PREPARACION PARA

UNA AUDITORIA
ISO 27001
¿Qué es una
Es un proceso sistemático, independiente y
documentado que busca obtener evidencia
relevante y evaluarla objetivamente para

Auditoría?
determinar en qué medida se cumplen los
criterios requeridos por algun marco,
modelo, o norma.
 Para comparar los requerimientos de la norma,
contra la implementación que se ha realizado y
detectar brechas.

¿Por que Para evidenciar el cumplimiento de nuestra

se debe
documentación, la forma de realizar las
actividades, y detectar cualquier mejora sobre
cualquiera de ambas.

realizar? Para encontrar oportunidades de mejoras, las

cuales se representan en acciones correctivas,
también llamadas “No conformidades”.
 INTERNA
• De 1ra parte: Realizada internamente por la
empresa o alguien contratado por la empresa con
¿Que el fin de evaluar su sistema de gestión y buscar con
la dirección las acciones de mejora sobre el mismo.

tipos de • De 2da parte: Las que nos realiza alguien que

Auditoria
tiene un interés particular en nuestra empresa,
como por ejemplo algún cliente, o proveedor.
• De 3ra parte: Las realiza una organización

existen? auditoria independiente que está debidamente

autorizada a otorgar la certificación, la cual tiene
una duración de 3 años una vez lograda.

EXTERNA
PLAN DO

ACT CHECK
 La primera auditoria
siempre será mas larga y El auditor es un asesor, no
complicada, así que tómalo es un enemigo.
con mucha calma.

El objetivo no es la
MENTALIDAD El auditor puede ver cosas
que nosotros no, y esto nos
perfección, al contrario, es
identificar mejoras en
CORRECTA ayuda a reforzar la
seguridad de información de
etapas tempranas y lograr
corregir lo mas pronto
la empresa.
(Muy importante) posible.

Asegúrate que las acciones

La Auditoria se enfoca en correctivas se enfoque en
los procesos, nunca en las buscar la causa y la
personas. solución, pero nunca un
culpable.
 1. Identifica donde vas encontrar la información requerida por el auditor.

2. Utiliza un buen sistema de gestión de documentos, para que tengas un buen

terreno ganado.

3. Revisa con antelación cada política, proceso o procedimiento donde participes

activamente.

RECOMENDACIONES 4. Asegúrate de conocer otros aspectos relevantes que aplican para toda la
organización como el alcance, la mejora continua, las políticas generales, los
riesgos y las acciones correctivas que se han implementado.

5. Refuerza el ALCANCE del Sistema de gestión a auditar.

6. Realiza una PRE-AUDITORIA interna simulada con alguna lista de

verificación o apoyo.
 1. Formalizar los periodos de fecha
en la cual se va a realizar y darla a
conocer a todos los empleados.
FASES DE
UNA • Es importante no modificar ningún
documento durante este periodo, si
AUDITORIA pocos días antes, ya que esto puede
percibirse de forma negativa por el
auditor.
 2. Realizar una reunión previa
(opcional)

• Esta sesión se realiza para que el

FASES DE auditor y su equipo conozcan a los
UNA miembros de la empresa a auditar, y le
dejen saber que tipo de información
AUDITORIA mínima va a ser requerida con
antelación para que el auditor conozca
la empresa y el sistema de gestión a
auditar.
FASES DE UNA AUDITORIA
3. Crear un Plan de
Auditoria
•En este punto se presenta el Plan de Auditoria a
la empresa, el cual contiene datos relevantes del
alcance.
• La empresa aprueba el plan y se comparte con los
interesados.
• Se pudieran agendar las sesiones de forma
anticipada.
• El auditor genera sus listas de verificación
(checklist) con las cuales va a trabajar.
 4. Inicio de Entrevistas
• Inician las entrevistas grupales o individuales,
normalmente canalizadas a través un líder interno de la
empresa, quien ira involucrando al resto de los

FASES DE
interesados.
• Es importante que al final de cada día de auditoria, el
equipo interno, se reúna para compartir su experiencia y
UNA comentarios, y que todos estén al tanto de lo que
sucede y se vayan alineando las respuestas.

AUDITORIA • El auditor solicitara algunas evidencias o registros

aleatorios.
• Evite dar información que no sea dentro de su alcance
de actividades. En esos casos remita al auditor con el
líder interno.
• Finalmente, ante cualquier punto de vista distinto, evite
tener una discusión con el auditor.
 5. Registro y revisión de Hallazgos
y No Conformidades

FASES DE • Los hallazgos son oportunidades de mejora. Acéptalos

abiertamente y busca entregar la mayor evidencia o

UNA
registro posible que ayude al auditor.
• Tener “No conformidades” no significa que nuestro
sistema este mal o sea ineficaz. Cualquiera que sea,
AUDITORIA siempre es posible corregir.
• En esta etapa podemos renegociar la forma en que se
redactan algunos enunciados de los hallazgos o inclusive
mostrar mas evidencias que sirvan para suavizar o
remover alguna no conformidad
 6. Entrega de informe final

• Se entrega el informe de auditoria al

FASES DE representante de la empresa y a la alta
dirección.
UNA • Se debe revisar con el equipo interno para

AUDITORIA identificar las acciones correctivas y planes de

acción que serán apoyados por la dirección.
• Se deben implementar las acciones correctivas
acordadas e informar al auditor el cierre de las
mismas.
Q&A