Ya no basta con aplicar métodos tradicionales para realizar auditorías, se requieren competencias digitales, pensamiento crítico y facilidad de adaptación. Evolucionar profesionalmente implica aprender, actualizarse, anticiparse y adquirir o potenciar unas capacidades clave que marcarán la diferencia en la auditoría interna.

Competencias esenciales para la auditoría interna digital

El perfil del auditor interno ha experimentado una transformación radical. Los profesionales actuales deben dominar tanto los fundamentos tradicionales como las nuevas competencias digitales que permitan evaluar riesgos emergentes y procesos automatizados.

1. Dominio de los datos: la base del conocimiento

El dominio de los datos constituye la piedra angular del auditor moderno. En un entorno en el que las organizaciones manejan grandes cantidades de información, esta competencia trasciende el simple análisis de informes. Los auditores deben comprender la estructura, el origen y la calidad de los datos de manera integral.

La capacidad de evaluar la integridad de la información permite identificar inconsistencias, sesgos y limitaciones en la información disponible. Un auditor competente debe cuestionar las fuentes, validar la coherencia de los datos y comprender cómo fluye la información a través de sistemas empresariales cada vez más complejos.

Superar la recopilación de datos tradicional aporta una visión más completa de los riesgos organizacionales. Así, los auditores deben interpretar los informes no solo por las cifras, sino por lo que revelan sobre los procesos empresariales subyacentes.

2. Competencia tecnológica: más allá de las herramientas básicas

La auditoría interna digital requiere un manejo sólido de herramientas tecnológicas. Los auditores internos deben familiarizarse con plataformas avanzadas de análisis, herramientas de monitoreo continuo y tecnologías como inteligencia artificial y el aprendizaje automático.

El auditor digital no necesita programar, pero sí comprender riesgos, oportunidades y controles asociados a la tecnología. El papel de la auditoría interna es traducir el potencial innovador en eficiencia, seguridad y resultados verificables, lo que incluye reconocer tanto las oportunidades de mejora como los riesgos específicos que estas tecnologías presentan para las organizaciones.

El objetivo es interactuar inteligentemente con profesionales de TI, evaluar controles tecnológicos e identificar oportunidades de optimización. Se trata, en definitiva, de una competencia que permite a la auditoría interna mantenerse al día con el negocio y brindar garantías sobre nuevas tecnologías.

El futuro de la #AuditoríaInterna es digital. ¿Dominas las #Competencias clave que toda organización necesita? Descubre cómo prepararte para liderar esta transformación.
Compartir en X

3. Análisis crítico: el elemento diferenciador humano

Mientras la automatización avanza con rapidez, el pensamiento crítico permanece como competencia exclusivamente humana. Los encargados de la auditoría interna digital deben interpretar resultados algorítmicos para validar los análisis de la IA. Esos algoritmos proporcionan una información valiosa, pero el juicio humano proporciona significado, contexto y recomendaciones prácticas.

Esta habilidad, que garantiza que la auditoría interna mantenga su independencia y objetividad, implica cuestionar suposiciones establecidas, conectar información dispersa y resolver problemas en entornos ambiguos. El auditor debe ser escéptico ante datos y resultados tecnológicos, identificando discrepancias sutiles y debilidades detectadas durante el proceso de auditoría interna digital.

4. Comunicación estratégica: de lo complejo a lo comprensible

Los auditores interactúan con audiencias diversas, desde equipos técnicos hasta directivos sin formación especializada. La capacidad de traducir hallazgos técnicos a un lenguaje empresarial claro determina el impacto real de la función de una auditoría interna digital.

Esta competencia implica saber cómo afrontar una narrativa con datos y presentar información compleja de manera comprensible y persuasiva. Los auditores deben enmarcar los hallazgos en el contexto empresarial, explicar su relevancia y vincularlos directamente con objetivos organizacionales.

La escucha activa complementa la comunicación efectiva. Comprender las preocupaciones de las partes interesadas permite adaptar el mensaje y generar el consenso necesario para implementar mejoras identificadas en el proceso de auditoría interna digital.

5. Adaptabilidad: eficacia en entornos inciertos

El entorno empresarial actual se caracteriza por el cambio acelerado y constante. Los auditores deben responder eficazmente a nuevas tecnologías, regulaciones emergentes y modelos de negocio dinámicos que transforman continuamente el panorama de riesgos.

Esta competencia implica compromiso con el aprendizaje continuo. Los auditores deben actualizar proactivamente sus conocimientos a través de cursos específicos, certificaciones y autoaprendizaje para mantenerse relevantes en un entorno en evolución.

La adaptabilidad implica también flexibilidad metodológica para ajustar enfoques, alcances y prioridades rápidamente y para involucrarse en fases tempranas de proyectos, anticipando riesgos en lugar de reaccionar a ellos. Así, el auditor digital asegura su relevancia en ecosistemas organizacionales dinámicos.

Formación especializada de la Escuela Europea de Excelencia

La Escuela Europea de Excelencia ofrece programas formativos especializados que abordan las competencias críticas que requiere la auditoría interna digital. El Curso de Inteligencia Artificial Aplicada a los Sistemas de Gestión prepara a los profesionales para integrar tecnologías emergentes en sus procesos de auditoría. La oferta formativa incluye otros cursos específicos, entre otros, los siguientes:

• Curso Auditor Líder ISO 9001. Sistema de Gestión de la Calidad.
• Experto en Auditoría Interna ISO/IEC 27001:2013 SGSI + Método de Auditorías Remotas de Sistemas de Gestión.
• Curso Auditor Interno ISO 37301. Sistema de Gestión de Compliance.
• Experto en Auditoría Interna ISO 45001:2018 SGSST + Método de Auditorías Remotas de Sistemas de Gestión.
• Curso Método de Auditorías Remotas de Sistemas de Gestión.

Esta formación especializada garantiza que los auditores dominen las herramientas y metodologías del futuro. Descubre cómo nuestros programas especializados pueden potenciar tu carrera profesional y convertirte en el auditor que las organizaciones modernas necesitan. Contacta con nuestros asesores.

La entrada Auditoría interna digital: las 5 competencias que todo auditor necesita desarrollar se publicó primero en Escuela Europea de Excelencia.

En una auditoría tradicional, todos los procesos reciben la misma atención, lo que puede dar la falsa sensación de que es más difícil pasar por alto ningún problema. En la práctica, esto significa no prestar suficiente atención a los puntos críticos en los que se gestan los riesgos.

La auditoría basada en riesgos concentra la búsqueda de problemas allí donde existe mayor probabilidad de encontrar incidentes. Con este enfoque se optimiza la capacidad de detección y prevención.

¿Qué es la auditoría basada en riesgos?

Las auditorías en sistemas de gestión son el punto de articulación entre el final de un ciclo y el inicio del siguiente. La auditoría promueve e impulsa la mejora continua y sus resultados proporcionan evidencia de esa mejora.

La auditoría basada en riesgos sustituye la tradicional lista de verificación por un enfoque que prioriza áreas críticas y procesos clave. Se alinea con el pensamiento basado en el riesgo promovido por los estándares ISO. Así la auditoría y el pensamiento se integran para generar un análisis de riesgos estratégico, y no solo una comprobación del cumplimiento.

Diferencias entre la auditoría basada en riesgos y la auditoría tradicional

La primera y más relevante diferencia está en la importancia que se concede a los procesos según el enfoque. En la auditoría basada en riesgos se valora la atención y se prioriza la asignación de recursos a los procesos de mayor riesgo.

La auditoría tradicional sigue una lista de verificación donde solo se marca una casilla para señalar el cumplimiento de un requisito, la existencia de un documento de acuerdo con la solicitud del estándar o la conformidad con un proceso que satisface las expectativas del auditor.

Esta gran diferencia va mucho más allá de formalismos o de estructuras. Algunos resultados relevantes son los siguientes:

1. Enfoque en lo crítico

Al enfocar el análisis de riesgos y los recursos en los procesos o las áreas más vulnerables, la efectividad y la productividad por hora, por hombre o por recursos destinados alcanza niveles más que satisfactorios. La priorización mejora la eficiencia.

