INFORME DE AUDITORÍA Código: GO – FOR- 010

Emisión: 28-07-2020
Versión: 8
(ETAPA 1)
Página 1 de 8

INFORME AUDITORÍA ETAPA 1


OTORGAMIENTO REACTIVACIÓN
SEGUIMIENTO
RENOVACIÓN AMPLIACIÓN
TIPO AUDITORÍA
COMBINADA REDUCCIÓN
CONJUNTA
INTEGRADA EXTRAORDINARIA

CLIENTE DE AUDITORÍA Seguridad Cosmos Ltda

DIRECCIÓN Cr 64 No 97 - 48

REPRESENTANTE DE LA
Camilo Rodríguez
DIRECCIÓN
ISO 28000:2007, Requisitos legales aplicables a la gestión y procedimientos
CRITERIOS DE
documentados que den respuesta a los requisitos de la norma del sistema de
AUDITORÍA
gestión.
AUDITOR LÍDER Adriana Carolina Rojas
AUDITOR (ES) NA

EXPERTO (S) TÉCNICO (S) NA

OBSERVADOR (ES) NA

FECHA DE AUDITORÍA 17.02.21

DURACIÓN AUDITORÍA 8 horas IN SITU (%): X REMOTA (%): NA

Prestación de servicios de vigilancia y seguridad privada, en las modalidades
Fija, Móvil, escolta a personas, vehículos y mercancías, con y sin utilización de
ALCANCE AUDITORÍA
armas de fuego; medios tecnológicos, medio canino y servicios de consultoría,
asesoría e investigación en Bogotá
Direccion estrategica – Sistema integrado de gestion – Comerial – Operaciones –
PROCESOS AUDITADOS
Talento humano – Gestión administrativa

* LA PRESENTE AUDITORÍA SE BASA EN UN PROCESO DE MUESTREO DE LA INFORMACIÓN
DISPONIBLE

OTROS SITIOS DE AUDITORÍA VISITADOS
TEMPORAL /
SITIO VISITADO DIRECCIÓN PROCESOS AUDITADOS FECHA
PERMANENTE
NA NA NA NA NA

 INFORME DE AUDITORÍA Código: GO – FOR- 010
Emisión: 28-07-2020
Versión: 8
(ETAPA 1)
Página 2 de 8

VALIDACIÓN DE CUMPLIMIENTO DE OBJETIVOS DE LA AUDITORÍA ETAPA 1 POR PARTE DEL AUDITOR
SI/NO
LÍDER
Cumple la información documentada del Sistema de Gestión con los requisitos exigidos en la norma ISO
NO
28000, ISO 28001, ISO 37001 y/o ISO 9001?
Se evalúan las condiciones específicas del sitio del cliente e intercambian información con el
SI
personal del cliente con el fin de determinar el estado de preparación para la etapa 2?
Es conforme el estado del cliente y su grado de comprensión de los requisitos de la norma ISO 28000, ISO
28001, ISO 37001 y/o ISO 9001, en particular en lo que concierne a la identificación de desempeños NO
clave, aspectos, procesos, objetivos y funcionamiento significativos del sistema de gestión?
El alcance del Sistema de Gestión establecido y solicitado para la certificación ISO 28000, ISO 28001, ISO
NO
37001 y/o ISO 9001 es adecuado?
Se cumple la normatividad legal y reglamentaria aplicable a la empresa y al Sistema de Gestión? SI
Se planifican y realizan las auditorías internas y el proceso de revisión por la dirección al Sistema de
SI
Gestión?
Se asignaron recursos y acordaron detalles por parte del cliente para la ejecución de la auditoría etapa 2? SI
Se Proporcionó un enfoque para la planificación de la etapa 2 mediante la compresión suficiente del
Sistema de Gestión del cliente y de las operaciones del sitio en el contexto de la norma del Sistema de SI
Gestión?
El nivel de implementación del Sistema de Gestión confirma que la Organización cliente se encuentra
NO
preparada para la ejecución de la auditoría etapa 2?
El cliente está controlando de manera eficiente el uso de los documentos y marca de certificación? SI

CONCLUSIONES DE AUDITORÍA ETAPA 1

La organización ha documentado su sistema de gestión de acuerdo con los requisitos de la norma ISO
28000, ISO 28001, ISO 37001 y/o ISO 9001, cumpliendo los objetivos de la auditoría etapa 1 y su Sistema NO
de Gestión se encuentra preparado para la ejecución del proceso de auditoría etapa 2?

