Documente Academic
Documente Profesional
Documente Cultură
AUDITORES INTERNOS
EN EL ESTANDAR
ISO 27001:2013
4. Contexto de la
Organización
JUSTIFICACIONES
n Proteger los activos de la información de una amplia gama de amenazas.
n Asegurar la continuidad del negocio.
n Minimizar los daños a la organización.
n Maximizar el retorno de las inversiones y la oportunidad de negocio.
n Brindar confianza a sus clientes y otras partes interesadas.
n Conocer los posibles riesgos en la seguridad de la información.
n Reducir el tiempo de respuesta en el caso de un evento.
n Proveer las mejores y oficiales practicas de la seguridad de la información.
n Ayudar a las empresas a desarrollar, implementar y mantener las mejores
prácticas efectivas de un sistema de gestión de la seguridad de la información.
Auditoria Interna
PRE auditoria (opcional)
Auditoria Interna
Oportunidades de Mejora
A.I.
Seguimiento V2
A.I.
Seguimiento V5 Seguimiento V3
A.I. Actividad Auditoria
A.I.
Seguimiento V5
A.I. Seguimiento V4
Competencias de auditores
n ISO 19011:2011, Guía para auditorias de sistemas de gestión.
(ISO27007, Guía para auditorías de un SGSI)
EDUCACIÓN
• Estudio formal
Certificate SGSOO1
FORMACIÓN
• Auditor interno (mínimo 24 horas)
certificado de aprobación
• Según la especialidad requerida
EXPERIENCIA
• 4 años en el sector ISO 27001:2005
• 6 meses con auditor interno
• 2 auditoria mínimo como observador
La organización debe:
AUDITORÍA
ALCANCE DE LA AUDITORÍA
PROGRAMA DE AUDITORÍA
PLAN DE AUDITORÍA
CRITERIOS DE AUDITORÍA
AUDITOR
EVIDENCIA DE AUDITORIA
COMPETENCIA
EXPERTO TÉCNICO
HALLAZGOS DE LA AUDITORÍA
CONCLUSION DE AUDITORÍA
OBSERVADOR
AUDITADO
GUIA
AUDITORÍA (3.1.)
Proceso sistemático, independiente y documentado para obtener evidencias de la
auditoria y evaluarlas de manera objetiva con el fin de determinar la extensión en que se
cumplen los criterios de auditoria.
AUDITADO(3.7.)
Organización a ser auditada.
AUDITOR (3.8.)
Persona que lleva a cabo una auditoria.
OBSERVADOR (3.11.)
Persona que acompaña el equipo de auditoría pero no actúa como auditor.
Un observador puede designarse por el auditado (3.7), una autoridad reglamentaria u otra
parte interesada que testifica la auditoría (3.1).
GUIA (3.12.)
Persona designada por el auditado para ayudar al equipo de auditoría
COMPETENCIA (3.17.)
Habilidad para aplicar conocimientos y habilidades con el fin de obtener los resultados
deseados.
CONFORMIDAD (3.18.)
Cumplimiento de un requisito.
NO CONFORMIDAD (3.19.)
Incumplimiento de un requisito.
© SGS SA 2012 ALL RIGHTS RESERVED 30
PRINCIPIOS DE
AUDITORÍA
PRINCIPIOS DE AUDITORÍA
Relacionados con la
Relacionados con auditores
auditoria
• Integridad • Independencia
• Enfoque basado en
• Presentación Ecuánime
evidencia
• Confidencialidad – Seguridad de la
información
• Debido Cuidado Profesional
© SGS SA 2012 ALL RIGHTS RESERVED 32
PRINCIPIOS DE AUDITORÍA
5.4.1 Generalidades
Se incluye lo que debe hacer la persona responsable del programa de auditorías para
implementarlo: Definir los objetivos, alcance y criterios para una auditoria individual
5.4.2 Definición de los objetivos, el alcance y los criterios para una auditoría individual
Cada auditoría individual debería basarse en unos objetivos, un alcance y unos
criterios de auditoría documentados. Estos deberían definirse por la persona que
gestiona el programa de auditoría y ser coherentes con los objetivos globales del
programa de auditoría.
Los objetivos de la auditoría definen qué es lo que se va a lograr con la auditoría individual
El alcance de la auditoría debería ser coherente con el programa de auditoría y con
los objetivos de la auditoría. Incluye factores tales como la ubicación, las unidades de
la organización, las actividades y los procesos que se van a auditar, así como el periodo de
tiempo cubierto por la auditoría.
Los criterios de auditoría se utilizan como una referencia frente a la cual se
determina la conformidad, y pueden incluir políticas, objetivos, procedimientos, normas,
requisitos legales, requisitos del sistema de gestión, requisitos contractuales, códigos de
conducta sectoriales u otros acuerdos planificados aplicables.
5.4.5 Asignación de responsabilidades al líder del equipo auditor para una auditoría
individual
La persona responsable de la gestión del programa de auditoría debería asignar a un líder del
equipo auditor la responsabilidad de llevar a cabo la auditoría individual.
La asignación debería hacerse con tiempo suficiente antes de la fecha programada de
la auditoría, para asegurarse de la planificación eficaz de la auditoría.
