ll

Llevar a cabo el Proceso de Auditoría de un

Sistema de Gestión de Seguridad de la
Información

Avanzamos a través del conocimiento

 LLEVAR A CABO EL PROCESO DE AUDITORÍA DE UN SGSI

Para el desarrollo de esta competencia, será necesario conocer y ser capaz de evaluar la conformidad
del sistema de gestión, verificando que está implantado en la empresa y en plena vigencia, de modo que
resulte eficaz.

CONOCIMIENTOS

En esta Unidad de Competencia desarrollarás los siguientes conocimientos disciplinares:

Desarrollar la Etapa 2 de la Auditoría.

Conocer las Etapas de la Auditoría.
Profundizar en la Etapa 1 de la Auditoría.
Profundizar en la Etapa 2 de la Auditoría.
Llevar a Cabo la Reunión de Apertura.
Comprender el Proceso de Ejecución de la
Auditoría.

Conocer las Herramientas de las que el Auditor Llevar a Cabo la Reunión de Cierre.
dispone para Desarrollar una Auditoría.

HABILIDADES

En esta Unidad de Competencia desarrollarás las siguientes habilidades relacionadas con los
conocimientos profesionales:

Trabajo Individual: Entender la planificación y preparación de un plan de auditoría. A realizar a lo largo

de esta Unidad de Competencia.
Caso Práctico Colaborativo: Evaluar si el sistema de gestión implantado en la empresa cumple los
requisitos exigidos por la Norma ISO 27001. A realizar a lo largo del Módulo/Curso.
Debate: Interpretar la importancia de la realización de auditorías internas en una empresa que tenga
implantado un SGSI. A realizar a lo largo del Módulo/Curso.

ACTITUD

En esta Unidad de Competencia desarrollarás especialmente la siguiente actitud:

Rectitud.

AUTOEVALUACIÓN
Desarrollo de la Etapa 2 de la Auditoría
Etapas de la Auditoría
Reunión de Apertura
Etapa 1 de la Auditoría
Ejecución de la Auditoría
Etapa 2 de la Auditoría
Reunión de Cierre
Herramientas para Desarrollar una Auditoría

TEST DE EVALUACIÓN DE CONOCIMIENTOS

Llevar a cabo el Proceso de Auditoría de un SGSI

2
ETAPAS DE LA AUDITORÍA
Para realizar una auditoria exitosa es necesario:

■ Una buena planificación y preparación.

■ Mantener buenas comunicaciones (con cliente, auditados y auditores).
■ Realizar una búsqueda de hechos precisa y objetiva.

El proceso de auditoría de un Sistema de Gestión consta de dos etapas diferenciadas, ambas llevadas
a cabo en las propias instalaciones de la organización auditada, siendo el líder del equipo auditor
sobre el que recae la responsabilidad de que se lleve a cabo todo el proceso de auditoría, desde el inicio
hasta que ésta finalice.

Etapas de la Auditoría de un SGC

En ella se evalúa la documentación del Sistema de Gestión de la organización:

■ Política y objetivos.
■ Procedimientos.
■ Registros.
Etapa 1 ■ Fichas de proceso.
■ Fichas de indicadores
■ Normativa aplicable.
■ Etc.

La etapa 1 está destinada a realizar una revisión documental del sistema.

Se evalúa, in situ, la conformidad del Sistema de Gestión de la organización

frente a los requisitos de la Norma con respecto a la que se está auditando.
Etapa 2
El objetivo de esta segunda etapa es evaluar la implementación y eficacia del
Sistema de Gestión del auditado.

Obviamente, la realización de la auditoría in situ es la fase que consume la mayor parte del tiempo. Sin
embargo, su éxito depende en gran medida del tiempo que se dedique a su planificación y preparación.

Llevar a cabo el Proceso de Auditoría de un SGSI

3
DOCUMENTO PARA LA DESCARGA (Acceso través de la Plataforma)

Accediendo a esta Unidad de Competencia a través de la Plataforma, puedes

descargar el Guía elaborada por ISO e IAF, sobre la Necesidad de un enfoque de
os etapas para la auditoría.