NÚMERO DE NO CONFORMIDADES POR TIPO MAYORES 2 MENORES 8


FORTALEZAS
1. Participación y compromiso frente al ejercicio de auditoria

OBSERVACIONES
1. NA

NO CONFORMIDAD (Diligencia el Auditor) No 1 de 10

Proceso: MANUAL - ALCANCE DEL SG - CADENA DE
TIPO DE CONFORMIDAD Mayor ( ) Menor ( X ) SUMINISTRO - ELEMENTOS DEL SISTEMAS Y SU
INTERACCIÓN
 INFORME DE AUDITORÍA Código: GO – FOR- 010
Emisión: 28-07-2020
Versión: 8
(ETAPA 1)
Página 3 de 8

La organización no garantiza con su documentación establecer la descripción de
Descripción:
los elementos principales del sistema de gestión de la seguridad y su interacción.
Requisito Aplicable: 4.4.4 c
Al verificar la definición de elementos del sistema de gestión, se encontro:
* El SGMP20 V6 4.6.19 Mapa de procesos no incluye procesos para la totalidad de
los servicios del alcance (Caninos – Conexos de consultoría, asesoría e
investigación) y no coincide la identificación con los procesos definidos en el
manual (Sistema de gestión integral – Mejora y control.)
* DECR04 V7 01.02.21 Caracterización de Direccionamiento estratégico y
Evidencia Objetiva:
SGGR21 Caracterización de Sistema integrado de Gestión V6 12.02.21 no incluye
como entrada en la interacción para la planificación los requisitos de la norma ISO
28000:07, se tienen todas las otras normas en que esta certificada la organización.
* GCCR05 Caracterización Gestión Administrativa V6 01.02.21 no incluye como
parte de la descripción y las interacciones las actividades relacionadas con
seguridad en tecnología.

NO CONFORMIDAD (Diligencia el Auditor) No 2 de 10

Proceso: MÉTODO CONTROL DE DOCUMENTOS Y
TIPO DE CONFORMIDAD Mayor ( X ) Menor ( )
DATOS (HERRAMIENTAS)
La organización no garantiza con su procedimiento de control de documentos,
datos e información que el personal autorizado revise periódicamente los
Descripción: documentos los actualice según sea necesario y apruebe su conveniencia, que se
encuentren disponibles versiones actuales de los documentos y que los
documentos obsoletos sean retirados con prontitud de todos los puntos de uso.
Requisito Aplicable: 4.4.5 b, c y d
Al verificar los documentos del sistema de gestión y el SGPR01 Procedimiento
información documentada V7 27.12.18 se encontraron las siguientes
inconsistencias:
* Los documentos Cadena de suministro, Directriz de la política y cumplimiento de
objetivos SIG, Organigrama y Matriz de cargos críticos (personal) no están
controlados como documento del sistema de gestión.
* DECR04 V7 01.02.21 (V6 09.10.18) Caracterización Direccionamiento
Estratégico, SGGR21 Caracterización Sistema integrado de Gestión V7 12.02.21
Evidencia Objetiva:
(V6 09.10.18), GCCR05 V6 01.02.21 (09.10.18) Caracterización Gestión
Administrativa V8 y COCR03 V8 01.02.21 (V7 28.02.19) Caracterización
Comercial estan publicados con una versión obsoleta el drive de consulta del
personal. Se entregaron copias obsoletos al capitulo.
* Se tienen el formato OPMT04 Matriz de riesgos V2 en uso con diferente fecha de
aprobación y contenido (16.11.17 – 30.6.20) uno incluye monitoreo y contingencia
y el otro no.
* El OPPR08 Procedimiento Gestión de Riesgos y Oportunidades V2 16.11.17
 INFORME DE AUDITORÍA Código: GO – FOR- 010
Emisión: 28-07-2020
Versión: 8
(ETAPA 1)
Página 4 de 8

establece para el tratamiento las opciones (Evitar – Aumentar - Eliminar) y la
OPMT04 Matriz de riesgos V2 16.11.17 las opciones (Aceptar – Compartir -
Modificar – Contingencia – Prevenir – Proteger - Retener) siendo inconsistente con
la metodología aprobada.
* El SGPR06 Programa de prevención de corrupción y soborno V1 30.9.19
establece como actividad de prevención la definición y divulgación de la Política de
corrupción y soborno que no existe, se tiene incluida en la Política SIPLAFT.

