TALLER AUDITORÌA
EJERCICIO 1 RAZONES PARA IMPLEMENTAR LA ISO 28000 EN MI ORGANIZACIÓN ORGANIZACIÓN Utilizando la información suministrada en el Curso, determine 3 Ventajas y Justifique las razones para implementar la norma ISO 28000 en su organización. VENTAJA 1 __Mejora 1 __Mejora de la Seguridad_
JUSTIFICACION: Implementando la norma 28000 aumenta la confiabilidad en los clientes, asegurando la cadena de suministros .
VENTAJA 2 _Reducción de Costos___
JUSTIFICACION: La mayor parte de las compañías busca reducir costos, al implementar una norma como esta, disminuye los reprocesos, y fallas que se puedan presentar en la cadena de suministros. VENTAJA 3 _Ventaja Competitiva__
JUSTIFICACION: Una de las mayores ventajas que puede tener una compañía es que está certificada con una norma como esta, genera más confiabilidad a los clientes, teniendo en cuenta que no cual cual uiera uiera se uede uede certi certific ficar. ar.
EJERCICIO 3 CADENAS DE SUMINISTROS En sus Propias Palabras indique, ¿Que es una Cadena de Suministros?
Es la gestión y mejora continua del abastecimiento y planeación de productos productos de la cadena de valor para satisfacción efectiva de la demanda del cliente, en el mejor tiempo y costo posible a través de la gestión de flujos de información.
EJERCICIO 4 CADENAS DE SUMINISTROS Según su Experiencia y lo visto en el Curso, está de acuerdo o no con Michael Porter, cuando indica que “En el Futuro la competencia no será de empresa a empresa, sino más
bien, de Cadena de Suministros a Cadena de Suministros. Rta Es de cadena de suministros a cadena de suministros, el decía que la supervivencia y el éxito de una empresa en el mundo competitivo moderno requiere de mucho más que la simple mejora de sus operaciones y la integración de sus funciones internas. EJERCICIO 5 CADENAS DE SUMINISTROS / PARTES INTERESADAS (INTERNAS / EXTERNAS)
Su Empresa está Vinculada al Comercio internacional y presta Servicios de Almacenamiento Almacenamiento y Distribución. Distribución.
De acuerdo con la siguiente Cadena de Suministro, Indique 2 Partes Interesadas Internas, 2 Partes Interesadas Externas y Justifique porque la organización debería tenerlas en cuenta en su SGSCS. De acuerdo con la siguiente Cadena de Suministro, Indique que Partes Interesadas se encuentran Aguas Arriba y Aguas Abajo de su empresa.
1. PARTES INTERESADAS INTERNAS No 1: Centro de distribución JUSTIFICACION: Se debe tener en cuenta en el SGSC debido a que existen muchos riesgos en esta zona que pueden afectar la seguridad de la mercancía, así como poner en juego el buen nombre de la empresa. No 2: Transporte JUSTIFICACION: Se debe tener en cuenta en el SGSC porque como lo mencioné anteriormente ponen en juego e buen nombre de la empresa si no se tienen los controles respectivos pues es muy propenso a que se transporte mercancía ilícita como fachada.
PARTES INTERESADAS EXTERNAS No 1: Comprador/consumidor JUSTIFICACION: Se debe tener en cuenta en el SGSC porque lo que se busca es que los clientes se sientan satisfechos con los servicios prestados, si no se tiene control sobre esto se incurre en el riesgo de pérdida de clientes. No 2: Tiendas JUSTIFICACION: Se debe tener en cuenta en el SGSC puesto que en este punto se corren muchos riesgos si no se tienen en cuenta los controles necesarios y pertinentes para que las operaciones se hagan legalmente.
