1. A norma que rege todas as auditorias acaba de mudar

No dia 27 de maio de 2026 a ISO publicou a nova edição da ISO 19011. É o documento que serve de base para todos os cursos de Auditor Líder do mundo, incluindo os da TIEXAMES. A nova versão cancela e substitui a ISO 19011:2018 e traz mudanças que afetam diretamente como auditorias de sistemas ISO serão planejadas e conduzidas a partir de agora.

Antes de qualquer outra coisa, duas informações para quem já é nosso aluno (ou está pensando em se formar). Seu certificado de Auditor Líder continua plenamente válido: a revisão é técnica e não invalida formações anteriores. E as próximas turmas dos nossos cursos de Auditor Líder já serão ministradas com base na ISO 19011:2026.

O artigo é longo porque o assunto pede. 

 

2. Por que a ISO 19011 precisou ser atualizada

Toda revisão de norma ISO responde a uma pressão do mundo real. A versão de 2018 foi escrita num cenário em que auditoria remota era exceção, algo mencionado de passagem no Anexo A como "auditoria de atividades e locais virtuais". Em 2020 com a pandêmia esse cenário virou de cabeça para baixo.

O gatilho imediato: a pandemia e o que veio depois

Durante a pandemia, organismos certificadores do mundo inteiro tiveram que conduzir auditorias por videoconferência, compartilhamento de tela, drones e plataformas digitais de evidência. O que era exceção virou rotina. Quando a pandemia passou, não se voltou ao modelo anterior. Muitas certificadoras descobriram que combinar visitas presenciais com etapas remotas é mais eficiente e, em muitos casos, igualmente eficaz.

O problema é que a ISO 19011:2018 não tinha vocabulário nem orientação estruturada para esse novo cenário. Faltava definição formal de "método de auditoria remoto". Não havia orientação sobre segurança de plataformas digitais durante auditoria, nem sobre planos de contingência tecnológica, nem sobre como avaliar a viabilidade considerando largura de banda, fuso horário e disponibilidade de TIC do auditado.

📋 O ponto de virada: ISO/IEC TS 17012:2024

Em 9 de julho de 2024 o ISO/CASCO publicou a ISO/IEC TS 17012:2024, uma Especificação Técnica específica sobre métodos de auditoria remota. O documento consolidou as melhores práticas globais de auditoria remota em sistemas de gestão. A partir dele, a revisão da 19011 virou uma necessidade técnica: o vocabulário da TS 17012 precisava ser incorporado à norma mãe de auditoria.

O segundo gatilho: a multiplicação dos sistemas de gestão

Desde a publicação da 19011:2018 surgiram (ou foram revisadas) várias normas de sistema de gestão relevantes: ISO/IEC 42001:2023 (Inteligência Artificial), ISO/IEC 27701 (Privacidade), ISO 37301 (Compliance), ISO 37001 revisada em 2025 (Antissuborno), além das revisões em curso da ISO 9001 e ISO 14001 em 2026. Hoje existem mais de 80 normas de sistema de gestão publicadas pela ISO.

Esse crescimento criou pressão por uma nova norma de auditoria mais genérica e mais explícita sobre auditorias combinadas. É uma situação cada vez mais comum: a mesma equipe audita ISO 27001 + ISO 27701 + ISO 22301 no mesmo cliente, ou ISO 9001 + ISO 14001 + ISO 45001 num sistema integrado. A versão 2018 já tratava disso, mas a 2026 amplia e esclarece.

O terceiro gatilho: a chegada da IA na sala de auditoria

Este ponto não aparece no Prefácio oficial da norma como uma das "principais mudanças", mas está no texto. A 19011:2026 incluiu, pela primeira vez, menção explícita a "ferramentas de avaliação baseadas em inteligência artificial" no rol de competências que um auditor precisa dominar. É o primeiro reconhecimento formal de que a IA já chegou ao processo de auditoria, seja na análise de logs em volume, seja na detecção de padrões em evidências documentais.

⚠️ O que o Prefácio oficial diz literalmente

Para ser preciso com o documento oficial: o Prefácio da ISO 19011:2026 lista apenas duas "principais mudanças" em relação à versão anterior:

  • Expansão da orientação sobre métodos de auditoria remota, com a introdução do conteúdo da ISO/IEC TS 17012;
  • Expansão do Anexo A com orientação sobre métodos de auditoria remota e localizações virtuais.

As outras mudanças que descrevo neste artigo (IA, segurança de dados, eventos externos afetando a auditoria) estão no corpo do texto, não no Prefácio. São mudanças substantivas, mas não foram destacadas como "principais" pela ISO.

