ISO 19011:2011

INTERNATIONAL ISO
STANDARD 19011
Redline version
compares second edition
to first edition
Guidelines for auditing management
systems
Lignes directrices pour l’audit des systèmes de management
Reference number
ISO 19011:redline:2014(E)
©
ISO 2014

---------------------- Page: 1 ----------------------
ISO 19011:redline:2014(E)

IMPORTANT — PLEASE NOTE
This is a mark-up copy and uses the following colour coding:
Text example 1 — indicates added text (in green)
Text example 2 — indicates removed text (in red)
— indicates added graphic figure
— indicates removed graphic figure
1.x . — Heading numbers containg modifications are highlighted in yellow in
the Table of Contents
DISCLAIMER
This Redline version provides you with a quick and easy way to compare the main changes
between this edition of the standard and its previous edition. It doesn’t capture all single
changes such as punctuation but highlights the modifications providing customers with
the most valuable information. Therefore it is important to note that this Redline version is
not the official ISO standard and that the users must consult with the clean version of the
standard, which is the official standard, for implementation purposes.
COPYRIGHT PROTECTED DOCUMENT
© ISO 2014
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized otherwise in any form
or by any means, electronic or mechanical, including photocopying, or posting on the internet or an intranet, without prior
written permission. Permission can be requested from either ISO at the address below or ISO’s member body in the country of
the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2014 – All rights reserved

---------------------- Page: 2 ----------------------
ISO 19011:redline:2014(E)

Contents Page
Foreword .iv
Introduction .v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles of auditing . 4
5 Managing an audit programme . 6
5.1 General . 6
5.2 Establishing the audit programme objectives . 9
5.2 5.3 Audit programme objectives and extent Establishing the audit programme .10
5.3 Audit programme responsibilities, resources and procedures .13
5.4 Audit programme implementation Implementing the audit programme .13
5.5 Audit programme records Monitoring the audit programme .18
5.6 Audit programme monitoring and reviewing Reviewing and improving the
audit programme .18
6 Audit activities Performing an audit.19
6.1 General .19
6.2 Initiating the audit .21
6.3 Conducting document review .24
6.4 6.3 Preparing for the on-site  audit activities .24
6.5 6.4 Conducting on-site the audit activities .27
6.6 6.5 Preparing, approving  and distributing the audit report .34
6.7 6.6 Completing the audit .35
6.8 6.7 Conducting audit follow-up.35
7 Competence and evaluation of auditors .36
7.1 General .36
7.2 Personal attributes .37
7.3 7.2 Knowledge and skills Determining auditor competence to fulfil the needs of the
audit programme .37
7.4 Education, work experience, auditor training and audit experience .44
7.5 7.3 Maintenance and improvement of competence Establishing the auditor
evaluation criteria .45
7.6 7.4 Auditor evaluation Selecting the appropriate auditor evaluation method .46
7.5 Conducting auditor evaluation .50
7.6 Maintaining and improving auditor competence.50
Annex A (informative) Guidance and illustrative examples of discipline-specific knowledge and
skills of auditors .51
Annex B (informative) Additional guidance for auditors for planning and conducting audits .57
Bibliography .64
© ISO 2014 – All rights reserved iii

---------------------- Page: 3 ----------------------
ISO 19011:redline:2014(E)

Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards
bodies (ISO member bodies). The work of preparing International Standards is normally carried out
through ISO technical committees. Each member body interested in a subject for which a technical
committee has been established has the right to be represented on that committee. International
organizations, governmental and non-governmental, in liaison with ISO, also take part in the work.
ISO collaborates closely with the International Electrotechnical Commission (IEC) on all matters of
electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives,
part 3Part 2.
The main task of technical committees is to prepare International Standards. Draft International
Standards acceptedadopted by the technical committees are circulated to the member bodies for voting.
Publication as an International Standard requires approval by at least 75 % of the membersmember
bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this International Standarddocument may
be the subject of patent rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 19011 was prepared jointly by Technical Committee ISO/TC 176, Quality management and
quality assurance, Subcommittee SC 3, Supporting technologies, and Technical Committee ISO/TC 207,
Environmental management, Subcommittee SC 2, Environmental auditing and related environmental
investigations.
This first edition of second edition cancels and replaces the first edition (ISO 19011:2002 cancels
and replaces )ISO 10011-1:1990, ISO 10011-2:1991,which ISO 10011-3:1991,has ISO 14010:1996,been
ISO 14011:1996 and technically revisedISO 14012:1996.
The main differences compared with the first edition are as follows:
— the scope has been broadened from the auditing of quality and environmental management systems
to the auditing of any management systems;
— the relationship between ISO 19011 and ISO/IEC 17021 has been clarified;
— remote audit methods and the concept of risk have been introduced;
— confidentiality has been added as a new principle of auditing;
— Clauses 5, 6 and 7 have been reorganized;
— additional information has been included in a new Annex B, resulting in the removal of help boxes;
— the competence determination and evaluation process has been strengthened;
— illustrative examples of discipline-specific knowledge and skills have been included in a new Annex A;
— additional guidelines are available at the following website: www.iso.org/19011auditing.
iv © ISO 2014 – All rights reserved

---------------------- Page: 4 ----------------------
ISO 19011:redline:2014(E)

Introduction
TheSince ISO 9000 andthe first ISO 14000 seriesedition of International Standards emphasize the
importance of audits as a management tool for monitoring and verifying the effective implementation
of an organization’s quality and/or environmental policy. Audits are also an essential part of conformity
assessment activities such as external certification/registration and of supply chain evaluation
and surveillancethis International Standard was published in 2002, a number of new management
system standards have been published. As a result, there is now a need to consider a broader scope of
management system auditing, as well as providing guidance that is more generic.
In 2006, the ISO committee for conformity assessment (CASCO) developed ISO/IEC 17021, which sets
out requirements for third party certification of management systems and which was based in part on
the guidelines contained in the first edition of this International Standard.
The second edition of ISO/IEC 17021, published in 2011, was extended to transform the guidance offered
in this International Standard into requirements for management system certification audits. It is in this
context that this second edition of this International Standard provides guidance for all users, including
small and medium-sized organizations, and concentrates on what are commonly termed “internal
audits” (first party) and “audits conducted by customers on their suppliers” (second party). While those
involved in management system certification audits follow the requirements of ISO/IEC 17021:2011,
they might also find the guidance in this International Standard useful.
The relationship between this second edition of this International Standard and ISO/IEC 17021:2011 is
shown in Table 1.
Table 1 — Scope of this International Standard and its relationship with ISO/IEC 17021:2011
Internal auditing External auditing
Supplier auditing Third party auditing
Sometimes called first party Sometimes called second party For legal, regulatory and similar
audit audit purposes
For certification (see also
the requirements in
ISO/IEC 17021:2011)
This International Standard does not state requirements, but provides guidance on the management of
an audit programme, on the planning and conducting of an audit of the management system, as well as
on the competence and evaluation of an auditor and an audit team.
Organizations can operate more than one formal management system. To simplify the readability of
this International Standard, the singular form of “management system” is preferred, but the reader can
adapt the implementation of the guidance to their own particular situation. This also applies to the use
of “person” and “persons”, “auditor” and “auditors”.
This International Standard provides guidance on the management of audit programmes, the conduct
of internal or external audits of quality and/or environmental management systems, as well as
on the competence and evaluation of auditors. It is intended to apply to a broad range of potential
users, including auditors, organizations implementing quality and/or environmental management
systems, and organizations needing to conduct audits of quality and/or environmental management
systems for contractual reasons, and organizations involved in auditor certification or training, in
certification/registration of management systems, in accreditation or in standardization in the area of
conformity assessmentor regulatory reasons. Users of this International Standard can, however, apply
this guidance in developing their own audit-related requirements.
The guidance in this International Standard can also be used for the purpose of self-declaration, and can
be useful to organizations involved in auditor training or personnel certification.
© ISO 2014 – All rights reserved v

---------------------- Page: 5 ----------------------
ISO 19011:redline:2014(E)

The guidance in this International Standard is intended to be flexible. As indicated at various points in
the text, the use of these guidelines can differ according to the size,this guidance can differ depending on
the size and level of maturity of an organization’s management system and on the nature and complexity
of the organizationsorganization to be audited, as well as on the objectives and scopesscope of the
audits to be conducted. Throughout this International Standard, supplementary guidance or examples
on specific topics are provided in the form of practical help in boxed text. In some instances, this is
intended to support the use of this International Standard in small organizations.
This International Standard introduces the concept of risk to management systems auditing. The
approach adopted relates both to the risk of the audit process not achieving its objectives and to the
potential of the audit to interfere with the auditee’s activities and processes. It does not provide specific
guidance on the organization’s risk management process, but recognizes that organizations can focus
audit effort on matters of significance to the management system.
This International Standard adopts the approach that when two or more management systems of
different disciplines are audited together, this is termed a “combined audit”. Where these systems are
integrated into a single management system, the principles and processes of auditing are the same as
for a combined audit.
Clause 3 sets out the key terms and definitions used in this International Standard. All efforts have been
taken to ensure that these definitions do not conflict with definitions used in other standards.
Clause 4 describes the principles of auditingon which auditing is based. These principles help the user to
appreciateunderstand the essential nature of auditing and they are a necessary prelude toimportant in
understanding the clauses 5,guidance 6 andset out in Clauses 5 to 7.
Clause 5 provides guidance on managing audit programmes and covers such issues as assigning
responsibility for managing audit programmesestablishing and managing an audit programme,
establishing the audit programme objectives, and coordinating auditing activities and providing
sufficient audit team resources.
Clause 6 provides guidance on conducting audits of quality and/or environmental management systems,
including the selection of audit teamsplanning and conducting an audit of a management system.
Clause 7 provides guidance onrelating to the competence needed by an auditor and describes a process
for evaluating auditorsand evaluation of management system auditors and audit teams.
Where quality and environmental management systems are implemented together, it is at the
discretion of the user of this International Standard as to whether the quality management system and
environmental management system audits are conducted separately or together.
AlthoughAnnex A this International Standard is applicable to the auditing of quality and/or
environmental management systems, the user can consider adapting or extending the guidance provided
hereinillustrates the application of the guidance in Clause 7 to apply to other types of audits, including
other management system auditsdifferent disciplines.
ThisAnnex B International Standard provides only guidance, however, users can apply this to develop
their own audit-related requirementsprovides additional guidance for auditors on planning and
conducting audits.
In addition, any other individual or organization with an interest in monitoring conformance to
requirements, such as product specifications or laws and regulations, may find the guidance in this
International Standard useful.
vi © ISO 2014 – All rights reserved

