Reunión de Apertura, Comunicación y Recopilación de Evidencia
La auditoría en sitio arranca con un acto formal breve pero decisivo: la reunión de apertura. En pocos minutos se alinea a todos los participantes, se despejan malentendidos sobre el alcance y se establecen las reglas de comunicación que gobernarán los próximos días. A partir de ahí comienza la parte medular del trabajo —recopilar información y transformarla en evidencia objetiva— sostenida por una comunicación continua entre el equipo auditor y el auditado.
La reunión de apertura
Propósito
La reunión de apertura persigue tres objetivos concretos:
- Confirmar el acuerdo de todos los participantes (auditado, equipo de auditoría) con el plan de auditoría.
- Presentar al equipo de auditoría y sus roles, de modo que el auditado sepa quién audita qué.
- Garantizar que puedan realizarse todas las actividades de auditoría planificadas, verificando que no haya obstáculos de última hora.
Su formalidad varía: en una PYME que audita su SGIA por primera vez puede ser una conversación breve alrededor de una mesa; en una organización grande, una reunión estructurada con actas. La proporcionalidad manda.
sequenceDiagram
participant L as Auditor líder
participant E as Equipo auditor
participant A as Auditado
L->>A: Confirma objetivos, alcance y criterios
L->>E: Presenta al equipo y sus roles
E->>A: Se presentan (procesos y áreas asignadas)
L->>A: Repasa el plan, horarios y reunión de cierre
L->>A: Acuerda canales formales de comunicación e idioma
A->>L: Confirma disponibilidad de recursos e instalaciones
L->>A: Explica cómo se informarán los hallazgos
A-->>L: Acuerdo con el plan de auditoría
L->>E: Da inicio a las actividades de auditoría
Puntos a considerar
Durante la reunión, el líder repasa un conjunto de asuntos que evitan fricciones posteriores:
- Los objetivos, el alcance y los criterios de la auditoría.
- El plan de auditoría y otros arreglos relevantes con el auditado: fecha y hora de la reunión de cierre, cualquier reunión interina entre el equipo y la administración del auditado, y los cambios que resulten necesarios.
- Los canales de comunicación formales entre el equipo de auditoría y el auditado.
- El idioma que se utilizará durante la auditoría.
- El compromiso de mantener informado al auditado del progreso a lo largo de la auditoría.
- La disponibilidad de recursos e instalaciones que necesita el equipo.
- Cuestiones de confidencialidad y de IA. En una auditoría de SGIA esto es especialmente sensible: acceso a datos de entrenamiento, a modelos propietarios o a información personal usada por los sistemas de IA.
- Acceso, salud y seguridad, seguridad, emergencias y otros arreglos para el equipo.
- Actividades en el sitio que puedan afectar la realización de la auditoría.
Además, según corresponda, se debería presentar información sobre:
- El método para informar los hallazgos, incluidos los criterios de calificación, si aplican.
- Las condiciones bajo las cuales puede darse por terminada la auditoría.
- Cómo se tratarán los posibles hallazgos durante la auditoría.
- Cualquier sistema de retroalimentación del auditado sobre hallazgos o conclusiones, incluidas quejas o apelaciones.
Revisión de la documentación durante la auditoría
La revisión de la información documentada del auditado no es un trámite previo que se agota antes de empezar: continúa a lo largo de la auditoría. Se revisa para dos fines:
- Determinar la conformidad del sistema —en la medida en que esté documentado— con los criterios de auditoría.
- Recopilar información que apoye las actividades de auditoría.
Esta revisión puede combinarse con las demás actividades, siempre que no perjudique la efectividad de la auditoría. Y aquí aparece una decisión de gestión importante: si no se puede proporcionar la información documentada adecuada dentro del marco de tiempo del plan, el líder del equipo debe informar tanto a quien gestiona el programa de auditoría como al auditado. Según los objetivos y el alcance, se tomará una decisión sobre si la auditoría continúa o se suspende hasta resolver los problemas de documentación.
Comunicación durante la auditoría
Una auditoría no es una caja negra: exige comunicación constante hacia adentro del equipo y hacia el auditado, y a veces hacia terceros. Esto último cobra fuerza cuando los requisitos legales y reglamentarios exigen la notificación obligatoria de un incumplimiento (por ejemplo, ante un regulador).
Las prácticas de comunicación esenciales son:
- El equipo de auditoría debe consultarse periódicamente para intercambiar información, evaluar el progreso y reasignar trabajo entre sus miembros según sea necesario.
- El líder debe comunicar periódicamente el avance y cualquier inquietud al auditado. Sin sorpresas: un hallazgo grave nunca debería aparecer por primera vez en la reunión de cierre.
- Cuando los objetivos de la auditoría no sean alcanzables, el líder debe informar las razones a las partes interesadas para que tomen las acciones apropiadas.
- Esas acciones pueden incluir reconfirmar o modificar el plan, cambiar objetivos o alcance, o interrumpir la auditoría.
- Cualquier cambio debe revisarse y aprobarse tanto por el gestor del programa de auditoría como por el auditado.
Métodos para recopilar información
La evidencia de auditoría no proviene de una sola fuente. El auditor triangula información de varios orígenes para sostener sus conclusiones:
| Método | Qué aporta en un SGIA |
|---|---|
| Entrevistas | Cómo se ejecutan realmente los procesos de gobernanza de IA |
| Observación de actividades o lugares de trabajo | Verificar que la práctica coincide con lo documentado |
| Revisión de documentos, incluidos registros | Políticas, procedimientos, evaluaciones de impacto de IA |
| Registros | Reportes de eventos de seguridad, mediciones de eficacia de controles, actas de reunión, informes de auditoría |
| Resúmenes de datos, análisis e indicadores | Desempeño de incidentes de seguridad, métricas del modelo |
| Informes de otras fuentes | Datos de entidades reguladoras |
El flujo general va de la recopilación de información, pasando por su verificación y contraste con los criterios, hasta la formulación de conclusiones de auditoría. Cada fuente refuerza o matiza a las demás; una afirmación en una entrevista adquiere peso cuando la respalda un registro, y pierde fuerza cuando lo contradice.
Buenas prácticas de entrevistas
La entrevista es el método más rico y, a la vez, el más delicado, porque involucra a personas que pueden sentirse examinadas. Estas prácticas la vuelven productiva:
- Entrevistar a personas de niveles y funciones apropiados, que realicen actividades o tareas dentro del alcance de la auditoría. Quien ejecuta el proceso sabe cómo funciona de verdad.
- Realizar las entrevistas en horario laboral normal y, donde sea práctico, en el lugar de trabajo habitual de la persona. El contexto real facilita observar evidencia en vivo.
- Procurar que la persona esté cómoda antes y durante la entrevista. La tensión distorsiona las respuestas.
- Explicar la razón de la entrevista y de cualquier nota que se tome. La transparencia reduce la desconfianza.
- Resumir y revisar los resultados con la persona entrevistada, para confirmar que se entendió correctamente.
- Agradecer a las personas entrevistadas por su participación y cooperación.
Con la reunión de apertura celebrada, los canales de comunicación abiertos y los métodos de recopilación en marcha, el auditor entra de lleno en la ejecución: formular las preguntas adecuadas, muestrear con criterio, administrar el tiempo y navegar las situaciones difíciles que inevitablemente surgen.
Capítulo 11 de la serie ISO/IEC 42001 Lead Auditor — Continúa en el Capítulo 12: Ejecución de la Auditoría: Entrevistas, Administración del Tiempo y Situaciones Difíciles