Inicio de la Auditoría Individual: Objetivos, Equipo Auditor y Contacto con el Auditado
Inicio de la Auditoría Individual
Hasta aquí hemos trabajado a nivel de programa. En este capítulo descendemos a la unidad concreta: la auditoría individual. Aquí es donde el líder del equipo auditor empieza a tomar el protagonismo, aunque quienes gestionan el programa siguen presentes gobernando los resultados, los registros y la mejora. Recorreremos toda la secuencia de arranque: desde la definición de objetivos hasta el primer contacto formal con el auditado.
flowchart TD
A[Definir objetivos,<br/>alcance y criterios] --> B[Seleccionar<br/>métodos de auditoría]
B --> C[Seleccionar<br/>equipo auditor]
C --> D[Asignar responsabilidad<br/>al líder del equipo]
D --> E[Establecer contacto<br/>con el auditado]
subgraph Gobernanza del programa
F[Gestionar resultados]
G[Administrar registros]
H[Revisar y mejorar]
end
E -.alimenta.-> F
F --> G
G --> H
Definir objetivos, alcance y criterios de la auditoría individual
Cada auditoría individual debe partir de objetivos, alcance y criterios definidos, y estos tienen que ser coherentes con los objetivos generales del programa. Esta coherencia no es un formalismo: garantiza que la suma de auditorías individuales cumple el propósito del programa en su conjunto.
Los objetivos definen qué se quiere lograr
Los objetivos responden a la pregunta “¿para qué hacemos esta auditoría?”. Pueden incluir:
- Determinar el grado de conformidad del sistema de gestión (o partes de él) con los criterios de auditoría.
- Evaluar la capacidad del sistema de gestión para ayudar a la organización a cumplir los requisitos legales, reglamentarios y otros compromisos.
- Evaluar la efectividad del sistema de gestión para alcanzar los resultados esperados.
- Identificar oportunidades de mejora potencial.
- Evaluar la idoneidad y adecuación del sistema respecto al contexto y la dirección estratégica del auditado.
- Evaluar la capacidad del sistema para establecer y alcanzar objetivos y abordar riesgos y oportunidades en un contexto cambiante, incluida la implementación de las acciones relacionadas.
En un SGIA, un objetivo típico podría ser evaluar si el sistema de gestión permite a la organización mantener la conformidad frente a un marco regulatorio de IA en evolución: es decir, no solo si cumple hoy, sino si tiene la capacidad de seguir cumpliendo mañana.
El alcance y los criterios
El alcance de la auditoría debe ser coherente con el programa y con los objetivos de la auditoría. Delimita qué funciones, procesos y ubicaciones se examinan. Los criterios son la referencia contra la cual se compara la evidencia (la norma ISO/IEC 42001, políticas internas, requisitos legales, contratos).
| Elemento | Pregunta que responde | Ejemplo en SGIA |
|---|---|---|
| Objetivos | ¿Para qué auditamos? | Verificar la efectividad de los controles de gestión de riesgos de IA. |
| Alcance | ¿Qué y dónde auditamos? | El proceso de despliegue de modelos en la unidad de producto, sede central. |
| Criterios | ¿Contra qué comparamos? | ISO/IEC 42001, política interna de IA responsable, requisitos legales aplicables. |
Selección y determinación de los métodos de auditoría
Quien gestiona el programa selecciona y determina los métodos para llevar a cabo la auditoría de forma eficaz y eficiente, en función de los objetivos, el alcance y los criterios definidos.
Las auditorías pueden realizarse en el sitio, de forma remota o combinando ambas. El uso de estos métodos debería estar adecuadamente equilibrado, considerando —entre otros factores— los riesgos y oportunidades asociados. Por ejemplo, revisar la documentación de gobernanza de un modelo puede hacerse remotamente, pero observar cómo el equipo de operaciones responde a una alerta de deriva del modelo puede requerir presencia en el sitio.
Además, si un auditado opera dos o más sistemas de gestión de distintas disciplinas (por ejemplo, ISO/IEC 42001 e ISO/IEC 27001), pueden incluirse auditorías combinadas en el programa, aprovechando sinergias y reduciendo la carga sobre el auditado.
flowchart LR
A[Objetivos, alcance<br/>y criterios] --> B{¿Qué método<br/>equilibra mejor<br/>riesgos?}
B --> C[En sitio]
B --> D[Remoto]
B --> E[Combinado]
B --> F[Auditoría combinada<br/>multi-disciplina]
Selección del equipo auditor
Quien gestiona el programa nombra a los miembros del equipo, incluyendo al líder del equipo y a cualquier experto técnico necesario para la auditoría específica.
