Diapistivas Auditor Interno ISO 27001

FORMACIÓN COMO
AUDITORES INTERNOS
EN EL ESTANDAR
ISO 27001:2013
© SGS SA 2012 ALL RIGHTS RESERVED 1

ISO 27001:2013 - CONTENIDO
4. Contexto de la
Organización

ISO/IEC 27001:2013
¿Por qué implementar un SGSI y certificarlo?
JUSTIFICACIONES
n  Proteger los activos de la información de una amplia gama de amenazas.
n  Asegurar la continuidad del negocio.
n  Minimizar los daños a la organización.
n  Maximizar el retorno de las inversiones y la oportunidad de negocio.
n  Brindar confianza a sus clientes y otras partes interesadas.
n  Conocer los posibles riesgos en la seguridad de la información.
n  Reducir el tiempo de respuesta en el caso de un evento.
n  Proveer las mejores y oficiales practicas de la seguridad de la información.
n  Ayudar a las empresas a desarrollar, implementar y mantener las mejores
prácticas efectivas de un sistema de gestión de la seguridad de la información.

LA MENTE DE UN AUDITOR

AUDITORIA DE CERTIFICACIÓN
Auditoria Interna
PRE auditoria (opcional)
Auditoría Primera (Segunda) Parte
Auditoria Interna
Oportunidades de Mejora
Auditoría de Certificación Acción Correctiva Mayor

Renovación A.I.
Certificación
Cierre Mayor
A.I.
Seguimiento V2
A.I.
Seguimiento V5 Seguimiento V3
A.I. Actividad Auditoria
A.I.
Seguimiento V5
A.I. Seguimiento V4




CERTIFICACIÓN
Certificación y registro de organizaciones
Los organismos de acreditación (Accreditation bodies) acreditan a

organismos de certificación (Certification bodies) para verificar y
registrar el cumplimiento de los estándares nacionales o internacionales
en las organizaciones.
También define el alcance de acreditación del organismo de

certificación.
n  Reino Unido: UKAS United Kingdom Accreditation Service
n  USA: ANAB
n  México: EMA
n  Colombia: ONAC Organismo Nacional de Acreditación de Colombia
CERTIFICACIÓN AUDITORES
Auditor líder ISMS ISO 27001

n  International register of certification Auditors (IRCA) en Reino Unido UK
n  Register Accreditation Board (RAB) en USA
n  Quality Society of Australasia (QSA), Sociedad de calidad Australia y
Nueva Zelanda.
Auditor Interno ISMS ISO 27001
Fundamentos – Sensibilización ISMS ISO 27001

CERTIFICACIÓN AUDITORES
Para asegurar que la auditoria es un herramienta efectiva y confiable

de gestión, la auditoria es basada en ciertos principios fundamentales.
Competencias de auditores
n  ISO 19011:2011, Guía para auditorias de sistemas de gestión.
(ISO27007, Guía para auditorías de un SGSI)

CALIFICACIÓN DE AUDITORES
EDUCACIÓN
•  Estudio formal
Certificate SGSOO1
FORMACIÓN
•  Auditor interno (mínimo 24 horas)
certificado de aprobación
•  Según la especialidad requerida
EXPERIENCIA
•  4 años en el sector ISO 27001:2005
•  6 meses con auditor interno
•  2 auditoria mínimo como observador

9.2 AUDITORÍAS INTERNAS
(RECORDEMOS)
La organización debe llevar a cabo auditorias internas a intervalos

planificados, para proporcionar información acerca de si el SGSI:
a)  Es conforme con:

•  Los propios requisitos de la organización para su SGSI.
•  Los requisitos de la norma.
b)  Está implementado y mantenido efectivamente.

9.2 AUDITORÍAS INTERNAS
(RECORDEMOS)
La organización debe:
n  Planificar, establecer, implementar y mantener uno o varios programas de

auditorias que incluyan la frecuencia, los métodos, las responsabilidades, los
requisitos de planificación, y la elaboración de informes. El programa debe
tener en cuenta la importancia de los procesos relacionados y el
resultado de las auditorías anteriores.
n  Definir los criterios y el alcance de cada auditoria
n  La selección de los auditores y la realización de la auditorías aseguren la
objetividad e imparcialidad del proceso de auditoria.
n  Asegurar que los resultados se informan a la Dirección; y
n  Conservar la información documentada como evidencia de la implementación
del programa de auditoría y sus resultados.

TALLER No. 1

NORMA ISO 19011
NORMA ISO 19011:2011
ISO 19011 es un documento que define un estándar reconocido

internacionalmente para desarrollar, implementar y mantener programas de
auditoría interna diseñados para evaluar sistemas de gestión.
La norma ISO 19011:2011 no establece requisitos, sino que proporciona

orientación sobre la gestión de un programa de auditoría (capítulo 5), sobre la
planificación y realización de una auditoría del sistema de gestión (capítulo 6),
así como sobre la competencia y evaluación de un auditor y un equipo auditor
(capítulo 7). Si bien ISO 19011 no es una norma certificable, puede servir para
mejorar el desempeño de sistemas ya implantados y certificados.

ESTRUCTURA NORMA ISO 19011:2011



TIPOS DE AUDITORÍA

TALLER No. 2

TÉRMINOS Y
DEFINICIONES
DEFINICIONES DE LA NORMA
ISO 19011
AUDITORÍA
ALCANCE DE LA AUDITORÍA
PROGRAMA DE AUDITORÍA
PLAN DE AUDITORÍA
CRITERIOS DE AUDITORÍA
AUDITOR
EVIDENCIA DE AUDITORIA
COMPETENCIA
EXPERTO TÉCNICO
HALLAZGOS DE LA AUDITORÍA
CONCLUSION DE AUDITORÍA
OBSERVADOR
AUDITADO
GUIA

ISO 19011
AUDITORÍA (3.1.)
Proceso sistemático, independiente y documentado para obtener evidencias de la
auditoria y evaluarlas de manera objetiva con el fin de determinar la extensión en que se
cumplen los criterios de auditoria.

ISO 19011
CRITERIOS DE AUDITORÍA (3.2.)

Conjunto de políticas, procedimientos o requisitos utilizados como referencia para comparar
contra la evidencia obtenida.
EVIDENCIA DE AUDITORIA (3.3.)

Registros, declaraciones o cualquier otra información relevante que este relacionada con
para los criterios de auditoria y que sea verificable
CONCLUSION DE AUDITORÍA (3.5.)

Resultado de una auditoria, que proporciona el equipo auditor tras considerar los objetivos
de la auditoria y todos los hallazgos resultado de la auditoria.
AUDITADO(3.7.)
Organización a ser auditada.

ISO 19011
HALLAZGOS DE LA AUDITORÍA (3.4.)

Resultados de la evaluación de la evidencia recopilada durante la auditoria, frente a los
criterios de auditoria.
AUDITOR (3.8.)
Persona que lleva a cabo una auditoria.

ISO 19011

ISO 19011
EQUIPO AUDITOR (3.9.)

Uno o más auditores (3.8) que llevan a cabo una auditoría (3.1), con el apoyo, si es
necesario, de expertos técnicos (3.10).
EXPERTO TÉCNICO (3.10.)

Persona que aporta conocimientos específicos o experiencia al equipo auditor.
No actúa como un auditor.
OBSERVADOR (3.11.)
Persona que acompaña el equipo de auditoría pero no actúa como auditor.
Un observador puede designarse por el auditado (3.7), una autoridad reglamentaria u otra
parte interesada que testifica la auditoría (3.1).
GUIA (3.12.)
Persona designada por el auditado para ayudar al equipo de auditoría

ISO 19011
PROGRAMA DE AUDITORÍA (3.13.)

