Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Cdigo:
1.
Versin:
OPP-MEJ-PR-03
03
Pgina:
2/11
OBJETIVO
Establecer los lineamientos y el procedimiento a seguir para la planificacin, realizacin y cierre de auditoras
internas al SGC y al SGSI de PROMPER, bajo las normas ISO 9001:2008 e ISO/IEC 27001:2013, respectivamente.
2.
ALCANCE
El presente procedimiento es administrado por la Unidad de Racionalizacin de la OPP y es fuente de consulta y
aplicacin para las reas comprendidas en el alcance del SGC y del SGSI de PROMPER. El procedimiento se inicia
con la definicin, por parte del RED/OSI, de si la realizacin de la auditora interna al SGC/SGSI estar a cargo de por
personal de PROMPER o de un proveedor externo, y finaliza cuando el RED/OSI dispone el tratamiento de los
hallazgos de auditora del SGC o SGSI respectivamente.
Este procedimiento es aplicable a los procesos comprendidos dentro del alcance del SGC y del SGSI, bajo las normas
ISO 9001:2008 e ISO/IEC 27001:2013, respectivamente.
3.
DOCUMENTOS A CONSULTAR
3.1. Ley N 30075, Ley de Fortalecimiento de la Comisin de Promocin del Per para la Exportacin y el Turismo
- PROMPER.
3.2. Ley N 30114, Ley de Presupuesto del Sector Publico para el ao fiscal 2014, Septuagsima Quinta Disposicin
Complementaria Final.
3.3. Reglamento de Organizacin y Funciones de la Comisin de Promocin del Per para la Exportacin y el
Turismo - PROMPER aprobado por Decreto Supremo N 013-2013-MINCETUR.
3.4. Manual de Perfiles de Puestos de PROMPER, aprobado por Resolucin de Secretara General N 028-2014PROMPER/SG y modificatorias.
3.5. Manual de Perfiles de Puestos, aprobado por Resolucin de Secretara General N 028-2014-PROMPER/SG
y modificatorias.
3.6. Manual de Funciones y Perfiles de PROMPER, aprobado por Resolucin de Secretara General N 102-2008PROMPER/SG y modificatorias.
3.7. Manual de Calidad de la Comisin de Promocin del Per para la Exportacin y el Turismo.
3.8. Norma ISO 9001:2008. Sistemas de gestin de la calidad Requisitos.
3.9. Norma ISO 9000:2005. Sistemas de gestin de la calidad Fundamentos y vocabulario.
3.10. Norma ISO/IEC 27001:2013. Tecnologa de la informacin. Tcnicas de seguridad. Sistemas de gestin de
seguridad de la informacin. Requisitos.
4.
SIGLAS Y ACRNIMOS
4.1. AI: Auditor Interno.
4.2. OPP: Oficina de Planeamiento y Presupuesto.
4.3. OSI: Oficial de Seguridad de la Informacin.
4.4. OTI: Oficina de Tecnologas de la Informacin.
4.5. RED: Representante de la Direccin.
4.6. SGC: Sistema de Gestin de la Calidad.
4.7. SGSI: Sistema de Gestin de Seguridad de la Informacin.
Ttulo:
Cdigo:
OPP-MEJ-PR-03
Versin:
03
Pgina:
3/11
DEFINICIONES
Para efectos del presente procedimiento se consideran las siguientes definiciones, las mismas que se encuentran
sealadas en la norma ISO 19011:2011:
5.1. Alcance de la Auditora: Extensin y lmites de una auditora.
Nota: El alcance de la auditora incluye generalmente una descripcin de las ubicaciones, las unidades de la organizacin, las actividades
y los procesos, as como el perodo de tiempo cubierto.
5.6. Competencia: Capacidad para aplicar conocimientos y habilidades para alcanzar los resultados pretendidos.
5.7. Conclusiones de la Auditora: Resultado de una auditora, tras considerar los objetivos de la auditora y todos
los hallazgos de la auditora.
5.8. Criterios de Auditora: Conjunto de polticas, procedimientos o requisitos usados como referencia frente a la
cual se compara la evidencia de la auditora.
5.9. Equipo Auditor: Uno o ms auditores que llevan a cabo una auditora, con el apoyo si es necesario, de
expertos tcnicos.
Nota 1: A un auditor del equipo se le designa como lder del mismo.
Nota 2: El equipo auditor puede incluir auditores en formacin.
5.10. Evidencia de la Auditora: Registros, declaraciones de hechos o cualquier otra informacin que son
pertinentes para los criterios de auditora y que son verificables.
Nota: La evidencia de la auditora puede ser cualitativa o cuantitativa.
