The application of this document to other types of audits is possible, provided that special consideration

is given to the specific competence needed.
2 Normative references
There are no normative references in this document.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.

ISO and IEC maintain terminological databases for use in standardization at the following addresses:

— ISO Online browsing platform: available at https: //www .iso .org/obp
— IEC Electropedia: available at http: //www .electropedia .org/
3.1
audit

systematic, independent and documented process for obtaining objective evidence (3.8) and evaluating

it objectively to determine the extent to which the audit criteria (3.7) are fulfilled

Note 1 to entry: Internal audits, sometimes called first party audits, are conducted by, or on behalf of, the

organization itself.

Note 2 to entry: External audits include those generally called second and third party audits. Second party audits

are conducted by parties having an interest in the organization, such as customers, or by other individuals on

their behalf. Third party audits are conducted by independent auditing organizations, such as those providing

certification/registration of conformity or governmental agencies.
[SOURCE: ISO 9000:2015, 3.13.1, modified — Notes to entry have been modified]
3.2
combined audit

audit (3.1) carried out together at a single auditee (3.13) on two or more management systems (3.18)

Note 1 to entry: When two or more discipline-specific management systems are integrated into a single

management system this is known as an integrated management system.
[SOURCE: ISO 9000:2015, 3.13.2, modified]
© ISO 2018 – All rights reserved 1
---------------------- Page: 8 ----------------------
ISO 19011:2018(E)
3.3
joint audit

audit (3.1) carried out at a single auditee (3.13) by two or more auditing organizations

[SOURCE: ISO 9000:2015, 3.13.3]
3.4
audit programme

arrangements for a set of one or more audits (3.1) planned for a specific time frame and directed

towards a specific purpose

[SOURCE: ISO 9000:2015, 3.13.4, modified — wording has been added to the definition]

3.5
audit scope
extent and boundaries of an audit (3.1)

Note 1 to entry: The audit scope generally includes a description of the physical and virtual-locations, functions,

organizational units, activities and processes, as well as the time period covered.

Note 2 to entry: A virtual location is where an organization performs work or provides a service using an on-line

environment allowing individuals irrespective of physical locations to execute processes.

[SOURCE: ISO 9000:2015, 3.13.5, modified — Note 1 to entry has been modified, Note 2 to entry has

been added]
3.6
audit plan
description of the activities and arrangements for an audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.6]
3.7
audit criteria

set of requirements (3.23) used as a reference against which objective evidence (3.8) is compared

Note 1 to entry: If the audit criteria are legal (including statutory or regulatory) requirements, the words

“compliance” or “non-compliance” are often used in an audit finding (3.10).

Note 2 to entry: Requirements may include policies, procedures, work instructions, legal requirements,

contractual obligations, etc.

[SOURCE: ISO 9000:2015, 3.13.7, modified — the definition has been changed and Notes to entry 1 and

2 have been added]
3.8
objective evidence
data supporting the existence or verity of something

Note 1 to entry: Objective evidence can be obtained through observation, measurement, test or by other means.

Note 2 to entry: Objective evidence for the purpose of the audit (3.1) generally consists of records, statements of

fact, or other information which are relevant to the audit criteria (3.7) and verifiable.

[SOURCE: ISO 9000:2015, 3.8.3]
3.9
audit evidence

records, statements of fact or other information, which are relevant to the audit criteria (3.7) and

verifiable
[SOURCE: ISO 9000:2015, 3.13.8]
2 © ISO 2018 – All rights reserved
---------------------- Page: 9 ----------------------
ISO 19011:2018(E)
3.10
audit findings

results of the evaluation of the collected audit evidence (3.9) against audit criteria (3.7)

Note 1 to entry: Audit findings indicate conformity (3.20) or nonconformity (3.21).

Note 2 to entry: Audit findings can lead to the identification of risks, opportunities for improvement or recording

good practices.

Note 3 to entry: In English if the audit criteria are selected from statutory requirements or regulatory

requirements, the audit finding is termed compliance or non-compliance.

[SOURCE: ISO 9000:2015, 3.13.9, modified — Notes to entry 2 and 3 have been modified]

3.11
audit conclusion

outcome of an audit (3.1), after consideration of the audit objectives and all audit findings (3.10)

[SOURCE: ISO 9000:2015, 3.13.10]
3.12
audit client
organization or person requesting an audit (3.1)

Note 1 to entry: In the case of internal audit, the audit client can also be the auditee (3.13) or the individual(s)

managing the audit programme. Requests for external audit can come from sources such as regulators,

contracting parties or potential or existing clients.
[SOURCE: ISO 9000:2015, 3.13.11, modified — Note 1 to entry has been added]
3.13
auditee
organization as a whole or parts thereof being audited
[SOURCE: ISO 9000:2015, 3.13.12, modified]
3.14
audit team

one or more persons conducting an audit (3.1), supported if needed by technical experts (3.16)

Note 1 to entry: One auditor (3.15) of the audit team (3.14) is appointed as the audit team leader.

Note 2 to entry: The audit team can include auditors-in-training.
[SOURCE: ISO 9000:2015, 3.13.14]
3.15
auditor
person who conducts an audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.15]
3.16
technical expert

person who provides specific knowledge or expertise to the audit team (3.14)

Note 1 to entry: Specific knowledge or expertise relates to the organization, the activity, process, product,

service, discipline to be audited, or language or culture.

Note 2 to entry: A technical expert to the audit team (3.14) does not act as an auditor (3.15).

[SOURCE: ISO 9000:2015, 3.13.16, modified — Notes to entry 1 and 2 have been modified]

© ISO 2018 – All rights reserved 3
---------------------- Page: 10 ----------------------
ISO 19011:2018(E)
3.17
observer

individual who accompanies the audit team (3.14) but does not act as an auditor (3.15)

[SOURCE: ISO 9000:2015, 3.13.17, modified]
3.18
management system

set of interrelated or interacting elements of an organization to establish policies and objectives, and

processes (3.24) to achieve those objectives

Note 1 to entry: A management system can address a single discipline or several disciplines, e.g. quality

management, financial management or environmental management.

Note 2 to entry: The management system elements establish the organization’s structure, roles and

responsibilities, planning, operation, policies, practices, rules, beliefs, objectives and processes to achieve those

objectives.

Note 3 to entry: The scope of a management system can include the whole of the organization, specific and

identified functions of the organization, specific and identified sections of the organization, or one or more

functions across a group of organizations.
[SOURCE: ISO 9000:2015, 3.5.3, modified — Note 4 to entry has been deleted]
3.19
risk
effect of uncertainty

Note 1 to entry: An effect is a deviation from the expected – positive or negative.

Note 2 to entry: Uncertainty is the state, even partial, of deficiency of information related to, understanding or

knowledge of, an event, its consequence and likelihood.

Note 3 to entry: Risk is often characterized by reference to potential events (as defined in ISO Guide 73:2009,

3.5.1.3) and consequences (as defined in ISO Guide 73:2009, 3.6.1.3), or a combination of these.

Note 4 to entry: Risk is often expressed in terms of a combination of the consequences of an event (including

changes in circumstances) and the associated likelihood (as defined in ISO Guide 73:2009, 3.6.1.1) of occurrence.

[SOURCE: ISO 9000:2015, 3.7.9, modified — Notes to entry 5 and 6 have been deleted]

3.20
conformity
fulfilment of a requirement (3.23)
[SOURCE: ISO 9000:2015, 3.6.11, modified — Note 1 to entry has been deleted]
3.21
nonconformity
non-fulfilment of a requirement (3.23)
[SOURCE: ISO 9000:2015, 3.6.9, modified — Note 1 to entry has been deleted]
3.22
competence
ability to apply knowledge and skills to achieve intended results
[SOURCE: ISO 9000:2015, 3.10.4, modified — Notes to entry have been deleted]
4 © ISO 2018 – All rights reserved
---------------------- Page: 11 ----------------------
ISO 19011:2018(E)
3.23
requirement
need or expectation that is stated, generally implied or obligatory

Note 1 to entry: “Generally implied” means that it is custom or common practice for the organization and

interested parties that the need or expectation under consideration is implied.

Note 2 to entry: A specified requirement is one that is stated, for example in documented information.

[SOURCE: ISO 9000:2015, 3.6.4, modified — Notes to entry 3, 4, 5 and 6 have been deleted]

3.24
process

set of interrelated or interacting activities that use inputs to deliver an intended result

[SOURCE: ISO 9000:2015, 3.4.1, modified — Notes to entry have been deleted]
3.25
performance
measurable result

Note 1 to entry: Performance can relate either to quantitative or qualitative findings.

Note 2 to entry: Performance can relate to the management of activities, processes (3.24), products,

...

NORME ISO
INTERNATIONALE 19011
Redline version
compare la Troisième édition
à la Deuxième édition
Lignes directrices pour l'audit
des systèmes de management
Guidelines for auditing management systems
Numéro de référence
ISO 19011:redline:2018(F)
ISO 2018
---------------------- Page: 1 ----------------------
ISO 19011:redline:2018(F)
IMPORTANT — PLEASE NOTE
This is a mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
Text example 2 — indicates removed text (in red)
— indicates added graphic figure
— indicates removed graphic figure
1.x ... — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
DISCLAIMER

This Redline version provides you with a quick and easy way to compare the main changes

between this edition of the standard and its previous edition. It doesn’t capture all single

changes such as punctuation but highlights the modifications providing customers with

the most valuable information. Therefore it is important to note that this Redline version is

not the official ISO standard and that the users must consult with the clean version of the

standard, which is the official standard, for implementation purposes.
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2018

Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en oeuvre, aucune partie de cette

publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,

y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut

être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.

ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2018 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 19011:redline:2018(F)
Sommaire Page

Avant-propos ................................................................................................................................................................................................................................v

Introduction ..............................................................................................................................................................................................................................vii

1 Domaine d’application ................................................................................................................................................................................... 1

2 Références normatives ................................................................................................................................................................................... 1

3 Termes et définitions ....................................................................................................................................................................................... 1

4 Principes de l’audit ............................................................................................................................................................................................ 6

5 Management d’un programme d’audit .......................................................................................................................................... 8

5.1 Généralités .................................................................................................................................................................................................. 8

5.2 Détermination des objectifs du programme d’audit ...........................................................................................11

5.3 Détermination et évaluation des risques et des opportunités du programme d’audit .........12

5.3 5.4 Établissement du programme d’audit .............................................................................................................................13

5.3.1 5.4.1 Rôles et responsabilités de la personne responsable ou des personnes

responsables du management du programme d’audit ................................................................13

5.3.2 5.4.2 Compétence de la personne responsable ou des personnes responsables

du management du programme d’audit ...................................................................................................14

5.3.3 5.4.3 Détermination de l’étendue du programme d’audit..................................................................15

5.3.4 Identification et évaluation des risques liés au programme d’audit ................................16

5.3.5 Établissement des procédures du programme d’audit ................................................................16

5.3.6 5.4.4 Identification Détermination des ressources du programme d’audit .................. .......16

5.4 5.5 Mise en œuvre du programme d’audit ............................................................................................................................17

5.4.1 5.5.1 Généralités .....................................................................................................................................................................17

5.4.2 5.5.2 Définition des objectifs, du champ et des critères pour chaque audit

individuel ........................................................................................................................................... ..................................18

5.4.3 5.5.3 Détermination Choix et détermination des méthodes d’audit ..........................................19

5.4.4 5.5.4 Choix des membres de l’équipe d’audit ...............................................................................................19

5.4.5 5.5.5 Attribution de la responsabilité d’un audit individuel au responsable de

l’équipe d’audit ...............................................................................................................................................................20

5.4.6 5.5.6 Management du résultat des résultats du programme d’audit ........................................21

5.4.7 5.5.7 Management et conservation des enregistrements du programme d’audit ........22

5.5 5.6 Surveillance du programme d’audit ..................................................................................................................................22

5.6 5.7 Revue et amélioration du programme d’audit ..........................................................................................................23

6 Réalisation d’un audit ..................................................................................................................................................................................24

6.1 Généralités ...............................................................................................................................................................................................24

6.2 Déclenchement de l’audit ...........................................................................................................................................................24

6.2.1 Généralités .........................................................................................................................................................................24

6.2.2 Établissement du premier Prise de contact avec l’audité ...........................................................25

6.2.3 Détermination de la faisabilité de l’audit.................................................................................................25

6.3 Préparation des activités d’audit ..........................................................................................................................................26

6.3.1 Réalisation d’une revue de documents dans la préparation de l’audit des

informations documentées ..................................................................................................................................26

6.3.2 Préparation du plan d’audit ................................................................................................................................26

6.3.2.2 6.3.2 Planification de l’audit ....................................................................................................................................27

6.3.3 Répartition des tâches au sein de l’équipe d’audit ..........................................................................29

6.3.4 Préparation des documents de travail informations documentées en vue

de l’audit...............................................................................................................................................................................29

6.4 Réalisation des activités d’audit ............................................................................................................................................30

6.4.1 Généralités .........................................................................................................................................................................30

6.4.2 Attribution des rôles et responsabilités des guides et des observateurs ....................30

6.4.2 6.4.3 Conduite de la réunion d’ouverture.........................................................................................................30

6.4.3 Réalisation d’une revue de documents au cours de l’audit ......................................................32

6.4.4 Communication pendant l’audit ......................................................................................................................32

6.4.5 Disponibilité et accès aux informations d’audit .................................................................................32

© ISO 2018 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 19011:redline:2018(F)
6.4.5 6.4.6 Attribution des rôles et responsabilités des guides et des
observateurs Réalisation d’une revue des informations documentées au

cours de l’audit ...............................................................................................................................................................33

6.4.6 6.4.7 Recueil et vérification des informations ..............................................................................................33

6.4.7 6.4.8 Production de constatations d’audit .......................................................................................................35

6.4.8 6.4.9 Préparation Détermination des conclusions d’audit .................................................................36

6.4.9 6.4.10 Conduite de la réunion de clôture..........................................................................................................37

6.5 Préparation et diffusion du rapport d’audit ...............................................................................................................38

6.5.1 Préparation du rapport d’audit ........................................................................................................................38

6.5.2 Diffusion du rapport d’audit ...............................................................................................................................39

6.6 Clôture de l’audit ................................................................................................................................................................................39

6.7 Réalisation du suivi d’audit .......................................................................................................................................................40

7 Compétence et évaluation des auditeurs .................................................................................................................................40

7.1 Généralités ...............................................................................................................................................................................................40

7.2 Détermination de la compétence de l’auditeur pour répondre aux besoins du

programme d’audit Déterminer la compétence d’un auditeur ...................................................................41

7.2.1 Généralités .........................................................................................................................................................................41

7.2.2 Comportements personnels ................................................................................................................................41

7.2.3 Connaissances et aptitudes .................................................................................................................................42

7.2.4 Acquisition de la compétence des auditeurs d’auditeur .............................................................46

7.2.5 Responsables Acquisition de la compétence de responsable d’équipe d’audit .......46

7.3 Déterminer les critères d’évaluation des auditeurs .............................................................................................46

7.4 Choisir la méthode d’évaluation des auditeurs appropriée ..........................................................................46

7.5 Réaliser l’évaluation du ou des auditeurs d’un auditeur ..................................................................................47

7.6 Maintien et amélioration de la compétence du ou des auditeurs ............................................................47

Annexe A (informative) Lignes directrices et exemples illustratifs de connaissances et

aptitudes spécifiques à la discipline des auditeurs ......................................................................................................49

Annexe B A (informative) Lignes directrices supplémentaires destinées aux auditeurs pour

la planification et la réalisation des audits ............................................................................................................................56

Bibliographie ...........................................................................................................................................................................................................................70

iv © ISO 2018 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 19011:redline:2018(F)
Avant-propos

L'ISOL’ISO (Organisation internationale de normalisation) est une fédération mondiale

d'organismesd’organismes nationaux de normalisation (comités membres de l'ISOl’ISO).

L'élaborationL’élaboration des Normes internationales est en général confiée aux comités techniques de

l'ISOl’ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité technique

créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales, en liaison

avec l'ISOl’ISO participent également aux travaux. L'ISOL’ISO collabore étroitement avec la Commission

électrotechnique internationale (CEIIEC) en ce qui concerne la normalisation électrotechnique.

Les Normes internationales sont rédigéesprocédures utilisées pour élaborer le présent document

et celles destinées à sa mise à jour sont décrites dans les Directives ISO/IEC, Partie 1. Il convient, en

particulier de prendre note des différents critères d’approbation requis pour les différents types de

documents ISO. Le présent document a été rédigé conformément aux règles de rédaction données dans

les Directives ISO/CEIIEC, Partie 2 (voir www .iso .org/directives).

La tâche principale des comités techniques est d'élaborer les Normes internationales. Les projets de

Normes internationales adoptés par les comités techniques sont soumis aux comités membres pour

vote. Leur publication comme Normes internationales requiert l'approbation de 75 % au moins des

comités membres votants.

L'attention est appeléeL’attention est attirée sur le fait que certains des éléments du présent document

peuvent faire l'objetl’objet de droits de propriété intellectuelle ou de droits analogues. L'ISOL’ISO ne

saurait être tenue pour responsable de ne pas avoir identifié de tels droits de propriété et averti de leur

existence. Les détails concernant les références aux droits de propriété intellectuelle ou autres droits

analogues identifiés lors de l’élaboration du document sont indiqués dans l’Introduction et/ou dans la

liste des déclarations de brevets reçues par l’ISO (voir www .iso .org/brevets).

Les appellations commerciales éventuellement mentionnées dans le présent document sont données

pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un

engagement.

Pour une explication de la nature volontaire des normes, la signification des termes et expressions

spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion

de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles

techniques au commerce (OTC), voir le lien suivant: www .iso .org/avant -propos.

L'ISO 19011Le présent document a été élaboréeélaboré par le comité techniquede projet ISO/

TC 176PC 302, Management et assurance de la qualité, sous-comité SC 3, Techniques de soutienLignes

directrices pour l’audit des systèmes de management.

Cette deuxièmetroisième édition annule et remplace la premièredeuxième édition (ISO 19011:20022011),

qui a fait l'objet d'unel’objet d’une révision technique.