DOCUMENTO PARA LA DESCARGA (Acceso través de la Plataforma)

Accediendo a esta Unidad de Competencia a través de la Plataforma, puedes

descargar el Esquema de las etapas de la auditoría.

Llevar a cabo el Proceso de Auditoría de un SGSI

4
ETAPA 1 DE LA AUDITORIA
Para comenzar a familiarizarse con el sistema de gestión del auditado es necesario hacer acopio de la
documentación básica.

En ese sentido, el auditor debe revisar de manera general su contenido con el fin de:

■ Comprobar que la documentación está completa.

■ Comprender el Sistema de Gestión de Seguridad de la Información establecido en la
organización, a través de su documentación.

Finalidades de la Primera Etapa de Auditoría

A través de la revisión documental, el auditor confirmará si:

■ La organización tiene toda la documentación del sistema de gestión.

■ El SGSI incluye un proceso adecuado de evaluación del tratamiento de los riesgos de la seguridad
de la información
■ Se dispone de la legislación sobre protección de datos aplicable a las correspondientes actividades
de la organización.
■ El SGSI se ha diseñado para aplicar la Política de la Seguridad de la Información de la organización.
■ Los programas de validación, verificación, validación y mejora son conformes con los requisitos de
la Norma ISO 27001.
■ Se llevan a cabo revisiones de la gestión, y éstas cubren la idoneidad, adecuación y eficacia
permanente.
■ Se dispone de los documentos y disposiciones del SGSI para comunicarse internamente y con los
clientes y otros interesados.

Los resultados de esta primera etapa de la auditoría deben ser documentados y comunicados a la
organización. En este informe quedará reflejado:

■ La adecuación de la documentación del Sistema de Gestión.

■ El análisis por la organización auditada de los aspectos clave.
■ El nivel de implementación del Sistema de Gestión, de forma que se decida si la organización está
preparada para llevar a cabo la segunda etapa de la auditoría.

Si el auditor encontrase anomalías o considerase que la norma no ha sido correctamente aplicada, puede
llegar a posponer o cancelar la segunda etapa de la auditoría, hasta que las desviaciones
encontradas en la revisión documental del sistema sean subsanadas.

Llevar a cabo el Proceso de Auditoría de un SGSI

5
ETAPA 2 DE LA AUDITORÍA
Una vez superada la primera etapa de la auditoría, incluyendo, si es necesario, la realización por parte
del auditado de las acciones indispensables para que esto sea así, se llevaría a cabo el desarrollo de la
segunda etapa de la auditoría, por parte del equipo auditor, y de nuevo, en las instalaciones de la
organización auditada.

Entre la realización de las dos etapas de auditoría no deben transcurrir más de seis meses de intervalo.
De hecho, si este intervalo de tiempo se supera, debe volver a repetirse la etapa 1 de auditoría, ya que
en ese entretiempo pueden haberse producido cambios significativos que no hayan sido contemplados
en la primera ocasión.

En la etapa 2 de auditoría, las partes del Sistema de Gestión que, auditadas durante la primera etapa, el
auditor estime que se encuentran perfectamente implementadas y conformes con los requisitos, no
tendrán que volver a ser re-auditadas.

El propósito de esta segunda etapa es evaluar la implementación y eficacia del Sistema de Gestión de
la organización.

Finalidades de la Segunda Etapa de Auditoría

El auditor debe evaluar:

■ La información y evidencias de la conformidad con todos los requisitos de la ISO 27001.

■ La realización de actividades de seguimiento, medición, informe y revisión con relación a los
principales objetivos y metas de ejecución.
■ El SGSI de la organización y su desempeño con respecto al cumplimiento legal.
■ El control operacional de los procesos del cliente.
■ Las auditorías internas realizadas y revisión por la dirección.
■ La responsabilidad de la dirección en relación con las políticas del cliente.
■ Las relaciones entre los requisitos normativos, política, objetivos y metas de desempeño, cualquier
requisito aplicable, responsabilidades, competencia del personal, operaciones, procedimientos,
datos de la ejecución y resultados de auditoria interna

Llevar a cabo el Proceso de Auditoría de un SGSI

6
HERRAMIENTAS PARA DESARROLLAR UNA AUDITORÍA
Para obtener la mayor cantidad de información posible durante el desarrollo del proceso de una auditoría,
el equipo auditor puede ayudarse de una serie de herramientas para conseguir este fin.

