Está en la página 1de 29

TALLER AUDITORÌA

EJERCICIO 1

RAZONES PARA IMPLEMENTAR LA ISO 28000 EN MI ORGANIZACIÓN

Utilizando la información suministrada en el Curso, determine 3 Ventajas y Justifique las


razones para implementar la norma ISO 28000 en su organización.

VENTAJA 1 __Mejora de la Seguridad_

JUSTIFICACION: Implementando la norma 28000 aumenta la


confiabilidad en los clientes, asegurando la cadena de suministros.

VENTAJA 2 _Reducción de Costos___

JUSTIFICACION: La mayor parte de las compañías busca


reducir costos, al implementar una norma como esta, disminuye los
reprocesos, y fallas que se puedan presentar en la cadena de
suministros.
VENTAJA 3 _Ventaja Competitiva__

JUSTIFICACION: Una de las mayores ventajas que puede tener


una compañía es que está certificada con una norma como esta,
genera más confiabilidad a los clientes, teniendo en cuenta que no
cualquiera se puede certificar.
EJERCICIO 3

CADENAS DE SUMINISTROS

En sus Propias Palabras indique, ¿Que es una Cadena de Suministros?

Es la gestión y mejora continua del abastecimiento y planeación de productos de la cadena


de valor para satisfacción efectiva de la demanda del cliente, en el mejor tiempo y costo
posible a través de la gestión de flujos de información.

EJERCICIO 4
CADENAS DE SUMINISTROS
Según su Experiencia y lo visto en el Curso, está de acuerdo o no con Michael Porter,
cuando indica que “En el Futuro la competencia no será de empresa a empresa, sino más
bien, de Cadena de Suministros a Cadena de Suministros.
Rta Es de cadena de suministros a cadena de suministros, el decía que la supervivencia y
el éxito de una empresa en el mundo competitivo moderno requiere de mucho más que la
simple mejora de sus operaciones y la integración de sus funciones internas.

EJERCICIO 5

CADENAS DE SUMINISTROS / PARTES INTERESADAS (INTERNAS / EXTERNAS)

Su Empresa está Vinculada al Comercio internacional y presta Servicios de


Almacenamiento y Distribución.

 De acuerdo con la siguiente Cadena de Suministro, Indique 2 Partes Interesadas


Internas, 2 Partes Interesadas Externas y Justifique porque la organización debería
tenerlas en cuenta en su SGSCS.
 De acuerdo con la siguiente Cadena de Suministro, Indique que Partes Interesadas
se encuentran Aguas Arriba y Aguas Abajo de su empresa.
1. PARTES INTERESADAS INTERNAS

No 1: Centro de distribución
JUSTIFICACION: Se debe tener en cuenta en el SGSC debido a que existen
muchos riesgos en esta zona que pueden afectar la seguridad de la mercancía,
así como poner en juego el buen nombre de la empresa.
No 2: Transporte
JUSTIFICACION: Se debe tener en cuenta en el SGSC porque como lo
mencioné anteriormente ponen en juego e buen nombre de la empresa si no se
tienen los controles respectivos pues es muy propenso a que se transporte
mercancía ilícita como fachada.
PARTES INTERESADAS EXTERNAS

No 1: Comprador/consumidor
JUSTIFICACION: Se debe tener en cuenta en el SGSC porque lo que se busca
es que los clientes se sientan satisfechos con los servicios prestados, si no se
tiene control sobre esto se incurre en el riesgo de pérdida de clientes.

No 2: Tiendas
JUSTIFICACION: Se debe tener en cuenta en el SGSC puesto que en este punto
se corren muchos riesgos si no se tienen en cuenta los controles necesarios y
pertinentes para que las operaciones se hagan legalmente.

2. PARTES INTERESADAS AGUAS ARRIBA / AGUAS ABAJO

AGUAS ARRIBA
No 1 Centro de distribución
No 2 Transporte

AGUAS ABAJO
No 1 Consumidor
No 2 Tiendas

EJERCICIO 6
La Norma NTC-ISO 28000 es utilizada para cumplir varias Normas y
Reglamentos que están relacionados con la Cadena de Suministros
Internacional. ¿Indique al menos 4 Normas o Reglamentos que una
empresa vinculada al Comercio Internacional debe cumplir?

1. Resolución 4050 de 1994 - Reglamenta examen de ingreso al trabajo y los


exámenes periódicos y de egreso.
2. Decreto 1295 de 27 de junio de 1994 - Ministerio de la Protección Social.
Obligatoriedad de afiliación al Sistema General de Riesgos profesionales,
programa de salud ocupacional, realizar programas educativos sobre los riesgos
para la salud a que están expuestos los trabajadores y sobre los métodos de
prevención y control.
3. Decreto 1772 de 03 de agosto de 1994 - Afiliar a los trabajadores al Sistema
General de seguridad Social en Riesgos profesionales, informar a los trabajadores
la entidad administradora de riesgos profesionales a la que se encuentran afiliados
4. Decreto 1973 de 1995 - Por el cual se promulga el convenio 170 sobre la
seguridad en la utilización de los productos químicos en el trabajo adoptado por la
conferencia general de la O.I.T.

