Las Interpretaciones Sancionadas de las Reglas IATF, 6.ª Edición, de noviembre de 2025 brindaron orientación adicional sobre la aplicación de los requisitos existentes.
En las auditorías, el impacto real se muestra en cómo los auditores interpretan y aplican las expectativas aclaradas, dónde tienden a surgir las brechas en la documentación y la evidencia, y cómo el pensamiento basado en el riesgo impulsa cada vez más el enfoque y la profundidad de la auditoría.
Para ir más allá del texto de las actualizaciones en sí, hablamos con Jorge Correa , Gerente del Sector Automotriz en DQS Inc. En esta función, Jorge trabaja en estrecha colaboración con organizaciones automotrices y equipos de auditoría, lo que le brinda una visión práctica de cómo se aplican las expectativas actuales de IATF y dónde las organizaciones enfrentan los mayores desafíos.
En lugar de repetir los cambios, Jorge compartió su perspectiva sobre en qué se están centrando los auditores, donde las organizaciones tienden a subestimar las expectativas y dónde surgen con mayor frecuencia las deficiencias de implementación. Los siguientes puntos destacados reflejan sus observaciones de auditorías recientes e interacciones con clientes.
Para obtener una descripción detallada de las Reglas de Certificación de la IATF, 6.ª edición, y los cambios estructurales clave que ya están en vigor, los lectores pueden consultar nuestro blog publicado anteriormente, Cambios clave en las reglas de certificación de la IATF, sexta edición, así como la orientación oficial disponible a través de Grupo de Trabajo Internacional sobre Automoción (IATF)
Una de las áreas de mayor énfasis en las últimas interpretaciones aprobadas por la IATF es la planificación de contingencias. Si bien el requisito en sí no es nuevo, las expectativas en torno a... alcance, pruebas y evidencia Se han vuelto más explícitos y ahora se evalúan con mayor rigor durante las auditorías.
En particular, las recientes revisiones de interpretación y prácticas de auditoría sancionadas por la IATF enfatizan cada vez más escenarios que antes estaban implícitos pero no claramente enunciados, en particular las pandemias y las disrupciones relacionadas con el ciberespacio.
Lo que está atrayendo cada vez más atención en las auditorías no es simplemente si estos riesgos están enumerados en un plan de contingencia, sino si las organizaciones pueden demostrar que sus planes son Probado y procesable .
Los auditores buscan cada vez más evidencia de que las pruebas conducen al aprendizaje y la mejora más allá de la finalización de un ejercicio.
"Necesitan algún tipo de informe o evidencia objetiva equivalente que muestre qué tipo de pruebas realizaron y, en función de los resultados de esas pruebas, qué medidas tomaron".
Según Jorge Correa, un desafío común es que las organizaciones a menudo realizan actividades significativas pero no logran documentarlas completamente ni conectarlas con la toma de decisiones basada en riesgos.
"A veces no se atribuyen el mérito o no documentan las cosas que han hecho".
Para las organizaciones que se preparan para próximas auditorías, esto significa que la contingencia se evalúa como un proceso vivo, que refleja los riesgos actuales, incorpora pruebas realistas y demuestra seguimiento.
Otra área en la que las organizaciones están viendo una mayor atención de auditoría es ciberseguridad Si bien la ciberseguridad ha sido parte de las discusiones del IATF durante algún tiempo, las últimas interpretaciones refuerzan que ya no se la considera una preocupación aislada de TI.
En cambio, ciberseguridad se evalúa cada vez más como una riesgo operativo y de continuidad del negocio , en particular cuando están involucrados equipos de fabricación, sistemas de producción o tecnologías conectadas.
Como Jorge Correa explica, “Los ciberataques son un área en constante evolución… y probablemente se necesite una revisión más frecuente para asegurar que todos estén al día”.
Desde una perspectiva de auditoría, se espera que las organizaciones demuestren un conocimiento y una revisión constantes de los riesgos cibernéticos. Los auditores buscan evidencia de que ciberseguridad Las consideraciones se integran en un análisis de riesgos más amplio y en una planificación de contingencias, especialmente cuando las interrupciones podrían afectar la conformidad o la entrega del producto.
