Términos canónicos
de auditoría, ISO y regulación

Una no conformidad mayor es un hallazgo de auditoría que representa una ausencia o falla completa en un requisito del sistema, o una situación que pone en riesgo significativo la capacidad del sistema de cumplir su política. En auditoría inicial impide la emisión del certificado hasta cierre verificado; en auditoría de seguimiento puede suspender la certificación si no se cierra en el plazo acordado (típicamente 90 días con plan, hasta 12 meses si requiere implementación profunda). Es la categoría de hallazgo que exige intervención directa de la dirección.

Falla aislada, no sistémica, en el cumplimiento de un requisito del sistema. Ejemplos: un registro no completado en una muestra, un procedimiento documentado con versión obsoleta en uso, inconsistencia entre lo declarado y lo observado en un área específica. No impide certificación o recertificación. Requiere plan de acción documentado y cierre en plazo (típicamente 90 días). Patrón de múltiples NC menores en el mismo proceso es señal de NC mayor latente.

Oportunidad de mejora identificada por el auditor que no constituye incumplimiento formal. Sin implicación regulatoria, no requiere cierre formal. Sin embargo, algunas observaciones son antesala de una NC menor en el ciclo siguiente si el patrón persiste. Debe revisarse con criterio, no descartarse en bloque.

Auditoría interna conducida por la propia organización o por personal contratado en su nombre. Su objetivo es verificar la conformidad del sistema con sus propios requisitos. Es obligatoria bajo todas las normas ISO de sistemas de gestión (cláusula 9.2). El auditor opera con conflicto de interés inherente: depende — directa o indirectamente — de la jerarquía cuya gestión audita.

Auditoría conducida por una organización-cliente sobre su proveedor, o por un evaluador independiente actuando en nombre del cliente. Su objetivo es verificar que el proveedor cumple los requisitos contractuales o normativos relevantes para el cliente. Su autoridad es contractual, no regulatoria. Una evaluación preliminar independiente — como la ofrecida desde este sitio — opera bajo régimen de segunda parte cuando el directorio actúa como su propio cliente.

Auditoría conducida por organismo independiente de la organización auditada y de sus clientes, acreditado bajo ISO/IEC 17021-1 para emitir certificados de conformidad con normas ISO de sistemas de gestión. La acreditación es el mecanismo formal de la independencia: el organismo certificador es supervisado por un organismo acreditador (IAF MLA). Su autoridad es regulatoria y aceptada en cualquier mercado donde el acreditador pertenezca a IAF.

Régimen operativo declarado en fernandoarrieta.org para preservar la imparcialidad profesional entre dos esferas: la evaluación preliminar independiente y la certificación oficial tramitada por organismos acreditados bajo ISO/IEC 17021-1. Establece separación estructural, operativa y documental. La nomenclatura es deliberada: 01 referencia el primer principio operativo (independencia del juicio); C designa carácter contractual y verificable del régimen.

Período de auditoría externa de seguimiento (típicamente un año) cerrado sin no conformidades mayores. Un sistema con tres o más ciclos limpios consecutivos es operativamente común — y es también, paradójicamente, el patrón donde se observan con mayor frecuencia las brechas materiales no detectadas. Investigación propia documenta la desconexión gradual entre comportamiento documental y operativo en sistemas con historial prolongado de ciclos limpios.

Directrices internacionales para la auditoría de sistemas de gestión. Aplicable a cualquier auditoría — primera, segunda o tercera parte — de cualquier sistema de gestión ISO. Define principios (integridad, presentación imparcial, debido cuidado profesional, confidencialidad, independencia, enfoque basado en evidencia, enfoque basado en riesgos), proceso de auditoría completo (planificación, ejecución, informe, seguimiento), y competencias del auditor. Versión vigente: 2018.

Norma internacional que establece los requisitos para organismos que realizan auditoría y certificación de sistemas de gestión. Es la base de la acreditación de los organismos certificadores. Cubre estructura, gestión de imparcialidad (cláusula 5), competencia del personal, requisitos operativos, gestión de recursos. El Anexo C trata específicamente la gestión de riesgos a la imparcialidad. Es la norma "que regula al auditor" — sin un organismo acreditado bajo 17021-1, no hay certificación ISO oficial.