---------------------- Page: 6 ----------------------
INTERNATIONAL STANDARD ISO 19011:redline:2014(E)
Guidelines for auditing management systems
1 Scope
This International Standard provides guidance on auditing management systems, including the
principles of auditing, managing audit programmes, conducting quality management system audits and
environmentalan audit programme and conducting management system audits, as well as guidance on
the competence of quality and environmental management system auditorsevaluation of competence of
individuals involved in the audit process, including the person managing the audit programme, auditors
and audit teams.
It is applicable to all organizations needingthat need to conduct internal or external audits of quality
and/or environmental management systems or to manage an audit programme.
The application of this International Standard to other types of auditaudits is possible in principle,
provided that special consideration is paidgiven to identifying the competence needed by the audit team
members in such casesspecific competence needed.
2 Normative references
The following normative documents contain provisions which, through references in this text,
constitute provisions of this International Standard. For dated references, subsequent amendments to,
or revisions of, any of these publications do not apply. However, parties to agreements based on this
International Standard are encouraged to investigate the possibility of applying the most recent edition
of the normative documents indicated below. For undated references, the latest edition of the normative
document referred to apply. Members of ISO and IEC maintain registers of currently valid International
StandardsNo normative references are cited. This clause is included in order to retain clause numbering
identical with other ISO management system standards.
ISO 9000:2000, Quality management systems — Fundamentals and vocabulary
ISO 14050:2002, Environmental management — Vocabulary
3 Terms and definitions
For the purposes of this International Standard, the terms and definitions given indocument, the following
ISO 9000 and ISO 14050 apply, unless superseded by the terms and definitions given belowapply.
A term in a definition or note which is defined elsewhere in this clause is indicated by boldface followed
by its entry number in parentheses. Such a boldface term may be replaced in the definition by its
complete definition.
3.1
audit
systematic, independent and documented process for obtaining audit evidence (3.3) and evaluating it
objectively to determine the extent to which the audit criteria (3.2) are fulfilled
Note 1 to entry: Internal audits, sometimes called first-  party audits, are conducted by the organization itself,
or on behalf of, the organization itself its behalf, for management review and other internal purposes, and may
(e.g. to confirm the effectiveness of the management system or to obtain information for the improvement of the
management system). Internal audits can form the basis for an organization’s organization’s self-declaration of
conformity. In many cases, particularly in smaller small organizations, independence can be demonstrated by the
freedom from responsibility for the activity being audited or freedom from bias and conflict of interest.
© ISO 2014 – All rights reserved 1

---------------------- Page: 7 ----------------------
ISO 19011:redline:2014(E)

Note 2 to entry: External audits include those generally termed second- second and third-  party audits. Second-
party audits are conducted by parties having an interest in the organization, such as customers, or by other
persons on their behalf. Third-  party audits are conducted by external,  independent auditing organizations, such
as regulators or those providing registration or certification of conformity to the requirements of ISO 9001 or
ISO 14001 certification.
Note 3 to entry: When a quality management system and an environmental management system two or more
management systems of different disciplines (e.g. quality, environmental, occupational health and safety) are
audited together, this is termed a combined audit.
Note 4 to entry: When two or more auditing organizations cooperate to audit a single auditee (3.7), this is termed
a joint audit.
Note 5 to entry: Adapted from ISO 9000:2005, definition 3.9.1.
3.2
audit criteria
set of policies, procedures or requirements used as a reference against which audit evidence (3.3) is compared
Note 1 to entry: Adapted from ISO 9000:2005, definition 3.9.3.
Note 2 to entry: Audit criteria are used as a reference against which If the audit criteria are legal (including
statutory or regulatory) requirements, audit evidence (3.3) is compared the terms “compliant” or “non-compliant”
are often used in an audit finding (3.4).
3.3
audit evidence
records, statements of fact or other information which are relevant to the audit criteria (3.2) and verifiable
Note 1 to entry: Audit evidence may can be qualitative or quantitative.
[SOURCE: ISO 9000:2005, definition 3.9.4]
3.4
audit findings
results of the evaluation of the collected audit evidence (3.3) against audit criteria (3.2)
Note 1 to entry: Audit findings can  indicate either  conformity or nonconformity with audit criteria or opportunities
for improvement .
Note 2 to entry: Audit findings can lead to the identification of opportunities for improvement or recording
good practices.
Note 3 to entry: If the audit criteria are selected from legal or other requirements, the audit finding is termed
compliance or non-compliance.
Note 4 to entry: Adapted from ISO 9000:2005, definition 3.9.5.
3.5
audit conclusion
outcome of an audit (3.1), provided by the  audit team (3.9)after consideration of the audit objectives and
all audit findings (3.4)
Note 1 to entry: Adapted from ISO 9000:2005, definition 3.9.6.
3.6
audit client
organization or person requesting an audit (3.1)
Note 1 to entry: The audit client may In the case of internal audit, the audit client can also be the auditee (3.7) or
any other organization which has the regulatory or contractual right to request an audit the person managing the
audit programme. Requests for external audit can come from sources such as regulators, contracting parties or
potential clients.
2 © ISO 2014 – All rights reserved

---------------------- Page: 8 ----------------------
ISO 19011:redline:2014(E)

Note 2 to entry: Adapted from ISO 9000:2005, definition 3.9.7.
3.7
auditee
organization being audited
[SOURCE: ISO 9000:2005, definition 3.9.8]
3.8
auditor
person with the who conducts competence (3.14) to conduct  an audit (3.1)
3.9
audit team
one or more auditors (3.8) conducting an audit (3.1), supported if needed by technical experts (3.10)
Note 1 to entry: One auditor of the audit team is appointed as the audit team leader.
Note 2 to entry: The audit team may include auditors-in-training.
[SOURCE: ISO 9000:2005, definition 3.9.10]
3.10
technical expert
person who provides specific knowledge or expertise to the audit team (3.9)
Note 1 to entry: Specific knowledge or expertise is that which relates to the organization, the process or activity
to be audited, or language or culture.
Note 2 to entry: A technical expert does not act as an auditor (3.8) in the audit team.
[SOURCE: ISO 9000:2005, definition 3.9.11]
3.11
observer
person who accompanies the audit team (3.9) but does not audit
Note 1 to entry: An observer is not a part of the audit team (3.9) and does not influence or interfere with the
conduct of the audit (3.1).
Note 2 to entry: An observer can be from the auditee (3.7), a regulator or other interested party who witnesses
the audit (3.1).
3.12
guide
person appointed by the auditee (3.7) to assist the audit team (3.9)
3.11 3.13
audit programme
arrangements for a set of one or more audits (3.1) planned for a specific time frame and directed towards
a specific purpose
Note 1 to entry: An audit programme Adapted from ISO 9000:2005, definition 3.9.2 includes all activities necessary
for planning, organizing and conducting the audits .
3.12
audit plan
description of the activities and arrangements for an audit (3.1)
© ISO 2014 – All rights reserved 3

---------------------- Page: 9 ----------------------
ISO 19011:redline:2014(E)

3.13 3.14
audit scope
extent and boundaries of an audit (3.1)
Note 1 to entry: The audit scope generally includes a description of the physical locations, organizational units,
activities and processes, as well as the time period covered.
[SOURCE: ISO 9000:2005, definition 3.9.13]
3.15
audit plan
description of the activities and arrangements for an audit (3.1)
[SOURCE: ISO 9000:2005, definition 3.9.12]
3.16
risk
effect of uncertainty on objectives
Note 1 to entry: Adapted from ISO Guide 73:2009, definition 1.1.
3.14 3.17
competence
demonstrated personal attributes and demonstrated  ability to apply knowledge and skills to achieve
intended results
Note 1 to entry: Ability implies the appropriate application of personal behaviour during the audit process.
3.18
conformity
fulfilment of a requirement
[SOURCE: ISO 9000:2005, definition 3.6.1]
3.19
nonconformity
non-fulfilment of a requirement
[SOURCE: ISO 9000:2005, definition 3.6.2]
3.20
management system
system to establish policy and objectives and to achieve those objectives
Note 1 to entry: A management system of an organization can include different management systems, such as a
quality management system, a financial management system or an environmental management system.
[SOURCE: ISO 9000:2005, definition 3.2.2]
4 Principles of auditing
Auditing is characterized by reliance on a number of principles. These principles should help to make
the audit an effective and reliable tool in support of management policies and controls, by providing
information on which an organization can act in order to improve its performance. Adherence to
these principles is a prerequisite for providing audit conclusions that are relevant and sufficient and
for enabling auditors, working independently from one another, to reach similar conclusions in similar
circumstances.
The following principles relateguidance given in Clauses 5 to 7auditors is based on the six principles
outlined below.
a) Ethical conduct: the foundation of professionalism
4 © ISO 2014 – All rights reserved

---------------------- Page: 10 ----------------------
ISO 19011:redline:2014(E)

Trust, integrity, confidentiality and discretion are essential to auditing.
b) Fair presentation: the obligation to report truthfully and a
...

INTERNATIONAL ISO
STANDARD 19011
Second edition
2011-11-15
Guidelines for auditing management
systems
Lignes directrices pour l’audit des systèmes de management
Reference number
ISO 19011:2011(E)
©
ISO 2011

---------------------- Page: 1 ----------------------
ISO 19011:2011(E)
COPYRIGHT PROTECTED DOCUMENT
© ISO 2011
All rights reserved. Unless otherwise specified, no part of this publication may be reproduced or utilized in any form or by any means,
electronic or mechanical, including photocopying and microfilm, without permission in writing from either ISO at the address below or ISO’s
member body in the country of the requester.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Published in Switzerland
ii © ISO 2011 – All rights reserved

---------------------- Page: 2 ----------------------
ISO 19011:2011(E)
Contents Page
Foreword .iv
Introduction . v
1 Scope . 1
2 Normative references . 1
3 Terms and definitions . 1
4 Principles of auditing . 4
5 Managing an audit programme . 5
5.1 General . 5
5.2 Establishing the audit programme objectives . 6
5.3 Establishing the audit programme . 7
5.4 Implementing the audit programme .10
5.5 Monitoring the audit programme .13
5.6 Reviewing and improving the audit programme .14
6 Performing an audit .14
6.1 General .14
6.2 Initiating the audit.15
6.3 Preparing audit activities .16
6.4 Conducting the audit activities .18
6.5 Preparing and distributing the audit report.23
6.6 Completing the audit .24
6.7 Conducting audit follow-up .24
7 Competence and evaluation of auditors .24
7.1 General .24
7.2 Determining auditor competence to fulfil the needs of the audit programme.25
7.3 Establishing the auditor evaluation criteria .29
7.4 Selecting the appropriate auditor evaluation method .29
7.5 Conducting auditor evaluation .29
7.6 Maintaining and improving auditor competence .29
Annex A (informative) Guidance and illustrative examples of discipline-specific knowledge and skills of
auditors .31
Annex B (informative) Additional guidance for auditors for planning and conducting audits .37
Bibliography .44
© ISO 2011 – All rights reserved iii

---------------------- Page: 3 ----------------------
ISO 19011:2011(E)
Foreword
ISO (the International Organization for Standardization) is a worldwide federation of national standards bodies
(ISO member bodies). The work of preparing International Standards is normally carried out through ISO
technical committees. Each member body interested in a subject for which a technical committee has been
established has the right to be represented on that committee. International organizations, governmental and
non-governmental, in liaison with ISO, also take part in the work. ISO collaborates closely with the International
Electrotechnical Commission (IEC) on all matters of electrotechnical standardization.
International Standards are drafted in accordance with the rules given in the ISO/IEC Directives, Part 2.
The main task of technical committees is to prepare International Standards. Draft International Standards
adopted by the technical committees are circulated to the member bodies for voting. Publication as an
International Standard requires approval by at least 75 % of the member bodies casting a vote.
Attention is drawn to the possibility that some of the elements of this document may be the subject of patent
rights. ISO shall not be held responsible for identifying any or all such patent rights.
ISO 19011 was prepared by Technical Committee ISO/TC 176, Quality management and quality assurance,
Subcommittee SC 3, Supporting technologies.
This second edition cancels and replaces the first edition (ISO 19011:2002), which has been technically revised.
The main differences compared with the first edition are as follows:
— the scope has been broadened from the auditing of quality and environmental management systems to the
auditing of any management systems;
— the relationship between ISO 19011 and ISO/IEC 17021 has been clarified;
— remote audit methods and the concept of risk have been introduced;
— confidentiality has been added as a new principle of auditing;
— Clauses 5, 6 and 7 have been reorganized;
— additional information has been included in a new Annex B, resulting in the removal of help boxes;
— the competence determination and evaluation process has been strengthened;
— illustrative examples of discipline-specific knowledge and skills have been included in a new Annex A;
— additional guidelines are available at the following website: www.iso.org/19011auditing.
iv © ISO 2011 – All rights reserved