 

3. O propósito da norma e a quem ela se aplica

A ISO 19011:2026 fornece orientação (não requisitos) sobre quatro pilares:

  • os princípios de auditoria;
  • a gestão de um programa de auditoria;
  • a condução de auditorias individuais, do contato inicial ao follow-up;
  • a competência dos auditores e como avaliá-la.

Por que ela é o documento de referência para qualquer auditor? Porque é o único documento internacional de consenso que padroniza como auditar qualquer sistema de gestão, independente da disciplina. Quando você faz um curso de Auditor Líder ISO 27001, ISO 22301, ISO 42001 ou qualquer outro, a abordagem ensinada é a da ISO 19011. O conteúdo de cada curso de auditor específico muda, mas a forma de auditar é sempre com base na 19011.

Vale o esclarecimento sobre o que a ISO 19011 não é: ela não estabelece requisitos para organismos certificadores. Para isso existe a  ISO/IEC 17021-1, que define requisitos para os organismos de certificação (OCs) acreditados. A 19011 é o guia para qualquer auditoria de sistema de gestão; a 17021-1 é específica para certificação de terceira parte acreditada. As duas se complementam, mas atendem propósitos distintos.

 

4. A que tipos de auditoria a ISO 19011:2026 se aplica

Esse ponto ainda gera confusão em formações menos rigorosas, e a nova versão é explícita sobre o tema. A tabela abaixo reflete o que está na Introdução oficial da norma 2026:

Tipo de auditoria Quem conduz Aplica-se a 19011:2026? Documento principal
Primeira parte
(auditoria interna)		 A própria organização sobre si mesma Sim, foco principal da norma ISO 19011:2026
Segunda parte
(auditoria de fornecedor)		 Cliente auditando fornecedor, ou outra parte interessada Sim, foco principal da norma ISO 19011:2026
Terceira parte para fins regulatórios Autoridades governamentais ou regulatórias Sim, orientação útil ISO 19011:2026 mais regulamentação setorial
Terceira parte para certificação acreditada Organismo de Certificação (OC) acreditado Aplica-se como orientação adicional ISO/IEC 17021-1 é o documento principal
Auditoria combinada Uma equipe auditando dois ou mais sistemas de disciplinas diferentes ao mesmo tempo (ex: 27001 e 27701) Sim, com tratamento ampliado em 2026 ISO 19011:2026
Auditoria conjunta
(joint audit)		 Duas ou mais organizações auditoras conduzindo a mesma auditoria no mesmo auditado Sim, com diretrizes de coordenação ISO 19011:2026

💡 Por que essa distinção importa para o auditor formado pela TIEXAMES

Os cursos de Auditor Líder da TIEXAMES formam profissionais para atuar em auditorias internas, auditorias de fornecedor e como auditor contratado por organismos certificadores. Em todos esses cenários, a ISO 19011 é o documento de referência metodológica. Quem vai atuar dentro de um OC acreditado tem na ISO/IEC 17021-1 um requisito adicional, mas a 17021-1 não substitui a 19011.

Um ponto novo da versão 2026 vale destaque: a Introdução agora deixa claro que o documento "adota a abordagem de auditoria combinada quando dois ou mais sistemas de gestão de diferentes disciplinas são auditados juntos" e que, quando esses sistemas estão integrados num único sistema de gestão, "os princípios e processos de auditoria são os mesmos de uma auditoria combinada (às vezes chamada de auditoria integrada)". É um reconhecimento formal de uma realidade cada vez mais comum no mercado: empresas que operam Sistemas Integrados de Gestão.

 

5. Como a norma está estruturada: seções e anexo

A estrutura da ISO 19011:2026 mantém o desenho de sete cláusulas da edição 2018. Quem já conhece a versão anterior se sente em casa com o sumário. O que mudou foi o conteúdo dentro de várias cláusulas, não a arquitetura geral.