Contacto Inicial con el Auditado

Antes de la realización de la auditoría, es conveniente que se establezca un primer contacto por parte del
líder del equipo auditor con el auditado, ya sea de una manera formal o informal.

Objetivos Contacto Inicial

■ Establecer comunicaciones con los representantes del auditado.

■ Confirmar la autoridad para llevar a cabo el proceso de auditoría.
■ Proporcionar información acerca de los objetivos de auditoría, el alcance y la composición del
equipo auditor.
■ Solicitar acceso a la documentación del sistema con el objetivo de realizar una planificación de la
auditoría.
■ Determinar los requisitos legales y contractuales aplicables y otros requisitos permanentes para
las actividades y productos del auditado.
■ Determinar la necesidad de la presencia de observadores, guías o expertos técnicos durante la
auditoría.

Comunicación Durante la Auditoría

Durante el proceso de auditoría, debe mantenerse en todo momento una comunicación fluida a todos los
niveles:

■ Entre los miembros del equipo auditor que deberán informarse y consultar periódicamente con el
fin de:

- Intercambiar información.

- Evaluar el progreso de la auditoría.

- Reasignar tareas entre los miembros del equipo auditor, en caso necesario.

■ Entre los miembros del equipo auditor y el auditado: el líder deberá comunicar periódicamente los
progresos de la auditoría y cualquier inquietud al auditado.
■ Entre los miembros del equipo auditor, y el cliente de la auditoría, cuando se considere
necesario.

Llevar a cabo el Proceso de Auditoría de un SGSI

7
Las no conformidades críticas, deben ser puestas en conocimiento del auditado, tan pronto se
evidencien, pero las cosas de menor importancia pueden comentarse en la reunión diaria de información.

En caso de que las evidencias disponibles de la auditoría, indiquen que los objetivos de la misma no
son alcanzables, el líder del equipo auditor deberá informar de las razones al cliente de la auditoría y al
auditado para determinar las acciones apropiadas. Estas acciones pueden incluir:

■ Modificación del plan de auditoría.

■ Cambios en los objetivos de la auditoría o en su alcance.
■ Finalización de la auditoría.

Cualquier necesidad de cambios en el alcance de la auditoría que pueda evidenciarse a medida que las
actividades de auditoría progresen, deberán revisarse con el cliente de la auditoría y aprobarse por
él y, cuando sea apropiado, por el auditado.

Formulación de Preguntas
Una técnica muy útil a la hora de recopilar información es la entrevista. El auditor deberá preguntar a la
gente cuáles son sus tareas, qué hacen, cómo lo hacen, qué información reciben, qué información
transmiten, etc.

Con frecuencia, los auditores sin experiencia desarrollan inspecciones amplias de documentación, con
poca aportación por parte de las personas que desempeñan las tareas.

Con el fin de que esto no ocurra, es conveniente estructurar las entrevistas de modo que se pueda
conseguir la máxima información por parte del entrevistado, en el menor período de tiempo posible.

Para minimizar posibles errores, durante la entrevista, se deben seguir una serie de pautas:

■ Diferencia semántica: desigual entendimiento del significado de las

palabras en una pregunta o respuesta.
■ Entrevista sesgada: proceso en el que la visión del entrevistador se
refleja en las preguntas e influencian las respuestas dadas por el
Fuentes de Error
entrevistado.
■ Efecto halo: interpretación positiva de todas las respuestas del
entrevistado debido a que las preguntas iniciales obtuvieron respuestas
positivas.