Les principales différences entre les versions de 2002 et 2011 de l’ISO 19011par rapport à la deuxième

édition sont les suivantes:
— ajout de l’approche par les risques aux principes de l’audit;

— le domaine d’application de la présente Norme internationale, qui se limitait dans la version

précédente à l’audit des systèmes de management de la qualité et de management environnemental,

concerne cette fois l’audit de tous les systèmes de management quels qu’ils soientdéveloppement

des lignes directrices relatives au management d’un programme d’audit, y compris le risque lié au

programme d’audit;

— la relation entre l’développement des lignes directrices relatives à la ISO 19011 et l’ISO/CEI 17021

est clarifiéeréalisation d’un audit, en particulier la section concernant la planification de l’audit;

— les méthodes d’audit à distance et le concept de risque sont introduitsdéveloppement des exigences

relatives aux compétences générales des auditeurs;
© ISO 2018 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO 19011:redline:2018(F)

— la confidentialité a été ajoutée comme nouveau principeajustement de la terminologie pour refléter

le processus et non l’objet («chose»);

— suppression de l’annexe contenant les Articles 5exigences en matière de compétences pour l’audit

de disciplines de systèmes de management spécifiques (en raison du grand nombre de normes de

système de management individuelles, 6 et 7 ont été réorganisésil ne serait pas pratique d’inclure

des exigences en matière de compétences pour toutes les disciplines);

— une nouvelle Annexe B contient des informations supplémentaires, ce qui a conduit à la suppression

des textes encadrés;
— le processus de détermination et d’évaluation des compétences est renforcé;

— une nouvelle développement de l’Annexe A présente des exemples illustratifs des connaissances et

aptitudes spécifiques à la discipline;pour fournir des lignes directrices relatives aux (nouveaux)

concepts d’audit tels que le contexte de l’organisme, le leadership et l’engagement, les audits virtuels,

la conformité et la chaîne d’approvisionnement.

— de plus amples informations doivent être mises à disposition sur un site Web public de l’ISO (www

.iso .org/19011auditing).
vi © ISO 2018 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO 19011:redline:2018(F)
Introduction

Depuis que la première édition de la présente Norme internationaledeuxième édition du présent

document a été publiée en 2002, un certain nombre de 2011, plusieurs nouvelles normes sur les

systèmes de management a été publié. Le résultat est que maintenant il y a un besoin de prendre en

considération un domaine d'application plus étendu d'audit du système de management, aussi bien

queont été publiées, un grand nombre d’entre elles ayant une structure commune, des exigences de

base identiques et des termes et définitions de base communs. De ce fait, il est nécessaire d’envisager

une approche plus globale de l’audit des systèmes de management et de fournir des lignes directrices,

ce qui est plus général plus générales. Les résultats d’audit peuvent fournir des éléments d’entrée pour

l’aspect analytique de la planification des activités, et peuvent contribuer à l’identification des besoins

et activités d’amélioration.

En 2006, l’ISO CASCO (Comité pour l’évaluation de la conformité) a élaboré l'ISO/CEI 17021 spécifiant

des exigences applicables à la certification par tierce partie des systèmes de management. Cette norme

était fondée partiellement sur les lignes directrices contenues dans la première édition de la présente

Norme internationale.Un audit peut être réalisé par rapport à une série de critères d’audit, séparément

ou en combinaison, comprenant sans toutefois s’y limiter:
— les exigences définies dans une ou plusieurs normes de système de management;

— les politiques et les exigences spécifiées par les parties intéressées pertinentes;

— les exigences légales et réglementaires;

— un ou plusieurs processus de système de management définis par l’organisme ou d’autres parties;

— le(s) plan(s) de système de management se rapportant à la fourniture d’éléments de sortie spécifiques

d’un système de management (par exemple plan qualité, plan de projet).

Le présent document fournit aux organismes de toutes tailles et de tous types des lignes directrices

pour les audits de champs et échelles variables, y compris ceux réalisés par de grandes équipes d’audit,

généralement dans de grands organismes, et ceux réalisés par des auditeurs uniques, dans de grands

ou petits organismes. Il convient, selon le cas, d’adapter ces lignes directrices au champ, à la complexité

et à l’échelle du programme d’audit.

La deuxième édition de l’ISO/CEI 17021, publiée en 2011, a été étendue afin de transformer les lignes

directrices proposées dans la présente Norme internationale en exigences concernant les audits

de certification du système de management. C’est dans ce contexte que cette deuxième édition de la

présente Norme internationale fournit des lignes directrices à l’intention de tous les utilisateurs, y

compris les petites et moyennes entreprises, s’intéressant par ailleurs aux dénominations communément

appliquées aux audits internes (Le présent document se concentre sur les audits internes (de première

partie) et auxles audits réalisés par les clients portant sur leurs fournisseurs (des organismes auprès

de leurs prestataires externes et d’autres parties intéressées externes (de seconde partie). Bien que

les personnes en charge des audits de certification duLe présent document peut également être utile

pour des audits externes réalisés à d’autres fins que la certification par tierce partie d’un système

de management respectent les exigences de l. L’ISO/CEIIEC 17021:2011-1, elles peuvent également

considérer comme utiles les lignes directrices définies dans la présente Norme internationale fournit

des exigences relatives à l’audit des systèmes de management en vue d’une certification par tierce

partie; toutefois, le présent document peut fournir des lignes directrices supplémentaires utiles

(voir Tableau 1).

La relation entre cette deuxième édition de la présente Norme internationale et l’ISO/CEI 17021:2011

est présentée dans le Tableau 1.
© ISO 2018 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
ISO 19011:redline:2018(F)

Tableau 1 — Domaine d’application de la présente Norme internationale et sa relation avec

l’ ISO/CEI 17021:2011Différent types d’audits
Audit externe
Audit interne
Audit des fournisseurs Audit de tierce partie
Audit de première partie Audit de seconde partie Audit de tierce partie

Audit interne Audit des prestataires externes Audit en vue d’une certification et/

ou d’une accréditation
re e

Parfois appelé audit de 1  partie  Parfois appelé audit de 2  par- À Audit à des fins légales,

tie Audit d’autres parties intéressées réglementaires et similaires
externes
Pour certification (voir également
les exigences spécifiées dans l’ISO/
CEI 17021:2011)

La présente Norme internationale ne spécifie pas d’exigences mais donne des lignes directrices sur

le management d’un programme d’audit, la planification et la réalisation d’un audit du système de

management, ainsi que sur la compétence et l’évaluation d’un auditeur et d’une équipe d’audit.

Les organismes peuvent utiliser deux systèmes de management formels ou plus. Pour une simplification

de la lisibilité de la présente Norme internationalePour simplifier la lisibilité du présent document, la

forme singulière de «système de management» est préférable, le lecteur pouvant toutefois adapter la

mise en œuvre des lignes directrices à sa propre situation particulière. Cela s’applique également à

l’utilisation de «personne» et «personnes», «auditeur» et «auditeurs».

La présente Norme internationale est destinéeLe présent document est destiné à une large gamme

d’utilisateurs potentiels parmi lesquels des auditeurs, des organismes mettant en œuvre des systèmes

de management et des organismes devant réaliser des audits de systèmes de management dans un

cadre contractuel ou réglementaire. Les utilisateurs de la présente Norme internationaledu présent

document peuvent cependant appliquer ces lignes directrices pour développer leurs propres exigences

en matière d’audit.

Les lignes directrices fournies dans la présente Norme internationalele présent document peuvent

également être utilisées à des fins d’autodéclaration et peuvent par ailleurs se révéler utiles aux

organismes chargés de la certification du personnel ou de la formation d’auditeurs.

Les lignes directrices fournies dans la présente Norme internationalele présent document se veulent

flexibles. Comme indiqué à différentes reprises dans le texte, l’utilisation de ces lignes directrices peut

varier selon la taille, et le niveau de maturité du système de management de l’organisme,. Il convient

également de prendre en considération la nature et la complexité de l’organisme à auditer, ainsi que

selon les objectifs et le champ des audits à réaliser.

La présente Norme internationale introduit le concept de risque dans l’audit des systèmes de

management. L’approche adoptée se rapporte à la fois au risque que le processus d’audit n’atteint

pas ses objectifs et à l’éventualité que l’audit influe sur les activités et les processus de l’audité. Cette

approche ne fournit aucune ligne directrice spécifique concernant le processus de gestion des risques

d’un organisme, mais reconnaît que les organismes peuvent concentrer l’effort d’audit sur des questions

importantes pour le système de management.

La présente Norme internationaleLe présent document adopte le principe selon lequel,d’audit combiné

lorsque deux ou plusieurs systèmes de management de disciplines différentes font l’objet d’un audit

conjoint, on parle d’audit combinésont audités ensemble. Les principes et les processus d’audit sont

identiques à ceux applicables à un audit combiné (parfois appelé audit intégré) lorsque les systèmes

définis sont intégrés dans un système de management unique.

L’Article 3 établit les termes et les définitions clés utilisés dans la présente Norme internationale. Les

définitions sont données en veillant à ne pas les rendre contradictoires avec les définitions utilisées

dans d’autres normes de systèmes de management.
viii © ISO 2018 – Tous droits réservés
---------------------- Page: 8 ----------------------
ISO 19011:redline:2018(F)

L’Article 4 décrit les principes de base de l’audit. Ces principes permettent à l’utilisateur de comprendre

les fondements de l’audit, de même qu’ils sont importants pour la compréhension des lignes directrices

spécifiées dans les Articles 5 à 7.

L’Article 5 donneLe présent document fournit des lignes directrices pour la détermination etsur le

management d’un programme d’audit, y compris l’établissement des objectifs d’un programme d’audit

et la coordination des activitésla planification et la réalisation d’audits de systèmes de management,

ainsi que sur la compétence et l’évaluation d’un auditeur et d’une équipe d’audit.

L’Article 6 donne des lignes directrices pour planifier et réaliser l’audit d’un système de management.

L’Article 7 donne des lignes directrices relatives à la compétence et à l’évaluation des auditeurs et des

équipes d’audit d’un système de management.

L’Annexe A illustre l’application des lignes directrices de l’Article 7 à différentes disciplines.