---------------------- Page: 4 ----------------------
ISO 19011:2011(E)
Introduction
Since the first edition of this International Standard was published in 2002, a number of new management
system standards have been published. As a result, there is now a need to consider a broader scope of
management system auditing, as well as providing guidance that is more generic.
In 2006, the ISO committee for conformity assessment (CASCO) developed ISO/IEC 17021, which sets out
requirements for third party certification of management systems and which was based in part on the guidelines
contained in the first edition of this International Standard.
The second edition of ISO/IEC 17021, published in 2011, was extended to transform the guidance offered in
this International Standard into requirements for management system certification audits. It is in this context
that this second edition of this International Standard provides guidance for all users, including small and
medium-sized organizations, and concentrates on what are commonly termed “internal audits” (first party)
and “audits conducted by customers on their suppliers” (second party). While those involved in management
system certification audits follow the requirements of ISO/IEC 17021:2011, they might also find the guidance in
this International Standard useful.
The relationship between this second edition of this International Standard and ISO/IEC 17021:2011 is shown
in Table 1.
Table 1 — Scope of this International Standard and its relationship with ISO/IEC 17021:2011
Internal auditing External auditing
Supplier auditing Third party auditing
For legal, regulatory and similar
purposes
Sometimes called first party audit Sometimes called second party audit
For certification (see also the
requirements in ISO/IEC 17021:2011)
This International Standard does not state requirements, but provides guidance on the management of an
audit programme, on the planning and conducting of an audit of the management system, as well as on the
competence and evaluation of an auditor and an audit team.
Organizations can operate more than one formal management system. To simplify the readability of this
International Standard, the singular form of “management system” is preferred, but the reader can adapt the
implementation of the guidance to their own particular situation. This also applies to the use of “person” and
“persons”, “auditor” and “auditors”.
This International Standard is intended to apply to a broad range of potential users, including auditors,
organizations implementing management systems, and organizations needing to conduct audits of management
systems for contractual or regulatory reasons. Users of this International Standard can, however, apply this
guidance in developing their own audit-related requirements.
The guidance in this International Standard can also be used for the purpose of self-declaration, and can be
useful to organizations involved in auditor training or personnel certification.
The guidance in this International Standard is intended to be flexible. As indicated at various points in the text,
the use of this guidance can differ depending on the size and level of maturity of an organization’s management
system and on the nature and complexity of the organization to be audited, as well as on the objectives and
scope of the audits to be conducted.
This International Standard introduces the concept of risk to management systems auditing. The approach
adopted relates both to the risk of the audit process not achieving its objectives and to the potential of the
audit to interfere with the auditee’s activities and processes. It does not provide specific guidance on the
organization’s risk management process, but recognizes that organizations can focus audit effort on matters of
significance to the management system.
© ISO 2011 – All rights reserved v

---------------------- Page: 5 ----------------------
ISO 19011:2011(E)
This International Standard adopts the approach that when two or more management systems of different
disciplines are audited together, this is termed a “combined audit”. Where these systems are integrated into a
single management system, the principles and processes of auditing are the same as for a combined audit.
Clause 3 sets out the key terms and definitions used in this International Standard. All efforts have been taken
to ensure that these definitions do not conflict with definitions used in other standards.
Clause 4 describes the principles on which auditing is based. These principles help the user to understand the
essential nature of auditing and they are important in understanding the guidance set out in Clauses 5 to 7.
Clause 5 provides guidance on establishing and managing an audit programme, establishing the audit
programme objectives, and coordinating auditing activities.
Clause 6 provides guidance on planning and conducting an audit of a management system.
Clause 7 provides guidance relating to the competence and evaluation of management system auditors and
audit teams.
Annex A illustrates the application of the guidance in Clause 7 to different disciplines.
Annex B provides additional guidance for auditors on planning and conducting audits.
vi © ISO 2011 – All rights reserved

---------------------- Page: 6 ----------------------
INTERNATIONAL STANDARD ISO 19011:2011(E)
Guidelines for auditing management systems
1 Scope
This International Standard provides guidance on auditing management systems, including the principles of
auditing, managing an audit programme and conducting management system audits, as well as guidance on
the evaluation of competence of individuals involved in the audit process, including the person managing the
audit programme, auditors and audit teams.
It is applicable to all organizations that need to conduct internal or external audits of management systems or
manage an audit programme.
The application of this International Standard to other types of audits is possible, provided that special
consideration is given to the specific competence needed.
2 Normative references
No normative references are cited. This clause is included in order to retain clause numbering identical with
other ISO management system standards.
3 Terms and definitions
For the purposes of this document, the following terms and definitions apply.
3.1
audit
systematic, independent and documented process for obtaining audit evidence (3.3) and evaluating it
objectively to determine the extent to which the audit criteria (3.2) are fulfilled
NOTE 1 Internal audits, sometimes called first party audits, are conducted by the organization itself, or on its behalf, for
management review and other internal purposes (e.g. to confirm the effectiveness of the management system or to obtain
information for the improvement of the management system). Internal audits can form the basis for an organization’s self-
declaration of conformity. In many cases, particularly in small organizations, independence can be demonstrated by the
freedom from responsibility for the activity being audited or freedom from bias and conflict of interest.
NOTE 2 External audits include second and third party audits. Second party audits are conducted by parties having an
interest in the organization, such as customers, or by other persons on their behalf. Third party audits are conducted by
independent auditing organizations, such as regulators or those providing certification.
NOTE 3 When two or more management systems of different disciplines (e.g. quality, environmental, occupational
health and safety) are audited together, this is termed a combined audit.
NOTE 4 When two or more auditing organizations cooperate to audit a single auditee (3.7), this is termed a joint audit.
NOTE 5 Adapted from ISO 9000:2005, definition 3.9.1.
3.2
audit criteria
set of policies, procedures or requirements used as a reference against which audit evidence (3.3) is compared
NOTE 1 Adapted from ISO 9000:2005, definition 3.9.3.
NOTE 2 If the audit criteria are legal (including statutory or regulatory) requirements, the terms “compliant” or “non-
compliant” are often used in an audit finding (3.4).
© ISO 2011 – All rights reserved 1

---------------------- Page: 7 ----------------------
ISO 19011:2011(E)
3.3
audit evidence
records, statements of fact or other information which are relevant to the audit criteria (3.2) and verifiable
NOTE Audit evidence can be qualitative or quantitative.
[ISO 9000:2005, definition 3.9.4]
3.4
audit findings
results of the evaluation of the collected audit evidence (3.3) against audit criteria (3.2)
NOTE 1 Audit findings indicate conformity or nonconformity.
NOTE 2 Audit findings can lead to the identification of opportunities for improvement or recording good practices.
NOTE 3 If the audit criteria are selected from legal or other requirements, the audit finding is termed compliance or
non-compliance.
NOTE 4 Adapted from ISO 9000:2005, definition 3.9.5.
3.5
audit conclusion
outcome of an audit (3.1), after consideration of the audit objectives and all audit findings (3.4)
NOTE Adapted from ISO 9000:2005, definition 3.9.6.
3.6
audit client
organization or person requesting an audit (3.1)
NOTE 1 In the case of internal audit, the audit client can also be the auditee (3.7) or the person managing the audit
programme. Requests for external audit can come from sources such as regulators, contracting parties or potential clients.
NOTE 2 Adapted from ISO 9000:2005, definition 3.9.7.
3.7
auditee
organization being audited
[ISO 9000:2005, definition 3.9.8]
3.8
auditor
person who conducts an audit (3.1)
3.9
audit team
one or more auditors (3.8) conducting an audit (3.1), supported if needed by technical experts (3.10)
NOTE 1 One auditor of the audit team is appointed as the audit team leader.
NOTE 2 The audit team may include auditors-in-training.
[ISO 9000:2005, definition 3.9.10]
3.10
technical expert
person who provides specific knowledge or expertise to the audit team (3.9)
NOTE 1 Specific knowledge or expertise is that which relates to the organization, the process or activity to be audited,
or language or culture.
NOTE 2 A technical expert does not act as an auditor (3.8) in the audit team.
2 © ISO 2011 – All rights reserved

---------------------- Page: 8 ----------------------
ISO 19011:2011(E)
[ISO 9000:2005, definition 3.9.11]
3.11
observer
person who accompanies the audit team (3.9) but does not audit
NOTE 1 An observer is not a part of the audit team (3.9) and does not influence or interfere with the conduct of the
audit (3.1).
NOTE 2 An observer can be from the auditee (3.7), a regulator or other interested party who witnesses the audit (3.1).
3.12
guide
person appointed by the auditee (3.7) to assist the audit team (3.9)
3.13
audit programme
arrangements for a set of one or more audits (3.1) planned for a specific time frame and directed towards a
specific purpose
NOTE Adapted from ISO 9000:2005, definition 3.9.2.
3.14
audit scope
extent and boundaries of an audit (3.1)
NOTE The audit scope generally includes a description of the physical locations, organizational units, activities and
processes, as well as the time period covered.
[ISO 9000:2005, definition 3.9.13]
3.15
audit plan
description of the activities and arrangements for an audit (3.1)
[ISO 9000:2005, definition 3.9.12]
3.16
risk
effect of uncertainty on objectives
NOTE Adapted from ISO Guide 73:2009, definition 1.1.
3.17
competence
ability to apply knowledge and skills to achieve intended results
NOTE Ability implies the appropriate application of personal behaviour during the audit process.
3.18
conformity
fulfilment of a requirement
[ISO 9000:2005, definition 3.6.1]
3.19
nonconformity
non-fulfilment of a requirement
[ISO 9000:2005, definition 3.6.2]
© ISO 2011 – All rights reserved 3