EJERCICIO 7
CLAUSULA 4 ELEMENTOS DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD
Numeral 4.1 REQUISITOS GENERALES
Según la Norma NTC-ISO28000 que aspectos deben cumplirse en este Numeral?

No 1: Establecer un sistema de Gestión de la seguridad

No 2: Documentar un sistema de Gestión de la seguridad

No 3: Implementar un sistema de Gestión de la seguridad

No 4: Mantener un sistema de Gestión de la seguridad

EJERCICIO No 9
CLAUSULA 4.3 VALORACION DEL RIESGO Y PLANEACION NUMERAL 4.3.1
VALORACION DEL RIESGO DE SEGURIDAD Determine los riesgos y vulnerabilidades
asociadas con las siguientes situaciones e indique los posibles impactos.

AMENAZAS RIESGOS VULNERABILIDADES IMPACTOS


El ex-director de Que la información ALTO
seguridad de la Que se lleve confidencial este
empresa es información para rotando en la
contratado por la la competencia competencia
competencia
La policía Que podemos Porque en algún ALTO
sospecha que un estar momento nos pueden
grupo terrorista perjudicados contaminar nuestras
utiliza la cadena de porque podemos cargas
suministro como estar expuestos si
medio de utiliza la cadena
contrabando de de suministros
armas ilegales
hacia dentro y fuera
del país
La Delincuencia Porque podemos roben ALTO
Común ha hurtado estas expuestos
3 Vehículos y su al robo
Carga ( TV /
Celulares / Ipads)
en menos de una
semana a la salida
de Buenaventura
Los puertos de Que en algún Que contaminen alto
embarque de la momento nos nuestra carga
mercancía de puedan
exportación de la contaminar
empresa presentan nuestras cargas si
un alto índice de no hay la
contaminación de seguridad
la carga con adecuada
narcóticos
El depósito de Que nos roben Robo Alto
almacenamiento y nuestra
distribución de mercancía
mercancías de la
empresa está
ubicado en un
sector con alto
índice de
delincuencia
común
Los Contenedores Que sean Robo alto
de Exportación son hurtados o los
dejados en puedan utilizar
Parqueaderos que para
no cuentan con contaminarlos
barreras
perimetrales y
CCTV
AMENAZAS RIESGOS CONTROLES DE SEGURIDAD
El ex-director de
seguridad de la Que divulgue la Una clausulas penales en el contrato donde
empresa es información a la se especifique que no puede llevarse la
contratado por la competencia información
competencia
La policía Que nos Mayor control en aduana y en inspecciones
sospecha que un contaminen
grupo terrorista nuestras carga
utiliza la cadena de
suministro como
medio de
contrabando de
armas ilegales
hacia dentro y
fuera del país
La Delincuencia Que nos roben Mayor vigilancia en la entrada y salida de
Común ha hurtado puertos
3 Vehículos y su
Carga ( TV /
Celulares / Ipads)
en menos de una
semana a la salida
de Buenaventura
Los puertos de Que nos Mayores controles y revisiones de las
embarque de la contaminen personas de la compañía para que no halla
mercancía de nuestras cargas contaminación de nuestras cargas
exportación de la
empresa presentan
un alto índice de
contaminación de
la carga con
narcóticos
El depósito de Robo La vigilancia y los motorizados cuando la
almacenamiento y carga sea de un alto valor
distribución de
mercancías de la
empresa está
ubicado en un
sector con alto
índice de
delincuencia
común
Los Contenedores Robo Utilizar los parqueaderos establecidos y
de Exportación son solicitar a la empresa que estos sean con
dejados en toda las normas de seguridad que se
Parqueaderos que necesitan para guardar los vehículos.
no cuentan con
barreras
perimetrales y
CCTV

Numeral 4.3.2 REQUISITOS LEGALES Y REGLAMENTARIOS

Identifique 5 Requisitos Legales que una organización vinculada al Comercio


Internacional debe Cumplir como miras a garantizar la Seguridad de su Cadena de
Suministros.

No 1 mantener actualizada la información organización


No 2: Comunicar la información pertinente sobre requisitos legales

No 3 Comunicar la información pertinente sobre requisitos legales y otros a


sus empleados

No 4 Comunicar la información pertinente sobre requisitos legales y otros a


sus empleados incluidos los contratistas.

Numeral 4.3.5 PROGRAMAS DE GESTION DE LA SEGURIDAD


No 5

Según la Norma NTC-ISO28000, ¿Señale 3 aspectos que según su criterio, son los
que revisten mayor importancia en este Numeral?

No 1: La organización debe establecer e implementar y mantener programas


de gestion de la seguridad para los objetivos y metas.
No 2: Los programas debe optimizarse y luego priorizarse.
No 3 La organización debe prever el uso de los costos de manera eficiente y
eficaz en la implementación de seguridad.

