Ejecutamos el ciclo completo de auditoría interna que exige ISO 27001 — planificación, ejecución, informe de hallazgos y seguimiento de acciones correctivas. Evaluación independiente, con criterio técnico y foco en mejora real. No buscamos cumplir un checklist: buscamos que estés preparado.
La cláusula 9.2 de ISO/IEC 27001:2022 establece que toda organización certificada (o en proceso de certificación) debe ejecutar auditorías internas a intervalos planificados. El objetivo es verificar dos cosas: que el SGSI cumple con los requisitos de la norma y los propios de la organización, y que el sistema está implementado y se mantiene de forma eficaz.
Sin auditoría interna no hay certificación. Es así de directo. La certificadora no ejecutará la auditoría de Etapa 2 si no puede verificar que realizaste al menos una auditoría interna del SGSI. Y una vez certificado, las auditorías de seguimiento anuales esperan ver que el ciclo se repitió.
Pero el requisito formal es solo la mitad de la historia. La otra mitad es práctica: una auditoría interna bien ejecutada te muestra exactamente dónde están las no conformidades que el auditor externo va a encontrar. Cada hallazgo que identifiques y corrijas antes de la auditoría de certificación es un problema que desaparece de la mesa. Cada hallazgo que no identifiques es un riesgo de NC mayor que puede bloquear tu certificado.
El error más común que vemos en organizaciones que se preparan para certificarse es tratar la auditoría interna como un trámite. Alguien del equipo interno llena un checklist, marca todo como conforme, genera un informe genérico y lo archiva. El resultado: una falsa sensación de seguridad que se desmorona cuando llega el auditor externo.
Esto no solo bloquea la certificación — también pone en duda la independencia y competencia del proceso de auditoría interna, lo cual es en sí mismo un hallazgo adicional (falso cumplimiento).
Si la auditoría interna solo revisó documentación y no verificó que los controles se ejecutan con evidencias reales, la brecha entre lo que dice tu SGSI y lo que ocurre solo se descubre en el peor momento.
Una auditoría interna que identifica hallazgos pero no genera un plan de remediación (Acciones Correctivas) con responsables, plazos y verificación de eficacia no cumple el ciclo que la norma espera del SGSI.
La auditoría interna es tu última oportunidad de corregir antes de que un tercero evalúe tu sistema con consecuencias formales.
Ejecutamos la auditoría interna completa de tu SGSI siguiendo las directrices de ISO 19011 (directrices para la auditoría de sistemas de gestión). El proceso cubre tanto la revisión del sistema de gestión como las pruebas de cumplimiento de controles del Anexo A.
Definimos el programa de auditoría: alcance, criterios, calendario y asignación de auditores. Revisamos la documentación disponible — el SOA, la matriz de riesgos, las políticas, los registros de incidentes y las actas de revisión por la dirección — para focalizar la auditoría en las áreas de mayor riesgo.
✓ Entregable: Plan de auditoría aprobado con alcance, cronograma y criterios.
Realizamos la auditoría en terreno (presencial o remota según tu ubicación). El proceso incluye dos tipos de revisión:
✓ Entregable: Evidencias recopiladas, notas de auditoría por control y por cláusula.
Consolidamos los resultados en un informe formal que clasifica cada hallazgo según su severidad (No conformidades mayores, No conformidades menores, Observaciones puntuales o debilidades, Oportunidades de mejora y eficiencias).
✓ Entregable: Informe de auditoría interna completo, presentado a la dirección.
No terminamos con el informe. Acompañamos a tu equipo en la elaboración del plan de acciones correctivas (CAPA) para cada no conformidad: definición de la causa raíz, acción correctiva propuesta, responsable, plazo y verificación de eficacia. Hacemos el testing de validación del cierre de esas desviaciones antes de la auditoría oficial.
✓ Entregable: Plan de acciones correctivas con seguimiento de cierre.