5.11. Experto Tcnico: Persona que aporta conocimientos o experiencia especficos al equipo auditor.
Nota 1: El conocimiento o experiencia especficos son los relacionados con la organizacin, el proceso o la actividad a auditar, el idioma
o la orientacin cultural.
Nota 2: Un experto tcnico no acta como un auditor en el equipo auditor.
5.12. Hallazgos de la Auditora: Resultados de la evaluacin de la evidencia de la auditora recopilada frente a los
criterios de auditora.
5.13. No Conformidad: Incumplimiento de un requisito.
Ttulo:
Cdigo:
Versin:
OPP-MEJ-PR-03
Pgina:
03
4/11
5.14. Observador: Persona que acompaa al equipo auditor pero que no audita.
Nota 1: Un observador no es parte del equipo auditor y no influye ni interfiere en la realizacin de la auditora.
Nota 2: Un observador puede designarse por el auditado, una autoridad reglamentaria u otra parte interesada que testifica la auditora.
5.15. Plan de Auditora: Descripcin de las actividades y de los detalles acordados de una auditora.
5.16. Programa de la Auditora: Detalles acordados para un conjunto de una o ms auditoras planificadas para un
periodo de tiempo determinado y dirigidas hacia un propsito especfico.
Adems, se consideran las siguientes definiciones, las mismas que se encuentran sealadas en la norma ISO
9000:2005:
5.17. Accin Correctiva: Accin tomada para eliminar la causa de una No Conformidad detectada u otra situacin
no deseable.
5.18. Accin Preventiva: Accin tomada para eliminar la causa de una No Conformidad potencial u otra situacin
potencial no deseable.
5.19. Correccin: Accin tomada para eliminar una no conformidad detectada.
Nota 1: Una correccin puede realizarse junto con una accin correctiva.
Asimismo, para el caso especfico del presente procedimiento se consideran las siguientes definiciones:
5.20. Auditor en Formacin: Auditor en proceso de entrenamiento, que realiza sus labores de auditora bajo la
direccin y orientacin de un auditor competente.
5.21. Auditor Lder: Miembro del equipo auditor designado para dirigir la auditora.
5.22. Auditora Extraordinaria: Auditora realizada fuera del Programa Anual de Auditora.
5.23. Observacin: No conformidad potencial u otra situacin potencial no deseable.
5.24. Oportunidad de Mejora: Falla aislada o espordica en el contenido o implementacin del sistema de gestin,
o cualquier situacin en la que pueda mejorarse algn aspecto del sistema.
5.25. Reunin de Enlace: Reunin del equipo auditor en la cual se analiza e informa los hallazgos de la Auditora
con el fin de llegar a un consenso en los resultados de la misma.
6.
CONDICIONES BSICAS
6.1. Las auditoras internas se realizaran a fin de determinar el grado en que el SGC o el SGSI est implementado
y mantenido de manera eficaz, si cumple con los requisitos de las normas ISO 9001:2008 o ISO/IEC
27001:2013 y con los requisitos propios de la organizacin. Estas formaran parte del Programa Anual de
Auditora, el cual deber ser elaborado segn Anexo N 2 del presente, y aprobado por el Secretario General
dentro del primer trimestre de cada ao. Dicho programa podr ser modificado en caso de ser necesario, las
modificaciones debern ser aprobadas del mismo modo como se aprob el programa original.
6.2. Para la elaboracin del Programa Anual de Auditora se debe tener en cuenta lo siguiente:
a. Las auditoras internas deben realizarse a intervalos planificados (por lo menos una vez al ao).
b. El alcance de las auditoras internas puede ser parcial o integral. El programa anual debe comprender la
evaluacin integral del SGC o del SGSI, segn corresponda.
c. El alcance y la frecuencia de las auditoras internas sern determinados en funcin de la importancia y el
estado de los procesos o reas a auditar, y los resultados de auditoras previas.
d. Las auditoras externas, de seguimiento o de recertificacin, segn corresponda.
6.3. El Equipo Auditor puede estar conformado por uno o varios Auditores Internos dependiendo de la
complejidad y caractersticas de la auditora interna; y en caso de ser necesario, podrn participar auditores
Ttulo:
Cdigo:
OPP-MEJ-PR-03
Versin:
03
Pgina:
5/11
en formacin, expertos tcnicos y observadores. En el caso de los auditores en formacin, estos debern
haber llevado previamente el curso de auditor interno en la Norma ISO 9001 o ISO/IEC 27001, segn sea el
caso; en el caso de los observadores, estos debern haber llevado previamente el curso de Interpretacin de
la Norma ISO 9001 o ISO/IEC 27001, segn corresponda.
