Saltar al contenido
CertENS
EN
Auditoría

No conformidades típicas en auditorías ENS y cómo evitarlas

Las 10 no conformidades que más veces detecta el auditor en una certificación ENS y qué hacer para que no aparezcan en tu informe.

7 min de lectura Marta Ribó · Responsable de Certificación · CertENS

Una auditoría ENS raramente termina con “cero hallazgos”. Lo normal es que el informe recoja entre 3 y 10 observaciones, con una o dos no conformidades menores. Los problemas vienen cuando aparecen no conformidades mayores, que bloquean la emisión del certificado hasta que se resuelvan. En este artículo compilamos las 10 no conformidades que vemos repetirse con más frecuencia y cómo evitarlas antes de que el auditor llegue.

Qué es una no conformidad (y qué no lo es)

Antes de entrar en materia, una distinción útil:

  • Observación: mejora recomendada, no bloquea la certificación.
  • No conformidad menor: incumplimiento puntual, corregible sin afectar a la emisión del certificado (con plazo de acciones correctivas).
  • No conformidad mayor: incumplimiento sistémico o grave; bloquea la emisión hasta que se resuelva.

Los hallazgos que listamos a continuación suelen aparecer como menores o mayores según la gravedad y la extensión.

Las 10 no conformidades más frecuentes

1. DA desactualizada

La Declaración de Aplicabilidad referencia procedimientos con versiones antiguas, o incluye medidas marcadas como “implementadas” cuando no lo están. Es probablemente el hallazgo más frecuente.

Cómo evitarlo: revisar la DA trimestralmente y siempre en la semana previa a la auditoría.

2. Política aprobada pero no difundida

La política de seguridad existe, está firmada, pero ningún empleado recuerda haberla visto. El auditor pregunta a 3–4 personas al azar y detecta el vacío.

Cómo evitarlo: circular la política por canal formal, pedir lectura confirmada, incluirla en el onboarding y guardar los registros de entrega.

3. Análisis de riesgos de hace más de un año sin revisión

El AR se hizo en su día, no se ha tocado, el entorno ha cambiado. El auditor lo detecta al comparar fechas.

Cómo evitarlo: revisión ligera anual documentada, aunque los cambios sean mínimos.

4. Pruebas de continuidad sin evidencia

El plan de continuidad existe, pero no hay registro de ninguna prueba realizada. En Media es obligatorio ejecutarlas al menos anualmente.

Cómo evitarlo: calendarizar pruebas con sus actas, aunque sean pruebas parciales. Una restauración de backup mensual + un simulacro anual básico es mejor que nada.

5. Gestión de vulnerabilidades sin trazabilidad

Se pasa un escáner, pero no hay un proceso que registre vulnerabilidades, priorice, asigne y verifique el cierre.

Cómo evitarlo: abrir ticket por vulnerabilidad detectada, con SLA, responsable y evidencia de cierre.

6. Logs no revisados

El SIEM o la plataforma de logs existe, pero nadie los revisa con un proceso definido.

Cómo evitarlo: definir casos de uso, alertas y turno de revisión. Registrar la revisión aunque no haya eventos.

7. Proveedores sin cláusulas ENS

Contratos con terceros (cloud, SaaS, soporte) sin cláusulas que exijan cumplimiento ENS, notificación de incidentes o derecho de auditoría.

Cómo evitarlo: generar plantilla de cláusulas ENS y añadirla a las renovaciones. Abordar primero los proveedores más críticos.

8. Gestión de accesos deficiente

Cuentas compartidas, cuentas de exempleados activas, roles mal revocados, sin revisión periódica de accesos.

Cómo evitarlo: revisión trimestral de accesos con lista firmada por el responsable funcional. Automatizar cierre en onboarding/offboarding.

9. Formación y concienciación solo formal

Se entrega material de formación por correo pero no hay evidencia de que se haya completado. Las métricas de finalización no existen.

Cómo evitarlo: plataforma LMS con registro, o al menos pruebas cortas tras la formación con firmas. Guardar evidencias.

10. Copias de seguridad sin restauración probada

Se hacen copias diarias, pero nadie ha intentado restaurar nunca. El auditor pide una prueba y aflora que el proceso no funciona del todo.

Cómo evitarlo: prueba de restauración trimestral documentada, aunque sea de una carpeta pequeña.

Dos patrones que subyacen a casi todo

Si miras las 10 no conformidades anteriores, hay dos patrones que se repiten:

Patrón 1 — “Documentado pero no practicado”. Existe el procedimiento, pero en el día a día no se sigue. El auditor lo detecta en cuanto pregunta “muéstrame la última vez que hicisteis X”.

Patrón 2 — “Hecho pero no documentado”. Se realiza la actividad, pero no hay evidencia. El auditor exige “si no está escrito, no existe”, y probablemente tiene razón.

La mayoría de las no conformidades caen en uno de los dos. Trabajar ambos frentes cierra el 80 % de los hallazgos potenciales.

Cómo usar una preauditoría

Una preauditoría interna o una preauditoría externa realizada por un consultor ajeno al implantador es la mejor forma de cazar no conformidades antes de que lo haga el auditor oficial. Se hace 4–6 semanas antes de la auditoría de certificación, con la misma lista de comprobación. Los hallazgos que arroja se cierran antes del día D.

En CertENS incluimos una preauditoría externa en los proyectos de categoría Media y Alta. El coste extra se recupera de sobra al evitar no conformidades que, en auditoría real, suponen repetir visita.

Qué ocurre si aparecen no conformidades

Nada dramático si son menores:

  1. El auditor entrega el informe con el hallazgo.
  2. Tienes un plazo (normalmente 30–60 días) para presentar acciones correctivas: análisis causa-raíz, acción inmediata y acción preventiva.
  3. El auditor revisa las acciones y las acepta o pide más.
  4. Una vez cerradas las no conformidades, se emite el certificado.

Si son mayores, el plazo y la gravedad son distintos, pero el proceso es el mismo.

Conclusión

Las auditorías ENS no buscan “pillarte”: buscan verificar que haces lo que dices hacer y que lo haces bien. La mayoría de las no conformidades son evitables con disciplina documental y con prácticas reales, no con más papeles.

Sigue leyendo

Auditoría

Renovación bienal: preparando la segunda auditoría

Cómo preparar la renovación de la certificación ENS dos años después: qué revisará el auditor, qué suele fallar y cómo llegar sin sobresaltos.

6 min
Auditoría

Checklist de preparación para la auditoría de certificación

Lista de comprobación exhaustiva para llegar a la auditoría ENAC con la máxima solvencia: documentación, evidencias, equipo y sala.

7 min
Auditoría

La auditoría bienal: qué esperar el primer día

Cómo se desarrolla una auditoría de certificación ENS en el primer día: apertura, entrevistas, toma de evidencias y qué preparar para que fluya.

5 min

¿Listo para certificarte en el ENS?

Diagnóstico inicial sin coste y sin compromiso. Te contestamos en menos de 24 horas laborables.

Solicitar diagnóstico info@certificacionens.eu