Tres tipos de auditor
Tres roles que el directorio confunde — y la confusión cuesta dinero y autoridad.
Definición canónica
ISO 19011:2018 (Directrices para la auditoría de sistemas de gestión) clasifica las auditorías en tres tipos según la independencia del auditor respecto a la organización auditada: primera parte (interna), segunda parte (cliente o representante del cliente), y tercera parte (externa independiente). Los tres roles son legítimos y necesarios — pero demuestran cosas distintas, a interlocutores distintos, con autoridad regulatoria distinta.
Auditor interno, auditor independiente, auditor certificador. Cada uno demuestra una cosa distinta a un interlocutor distinto.
La distinción entre auditor interno y externo es intuitiva pero incompleta. ISO 19011 introduce la categoría intermedia — segunda parte — que muchas organizaciones omiten o confunden con tercera parte. La consecuencia es ineficiencia: encargar a un auditor independiente lo que un auditor interno podría hacer, o esperar de un auditor interno lo que sólo un auditor tercera parte acreditado puede emitir.
La doctrina aquí formulada precisa los tres roles, describe su autoridad, su scope, su limitación, y la decisión por objetivo: dado lo que el directorio necesita demostrar, qué tipo de auditoría es la apropiada.
Auditoría conducida por la propia organización o por personal contratado en su nombre. Su objetivo es verificar la conformidad del sistema con sus propios requisitos. Es obligatoria bajo todas las normas ISO de sistemas de gestión (cláusula 9.2). Pero el auditor interno opera con conflicto de interés inherente: depende — directa o indirectamente — de la jerarquía cuya gestión está auditando. Esto no invalida el rol; lo limita.
Auditoría conducida por la organización-cliente sobre su proveedor, o por un evaluador independiente actuando en nombre del cliente. Su objetivo es verificar que el proveedor cumple los requisitos contractuales o normativos relevantes para el cliente. Su autoridad es contractual, no regulatoria. Una evaluación preliminar independiente — como la que ofrece este sitio — opera bajo el régimen de segunda parte cuando el directorio actúa como su propio cliente (autoevaluación bajo criterio independiente externo).
Auditoría conducida por organismo independiente acreditado bajo ISO/IEC 17021-1. Su objetivo es emitir un certificado formal de conformidad del sistema con la norma aplicable. Su autoridad es regulatoria: el certificado tiene validez ante reguladores y clientes corporativos en cualquier mercado donde el acreditador pertenezca a IAF. Es el único tipo de auditoría que produce certificado oficial.
Cuándo cada uno:
Auditoría interna (primera parte): obligatoria bajo cláusula 9.2 de cualquier norma ISO certificada. Frecuencia anual mínima recomendada. Útil para mantenimiento continuo del sistema. Insuficiente para demostrar conformidad a un tercero.
Auditoría externa independiente (segunda parte): apropiada cuando el directorio necesita lectura objetiva del estado del sistema sin compromiso de certificación; cuando se evalúa la madurez antes de una transición de norma; cuando se requiere diagnóstico de brechas sin presión comercial de un organismo certificador; cuando hay desconfianza fundada en los resultados de la auditoría interna.
Auditoría de certificación (tercera parte acreditada): necesaria cuando el directorio necesita el certificado formal por requisito contractual de un cliente, por requisito regulatorio, o por palanca comercial general. Sin embargo, el certificado tiene límite: demuestra que el sistema existe en el día de la auditoría, no garantiza efectividad sostenida ni ausencia de brechas materiales.
¿Una auditoría interna puede sustituir a una de tercera parte?
No para la emisión del certificado oficial. Solo organismo acreditado emite certificado. Pero una auditoría interna seria puede prepararla, identificando hallazgos antes que el auditor externo lo haga, lo cual reduce no conformidades en la auditoría de certificación y mejora el costo total del ciclo.
¿Una evaluación independiente (segunda parte) puede reemplazar a la auditoría interna?
Parcialmente. Un buen evaluador independiente cubre profundidad que una auditoría interna no alcanza, especialmente en organizaciones donde el auditor interno está limitado por la jerarquía. Pero la cláusula 9.2 exige auditoría interna ejecutada como parte del sistema — la evaluación externa la complementa, no la sustituye formalmente.
¿Por qué un comité de auditoría contrata una evaluación independiente si ya tiene auditoría interna y de certificación?
Por las limitaciones de las otras dos. La interna tiene conflicto de interés inherente. La de certificación opera bajo presión comercial (depende de la recertificación) y opera con muestreo regulado por IAF MD 5 — que es robusto pero no exhaustivo. Una evaluación independiente sin compromiso comercial cubre dimensiones que las otras dos no llegan: efectividad sostenida, gap entre madurez declarada y observable, brechas estructurales no detectadas en ciclos anteriores.
La elección no es entre tipos de auditor — los tres son necesarios. La elección es operativa: qué necesita demostrar el directorio, a qué interlocutor, con qué autoridad regulatoria, en qué momento del ciclo. Confundir los roles produce sobre-inversión (encargar a tercera parte lo que primera parte cubre) o sub-inversión (esperar de primera parte la autoridad de tercera). La distinción es la que protege el dinero y la credibilidad.