La mayoría de las guías de preparación para auditorías ISO 42001 están escritas de dentro hacia fuera: «esto es lo que necesitas preparar». Esta está escrita de fuera hacia dentro: «esto es lo que un auditor busca realmente cuando entra en tu organización».
El cambio de perspectiva altera lo que priorizas. Revela dónde las organizaciones tropiezan con mayor frecuencia, y por qué los auditores encuentran sistemáticamente los mismos problemas en los mismos cinco o seis lugares en empresas muy distintas entre sí.
La creencia habitual
El modelo mental predeterminado de una auditoría es un ejercicio de lista de comprobación. El auditor tiene una lista de requisitos. Tú tienes una lista de documentos. El auditor confirma que cada requisito queda cubierto por el documento correspondiente. La auditoría termina cuando todas las casillas están marcadas.
Ese modelo mental produce carpetas de políticas que superan el examen sobre el papel y se derrumban en la entrevista. Un auditor competente no lee tu política para comprobar que existe. La lee para decidir qué preguntas hacerle a tu equipo.
Qué buscan realmente los auditores
Una auditoría ISO 42001 se estructura en torno a una pregunta simple que se aplica a cada cláusula y control: «¿Es este sistema real?». La realidad se pone a prueba a través de tres capas, en un orden aproximadamente el siguiente.
Capa 1: Diseño
¿Existe el sistema de gestión sobre el papel? Políticas, procedimientos, alcance, objetivos, roles, controles. Esta es la capa más rápida de evaluar y la más fácil de superar. La mayoría de las organizaciones llegan aquí sin dificultad.
Capa 2: Despliegue
¿El sistema diseñado ha sido realmente implantado entre las personas que se supone que deben operarlo? ¿Los responsables de los casos de uso de IA conocen el proceso de incorporación? ¿Los científicos de datos conocen la expectativa de pruebas de sesgo? ¿Los operadores de sistemas de IA desplegados conocen la monitorización que se supone que deben realizar? Aquí es donde las entrevistas del auditor empiezan a detectar brechas.
Capa 3: Evidencia de operación
¿El sistema desplegado está generando los registros que se supone que debe generar? Evaluaciones de riesgo reales para sistemas de IA reales. Decisiones de aprobación reales con fechas reales. Registros de monitorización reales con anomalías reales señaladas y atendidas. Incidentes reales con análisis de causa raíz reales. La capa 3 es donde la mayoría de las certificaciones en primera convocatoria tienen dificultades. También es la capa que no puede falsificarse.
Un sistema de gestión que solo existe en la capa de diseño es documentación. Un sistema de gestión que opera a través de las tres capas es gobernanza. La auditoría pone a prueba cuál de los dos tienes.
Los seis lugares donde las organizaciones tropiezan con más frecuencia
A lo largo de las auditorías, las mismas categorías de problemas aparecen de forma consistente. Conocerlas de antemano suele ser suficiente para evitarlas.
1. Un inventario de IA que no se corresponde con la realidad
El alcance certificado declara cubrir todos los sistemas de IA que opera la organización. Una visita a los equipos de producto revela sistemas de IA que el sistema de gestión desconoce. La IA en la sombra es el hallazgo más frecuente con diferencia.
2. Evaluaciones de riesgo de carácter teórico
El registro de riesgos enumera riesgos genéricos de IA, no riesgos vinculados a sistemas concretos en uso. El auditor pregunta «¿cuál de estos riesgos aplica al modelo de cribado de RRHH en producción?» y la respuesta no está clara. La evaluación de impacto, un control central del Anexo A, falla en este paso.
3. Supervisión humana que solo existe en las diapositivas
La política establece que los humanos revisan los resultados de alto riesgo antes de actuar. La realidad operativa muestra que la revisión se produce en bloque, a posteriori o directamente no se produce, porque el volumen hace imposible una revisión significativa. La supervisión existe como una declaración de control, no como un control efectivo.
4. IA de terceros sin seguimiento
La organización se considera desplegadora de tres sistemas de proveedores. Un análisis más detallado revela doce componentes de IA de terceros embebidos en herramientas SaaS, plugins de CRM y software de productividad. Ninguno ha pasado por el proceso de evaluación de IA de terceros.
5. Monitorización sin respuesta
La monitorización de la deriva y el rendimiento está implantada. Las alertas se disparan. El auditor pregunta qué ocurre después de la alerta, y la respuesta es «el equipo lo revisa». No existe ningún flujo de respuesta documentado, ningún umbral de escalada, ningún registro de las decisiones adoptadas.
6. Revisión por la dirección de carácter ceremonial
Se realizó una revisión por la dirección. Las actas muestran que se presentaron informes. No muestran decisiones tomadas, recursos reasignados ni cambios aprobados en función de los datos presentados. La cláusula 9.3 de la norma exige que la revisión impulse cambios, no que se limite a celebrarse.
La pregunta de preparación que se hacen la mayoría de los equipos es «¿Vamos a aprobar?». La pregunta útil es «Si el auditor elige al azar un sistema de IA que operamos y me pide que le explique su ciclo de vida de gobernanza, ¿puedo mostrarle todo sin improvisar?».
Si la respuesta es afirmativa para todos los sistemas dentro del alcance, la auditoría es un trámite. Si la respuesta es afirmativa para la mayoría de los sistemas, pero no para todos, la auditoría encontrará las excepciones. Los auditores seleccionan de forma estratégica.
El cambio estructural
La práctica auditora ha evolucionado, durante la última década, del muestreo documental al rastreo de procesos. Las auditorías más antiguas podían superarse con un repositorio documental bien organizado. Las auditorías modernas siguen un sistema de IA concreto a través del sistema de gestión de principio a fin: incorporación, evaluación de riesgos, aprobación, despliegue, monitorización, gestión del cambio, gestión de incidentes.
Este enfoque de rastreo de procesos es especialmente pronunciado en el caso de ISO 42001, porque la materia objeto de la norma así lo exige. Un documento estático no puede demostrar que un sistema dinámico está gobernado. Solo la operación trazable puede hacerlo.
Qué significa esto para tu organización
Realiza internamente una auditoría de prueba, con el mismo método. Elige un sistema de IA al azar. Trázalo a través de cada cláusula y control aplicable. ¿Qué evidencia existe? ¿Quién es el responsable? ¿Cuál es su grado de actualización? Las brechas que aflorar en una auditoría de prueba son brechas que puedes corregir; las brechas que aflora el organismo de certificación se convierten en hallazgos.
Forma a tu equipo para que hable como operadores, no como personas que han memorizado respuestas. Los auditores reconocen al instante las respuestas ensayadas. Los operadores que explican cómo realizan realmente su trabajo, incluyendo las dificultades, resultan creíbles incluso cuando el proceso tiene aristas.
Prepárate para el muestreo, no para toda la superficie. Los auditores muestrean. Tu trabajo consiste en asegurarte de que cualquier sistema de IA dentro del alcance pueda resistir ese muestreo, no solo los que mostrarías como ejemplo.
Una buena auditoría no valida tu sistema. Lo revela. El resultado de la auditoría es una descripción de cómo opera realmente tu organización, no de cómo afirma operar.
¿Listo para pasar de la documentación a la certificación?
📩 [email protected] · 🌐 zertia.ai
