¿Qué exige este criterio?
La clasificación estándar de hallazgos en auditorías CAR es: (1) No Conformidad Mayor (NCM): incumplimiento que impide emitir CAR positivo; (2) No Conformidad Menor (NCm): incumplimiento que requiere corrección con plazo; (3) Observación: mejora recomendada sin impacto directo en la cualificación. Cada hallazgo debe tener: descripción clara, cláusula incumplida, evidencia del incumplimiento, acción correctora propuesta y fecha límite de cierre.

¿Qué hay que revisar al cliente?

• Procedimiento de gestión de hallazgos documentado (clasificación, plan de acción, cierre).
• Responsable interno de la gestión de hallazgos.
• Sistema de seguimiento de hallazgos (TrustGRC puede servir para esto).
• Plazos de cierre acordados con el CAB.

Preguntas clave para las entrevistas

• ¿Hay un procedimiento de gestión de hallazgos documentado?
• ¿Quién es el responsable de coordinar el cierre de hallazgos con el CAB?
• ¿Se usa TrustGRC o alguna otra herramienta para el seguimiento de hallazgos?
• ¿Qué plazo se da a las NC menores para su cierre?

¿Por qué es esencial para QERDS y TSA?
Un hallazgo abierto es un riesgo para el CAR. El procedimiento de gestión de hallazgos es el proceso que convierte las no-conformidades en mejoras verificadas. Sin un proceso formal, los hallazgos pueden quedarse sin cerrar y bloquear el CAR positivo.

Evidencia que demostraría conformidad

• Procedimiento de gestión de hallazgos.
• Plantilla de acción correctora.
• Sistema de seguimiento de hallazgos.