Auditorias de Seguridad
43
Transcript of Auditorias de Seguridad
La La CERTIFICACIÓN es un reconocimiento formal de que una persona u organización cumple los REQUISITOS (exigencias) de un reglamento o una norma.Es un testimonio de que hay suficientes evidencias de que la organización tiene la CAPACIDAD para cumplir exigencias establecidas. La certificación es otorgada por organismos certificadores.
La ACREDITACIÓN es un reconocimiento documentado que demuestra la capacidad para cumplir requisitos, pero además que la organización o persona es TÉCNICAMENTE IDÓNEA para ciertas actividades.
La acreditación demuestra la COMPETENCIA de conocimientos.
Ambos reconocimientos requieren de un examen especializado: LA AUDITORÍA.
CONSIDERACIONES BASICAS
NORMA.NORMA. Especificación técnica u otro documento accesible a las personas, establecido con la cooperación y con el consenso o la aprobación general de todas las partes interesadas, basados en los resultados conjuntos de la ciencia, la tecnología y la experiencia, que tiene por objeto el beneficio óptimo de los interesados.
REGLAMENTO. REGLAMENTO. Documento de carácter obligatorio que contiene disposiciones legislativas, reglamentarias o administrativas y que ha sido adoptado y publicado por un organismo sea publico o privado.
Control.Control. Verificación del cumplimiento de normas establecidas; está relacionada con las personas.
Supervisión.Supervisión.Verificación del cumplimiento de Procedimientos; está relacionado con los procesos.
Inspección.Inspección. Conformidad por medio de la observación y dictamen acompañado, si es pertinente con medición, ensayo/prueba o comparación con patrones pre establecidos.
Proceso sistemático, independiente y documentado que se realiza para obtener y evaluar evidencias de manera objetiva, y determinar hasta que punto se cumplen las políticas, objetivos, normas y reglamentos de la Empresa.
DE GESTION.DE GESTION.Examina la situación, fortalezas y debilidades, Políticas, objetivos, estrategias, programas, etc.
TÉCNICA.TÉCNICA.Examina procedimientos, procesos especializados, es la Inspección Técnica de Riesgos de Seguridad.
• Determinar la conformidad o no conformidad
del sistema integral de Seguridad (estrategia,
estructura, cultura y procesos).
• Determinar la efectividad del sistema de
gestión para lograr los objetivos establecidos
(estrategia).
• Evaluar la necesidad de mejoramiento o
corrección de los aspectos técnicos de
Seguridad (estructura).
• Proveer al auditado la oportunidad de
mejorar su sistema de Seguridad.
• Satisfacer requisitos reglamentarios.
• Permitir la incorporación al sistema
integral de Seguridad, de la organización
auditada.
EL AUDITOR. Persona o equipo de personas con la competencia necesaria para llevar a cabo una auditoría.
EL AUDITADO. Persona u organización que es auditada
Normalizándola.
Reglamentándola.
Estrategia
Estructura
Cultura
Procesos
Recursos
AUDITORÍA DE
SEGURIDAD
Uno o más auditores que conforman el equipo auditor.
• Un auditor del equipo auditor se designa generalmente como auditor líder.
• El equipo auditor puede incluir auditores de formación y cuando sea necesario, expertos técnicos.
• Los observadores pueden acompañar al equipo auditor pero no actúan como parte del mismo.
Asociado a los
auditores
1. Conducta ética
2. Imparcialidad
3. Independencia
4. Evidencia
“CONDUCTA ÉTICA”
La integridad, confianza, confidencialidad y la discreción son esenciales en la auditoria de Seguridad.
“CONDUCTA ÉTICA”
La integridad, confianza, confidencialidad y la discreción son esenciales en la auditoria de Seguridad.
“ IMPARCIALIDAD”
Los hallazgos, conclusiones y mejoras de la auditoría deben reflejar con exactitud las evidencias de la auditoria de Seguridad.
“ IMPARCIALIDAD”
Los hallazgos, conclusiones y mejoras de la auditoría deben reflejar con exactitud las evidencias de la auditoria de Seguridad.
