Documentos de Académico
Documentos de Profesional
Documentos de Cultura
GOFOR 010 Informe Auditoria E1 V8
GOFOR 010 Informe Auditoria E1 V8
Emisión: 28-07-2020
Versión: 8
(ETAPA 1)
Página 1 de 8
INFORME AUDITORÍA ETAPA 1
OTORGAMIENTO REACTIVACIÓN
SEGUIMIENTO
RENOVACIÓN AMPLIACIÓN
TIPO AUDITORÍA
COMBINADA REDUCCIÓN
CONJUNTA
INTEGRADA EXTRAORDINARIA
CLIENTE DE AUDITORÍA Seguridad Cosmos Ltda
DIRECCIÓN Cr 64 No 97 - 48
REPRESENTANTE DE LA
Camilo Rodríguez
DIRECCIÓN
ISO 28000:2007, Requisitos legales aplicables a la gestión y procedimientos
CRITERIOS DE
documentados que den respuesta a los requisitos de la norma del sistema de
AUDITORÍA
gestión.
AUDITOR LÍDER Adriana Carolina Rojas
AUDITOR (ES) NA
OBSERVADOR (ES) NA
VALIDACIÓN DE CUMPLIMIENTO DE OBJETIVOS DE LA AUDITORÍA ETAPA 1 POR PARTE DEL AUDITOR
SI/NO
LÍDER
Cumple la información documentada del Sistema de Gestión con los requisitos exigidos en la norma ISO
NO
28000, ISO 28001, ISO 37001 y/o ISO 9001?
Se evalúan las condiciones específicas del sitio del cliente e intercambian información con el
SI
personal del cliente con el fin de determinar el estado de preparación para la etapa 2?
Es conforme el estado del cliente y su grado de comprensión de los requisitos de la norma ISO 28000, ISO
28001, ISO 37001 y/o ISO 9001, en particular en lo que concierne a la identificación de desempeños NO
clave, aspectos, procesos, objetivos y funcionamiento significativos del sistema de gestión?
El alcance del Sistema de Gestión establecido y solicitado para la certificación ISO 28000, ISO 28001, ISO
NO
37001 y/o ISO 9001 es adecuado?
Se cumple la normatividad legal y reglamentaria aplicable a la empresa y al Sistema de Gestión? SI
Se planifican y realizan las auditorías internas y el proceso de revisión por la dirección al Sistema de
SI
Gestión?
Se asignaron recursos y acordaron detalles por parte del cliente para la ejecución de la auditoría etapa 2? SI
Se Proporcionó un enfoque para la planificación de la etapa 2 mediante la compresión suficiente del
Sistema de Gestión del cliente y de las operaciones del sitio en el contexto de la norma del Sistema de SI
Gestión?
El nivel de implementación del Sistema de Gestión confirma que la Organización cliente se encuentra
NO
preparada para la ejecución de la auditoría etapa 2?
El cliente está controlando de manera eficiente el uso de los documentos y marca de certificación? SI
CONCLUSIONES DE AUDITORÍA ETAPA 1
La organización ha documentado su sistema de gestión de acuerdo con los requisitos de la norma ISO
28000, ISO 28001, ISO 37001 y/o ISO 9001, cumpliendo los objetivos de la auditoría etapa 1 y su Sistema NO
de Gestión se encuentra preparado para la ejecución del proceso de auditoría etapa 2?
NÚMERO DE NO CONFORMIDADES POR TIPO MAYORES 2 MENORES 8
FORTALEZAS
1. Participación y compromiso frente al ejercicio de auditoria
OBSERVACIONES
1. NA
La organización no garantiza con su documentación establecer la descripción de
Descripción:
los elementos principales del sistema de gestión de la seguridad y su interacción.
Requisito Aplicable: 4.4.4 c
Al verificar la definición de elementos del sistema de gestión, se encontro:
* El SGMP20 V6 4.6.19 Mapa de procesos no incluye procesos para la totalidad de
los servicios del alcance (Caninos – Conexos de consultoría, asesoría e
investigación) y no coincide la identificación con los procesos definidos en el
manual (Sistema de gestión integral – Mejora y control.)
* DECR04 V7 01.02.21 Caracterización de Direccionamiento estratégico y
Evidencia Objetiva:
SGGR21 Caracterización de Sistema integrado de Gestión V6 12.02.21 no incluye
como entrada en la interacción para la planificación los requisitos de la norma ISO
28000:07, se tienen todas las otras normas en que esta certificada la organización.