L’Annexe B fournit des lignes directrices supplémentaires destinées aux auditeurs sur la planification et

la réalisation des audits.
© ISO 2018 – Tous droits réservés ix
---------------------- Page: 9 ----------------------
NORME INTERNATIONALE ISO 19011:redline:2018(F)
Lignes directrices pour l'audit des systèmes
de management
1 Domaine d’application

La présente Norme internationaleLe présent document fournit des lignes directrices sur l’audit de

systèmes de management, comprenant les principes de l’audit, le management d’un programme d’audit

et la réalisation d’audits de systèmes de m
...

NORME ISO
INTERNATIONALE 19011
Troisième édition
2018-07
Lignes directrices pour l'audit des
systèmes de management
Guidelines for auditing management systems
Numéro de référence
ISO 19011:2018(F)
ISO 2018
---------------------- Page: 1 ----------------------
ISO 19011:2018(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2018

Tous droits réservés. Sauf prescription différente ou nécessité dans le contexte de sa mise en oeuvre, aucune partie de cette

publication ne peut être reproduite ni utilisée sous quelque forme que ce soit et par aucun procédé, électronique ou mécanique,

y compris la photocopie, ou la diffusion sur l’internet ou sur un intranet, sans autorisation écrite préalable. Une autorisation peut

être demandée à l’ISO à l’adresse ci-après ou au comité membre de l’ISO dans le pays du demandeur.

ISO copyright office
Case postale 401 • Ch. de Blandonnet 8
CH-1214 Vernier, Geneva
Tél.: +41 22 749 01 11
Fax: +41 22 749 09 47
E-mail: copyright@iso.org
Web: www.iso.org
Publié en Suisse
ii © ISO 2018 – Tous droits réservés
---------------------- Page: 2 ----------------------
ISO 19011:2018(F)
Sommaire Page

Avant-propos ................................................................................................................................................................................................................................v

Introduction ................................................................................................................................................................................................................................vi

1 Domaine d’application ................................................................................................................................................................................... 1

2 Références normatives ................................................................................................................................................................................... 1

3 Termes et définitions ....................................................................................................................................................................................... 1

4 Principes de l’audit ............................................................................................................................................................................................ 5

5 Management d’un programme d’audit .......................................................................................................................................... 7

5.1 Généralités .................................................................................................................................................................................................. 7

5.2 Détermination des objectifs du programme d’audit .............................................................................................. 9

5.3 Détermination et évaluation des risques et des opportunités du programme d’audit .........10

5.4 Établissement du programme d’audit .............................................................................................................................11

5.4.1 Rôles et responsabilités de la ou des personnes responsables du

management du programme d’audit ...........................................................................................................11

5.4.2 Compétence de la ou des personnes responsables du management du

programme d’audit .....................................................................................................................................................12

5.4.3 Détermination de l’étendue du programme d’audit ......................................................................12

5.4.4 Détermination des ressources du programme d’audit ................................................................13

5.5 Mise en œuvre du programme d’audit ............................................................................................................................13

5.5.1 Généralités .........................................................................................................................................................................13

5.5.2 Définition des objectifs, du champ et des critères pour chaque audit individuel .14

5.5.3 Choix et détermination des méthodes d’audit ....................................................................................15

5.5.4 Choix des membres de l’équipe d’audit ....................................................................................................15

5.5.5 Attribution de la responsabilité d’un audit individuel au responsable de

l’équipe d’audit ...............................................................................................................................................................16

5.5.6 Management des résultats du programme d’audit .........................................................................17

5.5.7 Management et conservation des enregistrements du programme d’audit .............17

5.6 Surveillance du programme d’audit ..................................................................................................................................18

5.7 Revue et amélioration du programme d’audit ..........................................................................................................19

6 Réalisation d’un audit ..................................................................................................................................................................................19

6.1 Généralités ...............................................................................................................................................................................................19

6.2 Déclenchement de l’audit ...........................................................................................................................................................19

6.2.1 Généralités .........................................................................................................................................................................19

6.2.2 Prise de contact avec l’audité .............................................................................................................................20

6.2.3 Détermination de la faisabilité de l’audit.................................................................................................20

6.3 Préparation des activités d’audit ..........................................................................................................................................21

6.3.1 Réalisation d’une revue des informations documentées ...........................................................21

6.3.2 Planification de l’audit .............................................................................................................................................21

6.3.3 Répartition des tâches au sein de l’équipe d’audit ..........................................................................22

6.3.4 Préparation des informations documentées en vue de l’audit .............................................23

6.4 Réalisation des activités d’audit ............................................................................................................................................23

6.4.1 Généralités .........................................................................................................................................................................23

6.4.2 Attribution des rôles et responsabilités des guides et des observateurs ....................23

6.4.3 Conduite de la réunion d’ouverture .............................................................................................................24

6.4.4 Communication pendant l’audit ......................................................................................................................25

6.4.5 Disponibilité et accès aux informations d’audit .................................................................................25

6.4.6 Réalisation d’une revue des informations documentées au cours de l’audit ...........25

6.4.7 Recueil et vérification des informations ...................................................................................................26

6.4.8 Production de constatations d’audit ............................................................................................................27

6.4.9 Détermination des conclusions d’audit .................. ...................................................................................28

6.4.10 Conduite de la réunion de clôture ..................................................................................................................28

6.5 Préparation et diffusion du rapport d’audit ...............................................................................................................29

6.5.1 Préparation du rapport d’audit ........................................................................................................................29

© ISO 2018 – Tous droits réservés iii
---------------------- Page: 3 ----------------------
ISO 19011:2018(F)

6.5.2 Diffusion du rapport d’audit ...............................................................................................................................30

6.6 Clôture de l’audit ................................................................................................................................................................................30

6.7 Réalisation du suivi d’audit .......................................................................................................................................................31

7 Compétence et évaluation des auditeurs .................................................................................................................................31

7.1 Généralités ...............................................................................................................................................................................................31

7.2 Déterminer la compétence d’un auditeur .....................................................................................................................32

7.2.1 Généralités .........................................................................................................................................................................32

7.2.2 Comportements personnels ................................................................................................................................32

7.2.3 Connaissances et aptitudes .................................................................................................................................33

7.2.4 Acquisition de la compétence d’auditeur ................................................................................................36

7.2.5 Acquisition de la compétence de responsable d’équipe d’audit ..........................................36

7.3 Déterminer les critères d’évaluation des auditeurs .............................................................................................36

7.4 Choisir la méthode d’évaluation des auditeurs appropriée ..........................................................................36

7.5 Réaliser l’évaluation d’un auditeur ......... ............................................................................................................................37

7.6 Maintien et amélioration de la compétence du ou des auditeurs ............................................................37

Annexe A (informative) Lignes directrices supplémentaires destinées aux auditeurs pour la

planification et la réalisation des audits ..................................................................................................................................38

Bibliographie ...........................................................................................................................................................................................................................49

iv © ISO 2018 – Tous droits réservés
---------------------- Page: 4 ----------------------
ISO 19011:2018(F)
Avant-propos

L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes

nationaux de normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est

en général confiée aux comités techniques de l’ISO. Chaque comité membre intéressé par une étude

a le droit de faire partie du comité technique créé à cet effet. Les organisations internationales,

gouvernementales et non gouvernementales, en liaison avec l’ISO participent également aux travaux.

L’ISO collabore étroitement avec la Commission électrotechnique internationale (IEC) en ce qui

concerne la normalisation électrotechnique.

Les procédures utilisées pour élaborer le présent document et celles destinées à sa mise à jour sont

décrites dans les Directives ISO/IEC, Partie 1. Il convient, en particulier de prendre note des différents

critères d’approbation requis pour les différents types de documents ISO. Le présent document a été

rédigé conformément aux règles de rédaction données dans les Directives ISO/IEC, Partie 2 (voir www

.iso .org/directives).

L’attention est attirée sur le fait que certains des éléments du présent document peuvent faire l’objet de

droits de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable

de ne pas avoir identifié de tels droits de propriété et averti de leur existence. Les détails concernant

les références aux droits de propriété intellectuelle ou autres droits analogues identifiés lors de

l’élaboration du document sont indiqués dans l’Introduction et/ou dans la liste des déclarations de

brevets reçues par l’ISO (voir www .iso .org/brevets).

Les appellations commerciales éventuellement mentionnées dans le présent document sont données

pour information, par souci de commodité, à l’intention des utilisateurs et ne sauraient constituer un

engagement.

Pour une explication de la nature volontaire des normes, la signification des termes et expressions

spécifiques de l’ISO liés à l’évaluation de la conformité, ou pour toute information au sujet de l’adhésion

de l’ISO aux principes de l’Organisation mondiale du commerce (OMC) concernant les obstacles

techniques au commerce (OTC), voir le lien suivant: www .iso .org/avant -propos.

Le présent document a été élaboré par le comité de projet ISO/PC 302, Lignes directrices pour l’audit des

systèmes de management.

Cette troisième édition annule et remplace la deuxième édition (ISO 19011:2011), qui a fait l’objet d’une

révision technique.