6.4. Los auditores internos, podrn ser personal de la entidad o terceros; en ambos casos deben cumplir con las
competencias de educacin, formacin y experiencia establecida en el Perfil del Auditor Interno (Ver Anexo
N 5). Deben guardarse los registros que evidencien el cumplimiento del perfil precitado por parte de cada
uno los auditores internos.
6.5. Los auditores internos deben mantener imparcialidad durante la realizacin de la auditora, no debe auditar
su propio trabajo y debe ser independiente del rea o proceso comprendido dentro del alcance de la auditora
interna.
6.6. Las recomendaciones producto de la realizacin de las auditoras internas no tienen carcter vinculante.
7.
CONDICIONES ESPECFICAS
7.1. El RED/OSI, segn corresponda, es el responsable de velar por el cumplimiento de lo dispuesto en este
procedimiento.
7.2. El RED/OSI, segn corresponda, es el responsable de gestionar el Programa Anual de Auditora para el SGC o
el SGSI, dicha gestin incluye entre otros aspectos:
a. Elaborar, modificar y obtener de la Secretara General la aprobacin del Programa Anual de Auditora.
b. Comunicar a las partes pertinentes la aprobacin, modificacin, avance y resultados del Programa Anual
de Auditora.
c. Asegurarse de la implementacin del Programa de Anual de Auditoria, incluyendo el establecimiento de
los objetivos, el alcance y los criterios de auditora de las auditoras individuales y la seleccin del Equipo
Auditor y del Auditor Lder, cuando corresponda.
d. Seguimiento, revisin y mejora del Programa Anual de Auditora.
e. Asegurarse de que se gestionan y mantienen los registros apropiados del Programa Anual de Auditoria.
f. Determinar y gestionar los recursos necesarios para la implementacin del Programa de Anual de
Auditora.
g. Solicitar auditoras extraordinarias cuando lo considere necesario; debiendo actualizar el Programa Anual
de Auditoria, si los cambios se justifican.
7.3. La presente figura representa de manera esquemtica la metodologa para llevar a cabo las auditoras
internas:
Fuentes de Informacin
Recopilacin mediante un muestreo apropiado
Evidencia de la Auditora
Revisin
Conclusiones de la Auditora
Ttulo:
Cdigo:
Versin:
OPP-MEJ-PR-03
Pgina:
03
6/11
7.4. El Jefe del rgano o unidad orgnica, o el Coordinador del Departamento, responsable del proceso o rea
objeto de la auditora, debe:
a. Poner a disposicin del equipo auditor los medios necesarios para la auditora.
b. Facilitar el acceso a las instalaciones y documentos relevantes para la auditora.
c. Cooperar con los auditores para asegurar el xito de la auditora.
d. Tomar las acciones correctivas necesarias sin demora injustificada para eliminar las no conformidades
detectadas durante la auditora y sus causas.
7.5. Los hallazgos de la auditora se clasifican y tratan de acuerdo con lo siguiente:
Tipo de Hallazgo
No Conformidad
Accin Correctiva
Observacin
Oportunidad de Mejora
Accin de Mejora
7.6. Luego de la reunin de cierre, la Alta Direccin debe analizar las fortalezas, debilidades, observaciones y
oportunidades de mejora del SGC o SGSI sealadas en el informe de auditora. Asimismo, debe tomar las
acciones y decisiones necesarias para el tratamiento de los hallazgos de la auditora, de acuerdo con la
normativa vigente.
7.7. Se pueden realizar Auditoras Extraordinarias, siempre que se considere necesario, previa comunicacin a las
reas involucradas. Estas Auditoras Extraordinarias pueden llevarse a cabo entre otras causas debido a:
a. Introduccin de cambios en la organizacin.
b. Se sospeche o se tenga certeza de la prdida de eficacia del Sistema de Gestin.
c. Se considere oportuno para la verificacin de acciones correctivas o correctivas que requieran control y
seguimiento de su implantacin y efectividad.
8.
Actividad
Responsable
RED/OSI
Especialista de la URCN
designado / Especialista de la
OTI designado
UAAD
Ttulo:
Cdigo:
OPP-MEJ-PR-03
Versin:
Pgina:
03
Actividad
Responsable
RED/OSI
RED/OSI
Nota: La documentacin debera incluir, cuando sea aplicable, documentos y registros del
sistema de gestin, as como informes de auditoras previas.
Auditor Lder
Auditor Lder
RED/OSI
RED/OSI
a.
Listas de verificacin.
b.
c.
Equipo Auditor
11
12
Auditor Lder
Equipo Auditor
7/11
Ttulo:
Cdigo:
13
Versin:
OPP-MEJ-PR-03
Actividad
Pgina:
03
8/11
Responsable
Equipo Auditor
a.
b.
c.
