Auditar una IA: el criterio sin método no alcanza

La mayoría de las organizaciones que hoy dicen auditar su inteligencia artificial revisan un cuestionario contra la norma, marcan casilleros y archivan el resultado. Eso no es una auditoría: es una inspección documental. La diferencia no es de forma. Una inspección confirma que el documento existe; una auditoría confirma que el sistema hace lo que el documento afirma, y deja evidencia de que lo hace.

El malentendido nace de tratar a ISO/IEC 42001 como si fuera, a la vez, el qué y el cómo. No lo es. La norma describe el criterio; el método de auditoría vive en otro lugar.

ISO/IEC 42001:2023 establece los requisitos de un sistema de gestión de inteligencia artificial: qué debe gobernarse, qué riesgos deben tratarse, qué controles deben existir. Es criterio. ISO 19011:2018 — Directrices para la auditoría de sistemas de gestión — establece cómo se planifica, conduce, documenta y reporta una auditoría. Es método. Y ISO/IEC 17021-1:2015 fija quién puede certificar un sistema de gestión y bajo qué reglas de imparcialidad y competencia.

Un auditor que conoce 42001 pero no 19011 sabe qué mirar y no sabe cómo mirarlo. Producirá una opinión sin trazabilidad: defendible en una conversación, indefendible ante una impugnación.

El punto de quiebre casi siempre es el mismo: el control existe en la política y no deja rastro en la operación. La organización declara que supervisa sus modelos, que evalúa sesgos, que conserva registros de decisión. El auditor pide la evidencia de las últimas doce semanas y aparece el vacío.

La trazabilidad de la evidencia es lo que separa una afirmación de un hecho verificable. Sin ella, un sistema de gestión de IA es una declaración de intenciones con tapa de norma.

ISO/IEC 42001 es joven, y eso tiene una consecuencia práctica que conviene decir sin eufemismos: buena parte de lo que hoy se ofrece como certificación 42001 está fuera del alcance acreditado publicado. No es necesariamente fraude; es una norma cuyo reconocimiento todavía se está construyendo.

De ahí la distinción que el comprador debe exigir. Una cosa es una certificación dentro del alcance acreditado publicado de un organismo; otra es una validación institucional complementaria, que confirma norma, mercado y alcance aplicable pero no equivale a acreditación. IAC registra y verifica esa evidencia; no acredita ni certifica. Confundir los dos planos es el modo más común de comprar confianza que no existe.

Auditar una IA con rigor no es más difícil que auditar cualquier otro sistema de gestión. Exige lo de siempre: criterio claro, método disciplinado y evidencia que sobreviva a una segunda mirada. La novedad de la tecnología no cambia la regla; solo la vuelve más urgente.