---------------------- Page: 9 ----------------------
ISO 19011:2011(E)
3.20
management system
system to establish policy and objectives and to achieve those objectives
NOTE A management system of an organization can include different management systems, such as a quality
management system, a financial management system or an environmental management system.
[ISO 9000:2005, definition 3.2.2]
4 Principles of auditing
Auditing is characterized by reliance on a number of principles. These principles should help to make the audit
an effective and reliable tool in support of management policies and controls, by providing information on which
an organization can act in order to improve its performance. Adherence to these principles is a prerequisite for
providing audit conclusions that are relevant and sufficient and for enabling auditors, working independently
from one another, to reach similar conclusions in similar circumstances.
The guidance given in Clauses 5 to 7 is based on the six principles outlined below.
a) Integrity: the foundation of professionalism
Auditors and the person managing an audit programme should:
— perform their work with honesty, diligence, and responsibility;
— observe and comply with any applicable legal requirements;
— demonstrate their competence while performing their work;
— perform their work in an impartial manner, i.e. remain fair and unbiased in all their dealings;
— be sensitive to any influences that may be exerted on their judgement while carrying out an audit.
b) Fair presentation: the obligation to report truthfully and accurately
Audit findings, audit conclusions and audit reports should reflect truthfully and accurately the audit
activities. Significant obstacles encountered during the audit and unresolved diverging opinions between
the audit team and the auditee should be reported. The communication should be truthful, accurate,
objective, timely, clear and complete.
c) Due professional care: the application of diligence and judgement in auditing
Auditors should exercise due care in accordance with the importance of the task they perform and the
confidence placed in them by the audit client and other interested parties. An important factor in carrying
out their work with due professional care is having the ability to make reasoned judgements in all audit
situations.
d) Confidentiality: security of information
Auditors should exercise discretion in the use and protection of information acquired in the course of
their duties. Audit information should not be used inappropriately for personal gain by the auditor or the
audit client, or in a manner detrimental to the legitimate interests of the auditee. This concept includes the
proper handling of sensitive or confidential information.
e) Independence: the basis for the impartiality of the audit and objectivity of the audit conclusions
Auditors should be independent of the activity being audited wherever practicable, and should in all
cases act in a manner that is free from bias and conflict of interest. For internal audits, auditors should
be independent from the operating managers of the function being audited. Auditors should maintain
4 © ISO 2011 – All rights reserved

---------------------- Page: 10 ----------------------
ISO 19011:2011(E)
objectivity throughout the audit process to ensure that the audit findings and conclusions are based only
on the audit evidence.
For small organizations, it may not be possible for internal auditors to be fully independent of the activity
being audited, but every effort should be made to remove bias and encourage objectivity.
f) Evidence-based approach: the rational method for reaching reliable and reproducible audit conclusions
in a systematic audit process
Audit evidence should be verifiable. It will in general be based on samples of the information available,
since an audit is conducted during a finite period of time and with finite resources. An appropriate use of
sampling should be applied, since this is closely related to the confidence that can be placed in the audit
conclusions.
5 Managing an audit programme
5.1 General
An organization needing to conduct audits should establish an audit programme that contributes to the
determination of the effectiveness of the auditee’s management system. The audit programme can include
audits considering one or more management system standards, conducted either separately or in combination.
The top management should ensure that the audit programme objectives are established and assign one or
more competent persons to manage the audit programme. The extent of an audit programme should be based
on the size and nature of the organization being audited, as well as on the nature, functionality, complexity
and the level of maturity of the management system to be audited. Priority should be given to allocating
the audit programme resources to audit those matters of significance within the management system. These
may include the key characteristics of product quality or hazards related to health and safety, or significant
environmental aspects and their control.
NOTE This concept is commonly known as risk-based auditing. This International Standard does not give further
guidance on risk-based auditing.
The audit programme should include information and resources necessary to organize and conduct its audits
effectively and efficiently within the specified time frames and can also include the following:
— objectives for the audit programme and individual audits;
— extent/number/types/duration/locations/schedule of the audits;
— audit programme procedures;
— audit criteria;
— audit methods;
— selection of audit teams;
— necessary resources, including travel and accommodation;
— processes for handling confidentiality, information security, health and safety, and other similar matters.
The implementation of the audit programme should be monitored and measured to ensure its objectives have
been achieved. The audit programme should be reviewed in order to identify possible improvements.
Figure 1 illustrates the process flow for the management of an audit programme.
© ISO 2011 – All rights reserved 5

---------------------- Page: 11 ----------------------
ISO 19011:2011(E)
5.2 Establishing the audit programme objectives
5.3 Establishing the audit programme
PLAN
5.3.1 Roles and responsibilities of the person
managing the audit programme
5.3.2 Competence of the person managing the audit
programme
5.3.3 Establishing the extent of the audit programme
5.3.4 Identifying and evaluating audit programme
risks
5.3.5 Establishing procedures for the audit
programme
5.3.6 Identifying audit programme resources
5.4 Implementing the audit programme
5.4.1 General
Competence and
evaluation of auditors
5.4.2 Defining the objectives, scope and criteria for
(Clause 7)
an individual audit
DO
5.4.3 Selecting the audit methods
5.4.4 Selecting the audit team members
Performing an audit
5.4.5 Assigning responsibility for an individual audit
to the audit team leader
(Clause 6)
5.4.6 Managing the audit programme outcome
5.4.7 Managing and maintaining audit programme
records
CHECK
5.5 Monitoring the audit programme
5.6 Reviewing and improving the audit
ACT
programme
NOTE 1 This figure illustrates the application of the Plan-Do-Check-Act cycle in this International Standard.
NOTE 2 Clause/subclause numbering refers to the relevant clauses/subclauses of this International Standard.
Figure 1 — Process flow for the management of an audit programme
5.2 Establishing the audit programme objectives
The top management should ensure that the audit programme objectives are established to direct the planning
and conduct of audits and should ensure the audit programme is implemented effectively. Audit programme
objectives should be consistent with and support management system policy and objectives.
6 © ISO 2011 – All rights reserved

---------------------- Page: 12 ----------------------
ISO 19011:2011(E)
These objectives can be based on consideration of the following:
a) management priorities;
b) commercial and other business intentions;
c) characteristics of processes, products and projects, and any changes to them;
d) management system requirements;
e) legal and contractual requirements and other requirements to which the organization is committed;
f) need for supplier evaluation;
g) needs and expectations of interested parties, including customers;
h) auditee’s level of performance, as reflected in the occurrence of failures or incidents or customer complaints;
i) risks to the auditee;
j) results of previous audits;
k) level of maturity of the management system being audited.
Examples of audit programme objectives include the following:
— to contribute to the improvement of a management system and its performance;
— to fulfil external requirements, e.g. certification to a management system standard;
— to verify conformity with contractual requirements;
— to obtain and maintain confidence in the capability of a supplier;
— to determine the effectiveness of the management system;
— to evaluate the compatibility and alignment of the management system objectives with the management
system policy and the overall organizational objectives.
5.3 Establishing the audit programme
5.3.1 Roles and responsibilities of the person managing the audit programme
The person managing the audit programme should:
— establish the extent of the audit programme;
— identify and evaluate the risks for the audit programme;
— establish audit responsibilities;
— establish procedures for audit programmes;
— determine necessary resources;
...

NORME ISO
INTERNATIONALE 19011
Deuxième édition
2011-11-15
Lignes directrices pour l’audit des
systèmes de management
Guidelines for auditing management systems
Numéro de référence
ISO 19011:2011(F)
©
ISO 2011

---------------------- Page: 1 ----------------------
ISO 19011:2011(F)
DOCUMENT PROTÉGÉ PAR COPYRIGHT
© ISO 2011
Droits de reproduction réservés. Sauf prescription différente, aucune partie de cette publication ne peut être reproduite ni utilisée sous
quelque forme que ce soit et par aucun procédé, électronique ou mécanique, y compris la photocopie et les microfilms, sans l’accord écrit
de l’ISO à l’adresse ci-après ou du comité membre de l’ISO dans le pays du demandeur.
ISO copyright office
Case postale 56 • CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Publié en Suisse
ii © ISO 2011 – Tous droits réservés

---------------------- Page: 2 ----------------------
ISO 19011:2011(F)
Sommaire Page
Avant-propos .iv
Introduction . v
1 Domaine d’application . 1
2 Références normatives . 1
3 Termes et définitions . 1
4 Principes de l’audit . 4
5 Management d’un programme d’audit . 5
5.1 Généralités . 5
5.2 Détermination des objectifs du programme d’audit . 7
5.3 Établissement du programme d’audit . 8
5.4 Mise en œuvre du programme d’audit . 11
5.5 Surveillance du programme d’audit .14
5.6 Revue et amélioration du programme d’audit .15
6 Réalisation d’un audit .15
6.1 Généralités .15
6.2 Déclenchement de l’audit .16
6.3 Préparation des activités d’audit .17
6.4 Réalisation des activités d’audit .19
6.5 Préparation et diffusion du rapport d’audit .24
6.6 Clôture de l’audit .25
6.7 Réalisation du suivi d’audit .26
7 Compétence et évaluation des auditeurs .26
7.1 Généralités .26
7.2 Détermination de la compétence de l’auditeur pour répondre aux besoins du
programme d’audit .27
7.3 Déterminer les critères d’évaluation des auditeurs .31
7.4 Choisir la méthode d’évaluation des auditeurs appropriée .31
7.5 Réaliser l’évaluation du ou des auditeurs .31
7.6 Maintien et amélioration de la compétence du ou des auditeurs .32
Annexe A (informative) Lignes directrices et exemples illustratifs de connaissances et aptitudes
spécifiques à la discipline des auditeurs .33
Annexe B (informative) Lignes directrices supplémentaires destinées aux auditeurs pour la
planification et la réalisation des audits .39
Bibliographie .46
© ISO 2011 – Tous droits réservés iii

---------------------- Page: 3 ----------------------
ISO 19011:2011(F)
Avant-propos
L’ISO (Organisation internationale de normalisation) est une fédération mondiale d’organismes nationaux de
normalisation (comités membres de l’ISO). L’élaboration des Normes internationales est en général confiée aux
comités techniques de l’ISO. Chaque comité membre intéressé par une étude a le droit de faire partie du comité
technique créé à cet effet. Les organisations internationales, gouvernementales et non gouvernementales,
en liaison avec l’ISO participent également aux travaux. L’ISO collabore étroitement avec la Commission
électrotechnique internationale (CEI) en ce qui concerne la normalisation électrotechnique.
Les Normes internationales sont rédigées conformément aux règles données dans les Directives ISO/CEI,
Partie 2.
La tâche principale des comités techniques est d’élaborer les Normes internationales. Les projets de Normes
internationales adoptés par les comités techniques sont soumis aux comités membres pour vote. Leur
publication comme Normes internationales requiert l’approbation de 75 % au moins des comités membres
votants.
L’attention est appelée sur le fait que certains des éléments du présent document peuvent faire l’objet de droits
de propriété intellectuelle ou de droits analogues. L’ISO ne saurait être tenue pour responsable de ne pas avoir
identifié de tels droits de propriété et averti de leur existence.
L’ISO 19011 a été élaborée par le comité technique ISO/TC 176, Management et assurance de la qualité,
sous-comité SC 3, Techniques de soutien.
Cette deuxième édition annule et remplace la première (ISO 19011:2002), qui a fait l’objet d’une révision
technique.
Les principales différences entre les versions de 2002 et 2011 de l’ISO 19011 sont les suivantes:
— le domaine d’application de la présente Norme internationale, qui se limitait dans la version précédente
à l’audit des systèmes de management de la qualité et de management environnemental, concerne cette
fois l’audit de tous les systèmes de management quels qu’ils soient;
— la relation entre l’ISO 19011 et l’ISO/CEI 17021 est clarifiée;
— les méthodes d’audit à distance et le concept de risque sont introduits;
— la confidentialité a été ajoutée comme nouveau principe;
— les Articles 5, 6 et 7 ont été réorganisés;
— une nouvelle Annexe B contient des informations supplémentaires, ce qui a conduit à la suppression des
textes encadrés;
— le processus de détermination et d’évaluation des compétences est renforcé;
— une nouvelle Annexe A présente des exemples illustratifs des connaissances et aptitudes spécifiques à la
discipline;
— de plus amples informations doivent être mises à disposition sur un site Web public de l’ISO (www.iso.
org/19011auditing).
iv © ISO 2011 – Tous droits réservés