2. Anticipar o adelantarse a los riesgos

En las auditorías tradicionales, muchos riesgos pasan desapercibidos, lo que no significa que nunca se evidencien. Y cuando lo hacen, o cuando muestran alguna señal de existencia, los equipos de gestión de riesgos trabajan para eliminarlos o mitigarlos. En la auditoría basada en riesgos la gestión es proactiva, se abordan los riesgos antes de que se manifiesten.

3. Asignación eficiente de recursos

Enfocar los esfuerzos en procesos de alto riesgo implica que la mayor parte de los recursos consumidos por la auditoría se concentren en esas áreas. Las áreas de bajo riesgo consumirán pocos recursos. Es un concepto de coherencia y racionalidad que conduce a la eficiencia en el uso del dinero, del tiempo de las personas e incluso de los recursos tecnológicos asignados.

4. Mejora la eficiencia de los procesos

La auditoría basada en riesgos tiene capacidad para identificar y eliminar riesgos de alto impacto negativo. Esto hace que los procesos relevantes sean más eficientes y productivos.

5. Decisiones más informadas

La Alta Dirección y los directores de áreas y departamentos reciben información útil para tomar mejores decisiones, alineadas con los objetivos comerciales de la organización.

6. Promueve cultura de prevención

En general, es posible afirmar que la práctica de auditorías basadas en riesgos inculca el hábito de la prevención. Los empleados se anticipan y se preparan para minimizar o eliminar los riesgos antes de que aparezcan las primeras señales de alarma.

La siguiente tabla resume las diferencias relevantes entre auditoría tradicional y auditoría basada en riesgos:

Aprende un poco más sobre la #AuditoríaBasadaEnRiesgos y sobre los pasos que debes seguir para implementarla.
Compartir en X

¿Cuáles son los criterios esenciales en la auditoría basada en riesgos?

Los dos criterios esenciales en una auditoría basada en riesgo son la probabilidad de ocurrencia y la gravedad del impacto. Si los riesgos se ubican en una matriz de riesgos cualitativa, bastará con establecer los puntos de intersección para cada tipo de evento entre ambos criterios. Si la matriz es cuantitativa, se multiplicará el factor asignado a cada uno de los riesgos de acuerdo con la probabilidad y el impacto.

Pasos para implementar una auditoría basada en riesgos

Los expertos en gestión de riesgos encontrarán puntos de coincidencia entre el procedimiento de una auditoría basada en riesgos y una tradicional. Es necesario recordar que la diferencia esencial está en el enfoque y no en la estructura de la auditoría. Hecha esta aclaración, a grandes rasgos los pasos para realizar una auditoría basada en riesgos son:

• Planificar el trabajo, prestando especial atención al contexto y a la identificación de los procesos de alto riesgo.
• Realizar la evaluación de riesgos, utilizando matrices u otras herramientas de evaluación de riesgos generalmente aceptadas, pensando en los dos criterios de priorización: probabilidad e impacto.
• Ejecutar la auditoría siguiendo el cronograma que prioriza los procesos y las áreas de alto riesgo creado en el primer paso.
• Producir los informes, destinados a la Alta Dirección y a los directores de áreas, que tendrán que realizar ajustes en los procesos o implementar algún tipo de acción correctiva.
• Diseñar e implementar las acciones correctivas, priorizando las destinadas a solucionar problemas en áreas de alto riesgo.

Una vez implementadas las acciones correctivas, se monitorea y supervisa la evolución. De ser necesario, se implementan nuevas acciones. Todo se documenta y se convierte en la base para iniciar un nuevo ciclo que concluirá con una nueva auditoría.

Diplomado en Risk Manager

El Diplomado en Risk Manager es un programa de la Escuela Europea de Excelencia desarrollado para formar expertos en gestión de riesgos y en auditoría basada en riesgos. Con 19 bloques de formación, los alumnos tienen la oportunidad de tratar casos reales, dirigidos por expertos con reconocimiento internacional.

Además del conocimiento profundo de las técnicas y herramientas modernas de gestión de riesgos, los alumnos se adentran en los requisitos de la norma ISO 31000, adquieren habilidades digitales para apoyar su trabajo y, lo más importante, se convierten en auditores certificados de riesgos. Conviértete en un profesional cualificado para afrontar con éxito los desafíos de la gestión de riesgos. Inicia aquí tu formación.

La entrada Auditoría basada en riesgos: qué es y pasos a seguir para implementarla se publicó primero en Escuela Europea de Excelencia.

Las motivaciones y la frecuencia para planificar auditorías internas varían. Para una organización que aún trabaja en la implementación y está lista para elegir un organismo de certificación ISO, la tarea es mucho más intensa, insistente y un tanto acelerada. El objetivo es poner el sistema a punto para la revisión del auditor de terceros.

Las organizaciones que trabajan para mantener la certificación asumen la tarea de planificar auditorías internas con calma y serenidad, pero no por ello con menos rigor. Después de todo, está en juego conservar la certificación.

Cómo planificar auditorías internas de sistemas de gestión ISO

La finalidad de la auditoría interna no es solo comprobar la conformidad con unos requisitos. El auditor interno necesita la percepción, la capacidad de análisis y la mente abierta para solucionar problemas de inmediato, sin necesidad de abrir un proceso de no conformidad de calidad. También puede identificar oportunidades de mejora y potenciarlas.

Estas razones ponen de manifiesto la importancia de planificar auditorías internas de sistemas de gestión ISO de manera proactiva, inteligente y estratégica. A continuación, se abordan algunas recomendaciones para lograr los objetivos y obtener los mejores resultados.

1. Crear un programa de trabajo

El programa de trabajo para planificar auditorías internas detalla cómo, cuándo, dónde, por qué y quién realizará la tarea. Este documento debe incorporar la siguiente información:

• Intervalos y frecuencia de las auditorías, así como fechas de inicio y culminación de cada una de ellas.
• Objetivos específicos de cada una de las auditorías.
• Alcance de cada tarea: ubicación, procesos, niveles, productos, etc.
• Designación del auditor interno o del equipo de auditores.
• Listas de verificación que se utilizarán.
• Personas comprometidas con entrevistas, aporte de pruebas documentales o ejecución de procesos ante el auditor.

El objetivo en esta primera etapa es entregar información útil tanto para los auditados como para el equipo auditor y la Alta Dirección. Esto asegura la disponibilidad, la coherencia en el trabajo y la asignación de recursos suficientes.

2. Crear un cronograma de trabajo

Al planificar auditorías internas de sistemas de gestión ISO es importante considerar los objetivos propios de cada auditoría y el programa de trabajo que se propone. Gran parte del éxito de una auditoría a un sistema de gestión está en la preparación.

El cronograma necesita incluir la fecha de la reunión de apertura y la fecha de la que se espera será la reunión de cierre. Las fechas y horarios de las actividades específicas y las personas sobre las que se espera contar con disponibilidad absoluta también se incluyen en el documento.

Cuanto más completo y detallado sea el cronograma, menor será la posibilidad de encontrar tropiezos, de no contar con las personas adecuadas o sufrir interrupciones injustificadas.

Encuentra una interesante e imprescindible guía para planificar auditorías internas en tus #SistemasdeGestiónISO.
Compartir en X

3. Conformar el equipo de auditores

Las organizaciones pequeñas pueden necesitar un solo auditor. Las grandes, estructurar un equipo de auditoría interna. Las organizaciones medianas y pequeñas no suelen contar con un auditor certificado en sus filas, las grandes sí.

Es importante tener en cuenta que el auditor interno puede no ser empleado de la organización, y no por ello deja de ser auditor interno. Contratar la auditoría interna con un consultor externo es una alternativa.

Por supuesto, siempre será mejor formar auditores internos entre los empleados, especialmente entre aquellos que tienen funciones en el sistema de gestión. Los auditores internos necesitan reunir unos requisitos mínimos:

• Dominio de las técnicas de auditoría generalmente aceptadas (ISO 19011).
• Conocimiento del estándar de gestión que auditará.
• Independencia del área que auditará.

