Reunión de Apertura, Comunicación y Recopilación de Evidencia

Por: Artiko
ISO 42001Lead AuditorISO 19011auditoríaSGIA

La auditoría en sitio arranca con un acto formal breve pero decisivo: la reunión de apertura. En pocos minutos se alinea a todos los participantes, se despejan malentendidos sobre el alcance y se establecen las reglas de comunicación que gobernarán los próximos días. A partir de ahí comienza la parte medular del trabajo —recopilar información y transformarla en evidencia objetiva— sostenida por una comunicación continua entre el equipo auditor y el auditado.

La reunión de apertura

Propósito

La reunión de apertura persigue tres objetivos concretos:

Su formalidad varía: en una PYME que audita su SGIA por primera vez puede ser una conversación breve alrededor de una mesa; en una organización grande, una reunión estructurada con actas. La proporcionalidad manda.

sequenceDiagram
    participant L as Auditor líder
    participant E as Equipo auditor
    participant A as Auditado
    L->>A: Confirma objetivos, alcance y criterios
    L->>E: Presenta al equipo y sus roles
    E->>A: Se presentan (procesos y áreas asignadas)
    L->>A: Repasa el plan, horarios y reunión de cierre
    L->>A: Acuerda canales formales de comunicación e idioma
    A->>L: Confirma disponibilidad de recursos e instalaciones
    L->>A: Explica cómo se informarán los hallazgos
    A-->>L: Acuerdo con el plan de auditoría
    L->>E: Da inicio a las actividades de auditoría

Puntos a considerar

Durante la reunión, el líder repasa un conjunto de asuntos que evitan fricciones posteriores:

Además, según corresponda, se debería presentar información sobre:

Revisión de la documentación durante la auditoría

La revisión de la información documentada del auditado no es un trámite previo que se agota antes de empezar: continúa a lo largo de la auditoría. Se revisa para dos fines:

  1. Determinar la conformidad del sistema —en la medida en que esté documentado— con los criterios de auditoría.
  2. Recopilar información que apoye las actividades de auditoría.

Esta revisión puede combinarse con las demás actividades, siempre que no perjudique la efectividad de la auditoría. Y aquí aparece una decisión de gestión importante: si no se puede proporcionar la información documentada adecuada dentro del marco de tiempo del plan, el líder del equipo debe informar tanto a quien gestiona el programa de auditoría como al auditado. Según los objetivos y el alcance, se tomará una decisión sobre si la auditoría continúa o se suspende hasta resolver los problemas de documentación.

Comunicación durante la auditoría

Una auditoría no es una caja negra: exige comunicación constante hacia adentro del equipo y hacia el auditado, y a veces hacia terceros. Esto último cobra fuerza cuando los requisitos legales y reglamentarios exigen la notificación obligatoria de un incumplimiento (por ejemplo, ante un regulador).

Las prácticas de comunicación esenciales son:

Métodos para recopilar información

La evidencia de auditoría no proviene de una sola fuente. El auditor triangula información de varios orígenes para sostener sus conclusiones:

MétodoQué aporta en un SGIA
EntrevistasCómo se ejecutan realmente los procesos de gobernanza de IA
Observación de actividades o lugares de trabajoVerificar que la práctica coincide con lo documentado
Revisión de documentos, incluidos registrosPolíticas, procedimientos, evaluaciones de impacto de IA
RegistrosReportes de eventos de seguridad, mediciones de eficacia de controles, actas de reunión, informes de auditoría
Resúmenes de datos, análisis e indicadoresDesempeño de incidentes de seguridad, métricas del modelo
Informes de otras fuentesDatos de entidades reguladoras

El flujo general va de la recopilación de información, pasando por su verificación y contraste con los criterios, hasta la formulación de conclusiones de auditoría. Cada fuente refuerza o matiza a las demás; una afirmación en una entrevista adquiere peso cuando la respalda un registro, y pierde fuerza cuando lo contradice.

Buenas prácticas de entrevistas

La entrevista es el método más rico y, a la vez, el más delicado, porque involucra a personas que pueden sentirse examinadas. Estas prácticas la vuelven productiva:

Con la reunión de apertura celebrada, los canales de comunicación abiertos y los métodos de recopilación en marcha, el auditor entra de lleno en la ejecución: formular las preguntas adecuadas, muestrear con criterio, administrar el tiempo y navegar las situaciones difíciles que inevitablemente surgen.

Capítulo 11 de la serie ISO/IEC 42001 Lead Auditor — Continúa en el Capítulo 12: Ejecución de la Auditoría: Entrevistas, Administración del Tiempo y Situaciones Difíciles