Conjunto de una o mas auditorias planificadas para un periodo de tiempo determinado y
dirigidas hacia un propósito especifico.
ALCANCE DE LA AUDITORÍA (3.14.)

Extensión y limites de una auditoria.
El alcance de la auditoria incluye generalmente una descripción de las ubicaciones físicas, las
unidades organizacionales, actividades y procesos, así como el período de tiempo cubierto.
PLAN DE AUDITORÍA (3.15)

Descripción de las actividades y de los detalles acordados de UNA AUDITORIA.
COMPETENCIA (3.17.)
Habilidad para aplicar conocimientos y habilidades con el fin de obtener los resultados
deseados.
CONFORMIDAD (3.18.)
Cumplimiento de un requisito.
NO CONFORMIDAD (3.19.)
Incumplimiento de un requisito.
PRINCIPIOS DE
AUDITORÍA
PRINCIPIOS DE AUDITORÍA
Relacionados con la
Relacionados con auditores
auditoria
•  Integridad •  Independencia
•  Enfoque basado en
•  Presentación Ecuánime
evidencia
•  Confidencialidad – Seguridad de la
información
•  Debido Cuidado Profesional
PRINCIPIOS DE AUDITORÍA
n  INTEGRIDAD: Considerado el fundamento del profesionalismo del auditor.
n  PRESENTACION IMPARCIAL: La obligación de informar con veracidad y exactitud.
n  DEBIDO CUIDADO PROFESIONAL: La aplicación de diligencia y juicio al auditar. Los auditores

deben proceder con el debido cuidado, de acuerdo con la importancia de la tarea que
desempeñan y la confianza depositada en ellos por el cliente de la auditoria y por otras partes
interesadas.
n  CONFIDENCIALIDAD: Seguridad de la información. El auditor debe mantener la discreción en el

uso y protección, sobre la información obtenida en el curso de la auditoría.
n  INDEPENDENCIA: La base de la imparcialidad de la auditoría y objetividad en las conclusiones

de auditoría. El auditor debe ser independiente y debe actuar en todos los casos libre de cualquier
conflicto de intereses
n  ENFOQUE BASADO EN LA EVIDENCIA: El método racional para alcanzar conclusiones de la

auditoria fiables y reproducibles en un proceso de auditoria sistemático. La evidencia de la
auditoria debe ser verificable. Está basada en muestras de la información disponible, ya que una
auditoría se lleva a cabo durante un período de tiempo delimitado y con recursos finitos.

TALLER No. 3

GESTIÓN DE UN
PROGRAMA DE
AUDITORÍA
GESTIÓN DEL PROGRAMA DE
AUDITORÍA
Figura 1 – Diagrama de flujo para la

gestión de un programa de auditoría

AUDITORÍA

RESPONSABILIDADES DEL
AUDITOR INTERNO LÍDER
n  Dirige el proceso de auditoria

n  Ayuda en la selección del personal del equipo
n  Es el responsable por todas las etapas de la auditoria.
n  Ayuda en la preparación del plan de auditoria
n  Establece el contacto inicial con el auditado
n  Representa el equipo auditor ante la dirección
n  Preparara y entrega el informe final de auditoria
n  Dirige de las actividades de seguimiento
n  Trata la información con la discreción debida

RESPONSABILIDADES DEL
CO-AUDITOR
n  Cumple con el 100% de los requisitos de auditoria

n  Realiza efectivamente las actividades asignadas
n  Documenta los hallazgos de auditoria
n  Conserva y salvaguarda la documentación de la auditoria.
n  Reporta los resultados de la auditoria
n  Verifica la eficacia de las acciones aplicadas como resultado de la auditoria.
n  Coopera y soporta al auditor líder.

5.2 ESTABLECIMIENTO DE
LOS OBJETIVOS DEL

5.3 ESTABLECIMIENTO DEL
5.3.1 Funciones y responsabilidades de la persona responsable de la gestión del

programa de auditoría
5.3.2 Competencia de la persona responsable de la gestión del programa de
auditoría
5.3.3 Determinación del alcance del programa de auditoría
5.3.4 Identificación y evaluación de los riesgos relacionados con el programa de
auditoría: Hay muchos riesgos distintos asociados con el establecimiento, la
implementación, el seguimiento, la revisión y la mejora de un programa de
auditoría que pueden afectar al logro de sus objetivos. La persona que
gestiona el programa debería considerar estos riesgos en su desarrollo.
5.3.5 Establecimiento de procedimientos para el programa de auditoría:
planificación, aseguramiento de calidad, selección de equipo auditor, métodos de
muestreo, seguimiento a la auditoría, comunicación, conservación de registros, etc.
5.3.6 Identificación de los recursos del programa de auditoría

5.3 ESTABLECIMIENTO DEL
RIESGO EVALUACION MEDIDA DE CONTROL

Comunicación Riesgo Envío temprano y verificación de recibo
ineficaz del programa mediano
No logro de los Riesgo crítico • Entrenamiento apropiado de auditores
objetivos del • Elaboración oportuna y adecuada de planes
programa de auditoria
• Listas de verificación revisadas por el auditor
líder
Interferencia con las Riesgo • Coordinación previas con los responsables
actividades mediano de los procesos operacionales
productivas
Riesgo físico para los Riesgo alto • Capacitación previa en control de riesgos
auditores • Evaluación competencias en seguridad

AUDITORÍA

5.4 IMPLEMENTACIÓN DEL
5.4.1 Generalidades
Se incluye lo que debe hacer la persona responsable del programa de auditorías para
implementarlo: Definir los objetivos, alcance y criterios para una auditoria individual
5.4.2 Definición de los objetivos, el alcance y los criterios para una auditoría individual
Cada auditoría individual debería basarse en unos objetivos, un alcance y unos
criterios de auditoría documentados. Estos deberían definirse por la persona que
gestiona el programa de auditoría y ser coherentes con los objetivos globales del
programa de auditoría.
Los objetivos de la auditoría definen qué es lo que se va a lograr con la auditoría individual
El alcance de la auditoría debería ser coherente con el programa de auditoría y con
los objetivos de la auditoría. Incluye factores tales como la ubicación, las unidades de
la organización, las actividades y los procesos que se van a auditar, así como el periodo de
tiempo cubierto por la auditoría.
Los criterios de auditoría se utilizan como una referencia frente a la cual se
determina la conformidad, y pueden incluir políticas, objetivos, procedimientos, normas,
requisitos legales, requisitos del sistema de gestión, requisitos contractuales, códigos de
conducta sectoriales u otros acuerdos planificados aplicables.

5.4.3 Selección de los métodos de auditoría

NOTA En el Anexo B se proporciona orientación sobre cómo determinar los métodos de
auditoría.
5.4.4 Selección de los miembros del equipo auditor

La persona responsable de la gestión del programa de auditoría debería designar a los
miembros del equipo auditor, incluyendo al líder del equipo y a cualquier experto técnico
necesario para la auditoría específica.
Un equipo auditor debería seleccionarse teniendo en cuenta las competencias necesarias
para alcanzar los objetivos de la auditoría individual dentro del alcance definido. Si sólo
hay un auditor, el auditor debería realizar todas las tareas aplicables a un líder de equipo
auditor.
5.4.5 Asignación de responsabilidades al líder del equipo auditor para una auditoría
individual
La persona responsable de la gestión del programa de auditoría debería asignar a un líder del
equipo auditor la responsabilidad de llevar a cabo la auditoría individual.
La asignación debería hacerse con tiempo suficiente antes de la fecha programada de
la auditoría, para asegurarse de la planificación eficaz de la auditoría.