Llevar a cabo el Proceso de Auditoría de un SGSI

8
 ■ Elaborar listas de comprobación que guíen al auditor a través de la
entrevista.
■ Formular preguntas abiertas para obtener información.
■ Realizar el mismo tipo de preguntas a personas distintas. Así el auditor
podrá juzgar la veracidad de las respuestas.
■ Realizar las entrevistas durante las horas normales de trabajo y, cuando sea
práctico, en el lugar habitual de la persona entrevistada.
Pautas de Minimización
de Errores ■ Tranquilizar a la persona que se va a entrevistar antes y durante la
entrevista.
■ Explicar la razón de la entrevista y de cualquier nota que se tome.
■ Evitar preguntas que predispongan respuestas.

Un requisito a tener en cuenta en la auditoría es que el auditado se sienta

cómodo. Para ello no se debe realizar una entrevista en forma de interrogatorio,
sino, por ejemplo, intercalando las preguntas en la conversación general.

La clave para una buena entrevista es la capacidad de escucha del auditor.

Gestión del Tiempo

Es tarea del auditor gestionar adecuadamente el tiempo, cosa que con frecuencia puede acarrear
dificultades, sobre todo en auditores sin experiencia.

Un método apropiado en este caso, consiste en dividir el tiempo disponible, entre las distintas actividades
que se van a revisar.

El auditor deberá estudiar y establecer una ruta lógica y conveniente a través del sistema, que le ayudará
a controlar las desviaciones de la misma, con el fin de minimizar el muestreo y las discusiones
irrelevantes.

Llevar a cabo el Proceso de Auditoría de un SGSI

9
Muestreo
El auditor deberá tener claro cuántos documentos y de qué tipo, son necesarios muestrear.

Este muestreo se puede realizar por métodos diferentes:

■ Aleatorio.
■ Estadístico.
■ Por objetivos.
■ Teniendo en cuenta un porcentaje determinado, etc.

Todos los métodos son aceptables, no obstante debe primar el sentido común.

Durante el tiempo disponible, los muestreos que se realicen deben ser representativos de la actividad
que está bajo revisión, debiendo aumentar su número si se encuentra una no conformidad o información
que pueda dar lugar a posibles problemas.

Técnicas de Muestreo

Consiste en el examen de diferentes muestras, centrado en un sólo elemento

del sistema y referido a especificaciones consideradas en un documento.

Sirve para evaluar un elemento del Sistema de Gestión con precisión y

Muestreos por Cortes exactitud, en cuanto a su grado de aplicación y cumplimiento.
Horizontales
Ejemplo: Examinar los documentos de control y seguimiento de los últimos 9
meses, que se han realizado copias de seguridad de la información, del software
y del sistema, y que se verifica periódicamente de acuerdo con la política de
copias de seguridad acordada.

Consiste en el examen de una sola muestra, centrado en varios elementos

del sistema y referido a especificaciones consideradas en varios documentos.

Es una herramienta que ayuda a evaluar un determinado número de elementos

Muestreos por Cortes del Sistema de Gestión interrelacionados entre sí, a la vez que sirve para
Verticales obtener evidencias sobre la calidad del producto final.

Ejemplo: Examinar un solo registro relacionado con la propiedad de los activos,

para valorar si todos los activos que figuran en el inventario tienen un
propietario.

Llevar a cabo el Proceso de Auditoría de un SGSI

10
DESARROLLO DE LA ETAPA 2 DE AUDITORÍA
Con carácter general, la etapa 2 de una auditoría se puede desarrollar en tres fases:

Entre los representantes de la empresa y el equipo auditor, durante el cual:

Reunión de Apertura ■ Se harán las presentaciones oportunas.

■ Se confirmará el programa de la auditoría y el alcance de la misma.
■ Se describirá la sistemática a seguir.

Donde se procederá a la investigación, a través del análisis de documentos,

Ejecución de la
registros y de entrevistas con el personal de la empresa, de la implementación y
Auditoría
eficacia del Sistema de Gestión de la organización.

Entre el equipo auditor y los representantes de la empresa, con objeto de

Reunión de Cierre
presentar a los responsables de la misma, los resultados de la investigación.