NO CONFORMIDAD (Diligencia el Auditor) No 3 de 10

Proceso: MÉTODO PREPARACIÓN Y RESPUESTA A
TIPO DE CONFORMIDAD Mayor ( ) Menor ( X ) EMERGENCIAS Y RECUPERACIÓN DE LA
SEGURIDAD
La organización no garantiza en todos los casos establecer, implementar y
mantener planes y procedimientos apropiados para identificar el potencial y las
Descripción:
respuestas ante incidentes de seguridad y situaciones de emergencia, ni para
evitar y mitigar las consecuencias probables que se puedan asociar con ellos.
Requisito Aplicable: 4.4.7
No se tienen establecidos los criterios para determinar en que casos se definen
métodos de preparación y respuesta a emergencias y recuperación de la
Evidencia Objetiva: seguridad. Se detectan riesgos con calificación de consecuencia critica que no
tienen definido un Procedimiento operativo normalizado - PON (Suplantación y
Fallas en capacitación).

NO CONFORMIDAD (Diligencia el Auditor) No 4 de 10

TIPO DE CONFORMIDAD Mayor ( ) Menor ( X ) Proceso: POLITICA – OBJETIVOS - METAS
La organización no garantiza establecer, implementar y mantener los objetivos de
Descripción:
gestión de la seguridad que sean coherentes con la política.
Requisito Aplicable: 4.3.3
Al verificar los objetivos del sistema de gestión en el documento Directriz de la
política y cumplimiento de los objetivos, se encuentra:
* Para el objetivo de cumplimiento de requisitos legales se definen un indicador
con una formulación que no es coherente (Requisitos identificados / Requisitos
Evidencia Objetiva: salientes y aplicable).
* Para el objetivo de asignación de recursos se define un indicador que no
corresponde con su cumplimiento (Satisfacción del cliente - Encuestas).
* No se tiene objetivos para todas las directrices de la política (Prevención de
actividades ilícitas – Opciones tecnológicas).

NO CONFORMIDAD (Diligencia el Auditor) No 5 de 10

 INFORME DE AUDITORÍA Código: GO – FOR- 010
Emisión: 28-07-2020
Versión: 8
(ETAPA 1)
Página 5 de 8

Proceso: PROGRAMAS DE GESTIÓN DE LA
TIPO DE CONFORMIDAD Mayor ( ) Menor ( X )
SEGURIDAD
La organización no garantiza establecer, implementar y mantener programas de
Descripción:
gestión de la seguridad para lograr todos los objetivos y metas.
Requisito Aplicable: 4.3.5
Se cuenta con dos programas para la gestión de la seguridad (Programa de
prevención de corrupción y soborno SGPR06 V1 y Programa de Gestión de
seguridad en la operación, pilar para la prevención SGPG12 V1 12.08.20) los
Evidencia Objetiva: cuales no incluyen actividades para el cumplimiento de la totalidad de los objetivos
y metas de seguridad, adicional algunas de las actividades propuestas no se
relacionan con seguridad (Manejo de quejas y reclamos como la estrategia para el
cumplimiento de requisitos legales).

NO CONFORMIDAD (Diligencia el Auditor) No 6 de 10

Proceso: FUNCIÓN RESPONSABILIDADES Y
AUTORIDADES - ESTRUCTURA ORGANIZACIONAL
TIPO DE CONFORMIDAD Mayor ( ) Menor ( X )
/ MÉTODO COMPETENCIA, ENTRENAMIENTO Y
TOMA DE CONCIENCIA
La organización no garantiza establecer una estructura organizacional de autoridad
Descripción: coherente con el logro de su política, objetivos metas y programas de gestión de la
seguridad.
Requisito Aplicable: 4.4.1
Al verificar el manejo de la autoridad en el documento Matriz de cargo THMT09 V5
Evidencia Objetiva: 19.12.18 (Índice de cargo) se encuentra que no se incluyen las actividades que
afectan la seguridad. Director operaciones, no especifica la autoridad ante
siniestros y materialización de riesgos.

