👉 Esta actividad te ayuda a cumplir los siguientes requisitos:
ISO/IEC 42001:2023: 9.2.1, 9.2.2, 9.3.1
¿Para qué me sirve esta actividad? 📚
Esta actividad te sirve como una herramienta central para planificar, programar y ejecutar todas las auditorías internas, externas y revisiones periódicas que son esenciales para medir la salud y el cumplimiento de tu SGIA.
Implementar un programa de auditoría te permitirá preparar a tu equipo con el tiempo suficiente para abordar las auditorías correctamente, y proporcionar evidencia clave para la revisión por la alta dirección y el comité de SGSI.
¿Qué tengo que hacer? 🚀
Para elaborar este documento te recomendamos comenzar leyendo este artículo y la pestaña de "Instrucciones" que viene dentro del template que te proporcionamos, para comprender el propósito de cada pestaña y sus columna.
Una vez leído todo el template, debes asegurar que se encuentre alineado a tus operaciones. El objetivo es que utilices las diferentes pestañas para planificar tanto tu estrategia de auditoría a largo plazo como la agenda detallada de cada auditoría interna.
A continuación, te explicamos con mayor detalle el propósito de las pestañas que encontrarás en el template:
Pestaña "Plan".
Piensa en esta pestaña como tu calendario estratégico de "aseguramiento". Su propósito es darte una visión y planificación clara de todas las actividades de auditoría y revisión. Aquí documentarás:
Qué se va a revisar, como por ejemplo auditorías internas y externas anuales, auditorías de seguimiento y otras revisiones técnicas como el Ethical Hacking.
Con qué frecuencia: La periodicidad con la que debe llevarse a cabo cada actividad.
Cómo se hará: Los métodos de auditoría p revisión que se utilizarán, como por ejemplo entrevistas, análisis de documentos, pruebas a sistemas, etcétera.
Quién es el responsable: Es decir, el encargado de gestionar cada actividad.
Pestañas "AI - ISO 42001" y "AI - ANEXO A"
Estas dos pestañas son el "plan de batalla" para una auditoría interna específica. Su función es crear una agenda detallada, día por día, y con la duración aproximada de la verificación de cumplimiento de los controles normativos implementados. Lo más importante a documentar aquí es lo siguiente:
Cuándo, es decir las fechas coordinadas para llevar a cabo la auditoría.
A quién se va a auditar. Esto es súper importante porque al asignar a los responsables auditados con tiempo, tu equipo puede prepararse correctamente para atender las entrevistas y solicitudes de evidencia que hará el auditor.
Qué se va a auditar. Se especifican las cláusulas de la norma (en la pestaña "AI - ISO 42001") y los controles del Anexo A (en la pestaña "AI - ANEXO A") que se cubrirán en cada bloque de tiempo y quién es el responsable.
Esta planificación detallada asegura que la auditoría interna sea eficiente, organizada y que cubra todos los aspectos requeridos del SGIA ⭐.
💡 Los pasos a seguir para terminar la actividad dentro de la plataforma son los siguientes:
Una vez que nuestro equipo haya aprobado la actividad, debes subir el documento final en versión PDF (no editable).
Posteriormente, debes subir la evidencia de su aprobación.
Recomendamos que esta evidencia sea a través de una minuta de sesión de comité (en ese caso, debes subir el documento en PDF de la minuta), o con una captura de pantalla de la respuesta explícita de quién o quiénes lo aprobaron.
Esto debe realizarse por algún medio de comunicación interno de la empresa, como Slack, Teams o el correo electrónico organizacional.
Y por último, debes subir la evidencia de su comunicación.
Al igual que la aprobación, la comunicación del documento puede ser por cualquier medio formal interno de la empresa. Y para esto, debes subir una captura de pantalla donde se muestre que el documento fue comunicado a todos los colaboradores interesados.
Recomendaciones ✅
Usa el plan como una herramienta de comunicación. Comparte la agenda detallada dentro de este documento con todos los participantes de la auditoría con suficiente antelación. Esto les permite prepararse, tener la evidencia a mano y reduce el estrés del proceso.
No temas a los hallazgos de auditoría. Recuerda que el objetivo principal de una auditoría interna es encontrar áreas de mejora y errores a tiempo para remediarlos antes de ir a una auditoría externa, donde el otorgamiento de un certificado está en juego.
Incluso un informe de auditoría interna sin ningún hallazgo puede ser una señal para un auditor externo de que la revisión no fue lo suficientemente profunda.
Recuerda que una vez terminada la auditoría, planificada con base en este documento, esta actividad se conecta con el Procedimiento de Acciones Correctivas y de Mejora (para SGIA) y posteriormente, para el Plan de Tratamiento de Acciones Correctivas y de Mejora (para SGIA), donde los hallazgos de ese informe se convierten en la entrada principal de información.
¡Califica este artículo 👇, esto nos ayudará a mejorar nuestro contenido para ti!
Recuerda que también puedes contactarnos por nuestro chat de soporte y te brindaremos la atención que necesites.