2. PARTES INTERESADAS AGUAS ARRIBA / AGUAS ABAJO AGUAS ARRIBA No 1 Centro de distribución No 2 Transporte AGUAS ABAJO No 1 Consumidor No 2 Tiendas
EJERCICIO 6 La Norma NTC-ISO 28000 es utilizada para cumplir varias Normas y Reglamentos que están relacionados con la Cadena de Suministros
Internacional. ¿Indique al menos 4 Normas o Reglamentos que una empresa vinculada al Comercio Internacional debe cumplir? 1. Resolución 4050 de 1994 - Reglamenta examen de ingreso al trabajo y los exámenes periódicos y de egreso. 2. Decreto 1295 de 27 de junio de 1994 - Ministerio de la Protección Social. Obligatoriedad de afiliación al Sistema General de Riesgos profesionales, programa de salud ocupacional, realizar programas educativos sobre los riesgos para la salud a que están expuestos los trabajadores y sobre los métodos de prevención y control. 3. Decreto 1772 de 03 de agosto de 1994 - Afiliar a los trabajadores al Sistema General de seguridad Social en Riesgos profesionales, informar a los trabajadores la entidad administradora de riesgos profesionales a la que se encuentran afiliados 4. Decreto 1973 de 1995 - Por el cual se promulga el convenio 170 sobre la seguridad en la utilización de los productos químicos en el trabajo adoptado por la conferencia general de la O.I.T.
EJERCICIO 7 CLAUSULA 4 ELEMENTOS DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD Numeral 4.1 REQUISITOS GENERALES Según la Norma NTC-ISO28000 que aspectos deben cumplirse en este Numeral?
No 1: Establecer un sistema de Gestión de la seguridad No 2: Documentar un sistema de Gestión de la seguridad No 3: Implementar un sistema de Gestión de la seguridad
EJERCICIO No 9 CLAUSULA 4.3 VALORACION DEL RIESGO Y PLANEACION NUMERAL 4.3.1 VALORACION DEL RIESGO DE SEGURIDAD Determine los riesgos y vulnerabilidades asociadas con las siguientes situaciones e indique los posibles impactos.
AMENAZAS
RIESGOS
VULNERABILIDADES
IMPACTOS
El ex-director de seguridad de la empresa es contratado por la competencia La policía sospecha que un grupo terrorista utiliza la cadena de suministro como medio de contrabando de armas ilegales hacia dentro y fuera del país La Delincuencia Común ha hurtado 3 Vehículos y su Carga ( TV / Celulares / Ipads) en menos de una semana a la salida de Buenaventura Los puertos de embarque de la mercancía de exportación de la empresa presentan un alto índice de contaminación de la carga con narcóticos El depósito de almacenamiento y distribución de mercancías de la empresa está ubicado en un sector con alto índice de delincuencia común Los Contenedores de Exportación son dejados en Parqueaderos que no cuentan con barreras perimetrales y CCTV
Que la información ALTO Que se lleve confidencial este información para rotando en la la competencia competencia Que podemos estar perjudicados porque podemos estar expuestos si utiliza la cadena de suministros
Porque en algún ALTO momento nos pueden contaminar nuestras cargas
Porque podemos roben estas expuestos al robo
ALTO
Que en algún Que contaminen alto momento nos nuestra carga puedan contaminar nuestras cargas si no hay la seguridad adecuada Que nos roben Robo nuestra mercancía
Alto
Que sean Robo hurtados o los puedan utilizar para contaminarlos
alto
AMENAZAS El ex-director de seguridad de la empresa es contratado por la competencia La policía sospecha que un grupo terrorista utiliza la cadena de suministro como medio de contrabando de armas ilegales hacia dentro y fuera del país La Delincuencia Común ha hurtado 3 Vehículos y su Carga ( TV / Celulares / Ipads) en menos de una semana a la salida de Buenaventura Los puertos de embarque de la mercancía de exportación de la empresa presentan un alto índice de contaminación de la carga con narcóticos El depósito de almacenamiento y distribución de mercancías de la empresa está ubicado en un sector con alto índice de delincuencia común Los Contenedores de Exportación son dejados en Parqueaderos que no cuentan con barreras
RIESGOS
CONTROLES DE SEGURIDAD
Que divulgue la Una clausulas penales en el contrato donde información a la se especifique que no puede llevarse la competencia información Que nos Mayor control en aduana y en inspecciones contaminen nuestras carga
Que nos roben
Mayor vigilancia en la entrada y salida de puertos
Que nos Mayores controles y revisiones de las contaminen personas de la compañía para que no halla nuestras cargas contaminación de nuestras cargas
Robo
La vigilancia y los motorizados cuando la carga sea de un alto valor
Robo
Utilizar los parqueaderos establecidos y solicitar a la empresa que estos sean con toda las normas de seguridad que se necesitan para guardar los vehículos.
perimetrales CCTV
y
Numeral 4.3.2 REQUISITOS LEGALES Y REGLAMENTARIOS Identifique 5 Requisitos Legales que una organización vinculada al Comercio Internacional debe Cumplir como miras a garantizar la Seguridad de su Cadena de Suministros.
