ISO 19011:2026: o que mudou na norma que rege toda auditoria de sistema de gestão (e por que você já está sob as novas regras)
A ISO 19011, norma que orienta toda auditoria de sistema de gestão, ganhou sua quarta edição em maio de 2026. Por ser norma de diretrizes, não tem período de transição: vale desde a publicação. As mudanças mais relevantes estão em auditoria remota e híbrida, locais virtuais, confiabilidade da evidência digital e competência digital do auditor.
No dia 27 de maio de 2026, a ISO publicou a quarta edição da ISO 19011 - Diretrizes para auditoria de sistemas de gestão (46 páginas, elaborada pelo comitê ISO/PC 302). Ela cancela e substitui a versão de 2018.
E aqui está o detalhe que a maioria ainda não percebeu: por ser uma norma de diretrizes, e não de requisitos certificáveis, a ISO 19011:2026 não tem período de transição. Não existe aquele prazo de três anos para se adequar. A orientação vale a partir da publicação. Quem conduz, planeja ou supervisiona auditorias já está, hoje, sob a nova referência.
Se você audita, ou contrata quem audita, um sistema de gestão, este artigo é o mapa do que mudou. Vamos do panorama ao detalhe. E no fim você vai entender por que, em setores regulados como o de dispositivos médicos, essa atualização é bem mais do que um ajuste editorial.
O que é a ISO 19011, e por que ela está em todo lugar?
A ISO 19011 é a norma que ensina como auditar. Enquanto a ISO 9001, a ISO 13485 ou a ISO 14001 dizem o que o sistema de gestão precisa ter, a 19011 diz como conduzir a auditoria desse sistema: como montar o programa, selecionar auditores, planejar, coletar evidência, relatar e acompanhar.
Ela é a base das auditorias internas (1ª parte) e das auditorias de fornecedor (2ª parte) de praticamente qualquer sistema de gestão. Por isso, quando a 19011 muda, a forma de auditar muda em todos os setores ao mesmo tempo.
A boa notícia para quem já domina a versão 2018: a estrutura foi mantida. Continuam as sete cláusulas e os sete princípios de auditoria: integridade, apresentação justa, devido cuidado profissional, confidencialidade, independência, abordagem baseada em evidência e abordagem baseada em risco. A 2026 é uma revisão técnica: atualiza o conteúdo interno, não reescreve a fundação. Você não precisa reaprender a auditar, precisa recalibrar onde a norma elevou o sarrafo. E são mudanças de conteúdo que pesam mais do que o rótulo "revisão técnica" sugere.
O que mudou na ISO 19011:2026?
Em resumo, o que separa as duas edições, ponto a ponto:
| Tema | ISO 19011:2018 | ISO 19011:2026 |
|---|---|---|
| Auditoria remota | Orientação pontual, quase um apêndice | Método formal, definido na norma e alinhado à ISO/IEC TS 17012:2024 |
| Locais virtuais | Não tratados | Reconhecidos como local auditável (nuvem, SaaS, plataformas digitais) |
| Evidência digital | Pouco detalhada | Confiabilidade, rastreabilidade e registro da coleta passam a ser exigidos |
| Competência do auditor | Foco técnico e normativo | Inclui competência digital, cibersegurança e comunicação remota |
| Abordagem baseada em risco | Introduzida (7º princípio) | Reforçada por toda a gestão do programa |
| Cadeia de suprimentos | Tratamento limitado | Ênfase em terceirização e onde controles são de fato geridos |
| Anexo A | Métodos de auditoria gerais | Expandido com métodos remotos, híbridos e locais virtuais |
1. Auditoria remota e híbrida: de exceção a método que se projeta
Esta é a mudança de maior impacto. Na edição 2018, a auditoria remota era praticamente um apêndice. Na 2026, ela é incorporada a todo o ciclo da auditoria.
A norma passa a trazer uma definição formal de "método de auditoria remota", alinhada à ISO/IEC TS 17012:2024, a especificação técnica dedicada ao uso de métodos de auditoria remota. E o Anexo A foi expandido com orientação prática sobre métodos remotos, híbridos e a gestão de locais virtuais.
Mais importante que a definição: a escolha entre presencial, remoto ou híbrido deixou de ser uma decisão de execução e passou a ser uma decisão de desenho do programa de auditoria (Cláusula 5). A leitura que se consolidou entre os organismos de auditoria é direta: a auditoria remota deixou de ser algo que se executa e passou a ser algo que se projeta, do desenho do programa até como as constatações são relatadas. O próprio programa precisa declarar quais métodos serão usados.
