DIPLOMADO VIRTUAL EN

AUDITORÍA SISTEMAS DE GESTIÓN ISO

19011:2018
Guía didáctica 4: Hallazgos e informe de auditoría

1
DIPLOMADO VIRTUAL EN AUDITORÍA DE SISTEMAS DE GESTIÓN ISO
19011:2018
 Se espera que, con los temas abordados en la guía didáctica del módulo 4:
Hallazgos e informe de auditoría, el estudiante logre la siguiente competencia
específica:
➢ Redactar hallazgos y elaborar informes de auditoría con base en las
directrices de la norma ISO 19011:2018.

Los contenidos temáticos a desarrollar en la guía didáctica del módulo 4:

Hallazgos e informe de auditoría, son:

Generación de hallazgos de auditoría

Conclusión de la auditoría

Informe de auditoría

Reunión de cierre

Ilustración 1: contenidos temáticos.

Fuente: autor.

2
DIPLOMADO VIRTUAL EN AUDITORÍA DE SISTEMAS DE GESTIÓN ISO
19011:2018
Tema 1: Generación de Hallazgos de Auditoría

En la ejecución de una auditoría de sistema de gestión se debe revisar que

la información sea pertinente con los objetivos, el alcance y los criterios definidos
para la auditoría, los cuales deben recopilarse mediante técnicas apropiadas de
muestreo y verificarse adecuadamente. Si en el proceso de auditoría, el grado de
verificación es bajo, de acuerdo a la norma ISO 19011, el auditor debería utilizar su
juicio profesional para determinar el grado de fiabilidad de la información obtenida
como evidencia.
Durante el ejercicio de auditoría y la recopilación de información, el equipo
auditor identifica hallazgos, los cuales clasifica y posteriormente emite unas
conclusiones sobre los resultados, dicho proceso se resume en la ilustración No. 2.

Fuentes de información

Recoleccion mediante muestreo apropiado

Evidencias de auditoría

Evaluación según criterios de auditoría

Hallazgos de auditoría

Revisión

Conclusiones de auditoría

Ilustración 2: recopilación de información.

Fuente: ICONTEC (2018).

¿Que es un hallazgo de auditoría?

3
DIPLOMADO VIRTUAL EN AUDITORÍA DE SISTEMAS DE GESTIÓN ISO
19011:2018
 Hallazgo de auditoría: resultados de la evaluación de la evidencia de
la auditoría recopilada frente a los criterios de auditoría.
Concepto de
hallazgo de
auditoria Nota 1: los hallazgos de la auditoría indican conformidad o no
conformidad.
Nota 2: los hallazgos de la auditoría pueden conducir a la identificación
de oportunidades para la mejora o el registro de buenas prácticas.

Nota 3: si los criterios de auditoría se seleccionan a partir de requisitos

legales o reglamentarios, los hallazgos de auditoría pueden
denominarse cumplimiento o no cumplimiento.

Ilustración 3: concepto de hallazgo de auditoría.

Fuente: ISO 9000:2015.

Teniendo en cuenta que la definición de:«hallazgo de auditoría» en la norma

ISO 9000:2015, es muy técnica, se agregaron tres notas en la norma que aclaran el
concepto.
Para este diplomado se tendrá presente la siguiente definición de hallazgo
de auditoría, como:
«Cualquier evento, registro, documento, declaración… en definitiva cualquier
cosa que aparece durante la auditoría y que servirá para evaluar si se cumple
o no se cumple lo que se está auditando» (Torres, 2020, párr. 11).

Algunos hallazgos de auditoría, por ejemplo, pueden ser:

Un procedimiento.

Una conversación del auditor con un trabajador para evaluar

cierto proceso de la empresa.

Un registro de formación.

Descripciones de cargo y manuales de funciones.

Ilustración 4: ejemplos de hallazgo de auditoría.

Fuente: ISO 9001:2015.

4
DIPLOMADO VIRTUAL EN AUDITORÍA DE SISTEMAS DE GESTIÓN ISO
19011:2018
 La nota (1) del concepto de la norma ISO 9000:2015, un hallazgo de auditoría
es cualquier evidencia evaluada y clasificada por el auditor como conformidad o no
conformidad.

