Competencia y Evaluación de los Auditores (Cláusula 7 de ISO 19011)
Competencia y Evaluación de los Auditores (Cláusula 7 de ISO 19011)
Un buen auditor no se define por el número de normas que ha memorizado, sino por su capacidad de generar confianza en las conclusiones que emite. La Cláusula 7 de ISO 19011 aborda precisamente eso: qué hace competente a un auditor y cómo se puede evaluar y demostrar esa competencia. Para un auditor líder de un SGIA, esta cláusula es doblemente relevante, porque no solo debe ser competente, sino también seleccionar y evaluar al equipo que audita bajo su liderazgo.
La competencia, según la norma, descansa sobre tres pilares que se combinan:
flowchart LR
A[Atributos<br/>personales] --> D[Auditor<br/>competente]
B[Conocimientos<br/>y habilidades<br/>genéricos] --> D
C[Educación, experiencia<br/>y formación] --> D
D --> E[Conclusiones<br/>confiables]
La cláusula pide que el auditor:
- Posea cualidades personales —diplomacia, sinceridad, percepción, persistencia— para conducir la auditoría de forma profesional.
- Posea conocimientos genéricos y habilidades: aplicar principios y técnicas de auditoría, planificar y organizar el trabajo, conocer códigos y normativas locales, regionales y nacionales.
- Tenga un nivel adecuado de educación, experiencia laboral, formación como auditor y experiencia en auditorías.
- Mantenga y mejore continuamente sus habilidades y competencias.
Ese último punto es clave: la competencia no es un estado que se alcanza una vez, sino algo que se erosiona si no se cultiva. En un campo tan cambiante como la IA, un auditor que no actualiza sus conocimientos pierde competencia aunque conserve el certificado.
Atributos personales del auditor
ISO 19011 enumera trece atributos personales (a–m). No son adornos: cada uno resuelve un problema concreto que aparece en el trabajo de campo. Presentarse ante un auditado, extraer información honesta, sostener un hallazgo incómodo o adaptarse a un entorno técnico desconocido son situaciones donde estos atributos marcan la diferencia entre una auditoría creíble y una superficial.
| Atributo | Definición (ISO 19011) | En el terreno de un SGIA |
|---|---|---|
| a) Ético | Justo, veraz, sincero, honesto y discreto | Reporta un sesgo del modelo aunque incomode al cliente |
| b) De mente abierta | Dispuesto a considerar ideas o puntos de vista alternativos | Acepta que una arquitectura de gobernanza inusual puede ser válida |
| c) Diplomático | Discreto al tratar con individuos | Cuestiona al data scientist sin ponerlo a la defensiva |
| d) Observador | Observa activamente el entorno físico y las actividades | Nota que nadie revisa realmente las alertas del monitoreo |
| e) Perceptivo | Consciente de y capaz de comprender situaciones | Detecta que un “sí” del equipo esconde una duda |
| f) Versátil | Capaz de adaptarse fácilmente a distintas situaciones | Salta de auditar políticas a revisar pipelines de datos |
| g) Tenaz | Persistente y enfocado en alcanzar objetivos | Insiste hasta obtener la evidencia de trazabilidad del modelo |
| h) Decisivo | Llega a conclusiones oportunas con razonamiento lógico | Cierra un hallazgo sin dilatarlo indefinidamente |
| i) Autosuficiente | Actúa de forma independiente mientras interactúa con otros | Conduce su línea de auditoría sin depender de que lo guíen |
| j) Con fortaleza | Actúa responsable y éticamente aunque sea impopular | Mantiene una no conformidad mayor pese a la presión |
| k) Abierto a la mejora | Dispuesto a aprender de las situaciones | Ajusta su técnica tras una auditoría difícil |
| l) Culturalmente sensible | Atento y respetuoso con la cultura del auditado | Adapta su estilo a un equipo de otra región o idioma |
| m) Colaborador | Interactúa eficazmente con el equipo y el auditado | Coordina hallazgos con otros auditores sin fricción |
Cómo se evalúan estos atributos en la práctica
Los atributos personales no se miden con un examen escrito; se observan en el comportamiento. En la práctica se evalúan mediante:
- Observación directa durante auditorías presenciales o acompañamientos (shadowing), donde un evaluador ve al candidato interactuar con un auditado real.
- Retroalimentación de auditados y colegas tras auditorías previas: ¿fue diplomático?, ¿mantuvo la objetividad bajo presión?
- Entrevistas y ejercicios de rol que plantean situaciones tensas —un auditado defensivo, un hallazgo disputado— para ver cómo reacciona.
- Revisión de informes que redactó: la claridad, la imparcialidad y la fortaleza para sostener hallazgos se leen en el papel.
Ejemplo. Para evaluar la fortaleza (atributo j) de un candidato a auditor líder, un evaluador lo acompaña en una auditoría donde el gerente del auditado intenta minimizar una no conformidad relacionada con la falta de evaluación de impacto de un modelo. Si el candidato cede a la presión y reclasifica el hallazgo sin evidencia nueva, falla en fortaleza. Si lo sostiene con datos y a la vez mantiene la diplomacia (atributo c), demuestra ambos atributos simultáneamente.