5.4.6 Gestión del resultado del programa de auditoría

La persona responsable de la gestión del programa de auditoría debería asegurarse de que
se realizan las siguientes actividades:
— la revisión y aprobación de los informes de la auditoría, incluyendo la evaluación
de la idoneidad y adecuación de los hallazgos de la auditoría;
— la revisión del análisis de la causa raíz y de la eficacia de las acciones correctivas
y las acciones preventivas;
— la distribución de informes de auditoría a la alta dirección y a otras partes pertinentes;
— la determinación de la necesidad de alguna auditoría de seguimiento.
5.4.7 Gestión y mantenimiento de los registros del programa de auditoría

La persona responsable de la gestión del programa de auditoría debería asegurarse
de que se crean, gestionan y mantienen registros de la auditoría (tanto del programa como
de las auditorías individuales) para demostrar la implementación del programa de auditoría.
Deberían establecerse procesos para asegurarse de que se trata cualquier necesidad
de confidencialidad asociada con los registros de la auditoría.

5.5 SEGUIMIENTO DEL
La persona responsable de la gestión del programa de auditoría debería

seguir su implementación considerando la necesidad de:
a) evaluar la conformidad con los programas de auditoría, calendarios y objetivos
de la auditoría;
b) evaluar el desempeño de los miembros del equipo auditor;
c) evaluar la capacidad de los equipos auditores para implementar el plan de
auditoría;
d) evaluar la retroalimentación de la alta dirección, de los auditados, de los
auditores y de otras partes interesadas;

5.6 REVISIÓN Y MEJORA DEL
La persona responsable de la gestión del programa de auditoría debería

revisar el programa de auditoría para evaluar si se han alcanzado sus
objetivos.
Las lecciones aprendidas de la revisión del programa de auditoría deberían
usarse como elementos de entrada para el proceso de mejora continua para el
programa.

FORMATO DEL PROGRAMA DE
AUDITORÍA

REALIZACIÓN DE UNA
AUDITORÍA
REALIZACIÓN DE UNA
AUDITORÍA

PLAN DE AUDITORIA
Organización:
Dirección: Fechas
en sitio:
Auditor Interno
Líder:
Grupo Auditor
Estándar: ISO 27001:2013
Lenguaje de
auditoria:
Objetivos de auditoria:

PLAN DE AUDITORIA
Fecha Hora Auditor área / Departamento / Proceso / Función Contacto clave

Día 1 d 5 8:05 JCS Reunión de apertura
8:30 JCS Reclutamiento
9:00 JL Bases de Datos
10:00 SV Programación
11:30 JL Vinculación
12:30 Almuerzo
13:50 SV Departamento legal
14:30 JL Centro de datos Secundario
16:30 JCS Reunión de retroalimentación
17:00 Fin primer día

PREPARACIÓN INDIVIDUAL
DEL EQUIPO AUDITOR
Ø  Lea la documentación del SGSI y los procedimientos que la componen

con anticipación.
Ø  Determine los lugares donde se realizarán las inspecciones.
Ø  Utilice listas de verificación.
Ø  Conozca la responsabilidad y posición de las Personas auditadas. No

llegue a preguntar que hace su entrevistado!!!
Ø  Siga parte del instinto e identifique pistas que le pueden dar una guía
de cómo está el proceso a revisar.

TALLER No. 4

6.2 INICIO DE LA AUDITORÍA
Este apartado se enfoca en el establecimiento de contacto inicial con el auditado y

determinación de la viabilidad de la auditoría.
6.2.1 Generalidades
Cuando se inicia una auditoría, la responsabilidad de llevar a cabo la auditoría
corresponde al líder del equipo auditor designado (véase 5.4.5) hasta que la
auditoría finaliza (véase 6.6).
6.2.2 Establecimiento del contacto inicial con el auditado

El contacto inicial con el auditado para la realización de la auditoría puede ser
informal o formal y debería realizarse por el líder del equipo auditor.
6.2.3 Determinación de la viabilidad de la auditoría

Debería determinarse la viabilidad de la auditoría para proporcionar la
confianza razonable en que los objetivos de la auditoría pueden alcanzarse.
6.3 PREPARACIÓN DE LAS
ACTIVIDADES DE AUDITORÍA
6.3.1 La realización de la revisión documental en la preparación de la

auditoría
La documentación debería incluir, cuando sea aplicable, documentos y registros del
sistema de gestión, así como informes de auditorías previas. La revisión de la
documentación debería tener en cuenta el tamaño, la naturaleza y la complejidad
del sistema de gestión y de la organización del auditado, así como los objetivos y
el alcance de la auditoría.
El objetivo de la realización de la revisión documental para la preparación, es
recolectar la información para organizar actividades de auditoría y documentos de
trabajo aplicables. También establecer una descripción general de la
documentación de sistema para descubrir posibles fallas.

6.3.2 Preparación del Plan de Auditoría
Consiste en la preparación del plan para cada auditoría individual, basado en la información contenida en
el programa de auditoría y en la documentación proporcionada por el auditado.
El plan de auditoría debería cubrir o hacer referencia a lo siguiente:
a) los objetivos de la auditoría;
b) el alcance de la auditoría, incluyendo la identificación de las unidades de la organización y
unidades funcionales, así como los procesos que van a auditarse;
c) los criterios de auditoría y cualquier documento de referencia;
d) las ubicaciones, las fechas, el horario y la duración previstos de las actividades de auditoría que se van
a llevar a cabo, incluyendo las reuniones con la dirección del auditado;
e) los métodos de auditoría que se van a usar, incluyendo el grado en que se necesita el muestreo de la
auditoría para obtener las evidencias de auditoría suficientes y el diseño del programa de muestreo, si es
aplicable;
f) las funciones y responsabilidades de los miembros del equipo auditor, así como los guías y los
observadores;
g) la asignación de los recursos apropiados para las áreas críticas de la auditoría.

6.3.3 Asignación de trabajo al equipo de auditoría

El líder del equipo auditor, consultando con el equipo auditor, debería asignar a cada miembro
del equipo la responsabilidad para auditar procesos, actividades, funciones o lugares
específicos. Tales asignaciones deberían tener en cuenta la independencia y la competencia
de los auditores y el uso eficaz de los recursos, así como las diferentes funciones y
responsabilidades de los auditores, los auditores en formación y los expertos técnicos.
6.3.4 Preparación de los documentos de trabajo
Los miembros del equipo auditor deberían recopilar y revisar la información pertinente
a las tareas de auditoría asignadas y preparar los documentos de trabajo, según sea
necesario, para referencia y registro de evidencias de la auditoría. Tales documentos de
trabajo pueden incluir lo siguiente:
— listas de verificación;
— planes de muestreo de auditoría;
— formularios para registrar la información, tales como evidencias de apoyo, hallazgos
de la auditoría y registros de las reuniones.