El equipo se selecciona teniendo en cuenta la competencia necesaria para alcanzar los objetivos de la auditoría dentro del alcance definido. Un principio importante: si solo hay un auditor, ese auditor debe realizar todas las tareas aplicables de un líder de equipo. No existe la figura de un auditor “sin liderazgo”; alguien siempre asume esa responsabilidad.
En un SGIA, la composición del equipo suele buscar un equilibrio entre competencia en auditoría (dominio de ISO 19011 y del proceso) y competencia técnica en IA (aportada, cuando hace falta, por expertos técnicos que no necesariamente actúan como auditores plenos).
Asignación de responsabilidades al líder del equipo auditor
Quienes gestionan el programa deben asignar la responsabilidad de llevar a cabo la auditoría individual a un líder de equipo. Esta asignación debería hacerse con suficiente tiempo antes de la fecha programada, para garantizar una planificación efectiva. Asignar al líder el día previo a la auditoría es una receta para una planificación deficiente.
Para que la auditoría se realice eficazmente, se debe proporcionar al líder información sobre:
| Información suministrada | Por qué la necesita el líder |
|---|---|
| Objetivos de auditoría | Orientan todo el diseño de la auditoría. |
| Criterios y documentación relevante | Definen la referencia de conformidad. |
| Alcance, incluida la identificación de la organización, funciones y procesos a auditar | Delimita el campo de trabajo. |
| Procesos de auditoría y métodos asociados | Determinan cómo se recogerá la evidencia. |
| Composición del equipo | Le permite asignar tareas y responsabilidades. |
| Datos de contacto del auditado, ubicaciones, marco temporal y duración | Habilitan la logística y el contacto inicial. |
| Recursos necesarios | Le aseguran los medios para ejecutar. |
| Información para evaluar y abordar riesgos y oportunidades relativos al logro de los objetivos | Sustenta el enfoque basado en riesgo. |
| Información de apoyo para las interacciones con el auditado | Mejora la efectividad del programa. |
Gestión de los resultados del programa
Aunque la ejecución recae en el equipo, quienes gestionan el programa deben garantizar que se cierra el ciclo de resultados. Concretamente, deben asegurar que se realizan:
- La evaluación del logro de los objetivos de cada auditoría del programa.
- La revisión y aprobación de los informes de auditoría respecto al cumplimiento de alcance y objetivos.
- La revisión de la efectividad de las acciones tomadas para abordar los hallazgos.
- La distribución de los informes a las partes interesadas pertinentes.
- La determinación de la necesidad de auditorías de seguimiento.
Y, cuando corresponda, deberían considerar además:
- Comunicar los resultados y las mejores prácticas a otras áreas de la organización.
- Las implicaciones para otros procesos.
Este último punto es especialmente valioso en IA: un hallazgo sobre gestión de datos de entrenamiento en un proyecto puede tener implicaciones directas para otros proyectos que comparten fuentes de datos.
Administrar y mantener los registros del programa
Los registros son la evidencia de que el programa se implementa realmente. Quienes lo administran deben garantizar que se generan, administran y mantienen los registros que demuestran su implementación. Se agrupan en tres familias:
mindmap
root((Registros del<br/>programa))
Del programa
Calendario de auditorías
Objetivos y alcance
Riesgos y oportunidades
Revisiones de efectividad
De cada auditoría
Planes e informes
Evidencia y hallazgos
No conformidades
Correcciones y acciones correctivas
Informes de seguimiento
Del equipo auditor
Evaluación de competencia
Criterios de selección
Mantenimiento y mejora de competencia
- Registros del programa: calendario de auditorías; objetivos y alcance del programa; aquellos que abordan los riesgos y oportunidades del programa y los problemas externos e internos relevantes; revisiones de su efectividad.
- Registros de cada auditoría: planes e informes de auditoría; evidencia objetiva y hallazgos; informes de no conformidad; correcciones e informes de acciones correctivas; informes de seguimiento.
- Registros del equipo auditor: evaluación de competencia y desempeño de los miembros; criterios de selección de equipos y de formación de los mismos; mantenimiento y mejora de la competencia.
