AnalisisPublicado el 19 de marzo de 202610 min de lectura

Como auditar proveedores criticos con marco ISO: guia para auditorias de segunda parte

Guia practica para auditar proveedores criticos usando marcos ISO 27001, ISO 9001 y criterios de riesgo. Que evaluar, como priorizar y como documentar hallazgos en auditorias de segunda parte.

La dependencia de proveedores externos es una realidad estructural de cualquier organizacion moderna. Servicios en la nube, desarrollo de software tercerizado, outsourcing de procesos criticos, proveedores de seguridad gestionada: la cadena de suministro digital es tan extensa que, en muchos casos, el proveedor mas debil define el nivel de riesgo de toda la organizacion. Y sin embargo, la auditoria de proveedores sigue siendo una de las actividades mas subestimadas en los sistemas de gestion.

Que es una auditoria de segunda parte y por que importa

Una auditoria de segunda parte es aquella que realiza el cliente (o un evaluador contratado por el cliente) sobre su proveedor. A diferencia de la auditoria de tercera parte (realizada por un organismo de certificacion), la auditoria de segunda parte responde a los intereses especificos de la organizacion contratante. No busca certificar al proveedor. Busca verificar que cumple con los requisitos que la organizacion necesita para gestionar sus propios riesgos.

ISO 19011:2018, la norma que orienta la auditoria de sistemas de gestion, aplica directamente a este tipo de evaluaciones. Pero los criterios de auditoria los define la organizacion contratante, no una norma generica. Y ahi es donde la mayoria falla: auditan contra una checklist estandar en lugar de auditar contra sus riesgos reales.

Como definir que proveedores auditar

No podes auditar a todos tus proveedores con la misma profundidad. El primer paso es clasificarlos por criticidad. Un proveedor es critico cuando cumple al menos una de estas condiciones:

Accede a datos sensibles de tu organizacion. Esto incluye datos personales (relevante para ISO 27701), datos financieros, propiedad intelectual o informacion de clientes.
Ejecuta un proceso que, si falla, detiene tu operacion. Proveedores de infraestructura, nube, ERP o servicios de pago entran en esta categoria.
Tiene acceso directo a tus sistemas. VPNs, APIs, accesos remotos. Si el proveedor tiene una puerta a tu red, es critico por definicion.
Actua en tu nombre frente a clientes o reguladores. Un proveedor que gestiona atencion al cliente, cumplimiento regulatorio o comunicaciones oficiales representa riesgo reputacional y legal.

ISO 27001, clausula A.5.19 (Seguridad de la informacion en relaciones con proveedores), exige que la organizacion identifique y gestione los riesgos asociados a la cadena de suministro. La gestion integral de riesgos empieza por saber quien tiene acceso a que.

Que evaluar en una auditoria de segunda parte

Una auditoria de proveedor critico deberia cubrir, como minimo, estas cinco dimensiones:

Gobernanza y politicas. ¿El proveedor tiene un sistema de gestion documentado? ¿Politicas de seguridad de la informacion? ¿Politica de continuidad? No necesita estar certificado, pero necesita evidencia de gestion sistematica.
Controles de acceso y segregacion de datos. ¿Como separa los datos de distintos clientes? ¿Que controles de acceso aplica? ¿Quien puede ver tu informacion y bajo que condiciones? Esto es critico para cumplir con ISO 27001, clausula A.8.3.
Gestion de incidentes. ¿El proveedor tiene un proceso de respuesta a incidentes? ¿En cuanto tiempo notifica? ¿Que informacion comparte? La clausula A.5.24 de ISO 27001:2022 exige que los acuerdos con proveedores incluyan requisitos de gestion y reporte de incidentes.
Continuidad del servicio. ¿Que pasa si el proveedor sufre un ataque, una caida o un desastre? ¿Tiene un plan de continuidad probado? ¿Cada cuanto lo testea? Para proveedores de infraestructura, esto se vincula directamente con ISO 22301 y continuidad de negocio.
Cumplimiento y trazabilidad. ¿El proveedor puede demostrar cumplimiento con los requisitos contractuales? ¿Mantiene registros auditables? ¿Permite auditorias de segunda parte segun lo estipulado en el contrato?

Como documentar hallazgos de manera efectiva

Un hallazgo de auditoria de segunda parte debe ser accionable. No alcanza con decir "el proveedor no cumple". Necesitas documentar:

El criterio de auditoria (que requisito se evaluo).
La evidencia obtenida (que viste, que te mostraron, que falta).
La clasificacion del hallazgo: no conformidad mayor, no conformidad menor u observacion.
La accion requerida y el plazo. Si es una no conformidad mayor, necesitas evidencia de correccion antes de continuar la relacion comercial.