LECTURA RECOMENDADA

Se recomienda la lectura del Capítulo 6 – Realización de una

Auditoría, de la norma ISO 19011 “Directrices para la auditoría de
sistemas de gestión”.

Llevar a cabo el Proceso de Auditoría de un SGSI

11
REUNIÓN DE APERTURA
Resulta conveniente realizar una reunión de apertura con la dirección del auditado e incluso, cuando sea
apropiado, con los responsables de las funciones o procesos que se van a auditar.

Objetivos

■ Confirmar el acuerdo de todas las partes sobre el plan de auditoría.

■ Presentar al equipo auditor.
■ Asegurarse de que se pueden realizar todas las actividades de auditorías planificadas.
■ Proporcionar al auditado la oportunidad de realizar preguntas.

Procedimiento

En el caso de las auditorías internas, estas reuniones no suelen hacerse en los mismos términos que
se emplean en las auditorías externas. Así pues, por ejemplo, pueden consistir simplemente en
comunicar que se está realizando una auditoría, y explicar la naturaleza de la misma.

En otros casos, la reunión debería ser formal y manteniendo un registro de los asistentes. Esta reunión
debería ser presidida por el líder del equipo auditor debiendo tener en consideración los siguientes
puntos:

■ Presentación de los miembros del equipo auditor, incluyendo una descripción formal de sus
funciones y citando la identificación de su registro de auditor cualificado.
■ Elaboración de un registro de los asistentes.
■ Confirmación de los objetivos, alcance y criterios de la auditoría, explicando el propósito de la
auditoría, y aclarando el tipo de auditoría solicitada por la empresa.
■ Confirmación del plan de auditoría que seguirán los auditores. Éste deberá haber sido aceptado y
acordado unas semanas antes, sin objeciones por ninguna de las partes.
■ Métodos procesos y procedimientos que los auditores utilizarán para realizar su trabajo.
Información de la necesidad de tomar notas, recoger evidencias documentales y comunicarse
directamente con los poseedores de la información.
■ Confirmación de los modos de comunicación formal entre el equipo auditor y el auditado.
■ Confirmación de que durante la auditoría, el auditado será informado del progreso de la
misma.
■ Verificación de la disponibilidad de medios y recursos, tales como sala de reunión,
fotocopiadora, pases de seguridad, equipos de protección, interlocutor o guía, etc.
■ Modo de presentación de la información, incluyendo la clasificación de las deficiencias.
■ Confirmación de la garantía de confidencialidad.

Llevar a cabo el Proceso de Auditoría de un SGSI

12
EJECUCIÓN DE LA AUDITORÍA
Una vez concluida la reunión de apertura, y en compañía de un representante del auditado, el auditor
deberá visitar todas y cada una de las áreas funcionales establecidas en el plan de auditoría.

El examen y visita de un área de trabajo, significa realizar las siguientes actuaciones:

■ Entrevistas con el personal del área a auditar.

■ Inspecciones de las instalaciones, equipos, materiales y productos.
■ Observación de los procesos, operaciones y actividades.
■ Consulta de la documentación.

La investigación se efectuará teniendo en cuenta los requisitos correspondientes al área en curso. Para
ello, el auditor se podrá ayudar de la lista de verificación previamente realizada

El proceso a seguir es el siguiente:

Llevar a cabo el Proceso de Auditoría de un SGSI

13
Recopilación y Verificación de la Información
Durante el proceso de auditoría, se debe recopilar, mediante un muestreo adecuado, la información
pertinente para cubrir los objetivos, el alcance y los criterios de la misma, incluyendo la información
relacionada con las interrelaciones entre funciones, actividades y procesos. De su análisis, se extraerán
una serie de evidencias objetivas.

Fuentes de Información

Las fuentes de información a recurrir, pueden variar en función del alcance y complejidad de la auditoría,
pudiendo incluir:

■ Entrevistas con empleados u otras personas.

