Auditoría12 min de lectura

No conformidades ISO 9001: las 8 que más se repiten en auditoría (y cómo evitarlas)

Los auditores de certificación repiten hallazgos porque las empresas repiten errores. Después de ver decenas de auditorías en pymes industriales y de servicios, la lista de no conformidades es sorprendentemente estable. Aquí están las 8 más frecuentes, cómo las detecta el auditor exactamente y qué hacer para no regalárselas.

Mayor, menor y observación: qué te juegas con cada una

No conformidad mayor: incumplimiento de un requisito completo de la norma o fallo sistemático (no un caso aislado). Bloquea la certificación hasta que la cierres con evidencia, normalmente con auditoría extraordinaria o revisión documental adicional. Ejemplo: no habéis hecho auditoría interna.

No conformidad menor: incumplimiento puntual que no compromete el sistema. Se certifica igual, pero presentas plan de acciones correctivas y el auditor lo verifica en el siguiente seguimiento. Lo normal es salir de una certificación con 2-5 menores.

Observación (u oportunidad de mejora): no es incumplimiento; es un aviso. ATENCIÓN: las observaciones ignoradas tienen la costumbre de volver como no conformidades menores en el siguiente seguimiento, con el agravante de que el auditor ya la había avisado por escrito.

1. Control de la información documentada (7.5)

La número uno mundial, con diferencia. Variantes: versiones obsoletas en uso en planta, documentos sin control de cambios, registros ilocalizables, documentos externos (planos de cliente, normativa, fichas técnicas) sin control.

Cómo la detecta el auditor: coge un documento en el punto de uso — la instrucción plastificada junto a la máquina — y pregunta al responsable de calidad cuál es la versión vigente. Si no coinciden, no conformidad en 30 segundos.

Cómo evitarla: minimizar copias impresas, registro de las que existan, y una revisión física por planta la semana antes de la auditoría. La lista completa de lo que debe estar controlado está en Documentación obligatoria de ISO 9001:2015.

2. Acciones correctivas sin análisis de causa (10.2)

El registro dice: causa = "error humano", acción = "se llama la atención al operario". Eso no es análisis de causa, es asignación de culpa, y el auditor lo sabe.

Cómo la detecta: revisa tus registros de no conformidades y busca si la acción atacó la causa o el síntoma. Si el mismo tipo de fallo aparece dos o tres veces en el histórico, la conclusión es automática: las acciones correctivas no son eficaces.

Cómo evitarla: aplicar los 5 porqués sin retórica. ¿Por qué se montó la pieza equivocada? Porque las dos referencias se almacenan juntas y el embalaje es idéntico. La acción es separar ubicaciones e identificar el embalaje — no "advertir al operario". Y cerrar el ciclo: verificar la eficacia semanas después, con registro.

3. Revisión por dirección incompleta o inexistente (9.3)

O no se hizo en el último año, o el acta no cubre las entradas obligatorias. La norma lista explícitamente qué debe considerar la revisión: estado de acciones anteriores, cambios de contexto, satisfacción del cliente, desempeño de procesos y proveedores, no conformidades, resultados de auditorías, recursos, riesgos y oportunidades de mejora.

Cómo la detecta: pide el acta y la coteja punto por punto contra el 9.3.2. Es la comprobación más mecánica de toda la auditoría.

Cómo evitarla: usa la lista de entradas de la norma como índice del acta. No es elegante, es eficaz, y garantiza que no falte nada.

4. Riesgos y oportunidades de adorno (6.1)

Existe una matriz de riesgos — la hizo alguien una vez — pero no está conectada con nada: no hay acciones derivadas, no se ha revisado, y los riesgos que aparecen no coinciden con los que gerencia menciona cuando el auditor le pregunta qué le preocupa.

Cómo la detecta: pregunta a gerencia por los riesgos del negocio y compara con el papel. Si gerencia habla de dependencia de un cliente que factura el 40% y la matriz habla de "incendio en las instalaciones", la desconexión es evidente.

Cómo evitarla: pocos riesgos, reales, con acción y responsable. Revisados al menos en cada revisión por dirección.

5. Equipos de medición sin calibrar o sin trazabilidad (7.1.5)

El calibre de taller que nadie calibra ni verifica desde 2022, la báscula "que ya venía con el certificado de fábrica", el equipo calibrado cuya etiqueta caducó.

Cómo la detecta: pasea por planta, ve un instrumento de medición, pide su trazabilidad. Es de los hallazgos favoritos de cualquier auditor con experiencia en industria porque casi nunca falla.

Cómo evitarla: inventario de equipos que afectan a la calidad del producto, plan de calibración/verificación con fechas, certificados archivados. La verificación interna con patrón es aceptable para muchos equipos; lo que no es aceptable es la nada.

6. Competencia sin evidencia (7.2)

El personal sabe hacer su trabajo, pero no hay definición de competencias por puesto ni evidencia de formación. El caso típico: el soldador experto sin cualificación documentada, o el nuevo incorporado que lleva 4 meses "aprendiendo con el veterano" sin registro alguno de ese proceso.

Cómo evitarla: ficha de puesto con competencias requeridas, evidencia por persona (títulos, experiencia, formación interna registrada). La formación interna vale — pero registrada: qué, quién, cuándo, y alguna evidencia de que fue eficaz.

7. Proveedores evaluados en 2021 (8.4)

Hay una lista de proveedores aprobados, pero la evaluación no se ha actualizado y no existen criterios de reevaluación. Mientras tanto, hay tres correos ese mismo año reclamando retrasos al proveedor "aprobado".

Cómo la detecta: cruza tu lista de proveedores aprobados con tus registros de incidencias de compras. Si el proveedor con más incidencias sigue aprobado sin comentario alguno, la evaluación es decorativa.

Cómo evitarla: reevaluación anual simple — tres criterios bastan: calidad, plazo, incidencias — con consecuencias reales para quien la suspende.

8. Cero no conformidades registradas

Parece bueno y es lo contrario. Una empresa que en 12 meses no ha registrado ni una no conformidad interna, ni una reclamación, ni un producto no conforme no es una empresa perfecta: es una empresa que no registra.

ERROR FRECUENTE: "limpiar" el sistema antes de la auditoría para aparentar perfección. El auditor lleva años viendo sistemas reales; un sistema sin fallos registrados le dice que el sistema no se usa, y a partir de ahí auditará con lupa. Las no conformidades detectadas y bien tratadas son evidencia A FAVOR: demuestran que el sistema funciona.

Cómo responder a una no conformidad sin empeorarla

Primero, no discutas el hallazgo en caliente; si hay un error de apreciación, se argumenta con evidencia, no con vehemencia. Segundo, responde con la secuencia completa del 10.2: corrección inmediata, análisis de causa, acción correctiva sobre la causa, plazo, responsable y verificación de eficacia. Tercero, cumple los plazos que tú mismo propongas: una acción correctiva incumplida es la siguiente no conformidad.

El contexto completo de la auditoría — fases, tiempos, qué mira el auditor cada día — está en La auditoría de certificación ISO 9001: fases y qué esperar. Y si estás empezando desde cero, el orden correcto es Cómo certificarse en ISO 9001 paso a paso.

Todo esto, resuelto: manual de 200 páginas, 31 plantillas y roadmap semanal. Sin consultor.

Ver el sistema completo