Evaluación del programa
Quienes gestionan el programa deben garantizar que se evalúa:
- Si se cumplen los cronogramas y se logran los objetivos del programa.
- El desempeño de los miembros del equipo, incluido el líder y los expertos técnicos.
- La capacidad de los equipos para implementar el plan de auditoría.
- La retroalimentación de clientes de auditoría, auditados, auditores, expertos técnicos y otras partes relevantes.
- La suficiencia y adecuación de la información documentada en todo el proceso.
Revisión y mejora del programa
Quienes gestionan el programa y el cliente de auditoría deberían revisar el programa para evaluar si se han alcanzado sus objetivos. Esta revisión debería considerar:
- Resultados y tendencias del seguimiento del programa.
- Conformidad con los procesos del programa y la información documentada relevante.
- La evolución de las necesidades y expectativas de las partes interesadas.
- Los registros del programa.
- Métodos de auditoría alternativos o nuevos.
- Métodos alternativos o nuevos para evaluar a los auditores.
- La efectividad de las acciones para abordar riesgos, oportunidades y problemas internos y externos asociados al programa.
- Cuestiones de confidencialidad y de IA relacionadas con el programa.
El último punto merece atención: ISO 19011, aplicada a un SGIA, incorpora explícitamente las cuestiones de IA y confidencialidad como objeto de revisión del propio programa de auditoría. La disciplina que se audita se refleja también en cómo se gobierna la auditoría.
Establecer contacto con el auditado
Con la auditoría individual encuadrada y el equipo asignado, se produce el primer paso ejecutivo: establecer contacto con el auditado, responsabilidad del líder del equipo auditor.
Este contacto no es una simple cortesía; tiene propósitos concretos que sientan las bases de toda la auditoría:
sequenceDiagram
participant L as Líder de equipo
participant A as Auditado
L->>A: Confirma canales de comunicación
L->>A: Confirma autoridad para auditar
L->>A: Informa objetivos, alcance, criterios, métodos, equipo
L->>A: Solicita acceso a información relevante
A->>L: Aporta info de riesgos y oportunidades identificados
L->>A: Acuerda tratamiento de información confidencial
L->>A: Coordina cronograma, logística y accesos
A->>L: Confirma guías, intérpretes y observadores
Los propósitos del contacto inicial son:
- Confirmar los canales de comunicación con los representantes del auditado.
- Confirmar la autoridad para realizar la auditoría.
- Proporcionar información sobre objetivos, alcance, criterios, métodos y composición del equipo (incluidos expertos técnicos).
- Solicitar acceso a la información relevante para la planificación, incluida la relativa a los riesgos y oportunidades que la organización ha identificado y cómo los aborda.
- Determinar los requisitos legales y reglamentarios aplicables y otros requisitos relevantes para las actividades, procesos, productos y servicios del auditado.
- Confirmar el acuerdo sobre el alcance de la divulgación y el tratamiento de la información confidencial.
- Hacer los arreglos para la auditoría, incluido el cronograma.
- Determinar los arreglos específicos de ubicación: acceso, salud y seguridad, confidencialidad u otros.
- Acordar la asistencia de observadores y la necesidad de guías o intérpretes para el equipo.
- Determinar cualquier área de interés, preocupación o riesgo para el auditado en relación con la auditoría específica.
- Resolver problemas relacionados con la composición del equipo con el auditado o el cliente de auditoría.
En un SGIA, el tratamiento de la información confidencial y el acceso a activos sensibles (datos de entrenamiento, código de modelos, resultados de evaluaciones de impacto) suele ser el punto más delicado de este contacto. Acordarlo con claridad antes de la auditoría evita bloqueos durante su ejecución.
Cierre
El inicio de una auditoría individual encadena decisiones que condicionan todo lo que sigue: objetivos y alcance coherentes con el programa, métodos equilibrados por riesgo, un equipo competente con un líder claramente responsable, una gobernanza que cierra el ciclo de resultados y registros, y un contacto inicial que despeja accesos y confidencialidad. Con estos cimientos, el líder del equipo está en condiciones de dar el siguiente paso: determinar la viabilidad de la auditoría y planificarla con enfoque basado en riesgo.
Capítulo 8 de la serie ISO/IEC 42001 Lead Auditor — Continúa en el Capítulo 9: Planificación de la Auditoría: Enfoque Basado en Riesgo y Plan de Auditoría