6.4 REALIZACIÓN DE LAS
6.4.2 Realización de la reunión de apertura

El propósito de la reunión de apertura es:
a) confirmar el acuerdo de todas las partes (por ejemplo, auditado, equipo auditor)
sobre el plan de auditoría,
b) presentar al equipo auditor, y
c)  asegurarse de que se pueden realizar todas las actividades de auditoría planificadas.
Ver Norma
6.4.3 La realización de la revisión documental durante el desarrollo de la auditoría
6.4.4 Comunicación durante la auditoría
Durante la auditoría, puede ser necesario llegar a acuerdos formales para la comunicación
dentro del equipo auditor, así como con el auditado, el cliente de la auditoría y potencialmente
con organismos externos (por ejemplo, autoridades reglamentarias), especialmente cuando
los requisitos legales exijan la comunicación obligatoria de los no cumplimientos.
El equipo auditor debería reunirse periódicamente para intercambiar información, evaluar el
progreso de la auditoría y reasignar las tareas entre los miembros del equipo auditor, según
sea necesario.
(continuación): Durante la auditoría, el líder del equipo auditor debería comunicar

periódicamente los progresos de la auditoría y cualquier inquietud al auditado y, cuando sea
apropiado, al cliente de la auditoría. Las evidencias recopiladas durante la auditoría que
sugieren un riesgo inmediato y significativo para el auditado deberían comunicarse sin
demora al auditado y, si es apropiado, al cliente de la auditoría.
6.4.5 Asignación de roles y responsabilidades de guías y observadores
Los guías y los observadores (por ejemplo, una autoridad reglamentaria u otras partes
interesadas) pueden acompañar al equipo auditor. No deberían influir ni interferir en la
realización de la auditoría. Si esto no se puede asegurar, el líder del equipo auditor
debería tener el derecho de negarse a que los observadores tomen parte en ciertas
actividades de auditoría.

6.4.6 Recolección y verificación de información

Durante la auditoría, debería recopilarse mediante un muestreo apropiado y verificarse
la información pertinente a los objetivos, el alcance y los criterios de la misma,
incluyendo la información relativa a las interrelaciones entre funciones, actividades y
procesos. Sólo la información que es verificable debería aceptarse como evidencia de la
auditoría. Debería registrarse la evidencia que conduce a hallazgos de la auditoría.
Los métodos para recopilar la información incluyen lo siguiente:
— entrevistas;
— observaciones;
— revisión de documentos, incluyendo los registros.

EVIDENCIA OBJETIVA
n  La evidencia existe
n  No está influenciada por emociones o prejuicio
n  Puede ser documentada (datos)
n  Puede estar basada en la observación (hechos)
n  Debe estar relacionada con el SGSI
n  Puede ser cuantificada y cualitativa
n  Puede verificarse (evidencia real)

6.4.7 Generación de hallazgos de auditoría

La evidencia de la auditoría debería evaluarse frente a los criterios de auditoría para
determinar los hallazgos de la auditoría. Los hallazgos de la auditoría pueden indicar
conformidad o no conformidad con los criterios de auditoría. Cuando lo especifique el plan de
auditoría, los hallazgos de una auditoría individual deberían incluir la conformidad y las
buenas prácticas junto con la evidencia que los apoya, las oportunidades de mejora y
cualquier recomendación para el auditado.
Deberían registrarse las no conformidades y la evidencia de la auditoría que las apoya. Las no
conformidades pueden clasificarse. Deberían revisarse con el auditado para reconocer que la
evidencia de la auditoría es exacta y que las no conformidades se han comprendido. Se
debería realizar todo el esfuerzo posible para resolver cualquier opinión divergente relativa a
las evidencias o a los hallazgos de la auditoría, y deberían registrarse los puntos para los que
no haya acuerdo.

6.4.8 Preparación de conclusiones de auditoría

Las conclusiones de la auditoría pueden tratar aspectos tales como los siguientes:
— el grado de conformidad y el reconocimiento de la fortaleza del sistema de gestión con los
criterios de auditoría, incluyendo la eficacia del sistema de gestión para cumplir los objetivos
establecidos;
— la implementación, el mantenimiento y la mejora eficaces del sistema de gestión;
— la capacidad del proceso de revisión por la dirección para asegurar la continua idoneidad,
adecuación, eficacia y mejora del sistema de gestión;
— el logro de los objetivos de la auditoría, cobertura del alcance de la auditoría y
cumplimiento de los criterios de la auditoría;
— las causas raíz de los hallazgos, si se incluyen en el plan de auditoría;
— hallazgos similares encontrados en distintas áreas que se auditaron con el
propósito de identificar tendencias.

6.4.9 Realización de la reunión de cierre

La reunión de cierre, facilitada por el líder del equipo auditor, debería realizarse para presentar
los hallazgos y las conclusiones de la auditoría.
Entre los participantes en la reunión de cierre debería incluirse a los representantes de
la dirección del auditado y, cuando sea apropiado, a aquellos responsables de las
funciones o procesos que se han auditado, y también puede incluirse al cliente de la auditoría
y otras partes.
Si es aplicable, el líder del equipo auditor debería prevenir al auditado de las situaciones
encontradas durante la auditoría que pueden disminuir la confianza en las conclusiones
de la auditoría.
Si está definido en el sistema de gestión o por acuerdo con el cliente de la auditoría, los
participantes deberían acordar el periodo de tiempo para un plan de acción que trate los
hallazgos de la auditoría.
Cualquier opinión divergente relativa a los hallazgos de la auditoría o las conclusiones entre el
equipo auditor y el auditado debería discutirse y, si es posible, resolverse. Si no se resuelve,
deberían registrarse todas las opiniones.

LISTAS DE CHEQUEO O
VERIFICACIÓN
Ø  Ayudan a Optimizar el tiempo de la revisión.

Ø  Sirven como una guía
Ø  Es una herramienta para recolectar evidencias
Ø  Ayuda a identificar elementos y procesos
Ø  Valorar el estado actual del SGSI
Ø  Adecuar las siguientes preguntas del proceso auditado,
de allí se desprende la posibilidad de obtener evidencia
suficiente.
Ø  Se sugiere la utilización de preguntas tipo:
QUÉ?, CUÁNDO?, CÓMO?, DÓNDE?,

CUAL (ES)?

TALLER No. 5

EJECUTANDO LA AUDITORIA
Ø  Haga un muestreo de las actividades y evite centrarse en

una sola.
Ø  Busque evidencia observando lo que ocurre, revisando
y si es necesario reprocesando algunos de los registros
(Muestreo).
Ø  Haga anotaciones completas.
Ø  Escuche las explicaciones del auditado.
Ø  Escriba y confirme más adelante si es procedente. No de
la impresión de que no le cree al auditado.
Ø  Escriba detalles tales como: procedimientos, registros,
ordenes, lotes, características especiales, etc.
Ø  Una auditoria abierta y amigable resultará en la obtención
de acuerdos de que el problema existe (o no existe).
Ø  Verifique si la No Conformidad es o no puntual.

TÉCNICAS DE ENTREVISTA DEL
AUDITOR INTERNO
Durante la indagación o entrevista:

n  Solicite explicación de las situaciones narradas.
n  Escuche cuidadosamente lo que le indica su auditado.
n  Mantenga Contacto cara a cara, no tome notas en portátil o agenda electrónica.
n  Muéstrese interesado.
n  Tome nota en corto tiempo.
n  Observe el lenguaje corporal.
n  Hable claro y cuidadosamente.
n  Conozca sus preguntas (las de su lista de verificación).
n  Sea sistemático al preguntar.
n  Exprese en otra forma o con ejemplos si la pregunta no es bien entendida.
n  Use preguntas abiertas y confirme lo entendido, no se quede con dudas.
n  Agradezca el tiempo y las respuestas de su auditado.
ACTITUDES A TOMAR PARA
CONTROLAR LA AUDITORÍA
Permanezca seguro.
Administre el tiempo adecuadamente.
No se deje conducir o engañar.
Sea detallista y eficiente.
Evite apartarse del tema.
Evite saturarse de información o evidencia, busque solo la necesaria!!!.
Actitudes a evitar en una auditoria

No sea controvertido, ni negativo, no critique, no discuta, no haga comparaciones
de ninguna índole, no sea sarcástico, …

¿CÓMO ENTORPECER LA
AUDITORÍA? (AUDITADO)
Ø  Que le haga perder tiempo durante la auditoria.