---------------------- Page: 4 ----------------------
ISO 19011:2011(F)
Introduction
Depuis que la première édition de la présente Norme internationale a été publiée en 2002, un certain nombre
de nouvelles normes sur les systèmes de management a été publié. Le résultat est que maintenant il y a un
besoin de prendre en considération un domaine d’application plus étendu d’audit du système de management,
aussi bien que de fournir des lignes directrices, ce qui est plus général.
En 2006, l’ISO CASCO (Comité pour l’évaluation de la conformité) a élaboré l’ISO/CEI 17021 spécifiant des
exigences applicables à la certification par tierce partie des systèmes de management. Cette norme était
fondée partiellement sur les lignes directrices contenues dans la première édition de la présente Norme
internationale.
La deuxième édition de l’ISO/CEI 17021, publiée en 2011, a été étendue afin de transformer les lignes
directrices proposées dans la présente Norme internationale en exigences concernant les audits de
certification du système de management. C’est dans ce contexte que cette deuxième édition de la présente
Norme internationale fournit des lignes directrices à l’intention de tous les utilisateurs, y compris les petites
et moyennes entreprises, s’intéressant par ailleurs aux dénominations communément appliquées aux audits
internes (première partie) et aux audits réalisés par les clients portant sur leurs fournisseurs (seconde partie).
Bien que les personnes en charge des audits de certification du système de management respectent les
exigences de l’ISO/CEI 17021:2011, elles peuvent également considérer comme utiles les lignes directrices
définies dans la présente Norme internationale.
La relation entre cette deuxième édition de la présente Norme internationale et l’ISO/CEI 17021:2011 est
présentée dans le Tableau 1.
Tableau 1 — Domaine d’application de la présente Norme internationale
et sa relation avec l’ISO/CEI 17021:2011
Audit externe
Audit interne
Audit des fournisseurs Audit de tierce partie
À des fins légales, réglementaires et similaires
Parfois appelé Parfois appelé
re e Pour certification (voir également les exigences
audit de 1 partie audit de 2 partie
spécifiées dans l’ISO/CEI 17021:2011)
La présente Norme internationale ne spécifie pas d’exigences mais donne des lignes directrices sur le
management d’un programme d’audit, la planification et la réalisation d’un audit du système de management,
ainsi que sur la compétence et l’évaluation d’un auditeur et d’une équipe d’audit.
Les organismes peuvent utiliser deux systèmes de management formels ou plus. Pour une simplification de la
lisibilité de la présente Norme internationale, la forme singulière de «système de management» est préférable,
le lecteur pouvant toutefois adapter la mise en œuvre des lignes directrices à sa propre situation particulière.
La présente Norme internationale est destinée à une large gamme d’utilisateurs potentiels parmi lesquels
des auditeurs, des organismes mettant en œuvre des systèmes de management et des organismes devant
réaliser des audits de systèmes de management dans un cadre contractuel ou réglementaire. Les utilisateurs
de la présente Norme internationale peuvent cependant appliquer ces lignes directrices pour développer leurs
propres exigences en matière d’audit.
Les lignes directrices fournies dans la présente Norme internationale peuvent également être utilisées à des
fins d’autodéclaration et peuvent par ailleurs se révéler utiles aux organismes chargés de la certification du
personnel ou de la formation d’auditeurs.
Les lignes directrices fournies dans la présente Norme internationale se veulent flexibles. Comme indiqué à
différentes reprises dans le texte, l’utilisation de ces lignes directrices peut varier selon la taille, le niveau de
maturité du système de management de l’organisme, la nature et la complexité de l’organisme à auditer, ainsi
que selon les objectifs et le champ des audits à réaliser.
© ISO 2011 – Tous droits réservés v

---------------------- Page: 5 ----------------------
ISO 19011:2011(F)
La présente Norme internationale introduit le concept de risque dans l’audit des systèmes de management.
L’approche adoptée se rapporte à la fois au risque que le processus d’audit n’atteint pas ses objectifs et à
l’éventualité que l’audit influe sur les activités et les processus de l’audité. Cette approche ne fournit aucune
ligne directrice spécifique concernant le processus de gestion des risques d’un organisme, mais reconnaît
que les organismes peuvent concentrer l’effort d’audit sur des questions importantes pour le système de
management.
La présente Norme internationale adopte le principe selon lequel, lorsque deux ou plusieurs systèmes de
management de disciplines différentes font l’objet d’un audit conjoint, on parle d’audit combiné. Les principes
et les processus d’audit sont identiques à ceux applicables à un audit combiné lorsque les systèmes définis
sont intégrés dans un système de management unique.
L’Article 3 établit les termes et les définitions clés utilisés dans la présente Norme internationale. Les définitions
sont données en veillant à ne pas les rendre contradictoires avec les définitions utilisées dans d’autres normes
de systèmes de management.
L’Article 4 décrit les principes de base de l’audit. Ces principes permettent à l’utilisateur de comprendre les
fondements de l’audit, de même qu’ils sont importants pour la compréhension des lignes directrices spécifiées
dans les Articles 5 à 7.
L’Article 5 donne des lignes directrices pour la détermination et le management d’un programme d’audit, y
compris l’établissement des objectifs d’un programme d’audit et la coordination des activités d’audit.
L’Article 6 donne des lignes directrices pour planifier et réaliser l’audit d’un système de management.
L’Article 7 donne des lignes directrices relatives à la compétence et à l’évaluation des auditeurs et des équipes
d’audit d’un système de management.
L’Annexe A illustre l’application des lignes directrices de l’Article 7 à différentes disciplines.
L’Annexe B fournit des lignes directrices supplémentaires destinées aux auditeurs sur la planification et la
réalisation des audits.
vi © ISO 2011 – Tous droits réservés

---------------------- Page: 6 ----------------------
NORME INTERNATIONALE ISO 19011:2011(F)
Lignes directrices pour l’audit des systèmes de management
1 Domaine d’application
La présente Norme internationale fournit des lignes directrices sur l’audit de systèmes de management,
comprenant les principes de l’audit, le management d’un programme d’audit et la réalisation d’audits de
systèmes de management. Elle donne également des lignes directrices sur l’évaluation de la compétence
des personnes impliquées dans le processus d’audit, y compris le ou la responsable du management du
programme d’audit, les auditeurs et les équipes d’audit.
Elle est applicable à tous les organismes qui doivent réaliser des audits internes ou externes de systèmes de
management ou manager un programme d’audit.
La présente Norme internationale peut, en principe, s’appliquer à d’autres types d’audits, à condition toutefois
d’accorder une attention toute particulière aux compétences spécifiques requises.
2 Références normatives
Aucune référence normative n’est citée. L’inclusion du présent article permet de conserver une numérotation
des articles identique à celle utilisée dans d’autres normes de systèmes de management ISO.
3 Termes et définitions
Pour les besoins du présent document, les termes et définitions suivants s’appliquent.
3.1
audit
processus méthodique, indépendant et documenté permettant d’obtenir des preuves d’audit (3.3) et de les
évaluer de manière objective pour déterminer dans quelle mesure les critères d’audit (3.2) sont satisfaits
NOTE 1 Les audits internes, parfois appelés audits de première partie, sont réalisés par ou pour le compte de l’organisme
lui-même, pour la revue de direction et d’autres besoins internes (par exemple pour confirmer le fonctionnement prévu du
système de management ou pour obtenir des informations permettant d’améliorer le système de management), et peuvent
servir de base à l’autodéclaration de conformité de l’organisme. Dans de nombreux cas et en particulier pour les petits
organismes, l’indépendance peut être démontrée par l’absence de responsabilité vis-à-vis de l’activité à auditer, ou de
divergence et de conflit d’intérêt.
NOTE 2 Les audits externes comprennent les audits de seconde et de tierce partie. Les audits de seconde partie
sont réalisés par des parties ayant un intérêt à l’égard de l’organisme, comme les clients ou d’autres personnes agissant
en leur nom. Les audits de tierce partie sont réalisés par des organismes d’audit indépendants, tels que les autorités de
réglementation ou les organismes qui octroient l’enregistrement ou la certification.
NOTE 3 Lorsque deux ou plusieurs systèmes de management de différentes disciplines (par exemple qualité,
environnement, santé et sécurité au travail) font l’objet d’un audit conjoint, on parle d’audit combiné.
NOTE 4 Lorsque deux ou plusieurs organismes d’audit coopèrent pour auditer un seul audité (3.7), on parle d’audit
conjoint.
NOTE 5 Adapté de l’ISO 9000:2005, définition 3.9.1.
3.2
critères d’audit
ensemble de politiques, procédures ou exigences utilisées comme référence vis-à-vis de laquelle les preuves
d’audit (3.3) sont comparées
NOTE Adapté de l’ISO 9000:2005, définition 3.9.3.
© ISO 2011 – Tous droits réservés 1

---------------------- Page: 7 ----------------------
ISO 19011:2011(F)
3.3
preuves d’audit
enregistrements, énoncés de faits ou d’autres informations pertinents pour les critères d’audit (3.2) et
vérifiables
NOTE Les preuves d’audit peuvent être qualitatives ou quantitatives.
[ISO 9000:2005, définition 3.9.4]
3.4
constatations d’audit
résultats de l’évaluation des preuves d’audit (3.3) par rapport aux critères d’audit (3.2)
NOTE 1 Les constatations d’audit indiquent la conformité ou la non-conformité.
NOTE 2 Les constatations d’audit peuvent conduire à l’identification des opportunités d’amélioration ou à la consignation
des bonnes pratiques.
NOTE 3 Si les critères d’audit sont choisis parmi les exigences légales ou d’autres exigences, la constatation d’audit
est qualifiée de conformité ou non conformité.
NOTE 4 Adapté de l’ISO 9000:2005, définition 3.9.5.
3.5
conclusions d’audit
résultat d’un audit (3.1), après avoir pris en considération les objectifs de l’audit et toutes les constatations
d’audit (3.4)
3.6
client de l’audit
organisme ou personne demandant un audit (3.1)
NOTE 1 Dans le cas d’un audit interne, le client de l’audit peut également être l’audité (3.7) ou la personne qui gère le
programme d’audit. Les demandes d’audit externe peuvent provenir de sources telles que des autorités de réglementation,
des parties contractantes ou des clients potentiels.
NOTE Adapté de l’ISO 9000:2005, définition 3.9.7.
3.7
audité
organisme qui est audité
[ISO 9000:2005, définition 3.9.8]
3.8
auditeur
personne qui réalise un audit (3.1)
3.9
équipe d’audit
un ou plusieurs auditeurs (3.8) réalisant un audit (3.1), assistés, si nécessaire, par des experts
techniques (3.10)
NOTE 1 Un auditeur de l’équipe d’audit est nommé responsable de l’équipe d’audit.
NOTE 2 L’équipe d’audit peut comprendre des auditeurs en formation.
[ISO 9000:2005, définition 3.9.10]
2 © ISO 2011 – Tous droits réservés

