ISO 27001 ¿Cómo pasar una auditoría interna?
ISO 27001
Muchas personas se precipitan a la hora de preparar una lista de verificación y realizan la auditoría de la norma ISO 27001 sin estar bien preparados. Esta prisa sólo genera problemas. Queremos enseñarle como se debe preparar para pasar una auditoría interna de una forma eficiente.
¿Qué tipo de auditor interno debe emplear?
Existen algunas formas de llevar a cabo la auditoría interna:
- Contratar a un auditor a tiempo completo: esto es adecuado sólo para las grandes empresas que tendrá suficiente trabajo para una persona.
- Contratar auditores internos a tiempo parcial: esta situación es mucho más común, las empresas utilizan a sus propios trabajadores para llevar a cabo auditorías internas, que hacen lo necesario, junto a su trabajo habitual. Una cosa importante que debe tener en cuenta, con el fin de evitar cualquier conflicto de intereses por lo que sería bueno que existieron como mínimo dos auditores para que uno pueda auditar y el otro regular el trabajo.
- Contratar a un auditor interno de manera externa a la empresa: aunque esto no es una persona que trabaja en la empresa, todavía se considera una auditoría interna debido a que la auditoría se lleva a cabo por la propia empresa, según sus propias reglas. Por lo general, esto se hace por una persona que tenga el conocimiento necesario en este campo.
Las opciones a considerar
Dependiendo de si ya ha implementado la norma ISO 27001, dependerá el perfil que debe tener el auditor, por lo que tiene algunas opciones que vamos a enumerar a continuación. Además deberá estudiar la legislación, debido a que algunas industrias tienen reglas especiales con respecto a las auditorías internas:
- Lleve a cabo una auditoría o una serie de auditoría durante todo el año: si usted es una pequeña organización, una sola auditoría al año será suficiente. Sin embargo, si tienes una gran empresa, es posible que quiera planificarlo todo para llevar a cabo las auditorías por departamentos.
- Usar las mismas reglas y normas todos los auditores: si ya tiene implementada la norma ISO 9001, puede utilizar el mismo procedimiento de auditoría interna para la norma ISO 27001. Además, el mismo auditor puede realizar auditorías internas para todos estos sistemas al mismo tiempo, si dicha persona tiene conocimiento de todas estas normas, y tiene un conocimiento medio siendo perfectamente capaz de hacer una llamada, ahorrando mucho tiempo y recursos.
- Procedimiento y lista de control: un procedimiento escrito que defina cómo se lleva a cabo la auditoría interna no es obligatorio, sin embargo se recomienda ciertamente. Normalmente, los empleados no se encuentran familiarizados con las auditorías internas por lo que es una buena idea contar con ciertas reglas básicas.
Documentos requeridos
Debe tener los siguientes documentos relativos a la auditoría interna:
- Procedimiento de auditoría interna: en este procedimiento se deben definir todas las reglas básicas para la realización de la auditoría, como puede ser seleccionar auditores, la planificación de las auditorías, los elementos que se utilizan para llevar a cabo la auditoría, las actividades de seguimiento, y cómo informan desde las auditorías.
- Programa de auditoría interna: es aquí donde se planifican las auditorías en un nivel anual, incluyendo todos los criterios y alcance.
- Lista de comprobación de auditoría interna: se trata de una lista de control que ayuda a que el auditor interno no olvide algo durante la auditoria interna.
- Informe de auditoría interna: en este momento es en el que el auditor interno informa sobre las no conformidades y otros hallazgos.
El papel de la alta dirección
La dirección de la organización se debe involucrar en la auditoría interna, ya que deberán aprobar los procedimientos y la designación de un auditor interno, con la aceptación del programa de auditoría y la lectura del informe de auditoría interna. Estas actividades no deben ser delegadas a niveles bajos, porque esto podría llevar al auditor interno a un conflicto de intereses, y además alguna información importante que no puede encontrar en su camino hacia la cima.
La alta dirección deberá tomar una decisión sobre la aceptación y el apoyo de la auditoría interna como algo que es útil para el negocio.
El propósito de la auditoría interna
La auditoría interna se ve como un gasto económico elevado. Sin embargo, las auditorías internas te permiten descubrir problemas que de otra forma podrían permanecer ocultas y perjudicar a tu negocio. La naturaleza humana comete errores, por lo que es imposible tener un sistema sin errores, es posible tener un sistema que mejora y aprende de sus errores.
Las auditorías internas son una parte crucial de un sistema de este tipo, que será el que le diga que si el sistema realmente funciona o no.
Software ISO 27001
El Software ISOTools Excellence para ISO 27001 para Riesgos y Seguridad de la Información, está capacitado para responder a numerosos controles para el tratamiento de la información gracias a las aplicaciones que contiene y que son totalmente configurables según los requerimientos de cada organización.