No 1 mantener actualizada la información organización No 2: Comunicar la información pertinente sobre requisitos legales No 3 Comunicar la información pertinente sobre requisitos legales y otros a sus empleados No 4 Comunicar la información pertinente sobre requisitos legales y otros a sus empleados incluidos los contratistas.
Numeral 4.3.5 PROGRAMAS DE GESTION DE LA SEGURIDAD Según la Norma NTC-ISO28000, ¿Señale 3 aspectos que según su criterio, son los que revisten mayor importancia en este Numeral?
No 1: La organización debe establecer e implementar y mantener programas de gestion de la seguridad para los objetivos y metas. No 2: Los programas debe optimizarse y luego priorizarse. No 3 La organización debe prever el uso de los costos de manera eficiente y eficaz en la implementación de seguridad.
EJERCICIO No 10 CLAUSULA 4.4 IMPLEMENTACION Y OPERACIÓN NUMERAL
4.4.1 ESTRUCTURA Y RESPONSABILIDAD PARA LA GESTION DE LA SEGURIDAD. Según la Norma NTC-ISO28000, La Alta Dirección debe proporcionar evidencia de su compromiso con el desarrollo e implementación de los procesos del Sistema de Gestión de la seguridad y mejorar continuamente su eficacia. ¿Indique al menos 5 acciones con las cuales la Alta dirección demostraría evidencia de su compromiso? No 1: Nombrar un miembro o varios de la dirección con la autoridad necesaria para garantizar que implementen en los objetivos y metas. No 2: Garantizar la disponibilidad de recursos adecuados No 3 Comunicar a la organización la importancia de cumplir sus requisitos de gestion de la seguridad a fin de cumplir con su política No 4: garantizar la viabilidad de los objetivos metas y programas de gestion de seguridad No 5: Identificar y hacer seguimiento a los requisitos y expectativas de las partes interesadas. NUMERAL 4.4.2 COMPETENCIA, FORMACION Y TOMA DE CONCIENCIA. En este numeral la norma NTC-ISO28000, nos indica que la organización y las personas deben ser conscientes de: La importancia de los cumplimientos de políticas y procedimientos de gestion de seguridad y las consecuencias potenciales que tiene la seguridad en la organización. NUMERAL 4.4.4 DOCUMENTACION Indique cuales son los documentos mínimos que debe tener el Sistema de Gestión de la Seguridad . Son los documentos incluidos en los registros determinados por la organización como necesarios. NUMERAL 4.4.6 CONTROL OPERACIONAL ¿Qué se debe tener en cuenta cuando se actualicen las disposiciones existentes, o se introduzcan nuevas que puedan causar impacto en las operaciones y actividades de gestión de la seguridad? NUMERAL 4.4.7 PREPARACIÓN Y RESPUESTA ANTE EMERGENCIAS Y RECUPERACIÓN DE LA SEGURIDAD ¿Con base a que deben estructurarse los Planes de Emergencia y Cuál es su objetivo fundamental? EJERCICIO No 11 CLAUSULA 4.5 VERIFICACIÓN Y ACCION CORRECTICA NUMERAL 4.4.2 EVALUACION
¿Según la Norma Según la Norma NTC-ISO28000, que aspectos se deben evaluar en este numeral?
En el numeral 4.5.2 que corresponde a la evaluación del sistema es claro en especificar que la organización debe evaluar: los planes, procedimientos y capacidades de la gestión de seguridad; así como también evaluar de forma periódica la conformidad con la legislación y la reglamentaciones pertinentes, las mejores prácticas de la industria y la conformidad con su propia política y objetivos.
