La cláusula 9.2 te exige hacerla al menos una vez al año. Te mostramos cada etapa, los entregables obligatorios y los errores que más rechaza el auditor externo.

La cláusula 9.2 "Auditoría interna" de la norma ISO 9001:2015 le exige a la organización planificar, establecer, implementar y mantener un programa de auditorías internas a intervalos planificados, para verificar si el sistema de gestión de calidad cumple los requisitos propios de la organización y los de la norma, y si está implementado y mantenido eficazmente.
Más allá de la formalidad, el espíritu de la cláusula es claro: la auditoría interna existe para que la propia organización detecte sus brechas antes de que las detecte un cliente, un auditor de certificación o el mercado. Una auditoría interna que solo encuentra no conformidades menores en formularios es señal de que el proceso fue cosmético.
Los entregables formales que un auditor de certificación exige ver son cinco: (1) programa anual de auditorías; (2) plan específico de cada auditoría; (3) registros de los auditores internos y su competencia; (4) informes de auditoría con hallazgos clasificados; (5) seguimiento de acciones correctivas resultantes.
Una organización que se certifica por primera vez ISO 9001 debe haber ejecutado al menos un ciclo completo de auditoría interna antes de la auditoría de certificación. No basta con planificarla — el auditor externo va a pedir los informes firmados.
El programa anual es el plan maestro que define qué procesos vas a auditar durante el año, cuándo, quién y por qué. La norma no exige auditar todos los procesos en cada ciclo, pero sí que todos sean auditados al menos una vez en el período de certificación (3 años).
El criterio principal para priorizar es el riesgo: procesos críticos para el cliente, procesos con histórico de no conformidades, procesos nuevos o con cambios recientes deben auditarse más frecuentemente que procesos estables y maduros.
Cobertura — listar los procesos del sistema (típicamente entre 6 y 15) y asignar fechas de auditoría a lo largo del año.
Frecuencia — procesos críticos: cada 6 meses; procesos estándar: anual; procesos de apoyo estable: cada 18 meses.
Criterios de auditoría — qué se va a verificar (norma ISO 9001 + procedimientos internos + requisitos legales aplicables).
Alcance — sedes, áreas, productos/servicios incluidos en cada auditoría.
Equipo auditor — quién audita qué (con regla de independencia: nadie audita su propio proceso).
Recursos — tiempo estimado por auditoría (típicamente 1-3 días para PYME, 5-10 días para empresa mediana).
Aprobación — el programa anual lo firma el responsable de calidad y la alta dirección.
Una vez aprobado el programa anual, cada auditoría individual necesita un plan detallado que el auditor líder construye y comunica al auditado al menos 5 días hábiles antes de la fecha. Este plan elimina sorpresas y permite que el auditado prepare las evidencias.
Objetivos específicos de la auditoría (no genéricos como "verificar cumplimiento" — concretos como "evaluar la efectividad del control de no conformidades en Producción").
Alcance: proceso, sede, área, período de evidencias a revisar (típicamente últimos 12 meses).
Criterios: cláusulas ISO específicas, procedimientos internos, requisitos legales y del cliente.
Equipo auditor designado (líder + miembros) con horarios estimados.
Agenda detallada: hora, actividad, área a visitar, persona a entrevistar.
Reunión de apertura y de cierre programadas con asistentes.
Confidencialidad: declaración firmada del equipo auditor.
Uno de los hallazgos más típicos en auditorías de certificación es la falta de evidencia documental sobre la competencia de los auditores internos. La norma exige que sean competentes, pero no dice cómo demostrarlo — lo aceptado por los entes certificadores (Icontec, SGS, Bureau Veritas, BVQI) es una matriz de competencias verificable.
Formación específica como auditor interno ISO 9001 (curso de 40 horas mínimo, certificado por entidad reconocida).
Conocimiento técnico del proceso a auditar (no auditás producción si no entiendes producción).
Experiencia mínima como auditor — para auditores nuevos: 2-3 auditorías como observador o miembro del equipo antes de liderar.
Independencia: no auditás tu propia área. Esto es regla dura — incumplirla invalida la auditoría.
Evaluación de desempeño periódica del auditor: feedback del auditado, calidad de hallazgos identificados, claridad del informe.
