La auditoría es el eje que soporta la mejora continua en los sistemas de gestión basados en normas ISO. Un experto de la auditoría ISO es un profesional que conoce a fondo los diferentes estándares, especialmente ISO 9001. Pero también sabe aplicar las técnicas de auditoría más utilizadas, incluyendo aquellas que hoy se abren paso de la mano de la tecnología, como la auditoría remota.
Al convertirse en un experto de la auditoría ISO con la formación apropiada, el profesional asume una posición de respeto y liderazgo en su organización. Así, su carrera profesional se eleva incorporando nuevas competencias y responsabilidades.
Uno de los factores clave para alcanzar los objetivos en un sistema de gestión de calidad es saber cómo involucrar a los empleados. Si la alta dirección y los profesionales encargados del área son capaces de comprometer a su fuerza laboral con los objetivos del sistema, se habrá dado un paso muy importante hacia el éxito.
La necesidad de realizar auditorías internas en ISO 45001, así como la de establecer un programa de auditorías, aparecen en la cláusula 9.2 de la norma. Allí, se habla de las expectativas que ISO 45001 tiene con respecto a esta actividad y la necesidad de que estas auditorías guarden concordancia con lo planificado para el sistema.
Si observamos la cláusula 9.2 de otros estándares que comparten la misma estructura de alto nivel, como ISO 9001 o ISO 14001, notaremos que no hay mayor diferencia entre esas normas y lo requerido en cuanto a este proceso.
Los conocedores del área de gestión de riesgos aconsejan que la alta dirección guarde prudente distancia en la gestión cotidiana. Esto no significa apartarse o desentenderse del tema. Implica, por el contrario, que se acojan buenas prácticas en la gestión de riesgos para directores, que aseguren el cumplimiento de sus compromisos y responsabilidades con un área tan sensible en la operación eficiente de una organización.
ISO 9001 es el estándar de calidad más utilizado en el mundo. Mas de un millón de organizaciones lo han implementado, y la certificación es hoy un reconocimiento al compromiso con la calidad y las mejores prácticas organizacionales. Los cursos ISO 9001 a distancia se convierten, así, en la mejor herramienta para atender las necesidades de formación de las organizaciones en las condiciones actuales.
Ya han transcurrido un poco más de dos años de un periodo de tres para la migración desde OHSAS 18001 hacia ISO 45001 fijado por ISO. Por ello, creemos oportuno abordar el tema y hacer un repaso a los cambios existentes entre normas y lo que las organizaciones deben revisar para estar a punto a más tardar en marzo de 2021.
Los profesionales de la seguridad de la información que se enfrentan por primera vez a una auditoría suelen tener dudas y preguntas. Estos profesionales pueden necesitar una checklist de auditoría interna para ISO 27001 como apoyo esencial en la tarea. Y, aunque en distinto grado, un profesional experimentado, también puede encontrar en ella algunas ventajas.
Lo primero que debe saber el auditor, antes o después de elaborar una checklist de auditoría interna para ISO 27001 es que este no es un listado inamovible y rígido, sino una herramienta que ha de ser flexible y adaptable a los objetivos y perspectivas del momento.
Checklist de auditoría interna para ISO 27001
No existe una única checklist de auditoría interna para ISO 2700, como tampoco existe un único modelo de auditoría interna. Por eso, quizá crear una lista de verificación de auditoría interna pueda ser una buena opción que se ajuste a las necesidades singulares de la organización.
Para empezar, hay que saber en qué momento del proceso es más oportuno crear esa herramienta y cuándo podremos aplicarla. En este sentido, la auditoría se desarrollaría en los siguientes pasos:
Revisar la documentación: en este paso el auditor revisa todos y cada uno de los documentos obligatorios, exigidos por ISO 27001. Para ello, es preciso que el auditor se familiarice con los requisitos y los procesos del sistema.
Crear la checklist: de modo paralelo a la tarea de revisión de los documentos y aprovechando la inmersión en su contenido, el auditor elabora la lista de verificación.