NUMERAL 4.5.5 AUDITORIA En este Numeral la Norma NTC-ISO28000 indica, que las auditorias del sistema de gestión de la seguridad se lleven a cabo en intervalos planeados, para:
A) Determinar si el sistema de gestión de la seguridad: 1) cumple con las disposiciones planificadas para la gestión de la seguridad, incluyendo los requisitos de toda la claúsula 4 de esta norma; 2) ha sido implementado y mantenido adecuadamente y 3) es eficaz para cumplir la política y objetivos de gestión de seguridad de la organización. B) Revisar los resultados de auditorías previas y las acciones tomadas para rectificar no conformidades. C) Proporcionar información a la dirección sobre resultados de auditorías. D) Verificar el despliegue apropiado de los equipos y el personal de seguridad.
EJERCICIO No 12 CLAUSULA 4.6 REVISION POR LA DIRECCION Y MEJORA CONTINUA Explique la importancia del ejercicio de la Revisión por la Dirección con relación a la Gestión de la Seguridad de la Cadena de Suministros
La Revisión por la Dirección y mejora continua es una herramienta de gran valor para la mejora del sistema de gestión de la seguridad implantado y para garantizar su eficacia. A través de la evaluación y análisis de las distintas entradas como cambios en el sistema, modificación del contexto, cambios en las necesidades y expectativas de las partes interesadas, estado de la resolución de las no conformidades detectadas, etc., se pueden tomar decisiones y cambios para mejorar el sistema, aportando valor al mismo. Este informe tiene como objetivo convertirse en un fiel reflejo de la alineación que la empresa ha realizado de sus planes estratégicos con el sistema de gestión implantado. Además, permitirá demostrar la implicación de la alta dirección en el sistema, en la mejora continua y en el logro de los resultados esperados. EJERCICIO 13 ETICA Para cada situación de la siguiente lista, explique cómo actuaria siendo auditor interno ISO 28000. 1) El auditado solicita su permiso para utilizar las notas de la auditoria para crear un caso de estudio sobre cómo se llevó a cabo la auditoria. El caso de estudio sólo será utilizado internamente y no se mencionarán nombres.
No le daría la autorización de utilizar las notas, ellos como auditados tienen presencia física en la auditoria interna, es decir conocen como se lleva a cabo la misma y si está atento conoce como es el proceso, le diría que tome apuntes y realice un análisis de acuerdo a lo que pudo observar.
2) El auditado es una empresa de computación y le regalan a usted una de sus más modernas computadoras que tienen un valor de venta a consumidor final de USD 3000. El auditado le asegura que sus costos de producción son significativamente menores. Como auditor no estaría dentro de mi ética profesional recibir este tipo de obsequios, además lo tomaría como un estilo de soborno, donde estaría obligado a dar conformidades donde sean No conformidades. Por este motivo les diría que NO.
3) Durante la hora del almuerzo, el auditado le paga a usted una costosa y deliciosa comida en un restaurante. Usted no está seguro si quiere impresionarlo, hacerle perder tiempo o ambos. Iniciando auditoria lo primero que hago es establecer los horarios de almuerzo, no me saldría del mismo, y si lo que busca es impresionar, no me sorprendería le daría las gracias y continuaría realizando mi labor.
4) Usted descubre una gran cantidad de fotos de pornografía infantil en uno de los servidores de la organización Lo primero que hago es notificar a la compañía del mal manejo del computador teniendo en cuenta que esta información no debería estar en este ordenador, Adicional informaría a las respectivas autoridades competentes y puedan realizar el respectivo manejo ya que en Colombia este tipo de actividades no es legal.
5) Usted descubre una no conformidad durante la auditoria de una organización pequeña. Usted cree que esta no conformidad ocurrió porque el empleado responsable hacia poco tiempo que había sido contratado y no tenía la experiencia suficiente. Usted tiene la firme sospecha de que, si usted informa de esta no conformidad, el más alto ejecutivo de la organización, un hombre muy fácilmente irritable, se pondrá furioso y despedirá inmediatamente al empleado. Si es una No conformidad Menor, trataría de dar una solución, la notifico pero doy las herramientas para su respectiva corrección y mejora y la misma no sea causante de despido al trabajador.
