| 25 años generando CONFIANZA
La Auditoría Interna ISO 27001 funciona como preparativo eficaz para la auditoría de certificación del Sistema de Seguridad de la Información. Es, de algún modo, un simulacro de auditoría de certificación y esto ya le agrega un valor importante a la tarea.
Pero la Auditoría Interna ISO 27001 es además un requisito de la norma. Esto significa que, aún después de obtener la certificación, la organización necesita seguir practicando auditorías internas.
La norma establece la Auditoría Interna ISO 27001 como uno de los mecanismos de evaluación y comprobación de la eficacia del Sistema y de la conformidad con los requisitos. Es, finalmente, el origen de la mejora continua.
¿Cómo realizar una Auditoría Interna ISO 27001?
Las organizaciones necesitan realizar como mínimo una Auditoría Interna ISO 27001. En la práctica pueden ser tres, cinco o más. A mayor número de auditorías internas, mayor oportunidad de aprobar la auditoria de certificación sin observaciones.
Por supuesto, si el trabajo se hace bien. Y para hacerlo, es preciso observar estos diez pasos:
1. Crear un programa de auditoría
Si el Sistema de Gestión basado en la norma ISO 27001 se ha implementado, y está listo para ser revisado, ya tendría que existir un programa de auditoría documentado, porque es un requisito de la norma.
Los programas de auditoría interna se elaboran para periodos de tiempo extensos, como un año, dos o tres. Periodos menores, o mayores, representan problemas de cumplimiento del mismo programa. Es difícil prever la disponibilidad de recursos y personas en cinco años, por ejemplo. Pero también es muy apresurado planificar varias auditorías en menos de seis meses.
El programa debe incluir, además de las fechas, el alcance de cada una de las auditorías programadas y los aspectos a revisar. En el caso de la Auditoría Interna ISO 27001, es bueno dedicar algunas de estas evaluaciones a la revisión exclusiva de los controles del Anexo A.
2. Elegir auditor(es) interno(s)
Con un programa de auditoría documentado, lo que sigue es elegir el auditor, o auditores encargados. En el ejemplo que nos ocupa, que es el de una organización que proyecta la primera Auditoría Interna ISO 27001 de su Sistema, previa a la auditoría de certificación, es probable que se tengan que revisar los principios básicos de auditoría definidos en ISO 19011.
El auditor necesita ser independiente del área auditada. Por supuesto, debe ser un profesional capacitado y formado para realizar el trabajo. La calidad de auditor se adquiere con programas de formación y con experiencia.
Las organizaciones que no cuentan con personas con la cualificación necesaria para ser auditor interno del Sistema de Gestión de Seguridad de la Información tendrán que recurrir a consultores externos, en tanto logran capacitar y formar sus propios auditores.
3. Elaborar el plan de auditoría
Con un programa de auditoría interna documentado y un auditor, o equipo de auditores a bordo, lo que sigue es crear un plan de auditoría. El plan empieza por definir el alcance de la auditoría.
Continuando con el ejemplo propuesto, la auditoría interna ISO 27001, previa a la auditoría de certificación, tendrá un alcance igual al del Sistema y evaluará la eficacia de todos los controles del Anexo A que fueron calificados como aplicables.
Auditorías posteriores pueden tener el alcance que se considere necesario en el momento de su realización. Además del alcance, el plan define:
- Fecha de inicio y fecha esperada de culminación.
- Ubicaciones específicas donde se realizarán actividades.
- Personas que necesitan atender entrevistas o entregar evidencia.
- Procesos que serán observados.
- Recursos humanos, físicos, económicos o tecnológicos necesarios.
El plan se comunica a todos los interesados, a los directores de áreas involucradas y a la Alta Dirección.
4. Reunión de apertura
Las auditorías de cualquier tipo incorporan un grado de tensión. Por eso es importante crear un ambiente cálido y de confianza en esta primera actividad. El objetivo principal de la reunión de apertura es reafirmar o comunicar lo expresado en el plan y en el programa de auditoría.
Es importante hablar con detenimiento de los objetivos. En una auditoría previa a la de certificación, por supuesto, el objetivo es claro: verificar que el Sistema está listo para pasar por el filtro de un avezado y experimentado auditor. La importancia de la certificación es un tema que no se puede pasar por alto en esta reunión.
En auditorías posteriores, el auditor toma un tiempo para actualizar a las personas con los antecedentes históricos de auditorías pasadas, las no conformidades encontradas y lo que se espera de la evaluación que recién inicia.