Ø  Que maneje al auditor.
Ø  Que se invente o establezca situaciones inesperadas.
Ø  Que pruebe el carácter del auditor.
Ø  Que solamente entregue respuestas limitadas
Ø  Que engañe al auditor


6.5 PREPARACIÓN Y
DISTRIBUCIÓN DEL INFORME
DE AUDITORÍA
6.5.1 Preparación del informe de auditoría
El líder del equipo auditor debería informar de los resultados de la auditoría de
acuerdo con los procedimientos del programa de auditoría.
El informe de auditoría debería proporcionar un registro completo, preciso, conciso y claro de
la auditoría.
El informe debería incluir: Ver Norma
6.5.2 Distribución del informe de auditoría

El informe de auditoría debería emitirse en el periodo de tiempo acordado. Si se retrasa, las
razones deberían comunicarse al auditado y a la persona responsable de la gestión del
programa de auditoría.
El informe de auditoría debería estar fechado, revisado y aprobado, cuando sea apropiado, de
acuerdo con los procedimientos del programa de auditoría.
A continuación, el informe de la auditoría debería distribuirse a los receptores, tal y como se
define en los procedimientos de auditoría o en el plan de auditoría.

¿QUÉ DEBE CONTENER UN
INFORME DE AUDITORÍA?
n  Data identification: report ID and date, audit period, audit team,

etc.
n  Scope: the organizational unit, process, or product that was audited
n  Evaluation criteria: the reference used to perform the audit
n  Evidence trails: a brief description of what was audited (process
names, locations, evidences, etc.)
n  Results: conclusions of the audit team, which include:
•  recommendation status
•  nonconformities
•  opportunities for improvement

¿QUÉ NO INCLUIR EN EL INFORME
DE AUDITORÍA?
Ø  Evite incluir opiniones subjetivas sobre el SGSI o la auditoría.

Ø  Información confidencial que le fue suministrada durante la
auditoría.
Ø  Critica hacia alguno de los individuos que tienen relación con los
procesos y en general con el SGSI.
Ø  Evite las declaraciones ambiguas.
Ø  No incluya detalles triviales.
Ø  NUNCA incluya Observaciones o no conformidades no discutidas
en la reunión de cierre.

STATUS (RECOMENDACIÓN)
n  The most important result of the certification audit report is that it

states if the organization’s ISMS complies with the ISO 27001
requirements, and grants the certification. The possible statuses
are “recommended,” “recommended upon action plan
development,” and “not recommended.”
n  A “recommended” status means no nonconformities were
identified during the audit. For the other two types, the difference
refers to the type of nonconformities identified.

NO CONFORMIDADES
n  Nonconformities occur when the organization does not fulfill what is

required by the standard, by its own documentation, or by a third
party. Some examples of nonconformities are:
•  lack of a specific record defined as required by the organization
•  a usual practice adopted and maintained by the organization that is not
documented
•  a process that is required by the standard and is not being performed properly
(e.g.: management review)
n  For certification audit purposes, nonconformities are classified as

major or minor, which defines the demanded actions.

NO CONFORMIDADES MENORES
n  A minor nonconformity is a deviation that doesn’t compromise

the ISMS management, and leads to the “recommended upon
action plan development” status. For this kind of nonconformity, a
simple action plan shall be defined and sent to the auditor. Upon
plan receipt and approval, the auditor proceeds to the
recommendation for certification of the ISMS. Note that you have a
deadline to send this plan (from 5 to 10 days), and on the next
audit the plan’s results will be evaluated by the auditor.

NO CONFORMIDADES MAYORES
n  Major nonconformities are problems that compromise the ISMS

operations as a whole, resulting in the “not recommended”
status. Once identified, the organization must correct major
nonconformities before the certification audit can proceed.
And, since these problems normally take time to correct, it’ll
require a new visit by the auditor to finish the process. Good
monitoring processes (see ISO 27001 clause 9) are an excellent
way to avoid such problems.
n  Conclusion: if the auditor raises a major nonconformity, a
company cannot get certified

NO CONFORMIDADES MAYORES
n  So, what is considered to be a major nonconformity? This would be a

nonconformity that has any of these characteristics:
•  If a company completely failed to fulfill a certain requirement – e.g., it didn’t perform
management review at all, although this was required by the standard.
•  If your process has completely fallen apart – e.g., your procedure required you to
perform backup once a day, whereas the backup was performed only a couple of times
per month, randomly.
•  If you have several minor nonconformities that are related to the same process or
to the same element of your management system – e.g., you have several minor
nonconformities related to your Human resources department: some of the training
records are missing, not all employees are trained as they should be, some of the
employment records are missing, etc. – this becomes a major nonconformity because
there is obviously something very wrong with this department.
•  If a certification mark is misused – e.g., you claim to your customers that your
product is ISO certified (certification of ISO management standards covers only the
processes and management systems, not the products themselves).
•  If a minor nonconformity, raised during the previous audit, has not been resolved
within the deadline – such a small nonconformity automatically becomes a major one.
¿QUÉ DEBE CONTENER UNA NO
CONFORMIDAD?
When reporting the nonconformity, the auditor must include the

following elements:
n  Describe the nonconformity – general description of what is wrong
in a sentence or two
n  Provide the audit evidence – e.g., refer to a concrete document or
record that is missing or is used improperly, to the activity that is not
performed or is performed in a wrong fashion, etc.
n  Refer to the exact requirement – e.g., concrete number of the
clause in the standard, procedure, or the contract
n  Summarize the requirement – usually, rephrase what the
standard, the internal document, or the contract requires to be done

EJEMPLO REDACCIÓN
DE LA NO CONFORMIDAD
No se evidencia un control sobre los accesos directos a la información

que se maneja en los portátiles y en los computadores de la
organización, lo cual se soporta en el hecho que al solicitar ver el
escritorio de los computadores del líder del proceso de Operaciones,
este tenían accesos directos a información de la organización,
incumpliendo de esta forma con lo establecido en la política interna
de Seguridad de la información y el Control A.11.2.9 de la norma ISO
27001:2013, que indica: “Se debe adoptar una política de escritorio
limpio para los papeles y medios de almacenamiento removibles, y
una política de pantalla limpia en las instalaciones de procesamiento
de la información”.

TALLER No. 6

OPORTUNIDADES DE MEJORA
n  These are situations where, in the auditor’s point of view, the

organization can increase suitability, adequacy, or effectiveness of
its ISMS. Examples of opportunities for improvement are:
•  incorporation of new or updated technologies (e.g.: adoption of cryptographic
solutions)
•  adoption/exclusion of activities in business processes (e.g.: inclusion of check points in
critical activities, or exclusion of activities that don’t affect business results)
n  Since an audit is based on samples to assess conformity, which

represent only a fraction of the organization’s reality, there is no
standard requirement demanding an organization to treat
opportunities for improvement, but they always should be reviewed to
determine their value to the organization and whether they are worth
implementing.