EJERCICIO No 10 CLAUSULA
4.4 IMPLEMENTACION Y OPERACIÓN NUMERAL
4.4.1 ESTRUCTURA Y RESPONSABILIDAD PARA LA GESTION DE LA SEGURIDAD.
Según la Norma NTC-ISO28000, La Alta Dirección debe proporcionar evidencia de su
compromiso con el desarrollo e implementación de los procesos del Sistema de Gestión
de la seguridad y mejorar continuamente su eficacia. ¿Indique al menos 5 acciones con
las cuales la Alta dirección demostraría evidencia de su compromiso?
No 1: Nombrar un miembro o varios de la dirección con la autoridad necesaria para
garantizar que implementen en los objetivos y metas.
No 2: Garantizar la disponibilidad de recursos adecuados
No 3 Comunicar a la organización la importancia de cumplir sus requisitos de gestion de
la seguridad a fin de cumplir con su política
No 4: garantizar la viabilidad de los objetivos metas y programas de gestion de seguridad
No 5: Identificar y hacer seguimiento a los requisitos y expectativas de las partes
interesadas.
NUMERAL 4.4.2 COMPETENCIA, FORMACION Y TOMA DE CONCIENCIA. En este
numeral la norma NTC-ISO28000, nos indica que la organización y las personas deben
ser conscientes de: La importancia de los cumplimientos de políticas y procedimientos de
gestion de seguridad y las consecuencias potenciales que tiene la seguridad en la
organización.
NUMERAL 4.4.4 DOCUMENTACION Indique cuales son los documentos mínimos que
debe tener el Sistema de Gestión de la Seguridad .
Son los documentos incluidos en los registros determinados por la organización como
necesarios.
NUMERAL 4.4.6 CONTROL OPERACIONAL ¿Qué se debe tener en cuenta cuando se
actualicen las disposiciones existentes, o se introduzcan nuevas que puedan causar
impacto en las operaciones y actividades de gestión de la seguridad?

NUMERAL 4.4.7 PREPARACIÓN Y RESPUESTA ANTE EMERGENCIAS Y


RECUPERACIÓN DE LA SEGURIDAD ¿Con base a que deben estructurarse los Planes
de Emergencia y Cuál es su objetivo fundamental?

EJERCICIO No 11

CLAUSULA 4.5 VERIFICACIÓN Y ACCION CORRECTICA

NUMERAL 4.4.2 EVALUACION


¿Según la Norma Según la Norma NTC-ISO28000, que aspectos se deben evaluar en
este numeral?

En el numeral 4.5.2 que corresponde a la evaluación del sistema es claro en


especificar que la organización debe evaluar: los planes, procedimientos y
capacidades de la gestión de seguridad; así como también evaluar de forma
periódica la conformidad con la legislación y la reglamentaciones pertinentes,
las mejores prácticas de la industria y la conformidad con su propia política y
objetivos.

NUMERAL 4.5.5 AUDITORIA

En este Numeral la Norma NTC-ISO28000 indica, que las auditorias del sistema de
gestión de la seguridad se lleven a cabo en intervalos planeados, para:

A) Determinar si el sistema de gestión de la seguridad: 1) cumple


con las disposiciones planificadas para la gestión de la seguridad,
incluyendo los requisitos de toda la claúsula 4 de esta norma; 2)
ha sido implementado y mantenido adecuadamente y 3) es eficaz
para cumplir la política y objetivos de gestión de seguridad de la
organización.
B) Revisar los resultados de auditorías previas y las acciones
tomadas para rectificar no conformidades.
C) Proporcionar información a la dirección sobre resultados de
auditorías.
D) Verificar el despliegue apropiado de los equipos y el personal de
seguridad.

EJERCICIO No 12
CLAUSULA 4.6 REVISION POR LA DIRECCION Y MEJORA CONTINUA
Explique la importancia del ejercicio de la Revisión por la Dirección con relación a la
Gestión de la Seguridad de la Cadena de Suministros
La Revisión por la Dirección y mejora continua es una herramienta de gran valor para la
mejora del sistema de gestión de la seguridad implantado y para garantizar su eficacia. A
través de la evaluación y análisis de las distintas entradas como cambios en el sistema,
modificación del contexto, cambios en las necesidades y expectativas de las partes
interesadas, estado de la resolución de las no conformidades detectadas, etc., se pueden
tomar decisiones y cambios para mejorar el sistema, aportando valor al mismo. Este
informe tiene como objetivo convertirse en un fiel reflejo de la alineación que la empresa
ha realizado de sus planes estratégicos con el sistema de gestión implantado. Además,
permitirá demostrar la implicación de la alta dirección en el sistema, en la mejora continua
y en el logro de los resultados esperados.

EJERCICIO 13
ETICA

Para cada situación de la siguiente lista, explique cómo actuaria siendo auditor interno ISO
28000.

1) El auditado solicita su permiso para utilizar las notas de la auditoria para crear un
caso de estudio sobre cómo se llevó a cabo la auditoria. El caso de estudio sólo
será utilizado internamente y no se mencionarán nombres.

No le daría la autorización de utilizar las notas, ellos como auditados tienen presencia
física en la auditoria interna, es decir conocen como se lleva a cabo la misma y si está
atento conoce como es el proceso, le diría que tome apuntes y realice un análisis de
acuerdo a lo que pudo observar.

2) El auditado es una empresa de computación y le regalan a usted una de sus más


modernas computadoras que tienen un valor de venta a consumidor final de USD
3000. El auditado le asegura que sus costos de producción son significativamente
menores.

