El pasado 17 de junio de 2026 se publicó finalmente la nueva versión de la conocida norma internacional de auditorías de sistemas de gestión. Un breve análisis preliminar, permite destacar estas novedades:
Actualmente ya se admite con total naturalidad los procesos de auditoría en remoto, o mixta. Ahora bien, debe hacerse correctamente, y contemplando las particularidades y medidas de ciberseguridad de las ubicaciones virtuales.
Por lo indicado en el párrafo anterior, las competencias del auditor, más allá de conocimientos y experiencia sobre el área de gestión y norma de referencia auditada, obliga a estar al día en herramientas tecnológicas y en ciberseguridad.
Esta versión nos recuerda que la auditoría debe enfatizar más en los procesos que más repercuten en el desempeño (dedicar más tiempo de muestreo y ser más incisivo en lugar que querer equilibrar las actividades de auditoría por igual en todos los procesos). Dicho de otra forma, debe tener en cuenta el enfoque a riesgos que tiene el sistema, a partir de su análisis de riesgos y oportunidades.
La norma da un toque de atención a la importancia de definir bien los planes de auditoría, pues tienen un sentido, no son un puro trámite. En coherencia con lo comentado anteriormente, debe prever la dedicación más amplia a lo más relevante según riesgos identificados. Parece lógico, que si por ejemplo, una empresa ha identificado, por ejemplo, que su proceso comercial es poco eficaz y vende poco, la auditoría tenga previsto ya desde su planificación, dedicar un generoso tiempo al muestreo de todo lo que hace la empresa para lograr las ventas.
Para los que nos gusta categorizar como no conformidad mayor, menor, y luego hacer observaciones, la norma nos recuerda la necesidad de dejar clara la definición y límites de cada categoría. De lo contrario, es fácil caer en una peligrosa ambigüedad. Por lo tanto, siempre acompañando detalles de la evidencia objetiva hallada.
A los perfiles de auditores que ya se están haciendo dependientes de las herramientas de IA, la norma nos recuerda que el auditor debe ser profesional, y anteponer su juicio al análisis y conclusiones que propongan las herramientas tecnológicas.
Y por fin, la norma reivindica que la auditoría debe aportar valor a la empresa auditada. Decir si la empresa cumple o no cumple con el “sellito”, es de escasa utilidad, si al final la empresa no va bien. Hay muchos factores que influyen en el éxito de las empresas, del mimo modo que hay personas con titulaciones y experiencia que no obtienen los resultados que se merecen. O por el contrario, los buenos resultados no deben enmascarar malas prácticas de gestión (que están gestando problemas futuros), y que una buena auditoría, con el insustituible criterio profesional del buen auditor, puede detectar a tiempo.