Auditor Lder
15
Equipo Auditor
16
Auditor Lder
17
Auditor Lder
18
Auditor Lder
9.
19
Auditor Lder
20
RED/OSI
REGISTROS
Descripcin
Cdigo
FO-OPP-MEJ006
N de
ejemplares
Lugar de archivo
Tiempo de
archivo
(Aos)
Carpeta de red:
sgc_iso_9001\1)
Procesos de
Gestin\Registros\4)
Auditora Interna
6 aos
Ttulo:
Cdigo:
No aplica
FO-OPP-MEJ007
No aplica
Versin:
OPP-MEJ-PR-03
03
Carpeta de red:
sgc_iso_9001\1)
Procesos de
Gestin\Registros\4)
Auditora Interna
Carpeta de red:
sgc_iso_9001\1)
Procesos de
Gestin\Registros\4)
Auditora Interna
Carpeta de red:
sgc_iso_9001\1)
Procesos de
Gestin\Registros\4)
Auditora Interna
Pgina:
9/11
5 aos
5 aos
5 aos
Prrafo/
Figura/ Tabla/
Nota
Modificaciones
Se agreg el texto a los Sistemas de Gestin de la Calidad y de la
Seguridad de la Informacin de PROMPER al final del nombre del
procedimiento.
02
---
Cartula y
Encabezados
02
---
02
---
02
---
02
3.1
02
3.4
02
3.7
02
3.3 y 3.8
Ttulo:
Cdigo:
N de
N de
versin captulo/ tem
Versin:
OPP-MEJ-PR-03
Prrafo/
Figura/ Tabla/
Nota
Modificaciones
Pgina:
03
10/11
02
---
02
5.1
02
02
02
02
02
02
02
02
7.2
02
7.4
02
7.11 y 7.12
02
02
7.2
02
7.3
02
7.8
02
7.10
02
---
02
---
02
11
Anexo A
Ttulo:
Cdigo:
N de
N de
versin captulo/ tem
02
11
02
11
02
11
Prrafo/
Figura/ Tabla/
Nota
Versin:
OPP-MEJ-PR-03
Pgina:
03
11/11
Modificaciones
11. ANEXOS
Descripcin
Anexo
Diagrama de Flujo
ANEXO N 1
DIAGRAMA DE FLUJO
Representante de la Direccin / Oficial de Seguridad de la Informacin
Especialista de la URCN /
Especialista de la OTI designado
UAAD
Realizada
por personal de
PROMPER
No
Si
1.1
1.2
Designa Especialista de la
URCN / OTI para la elaboracin
de los TDR y la SBS, y la gestin
de la contratacin del servicio
de auditora interna ante la
UAAD
Remite la documentacin
pertinente del SGC/SGSI al
Auditor Lder designado para
la auditora interna
Realiza proceso de
contratacin del servicio de
auditora interna, segn
normatividad vigente
Auditor Lder
Equipo Auditor
1
6
Revisa documentacin
pertinente deL SGC/SGSI
12
14
13
Da retroalimentacin a los
auditados con respecto a los
hallazgos encontrados
15
16
Consolida informacin de
hallazgos y elabora Informe
Preliminar de Auditora Interna
17
19
Presenta Informe de
Auditora Interna definitivo al
RED/OSI
Fin
Redacta hallazgos de la
Auditora y los entrega al
Auditor Lder
ANEXO N 2
ANEXO N 3
ANEXO N 4
ANEXO N 5
PERFIL DEL AUDITOR INTERNO
Reporta a:
Misin
Funciones
1. Revisar la documentacin del SGC o del SGSI, elaborar el Plan de Auditora Interna; y
coordinar con el RED u OSI, segn corresponda, y los dems miembros del equipo
auditor la ejecucin de la auditora interna, en caso haya sido designado como Auditor
Lder.
2. Preparar los documentos de trabajo y realizar las entrevistas a los dueos y personal
involucrado en los procesos asignados por el Auditor Lder, de acuerdo con el Plan de
Auditora Interna aprobado.
3. Clasificar los hallazgos obtenidos en la auditora interna y elaborar el reporte
correspondiente.
4. Elaborar en colaboracin con los dems miembros del equipo auditor, el informe de
auditora interna correspondiente, en caso haya sido designado como Auditor Lder.
5. Realizar (Auditor Lder) o participar (Auditor Interno) en las reuniones de apertura,
retroalimentacin y cierre de la auditora interna.
Internas
Coordinaciones
Principales
Institucionales
Excelencia e innovacin
Integridad y comportamiento tico
Respeto y trabajo en equipo