La publicidad, las dietas, las imágenes en las redes sociales, tu ex, ¡todos mienten! Excepto el informe de auditoría, al que se llega solo después de haber visto las evidencias de cumplimiento (o no) de la organización a requisitos aplicables. A pesar de que sabemos de qué se trata un informe, ninguna norma de los sistemas de gestión especifica cómo hacerlo. Por supuesto que hemos revisado la guía ISO/IEC 17021:2015 – Evaluación de la conformidad. Requisitos de los organismos que prestan servicios de auditoría y certificación de sistemas de gestión, y la ISO 19011: 2018 – Directrices para la auditoría de los sistemas de gestión, que son útiles para esbozar lo mínimo para la presentación de informes, sin definir un formato puntual

El alcance y objetivos de la auditoría, junto con el tamaño y naturaleza de la empresa auditada serán los que determinen cómo será el texto y lo que contendrá, aunque hay aspectos que debe abordar todo informe:

• Introducción: La guía ISO 19011: 2018 recomienda hacer un resumen del proceso de auditoría a modo de introducción, donde se confirme que se han cumplido los objetivos  dentro del alcance de la auditoría, de acuerdo con el plan de auditoría. 
• Resumen ejecutivo: Se puede señalar brevemente si existe o no eficacia en el sistema de gestión auditado, lo que pueden incluir fortalezas, debilidades, mejora continua e indicadores de desempeño claves. Lo más destacable de la auditoría debería ir en este punto: hallazgos que representen no conformidad (NC) o que podrían convertirse en una NC si no son atendidas. También es importante aclarar:
  • Conformidad del sistema de gestión con respecto a la norma que se evaluó.
  • Recomendaciones.
  • Que en la organización fueron receptivos y cooperaron con el proceso (si realmente fue así).
• El compromiso de la dirección, objetivos y metas: ¿Qué observó el auditor sobre los procesos de la organización en cuanto a determinar, establecer y comunicar las políticas y objetivos? ¿Hubo avances en este sentido con respecto a la auditoría anterior? Es pertinente apuntar los avances, si los hubo. 
• Acciones tomadas en relación con los asuntos de la auditoría anterior: Si la organización determinó las causas raíz de anteriores no conformidades y problemas identificados y con esa base aplicó acciones correctivas – o no – debería señalarse. ¿El problema se continúa repitiendo? ¡Vamos a apuntarlo!
• Procesos de la auditoría interna, revisión por la dirección y la mejora continua: En este punto conviene indicar los riesgos asociados con el logro de objetivos del sistema de gestión (calidad, seguridad de la información, eficiencia energética, etc.) y si se han gestionado de forma oportuna y eficaz. ¿Hay acciones orientadas a la mejora continua? ¿Cómo perciben los clientes la calidad o gestión de seguridad de la información (dependiendo del tema de la auditoría) de la organización? Es vital hacer seguimiento sobre esos temas porque darán luces sobre el desempeño de la empresa en materia de (tema del sistema de gestión).
• Impacto de los cambios significativos: Las auditorías se llevan a cabo, generalmente, cada año. En esos 365 días pueden ocurrir cantidades de eventos relevantes, no necesariamente referidos a pandemias o desastres naturales, sino ausencia total o parcial de personal clave, avances tecnológicos, cambio climático, cambio de sede física, nuevos equipos de trabajo, entre otros. ¿De qué forma estas modificaciones han incidido en la dinámica organizacional? ¡Registrémoslo! 
•  Requisitos del sistema y las interrelaciones, las funciones, los procesos, las áreas auditadas: En este punto iremos especificando mucho más, pues tendremos que referirnos al cumplimiento de requisitos desde las funciones, áreas y procesos de cada organización. No olvides indicar: qué norma se evaluó, qué se auditó, hojas de observaciones, qué requisitos había que cumplir, cuáles se cumplieron y cuáles no. Con esta sección se pretende responder si es eficaz el sistema de gestión, qué tan alineado está el trabajo real con los objetivos de la empresa y del sistema de gestión y si los procesos (debes brindar información de cada proceso) se llevan a cabo según lo dispuesto en la documentación del sistema de gestión. 
•  Visita a terreno: Como auditor, eres un observador sagaz. Describe qué viste, en qué condiciones estaba el sitio que visitaste, ¿hubo algo inusual? Anota todo lo que sea importante.
• Evaluación del cumplimiento de los requisitos legales y reglamentarios y otros requisitos, y la comunicación de esto: No te guardes nada, señala claramente si los requisitos legales, reglamentarios y los requisitos específicos de la industria que son aplicables a la organización se cumplen o no. ¿Cómo evalúan periódicamente en la empresa que se cumplan estos requisitos? Recordemos que las leyes se derogan, publican y cambian cada cierto tiempo. 
• La eficacia continua del sistema de gestión: Haz una evaluación global de la eficacia del sistema de gestión de la organización y concluye si el alcance de la certificación sigue siendo adecuada y aplicable, después de tener en cuenta cualquier cambio pertinente, interno y externo, que haya podido ocurrir desde la última auditoría.
• Cuestiones que requieren mayor atención: Esto es crucial porque indicará cuáles son las prioridades que atenderá el equipo de trabajo. Agrega no conformidades, temas que quedaron pendientes después de la clausura de un registro de NC y fechas para cada acción correctiva prevista. 
•  Exoneración de responsabilidad: el informe debe establecer que la auditoría se basa en un proceso de muestreo de la información disponible y que, por consiguiente, siempre habrá un elemento de incertidumbre presente en las evidencias de auditoría, que puede reflejarse en los hallazgos de la auditoría. Y no está de más advertir que las recomendaciones de la auditoría serán objeto de una revisión independiente, antes de que se tome cualquier decisión final en relación con la concesión o el mantenimiento de la certificación.