Documento mandatorio del International Accreditation Forum que establece la duración de las auditorías de certificación de sistemas de gestión. Define la fórmula para calcular los días-auditor requeridos según número de empleados efectivos, complejidad del sistema, y norma certificada. Es el documento que evita que un organismo certificador comprima auditorías para reducir costos a riesgo de calidad. Versión vigente: revisada periódicamente.

IAF Multilateral Recognition Arrangement: acuerdo multilateral del International Accreditation Forum por el cual los organismos acreditadores se reconocen mutuamente. Un certificado emitido por un organismo certificador acreditado bajo IAF MLA es aceptado en cualquier mercado donde el acreditador local también pertenezca al MLA. Es lo que garantiza la portabilidad internacional de las certificaciones ISO.

Proceso por el cual un organismo acreditador (OAA en Argentina, ENAC en España, IAF MLA a nivel internacional) verifica que un organismo certificador cumple los requisitos de ISO/IEC 17021-1. La acreditación es el mecanismo formal de la independencia. Sin acreditación, los certificados emitidos por un organismo carecen de validez ante reguladores y clientes corporativos internacionales.

Conjunto de elementos interrelacionados o que interactúan de una organización para establecer políticas, objetivos y procesos para lograr esos objetivos. En el lenguaje ISO, un sistema de gestión es la estructura formal que se audita y se certifica. No es un manual; es la práctica observable + documentación + revisión continua + mejora.

High Level Structure (Anexo SL): estructura común que todas las normas ISO de sistemas de gestión modernas comparten desde 2012-2015. Las mismas diez cláusulas (contexto, liderazgo, planificación, apoyo, operación, evaluación, mejora) facilitan integración entre normas. Permite que una organización con ISO 9001 + 14001 + 45001 opere bajo un único SGI (sistema integrado de gestión) en lugar de tres sistemas paralelos.

Estructura organizacional que opera bajo dos o más normas ISO simultáneamente con un único conjunto documental y un único ciclo de auditoría interna y revisión por la dirección. El SGI bien diseñado reduce esfuerzo documental en 35-45% respecto a sistemas separados. El SGI mal diseñado oculta brechas operativas detrás de lenguaje genérico.

Ciclo de mejora continua de cuatro fases: planificar (Plan), ejecutar (Do), verificar (Check), actuar (Act). Es la lógica que estructura todas las normas ISO de sistemas de gestión: cláusulas 4-6 son Plan, cláusulas 7-8 son Do, cláusula 9 es Check, cláusula 10 es Act. Originalmente formulado por Walter Shewhart y popularizado por W. Edwards Deming.

Cláusula 4.3 de cualquier norma ISO de sistema de gestión: la organización debe determinar los límites y la aplicabilidad del sistema de gestión. Incluye procesos, unidades organizacionales, ubicaciones físicas, productos y servicios cubiertos. El alcance define qué se certifica y qué no. Exclusiones legítimas deben estar justificadas — exclusiones que evaden requisitos materiales son no conformidad mayor.

Cláusula 9.3 de todas las normas ISO de gestión: la alta dirección debe revisar el sistema de gestión a intervalos planificados. Entradas obligatorias: estado de acciones, cambios en cuestiones externas/internas, información de desempeño, retroalimentación, oportunidades de mejora, suficiencia de recursos. Salidas obligatorias: decisiones documentadas con dueño y plazo. Un patrón observable de revisiones sin decisiones es señal de sistema desconectado.

Cláusula 9.2 de todas las normas ISO de gestión: la organización debe llevar a cabo auditorías internas a intervalos planificados. Su objetivo es verificar si el sistema cumple con los requisitos propios + los requisitos de la norma, y si está implementado y mantenido eficazmente. Es obligatoria; sin auditoría interna ejecutada, la cláusula 9.2 es no conformidad mayor.