Cláusula Conteúdo O que muda em 2026
1. Escopo Para que serve a norma e a quem se aplica Texto refinado, sem mudança estrutural
2. Referências normativas Documentos referenciados "Não existem referências normativas" continua valendo
3. Termos e definições 27 termos definidos Nova definição 3.4 (método de auditoria remota), importada da ISO/IEC TS 17012:2024. Várias definições agora referenciam ISO 9000:2026
4. Princípios de auditoria Os sete princípios Os 7 princípios da versão 2018 foram mantidos: integridade, apresentação justa, devido cuidado profissional, confidencialidade, independência, abordagem baseada em evidência e abordagem baseada em risco
5. Gerenciando um programa de auditoria Como planejar, implementar, monitorar e melhorar um programa Inclusão explícita de métodos remotos no planejamento. Novos riscos catalogados (segurança de TIC, seleção de método, contingência tecnológica)
6. Conduzindo uma auditoria Do contato inicial ao follow-up Avaliação de viabilidade agora considera "eventos locais, regionais ou globais" (pandemia, clima, geopolítica). Contingência tecnológica passa a ser exigida
7. Competência e avaliação de auditores O que se espera de um auditor Nova competência em TIC e ferramentas de IA. Nova competência em proteção de dados e segurança da informação

O Anexo A: orientação adicional para auditores

A norma tem um único anexo, o Anexo A (informativo), com orientação adicional sobre como planejar e conduzir auditorias. Ele se divide em 18 tópicos (A.1 a A.18), mantidos da versão 2018 mas bastante reforçados em 2026, especialmente nos pontos sobre métodos remotos:

  • A.1 — Aplicando métodos de auditoria: traz agora uma matriz combinando "presencial × remoto" com "interação humana × sem interação humana", com orientação sobre quando usar cada combinação.
  • A.2 a A.14: os tópicos clássicos (auditoria de processos, julgamento profissional, amostragem, compliance, contexto, liderança, riscos e oportunidades, ciclo de vida, cadeia de suprimento, fontes de informação) foram mantidos, com refinamentos pontuais.
  • A.15 — Visitando a localização do auditado: agora trata visitas presenciais como complemento das auditorias remotas, no formato híbrido.
  • A.16 — Usando métodos de auditoria remota: esta é a seção que mais cresceu. Na versão 2018 chamava-se "Auditoria de atividades e locais virtuais" e era curta. Em 2026 foi totalmente reescrita, com orientação sobre contingência tecnológica, proteção de dados, screenshots e gravações, ruídos de fundo e confidencialidade nas pausas.
  • A.17 — Conduzindo entrevistas: ganhou item específico sobre a limitação da comunicação não-verbal em ambientes virtuais, orientando o auditor a compensar com tipos específicos de pergunta.
  • A.18 — Constatações de auditoria: formato mantido, com refinamentos para auditorias combinadas.

✅ Boa notícia para quem está estudando

Quem conhece bem a estrutura da ISO 19011:2018 não precisa reaprender a norma. A arquitetura é a mesma. O que muda é a profundidade do tratamento da auditoria remota, a inclusão de competências digitais (TIC e IA) e alguns acréscimos no tratamento de riscos. É uma atualização, não uma reforma estrutural.

 

6. As mudanças técnicas que você precisa conhecer

A seguir, as principais alterações da ISO 19011:2018 para a ISO 19011:2026, com base na leitura do texto oficial em inglês.

6.1 Auditoria remota deixa de ser exceção e vira método de pleno direito

Esta é a mudança mais estruturante. Em 2018, "auditoria de atividades e locais virtuais" era um tópico do Anexo A. Em 2026, os métodos de auditoria remota:

  • recebem definição formal na Cláusula 3 (3.4), importada da ISO/IEC TS 17012:2024;
  • são tratados como decisão de desenho do programa de auditoria (Cláusula 5), não apenas de execução;
  • passam a constar da avaliação de viabilidade da auditoria (6.2.3);
  • ganham seção própria expandida (A.16), com orientação sobre contingência, segurança de dados e gestão de screenshots e gravações;
  • são reconhecidos como combináveis com métodos presenciais numa mesma auditoria, configurando a auditoria híbrida.

6.2 Auditoria híbrida vira categoria oficial

A nova matriz do Anexo A.1 deixa explícito que uma auditoria pode combinar atividades no local e remotas simultaneamente: "If an audit involves the use of an audit team with multiple members, both on-site and remote auditing methods can be used simultaneously". O texto reconhece formalmente uma situação que já era prática no mercado: um membro da equipe pode estar no chão de fábrica enquanto outro analisa documentação remotamente, ambos na mesma auditoria.

6.3 Localização virtual entra no escopo

A Cláusula 3.6 (audit scope) agora inclui nota afirmando que o escopo "geralmente inclui uma descrição das localizações físicas e virtuais". A definição de localização virtual aponta para o ambiente online onde uma organização realiza trabalho ou presta serviço, permitindo que pessoas executem processos independente de localizações físicas. Ou seja: ambientes de nuvem, plataformas SaaS, workspaces digitais. Tudo isso pode (e deve) estar no escopo da auditoria.