ISO 19011 recomienda que los hallazgos se comuniquen al auditado durante la reunion de cierre, no despues. Esto permite aclarar malentendidos y acordar plazos de manera presencial.

Frecuencia y seguimiento

La frecuencia de auditoria depende de la criticidad del proveedor. Para proveedores de alto riesgo, una auditoria anual completa con seguimientos semestrales es el estandar. Para proveedores de riesgo medio, una evaluacion documental anual con auditoria presencial cada dos anos puede ser suficiente. Lo que no es negociable es el seguimiento de hallazgos: cada no conformidad debe tener una accion correctiva verificada.

Si tu organizacion necesita estructurar un programa de auditoria de proveedores, el punto de partida es definir los criterios de riesgo. Un diagnostico de controles de seguridad contra ISO 27001 y una evaluacion de madurez del sistema de calidad ISO 9001 te dan la base para armar criterios solidos.

Disponible ahora

¿Quieres aplicar estos hallazgos?

Transformamos datos de investigacion en diagnosticos ejecutables para tu organizacion.

Solicitar diagnostico→Ver investigaciones→

Loading content…

Que es una auditoria de segunda parte y por que importa

Como definir que proveedores auditar

No podes auditar a todos tus proveedores con la misma profundidad. El primer paso es clasificarlos por criticidad. Un proveedor es critico cuando cumple al menos una de estas condiciones:

Accede a datos sensibles de tu organizacion. Esto incluye datos personales (relevante para ISO 27701), datos financieros, propiedad intelectual o informacion de clientes.

Ejecuta un proceso que, si falla, detiene tu operacion. Proveedores de infraestructura, nube, ERP o servicios de pago entran en esta categoria.

Tiene acceso directo a tus sistemas. VPNs, APIs, accesos remotos. Si el proveedor tiene una puerta a tu red, es critico por definicion.

Actua en tu nombre frente a clientes o reguladores. Un proveedor que gestiona atencion al cliente, cumplimiento regulatorio o comunicaciones oficiales representa riesgo reputacional y legal.

Que evaluar en una auditoria de segunda parte

Una auditoria de proveedor critico deberia cubrir, como minimo, estas cinco dimensiones:

Gobernanza y politicas. ¿El proveedor tiene un sistema de gestion documentado? ¿Politicas de seguridad de la informacion? ¿Politica de continuidad? No necesita estar certificado, pero necesita evidencia de gestion sistematica.

Controles de acceso y segregacion de datos. ¿Como separa los datos de distintos clientes? ¿Que controles de acceso aplica? ¿Quien puede ver tu informacion y bajo que condiciones? Esto es critico para cumplir con ISO 27001, clausula A.8.3.

Gestion de incidentes. ¿El proveedor tiene un proceso de respuesta a incidentes? ¿En cuanto tiempo notifica? ¿Que informacion comparte? La clausula A.5.24 de ISO 27001:2022 exige que los acuerdos con proveedores incluyan requisitos de gestion y reporte de incidentes.

Continuidad del servicio. ¿Que pasa si el proveedor sufre un ataque, una caida o un desastre? ¿Tiene un plan de continuidad probado? ¿Cada cuanto lo testea? Para proveedores de infraestructura, esto se vincula directamente con ISO 22301 y continuidad de negocio.

Cumplimiento y trazabilidad. ¿El proveedor puede demostrar cumplimiento con los requisitos contractuales? ¿Mantiene registros auditables? ¿Permite auditorias de segunda parte segun lo estipulado en el contrato?

Como documentar hallazgos de manera efectiva

Un hallazgo de auditoria de segunda parte debe ser accionable. No alcanza con decir "el proveedor no cumple". Necesitas documentar:

El criterio de auditoria (que requisito se evaluo).

La evidencia obtenida (que viste, que te mostraron, que falta).

La clasificacion del hallazgo: no conformidad mayor, no conformidad menor u observacion.

La accion requerida y el plazo. Si es una no conformidad mayor, necesitas evidencia de correccion antes de continuar la relacion comercial.

ISO 19011 recomienda que los hallazgos se comuniquen al auditado durante la reunion de cierre, no despues. Esto permite aclarar malentendidos y acordar plazos de manera presencial.

Frecuencia y seguimiento