4. Realizar la auditoría interna

Si se ha acometido la tarea de planificar auditorías internas con seriedad, coherencia y siguiendo la guía, los auditores no tendrán otra cosa que hacer que seguir el programa y no esperar mayores dificultades. Lo demás es cuestión de habilidades propias de un buen auditor: empatía, respeto, imparcialidad, capacidad de análisis y agilidad en la tarea de conducir la auditoría.

5. Evaluar el resultado

Las auditorías representan el comienzo y el fin de cada proceso de mejora continua para un sistema de gestión. La auditoría identifica, documenta, comunica y propone acciones de mejora, que se constituyen en el inicio del siguiente ciclo que, a su vez, culmina con una nueva auditoría. Así, planificar auditorías internas es planificar mejora continua.

La evaluación de los resultados es un elemento crítico de este proceso y en el logro de objetivos. Evaluar los resultados y presentar informes eficaces, que permitan tomar decisiones acertadas e implementar acciones correctivas adecuadas, facilitarán la tarea en el futuro y asegurarán la mejora del sistema auditado.

Los recursos tecnológicos ayudan a los equipos de auditores a planificar y ejecutar su trabajo. Las organizaciones que tienen la oportunidad de digitalizar y automatizar sus sistemas de gestión encuentran mejores oportunidades para obtener beneficios de este tipo de evaluación. El resto lo hace el conocimiento y la formación.

Diplomado en Gestión de la Calidad ISO 9001:2015

El Diplomado en Gestión de la Calidad ISO 9001:2015 es un completo programa cuyo propósito es formar profesionales expertos en el estándar, conocedores de sus requisitos y capaces de participar en la implementación y en la gestión de sistemas basados en ISO 9001.

Además, de ello los alumnos que superan con éxito el Diplomado obtienen certificación de auditores internos de gestión de la calidad y pueden optar al certificado ERCA, que les permitirá trabajar en cualquier país europeo o de América Latina.

La convocatoria está abierta, puedes dar los primeros pasos hacia un nuevo futuro profesional comenzando ya mismo el Diplomado. Antes, comprueba si eres candidato a una de las becas de la Escuela Europea de Excelencia.

La entrada ¿Cómo planificar auditorías internas de sistemas de gestión ISO? se publicó primero en Escuela Europea de Excelencia.

La auditoría interna ISO 14001 es también un requisito del estándar. De hecho, es la única forma de preparar el sistema para las auditorías de terceros, sean estas de certificación o de confirmación. Si es tan relevante, ¿por qué no hacer lo posible para obtener todos los beneficios que puede ofrecer? Realizar la tarea de la forma adecuada es una forma de lograrlo.

Cómo realizar una auditoría interna ISO 14001 productiva y exitosa

La auditoría ISO 14001 tiene unos requerimientos propios que se incluyen en el texto de la norma. Es importante, por tanto, conocer y comprender lo que ISO 14001 dice sobre el proceso de auditoría. Esta, por otra parte, no se aparta de las directrices y de las mejores prácticas adoptadas a nivel global con respecto a la evaluación de sistemas de gestión entregadas por ISO 19011.

El éxito de un sistema de gestión ambiental depende de dos componentes esenciales: los recursos tecnológicos adecuados para digitalizar y automatizar el sistema y contar con profesionales formados en gestión ambiental y en auditoría interna.

Con este necesario preámbulo, es posible avanzar en el proceso de auditoría interna ISO 14001, que se desarrolla en cinco pasos:

1. Conocer y entender lo que dice ISO 14001 sobre auditoría interna

La solicitud que ISO 14001 hace en la cláusula 9.2.1 es muy clara. Señala que la organización realizará auditorías internas con intervalos de tiempo planificados. El objetivo es verificar que el sistema cumple con todos los requisitos de la norma, con regulaciones locales o internacionales, que ha sido implementado y mantenido de forma adecuada y que presenta evidencias de mejora continua.

En este resumen, que en el texto de la norma es mucho más extenso, se advierte que es obligatorio realizar auditorías internas al SGA, pero no dice cuántas o con qué periodicidad. En este aspecto, los encargados de la gestión encuentran cierta flexibilidad, que deberá resolverse de acuerdo con la dinámica propia de la organización y los resultados que arroja el sistema.

Crear un programa de auditoría interna ISO 14001

En el programa de auditoría interna, la organización define la frecuencia de las evaluaciones, los métodos que utilizará, las responsabilidades y otras particularidades de la tarea, entre las que se incluyen formalidades como la presentación de informes y los requisitos de documentación.

Tener un programa de auditoría que incluya los elementos mencionados es necesario y obligatorio. En la práctica, un sistema que se prepara para la certificación pasa por tantas auditorías internas como se consideren necesarias. Tras la certificación es posible ver un programa de auditoría interna ISO 14001 operando con normalidad.

2. Elegir el auditor

A la hora de elegir el auditor, la organización encuentra dos opciones: empleados de la organización con capacidad para realizar la tarea o consultores externos. Las organizaciones grandes y complejas suelen tener sus propios auditores certificados porque los han formado o porque en el momento de contratarlos exigieron como requisito la cualificación necesaria.

En organizaciones pequeñas no es muy común encontrar auditores certificados. Por supuesto, siempre será mejor tener auditores que no tenerlos. Una aclaración: los auditores contratados que no pertenecen a la organización también son auditores internos, a menos que la auditoría sea contratada y pagada por un agente externo, como un cliente o un organismo regulador.

Bajo el supuesto de que la organización tiene varias opciones dentro de su personal, es importante utilizar los siguientes criterios de selección:

• Conocimiento del estándar ISO 14001.
• Dominio de las técnicas de auditoría generalmente aceptadas.
• Conocimiento de la industria.
• Independencia del sistema de gestión.

El último criterio hace referencia al precepto universal sobre auditorías: nadie se evalúa a sí mismo. Eso significa que el profesional encargado de dirigir el sistema, aunque tenga las capacidades para auditarlo, no debe hacerlo.

3. Crear un plan de auditoría y realizar la tarea

Con el auditor elegido, y siguiendo el programa establecido, se elabora un plan de trabajo para la auditoría interna ISO 14001. En este plan se fijan el alcance y los objetivos de la evaluación. La auditoría puede ser para un área o proceso, una ubicación o puede ser general. Los objetivos también son diferentes: comprobar la resolución de no conformidades reportadas en auditorías anteriores, verificar la eficacia general del sistema, evaluar el comportamiento de procesos nuevos, etc.

El plan de auditoría incluye las fechas y tiempo estimado de duración de cada actividad. Las actividades suelen ser entrevistas, revisión de procesos, recolección de evidencia documental y toma de registros y datos. Involucran a empleados de la organización a cargo de esas tareas, quienes deben aparecer en el plan para que destinen el tiempo necesario.

Los recursos imprescindibles, además de la disponibilidad de las personas indicadas, también forman parte del plan: estos pueden ser tecnológicos, físicos, financieros o logísticos. Finalmente, el auditor, que ya está en funciones, fija una fecha para una reunión de apertura y otra para una reunión de cierre.

Evalúa tu sistema de #GestiónAmbiental implementando estos cinco pasos para practicar una auditoría interna #ISO14001 #SGA
Compartir en X

4. Redactar el informe de auditoría interna ISO 14001

El eje central del informe de auditoría, que tiene como destinatario a la Alta Dirección, son las no conformidades y los hallazgos. Para llegar a ese punto es preciso hacer un resumen ejecutivo que reproduzca los hechos relevantes de la tarea, así como las metodologías utilizadas y los objetivos que se persiguen.

Ese resumen, aunque breve, debe ser claro, de lectura fácil, con el menor número de tecnicismos y haciendo énfasis en los problemas que requieren solución inmediata. El propósito es entregar una visión real sobre el estado del sistema.

Aunque se mencionen los aspectos positivos, el punto central son las no conformidades. Y no basta con mencionarlas, el auditor necesita ofrecer soluciones. Algunos problemas menores pueden tratarse apenas con una observación, sin que esto obligue a seguir el proceso de tratamiento de no conformidades, que no deja de ser complejo.