Les principales différences par rapport à la deuxième édition sont les suivantes:

— ajout de l’approche par les risques aux principes de l’audit;

— développement des lignes directrices relatives au management d’un programme d’audit, y compris

le risque lié au programme d’audit;

— développement des lignes directrices relatives à la réalisation d’un audit, en particulier la section

concernant la planification de l’audit;
— développement des exigences relatives aux compétences générales des auditeurs;

— ajustement de la terminologie pour refléter le processus et non l’objet («chose»);

— suppression de l’annexe contenant les exigences en matière de compétences pour l’audit de

disciplines de systèmes de management spécifiques (en raison du grand nombre de normes de

système de management individuelles, il ne serait pas pratique d’inclure des exigences en matière

de compétences pour toutes les disciplines);

— développement de l’Annexe A pour fournir des lignes directrices relatives aux (nouveaux) concepts

d’audit tels que le contexte de l’organisme, le leadership et l’engagement, les audits virtuels, la

conformité et la chaîne d’approvisionnement.
© ISO 2018 – Tous droits réservés v
---------------------- Page: 5 ----------------------
ISO 19011:2018(F)
Introduction

Depuis que la deuxième édition du présent document a été publiée en 2011, plusieurs nouvelles normes

sur les systèmes de management ont été publiées, un grand nombre d’entre elles ayant une structure

commune, des exigences de base identiques et des termes et définitions de base communs. De ce fait,

il est nécessaire d’envisager une approche plus globale de l’audit des systèmes de management et de

fournir des lignes directrices plus générales. Les résultats d’audit peuvent fournir des éléments d’entrée

pour l’aspect analytique de la planification des activités, et peuvent contribuer à l’identification des

besoins et activités d’amélioration.

Un audit peut être réalisé par rapport à une série de critères d’audit, séparément ou en combinaison,

comprenant sans toutefois s’y limiter:
— les exigences définies dans une ou plusieurs normes de système de management;

— les politiques et les exigences spécifiées par les parties intéressées pertinentes;

— les exigences légales et réglementaires;

— un ou plusieurs processus de système de management définis par l’organisme ou d’autres parties;

— le(s) plan(s) de système de management se rapportant à la fourniture d’éléments de sortie spécifiques

d’un système de management (par exemple plan qualité, plan de projet).

Le présent document fournit aux organismes de toutes tailles et de tous types des lignes directrices

pour les audits de champs et échelles variables, y compris ceux réalisés par de grandes équipes d’audit,

généralement dans de grands organismes, et ceux réalisés par des auditeurs uniques, dans de grands

ou petits organismes. Il convient, selon le cas, d’adapter ces lignes directrices au champ, à la complexité

et à l’échelle du programme d’audit.

Le présent document se concentre sur les audits internes (de première partie) et les audits réalisés

par des organismes auprès de leurs prestataires externes et d’autres parties intéressées externes

(de seconde partie). Le présent document peut également être utile pour des audits externes réalisés

à d’autres fins que la certification par tierce partie d’un système de management. L’ISO/IEC 17021-1

fournit des exigences relatives à l’audit des systèmes de management en vue d’une certification par

tierce partie; toutefois, le présent document peut fournir des lignes directrices supplémentaires utiles

(voir Tableau 1).
Tableau 1 — Différent types d’audits
Audit de première partie Audit de seconde partie Audit de tierce partie

Audit interne Audit des prestataires externes Audit en vue d’une certification et/

ou d’une accréditation
Audit d’autres parties intéressées Audit à des fins légales, réglemen-
externes taires et similaires

Pour simplifier la lisibilité du présent document, la forme singulière de «système de management»

est préférable, le lecteur pouvant toutefois adapter la mise en œuvre des lignes directrices à sa

propre situation particulière. Cela s’applique également à l’utilisation de «personne» et «personnes»,

«auditeur» et «auditeurs».

Le présent document est destiné à une large gamme d’utilisateurs potentiels parmi lesquels des

auditeurs, des organismes mettant en œuvre des systèmes de management et des organismes devant

réaliser des audits de systèmes de management dans un cadre contractuel ou réglementaire. Les

utilisateurs du présent document peuvent cependant appliquer ces lignes directrices pour développer

leurs propres exigences en matière d’audit.

Les lignes directrices fournies dans le présent document peuvent également être utilisées à des fins

d’autodéclaration et peuvent par ailleurs se révéler utiles aux organismes chargés de la certification du

personnel ou de la formation d’auditeurs.
vi © ISO 2018 – Tous droits réservés
---------------------- Page: 6 ----------------------
ISO 19011:2018(F)

Les lignes directrices fournies dans le présent document se veulent flexibles. Comme indiqué à

différentes reprises dans le texte, l’utilisation de ces lignes directrices peut varier selon la taille et le

niveau de maturité du système de management de l’organisme. Il convient également de prendre en

considération la nature et la complexité de l’organisme à auditer, ainsi que les objectifs et le champ des

audits à réaliser.

Le présent document adopte le principe d’audit combiné lorsque deux ou plusieurs systèmes de

management de disciplines différentes sont audités ensemble. Les principes et les processus d’audit sont

identiques à ceux applicables à un audit combiné (parfois appelé audit intégré) lorsque les systèmes

définis sont intégrés dans un système de management unique.

Le présent document fournit des lignes directrices sur le management d’un programme d’audit, la

planification et la réalisation d’audits de systèmes de management, ainsi que sur la compétence et

l’évaluation d’un auditeur et d’une équipe d’audit.
© ISO 2018 – Tous droits réservés vii
---------------------- Page: 7 ----------------------
NORME INTERNATIONALE ISO 19011:2018(F)
Lignes directrices pour l'audit des systèmes de
management
1 Domaine d’application

Le présent document fournit des lignes directrices sur l’audit de systèmes de management, comprenant

les principes de l’audit, le management d’un programme d’audit et la réalisation d’audits de systèmes

de management. Elle donne également des lignes directrices sur l’évaluation de la compétence des

personnes impliquées dans le processus d’audit. Ces activités concernent le(s) responsable(s) du

management du programme d’audit, les auditeurs et les équipes d’audit.

Il est applicable à tous les organismes qui doivent planifier et réaliser des audits internes ou externes de

systèmes de management ou manager un programme d’audit.

Le présent document peut, en principe, s’appliquer à d’autres types d’audits, à condition toutefois

d’accorder une attention toute particulière aux compétences spécifiques requises.

2 Références normatives
Le présent document ne contient aucune référence normative.
3 Termes et définitions

Pour les besoins du présent document, les termes et définitions suivants s’appliquent.

L’ISO et l’IEC tiennent à jour des bases de données terminologiques destinées à être utilisées en

normalisation, consultables aux adresses suivantes:

— ISO Online browsing platform: disponible à l’adresse https: //www .iso .org/obp

— IEC Electropedia: disponible à l’adresse http: //www .electropedia .org/
3.1
audit

processus méthodique, indépendant et documenté, permettant d’obtenir des preuves objectives (3.8) et

de les évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit (3.7) sont

satisfaits

Note 1 à l'article: Les audits internes, parfois appelés audits de première partie, sont réalisés par, ou pour le

compte de l’organisme lui-même.

Note 2 à l'article: Les audits externes comprennent les audits appelés généralement audits de seconde et de

tierce partie. Les audits de seconde partie sont réalisés par des parties ayant un intérêt à l’égard de l’organisme,

comme les clients ou d’autres personnes agissant en leur nom. Les audits de tierce partie sont réalisés par des

organismes d’audit indépendants, tels que ceux qui octroient l’enregistrement ou la certification de conformité

ou des organismes publics.

[SOURCE: ISO 9000:2015, 3.13.1, modifiée — les Notes à l’article ont été modifiées]

© ISO 2018 – Tous droits réservés 1
---------------------- Page: 8 ----------------------
ISO 19011:2018(F)
3.2
audit combiné

audit (3.1) réalisé simultanément auprès d’un seul audité (3.18) sur deux systèmes de

management (3.19) ou plus

Note 1 à l'article: Lorsque deux ou plusieurs systèmes de management spécifiques à une discipline sont intégrés

dans un seul système de management, on parle de système de management intégré.
[SOURCE: ISO 9000:2015, 3.13.2, modifiée]
3.3
audit conjoint

audit (3.1) réalisé auprès d’un seul audité (3.13) par deux organismes d’audit ou plus

[SOURCE: ISO 9000:2015, 3.13.3]
3.4
programme d’audit

dispositions relatives à un ensemble d’un ou plusieurs audits (3.1) planifié pour une durée spécifique et

dirigé dans un but spécifique

[SOURCE: ISO 9000:2015, 3.13.4, modifiée — des mots ont été ajoutés à la définition]

3.5
champ de l’audit
étendue et limites d’un audit (3.1)

Note 1 à l'article: Le champ de l’audit décrit généralement les lieux physiques et virtuels, les fonctions, les unités

organisationnelles, les activités et les processus ainsi que la période de temps couverte.

Note 2 à l'article: Un lieu virtuel est un lieu où un organisme réalise un travail ou fournit un service en utilisant

un environnement en ligne permettant à des personnes d’exécuter les processus quel que soit le lieu physique.

[SOURCE: ISO 9000:2015, 3.13.5, modifiée — la Note 1 à l’article a été modifiée, la Note 2 à l’article a été

ajoutée]
3.6
plan d’audit

description des activités et des dispositions nécessaires pour réaliser un audit (3.1)

[SOURCE: ISO 9000:2015, 3.13.6]
3.7
critères d’audit

ensemble d’exigences (3.23) utilisées comme référence vis-à-vis de laquelle les preuves objectives (3.8)

sont comparées

Note 1 à l'article: Si les critères d’audit sont des exigences légales (y compris statutaires ou réglementaires), les

termes «conformité» et «non-conformité» sont souvent utilisés dans les constatations d’audit (3.10).

Note 2 à l'article: Les exigences peuvent comprendre des politiques, des procédures, des instructions de travail,

des exigences légales, des obligations contractuelles, etc.

[SOURCE: ISO 9000:2015, 3.13.7, modifiée — la définition a été modifiée et les Notes 1 et 2 à l’article ont

été ajoutées]
3.8
preuves objectives
données démontrant l’existence ou la véracité de quelque chose

Note 1 à l'article: Les preuves objectives sont obtenues par observation, mesure, essai ou par un autre moyen.

