Compromisos de Auditoría
Gestiona auditorías de cumplimiento desde la preparación hasta la completación.
Descripción General
Los Compromisos de Auditoría te ayudan a:
- Planificar y rastrear actividades de auditoría
- Gestionar acceso y solicitudes de auditores
- Recopilar y organizar evidencia
- Rastrear hallazgos de auditoría y remediación
- Generar reportes listos para auditoría
Navega a Auditorías en la barra lateral.
Tipos de Auditoría
Auditorías Internas
Autoevaluaciones y revisiones internas:
- Evaluaciones de seguridad
- Verificaciones de cumplimiento de políticas
- Pruebas de efectividad de controles
- Análisis de brechas
Auditorías Externas
Compromisos de auditores de terceros:
- SOC 2 Type I/II
- Certificación ISO 27001
- Evaluación PCI-DSS
- Auditorías HIPAA
- Exámenes regulatorios
Crear una Auditoría
Nuevo Compromiso de Auditoría
- Ve a Auditorías → Crear Compromiso
- Ingresa detalles de auditoría:
- Nombre de auditoría
- Tipo (Interna/Externa)
- Marco (SOC 2, ISO, etc.)
- Inicio/fin de período de auditoría
- Nombre de auditor/firma
- Establece hitos clave
- Haz clic en Crear
Detalles de Auditoría
| Campo | Descripción |
|---|---|
| Nombre | Nombre del compromiso de auditoría |
| Tipo | Interna o Externa |
| Marco | Marco de cumplimiento |
| Período | Fechas del período de auditoría |
| Estado | Planificación, En Progreso, Completa |
| Líder | Líder de auditoría interno |
| Auditor | Auditor/firma externa |
Flujo de Trabajo de Auditoría
Fases
Planificación → Trabajo de Campo → Reporte → Remediación → Cierre1. Fase de Planificación
Prepara para la auditoría:
- Define alcance y objetivos
- Identifica controles clave
- Recopila evidencia preliminar
- Programa reuniones con auditores
- Asigna recursos internos
Lista de Verificación:
- [ ] Confirmar alcance de auditoría
- [ ] Identificar sistemas en alcance
- [ ] Asignar propietarios de controles
- [ ] Preparar inventario de evidencia
- [ ] Programar reunión de inicio
2. Fase de Trabajo de Campo
Período activo de auditoría:
- Responde a solicitudes de auditores
- Proporciona evidencia
- Facilita pruebas
- Aborda hallazgos preliminares
Actividades del Auditor:
- Pruebas de controles
- Revisión de evidencia
- Recorridos
- Entrevistas
3. Fase de Reporte
Recibe y revisa resultados:
- Revisión de borrador de reporte
- Preparación de respuesta de gestión
- Entrega de reporte final
4. Fase de Remediación
Aborda hallazgos de auditoría:
- Crea tareas de remediación
- Asigna propietarios
- Rastrea progreso
- Proporciona evidencia de remediación
5. Fase de Cierre
Completa el compromiso:
- Reporte final aceptado
- Remediación verificada
- Lecciones aprendidas documentadas
- Archivo de compromiso
Solicitudes de Evidencia
Gestionar Solicitudes
Cuando los auditores solicitan evidencia:
- Ve a Auditorías → [Compromiso] → Solicitudes
- Ver solicitudes pendientes
- Haz clic en solicitud para ver detalles
- Sube o vincula evidencia
- Envía para revisión del auditor
Estado de Solicitud
| Estado | Descripción |
|---|---|
| Pendiente | Esperando respuesta |
| Enviada | Evidencia proporcionada |
| Aceptada | Auditor aprobó |
| Rechazada | Auditor necesita más información |
| Cerrada | Solicitud completa |
Lista de Solicitudes
Solicitudes Abiertas: 8
Vencen Hoy (2):
- CC6.1: Política de control de acceso
- CC6.3: Revisión de acceso de usuario
Vencen Esta Semana (4):
- CC7.1: Resultados de escaneo de vulnerabilidades
- CC7.2: Plan de respuesta a incidentes
- CC8.1: Proceso de gestión de cambios
- CC9.1: Evaluación de riesgos
Vencen Después (2):
- CC1.1: Actas de reunión del consejo
- CC2.1: Política de comunicaciónRespuesta Masiva
Responde a múltiples solicitudes:
- Selecciona solicitudes relacionadas
- Haz clic en Respuesta Masiva
- Sube evidencia cubriendo múltiples solicitudes
- Mapea evidencia a solicitudes
- Envía todas
Portal de Auditor
Función Profesional
El Portal de Auditor requiere plan Professional o Enterprise.
