No todas las certificadoras tienen los mismos métodos de trabajo pero básicamente se parecerá a lo que se describe a continuación.
Una vez que se ha implantado la norma en su organización, se deja pasar un tiempo prudencial para generar registros de auditoria, es decir, evidencias que el certificador pueda comprobar. Este periodo no es fijo pero nunca será inferior a un mes.
Una vez generados esos registros auditables y con el SGSI funcionando un tiempo, ya se puede hacer la auditoría de certificación.
Hay certificadoras que hacen una pre auditoría generalmente documental donde además el certificador toma conocimiento de la actividad de la empresa, estructura, instalaciones etc. A partir de esta auditoría documental se hace un informe con una serie de no conformidades y observaciones.
Con el resultado del informe se realizan las acciones correctivas necesarias según la metodología que se describa en el SGSI (que ya está implantado, no olvidemos). Hechas las correcciones ya se puede pasar a la auditoría de certificación propiamente dicha. En esta segunda auditoría se comprobarán las acciones realizadas en función del informe de la primera.
Hay certificadoras que no hacen la pre auditoría y van directamente a la de certificación. Yo no recomiendo que se haga esto sin antes realizar la pre auditoría con un consultor independiente de los que hayan hecho la implantación. No es un gasto, es prevenir que nos echen atrás la certificación.
La auditoría de certificación tendrá una serie de no conformidades sobre las que hay que presentar un plan de acciones correctivas que será evaluado por el auditor. Si la evaluación es satisfactoria el auditor hará un informe favorable a que se conceda el certificado.
El criterio de evaluación no tiene porque coincidir en todas las certificadoras que son quienes marcan las pautas a los auditores. Unas distinguen entre NO CONFORMIDADES MAYORES MENORES y OBSERVACIONES. Otras no hacen distinción entre MAYORES Y MENORES y dejan el tema en NO CONFORMIDADES y OBSERVACIONES.
Conviene que esto quede claro cuando se está haciendo el presupuesto para la certificación. Es una cuestión de matiz que puede dar lugar a mal entendidos.
Tenga presente estos consejos:
- En el momento que el auditor entra en su empresa ya tiene al menos 15 no conformidades mayores en la recámara. No busque ser el "auditado perfecto", no lo será.
- No se pille los dedos. La norma dice que usted debe tener unos objetivos en materia de seguridad. Si pone el listón muy alto, no podrá poner unos objetivos accesibles. (Ver 4.2.1 Creación del SGSI apartado b-1 y 4.2.3 Supervisión del SGSI d-3).
- Discutir con el auditor no aporta gran cosa y si a cada punto de norma alguien va a protestar, lo único que conseguiremos será que el auditor tenga un estado de ánimo poco favorable a nuestro fin.