Clasificación de los hallazgos

La clasificación principal de los hallazgos de auditoría es: conformidad y
no conformidad.
Por definición según la norma ISO 9000:2015
• Conformidad: cumplimiento de los requisitos.
• No conformidad: es un incumplimiento de un requisito.
Es importante tener en cuenta que estos incumplimientos a requisitos pueden
ser a la norma que se esté auditando, a un requisito legal o a cualquier requisito
especificado de las partes interesadas, del producto o servicio que suministra la
organización o definidos por la organización en sus documentos, entre otros
requisitos del sistema de gestión.
Las no conformidades se pueden clasificar según el contexto de la
organización y sus riesgos. Esta clasificación puede ser cuantitativa (por ejemplo,
de 1 a 5) y cualitativa (por ejemplo, menor o mayor). Deberían revisarse con el
auditado para obtener un reconocimiento de que la evidencia de auditoría es precisa
y que las no conformidades se entienden. Se debería hacer todo lo posible para
resolver las opiniones divergentes sobre la evidencia o los hallazgos de auditoría.
Los problemas no resueltos deberían registrarse en el informe de auditoría.
En la generación de hallazgos según la norma ISO 19011:2018 establece
que la evidencia de auditoría debería ser:

5
DIPLOMADO VIRTUAL EN AUDITORÍA DE SISTEMAS DE GESTIÓN ISO
19011:2018
 Evaluada contra los criterios de auditoría para determinar los hallazgos
de auditoría.

Indicar conformidad o no conformidad con los criterios de

auditoría.

Los hallazgos de la auditoría individual deberían incluir

conformidad y buenas prácticas junto con su evidencia.

Cuando el plan de auditoría lo especifica las oportunidades de

mejora y cualquier recomendación al auditado.

Las no conformidades y su evidencia de auditoría de respaldo.

Ilustración 5: evidencias de auditoría.

Fuente: ICONTEC (2018).

El equipo auditor debería reunirse según sea necesario para revisar los
hallazgos de auditoría en las etapas apropiadas durante la auditoría.
La conformidad o no conformidad con los criterios de auditoría relacionados
con los requisitos legales o reglamentarios u otros requisitos, a veces se denomina
cumplimiento o incumplimiento
Una no conformidad puede tener matices que se clasifican en: observaciones
y oportunidades de mejora.
Observación: es un hallazgo en el cual sí existe un cumplimiento pero que
en el futuro puede convertirse en un incumplimiento debido a cómo se está
desarrollando una actividad, tarea o proceso concreto.
Oportunidad de mejora: es un hallazgo en el cual sí existe un cumplimiento,
pero a pesar de ello se determina, bajo criterios objetivos, que existe un margen de
mejora para optimizar más una actividad, tarea o proceso concreto.
En el anexo 1 de la norma ISO 19011:2018 brinda a los auditores
orientaciones sobre la determinación de los hallazgos de auditoría, indicando que
debería considerarse entre otros, los siguientes aspectos:

6
DIPLOMADO VIRTUAL EN AUDITORÍA DE SISTEMAS DE GESTIÓN ISO
19011:2018
 Seguimiento de registros y conclusiones de auditorías
anteriores.

Precisión, suficiencia y adecuación de la evidencia objetiva

para respaldar los hallazgos de la auditoría.

Medida en que se realizan las actividades de auditoría

planificadas y se logran los resultados planificados.

Hallazgos que exceden la práctica normal u oportunidades de

mejora.

Ilustración 6: orientaciones del anexo A18 sobre hallazgo de auditoría.

Fuente: ISO 9001:2015.

7
DIPLOMADO VIRTUAL EN AUDITORÍA DE SISTEMAS DE GESTIÓN ISO
19011:2018
Tema 2: Conclusión de la Auditoría

Al finalizar el ejercicio de auditoría, es necesario que el equipo auditor emita

una serie de conclusiones para informar los resutlados de la misma.
Según la norma ISO 19011:2018 (numeral 6.4.9.2) indica que las
conclusiones de la auditoría deberían abordar cuestiones tales como las siguientes:
a) El grado de conformidad con los criterios de auditoría y la solidez del sistema
de gestión, incluida la eficacia del sistema de gestión para alcanzar los
resultados previstos, la identificación de los riesgos y la eficacia de las
medidas adoptadas por el auditado para abordar los riesgos.
b) La implementación, el mantenimiento y la mejora efectivos del sistema de
gestión.
c) El logro de los objetivos de la auditoría, la cobertura del alcance de la
auditoría y el cumplimiento de los criterios de auditoría.
d) Hallazgos similares realizados en diferentes áreas que fueron auditadas o
de una auditoría conjunta o previa con el propósito de identificar tendencias.
Si el formato del informe de auditoría lo solicita, las conclusiones de la
auditoría pueden llevar a recomendaciones de mejora o a futuras actividades de
auditoría.