2. Locais virtuais entram oficialmente no escopo
A 2026 reconhece formalmente os locais virtuais: ambientes online onde a organização executa processos ou presta serviços, como sistemas em nuvem, plataformas SaaS e workspaces digitais.
Em muitas organizações, boa parte da operação já não acontece num chão de fábrica tradicional. A norma orienta o auditor a tratar esse ambiente digital como um local auditável de verdade: com processo, responsável e evidência próprios.
3. Evidência digital: confiabilidade virou exigência
A norma reforça um princípio antigo, agora com peso: só é evidência de auditoria a informação que pode ser verificada. E vai além: o auditor deve avaliar a confiabilidade da evidência, garantir que ela seja específica e rastreável e registrar como ela foi obtida, exigência que pesa ainda mais quando a coleta é remota.
Na prática, isso significa critério para o que antes era informal: uma captura de tela sem contexto, uma gravação sem consentimento ou um registro eletrônico coletado sem rastro não sustentam mais uma constatação.
4. Competência do auditor: o digital deixou de ser opcional
A Cláusula 7, de competência, foi ampliada. O auditor de 2026 precisa demonstrar habilidades em auditoria remota e híbrida, avaliação de evidência digital, consciência de cibersegurança e comunicação em ambientes digitais, além de saber julgar a adequação das ferramentas de tecnologia usadas, incluindo tecnologias emergentes de apoio à auditoria.
O recado é direto: conhecimento normativo já não basta. Sem competência digital e critério sobre a evidência eletrônica, o auditor não acompanha a norma.
5. Risco reforçado em todo o programa
A abordagem baseada em risco, que já constava da 2018, foi reforçada e espalhada pela gestão do programa de auditoria. A seleção do método (remoto, presencial ou híbrido), a segurança das plataformas usadas e a continuidade da auditoria diante de imprevistos passam a ser tratadas como questões de risco, pensadas no planejamento, não improvisadas no dia.
6. Cadeia de suprimentos e terceirização entram no foco
A 2026 reconhece a complexidade crescente de operações interligadas e terceirizadas. A norma reforça a avaliação da organização dentro da cadeia de suprimentos e a compreensão de onde decisões importantes, controles e funções terceirizadas são de fato geridos - não apenas dentro dos muros da própria empresa.
Para quem audita fornecedor, é uma elevação de régua direta: o auditor precisa enxergar o processo onde ele de fato acontece, mesmo quando parte dele foi terceirizada.
O que a ISO 19011:2026 muda para quem audita dispositivos médicos?
Tudo o que você leu até aqui vale para qualquer sistema de gestão. Mas existe um setor onde essas mudanças não são melhoria de processo, são risco regulatório direto: o de dispositivos médicos e produtos para a saúde.
Pense em quem audita sob ISO 13485, MDSAP, MDR 2017/745 ou RDC 665 da ANVISA. Para esse profissional, cada mudança da 19011:2026 tem uma consequência concreta:
- Auditoria remota num fabricante de dispositivo médico não é conveniência, é coisa que reguladores como FDA, ANVISA, Health Canada, TGA e PMDA (os cinco do MDSAP) observam com lupa. Escolher mal o método ou coletar evidência remota sem critério pode comprometer todo o resultado da auditoria.
- Evidência verificável dialoga diretamente com integridade de dados (os princípios ALCOA+ que o setor já conhece de GMP). Um registro eletrônico coletado de forma frágil não sobrevive a uma auditoria regulatória.
- Proteção de dados e segurança da informação num ambiente que lida com dados clínicos e de produção é tema de não-conformidade séria, não de boa prática opcional.
- Pensamento baseado em risco conversa com a ISO 14971 (gestão de risco de dispositivos médicos) que esses profissionais já aplicam.
Em outras palavras: a ISO 19011:2026 acabou de elevar o sarrafo justamente nos pontos em que a auditoria de dispositivos médicos é mais sensível. E o custo de errar aqui não é uma observação no relatório, é atraso de certificação, mercado travado, recall ou suspensão.
Resumo honesto: a versão 2026 não é difícil de entender. O difícil é aplicá-la bem num ambiente regulado, onde cada decisão de método, evidência e proteção de dados tem peso de auditoria oficial. É aí que a diferença entre saber a norma e dominar a auditoria aparece.
O que fazer agora com a ISO 19011:2026?
Se você é auditor ou profissional da qualidade: revise seu programa de auditoria à luz das cláusulas 5, 6 e 7. Suas competências de TIC, evidência digital e proteção de dados estão no nível que a norma agora exige?