Como auditor no estaría dentro de mi ética profesional recibir este tipo de obsequios,
además lo tomaría como un estilo de soborno, donde estaría obligado a dar
conformidades donde sean No conformidades. Por este motivo les diría que NO.
3) Durante la hora del almuerzo, el auditado le paga a usted una costosa y deliciosa
comida en un restaurante. Usted no está seguro si quiere impresionarlo, hacerle
perder tiempo o ambos.

Iniciando auditoria lo primero que hago es establecer los horarios de almuerzo, no me


saldría del mismo, y si lo que busca es impresionar, no me sorprendería le daría las
gracias y continuaría realizando mi labor.

4) Usted descubre una gran cantidad de fotos de pornografía infantil en uno de los
servidores de la organización

Lo primero que hago es notificar a la compañía del mal manejo del computador
teniendo en cuenta que esta información no debería estar en este ordenador, Adicional
informaría a las respectivas autoridades competentes y puedan realizar el respectivo
manejo ya que en Colombia este tipo de actividades no es legal.

5) Usted descubre una no conformidad durante la auditoria de una organización


pequeña. Usted cree que esta no conformidad ocurrió porque el empleado
responsable hacia poco tiempo que había sido contratado y no tenía la experiencia
suficiente. Usted tiene la firme sospecha de que, si usted informa de esta no
conformidad, el más alto ejecutivo de la organización, un hombre muy fácilmente
irritable, se pondrá furioso y despedirá inmediatamente al empleado.

Si es una No conformidad Menor, trataría de dar una solución, la notifico pero doy las
herramientas para su respectiva corrección y mejora y la misma no sea causante de
despido al trabajador.

EJERCICIO 15

REVISION DE LA DOCUMENTACION

Revise los siguientes documentos del SGSCS de la organización en el caso de estudio.


Determine y explique si estos documentos cumplen con los requisitos mínimos de la ISO
28000
1. POLITICA DEL SGSCS

 De acuerdo al numeral 4.2 la política de la empresa LOGISTICA MS S.A.S LTDA


es apropiada con la naturaleza y el grado de los riesgos de accidentes y
enfermedades del trabajo al empleado dado que en esta lo menciona, Incluye el
compromiso de prevenir lesiones y enfermedades de trabajo. La mejora continua
de la gestión y el desempeño del SG-SST.
 Menciona el cumplimiento con todos los requisitos legales que se aplican y que
están relacionados con los peligros para su logística.
 Se identifican objetivos conforme a la política de gestión indicando mejora
continua.
 Se aplicara no conformidad ya que no menciona tener su política documentada,
implantada y comunicada a todas las personas que trabajen en la empresa, con
la intención de que sean conscientes de las obligaciones que tienen.
 Para concluir la política es coherente con otras políticas de la organización, en
cuanto a amenazas y riesgos de la seguridad general de la organización.

2. DEFINICION DE LOS OBJETIVOS Y METAS DE SEGURIDAD

Los objetivos de la empresa LOGISTICA MS S.A.S son coherentes con las políticas
y el corr de negocio en el cual brindan seguridad en la gestión del riesgo, adicional
cumplen con el procedimiento estableciendo y garantizando capacitación al personal,
e implementando todos los procesos y procedimientos logísticos de la organización
para así lograr una mejora continua y mantener la calidad de los procesos de la
garantía.
3. PROCESO DE GESTION DE INCIDENTES RELACIONADOS CON EL
SGSCS

1 para identificar la necesidad es necesario que el área de recursos humanos establezca un


plan de comunicación y cultura en la organización para no solo implementar un buen
SGSCS si no mantenerlo.

2 se debe realizar la gestión de riesgos mediante un seguimiento en el cumplimiento de los


objetivos metas y políticas de gestión de la seguridad , mediante reactivas de desempeño
para hacer el seguimiento de deterioro perdidas fallas incidentes y no conformidades
relacionados con la seguridad y cultura del SGSC

3 algunos de los riesgos organizacionales los cuales vamos a mitigares el hacer un


adecuado seguimiento mediante un registro de las actividades procedimientos y
capacidades de gestión de la seguridad por medio de revisiones periódicas al área de
recursos humanos.

4 para velar por el cuidado de los bienes y propiedad de la organización sera necesario
mantener una cultura organizacional con mejora continua al procedimiento de objetivos y
políticas en comunicación abierta a todas las áreas de la compañía en especial la de
recursos humanos ya que es una de las áreas promotoras de la cultura y sensibilización al
programa de riesgos de la compañía

4. DESCRIPCION DE LA FUNCIONES DEL REPRESENTANTE DEL SGCS

De acuerdo a las funciones te plantea 10 las cuales son acorde con el encargado de
SGCS sin embargo cabe agregar que deberá tener en cuenta el funcionario que
debe llevar unos indicadores de medición de cumplimiento y mejora continua dado
que este es un procedimiento de implementar y mantener en la compañía
5. REVISION POR LA DIRECCION

La revisión por la dirección se realizó el 25 de noviembre del 2017, en los cuales


mencionan los resultados de la auditoria de gestión de la norma internación de
cadena de suministros en la cual, se concluye que: se cumple con el programa con
indicadores de objetivos y metas a un 87 y 92% pero se decide hacer una revisión
exhaustiva para no permitir que se cumple aún la mejora continua y no se caiga el
sistema de gestión dentro de la compañía

EJERCICIO 16

LLEVAR A CABO UNA REUNION DE APERTURA

Basado en el caso de estudio, prepare una reunión de apertura para la auditoria a la


organización.

