Auditoría Interna

1 Objeto

Definir la sistemática de actuación para la realización de auditorías internas en la Organización.

2 Alcance

Es de aplicación a todos los elementos, aspectos y componentes del Sistema de Gestión de la Organización.

3 Definiciones

Auditoria: Proceso sistemático, independiente y documentado para obtener evidencias de la comprobación del cumplimiento de los requisitos y directrices del sistema.
Plan Anual de Auditorías Internas: Planificación de las fechas y áreas en las que se realizará la auditoria.
Programa de la auditoria: Documento que describe el conjunto de una o más actividades planificadas para un periodo de tiempo determinado y dirigidas hacia un propósito específico como es la realización de la auditoria.
Informe de auditoría: Documento que recoge la información relativa a la auditoría realizada y a los hallazgos encontrados durante la auditoria.

4 Responsabilidades

Tarea	Responsabilidades
Tarea	R	A	S	C	I
Asegurar la elaboración del Plan Anual de Auditorías Internas	CEO	CEO
Aprobar el Plan Anual de Auditorías Internas	CEO	CEO
Asegurar la imparcialidad en la elección del Auditor Interno	CEO	CEO
Aceptar los resultados de las auditorías internas	CEO	CEO
Elaboración del Plan Anual de Auditorías Internas	CISO	Responsable del SGSI
Defender el SGSI durante la Auditoría Interna	CISO	Responsable del SGSI	CTO Responsable de las Áreas Auditadas
Elaborar el Plan de Acciones Correctivas para solventar las No Conformidades encontradas por el equipo auditor	CISO	Responsable del SGSI
Ejecutar las Auditorías Internas	Auditor Interno	CEO
Defensa del SGSI durante la Auditoría Interna	Auditor Interno	Responsable del SGSI

5 Desarrollo

Anualmente (al principio del año), el Responsable del SGSI elaborará un Plan anual de auditorías internas, a realizar a lo largo del año en la Organización.

Además, para la elaboración de este Plan, también se tienen en cuenta los Resultados de las auditorías internas anteriores y las posibles modificaciones generadas en el SGSI.

Para poder formar parte del equipo auditor, éstos deben de cumplir, cuando menos, alguno de los siguientes criterios:

Haber realizado un curso, mínimo de 8h, específico de Auditorías Internas de Sistema de Gestión de la norma a auditar (ISO 27001:2022).
Haber participado como observador, responsable del SGSI o auditor, al menos en dos auditorias del Sistema de Gestión de la Organización, de la norma a auditar (ISO 27001:2022).

Una vez aprobado por el CEO, el Responsable de SGSI lo pondrá en conocimiento de todo el personal de la Organización.

El Equipo Auditor realiza un análisis de la información necesaria para la realización de la auditoria, en el que se consideran:

Fechas de auditoría.
Norma / Documentación de referencia.
Alcance de la Auditoría
Documentación a aportar
Observaciones o comentarios específicos de la auditoria.

Con toda la información recogida y analizada, el Equipo Auditor prepara el Programa de Auditoria donde se establece el calendario a seguir y las áreas de la organización a auditar.

El equipo auditor procede a realizar la auditoría interna según el programa de auditorías acordado.

La auditoría interna se desarrolla en tres fases:

Reunión inicial
Realización de la Auditoria. La auditoría, en principio, se realizará de acuerdo al Programa establecido. No obstante, cuando el equipo auditor lo considere necesario, podrá incluir nuevas verificaciones, siempre dentro del alcance de la auditoria. Las comprobaciones se basarán en evidencias objetivas y contrastadas.
Reunión final. Se celebrará una reunión al finalizar la ejecución de la auditoria en la que participará el equipo auditor y, por lo menos, el responsable del área auditada. En esta reunión se explicarán las desviaciones y observaciones detectadas, de forma que sean comprendidas y aceptadas por los auditados. En caso de discrepancias con las desviaciones detectadas, se intentará llegar a un consenso entre ambas partes.

Una vez finalizada la auditoría interna, el equipo auditor elabora el correspondiente Informe de auditoría interna, con todas las desviaciones, si las hubiera, y las observaciones recogidas durante la auditoria.

El Responsable del SGSI, analizará el Informe de auditoría Interna para su estudio y definición, si procede, de las Acciones Correctivas y/o Preventivas necesarias, distribuyendo el informe a quien considere oportuno. Además, elaborará un un Plan de Acciones Correctivas para solventar las No Conformidades identificadas en el Informe de Auditoría Interna.

6 Anexos

N/A

7 Formatos

N/A

8 Registros

N/A

9 Documentos Relacionados

N/A

10 Referencias Normativas

ISO27001:2022 4.3 Determinación del alcance del sistema de gestión de la seguridad de la información.

Metadatos

Identificación
Documento	Auditoría Interna
Clasificación	Uso Interno
Propietario/a	Carlos Alberto Rodríguez Lago CISO \| crodriguez@cysmanagement.com
Información de la Revisión
Revisión	v1.0
Fecha y hora	13/01/2026 15:00:32
Estado	Borrador
Hash (SHA-256)	2cadd6ff60544dfbb0c4dcc1f95b396a01b81694821a88ddb99a09d369256222
Hash versión previa (SHA-256)	N/A
Autor/a/es	Carlos Alberto Rodríguez Lago CISO \| crodriguez@cysmanagement.com
Información de la Verificación
Verificador/a/es	Corina Junquera Sánchez-Vallejo Person Responsible for Regulatory Compliance (PRRC) \| corina@sincrolab.es
Información de la Aprobación
Aprobado por	Ignacio de Ramón Burgos CEO \| nacho@sincrolab.es
Vigencia	21/01/2026 00:00:00 - No Indicado
Firma Aprobación	819cfe52a29e82dce671a5d8b4d96b4e55f80ea8c4f1837bbe630547e6109d95

1 Objeto​

2 Alcance​

3 Definiciones​

4 Responsabilidades​

5 Desarrollo​

6 Anexos​

7 Formatos​

8 Registros​

9 Documentos Relacionados​

10 Referencias Normativas​