HoldingSoft
AplicacionesPreciosPartners
Iniciar sesión
  1. Inicio
  2. ›
  3. Recursos
  4. ›
  5. ISO 9001

ISO 9001
11 min de lectura
· Actualizado 23 de mayo de 2026

Auditoría interna ISO 9001 paso a paso: del programa anual al informe final

La cláusula 9.2 te exige hacerla al menos una vez al año. Te mostramos cada etapa, los entregables obligatorios y los errores que más rechaza el auditor externo.

Auditoría interna ISO 9001 cláusula 9.2 paso a paso: del programa anual al informe final

Qué exige la cláusula 9.2 de ISO 9001:2015

La cláusula 9.2 "Auditoría interna" de la norma ISO 9001:2015 le exige a la organización planificar, establecer, implementar y mantener un programa de auditorías internas a intervalos planificados, para verificar si el sistema de gestión de calidad cumple los requisitos propios de la organización y los de la norma, y si está implementado y mantenido eficazmente.

Más allá de la formalidad, el espíritu de la cláusula es claro: la auditoría interna existe para que la propia organización detecte sus brechas antes de que las detecte un cliente, un auditor de certificación o el mercado. Una auditoría interna que solo encuentra no conformidades menores en formularios es señal de que el proceso fue cosmético.

Los entregables formales que un auditor de certificación exige ver son cinco: (1) programa anual de auditorías; (2) plan específico de cada auditoría; (3) registros de los auditores internos y su competencia; (4) informes de auditoría con hallazgos clasificados; (5) seguimiento de acciones correctivas resultantes.

Una organización que se certifica por primera vez ISO 9001 debe haber ejecutado al menos un ciclo completo de auditoría interna antes de la auditoría de certificación. No basta con planificarla — el auditor externo va a pedir los informes firmados.

Paso 1 — Construir el programa anual de auditorías internas

El programa anual es el plan maestro que define qué procesos vas a auditar durante el año, cuándo, quién y por qué. La norma no exige auditar todos los procesos en cada ciclo, pero sí que todos sean auditados al menos una vez en el período de certificación (3 años).

El criterio principal para priorizar es el riesgo: procesos críticos para el cliente, procesos con histórico de no conformidades, procesos nuevos o con cambios recientes deben auditarse más frecuentemente que procesos estables y maduros.

  • Cobertura — listar los procesos del sistema (típicamente entre 6 y 15) y asignar fechas de auditoría a lo largo del año.

  • Frecuencia — procesos críticos: cada 6 meses; procesos estándar: anual; procesos de apoyo estable: cada 18 meses.

  • Criterios de auditoría — qué se va a verificar (norma ISO 9001 + procedimientos internos + requisitos legales aplicables).

  • Alcance — sedes, áreas, productos/servicios incluidos en cada auditoría.

  • Equipo auditor — quién audita qué (con regla de independencia: nadie audita su propio proceso).

  • Recursos — tiempo estimado por auditoría (típicamente 1-3 días para PYME, 5-10 días para empresa mediana).

  • Aprobación — el programa anual lo firma el responsable de calidad y la alta dirección.

Paso 2 — Plan específico de cada auditoría

Una vez aprobado el programa anual, cada auditoría individual necesita un plan detallado que el auditor líder construye y comunica al auditado al menos 5 días hábiles antes de la fecha. Este plan elimina sorpresas y permite que el auditado prepare las evidencias.

  • Objetivos específicos de la auditoría (no genéricos como "verificar cumplimiento" — concretos como "evaluar la efectividad del control de no conformidades en Producción").

  • Alcance: proceso, sede, área, período de evidencias a revisar (típicamente últimos 12 meses).

  • Criterios: cláusulas ISO específicas, procedimientos internos, requisitos legales y del cliente.

  • Equipo auditor designado (líder + miembros) con horarios estimados.

  • Agenda detallada: hora, actividad, área a visitar, persona a entrevistar.

  • Reunión de apertura y de cierre programadas con asistentes.

  • Confidencialidad: declaración firmada del equipo auditor.

Paso 3 — Competencia del auditor interno

Uno de los hallazgos más típicos en auditorías de certificación es la falta de evidencia documental sobre la competencia de los auditores internos. La norma exige que sean competentes, pero no dice cómo demostrarlo — lo aceptado por los entes certificadores (Icontec, SGS, Bureau Veritas, BVQI) es una matriz de competencias verificable.

