Planificación de la Auditoría: Enfoque Basado en Riesgo y Plan de Auditoría
Planificación de la Auditoría
Establecido el contacto con el auditado, el líder del equipo auditor entra en la fase que separa una auditoría ordenada de una improvisada: la planificación. En este capítulo veremos tres momentos encadenados —determinar la viabilidad, revisar la información documentada y planificar con enfoque basado en riesgo— y cerraremos con el contenido mínimo que todo plan de auditoría debe recoger.
flowchart LR
A[Determinar<br/>viabilidad] --> B[Revisar información<br/>documentada]
B --> C[Planificar con<br/>enfoque en riesgo]
C --> D[Elaborar el<br/>plan de auditoría]
D --> E[Aceptación del cliente<br/>y presentación al auditado]
Determinación de la viabilidad de la auditoría
Antes de invertir esfuerzo en planificar en detalle, hay que responder una pregunta previa: ¿es viable realizar esta auditoría? La determinación de la viabilidad debería tener en cuenta la disponibilidad de:
- Información suficiente y apropiada para planificar y llevar a cabo la auditoría.
- Cooperación adecuada del auditado.
- Tiempo y recursos adecuados para realizar la auditoría.
Si alguno de estos tres pilares falta, la auditoría no es viable en sus términos actuales y debe posponerse o renegociarse. Un ejemplo en un SGIA: si el auditado no puede facilitar acceso a la documentación de gobernanza de sus modelos ni a las personas responsables dentro del marco temporal previsto, forzar la auditoría solo produciría conclusiones débiles.
flowchart TD
A{¿Información<br/>suficiente?} -->|No| X[No viable:<br/>posponer o renegociar]
A -->|Sí| B{¿Cooperación<br/>del auditado?}
B -->|No| X
B -->|Sí| C{¿Tiempo y<br/>recursos?}
C -->|No| X
C -->|Sí| Y[Viable:<br/>continuar planificación]
Revisión de la información documentada
Una vez confirmada la viabilidad, se realiza una revisión de la información documentada del auditado. Esta revisión persigue dos objetivos:
- Recopilar información para comprender las operaciones del auditado y preparar las actividades de auditoría y los documentos de trabajo aplicables (por ejemplo, sobre procesos y funciones).
- Establecer una visión general del alcance de la información documentada, para valorar la posible conformidad con los criterios de auditoría y detectar áreas de preocupación como deficiencias, omisiones o conflictos.
La información documentada debería incluir, entre otros:
- Documentos y registros del sistema de gestión.
- Informes de auditoría anteriores.
La revisión debe tener en cuenta el contexto de la organización —su tamaño, naturaleza y complejidad, y sus riesgos y oportunidades relacionados—, así como el alcance, los criterios y los objetivos de la auditoría. En un SGIA, esta revisión suele abarcar políticas de IA responsable, evaluaciones de impacto de sistemas de IA, inventarios de modelos y registros de decisiones de gobernanza.
Enfoque basado en riesgo para la planificación
El líder del equipo auditor debería adoptar un enfoque basado en riesgo para planificar la auditoría, apoyándose en la información del programa y en la información documentada aportada por el auditado. Este enfoque orienta el esfuerzo de auditoría hacia donde más importa: los procesos y controles cuyo fallo tendría mayor impacto.
Al planificar, el líder debería considerar:
- La composición del equipo y su competencia general.
- Las técnicas de muestreo apropiadas.
- Las oportunidades para mejorar la efectividad y eficiencia de las actividades de auditoría.
- Los riesgos para lograr los objetivos de auditoría creados por una planificación ineficaz.
- Los riesgos para el auditado creados al realizar la auditoría.
Merece destacar que el enfoque basado en riesgo mira en dos direcciones: el riesgo de que la auditoría no logre sus objetivos (por ejemplo, por muestreo insuficiente de modelos críticos) y el riesgo que la propia auditoría genera al auditado (por ejemplo, interrumpir un sistema de IA en producción durante una demostración). Ambos deben equilibrarse.
mindmap
root((Enfoque basado<br/>en riesgo))
Equipo
Composición
Competencia global
Muestreo
Técnicas apropiadas
Cobertura de lo crítico
Eficacia
Oportunidades de mejora
Riesgos
Para los objetivos de auditoría
Para el auditado
Detalles de planificación
La planificación debería abordar o hacer referencia a los siguientes elementos:
- Los objetivos de la auditoría.
