Inicio de la Auditoría Individual: Objetivos, Equipo Auditor y Contacto con el Auditado

Por: Artiko
ISO 42001Lead AuditorISO 19011auditoríaSGIA

Inicio de la Auditoría Individual

Hasta aquí hemos trabajado a nivel de programa. En este capítulo descendemos a la unidad concreta: la auditoría individual. Aquí es donde el líder del equipo auditor empieza a tomar el protagonismo, aunque quienes gestionan el programa siguen presentes gobernando los resultados, los registros y la mejora. Recorreremos toda la secuencia de arranque: desde la definición de objetivos hasta el primer contacto formal con el auditado.

flowchart TD
    A[Definir objetivos,<br/>alcance y criterios] --> B[Seleccionar<br/>métodos de auditoría]
    B --> C[Seleccionar<br/>equipo auditor]
    C --> D[Asignar responsabilidad<br/>al líder del equipo]
    D --> E[Establecer contacto<br/>con el auditado]
    subgraph Gobernanza del programa
        F[Gestionar resultados]
        G[Administrar registros]
        H[Revisar y mejorar]
    end
    E -.alimenta.-> F
    F --> G
    G --> H

Definir objetivos, alcance y criterios de la auditoría individual

Cada auditoría individual debe partir de objetivos, alcance y criterios definidos, y estos tienen que ser coherentes con los objetivos generales del programa. Esta coherencia no es un formalismo: garantiza que la suma de auditorías individuales cumple el propósito del programa en su conjunto.

Los objetivos definen qué se quiere lograr

Los objetivos responden a la pregunta “¿para qué hacemos esta auditoría?”. Pueden incluir:

En un SGIA, un objetivo típico podría ser evaluar si el sistema de gestión permite a la organización mantener la conformidad frente a un marco regulatorio de IA en evolución: es decir, no solo si cumple hoy, sino si tiene la capacidad de seguir cumpliendo mañana.

El alcance y los criterios

El alcance de la auditoría debe ser coherente con el programa y con los objetivos de la auditoría. Delimita qué funciones, procesos y ubicaciones se examinan. Los criterios son la referencia contra la cual se compara la evidencia (la norma ISO/IEC 42001, políticas internas, requisitos legales, contratos).

ElementoPregunta que respondeEjemplo en SGIA
Objetivos¿Para qué auditamos?Verificar la efectividad de los controles de gestión de riesgos de IA.
Alcance¿Qué y dónde auditamos?El proceso de despliegue de modelos en la unidad de producto, sede central.
Criterios¿Contra qué comparamos?ISO/IEC 42001, política interna de IA responsable, requisitos legales aplicables.

Selección y determinación de los métodos de auditoría

Quien gestiona el programa selecciona y determina los métodos para llevar a cabo la auditoría de forma eficaz y eficiente, en función de los objetivos, el alcance y los criterios definidos.

Las auditorías pueden realizarse en el sitio, de forma remota o combinando ambas. El uso de estos métodos debería estar adecuadamente equilibrado, considerando —entre otros factores— los riesgos y oportunidades asociados. Por ejemplo, revisar la documentación de gobernanza de un modelo puede hacerse remotamente, pero observar cómo el equipo de operaciones responde a una alerta de deriva del modelo puede requerir presencia en el sitio.

Además, si un auditado opera dos o más sistemas de gestión de distintas disciplinas (por ejemplo, ISO/IEC 42001 e ISO/IEC 27001), pueden incluirse auditorías combinadas en el programa, aprovechando sinergias y reduciendo la carga sobre el auditado.

flowchart LR
    A[Objetivos, alcance<br/>y criterios] --> B{¿Qué método<br/>equilibra mejor<br/>riesgos?}
    B --> C[En sitio]
    B --> D[Remoto]
    B --> E[Combinado]
    B --> F[Auditoría combinada<br/>multi-disciplina]

Selección del equipo auditor

Quien gestiona el programa nombra a los miembros del equipo, incluyendo al líder del equipo y a cualquier experto técnico necesario para la auditoría específica.

El equipo se selecciona teniendo en cuenta la competencia necesaria para alcanzar los objetivos de la auditoría dentro del alcance definido. Un principio importante: si solo hay un auditor, ese auditor debe realizar todas las tareas aplicables de un líder de equipo. No existe la figura de un auditor “sin liderazgo”; alguien siempre asume esa responsabilidad.

En un SGIA, la composición del equipo suele buscar un equilibrio entre competencia en auditoría (dominio de ISO 19011 y del proceso) y competencia técnica en IA (aportada, cuando hace falta, por expertos técnicos que no necesariamente actúan como auditores plenos).

