Hay una línea en el oficio. De un lado, asesoría: ayudo a una organización a construir su sistema. Del otro lado, certificación: vengo de afuera, sin haber tocado el sistema, y certifico que cumple. No es una sutileza. Es la línea de la que depende que el certificado signifique algo.
La llamé Firewall 01C hace años, cuando tuve que explicar por enésima vez en una mesa de auditores qué pasa cuando la misma firma asesora primero y certifica después. La sigla no importa. Importa lo que protege.
1. El problema técnico, no el ético
Que la consultora que asesoró un sistema de gestión no pueda certificarlo es una regla. Está en ISO/IEC 17021-1 §5.2 y en cada marco de imparcialidad que firmaron los acreditadores serios. Pero la regla ética no es lo que me interesa explicar. La regla ética es obvia. Lo que me interesa es la consecuencia técnica.
Cuando la misma persona construye y certifica, no es solo un conflicto de interés. Es un problema epistémico. El auditor pierde la capacidad de ver lo que ayudó a construir. No porque sea deshonesto. Porque su mirada está entrenada en las decisiones que él mismo tomó. No puede detectar la zona ciega del sistema, porque la zona ciega es suya.
Eso es Firewall 01C. No la línea ética. La línea cognitiva.
2. Tres ejemplos donde se rompe
Primer ejemplo. Consultora boutique que arma el manual de SGI de una empresa industrial mediana. Doce meses después, la misma consultora trae a su "área de auditoría externa" (formalmente una entidad legal separada, mismo edificio, mismo equipo) a certificar el sistema. La certificación sale limpia. Tres años después, una auditoría real detecta que el procedimiento de no conformidad nunca se aplicó por escrito. La consultora lo sabía: lo había escrito ella misma.
Segundo ejemplo. Firma global. Un equipo de transformación digital implementa un sistema de gestión de IA basado en ISO 42001. Otro equipo de la misma firma certifica. Hay muralla china escrita, los dos equipos tienen jefes distintos. Pero los partners se reportan al mismo socio principal. La auditoría no detecta que el modelo de IA opera fuera del alcance declarado, porque el alcance lo escribió el primer equipo y nadie del segundo lo va a cuestionar.
Tercer ejemplo. El más sutil. Auditor independiente que da capacitación sobre ISO 9001 a una empresa. Tres años después, lo contratan para certificar. No fue asesoría, fue capacitación. ¿Cuenta? Sí cuenta. Sus diapositivas son la base del manual de la empresa. Cuando audita, no audita el sistema: audita su propia clase.
El test no es "¿asesoró?". El test es "¿su mirada está entrenada en este sistema?". Si la respuesta es sí, no puede certificar.
3. La salida elegante (y la trampa)
La salida elegante es la separación estructural: empresas distintas, equipos distintos, gobernanzas distintas, finanzas distintas. Es lo que hicieron las firmas serias. El IAC opera con esa separación: el centro acredita, las firmas certifican, los auditores firman a título personal bajo el esquema. Cada uno asume su parte.
La trampa es creer que la separación legal alcanza. No alcanza. Si los dos equipos comparten cliente, comparten información, comparten partner que se beneficia económicamente del éxito del programa de certificación, la separación es ficticia. El firewall vuelve a estar roto, esta vez sin que aparezca en el organigrama.
Lo que sostiene Firewall 01C no es una pared. Es una asimetría de incentivos económicos entre quien asesora y quien certifica. Mientras esa asimetría exista, el firewall sostiene. Cuando se borra, no sirve ninguna estructura legal.
4. Por qué importa para un board
Un director de board no tiene que entender de auditoría. Tiene que poder preguntar una sola cosa al CISO o al gerente de calidad cuando le presentan un certificado:
¿Quién asesoró el sistema, quién lo certificó, y cuál es la relación económica entre los dos?
Si la respuesta es ambigua, la firma del certificado no protege al board frente a un incidente. Lo que el certificado cubre depende de que Firewall 01C esté intacto. Si está roto, el board firmó un papel que no cubre lo que cree que cubre.
5. La consecuencia para el oficio
En los próximos diez años, la consolidación del mercado va a poner presión sobre Firewall 01C. Los grandes grupos de servicios profesionales tienen incentivos económicos enormes para erosionarlo. Las regulaciones sobre IA, ciberseguridad y ESG van a multiplicar el volumen de certificaciones. Cada nueva norma es una oportunidad para una consultora de hacer las dos cosas con el mismo cliente.
El oficio se sostiene si lo defendemos. No por ética abstracta — por economía del propio oficio. Cuando el certificado no significa nada, nadie lo paga. Cuando lo paga, lo paga barato. Cuando lo paga barato, el oficio degrada. El cazador de no conformidades termina cobrando lo mismo que un auditor técnico.
El precio defendible de la firma técnica es función directa de la integridad de Firewall 01C en el mercado.
El día que se rompe, no se rompe la ética. Se rompe el precio.
Fernando Arrieta · 2026-04-12 · Buenos Aires