EJEMPLO REDACCIÓN
Estructurar la aprobación del riesgo residual que incluya un informe

gerencial con información relevante de riesgos tratados alto-medios, costo
del impacto, relación después del tratamiento con inclusión de inversión de
implantación y resultado verde riesgo residual, además disminuir el tiempo
de aprobación del riesgo residual por parte de la dirección. Ampliar la
identificación de riesgos para los activos intangibles "Marca" y diferenciar
para activos aplicaciones finales y "Diseños-Desarrollo".
Generar diferentes campañas de sensibilización a los funcionarios

operativos, en la importancia de evitar almacenar contraseñas.
Ajustar la política de Backup "solo recursos compartidos", dado que hay

información relevante almacenada en discos locales de la organización.
OPORTUNIDADES DE MEJORA
Siempre se inicia con un verbo en infinitivo

•  Asegurar…..
•  Garantizar …
•  Mejorar …
•  Fortalecer …
•  Diseñar….
•  Implementar…..
•  Evaluar ….

TALLER No. 7

6.6 FINALIZACIÓN DE LA
AUDITORÍA
La auditoría finaliza cuando se hayan realizado todas las actividades de auditoría

planificadas, o si se ha acordado de otro modo con el cliente de la auditoría.
Salvo que se requiera por ley, el equipo auditor y la persona que gestiona el
programa de auditoría no deberían revelar el contenido de los documentos, otra información
obtenida durante la auditoría ni el informe de auditoría a ninguna otra parte, sin la
aprobación explícita del cliente de la auditoría y, cuando sea apropiado, la del auditado.
Si se requiere revelar el contenido de un documento de la auditoría, el cliente de la auditoría y
el auditado deberían ser informados tan pronto como sea posible.

REUNIÓN DE CIERRE
PREPARACIÓN
Ø  Cada auditor relata sus hallazgos.
Ø  El equipo en conjunto evalúa y revisa los hallazgos,
especialmente aquellos sobre los que se quiera enfatizar.
Ø  Se determina con ayuda de todo el equipo si son No
Conformidades Mayores, Menores u Observación.
Ø  Se prepara un borrador del reporte final, el cual se entrega
antes de la reunión de cierre para que se vaya preparando el
plan de acción por parte de los auditados.

LA REUNIÓN DE CIERRE
Ø  Agradecimientos.
Ø  Preguntas y discusiones al final.
Ø  Confirmar alcance SGSI.
Ø  Objetivo de auditoria y alcance de auditoria.
Ø  No todas las No Conformidades se pueden descubrir, (evidencias de la
auditoria sólo se basarán en una muestra de la información disponible y por
lo tanto existe un elemento de incertidumbre en la auditoria).
Ø  Presentación de fortalezas.
Ø  Presentación de No Conformidades por el equipo.
(Si hay hechos).
Ø  Explicación del seguimiento por el Auditor Líder (Acuerdo de las fechas
para terminación de las acciones correctivas).
Ø  Registros.
Ø  Preguntas al respecto.
TALLER No. 8

ACTIVIDADES DE
SEGUIMIENTO DE UNA
AUDITORÍA
Las conclusiones de la auditoría pueden, dependiendo de los objetivos de la auditoría, indicar
la necesidad de correcciones, o de acciones correctivas, preventivas o de mejora. Tales
acciones generalmente son decididas y emprendidas por el auditado en un intervalo de
tiempo acordado.
Cuando sea apropiado, el auditado debería mantener informada a la persona responsable
de la gestión del programa de auditoría y al equipo auditor sobre el estado de estas acciones.
Debería verificarse si se completaron las acciones y su eficacia. Esta verificación puede
ser parte de una auditoría posterior.

SEGUIMIENTO
VERIFICACIÓN IMPLEMENTACIÓN EFICAZ DE ACCIONES CORRECTIVAS
NO SI
Establezca una
Nueva fecha
Evidencia (hechos)
cierre en el reportes
Verifique de SI
de no conformidad
Nuevo
NO
Nueva
ESCALE
SAC

RESPONSABILIDAD DUEÑO DEL
PROCESO AUDITADO
Ø  Entendimiento y asimilación de la no conformidad.

Ø  Investigación del problema raíz que dio pie a la No Conformidad.
Ø  Determinación de las causas fundamentales, utilizando cualquier
metodología sugerida (5 porque, Lluvia de ideas, entre otras).
Ø  Elaboración del plan de acción para corregir las causas establecidas, que
incluya una breve descripción de las actividades, responsable, recursos y
fecha de ejecución.
Ø  Fecha de seguimiento prevista para evaluación y posterior cierre de la No
Conformidad.
Ø  Evaluación de la eficacia de la acción correctiva.
Ø  Responsable del cierre.

Metodología 5 porque (¿por qué puede suceder?)
Porque
Porque Porque
Porque 1 Porque 2a Porque 3
Porque
Porque
Efecto
Porque 4 Porque 5
TALLER No. 9

COMPETENCIA Y
EVALUACIÓN DE LOS
AUDITORES
7.1 GENERALIDADES
La confianza en el proceso de auditoría y la capacidad de lograr sus objetivos depende de la

competencia de aquellos individuos que participen en la planificación y realización de las
auditorías, incluyendo los auditores y líderes de equipos auditores. La competencia
debería evaluarse a través de un proceso que considere el comportamiento personal y la
capacidad para aplicar los conocimientos y las habilidades adquiridos durante la educación, la
experiencia laboral, la formación como auditor y la experiencia en auditorías.
No es necesario que cada auditor en el equipo auditor tenga la misma competencia; sin
embargo, la competencia global del equipo auditor necesita ser suficiente para lograr los
objetivos de la auditoría.

7.1 GENERALIDADES
La evaluación de la competencia del auditor debería planificarse, implementarse y

documentarse de acuerdo con el programa de auditoría, incluyendo los procedimientos para
proporcionar un resultado que es objetivo, coherente, imparcial y fiable. El proceso de
evaluación debería incluir cuatro pasos principales, como se indica a continuación:
a) determinar la competencia del personal de auditoría para cumplir las necesidades
del programa de auditoría;
b) establecer los criterios de evaluación;
c) seleccionar el método de evaluación apropiado;
d) realizar la evaluación.
El resultado del proceso de evaluación debería proporcionar la base para lo siguiente:
— la selección de los miembros del equipo auditor como se describe en 5.4.4;
— la determinación de la necesidad de mejorar la competencia (por ejemplo, formación
adicional);
— la evaluación continua del desempeño de los auditores.

7.2 DETERMINACIÓN DE LA
COMPETENCIA DEL AUDITOR PARA
CUMPLIR LAS NECESIDADES DEL
Al decidir los conocimientos y habilidades apropiados requeridos al auditor, debería
considerarse diferentes aspectos:
-  Generales: Ver Norma
-  Comportamiento personal: Los auditores deberían poseer las cualidades necesarias
que les permitan actuar de acuerdo con los principios de la auditoría tal como se
describe en el capítulo 4. Los auditores deberían demostrar un comportamiento
profesional durante el desempeño de las actividades de auditoría
-  Conocimientos y habilidades: Todos los auditores deberían poseer conocimientos y
habilidades genéricos y también se debería esperar que tuvieran conocimientos y
habilidades específicos de alguna disciplina y algún sector. Ver Norma
-  Conocimientos genéricos de los auditores:
1.  Principios, procedimientos y métodos de auditoría
2.  Sistema de gestión y documentos de referencia
3.  Contexto de la organización
4.  Requisitos legales y contractuales aplicables y otros requisitos que aplican
al auditado
7.2 DETERMINACIÓN DE LA
COMPETENCIA DEL AUDITOR PARA
CUMPLIR LAS NECESIDADES DEL
-  Conocimientos específicos de los auditores: Los auditores deberían tener los
conocimientos y las habilidades específicos de la disciplina y del sector que son
apropiados para auditar el tipo particular de sistema de gestión y el sector.
-  Conocimientos y habilidades genéricos del líder de un equipo auditor: Los
líderes de los equipos auditores deberían tener conocimientos y habilidades
adicionales para gestionar y proporcionar liderazgo al equipo auditor, para facilitar la
realización eficiente y eficaz de la auditoría.
-  Logro de la competencia del auditor: Los conocimientos y habilidades del auditor
pueden obtenerse usando una combinación de lo siguiente:
-  Educación formal + formación
-  Experiencia en una función técnica
-  Experiencia en auditorías adquirida bajo la supervisión de un auditor en la misma
disciplina.