  • Formación específica como auditor interno ISO 9001 (curso de 40 horas mínimo, certificado por entidad reconocida).

  • Conocimiento técnico del proceso a auditar (no auditás producción si no entiendes producción).

  • Experiencia mínima como auditor — para auditores nuevos: 2-3 auditorías como observador o miembro del equipo antes de liderar.

  • Independencia: no auditás tu propia área. Esto es regla dura — incumplirla invalida la auditoría.

  • Evaluación de desempeño periódica del auditor: feedback del auditado, calidad de hallazgos identificados, claridad del informe.

  • Registro firmado de la competencia: matriz con auditor + áreas que puede auditar + nivel (observador / miembro / líder) + fecha de actualización.

Paso 4 — Ejecutar la auditoría: técnicas y postura

La auditoría en sí es una conversación estructurada con evidencia. El auditor recorre 4 momentos: reunión de apertura, recolección de evidencias (entrevistas + observación + revisión documental), análisis de hallazgos, reunión de cierre. La diferencia entre una auditoría útil y un trámite formal es la calidad de las preguntas y la rigurosidad en buscar evidencia.

  • Reunión de apertura — auditor líder presenta plan, recuerda confidencialidad, confirma agenda. Asisten todos los involucrados.

  • Técnica de las 6 preguntas (ISO 19011): qué, quién, cuándo, dónde, cómo y por qué — repetidas hasta llegar a la raíz.

  • Triangulación de evidencias — nunca cerrar un hallazgo con una sola fuente. Combinar entrevista + observación + documento.

  • Muestreo razonable — no puedes revisar todos los registros; toma una muestra representativa (5-10 registros por proceso típicamente).

  • Notas de campo detalladas — auditor lleva libreta con observaciones literales, sin interpretar todavía.

  • No conformidades vs observaciones — diferenciar claramente: NC = incumple un requisito explícito; OBS = oportunidad de mejora sin incumplimiento.

  • Reunión de cierre — auditor presenta hallazgos preliminares, audito ratifica/refuta. Si no hay acuerdo, queda registrado y se escala.

Paso 5 — Informe de auditoría: estructura y clasificación de hallazgos

El informe de auditoría es el entregable que queda como evidencia formal y el que un auditor de certificación va a revisar en detalle. Un informe pobre invalida toda la auditoría. La estructura aceptada internacionalmente (basada en ISO 19011:2018):

  • Encabezado: organización, proceso auditado, fechas, equipo auditor, auditados, criterios.

  • Resumen ejecutivo (1 página): conclusión general + número de hallazgos por categoría.

  • Fortalezas observadas — sí, se documentan. No todo es negativo.

  • No conformidades — cada una numerada, con: cláusula ISO incumplida, descripción del hallazgo, evidencia objetiva concreta, severidad (mayor / menor).

  • Observaciones — oportunidades de mejora sin incumplimiento formal.

  • Conclusión y recomendaciones generales.

  • Firma del auditor líder + fecha + número de informe.

  • Anexos: lista de evidencias revisadas, personas entrevistadas, agenda ejecutada.

Clasificación de no conformidades: MAYOR = incumple totalmente un requisito de la norma, ausencia sistémica de un proceso, o múltiples menores recurrentes; MENOR = incumplimiento puntual de un requisito sin afectar el sistema completo. Una NC mayor en una auditoría interna obliga a acción correctiva inmediata y revisión por la dirección.

Paso 6 — Seguimiento de acciones correctivas

La auditoría sin seguimiento es trabajo desperdiciado. Cada no conformidad detectada debe convertirse en una acción correctiva formal con responsable, plazo, recursos y verificación de eficacia posterior. El auditor de certificación verifica el cierre de las acciones derivadas de la última auditoría interna como punto crítico.

  • Plazo máximo para tratar una NC: 30 días para el plan de acción + plazo de ejecución según severidad (mayor: 90 días; menor: 6 meses).

  • Análisis de causa raíz documentado para NC mayores — los 5 Por Qué, Ishikawa o método equivalente.