NO CONFORMIDAD (Diligencia el Auditor) No 7 de 10

TIPO DE CONFORMIDAD Mayor ( ) Menor ( X ) Proceso: MÉTODO COMUNICACIÓN
La organización no garantiza con el procedimientos asegurar que la información
Descripción: pertinente de gestión de la seguridad se comunica en todos los casos hacia y
desde los empleados relevantes y otras partes interesadas.
Requisito Aplicable: 4.4.3
El Procedimiento de comunicación, participación y consulta SGPR30 V4 18.01.21
Evidencia Objetiva: no tiene incluido el mecanismo y medios de comunicación para el reporte de
actividades sospechosas al interior y con las partes interesadas (Autoridad
competente), actividad critica en la seguridad de la cadena de suministro.

NO CONFORMIDAD (Diligencia el Auditor) No 8 de 10

Proceso: MÉTODO FALLAS RELACIONAS CON LA
TIPO DE CONFORMIDAD Mayor ( ) Menor ( X )
SEGURIDAD, INCIDENTES, NO CONFORMIDADES
 INFORME DE AUDITORÍA Código: GO – FOR- 010
Emisión: 28-07-2020
Versión: 8
(ETAPA 1)
Página 6 de 8

Y ACCIONES CORRECTIVAS Y PREVENTIVAS
La organización no garantiza con el procedimiento para fallas relacionadas con la
seguridad, incidentes, no conformidades y acciones correctivas y preventivas la
confirmación de la eficacia de las acciones correctivas emprendidas, la revisión de
Descripción: todas las acciones correctivas y preventivas propuestas por medio del proceso de
evaluación de amenazas y riesgos de seguridad antes de la implementación, ni la
implementación y registro de cualquier cambio en los procedimientos
documentados que resulten de la acción correctiva y preventiva.
Requisito Aplicable: 4.5.3 e
Al verificar el Procedimiento no conformidad, acción correctiva y preventivas
SGPR11 V6 30.11.17 se encuentra que no incluye un método para la verificación
Evidencia Objetiva: de eficacia de las acciones generadas, para la verificación de los riesgos antes de
la implementación de las acciones y para la Identificación de cambios
documentales como resultado de estas.

NO CONFORMIDAD (Diligencia el Auditor) No 9 de 10

TIPO DE CONFORMIDAD Mayor ( ) Menor ( X ) Proceso: MÉTODO DE AUDITORÍA
La organización no garantiza con el procedimiento de auditoría un método para
Descripción:
comprender las competencias requeridas para su ejecución.
Requisito Aplicable: 4.5.5
Al verificar el SGFR10 Formato verificación de competencias V3 13.07.16 que
aplica para los auditores internos, se encuentra que no incluye la revisión de la
Evidencia Objetiva:
variable de competencias habilidades establecidas en el Procedimiento Auditoria
interna SGPR05 V8 14.4.20.

NO CONFORMIDAD (Diligencia el Auditor) No 10 de 10

Proceso: PROCEDIMIENTOS ESTABLECIDOS POR LA
TIPO DE CONFORMIDAD Mayor ( X ) Menor ( )
EMPRESA - CONTROL OPERACIONAL
La organización no garantiza que las operaciones y actividades se realicen bajo
las condiciones especificadas mediante el establecimiento, implementación y
mantenimiento de procedimientos documentados para controlar situaciones en las
Descripción: que su ausencia podría conducir a fallas en el logro de las operaciones que
incluyan controles para el diseño, instalación operación, renovación y modificación
de elementos de equipos, instrumentación relacionados con la seguridad, según
resulte apropiado.
Requisito Aplicable: 4.4.6
Al verificar el manejo de los controles operacionales, se encontró:
* El OPPR06 Procedimiento de Escoltas V3 07.07.15 no es coherente con las
Evidencia Objetiva:
actividades del servicio prestado, establece que la selección de escoltas se
maneja por un contratista que no existe, establece acompañamiento con recepción
 INFORME DE AUDITORÍA Código: GO – FOR- 010
Emisión: 28-07-2020
Versión: 8
(ETAPA 1)
Página 7 de 8