Para las organizaciones, esto refuerza el hecho de que la ciberseguridad ya no se evalúa únicamente a través de políticas o controles de TI. Se considera cada vez más desde la perspectiva de... Pensamiento basado en riesgos, impacto operativo y preparación , con expectativas de que las revisiones sean actuales, relevantes y estén conectadas con escenarios del mundo real.
Según Jorge Correa , Este es un área donde muchas organizaciones generan riesgos de auditoría involuntariamente. En la práctica, las organizaciones pueden estar abordando problemas, realizando pruebas o ajustando controles, pero sin documentación consistente o evidencia objetiva equivalente, es difícil validar dichos esfuerzos durante una auditoría.
“Un cliente dirá: “Vale, sí, estamos haciendo esto”, pero realmente no tiene la información para respaldarlo”.
Esta desconexión suele hacerse más visible en áreas de mayor riesgo, donde los auditores esperan una conexión más clara entre la identificación de riesgos, las medidas correctivas y el seguimiento. Cuando dicha conexión no existe, las no conformidades son más probables, incluso cuando la intención o el esfuerzo subyacentes son sólidos.
Para las organizaciones que se preparan para auditorías, el mensaje es sencillo: La buena intención no es suficiente Lo que importa es la capacidad de demostrar la toma de decisiones, la acción y la eficacia de una manera que se alinee con las expectativas basadas en el riesgo y los requisitos de evidencia de auditoría.
Un hilo conductor que recorre las últimas interpretaciones del IATF es un mayor énfasis en el pensamiento basado en el riesgo como motor práctico del enfoque y la profundidad de la auditoría.
Se espera que los auditores prioricen el tiempo y el escrutinio en función de dónde hay mayores riesgos y dónde históricamente han ocurrido problemas de desempeño.
Como observa Jorge Correa, este cambio ya está creando una distinción clara entre las organizaciones que cumplen los requisitos mínimos y aquellas que gestionan el riesgo de forma proactiva.
“Ves dos tipos de organizaciones: algunas harán lo mínimo para cumplir y otras irán más allá”.
Desde una perspectiva de auditoría, esto significa que se presta mayor atención a los procesos con mayor riesgo, menor desempeño o mayor impacto potencial en la conformidad y la entrega del producto.
“La IATF siempre busca asegurarse de que las organizaciones sean muy conscientes de cuáles son sus riesgos”.
En lugar de tratar todos los procesos por igual, se espera cada vez más que las organizaciones demuestren cómo... establecer prioridades , asignar recursos y ajustar los controles en función de las tendencias de riesgo y rendimiento.
Concéntrate en tu mayor riesgo. Concéntrate en tus áreas de bajo rendimiento.
El pensamiento basado en riesgos ya no es un principio teórico. Es una perspectiva práctica a través de la cual se planifican, realizan y evalúan las auditorías, y que permite diferenciar cada vez más los sistemas sólidos de los débiles.
Las últimas interpretaciones sancionadas por la IATF no cambian fundamentalmente lo que las organizaciones deben hacer, pero sí cambian la claridad y consistencia con la que se aplican las expectativas en las auditorías.
En la planificación de contingencias, la ciberseguridad, la documentación y el pensamiento basado en riesgos, el mensaje es consistente: se espera que las organizaciones comprendan sus riesgos, establezcan prioridades de manera efectiva y demuestren seguimiento con evidencia objetiva.
Para organizaciones certificadas por IATF y aquellos que estén considerando la certificación El comienzo del éxito se define al contar con procesos y procedimientos comerciales establecidos y darse cuenta de cuándo esos procedimientos se utilizan de manera efectiva para gestionar el riesgo del mundo real e impulsar la mejora continua.
Además de desarrollar atractivas soluciones de aprendizaje, Megan forma a instructores y entrena a presentadores para mejorar su rendimiento y garantizar que realicen presentaciones impactantes y eficaces. El desarrollo de sus cursos hace hincapié en la consecución de los resultados de aprendizaje deseados, aplicando un diseño limpio y centrado en el usuario, y proporcionando una experiencia agradable y eficaz a los alumnos.