  • Acción correctiva ≠ corrección. La corrección arregla el síntoma inmediato; la correctiva ataca la causa raíz para que no vuelva a ocurrir.

  • Verificación de eficacia — al menos 3 meses después del cierre, el responsable de calidad valida que la NC no se repitió.

  • Registro de cierre de la NC: descripción de la acción tomada, evidencia, fecha de verificación, firma del responsable de calidad.

  • Análisis de tendencias — NC repetidas en auditorías sucesivas indican problema sistémico que la alta dirección debe intervenir.

Cómo un software de calidad transforma la auditoría interna

El paso de Excel + Word + emails a una plataforma dedicada cambia drásticamente la eficiencia y trazabilidad de la auditoría interna. Lo que un buen software de calidad aporta:

  • Programa anual visible en calendario compartido con alertas previas a cada auditoría programada.

  • Plantillas de plan de auditoría pre-llenadas con criterios ISO + procedimientos internos según el proceso a auditar.

  • Checklist de auditoría digitales con captura en móvil/tablet — sin papel ni transcripción posterior.

  • Evidencias adjuntas (foto, audio, documento) capturadas en sitio y vinculadas al hallazgo.

  • Clasificación automática del hallazgo según severidad + cláusula ISO incumplida.

  • Conversión automática del hallazgo a acción correctiva con responsable y plazo según política.

  • Tablero de seguimiento — NC abiertas, vencidas, cerradas, eficacia verificada, tendencias por proceso.

  • Generación del informe en el formato que exige la ISO 19011 para la certificación con un click.

  • Histórico completo — auditorías anteriores y NC asociadas siempre consultables.

  • Conexión con el módulo de revisión por la dirección — los hallazgos de auditoría alimentan automáticamente la reunión anual de la alta dirección.

Una empresa de 100 empleados que pasa de auditoría interna en Excel a software dedicado reduce el tiempo de preparación + ejecución + informe en aproximadamente 60-70%. El tiempo recuperado se invierte donde realmente importa: el análisis de las causas raíz.

En este artículo
01Qué exige la cláusula 9.2 de ISO 9001:201502Paso 1 — Construir el programa anual de auditorías internas03Paso 2 — Plan específico de cada auditoría04Paso 3 — Competencia del auditor interno05Paso 4 — Ejecutar la auditoría: técnicas y postura06Paso 5 — Informe de auditoría: estructura y clasificación de hallazgos07Paso 6 — Seguimiento de acciones correctivas08Cómo un software de calidad transforma la auditoría interna
Prueba HoldingSoft+
Automatiza lo que acabas de leer

HoldingSoft+ centraliza la matriz IPER, COPASST, indicadores y reportes Resolución 0312. Reduce 60-80% el tiempo de gestión SGI.

Ver Software ISO 9001 Calidad
Por qué HoldingSoft+

Cumple Decreto 1072 + Resolución 0312

Estándares mínimos SG-SST + ISO 9001/14001/45001

IA SOFÍA con citas verificables

RAG sobre tus documentos, sin alucinaciones

Desde USD 30/mes · +40 apps incluidas

Sin penalización por cambiar de plan

Preguntas frecuentes

La norma no fija un número mínimo. La práctica aceptada es que todos los procesos del sistema sean auditados al menos una vez al año, lo que típicamente se traduce en 4 a 12 auditorías al año dependiendo del tamaño de la empresa. Procesos críticos o con histórico de NC se auditan más frecuentemente (cada 6 meses). El criterio es enfoque basado en riesgos: priorizar lo que más impacta al cliente.

No. La regla de independencia exige que nadie audite su propio proceso. El responsable de calidad puede auditar producción, comercial, compras o cualquier proceso del que no sea responsable directo. Para auditar el proceso de gestión de calidad en sí, debe hacerlo otro auditor interno (puede ser un colega capacitado de otra área) o un auditor externo contratado. Es el hallazgo más común y más sencillo de prevenir.

Sí, son válidas siempre que: (1) el alcance permita verificar evidencia documental remotamente (no aplica para inspección física de instalaciones o equipos); (2) la conexión tenga calidad suficiente para entrevistar al auditado y revisar registros en pantalla compartida; (3) el informe deje registro de la modalidad. ICONTEC y BVQI aceptaron auditorías remotas desde 2020 (pandemia) y mantienen la validez bajo estos criterios.

