Programa de Auditoría: Establecimiento, Alcance, Recursos e Implementación (Cláusula 5, Parte 2)

Por: Artiko
ISO 42001Lead AuditorISO 19011auditoríaSGIA

Programa de Auditoría: Establecimiento, Alcance, Recursos e Implementación

En el capítulo anterior distinguimos entre el programa de auditoría (el conjunto de auditorías planificadas para un periodo y un propósito) y cada auditoría individual. Ahora bajamos un nivel de profundidad: veremos qué significa, en la práctica, poner en marcha un programa de auditoría de un Sistema de Gestión de Inteligencia Artificial (SGIA). Esto abarca cuatro grandes bloques que la norma ISO 19011 encadena de forma lógica: quién lo gestiona y de qué responde, hasta dónde llega su alcance, con qué recursos cuenta, y cómo se despliega en el día a día.

La idea central que conviene interiorizar desde el principio es que un programa de auditoría no es una lista de fechas en un calendario. Es un proceso vivo que se gestiona, se dota de recursos, se comunica y se mejora. Y como todo proceso, alguien tiene que ser responsable de él.

flowchart LR
    A[Roles y<br/>responsabilidades] --> B[Establecer<br/>el alcance]
    B --> C[Determinar<br/>recursos]
    C --> D[Implementar<br/>el programa]
    D --> E[Monitorear,<br/>revisar y mejorar]
    E -.retroalimenta.-> A

Roles y responsabilidades de quienes gestionan el programa

La norma asigna a las personas que gestionan el programa de auditoría un conjunto de responsabilidades que van mucho más allá de “organizar auditorías”. Piensa en ellas como el equivalente a un director de orquesta: no toca cada instrumento, pero garantiza que todos suenen coordinados y en el momento correcto.

Sus responsabilidades se pueden agrupar así:

ÁreaQué implica en un SGIA
Extensión del programaDefinir hasta dónde llega el programa en función de los objetivos relevantes y de las restricciones conocidas (presupuesto, disponibilidad de auditores con competencia en IA, ventanas operativas).
Riesgos y oportunidadesIdentificar los problemas externos e internos y los riesgos y oportunidades que puedan afectar al programa, e integrar las acciones para abordarlos en todas las actividades de auditoría pertinentes.
Selección y competencia de equiposAsegurar que se seleccionan los equipos y que existe la competencia global necesaria, asignando funciones, responsabilidades y autoridades, con el apoyo del liderazgo.
Definición de procesosEstablecer todos los procesos que el programa necesita para funcionar (ver más abajo).
Provisión de recursosDeterminar y garantizar los recursos necesarios.
Información documentadaAsegurar que se prepara y mantiene la información documentada apropiada, incluidos los registros del programa.
Mejora continuaMonitorear, revisar y mejorar el programa.
ComunicaciónComunicar el programa al cliente de auditoría y, cuando corresponda, a las partes interesadas pertinentes, y solicitar la aprobación del cliente de auditoría.

Los procesos que hay que establecer

Uno de los deberes más concretos es establecer todos los procesos relevantes que el programa necesita para operar. Sin estos procesos, cada auditoría se improvisaría y la coherencia del programa se perdería. Entre ellos:

Un ejemplo concreto en un SGIA: si durante una auditoría surge una discrepancia sobre si un modelo de IA cae o no dentro del alcance por tratarse de un sistema de terceros, el proceso de resolución de disputas debe estar definido de antemano. No se resuelve inventando una regla en el momento.

La competencia de quien gestiona el programa

Gestionar un programa de auditoría exige competencia propia. La persona (o personas) responsable debería conocer, como mínimo:

Establecer el alcance del programa de auditoría

El alcance del programa define qué se va a auditar durante el periodo cubierto. No es fijo: varía según el contexto que el propio auditado proporciona. Un fabricante que despliega modelos de IA en producto y un banco que usa IA para decisiones de crédito tendrán programas con alcances muy distintos, aunque ambos certifiquen bajo ISO/IEC 42001.

Los factores que impactan en el alcance del programa incluyen:

mindmap
  root((Alcance del<br/>programa))
    Auditorías
      Objetivo y duración
      Cantidad
      Seguimiento
    Criterios
      Normas aplicables
      Requisitos legales
      Compromisos
    Contexto
      Cambios operativos
      Eventos internos/externos
      Cadena de suministro
    Recursos y medios
      TIC y auditoría remota
      Ubicaciones
    Partes interesadas
      Quejas
      Expectativas
      Cultura e idioma

Determinar los recursos del programa

Un programa sin recursos es una declaración de intenciones. Al determinar los recursos, quienes gestionan el programa deberían considerar:

Un matiz práctico: en auditorías de IA es frecuente necesitar acceso a entornos técnicos (repositorios de código, plataformas de MLOps, registros de modelos). Ese acceso es un recurso, y planificarlo tarde suele ser causa de retrasos.

Implementación del programa de auditoría

Con roles definidos, alcance acotado y recursos asignados, llega el despliegue. Implementar el programa significa ejecutar de forma coordinada las siguientes actividades:

sequenceDiagram
    participant G as Gestor del programa
    participant PI as Partes interesadas
    participant L as Líder de equipo
    participant EA as Equipo auditor
    G->>PI: Comunica el programa y su progreso
    G->>L: Define objetivos, alcance y criterios
    G->>L: Asigna recursos y métodos
    L->>EA: Confirma competencia y responsabilidades
    EA->>G: Ejecuta la auditoría conforme al programa
    G->>G: Controla, documenta y revisa para mejorar

Fíjate en el carácter cíclico: la última actividad —revisar para mejorar— realimenta la definición del siguiente ciclo del programa. Esta es la manifestación del principio de mejora continua aplicado a la propia función de auditoría, no solo al sistema de gestión auditado.

Cierre

Establecer un programa de auditoría de SGIA es un ejercicio de gobernanza: exige responsables claros, un alcance justificado por el contexto y los riesgos, recursos suficientes y un despliegue disciplinado que se comunica y se mejora. Con estas bases fijadas, el foco se traslada de lo programático a lo individual: cómo arranca una auditoría concreta, cómo se define su equipo y cómo se establece el primer contacto con el auditado.

Capítulo 7 de la serie ISO/IEC 42001 Lead Auditor — Continúa en el Capítulo 8: Inicio de la Auditoría Individual: Objetivos, Equipo Auditor y Contacto con el Auditado