EJERCICIO 15 REVISION DE LA DOCUMENTACION
Revise los siguientes documentos del SGSCS de la organización en el caso de estudio. Determine y explique si estos documentos cumplen con los requisitos mínimos de la ISO 28000
1. POLITICA DEL SGSCS
De acuerdo al numeral 4.2 la política de la empresa LOGISTICA MS S.A.S LTDA es apropiada con la naturaleza y el grado de los riesgos de accidentes y enfermedades del trabajo al empleado dado que en esta lo menciona, Incluye el compromiso de prevenir lesiones y enfermedades de trabajo. La mejora continua de la gestión y el desempeño del SG-SST. Menciona el cumplimiento con todos los requisitos legales que se aplican y que están relacionados con los peligros para su logística. Se identifican objetivos conforme a la política de gestión indicando mejora continua. Se aplicara no conformidad ya que no menciona tener su política documentada, implantada y comunicada a todas las personas que trabajen en la empresa, con la intención de que sean conscientes de las obligaciones que tienen. Para concluir la política es coherente con otras políticas de la organización, en cuanto a amenazas y riesgos de la seguridad general de la organización.
2. DEFINICION DE LOS OBJETIVOS Y METAS DE SEGURIDAD
Los objetivos de la empresa LOGISTICA MS S.A.S son coherentes con las políticas y el corr de negocio en el cual brindan seguridad en la gestión del riesgo, adicional cumplen con el procedimiento estableciendo y garantizando capacitación al personal, e implementando todos los procesos y procedimientos logísticos de la organización para así lograr una mejora continua y mantener la calidad de los procesos de la garantía.
3. PROCESO DE GESTION DE INCIDENTES RELACIONADOS CON EL SGSCS
1 para identificar la necesidad es necesario que el área de recursos humanos establezca un plan de comunicación y cultura en la organización para no solo implementar un buen SGSCS si no mantenerlo. 2 se debe realizar la gestión de riesgos mediante un seguimiento en el cumplimiento de los objetivos metas y políticas de gestión de la seguridad , mediante reactivas de desempeño para hacer el seguimiento de deterioro perdidas fallas incidentes y no conformidades relacionados con la seguridad y cultura del SGSC 3 algunos de los riesgos organizacionales los cuales vamos a mitigares el hacer un adecuado seguimiento mediante un registro de las actividades procedimientos y capacidades de gestión de la seguridad por medio de revisiones periódicas al área de recursos humanos. 4 para velar por el cuidado de los bienes y propiedad de la organización sera necesario mantener una cultura organizacional con mejora continua al procedimiento de objetivos y políticas en comunicación abierta a todas las áreas de la compañía en especial la de recursos humanos ya que es una de las áreas promotoras de la cultura y sensibilización al
4. DESCRIPCION DE LA FUNCIONES DEL REPRESENTANTE DEL SGCS De acuerdo a las funciones te plantea 10 las cuales son acorde con el encargado de SGCS sin embargo cabe agregar que deberá tener en cuenta el funcionario que debe llevar unos indicadores de medición de cumplimiento y mejora continua dado que este es un procedimiento de implementar y mantener en la compañía
5. REVISION POR LA DIRECCION
La revisión por la dirección se realizó el 25 de noviembre del 2017, en los cuales mencionan los resultados de la auditoria de gestión de la norma internación de cadena de suministros en la cual, se concluye que: se cumple con el programa con indicadores de objetivos y metas a un 87 y 92% pero se decide hacer una revisión exhaustiva para no permitir que se cumple aún la mejora continua y no se caiga el sistema de gestión dentro de la compañía
EJERCICIO 16 LLEVAR A CABO UNA REUNION DE APERTURA Basado en el caso de estudio, prepare una reunión de apertura para la auditoria a la organización.
Preparar plan de reunión (Lista de verificación )de apertura
Se realiza un formato con los siguientes parámetros a diligenciar: Hoja membretada logo de la compañía auditada Nº Auditoria Objetivo de la auditoria Criterios de la auditoria Nombre del auditor Responsable en la compañía Selección del equipo de auditores internos de calidad Elaboración del Programa De Auditoria Elaboración del Plan de Auditoria Elaboración de Lista de Verificación Realización de la Reunión de Apertura
EJERCICIO 17 ENTREVISTA CON LA GERENCIA CORPORATIVA
Elabore lista de verificación ISO 28000 para entrevista de auditoria al Gerente corporativo de la organización en el caso de estudio
Nº
ÍTEMS/ PUNTOS A EVIDENCIAS VERIFICAR
C F NC 0
1
4.1 REQUISITOS GENERALES
La organización debe establecer, documentar, implementar, mantener y mejorar continuamente un sistema de gestión de la seguridad eficaz para identificar las amenazas a la seguridad, evaluar los riesgos y controlar y mitigar sus consecuencias.
