Hallazgos y No Conformidades: Tipos, Incumplimientos y Redacción

Por: Artiko
ISO 42001Lead AuditorISO 19011auditoríaSGIA

Hallazgos y No Conformidades: Tipos, Incumplimientos y Redacción

Un auditor recopila evidencia durante toda la auditoría, pero esa evidencia solo tiene valor cuando se transforma en un juicio comunicable. Ese juicio es el hallazgo. Un hallazgo es el resultado de evaluar la evidencia objetiva recopilada frente al conjunto de políticas, procedimientos o requisitos que se utilizan como referencia. Dicho de otro modo, no es lo que el auditor vio, sino lo que el auditor concluye tras comparar lo que vio con lo que la norma o la organización exigían.

En la práctica, cada hallazgo se registra en la lista de verificación como respuesta a los cuestionamientos que el auditor preparó durante la planificación. Esa trazabilidad —de la pregunta a la evidencia y de la evidencia al hallazgo— es lo que distingue una conclusión defendible de una simple opinión. Este capítulo desarrolla los tipos de hallazgos que puede emitir un auditor de un Sistema de Gestión de Inteligencia Artificial (SGIA), los incumplimientos que aparecen con más frecuencia y, sobre todo, cómo se redacta una no conformidad con rigor.

Del dato al hallazgo

Antes de clasificar nada, conviene fijar el recorrido lógico. La evidencia por sí sola no es un hallazgo; se convierte en hallazgo cuando el auditor la contrasta contra un criterio y emite una conclusión.

flowchart LR
    A[Criterio de auditoría<br/>cláusula, política, procedimiento] --> C{Comparación}
    B[Evidencia objetiva<br/>documentos, registros, entrevistas] --> C
    C -->|cumple| D[Conformidad]
    C -->|no cumple| E[Hallazgo negativo]
    E --> F[No conformidad]
    E --> G[Observación]
    E --> H[Oportunidad de mejora]

La clave está en el rombo de comparación: sin un criterio explícito contra el cual medir, no hay hallazgo posible, solo impresiones.

Tipos de hallazgos

No todo hallazgo tiene el mismo peso. Confundir una no conformidad con una simple observación distorsiona el informe y puede generar fricción innecesaria con el auditado o, al contrario, restar seriedad a un problema real. La norma distingue tres categorías que un auditor debe manejar con precisión.

Tipo de hallazgoDefiniciónConsecuencia para el auditado
No conformidadIncumplimiento de un requisito especificado de la norma auditada.Obliga a corrección y, según su naturaleza, a acción correctiva.
ObservaciónHallazgo detectado en auditoría que podría generar una no conformidad si no es tratado. Situación que potencialmente puede afectar el sistema de gestión.Recomienda atención preventiva antes de que se convierta en incumplimiento.
Oportunidad de mejoraSituación que no representa incumplimiento, pero que la organización puede revisar cuando lo estime conveniente para mejorar la eficacia del proceso.No es obligatoria; es una sugerencia de valor.

La diferencia práctica es de umbral. Una no conformidad cruza la línea del incumplimiento: hay un requisito y no se satisface. Una observación todavía no la cruza, pero avanza hacia ella; es una advertencia temprana. Una oportunidad de mejora ni siquiera se relaciona con un incumplimiento: el sistema cumple, pero podría hacerlo mejor. Un error común del auditor novato es “inflar” observaciones a no conformidades para dar impresión de rigor, o “suavizar” no conformidades a observaciones para evitar el conflicto. Ambas distorsiones erosionan la confianza en el proceso.

Incumplimientos más comunes en un SGIA

La experiencia auditora muestra que ciertos incumplimientos se repiten una y otra vez. Conocerlos de antemano ayuda al auditor a orientar sus preguntas y a no dejarse deslumbrar por documentación abundante que, al examinarse, resulta vacía. Los más frecuentes son:

Estos patrones no son una lista de sospechas, sino puntos donde la brecha entre “lo escrito” y “lo hecho” suele abrirse. Un auditor experimentado los usa como sondas.

La fórmula de redacción de una no conformidad

Redactar una no conformidad es, probablemente, la habilidad más visible de un auditor líder. Una no conformidad mal escrita genera discusiones estériles, obliga a reescrituras y debilita todo el informe. Una bien escrita se sostiene sola: el auditado la lee, la entiende y la reconoce sin necesidad de que el auditor esté presente para defenderla.

