Hallazgos y No Conformidades: Tipos, Incumplimientos y Redacción
Hallazgos y No Conformidades: Tipos, Incumplimientos y Redacción
Un auditor recopila evidencia durante toda la auditoría, pero esa evidencia solo tiene valor cuando se transforma en un juicio comunicable. Ese juicio es el hallazgo. Un hallazgo es el resultado de evaluar la evidencia objetiva recopilada frente al conjunto de políticas, procedimientos o requisitos que se utilizan como referencia. Dicho de otro modo, no es lo que el auditor vio, sino lo que el auditor concluye tras comparar lo que vio con lo que la norma o la organización exigían.
En la práctica, cada hallazgo se registra en la lista de verificación como respuesta a los cuestionamientos que el auditor preparó durante la planificación. Esa trazabilidad —de la pregunta a la evidencia y de la evidencia al hallazgo— es lo que distingue una conclusión defendible de una simple opinión. Este capítulo desarrolla los tipos de hallazgos que puede emitir un auditor de un Sistema de Gestión de Inteligencia Artificial (SGIA), los incumplimientos que aparecen con más frecuencia y, sobre todo, cómo se redacta una no conformidad con rigor.
Del dato al hallazgo
Antes de clasificar nada, conviene fijar el recorrido lógico. La evidencia por sí sola no es un hallazgo; se convierte en hallazgo cuando el auditor la contrasta contra un criterio y emite una conclusión.
flowchart LR
A[Criterio de auditoría<br/>cláusula, política, procedimiento] --> C{Comparación}
B[Evidencia objetiva<br/>documentos, registros, entrevistas] --> C
C -->|cumple| D[Conformidad]
C -->|no cumple| E[Hallazgo negativo]
E --> F[No conformidad]
E --> G[Observación]
E --> H[Oportunidad de mejora]
La clave está en el rombo de comparación: sin un criterio explícito contra el cual medir, no hay hallazgo posible, solo impresiones.
Tipos de hallazgos
No todo hallazgo tiene el mismo peso. Confundir una no conformidad con una simple observación distorsiona el informe y puede generar fricción innecesaria con el auditado o, al contrario, restar seriedad a un problema real. La norma distingue tres categorías que un auditor debe manejar con precisión.
| Tipo de hallazgo | Definición | Consecuencia para el auditado |
|---|---|---|
| No conformidad | Incumplimiento de un requisito especificado de la norma auditada. | Obliga a corrección y, según su naturaleza, a acción correctiva. |
| Observación | Hallazgo detectado en auditoría que podría generar una no conformidad si no es tratado. Situación que potencialmente puede afectar el sistema de gestión. | Recomienda atención preventiva antes de que se convierta en incumplimiento. |
| Oportunidad de mejora | Situación que no representa incumplimiento, pero que la organización puede revisar cuando lo estime conveniente para mejorar la eficacia del proceso. | No es obligatoria; es una sugerencia de valor. |
La diferencia práctica es de umbral. Una no conformidad cruza la línea del incumplimiento: hay un requisito y no se satisface. Una observación todavía no la cruza, pero avanza hacia ella; es una advertencia temprana. Una oportunidad de mejora ni siquiera se relaciona con un incumplimiento: el sistema cumple, pero podría hacerlo mejor. Un error común del auditor novato es “inflar” observaciones a no conformidades para dar impresión de rigor, o “suavizar” no conformidades a observaciones para evitar el conflicto. Ambas distorsiones erosionan la confianza en el proceso.
Incumplimientos más comunes en un SGIA
La experiencia auditora muestra que ciertos incumplimientos se repiten una y otra vez. Conocerlos de antemano ayuda al auditor a orientar sus preguntas y a no dejarse deslumbrar por documentación abundante que, al examinarse, resulta vacía. Los más frecuentes son:
- Documentación no encontrada: se afirma que existe un procedimiento o registro, pero no puede exhibirse durante la auditoría.
- Competencias del recurso humano no evaluadas: las personas que operan controles de IA no tienen evidencia de que su competencia haya sido determinada ni verificada.
- Controles implementados inadecuados: existe el control, pero no trata el riesgo que se supone debía tratar, o se aplica de forma parcial.
- No conformidades de auditorías internas sin cierre eficaz: hallazgos previos que se declararon cerrados sin verificar realmente su eficacia.
- Acciones correctivas sin revisión de la dirección: se corrigen desviaciones, pero la alta dirección nunca las examina en su revisión periódica.
- Deficiencia en la metodología de análisis de riesgo: el proceso de evaluación de riesgos de IA es inconsistente, no repetible o no cubre impactos relevantes.
- Incumplimiento de procedimientos: el procedimiento existe y es correcto, pero la operación real no lo sigue.
Estos patrones no son una lista de sospechas, sino puntos donde la brecha entre “lo escrito” y “lo hecho” suele abrirse. Un auditor experimentado los usa como sondas.