■ Observación de actividades, control operativo, ambiente de trabajo y condiciones externas.
■ Resultados de la monitorización y medición, de los informes y de la revisión comparados con los
principales objetivos y metas de ejecución.
■ Documentos tales como objetivos, política, procedimientos, normas, instrucciones,
especificaciones, cualquier requisito legal aplicable, etc.
■ Registros, tales como actas de reunión, informes de auditorías, resultados de mediciones,
competencia del personal, etc.

VIDEO EN LA PLATAFORMA (Acceso a través de la Plataforma)

Accediendo a esta Unidad de Competencia a través de la Plataforma,
puedes visualizar un vídeo ilustrativo del tema, en el que se muestran los
aspectos importantes de la realización de Entrevistas en la Auditoría.

Búsqueda de Evidencias
Para verificar el cumplimiento real de los requisitos de la Norma y del Sistema, es necesario realizar una
búsqueda de evidencias objetivas.

Llevar a cabo el Proceso de Auditoría de un SGSI

14
Las evidencias de la auditoría se refieren a hechos y condiciones, que en principio pueden llegar a ser
fáciles de identificar. Sin embargo, su demostración resulta compleja si no se puede probar de una forma
tangible y objetiva. Por ello, estas evidencias deberán ser evaluadas siguiendo los criterios de
auditoría previamente definidos, hasta llegar a obtener los hallazgos y posteriores conclusiones de la
auditoría.

Las evidencias de la auditoría, se basan en muestras de la información disponible. Por tanto, siempre
habrá un cierto grado de incertidumbre, de la cual deben ser conscientes los que actúan sobre las
conclusiones de la auditoría.

Las no conformidades y las evidencias de la auditoría que las apoyan, deberán revisarse junto con el
auditado, para obtener el reconocimiento de que la evidencia de la auditoría es exacta y que las no
conformidades se han comprendido, debiendo mantener un registro de ello.

Evaluación y Generación de Hallazgos

Una vez que el auditor ha llegado a la conclusión objetiva de que existe un incumplimiento con respecto a
lo establecido en el Sistema o norma de referencia, deberá documentarlo y elaborar una Nota de no
conformidad o desviación.

Estas notas, deben ser estudiadas junto con el responsable de calidad, o con el responsable del área
involucrada, con el fin de obtener su conformidad.

Categorización de los Hallazgos

Una vez identificadas y cuantificadas las evidencias objetivas, se procederá a su valoración, para lo cual
es necesario haber establecido previamente una clasificación.

No existe una categorización estándar, pudiendo variar en función del organismo auditor, ya bien se
trate de una auditoría interna, externa o de certificación, dependiendo en este caso de cada Organismo
Certificador. En general se suelen establecer tres categorías distintas de no cumplimiento:

Incumplimiento de un requisito, bien sea de la norma, del Sistema de Gestión

de la calidad, u otras, que puede afectar directamente a la calidad del producto y
que por tanto, debe ser solucionado inmediatamente.

Ejemplos:

No Conformidad ■ No se han rectificado deficiencias del Sistema encontradas durante la última

auditoría.
■ No se ha podido comprobar la existencia de declaraciones documentadas
de la Política de Seguridad de la Información.
■ No se han definido los objetivos y las metas en materia de Seguridad de la
Información.

Llevar a cabo el Proceso de Auditoría de un SGSI

15
 Incumplimiento de un requisito, bien sea de la norma, del Sistema de Gestión,
de la legislación u otro tipo de documentación. Son fallos aislados, no
sistemáticos, que han de ser solucionados, pero que no requieren que se haga
inmediatamente.

Ejemplo:
Desviación
■ Se ha evidenciado que la información no recibe un adecuado nivel de
protección de acuerdo con la importancia para la organización, incumpliendo
el punto 8.2.2 de Etiquetado de la información, que establece que debe
desarrollarse e implantarse un conjunto adecuado de procedimientos para
etiquetar la información, de acuerdo con el esquema de clasificación
adoptado por la organización.

