En esta última parte del Anexo A llevamos a terreno los bloques operativos del día a día del auditor: cómo preparar documentos de trabajo, qué fuentes de información priorizar, cómo planear una visita al sitio o ejecutar auditorías virtuales, cómo entrevistar y, finalmente, cómo determinar y registrar hallazgos con criterio.

A.13 Preparación de los documentos de trabajo de auditoría

El equipo auditor considera para cada documento:
a) ¿Qué registro de auditoría generará este documento?
b) ¿Con qué actividad de auditoría se relaciona?
c) ¿Quién lo usará?
d) ¿Qué información necesito para prepararlo?

Para auditorías combinadas, se busca evitar duplicidades:
— agrupar requisitos similares de distintos criterios;
— coordinar el contenido de listas y cuestionarios.

Adecuación: los documentos deben cubrir todos los elementos dentro del alcance y pueden estar en cualquier medio.

Ejemplo: para auditar ISO 27001 + ISO 9001 en un mismo proceso de gestión de proveedores, se diseña una sola lista que agrupa requisitos de evaluación y seguimiento del proveedor (calidad/seguridad) con referencias cruzadas a ambos criterios.

A.14 Selección de las fuentes de información

Posibles fuentes (según alcance y complejidad):
a) Entrevistas con personal y terceros.
b) Observación de actividades y entorno.
c) Información documentada (políticas, procedimientos, contratos, permisos).
d) Registros (actas, informes, mediciones, auditorías previas).
e) Resúmenes, análisis e indicadores.
f) Planes y controles de muestreo/medición.
g) Informes externos, feedback de clientes, calificación de proveedores.
h) Bases de datos y sitios web.
i) Simulaciones y modelizaciones.

Ejemplo: para verificar control de accesos físicos, el auditor combina: registros de visitas (d), CCTV y tour por site (b), procedimiento de accesos (c) y muestreo de altas/bajas (f).

A.15 Visita a la ubicación del auditado

a) Planificación de la visita
— Asegurar autorización y accesos según alcance.
— Informar requisitos de seguridad (EPP, normas, horarios, cultura).
— Acordar uso de móviles/cámaras/capturas (confidencialidad).
— Avisar al personal involucrado (objetivos y alcance).

b) Actividades in situ
— Minimizar interrupciones operativas.
— Uso correcto de EPP; comunicar emergencias.
— Ajustar tamaño del equipo/guías/observadores.
— No manipular equipos sin autorización.
— Manejar incidentes: decidir continuar/reprogramar.
— Tomar notas/copias con permiso y respeto a datos personales.

c) Actividades de auditoría virtual (si aplica)
— Usar protocolos de acceso acordados.
— Permisos previos para capturas/grabaciones.
— Planes de contingencia ante fallas.
— Respetar privacidad en pausas.

Ejemplo: en un data center, el equipo acuerda con Seguridad: rutas, puntos de reunión, prohibición de fotos en salas críticas, revisión de bitácoras en una sala controlada.

A.16 Auditoría de actividades y ubicaciones virtuales

Contexto: la organización opera en entornos en línea (intranet, nube). La auditoría virtual sigue el proceso estándar usando tecnología para evidencias objetivas.

Requisitos tecnológicos:
— Protocolos de acceso remoto acordados; pruebas técnicas previas; contingencias.
— Competencias del auditor: manejo de herramientas y facilitación remota.

Consideraciones de conducción:
— Gestionar riesgos de la modalidad virtual.
— Usar planos/diagramas como referencia.
— Permisos para capturas; confidencialidad y privacidad.

Ejemplo: para auditar gestión de vulnerabilidades en nube, el auditor revisa dashboards compartidos por pantalla, evidencia de parches en tickets y logs exportados (con autorización).

A.17 Realización de entrevistas

Buenas prácticas:
a) Entrevistar a personas con funciones dentro del alcance.
b) Hacerlo en jornada y puesto habituales cuando sea posible.
c) Generar comodidad y explicar propósito y toma de notas.
d) Iniciar pidiendo que describan su trabajo.
e) Elegir bien el tipo de pregunta (abierta/cerrada/indagatoria).
f) En remoto, suplir la pérdida de lenguaje no verbal con preguntas precisas.
g) Resumir y validar resultados con la persona entrevistada.
h) Agradecer su participación.