 Preparar plan de reunión (Lista de verificación )de apertura


Se realiza un formato con los siguientes parámetros a diligenciar:

Hoja membretada logo de la compañía auditada


Nº Auditoria
Objetivo de la auditoria
Criterios de la auditoria
Nombre del auditor
Responsable en la compañía

Selección del equipo de auditores internos de calidad


Elaboración del Programa De Auditoria
Elaboración del Plan de Auditoria
Elaboración de Lista de Verificación
Realización de la Reunión de Apertura
Ejecución de la Auditoria.
Realización de la Reunión de cierre
Elaboración del Informe Final de Auditoría
Diligenciamiento de las Evaluaciones del Auditor
Apertura de Acciones
EJERCICIO 17

Firma Representante o Coordinador


ENTREVISTA CON LA GERENCIA CORPORATIVA

Elabore lista de verificación ISO 28000 para entrevista de auditoria al Gerente corporativo
de la organización en el caso de estudio

Nº ÍTEMS/ PUNTOS A EVIDENCIAS C F NC 0


VERIFICAR
1 4.1 REQUISITOS La organización debe establecer,
GENERALES documentar, implementar, mantener y
mejorar continuamente un sistema de
gestión de la seguridad eficaz para identificar
las amenazas a la seguridad, evaluar los
riesgos y controlar y mitigar sus
consecuencias.

2 4.2 POLÍTICA La alta dirección de la organización


GESTIÓN DE LA debe autorizar una política de gestión de la
SEGURIDAD seguridad general.

Proporcionar el marco de referencia para


establecer objetivos, metas y programas
específicos de gestión de la seguridad

Ser apropiada para las amenazas de la


organización y la naturaleza y escala de sus
operaciones

3 4.3 EVALUACIÓN La identificación, evaluación y métodos de


RIESGO DE control de amenazas y riesgos de la
SEGURIDAD Y seguridad deberían como mínimo, ser
PLANIFICACIÓN apropiados a la naturaleza y escala de las
operaciones.

Esta evaluación debe considerar la


probabilidad de un evento y todas sus
consecuencias.

Amenazas y riesgos de falla física, tales


como falla funcional, daño incidental, daño
malicioso o terrorista o acción criminal.

Gestión de datos e información y


comunicaciones

Una amenaza a la continuidad de las


operaciones.
4 4.3.2 Requisitos de
Seguridad Legales,
Estatuarios y Otros Para identificar y tener acceso a los
Regulatorios requisitos legales aplicables y otros
requisitos que suscribe la organización en
relación con sus amenazas y riesgos para la
seguridad.
5 4.3.3 Objetivos de La organización debe establecer,
Gestión de la implementar y mantener objetivos de gestión
Seguridad de la seguridad documentados, en las
funciones y niveles pertinentes dentro de la
organización.

Los objetivos deber derivarse de la política y


ser coherentes con ella.

EJERCICIO 18
REALIZAR UNA ENTREVISTA (PARTE 1)
Elaborar lista de verificación ISO 28000 para la auditoria a la oficina general de la
organización en el caso de estudio.

OBSERVACION Se realizan evaluaciones periódicas de los planes, procedimientos y


capacidades de gestión de la seguridad

DOCUMENTO GOOP0219 Procedimiento de Gestión del Riesgo en los Procesos

ENTREVISTA Recolecta información a través de entrevistas, escuchando, observando y


la revisando documentos, registros y datos?
V
ERIFICACION No se evidencia la aplicación de pruebas de vulnerabilidad en los últimos
meses.

TECNICA La Empresa Capacita a los trabajadores sobre las técnicas adecuadas para la
gestión de riesgos en los procesos

ANALISIS Se tiene como información de entrada las auditorías internas, comunicación de


partes interesadas, quejas, desempeño de la seguridad, objetivos y metas, estado de
acciones correctivas y preventivas.

EJERCICIO 18
REALIZAR UNA ENTREVISTA (PARTE 2)
Elaborar lista de verificación ISO 28000 para la auditoria a la segunda oficina en
importancia de la organización en el caso de estudio.

OBSERVACION Cuenta con un procedimiento para el seguimiento y medición del


desempeño del sistema de gestión?

DOCUMENTO GG0219 Procedimiento de Seguimiento y Medición

ENTREVISTA Recolecta información a través de entrevistas, escuchando, observando y


la revisando documentos, registros y datos?
VERIFICACION Se evidencia procedimiento para el seguimiento y medición

TECNICA Se ha elaborado un programa de auditorías internas para el Sistema de gestión


en Seguridad en la cadena de suministro para la empresa.

ANALISIS Se tiene establecido el GG0216 Procedimiento de revisión por la gerencia con


el fin de revisar la conveniencia y desempeño del sistema

2. Se ha observado una no conformidad porque un técnico que traía una copia de


seguridad de un CD al segundo sitio de la empresa ubicado a 3 kms de distancia del
primer sitio no siguió el procedimiento que consiste en colocar la copia de seguridad del
CD en la caja de seguridad (no hay caja de seguridad en el segundo sitio de la
compañía). Por lo tanto dejó la copia de seguridad en un cajón sin llave. Sumado a esto,
un CD no es destruido cuando se completa su vida útil (simplemente es arrojado a la
basura).

