Fase 1 · Planeación — Sistema de Auditorías Internas

Estructura interna de la Fase 1

Entradas, proceso, módulos y salidas del ciclo de planeación.

Entradas

Resultados ciclo anterior
NCs, tendencias

Mapa de riesgos
Criticidad por área

Frameworks activos
ISO, NIST, CIS…

FASE 1 · PLANEACIÓN

Módulos internos

Programa anual

Calendario, alcance, recursos

Evaluación de riesgos

Criticidad, prioridad, framework

Asignación

Auditor líder + equipo

Flujo de aprobación: Elabora → Revisa (SGI) → Aprueba (Alta dirección)

Salidas

Programa anual aprobado

Calendario Gantt

Notificación a involucrados

📋

Campos del programa anual (por auditoría)

Campo	Tipo	Req.
Nombre / título de la auditoría	Texto	Requerido
Framework aplicable	Catálogo múltiple	Requerido
Tipo de auditoría	Lista: Proceso / Sistema / Área / Integral	Requerido
Área / proceso auditado	Catálogo	Requerido
Fecha planeada (inicio y fin)	Fecha	Requerido
Prioridad / criticidad	Alta · Media · Baja	Requerido
Horas estimadas	Número	Opcional
Presupuesto estimado	Moneda	Opcional
Objetivo de la auditoría	Texto largo	Requerido
Alcance y criterios	Texto largo	Requerido
Auditor líder asignado	Usuario	Requerido
Notas y observaciones	Texto	Opcional

Estados de una auditoría durante la fase 1

Borrador

El auditor líder está construyendo el programa. Aún no es visible para otros roles ni ha iniciado el flujo de aprobación.

Quién puede actuar: Auditor líder únicamente.

En revisión

Enviado al responsable del SGI para su revisión. El líder puede hacer ajustes si regresa con observaciones.

Quién puede actuar: Responsable SGI, auditor líder.

Aprobado

Alta dirección aprobó el programa. Se activa el siguiente ciclo: notificación automática a involucrados y creación de auditorías en estado "Preparación".

Quién puede actuar: Alta dirección.

Pantalla: Programa anual de auditoría

Vista del auditor líder para crear y gestionar el programa del año.

Sistema de Auditorías Internas · Planeación · Programa Anual 2025

Total programadas

Completadas

En proceso

Pendientes

Programa anual · 2025

Estado: En revisión · Última modificación: 10 Mar 2025 · Auditor líder: A. García

Auditoría / Área	Framework	Tipo	Fecha plan.	Auditor líder	Prioridad	Horas est.	Estado
Seguridad de la información	ISO 27001	Sistema	Feb 2025	A. García	Alta	24h	Completada
Gestión de servicios TI	ISO 20000	Proceso	Mar 2025	R. López	Alta	20h	En proceso
Controles de seguridad	NIST CSF	Integral	May 2025	A. García	Media	32h	Pendiente
Infraestructura y endpoints	CIS Controls	Área	Jul 2025	M. Torres	Media	16h	Pendiente
+ 8 auditorías más en el programa…

Vista Gantt del calendario

Programa 2025 · Vista Gantt

Auditoría	Ene	Feb	Mar	Abr	May	Jun	Jul	Ago	Sep	Oct	Nov	Dic
Seguridad de la información
Gestión servicios TI
Controles NIST
Infraestructura CIS
Continuidad del negocio
+ 7 más…

Completada En proceso Pendiente

Formulario: agregar auditoría al programa

Nueva auditoría · Programa 2025

Datos generales

Alcance y criterios

Asignación

Recursos

Nombre de la auditoría *

Framework aplicable * 💡 Se pueden asociar múltiples frameworks

Tipo de auditoría *

Área / proceso auditado *

Prioridad *

Fecha de inicio planeada *

Fecha de cierre planeada *

Objetivo de la auditoría *

Módulo 1B · Evaluación de riesgos

Determina la criticidad de cada área o proceso para priorizar el programa de auditoría.

Evaluación de riesgos · Programa 2025

Mapa de riesgos por área

Última actualización: 15 Feb 2025 · Basado en resultados 2024 y contexto organizacional

Seguridad de la información

Riesgo alto · ISO 27001

Gestión de accesos

Riesgo alto · CIS Controls

Gestión de servicios TI

Riesgo medio · ISO 20000

Continuidad del negocio

Riesgo medio · NIST CSF

Infraestructura TI

Riesgo medio · CIS Controls

Recursos Humanos

Riesgo bajo · ISO 9001

Compras y proveedores

Riesgo bajo · ISO 9001

Comunicaciones

Riesgo bajo · ISO 20000

Factores de evaluación (ponderados)

NCs abiertas del ciclo anterior ×3 Cambios regulatorios recientes ×2 Cambios en procesos o sistemas ×2 Impacto en el negocio ×2 Tiempo desde última auditoría ×1 Incidentes reportados ×3

Formulario de evaluación de riesgo por área

Evaluar riesgo · Seguridad de la información

NCs del ciclo anterior sin cerrar *

Cambios regulatorios o del framework en el año

Incidentes de seguridad / calidad reportados

Observaciones del evaluador

Módulo 1C · Asignación del equipo auditor

Designación del auditor líder y conformación del equipo para cada auditoría programada.