Asignación de responsabilidades al líder del equipo auditor

Quienes gestionan el programa deben asignar la responsabilidad de llevar a cabo la auditoría individual a un líder de equipo. Esta asignación debería hacerse con suficiente tiempo antes de la fecha programada, para garantizar una planificación efectiva. Asignar al líder el día previo a la auditoría es una receta para una planificación deficiente.

Para que la auditoría se realice eficazmente, se debe proporcionar al líder información sobre:

Información suministradaPor qué la necesita el líder
Objetivos de auditoríaOrientan todo el diseño de la auditoría.
Criterios y documentación relevanteDefinen la referencia de conformidad.
Alcance, incluida la identificación de la organización, funciones y procesos a auditarDelimita el campo de trabajo.
Procesos de auditoría y métodos asociadosDeterminan cómo se recogerá la evidencia.
Composición del equipoLe permite asignar tareas y responsabilidades.
Datos de contacto del auditado, ubicaciones, marco temporal y duraciónHabilitan la logística y el contacto inicial.
Recursos necesariosLe aseguran los medios para ejecutar.
Información para evaluar y abordar riesgos y oportunidades relativos al logro de los objetivosSustenta el enfoque basado en riesgo.
Información de apoyo para las interacciones con el auditadoMejora la efectividad del programa.

Gestión de los resultados del programa

Aunque la ejecución recae en el equipo, quienes gestionan el programa deben garantizar que se cierra el ciclo de resultados. Concretamente, deben asegurar que se realizan:

Y, cuando corresponda, deberían considerar además:

Este último punto es especialmente valioso en IA: un hallazgo sobre gestión de datos de entrenamiento en un proyecto puede tener implicaciones directas para otros proyectos que comparten fuentes de datos.

Administrar y mantener los registros del programa

Los registros son la evidencia de que el programa se implementa realmente. Quienes lo administran deben garantizar que se generan, administran y mantienen los registros que demuestran su implementación. Se agrupan en tres familias:

mindmap
  root((Registros del<br/>programa))
    Del programa
      Calendario de auditorías
      Objetivos y alcance
      Riesgos y oportunidades
      Revisiones de efectividad
    De cada auditoría
      Planes e informes
      Evidencia y hallazgos
      No conformidades
      Correcciones y acciones correctivas
      Informes de seguimiento
    Del equipo auditor
      Evaluación de competencia
      Criterios de selección
      Mantenimiento y mejora de competencia

Evaluación del programa

Quienes gestionan el programa deben garantizar que se evalúa:

Revisión y mejora del programa

Quienes gestionan el programa y el cliente de auditoría deberían revisar el programa para evaluar si se han alcanzado sus objetivos. Esta revisión debería considerar:

El último punto merece atención: ISO 19011, aplicada a un SGIA, incorpora explícitamente las cuestiones de IA y confidencialidad como objeto de revisión del propio programa de auditoría. La disciplina que se audita se refleja también en cómo se gobierna la auditoría.

Establecer contacto con el auditado

Con la auditoría individual encuadrada y el equipo asignado, se produce el primer paso ejecutivo: establecer contacto con el auditado, responsabilidad del líder del equipo auditor.

Este contacto no es una simple cortesía; tiene propósitos concretos que sientan las bases de toda la auditoría:

sequenceDiagram
    participant L as Líder de equipo
    participant A as Auditado
    L->>A: Confirma canales de comunicación
    L->>A: Confirma autoridad para auditar
    L->>A: Informa objetivos, alcance, criterios, métodos, equipo
    L->>A: Solicita acceso a información relevante
    A->>L: Aporta info de riesgos y oportunidades identificados
    L->>A: Acuerda tratamiento de información confidencial
    L->>A: Coordina cronograma, logística y accesos
    A->>L: Confirma guías, intérpretes y observadores

Los propósitos del contacto inicial son:

En un SGIA, el tratamiento de la información confidencial y el acceso a activos sensibles (datos de entrenamiento, código de modelos, resultados de evaluaciones de impacto) suele ser el punto más delicado de este contacto. Acordarlo con claridad antes de la auditoría evita bloqueos durante su ejecución.

Cierre

El inicio de una auditoría individual encadena decisiones que condicionan todo lo que sigue: objetivos y alcance coherentes con el programa, métodos equilibrados por riesgo, un equipo competente con un líder claramente responsable, una gobernanza que cierra el ciclo de resultados y registros, y un contacto inicial que despeja accesos y confidencialidad. Con estos cimientos, el líder del equipo está en condiciones de dar el siguiente paso: determinar la viabilidad de la auditoría y planificarla con enfoque basado en riesgo.

Capítulo 8 de la serie ISO/IEC 42001 Lead Auditor — Continúa en el Capítulo 9: Planificación de la Auditoría: Enfoque Basado en Riesgo y Plan de Auditoría