Respuesta del auditado

Causa intrínseca:
El procedimiento de destrucción de los medios digitales es informal y no está por escrito.
Acción Correctiva:
Instalar una caja de seguridad en el segundo sitio de la organización y establecer un
procedimiento de destrucción
para los medios digitales. (Marco temporal: Dentro de 3 meses)

RTA: Se toman acciones correctivas de acuerdo a las No Conformidades detectadas por


parte del auditor interno.
Se requiere que periódicamente se realicen acciones preventivas con la finalidad de evitar
que se lleguen a presentar estos sucesos que pueden afectar a toda la compañía porque
es información confidencial y debe ser tratada con los protocolos establecidos..
EJERCICIO 19

CREAR LISTA DE VERIFICACION E INFORMES DE NO CONFORMIDAD

Parte 1: Preparación de una lista de verificación

Prepare una lista de verificación de auditoria para validar el siguiente criterio de auditoria,
identificando los diferentes procedimientos de auditoria aplicables.

Evaluación del Sistema (4.5.2)


La organización deberá evaluar los planes, procedimientos y capacidades de la gestión de
la seguridad mediante revisiones, pruebas, informes post-incidentes, lecciones aprendidas,
evaluaciones de desempeño y ejercicios periódicos. Los cambios significativos en estos
factores deberán estar reflejados inmediatamente en el/los procedimiento(s).

La organización deberá evaluar periódicamente la conformidad con la legislación y


reglamentos relevantes, con las mejores prácticas de la industria y con su propia política y
objetivos.

La organización deberá llevar registros de los resultados de las evaluaciones periódicas.

OBSERVACION

DOCUMENTO

ENTREVISTA

VERIFICACION
TECNICA

ANALISIS
Parte 2. Redacción de informes de no conformidad

Utilizando el caso de estudio redacte un informe de 2 no conformidades (mayor y menor)


que usted haya identificado en la auditoria documental.

INFORME DE NO CONFORMIDAD # 1
Cliente de auditoria LOGISTICA M5 S.A.S.
Proceso / Dominio CONTROL INTERNO
Criterio de la auditoria ISO 28000
Descripción de la no conformidad observada:

La empresa en su proceso comercial no está solicitando los documentos legales


requeridos por la norma ISO 28000, adicional los documentos tienen fechas mayor a 7
años, nos son documentos actualizados internamente no están realizando este tipo de
verificación de clientes y proveedores.

Auditor: Lorena García Acuso de recibo por un Categoría:


Fecha: 27 de Enero de 2018 representante del
auditado
NC Mayor

NC Menor
Se realiza un formato con los siguientes parámetros a diligenciar:

Hoja membretada logo de la compañía auditada


Proceso
Fecha
Lugar
Hora de inicio
Hora de terminación
Nombre del auditor
Responsable en la compañía.

1. ASISTENCIA:
La reunión de cierre contó con los siguientes funcionarios todo el personal
Por parte del proceso auditado:
Por parte del auditor:

2 .AGRADECIMIENTO:

Se agradeció al líder Auditor del proceso y a los funcionarios de todas las


dependencias auditada, por la disponibilidad de los recursos físicos y
logísticos que fueron solicitados para realizar el trabajo y por disposición del
personal que fue requerido en las evaluaciones, que fueron realizadas.

EJERCICIO 22
EVALUACION DE LAS ACCIONES CORRECTIVAS Usted ha recibido una planificación
de acciones correctivas. Evalúe si las acciones correctivas propuestas son adecuadas. Si
usted está de acuerdo con las acciones correctivas, explique por qué? Si usted no está
de acuerdo, explique por qué no y proponga cuáles cree usted que serían las acciones
correctivas adecuadas?
Se ha observado una no conformidad porque varios empleados del turno de la noche a
veces se olvidan cerrar con llave la puerta principal de la oficina cuando se retiran. Dado
que ellos terminan su turno de trabajo a las 6:00 a.m. y el siguiente empleado llega a las
9:00 a.m., la puerta principal de la oficina puede llegar a permanecer sin llave durante 3
horas. Respuesta del auditado:
Causa Intrínseca: Los empleados no están lo suficientemente conscientes de los temas
de seguridad
Acción Correctiva: Enviar una carta a todos los empleados del turno de la noche,
informándoles de sanciones disciplinarias si este evento vuelve a suceder. (Marco
temporal: inmediatamente)
RTA No me parece que se sea una acción correctiva ya que esto no está explícito en
ningún procedimiento, además no se sabe si es que a los empleados no se les dio la
capacitación o no se les informo de cómo debían dejar la puerta la salir

2. Se ha observado una no conformidad porque un técnico que traía una copia de


seguridad de un CD al segundo sitio de la empresa ubicado a 3 kms de distancia del
primer sitio no siguió el procedimiento que consiste en colocar la copia de seguridad del
CD en la caja de seguridad (no hay caja de seguridad en el segundo sitio de la
compañía). Por lo tanto dejó la copia de seguridad en un cajón sin llave. Sumado a esto,
un CD no es destruido cuando se completa su vida útil (simplemente es arrojado a la
basura).Respuesta del auditado