---------------------- Page: 8 ----------------------
ISO 19011:2011(F)
3.10
expert technique
〈audit〉 personne apportant à l’équipe d’audit (3.9) des connaissances ou une expertise spécifiques
NOTE 1 Ces connaissances ou cette expertise spécifiques sont relatives à l’organisme, au processus ou à l’activité à
auditer, ou elles consistent en une assistance linguistique ou culturelle.
NOTE 2 Au sein de l’équipe d’audit, un expert technique n’agit pas en tant qu’auditeur (3.8).
[ISO 9000:2005, définition 3.9.11]
3.11
observateur
personne qui accompagne l’équipe d’audit (3.9) mais ne réalise pas d’audit
NOTE 1 L’observateur ne fait pas partie intégrante de l’équipe d’audit et n’influence en aucune manière la réalisation
de l’audit (3.1).
NOTE 2 Un observateur peut être désigné par l’audité (3.7), des Pouvoirs Publics ou toute autre partie intéressée qui
assiste à l’audit (3.1).
3.12
guide
personne nommée par l’audité (3.7) pour assister l’équipe d’audit (3.9)
3.13
programme d’audit
dispositions relatives à un ensemble d’un ou plusieurs audits (3.1) planifié pour une durée spécifique et dirigé
dans un but spécifique
3.14
champ de l’audit
étendue et limites d’un audit (3.1)
NOTE Le champ de l’audit décrit généralement les lieux, les unités organisationnelles, les activités et les processus
ainsi que la période de temps couverte.
[ISO 9000:2005, définition 3.9.13]
3.15
plan d’audit
description des activités et des dispositions nécessaires pour réaliser un audit (3.1)
[ISO 9000:2005, définition 3.9.12]
3.16
risque
effet de l’incertitude sur les objectifs
NOTE Adapté de l’ISO Guide 73:2009, définition 1.1.
3.17
compétence
capacité à appliquer des connaissances et des aptitudes pour obtenir les résultats escomptés
NOTE La capacité implique la bonne application des comportements personnels pendant le processus d’audit.
© ISO 2011 – Tous droits réservés 3

---------------------- Page: 9 ----------------------
ISO 19011:2011(F)
3.18
conformité
satisfaction d’une exigence
[ISO 9000:2005, définition 3.6.1]
NOTE Si les critères d’audit (3.2) sont des exigences légales (y compris statutaires ou réglementaires), une
constatation d’audit (3.4) utilise souvent les termes «conforme à la réglementation» ou «non conforme à la réglementation».
3.19
non-conformité
non-satisfaction d’une exigence
[ISO 9000:2005, définition 3.6.2]
3.20
système de management
système permettant d’établir une politique et des objectifs et d’atteindre ces objectifs
NOTE Le système de management d’un organisme peut inclure différents systèmes de management, tels
qu’un système de management de la qualité, un système de management financier ou un système de management
environnemental.
[ISO 9000:2005, définition 3.2.2]
4 Principes de l’audit
L’audit est caractérisé par la confiance accordée à un certain nombre de principes. Il convient que ces
principes fassent de l’audit un outil efficace et fiable sur lequel la direction peut s’appuyer pour gérer ses
politiques et contrôles en fournissant des informations à partir desquelles l’organisme peut agir pour améliorer
ses performances. Le respect de ces principes est indispensable pour que les conclusions d’audit soient
pertinentes et suffisantes, et pour que des auditeurs travaillant indépendamment les uns des autres parviennent
à des conclusions similaires dans des circonstances similaires.
Les lignes directrices données dans les Articles 5 à 7 sont fondées sur les sept principes mis en évidence
ci-après.
a) Déontologie: le fondement du professionnalisme
Il convient que les auditeurs et la personne responsable du management du programme d’audit:
— réalisent leurs tâches avec honnêteté, diligence et responsabilité;
— observent et respectent toutes les exigences légales applicables;
— démontrent leur compétence technique dans l’accomplissement de leurs tâches;
— réalisent leurs tâches en toute impartialité, c’est-à-dire qu’ils restent justes et sans parti pris dans
toutes leurs actions;
— soient sensibilisés à toutes les influences que peuvent exercer d’autres parties intéressées sur leur
jugement lorsqu’ils réalisent un audit.
b) Présentation impartiale: l’obligation de rendre compte de manière honnête et précise
Il convient que les constatations, conclusions et rapports d’audit reflètent de manière honnête et précise
les activités d’audit. Il convient de consigner les obstacles importants rencontrés pendant l’audit et les
questions non résolues ou les avis divergents entre l’équipe d’audit et l’audité. La communication doit être
honnête, précise, objective, opportune, claire et complète.
4 © ISO 2011 – Tous droits réservés

---------------------- Page: 10 ----------------------
ISO 19011:2011(F)
c) Conscience professionnelle: l’attitude diligente et avisée au cours de l’audit
Il convient que les auditeurs agissent en accord avec l’importance des tâches qu’ils réalisent et la confiance
que leur ont accordée le client de l’audit et les autres parties intéressées. La qualité essentielle pour
réaliser leurs tâches avec conscience professionnelle réside dans la capacité à prendre des décisions
avisées dans toutes les situations d’audit.
d) Confidentialité: sûreté des informations
Il convient que les auditeurs utilisent avec précaution les informations acquises au cours de leurs missions
et respectent les règles de confidentialité. Il convient que les informations d’audit ne soient pas utilisées
de manière inappropriée au seul bénéfice de l’auditeur ou du client de l’audit ou de manière qui pourrait
porter préjudice à l’intérêt légitime de l’audité. Ce concept comprend le traitement correct des informations
sensibles ou confidentielles.
e) Indépendance: le fondement de l’impartialité de l’audit et de l’objectivité des conclusions d’audit
Il convient que les auditeurs soient indépendants de l’activité auditée et n’aient ni parti pris ni conflit
d’intérêt dans toute la mesure du possible. Pour les audits internes, il convient que les auditeurs soient
indépendants des responsables opérationnels de la fonction auditée. Il convient que les auditeurs
conservent un état d’esprit objectif tout au long du processus d’audit pour s’assurer que les constatations
et conclusions sont uniquement fondées sur les preuves d’audit.
Pour les petits organismes, il peut se révéler impossible pour les auditeurs internes d’être totalement
indépendants de l’activité auditée, mais il convient de s’efforcer d’établir des relations sans parti pris et de
créer un climat d’objectivité.
f) Approche fondée sur la preuve: la méthode rationnelle pour parvenir à des conclusions d’audit fiables
et reproductibles dans un processus d’audit systématique
Il convient que les preuves d’audit soient vérifiables. Elles s’appuient généralement sur des échantillons
des informations disponibles, dans la mesure où un audit est réalisé avec une durée et des ressources
délimitées. Il convient d’utiliser l’échantillonnage de manière appropriée, dans la mesure où cette utilisation
est étroitement liée à la confiance qui peut être accordée aux conclusions d’audit.
5 Management d’un programme d’audit
5.1 Généralités
Il convient qu’un organisme devant réaliser des audits établisse un programme d’audit qui contribue à déterminer
l’efficacité du système de management de l’audité. Le programme d’audit peut inclure des audits prenant en
compte une ou plusieurs normes de systèmes de management, réalisés de manière individuelle ou combinée.
Il convient que la direction s’assure que les objectifs d’un programme d’audit sont établis et qu’elle attribue à
une ou des personnes compétentes la responsabilité du management du programme d’audit. Il convient que
l’étendue d’un programme d’audit tienne compte de la taille et de la nature de l’organisme audité, ainsi que de
la nature, de la fonctionnalité, de la complexité et du niveau de maturité du système de management à auditer.
Il convient d’accorder la priorité aux ressources du programme d’audit à attribuer aux questions importantes
au sein du système de management. Ces éléments significatifs peuvent comprendre les caractéristiques
essentielles relevant de la qualité du produit, des dangers et risques en matière de santé et de sécurité, ou des
aspects environnementaux significatifs et leur maîtrise.
NOTE Ce concept est communément appelé audit en fonction du risque. La présente Norme internationale ne fournit
pas de lignes directrices supplémentaires concernant l’audit en fonction du risque.
Il convient que le programme d’audit comporte les informations et ressources nécessaires pour organiser et
réaliser ses audits de façon efficace et effective dans les délais spécifiés. Ce programme peut également
inclure:
— des objectifs pour le programme d’audit et les audits individuels;
© ISO 2011 – Tous droits réservés 5

---------------------- Page: 11 ----------------------
ISO 19011:2011(F)
— l’étendue/le nombre/les types/la durée/les lieux/le calendrier des audits;
— les procédures de programme d’audit;
— les critères d’audit;
— les méthodes d’audit;
— la constitution des équipes d’audit;
— les ressources nécessaires, y compris les déplacements et l’hébergement;
— les processus de traitement des questions relatives à la confidentialité, à la sûreté des informations, à la
santé et à la sécurité, et autres sujets similaires.
Il convient de surveiller et mesurer la mise en œuvre du programme d’audit afin de s’assurer de la réalisation
de ses objectifs. Il convient que le programme d’audit fasse l’objet d’une revue afin d’identifier l
...

NORMA ISO
INTERNACIONAL 19011
Traducción oficial
Segunda edición
Official translation
2011-11-15
Traduction officielle

Directrices para la auditoría de los
sistemas de gestión
Guidelines for auditing management systems
Lignes directrices pour l'audit des systèmes de management
Publicado por la Secretaría Central de ISO en Ginebra, Suiza, como
traducción oficial en español avalada por el Translation Management
Group, que ha certificado la conformidad en relación con las versiones
inglesa y francesa.



Número de referencia
ISO 19011:2011
(traducción oficial)
©
ISO 2011

---------------------- Page: 1 ----------------------
ISO 19011:2011 (traducción oficial)




DOCUMENTO PROTEGIDO POR COPYRIGHT


©  ISO 2011
Reservados los derechos de reproducción. Salvo prescripción diferente, no podrá reproducirse ni utilizarse ninguna parte de esta
publicación bajo ninguna forma y por ningún medio, electrónico o mecánico, incluidos el fotocopiado y la microfilmación, sin la
autorización por escrito recibida de ISO en la siguiente dirección o del organismo miembro de ISO en el país solicitante.
ISO copyright office
Case postale 56  CH-1211 Geneva 20
Tel. + 41 22 749 01 11
Fax + 41 22 749 09 47
E-mail copyright@iso.org
Web www.iso.org
Versión española publicada en 2012
Publicado en Suiza

Traducción oficial/Official translation/Traduction officielle
ii © ISO 2011 — Todos los derecho reservados

---------------------- Page: 2 ----------------------
ISO 19011:2011 (traducción oficial)
Índice Página
Prólogo . iv
Prólogo de la versión en español . v
Introducción . vi
1  Objeto y campo de aplicación . 1
2  Referencias normativas . 1
3  Términos y definiciones . 1
4  Principios de auditoría . 4
5  Gestión de un programa de auditoría . 5
5.1  Generalidades . 5
5.2  Establecimiento de los objetivos del programa de auditoría . 8
5.3  Establecimiento del programa de auditoría . 8
5.4  Implementación del programa de auditoría . 11
5.5  Seguimiento del programa de auditoría . 15
5.6  Revisión y mejora del programa de auditoría . 16
6  Realización de una auditoría . 16
6.1  Generalidades . 16
6.2  Inicio de la auditoría . 17
6.3  Preparación de las actividades de auditoría . 18
6.4  Realización de las actividades de auditoría . 21
6.5  Preparación y distribución del informe de auditoría . 26
6.6  Finalización de la auditoría . 27
6.7  Realización de las actividades de seguimiento de una auditoría . 28
7  Competencia y evaluación de los auditores . 28
7.1  Generalidades . 28
7.2  Determinación de la competencia del auditor para cumplir las necesidades del programa
de auditoría . 29
7.3  Establecimiento de los criterios de evaluación del auditor . 33
7.4  Selección del método apropiado de evaluación del auditor. 33
7.5  Realización de la evaluación del auditor . 34
7.6  Mantenimiento y mejora de la competencia del auditor . 34
Anexo A (informativo) Orientación y ejemplos ilustrativos de conocimientos y habilidades de un
auditor en disciplinas específicas . 35
Anexo B (informativo) Orientación adicional destinada a los auditores para planificar y realizar
las auditorías . 42
Bibliografía . 49