Planificar la auditoría: la tarea puede llevar al auditor a diferentes áreas y ubicaciones. El plan de auditoría debe establecer cuándo visitar cada una de ellas y cuánto tiempo destinar, dependiendo del número de actividades previstas para cada departamento.
Realizar la auditoría: la labor de auditoría en sí es eminentemente práctica. Se trata de recorrer las instalaciones, verificando la lista, hablando con los empleados, revisando los ordenadores y otro tipo de dispositivos, determinar las condiciones de seguridad física, la implementación adecuada de los controles…Es en este punto en el que el auditor aprovecha al máximo los beneficios de una checklist de auditoría interna para ISO 27001.
Redactar los informes: cuanto más sucinto y puntual mejor. En los informes deben aparecer las no conformidades halladas, pero también los puntos positivos relevantes. La lista de verificación es un buen apoyo en este momento para evitar que algo importante se quede fuera.
Hacer seguimiento: la tarea de auditoría no culmina con la presentación de los informes. El auditor debe verificar que las acciones correctivas propuestas se implementan y que resultan efectivas. Nuevamente, la checklist de auditorìa interna para ISO 27001 resulta muy útil para recordar por qué razón se planteó una no conformidad o se recomendó una determinada acción correctiva.
Como vemos, la lista de verificación puede ser clave en diferentes momentos del proceso. ¿Pero cómo elaborarla? En la creación de una checklist se ha de tener en cuenta uno a uno:
Requisitos del estándar: el listado debe permitir comprobar que se está cumpliendo cada requisito de ISO 27001. Lo ideal es concretar al máximo en relación a la manera en que la empresa, a su modo, ha decido enfocar la conformidad en cada punto con el estándar. Es decir, cada punto de la checklist debe ser fácilmente verificable.
Contenido en políticas y procedimientos y planes: si la política sobre seguridad de la información indica que se debe realizar una copia de seguridad cada seis horas, este debe ser un ítem que forme parte del checklist para ser verificado en su momento.
Además de atender al contenido, es preciso asegurar que la lista en sí sea práctica, equilibrando los siguientes puntos de manera óptima:
Precisión: es necesario que no quede nada fuera de control.
Manejable: a través de la organización en bloques, el orden y la capacidad sintética, la checklist puede quedar recogida en un documento práctico y fácilmente utilizable.
Curso Auditor Interno ISO/IEC 27001:2013 Sistemas de Gestión Seguridad de la Información
La auditoría interna es un requisito de ISO 27001. Es la herramienta que promueve la mejora continua del sistema. Por ello, cualquier herramienta de apoyo puede ser fundamental. Pero, quizá, aún más importante es contar con profesionales formados y cualificados.
Las oportunidades según ISO 9001, al igual que los riesgos, deben ser identificadas, evaluadas y tenidas en cuenta en la toma de decisiones. No obstante, el concepto de “Enfoque Basado en el Riesgo”, predominante en la norma, puede hacer creer que las oportunidades en ISO 9001 se dejan de lado.
Esto es una percepción errada, porque lo cierto es que la norma no deja de lado las oportunidades sino que exige que sean tenidas en cuenta. Las oportunidades según ISO 9001 forman parte de un capitulo aparte de los riesgos, dentro del contenido de la norma, lo que ayuda a generar cierta confusión entre los profesionales de la calidad.
A medida que las organizaciones navegan por la crisis, entienden que lo hacen en aguas profundas y muy extensas. Es entonces cuando empiezan a considerar, entre otros aspectos, cuál es el programa de formación clave para afrontar el COVID-19 que deben adoptar, entre otras medidas, para llegar a buen puerto.
En muchas de estas organizaciones, el área de gestión de riesgos realizó evaluaciones en las que aparecieron los famosos “Cisnes Negros”, eventos de escasa probabilidad de ocurrencia, pero con un devastador impacto negativo.
Seguramente, en estas organizaciones que previeron este tipo de eventos, se habló de la importancia de implementar un programa de formación enfocado en la continuidad del negocio tras la ocurrencia de un evento catastrófico.