6.4 Nova competência obrigatória: TIC e ferramentas de IA

Na versão 2018, a lista de habilidades genéricas do auditor (item 7.2.3.2.a) tinha 14 itens. Em 2026 ela ganhou itens novos, e o mais relevante é este:

📋 Texto literal da nova competência (ISO 19011:2026, 7.2.3.2.a.10)

"Compreender a adequação e as consequências do uso de ferramentas de tecnologia da informação e comunicação, bem como de tecnologias emergentes, para conduzir auditorias (por exemplo, ferramentas de avaliação baseadas em inteligência artificial)."

É o primeiro reconhecimento formal pela ISO de que a IA já faz parte do toolkit do auditor. A norma não obriga o uso da IA, mas exige o entendimento crítico: o auditor competente precisa saber quando essas ferramentas são apropriadas e quais são suas limitações.

6.5 Nova competência obrigatória: proteção de dados e segurança da informação

No item 7.2.3.2.d (requisitos estatutários e regulamentares), a versão 2018 listava três conhecimentos: requisitos estatutários e regulamentares e suas agências, terminologia legal básica, contratação e responsabilidade. A versão 2026 acrescenta um quarto: "proteção de dados e segurança da informação". É o impacto direto de LGPD e GDPR sobre qualquer auditoria moderna.

6.6 Riscos do programa de auditoria ficaram mais detalhados

A Cláusula 5.3 lista riscos associados a um programa de auditoria. A versão 2026 adicionou novos itens em relação a 2018:

  • seleção do método de auditoria (risco de escolher remoto ou presencial de forma inadequada para o objetivo da auditoria);
  • segurança dos métodos de tecnologia da informação e comunicação (risco de plataforma de auditoria mal selecionada ou insegura);
  • disponibilidade de auditores (perda ou indisponibilidade durante a execução);
  • cooperação do auditado e disponibilidade de evidência para amostragem;
  • implementação que não considere segurança da informação e confidencialidade.

6.7 Viabilidade da auditoria agora considera eventos externos

Na Cláusula 6.2.3, a determinação de viabilidade da auditoria ganhou um item explícito: "eventos ou circunstâncias locais, regionais ou mundiais que afetariam a auditoria agendada". É o aprendizado direto da pandemia, mas o item abre espaço também para eventos climáticos, geopolíticos ou de segurança local.

6.8 Tratamento explícito da confidencialidade de informação eletrônica

Na Cláusula 6.2.2 (Estabelecendo contato com o auditado), o auditor líder agora deve confirmar com o auditado o acordo sobre "a extensão da divulgação e o tratamento (por exemplo, armazenamento, transferência e liberação) de informação confidencial". Numa auditoria remota em que evidências trafegam por screenshots, uploads e plataformas de videoconferência, esse acordo formal virou essencial.

6.9 Auditorias combinadas e integradas: tratamento ampliado

A Introdução da 2026 deixa claro que o documento "adota a abordagem de auditoria combinada quando dois ou mais sistemas de gestão de diferentes disciplinas são auditados juntos". Quando esses sistemas estão integrados num único sistema de gestão, "os princípios e processos de auditoria são os mesmos". O A.18.4 ganhou orientação específica sobre como lidar com constatações que envolvem múltiplos critérios em auditorias combinadas.

💡 Por que isso interessa a quem audita 27001 + 27701 + 22301

Muitas empresas brasileiras hoje implementam ISO 27001 (segurança da informação), ISO 27701 (privacidade) e ISO 22301 (continuidade de negócios) como um sistema integrado. As três normas compartilham boa parte da estrutura, da governança e dos controles, então auditar em conjunto economiza tempo e reduz inconsistências. A 19011:2026 reconhece formalmente essa realidade e orienta como auditar de forma combinada.

6.10 Os 7princípios continuam exatamente os mesmos

Aqui não houve mudança: integridade, apresentação justa, devido cuidado profissional, confidencialidade, independência, abordagem baseada em evidência e abordagem baseada em risco. Os sete princípios da versão 2018 foram mantidos. A redação de alguns foi refinada para deixar mais clara a aplicação em contextos digitais, mas a essência é a mesma.

 

7. O que muda para quem já se formou pela TIEXAMES

É a pergunta que motiva a maioria dos e-mails que chegam aqui na escola desde que a nova versão foi anunciada. Resposta direta:

✅ Seu certificado de Auditor Líder continua plenamente válido

Você se formou em em curso recente de Auditor Líder pela TIEXAMES? Seu certificado continua válido desde que a norma do sistema de gestão associado continua válida tamb´pem. A ISO 19011 é um documento de orientação (não certificável) e a revisão foi técnica. Formações anteriores não foram invalidadas. A própria Exemplar Global, que credencia os nossos certificados, não exige revalidação por mudança de versão da 19011.