Marco bajo ISO/IEC 27001 para gestionar sistemáticamente la confidencialidad, integridad y disponibilidad de la información. Incluye política, alcance, análisis de riesgos, declaración de aplicabilidad, controles del Anexo A, auditorías, revisiones y mejora. Es certificable. La versión vigente: 27001:2022 con 93 controles agrupados en 4 dominios.

Statement of Applicability: documento obligatorio bajo ISO/IEC 27001 cláusula 6.1.3.d que lista todos los controles del Anexo A indicando para cada uno si se aplica o no, con justificación. Es el documento más auditado del SGSI: el auditor compara cada control con la operación real. Inconsistencia entre SoA y operación es no conformidad típica.

Listado de controles de seguridad de la información que las organizaciones pueden adoptar para tratar los riesgos identificados. La versión 2022 reorganiza los controles en 4 dominios (organizacionales, personas, físicos, tecnológicos) con 93 controles totales, incluidos 11 nuevos respecto a la versión 2013. No es lista cerrada: la organización puede agregar controles adicionales según su riesgo.

Triada clásica de la seguridad de la información: confidencialidad (la información no se divulga a partes no autorizadas), integridad (la información no se modifica sin autorización), disponibilidad (la información está accesible cuando se necesita). Es el modelo subyacente a ISO/IEC 27001 y a la mayoría de los marcos de seguridad.

Tecnologías, sistemas, software o servicios cloud adoptados por áreas funcionales sin pasar por el proceso de aprobación de IT o de seguridad. En sistemas certificados bajo ISO 27001 es síntoma de un proceso de adopción débil. Aparece típicamente cuando el procedimiento formal de aprobación es lento o burocrático. Solución: rediseño del flujo, no represión.

Primera norma internacional de sistema de gestión específico para inteligencia artificial, publicada en diciembre de 2023. Establece requisitos para implementar, mantener y mejorar continuamente un sistema de gestión de IA (SGI-IA). Su Anexo A introduce 38 controles agrupados en 9 dominios incluyendo gobernanza, gestión de riesgos, datos, ciclo de vida del modelo, transparencia, supervisión humana. Es certificable.

Uso de herramientas de inteligencia artificial dentro de una organización sin gobernanza formal: sin política, sin auditoría, sin clasificación de datos compartidos. Investigación propia documenta que el 73% de las organizaciones con certificación ISO de seguridad o calidad opera al menos una instancia de Shadow AI. Tres niveles: individual (empleados con ChatGPT personal), de equipo (SaaS con IA sin aprobación), sistémica (producto con IA sin documentación de modelo).

Reglamento (UE) 2024/1689 del Parlamento Europeo y del Consejo. Primera regulación integral del mundo sobre sistemas de inteligencia artificial. Aplica extraterritorialmente a todo proveedor que comercialice o ponga en servicio sistemas de IA en el mercado europeo. Clasifica los sistemas en cuatro niveles de riesgo: inaceptable (prohibidos), alto, limitado, mínimo. Sanciones hasta 7% de la facturación global anual.

Evaluación de impacto sobre derechos fundamentales obligatoria bajo Art. 27 del EU AI Act. Aplica a organismos públicos y prestadores de servicios públicos que despliegan sistemas de IA de alto riesgo, y a todos los deployers de scoring crediticio y seguros de vida/salud. Seis elementos obligatorios: procesos, período, categorías de personas afectadas, riesgos específicos, supervisión humana, plan de respuesta.

Norma internacional publicada en 2023 sobre gestión de riesgos en sistemas de inteligencia artificial. Provee marco metodológico para identificar, analizar, evaluar y tratar riesgos específicos de IA. No es certificable como sistema independiente: opera como guía técnica complementaria a ISO/IEC 42001 cláusula 6.1 (planificación de acciones para abordar riesgos).

Patrón cognitivo en el que el operador humano acepta sistemáticamente la sugerencia de un sistema automatizado sin revisión sustantiva. Aparece cuando la interfaz no facilita el cuestionamiento, cuando la presión operativa es alta, o cuando el modelo tiene historial de acierto que erosiona el escrutinio. Es el principal riesgo de la supervisión humana significativa exigida por EU AI Act Art. 14.