“INDEPENDENCIA”
Los auditores son independientes de la actividad que es auditada y están libres de sesgo y conflicto de intereses. Sus conclusiones y mejoras están basadas solo en evidencias.
“INDEPENDENCIA”
Los auditores son independientes de la actividad que es auditada y están libres de sesgo y conflicto de intereses. Sus conclusiones y mejoras están basadas solo en evidencias.
“EVIDENCIA”
La evidencia en la auditoría de seguridad es verificable. Está basada en muestras de la información obtenida.
“EVIDENCIA”
La evidencia en la auditoría de seguridad es verificable. Está basada en muestras de la información obtenida.
METODOLOGÍA PARA AUDITAR
Programa de auditoria. Plan de auditoria. Actividades de auditoria:
* Inicio de la auditoría* Revisión documentaria* Preparación de actividades y visita* Realización de la auditoría in situ.* Preparación, aprobación y distribución del informe.* Termino de la auditoria.* Seguimiento.
Conjunto de una o más auditorias Conjunto de una o más auditorias
planificadas para un período de planificadas para un período de
tiempo específico y dirigidas para tiempo específico y dirigidas para
un propósito específico.un propósito específico.
Conjunto de una o más auditorias Conjunto de una o más auditorias
planificadas para un período de planificadas para un período de
tiempo específico y dirigidas para tiempo específico y dirigidas para
un propósito específico.un propósito específico.
Mediante.
• Objetivos
• Extensión
• Responsabilidades
• Recursos
• Procedimientos
Asegurar que los objetivos se cumplan y
definir
indicadores de desempeño que midan:
Aptitud de auditores para implementar el
PA. Conformidad con los PA y calendarios
establecidos. La retroalimentación de los involucrados. El tiempo tomado para cerrar las acciones
correctivas y de mejoras.
Descripción de preparativos y
actividades que se deben de ejecutar
in situ.
EL PLAN DE AUDITORIA
Preparación del plan de auditoria.
Lo prepara el auditor responsable. Los detalles del plan debe reflejar el
campo de aplicación y la complejidad de la auditoria.
Hacerlo flexible para permitir cambios eventuales y/o no programados.
EL PLAN DE AUDITORIAContenido
• Objetivo y alcance• Criterios y documentos de referencia• Lugares y fechas de auditoria• Tiempo de cada actividad• Cronograma de actividades• Funciones y responsabilidades de los
miembros del equipo.• Identificación de recursos necesarios.• Identificación del representante del auditado• Logística• Requerimientos de confidencialidad.
Actividades de Auditoria
Inicio de la auditoria
Preparación de las actividades de auditoría In Situ
Revisión documentaria
Realización de la auditoria In Situ
Preparación, aprobación y distribución del informe
Termino de la auditoria
Seguimiento
Inicio de la auditoría
• Designación del auditor responsable
• Definición de objetivos
• Definición del alcance
• Definición de criterios de auditoria
• Determinación de la viabilidad de la auditoria
• Establecimiento del equipo auditor
• Establecimiento de los contactos iniciales
con el auditado
Revisión de documentos
• Determinar la conformidad del sistema según documentación. (incluir documentación y registros relevantes e informes de auditorias anteriores si las hubiera).
• Realizar visita preliminar al lugar.
• Informar al cliente cuando sea necesario que la documentación es insuficiente o contiene deficiencias en la información solicitada.
Preparación de las actividades de visita
al emplazamiento Preparación del plan de
auditoria.
Asignación de los trabajos al equipo de auditores.
Preparación de los documentos de trabajo.
Realización de la auditoria Reunión inicial Comunicación durante la auditoria El rol de Guías y Observadores Recopilación y verificación de la
información Verificación de fuentes de
información Generación de hallazgos de auditoria Preparación de conclusiones y
mejoras Reunión final de la auditoria
Reunión inicial
Se realiza con la Dirección del auditado o con los responsables de las funciones a auditar.
Son propósitos de esta reunión los siguientes:
Revisar el plan de auditoría Informar como se realizará la auditoría. Confirmar los canales de comunicación Dar oportunidad al auditado de
preguntar.