Registro firmado de la competencia: matriz con auditor + áreas que puede auditar + nivel (observador / miembro / líder) + fecha de actualización.
La auditoría en sí es una conversación estructurada con evidencia. El auditor recorre 4 momentos: reunión de apertura, recolección de evidencias (entrevistas + observación + revisión documental), análisis de hallazgos, reunión de cierre. La diferencia entre una auditoría útil y un trámite formal es la calidad de las preguntas y la rigurosidad en buscar evidencia.
Reunión de apertura — auditor líder presenta plan, recuerda confidencialidad, confirma agenda. Asisten todos los involucrados.
Técnica de las 6 preguntas (ISO 19011): qué, quién, cuándo, dónde, cómo y por qué — repetidas hasta llegar a la raíz.
Triangulación de evidencias — nunca cerrar un hallazgo con una sola fuente. Combinar entrevista + observación + documento.
Muestreo razonable — no puedes revisar todos los registros; toma una muestra representativa (5-10 registros por proceso típicamente).
Notas de campo detalladas — auditor lleva libreta con observaciones literales, sin interpretar todavía.
No conformidades vs observaciones — diferenciar claramente: NC = incumple un requisito explícito; OBS = oportunidad de mejora sin incumplimiento.
Reunión de cierre — auditor presenta hallazgos preliminares, audito ratifica/refuta. Si no hay acuerdo, queda registrado y se escala.
El informe de auditoría es el entregable que queda como evidencia formal y el que un auditor de certificación va a revisar en detalle. Un informe pobre invalida toda la auditoría. La estructura aceptada internacionalmente (basada en ISO 19011:2018):
Encabezado: organización, proceso auditado, fechas, equipo auditor, auditados, criterios.
Resumen ejecutivo (1 página): conclusión general + número de hallazgos por categoría.
Fortalezas observadas — sí, se documentan. No todo es negativo.
No conformidades — cada una numerada, con: cláusula ISO incumplida, descripción del hallazgo, evidencia objetiva concreta, severidad (mayor / menor).
Observaciones — oportunidades de mejora sin incumplimiento formal.
Conclusión y recomendaciones generales.
Firma del auditor líder + fecha + número de informe.
Anexos: lista de evidencias revisadas, personas entrevistadas, agenda ejecutada.
Clasificación de no conformidades: MAYOR = incumple totalmente un requisito de la norma, ausencia sistémica de un proceso, o múltiples menores recurrentes; MENOR = incumplimiento puntual de un requisito sin afectar el sistema completo. Una NC mayor en una auditoría interna obliga a acción correctiva inmediata y revisión por la dirección.
La auditoría sin seguimiento es trabajo desperdiciado. Cada no conformidad detectada debe convertirse en una acción correctiva formal con responsable, plazo, recursos y verificación de eficacia posterior. El auditor de certificación verifica el cierre de las acciones derivadas de la última auditoría interna como punto crítico.
Plazo máximo para tratar una NC: 30 días para el plan de acción + plazo de ejecución según severidad (mayor: 90 días; menor: 6 meses).
Análisis de causa raíz documentado para NC mayores — los 5 Por Qué, Ishikawa o método equivalente.
Acción correctiva ≠ corrección. La corrección arregla el síntoma inmediato; la correctiva ataca la causa raíz para que no vuelva a ocurrir.
Verificación de eficacia — al menos 3 meses después del cierre, el responsable de calidad valida que la NC no se repitió.
Registro de cierre de la NC: descripción de la acción tomada, evidencia, fecha de verificación, firma del responsable de calidad.
Análisis de tendencias — NC repetidas en auditorías sucesivas indican problema sistémico que la alta dirección debe intervenir.
El paso de Excel + Word + emails a una plataforma dedicada cambia drásticamente la eficiencia y trazabilidad de la auditoría interna. Lo que un buen software de calidad aporta:
Programa anual visible en calendario compartido con alertas previas a cada auditoría programada.
Plantillas de plan de auditoría pre-llenadas con criterios ISO + procedimientos internos según el proceso a auditar.
Checklist de auditoría digitales con captura en móvil/tablet — sin papel ni transcripción posterior.
Evidencias adjuntas (foto, audio, documento) capturadas en sitio y vinculadas al hallazgo.
Clasificación automática del hallazgo según severidad + cláusula ISO incumplida.
