Preguntas examen certificación ISO 27001 Auditor - Parte 1

Este primer bloque está 100% enfocado en la práctica de auditoría: conceptos, principios, roles, programa/plan, métodos, evidencias, hallazgos, conclusiones e informes, según ISO 19011 y su aplicación al SGSI de ISO/IEC 27001.

Instrucciones
Responde sin mirar soluciones. Al final, contrasta y lee las explicaciones para afinar criterio auditor.

1) En ISO 19011, ¿qué son los criterios de auditoría?

A) El listado de no conformidades esperadas
B) El conjunto de requisitos de referencia frente a los que se evalúa la evidencia
C) El plan diario del equipo auditor
D) El registro de hallazgos de auditorías anteriores

2) ¿Qué diferencia mejor alcance de auditoría y programa de auditoría?

A) El alcance es multianual; el programa es por auditoría individual
B) El alcance define límites/ubicaciones/procesos de una auditoría; el programa es el conjunto planificado de auditorías en un período
C) Son equivalentes
D) El programa solo aplica a auditorías de certificación

3) ¿Qué principio de auditoría exige que los informes reflejen con veracidad y exactitud lo observado, incluyendo obstáculos y opiniones divergentes?

A) Independencia
B) Confidencialidad
C) Presentación imparcial
D) Debido cuidado profesional

4) ¿Cuál es la relación correcta entre evidencia, hallazgo y conclusión de auditoría?

A) Conclusión → evidencia → hallazgo
B) Evidencia → hallazgo → conclusión
C) Hallazgo → conclusión → evidencia
D) Evidencia → conclusión → hallazgo

5) ¿Cuál es el propósito principal de la reunión de apertura?

A) Negociar las no conformidades
B) Confirmar objetivos, alcance, criterios, plan, canales de comunicación y logística con el auditado
C) Redactar el informe final
D) Capacitar al auditado

6) ¿Cuándo es apropiado usar métodos de auditoría remotos (a distancia) según ISO 19011?

A) Siempre, para reducir costos
B) Nunca, por riesgo de sesgo
C) Cuando los objetivos/alcance/criterios lo permiten y existen medios tecnológicos adecuados y un nivel de confianza aceptable
D) Solo en auditorías de proveedores

7) ¿Qué rol aporta conocimiento especializado sobre procesos/tecnología sin responsabilidad sobre conclusiones de auditoría?

A) Observador
B) Experto técnico
C) Guía del auditado
D) Cliente de la auditoría

8) ¿Qué afirma mejor el enfoque basado en riesgos en auditoría (ISO 19011)?

A) Se priorizan áreas de mayor impacto/probabilidad para planificar, ejecutar y reportar la auditoría
B) Se audita todo con la misma profundidad
C) Se limita a revisar matrices de riesgo
D) Solo aplica a la planificación del programa, no a la auditoría individual

9) ¿Qué describe mejor “pruebas de auditoría” en ISO 19011?

A) Únicamente documentos firmados
B) Actividades para obtener evidencia (entrevistas, observación, revisión documental, muestreo, análisis de datos)
C) Resultados del testing del plan de continuidad
D) Ensayos de laboratorio acreditados

10) En un SGSI ISO/IEC 27001, ¿qué esperarías ver como evidencia al auditar el control documental (relación 7.5 con 19011)?

A) Únicamente un manual de SGSI
B) Procedimientos de control de cambios, listas de distribución, controles de acceso, retención y disposición aplicados y registros que lo demuestren
C) Un organigrama
D) Un plan de auditoría externa

Soluciones

1) Respuesta correcta: B

Los criterios son la referencia (normas, políticas, requisitos legales/contractuales) frente a la cual se comparan evidencias para emitir hallazgos.

2) Respuesta correcta: B

El alcance delimita una auditoría concreta; el programa agrupa y gestiona múltiples auditorías en un periodo, con objetivos, riesgos, recursos y seguimiento.

3) Respuesta correcta: C

“Presentación imparcial” exige reportar con veracidad, exactitud y oportunidad, incluyendo obstáculos y opiniones divergentes no resueltas.

4) Respuesta correcta: B

Primero se obtiene evidencia; de su evaluación surgen hallazgos; los hallazgos sustentan las conclusiones de la auditoría.

5) Respuesta correcta: B

La reunión de apertura alinea expectativas y confirma logística, método, comunicaciones y seguridad antes de iniciar el trabajo de campo.

6) Respuesta correcta: C

ISO 19011 permite métodos remotos cuando son viables para objetivos/alcance/criterios, con tecnología adecuada y nivel de confianza suficiente.

7) Respuesta correcta: B

La persona experta técnica aporta conocimiento específico; no determina hallazgos ni conclusiones (función del equipo auditor).

8) Respuesta correcta: A

El enfoque basado en riesgos guía qué auditar con mayor profundidad y cómo reportar, para concentrarse en lo que más importa.

9) Respuesta correcta: B

Las pruebas de auditoría son los medios y técnicas para obtener evidencia objetiva durante la auditoría.

10) Respuesta correcta: B

La auditoría del control documental busca evidencia operativa del ciclo de vida documental: identificación, control de cambios, acceso, retención y disposición.

Cierre

Este set se centra en lo esencial de la práctica auditora: principios, lenguaje común, gobierno (programa/plan) y ejecución (métodos, evidencias, hallazgos y conclusiones). En el siguiente bloque continuaremos con competencias del auditor, redacción de no conformidades, muestreo, reuniones de cierre e informes, manteniendo el foco en ISO 19011 aplicado a un SGSI ISO/IEC 27001.

¿Quieres certificarte como auditor ISO 27001?

Si tu objetivo es obtener la certificación como ISO 27001 Internal / Lead Auditor, tengo un programa de preparación mucho más completo que esta serie: incluye acceso al examen de certificación, simuladores con muchísimas preguntas reales y mi acompañamiento directo para que llegues seguro al día del examen.

👉 Aquí puedes revisar toda la información del programa:

Curso Oficial ISO 27001 Internal Auditor / Lead Auditor

Y si quieres una preparación mucho más rapida puedes adquirir directamente nuestros kits de certificación y rendir tu examen cuanto antes:

Kit oficial ISO 27001 Internal Auditor

Kit oficial ISO 27001 Lead Auditor

Nos vemos,

—
Fernando Conislla
Instructor Oficial ISO 27001 | Todos los niveles