Programa de Auditoría: Objetivos, Riesgos y Oportunidades (Cláusula 5, Parte 1)

Por: Artiko
ISO 42001Lead AuditorISO 19011auditoríaSGIA

Programa de Auditoría: Objetivos, Riesgos y Oportunidades (Cláusula 5, Parte 1)

Hasta ahora hemos hablado de los principios y de la competencia del auditor individual. La Cláusula 5 de ISO 19011 sube un nivel: ya no se trata de una auditoría suelta, sino del programa de auditoría, es decir, la orquestación de todas las auditorías a lo largo del tiempo.

ISO 19011 define un programa de auditoría como los arreglos para un conjunto de una o más auditorías planificadas para un marco de tiempo específico y dirigidas hacia un propósito específico. Un programa puede incluir una sola auditoría o muchas, según el tamaño, la naturaleza y la complejidad de la organización auditada.

flowchart TD
    P[Programa de auditoría] --> A1[Auditoría 1]
    P --> A2[Auditoría 2]
    P --> A3[Auditoría N]
    A1 --> H[Hallazgos y<br/>conclusiones]
    A2 --> H
    A3 --> H
    H --> M[Mejora del SGIA<br/>y del programa]

El alcance de un programa debería basarse en el tamaño y la naturaleza del auditado, así como en la funcionalidad, la complejidad, el tipo de riesgos y oportunidades, y el nivel de madurez de los sistemas de gestión a auditar. Auditar un SGIA recién implantado no requiere el mismo programa que auditar uno maduro que lleva años operando.

Para comprender el contexto del auditado, el programa debería tener en cuenta:

Esta parte del capítulo cubre dos actividades fundacionales del programa: establecer sus objetivos y determinar y evaluar sus riesgos y oportunidades.


Establecimiento de los objetivos del programa de auditoría

El cliente de auditoría —quien solicita la auditoría— es responsable de asegurar que los objetivos del programa se establezcan para dirigir la planificación y la realización de las auditorías, y de garantizar que el programa se implemente de manera efectiva.

Un principio de coherencia atraviesa todo: los objetivos del programa deben ser coherentes con la orientación estratégica y con los objetivos y la política del sistema de gestión del cliente. Un programa de auditoría no vive en el vacío; sirve a la estrategia de la organización. Si la empresa apuesta por desplegar IA de forma responsable, su programa de auditoría debe reflejar y reforzar esa apuesta.

Los objetivos pueden basarse en la consideración de:

Base para el objetivoEjemplo en un SGIA
a) Necesidades y expectativas de partes interesadas (externas e internas)Reguladores y usuarios exigen IA no discriminatoria
b) Características y requisitos de procesos, productos, servicios y proyectos, y sus cambiosNuevo modelo generativo incorporado al portafolio
c) Requisitos del sistema de gestiónCumplir las cláusulas de ISO 42001
d) Necesidad de evaluar proveedores externosAuditar al proveedor del modelo base o del dataset
e) Nivel de rendimiento y madurez del sistema (KPIs, no conformidades, incidentes, quejas)Aumento de incidentes de sesgo reportados
f) Riesgos y oportunidades identificados para el auditadoRiesgo de drift del modelo en producción
g) Resultados de auditorías anterioresHallazgos previos sobre trazabilidad de datos

Ejemplo. Una organización que ofrece diagnóstico médico asistido por IA fija como objetivo de su programa: “Verificar anualmente que todos los modelos en producción de alto riesgo cuenten con evaluación de impacto vigente y monitoreo activo de rendimiento”. Ese objetivo se apoya en las expectativas de pacientes y reguladores (a), en los requisitos de ISO 42001 (c) y en incidentes previos de degradación de modelos (e). Es concreto, medible y ligado a la estrategia de seguridad del paciente.