Traducción oficial/Official translation/Traduction officielle
© ISO 2011 — Todos los derechos reservados iii

---------------------- Page: 3 ----------------------
ISO 19011:2011 (traducción oficial)
Prólogo
ISO (Organización Internacional de Normalización) es una federación mundial de organismos nacionales de
normalización (organismos miembros de ISO). El trabajo de preparación de las Normas Internacionales
normalmente se realiza a través de los comités técnicos de ISO. Cada organismo miembro interesado en una
materia para la cual se haya establecido un comité técnico, tiene el derecho de estar representado en dicho
comité. Las organizaciones internacionales, públicas y privadas, en coordinación con ISO, también participan
en el trabajo. ISO colabora estrechamente con la Comisión Electrotécnica Internacional (IEC) en todas las
materias de normalización electrotécnica.
Las normas internacionales se redactan de acuerdo con las reglas establecidas en la Parte 2 de las
Directivas ISO/IEC.
La tarea principal de los comités técnicos es preparar Normas Internacionales. Los Proyectos de Normas
Internacionales adoptados por los comités técnicos se envían a los organismos miembros para votación. La
publicación como Norma Internacional requiere la aprobación por al menos el 75% de los organismos
miembros que emiten voto.
Se llama la atención sobre la posibilidad de que algunos de los elementos de este documento puedan estar
sujetos a derechos de patente. ISO no asume la responsabilidad por la identificación de cualquiera o todos
los derechos de patente.
La Norma ISO 19011 ha sido preparada por el Comité Técnico ISO/TC 176, Gestión y aseguramiento de la
calidad, Subcomité SC 3, Tecnologías de apoyo.
Esta segunda edición anula y sustituye a la primera edición (ISO 19011:2002), que ha sido revisada
técnicamente.
Las principales diferencias entre las versiones de 2002 y 2011 de la Norma ISO 19011 son las siguientes:
— el objeto y campo de aplicación se ha ampliado de la auditoría de los sistemas de gestión de la calidad y
del medio ambiente a las auditorías de todos los sistemas de gestión;
— se ha aclarado la relación entre las Normas ISO 19011 e ISO/IEC 17021;
— se han introducido los métodos de auditoría a distancia y el concepto de riesgo;
— se ha añadido la confidencialidad como un nuevo principio de auditoría;
— se han reorganizado los capítulos 5, 6 y 7;
— se ha incluido un nuevo Anexo B con información adicional, dando como resultado la eliminación de los
recuadros de ayuda;
— se ha fortalecido el proceso de determinación y evaluación de las competencias;
— se han incluido en un nuevo Anexo A ejemplos ilustrativos de los conocimientos y habilidades
específicos de la disciplina;
— se encuentran disponibles directrices adicionales en el siguiente sitio Web: www.iso.org/19011auditing
Traducción oficial/Official translation/Traduction officielle
iv © ISO 2011 — Todos los derechos reservados

---------------------- Page: 4 ----------------------
ISO 19011:2011 (traducción oficial)
Prólogo de la versión en español
Esta Norma Internacional ha sido traducida por el Grupo de Trabajo Spanish Translation Task Group (STTG)
del Comité Técnico ISO/TC 176, Gestión y aseguramiento de la calidad, en el que participan representantes
de los organismos nacionales de normalización y representantes del sector empresarial de los siguientes
países:
Argentina, Bolivia, Brasil, Chile, Colombia, Costa Rica, Cuba, Ecuador, España, Estados Unidos de América,
México, Perú y Uruguay.
Igualmente, en el citado Grupo de Trabajo participan representantes de COPANT (Comisión Panamericana
de Normas Técnicas) y de INLAC (Instituto Latinoamericano de la Calidad).
Esta traducción es parte del resultado del trabajo que el Grupo ISO/TC 176/STTG viene desarrollando desde
su creación en el año 1999 para lograr la unificación de la terminología en lengua española en el ámbito de la
gestión de la calidad.
Traducción oficial/Official translation/Traduction officielle
© ISO 2011 — Todos los derechos reservados v

---------------------- Page: 5 ----------------------
ISO 19011:2011 (traducción oficial)
Introducción
Desde la publicación de la primera edición de esta Norma Internacional en 2002, se han publicado varias
normas nuevas de sistemas de gestión. Como resultado, ahora existe la necesidad de considerar un alcance
más amplio de la auditoría de los sistemas de gestión, así como de proporcionar una orientación más
genérica.
En 2006, el comité de ISO para la evaluación de la conformidad (CASCO) desarrolló la Norma ISO/IEC 17021,
que establece los requisitos para la certificación de tercera parte de los sistemas de gestión y que se basa
parcialmente en las directrices contenidas en la primera edición de esta Norma Internacional.
La segunda edición de la Norma ISO/IEC 17021, publicada en 2011, se amplió para transformar la
orientación ofrecida en esta Norma Internacional en requisitos para las auditorías de certificación de sistemas
de gestión. Es en este contexto que esta segunda edición de esta Norma Internacional proporciona
orientación a todos los usuarios, incluyendo las organizaciones pequeñas y medianas, y se concentra en lo
que se denomina comúnmente “auditorías internas” (de primera parte) y “auditorías realizadas por clientes a
sus proveedores” (de segunda parte). Aunque aquellos implicados en auditorías de certificación de sistemas
de gestión sigan los requisitos de la Norma ISO/IEC 17021:2011, también podrían encontrar útil la orientación
de esta Norma Internacional.
La relación entre esta segunda edición de esta Norma Internacional y la Norma ISO/IEC 17021:2011 se
muestra en la Tabla 1.
Tabla 1 – Alcance de esta Norma Internacional y su relación con la Norma ISO/IEC 17021:2011
Auditoría externa
Auditoría interna
Auditoría al proveedor Auditoría de tercera parte
Para propósitos legales,
reglamentarios y similares
A veces llamada auditoría de
A veces llamada auditoría de segunda parte
primera parte
Para certificación (Véanse también
los requisitos en la Norma
ISO/IEC 17021:2011)
Esta Norma Internacional no establece requisitos, sino que proporciona orientación sobre la gestión de un
programa de auditoría, sobre la planificación y realización de una auditoría del sistema de gestión, así como
sobre la competencia y evaluación de un auditor y un equipo auditor.
Las organizaciones pueden operar más de un sistema de gestión formal. Para simplificar la legibilidad de esta
Norma Internacional, se prefiere la forma singular de “sistema de gestión”, pero el lector puede adaptar la
implementación de la orientación a su propia situación particular. Esto también aplica al uso de “persona” y
“personas”, “auditor” y “auditores”.
Se pretende que esta Norma Internacional se aplique a un amplio rango de usuarios potenciales, incluyendo
auditores, organizaciones que implementan sistemas de gestión y organizaciones que necesitan realizar
auditorías de sistemas de gestión por razones contractuales o reglamentarias. Sin embargo, los usuarios de
esta Norma Internacional pueden aplicar esta orientación al desarrollar sus propios requisitos relacionados
con auditorías.
La orientación en esta Norma Internacional también puede usarse con el propósito de la autodeclaración, y
puede ser útil para organizaciones que participan en la formación de auditores o en la certificación de
personas.
Traducción oficial/Official translation/Traduction officielle
vi © ISO 2011 — Todos los derechos reservados

---------------------- Page: 6 ----------------------
ISO 19011:2011 (traducción oficial)
La orientación en esta Norma Internacional pretende ser flexible. Como se indica en varios puntos del texto,
el uso de esta orientación puede diferir dependiendo del tamaño y el nivel de madurez del sistema de gestión
de una organización y de la naturaleza y complejidad de la organización que se va a auditar, así como de los
objetivos y el alcance de las auditorías que se van a realizar.
Esta Norma Internacional introduce el concepto de riesgo en la auditoría de sistemas de gestión. El enfoque
adoptado se refiere tanto a los riesgos del proceso de auditoría para alcanzar sus objetivos como al riesgo
potencial de la auditoría para interferir con las actividades y procesos del auditado. No proporciona
orientación específica para los procesos de gestión del riesgo de la organización, pero reconoce que las
organizaciones pueden centrar el esfuerzo de auditoría en cuestiones de importancia para el sistema de
gestión.
Esta Norma Internacional adopta el enfoque de que cuando se auditan juntos dos o más sistemas de gestión
de distintas disciplinas, esto se denomina “auditoría combinada”. Cuando estos sistemas están integrados en
un único sistema de gestión, los principios y procesos de auditoría son los mismos que para una auditoría
combinada.
El capítulo 3 establece los términos y definiciones clave utilizados en esta Norma Internacional. Se ha hecho
un gran esfuerzo para asegurarse de que estas definiciones no estén en conflicto con las definiciones
utilizadas en otras normas.
El capítulo 4 describe los principios en los que se basa la auditoría. Estos principios ayudan al usuario a
comprender la naturaleza esencial de la auditoría y son importantes para comprender la orientación
establecida en los capítulos 5 a 7.
El capítulo 5 proporciona orientación sobre el establecimiento y la gestión de un programa de auditoría, el
establecimiento de los objetivos del programa de auditoría y la coordinación de las actividades de auditoría.
El capítulo 6 proporciona orientación sobre la planificación y realización de una auditoría de un sistema de
gestión.
El capítulo 7 proporciona orientación relativa a la competencia y la evaluación de los auditores y los equipos
auditores de sistemas de gestión.
El Anexo A ilustra la aplicación de la orientación del capítulo 7 a distintas disciplinas.
El Anexo B proporciona orientación adicional para auditores sobre la planificación y realización de auditorías.

