La gran pregunta es si sigue teniéndolo.

Hoy muchas organizaciones ya no trabajan con carpetas, documentos dispersos o evidencias difíciles de localizar. Toda la actividad queda registrada: activos, riesgos, controles, aprobaciones, versiones, registros de actividad, incidencias y trazabilidad completa, pero paradójicamente, seguimos auditando como si nada de eso hubiera cambiado.

No porque sea la mejor opción, sino porque es la forma en la que siempre se ha hecho.

La paradoja de la certificación

Aquí aparece una contradicción difícil de ignorar. Estamos hablando de la ISO/IEC 27001, una norma cuyo objetivo es precisamente garantizar la seguridad de la información en plena era digital. Sin embargo, su modelo de validación sigue basándose en una lógica heredada de un mundo anterior:

• muestreo,
• revisiones periódicas,
• auditorías presenciales,
• evidencia fragmentada en el tiempo.

La paradoja es evidente: En la era de la trazabilidad total, seguimos validando la seguridad como si la información fuera incompleta, opaca y dispersa.

Esto es, en cierto modo, una forma de “volver atrás” para certificar un sistema que ya vive en el presente continuo.

El coste de la confianza

Las certificaciones representan una garantía para clientes y proveedores, pero también suponen un coste considerable, tanto directo como estructural. No solo económico, sino también organizativo.

En la práctica, una certificación ISO 27001 en una organización pequeña o mediana puede implicar fácilmente más de 5.000 € por la auditoría de primer año, a lo que hay que añadir asesoramiento externo, preparación continua y dedicación interna. Pero el coste real no es solo el importe.

Es el tiempo, la distracción operativa y la energía que se desvía hacia “preparar la auditoría” en lugar de mejorar el sistema.

El cuello de botella: la escasez de auditores

El sistema depende de un recurso limitado: auditores cualificados, y esa escasez no es un detalle menor.

Significa que:

• los plazos no dependen solo de la organización,
• la profundidad del análisis depende de la disponibilidad,
• y la interpretación depende del profesional asignado.

Dos organizaciones equivalentes pueden recibir conclusiones distintas no por diferencias reales de seguridad, sino por variaciones de criterio, experiencia o enfoque del auditor.

Pero no es un problema de calidad individual, sino una consecuencia estructural del modelo.

El efecto menos discutido: la certificación como dependencia

Hay un aspecto todavía menos visible: la validez de tres años con auditorías periódicas intermedias.

En teoría, es un ciclo de mejora continua. En la práctica, introduce un efecto secundario interesante:

• la organización no optimiza su seguridad, sino su “auditabilidad”,
• se generan rutinas orientadas a pasar auditorías,
• y el sistema entra en un ciclo permanente de preparación y revisión externa.

Esto crea, en muchos casos, una dependencia estructural del propio proceso de certificación, ya que no solo se certifica la seguridad, sino que se certifica también la continuidad del sistema de certificación.

El límite del modelo actual

El sistema tradicional se sostiene sobre tres supuestos:

1. Que el auditor no puede revisar todo, por lo que debe muestrear.
2. Que el coste de revisión completa es demasiado alto.
3. Que una evaluación periódica es suficiente para garantizar seguridad.

Estos supuestos eran razonables cuando los sistemas eran opacos, manuales y fragmentados. Pero hoy muchas organizaciones ya no funcionan así. Los sistemas son digitales, trazables y observables en tiempo real.

Una IA no necesita muestrear

Aquí aparece la diferencia clave: Una IA no estaría obligada a revisar una muestra. Podría analizar el 100% de las evidencias disponibles: Cada acceso, cada cambio, cada aprobación, cada excepción.

Por lo tanto, no observaría una fotografía del sistema. Observaría su comportamiento continuo… y eso cambia el concepto de auditoría.

Solemos pensar que la IA hará las auditorías más rápidas, pero esa no es la transformación relevante. La verdadera ruptura sería otra: Pasar de auditorías periódicas a auditorías continuas.

En lugar de detectar una desviación meses después, el propio sistema podría identificarla casi en tiempo real y así, la certificación dejaría de ser un evento para convertirse en un estado. Esto no sea una hipótesis futurista, sino una transición inevitable.

No porque la IA “lo vaya a cambiar todo”, sino porque el modelo actual depende de una limitación que está desapareciendo: la imposibilidad de revisar todo.

Cuando esa limitación desaparece, el modelo deja de ser la única opción viable, y aquí aparece un efecto interesante.

No todas las organizaciones se moverán al mismo ritmo

Las empresas más avanzadas digitalmente (aquellas con sistemas trazables, automatizados y altamente instrumentados) probablemente serán las primeras en percibir el valor de un modelo de auditoría continua. No solo por eficiencia, sino por algo más estructural:

• menos interrupción operativa,
• menos preparación artificial del sistema para “pasar auditoría”,
• más visibilidad continua del estado real de cumplimiento,
• menos dependencia de ventanas temporales de revisión.

En ese contexto, la auditoría tradicional empieza a percibirse como un modelo “externo y puntual”, mientras que la auditoría basada en IA se aproxima más a una verificación natural del propio sistema.

No es una cuestión de moda tecnológica. Es una cuestión de alineación con cómo funcionan realmente los sistemas digitales modernos.

Entonces, ¿desaparecerán los auditores?

A corto plazo, probablemente no, pero su función cambiará de forma radical hasta su desaparición.

Dejarán de centrarse en buscar evidencias para pasar a:

• validar sistemas de auditoría automatizada,
• interpretar excepciones,
• analizar casos ambiguos,
• y ejercer juicio donde la automatización no alcance.

La IA no eliminaría al auditor pero sí desplazará su valor... cada vez menor.

Quizá la pregunta del futuro sea otra

Hoy muchas grandes organizaciones preguntan: “¿Quién os ha certificado?” En el futuro quizá la pregunta sea distinta: “¿Cómo demostráis que vuestro sistema es verificable de forma continua?”

No se trata de un cambio tecnológico, sino que es un cambio de modelo de confianza... y quizás, la verdadera innovación no consista en construir una IA que audite organizaciones, sino en diseñar organizaciones cuyos sistemas estén preparados para ser auditados de forma continua.

Si una IA puede revisar el 100% de las evidencias, los 365 días del año, la cuestión ya no es si será más fiable que un auditor humano. La pregunta es otra:

¿Tiene sentido seguir basando la certificación en muestreo cuando ya no existe la limitación que lo justificaba? Así, la certificación dejará de ser una validación externa y pasará a ser una propiedad emergente del sistema. @mundiario