La mayoría de guías de preparación para auditorías de ISO 42001 están escritas de dentro hacia fuera: “esto es lo que tienes que preparar”. Esta está escrita de fuera hacia dentro: “esto es lo que un auditor realmente busca cuando entra en tu organización”.
El cambio de perspectiva cambia lo que priorizas. Revela dónde tropiezan más a menudo las organizaciones, y por qué los auditores encuentran problemas consistentemente en los mismos cinco o seis sitios en empresas muy distintas.
## La creencia habitual
El modelo mental por defecto de una auditoría es un ejercicio de checklist. El auditor tiene una lista de requisitos. Tú tienes una lista de documentos. El auditor confirma que cada requisito está cubierto por un documento correspondiente. La auditoría termina cuando todas las casillas están marcadas.
Ese modelo mental produce carpetas de políticas que pasan sobre papel y colapsan en entrevista. Un auditor competente no lee tu política para comprobar que existe. La lee para decidir qué preguntas hacerle a tu gente.
## Qué buscan realmente los auditores
Una auditoría de ISO 42001 se estructura en torno a una pregunta simple aplicada en cada cláusula y control: “¿Es real este sistema?”. La realidad se testea a través de tres capas, aproximadamente en este orden.
### Capa 1: Diseño
¿Existe el sistema de gestión sobre el papel? Políticas, procedimientos, alcance, objetivos, roles, controles. Esta es la capa más rápida de evaluar y la más fácil de pasar. La mayoría de organizaciones llega hasta aquí sin dificultad.
### Capa 2: Despliegue
¿Se ha desplegado realmente el sistema diseñado a las personas que se supone que deben operarlo? ¿Saben los responsables de casos de uso de IA que existe el proceso de intake? ¿Saben los data scientists la expectativa de testing de sesgo? ¿Saben los operadores de sistemas de IA desplegados la monitorización que se supone que deben realizar? Aquí es donde las entrevistas del auditor empiezan a encontrar gaps.
### Capa 3: Evidencia de operación
¿Está el sistema desplegado produciendo los registros que se supone que debe producir? Evaluaciones de riesgo reales para sistemas de IA reales. Decisiones de aprobación reales con fechas reales. Logs de monitorización reales con anomalías reales marcadas y tratadas. Incidentes reales con análisis de causa raíz reales. La Capa 3 es donde la mayoría de primeras certificaciones tienen dificultades. También es la capa que no se puede fingir.
> Un sistema de gestión que existe solo en la capa de diseño es documentación. Un sistema de gestión que opera a través de las tres capas es gobernanza. La auditoría testea cuál de las dos tienes.
>
## Los seis sitios donde más tropiezan las organizaciones
A través de auditorías, las mismas categorías de problemas aparecen consistentemente. Conocerlas por adelantado suele ser suficiente para evitarlas.
### 1. Inventario de IA que no coincide con la realidad
El alcance certificado afirma cubrir todos los sistemas de IA que opera la organización. Un recorrido por los equipos de producto revela sistemas de IA que el sistema de gestión no conoce. La Shadow AI es el hallazgo más común.
### 2. Evaluaciones de riesgo teóricas
El registro de riesgos lista riesgos genéricos de IA, no riesgos trazados a sistemas concretos en uso. El auditor pregunta “¿cuál de estos riesgos aplica al modelo de cribado de RR. HH. en producción?” y la respuesta es poco clara. La evaluación de impacto, un control central del Anexo A, falla en este paso.
### 3. Supervisión humana que solo existe en slides
La política dice que humanos revisan outputs de alto riesgo antes de actuar. La realidad operativa muestra que la revisión ocurre en bloque, a posteriori, o no ocurre, porque el volumen hace imposible una revisión significativa. La supervisión existe como reclamo de control, no como control.
### 4. IA de terceros sin trackear
La organización se considera desplegador de tres sistemas de proveedores. Una mirada más cercana revela doce componentes de IA de terceros embebidos en herramientas SaaS, plugins de CRM, y software de productividad. Ninguno ha pasado por el proceso de evaluación de IA de terceros.
### 5. Monitorización sin respuesta
La monitorización de drift y rendimiento está implantada. Las alertas saltan. El auditor pregunta qué pasa después de la alerta, y la respuesta es “el equipo lo mira”. No hay flujo de respuesta documentado, no hay umbrales de escalado, no hay registro de decisiones tomadas.
### 6. Revisión por la dirección ceremonial
Tuvo lugar una revisión por la dirección. Las actas muestran que se hicieron presentaciones. No muestran decisiones tomadas, recursos reasignados, o cambios aprobados basados en los datos presentados. La cláusula 9.3 de la norma espera que la revisión impulse cambio, no simplemente que ocurra.
## Replanteando la pregunta
La pregunta de preparación que la mayoría de equipos se hace es “¿Vamos a pasar?”. La pregunta útil es “Si el auditor elige un sistema de IA al azar que operamos y me pide que le recorra su ciclo de vida de gobernanza, ¿puedo mostrarle todo sin improvisar?”.
Si la respuesta es sí para cada sistema en alcance, la auditoría es una formalidad. Si la respuesta es sí para la mayoría pero no para todos, la auditoría encontrará las excepciones. Los auditores muestrean estratégicamente.
## El cambio estructural
La práctica de auditoría se ha movido, en la última década, del muestreo documental al process tracing. Auditorías antiguas podían pasarse con un repositorio documental bien organizado. Las auditorías modernas siguen un sistema de IA concreto a través del sistema de gestión de extremo a extremo: intake, evaluación de riesgo, aprobación, despliegue, monitorización, gestión del cambio, gestión de incidentes.
Este enfoque de process tracing es especialmente pronunciado para ISO 42001 porque la materia lo exige. Un documento estático no puede demostrar que un sistema dinámico está gobernado. Solo la operación trazable puede.
## Qué significa esto para tu organización
Realiza una auditoría simulada interna con el mismo método. Elige un sistema de IA al azar. Trázalo a través de cada cláusula y control aplicable. ¿Qué evidencia existe? ¿Quién la posee? ¿Cuán actual es? Los gaps que surgen en un simulacro son gaps que puedes arreglar; los gaps que surgen en la auditoría del organismo de certificación se convierten en hallazgos.
Forma a tu gente para hablar como operadores, no como ensayados. Los auditores reconocen respuestas ensayadas al instante. Los operadores que explican cómo hacen realmente el trabajo, incluyendo las dificultades, resultan creíbles incluso cuando el proceso tiene aristas.
Prepárate para el muestreo, no para la superficie completa. Los auditores muestrean. Tu trabajo es asegurar que cada sistema de IA en alcance podría aguantar bajo muestreo, no solo los que tú mostrarías.
> Una buena auditoría no valida tu sistema. Lo revela. El resultado de la auditoría es una descripción de cómo tu organización opera realmente, no de cómo dice que opera.
>
—
¿Listo para pasar de la documentación a la certificación?
📩 [[email protected]](mailto:[email protected]) · 🌐 [zertia.ai](http://zertia.ai)