2 © ISO 2018 – Tous droits réservés
---------------------- Page: 9 ----------------------
ISO 19011:2018(F)

Note 2 à l'article: Dans le cadre d’un audit (3.1), les preuves objectives consistent généralement en enregistrements,

énoncés de faits ou d’autres informations pertinents pour les critères d’audit (3.7) et vérifiables.

[SOURCE: ISO 9000:2015, 3.8.3]
3.9
preuves d’audit

enregistrements, énoncés de faits ou autres informations pertinents pour les critères d’audit (3.7) et

vérifiables
[SOURCE: ISO 9000:2015, 3.13.8]
3.10
constatations d’audit

résultats de l’évaluation des preuves d’audit (3.9) recueillies, par rapport aux critères d’audit (3.7)

Note 1 à l'article: Les constatations d’audit indiquent la conformité (3.20) ou la non-conformité (3.21).

Note 2 à l'article: Les constatations d’audit peuvent conduire à l’identification des opportunités d’amélioration ou

à la consignation des bonnes pratiques.

Note 3 à l'article: En anglais, si les critères d’audit sont choisis parmi les exigences légales ou les exigences

réglementaires, la constatation d’audit est qualifiée de «compliance» ou «non-compliance».

[SOURCE: ISO 9000:2015, 3.13.9, modifiée — les Notes 2 et 3 à l’article ont été modifiées]

3.11
conclusions d’audit

résultat d’un audit (3.1), après avoir pris en considération les objectifs de l’audit et toutes les

constatations d’audit (3.10)
[SOURCE: ISO 9000:2015, 3.13.10]
3.12
client de l’audit
organisme ou personne demandant un audit (3.1)

Note 1 à l'article: Dans le cas d’un audit interne, le client de l’audit peut également être l’audité (3.13) ou la (les)

personne(s) qui gère(nt) le programme d’audit. Les demandes d’audit externe peuvent provenir de sources telles

que des autorités de réglementation, des parties contractantes ou des clients potentiels ou existants.

[SOURCE: ISO 9000:2015, 3.13.11, modifiée — la Note 1 à l’article a été ajoutée]
3.13
audité
organisme dans son ensemble ou parties de celui-ci qui sont audités
[SOURCE: ISO 9000:2015, 3.13.12, modifiée]
3.14
équipe d’audit

une ou plusieurs personnes réalisant un audit (3.1), assistées, si nécessaire, par des experts

techniques (3.16)

Note 1 à l'article: Un auditeur (3.15) de l’équipe d’audit (3.14) est nommé responsable de l’équipe d’audit.

Note 2 à l'article: L’équipe d’audit peut comprendre des auditeurs en formation.
[SOURCE: ISO 9000:2015, 3.13.14]
© ISO 2018 – Tous droits réservés 3
---------------------- Page: 10 ----------------------
ISO 19011:2018(F)
3.15
auditeur
personne qui réalise un audit (3.1)
[SOURCE: ISO 9000:2015, 3.13.15]
3.16
expert technique

personne apportant à l’équipe d’audit (3.14) des connaissances ou une expertise spécifiques

Note 1 à l'article: Ces connaissances ou cette expertise spécifiques se rapportent à l’organisme, à l’activité, au

processus, au produit, au service ou au domaine à auditer, ou elles consistent en une assistance linguistique ou

culturelle.

Note 2 à l'article: Au sein de l’équipe d’audit (3.14), un expert technique n’agit pas en tant qu’auditeur (3.15).

[SOURCE: ISO 9000:2015, 3.13.16, modifiée — les Notes 1 et 2 à l’article ont été modifiées]

3.17
observateur

personne qui accompagne l’équipe d’audit (3.14), mais qui n’agit pas en tant qu’auditeur (3.15)

[SOURCE: ISO 9000:2015, 3.13.17, modifiée]
3.18
système de management

ensemble d’éléments corrélés ou en interaction d’un organisme, utilisés pour établir des politiques, des

objectifs et des processus (3.24) de façon à atteindre lesdits objectifs

Note 1 à l'article: Un système de management peut traiter d’un seul ou de plusieurs domaines, par exemple

management de la qualité, gestion financière ou management environnemental.

Note 2 à l'article: Les éléments du système de management comprennent la structure, les rôles et responsabilités,

la planification, le fonctionnement de l’organisme, les politiques, les pratiques, les règles, le

...

NORMA ISO
INTERNACIONAL 19011
Traducción oficial
Tercera edición
Official translation
2018-07
Traduction officielle
Directrices para la auditoría de los
sistemas de gestión
Guidelines for auditing management systems
Lignes directrices pour l'audit des systèmes de management
Publicado por la Secretaría Central de ISO en Ginebra, Suiza, como
traducción oficial en español avalada por el Translation
Management Group, que ha certificado la conformidad en relación
con las versiones inglesa y francesa.
Número de referencia
ISO 19011:2018
(traducción oficial)
ISO 2018
---------------------- Page: 1 ----------------------
ISO 19011:2018 (traducción oficial)
DOCUMENTO PROTEGIDO POR COPYRIGHT
© ISO 2018. Publicado en Suiza

Reservados los derechos de reproducción. Salvo prescripción diferente, o requerido en el contexto de su implementación, no

podrá reproducirse ni utilizarse ninguna parte de esta publicación bajo ninguna forma y por ningún medio, electrónico o

mecánico, incluidos el fotocopiado, o la publicación en Internet o una Intranet, sin la autorización previa por escrito. La

autorización puede solicitarse a ISO en la siguiente dirección o al organismo miembro de ISO en el país solicitante.

ISO copyright office
Ch. de Blandonnet 8  CP 401
CH-1214 Vernier, Ginebra, Suiza
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Versión española publicada en 2018
Traducción oficial/Official translation/Traduction officielle
ii © ISO 2018 — Todos los derechos reservados
---------------------- Page: 2 ----------------------
ISO 19011:2018 (traducción oficial)
Índice Página

Prólogo ............................................................................................................................................................................... v

Prólogo de la versión en español ........................................................................................................................... vi

Introducción ................................................................................................................................................................. vii

1 Objeto y campo de aplicación ......................................................................................................................1

2 Referencias normativas.................................................................................................................................1

3 Términos y definiciones ................................................................................................................................1

4 Principios de auditoría ..................................................................................................................................6

5 Gestión de un programa de auditoría ......................................................................................................7

5.1 Generalidades ...................................................................................................................................................... 7

5.2 Establecimiento de los objetivos del programa de auditoría ....................................................... 11

5.3 Determinación y evaluación de los riesgos y oportunidades del programa de

auditoría ............................................................................................................................................................. 11

5.4 Establecimiento del programa de auditoría ........................................................................................ 12

5.4.1 Roles y responsabilidades de las personas responsables de la gestión del

programa de auditoría ............................................................................................................... 12

5.4.2 Competencia de las personas responsables de la gestión del programa de

auditoría ........................................................................................................................................... 13

5.4.3 Establecimiento de la extensión del programa de auditoría ...................................... 14

5.4.4 Determinación de los recursos del programa de auditoría ........................................ 15

5.5 Implementación del programa de auditoría ........................................................................................ 15

5.5.1 Generalidades ................................................................................................................................ 15

5.5.2 Definición de los objetivos, el alcance y los criterios para una auditoría

individual ......................................................................................................................................... 16

5.5.3 Selección y determinación de los métodos de auditoría .............................................. 17

5.5.4 Selección de los miembros del equipo auditor ................................................................ 17

5.5.5 Asignación de responsabilidades al líder del equipo auditor para una

auditoría individual ..................................................................................................................... 18

5.5.6 Gestión de los resultados del programa de auditoría ................................................... 19

5.5.7 Gestión y conservación de los registros del programa de auditoría ....................... 20

5.6 Seguimiento del programa de auditoría ................................................................................................ 21

5.7 Revisión y mejora del programa de auditoría ..................................................................................... 21

6 Realización de una auditoría .................................................................................................................... 22

6.1 Generalidades ................................................................................................................................................... 22

6.2 Inicio de la auditoría ...................................................................................................................................... 22

6.2.1 Generalidades ................................................................................................................................ 22

6.2.2 Establecimiento del contacto con el auditado .................................................................. 22

6.2.3 Determinación de la viabilidad de la auditoría ................................................................ 23

6.3 Preparación de las actividades de auditoría ........................................................................................ 23

6.3.1 Realización de la revisión de la información documentada ....................................... 23

6.3.2 Planificación de la auditoría..................................................................................................... 24

6.3.3 Asignación de las tareas al equipo auditor ........................................................................ 26

6.3.4 Preparación de la información documentada para la auditoría ............................... 26

6.4 Realización de las actividades de auditoría ......................................................................................... 26

6.4.1 Generalidades ................................................................................................................................ 26

6.4.2 Asignación de roles y responsabilidades de los guías y los observadores ........... 27

6.4.3 Realización de la reunión de apertura ................................................................................. 27

Traducción oficial/Official translation/Traduction officielle
© ISO 2018 — Todos los derechos reservados iii
---------------------- Page: 3 ----------------------
ISO 19011:2018 (traducción oficial)

6.4.4 Comunicación durante la auditoría ...................................................................................... 28

6.4.5 Disponibilidad y acceso de la información de auditoría .............................................. 29

6.4.6 Revisión de la información documentada durante la auditoría................................ 29

6.4.7 Recopilación y verificación de la información ................................................................. 30

6.4.8 Generación de hallazgos de la auditoría ............................................................................. 31