2
4.2 POLÍTICA GESTIÓN DE LA SEGURIDAD
La alta dirección de la organización debe autorizar una política de gestión de la seguridad general. Proporcionar el marco de referencia para establecer objetivos, metas y programas específicos de gestión de la seguridad Ser apropiada para las amenazas de la organización y la naturaleza y escala de sus operaciones
3
4.3 EVALUACIÓN RIESGO DE SEGURIDAD Y PLANIFICACIÓN
La identificación, evaluación y métodos de control de amenazas y riesgos de la seguridad deberían como mínimo, ser apropiados a la naturaleza y escala de las operaciones. Esta evaluación debe considerar la probabilidad de un evento y todas sus consecuencias. Amenazas y riesgos de falla física, tales como falla funcional, daño incidental, daño malicioso o terrorista o acción criminal. Gestión de datos e información y comunicaciones Una amenaza a la continuidad de las operaciones.
4
4.3.2 Requisitos de Seguridad Legales, Estatuarios y Otros Regulatorios
Para identificar y tener acceso a los requisitos legales aplicables y otros requisitos que suscribe la organización en relación con sus amenazas y riesgos para la seguridad.
5
4.3.3 Objetivos de Gestión de la Seguridad
La organización debe establecer, implementar y mantener objetivos de gestión de la seguridad documentados, en las funciones y niveles pertinentes dentro de la organización. Los objetivos deber derivarse de la política y ser coherentes con ella.
EJERCICIO 18 REALIZAR UNA ENTREVISTA (PARTE 1) Elaborar lista de verificación ISO 28000 para la auditoria a la oficina general de la organización en el caso de estudio. OBSERVACION Se realizan evaluaciones periódicas de los planes, procedimientos y capacidades de gestión de la seguridad DOCUMENTO GOOP0219 Procedimiento de Gestión del Riesgo en los Procesos ENTREVISTA Recolecta información a través de entrevistas, escuchando, observando y la revisando documentos, registros y datos? V ERIFICACION No se evidencia la aplicación de pruebas de vulnerabilidad en los últimos meses. TECNICA La Empresa Capacita a los trabajadores sobre las técnicas adecuadas para la gestión de riesgos en los procesos ANALISIS Se tiene como información de entrada las auditorías internas, comunicación de partes interesadas, quejas, desempeño de la seguridad, objetivos y metas, estado de acciones correctivas y preventivas. EJERCICIO 18 REALIZAR UNA ENTREVISTA (PARTE 2) Elaborar lista de verificación ISO 28000 para la auditoria a la segunda oficina en importancia de la organización en el caso de estudio. OBSERVACION Cuenta con un procedimiento para el seguimiento y medición del desempeño del sistema de gestión? DOCUMENTO GG0219 Procedimiento de Seguimiento y Medición ENTREVISTA Recolecta información a través de entrevistas, escuchando, observando y la revisando documentos, registros y datos?
