ISO 19011, referencia para las auditoras

A partir de la primera publicacin de ISO 19011 fueron emitidos nuevos estndares para
diferentes tipos de sistemas de gestin. Como resultado, fue necesario considerar un
alcance amplio para auditoras para estas nuevas emisiones, as como proveer una gua
genrica, por lo que en 2011 se public la Gua para auditar sistemas de gestin (ISO
19011:2011).
Tambin se desarroll el estndar ISO/IEC 27007 Gua para auditar sistemas de gestin
de seguridad de la informacin, un documento que pertenece a la serie 27000. Por estas
razones, el proceso de auditora al SGSI puede tener como base cualquiera de los dos
estndares.
Pasos a seguir durante la revisin
La aplicacin de las actividades de auditora depende del alcance de la misma y su
complejidad, as como la intencin que se tenga con los resultados y sus conclusiones.
Para poder llevarla a cabo, en los siguientes puntos abordaremos algunas actividades que
deberas considerar.

Planeacin de la auditora
La primera actividad que debes considerar es la autorizacin de la auditora, junto con
las fechas para llevar a cabo la revisin, todo ello de acuerdo con la planeacin de las
actividades del sistema de gestin.
Con la autorizacin ser necesario conformar un equipo de auditora que puede estar
conformado por personal de diversas reas (incluyendo a auditores tcnicos si es
necesario), un auditor lder, uno o ms auditores adjuntos y observadores que darn fe de
los resultados.
El grupo de trabajo necesita definir los objetivos, por ejemplo determinar la medida en la
que el sistema de gestin cumple con los requisitos, evaluar la efectividad del SGSI o
identificar reas de mejora potencial en el sistema.
Junto con los objetivos, se establece un alcance para determinar los recursos necesarios,
que puede ser la ubicacin, actividades, procesos, servicios subcontratados o clusulas
del sistema de gestin que son aplicables.
En esta etapa debers seleccionar criterios de auditora, es decir, los elementos sujetos a
escrutinio y que muestran la evidencia de las desviaciones en la implementacin del
SGSI. Por ejemplo, polticas, procedimientos, controles, informacin documentada, entre
otros.

Revisin documental
De forma previa a la auditora, puedes llevar a cabo la revisin de la documentacin del
sistema de gestin, a partir de los criterios de auditora. La revisin debe considerar
principalmente el alcance del sistema de gestin, tamao, naturaleza y complejidad de la
organizacin, as como sus objetivos. El propsito de esta revisin consiste en ampliar el
panorama e identificar elementos de inters que podrn ser revisados con mayor detalle.

Preparacin de auditora en sitio

En esta etapa considera todas las actividades que el equipo auditor considere necesarias
para la revisin en sitio. En ella, tambin puedes preparar las llamadas listas de
verificacin, que son documentos que permiten identificar el alcance de la auditora y los
objetivos. Son una herramienta que permite planear la revisin y lo que podras buscar
(evidencia de auditora).

Auditora en sitio
A partir de los preparativos anteriores puedes llegar con una mejor preparacin a la
revisin en sitio. En esta fase debers aplicar el protocolo de auditora, que consiste en
una junta de apertura, la conduccin de la auditora en sitio, comunicacin de hallazgos,
junta de cierre y distribucin del informe con los resultados de la auditora.
Cada actividad es relevante para el mantenimiento de la transparencia y objetividad de la
auditora. La junta de apertura resuelve las dudas del proceso, presenta al equipo auditor
con los auditados y establece las condiciones de confidencialidad y medios de
comunicacin de los resultados.
Una vez que se establecieron las condiciones en la junta de apertura, se procede a seguir
el plan de auditora, el cual consiste en realizar las observaciones, entrevistas y revisiones
necesarias para cubrir con los criterios de auditora.

Conclusiones de la auditora
Una vez que finalicen las revisiones en sitio, el equipo auditor genera el informe de
auditora, el cual es el conjunto de todas las resoluciones emitidas durante el proceso,
donde se describen los resultados. Este informe debe ser aprobado por el auditor lder y
presentado a las partes interesadas durante la junta de cierre.
La junta de cierre es el protocolo con el cual se formaliza la conclusin de la auditora y se
presenta el informe con el fin de resolver las dudas y controversias del proceso. La
auditora concluye una vez que el auditado firma la conformidad de los resultados.
Posteriormente, el auditado debe presentar al equipo auditor un plan para resolver las no
conformidades (incumplimiento) y observaciones encontradas.

Seguimiento de la auditora
Una vez que concluye el proceso de auditora, puedes aplicar actividades de seguimiento
sobre las acciones correctivas, encaminadas a satisfacer las desviaciones identificadas en
los hallazgos que fueron identificados y clasificados (no conformidades u observaciones).
Con estas actividades podrs realizar una revisin del cumplimiento que deba tener la
organizacin en cuanto a estndares o algn tipo de requerimiento, con base en lo que
establece el estndar ISO/IEC 19001.
Estas actividades resultan muy tiles sobre todo si opera a travs de un sistema de
gestin que tenga como objetivo la proteccin de la informacin, ya que se requiere
mantener evidencia de actividades de monitoreo y revisin.
Como ya lo hemos mencionado en este espacio, la seguridad de la informacin se trata
de un proceso de revisin y mejora continua, en este sentido, una de las herramientas (en
el sentido amplio de la palabra) que contribuyen en esta labor son las auditoras.