El passat 17 de juny de 2026 es va publicar finalment la nova versió de la coneguda norma internacional d’auditories de sistemes de gestió. Una breu anàlisi preliminar, permet destacar aquestes novetats:
Actualment ja s’admet amb total naturalitat els processos d’auditoria en remot, o mixta. Ara bé, s’ha de fer correctament, i contemplant les particularitats i mesures de ciberseguretat de les ubicacions virtuals.
Per la raó indicada al paràgraf anterior, les competències de l’auditor, més enllà de coneixements i experiència sobre l’àrea de gestió i norma de referència auditada, obliga a estar al dia sobre eines tecnològiques i en ciberseguretat.
Aquesta versió ens recorda que l’auditoria ha d’emfatitzar més en els processos que més repercuteixen en el rendiment (dedicar més temps de mostreig i ser més incisiu en lloc de voler equilibrar les activitats d’auditoria per igual en tots els processos). Dit d’una altra forma, ha de tenir en compte l’enfocament a riscos que té el sistema, a partir del seu anàlisi de riscos i oportunitats.
La norma dona un toc d’atenció a la importància de definir bé els plans d’auditoria, doncs té un sentit, no son només un tràmit. En coherència amb allò comentat anteriorment, ha de preveure la dedicació més àmplia cap allò més rellevant segons riscos identificats. Sembla lògic, que si per exemple, una empresa ha identificat, per exemple, que el seu procés comercial és poc eficaç i amb baixes vendes, l’auditoria tingui previst ja des de la seva planificació, dedicar un generós temps al mostreig de tot allò que fa l’empresa per assolir les vendes.
Per als que ens agrada categoritzar com a no conformitat major, menor, i després fer observacions, la norma ens recorda la necessitat de deixar clara la definició i limitacions de cada categoria. En cas contrari, és fàcil caure en una perillosa ambigüitat. Per tant, sempre acompanyant detalls de l’evidència objectiva trobada.
Als perfils d’auditors que actualment s’estan tornant dependents de les eines de IA, la norma ens recorda que l’auditor ha de ser professional, i anteposar el seu judici a l’anàlisi i conclusions que proposen les eines tecnològiques.
I per fi, la norma reivindica que l’auditoria ha d’aportar valor a l’empresa auditada. Dir si l’empresa compleix o no compleix amb el “segell”, és d’escassa utilitat, si al final l’empresa no va bé. Hi ha molts factors que influeixen en l’èxit de les empreses, de la mateixa forma que hi ha persones amb titulacions i experiència que no obtenen els resultats que es mereixen. O pel contrari, els bons resultats no han d’emmascarar males pràctiques de gestió (que estan gestant problemes futurs), i que una bona auditoria, amb el insubstituïble criteri professional del bon auditor, pot detectar a temps.