Determinación y evaluación de los riesgos y oportunidades del programa

Aquí conviene una distinción que suele confundirse y que es central para el examen y para la práctica:

No son los riesgos del SGIA auditado. Son los riesgos de gestionar el propio programa de auditorías. El riesgo de que un modelo discrimine pertenece al auditado; el riesgo de que la auditoría se planifique mal, no tenga recursos o filtre información confidencial pertenece al programa.

flowchart LR
    subgraph AUDITADO["Riesgos del SGIA auditado"]
        R1[Sesgo del modelo]
        R2[Drift en producción]
        R3[Fuga de datos personales]
    end
    subgraph PROGRAMA["Riesgos del programa de auditoría"]
        P1[Mala planificación]
        P2[Recursos insuficientes]
        P3[Equipo sin competencia]
        P4[Comunicación deficiente]
    end
    AUDITADO -.se auditan.-> PROGRAMA

Existen riesgos y oportunidades relacionados con el contexto del auditado que pueden asociarse al programa y afectar el logro de sus objetivos. La persona responsable del programa debería considerar los riesgos durante su desarrollo, a lo largo de estas dimensiones:

DimensiónEjemplo de riesgo del programa (ISO 19011)
a) PlanificaciónNo establecer objetivos de auditoría relevantes; determinar mal alcance, número, duración, ubicaciones y cronograma
b) RecursosTiempo, equipo o capacitación insuficientes para desarrollar el programa o realizar una auditoría
c) Selección del equipoCompetencia global insuficiente para auditar de manera efectiva
d) ComunicaciónProcesos o canales de comunicación externos/internos ineficaces
e) ImplementaciónCoordinación ineficaz de las auditorías; no considerar la seguridad y confidencialidad de la información
f) Control de la información documentadaDeterminar mal la documentación necesaria; falta de protección adecuada de los registros de auditoría
g) Seguimiento, revisión y mejoraSeguimiento ineficaz de los resultados del programa
h) Disponibilidad del auditadoFalta de cooperación del auditado o de evidencia para muestrear

Cada una de estas dimensiones adquiere un matiz especial al auditar un SGIA:

Ejemplo. Al diseñar el programa anual, el responsable identifica que la única auditora con formación en IA está asignada a otro cliente durante el trimestre planificado. Es un riesgo de la dimensión (c), selección del equipo: sin ella, la competencia global sería insuficiente. Lo evalúa como alto y decide mitigarlo reprogramando la auditoría o contratando un experto técnico externo, antes de que comprometa el objetivo del programa.

Oportunidades para mejorar el programa

El enfoque basado en riesgo no solo mira amenazas; también busca oportunidades. ISO 19011 sugiere, entre otras:

Estas oportunidades hacen el programa más eficiente sin sacrificar rigor: un equipo bien ajustado a la competencia requerida y fechas coordinadas con las personas clave elevan la calidad de la evidencia obtenida.


Objetivos, riesgos y oportunidades como un ciclo

Los tres elementos se alimentan mutuamente. Los objetivos definen qué debe lograr el programa; los riesgos son lo que puede impedirlo; las oportunidades son lo que puede potenciarlo. Evaluar riesgos y oportunidades sin objetivos claros es imposible, porque el riesgo siempre se mide respecto a un objetivo.

flowchart LR
    O[Objetivos del<br/>programa] --> R{Riesgos y<br/>oportunidades}
    R -->|amenazan| O
    R -->|potencian| O
    R --> D[Decisiones de<br/>diseño del programa]
    D --> I[Alcance, recursos,<br/>implementación]

Con los objetivos fijados y los riesgos y oportunidades evaluados, el responsable del programa está listo para la siguiente fase: definir concretamente el alcance, asignar recursos, distribuir roles y responsabilidades e implementar el programa. Eso es lo que abordaremos a continuación.

Capítulo 6 de la serie ISO/IEC 42001 Lead Auditor — Continúa en el Capítulo 7: Programa de Auditoría: Establecimiento, Alcance, Recursos e Implementación (Cláusula 5, Parte 2)