de unidad sellada sin detallar aplicación, no establece registros de trazabilidad del
servicio y no especifica el manejo para servicios de escoltas de carga y mercancía
incluidos en el alcance.
* No se tiene procedimiento documentado para la prestación de los servicios
vigilancia con caninos, medios tecnológicos y servicios conexos de consultoría,
asesoría e investigación.
* El SGPR27 Procedimiento seguridad informática V2 02.10.17 registra las
siguientes inconsistencias: en el ítem 4.5 dice que no se puede cambiar la
contraseña entregada por el gerente bajo ninguna circunstancia y en el siguiente
ítem dice que apenas la reciba se debe cambiar, habla de personal contratista
para mantenimiento y actualización de tecnología cuando la función es realizada
por el Asistente administrativo y establece cambio de contraseñas trimestral
cuando en realidad se hace mensual.
* El Procedimiento selección de proveedores, contratistas y subcontratistas
GCIN02 V9 13.02.20 establece que el reporte de actividades sospechosas (ROS)
lo debe hacer quien lo detecte a la autoridad, contradiciendo lo establecido en la
Circular 465 de 2017 de la súper intendencia de vigilancia y seguridad que pide
que sea el Funcionario responsable de cumplimiento del SIPLAFT quien haga los
reportes de operación sospechosa (ROS) ante la UIAF.

Por tanto el auditor líder y/o Equipo Auditor teniendo en cuenta el grado de criticidad de los hallazgos de auditoría
etapa 1 y el tiempo límite para su cierre eficaz (programación ejecución etapa 2) determina:

EJECUTAR PROCESO DE AUDITORÍA ETAPA 2 EN FECHA

PROGRAMADA INICIALMENTE POR BASC Bogotá - Colombia

PENDIENTE POR
Nueva Fecha Propuesta
RE-PROGRAMAR FECHA DE AUDITORÍA ETAPA 2 DEFINIR CON LA
Auditoría Etapa 2:
EMPRESA

JUSTIFICACIÓN SOBRE CUALQUIER DESVIACIÓN EN EL PLAN DE AUDITORÍA

No se presento
CAMBIOS SIGNIFICATIVOS QUE AFECTEN EL SISTEMA DE GESTIÓN DESDE LA ÚLTIMA AUDITORÍA
NA
EFICACIA DE LAS ACCIONES CORRECTIVAS TOMADAS CON RELACIÓN A NO CONFORMIDADES IDENTIFICADAS
PREVIAMENTE
NA
CONCLUSIONES SOBRE LO APROPIADO DEL ALCANCE DE LA CERTIFICACIÓN
Al verificar el alcance se encuentra que la actividad de Medios tencologicos es generica y al hacer la verificación la
empresa presta servicio de instalacion de equipos y monitoreo del CCTV unicamente. Respecto a las otras
actividades se considerena que son adecuadas y la empresa manifiesta tener servicios activos para todos los casos.
 INFORME DE AUDITORÍA Código: GO – FOR- 010
Emisión: 28-07-2020
Versión: 8
(ETAPA 1)
Página 8 de 8

Por tal razon se acuerda con la empresa el siguiente alcance:
“Prestación de servicios de vigilancia y seguridad privada, en las modalidades Fija, Móvil, escolta a personas,
vehículos y mercancías, con y sin utilización de armas de fuego; medios tecnológicos (CCTV), medio canino y
servicios de consultoría, asesoría e investigación en Bogotá”
OBSERVACIONES GENERALES (CUALQUIER CUESTIÓN NO RESUELTA) Y ASPECTOS PARA TENER EN CUENTA EN LA
PRÓXIMA AUDITORÍA
NA

*FIRMA REPRESENTANTE LEGAL FIRMA AUDITOR LÍDER

Mauricio Rodríguez Rojas
Adriana Carolina

*NOMBRE Y APELLIDO REPRESENTANTE LEGAL NOMBRE Y APELLIDO AUDITOR LÍDER

*Firma del Representante legal o Suplente y/o firma del representante del Sistema de Gestión.