Organización:
Dirección: Fechas
en sitio:
Auditor Interno
Líder:
Grupo Auditor
Lenguaje de
auditoria:
Objetivos de auditoria:
Ø Siga parte del instinto e identifique pistas que le pueden dar una guía
de cómo está el proceso a revisar.
n La evidencia existe
n No está influenciada por emociones o prejuicio
n Puede ser documentada (datos)
n Puede estar basada en la observación (hechos)
n Debe estar relacionada con el SGSI
n Puede ser cuantificada y cualitativa
n Puede verificarse (evidencia real)
Permanezca seguro.
Administre el tiempo adecuadamente.
No se deje conducir o engañar.
Sea detallista y eficiente.
Evite apartarse del tema.
Evite saturarse de información o evidencia, busque solo la necesaria!!!.
PREPARACIÓN
Ø Cada auditor relata sus hallazgos.
Ø El equipo en conjunto evalúa y revisa los hallazgos,
especialmente aquellos sobre los que se quiera enfatizar.
Ø Se determina con ayuda de todo el equipo si son No
Conformidades Mayores, Menores u Observación.
Ø Se prepara un borrador del reporte final, el cual se entrega
antes de la reunión de cierre para que se vaya preparando el
plan de acción por parte de los auditados.
Ø Agradecimientos.
Ø Preguntas y discusiones al final.
Ø Confirmar alcance SGSI.
Ø Objetivo de auditoria y alcance de auditoria.
Ø No todas las No Conformidades se pueden descubrir, (evidencias de la
auditoria sólo se basarán en una muestra de la información disponible y por
lo tanto existe un elemento de incertidumbre en la auditoria).
Ø Presentación de fortalezas.
Ø Presentación de No Conformidades por el equipo.
(Si hay hechos).
Ø Explicación del seguimiento por el Auditor Líder (Acuerdo de las fechas
para terminación de las acciones correctivas).
Ø Registros.
Ø Preguntas al respecto.
© SGS SA 2012 ALL RIGHTS RESERVED 91
TALLER No. 8
NO SI
Establezca una
Nueva fecha
Evidencia (hechos)
cierre en el reportes
Verifique de SI
de no conformidad
Nuevo
NO
Nueva
ESCALE
SAC
Porque
Porque Porque
Porque 1 Porque 2a Porque 3
Porque
Porque
Efecto
Porque 4 Porque 5
© SGS SA 2012 ALL RIGHTS RESERVED 96
TALLER No. 9
No es necesario que cada auditor en el equipo auditor tenga la misma competencia; sin
embargo, la competencia global del equipo auditor necesita ser suficiente para lograr los
objetivos de la auditoría.
Los criterios deberían ser cualitativos (tales como haber demostrado el comportamiento
personal, los conocimientos o el desempeño de las habilidades, en la formación o en el lugar
de trabajo) y cuantitativos (tales como los años de experiencia laboral y de educación, el
número de auditorías realizadas, las horas de formación en auditoría).
CRITERIOS CRITERIOS
CUALITATIVOS CUANTITATIVOS
Criterios de Métodos de
Evaluación Evaluación
Evaluación
del Auditor
Los auditores y los líderes de equipos auditores deberían mejorar su competencia de manera
continua.
Los auditores deberían mantener su competencia en auditoría a través de la participación
regular en auditorías de sistemas de gestión y del desarrollo profesional continuo.
El desarrollo profesional continuo implica el mantenimiento y la mejora de la competencia.
Esto puede conseguirse a través de medios como experiencia laboral adicional, formación,
estudios particulares, tutorías, asistencia a reuniones, seminarios y conferencias u otras
actividades pertinentes.
Al preparar los documentos de trabajo, el equipo auditor debería considerar las siguientes
preguntas para cada documento:
a) ¿Qué registro de auditoría se creará utilizando este documento de trabajo?
b) ¿A qué actividad de la auditoría afecta este documento de trabajo en particular?
c) ¿Quién será el usuario de este documento de trabajo?
d) ¿Qué información se necesita para preparar este documento de trabajo?
Para las auditorías combinadas, deberían desarrollarse documentos de trabajo para evitar la
duplicación de actividades de auditoría mediante:
— la agrupación de requisitos similares provenientes de criterios diferentes;
— la coordinación del contenido de listas de verificación y cuestionarios relacionados.
Los documentos de trabajo deberían ser adecuados para tratar todos aquellos
elementos del sistema de gestión dentro del alcance de la auditoría y pueden facilitarse en
cualquier medio.
Las entrevistas son uno de los medios importantes de recopilar información y deberían
llevarse a cabo de un modo adaptado a la situación y a la persona entrevistada, sea
cara a cara o por otros medios de comunicación. Sin embargo, el auditor debería
considerar lo siguiente:
— las entrevistas deberían mantenerse con personas de los niveles y funciones
apropiados que desempeñan actividades o tareas dentro del alcance de la auditoría;
— las entrevistas normalmente deberían llevarse a cabo durante la jornada de trabajo
normal y, cuando sea posible, en el lugar de trabajo normal de la persona entrevistada;
— intentar que la persona entrevistada esté a gusto antes de la entrevista y durante la
misma;
— debería explicarse la razón de la entrevista y cualquier toma de notas;
— las entrevistas pueden iniciarse preguntando a las personas que describan su trabajo;
— selección cuidadosa del tipo de pregunta utilizado (por ejemplo, preguntas abiertas,
cerradas, inductivas);
— los resultados de la entrevista deberían resumirse y revisarse con la persona entrevistada;
— debería agradecerse a las personas entrevistadas su participación y cooperación.