VERIFICACION Se evidencia procedimiento para el seguimiento y medición TECNICA Se ha elaborado un programa de auditorías internas para el Sistema de gestión en Seguridad en la cadena de suministro para la empresa. ANALISIS Se tiene establecido el GG0216 Procedimiento de revisión por la gerencia con el fin de revisar la conveniencia y desempeño del sistema 2. Se ha observado una no conformidad porque un técnico que traía una copia de seguridad de un CD al segundo sitio de la empresa ubicado a 3 kms de distancia del primer sitio no siguió el procedimiento que consiste en colocar la copia de seguridad del CD en la caja de seguridad (no hay caja de seguridad en el segundo sitio de la compañía). Por lo tanto dejó la copia de seguridad en un cajón sin llave. Sumado a esto, un CD no es destruido cuando se completa su vida útil (simplemente es arrojado a la basura). Respuesta del auditado Causa intrínseca: El procedimiento de destrucción de los medios digitales es informal y no está por escrito. Acción Correctiva: Instalar una caja de seguridad en el segundo sitio de la organización y establecer un procedimiento de destrucción para los medios digitales. (Marco temporal: Dentro de 3 meses) RTA: Se toman acciones correctivas de acuerdo a las No Conformidades detectadas por parte del auditor interno. Se requiere que periódicamente se realicen acciones preventivas con la finalidad de evitar que se lleguen a presentar estos sucesos que pueden afectar a toda la compañía porque es información confidencial y debe ser tratada con los protocolos establecidos.. EJERCICIO 19 CREAR LISTA DE VERIFICACION E INFORMES DE NO CONFORMIDAD
Parte 1: Preparación de una lista de verificación Prepare una lista de verificación de auditoria para validar el siguiente criterio de auditoria, identificando los diferentes procedimientos de auditoria aplicables. Evaluación del Sistema (4.5.2)
La organización deberá evaluar los planes, procedimientos y capacidades de la gestión de la seguridad mediante revisiones, pruebas, informes post-incidentes, lecciones aprendidas, evaluaciones de desempeño y ejercicios periódicos. Los cambios significativos en estos factores deberán estar reflejados inmediatamente en el/los procedimiento(s). La organización deberá evaluar periódicamente la conformidad con la legislación y reglamentos relevantes, con las mejores prácticas de la industria y con su propia política y objetivos. La organización deberá llevar registros de los resultados de las evaluaciones periódicas.
OBSERVACION
DOCUMENTO
ENTREVISTA
VERIFICACION TECNICA
ANALISIS
Parte 2. Redacción de informes de no conformidad Utilizando el caso de estudio redacte un informe de 2 no conformidades (mayor y menor) que usted haya identificado en la auditoria documental.
INFORME DE NO CONFORMIDAD # 1 Cliente de auditoria LOGISTICA M5 S.A.S. Proceso / Dominio CONTROL INTERNO Criterio de la auditoria ISO 28000 Descripción de la no conformidad observada: La empresa en su proceso comercial no está solicitando los documentos legales requeridos por la norma ISO 28000, adicional los documentos tienen fechas mayor a 7 años, nos son documentos actualizados internamente no están realizando este tipo de verificación de clientes y proveedores.
Auditor: Lorena García Fecha: 27 de Enero de 2018
Acuso de recibo por un Categoría: representante del auditado NC Mayor NC Menor
Se realiza un formato con los siguientes parámetros a diligenciar: Hoja membretada logo de la compañía auditada Proceso Fecha Lugar Hora de inicio Hora de terminación Nombre del auditor Responsable en la compañía. 1. ASISTENCIA: La reunión de cierre contó con los siguientes funcionarios todo el personal Por parte del proceso auditado: Por parte del auditor: 2 .AGRADECIMIENTO:
Se agradeció al líder Auditor del proceso y a los funcionarios de todas las dependencias auditada, por la disponibilidad de los recursos físicos y logísticos que fueron solicitados para realizar el trabajo y por disposición del personal que fue requerido en las evaluaciones, que fueron realizadas.
EJERCICIO 22 EVALUACION DE LAS ACCIONES CORRECTIVAS Usted ha recibido una planificación de acciones correctivas. Evalúe si las acciones correctivas propuestas son adecuadas. Si usted está de acuerdo con las acciones correctivas, explique por qué? Si usted no está