Asignación de equipo · Controles NIST CSF · May 2025

Controles de seguridad · NIST CSF

May 2025 · Tipo: Integral · Prioridad: Media

Equipo auditor

Roberto López

Auditor · ISO 20000, NIST

Confirmado

María Torres

Auditora · CIS Controls, NIST

Pendiente confirm.

Agregar auditor al equipo

💡 Solo se muestran auditores sin conflicto de interés y disponibles en las fechas seleccionadas

Flujo de aprobación del programa anual

El programa requiere 3 actores antes de activarse. Cualquier modificación reinicia el flujo.

✓

Elabora

Auditor líder

10 Mar 2025

⏳

Revisa y ajusta

Responsable SGI

En revisión…

◯

Aprueba

Alta dirección

Pendiente

Diagrama del flujo

Auditor líder

Construye el programa anual

Agrega auditorías, fechas, evaluación de riesgos y asignaciones

Auditor líder

Envía a revisión

Cambia estado a "En revisión" — se notifica al SGI

¿El SGI aprueba o devuelve?

Devuelve con observaciones
El líder ajusta y reenvía

Aprueba revisión
Avanza a alta dirección

Alta dirección

Revisa y aprueba formalmente

Firma digital o confirmación en sistema

¿Aprueba o rechaza?

Rechaza
Regresa al líder con motivo

Aprueba
Programa activo ✓

Sistema

Notificación automática

Email a auditores y responsables de área · Inicia Fase 2

Pantalla de revisión (SGI)

Revisar programa · Responsable SGI

Programa anual 2025 — en revisión

Enviado por A. García · 10 Mar 2025 · 12 auditorías

Resumen del programa

12 auditorías programadas 4 frameworks distintos Cobertura: 8 áreas Horas totales: 248h

Observaciones del revisor

Decisión

⚠️

Modificaciones al programa aprobado

Cualquier cambio al programa después de su aprobación (agregar, quitar o reprogramar auditorías) requiere justificación documentada y reinicia el flujo de aprobación desde el paso de revisión SGI. El historial de versiones queda registrado de forma permanente.

Notificación automática al aprobar el programa

Al recibir la aprobación de alta dirección, el sistema dispara automáticamente los emails correspondientes por rol.

Qué dispara el sistema automáticamente

1. Email a todos los auditores asignados

Notificación de que el programa está aprobado y sus auditorías han sido confirmadas, con calendario y próximos pasos.

2. Email a responsables de área auditados

Aviso de las auditorías que afectan su área, con fechas tentativas y solicitud de confirmar disponibilidad.

3. Cambio automático de estado en el sistema

Cada auditoría del programa pasa de "Borrador" a "Preparación — Pendiente", lo que habilita la Fase 2.

4. Registro en log de comunicaciones

Todas las notificaciones enviadas quedan registradas con timestamp, destinatario y estado de entrega.

Vista previa del email (auditores)

De: Sistema de Auditorías Internas <auditoria@empresa.com>
Para: r.lopez@empresa.com
Fecha: 15 Mar 2025, 09:14

Programa de Auditoría 2025 aprobado — sus auditorías han sido confirmadas

Estimado Roberto López,

El Programa Anual de Auditoría 2025 ha sido aprobado formalmente por la Alta Dirección.

Usted ha sido asignado a las siguientes auditorías:

Gestión de servicios TI · ISO 20000
Fecha planificada: 10–21 Mar 2025 · Rol: Auditor líder

Controles NIST CSF · NIST CSF 2.0
Fecha planificada: 5–23 May 2025 · Rol: Auditor de apoyo

El plan detallado de cada auditoría estará disponible en el sistema una vez que inicie la Fase 2 · Preparación.

Puede consultar el programa completo en:
→ Acceder al sistema de auditorías

Saludos,
Sistema de Gestión de Auditorías Internas

Vista previa del email (auditados)

De: Sistema de Auditorías Internas <auditoria@empresa.com>
Para: responsable.ti@empresa.com
Fecha: 15 Mar 2025, 09:14

Aviso: su área será auditada en 2025 — confirme disponibilidad

Estimado/a,

Le informamos que el área de Gestión de Servicios TI está incluida en el Programa de Auditoría Interna 2025.

Auditoría: Gestión de servicios TI
Framework: ISO 20000-1:2018
Fecha tentativa: 10–21 Mar 2025
Auditor líder: Roberto López

Por favor confirme su disponibilidad en el sistema. El plan detallado con los entrevistados y documentos requeridos se compartirá durante la Fase 2 · Preparación.

→ Confirmar disponibilidad

Planeación de la auditoría

Campos del programa anual (por auditoría)

Programa anual · 2025

Mapa de riesgos por área

Controles de seguridad · NIST CSF

Programa anual 2025 — en revisión