El informe de auditoría interna ISO 14001 es un documento útil que debe producir unos efectos positivos para el SGA. Entregado a la Alta Dirección, este debe comunicarse a las partes interesadas, con enfoque en las áreas o los empleados que tendrán que trabajar en el diseño e implementación de acciones correctivas.

El informe de auditoría final tiene como respuesta un informe de gestión en el que se presentan las acciones correctivas que se implementarán para solucionar los problemas. El auditor tiene entre sus funciones la de inspeccionar el proceso y verificar la eficacia de las acciones.

5. Crear una estructura de auditorías tras la certificación

Las auditorías previas a la certificación tienen por objetivo poner a punto el sistema para afrontar la auditoría de terceros. Cuando ya se ha obtenido la certificación, la premura es reemplazada por la flexibilidad y por objetivos a largo plazo. Es entonces cuando los encargados de la gestión y los auditores, si forman parte de la organización, pueden definir un enfoque de auditoría interna ISO 14001 propio.

Enfoque basado en cláusulas

Busca hacer un recorrido ordenado por cada uno de los capítulos del estándar en busca de no conformidades. Si bien es posible obtener una seguridad absoluta sobre el cumplimiento, es posible que se despliegue un esfuerzo muy grande en busca de no conformidades que no siempre son tan relevantes.

Enfoque basado en áreas o departamentos

Es mucho más específico que el anterior. Al delimitar el alcance de la auditoría interna ISO 14001, permite realizar una evaluación profunda y detallada. Sin embargo, es posible que un sistema que adopte este enfoque requiera dos o tres auditorías simultáneas, tantas como departamentos o áreas sea preciso revisar.

Enfoque basado en procesos

Es aún más específico. La auditoría interna ISO 14001 basada en procesos es adecuada para sistemas que han alcanzado niveles de madurez altos, en los que la revisión se puede limitar a unos procesos críticos en los que suelen aparecer problemas recurrentes.

Enfoque basado en riesgos

Propone llevar a cabo la auditoría interna ISO 14001 de acuerdo con los resultados de la gestión de riesgos. Esto significa que, si la evaluación de riesgos determina una alta probabilidad en un proceso o en un área determinada, será en esos puntos en los que se enfocará la auditoría.

Reiterando un concepto ya expresado, una auditoría interna ISO 14001 exitosa incorpora dos componentes esenciales: tecnología y formación. El primero requiere implementar una plataforma tecnológica que automatice y digitalice la gestión. El segundo, profesionales cualificados.

Diplomado en Gestión Ambiental ISO 14001

Las organizaciones modernas necesitan gestionar sus impactos ambientales por responsabilidad social y porque existe un marco regulatorio que así lo exige. El Diplomado en Gestión Ambiental ISO 14001 es un programa de Alto Nivel que tiene por objetivo capacitar a profesionales con un profundo conocimiento de los sistemas de gestión ambiental y del estándar de certificación.

Los alumnos adquieren con él la formación necesaria para planificar e implementar un SGA, pero también para poder realizar su seguimiento con vista a la mejora continua. Con este diplomado, además, podrán realizar auditorías internas al sistema de gestión.

Si estás interesado, inicia ya tu formación. Puedes comprobar, además, si cumples los requisitos para acceder a una de las becas de la Escuela Europea de Excelencia.

La entrada Auditoría interna ISO 14001: 5 pasos para auditar el sistema de gestión ambiental se publicó primero en Escuela Europea de Excelencia.

Después, cuando ya se ha obtenido la certificación, la auditoría interna del sistema ISO 45001 sigue siendo importante. Es un requisito de la norma, pero también es el punto de articulación en el ciclo PDCA. Ese ciclo asegura la mejora continua de la gestión, aspecto que también solicita la norma.

La percepción que se tiene en las organizaciones acerca de la importancia y necesidad de la auditoría interna del sistema ISO 45001 no siempre se ajusta a lo expuesto. Por el contrario, en ocasiones se considera como un mero trámite burocrático.

El desconocimiento es la principal razón, pero también es la motivación para hacer un recorrido por los pasos necesarios para realizar la auditoría interna del sistema ISO 45001 y, de paso, entender qué sucede en cada etapa y por qué es importante para la organización, para los trabajadores y para su seguridad.

¿Cómo realizar una auditoría interna del sistema ISO 45001?

La auditoría interna del sistema ISO 45001, igual que la que se practica en cualquier estándar ISO, se basa en las directrices contenidas en ISO 19011, norma internacional para la ejecución de auditorías a sistemas de gestión existentes.

Antes de entrar en las formalidades de ISO 19011, conviene entender por qué se realiza la auditoría y qué es lo que exige la norma. Es el primer paso.

1. Conocer y entender lo que exige ISO 45001

Los requisitos de auditoría interna del sistema ISO 45001 aparecen en el capítulo IX de la norma, en la cláusula 9.2. Esta cláusula se divide en dos partes. La primera habla de generalidades y la segunda se refiere al programa de auditoría.

La cláusula 9.2.1 del estándar ISO 45001 solicita a la organización realizar auditorías planificadas que permitan verificar que:

• El sistema se ajusta a lo expresado en las políticas.
• El sistema sirve para alcanzar los objetivos de SST.
• El sistema se implementó y se mantiene de forma correcta.

En cuanto a la periodicidad o frecuencia para la práctica de la auditoría interna del sistema ISO 45001, las cláusulas del capítulo IX no dicen nada. Pero sí obliga a crear un plan de auditorías. Esto lo solicita en la siguiente cláusula.

La cláusula 9.2.2. solicita crear el plan de auditoría. En él, la organización definirá la frecuencia con la que realizará las auditorías, los métodos que utilizará (virtual, presencial, híbrida, etc.), las responsabilidades, los requisitos para la realización y la forma en que se presentarán los informes y a quién se dirigirán. El plan también definirá lo siguiente:

• El alcance de cada auditoría interna del sistema ISO 45001.
• Las personas encargadas de realizar las auditorías (internas o externas).
• Quién asignará los recursos necesarios para la práctica de auditorías internas.
• Metodología para asegurar la conservación y trazabilidad de la información recopilada en cada auditoría.
• Procesos y procedimientos que aseguren la gestión oportuna y eficaz de las no conformidades.
• Procedimiento para documentar el programa, la ejecución de cada auditoría y sus resultados.

2. Designar el auditor o los auditores

El plan de auditoría definirá la procedencia de los auditores: consultores externos o auditores formados dentro de la organización. Las organizaciones pequeñas no suelen tener auditores internos de sistemas de seguridad y salud en el trabajo propios.

Es una realidad que se atribuye a la falta de recursos. En la práctica esto no es así: la formación de auditores internos, en SGT o en otras áreas de gestión, es una inversión que ofrece un interesante retorno de esta. Además, los auditores formados dentro de la organización pueden replicar el conocimiento, lo que hace mucho más atractiva esa opción.

Regresando al procedimiento de auditoría interna del sistema ISO 45001, en esta etapa se define con precisión quién o quiénes llevarán a cabo la evaluación. Los auditores designados necesitan habilidades, competencias, conocimientos y calificaciones mínimas: capacidad de análisis, comunicación, resolución de conflictos, conocimiento de la norma, conocimiento sobre las técnicas de auditoria generalmente aceptadas, etc.

3. Crear un plan de auditoría

La primera tarea que emprende el auditor, una vez conoce el alcance y los objetivos de la auditoría, es crear un plan de trabajo. En este plan se determina una fecha de inicio, una fecha para concluir la auditoría y un cronograma de actividades.

En ese cronograma de la auditoría interna del sistema ISO 45001 se deben incluir aspectos como personas a las que requerirá y el tiempo estimado de participación de cada una de ellas, los recursos adicionales (equipos de cómputo, instalaciones físicas, transporte y movilización, equipos de protección personal, etc.), documentos que espera revisar o evidencias para recopilar, entre otros.