8
DIPLOMADO VIRTUAL EN AUDITORÍA DE SISTEMAS DE GESTIÓN ISO
19011:2018
Tema 3: Informe de Auditoría

El informe de auditoría es el documento en el cual se registran los resultados

de la realización de la auditoría, conteniendo además de las conclusiones del equipo
auditor sobre el resultado de la auditoría, la evaluación del cumplimiento de las
normas y procedimientos, y otros aspectos relacionados con la implementación y
mantenimiento de los sistemas de gestión.
La norma ISO 19011:2018 da directrices para la preparación y distribución
del informe:

Preparación del informe de auditoría

El informe de auditoría debería proporcionar un registro completo, preciso,
conciso y claro de la auditoría, e incluir o hacer referencia a lo siguiente:
a) Objetivos de auditoría.
b) Alcance de la auditoría, particularmente identificación de la organización (el
auditado) y las funciones o procesos auditados.
c) Identificación del cliente de auditoría.
d) Identificación del equipo de auditoría y los auditados.
e) Fechas y lugares donde se llevaron a cabo las actividades de auditoría.
f) Criterios de auditoría.
g) Hallazgos de auditoría y evidencia relacionada.
h) Conclusiones de auditoría.
i) Una declaración sobre el grado en que se han cumplido los criterios de
auditoría.
j) Cualquier opinión divergente no resuelta entre el equipo de auditoría y el
auditado.
k) Las auditorías por naturaleza son un ejercicio de muestreo; como tal, existe
el riesgo de que la evidencia de auditoría examinada no sea representativa.

9
DIPLOMADO VIRTUAL EN AUDITORÍA DE SISTEMAS DE GESTIÓN ISO
19011:2018
 El informe de auditoría también puede incluir o hacer referencia a lo siguiente,
según corresponda:
a) El plan de auditoría, incluido el cronograma.
b) Un resumen del proceso de auditoría, incluidos los obstáculos encontrados
que pueden disminuir la fiabilidad de las conclusiones de la auditoría.
c) Confirmación de que los objetivos de la auditoría se han logrado dentro del
alcance de la auditoría de acuerdo con el plan.
d) Cualquier área dentro del alcance de la auditoría no cubierta incluyendo
cualquier problema de disponibilidad de evidencia, recursos o
confidencialidad, con justificaciones relacionadas.
e) Un resumen que cubre las conclusiones de la auditoría y los principales
hallazgos de la auditoría que los respaldan.
f) Buenas prácticas identificadas.
g) Seguimiento del plan de acción acordado, si corresponde.
h) Una declaración de la naturaleza confidencial de los contenidos.
i) Cualquier compromiso para el programa de auditoría o auditorías
posteriores.

Requisitos para el informe de auditoría

El informe de la auditoría debe cumplir con los siguientes requerimientos:

Debe emitirse dentro del tiempo acordado.

Debe presentar fechas de realización y de presentación.

Debería ser revisado y aceptado, según corresponda, de conformidad con el

programa de auditoría.

Ilustración 7: requisitos para la distribución del informe de auditoría.

Fuente: autor.

10
DIPLOMADO VIRTUAL EN AUDITORÍA DE SISTEMAS DE GESTIÓN ISO
19011:2018
Redacción de hallazgos:
Para lograr la comprensión del auditado y el desarrollo eficaz de planes de
acción, es de vital importancia tener en cuenta los siguientes aspectos en la
redacción de los hallazgos:
Para redactar no conformidades el Club de Responsables de Gestión de la
Calidad (2012) sugiere la siguiente estructura:

Evidencia
Magnitud Descripción Referencia
objetiva

Ilustración 8: estructura para la redacción de un hallazgo.

Fuente: Club Responsables de la Gestión de la Calidad (2012).

