La mayoría de las guías de auditoría te explican cómo implementar tu sistema. Esta es distinta: te cuenta lo que ve el auditor desde el otro lado de la mesa. Como organismo de certificación, lo que evaluamos no es cuánta documentación acumulaste, sino si tu sistema de gestión funciona de verdad y produce evidencia de ello. Entender qué revisa un auditor ISO es la mejor forma de preparar tu empresa para una auditoría de certificación y llegar sin sorpresas.
Puntos clave
- La auditoría de certificación inicial tiene dos etapas: documental (etapa 1) e in situ (etapa 2).
- El auditor busca evidencia de que el sistema se aplica, no solo papeles bonitos.
- Revisa seis frentes: liderazgo, procesos, riesgos, registros, acciones correctivas y mejora.
- Las no conformidades mayores frenan el certificado; las menores se resuelven con un plan de acción.
- Un diagnóstico previo (gap analysis) reduce el riesgo de sorpresas. ONCE puede hacerlo de forma independiente.
Qué es la auditoría de certificación (etapa 1 y etapa 2)
La auditoría de certificación inicial se realiza en dos etapas. No son un trámite doble: cada una verifica cosas distintas.
La etapa 1 es una revisión documental y de preparación. El auditor confirma que tu sistema esté documentado, que entiendas el alcance y los requisitos de la norma, que tengas evidencia de una auditoría interna y de la revisión por la dirección, y que estés realmente listo para la etapa 2. Si encuentra brechas, te las señala para que las corrijas antes de continuar; es mejor descubrirlas aquí que en la etapa 2.
La etapa 2 es la auditoría in situ. El auditor recorre tus operaciones, entrevista a las personas, observa cómo se ejecutan los procesos y recoge evidencia objetiva de que el sistema se aplica en la práctica —no solo en el manual. De aquí sale la recomendación de certificar (o no). Tras la certificación vienen las auditorías de seguimiento anuales y una recertificación cada tres años.
Qué revisa el auditor: los seis frentes
Más allá de la norma específica, el auditor evalúa estos seis frentes. Si los tienes cubiertos con evidencia, vas bien.
1. Liderazgo y compromiso de la dirección
El auditor habla con la dirección, no solo con el responsable de calidad. Busca evidencia de que la alta dirección entiende el sistema, fijó una política y objetivos coherentes, asignó recursos y revisa los resultados. Un sistema que vive solo en un escritorio es una bandera roja.
2. Procesos definidos y aplicados
Revisa que tus procesos clave estén definidos (entradas, salidas, responsables, controles) y, sobre todo, que se sigan. Compara lo que dice tu documentación con lo que realmente pasa en planta o en el servicio.
3. Gestión de riesgos y oportunidades
Pide ver cómo identificas y tratas los riesgos relevantes para tus objetivos y para tus clientes. No espera una matriz perfecta: espera que el pensamiento basado en riesgos esté integrado en tus decisiones.
4. Registros y evidencia objetiva
Aquí es donde más auditorías se complican. El auditor pide registros que demuestren lo que dices hacer: controles realizados, capacitaciones impartidas, productos liberados, proveedores evaluados. Sin registros, una afirmación es solo eso.
5. No conformidades y acciones correctivas
Revisa cómo tratas las quejas, los errores y las no conformidades internas: ¿las registras, analizas la causa raíz y cierras con acciones que evitan la repetición? Un sistema que nunca registra problemas no es perfecto, es invisible.
6. Mejora y revisión por la dirección
Finalmente, busca evidencia de que el sistema mejora con el tiempo: objetivos medidos, resultados de auditorías internas, y una revisión por la dirección que tome decisiones con datos.
Cómo prepararte: lista de verificación práctica
Esta es una lista de verificación orientada a ISO 9001, útil como base para llegar listo a tu auditoría:
- Documentación al día y coherente con cómo trabajas hoy (no con cómo trabajabas hace dos años).
- Política y objetivos definidos, comunicados y medibles.