Conocimientos genéricos y habilidades
Más allá de los atributos, el auditor necesita un cuerpo de conocimientos y habilidades aplicables a cualquier auditoría de sistemas de gestión. ISO 19011 los agrupa en áreas. Las principales:
a) Principios, procesos y métodos de auditoría
Le permiten asegurar que las auditorías se realicen de forma consistente y sistemática. Un auditor debería ser capaz de:
- Comprender los tipos de riesgos y oportunidades asociados a la auditoría y los principios del enfoque basado en riesgo.
- Planificar y organizar el trabajo de manera efectiva y realizar la auditoría dentro del cronograma acordado.
- Priorizar y enfocarse en los asuntos importantes.
- Comunicarse eficazmente de forma oral y escrita (incluso mediante intérpretes).
- Recopilar información por entrevistas efectivas, escucha, observación y revisión de información documentada.
- Comprender la idoneidad del muestreo y sus consecuencias.
- Considerar las opiniones de expertos técnicos.
- Auditar un proceso de principio a fin, incluidas sus interrelaciones con otros procesos y funciones.
- Verificar la relevancia y exactitud de la información recopilada.
- Confirmar la suficiencia e idoneidad de la evidencia para respaldar hallazgos y conclusiones.
- Evaluar los factores que afectan la confiabilidad de los hallazgos.
- Documentar actividades y hallazgos, y preparar informes.
- Mantener la confidencialidad y seguridad de la información.
b) Normas del sistema de gestión y otras referencias
Permiten comprender el alcance de la auditoría y aplicar los criterios. Cubren:
- Las normas del sistema de gestión y documentos normativos u orientativos usados como criterios (por ejemplo, ISO 42001 y sus anexos).
- Cómo el auditado y otras organizaciones aplican esos estándares.
- Las relaciones e interacciones entre los procesos del sistema de gestión.
- La importancia y prioridad de múltiples estándares o referencias, y su aplicación a distintas situaciones.
c) La organización y su contexto
Permiten comprender la estructura, el propósito y la gestión del auditado:
- Necesidades y expectativas de las partes interesadas pertinentes.
- Tipo de organización, gobernanza, tamaño, estructura, funciones y relaciones.
- Conceptos generales de gestión y procesos empresariales relacionados.
- Aspectos culturales y sociales del auditado.
d) Requisitos reglamentarios, legales y otros aplicables
Permiten conocer y trabajar dentro de los requisitos de la organización. Cubren:
- Requisitos legales y reglamentarios y sus agencias de gobierno.
- Terminología jurídica básica.
- Contratación y responsabilidad.
NOTA de la norma. La conciencia de los requisitos legales y reglamentarios no implica pericia legal, y una auditoría del sistema de gestión no debe tratarse como una auditoría de cumplimiento legal. El auditor de un SGIA necesita entender que existe, por ejemplo, un marco regulatorio de IA aplicable, pero no actúa como abogado que dictamine el cumplimiento de esa ley.
mindmap
root((Conocimientos<br/>genéricos))
a. Principios y métodos de auditoría
Muestreo
Recopilación de evidencia
Documentación de hallazgos
b. Normas del sistema de gestión
ISO 42001 como criterio
Interacción de procesos
c. Organización y contexto
Partes interesadas
Gobernanza y cultura
d. Requisitos legales
Marco regulatorio de IA
Sin pericia legal
Métodos para evaluar a los auditores
La competencia se demuestra combinando varios métodos de evaluación; ninguno basta por sí solo:
| Método | Qué mide bien | Limitación |
|---|---|---|
| Revisión de registros | Educación, formación, experiencia acumulada | No mide desempeño real |
| Retroalimentación | Percepción de atributos y estilo | Subjetiva; requiere varias fuentes |
| Entrevista | Conocimientos, razonamiento, actitudes | No mide comportamiento en campo |
| Observación (shadowing) | Atributos y habilidades en acción real | Costosa en tiempo |
| Examen | Conocimiento de normas y principios | No mide atributos personales |
| Revisión post-auditoría | Calidad de hallazgos e informes | Retrospectiva |
Un programa de evaluación serio triangula: contrasta lo que el candidato dice saber (entrevista, examen) con lo que realmente hace (observación) y con cómo lo perciben quienes trabajaron con él (retroalimentación). Para un auditor líder de SGIA, la observación en campo cobra especial peso, porque los atributos como la fortaleza, la diplomacia y la percepción solo se revelan bajo la presión de una auditoría real.
La competencia técnica específica en IA —comprender modelos, datos, sesgo, explicabilidad— se suma a esta base genérica. Cuando el equipo auditor no la posee, el auditor líder íntegro recurre a un experto técnico, cerrando el círculo con el principio de integridad visto en el capítulo anterior.
Capítulo 5 de la serie ISO/IEC 42001 Lead Auditor — Continúa en el Capítulo 6: Programa de Auditoría: Objetivos, Riesgos y Oportunidades (Cláusula 5, Parte 1)