Traducción oficial/Official translation/Traduction officielle
© ISO 2011 — Todos los derechos reservados vii

---------------------- Page: 7 ----------------------
NORMA INTERNACIONAL ISO 19011:2011 (traducción oficial)

Directrices para la auditoría de los sistemas de gestión
1 Objeto y campo de aplicación
Esta Norma Internacional proporciona orientación sobre la auditoría de los sistemas de gestión, incluyendo
los principios de la auditoría, la gestión de un programa de auditoría y la realización de auditorías de sistemas
de gestión, así como orientación sobre la evaluación de la competencia de los individuos que participan en el
proceso de auditoría, incluyendo a la persona que gestiona el programa de auditoría, los auditores y los
equipos auditores.
Es aplicable a todas las organizaciones que necesitan realizar auditorías internas o externas de sistemas de
gestión, o gestionar un programa de auditoría.
La aplicación de esta Norma Internacional a otros tipos de auditorías es posible, siempre que se preste
especial atención a la competencia específica necesaria.
2 Referencias normativas
No se citan referencias normativas. Se incluye este capítulo para conservar una numeración de capítulos
idéntica a la utilizada en otras normas de sistemas de gestión ISO.
3 Términos y definiciones
Para el propósito de este documento, se aplican los siguientes términos y definiciones.
3.1
auditoría
proceso sistemático, independiente y documentado para obtener evidencias de la auditoría (3.3) y
evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría
(3.2).
NOTA 1 Las auditorías internas, denominadas en algunos casos auditorías de primera parte, se realizan por la propia
organización, o en su nombre, para la revisión por la dirección y para otros propósitos internos (por ejemplo, para
confirmar la eficacia del sistema de gestión o para obtener información para la mejora del sistema de gestión). Las
auditorías internas pueden formar la base para una autodeclaración de conformidad de una organización. En muchos
casos, particularmente en organizaciones pequeñas, la independencia puede demostrarse al estar libre el auditor de
responsabilidades en la actividad que se audita o al estar libre de sesgo y conflicto de intereses.
NOTA 2 Las auditorías externas incluyen auditorías de segunda y tercera parte. Las auditorías de segunda parte se
llevan a cabo por partes que tienen un interés en la organización, tal como los clientes, o por otras personas en su
nombre. Las auditorías de tercera parte se llevan a cabo por organizaciones auditoras independientes, tales como las
autoridades reglamentarias o aquellas que proporcionan la certificación.
NOTA 3 Cuando dos o más sistemas de gestión de disciplinas diferentes (por ejemplo, de la calidad, ambiental,
seguridad y salud ocupacional) se auditan juntos, se denomina auditoría combinada.
NOTA 4 Cuando dos o más organizaciones auditoras cooperan para auditar a un único auditado (3.7), se denomina
auditoría conjunta.
NOTA 5 Adaptado de la Norma ISO 9000:2005, definición 3.9.1.
Traducción oficial/Official translation/Traduction officielle
© ISO 2011 — Todos los derechos reservados 1

---------------------- Page: 8 ----------------------
ISO 19011:2011 (traducción oficial)
3.2
criterios de auditoria
conjunto de políticas, procedimientos o requisitos usados como referencia frente a la cual se compara la
evidencia de la auditoría (3.3)
NOTA 1 Adaptado de la Norma ISO 9000:2005, definición 3.9.3.
NOTA 2 Si los criterios de auditoría son requisitos legales (incluyendo los reglamentarios), los términos “ cumple” o no
“cumple” se utilizan a menudo en los hallazgos de auditoría (3.4).
3.3
evidencia de la auditoría
registros, declaraciones de hechos o cualquier otra información que es pertinente para los criterios de
auditoría (3.2) y que es verificable
NOTA La evidencia de la auditoría puede ser cualitativa o cuantitativa.
[ISO 9000:2005, definición 3.9.4]
3.4
hallazgos de la auditoría
resultados de la evaluación de la evidencia de la auditoría (3.3) recopilada frente a los criterios de
auditoría (3.2)
NOTA 1 Los hallazgos de la auditoría pueden indicar conformidad o no conformidad.
NOTA 2 Los hallazgos de la auditoría pueden conducir a la identificación de oportunidades para la mejora o el registro
de buenas prácticas.
NOTA 3 Si los criterios de auditoría se seleccionan de entre los requisitos legales u otros requisitos, el hallazgo de la
auditoría se denomina cumplimiento o no cumplimiento.
NOTA 4 Adaptado de la Norma ISO 9000:2005, definición 3.9.5.
3.5
conclusiones de la auditoría
resultado de una auditoría (3.1), tras considerar los objetivos de la auditoría y todos los hallazgos de la
auditoría (3.4)
NOTA Adaptado de la Norma ISO 9000:2005, definición 3.9.6.
3.6
cliente de la auditoría
organización o persona que solicita una auditoría (3.1)
NOTA 1 En el caso de una auditoría interna, el cliente de la auditoría también puede ser el auditado (3.7) o la persona
que gestiona el programa de auditoría. Las solicitudes de una auditoría externa pueden provenir de fuentes como
autoridades reglamentarias, partes contratantes o clientes potenciales.
NOTA 2 Adaptado de la Norma ISO 9000:2005, definición 3.9.7.
3.7
auditado
organización que es auditada
[ISO 9000:2005, definición 3.9.8]
3.8
auditor
persona que lleva a cabo una auditoría (3.1)
Traducción oficial/Official translation/Traduction officielle
2 © ISO 2011 — Todos los derechos reservados

---------------------- Page: 9 ----------------------
ISO 19011:2011 (traducción oficial)
3.9
equipo auditor
uno o más auditores (3.8) que llevan a cabo una auditoría (3.1), con el apoyo, si es necesario, de expertos
técnicos (3.10).
NOTA 1 A un auditor del equipo se le designa como líder del mismo.
NOTA 2 El equipo auditor puede incluir auditores en formación.
[ISO 9000:2005, definición 3.9.10]
3.10
experto técnico
persona que aporta conocimientos o experiencia específicos al equipo auditor (3.9)
NOTA 1 El conocimiento o experiencia específicos son los relacionados con la organización, el proceso o la actividad
a auditar, el idioma o la orientación cultural.
NOTA 2 Un experto técnico no actúa como un auditor (3.8) en el equipo auditor.
[ISO 9000:2005, definición 3.9.11]
3.11
observador
persona que acompaña al equipo auditor (3.9) pero que no audita.
NOTA 1 Un observador no es parte del equipo auditor (3.9) y no influye ni interfiere en la realización de la auditoría
(3.1).
NOTA 2 Un observador puede designarse por el auditado (3.7), una autoridad reglamentaria u otra parte interesada
que testifica la auditoría (3.1).
3.12
guía
persona designada por el auditado (3.7) para asistir al equipo auditor (3.9)
3.13
programa de auditoría
detalles acordados para un conjunto de una o más auditorías (3.1) planificadas para un periodo de tiempo
determinado y dirigidas hacia un propósito específico
NOTA Adaptado de la Norma ISO 9000:2005, definición 3.9.2.
3.14
alcance de la auditoría
extensión y límites de una auditoría (3.1)
NOTA El alcance de la auditoría incluye generalmente una descripción de las ubicaciones, las unidades de la
organización, las actividades y los procesos, así como el periodo de tiempo cubierto.
[ISO 9000:2005, definición 3.9.13]
3.15
plan de auditoría
descripción de las actividades y de los detalles acordados de una auditoría (3.1)
[ISO 9000:2005, definición 3.9.12]

Traducción oficial/Official translation/Traduction officielle
© ISO 2011 — Todos los derechos reservados 3

---------------------- Page: 10 ----------------------
ISO 19011:2011 (traducción oficial)
3.16
riesgo
efecto de la incertidumbre sobre los objetivos
NOTA Adaptado de la Guía ISO 73:2009, definición 1.1.
3.17
competencia
capacidad para aplicar conocimientos y habilidades para alcanzar los resultados pretendidos
NOTA La capacidad implica la aplicación apropiada del comportamiento personal durante el proceso de auditoría.
3.18
conformidad
cumplimiento de un requisito
[ISO 9000:2005, definición 3.6.1]
3.19
no conformidad
incumplimiento de un requisito
[ISO 9000:2005, definición 3.6.2]
3.20
sistema de gestión
sistema para establecer la política y los objetivos y para lograr dichos objetivos
NOTA Un sistema de gestión de una organización puede incluir diferentes sistemas de gestión, tales como un
sistema de gestión de la calidad, un sistema de gestión financiera o un sistema de gestión ambiental.
[ISO 9000:2005, definición 3.2.2]
4 Principios de auditoría
La auditoría se caracteriza por depender de varios principios. Estos principios deberían ayudar a hacer de la
auditoría una herramienta eficaz y fiable en apoyo de las políticas y controles de gestión, proporcionando
información sobre la cual una organización puede actuar para mejorar su desempeño. La adhesión a esos
principios es un requisito previo para proporcionar conclusiones de la auditoría que sean pertinentes y
suficientes y para permitir a los auditores, trabajando independientemente entre sí, alcanzar conclusiones
similares en circunstancias similares.
La orientación dada en los capítulos 5 a 7 se basa en los seis principios señalados a continuación.
a) Integridad: el fundamento de la profesionalidad
Los auditores y las personas que gestionan un programa de auditoría deberían:
— desempeñar su trabajo con honestidad, diligencia y responsabilidad;
— observar y cumplir todos los requisitos legales aplicables;
— demostrar su competencia al desempeñar su trabajo;
— desempeñar su trabajo de manera imparcial, es decir, permanecer ecuánime y sin sesgo en todas
sus acciones;
— ser sensible a cualquier influencia que se pueda ejercer sobre su juicio mientras lleva a cabo una
auditoría.
Traducción oficial/Official translation/Traduction officielle
4 © ISO 2011 — Todos los derechos reservados

---------------------- Page: 11 ----------------------
ISO 19011:2011 (traducción oficial)
b) Presentación imparcial: la obligación de informar con veracidad y exactitud
Los hallazgos, conclusiones e informes de la auditoría deberían reflejar con veracidad y exactitud las
actividades de auditoría. Se debería informar de los obstáculos significativos encontrados durante la
auditoría y de las opiniones divergentes sin resolver entre el equipo auditor y el auditado. La
comunicación debería ser veraz, exacta, objetiva, oportuna, clara y completa.
c) Debido cuidado profesional: la aplicación de diligencia y juicio al auditar
Los auditores deberían proceder con el debido cuidado, de acuerdo con la importancia de la tarea que
desempeñan y la confianza depositada en ellos por el cliente de la auditoría y por otras partes
interesadas. Un factor importante al realizar su trabajo con el debido cuidado profesional es tener la
capacidad de hacer juicios razonados en todas las situaciones de la auditoría.
d) Confidencialidad: seguridad de la información
Los auditores deberían proceder con discreción en el uso y la protección de la información adquirida en
el curso de sus tareas. La información de la auditoría no debería usarse inapropiadamente para
beneficio personal del auditor o del cliente de la auditoría, o de modo que perjudique el interés legítimo
del auditado. Este concepto incluye el tratamiento apropiado de la información sensible o confidencial.
e) Independencia: la base para la imparcialidad de la auditoría y la objetividad de las conclusiones de la
auditoría
Los auditores deberían ser independientes de la actividad que se audita siempre que sea posible, y en
todos los casos deberían actuar de una manera libre de sesgo y conflicto de intereses. Para las
auditorías internas, los auditores deberían ser independientes de los responsables operativos de la
función que se audita. Los auditores deberían mantener la objetividad a lo largo del proceso de auditoría
para asegurarse de que los hallazgos y conclusiones de la auditoría estarán basados sólo en la
evidencia de la auditoría.
Para las organizaciones pequeñas, puede que no sea posible que los auditores internos sean
completamente independientes de la actividad que se audita, pero deberían hacerse todos los esfuerzos
para eliminar el sesgo y fomentar la objetividad.
f) Enfoque basado en la evidencia: el método racional para alcanzar conclusiones de la auditoría fiables
y reproducibles en un proceso de auditoría sistemático
La evidencia de la auditoría debería ser verificable. En general se basará en muestras de la información
disponible, ya que una auditoría se lleva a cabo durante un periodo de tiempo delimitado y con recursos
finitos. Debería aplicarse un uso apropiado del muestreo, ya que está estrechamente relacionado con la
confianza que puede depositarse en las conclusiones de la auditoría.
5 Gestión de un programa de auditoría
5.1 Generalidades
Una organización que necesita llevar a cabo auditorías debería establecer un programa de auditoría que
contribuya a la determinación de la eficacia del sistema de gestión del auditado. El programa de auditoría
puede incluir auditorías que tengan en consideración una o más normas de sistemas de gestión, llevadas a
cabo de manera individual o combinada.
La alta dirección debería asegurarse de que los objetivo
...