- Auditoría interna realizada, con hallazgos y cierres documentados.
- Revisión por la dirección hecha y registrada, con decisiones tomadas.
- Registros de procesos clave disponibles y trazables.
- Quejas y no conformidades con análisis de causa y acciones correctivas cerradas.
- Personal informado: que cada quien sepa explicar su parte del proceso.
- Diagnóstico previo (gap analysis) para detectar brechas antes de la auditoría formal.
Si quieres dimensionar costos y tiempos del proceso completo, revisa cuánto cuesta certificarse en ISO 9001 y los detalles del proceso de certificación ISO 9001.
Errores comunes que generan no conformidades
- Documentar lo que "debería" pasar en lugar de lo que pasa. El auditor compara documento contra realidad.
- No tener registros que respalden las actividades. Sin evidencia, no hay cumplimiento demostrable.
- Objetivos que nadie mide. Una política sin seguimiento es solo un cartel.
- Acciones correctivas que tapan el síntoma sin atacar la causa raíz, lo que provoca reincidencia.
- Dirección ausente. Cuando el liderazgo no participa, el sistema no es sostenible y se nota en la auditoría.
Qué pasa si tienes no conformidades (mayores vs. menores)
Encontrar no conformidades no significa "reprobar". Lo que importa es su gravedad y cómo las resuelves.
Una no conformidad mayor es una falla que compromete la capacidad del sistema de cumplir su propósito —por ejemplo, un requisito de la norma que no se aplica del todo, o una ausencia total de registros en un proceso crítico. Las mayores deben corregirse y verificarse antes de que se emita el certificado.
Una no conformidad menor es un incumplimiento aislado que no compromete el sistema completo. Para cerrarlas suele bastar presentar un plan de acción correctiva en un plazo acordado; no detienen necesariamente la certificación. La clave en ambos casos es el análisis de causa raíz: el auditor evaluará no solo que corregiste, sino que evitarás la repetición.
¿No sabes con qué organismo auditarte? Lee primero cómo elegir una certificadora ISO confiable en México: la validez de tu certificado depende de la acreditación de quien lo emite.
Preguntas frecuentes
¿Qué revisa un auditor ISO en una pyme?
Lo mismo que en una empresa grande, pero a escala: que la dirección lidere el sistema, que los procesos clave estén definidos y se sigan, que se identifiquen y traten los riesgos, que existan registros que demuestren lo que dices hacer, y que las quejas y no conformidades se traten con acciones correctivas. No espera burocracia: espera evidencia de que el sistema funciona en la práctica.
¿Cuántas etapas tiene la auditoría de certificación ISO?
La auditoría inicial tiene dos etapas. La etapa 1 es una revisión documental y de preparación: el auditor verifica que el sistema esté documentado y que estés listo. La etapa 2 es la auditoría in situ, donde recoge evidencia de que el sistema se aplica realmente. Después hay seguimientos anuales y una recertificación cada tres años.
¿Qué diferencia hay entre una no conformidad mayor y una menor?
Una mayor es una falla que compromete la capacidad del sistema de cumplir su propósito y debe corregirse antes de emitir el certificado. Una menor es un incumplimiento aislado que no compromete el sistema completo; normalmente basta presentar un plan de acción correctiva en un plazo acordado.
¿Cómo preparo mi empresa para una auditoría ISO?
Ten la documentación al día, registros que demuestren que los procesos se siguen, evidencia de la revisión por la dirección y de una auditoría interna, y el tratamiento de quejas y acciones correctivas documentado. Una buena forma de llegar listo es hacer un diagnóstico previo (gap analysis) que identifique las brechas antes de la auditoría formal. ONCE puede realizar ese diagnóstico, que es independiente de la implementación.
Llega listo a tu auditoría
ONCE puede realizar un diagnóstico previo (gap analysis) que detecta tus brechas antes de la auditoría de certificación. Solicita una cotización o empieza con un autodiagnóstico.