Se você é gestor ou diretor: sua equipe de auditoria interna e seus auditores de fornecedor já estão operando sob a 19011:2026? Uma auditoria conduzida na régua antiga, num setor regulado, é um risco que custa caro.
Se você quer entrar na área: este é o melhor momento. Quem domina a versão nova largando na frente vale mais no mercado do que quem vai correr atrás depois.
Para aprofundar
Este artigo cobriu o panorama. A aplicação da ISO 19011:2026 na auditoria de dispositivos médicos e ambientes regulados (com MDSAP, ISO 13485, MDR e RDC 665) é um terreno mais profundo, onde cada mudança da norma encontra exemplos práticos e os erros mais comuns que geram constatação.
É exatamente esse recorte que a HSC trabalha de forma estruturada na formação dedicada à norma. Quer conversar sobre como aplicar a 19011:2026 na sua operação regulada?
A ISO 19011:2026 não é difícil de entender. O desafio está em aplicá-la bem num ambiente regulado, onde cada decisão de método, evidência e proteção de dados carrega peso de auditoria oficial. É nesse ponto que a diferença entre conhecer a norma e dominar a auditoria realmente aparece.
A HSC Global é referência nesse terreno: única RTP certificada pela Exemplar Global para MDSAP no Brasil, com liderança de passagem pela BSI e atuação dedicada ao setor de dispositivos médicos.
Para quem quiser se aprofundar na norma de forma estruturada, a HSC mantém a formação Atualização ISO 19011:2026 (24h, ao vivo, com certificação Exemplar Global). Gostaria de conhecer o treinamento?
"O mesmo certificado. Uma autoridade diferente por trás dele."
Perguntas frequentes sobre a ISO 19011:2026
Quando a ISO 19011:2026 foi publicada?
A quarta edição foi publicada em 27 de maio de 2026 e cancela e substitui a ISO 19011:2018 (terceira edição).
A ISO 19011:2026 tem período de transição?
Não. Por ser uma norma de diretrizes, e não de requisitos certificáveis, ela não tem prazo de transição: a orientação vale a partir da publicação.
A ISO 19011 é uma norma certificável?
Não. Ela orienta como conduzir auditorias de sistema de gestão (auditorias internas e de fornecedor). A certificação de organismos segue a ISO/IEC 17021-1; a 19011 é a referência de boa prática para a auditoria de 1ª e 2ª partes.
O que mais mudou da ISO 19011:2018 para a 2026?
As mudanças de maior peso são: auditoria remota e híbrida como método formal (alinhada à ISO/IEC TS 17012:2024), reconhecimento dos locais virtuais, exigência de confiabilidade da evidência digital, ampliação da competência do auditor (digital e cibersegurança), reforço da abordagem baseada em risco e maior foco em cadeia de suprimentos e terceirização.
A ISO 19011:2026 muda algo para a auditoria de dispositivos médicos?
Sim, na prática. Em auditorias sob ISO 13485, MDSAP, MDR ou RDC 665, as decisões de método remoto, a integridade da evidência e a proteção de dados passam a carregar peso direto de auditoria regulatória.
Fontes e referências
- ISO - ISO 19011:2026 - Guidelines for auditing management systems (4ª edição). iso.org/standard/88984.html
- ISO/IEC - ISO/IEC TS 17012:2024 - Conformity assessment: Guidelines for the use of remote auditing methods in auditing management systems. iso.org/standard/84718.html
- CQI | IRCA - ISO 19011:2026 revision: guidance for management system auditing. quality.org
- TRECCERT - ISO 19011:2026 Is Here: What the New Standard Means for Management System Auditing. treccert.com
- Auditor Training Online - ISO 19011:2026 and the Shift from Conducting Audits to Designing Them. blog.auditortrainingonline.com
Conteúdo informativo baseado em fontes públicas sobre a ISO 19011:2026, consultadas em junho de 2026. Para fins de aplicação, consulte a norma oficial na íntegra.
Mais qualidade para você acompanhar
Cada artigo da nossa trilha conecta o que mudou na regulação ao que isso muda no seu dia.
QualidadeQualidade da Evidência na Avaliação Clínica: o que reguladores realmente exigem
Nem todo dado clínico é evidência. Entender essa distinção é o que separa um dossiê aprovado de uma exigência que paralisa o seu registro.
QualidadeISO 10993-1:2025 Foi Oficialmente Publicada: A Revolução na Avaliação Biológica de Dispositivos Médicos Chegou ao Brasil
A sexta edição da ISO 10993-1, a norma mais importante para avaliação biológica de dispositivos médicos, foi publicada em novembro de 2025 e muda fundamentalmente como avaliamos a segurança biológica.