Auditoría de tercera parte
Tercera parte no significa "externa". Significa "independiente". La diferencia es jurisdiccional.
Definición canónica
Una auditoría de tercera parte es la conducida por un organismo independiente de la organización auditada y de sus clientes, acreditado bajo ISO/IEC 17021-1 para emitir certificados de conformidad con normas ISO de sistemas de gestión. La acreditación es el mecanismo formal de la independencia: el organismo certificador es supervisado por un organismo acreditador (IAF MLA), que verifica que el régimen de imparcialidad opera.
Externa no es igual a independiente. La nomenclatura precisa cambia la lectura del régimen.
El término "tercera parte" tiende a confundirse con "externa". Pero una auditoría externa puede ser segunda parte (un cliente o representante del cliente audita al proveedor) o tercera parte (un organismo independiente acreditado emite certificado). La diferencia no es semántica: cambia la autoridad regulatoria, el régimen de imparcialidad, y el tipo de salida producida.
Esta doctrina precisa los términos, describe por qué este sitio opera bajo régimen de segunda parte y deriva explícitamente la certificación oficial a organismos acreditados, y cómo se coordina la cadena auditora completa.
Conducida por personal de la organización auditada. Su objetivo es interno. Su autoridad regulatoria es nula. Su valor es operativo.
Conducida por una organización-cliente sobre su proveedor, o por un evaluador independiente actuando en nombre del cliente. Su autoridad es contractual entre las partes. Su valor es decisional. Este sitio opera bajo régimen de segunda parte cuando un directorio contrata evaluación independiente para uso propio.
Conducida por organismo acreditado bajo ISO/IEC 17021-1. Su autoridad es regulatoria y se acepta universalmente en mercados donde el acreditador pertenece a IAF MLA. Su valor es la certificación formal con validez ante reguladores y clientes corporativos.
Por qué este sitio opera como segunda parte y deriva la certificación:
Razón 1 — Imparcialidad estructural. Si Fernando Arrieta evaluara un sistema con el doble rol de evaluador y eventual emisor del certificado, el régimen de ISO/IEC 17021-1 obligaría a una separación operativa exhaustiva — y aun cumpliéndola, generaría apariencia de conflicto. El Firewall 01C resuelve estructuralmente la ambigüedad: la evaluación es segunda parte, la certificación es por organismo independiente distinto.
Razón 2 — Profundidad metodológica. Una evaluación preliminar de segunda parte puede operar con mayor profundidad que una auditoría de certificación, porque no está limitada por los días de auditoría regulados por IAF MD 5. La segunda parte puede dedicar más tiempo a entrevistas, a evidencia operativa, a análisis de causa raíz. La tercera parte está optimizada para emitir certificado eficientemente; la segunda parte está optimizada para diagnóstico profundo.
Razón 3 — Libertad de no certificar. Una evaluación segunda parte no presiona a certificar. Si el directorio decide, tras la evaluación, no buscar la certificación oficial — por costo, por timing, por re-priorización — esa decisión no afecta al evaluador. El organismo certificador, en cambio, opera bajo presión comercial implícita por la recertificación.
Cómo se compone la cadena de auditoría defensible:
Primera parte (interna) + segunda parte (evaluación independiente preliminar) + tercera parte (certificación oficial por organismo acreditado). Las tres operan con objetivos distintos, con muestreos distintos, con autoridades regulatorias distintas. Las tres se complementan. Un directorio que invierte en las tres tiene la lectura más completa posible sobre el sistema.
¿Es legítimo que un evaluador independiente no emita certificado?
Sí. La emisión de certificados ISO oficiales está reservada a organismos acreditados bajo ISO/IEC 17021-1. Un evaluador independiente como segunda parte emite informes de evaluación, hallazgos, recomendaciones — pero no certificados. La decisión de certificar formalmente queda del lado del cliente, no del evaluador.
¿Por qué un cliente contrata segunda parte si después va a contratar tercera parte?
Para llegar a la auditoría de certificación con visión completa del sistema, con brechas identificadas y cerradas, con la trazabilidad ya producida. La inversión en evaluación preliminar suele reducir significativamente las no conformidades en la auditoría de certificación — y el costo total del ciclo de tres años.
¿La segunda parte sustituye la primera parte (auditoría interna)?
No formalmente. La cláusula 9.2 de cualquier norma ISO exige auditoría interna como parte del sistema. La segunda parte la complementa con visión externa sin conflicto de interés, pero no la reemplaza estructuralmente.
La cadena de auditoría — primera, segunda, tercera parte — es la arquitectura completa del juicio sobre un sistema de gestión. Reducirla a una sola pieza, sea cual sea, genera visión parcial. El directorio que entiende la cadena toma decisiones de gobierno mejor informadas que el que confunde las piezas.