Causa intrínseca: El procedimiento de destrucción de los medios digitales es informal y no


está por escrito.
Acción Correctiva: Instalar una caja de seguridad en el segundo sitio de la organización y
establecer un procedimiento de destrucción para los medios digitales. (Marco temporal:
Dentro de 3 meses).
RTA Estoy de acuerdo con la acción correctiva ya que se va hacer un procedimiento de
cómo se debe hace la destrucción de medios digitales, para que todos en la compañía lo
conozcan y sepan cómo se debe hacer.
3 Se ha observado una no conformidad porque el equipo de Recursos Humanos no era
consciente del procedimiento que les obliga a validar todas las referencias de todos los
futuros empleados antes de contratarlos.
Respuesta del auditado Causa Intrínseca: Hay muchos puestos vacantes en el
departamento de Recursos Humanos y el personal está sobrecargado de trabajo Acción
Correctiva: Informar inmediatamente y capacitar dentro de los 6 meses al personal de
Recursos Humanos respecto de este procedimiento y hacer que cada miembro del equipo
lo cumpla.
RTA Estoy de acuerdo porque el procedimiento existía pero no había la capacitación para
que lo cumplieran y lo hicieran dentro de los parámetros.
4 Se ha observado una no conformidad porque un empleado fue visto en un área sensible
a la que él normalmente no tiene acceso. Es imposible que nadie en esta área sensible no
se haya dado cuenta que esta persona no tiene autorización para estar allí. Hay carteles
que identifican el área restringida y métodos para controlar los accesos con tarjetas
magnéticas.
Respuesta del auditado: Causa intrínseca: El empleado, conociendo el reglamento interno
de la compañía, ha violado las reglas, pero es un caso aislado.
Acción Correctiva: Despedir al empleado basándose en las reglas y políticas de la
empresa. (Marco temporal: Inmediatamente).
RTA No estoy de acuerdo que se haga la acción correctiva porque puede que le
empleado no haya recibido la capacitación donde le especifiquen que esa área es
restringida y que no puede estar allí adicional, una acción correctiva no debe ser despedir
a un empleado.
5Se ha observado una no conformidad porque la organización no tiene un procedimiento
formal para el tratamiento de incidentes de seguridad.
Respuesta del auditado: Causa Intrínseca: No está documentado un procedimiento para
el tratamiento de incidentes de seguridad.
Acción Correctiva: Establecer un procedimiento para tratar incidentes de seguridad
(Marco temporal: próximos 12 meses), comprar una solución de software (Marco
temporal: dentro de los 24 meses), y adaptar la solución al proceso de registro y
tratamiento de incidentes propios (Marco temporal: Dentro de los 36 meses).
Comentar en el texto.
RTA Esto de acuerdo con la acción correctiva porque se debe establecer el procedimiento
para que todos en la compañía lo conozcan, y lo lleven a cabo ya que este es muy
importante en la compañía que se realice.

25. Se ha observado una no conformidad porque el equipo de Recursos Humanos


no era consciente del procedimiento que les obliga a validar todas las
referencias de todos los futuros empleados antes de contratarlos.

Respuesta del auditado

Causa Intrínseca: Hay muchos puestos vacantes en el departamento de Recursos


Humanos y el personal está sobrecargado de trabajo
Acción Correctiva: Informar inmediatamente y capacitar dentro de los 6 meses al personal
de Recursos Humanos respecto de este procedimiento y hacer que cada miembro del
equipo lo cumpla.

No estoy de acuerdo con la acción correctiva, 6 meses es demasiado tiempo para


capacitar a las personas de recursos humanos, debe ser en un tiempo menor, 3 meses,
adicional el personal si se debe capacitar pero máximo un mes se supone que deben
contratar personas que cumplan con todas las expectativas acorde al cargo y las
funciones que debe realizar el reclutamiento de hojas de vida debe estar acorde de
acuerdo a lo solicitado. El seguimiento a estos correctivos no lo haría cada 6 meses,
los haría cada 3 meses.

27
27.

Tabla de contenido
1. Objetivos................................................................................................................... 27
2. Alcance ..................................................................................................................... 27
3. Ámbito de Aplicación ................................................................................................ 27
4. Requisitos de Calidad Aplicable ................................................................................ 27
5. Definiciones .............................................................................................................. 27
6. Generalidades. ......................................................................................................... 28
7. Relación de actividades la Gestión de incidentes de seguridad de la información:
Error! Bookmark not defined.
Referencias Bibliográficas .................................................. Error! Bookmark not defined.
Registros ............................................................................ Error! Bookmark not defined.
ELABORÓ: REVISÓ: APROBÓ:
Profesional Oficina de Jefe Oficina Asesora
de Jefe Oficina Operaciones y
procedimientos. Planeación control interno de
Profesional Oficina procedimientos
Asesora de Planeación Jefe Oficina Operaciones y
control interno de
procedimientos
FECHA: FECHA: FECHA:
01/01/2018 15//01/2018 03/02/2018

1. Objetivos

Gestionar adecuadamente los incidentes y eventos de seguridad de los procedimientos y


así mismo documentarlos para conocimiento de todos los empleados de la compañía,
mediante el reporte oportuno de cual novedades, para reducir la afectación negativa de la
seguridad en la documentación explicita de los procedimientos internos.