4. Realizar una reunión de inicio

En la reunión de inicio, el auditor o auditores explican de forma somera el objetivo y el alcance de la actividad, verifican la disponibilidad de los recursos humanos, tecnológicos, físicos, económicos o de otro orden requeridos, y, lo más importante, establecen una relación cordial y cálida con los auditados.

Aprovecha la guía completa para realizar la #AuditoríaInterna del sistema #ISO45001 y así cumplir con la norma y verificar la eficacia de la Gestión.
Compartir en X

5. Realizar la auditoría

Ya sobre el terreno, la auditoría interna del sistema ISO 45001 avanza con algunos indicadores:

• Verificar el cumplimiento de los horarios programados.
• Utilizar una lista de verificación para evitar olvidos u omisiones.
• No entrar en conflicto ante la presencia de un hallazgo o una no conformidad.
• Tomar notas al margen de todo lo relevante, positivo o negativo, para plasmarlo posteriormente en los informes finales.

6. Celebrar una reunión de cierre

El propósito de la reunión de cierre de la auditoría interna del sistema ISO 45001 es agradecer la participación y colaboración de todas las personas. Durante todas las auditorías surgen algunos momentos de tensión. Es bueno aprovechar la reunión de cierre para limar asperezas y dejar claro que el único impacto que tendrá la auditoría es la mejora de la seguridad de todos los trabajadores.

7. Presentar los informes finales

La Alta Dirección es el destinatario natural y previsible para los informes finales de una auditoría interna del sistema ISO 45001. Solo por esa razón se espera un informe conciso, concreto y útil.

Una visión general del estado del sistema basada en la experiencia y conocimiento técnico del auditor, en un primer párrafo, servirá como introducción. A continuación, con cierto detalle, hallazgos, problemas y no conformidades. De manera más sucinta, las oportunidades y aspectos positivos y finaliza con sugerencias sobre acciones correctivas, su implementación y los tiempos en que se espera poder revisar su eficacia.

8. Revisión, monitoreo y verificación

En el último paso, el auditor verifica la implementación de las acciones correctivas y su eficacia. Si la acción correctiva no ha producido el efecto esperado, tendrá que ser ajustada o reemplazada. Es en este punto en el que el trabajo de auditoría se convierte en la articulación del ciclo PDCA.

Es este el fin de un proceso que inicia uno nuevo, siempre buscando la mejora continua. Los informes finales de auditoría y los que produzca en auditor tras revisar y monitorear las acciones correctivas son la base para la realización de la siguiente auditoría interna del sistema ISO 45001.

Diplomado en Seguridad y Salud en el Trabajo ISO 45001

El Diplomado en Seguridad y Salud en el Trabajo ISO 45001 es un programa de excelencia que se ha diseñado para formar a profesionales expertos en esta área. También lo es para que las organizaciones cuenten con un recurso humano de extrema importancia: auditores internos de sistemas de gestión SST.

Disponer de auditores en plantilla representa una gran ventaja: el sistema se podrá evaluar tantas veces como se requiera, con objetivos y alcances diferentes, y siempre con la certeza de obtener conceptos técnicos independientes y profesionales.

Los alumnos que superan este programa, por otra parte, tienen la posibilidad de obtener el certificado ERCA, que les permitirá trabajar en cualquier país de Europa o de América Latina.

La convocatoria está abierta, por lo que puedes iniciar tu formación de inmediato. Nuestra recomendación es que, además, compruebes si puedes optar a una de nuestras becas.

La entrada Auditoría interna del sistema ISO 45001: guía completa se publicó primero en Escuela Europea de Excelencia.

La auditoría ISO 45001 promueve la mejora continua, pero también demuestra que se lleva a cabo. También identifica y señala las brechas que puede tener el Sistema con respecto al cumplimiento de los requisitos de la norma. Una lista de verificación ayuda al auditor y su equipo a no pasar nada por alto y aportar fluidez a la tarea.

La auditoría ISO 45001 debe ser objetiva, precisa, puntual y exhaustiva. La lista de verificación ayuda a lograr resultados que cumplan con esas características. A continuación, explicamos cómo crearla.

¿Cómo crear una lista de verificación de auditoría ISO 45001?

El primer paso, es obtener un listado completo de requisitos solicitados por el estándar. La auditoría ISO 45001 es, en esencia, la recolección de evidencia del cumplimiento de todas las solicitudes que la norma hace a la organización.

Los requisitos son importantes, pero es preciso incluirlos dentro de una estructura de auditoría que considere las siguientes actividades:

1. Solicitud y revisión de documentos

De la lectura de cada una de las cláusulas de ISO 45001, y la extracción de los requisitos, el auditor obtiene una lista de documentos obligatorios y sus características. Políticas, procedimientos y registros permiten evaluar una buena parte de requisitos de ISO 45001. Por eso, es una buena idea iniciar la lista de verificación con ellos.

2. Verificar el cumplimiento del contenido de los documentos

La existencia de los documentos es una parte del cumplimiento. Pero ISO 45001 necesita que el auditor verifique que lo expresado en políticas y procedimientos, se lleve a la práctica en el desarrollo cotidiano del sistema. La auditoría ISO 45001 comprueba que se cumplen los requisitos en la forma (documentos) y en el fondo (practica).

3. Incluir la planificación en la checklist

Los pasos que se seguirán para desarrollar la auditoría, desde la planificación hasta la entrega de informes, también deben estar presentes en la lista de verificación. Podría dividirse la checklist en subsecciones por áreas o departamentos, considerando que las exigencias de documentos, las entrevistas que se realizan o los procesos que se observarán, difieren de unos a otros. Esto, además, contribuye a elaborar un cronograma muy cercano a la realidad.

4. Incluir requisitos regulatorios o legales

Uno de los requisitos de ISO 45001 es el cumplimiento con las exigencias legales o regulatorias locales, nacionales o internacionales. Por supuesto, la norma no puede enumerarlas una a una, entendiendo que se trata de un estándar de alcance global. Por eso, es importante que esas obligaciones de cumplimiento formen parte de la lista de verificación para la auditoría ISO 45001.

Aprende a diseñar una checklist de auditoría #ISO45001 efectiva para auditar tu Sistema de Gestión de Seguridad y Salud en el Trabajo #SST
Compartir en X

5. Dejar espacio a hallazgos e imprevistos

La checklist no puede ser un documento cerrado e inamovible. Es preciso dotarlo de la flexibilidad necesaria para registrar novedades, hallazgos o eventos imprevistos. De no hacerlo, muchos eventos importantes pueden quedar fuera de los informes finales.

6. Dejar una sección para las recomendaciones

Finalmente, la lista de verificación debe reservar un espacio para recordar al auditor la necesidad de proponer acciones correctivas para cerrar brechas de cumplimiento, prevenir riesgos o solucionar problemas.

Contenido imprescindible de la checklist para la auditoría ISO 45001

En cada uno de los apartados mencionados, es preciso incluir elementos imprescindibles. La precisión y la exactitud son importantes en la auditoría ISO 45001. Por eso, es preciso incluir:

• Las cláusulas precisas en las que aparece el requisito o la solicitud enumerada en la lista.
• Comentarios detallados sobre problemas específicos que preocupen al auditor, a la Alta Dirección, a los trabajadores o expresados en la anterior evaluación.
• Casillas para marcar con claridad el cumplimiento. SÍ o NO.
• Espacio para notas o glosas al margen, comentarios del auditor o recomendaciones que no son de obligatorio cumplimiento, pero que el auditor cree pueden tener algún valor para el equipo de Seguridad y Salud en el Trabajo.

La información que se recopila con base en la lista de verificación es muy valiosa para la Gestión y el Sistema. Las organizaciones que disponen de soluciones informáticas listas para procesar estos informes, y entregar resultados y análisis inmediatos, tienen mejores oportunidades para mejorar y cumplir. La Transformación Digital es el mejor aliado de la seguridad de los trabajadores. Sistemas de Gestión automatizados generan eficacia y rendimiento. Y mejor aun cuando se cuenta con profesionales expertos en el área.

