Planificación de la Auditoría: Enfoque Basado en Riesgo y Plan de Auditoría

Por: Artiko
ISO 42001Lead AuditorISO 19011auditoríaSGIA

Planificación de la Auditoría

Establecido el contacto con el auditado, el líder del equipo auditor entra en la fase que separa una auditoría ordenada de una improvisada: la planificación. En este capítulo veremos tres momentos encadenados —determinar la viabilidad, revisar la información documentada y planificar con enfoque basado en riesgo— y cerraremos con el contenido mínimo que todo plan de auditoría debe recoger.

flowchart LR
    A[Determinar<br/>viabilidad] --> B[Revisar información<br/>documentada]
    B --> C[Planificar con<br/>enfoque en riesgo]
    C --> D[Elaborar el<br/>plan de auditoría]
    D --> E[Aceptación del cliente<br/>y presentación al auditado]

Determinación de la viabilidad de la auditoría

Antes de invertir esfuerzo en planificar en detalle, hay que responder una pregunta previa: ¿es viable realizar esta auditoría? La determinación de la viabilidad debería tener en cuenta la disponibilidad de:

Si alguno de estos tres pilares falta, la auditoría no es viable en sus términos actuales y debe posponerse o renegociarse. Un ejemplo en un SGIA: si el auditado no puede facilitar acceso a la documentación de gobernanza de sus modelos ni a las personas responsables dentro del marco temporal previsto, forzar la auditoría solo produciría conclusiones débiles.

flowchart TD
    A{¿Información<br/>suficiente?} -->|No| X[No viable:<br/>posponer o renegociar]
    A -->|Sí| B{¿Cooperación<br/>del auditado?}
    B -->|No| X
    B -->|Sí| C{¿Tiempo y<br/>recursos?}
    C -->|No| X
    C -->|Sí| Y[Viable:<br/>continuar planificación]

Revisión de la información documentada

Una vez confirmada la viabilidad, se realiza una revisión de la información documentada del auditado. Esta revisión persigue dos objetivos:

La información documentada debería incluir, entre otros:

La revisión debe tener en cuenta el contexto de la organización —su tamaño, naturaleza y complejidad, y sus riesgos y oportunidades relacionados—, así como el alcance, los criterios y los objetivos de la auditoría. En un SGIA, esta revisión suele abarcar políticas de IA responsable, evaluaciones de impacto de sistemas de IA, inventarios de modelos y registros de decisiones de gobernanza.

Enfoque basado en riesgo para la planificación

El líder del equipo auditor debería adoptar un enfoque basado en riesgo para planificar la auditoría, apoyándose en la información del programa y en la información documentada aportada por el auditado. Este enfoque orienta el esfuerzo de auditoría hacia donde más importa: los procesos y controles cuyo fallo tendría mayor impacto.

Al planificar, el líder debería considerar:

Merece destacar que el enfoque basado en riesgo mira en dos direcciones: el riesgo de que la auditoría no logre sus objetivos (por ejemplo, por muestreo insuficiente de modelos críticos) y el riesgo que la propia auditoría genera al auditado (por ejemplo, interrumpir un sistema de IA en producción durante una demostración). Ambos deben equilibrarse.

mindmap
  root((Enfoque basado<br/>en riesgo))
    Equipo
      Composición
      Competencia global
    Muestreo
      Técnicas apropiadas
      Cobertura de lo crítico
    Eficacia
      Oportunidades de mejora
    Riesgos
      Para los objetivos de auditoría
      Para el auditado

Detalles de planificación

La planificación debería abordar o hacer referencia a los siguientes elementos:

Y debería tener en cuenta, según corresponda:

Qué debe incluir el plan de auditoría

Frente al conjunto amplio de consideraciones anteriores, la norma concreta un núcleo obligatorio que el plan de auditoría debe incluir. Conviene memorizar esta lista, porque representa el contenido mínimo verificable de cualquier plan:

#Elemento del plan
1Los objetivos de la auditoría.
2El alcance de la auditoría.
3Los criterios de la auditoría.
4Ubicación, fechas, horario y duración, incluidas las reuniones con la dirección del auditado.
5Las funciones y responsabilidades de los miembros del equipo auditor, así como de guías y observadores.
6La asignación de los recursos necesarios.
7La identificación del representante del auditado.
8El idioma.

El plan puede ser revisado y aceptado por el cliente de auditoría y debería presentarse al auditado. Este paso de aceptación y presentación cierra el círculo de transparencia: el auditado conoce de antemano qué se auditará, cuándo y cómo, lo que reduce fricciones durante la ejecución.

flowchart LR
    A[Plan de auditoría] --> B{Revisión y<br/>aceptación<br/>del cliente}
    B --> C[Presentación<br/>al auditado]
    C --> D[Ejecución de<br/>la auditoría]

Una nota sobre la matriz del plan

En la práctica, muchos equipos materializan el plan en una matriz de plan de auditoría: una tabla que cruza procesos y funciones a auditar con criterios, auditores asignados, métodos, franjas horarias y ubicaciones. Esta matriz convierte los ocho elementos obligatorios en una herramienta operativa que el equipo usa hora a hora durante la auditoría.

Cierre

Planificar una auditoría es un ejercicio de anticipación disciplinada: primero se confirma que la auditoría es viable, luego se comprende al auditado a través de su documentación, después se enfoca el esfuerzo según el riesgo, y finalmente se plasma todo en un plan con un contenido mínimo bien definido, aceptado por el cliente y presentado al auditado. Con el plan sobre la mesa, el siguiente paso es bajar del plan a la acción concreta del equipo: repartir el trabajo entre los auditores y prepararse con los documentos adecuados.

Capítulo 9 de la serie ISO/IEC 42001 Lead Auditor — Continúa en el Capítulo 10: Asignación de Tareas, Documentos de Trabajo y Listas de Verificación