2. Alcance

Inicia con la detección del incidente de seguridad de la gestión de la documentación de los


procedimientos internos de la compañía para una mejora continua con la estrategia de
contención y termina con el análisis post-incidente.

3. Ámbito de Aplicación

Proteger y Establecer en forma sistematizada, es decir, que deben seguir un


ordenamiento racional, dotarlo de los elementos necesarios para el funcionamiento
del plan de acción correctivo y orientarlo a objetivos específicos, de manera que su
efecto por la acción que produce, puede ser evaluable, República de Colombia-
Gobierno Nacional.Dado en Santafé de Bogotá, D.C., a 29 de noviembre de1993

4. Requisitos de Calidad Aplicable

Está guía da cumplimiento a los lineamientos establecidos en la Norma internacional ISO


28000;2007 Sistema de gestión de la seguridad para la cadena de suministros

5. Definiciones

 Procedimiento: un conjunto de acciones u operaciones que tienen que


realizarse de la misma forma, para obtener siempre el mismo resultado
bajo las mismas circunstancias y mejora continua.
 Control interno: Se entiende por control interno el sistema integrado por
el esquema de organización y el conjunto de los planes, métodos,
principios, normas, procedimientos y mecanismos de verificación y
evaluación adoptados por una entidad, con el fin de procurar que todas las
actividades, operaciones y actuaciones, así como la administración de la
información y los recursos, se realicen de acuerdo con las normas
constitucionales y legales vigentes dentro de las políticas trazadas por la
dirección y en atención a las metas u objetivos previstos.
 Amenaza: Factor externo que aprovecha una debilidad en los activos de
información y puede impactar en forma negativa en la organización. No
existe una única clasificación de las amenazas, lo importante es
considerarlas todas a la hora de su identificación.
 Gestión de Incidentes: Es el conjunto de todas las acciones, medidas,
mecanismos, recomendaciones, tanto proactivos, como reactivos,
tendientes a evitar y eventualmente responder de manera eficaz y eficiente
a incidentes de seguridad que afecten activos de una Entidad. Minimizando
su impacto en el negocio y la probabilidad que se repita.
 Impacto: Consecuencias que produce un incidente de seguridad sobre la
organización.
 Validación: Garantizar que la evidencia recolectada es la misma que la
presentada ante las autoridades.
 Vulnerabilidad: Ausencia o debilidad de un control. Condición que podría
permitir que una amenaza se materialice con mayor frecuencia, mayor
impacto o ambas. Una vulnerabilidad puede ser la ausencia o debilidad en
los controles administrativos, técnicos y/o físicos.

6. Generalidades.

1. Roles que participan en el proceso

 Oficial de Procedimientos:
Orientar y dar adecuado tratamiento a los incidentes de la documentación de
los procedimientos internos de la compañía debe hacer un seguimiento
periódico a los incidentes de seguridad presentados.

En caso de no presentarse un número significativo de reportes de incidentes


de inconformidad por procedimientos no formales, revisara los reportes de
las herramientas de seguridad para el análisis pertinente y otras fuentes con
el propósito de mejorar la gestión de incidentes por procedimientos.

 Funcionarios y contratistas
Deben tomar conciencia de su responsabilidad de reportar eventos y
debilidades el procedimiento de documentación de un plan de procedimiento
formal tan pronto como sea posible al grupo de control interno, recibir las
capacitaciones y participar en las campañas de sensibilización que se
realicen al interior de la entidad.
Reportar oportunamente los incidentes o eventos por inconsistencia o vacíos
en el procedimiento y cualquier comportamiento anormal que se presente en
la entidad

 El Grupo de Operaciones y control interno


Debe mantener constante capacitación y sensibilización a los funcionarios,
contratistas y demás partes interesadas en cuanto al reporte de incidentes
por procedimiento y vulnerabilidades de los sistemas de información con los
que cuenta la Entidad, debe hacer énfasis en:

a) Los riesgos de un control de seguridad ineficaz;


b) Que es la violación de la integridad, confidencialidad o expectativas de
disponibilidad de la información.
c) Los errores humanos.
d) Las no conformidades con políticas o directrices.

Lo anterior con el propósito que los funcionarios, contratistas y demás partes


interesadas de la entidad estén en capacidad de reconocer y reportar
incidentes por procedimiento.

Debe mantener contactos apropiados con las autoridades, grupos de interés


o foros externos que manejen las cuestiones relacionadas con incidentes por
procedimientos.

Función y control de los responsables:

El grupo responsable debe atender los incidentes por procedimientos, de acuerdo


a los niveles de criticidad del evento / incidente a fin de darle el tratamiento
adecuado.

Nivel Descripción
Interrumpe seriamente la operación de la entidad, el incidente puede tener
velocidad significativa/rápida en su propagación y ocasionar daños de activos.
Alto Podría llegar a afectar más de un tipo de activo.
Interrumpe en un periodo corto de tiempo los procesos generales de la entidad,
Medio el incidente/evento compromete un activo importante.
No interrumpe los procesos generales de la entidad, el incidente/evento, se
Bajo detecta y puede controlar fácilmente con recursos existentes en la entidad.