Hallazgo que no incumple un requisito de la norma, o del cual no se tiene

evidencia objetiva, pero que implica un alto riesgo futuro. Sería un indicativo de
malas prácticas.
Observación
Ejemplo:

■ Se detectan algunos documentos del sistema de gestión con errores en su

paginación.

Documentación de los Hallazgos

■ La justificación de los hallazgos se ha de redactar de manera clara, transparente y concisa, de forma

que sirvan para:

- Informar de los incumplimientos a la organización.

- Determinar los pasos a seguir para corregir la no conformidad.

- Establecer, en posteriores auditorías, si las no conformidades han sido solucionadas.

■ A la hora de redactar la no conformidad se suelen emplear fórmulas del tipo “se ha

evidenciado….en contra de….”.

Llevar a cabo el Proceso de Auditoría de un SGSI

16
Ejemplo de Nota de Desviación

La empresa "PLAGAS S.L.", perteneciente al sector químico, pretende certificarse según la ISO 27001.
Durante la visita del auditor a una de las instalaciones, ha observado y anotado lo siguiente:

La política de control de acceso a la información es indiscriminada, y no se limita el acceso a los recursos

de tratamiento de la información y a la información.

Auditor: "¿No se dispone de una instrucción para identificar correctamente las personas que acceden a la
información en cualquier momento?"

Responsable de Seguridad de la Información: "Si, están avisados de que deben informar puntualmente
después de la realización con riesgos en la seguridad de la información, ya que se solicita que los
informes los facilite cada responsable de área semanalmente”.

Al concluir la visita, el Auditor y el Responsable de Seguridad se dirigen al despacho de éste último. El

Auditor solicita el Manual de Seguridad de la empresa, y comprueba que en el punto 9.1 se refiere al
cumplimiento de las exigencias de tratamiento de la información, debe informarse única y exclusivamente
al Responsable de Seguridad y no con carácter previo al Director de su área.

Tras concluir el análisis, el auditor procede a cumplimentar la siguiente nota de hallazgo:

AUDITORÍA:
EMPRESA: PLAGAS SL

Interna
Certificación FECHA: 15-12-2015 NOTA Nº: 03
Seguimiento
Renovación

NORMA DE APLICACIÓN: ISO 27001

Punto de la norma al que afecta: 9.1.1 Política de control de acceso

Deficiencias encontradas:

La política de control de acceso a la información es indiscriminada, y no se limita el acceso a los

recursos de tratamiento de la información y a la información.

No se ejerce por tanto, un control adecuado en el cumplimiento de las exigencias de tratamiento de

la información, debe informarse única y exclusivamente al Responsable de Seguridad y no con
carácter previo al Director de su área.

Categorización: x No conformidad Desviación Observación

Llevar a cabo el Proceso de Auditoría de un SGSI

17
 Firma del auditor: Firma del auditado:

Preparación de las Conclusiones de la Auditoría

Una vez auditadas todas las áreas, y antes de la reunión de cierre, el equipo auditor deberá realizar una
puesta en común de la información obtenida con el fin de:

■ Revisar los hallazgos de la auditoría y cualquier otra información recopilada durante la auditoría.
■ Acordar las conclusiones de la auditoría, teniendo en cuenta la falta de certidumbre propia del
proceso de auditoría.
■ Preparar recomendaciones, en caso de que así estuviera especificado en la auditoría.
■ Comentar el seguimiento de la auditoría, si así se ha definido en el plan de la misma.

Llevar a cabo el Proceso de Auditoría de un SGSI

18
REUNIÓN DE CIERRE
La reunión de cierre, formaliza la clausura de la auditoría en las dependencias de la empresa auditada.

Deberá ser presidida por el líder del equipo auditor y a ella asistirán en principio, los mismos miembros
que fueron convocados a la reunión de apertura, es decir, los componentes del equipo auditor y los
representantes de la empresa y áreas auditadas.