Magnitud: se refiere a la dimensión o tamaño del incumplimiento detectado.

A. Hecho casual, puntual o si por lo contrario es generalizado o sistemático, se
pueden usar los siguientes inicios de frase:
• En todos los casos se detecta …
• En la mayoría de los casos se detecta…
• Con carácter general …
• En algún caso…
• En “x” casos de “y” casos examinados se detecta…
• En el caso…
• En el proceso…
• En el proyecto…
B. Ausencia, incumplimiento total o parcial de un requisito. Por ejemplo:
• «El sistema de calidad no contempla la aplicación del numeral 4.2 dado que
no se evidencia la identificación de necesidades de partes interesadas…»
• «El procedimiento de mantenimiento implementado no se ha tenido en
cuenta los equipos de medición utilizados en el proceso...»

11
DIPLOMADO VIRTUAL EN AUDITORÍA DE SISTEMAS DE GESTIÓN ISO
19011:2018
 Descripción: se debe redactar lo que realmente no se cumple, por lo tanto,
debe ser:
• Legible, evitando las faltas de ortografía, usar una la misma terminología
usada en las normas de referencia.
• Claro y concreto: el contenido de la no conformidad no debe dar lugar a
posibles interpretaciones.
• Del mismo modo debe aportar una idea correcta de la situación para que
alguien ajeno a la redacción pueda tomar decisiones al respecto.
• Debe evitarse una redacción reiterativa y con expresiones que dificulten su
comprensión.
• Se debe evitar expresiones como:

 Hay o habría que…

 Se debe o debería…

 Considero adecuado o no considero correcto…

 No está suficientemente documentado…

 Se considera insuficiente…

Ejemplos:

 BIEN: no se presenta evidencia objetiva de… (x) MAL: no se ha podido

verificar…
 BIEN: en los registros analizados…(x) MAL: en ningún registro…
 BIEN: no se ha aportado…(x) MAL: no disponen de…

Evidencias: es la prueba objetiva que sustenta la descripción anterior, lugar

exacto donde se ha detectado la NC. En la medida de lo posible las evidencias
deben venir respaldadas por:
• Identificación de los registros.
• Identificación de los equipos.

12
DIPLOMADO VIRTUAL EN AUDITORÍA DE SISTEMAS DE GESTIÓN ISO
19011:2018
 • Identificación de los documentos del sistema, etc.

Referencia: debe quedar claro si la NC se trata del incumplimiento de un

requisito concreto de la norma de referencia que se está auditando o un
incumplimiento de un requisito establecido en la documentación de la empresa, u
otro requisito.
Ejemplo según estos 4 bloques:

Magnitud Descripción Evidencia Referencia

En todas las hojas … que no se ha …según formato … según el
de vida de equipos llevado a cabo el XXXX. procedimiento A2-
revisadas se registro de PR-01
detecta… mantenimiento Procedimiento de
preventivo infraestructura.
realizado en el
último año

Tabla 1: ejemplo de no conformidad según 4 bloques.

Fuente: autor.

13
DIPLOMADO VIRTUAL EN AUDITORÍA DE SISTEMAS DE GESTIÓN ISO
19011:2018
 Tema 4: Reunión de Cierre

Preparación para la reunión de clausura

El equipo de auditoría debería reunirse antes de la reunión de cierre para:
a) Revisar los hallazgos de la auditoría y cualquier otra información apropiada
recopilada durante la auditoría, en relación con los objetivos de la auditoría.
b) Acordar las conclusiones de la auditoría, teniendo en cuenta la incertidumbre
inherente al proceso de auditoría.
c) Preparar recomendaciones, si así lo específica el plan de auditoría.
d) Discutir el seguimiento de la auditoría, según corresponda.

Realización de la reunión de clausura

• En la reunión de cierre se presentan los hallazgos y conclusiones de la
auditoría.
• La reunión de cierre debería ser presidida por el líder del equipo de auditoría
y asistida por la administración del auditado e incluir, según corresponda:
o Los responsables de las funciones o procesos que han sido auditados.
o El cliente de auditoría.
o Otros miembros del equipo de auditoría.
o Otras partes interesadas relevantes según lo determine el cliente de
auditoría y/o el auditado.
Si corresponde, el líder del equipo auditor debería informar al auditado sobre
las situaciones encontradas durante la auditoría que pueden disminuir la confianza
que se puede depositar en las conclusiones de la auditoría.
Si se define en el sistema de gestión o por acuerdo con el cliente de auditoría,
los participantes deberían acordar el marco de tiempo para un plan de acción para
abordar los hallazgos de auditoría.
El grado de detalle debería tener en cuenta la efectividad del sistema de
gestión para lograr los objetivos del auditado, incluida la consideración de su
contexto y los riesgos y oportunidades.

