Tecnologías emergentes y competencias del auditor en ISO 19011:2026

La nueva versión de la norma ISO 19011:2026 incorpora orientaciones relacionadas con el uso y la evaluación de tecnologías emergentes en las auditorías de sistemas de gestión.

La guía contempla dos escenarios diferentes. El primero corresponde al uso de tecnologías emergentes para apoyar la realización de la auditoría. El segundo se refiere a la auditoría de procesos, productos o servicios que utilizan estas tecnologías dentro de la organización auditada.

En ambos casos, el auditor debe desarrollar competencias que le permitan comprender los beneficios, limitaciones, riesgos y controles asociados a estas tecnologías, con el fin de emitir conclusiones objetivas, fiables y técnicamente fundamentadas.

Uso de tecnologías emergentes para realizar auditorías

Las tecnologías emergentes pueden mejorar la eficacia, eficiencia y alcance de las auditorías, siempre que su utilización no sustituya el juicio profesional del auditor ni afecte la objetividad de sus conclusiones.

Durante la planificación, el auditor puede utilizar herramientas de inteligencia artificial para analizar información pública de la organización, identificar riesgos potenciales, clasificar documentos, preparar listas de verificación preliminares o apoyar la preparación de entrevistas. Asimismo, las plataformas colaborativas facilitan el intercambio de información entre el equipo auditor y la organización auditada.

Durante la revisión documental, las herramientas de automatización pueden ayudar a localizar requisitos específicos dentro de grandes volúmenes de información, identificar versiones vigentes de documentos, detectar inconsistencias y mejorar la trazabilidad de la información. La inteligencia artificial también puede facilitar la búsqueda de evidencias relacionadas con requisitos concretos del sistema de gestión.

Durante la ejecución de la auditoría, el monitoreo remoto mediante videoconferencias, recorridos virtuales, transmisión de imágenes en tiempo real o acceso remoto a sistemas de información puede complementar, y cuando sea apropiado, sustituir determinadas actividades presenciales. Por su parte, las herramientas de análisis de datos permiten examinar poblaciones completas de registros e identificar tendencias, anomalías o desviaciones que merezcan una evaluación más detallada.

En el análisis de evidencias, estas herramientas pueden procesar grandes volúmenes de información operacional, financiera, ambiental, de seguridad y salud en el trabajo, o de calidad, apoyando la identificación de riesgos, tendencias e indicadores de desempeño. La inteligencia artificial también puede ayudar a organizar información y relacionar evidencias con criterios de auditoría previamente definidos.

Finalmente, durante la elaboración del informe, las herramientas de automatización documental pueden apoyar la consolidación de hallazgos y la verificación de consistencia entre las evidencias, los hallazgos y las conclusiones. Sin embargo, la responsabilidad sobre el contenido del informe y las conclusiones de la auditoría sigue siendo exclusivamente del auditor.

Auditoría de procesos basados en tecnologías emergentes

Cada vez es más frecuente encontrar procesos organizacionales soportados por inteligencia artificial, aprendizaje automático, internet de las cosas (IoT), blockchain o automatización avanzada.

Algunos ejemplos son:

ISO 9001 – Gestión de la Calidad

• Sistemas de IA que analizan reclamos de clientes y clasifican sus causas.
• Modelos predictivos para anticipar defectos de producción.
• Sensores IoT que verifican parámetros de calidad en tiempo real.

ISO 14001 – Gestión Ambiental

• Sensores IoT para monitorear emisiones atmosféricas.
• Sistemas de IA para identificar patrones de consumo energético.
• Herramientas predictivas para anticipar incidentes ambientales.

ISO 45001 – Seguridad y Salud en el Trabajo

• Cámaras con inteligencia artificial para detectar el uso inadecuado de elementos de protección personal.
• Sensores portátiles para monitorear fatiga o exposición a ruido.
• Sistemas predictivos para identificar riesgos de accidentalidad.

ISO 37001 – Sistemas de Gestión Antisoborno

• Herramientas de IA para identificar pagos inusuales o posibles conflictos de interés.
• Modelos de aprendizaje automático para detectar patrones asociados a hechos de soborno.
• Automatización de procesos de conocimiento de contrapartes y debida diligencia.

ISO 37301 – Sistemas de Gestión de Compliance

• Plataformas que monitorean cambios regulatorios mediante inteligencia artificial.
• Automatización de controles de cumplimiento.
• Motores de reglas que bloquean operaciones que incumplen requisitos previamente definidos.

¿Qué debería auditar el auditor?

Cuando audita procesos soportados por tecnologías emergentes, el auditor normalmente no evalúa el algoritmo ni el código fuente, salvo que ello forme parte del alcance de la auditoría. Su atención debe centrarse en aspectos como:

• La definición de responsabilidades y la supervisión humana.
• La calidad, integridad y confiabilidad de los datos utilizados.
• La identificación y gestión de riesgos asociados a la tecnología.
• La existencia de controles para prevenir errores, fallos o sesgos.
• La seguridad de la información y la protección de datos.
• La competencia de las personas que operan y supervisan la tecnología.
• La gestión de cambios y actualizaciones.
• El seguimiento, la evaluación de desempeño y la mejora continua.

Por ejemplo, una empresa de transporte terrestre de pasajeros podría utilizar un sistema de inteligencia artificial para predecir fallas mecánicas a partir de información capturada por sensores instalados en los vehículos. En este caso, el auditor normalmente no tendría que evaluar el algoritmo utilizado, pero sí verificar que existan controles para asegurar la calidad de los datos, la validación periódica de las predicciones, la intervención humana cuando sea necesaria y la adecuada gestión de los riesgos derivados de decisiones automatizadas.

El mundo va a su ritmo… si no lo sigues a su velocidad, pierdes tu competencia.

CMD Certification, más allá de la norma: donde la verdad y la excelencia se unen