ISO 27001 exige que los auditores internos sean independientes del proceso que auditan. Esto no significa necesariamente que sean externos a la organización — pero en la práctica, para empresas de 10 a 80 personas, es casi imposible tener personal interno con la independencia, competencia y disponibilidad necesarias para ejecutar una auditoría rigurosa de su propio SGSI.
Cuando quien implementó los controles también los audita, hay un sesgo natural: los hallazgos tienden a minimizarse y los puntos ciegos del implementador se replican en la auditoría. El auditor externo identifica estas brechas de inmediato.
Nuestros auditores no participaron en la implementación de tu SGSI. No tienen sesgo sobre lo que "debería estar funcionando". Evaluamos lo que encontramos, no lo que esperamos encontrar.
Sabemos exactamente qué busca el auditor externo porque conocemos el proceso de certificación desde ambos lados. Cada hallazgo que reportamos está calibrado contra el nivel de exigencia real.
Al auditar múltiples organizaciones en distintas industrias, traemos una perspectiva que el auditor interno no puede tener. Identificamos patrones de riesgo y debilidades comunes que no son visibles desde dentro.
Si estás en proceso de implementar ISO 27001, es el último paso antes de enfrentar al auditor externo. Es tu ensayo general. Idealmente se ejecuta 4 a 8 semanas antes de la Etapa 1.
La certificación tiene un ciclo de 3 años. Cada año debes demostrar que ejecutaste una auditoría interna y gestionaste hallazgos. Si no la hiciste el año en curso, recibirás una no conformidad asegurada.
Al cumplirse los 3 años, la auditoría es más exhaustiva que los seguimientos. Es el momento de hacer una auditoría interna completa que revise todo tu horizonte de ISO 27001 y verifique la mejora continua.
También es útil cuando tu organización ha pasado por cambios significativos — nueva infraestructura, cambios de operaciones, adquisiciones o nuevos requisitos regulatorios — y necesitas evaluar el impacto real y técnico en tu SGSI.
La auditoría cubre dos dimensiones complementarias del SGSI que atacan tanto su fundamento gerencial como sus barreras técnicas operacionales:
Evaluamos el motor de gobierno del sistema acorde a ISO/IEC 27001:2022:
Los 93 controles de ISO 27001 se organizan en 4 categorías: organizacionales, personas, físicos y tecnológicos. Auditamos una selección representativa:
Para cada control en tu alcance, verificamos 4 capas de madurez:
No buscamos ser amables — buscamos prepararte. Cada hallazgo que reportamos está calibrado contra lo que un auditor de Bureau Veritas, SGS o TÜV registraría como no conformidad. Cuando decimos que estás listo, lo estás.
Sabemos cómo operan las startups, los SaaS y las consultoras de tecnología. No pedimos evidencias burocráticas irrelevantes. Evaluamos controles adaptados a equipos remotos, infraestructura cloud y ciclos ágiles de desarrollo.
El informe tiene dos capas: resumen ejecutivo para la dirección (estado general, riesgos, decisiones) y detalle técnico para la operación (hallazgo con evidencia, referencia a la cláusula y recomendación de corrección).
No entregamos el informe y desaparecemos. Acompañamos el cierre de cada no conformidad, verificamos la eficacia de las acciones correctivas y dejamos el SGSI listo para enfrentar sin temor a la auditoría externa.
Si utilizas nuestra herramienta GRC web, los hallazgos de la auditoría interna se registran directamente con la trazabilidad completa y automática (diagramas, evidencias y cierres de CAPA directos). El auditor externo revisa la plataforma unificada, simplificando todo su trabajo y acortando los plazos dramáticamente.
Programa tu auditoría interna con tiempo. Evaluamos tu SGSI, identificamos los hallazgos y te acompañamos hasta el cierre de las acciones correctivas. Cuando llegue el auditor externo, ya no hay sorpresas.
Presencial o remota. Para certificación, seguimiento o recertificación.