Objetivos

■ Exponer los hallazgos de la auditoría ante todas las partes interesadas con el fin de asegurar la
correcta comprensión y aceptación de los resultados.
■ Establecer, si es necesario, el intervalo de tiempo imprescindible para que el auditado presente un
plan de acciones correctivas y preventivas.
■ Supone una oportunidad para que el auditado pueda clarificar posibles equívocos, aunque en
ningún caso puede convertirse en un foro de discusión y debate.

Procedimiento

■ En muchos casos, por ejemplo, en auditorías internas en pequeñas Organizaciones, la reunión de

cierre puede consistir únicamente en comunicar los hallazgos y conclusiones de la auditoría. Sin
embargo, en otras situaciones, la reunión debería ser formal, debiendo conservarse las actas y
registros de asistencia.
■ En ocasiones, como por ejemplo, en auditorías de certificación, durante la reunión de cierre se
suele presentar el informe final con los resultados concluyentes de la auditoría. No obstante, en
otros casos, su entrega se realiza a posteriori, en una fecha acordada por todas las partes
implicadas.
■ Cualquier discrepancia relativa a los hallazgos y conclusiones de la auditoría, entre el equipo
auditor y el auditado, deberían resolverse en la mayor brevedad posible, debiendo, en caso
contrario, dejar constancia de ello mediante un registro.
■ En caso de que estuviera especificado en los objetivos de la auditoría, se deberán presentar
recomendaciones para la mejora, aunque dichas recomendaciones, no son obligatorias.

Llevar a cabo el Proceso de Auditoría de un SGSI

19
HABILIDADES

TRABAJO INDIVIDUAL

Descarga desde la Plataforma, el/los Trabajo/s Individuales/s (TI) relacionado/s con esta Unidad de
Competencia y complétalo/s siguiendo las instrucciones indicadas en el archivo “Instrucciones para la
preparación y resolución de un Trabajo Individual”

Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.

CASO PRÁCTICO

Descarga desde la Plataforma el Caso Práctico (CP), relacionado con las Unidades de Competencia del
Módulo y temáticas del Curso y resuélvelo, siguiendo las instrucciones indicadas en el archivo
“Instrucciones para la preparación y resolución de un Caso Práctico”.

Puedes acceder a este archivo a través de la ventana principal, “Campus Virtual”, dentro del apartado
Recursos > Documentación/ Documentación General.

DEBATE

Sigue las instrucciones indicadas en el apartado Habilidades > Debate, de la Guía del Alumno, y debate
junto con el resto de compañeros en los diferentes temas abiertos.

Puedes acceder a la Guía del Alumno a través de la ventana principal, “Campus Virtual”, dentro del
apartado Recursos/Documentación.

Llevar a cabo el Proceso de Auditoría de un SGSI

20
ACTITUD

RECTITUD

Actuar siempre de manera justa y de acuerdo con las circunstancias exigidas en la situación concreta.

En cualquier ámbito de la vida de una persona actuar correctamente representa, tener la conciencia
tranquila de que se ha actuado como se debía.

Una empresa debe transmitir un clima de credibilidad y justicia en todo aquello que hace, y que esta
confianza se vea reflejada en las acciones y comportamientos que realicen sus trabajadores.

En el trabajo diario es necesario ser responsable de los actos realizados y que éstos sean conformes a
las normas y procedimientos que se consideran adecuados y justos.

La rectitud ofrece seguridad y certeza en base al cumplimiento de los compromisos y la integridad de las
actuaciones realizadas.

Una persona que se deje influenciar o que tenga diversos criterios de actuación en una situación, no se
puede considerar una persona recta, además vulneraría claramente los principales valores que
acompañan a la rectitud como son la justicia, la sinceridad e integridad y por supuesto la equidad.

Llevar a cabo el Proceso de Auditoría de un SGSI

21
 902 350 077
formacion@bvbs.es

www.bureauveritasformacion.com

Llevar a cabo el Proceso de

Auditoría de un SGSI
 Bureau Veritas Formación, S.A. Unipersonal

Reservados todos los derechos. El contenido de esta obra está protegido por la Ley. Queda prohibida toda reproducción total o parcial de la obra por cualquier
medio o procedimiento sin autorización previa.