Programa de Auditoría: Establecimiento, Alcance, Recursos e Implementación (Cláusula 5, Parte 2)
Programa de Auditoría: Establecimiento, Alcance, Recursos e Implementación
En el capítulo anterior distinguimos entre el programa de auditoría (el conjunto de auditorías planificadas para un periodo y un propósito) y cada auditoría individual. Ahora bajamos un nivel de profundidad: veremos qué significa, en la práctica, poner en marcha un programa de auditoría de un Sistema de Gestión de Inteligencia Artificial (SGIA). Esto abarca cuatro grandes bloques que la norma ISO 19011 encadena de forma lógica: quién lo gestiona y de qué responde, hasta dónde llega su alcance, con qué recursos cuenta, y cómo se despliega en el día a día.
La idea central que conviene interiorizar desde el principio es que un programa de auditoría no es una lista de fechas en un calendario. Es un proceso vivo que se gestiona, se dota de recursos, se comunica y se mejora. Y como todo proceso, alguien tiene que ser responsable de él.
flowchart LR
A[Roles y<br/>responsabilidades] --> B[Establecer<br/>el alcance]
B --> C[Determinar<br/>recursos]
C --> D[Implementar<br/>el programa]
D --> E[Monitorear,<br/>revisar y mejorar]
E -.retroalimenta.-> A
Roles y responsabilidades de quienes gestionan el programa
La norma asigna a las personas que gestionan el programa de auditoría un conjunto de responsabilidades que van mucho más allá de “organizar auditorías”. Piensa en ellas como el equivalente a un director de orquesta: no toca cada instrumento, pero garantiza que todos suenen coordinados y en el momento correcto.
Sus responsabilidades se pueden agrupar así:
| Área | Qué implica en un SGIA |
|---|---|
| Extensión del programa | Definir hasta dónde llega el programa en función de los objetivos relevantes y de las restricciones conocidas (presupuesto, disponibilidad de auditores con competencia en IA, ventanas operativas). |
| Riesgos y oportunidades | Identificar los problemas externos e internos y los riesgos y oportunidades que puedan afectar al programa, e integrar las acciones para abordarlos en todas las actividades de auditoría pertinentes. |
| Selección y competencia de equipos | Asegurar que se seleccionan los equipos y que existe la competencia global necesaria, asignando funciones, responsabilidades y autoridades, con el apoyo del liderazgo. |
| Definición de procesos | Establecer todos los procesos que el programa necesita para funcionar (ver más abajo). |
| Provisión de recursos | Determinar y garantizar los recursos necesarios. |
| Información documentada | Asegurar que se prepara y mantiene la información documentada apropiada, incluidos los registros del programa. |
| Mejora continua | Monitorear, revisar y mejorar el programa. |
| Comunicación | Comunicar el programa al cliente de auditoría y, cuando corresponda, a las partes interesadas pertinentes, y solicitar la aprobación del cliente de auditoría. |
Los procesos que hay que establecer
Uno de los deberes más concretos es establecer todos los procesos relevantes que el programa necesita para operar. Sin estos procesos, cada auditoría se improvisaría y la coherencia del programa se perdería. Entre ellos:
- La coordinación y programación de todas las auditorías dentro del programa.
- El establecimiento de objetivos, alcance y criterios de cada auditoría, la determinación de los métodos de auditoría y la selección del equipo.
- La evaluación de auditores, para asegurar que mantienen y mejoran su competencia.
- El establecimiento de procesos de comunicación externa e interna, según corresponda.
- La resolución de disputas y el manejo de quejas.
- El seguimiento de auditoría, si corresponde.
- El proceso para informar al cliente de auditoría y a las partes interesadas pertinentes.
Un ejemplo concreto en un SGIA: si durante una auditoría surge una discrepancia sobre si un modelo de IA cae o no dentro del alcance por tratarse de un sistema de terceros, el proceso de resolución de disputas debe estar definido de antemano. No se resuelve inventando una regla en el momento.
La competencia de quien gestiona el programa
Gestionar un programa de auditoría exige competencia propia. La persona (o personas) responsable debería conocer, como mínimo:
- Principios, métodos y procesos de auditoría.
- Normas del sistema de gestión aplicables (en nuestro caso, ISO/IEC 42001) y otros documentos de referencia u orientación.
- Información sobre el auditado y su contexto: asuntos externos e internos, partes interesadas relevantes y sus necesidades y expectativas, actividades comerciales, productos, servicios y procesos.
- Requisitos legales y reglamentarios aplicables y otros requisitos relevantes para las actividades del auditado. En el ámbito de la IA, esto cobra especial peso: regulaciones emergentes sobre IA, protección de datos y responsabilidad algorítmica pueden cambiar el terreno con rapidez.
Establecer el alcance del programa de auditoría
El alcance del programa define qué se va a auditar durante el periodo cubierto. No es fijo: varía según el contexto que el propio auditado proporciona. Un fabricante que despliega modelos de IA en producto y un banco que usa IA para decisiones de crédito tendrán programas con alcances muy distintos, aunque ambos certifiquen bajo ISO/IEC 42001.
Los factores que impactan en el alcance del programa incluyen:
- El objetivo, alcance y duración de cada auditoría, la cantidad de auditorías a realizar, el método de notificación y, si corresponde, el seguimiento.