Norma internacional para sistemas de gestión de continuidad del negocio. Establece requisitos para anticipar, prepararse para, responder a y recuperarse de incidentes disruptivos. Su núcleo es el Business Impact Analysis (BIA). Es certificable. Es prácticamente obligatoria de facto en sector financiero regulado bajo marcos como DORA, BCRA A-7724, equivalentes LATAM.

Análisis de impacto en el negocio: cláusula 8.2.2 de ISO 22301. Identifica las actividades críticas de la organización, evalúa el impacto en el tiempo de interrupción de cada una, y determina objetivos de tiempo y punto de recuperación (RTO/RPO). Es el documento que dirige el resto del sistema de continuidad. Sin BIA formal, el plan de continuidad es texto sin tracción.

Objetivo de tiempo de recuperación: tiempo máximo aceptable que un proceso crítico puede permanecer interrumpido antes de generar consecuencias inaceptables. Se establece por proceso, no global. Es la métrica clave de resiliencia operativa que reguladores financieros (BCRA, DORA) auditan.

Objetivo de punto de recuperación: cantidad máxima aceptable de datos que pueden perderse en una disrupción, medida en tiempo. RPO de 1 hora significa que se acepta perder hasta 1 hora de datos. Es la métrica complementaria al RTO. Define la frecuencia mínima de respaldo y replicación.

Reglamento (UE) 2022/2554 sobre resiliencia operacional digital del sector financiero. Aplicable desde enero de 2025. Establece requisitos uniformes para entidades financieras y proveedores críticos de TIC. Mapea operativamente sobre ISO 22301 + ISO 27001 + ISO 27701 con especificidades regulatorias adicionales.

Sistema de gestión antisoborno (Anti-Bribery Management System / ABMS). Norma internacional específicamente dedicada a prevenir, detectar y responder al riesgo de soborno. Exige función de cumplimiento antisoborno, evaluación de riesgo específica, debida diligencia sobre socios y personal, controles financieros y no financieros, procedimientos de denuncia. Certificable.

Sistema de gestión de compliance (Compliance Management System / CMS). Norma general que cubre toda la materia de compliance: regulatoria, contractual, ética, fiscal, laboral, ambiental, sectorial. Mientras ISO 37001 es específica de antisoborno, ISO 37301 es general. Antisoborno es subset operativo cuando ambas se integran.

Cláusula 8.2 de ISO 37001 y obligaciones análogas en regulaciones anticorrupción (FCPA, UK Bribery Act, Ley 27.401 argentina): proceso documentado para evaluar el riesgo de soborno asociado a socios comerciales, proveedores y personal. Incluye verificación de antecedentes, análisis de propiedad y control, identificación de personas políticamente expuestas, evaluación del país y sector.

Persona que desempeña o ha desempeñado funciones públicas prominentes, sus familiares y asociados cercanos. Bajo regulación anticorrupción y antilavado, los PEP requieren debida diligencia reforzada. El concepto se define en FATF Recommendations y se incorpora a ISO 37001 cláusula 8.2.

Mecanismo por el cual una persona reporta conductas que considera ilegales, no éticas o contrarias a la política de la organización. ISO 37001 cláusula 8.9 y ISO 37301 cláusula 8.5 exigen procedimiento documentado de denuncia con protección al denunciante. Bajo regulación europea, Directiva 2019/1937 obliga a empresas de más de 50 empleados a tener canal interno de denuncia.

Sistema de gestión de la calidad: la norma ISO de sistema de gestión más adoptada del mundo, con más de 1 millón de organizaciones certificadas globalmente. Establece requisitos para demostrar capacidad de proporcionar productos y servicios conformes a requisitos del cliente y reglamentarios. Versión vigente: 9001:2015. Revisión esperada en 2026.

Cláusula 9.1.2 de ISO 9001: la organización debe realizar el seguimiento de las percepciones de los clientes del grado en que se cumplen sus necesidades y expectativas. Métricas típicas: NPS, CSAT, encuestas, reclamaciones. La sola medición no satisface la cláusula — se exige análisis y acción.

