ISO 27001

Auditoría interna ISO 27001: planificación y ejecución

Por Equipo GRC360 24 de March, 2026 13 min de lectura
Auditoría interna ISO 27001 planificación ejecución cláusula 9.2

La auditoría interna es uno de los mecanismos clave de evaluación del desempeño del SGSI. La cláusula 9.2 de ISO 27001:2022 exige que la organización realice auditorías internas a intervalos planificados para verificar que el SGSI es conforme con los requisitos y está implementado eficazmente. Una auditoría interna bien ejecutada no solo prepara para la certificación, sino que genera valor real identificando áreas de mejora.

¿Qué exige la cláusula 9.2?

La cláusula 9.2 tiene dos sub-cláusulas:

9.2.1 — Generalidades

La organización debe realizar auditorías internas a intervalos planificados para proporcionar información sobre si el SGSI es conforme con los propios requisitos de la organización y los requisitos de la norma, y si está implementado y mantenido eficazmente.

9.2.2 — Programa de auditorías internas

La organización debe planificar, establecer, implementar y mantener programas de auditoría. El programa debe considerar la importancia de los procesos en cuestión y los resultados de auditorías previas, definir los criterios y el alcance de cada auditoría, seleccionar auditores que aseguren la objetividad e imparcialidad, y comunicar los resultados a la dirección correspondiente.

Diferencia entre programa y plan de auditoría

ConceptoDefiniciónHorizonte temporal
Programa de auditoríasConjunto de auditorías planificadas para un período (ej: el año)Anual o plurianual
Plan de auditoríaDescripción detallada de una auditoría específicaPor auditoría individual

Paso 1: Elaborar el programa de auditorías

El programa de auditorías debe cubrir todos los aspectos del SGSI a lo largo del tiempo. Para un SGSI de alcance moderado, lo habitual es una auditoría interna completa al año, aunque se puede dividir en múltiples auditorías temáticas o por área.

Contenido del programa de auditorías

  • Objetivos del programa
  • Alcance de cada auditoría planificada (qué cláusulas y controles se auditarán)
  • Calendario aproximado
  • Recursos necesarios (auditores internos o externos)
  • Procedimiento de gestión del programa

Frecuencia recomendada

La norma no especifica una frecuencia mínima, pero la práctica estándar es:

  • Una auditoría interna completa al año (cubre todas las cláusulas y los controles del Anexo A relevantes)
  • Para sistemas más maduros: dos auditorías al año, una enfocada en cláusulas y otra en controles
  • Auditorías adicionales ante cambios significativos o incidentes graves

Paso 2: Planificar la auditoría específica

Criterios de auditoría

Define qué se auditará: cláusulas de ISO 27001:2022, controles del Anexo A según la SoA, procedimientos y políticas internas.

Alcance de la auditoría

Define los límites físicos, organizacionales y temporales de esta auditoría. No es obligatorio auditar todo el SGSI en cada auditoría; puedes cubrir cláusulas en un ciclo y controles en el siguiente.

Selección del equipo auditor

Los auditores deben ser objetivos e imparciales. Esto no significa que deban ser externos, pero no pueden auditar su propio trabajo. Un desarrollador no puede auditar los controles de desarrollo si él los implementó; un administrador de sistemas no puede auditar los controles técnicos que él configura.

Error frecuente: En organizaciones pequeñas, el responsable del SGSI realiza la auditoría interna de su propio trabajo. Esto genera una no conformidad en la auditoría de certificación. Si no hay recursos para auditores internos independientes, contrata un auditor externo para la auditoría interna.

Comunicación previa

Notifica a los auditados con anticipación razonable (1–2 semanas), informando el alcance, los criterios, la agenda y qué evidencias deberán preparar.

Paso 3: Ejecutar la auditoría

Reunión de apertura

Inicia con una breve reunión (15–30 minutos) con los responsables del área auditada. Confirma el alcance, la agenda, la metodología y los canales de comunicación.

Técnicas de auditoría

  • Revisión documental: Políticas, procedimientos, registros, evidencias de actividades de control
  • Entrevistas: Conversaciones con el personal para verificar que conocen y aplican los procedimientos
  • Observación: Verificar en vivo que los controles funcionan como se documenta
  • Pruebas de funcionamiento: Verificar logs de acceso, registros de backup, resultados de escaneos de vulnerabilidades

Tipos de hallazgos

TipoDefiniciónAcción requerida
No conformidad mayorAusencia de un requisito obligatorio o fallo sistemático de un control críticoAcción correctiva obligatoria antes de la certificación
No conformidad menorIncumplimiento puntual o brecha no crítica en un requisitoAcción correctiva con plazo acordado
ObservaciónSituación que podría convertirse en no conformidad si no se atiendeMejora recomendada sin plazo obligatorio
Buena prácticaAspecto que supera los requisitos y puede replicarseDocumentar y considerar para otras áreas

Paso 4: Documentar los hallazgos

Para cada hallazgo, documenta:

  • Criterio auditado (qué cláusula o control)
  • Evidencia encontrada (qué se revisó, qué se observó)
  • Hallazgo (descripción objetiva de lo observado)
  • Tipo de hallazgo (no conformidad mayor/menor, observación)
  • Referencia al requisito incumplido

Paso 5: Reunión de cierre e informe

La reunión de cierre presenta los hallazgos al equipo auditado. El informe de auditoría debe incluir:

  • Resumen ejecutivo (objetivos, alcance, criterios, fechas)
  • Metodología aplicada
  • Hallazgos detallados con evidencia
  • Conclusiones sobre la conformidad del SGSI
  • Lista de no conformidades y observaciones
  • Áreas positivas destacadas

Paso 6: Seguimiento de acciones correctivas

Las no conformidades requieren acciones correctivas formales. Cada acción debe tener:

  • Descripción de la no conformidad
  • Análisis de causa raíz
  • Acción correctiva propuesta
  • Responsable y fecha límite
  • Evidencia de implementación
  • Verificación de la eficacia
Consejo: La auditoría interna no es un examen para aprobar, es una herramienta de mejora. Un informe con varias no conformidades no es un fracaso — es evidencia de que el sistema de auditoría funciona y que la organización tiene un proceso maduro de identificación y corrección de brechas.

Gestiona tus auditorías internas con GRC360

GRC360 incluye un módulo de auditorías internas con planificación, listas de verificación por cláusula, registro de hallazgos, seguimiento de acciones correctivas y generación automática del informe de auditoría.

Crear Cuenta Gratis

Complementa con las guías sobre cláusulas obligatorias de ISO 27001, cronograma de implementación y costos de certificación.

SGSI Auditoría No Conformidad
Compartir: LinkedIn Twitter WhatsApp

¿Necesitas gestionar tu compliance?

GRC360 te ayuda a implementar estándares ISO, gestionar riesgos y cumplir con la normativa.

Crear Cuenta Gratis