- El alcance, incluida la identificación de la organización, sus funciones y los procesos a auditar.
- Los criterios de auditoría y cualquier información documentada de referencia.
- Las ubicaciones (físicas y virtuales), fechas, tiempo previsto y duración de las actividades, incluidas las reuniones con la administración del auditado.
- La necesidad de familiarizarse con las instalaciones y procesos del auditado (por ejemplo, un recorrido por las ubicaciones físicas o la revisión de la tecnología de información y comunicación).
- Los métodos de auditoría a utilizar, incluido el grado de muestreo necesario para obtener evidencia suficiente.
- Las funciones y responsabilidades de los miembros del equipo, así como de guías, observadores o intérpretes.
- La asignación de recursos apropiados según los riesgos y oportunidades de las actividades a auditar.
Y debería tener en cuenta, según corresponda:
- La identificación de los representantes del auditado para la auditoría.
- El idioma de trabajo y de los informes, cuando difiera del idioma del auditor, del auditado o de ambos.
- Los temas del informe de auditoría.
- Los arreglos de logística y comunicaciones, incluidos los específicos de cada ubicación.
- Cualquier acción específica para abordar los riesgos al logro de los objetivos y las oportunidades que surjan.
- Cuestiones relacionadas con la confidencialidad y la IA.
- Cualquier acción de seguimiento de una auditoría anterior u otras fuentes (lecciones aprendidas, revisiones de proyectos).
- Cualquier actividad de seguimiento planificada de la auditoría.
- La coordinación con otras actividades de auditoría, en caso de auditoría conjunta.
Qué debe incluir el plan de auditoría
Frente al conjunto amplio de consideraciones anteriores, la norma concreta un núcleo obligatorio que el plan de auditoría debe incluir. Conviene memorizar esta lista, porque representa el contenido mínimo verificable de cualquier plan:
| # | Elemento del plan |
|---|---|
| 1 | Los objetivos de la auditoría. |
| 2 | El alcance de la auditoría. |
| 3 | Los criterios de la auditoría. |
| 4 | Ubicación, fechas, horario y duración, incluidas las reuniones con la dirección del auditado. |
| 5 | Las funciones y responsabilidades de los miembros del equipo auditor, así como de guías y observadores. |
| 6 | La asignación de los recursos necesarios. |
| 7 | La identificación del representante del auditado. |
| 8 | El idioma. |
El plan puede ser revisado y aceptado por el cliente de auditoría y debería presentarse al auditado. Este paso de aceptación y presentación cierra el círculo de transparencia: el auditado conoce de antemano qué se auditará, cuándo y cómo, lo que reduce fricciones durante la ejecución.
flowchart LR
A[Plan de auditoría] --> B{Revisión y<br/>aceptación<br/>del cliente}
B --> C[Presentación<br/>al auditado]
C --> D[Ejecución de<br/>la auditoría]
Una nota sobre la matriz del plan
En la práctica, muchos equipos materializan el plan en una matriz de plan de auditoría: una tabla que cruza procesos y funciones a auditar con criterios, auditores asignados, métodos, franjas horarias y ubicaciones. Esta matriz convierte los ocho elementos obligatorios en una herramienta operativa que el equipo usa hora a hora durante la auditoría.
Cierre
Planificar una auditoría es un ejercicio de anticipación disciplinada: primero se confirma que la auditoría es viable, luego se comprende al auditado a través de su documentación, después se enfoca el esfuerzo según el riesgo, y finalmente se plasma todo en un plan con un contenido mínimo bien definido, aceptado por el cliente y presentado al auditado. Con el plan sobre la mesa, el siguiente paso es bajar del plan a la acción concreta del equipo: repartir el trabajo entre los auditores y prepararse con los documentos adecuados.
Capítulo 9 de la serie ISO/IEC 42001 Lead Auditor — Continúa en el Capítulo 10: Asignación de Tareas, Documentos de Trabajo y Listas de Verificación