Auditoría externa de un programa de IA: qué esperar y cómo prepararse
Qué evalúa una auditoría externa de inteligencia artificial, los tipos que existen, cómo prepararse, sus fases y por qué, bajo la Ley 21.719, se vuelve evidencia clave de diligencia para una empresa chilena.
Una auditoría externa de IA es una revisión independiente de cómo tu empresa gobierna, desarrolla y opera sus sistemas de inteligencia artificial. En Cognitiva, agencia chilena de IA, la planteamos no como un gasto de cumplimiento, sino como la evidencia de diligencia que la Ley 21.719 —vigente el 1 de diciembre de 2026— exigirá: la ley introduce la responsabilidad proactiva, es decir, el deber de acreditar el cumplimiento con evidencia, no solo afirmarlo. Hay varios tipos de auditoría (certificación ISO 42001, auditoría de sesgo, evaluación de impacto) y tres modalidades según quién la realiza. Este artículo explica qué revisa una auditoría de programa de IA, cómo prepararse para no llegar a ciegas, cuáles son sus fases, y cómo cada obligación de la ley chilena se mapea a un control auditable. No es asesoría legal ni de certificación: es la guía práctica para entender qué esperar.
Qué es (y qué no es) una auditoría de IA
"Auditoría de IA" no es una sola cosa. Conviene distinguir las familias para no confundir una certificación con una revisión de sesgo:
- **Certificación ISO/IEC 42001.** Verifica tu sistema de gestión de IA contra la norma internacional; la emite un organismo acreditado.
- **Auditoría algorítmica / de sesgo.** Evalúa un modelo o dataset buscando disparidades entre grupos (el referente regulatorio más citado es la ley de Nueva York para herramientas de empleo).
- **Auditoría de seguridad de IA.** Robustez, ciberseguridad del modelo, accesos.
- **Evaluación de conformidad (EU AI Act).** Para sistemas de alto riesgo en la UE; sirve de referencia para el modelo por riesgo que sigue Chile.
- **Evaluación de impacto.** Bajo ISO 42001 es el impact assessment; en datos personales, la evaluación de impacto en protección de datos (EIPD/DPIA).
Las tres modalidades: quién audita
Importa quién realiza la auditoría, porque cambia el valor del resultado:
- **Auditoría interna (primera parte).** La hace la propia empresa. ISO 42001 la exige como paso previo a la certificación. No otorga certificado; es preparación y mejora.
- **Auditoría de certificación (tercera parte acreditada).** La realiza un organismo de certificación acreditado, que tras la auditoría emite el certificado ISO 42001. Sigue el modelo de dos etapas.
- **Auditoría de terceros independiente.** Una firma externa revisa el programa para dar objetividad y credibilidad, sin emitir un certificado. Es lo común en auditorías de sesgo y en revisiones de preparación (readiness).
Para una empresa chilena que recién ordena su gobernanza, lo habitual es partir por una revisión de readiness de terceros, y avanzar a certificación cuando el negocio o un cliente lo justifica.
Qué revisa una auditoría de programa de IA
La estructura de revisión se ordena bien con el Anexo A de ISO 42001 (nueve categorías de control) y, en lo cualitativo, con las cuatro funciones del NIST AI RMF (Govern, Map, Measure, Manage). El auditor mira, dominio por dominio:
- **Gobernanza y políticas:** roles, responsabilidades, política de IA, supervisión.
- **Inventario de sistemas de IA:** un catálogo único y clasificado de las herramientas. Es la columna vertebral de todo lo demás.
- **Gestión de riesgos:** propósito, usuarios, supuestos, riesgos identificados, medidos y tratados.
- **Datos:** calidad, linaje, sesgo y privacidad.
- **Ciclo de vida:** documentación de diseño a retiro (model cards, registros de pruebas).
- **Transparencia y explicabilidad** de las decisiones.
- **Supervisión humana** sobre decisiones autónomas.
- **Seguridad** del modelo y la infraestructura.
- **Proveedores y terceros:** gobernanza de la cadena de suministro de IA.
- **Monitoreo post-despliegue:** desempeño del modelo, incidentes y anomalías.
Cómo prepararse (y los errores que se repiten)
La ruta de preparación recomendada: conseguir apoyo de la dirección, definir un alcance acotado, inventariar los sistemas de IA, hacer un gap analysis, evaluar riesgos, implementar controles del ciclo de vida, documentar evidencia y completar una auditoría interna antes de invitar al auditor externo.
Los errores más comunes
- **Tratar la norma como "cumplimiento de papel".** Tener políticas no basta: el auditor verifica cómo se implementaron en sistemas reales.
