A finales de mayo de 2026 se publicó la cuarta edición de la norma EN ISO 19011, que rediseña las directrices para la realización de auditorías de sistemas de gestión. El texto sustituye íntegramente a la edición de 2018 y refleja una evolución operativa en curso: la institucionalización de las auditorías remotas. Para los fabricantes de productos sanitarios, la norma representa el «estado del arte» metodológico para el seguimiento interno y de la cadena de suministro requerido por la ISO 13485:2016 y los reglamentos europeos MDR e IVDR.

Rol y relevancia de la ISO 19011 en el sector médico

Aunque es una norma voluntaria y no certificable, la ISO 19011 es la referencia metodológica internacional para planificar, gestionar y realizar auditorías – incluidos los criterios de muestreo – estructurando auditorías internas y de segunda parte (a proveedores) eficaces.

Para los fabricantes de productos sanitarios, asume un papel estratégico debido a su integración con las normativas vigentes. De hecho, aunque la norma ISO 13485:2016 solo cita la ISO 19011 como referencia, los Organismos Notificados la utilizan como «estado del arte» para evaluar la eficacia de los programas de auditoría corporativos. Además, dado que los Reglamentos Europeos MDR (UE) 2017/745 e IVDR (UE) 2017/746 exigen verificaciones continuas en la cadena de suministro y en los procesos clínicos, la ISO 19011 proporciona la metodología práctica para realizar inspecciones rigurosas, basadas en el riesgo y orientadas a los requisitos reales de seguridad y funcionamiento, respondiendo a las obligaciones legales.

Principales novedades de la ISO 19011:2026

La actualización introduce varios elementos que reflejan la evolución operativa de las organizaciones:

  1. Auditoría remota formalmente reconocida
    La auditoría a distancia se reconoce formalmente como modalidad operativa estándar. El Anexo A se ha ampliado para proporcionar directrices sobre la recopilación digital de evidencias a través de plataformas colaborativas, videoconferencias, sistemas en la nube y archivos electrónicos. Para los fabricantes, esto obliga al Sistema de Gestión de la Calidad a formalizar procedimientos, límites y criterios de uso de las auditorías remotas, garantizando el control y la seguridad de la documentación crítica como DHF, expedientes técnicos, DMR y registros de producción.
  2. Mayor atención a la seguridad de las evidencias digitales
     El aumento de las auditorías digitales conlleva nuevas expectativas en seguridad de la información. Se otorga la máxima relevancia a la confidencialidad, trazabilidad y control de acceso durante el intercambio de documentación crítica.
  3. Enfoque basado en el riesgo La planificación y realización de las auditorías se guían por el análisis de riesgos y oportunidades. La frecuencia, el muestreo y la selección de los procesos a auditar deben justificarse formalmente según la criticidad y el historial de desempeño. Ya no se trata de auditar solo «por calendario», sino donde el riesgo es mayor.
  4. Foco en el desempeño del sistema La revisión desplaza el foco desde la existencia formal de los procesos hacia su eficacia real. La auditoría debe verificar la capacidad del sistema para lograr los resultados previstos, analizando el desempeño, las tendencias y la prevención sistemática de desviaciones.
  5. Competencias de los auditores y auditorías integradas Los criterios de cualificación de los auditores internos incluyen ahora competencias digitales obligatorias para el análisis de registros electrónicos y datos en la nube en sustitución del papel, junto con habilidades blandas (soft skills) específicas para la gestión de entrevistas a distancia.
  6. Integración de los factores climáticos La norma incorpora las recientes modificaciones de la ISO relativas al cambio climático. Cuando sea relevante, los auditores deberán considerar si la organización ha evaluado el impacto de los factores climáticos en su sistema de gestión.
  7. Evaluación dinámica de proveedores La norma orienta la cualificación de proveedores hacia un modelo dinámico: además de calidad y cumplimiento, la evaluación debe incluir la resiliencia operativa y el impacto de las vulnerabilidades ambientales en la cadena de suministro.

Qué hacer ahora

Para alinearse con la nueva norma y cumplir con las expectativas de los Organismos Notificados, los fabricantes deberían:

  • Actualizar los procedimientos del SGC: Integrar reglas formales para la gestión de auditorías remotas, definiendo criterios de ciberseguridad y métodos de muestreo digital.
  • Recualificar a los auditores internos: Capacitar al equipo de auditoría en el uso de plataformas en la nube, validación de evidencias electrónicas y técnicas de auditoría a distancia.
  • Revisar la planificación: Recalibrar el programa de auditorías asignando más recursos y frecuencia a los procesos de mayor riesgo o a los proveedores críticos menos resilientes.
  • Criterios de ciberseguridad: Establecer protocolos corporativos estrictos para el intercambio seguro de datos (canales cifrados, plataformas validadas, accesos temporales y trazados) para proteger la propiedad intelectual y la documentación crítica (DHF, expedientes técnicos).

Por qué es una actualización estratégica

En el sector de los productos sanitarios, las normas voluntarias suelen anticipar las expectativas operativas del mercado y de los organismos de evaluación. Por eso, aunque la ISO 19011 no sea obligatoria, su actualización envía una señal clara: las auditorías están evolucionando hacia modelos más digitales, inteligentes y orientados a la prevención. Para los fabricantes, adaptarse significa reforzar la capacidad del sistema de calidad para identificar riesgos, ineficiencias y vulnerabilidades antes de que se conviertan en problemas regulatorios o de mercado.

>>> Complife ofrece consultoría y soporte completo para la correcta implementación de las normas ISO y la adaptación de su Sistema de Gestión de la Calidad, incluyendo formación interna (In-House Training).

FUENTE:
ISO 19011:2026 – Guidelines for auditing management systems