- Las normas del sistema de gestión u otros criterios aplicables.
- El número, importancia, complejidad, similitud y ubicación de las actividades a auditar.
- Los factores que influyen en la efectividad del sistema de gestión.
- Los criterios de auditoría aplicables: acuerdos planificados para las normas pertinentes, requisitos legales y reglamentarios, y otros compromisos de la organización.
- Resultados de auditorías previas (internas o externas) y de revisiones por la dirección.
- Resultados de una revisión previa del programa de auditoría.
- Problemas lingüísticos, culturales y sociales.
- Preocupaciones de las partes interesadas: quejas de clientes, incumplimientos legales, problemas en la cadena de suministro.
- Cambios significativos en el contexto del auditado o sus operaciones, y los riesgos y oportunidades relacionados.
- La disponibilidad de tecnologías de información y comunicación para respaldar la auditoría, en particular métodos de auditoría remota.
- La ocurrencia de eventos internos y externos: no conformidades de productos o servicios, fugas de seguridad de la información, incidentes de salud y seguridad, actos delictivos o incidentes ambientales.
- Riesgos y oportunidades comerciales, incluidas las acciones para abordarlos.
mindmap
root((Alcance del<br/>programa))
Auditorías
Objetivo y duración
Cantidad
Seguimiento
Criterios
Normas aplicables
Requisitos legales
Compromisos
Contexto
Cambios operativos
Eventos internos/externos
Cadena de suministro
Recursos y medios
TIC y auditoría remota
Ubicaciones
Partes interesadas
Quejas
Expectativas
Cultura e idioma
Determinar los recursos del programa
Un programa sin recursos es una declaración de intenciones. Al determinar los recursos, quienes gestionan el programa deberían considerar:
- Los recursos financieros y de tiempo necesarios para desarrollar, implementar, administrar y mejorar las actividades de auditoría.
- Los métodos de auditoría que se van a emplear.
- La disponibilidad de auditores y expertos técnicos con las competencias apropiadas para los objetivos del programa. En un SGIA, esto suele incluir expertos técnicos en aprendizaje automático, gobernanza de datos o ética de la IA.
- La extensión del programa y sus riesgos y oportunidades.
- El tiempo y coste de viaje, alojamiento y otras necesidades.
- El impacto de las diferentes zonas horarias (relevante en organizaciones globales o equipos distribuidos).
- La disponibilidad de TIC: por ejemplo, los recursos técnicos para montar una auditoría remota con herramientas de colaboración.
- La disponibilidad de herramientas, tecnología y equipo requeridos.
- La disponibilidad de la información documentada necesaria.
- Los requisitos de instalación: espacios seguros y equipo, incluido equipo de protección personal cuando aplique.
Un matiz práctico: en auditorías de IA es frecuente necesitar acceso a entornos técnicos (repositorios de código, plataformas de MLOps, registros de modelos). Ese acceso es un recurso, y planificarlo tarde suele ser causa de retrasos.
Implementación del programa de auditoría
Con roles definidos, alcance acotado y recursos asignados, llega el despliegue. Implementar el programa significa ejecutar de forma coordinada las siguientes actividades:
- Comunicar las partes pertinentes del programa —incluidos riesgos y oportunidades— a las partes interesadas, e informarles periódicamente del progreso mediante los canales establecidos.
- Definir objetivos, alcance y criterios para cada auditoría individual.
- Seleccionar los métodos de auditoría.
- Coordinar y programar las auditorías y demás actividades relevantes.
- Garantizar la competencia de los equipos de auditoría.
- Proporcionar los recursos individuales y globales necesarios a los equipos.
- Garantizar la realización de las auditorías conforme al programa, gestionando los riesgos, oportunidades y problemas operativos (eventos inesperados) a medida que surjan.
- Gestionar y mantener adecuadamente la información documentada de las actividades de auditoría.
- Definir e implementar los controles operativos necesarios para supervisar el programa.
- Revisar el programa para identificar oportunidades de mejora.
sequenceDiagram
participant G as Gestor del programa
participant PI as Partes interesadas
participant L as Líder de equipo
participant EA as Equipo auditor
G->>PI: Comunica el programa y su progreso
G->>L: Define objetivos, alcance y criterios
G->>L: Asigna recursos y métodos
L->>EA: Confirma competencia y responsabilidades
EA->>G: Ejecuta la auditoría conforme al programa
G->>G: Controla, documenta y revisa para mejorar
Fíjate en el carácter cíclico: la última actividad —revisar para mejorar— realimenta la definición del siguiente ciclo del programa. Esta es la manifestación del principio de mejora continua aplicado a la propia función de auditoría, no solo al sistema de gestión auditado.
Cierre
Establecer un programa de auditoría de SGIA es un ejercicio de gobernanza: exige responsables claros, un alcance justificado por el contexto y los riesgos, recursos suficientes y un despliegue disciplinado que se comunica y se mejora. Con estas bases fijadas, el foco se traslada de lo programático a lo individual: cómo arranca una auditoría concreta, cómo se define su equipo y cómo se establece el primer contacto con el auditado.
Capítulo 7 de la serie ISO/IEC 42001 Lead Auditor — Continúa en el Capítulo 8: Inicio de la Auditoría Individual: Objetivos, Equipo Auditor y Contacto con el Auditado