* GCCR05 Caracterización Gestión Administrativa V6 01.02.21 no incluye como
parte de la descripción y las interacciones las actividades relacionadas con
seguridad en tecnología.
establece para el tratamiento las opciones (Evitar – Aumentar - Eliminar) y la
OPMT04 Matriz de riesgos V2 16.11.17 las opciones (Aceptar – Compartir -
Modificar – Contingencia – Prevenir – Proteger - Retener) siendo inconsistente con
la metodología aprobada.
* El SGPR06 Programa de prevención de corrupción y soborno V1 30.9.19
establece como actividad de prevención la definición y divulgación de la Política de
corrupción y soborno que no existe, se tiene incluida en la Política SIPLAFT.
Proceso: PROGRAMAS DE GESTIÓN DE LA
TIPO DE CONFORMIDAD Mayor ( ) Menor ( X )
SEGURIDAD
La organización no garantiza establecer, implementar y mantener programas de
Descripción:
gestión de la seguridad para lograr todos los objetivos y metas.
Requisito Aplicable: 4.3.5
Se cuenta con dos programas para la gestión de la seguridad (Programa de
prevención de corrupción y soborno SGPR06 V1 y Programa de Gestión de
seguridad en la operación, pilar para la prevención SGPG12 V1 12.08.20) los
Evidencia Objetiva: cuales no incluyen actividades para el cumplimiento de la totalidad de los objetivos
y metas de seguridad, adicional algunas de las actividades propuestas no se
relacionan con seguridad (Manejo de quejas y reclamos como la estrategia para el
cumplimiento de requisitos legales).
Y ACCIONES CORRECTIVAS Y PREVENTIVAS
La organización no garantiza con el procedimiento para fallas relacionadas con la
seguridad, incidentes, no conformidades y acciones correctivas y preventivas la
confirmación de la eficacia de las acciones correctivas emprendidas, la revisión de
Descripción: todas las acciones correctivas y preventivas propuestas por medio del proceso de
evaluación de amenazas y riesgos de seguridad antes de la implementación, ni la
implementación y registro de cualquier cambio en los procedimientos
documentados que resulten de la acción correctiva y preventiva.
Requisito Aplicable: 4.5.3 e
Al verificar el Procedimiento no conformidad, acción correctiva y preventivas
SGPR11 V6 30.11.17 se encuentra que no incluye un método para la verificación
Evidencia Objetiva: de eficacia de las acciones generadas, para la verificación de los riesgos antes de
la implementación de las acciones y para la Identificación de cambios
documentales como resultado de estas.
de unidad sellada sin detallar aplicación, no establece registros de trazabilidad del
servicio y no especifica el manejo para servicios de escoltas de carga y mercancía
incluidos en el alcance.
* No se tiene procedimiento documentado para la prestación de los servicios
vigilancia con caninos, medios tecnológicos y servicios conexos de consultoría,
asesoría e investigación.
* El SGPR27 Procedimiento seguridad informática V2 02.10.17 registra las
siguientes inconsistencias: en el ítem 4.5 dice que no se puede cambiar la
contraseña entregada por el gerente bajo ninguna circunstancia y en el siguiente
ítem dice que apenas la reciba se debe cambiar, habla de personal contratista
para mantenimiento y actualización de tecnología cuando la función es realizada
por el Asistente administrativo y establece cambio de contraseñas trimestral
cuando en realidad se hace mensual.
* El Procedimiento selección de proveedores, contratistas y subcontratistas
GCIN02 V9 13.02.20 establece que el reporte de actividades sospechosas (ROS)
lo debe hacer quien lo detecte a la autoridad, contradiciendo lo establecido en la
Circular 465 de 2017 de la súper intendencia de vigilancia y seguridad que pide
que sea el Funcionario responsable de cumplimiento del SIPLAFT quien haga los
reportes de operación sospechosa (ROS) ante la UIAF.
Por tanto el auditor líder y/o Equipo Auditor teniendo en cuenta el grado de criticidad de los hallazgos de auditoría
etapa 1 y el tiempo límite para su cierre eficaz (programación ejecución etapa 2) determina:
Por tal razon se acuerda con la empresa el siguiente alcance:
“Prestación de servicios de vigilancia y seguridad privada, en las modalidades Fija, Móvil, escolta a personas,
vehículos y mercancías, con y sin utilización de armas de fuego; medios tecnológicos (CCTV), medio canino y
servicios de consultoría, asesoría e investigación en Bogotá”
OBSERVACIONES GENERALES (CUALQUIER CUESTIÓN NO RESUELTA) Y ASPECTOS PARA TENER EN CUENTA EN LA
PRÓXIMA AUDITORÍA
NA
*FIRMA REPRESENTANTE LEGAL FIRMA AUDITOR LÍDER
Mauricio Rodríguez Rojas
Adriana Carolina