La fórmula se apoya en tres componentes que deben aparecer siempre:

flowchart TD
    A[No Conformidad] --> B[Evidencia]
    A --> C[Referencia]
    A --> D[Conclusión]
    B --> B1[Hechos observados y respaldados<br/>con evidencia objetiva o<br/>atestiguados por el auditado]
    C --> C1[Al requisito de la norma,<br/>manual o procedimiento.<br/>Un solo requisito: el que más aplica]
    D --> D1[Genérica, breve, precisa<br/>y aceptada por el auditado]

Cada componente cumple una función irremplazable:

ComponenteQué esRegla de oro
La evidenciaLa lista de hechos observados, respaldados con evidencia objetiva o atestiguados por el auditado.Debe ser verificable, no una interpretación del auditor.
La referenciaEl requisito de la norma, del manual o del procedimiento incumplido.Un solo requisito por hallazgo: el que más aplica.
La conclusiónLa declaración de que ese requisito no se cumple.Genérica, breve, precisa y aceptada por el auditado.

El punto más delicado es la referencia única. Las discrepancias deben atribuirse solamente a una cláusula de la norma, la más aplicable. La tentación de citar tres o cuatro cláusulas a la vez para “reforzar” el hallazgo produce el efecto contrario: diluye la responsabilidad, complica la acción correctiva y abre flancos de discusión. Si un mismo hecho parece violar varias cláusulas, casi siempre hay una que es la causa raíz y las demás son consecuencias; el auditor debe elegir esa. En ocasiones, además, la única referencia disponible no es la norma sino la propia documentación de la organización, y eso es perfectamente válido.

Contenido mínimo del reporte de un hallazgo

Más allá de los tres componentes, el reporte de una no conformidad debería contener como mínimo:

Ejemplo comparado: mal redactada vs. bien redactada

La teoría se entiende mejor con un caso concreto. Supongamos que, al auditar la cláusula 7.2 (Competencia) de un SGIA, el auditor entrevista al responsable del modelo de scoring crediticio y descubre que dos de los tres analistas que ajustan los umbrales del modelo no tienen ningún registro de formación ni evaluación de competencia en IA.

Redacción deficiente:

“Se observó que el personal no está bien capacitado y esto es un problema grave que incumple varias partes de la norma sobre recursos humanos, competencias y gestión de riesgos. Deberían mejorar la capacitación.”

Esta redacción falla en casi todo: es subjetiva (“no está bien capacitado”, “problema grave”), no aporta evidencia verificable, cita “varias partes” en lugar de un requisito único, y termina con una recomendación (“deberían mejorar”) que invade la responsabilidad del auditado de decidir su propia acción correctiva.

Redacción correcta:

Evidencia: Durante la entrevista del 3 de julio de 2026 con el responsable del modelo de scoring crediticio, se verificó que dos de los tres analistas que modifican los umbrales del modelo (registros de personal PER-014 y PER-021) no cuentan con evidencia de determinación ni evaluación de competencia. El procedimiento PR-COMP-02 exige dicho registro para todo rol que intervenga en modelos de IA en producción.

Referencia: ISO/IEC 42001, cláusula 7.2 Competencia.

Conclusión: La organización no ha determinado ni conservado información documentada de la competencia de todo el personal que afecta el desempeño del SGIA. No conformidad.

Esta versión es defendible: los hechos son verificables (fechas, registros identificados), la referencia es una sola cláusula, y la conclusión enuncia el incumplimiento sin dictar la solución. El auditado puede reconocerla y luego decidir, por su cuenta, cómo corregirla.

Cierre del capítulo

Distinguir con precisión entre no conformidad, observación y oportunidad de mejora, y redactar cada no conformidad con la tríada evidencia–referencia–conclusión, es lo que convierte la evidencia recopilada en un producto auditor útil. Un hallazgo bien construido no busca ganar una discusión, sino hacer visible una brecha real de forma que la organización pueda cerrarla. Con los hallazgos redactados, el equipo auditor está listo para consolidarlos, extraer conclusiones y comunicarlos formalmente.

Capítulo 13 de la serie ISO/IEC 42001 Lead Auditor — Continúa en el Capítulo 14: Conclusiones de Auditoría, Informe y Reunión de Cierre