Tres consecuencias: (1) escala automática a la alta dirección como punto de revisión por la dirección; (2) el auditor de certificación la convierte en NC mayor en su propia auditoría — lo que puede suspender la certificación; (3) si es recurrente, se convierte en NC sistémica y obliga a una acción correctiva mucho más profunda (revisión del proceso completo). El tiempo es crítico en NC mayores; el plan de acción debe estar en 30 días.

El auditor interno puede ser personal propio de la empresa formado como auditor o un consultor externo contratado para esa función. Lo que importa es que: (1) tenga la competencia documentada; (2) sea independiente del proceso auditado; (3) reporte al responsable de calidad (no al área auditada). Empresas pequeñas con menos personal disponible típicamente contratan auditor externo para el rol de líder, complementado con auditores internos como miembros del equipo.

Es señal grave de que el sistema de gestión no funcionó. Implica que la acción correctiva tomada después de la primera auditoría no atacó la causa raíz, o que no se ejecutó como se planeó. El responsable de calidad debe escalar el caso a la revisión por la dirección como punto crítico. El auditor de certificación va a observar esta repetición como evidencia de inmadurez del sistema y puede graduar el hallazgo como NC mayor en su auditoría.

No. Son procesos diferentes con propósitos diferentes. La auditoría interna la hace la propia organización para detectar sus brechas. La auditoría de certificación la hace un ente acreditado (ICONTEC, SGS, BVQI, Bureau Veritas, etc.) para verificar el cumplimiento ante terceros y emitir el certificado ISO 9001. La interna es prerrequisito de la externa: ningún auditor de certificación va a emitir un certificado si la empresa no demostró ejecutar su programa de auditorías internas.

¿Quieres aplicar esto en tu empresa?

HoldingSoft+ automatiza la gestión documental, los indicadores y los reportes que aquí se mencionan. Ahorras semanas de trabajo administrativo y reduces el riesgo de hallazgos en auditoría.

Conocer Software ISO 9001 Calidad

También te puede interesar

ISO 9001
ISO 9001:2015: las 10 cláusulas explicadas con ejemplos prácticos

ISO 9001:2015 está organizada en 10 cláusulas. Las primeras tres son introductorias, las siete restantes contienen los requisitos auditables. Te las explicamos con ejemplos reales de implementación en Colombia.

SG-SST
Auditoría interna SG-SST: el checklist completo de la Resolución 0312

La Resolución 0312 establece 60 estándares mínimos agrupados por ciclo PHVA. Aprobar requiere ≥85%. Te dejamos el checklist para autoevaluación con evidencias requeridas.

HoldingSoft

Plataforma SaaS para la administración de sistemas de gestión y gestión organizacional, desarrollada por Holding Consultants.

Software por normaSoftware SG-SST ColombiaSoftware ISO 9001 CalidadSoftware ISO 14001 AmbientalSoftware ISO 45001 SSTSoftware ISO 27001 SeguridadSoftware HSEQ IntegradoSoftware Riesgo PsicosocialSG-SST por industriaSOFÍA IA — AsistenteVer todas las soluciones
Módulos (Anexo SL)OrganizaciónContextoLiderazgoPlanificaciónApoyoOperaciónEvaluación de DesempeñoMejoraVer los 8 módulos
Aplicaciones destacadasPESTELDOFAPartes InteresadasGestión DocumentalCRM ComercialAuditoríasKPIsPlan de AcciónVer todas las aplicaciones
ParaEmpresas privadasEntidades públicasÁreas de SSTConsultores y aliadosAlta dirección
RecursosBlog & guíasMultas SG-SST 2026ISO 9001 explicadaChecklist auditoríaCalculadora de multasComparativas
ContactoPlanes y preciosHolding ConsultantsSolicitar demoIniciar sesión
LegalTérminos de ServicioPolítica de PrivacidadCompromiso de Seguridad

Una solución de Holding Consultants · Estándares oficiales: ISO 9001 · ISO 14001 · ISO 45001 · ISO 27001
HoldingSoft+ — Plataforma para la administración de sistemas de gestión y gestión organizacional.© 2024- 2027 Holding Consultants. Todos los derechos reservados.