Diplomado en Seguridad en el Trabajo ISO 45001

El Diplomado en Seguridad en el Trabajo ISO 45001 cumple dos objetivos esenciales: formar profesionales expertos en el estándar más implementado en la Gestión de Seguridad y Salud en el Trabajo, pero también auditores certificados que tienen la posibilidad de obtener el Certificado ERCA – Registro Europeo de Auditores Certificados -.

Este programa otorga doble certificación y tiene una convocatoria abierta ahora: inscríbete aquí.

La entrada Cómo crear una checklist de auditoría ISO 45001 para el Sistema de Gestión de Seguridad y Salud se publicó primero en Escuela Europea de Excelencia.

De hecho, lo que se espera es que el equipo que trabaja en la implementación y certificación programe y efectúe más de una auditoría interna ISO 27001. Cuantas más se realicen, mejores oportunidades tendrán los Sistemas de Gestión de Seguridad de la Información para obtener el certificado.

Es probable que la organización que transita el camino hacia la certificación aún no tenga los conocimientos y la experiencia necesarios para realizar tantas auditorías como requiera para llegar con un Sistema a punto a la auditoría de certificación. Esta guía de 10 pasos allanará el camino hacia la certificación del Sistema y de la mejora continua una vez obtenida la acreditación en seguridad de la información.

¿Cómo realizar una auditoría interna ISO 27001 en 10 pasos?

La auditoría interna ISO 27001 sigue los requisitos contenidos en el estándar ISO 19011, norma que aporta directrices para la evaluación de Sistemas de Gestión basados en estándares ISO.

Así es que los pasos son comunes a los que se siguen para auditar otros Sistemas de Gestión que utilizan la estructura de Alto Nivel. Una particularidad, en el caso de ISO 27001, es la revisión de los controles del Anexo A. Con esta salvedad hecha, los pasos a seguir son:

1. Seleccionar el auditor y su equipo

Las organizaciones tienen dos opciones para contar con un auditor interno cualificado o con un equipo de auditores, dependiendo del tamaño y la complejidad de la tarea. La primera opción es formar auditores expertos en el estándar, en Seguridad de la Información y en técnicas de auditoría.

La segunda, es contratar consultores externos que realicen la auditoría interna ISO 27001. La primera opción facilita la disponibilidad de los auditores y la transmisión del conocimiento. Las organizaciones que optan por este camino necesitan elegir los programas de formación adecuados, que aporten las competencias, los conocimientos y las habilidades que requiere un auditor profesional.

Es importante verificar la calidad de los programas de formación y la capacidad tecnológica y pedagógica de la institución que los imparte, así como la validez y el reconocimiento de los certificados que entregan a los alumnos.

2. Programar las auditorías

El número de auditorías mejora las oportunidades de superar la auditoría de certificación. Sin embargo, estas auditorías deben responder a un programa planificado que considere el tiempo disponible antes de la auditoría de terceros, el alcance del sistema y el contexto de la organización.

Es importante programar auditorías con intervalos de tiempo suficiente para analizar los problemas encontrados y diseñar acciones correctivas e implementarlas, antes de la siguiente evaluación.

El alcance del Sistema incide en la elaboración del plan de auditorías. Si el Sistema no tiene alcance sobre las sucursales, por ejemplo, es apenas natural que no se programen auditorías en esos lugares. El contexto, o el nivel de regulación al que está sometida la organización, también se considera al momento de elaborar el programa de auditorías. Toda la tarea requiere documentación.

3. Cronograma y plan de auditoría

Cada auditoría interna ISO 27001 requiere un cronograma de ejecución y un plan para acometer la tarea. Los empleados que se entrevistarán o que serán observados mientras ejecutan un proceso, necesitan conocer con exactitud la fecha y la hora en que su participación será requerida.

Es importante que todos los empleados conozcan el cronograma y el plan. Algunos datos imprescindibles son:

• Fecha, hora y duración de cada actividad.
• Nombres y cargos de los empleados requeridos.
• Nombre del auditor y de los miembros de su equipo.
• Alcance de la auditoría.
• Documentos que deben estar disponibles para la auditoría.
• Recursos humanos y tecnológicos necesarios.

4. Realizar una reunión de apertura

La reunión de apertura es algo más que un acto protocolario. Es el momento en que el auditor comunica los objetivos de la auditoría interna ISO 27001. Es un buen momento para comprometer a todos los empleados y concientizarlos sobre la importancia que tiene para la organización contar con un Sistema de Gestión de Seguridad de la Información Certificado.

En la reunión de apertura el auditor expone el plan de auditoría, el cronograma y la mecánica que se adoptará. Si es una, de varias auditorías internas, también se confirma la fecha de la siguiente evaluación.

5. Efectuar la auditoría interna ISO 27001 sobre el terreno

Aquí es donde realmente inicia la auditoría interna ISO 27001. Algunas actividades usuales en esta etapa son:

• Observación de procesos.
• Entrevistas.
• Recopilación de documentos y de evidencia.
• Solicitud de registros.
• Pruebas a los controles.

Descubre cómo realizar una auditoría interna #ISO27001 en 10 pasos efectivos. Asegura la #SeguridadInformación de tu organización
Compartir en X

6. Identificar y registrar las no conformidades

El objetivo más relevante en una auditoría interna ISO 27001, previa a la auditoría de certificación, es identificar, registrar e informar sobre no conformidades con los requisitos del estándar.

Auditorias posteriores a la certificación pueden enfocarse en mejorar la eficacia del Sistema, identificar amenazas nuevas o verificar la efectividad de los controles. Pero, en el camino hacia la certificación, lo más importante es identificar no conformidades.

El tratamiento de las no conformidades también es diferente. En una auditoría interna rutinaria, con un Sistema certificado, una no conformidad menor es eso: un problema menor, de fácil solución. En la auditoría interna ISO 27001, con una evaluación de certificación inminente, todos los problemas son importantes.

7. Informar sobre oportunidades de mejora

Aunque no represente una no conformidad, el auditor puede identificar una oportunidad de mejora. Mediante una sugerencia o una nota, el auditor debe informar sobre la posibilidad de mejora, lo cual, además, contribuye al cumplimiento del requisito que aparece en el capítulo X del estándar.

8. Reunión de cierre

La reunión de cierre es el momento indicado para hacer sugerencias verbales, que no necesariamente se incluirán en los informes de auditoría. Felicitar al equipo y a los empleados, hacer sugerencias para obtener una mejor experiencia en la siguiente auditoría y, en general, establecer lazos de confianza y colaboración que entregarán réditos en el futuro.

9. Crear los informes de auditoría

Los informes de auditoría se escriben con base en las notas que ha tomado el auditor, los documentos que ha recopilado y la experiencia que tuvo durante la auditoría interna ISO 27001. En los informes, además de reportar problemas y no conformidades, el auditor propone acciones correctivas y planes para eliminar riesgos, prevenir amenazas y poner a punto el Sistema con el objetivo de afrontar la auditoría de certificación.

El informe, cuanto más conciso y puntual, mejor.

10. Hacer seguimiento

Con la entrega del informe no termina la tarea del auditor interno. El trabajo continúa con el seguimiento de las acciones recomendadas y su efectividad. Si el auditor hace un buen trabajo de monitoreo y seguimiento, estará allanando el trabajo en la siguiente auditoría.

En Sistemas de Gestión automatizados, la auditoría Interna ISO 27001 fluye con mayor facilidad y ofrece mejores resultados. La digitalización y los procesos de Transformación Digital contribuyen a la Seguridad de la Información y a la eficacia de todas las tareas.

Formación actualizada en Seguridad de la Información

La Escuela Europea de Excelencia cuenta con una interesante oferta formativa, en el área de Seguridad de la Información, en la cual se destacan dos programas enfocados en la formación de profesionales especializados en Auditoría Interna ISO 27001:

Curso Auditor Interno ISO/IEC 27001:2013 – Sistemas de Gestión Seguridad de la Información

Además de proporcionar el conocimiento suficiente sobre el estándar, sus requisitos y las técnicas de auditoria aceptadas a nivel internacional, el Curso Auditor Interno ISO/IEC 27001:2013 Sistemas de Gestión Seguridad de la Información, facilita a los alumnos que lo requieran, la obtención del certificado ERCA – Registro Europeo de Auditores Certificados -, que, entre otras oportunidades, permite ejercer la profesión en cualquier país de Europa o América Latina. Hay una convocatoria abierta. Solo necesitas inscribirte aquí.