Conversión automática del hallazgo a acción correctiva con responsable y plazo según política.
Tablero de seguimiento — NC abiertas, vencidas, cerradas, eficacia verificada, tendencias por proceso.
Generación del informe en el formato que exige la ISO 19011 para la certificación con un click.
Histórico completo — auditorías anteriores y NC asociadas siempre consultables.
Conexión con el módulo de revisión por la dirección — los hallazgos de auditoría alimentan automáticamente la reunión anual de la alta dirección.
Una empresa de 100 empleados que pasa de auditoría interna en Excel a software dedicado reduce el tiempo de preparación + ejecución + informe en aproximadamente 60-70%. El tiempo recuperado se invierte donde realmente importa: el análisis de las causas raíz.
HoldingSoft+ centraliza la matriz IPER, COPASST, indicadores y reportes Resolución 0312. Reduce 60-80% el tiempo de gestión SGI.
Cumple Decreto 1072 + Resolución 0312
Estándares mínimos SG-SST + ISO 9001/14001/45001IA SOFÍA con citas verificables
RAG sobre tus documentos, sin alucinacionesDesde USD 30/mes · +40 apps incluidas
Sin penalización por cambiar de planLa norma no fija un número mínimo. La práctica aceptada es que todos los procesos del sistema sean auditados al menos una vez al año, lo que típicamente se traduce en 4 a 12 auditorías al año dependiendo del tamaño de la empresa. Procesos críticos o con histórico de NC se auditan más frecuentemente (cada 6 meses). El criterio es enfoque basado en riesgos: priorizar lo que más impacta al cliente.
No. La regla de independencia exige que nadie audite su propio proceso. El responsable de calidad puede auditar producción, comercial, compras o cualquier proceso del que no sea responsable directo. Para auditar el proceso de gestión de calidad en sí, debe hacerlo otro auditor interno (puede ser un colega capacitado de otra área) o un auditor externo contratado. Es el hallazgo más común y más sencillo de prevenir.
Sí, son válidas siempre que: (1) el alcance permita verificar evidencia documental remotamente (no aplica para inspección física de instalaciones o equipos); (2) la conexión tenga calidad suficiente para entrevistar al auditado y revisar registros en pantalla compartida; (3) el informe deje registro de la modalidad. ICONTEC y BVQI aceptaron auditorías remotas desde 2020 (pandemia) y mantienen la validez bajo estos criterios.
Tres consecuencias: (1) escala automática a la alta dirección como punto de revisión por la dirección; (2) el auditor de certificación la convierte en NC mayor en su propia auditoría — lo que puede suspender la certificación; (3) si es recurrente, se convierte en NC sistémica y obliga a una acción correctiva mucho más profunda (revisión del proceso completo). El tiempo es crítico en NC mayores; el plan de acción debe estar en 30 días.
El auditor interno puede ser personal propio de la empresa formado como auditor o un consultor externo contratado para esa función. Lo que importa es que: (1) tenga la competencia documentada; (2) sea independiente del proceso auditado; (3) reporte al responsable de calidad (no al área auditada). Empresas pequeñas con menos personal disponible típicamente contratan auditor externo para el rol de líder, complementado con auditores internos como miembros del equipo.
Es señal grave de que el sistema de gestión no funcionó. Implica que la acción correctiva tomada después de la primera auditoría no atacó la causa raíz, o que no se ejecutó como se planeó. El responsable de calidad debe escalar el caso a la revisión por la dirección como punto crítico. El auditor de certificación va a observar esta repetición como evidencia de inmadurez del sistema y puede graduar el hallazgo como NC mayor en su auditoría.
No. Son procesos diferentes con propósitos diferentes. La auditoría interna la hace la propia organización para detectar sus brechas. La auditoría de certificación la hace un ente acreditado (ICONTEC, SGS, BVQI, Bureau Veritas, etc.) para verificar el cumplimiento ante terceros y emitir el certificado ISO 9001. La interna es prerrequisito de la externa: ningún auditor de certificación va a emitir un certificado si la empresa no demostró ejecutar su programa de auditorías internas.
HoldingSoft+ automatiza la gestión documental, los indicadores y los reportes que aquí se mencionan. Ahorras semanas de trabajo administrativo y reduces el riesgo de hallazgos en auditoría.