Principio fundamental de ISO 9001: una organización funciona mejor cuando sus actividades se entienden y gestionan como procesos interrelacionados. La cláusula 4.4 obliga a determinar los procesos del sistema de gestión, sus entradas, salidas, secuencia, criterios y métricas. El enfoque a procesos contrasta con el enfoque funcional (silos por área).

Cláusula 8.7 y 10.2 de ISO 9001: producto o servicio que no cumple los requisitos. La organización debe identificarlo, separarlo, tomar acciones para evitar uso no intencionado, y considerar acciones correctivas para evitar recurrencia. Distinta de no conformidad del sistema, que es hallazgo de auditoría sobre el SG.

Reglamento (UE) 2016/679. Regulación europea de protección de datos personales, aplicable extraterritorialmente desde mayo de 2018. Establece principios de tratamiento, bases legales, derechos del titular (ARSU), obligaciones del responsable y del encargado, transferencias internacionales, autoridades de control. Sanciones hasta el 4% de facturación global anual.

Extensión de ISO 27001 + 27002 para sistemas de gestión de información de privacidad (PIMS). Ayuda a las organizaciones a cumplir GDPR y otras regulaciones de privacidad. Distingue entre responsable del tratamiento (PII controller) y encargado (PII processor) con controles específicos para cada rol. Es certificable como extensión sobre 27001.

Ley de Protección de los Datos Personales de la República Argentina, promulgada en 2000. Régimen pionero en LATAM. Establece derechos ARCO (acceso, rectificación, cancelación, oposición), registro de bases de datos ante la AAIP, transferencias internacionales con países sin nivel adecuado. La reforma 2024 amplía el marco hacia armonización con GDPR.

Lei nº 13.709/2018 de Brasil. Marco general de protección de datos personales, ampliamente alineado con GDPR pero con especificidades locales. Vigente desde agosto de 2020. Autoridad de control: ANPD (Autoridade Nacional de Proteção de Dados). Sanciones hasta 2% de facturación de la empresa en Brasil.

Marco voluntario de gestión de ciberseguridad publicado por el National Institute of Standards and Technology de EE. UU. La versión 2.0 (febrero 2024) organiza la práctica en seis funciones: Govern, Identify, Protect, Detect, Respond, Recover. No hay certificación oficial: la adopción es declarativa. Operativamente complementario a ISO 27001.

Service Organization Control 2: marco de atestación independiente del AICPA (American Institute of Certified Public Accountants) sobre los controles de seguridad de organizaciones de servicio. Cubre cinco Trust Services Criteria: Security (obligatoria), Availability, Processing Integrity, Confidentiality, Privacy. SOC 2 Tipo 2 cubre la operación durante un período de 6-12 meses. Es opinion auditor, no certificación.

Comunicación del Banco Central de la República Argentina que establece el régimen de resiliencia operacional para entidades financieras argentinas. Seis dimensiones: identificación de servicios críticos, mapeo de dependencias, tolerancia al impacto, pruebas de escenarios extremos, gestión de proveedores críticos, gobierno de la resiliencia. Mapea operativamente sobre ISO 22301 + ISO 27001 + ISO 27701.

Ley de Responsabilidad Penal Empresaria de Argentina (2017). Atribuye responsabilidad penal a personas jurídicas por delitos contra la administración pública. La existencia de un programa de integridad (incluyendo elementos análogos a ISO 37001) es considerada como atenuante o eximente. Por eso ISO 37001 se ha vuelto palanca defensiva para empresas con operaciones públicas.

Reglamento (UE) 2017/745 sobre productos sanitarios. Aplicable desde mayo de 2021. Establece requisitos para fabricantes, importadores y distribuidores de dispositivos médicos comercializados en la UE. Para dispositivos médicos con componentes de IA, MDR convive con EU AI Act: ambos aplican simultáneamente.

Sistema de gestión de calidad específico para dispositivos médicos. Se utiliza por fabricantes para demostrar capacidad de proveer dispositivos médicos que cumplen requisitos del cliente y regulatorios aplicables. Es la norma alineada con MDR y FDA para la fabricación de dispositivos médicos. Convive con ISO 42001 cuando el dispositivo incluye IA.