Acceso al Portal
Otorga acceso solo lectura a auditores:
- Ve a Auditorías → [Compromiso] → Acceso
- Haz clic en Invitar Auditor
- Ingresa email del auditor
- Establece permisos
- Envía invitación
Funciones del Portal
Los auditores pueden:
- Ver controles asignados
- Enviar solicitudes de evidencia
- Revisar evidencia enviada
- Añadir comentarios/preguntas
- Marcar solicitudes como completas
Niveles de Acceso
| Nivel | Capacidades |
|---|---|
| Visualizador | Ver solo evidencia |
| Revisor | Ver + comentar |
| Solicitante | Ver + comentar + solicitar |
Hallazgos de Auditoría
Tipos de Hallazgos
| Tipo | Descripción |
|---|---|
| Observación | Problema menor, informacional |
| Hallazgo | Deficiencia de control |
| Excepción | Instancia de incumplimiento |
| Debilidad Material | Falla significativa de control |
Rastrear Hallazgos
- Ve a Auditorías → [Compromiso] → Hallazgos
- Ver todos los hallazgos identificados
- Haz clic en hallazgo para detalles
- Asigna propietario de remediación
- Rastrea hasta resolución
Respuesta de Gestión
Documenta tu respuesta a hallazgos:
- Abre hallazgo
- Haz clic en Respuesta de Gestión
- Añade respuesta:
- Causa raíz
- Plan de remediación
- Fecha objetivo
- Parte responsable
- Envía respuesta
Seguimiento de Remediación
Hallazgo: Frecuencia de Revisión de Acceso
Estado: En Remediación
Propietario: Jane Smith
Objetivo: 15 Feb, 2026
Progreso:
[✓] Causa raíz identificada
[✓] Plan de remediación aprobado
[ ] Implementación técnica
[ ] Actualización de documentación
[ ] Prueba de verificaciónReportes
Panel de Auditoría
Ver estado de auditoría de un vistazo:
Auditoría SOC 2 Type II 2026
Estado: Trabajo de Campo (65% completo)
████████████████████████░░░░░░░░░░░░░░ 65%
Cronograma:
15 Ene - Inicio ✓
1 Feb - Inicio de Trabajo de Campo ✓
1 Mar - Fin de Trabajo de Campo (en progreso)
15 Mar - Borrador de Reporte
1 Abr - Reporte Final
Solicitudes: 45 totales
├── Aceptadas: 30 (67%)
├── Enviadas: 10 (22%)
└── Pendientes: 5 (11%)Reporte de Estado
Genera reporte de estado:
- Haz clic en Reportes → Estado de Auditoría
- Selecciona compromiso
- Elige secciones
- Genera PDF
Paquete de Evidencia
Crea paquete comprensivo de evidencia:
- Ve a Auditorías → [Compromiso] → Paquete
- Selecciona controles y evidencia
- Añade tabla de contenidos
- Incluye metadatos
- Genera paquete
El paquete incluye:
- Portada
- Matriz de controles
- Documentos de evidencia
- Metadatos de recopilación
- Cadena de custodia
Calendario de Auditorías
Vista de Cronograma
Ver todas las actividades de auditoría:
Enero 2026
─────────────────────────────────────────────────
Semana 1: SOC 2 - Reunión de inicio
Semana 2: SOC 2 - Comienza prueba de controles
Semana 3: ISO 27001 - Pre-evaluación
Semana 4: PCI-DSS - Vence completación de SAQHitos
Rastrea fechas clave:
| Hito | Fecha | Estado |
|---|---|---|
| Inicio de Auditoría | 15 Ene | Completo |
| Fecha Límite de Solicitud de Evidencia | 15 Feb | Pendiente |
| Trabajo de Campo Completo | 1 Mar | Próximo |
| Borrador de Reporte | 15 Mar | Próximo |
| Reporte Final | 1 Abr | Próximo |
Recordatorios
Recibe notificaciones para:
- Hitos próximos
- Solicitudes vencidas
- Fechas límite de respuesta
- Fechas de vencimiento de hallazgos
Auditorías Multi-Marco
Auditorías Combinadas
Gestiona auditorías cubriendo múltiples marcos:
- Crea compromiso
- Selecciona múltiples marcos
- Mapea controles compartidos
- Evidencia usada para todos los marcos
Beneficios de Eficiencia
Control: Revisiones de Acceso
Se mapea a:
- SOC 2 CC6.2 ✓
- ISO 27001 A.9.2.5 ✓
- PCI-DSS 8.1.4 ✓
¡Un conjunto de evidencia, tres marcos!Acceso API
bash
# Listar compromisos de auditoría
GET /api/v1/audits?status=in_progress
# Obtener detalles de compromiso
GET /api/v1/audits/{audit_id}
# Crear compromiso
POST /api/v1/audits
{
"name": "SOC 2 Type II 2026",
"type": "external",
"framework": "soc2",
"period_start": "2025-01-01",
"period_end": "2025-12-31",
"auditor": "Example CPA Firm"
}
# Listar solicitudes de evidencia
GET /api/v1/audits/{audit_id}/requests
# Responder a solicitud
POST /api/v1/audits/{audit_id}/requests/{request_id}/respond
{
"evidence_ids": ["evidence_123", "evidence_456"],
"notes": "Por favor ver documentos adjuntos"
}Consulta Referencia API para documentación completa.
Mejores Prácticas
- Empezar Temprano: Comienza preparación 2-3 meses antes
- Asignar Propietarios: Cada control necesita un propietario
- Organizar Evidencia: Mantén evidencia organizada todo el año
- Comunicar Claramente: Actualizaciones regulares a auditores
- Rastrearlo Todo: Documenta todas las interacciones
- Aprender de Hallazgos: Aborda causas raíz
- Automatizar Recopilación: Usa evidencia automatizada donde sea posible