¿Qué ocurre en una auditoría ISO 37001 de etapa 1 y etapa 2?

Las auditorías ISO 37001 normalmente separan el trabajo en actividades de etapa 1 y etapa 2. La agenda del curso destaca ambas etapas y las sitúa dentro de un ciclo de vida de auditoría más amplio que incluye preparación, ejecución y cierre. La etapa 1 forma parte de la iniciación y la preparación. Se utiliza para confirmar el alcance y el enfoque de la auditoría, aclarar cómo está estructurado el SGA y determinar si la organización está lista para la siguiente etapa. En términos prácticos, la etapa 1 alinea las expectativas sobre qué se auditará y cómo se evaluará la evidencia. También ayuda al equipo de auditoría a planificar las actividades de etapa 2 con mayor precisión. La etapa 2 es donde tienen lugar las actividades de auditoría en sitio. La agenda del Día 3 incluye preparar la etapa 2, ejecutar la etapa 2, mantener la comunicación durante la auditoría, aplicar procedimientos de auditoría y crear planes de pruebas de auditoría. Los planes de pruebas son importantes porque traducen los objetivos de auditoría en comprobaciones específicas y estrategias de muestreo, lo que respalda conclusiones basadas en evidencia. El curso también enfatiza principios de auditoría como la auditoría basada en evidencia y la auditoría basada en riesgos. La auditoría basada en evidencia requiere una vinculación clara entre los hechos observados y los requisitos evaluados. La auditoría basada en riesgos ayuda a priorizar el esfuerzo de auditoría hacia áreas donde la exposición al soborno o las debilidades de control son más relevantes. Después de la etapa 2, la auditoría pasa a las actividades de cierre, incluyendo la redacción de hallazgos e informes de no conformidad, la documentación y revisión de calidad, y la evaluación de planes de acción. El curso incluye «más allá de la auditoría inicial» y la gestión de un programa de auditoría interna, reforzando que el trabajo de auditoría debe alimentar la supervisión continua y no terminar con un informe.