Agenda para la reunión inicial
• Presentar al equipo auditor• Revisar el alcance y los objetivos• Explicar método y procedimientos a seguir• Establecer lazos de comunicación oficiales• Confirmar recursos solicitados• Explicar sistema de calificación de hallazgos• Clarificar cualquier detalle del plan de
auditoría• Confirmar la hora y la fecha de la reunión de
cierre.
Comunicación durante la auditoria.
•Permanente intercambio de información
•Permanente evaluación del proceso de la Auditoria.
•Si es necesario, se reasigna el trabajo.•Comunicar el estado de la auditoría.•Si las evidencias indican que los objetivos no son alcanzables,
comunicar al cliente.
Rol de los Guías y Observadores.
– No influir ni intervenir– Asistir al equipo auditor.– Establecer contactos y tiempos para
entrevistas.– Acordar visitas a las partes específicas.– Asegurar que las reglas de confidencialidad y
procedimientos de seguridad son conocidos por los auditores.
– Pueden ser testigos de la auditoría.– Pueden proporcionar aclaraciones.– Pueden asistir en la recopilación de
información.
Fuentes de información
Recopilación mediante muestreo
Información
verificación
Evidencia de la auditoría
Evaluación frente a criterios
Hallazgos de auditoríaRevisión
Recopilación y verificación de la información
Conclusiones de Auditoria
Fuentes de información
• Entrevistas• Observación de actividades, condiciones y
ambiente de trabajo.• Documentos (política, procedimientos,
planes, contratos, instrucciones, etc.).• Registros• Resumen de datos, indicadores de
desempeño.• Informe de otras fuentes (clientes,
clasificación de proveedores, etc.).
Preguntas durante la entrevista
o Evitar condicionar la respuesta o pregunta que sugiere la respuesta deseada
“Una vez terminado su trabajo, ¿archiva el registro en el lugar correspondiente?
Esta pregunta sólo consigue un si o un no.
Ayuda práctica para entrevistar
Los indicios que sugieren no conformidades y que resulten significativos, deben ser investigados aún cuando no estén previstos en la lista de verificación.
• Reunirse cuantas veces sea necesario para evaluar hallazgos de auditoria.
• Resumir los hallazgos de auditoria.• Clasificar las no conformidades.• Asegurar que la evidencia es precisa y las
no conformidades se han comprendido.• Registrar los puntos en los que no haya
acuerdo.
Generación de hallazgos de auditoria
• Completada la auditoria, efectuar una revisión privada de hallazgos.
• Por cada no conformidad se redacta una Acción Correctiva.
• Esta revisión incluye:- Revisión y conclusión de hojas de verificación.- Estudio de notas y comparación con el equipo.
- Lista de no conformidades.- Tomar acuerdos sobre no conformidades.
Preparación de las Conclusiones
• Presentar hallazgos y conclusiones.• Acordar tiempo para que el auditado presente
plan de acciones correctivas.• Debe participar el auditado.• Puede participar los observadores y otras
partes.• En auditorias externas la reunión final es
formal.• Es dirigida por el auditor responsable.• Toda opinión divergente sobre hallazgos debe
discutirse.• Incluir recomendaciones si está en los objetivos.
Reunión final de la auditoria
Preparación, aprobación y distribución del informe de auditoria• Lo elabora el auditor responsable• Concreto y preciso. • Debe referenciar lo siguiente:
Objetivos de la auditoria Alcance cubierto Identificación del cliente de la auditoria Identificación de los miembros del equipo auditor. Fechas y lugares de auditoria. Hallazgos de auditoria. Conclusiones de auditoria.
Término de la auditoria
Conservación de los documentos de auditoria.
• Salvo requerimiento legal, el equipo auditor no debe revelar el contenido de sus documentos.
• Si por alguna circunstancia se tiene que revelar su contenido, se debe informar al cliente y/o al auditado.
• La auditoria finaliza cuando el plan de auditoria se ha realizado y el informe se ha distribuido.
Seguimiento
• La adopción de medidas correctivas, preventivas y de mejora por parte del auditado no son parte de la auditoria.
• La efectividad de la acción correctiva, preventiva y de mejora debe verificarse de acuerdo con el procedimiento apropiado.
• La verificación es parte de una auditoria posterior, sea esta auditoria técnica o de gestión.