Diplomado de Seguridad de la Información – ISO/IEC 27001

El Diplomado de Seguridad de la Información ISO/IEC 27001 es el programa más completo en el área disponible en el mercado, actualizado a la más reciente edición de la norma, publicada en 2022.

El campus virtual de la Escuela Europea de Excelencia brinda a los alumnos la oportunidad de interactuar con docentes y alumnos de diferentes países en varios continentes. Es una gran oportunidad para potenciar tu carrera. Tómala ahora.

La entrada Auditoría interna ISO 27001: los 10 pasos a seguir para realizarla se publicó primero en Escuela Europea de Excelencia.

La auditoría interna de seguridad de la información, para profesionales y organizaciones que han hecho el tránsito completo, desde la planificación de la implementación hasta la certificación del sistema, puede ser algo rutinario ahora.

Pero, al inicio, la complejidad de los requisitos y la cantidad de éstos que es necesario verificar, puede causar algún desconcierto. Contar con una guía de pasos a seguir, facilitará la tarea para los profesionales que recién se aprestan a practicar una auditoría interna de seguridad de la información.

¿Cómo preparar una auditoría interna de seguridad de la información?

La auditoría interna de seguridad de la información es una evaluación profunda que busca verificar y comprobar el cumplimiento del Sistema de Gestión con cada uno de los requisitos de la norma ISO 27001.

Al comprobar esa conformidad, se tiene la certeza de que el sistema está en proceso de constante mejora, y que la organización no está expuesta a riesgos de incumplimiento de regulaciones relacionadas, como RGPD.

El auditor interno debe ser un profesional, interno o externo, con conocimiento suficiente sobre el estándar, pero también sobre las prácticas de auditoría generalmente reconocidas a nivel internacional.

La periodicidad con la que se realizan las auditorías depende del programa diseñado para ello, o de la urgencia de evaluar el sistema ante la evidencia de la existencia de problemas que afectan la seguridad de la información. Si bien, se suele realizar la auditoría interna de seguridad de la información al menos una vez al año.

La preparación es un paso previo a la práctica de la auditoría, que tiene una alta relevancia para el resultado final de la tarea. Dentro de esta etapa de preparación es importante tener en cuenta:

1. El tiempo transcurrido entre una auditoría y otra

La frecuencia de las auditorías la determina la complejidad de la organización, su tamaño o las obligaciones regulatorias a las que esté expuesta. Sistemas de Gestión de Seguridad de la Información que son evaluados con relativa frecuencia –3 a 6 meses-, pueden requerir auditorías que no profundicen en todos y cada uno de los requisitos del estándar, y se ocupen, en cambio, de asuntos específicos de acuerdo con lo que indique la Gestión de Riesgos.

2. La coherencia con otras auditorías

Las organizaciones que ya tienen otros Sistemas de Gestión ISO implementados entenderán la importancia de guardar coherencia en la práctica de auditorías, utilizar los mismos procesos e, incluso, acudir a los mismos auditores. Esto tiene un valor especial para las organizaciones que están en proceso de integración de sus diferentes Sistemas de Gestión ISO.

3. Proceso unificado de práctica de auditorías

Del ítem anterior se infiere que las organizaciones necesitan un proceso único y estandarizado para la práctica de auditorías internas. Esto facilita a auditores y auditados prepararse para proceder de tal forma que se agilice el desarrollo de la evaluación y el alcance de los objetivos propuestos.

4. Solicitud de documentos

Los documentos, en una auditoría interna ISO, proveen muchas de las evidencias satisfactorias para comprobar la conformidad con los requisitos del estándar. Es importante preparar una lista de verificación de documentos, asociada a los empleados que tienen la capacidad de proveer tal información.

Así no se interrumpe el dinamismo necesario de la actividad, con la búsqueda de una política, por ejemplo, que tendría que estar disponible desde el momento en que se avisa la práctica de la auditoría.

5. Transformación Digital

El área de Seguridad de la Información requiere más que otros de apoyo tecnológico. La automatización y digitalización del Sistema de Gestión facilitará la tarea del auditor y de los empleados que deben proveer documentos, información o que serán entrevistados u observados mientras ejecutan un proceso.

La Transformación Digital es un elemento que fortalece los Sistemas de Gestión y sus procesos, entre ellos, por supuesto, la auditoría interna.

6. Disponibilidad de los empleados clave

No todos los empleados tienen que estar disponibles para una auditoría interna de seguridad de la información. En muchas organizaciones, la gran mayoría de los empleados, se preparan para atender a los auditores. Sorprendentemente, los que son indispensables, no están disponibles.

Sucede esto cuando la planificación no es la adecuada, o cuando simplemente no se presenta esa etapa de preparación.

Aprende cuáles son los pasos necesarios para practicar una #auditoríainterna de #seguridadinformación en un SG-SI basado en la norma #ISO27001
Compartir en X

¿Qué pasos seguir para realizar una auditoría de Seguridad de la Información?

Los cinco pasos previos, preparan el terreno para abordar la auditoría interna de seguridad de la información con fluidez, y con la posibilidad de obtener de ella el mejor resultado. Ya sobre el terreno, los pasos a seguir son:

1. Revisar los documentos

Muchos auditores realizan en primer lugar la revisión de documentos. Sorprende el número de ítems que se pueden dar por cumplidos, en una lista de verificación, solo con la revisión de la documentación.

2. Elaborar notas sobre hallazgos o no conformidades

Los documentos, por sí solos, no son evidencia de la conformidad con un requisito. Es importante que el auditor empiece una lista de notas y observaciones sobre la relevancia y pertinencia de los documentos, o sobre cualquier otra circunstancia que observe, o que deduzca de una conversación con algún empleado, y que indique o evidencie una no conformidad con ISO 27001 o un problema.

3. Asignar tareas a los miembros del equipo de auditoría

En las organizaciones en las que el tamaño lo justifica, el auditor delega algunas tareas de inspección y revisión en miembros de su equipo, de acuerdo con los conocimientos, las habilidades y las capacidades de cada uno de ellos.

4. Realizar la auditoría

Para algunos profesionales, la auditoría interna de seguridad de la información inicia cuando se ha terminado de revisar la documentación y se ha distribuido el trabajo entre los auditores participantes. Es en este paso en el que se observan procesos críticos, se realizan entrevistas, se documentan eventos relevantes y se toman muchas notas importantes para la redacción de los informes.

5. Redactar los informes para la Alta Dirección

El objetivo final de la auditoría interna de seguridad de la información es informar sobre el excelente, bueno o deficiente rendimiento del Sistema de Gestión. Y esto se hace con los informes de auditoría, usualmente dirigidos a la Alta Dirección. En ellos, el auditor consigna sus hallazgos, profundiza sobre cada uno de los problemas encontrados, recalca los aspectos positivos, propone acciones correctivas para mejorar o solucionar no conformidades y, en general, consigna sus impresiones y opiniones sobre el sistema.

6. Hacer seguimiento

La entrega de los informes no representa el final de la auditoría interna de seguridad de la información. El auditor debe hacer seguimiento a la implementación de las acciones que sugirió, o a otras que han considerado los profesionales en el área necearías para mejorar el rendimiento del sistema y solucionar los problemas identificados.

Diplomado de Seguridad de la Información ISO/IEC 27001 (Actualización 2022)

La Escuela Europea de Excelencia ha actualizado los contenidos de su Diplomado de Seguridad de la Información ISO/IEC 27001, para ajustarlos a las novedades que incorpora la actualización del año 2022.

Los estudiantes de este Diplomado, además de ser expertos en el área de Seguridad de la Información, y en el estándar internacional ISO 27001, tienen la capacidad para realizar una auditoría interna de Seguridad de la Información, de acuerdo con las mejores prácticas generalmente aceptadas.