La fórmula de redacción de una no conformidad
Redactar una no conformidad es, probablemente, la habilidad más visible de un auditor líder. Una no conformidad mal escrita genera discusiones estériles, obliga a reescrituras y debilita todo el informe. Una bien escrita se sostiene sola: el auditado la lee, la entiende y la reconoce sin necesidad de que el auditor esté presente para defenderla.
La fórmula se apoya en tres componentes que deben aparecer siempre:
flowchart TD
A[No Conformidad] --> B[Evidencia]
A --> C[Referencia]
A --> D[Conclusión]
B --> B1[Hechos observados y respaldados<br/>con evidencia objetiva o<br/>atestiguados por el auditado]
C --> C1[Al requisito de la norma,<br/>manual o procedimiento.<br/>Un solo requisito: el que más aplica]
D --> D1[Genérica, breve, precisa<br/>y aceptada por el auditado]
Cada componente cumple una función irremplazable:
| Componente | Qué es | Regla de oro |
|---|---|---|
| La evidencia | La lista de hechos observados, respaldados con evidencia objetiva o atestiguados por el auditado. | Debe ser verificable, no una interpretación del auditor. |
| La referencia | El requisito de la norma, del manual o del procedimiento incumplido. | Un solo requisito por hallazgo: el que más aplica. |
| La conclusión | La declaración de que ese requisito no se cumple. | Genérica, breve, precisa y aceptada por el auditado. |
El punto más delicado es la referencia única. Las discrepancias deben atribuirse solamente a una cláusula de la norma, la más aplicable. La tentación de citar tres o cuatro cláusulas a la vez para “reforzar” el hallazgo produce el efecto contrario: diluye la responsabilidad, complica la acción correctiva y abre flancos de discusión. Si un mismo hecho parece violar varias cláusulas, casi siempre hay una que es la causa raíz y las demás son consecuencias; el auditor debe elegir esa. En ocasiones, además, la única referencia disponible no es la norma sino la propia documentación de la organización, y eso es perfectamente válido.
Contenido mínimo del reporte de un hallazgo
Más allá de los tres componentes, el reporte de una no conformidad debería contener como mínimo:
- Una visión general del hallazgo.
- Descripción completa y precisa de lo observado.
- Ejemplos de la evidencia de auditoría.
- Referencia a la cláusula del estándar o al documento de la organización.
- Explicación de los requisitos de esa cláusula o documento.
Ejemplo comparado: mal redactada vs. bien redactada
La teoría se entiende mejor con un caso concreto. Supongamos que, al auditar la cláusula 7.2 (Competencia) de un SGIA, el auditor entrevista al responsable del modelo de scoring crediticio y descubre que dos de los tres analistas que ajustan los umbrales del modelo no tienen ningún registro de formación ni evaluación de competencia en IA.
Redacción deficiente:
“Se observó que el personal no está bien capacitado y esto es un problema grave que incumple varias partes de la norma sobre recursos humanos, competencias y gestión de riesgos. Deberían mejorar la capacitación.”
Esta redacción falla en casi todo: es subjetiva (“no está bien capacitado”, “problema grave”), no aporta evidencia verificable, cita “varias partes” en lugar de un requisito único, y termina con una recomendación (“deberían mejorar”) que invade la responsabilidad del auditado de decidir su propia acción correctiva.
Redacción correcta:
Evidencia: Durante la entrevista del 3 de julio de 2026 con el responsable del modelo de scoring crediticio, se verificó que dos de los tres analistas que modifican los umbrales del modelo (registros de personal PER-014 y PER-021) no cuentan con evidencia de determinación ni evaluación de competencia. El procedimiento PR-COMP-02 exige dicho registro para todo rol que intervenga en modelos de IA en producción.
Referencia: ISO/IEC 42001, cláusula 7.2 Competencia.
Conclusión: La organización no ha determinado ni conservado información documentada de la competencia de todo el personal que afecta el desempeño del SGIA. No conformidad.
Esta versión es defendible: los hechos son verificables (fechas, registros identificados), la referencia es una sola cláusula, y la conclusión enuncia el incumplimiento sin dictar la solución. El auditado puede reconocerla y luego decidir, por su cuenta, cómo corregirla.
Cierre del capítulo
Distinguir con precisión entre no conformidad, observación y oportunidad de mejora, y redactar cada no conformidad con la tríada evidencia–referencia–conclusión, es lo que convierte la evidencia recopilada en un producto auditor útil. Un hallazgo bien construido no busca ganar una discusión, sino hacer visible una brecha real de forma que la organización pueda cerrarla. Con los hallazgos redactados, el equipo auditor está listo para consolidarlos, extraer conclusiones y comunicarlos formalmente.
Capítulo 13 de la serie ISO/IEC 42001 Lead Auditor — Continúa en el Capítulo 14: Conclusiones de Auditoría, Informe y Reunión de Cierre