NC mayor no significa "el certificado se pierde". NC menor no significa "podemos ignorar". La lectura precisa es decisional.
Un informe de auditoría no es un veredicto. Es una herramienta de decisión — si se sabe leer.
Audiencia: Director ejecutivo, comité de auditoría, dueño del proceso auditado
Cuando un informe de auditoría aterriza en el comité de dirección, la reacción típica oscila entre minimizar (operativo) y dramatizar (legal). Ambas son malas lecturas. El informe es una herramienta de decisión — estructurada bajo ISO 19011 — que permite priorizar inversión, recursos y comunicación.
Esta guía describe la estructura formal del informe, la diferencia operativa entre los tipos de hallazgo, el marco de respuesta institucional, y los cinco criterios para escalar al comité de auditoría.
Un informe completo bajo ISO 19011 incluye: identificación del cliente y alcance auditado, equipo auditor con credenciales, objetivos y criterios de auditoría, resumen de las actividades realizadas, hallazgos clasificados, conclusiones, recomendaciones (opcionales — no todas las auditorías las emiten), declaración de imparcialidad, distribución y confidencialidad.
La parte de hallazgos es la operativa. Cada hallazgo debe tener: descripción de la evidencia muestreada, identificación de la cláusula o requisito incumplido, clasificación (mayor / menor / observación), referencia documental.
Una no conformidad mayor (NC mayor) representa una ausencia o falla completa en un requisito del sistema, o una situación que pone en riesgo significativo la capacidad del sistema de cumplir su política. Ejemplos típicos: ausencia de proceso documentado para una cláusula obligatoria, ausencia total de evidencia de revisión por la dirección, falla sistémica en un proceso crítico que afecte múltiples áreas.
Implicación regulatoria: una NC mayor en auditoría inicial impide la emisión del certificado hasta cierre verificado. Una NC mayor en auditoría de seguimiento puede suspender la certificación si no se cierra en el plazo acordado (típicamente 90 días con plan, hasta 12 meses si requiere implementación profunda).
Implicación interna: requiere intervención directa de la dirección, presupuesto asignado, dueño del cierre con autoridad, y revisión por el comité de auditoría.
Una no conformidad menor (NC menor) representa una falla aislada, no sistémica, en el cumplimiento de un requisito. Ejemplos típicos: un registro no completado en una muestra, un procedimiento documentado pero con una versión obsoleta en uso, una inconsistencia entre lo declarado y lo observado en un área específica.
Implicación regulatoria: no impide la certificación o recertificación. Requiere plan de acción documentado y cierre en plazo (típicamente 90 días).
Implicación interna: gestionable a nivel operativo. Pero el patrón de múltiples NC menores en el mismo proceso es señal de NC mayor latente — el comité debe pedir análisis transversal.
Una observación es una oportunidad de mejora identificada por el auditor que no constituye incumplimiento formal. Ejemplos: redundancia en un procedimiento, uso de práctica antigua cuando una mejor está disponible, oportunidad de eficiencia.
Implicación regulatoria: ninguna. No requiere cierre formal aunque sí registro.
Implicación interna: variable. Algunas observaciones son la antesala de una NC menor en el ciclo siguiente si el patrón persiste. El comité debe revisarlas con criterio, no descartarlas en bloque.
Frente a cada hallazgo, la organización tiene tres respuestas legítimas y una ilegítima.
Aceptar: reconocer el hallazgo, documentar la causa raíz, definir plan de acción con dueño y fecha. Es la respuesta apropiada en la mayoría de los casos cuando la evidencia muestreada es trazable y la interpretación de la cláusula es razonable.
Refutar con evidencia: si el auditor interpretó incorrectamente la evidencia o aplicó incorrectamente la cláusula, la organización puede refutar formalmente con evidencia adicional. La refutación debe ser técnica y documentada, no política. Si procede, el auditor revisa y puede modificar el hallazgo.
Plan con discusión de causa raíz: aceptar el hallazgo pero registrar análisis de causa raíz para que el plan de acción no sea cosmético. El plan debe atacar la causa, no solo el síntoma.
Respuesta ilegítima: la "respuesta defensiva" que cierra el hallazgo sin resolver. Modificar un procedimiento documental sin cambiar el comportamiento operativo cierra el hallazgo con el auditor pero deja el sistema con la misma brecha. El próximo ciclo lo revelará — típicamente como NC mayor en lugar de menor.
No todo hallazgo requiere atención del comité de auditoría. Pero algunos sí. Los cinco criterios:
1. Cualquier no conformidad mayor.
2. Patrón de múltiples NC menores en el mismo proceso o área (≥3 en un ciclo).
3. Hallazgo sobre liderazgo, gobierno, o revisión por la dirección — cláusula 5 y 9.3 son responsabilidad directa del comité.
4. Hallazgo que afecte la capacidad de cumplir un compromiso contractual con un cliente importante o un requisito regulatorio.
5. Cualquier hallazgo recurrente del ciclo anterior — la repetición indica falla del proceso de cierre, no del control.
Cerrar el hallazgo sin resolver la causa
Plan de acción superficial → próximo ciclo eleva el hallazgo de menor a mayor. Inversión en análisis de causa raíz paga.
Discutir clasificación en lugar de evidencia
Refutar la clasificación de NC mayor a menor sin nueva evidencia no funciona y daña la relación con el auditor. Refute con evidencia, no con argumento.
Silenciar hallazgos al comité
El comité necesita ver el universo completo de hallazgos para hacer su trabajo. Filtrar al comité es delegar al comité su responsabilidad.
Un informe de auditoría bien leído convierte a la auditoría en herramienta de gobierno. Un informe mal leído convierte a la auditoría en un trámite. La diferencia se construye en el primer informe que llega al comité — y se sostiene en cómo se trata cada uno de los siguientes.
Evaluación preliminar bajo criterio ISO 19011, sin venta de implementación ni de certificación.
Solicitar diagnóstico