6.4.9 Determinación de las conclusiones de la auditoría ........................................................ 31

6.4.10 Realización de la reunión de cierre ...................................................................................... 32

6.5 Preparación y distribución del informe de la auditoría .................................................................. 33

6.5.1 Preparación del informe de la auditoría ............................................................................. 33

6.5.2 Distribución del informe de la auditoría ............................................................................ 34

6.6 Finalización de la auditoría......................................................................................................................... 34

6.7 Realización de las actividades de seguimiento de una auditoría ................................................ 35

7 Competencia y evaluación de los auditores........................................................................................ 35

7.1 Generalidades ................................................................................................................................................... 35

7.2 Determinación de la competencia del auditor .................................................................................... 36

7.2.1 Generalidades ................................................................................................................................ 36

7.2.2 Comportamiento personal ....................................................................................................... 36

7.2.3 Conocimientos y habilidades ................................................................................................... 37

7.2.4 Logro de la competencia del auditor .................................................................................... 40

7.2.5 Logro de la competencia del líder del equipo auditor .................................................. 41

7.3 Establecimiento de los criterios de evaluación del auditor .......................................................... 41

7.4 Selección del método apropiado de evaluación del auditor ......................................................... 41

7.5 Realización de la evaluación del auditor ............................................................................................... 42

7.6 Mantenimiento y mejora de la competencia del auditor ................................................................ 42

Anexo A (informativo) Orientación adicional destinada a los auditores que planifican y

realizan las auditorías ................................................................................................................................ 43

Bibliografía ................................................................................................................................................................... 56

Traducción oficial/Official translation/Traduction officielle
iv © ISO 2018 — Todos los derechos reservados
---------------------- Page: 4 ----------------------
ISO 19011:2018 (traducción oficial)
Prólogo

ISO (Organización Internacional de Normalización) es una federación mundial de organismos

nacionales de normalización (organismos miembros de ISO). El trabajo de elaboración de las Normas

Internacionales se lleva a cabo normalmente a través de los comités técnicos de ISO. Cada organismo

miembro interesado en una materia para la cual se haya establecido un comité técnico, tiene el derecho

de estar representado en dicho comité. Las organizaciones internacionales, gubernamentales y no

gubernamentales, vinculadas con ISO, también participan en el trabajo. ISO colabora estrechamente con

la Comisión Electrotécnica Internacional (IEC) en todos los temas de normalización electrotécnica.

En la Parte 1 de las Directivas ISO/IEC se describen los procedimientos utilizados para desarrollar este

documento y aquellos previstos para su mantenimiento posterior. En particular debería tomarse nota

de los diferentes criterios de aprobación necesarios para los distintos tipos de documentos ISO. Este

documento ha sido redactado de acuerdo con las reglas editoriales de la Parte 2 de las Directivas

ISO/IEC (véase www.iso.org/directives).

Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan

estar sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de alguno o

todos los derechos de patente. Los detalles sobre cualquier derecho de patente identificado durante el

desarrollo de este documento se indicarán en la Introducción y/o en la lista ISO de declaraciones de

patente recibidas (véase www.iso.org/patents).

Cualquier nombre comercial utilizado en este documento es información que se proporciona para

comodidad del usuario y no constituye una recomendación.

Para una explicación de la naturaleza voluntaria de las normas, el significado de los términos específicos

de ISO y las expresiones relacionadas con la evaluación de la conformidad, así como la información

acerca de la adhesión de ISO a los principios de la Organización Mundial del Comercio (OMC) respecto a

los Obstáculos Técnicos al Comercio (OTC), véase www.iso.org/iso/foreword.html.

Este documento ha sido elaborado por el Comité de Proyecto ISO/PC 302, Directrices para la auditoría

de los sistemas de gestión.

Esta tercera edición anula y sustituye a la segunda edición (ISO 19011:2011) que ha sido revisada

técnicamente.

Los cambios principales en comparación con la segunda edición son los siguientes:

— adición del enfoque basado en riesgos a los principios de la auditoría;

— ampliación de la orientación sobre la gestión de un programa de auditoría, incluyendo el riesgo del

programa de auditoría;

— ampliación de la orientación sobre la realización de una auditoría, particularmente la sección sobre

planificación de la auditoría;
— ampliación de los requisitos de competencia genérica para los auditores;
— ajuste de la terminología para reflejar el proceso y no el objeto (“cosa”);

— eliminación del anexo que contenía los requisitos de competencia para auditar disciplinas

específicas de sistemas de gestión (debido al gran número de normas individuales de sistemas de

gestión, no sería práctico incluir requisitos de competencia para todas las disciplinas);

— ampliación del Anexo A para proporcionar orientación sobre la auditoría de (nuevos) conceptos

como el contexto de la organización, el liderazgo y el compromiso, las auditorías virtuales, el

cumplimiento y la cadena de suministro.
Traducción oficial/Official translation/Traduction officielle
© ISO 2018 — Todos los derechos reservados v
---------------------- Page: 5 ----------------------
ISO 19011:2018 (traducción oficial)
Prólogo de la versión en español

Este documento ha sido traducido por el Grupo de Trabajo Spanish Translation Task Force (STTF) del

Comité Técnico ISO/CASCO, Comité para la evaluación de la conformidad, en el que participan

representantes de los organismos nacionales de normalización y representantes del sector empresarial

de los siguientes países:

Argentina, Bolivia, Chile, Colombia, Costa Rica, Cuba, Ecuador, El Salvador, España, Estados Unidos de

América, Guatemala, Honduras, México, Panamá, Perú, República Dominicana y Uruguay.

Igualmente, en el citado Grupo de Trabajo participan representantes de COPANT (Comisión

Panamericana de Normas Técnicas) e INLAC (Instituto Latinoamericano de la Calidad).

Esta traducción es parte del resultado del trabajo que el Grupo ISO/CASCO/STTF viene desarrollando

desde su creación en el año 2002 para lograr la unificación de la terminología en lengua española en el

ámbito de la evaluación de la conformidad.
Traducción oficial/Official translation/Traduction officielle
vi © ISO 2018 — Todos los derechos reservados
---------------------- Page: 6 ----------------------
ISO 19011:2018 (traducción oficial)
Introducción

Desde la publicación de la segunda edición de este documento en 2011, se han publicado varias normas

nuevas de sistemas de gestión, muchas de las cuales tienen una estructura común, requisitos esenciales

idénticos y términos comunes y definiciones esenciales. Como resultado, es necesario considerar un

enfoque más amplio para la auditoría de los sistemas de gestión, así como de proporcionar una

orientación más genérica. Los resultados de las auditorías pueden proporcionar entradas para el

aspecto de análisis de la planificación del negocio, y pueden contribuir a la identificación de necesidades

y actividades de mejora.

Una auditoría puede realizarse con relación a una serie de criterios de auditoría, de manera separada o

combinada incluyendo, pero sin limitarse a:
— los requisitos definidos en una o más normas de sistemas de gestión;

— las políticas y los requisitos especificados por las partes interesadas pertinentes;

— los requisitos legales y reglamentarios;

— uno o más procesos del sistema de gestión definidos por la organización o por otras partes;

— los planes de sistemas de gestión relacionados con la provisión de salidas específicas de un sistema

de gestión (por ejemplo, el plan de la calidad, el plan de proyecto).

Este documento proporciona orientación para todos los tamaños y tipos de organizaciones y auditorías

de distintos alcances y escalas, incluyendo aquellas realizadas por equipos de auditoría grandes,

típicamente de organizaciones grandes, y aquellas realizadas por auditores individuales, ya sea en

organizaciones grandes o pequeñas. Esta orientación debería adaptarse según sea apropiado al alcance,

la complejidad y la escala del programa de auditoría.

Este documento se concentra en las auditorías internas (de primera parte) y las auditorías realizadas

por las organizaciones a sus proveedores externos y a otras partes interesadas externas (de segunda

parte). Este documento también puede ser útil para las auditorías externas realizadas con fines

distintos a una certificación de sistemas de gestión de tercera parte. La Norma ISO/IEC 17021-1

proporciona requisitos para la auditoría de sistemas de gestión para la certificación de tercera parte;

este documento puede proporcionar orientación adicional de utilidad (véase la Tabla 1).

Tabla 1 — Tipos distintos de auditoría
Auditoría de primera parte Auditoría de segunda parte Auditoría de tercera parte
Auditoría interna Auditoría externa de proveedor Auditoría de certificación y/o
acreditación
Otra auditoría externa de parte Auditoría legal, reglamentaria o
interesada similar

Para simplificar la legibilidad de este documento, se prefiere la forma singular de “sistema de gestión”,

pero el lector puede adaptar la implementación de la orientación a su propia situación. Esto también

aplica al uso de “persona” y “personas”, “auditor” y “auditores”.
Traducción oficial/Official translation/Traduction officielle
© ISO 2018 — Todos los derechos reservados vii
---------------------- Page: 7 ----------------------
ISO 19011:2018 (traducción oficial)

Se pretende que este documento se aplique a un amplio rango de usuarios potenciales, incluyendo

auditores, organizaciones que implementan sistemas de gestión y organizaciones que necesitan realizar

auditorías de sistemas de gestión por razones contractuales o reglamentarias. Sin embargo, los usuarios

de este documento pueden aplicar esta orientación al desarrollar sus propios requisitos relacionados

con auditorías.

La orientación en este documento también puede usarse con el propósito de la autodeclaración, y puede

ser útil para organizaciones involucradas en la formación de auditores o en la certificación de personas.