14
DIPLOMADO VIRTUAL EN AUDITORÍA DE SISTEMAS DE GESTIÓN ISO
19011:2018
 La familiaridad del auditado con el proceso de auditoría también debería
tenerse en cuenta durante la reunión de cierre, para garantizar que se proporciona
el nivel correcto de detalle a los participantes.
Para algunas situaciones de auditoría, la reunión puede ser formal y las
actas, incluidas los registros de asistencia, deberían mantenerse. En otros casos,
por ejemplo; auditorías internas, la reunión de cierre puede ser menos formal y
consistir únicamente en comunicar los hallazgos de la auditoría y las conclusiones
de la auditoría.
Según corresponda, lo siguiente debería explicarse al auditado en la reunión
de clausura:
a) Informar que la evidencia de auditoría recopilada se basó en una muestra de
la información disponible y no es necesariamente representativa de la
eficacia general de los procesos del auditado.
b) El método de informar.
c) Cómo debería abordarse la conclusión de la auditoría en función del proceso
acordado.
d) Posibles consecuencias de no abordar adecuadamente los hallazgos de la
auditoría.
e) Presentación de los hallazgos y conclusiones de auditoría de tal manera que
la gerencia del auditado los comprenda y los reconozca.
f) Cualquier actividad posterior a la auditoría relacionada (por ejemplo,
implementación y revisión de acciones correctivas, tratamiento de quejas de
auditoría, proceso de apelación).
g) Cualquier opinión divergente con respecto a los hallazgos o conclusiones de
la auditoría entre el equipo de auditoría y el auditado debería debatirse y, si
es posible, resolverse. Si no se resuelve, esto debería registrarse.

15
DIPLOMADO VIRTUAL EN AUDITORÍA DE SISTEMAS DE GESTIÓN ISO
19011:2018
Club de Responsables de Calidad. Redactar no conformidades.
https://clubresponsablesdecalidad.com/redactar-no-conformidades/
Instituto Colombiano de Normas Técnicas y Certificación [ICONTEC]. (2018). Guía
técnica colombiana GTC-ISO 19011:2018, Directrices para la auditoria de los
sistemas de gestión. ICONTEC.
Instituto Colombiano de Normas Técnicas y Certificación [ICONTEC]. (2015).
Norma técnica colombiana NTC-ISO 9001:2015, sistemas de gestión de la
calidad. Fundamentos y vocabulario. ICONTEC.
Torres, I. (2020). Qué son los hallazgos de auditoría, definición + 21 ejemplos para
que lo entiendas. Ive Consultores. https://iveconsultores.com/hallazgos-de-
auditoria/

16
DIPLOMADO VIRTUAL EN AUDITORÍA DE SISTEMAS DE GESTIÓN ISO
19011:2018
Esta guía fue elaborada para ser utilizada con fines didácticos como
material de consulta de los participantes en el diplomado virtual en
AUDITORÍA DE SISTEMAS DE GESTIÓN ISO 19011:2018 del Politécnico de
Colombia, y solo podrá ser reproducida con esos fines. Por lo tanto, se
agradece a los usuarios referirla en los escritos donde se utilice la información
que aquí se presenta.

GUÍA DIDÁCTICA 4
M2-DV21-GU04
MÓDULO 4: HALLAZGOS E INFORME DE AUDITORÍA

© DERECHOS RESERVADOS - POLITÉCNICO DE COLOMBIA, 2022

Medellín, Colombia

Proceso: Gestión Académica Virtual

Realización del texto: equipo docente
Revisión del texto: Comité de revisión
Diseño: Comunicaciones

Editado por el Politécnico de Colombia.

17
DIPLOMADO VIRTUAL EN AUDITORÍA DE SISTEMAS DE GESTIÓN ISO
19011:2018