7.3 ESTABLECIMIENTO DE LOS
CRITERIOS DE EVALUACIÓN DEL
AUDITOR
Los criterios deberían ser cualitativos (tales como haber demostrado el comportamiento
personal, los conocimientos o el desempeño de las habilidades, en la formación o en el lugar
de trabajo) y cuantitativos (tales como los años de experiencia laboral y de educación, el
número de auditorías realizadas, las horas de formación en auditoría).
CRITERIOS CRITERIOS
CUALITATIVOS CUANTITATIVOS
•  Conductas personales •  Años de experiencia

laboral y en educación
•  Conocimientos Criterios de
•  Número de auditorías Evaluación
•  Desarrollo de Dirigidas
habilidades
•  Horas de Formación
(en formación o en campo) en Auditoría

7.4 SELECCIÓN DEL MÉTODO
APROPIADO DE EVALUACIÓN DEL
AUDITOR

7.5 REALIZACIÓN DE LA EVALUACIÓN
DEL AUDITOR
La información recopilada sobre la persona debería compararse con los criterios

establecidos en 7.2.3. Cuando una persona que se espera que participe en un
programa de auditoría no cumple los criterios, entonces debería adquirir una formación,
experiencia laboral o experiencia en auditoría adicional, y debería realizarse posteriormente
una nueva evaluación.
Criterios de Métodos de
Evaluación Evaluación
Evaluación
del Auditor

7.6 MANTENIMIENTO Y MEJORA DE LA
COMPETENCIA DEL AUDITOR
Los auditores y los líderes de equipos auditores deberían mejorar su competencia de manera
continua.
Los auditores deberían mantener su competencia en auditoría a través de la participación
regular en auditorías de sistemas de gestión y del desarrollo profesional continuo.
El desarrollo profesional continuo implica el mantenimiento y la mejora de la competencia.
Esto puede conseguirse a través de medios como experiencia laboral adicional, formación,
estudios particulares, tutorías, asistencia a reuniones, seminarios y conferencias u otras
actividades pertinentes.

ANEXO A - ORIENTACIÓN Y EJEMPLOS
ILUSTRATIVOS DE LOS CONOCIMIENTOS Y
HABILIDADES ESPECÍFICOS DE LA
DISCIPLINA DE LOS AUDITORES
A.7 EJEMPLO ILUSTRATIVO DE
CONOCIMIENTOS Y HABILIDADES
ESPECÍFICOS DE LA DISCIPLINA
DE LOS AUDITORES DE GESTIÓN DE LA
SEGURIDAD DE LA INFORMACIÓN
Los conocimientos y habilidades relacionados con la disciplina y la aplicación de métodos,

técnicas, procesos y prácticas específicos de la disciplina deberían ser los suficientes
para permitir al auditor examinar el sistema de gestión y generar los hallazgos y
conclusiones de la auditoría apropiados.



ANEXO B - ORIENTACIÓN ADICIONAL
DESTINADA A LOS AUDITORES PARA
PLANIFICAR Y REALIZAR LAS AUDITORÍAS
B.1 MÉTODOS DE AUDITORÍA

B.2 REALIZACIÓN DE LA REVISIÓN DE
LOS DOCUMENTOS
Los auditores deberían considerar si:

— la información contenida en los documentos proporcionados es:
1.  completa (todo el contenido esperado está en el documento);
2.  correcta (el contenido es conforme con otras fuentes fiables, tales como normas y
reglamentos);
3.  coherente (el documento es coherente consigo mismo y con documentos
relacionados);
4.  actual (el contenido está actualizado);
— los documentos que están siendo revisados cubren el alcance de la auditoría y
proporcionan información suficiente para apoyar los objetivos de la auditoría;
— el uso de tecnologías de la información y las comunicaciones, dependiendo de los
métodos de auditoría, promueve la realización eficiente de la auditoría. Se necesita un
cuidado específico para la seguridad de la información debido a los reglamentos
aplicables sobre protección de datos (en particular para la información que queda fuera
del alcance de la auditoría pero que también está contenida en el documento).
NOTA La revisión de los documentos puede dar una indicación de la eficacia del control de
los documentos dentro del sistema de gestión del auditado.
B.4 PREPARACIÓN DE LOS
DOCUMENTOS DE TRABAJO
Al preparar los documentos de trabajo, el equipo auditor debería considerar las siguientes
preguntas para cada documento:
a) ¿Qué registro de auditoría se creará utilizando este documento de trabajo?
b) ¿A qué actividad de la auditoría afecta este documento de trabajo en particular?
c) ¿Quién será el usuario de este documento de trabajo?
d) ¿Qué información se necesita para preparar este documento de trabajo?
Para las auditorías combinadas, deberían desarrollarse documentos de trabajo para evitar la
duplicación de actividades de auditoría mediante:
— la agrupación de requisitos similares provenientes de criterios diferentes;
— la coordinación del contenido de listas de verificación y cuestionarios relacionados.
Los documentos de trabajo deberían ser adecuados para tratar todos aquellos
elementos del sistema de gestión dentro del alcance de la auditoría y pueden facilitarse en
cualquier medio.

B.5 SELECCIÓN DE LAS FUENTES DE
INFORMACIÓN
Las fuentes de información seleccionadas pueden variar de acuerdo con el alcance y la

complejidad de la auditoría y pueden incluir lo siguiente:
— entrevistas con empleados y con otras personas;
— observación de actividades y el ambiente de trabajo y condiciones circundantes;
— documentos, tales como políticas, objetivos, planes, procedimientos, normas,
instrucciones, licencias y permisos, especificaciones, planos, contratos y pedidos;
— registros, tales como registros de inspección, actas de reuniones, informes de
auditoría, registros de programas de seguimiento y resultados de mediciones;
— resúmenes de datos, análisis e indicadores de desempeño;
— información sobre los programas de muestreo del auditado y sobre los procedimientos
para el control de los procesos de muestreo y medición;
— informes de otras fuentes, por ejemplo, retroalimentación del cliente, encuestas y
mediciones externas, otra información pertinente de partes externas y la calificación de los
proveedores;
— bases de datos y sitios en Internet;
— simulaciones y modelizaciones.
B.7 REALIZACIÓN DE ENTREVISTAS
Las entrevistas son uno de los medios importantes de recopilar información y deberían
llevarse a cabo de un modo adaptado a la situación y a la persona entrevistada, sea
cara a cara o por otros medios de comunicación. Sin embargo, el auditor debería
considerar lo siguiente:
— las entrevistas deberían mantenerse con personas de los niveles y funciones
apropiados que desempeñan actividades o tareas dentro del alcance de la auditoría;
— las entrevistas normalmente deberían llevarse a cabo durante la jornada de trabajo
normal y, cuando sea posible, en el lugar de trabajo normal de la persona entrevistada;
— intentar que la persona entrevistada esté a gusto antes de la entrevista y durante la
misma;
— debería explicarse la razón de la entrevista y cualquier toma de notas;
— las entrevistas pueden iniciarse preguntando a las personas que describan su trabajo;
— selección cuidadosa del tipo de pregunta utilizado (por ejemplo, preguntas abiertas,
cerradas, inductivas);
— los resultados de la entrevista deberían resumirse y revisarse con la persona entrevistada;
— debería agradecerse a las personas entrevistadas su participación y cooperación.