5. Auditoría Interna ISO 27001 sobre el terreno
Una lista de verificación, con cada uno de los requisitos para revisar y cada una de las actividades – entrevistas, documentos, registros, procesos – que se realizan, permite optimizar el tiempo y aprovechar la disponibilidad de las personas.
La lista de verificación, con las glosas o notas que acompañan cada requisito o actividad, serán de gran utilidad para la elaboración del informe final.
6. Identificar no conformidades, problemas o inconsistencias
Es importante entender que una no conformidad activa un proceso que incluye investigar la causa raíz, diseñar una acción correctiva, implementarla, verificar su efectividad y, en ocasiones, repetir el proceso porque el resultado no fue el esperado.
Esto para hablar de la importancia que representa para una auditoría un profesional experimentado. Si es posible tratar un problema menor, cuyo origen es evidente, y puede ser corregido en el mismo momento, la mejor alternativa es hacerlo.
En el caso inevitable, cuando el auditor debe reportar la no conformidad, lo hará atendiendo las directrices planteadas para ello en ISO 19011. Las no conformidades también se califican de acuerdo con su importancia. No todas son graves. Las graves, por supuesto, necesitan comentarios que reafirmen la importancia de atender el tema con celeridad.
7. Anotar los aspectos positivos y las oportunidades de mejora
El objetivo de una auditoría no es sólo encontrar problemas. Los aspectos positivos son aún más importantes porque tienen la capacidad de acelerar la mejora continua.
Muchos aspectos positivos están ahí, son evidentes y el auditor necesita reportarlos en su informe. Otros son potenciales. Son las llamadas oportunidades de mejora. En estos casos, el auditor recomienda o sugiere la implementación de alguna estrategia para potenciar esas oportunidades y hacerlas reales.
8. Reunión final de auditoría
Si todo ha ido de acuerdo con el plan, no se espera encontrar sorpresas en la reunión de cierre. El auditor agradece la colaboración de los empleados, hace un breve resumen de hallazgos y aspectos positivos, responde algunas preguntas y anticipa algunos eventos para la próxima auditoría, de acuerdo con los resultados de la que finaliza.
9. Informes de auditoría
El informe final de auditoría se escribe a medida que avanza la tarea sobre el terreno. Se trata de organizar las ideas, resumir y plasmar en el informe lo más importante. Es necesario pensar en:
- El destinatario del informe – Alta Dirección -, puede no comprender terminología técnica.
- Los miembros de la Alta Dirección no tienen tiempo para leer un documento de 50 o más páginas. Cuanto más breve, mejor.
- Ir al punto: problemas graves y oportunidades de mejora relevantes.
- Acciones recomendadas para solucionar problemas, no conformidades o para aprovechar oportunidades. Igualmente, breves.
10. Monitoreo y seguimiento de la Auditoría Interna ISO 27001
El trabajo de auditoría no termina con la presentación del informe. Es un trabajo cíclico. El auditor necesita verificar la implementación de las acciones sugeridas, especialmente si estas atienden una no conformidad. El trabajo de seguimiento y monitoreo se convierte así en el punto de la siguiente auditoría interna.
La Auditoría Interna ISO 27001 es la mejor forma para asegurar el éxito en la auditoría de certificación. Después, es necesaria para cumplir con los requisitos de la norma, sobre inspección y revisión, y sobre mejora continua.
Las organizaciones que aprovechan la tecnología, automatizando sus Sistemas de Gestión encuentran mejores oportunidades para aprovechar los beneficios del Sistema y de la auditoría.
Software ISO 27001
El Software ISO 27001 proporciona una solución integral para identificar, gestionar y mitigar los riesgos de seguridad, asegurando el cumplimiento con los estándares internacionales.
Al implementar ISO 27001, las empresas pueden proteger datos sensibles, prevenir brechas de seguridad y demostrar a clientes y socios su compromiso con la seguridad de la información. Obtener más información sobre este software es el primer paso para mejorar la resiliencia de tu organización frente a las amenazas cibernéticas y optimizar tus prácticas de seguridad.
Solo necesitas contactar a un asesor aquí.
¿Desea saber más?
Entradas relacionadas
La gestión de investigaciones internas en las empresas es clave para proteger la integridad empresarial, prevenir los riesgos y fortalecer la...
La ISO 19011 es una norma internacional fundamental que establece directrices para la auditoría de sistemas de gestión. Esta norma...
La norma ISO 19011 es una guía para hacer auditorías de sistemas de gestión, a través de un marco claro y conciso para planificar y...