Mas é hora de atualizar, e por motivos práticos

O mercado vai exigir conhecimento da versão 2026, especialmente nestes cenários:

  • Se você atua em organismos certificadores: as certificadoras estão adaptando seus procedimentos para a 19011:2026, especialmente em auditorias remotas e híbridas. Vai precisar dominar a nova abordagem nos próximos 6 a 12 meses.
  • Se você é auditor interno corporativo: empresas com SGSI ou SGI maduros já estão atualizando seus procedimentos internos. Você vai liderar essa atualização.
  • Se você presta consultoria em preparação para certificação: o gap analysis e a auditoria interna precisam refletir o novo padrão, especialmente em viabilidade de auditoria remota e segurança de dados em ambiente digital.
  • Se você usa ferramentas digitais ou IA em auditorias: agora há referência normativa explícita a essas práticas, e com ela a expectativa de que o auditor saiba quando elas são apropriadas, não apenas que saiba usá-las.

O que muda na prática para uma auditoria típica

Para quem vai conduzir uma auditoria de ISO/IEC 27001 a partir de agora, o que muda no dia a dia:

Atividade Antes (19011:2018) Agora (19011:2026)
Definir método (presencial ou remoto) Decisão tardia, geralmente no momento do agendamento Decisão de desenho, já no programa de auditoria, com base em risco e viabilidade
Documentar escopo Locais físicos descritos Locais físicos e virtuais descritos (inclui ambientes cloud, SaaS, etc.)
Contato inicial com auditado Confirmar comunicação, escopo, agenda Confirmar também o acordo sobre tratamento de informação eletrônica (armazenamento, transferência, liberação)
Avaliar viabilidade Cooperação do auditado, tempo, recursos, informação Os mesmos itens, mais eventos locais, regionais ou mundiais, e disponibilidade de TIC adequada
Conduzir entrevistas Foco em comunicação verbal e não-verbal Em ambiente virtual: foco compensatório no tipo de pergunta, já que a não-verbal é limitada
Plano de contingência Pouco mencionado Obrigatório para auditorias remotas: queda de conexão, falha de plataforma, tecnologia alternativa
Competência esperada 14 habilidades genéricas 16 habilidades, incluindo TIC, IA e proteção de dados

"Você não precisa refazer a formação. Mas precisa atualizar a metodologia. A diferença entre o auditor que se atualiza e o que não se atualiza aparece na próxima auditoria remota, quando o cliente perguntar: 'você tem plano de contingência se a conexão cair?'"

Como se atualizar

Três caminhos práticos:

  1. Leitura direta do texto oficial. A ISO 19011:2026 está disponível em inglês no site da ISO (iso.org/standard/88984.html) por CHF 196. A ABNT NBR ISO 19011:2026 (versão brasileira) deve sair entre o final de 2026 e 2027, pelo histórico de ciclos anteriores.
  2. Leitura complementar da ISO/IEC TS 17012:2024. É o documento sobre métodos remotos. A leitura conjunta com a 19011:2026 fecha o quadro.
  3. Participar de masterclass de atualização. A TIEXAMES está oferecendo uma masterclass gratuita específica sobre o tema (detalhes na próxima seção).
 

8. Como serão as próximas turmas

A TIEXAMES já iniciou a atualização dos materiais didáticos de todos os cursos de Auditor Líder. As próximas turmas (a partir desse anúncio) serão ministradas com base na nova versão.

O que muda nas turmas a partir de agora

  • Módulo de auditoria com base na 19011:2026: o módulo de prática de auditoria será totalmente revisado, especialmente no tratamento de métodos remotos e híbridos.
  • Nova abordagem sobre ferramentas digitais: discussão crítica sobre o uso de IA e ferramentas TIC durante a auditoria, alinhada com a expectativa da norma 2026.
📅 1º de junho de 2026 💻 Ao vivo pelo Zoom 🆓 Inscrição gratuita

ISO 19011:2026 — o que muda para Auditores Líderes

Apresentação ao vivo sobre as principais mudanças da nova versão, com foco em auditorias remotas e híbridas, nas novas competências exigidas e em como a 19011:2026 impacta auditorias de sistemas de gestão ISO. 

Inscrever-se na masterclass →

Vagas limitadas. Confirmação por e-mail após a inscrição