De hecho, los profesionales que toman este Diplomado, son acreditados como auditores internos certificados, y tienen la posibilidad de obtener el certificado ERCA, que les permitirá ejercer su trabajo en cualquier país de la Unión Europea o de América Latina. Compruébalo aquí.

La entrada Auditoría interna de seguridad de la información: pasos para realizarla según ISO 27001 se publicó primero en Escuela Europea de Excelencia.

Otras actividades, con propósitos análogos y que también resultan muy importantes para el éxito de la gestión como las inspecciones y las revisiones, suelen ser confundidas o tomadas como una auditoría ambiental, sin serlo.

Las diferencias entre unas y otras van más allá de lo semántico. En el caso de la auditoría, por ejemplo, esta debe ser efectuada por un profesional cualificado, capacitado y acreditado para ello, acogiendo las mejores prácticas aceptadas generalmente para esa tarea, entre otras características que definen este método de evaluación y verificación.

¿Cuáles son esas características y cuál es la mejor forma para efectuar una auditoría ambiental?

Auditoría ambiental – ¿Qué es?

El objetivo de la gestión ambiental es eliminar o mitigar el impacto negativo de las acciones de una organización sobre el medio ambiente. De forma paralela, la gestión pretende cumplir con la legislación, con los acuerdos suscritos con la comunidad, con los objetivos que la misma organización se ha fijado y con los estándares que le son aplicables, o que por decisión autónoma la organización ha implementado.

La implementación de un Sistema de Gestión, de unos procesos o la publicación de una política no garantizan que todo va bien, que se está cumpliendo con las obligaciones, con los estándares y, en el caso de las organizaciones que han adoptado el estándar ISO 14001, que el Sistema mejora de forma continua.

Tampoco lo hacen, necesariamente, las inspecciones o las revisiones. Si bien estas herramientas aportan elementos de evaluación importantes, es la auditoría ambiental la que permite obtener evidencia sólida de que las cosas van bien, de que se está cumpliendo con las obligaciones y de que la tendencia es hacia la mejora.

¿Cómo debe ser una auditoría ambiental?

Se practican auditorías en diferentes áreas, como financiera, contable, calidad, seguridad de la información o seguridad y salud en el trabajo, por mencionar algunas de las más conocidas.

Para acometer cada una de estas auditorías, es preciso contar con profesionales expertos en el área auditada, pero también en el estándar de gestión adoptado y, por supuesto, en las técnicas de auditoría generalmente aceptadas.

Además de un auditor cualificado, las auditorías deben reunir ciertas características imprescindibles:

• Capacidad para obtener evidencia sólida, del cumplimiento de los requisitos de un estándar, de una ley, una norma o un acuerdo.
• Sistemática, lo que implica que su realización obedece a una tarea previa de planificación metódica, en la que convergen recursos, procedimientos, cronogramas, etc.
• Periódica, obedeciendo a lo definido en un calendario de auditorías para cada semestre o año.
• Con objetivos claros definidos con anterioridad. Algunas auditorías se enfocan en la detección de un problema ya identificado con anterioridad, incluso, en una auditoría anterior. Otras, pretenden verificar la eficacia de acciones correctivas implementadas.
• Documentadas, incluyendo los registros y notas tomadas por el auditor, la forma en que se obtuvo la evidencia, los hallazgos y, por supuesto, los informes finales a la Alta Dirección.
• Trazabilidad, para comprobar la evolución desde una auditoría hasta la siguiente, lo cual es especialmente importante en una auditoría ambiental, cuando la gestión se basa en la norma ISO 14001, para demostrar la mejora continua.

¿Cómo llevar a cabo una auditoría ambiental?

Existen muchas guías para la realización de auditorías en general. En muchas áreas, este tipo de tareas se desarrollan de forma rutinaria, porque ya se han efectuado un número importante de ellas.

La auditoría ambiental, en particular, se efectúa en tres etapas, desarrollándose en cada una de ellas una serie de actividades y tareas. Veamos:

La #AuditoríaAmbiental es el mecanismo adecuado para verificar el cumplimiento, la eficacia y la mejora continua en un #SGA. Aprende cómo hacerla #ISO14001
Compartir en X

1. Etapa previa a la auditoría

En esta etapa se elige el auditor o el equipo de auditores dependiendo de la complejidad de la tarea y de la organización, y se elige el modelo de auditoría a seguir, que puede ser presencial, remota o una conjugación de ambos. Una vez elegido el auditor o el equipo se procede a:

• Diseñar un plan de auditoría.
• De acuerdo con los objetivos, que también se pueden fijar aquí, elaborar una lista de las personas a entrevistar y de los documentos a solicitar, entre los cuales pueden estar permisos, registros, informes, resultados de auditorías anteriores o informes de acciones correctivas implementadas, entre otros.
• Diseñar cuestionarios de acuerdo con los objetivos.
• Solicitud de recursos, como dispositivos móviles, papelería, Recursos Humanos, instalaciones, equipos de muestreo, etc.

2. Etapa de auditoría en el terreno

En esta fase, un buen auditor ejecutará el plan, pero también estará atento a cualquier desviación que perciba y que merezca una anotación en sus informes. Es una combinación de auditoría e inspección, que resulta muy útil en esta instancia. Además, se realizan estos pasos:

• Realizar una reunión de apertura en la que se explica el procedimiento y las reglas básicas de la actividad.
• Comunicar los objetivos de la auditoría.
• Realizar las entrevistas y la recolección de evidencia de acuerdo con lo planificado.
• Solicitar los documentos relacionados, los cuales, además de los ya mencionados, pueden incluir políticas, evidencia de capacitaciones, manuales de procedimientos, respuestas a quejas…
• Realizar un control de registros para comprobar la autenticidad, consistencia y estado de actualización de los documentos recibidos.
• Tomar muestras de aire, agua u otras sustancias, en los casos en los que esto proceda.
• Realizar una reunión de cierre, presentando un primer informe sobre problemas identificados y acciones adelantadas durante la auditoría.

3. Etapa posterior a la auditoría

Con la reunión de cierre no termina la auditoría. Se pasa a la fase en la que los auditores redactan los informes finales con destino a la Alta Dirección, en los que se detallan los problemas y hallazgos encontrados, se proponen acciones correctivas para solucionarlos, pero también se identifican oportunidades de mejora y se resaltan los aspectos positivos. Básicamente, en este momento:

• Se preparan y comunican los informes finales a la Alta Dirección.
• Se comunican los informes, resaltando las conclusiones y los puntos críticos que generan mayor preocupación.
• Se enumeran las acciones que se proponen y sugieren para solucionar los problemas.

Las auditorías, apoyadas por la tecnología, ofrecen resultados mucho más contundentes y efectivos. Las organizaciones que han digitalizados y automatizado sus Sistemas de Gestión Ambiental, tendrán mayores oportunidades para obtener beneficios en una auditoría ambiental. La Transformación Digital ofrece estas oportunidades y las inversiones en tecnología, así como la formación y capacitación, redundarán en una gestión efectiva, eficaz, transparente y productiva.

Curso Fundamentos para la Gestión Ambiental y Desarrollo Sostenible

Los temas ambientales y de desarrollo sostenible hoy ocupan un lugar prioritario en la agenda de la Alta Dirección de cada vez más organizaciones. Esto no sorprende, ya que es hoy un asunto de sobrevivencia. Si no generamos acciones efectivas para revertir el cambio climático, por mencionar uno de los temas más mediáticos, las consecuencias pueden ser desastrosas.

El Curso Fundamentos para la Gestión Ambiental y Desarrollo Sostenible integra la sostenibilidad con el cuidado del medio ambiente, aportando los conocimientos necesarios para la implementación de un Sistema de Gestión efectivo.

Este programa de excelencia ofrece titulación de ISOTools Excellence y de la Escuela Europea de Excelencia. Hoy tienes la oportunidad de tomarlo aquí.

La entrada Auditoría ambiental: qué es y cómo llevarla a cabo se publicó primero en Escuela Europea de Excelencia.