B.8 HALLAZGOS DE LA AUDITORÍA
B.8.1 Determinación de los hallazgos de la auditoría

Al determinar los hallazgos de la auditoría, debería considerarse lo siguiente:
— el seguimiento de los registros y las conclusiones de auditorías previas;
— los requisitos del cliente de la auditoría;
— los hallazgos que excedan la práctica normal, o las oportunidades de mejora;
— el tamaño muestral;
— la categorización (si la hay) de los hallazgos de la auditoría;

B.8 HALLAZGOS DE LA AUDITORÍA
B.8.2 Registro de conformidades

Para los registros de conformidad, debería considerarse lo siguiente:
— la identificación de los criterios de auditoría respecto a los que se muestra la conformidad;
— la evidencia de la auditoría para respaldar la conformidad;
— la declaración de conformidad, si es aplicable.
B.8.3 Registro de no conformidades
Para los registros de las no conformidades, debería considerarse lo siguiente:
— la descripción de los criterios de auditoría o la referencia a los mismos;
— la declaración de no conformidad;
— la evidencia de la auditoría;
— los hallazgos de la auditoría relacionados, si es aplicable.

GRACIAS

Diapistivas Auditor Interno ISO 27001

Încărcat de

Informații document

Drepturi de autor

Formate disponibile

Partajați acest document

Partajați sau inserați document

Opțiuni de partajare

Vi se pare util acest document?

Este necorespunzător acest conținut?

Drepturi de autor:

Formate disponibile

Diapistivas Auditor Interno ISO 27001

Încărcat de

Drepturi de autor:

Formate disponibile

FORMACIÓN COMO

© SGS SA 2012 ALL RIGHTS RESERVED 1

© SGS SA 2012 ALL RIGHTS RESERVED 2

¿Por qué implementar un SGSI y certificarlo?

© SGS SA 2012 ALL RIGHTS RESERVED 3

© SGS SA 2012 ALL RIGHTS RESERVED 4

Auditoría Primera (Segunda) Parte

Auditoría de Certificación Acción Correctiva Mayor

© SGS SA 2012 ALL RIGHTS RESERVED 5

© SGS SA 2012 ALL RIGHTS RESERVED 6

© SGS SA 2012 ALL RIGHTS RESERVED 7

© SGS SA 2012 ALL RIGHTS RESERVED 8

Certificación y registro de organizaciones

Los organismos de acreditación (Accreditation bodies) acreditan a

También define el alcance de acreditación del organismo de

Auditor líder ISMS ISO 27001

Auditor Interno ISMS ISO 27001

Fundamentos – Sensibilización ISMS ISO 27001

© SGS SA 2012 ALL RIGHTS RESERVED 10

Para asegurar que la auditoria es un herramienta efectiva y confiable

© SGS SA 2012 ALL RIGHTS RESERVED 11

© SGS SA 2012 ALL RIGHTS RESERVED 12

La organización debe llevar a cabo auditorias internas a intervalos

a) Es conforme con:

b) Está implementado y mantenido efectivamente.

© SGS SA 2012 ALL RIGHTS RESERVED 13

n Planificar, establecer, implementar y mantener uno o varios programas de

© SGS SA 2012 ALL RIGHTS RESERVED 14

© SGS SA 2012 ALL RIGHTS RESERVED 15

ISO 19011 es un documento que define un estándar reconocido

La norma ISO 19011:2011 no establece requisitos, sino que proporciona

© SGS SA 2012 ALL RIGHTS RESERVED 17

© SGS SA 2012 ALL RIGHTS RESERVED 18

© SGS SA 2012 ALL RIGHTS RESERVED 19

© SGS SA 2012 ALL RIGHTS RESERVED 20

© SGS SA 2012 ALL RIGHTS RESERVED 21

© SGS SA 2012 ALL RIGHTS RESERVED 22

© SGS SA 2012 ALL RIGHTS RESERVED 24

© SGS SA 2012 ALL RIGHTS RESERVED 25

CRITERIOS DE AUDITORÍA (3.2.)

EVIDENCIA DE AUDITORIA (3.3.)

CONCLUSION DE AUDITORÍA (3.5.)

© SGS SA 2012 ALL RIGHTS RESERVED 26

HALLAZGOS DE LA AUDITORÍA (3.4.)

© SGS SA 2012 ALL RIGHTS RESERVED 27

© SGS SA 2012 ALL RIGHTS RESERVED 28

EQUIPO AUDITOR (3.9.)

EXPERTO TÉCNICO (3.10.)

© SGS SA 2012 ALL RIGHTS RESERVED 29

PROGRAMA DE AUDITORÍA (3.13.)

ALCANCE DE LA AUDITORÍA (3.14.)

PLAN DE AUDITORÍA (3.15)

n INTEGRIDAD: Considerado el fundamento del profesionalismo del auditor.

n PRESENTACION IMPARCIAL: La obligación de informar con veracidad y exactitud.

n DEBIDO CUIDADO PROFESIONAL: La aplicación de diligencia y juicio al auditar. Los auditores

n CONFIDENCIALIDAD: Seguridad de la información. El auditor debe mantener la discreción en el

n INDEPENDENCIA: La base de la imparcialidad de la auditoría y objetividad en las conclusiones

n ENFOQUE BASADO EN LA EVIDENCIA: El método racional para alcanzar conclusiones de la

© SGS SA 2012 ALL RIGHTS RESERVED 33

© SGS SA 2012 ALL RIGHTS RESERVED 34

Figura 1 – Diagrama de flujo para la

© SGS SA 2012 ALL RIGHTS RESERVED 36

© SGS SA 2012 ALL RIGHTS RESERVED 37

n Dirige el proceso de auditoria

a)  Es conforme con:

b)  Está implementado y mantenido efectivamente.

n  Planificar, establecer, implementar y mantener uno o varios programas de

n  INTEGRIDAD: Considerado el fundamento del profesionalismo del auditor.

n  PRESENTACION IMPARCIAL: La obligación de informar con veracidad y exactitud.

n  DEBIDO CUIDADO PROFESIONAL: La aplicación de diligencia y juicio al auditar. Los auditores

n  CONFIDENCIALIDAD: Seguridad de la información. El auditor debe mantener la discreción en el

n  INDEPENDENCIA: La base de la imparcialidad de la auditoría y objetividad en las conclusiones

n  ENFOQUE BASADO EN LA EVIDENCIA: El método racional para alcanzar conclusiones de la

n  Dirige el proceso de auditoria

n  Cumple con el 100% de los requisitos de auditoria

Ø  Lea la documentación del SGSI y los procedimientos que la componen

Ø  Determine los lugares donde se realizarán las inspecciones.

Ø  Utilice listas de verificación.

Ø  Conozca la responsabilidad y posición de las Personas auditadas. No

Ø  Ayudan a Optimizar el tiempo de la revisión.

Ø  Haga un muestreo de las actividades y evite centrarse en

Ø  Que le haga perder tiempo durante la auditoria.

Ø  Que se invente o establezca situaciones inesperadas.

Ø  Que pruebe el carácter del auditor.

Ø  Que solamente entregue respuestas limitadas

Ø  Que engañe al auditor