La orientación en este documento pretende ser flexible. Como se indica en varios puntos del texto, el

uso de esta orientación puede diferir dependiendo del tamaño y el nivel de madurez del sistema de

gestión de una organización. También deberían considerarse la naturaleza y la complejidad de la

organización que se va a auditar, así como los objetivos y el alcance de las auditorías que se van a

realizar.

Este documento adopta el enfoque de auditoría combinada cuando se auditan juntos dos o más sistemas

de gestión de distintas disciplinas. Cuando estos sistemas están integrados en un único sistema de

gestión, los principios y procesos de auditoría son los mismos que para una auditoría combinada (a

veces, llamada auditoría integrada).

Este documento proporciona orientación sobre la gestión de un programa de auditoría, sobre la

planificación y la realización de auditorías de sistemas de gestión, así como sobre la competencia y la

evaluación de un auditor y un equipo auditor.
Traducción oficial/Official translation/Traduction officielle
viii © ISO 2018 — Todos los derechos reservados
---------------------- Page: 8 ----------------------
ISO 19011:2018 (traducción oficial)
NORMA INTERNACIONAL
Directrices para la auditoría de los sistemas de gestión
1 Objeto y campo de aplicación

Este documento proporciona orientación sobre la auditoría de los sistemas de gestión, incluyendo los

principios de la auditoría, la gestión de un programa de auditoría y la realización de auditorías de

sistemas de gestión, así como orientación sobre la evaluación de la competencia de las personas que

participan en el proceso de auditoría. Estas actividades incluyen a las personas responsables de la

gestión del programa de auditoría, los auditores y los equipos auditores.

Es aplicable a todas las organizaciones que necesitan planificar y realizar auditorías internas o externas

de sistemas de gestión, o gestionar un programa de auditoría.

La aplicación de este documento a otros tipos de auditorías es posible, siempre que se preste especial

atención a la competencia específica necesaria.
2 Referencias normativas
No hay referencias normativas en este documento.
3 Términos y definiciones

Para los fines de este documento, se aplican los términos y definiciones siguientes.

ISO e IEC mantienen bases de datos terminológicas para su utilización en normalización en las

siguientes direcciones:
— Plataforma de búsqueda en línea de ISO: disponible en https://www.iso.org/obp
— Electropedia de IEC: disponible en http://www.electropedia.org/
3.1
auditoría

proceso sistemático, independiente y documentado para obtener evidencias objetivas (3.8) y evaluarlas

de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría (3.7)

Nota 1 a la entrada: Las auditorías internas, denominadas en algunos casos auditorías de primera parte, se

realizan por, o en nombre de la propia organización.

Nota 2 a la entrada: Las auditorías externas incluyen lo que se denomina generalmente auditorías de segunda y

tercera parte. Las auditorías de segunda parte se llevan a cabo por partes que tienen un interés en la organización,

tales como los clientes o por otras personas en su nombre. Las auditorías de tercera parte se llevan a cabo por

organizaciones auditoras independientes, tales como las que otorgan la certificación/registro de conformidad o

agencias gubernamentales.

[FUENTE: ISO 9000:2015, 3.13.1, modificada — las Notas a la entrada han sido modificadas]

Traducción oficial/Official translation/Traduction officielle
© ISO 2018 — Todos los derechos reservados 1
---------------------- Page: 9 ----------------------
ISO 19011:2018 (traducción oficial)
3.2
auditoría combinada

auditoría (3.1) llevada a cabo conjuntamente a un único auditado (3.13) en dos o más sistemas de

gestión (3.18)

Nota 1 a la entrada: Se conoce como sistema de gestión integrado cuando dos o más sistemas de gestión

específicos de una disciplina se integran en un único sistema de gestión.
[FUENTE: ISO 9000:2015, 3.13.2, modificada]
3.3
auditoría conjunta

auditoría (3.1) llevada a cabo a un único auditado (3.13) por dos o más organizaciones auditoras

[FUENTE: ISO 9000:2015, 3.13.3]
3.4
programa de auditoría

acuerdos para un conjunto de una o más auditorías (3.1) planificadas para un periodo de tiempo

determinado y dirigidas hacia un propósito específico

[FUENTE: ISO 9000:2015, 3.13.4, modificada — se ha añadido texto a la definición]

3.5
alcance de la auditoría
extensión y límites de una auditoría (3.1)

Nota 1 a la entrada: El alcance de la auditoría incluye generalmente una descripción de las ubicaciones físicas y

virtuales, las funciones, las unidades de la organización, las actividades y los procesos, así como el periodo de

tiempo cubierto.

Nota 2 a la entrada: Una ubicación virtual es un lugar donde la organización desempeña trabajo o presta un

servicio usando un entorno en línea que permite a las personas ejecutar procesos con independencia de su

ubicación física.

[FUENTE: ISO 9000:2015, 3.13.5, modificada — se ha modificado la Nota 1 a la entrada, se ha añadido la

Nota 2 a la entrada]
3.6
plan de auditoría

descripción de las actividades y de los detalles acordados de una auditoría (3.1)

[FUENTE: ISO 9000:2015, 3.13.6]
3.7
criterios de auditoría

conjunto de requisitos (3.23) usados como referencia frente a la cual se compara la evidencia objetiva

(3.8)

Nota 1 a la entrada: Si los criterios de auditoría son requisitos legales (incluyendo los reglamentarios), las

palabras “cumplimiento” o “no cumplimiento” se utilizan a menudo en los hallazgos de la auditoría (3.10).

Nota 2 a la entrada: Los requisitos pueden incluir políticas, procedimientos, instrucciones de trabajo, requisitos

legales, obligaciones contractuales, etc.

[FUENTE: ISO 9000:2015, 3.13.7, modificada — se ha cambiado la definición y se han añadido las

Notas 1 y 2 a la entrada]
Traducción oficial/Official translation/Traduction officielle
2 © ISO 2018 — Todos los derechos reservados
---------------------- Page: 10 ----------------------
ISO 19011:2018 (traducción oficial)
3.8
evidencia objetiva
datos que respaldan la existencia o veracidad de algo

Nota 1 a la entrada: La evidencia objetiva puede obtenerse por medio de la observación, medición, ensayo o por

otros medios.

Nota 2 a la entrada: La evidencia objetiva con fines de auditoría (3.1) generalmente se compone de registros,

declaraciones de hechos u otra información que son pertinentes para los criterios de auditoría (3.7) y verificables.

[FUENTE: ISO 9000:2015, 3.8.3]
3.9
evidencia de la auditoría

registros, declaraciones de hechos o cualquier otra información que es pertinente para los criterios de

auditoría (3.7) y que es verificable
[FUENTE: ISO 9000:2015, 3.13.8]
3.10
hallazgos de la auditoría

resultados de la evaluación de la evidencia de la auditoría (3.9) recopilada frente a los criterios de

auditoría (3.7)

Nota 1 a la entrada: Los hallazgos de la auditoría indican conformidad (3.20) o no conformidad (3.21).

Nota 2 a la entrada: Los hallazgos de la auditoría pueden conducir a la identificación de riesgos, oportunidades

para la mejora o el registro de buenas prácticas.

Nota 3 a la entrada: En inglés, si los criterios de auditoría se seleccionan de entre los requisitos legales o los

requisitos reglamentarios, el hallazgo de la auditoría se denomina cumplimiento o no cumplimiento.

[FUENTE: ISO 9000:2015, 3.13.9, modificada — se han modificado las Notas 2 y 3 a la entrada]

3.11
conclusiones de la auditoría

resultado de una auditoría (3.1), tras considerar los objetivos de la auditoría y todos los hallazgos de la

auditoría (3.10)
[FUENTE: ISO 9000:2015, 3.13.10]
3.12
cliente de la auditoría
organización o persona que solicita una auditoría (3.1)

Nota 1 a la entrada: En el caso de una auditoría interna, el cliente de la auditoría también puede ser el auditado

(3.13) o las personas que gestionan el programa de auditoría. Las solicitudes de una auditoría externa pueden

provenir de fuentes como autoridades reglamentarias, partes contratantes o clientes existentes o potenciales.

[FUENTE: ISO 9000:2015, 3.13.11, modificada — se ha añadido la Nota 1 a la entrada]

3.13
auditado
organización que es auditada en su totalidad o partes
[FUENTE: ISO 9000:2015, 3.13.12, modificada]
Traducción oficial/Official translation/Traduction officielle
© ISO 2018 — Todos los derechos reservados 3
---------------------- Page: 11 ----------------------
ISO 19011:2018 (traducción oficial)
3.14
equipo auditor

una o más personas que llevan a cabo una auditoría (3.1) con el apoyo, si es necesario, de expertos

técnicos (3.16)

Nota 1 a la entrada: A un auditor (3.15) del equipo auditor (3.14) se le designa como auditor líder del mismo.

Nota 2 a la entrada: El equipo auditor puede incluir auditores en formación.
[FUENTE: ISO 9000:2015, 3.13.14]
3.15
auditor
persona que lleva a cabo una auditoría (3.1)
[FUENTE: ISO 9000:2015, 3.13.15]
3.16
experto técnico

persona que aporta conocimientos o experiencia específicos al equipo auditor (3.14)

Nota 1 a la entrada: El conocimiento o pericia específicos se relacionan con la organización, la actividad, el proceso,

el producto, el servicio, la disciplina a auditar, o el idioma o la cultura.

Nota 2 a la entrada: Un experto técnico del equipo auditor (3.14) no actúa como un auditor (3.15).

[FUENTE: ISO 9000:2015, 3.13.16, modificada — se han mod
...

Questions, Comments and Discussion

Ask us and Technical Secretary will try to provide an answer. You can facilitate discussion about the standard in here.