- **Inventario incompleto (el más frecuente).** Se omiten herramientas internas, IA embebida en software comprado y el "shadow AI" que el equipo usa por su cuenta. Si no está en el inventario, no está gobernado.
- **Sub-alcanzar sistemas riesgosos** por conveniencia.
- **No integrar la gobernanza de IA** con los procesos de seguridad, riesgo y datos ya existentes.
El auditor pedirá evidencia concreta: registros del ciclo de vida, tratamiento de riesgos, datos de monitoreo, reportes de incidentes, actas de revisión por la dirección y hallazgos de auditoría interna. Conviene organizarla en un repositorio con referencias cruzadas a los controles.
Las fases de una auditoría de certificación
Una certificación ISO 42001 sigue un modelo de dos etapas más vigilancia:
- **Etapa 1 (documental / readiness):** revisión de la documentación, el alcance y el diseño del sistema de gestión.
- **Etapa 2 (in situ / efectividad):** entrevistas, observación y evaluación de cómo operan los procesos y controles en la práctica.
- **Vigilancia y recertificación:** ciclo de tres años. Año 1: etapas 1 y 2 y emisión del certificado; años 2 y 3, auditorías de vigilancia; año 4, recertificación.
Los tiempos exactos (días de etapa 1, semanas de etapa 2) varían según tamaño y alcance y son estimaciones del organismo, no plazos normativos. Pídelos por escrito antes de contratar.
El puente chileno: Ley 21.719 ↔ control ↔ evidencia
Aquí está el ángulo que vuelve esto urgente en Chile. La Ley 21.719 traslada al responsable el deber de acreditar cumplimiento, y una auditoría externa produce justamente esa evidencia verificable por un tercero, anticipándose a la fiscalización de la nueva Agencia de Protección de Datos. Este es el mapeo que aplicamos:
| Obligación (Ley 21.719) | Control / marco | Evidencia |
|---|---|---|
| Responsabilidad proactiva | Gobernanza (ISO 42001 cláusula 5) | Políticas, actas de dirección |
| Evaluación de impacto (EIPD) | Impact assessment (A.5) | DPIA documentada |
| Decisiones automatizadas | Supervisión humana (A.9) | Registro de revisión humana |
| Transparencia | Información a interesados (A.8) | Avisos y explicaciones |
| Seguridad y brechas | Seguridad (ISO 27001) | Controles y protocolo de brechas |
| Inventario de tratamientos | Inventario de sistemas de IA | Catálogo clasificado |
A esto se suma la convergencia regulatoria: el proyecto de ley de IA (enfoque por riesgo, en trámite) y la Ley 21.663 de Ciberseguridad. Una empresa que es operador de importancia vital y además usa IA con datos personales enfrenta varias autoridades; una auditoría integrada evita triplicar el esfuerzo.
Qué pedirle a un auditor en Chile
La oferta local de certificación ISO 42001 ya existe: operan organismos certificadores e internacionales con presencia en Chile, y hay formación de auditores disponible. Pero la oferta es incipiente y heterogénea, así que conviene distinguir:
- **Certificación acreditada vs. "revisión de readiness".** Solo un organismo acreditado emite un certificado con reconocimiento internacional; una consultora puede prepararte, pero su informe no es un certificado.
- **Cuidado con los claims de "certificación" no acreditada.** Verifica la acreditación del organismo.
- **Alcance claro por escrito.** Qué sistemas, qué controles, qué etapas y qué entregables.
Este artículo no constituye asesoría legal ni de certificación. El alcance, los tiempos y los costos dependen de cada organismo y de la madurez de tu empresa. Cognitiva acompaña la preparación —inventario, gap analysis, documentación y evidencia— para que llegues a la auditoría con la casa ordenada.
Prepararse para una auditoría externa de IA
De cero a listo para el auditor.
- Mes 1
Alcance y apoyo
Definir el terreno.
- Conseguir patrocinio de la dirección
- Definir un alcance acotado
- Inventariar todos los sistemas de IA (incluido shadow AI)
- Mes 2
Brechas y riesgos
Saber qué falta.
- Gap analysis contra ISO 42001 / NIST AI RMF
- Evaluación de riesgos de IA
- Priorizar controles faltantes
- Mes 3
Controles y evidencia
Construir el expediente.
- Implementar controles del ciclo de vida
- Documentar DPIA y model cards
- Organizar evidencia con referencias cruzadas
- Mes 4
Ensayo
Antes del auditor externo.
- Auditoría interna
- Cerrar no conformidades
- Revisión por la dirección
Preguntas frecuentes
Da el siguiente paso
Hablemos
Cuéntanos sobre tu negocio. Respondemos en 24 horas.
Otros canales
Escríbenos por WhatsApp o agenda una llamada de 30 minutos.