La auditoría documental de escritorio: leer la conformidad con evidencia pública

La auditoría documental de escritorio examina la conformidad que una organización declara usando solo evidencia disponible en abierto. No hay entrevistas, no hay acceso al Statement of Applicability, no hay actas de revisión por la dirección. Hay páginas web, portales de confianza, acuerdos de servicio, anexos contractuales, reportes de transparencia y artefactos técnicos publicados por la propia organización.

Una auditoría de certificación o de segunda parte trabaja sobre el sistema completo, con muestreo de registros y observación directa de procesos. La de escritorio trabaja sobre la huella pública: lo que la organización eligió mostrar y lo que, por omisión, dejó fuera de la vista.

El Observatorio IAC registra y verifica esa huella. No acredita organismos ni certifica sistemas; observa la evidencia abierta y deja constancia de qué se sostiene y qué no. La de escritorio no concluye conformidad ni no conformidad; concluye sustento público verificable o ausencia de él.

El método no audita organizaciones; audita afirmaciones. Cada frase de conformidad que una empresa publica es una unidad discreta que se aísla, se descompone y se contrasta. Una afirmación tiene siempre cuatro componentes implícitos: qué norma, qué entidad legal, qué servicios cubre y desde cuándo hasta cuándo.

Una afirmación sin esos cuatro datos no es verificable, por más rotunda que suene. El auditor de escritorio trata cada afirmación como un testigo al que se le pregunta lo mismo: quién lo dice, sobre qué, con qué respaldo y hasta cuándo. La declaración que no responde esas preguntas no se descarta; se clasifica como afirmación no verificada, que es una categoría distinta de afirmación falsa.

Esta disciplina evita el error más común al leer comunicación corporativa: tomar el tono por evidencia. Una página de seguridad densa y bien escrita genera la impresión de control. El método obliga a preguntar, frase por frase, cuál de esas oraciones puede un externo comprobar y cuál solo puede creer.

El hallazgo recurrente de toda auditoría de escritorio no es la mentira; es la fragmentación del alcance. Una organización publica una certificación verificable para un conjunto acotado de servicios, y en otra página declara un sistema de gestión más amplio sobre productos que el certificado nunca nombró. Ambas frases pueden ser ciertas a la vez, y entre las dos se abre el hueco.

Cuando la norma, el certificado, la entidad legal, las fechas y los servicios cubiertos no se pueden trazar en una sola línea, el sistema existe pero su perímetro público no está unificado. Para un cliente o un regulador, eso significa leer tres páginas y dos portales para entender qué servicio entra y cuál queda fuera.

Aquí conviene un señalamiento técnico que el método no puede omitir: ISO/IEC 42001 hoy se emite, en la práctica del mercado, como certificación no acreditada, fuera del alcance de acreditación publicado. Una certificación dentro de alcance acreditado se apoya en una cadena de supervisión trazable; una fuera de ese alcance se apoya únicamente en la reputación del organismo que la emite.

Para mostrar el método en operación conviene un ejemplo concreto, con una advertencia por delante: lo que sigue es un ejercicio de escritorio sobre evidencia pública, no una auditoría formal ni una opinión de conformidad. No afirma hallazgos como verdades sobre la organización; describe qué evidencia es pública y qué no lo es.

Tomemos una empresa de IA de gran escala que publica abundante material de seguridad. Sobre una norma de seguridad de la información, la evidencia pública suele ser densa: la organización vincula la certificación a un conjunto nombrado de servicios, publica medidas contractuales y declara que el certificado está disponible. El puente entre afirmación y verificación, en ese perímetro, se sostiene.

Sobre la norma de gestión de IA, el mismo ejercicio encuentra otra cosa. La organización declara mantener el sistema de gestión sobre un alcance más amplio que el certificado de seguridad, y publica artefactos de gobernanza consistentes. Lo que el ejercicio no siempre localiza en abierto es el certificado con los metadatos críticos: emisor, número, vigencia, entidad legal. La gobernanza es observable; la certificación, no plenamente verificable con lo público.

El ejercicio ilustra la regla general: la misma organización puede tener distintos niveles de sustento público para distintas normas, y el lector apurado los promedia en una sola impresión de cumplimiento. El método los separa y nombra cada uno por su grado de verificabilidad, sin inventar lo que la evidencia abierta no muestra.

La auditoría de escritorio tiene un valor que la de certificación no puede dar: es replicable por cualquier tercero con las mismas fuentes. No depende de un acceso privilegiado ni de una relación contractual. Cualquiera con las URLs primarias puede rehacer el contraste y llegar al mismo mapa de huecos. Esa transparencia es, en sí misma, una forma de rigor.

El método tampoco castiga a la organización por lo que no publica. Reconoce sus límites: lo que no se localiza en abierto puede existir y estar perfectamente documentado puertas adentro. La de escritorio no dice que el sistema no existe; dice que, con la evidencia pública, no se puede verificar. La diferencia entre ambas frases es toda la ética del oficio.

Lo que el Observatorio IAC registra, entonces, no es conformidad. Es la distancia entre lo que una organización afirma y lo que un externo puede comprobar. Esa distancia es un dato de gobernanza por derecho propio: mide cuánto del cumplimiento declarado vive en la confianza y cuánto en la evidencia.