Ejemplo: auditoría de gestión de incidentes: se entrevista al analista de guardia, se le pide reconstruir un caso reciente, se verifican tiempos, escalados y registros; se cierra con un breve recap validado por el entrevistado.

A.18 Hallazgos de la auditoría

A.18.1 Determinación de hallazgos

Considerar:
a) Seguimiento de auditorías previas.
b) Requisitos del cliente de auditoría.
c) Suficiencia y adecuación de evidencias.
d) Ejecución de actividades planificadas y logro de resultados.
e) Hallazgos que exceden práctica normal u oportunidades de mejora.
f) Tamaño de la muestra.
g) Categorización (si aplica).

A.18.2 Registro de conformidades

Incluir:
a) Referencia a los criterios.
b) Evidencia que respalda conformidad/eficacia.
c) Declaración de conformidad (si aplica).

A.18.3 Registro de no conformidades

Incluir:
a) Criterio vulnerado (referencia exacta).
b) Evidencia objetiva.
c) Declaración clara de no conformidad.
d) Hallazgos relacionados (si aplica).

A.18.4 Hallazgos con múltiples criterios

Posibles enfoques (según acuerdo con el cliente):
a) Separar hallazgos por criterio.
b) Un único hallazgo con referencias a criterios múltiples.
El auditor puede orientar cómo responder, si así se acordó.

Ejemplo (NC): Criterio: ISO 27001, 7.2 y Procedimiento “Formación”. Evidencia: dos administradores sin evidencias de capacitación anual obligatoria. Declaración: “No conformidad: no se ha cumplido el requisito de mantener evidencia de competencia/actualización para roles con acceso privilegiado”.

Preguntas tipo examen

1) ¿Qué elemento es indispensable al registrar una no conformidad según el Anexo A.18.3?

A. Opinión del auditor sobre la gravedad
B. Referencia explícita al criterio, evidencia objetiva y declaración de no conformidad
C. Recomendación detallada de acción correctiva
D. Aprobación previa del auditado

Explicación: El registro debe anclar el hallazgo al criterio, sustentar con evidencia y declarar la NC; las acciones se tratan después.

Respuesta correcta: B

2) En la preparación de documentos de trabajo para una auditoría combinada, ¿qué enfoque es más coherente con ISO 19011?

A. Crear listas separadas por cada norma, aunque dupliquen preguntas
B. Agrupar requisitos similares de distintos criterios para evitar duplicidades
C. Usar solo listas genéricas sin referencias a criterios
D. Elaborar documentos solo después de la reunión de cierre

Explicación: ISO 19011 sugiere agrupar requisitos afines para eficiencia y coherencia, evitando duplicación en combinadas.

Respuesta correcta: B

3) En auditorías virtuales, ¿qué competencia específica requiere el auditor además del dominio técnico del criterio?

A. Gestión de contratos de proveedores
B. Facilitación remota y uso de herramientas electrónicas para evidencias
C. Administración de redes
D. Programación de scripts de extracción de logs

Explicación: ISO 19011 destaca habilidades de facilitación virtual y manejo de tecnología de acceso/remoto para asegurar evidencias válidas.

Respuesta correcta: B

Cierre

Con A.13 a A.18 cerramos el Anexo A: ya tienes criterios claros para diseñar documentos de trabajo, escoger fuentes confiables, planificar visitas/virtuales, conducir entrevistas y registrar hallazgos con trazabilidad. Este bloque eleva tu consistencia como auditor y te prepara para defender conclusiones ante dirección o certificadores.

¿Quieres certificarte como auditor ISO 27001?

Si tu objetivo es obtener la certificación como ISO 27001 Internal / Lead Auditor, tengo un programa de preparación mucho más completo que esta serie: incluye acceso al examen de certificación, simuladores con muchísimas preguntas reales y mi acompañamiento directo para que llegues seguro al día del examen.

👉 Aquí puedes revisar toda la información del programa:

Curso Oficial ISO 27001 Internal Auditor / Lead Auditor

Y si quieres una preparación mucho más rapida puedes adquirir directamente nuestros kits de certificación y rendir tu examen cuanto antes:

Kit oficial ISO 27001 Internal Auditor

Kit oficial ISO 27001 Lead Auditor

Nos vemos,

—
Fernando Conislla
Instructor Oficial ISO 27001 | Todos los niveles