Competencia y Evaluación de los Auditores (Cláusula 7 de ISO 19011)

Por: Artiko
ISO 42001Lead AuditorISO 19011auditoríaSGIA

Competencia y Evaluación de los Auditores (Cláusula 7 de ISO 19011)

Un buen auditor no se define por el número de normas que ha memorizado, sino por su capacidad de generar confianza en las conclusiones que emite. La Cláusula 7 de ISO 19011 aborda precisamente eso: qué hace competente a un auditor y cómo se puede evaluar y demostrar esa competencia. Para un auditor líder de un SGIA, esta cláusula es doblemente relevante, porque no solo debe ser competente, sino también seleccionar y evaluar al equipo que audita bajo su liderazgo.

La competencia, según la norma, descansa sobre tres pilares que se combinan:

flowchart LR
    A[Atributos<br/>personales] --> D[Auditor<br/>competente]
    B[Conocimientos<br/>y habilidades<br/>genéricos] --> D
    C[Educación, experiencia<br/>y formación] --> D
    D --> E[Conclusiones<br/>confiables]

La cláusula pide que el auditor:

Ese último punto es clave: la competencia no es un estado que se alcanza una vez, sino algo que se erosiona si no se cultiva. En un campo tan cambiante como la IA, un auditor que no actualiza sus conocimientos pierde competencia aunque conserve el certificado.


Atributos personales del auditor

ISO 19011 enumera trece atributos personales (a–m). No son adornos: cada uno resuelve un problema concreto que aparece en el trabajo de campo. Presentarse ante un auditado, extraer información honesta, sostener un hallazgo incómodo o adaptarse a un entorno técnico desconocido son situaciones donde estos atributos marcan la diferencia entre una auditoría creíble y una superficial.

AtributoDefinición (ISO 19011)En el terreno de un SGIA
a) ÉticoJusto, veraz, sincero, honesto y discretoReporta un sesgo del modelo aunque incomode al cliente
b) De mente abiertaDispuesto a considerar ideas o puntos de vista alternativosAcepta que una arquitectura de gobernanza inusual puede ser válida
c) DiplomáticoDiscreto al tratar con individuosCuestiona al data scientist sin ponerlo a la defensiva
d) ObservadorObserva activamente el entorno físico y las actividadesNota que nadie revisa realmente las alertas del monitoreo
e) PerceptivoConsciente de y capaz de comprender situacionesDetecta que un “sí” del equipo esconde una duda
f) VersátilCapaz de adaptarse fácilmente a distintas situacionesSalta de auditar políticas a revisar pipelines de datos
g) TenazPersistente y enfocado en alcanzar objetivosInsiste hasta obtener la evidencia de trazabilidad del modelo
h) DecisivoLlega a conclusiones oportunas con razonamiento lógicoCierra un hallazgo sin dilatarlo indefinidamente
i) AutosuficienteActúa de forma independiente mientras interactúa con otrosConduce su línea de auditoría sin depender de que lo guíen
j) Con fortalezaActúa responsable y éticamente aunque sea impopularMantiene una no conformidad mayor pese a la presión
k) Abierto a la mejoraDispuesto a aprender de las situacionesAjusta su técnica tras una auditoría difícil
l) Culturalmente sensibleAtento y respetuoso con la cultura del auditadoAdapta su estilo a un equipo de otra región o idioma
m) ColaboradorInteractúa eficazmente con el equipo y el auditadoCoordina hallazgos con otros auditores sin fricción

Cómo se evalúan estos atributos en la práctica

Los atributos personales no se miden con un examen escrito; se observan en el comportamiento. En la práctica se evalúan mediante:

Ejemplo. Para evaluar la fortaleza (atributo j) de un candidato a auditor líder, un evaluador lo acompaña en una auditoría donde el gerente del auditado intenta minimizar una no conformidad relacionada con la falta de evaluación de impacto de un modelo. Si el candidato cede a la presión y reclasifica el hallazgo sin evidencia nueva, falla en fortaleza. Si lo sostiene con datos y a la vez mantiene la diplomacia (atributo c), demuestra ambos atributos simultáneamente.


Conocimientos genéricos y habilidades

Más allá de los atributos, el auditor necesita un cuerpo de conocimientos y habilidades aplicables a cualquier auditoría de sistemas de gestión. ISO 19011 los agrupa en áreas. Las principales:

a) Principios, procesos y métodos de auditoría

Le permiten asegurar que las auditorías se realicen de forma consistente y sistemática. Un auditor debería ser capaz de:

b) Normas del sistema de gestión y otras referencias

Permiten comprender el alcance de la auditoría y aplicar los criterios. Cubren:

c) La organización y su contexto

Permiten comprender la estructura, el propósito y la gestión del auditado:

d) Requisitos reglamentarios, legales y otros aplicables

Permiten conocer y trabajar dentro de los requisitos de la organización. Cubren:

NOTA de la norma. La conciencia de los requisitos legales y reglamentarios no implica pericia legal, y una auditoría del sistema de gestión no debe tratarse como una auditoría de cumplimiento legal. El auditor de un SGIA necesita entender que existe, por ejemplo, un marco regulatorio de IA aplicable, pero no actúa como abogado que dictamine el cumplimiento de esa ley.

mindmap
  root((Conocimientos<br/>genéricos))
    a. Principios y métodos de auditoría
      Muestreo
      Recopilación de evidencia
      Documentación de hallazgos
    b. Normas del sistema de gestión
      ISO 42001 como criterio
      Interacción de procesos
    c. Organización y contexto
      Partes interesadas
      Gobernanza y cultura
    d. Requisitos legales
      Marco regulatorio de IA
      Sin pericia legal

Métodos para evaluar a los auditores

La competencia se demuestra combinando varios métodos de evaluación; ninguno basta por sí solo:

MétodoQué mide bienLimitación
Revisión de registrosEducación, formación, experiencia acumuladaNo mide desempeño real
RetroalimentaciónPercepción de atributos y estiloSubjetiva; requiere varias fuentes
EntrevistaConocimientos, razonamiento, actitudesNo mide comportamiento en campo
Observación (shadowing)Atributos y habilidades en acción realCostosa en tiempo
ExamenConocimiento de normas y principiosNo mide atributos personales
Revisión post-auditoríaCalidad de hallazgos e informesRetrospectiva

Un programa de evaluación serio triangula: contrasta lo que el candidato dice saber (entrevista, examen) con lo que realmente hace (observación) y con cómo lo perciben quienes trabajaron con él (retroalimentación). Para un auditor líder de SGIA, la observación en campo cobra especial peso, porque los atributos como la fortaleza, la diplomacia y la percepción solo se revelan bajo la presión de una auditoría real.

La competencia técnica específica en IA —comprender modelos, datos, sesgo, explicabilidad— se suma a esta base genérica. Cuando el equipo auditor no la posee, el auditor líder íntegro recurre a un experto técnico, cerrando el círculo con el principio de integridad visto en el capítulo anterior.

Capítulo 5 de la serie ISO/IEC 42001 Lead Auditor — Continúa en el Capítulo 6: Programa de Auditoría: Objetivos, Riesgos y Oportunidades (Cláusula 5, Parte 1)