Etiqueta: FAQ Resuelta – ISO 27001: ¿Un auditoría interna debería realizarse de la misma manera que una auditoría de certificación?

FAQ Resuelta – ISO 27001: ¿Un auditoría interna debería realizarse de la misma manera que una auditoría de certificación?

 

Existe una distinción significativa entre una auditoría interna y una auditoría de certificación llevada a cabo por un organismo de certificación. Son cosas completamente diferentes. Una “auditoría interna” no es en absoluto una auditoría. Se trata de un “control del estado de salud” o una “revisión”, y su propósito es ayudar a la organización. El auditor puede examinar todas las partes del SGSI y los controles que la organización desee. Pueden usar el juicio que quieran y la interpretación de ISO27001 que deseen, siempre que sea en el mejor interés de la organización. Los resultados pueden ser completamente ignorados por la organización, si así lo desean. Se trata de un trabajo de asesoramiento.

Un auditoría realizada por un organismo de certificación es un proceso muy formal que solo se refiere a «si la organización cumple con los requisitos de ISO27001». Eso es todo. Los auditores no están allí para añadir valor ni para usar su juicio y experiencia. Es un proceso mecánico. Hay muchas posibles interpretaciones de ISO27001 y no corresponde al auditor de certificación imponer una específica. Simplemente verifican que la elección hecha cumpla con los requisitos de ISO27001.