de acuerdo, explique por qué no y proponga cuáles cree usted que serían las acciones correctivas adecuadas? Se ha observado una no conformidad porque varios empleados del turno de la noche a veces se olvidan cerrar con llave la puerta principal de la oficina cuando se retiran. Dado que ellos terminan su turno de trabajo a las 6:00 a.m. y el siguiente empleado llega a las 9:00 a.m., la puerta principal de la oficina puede llegar a permanecer sin llave durante 3 horas. Respuesta del auditado: Causa Intrínseca: Los empleados no están lo suficientemente conscientes de los temas de seguridad Acción Correctiva: Enviar una carta a todos los empleados del turno de la noche, informándoles de sanciones disciplinarias si este evento vuelve a suceder. (Marco temporal: inmediatamente) RTA No me parece que se sea una acción correctiva ya que esto no está explícito en ningún procedimiento, además no se sabe si es que a los empleados no se les dio la capacitación o no se les informo de cómo debían dejar la puerta la salir 2. Se ha observado una no conformidad porque un técnico que traía una copia de seguridad de un CD al segundo sitio de la empresa ubicado a 3 kms de distancia del primer sitio no siguió el procedimiento que consiste en colocar la copia de seguridad del CD en la caja de seguridad (no hay caja de seguridad en el segundo sitio de la compañía). Por lo tanto dejó la copia de seguridad en un cajón sin llave. Sumado a esto, un CD no es destruido cuando se completa su vida útil (simplemente es arrojado a la basura).Respuesta del auditado Causa intrínseca: El procedimiento de destrucción de los medios digitales es informal y no está por escrito. Acción Correctiva: Instalar una caja de seguridad en el segundo sitio de la organización y establecer un procedimiento de destrucción para los medios digitales. (Marco temporal: Dentro de 3 meses). RTA Estoy de acuerdo con la acción correctiva ya que se va hacer un procedimiento de cómo se debe hace la destrucción de medios digitales, para que todos en la compañía lo conozcan y sepan cómo se debe hacer. 3 Se ha observado una no conformidad porque el equipo de Recursos Humanos no era consciente del procedimiento que les obliga a validar todas las referencias de todos los futuros empleados antes de contratarlos. Respuesta del auditado Causa Intrínseca: Hay muchos puestos vacantes en el departamento de Recursos Humanos y el personal está sobrecargado de trabajo Acción Correctiva: Informar inmediatamente y capacitar dentro de los 6 meses al personal de Recursos Humanos respecto de este procedimiento y hacer que cada miembro del equipo lo cumpla.
RTA Estoy de acuerdo porque el procedimiento existía pero no había la capacitación para que lo cumplieran y lo hicieran dentro de los parámetros. 4 Se ha observado una no conformidad porque un empleado fue visto en un área sensible a la que él normalmente no tiene acceso. Es imposible que nadie en esta área sensible no se haya dado cuenta que esta persona no tiene autorización para estar allí. Hay carteles que identifican el área restringida y métodos para controlar los accesos con tarjetas magnéticas. Respuesta del auditado: Causa intrínseca: El empleado, conociendo el reglamento interno de la compañía, ha violado las reglas, pero es un caso aislado. Acción Correctiva: Despedir al empleado basándose en las reglas y políticas de la empresa. (Marco temporal: Inmediatamente). RTA No estoy de acuerdo que se haga la acción correctiva porque puede que le empleado no haya recibido la capacitación donde le especifiquen que esa área es restringida y que no puede estar allí adicional, una acción correctiva no debe ser despedir a un empleado. 5Se ha observado una no conformidad porque la organización no tiene un procedimiento formal para el tratamiento de incidentes de seguridad. Respuesta del auditado: Causa Intrínseca: No está documentado un procedimiento para el tratamiento de incidentes de seguridad. Acción Correctiva: Establecer un procedimiento para tratar incidentes de seguridad (Marco temporal: próximos 12 meses), comprar una solución de software (Marco temporal: dentro de los 24 meses), y adaptar la solución al proceso de registro y tratamiento de incidentes propios (Marco temporal: Dentro de los 36 meses). Comentar en el texto. RTA Esto de acuerdo con la acción correctiva porque se debe establecer el procedimiento para que todos en la compañía lo conozcan, y lo lleven a cabo ya que este es muy importante en la compañía que se realice . 25. Se ha observado una no conformidad porque el equipo de Recursos Humanos no era consciente del procedimiento que les obliga a validar todas las referencias de todos los futuros empleados antes de contratarlos. Respuesta del auditado Causa Intrínseca: Hay muchos puestos vacantes en el departamento de Recursos Humanos y el personal está sobrecargado de trabajo
Acción Correctiva: Informar inmediatamente y capacitar dentro de los 6 meses al personal de Recursos Humanos respecto de este procedimiento y hacer que cada miembro del equipo lo cumpla.
No estoy de acuerdo con la acción correctiva, 6 meses es demasiado tiempo para capacitar a las personas de recursos humanos, debe ser en un tiempo menor, 3 meses, adicional el personal si se debe capacitar pero máximo un mes se supone que deben contratar personas que cumplan con todas las expectativas acorde al cargo y las funciones que debe realizar el reclutamiento de hojas de vida debe estar acorde de acuerdo a lo solicitado. El seguimiento a estos correctivos no lo haría cada 6 meses, los haría cada 3 meses.
