Taller Auditorìa Fin2

May 12, 2018 | Author: Karen Garay | Category: Human Resource Management, Comptroller, Planning, Quality (Business), Distribution (Business)
Share
Report this link


Comments



Description

TALLER AUDITORÌAEJERCICIO 1 RAZONES PARA IMPLEMENTAR LA ISO 28000 EN MI ORGANIZACIÓN Utilizando la información suministrada en el Curso, determine 3 Ventajas y Justifique las razones para implementar la norma ISO 28000 en su organización. VENTAJA 1 __Mejora de la Seguridad_ JUSTIFICACION: Implementando la norma 28000 aumenta la confiabilidad en los clientes, asegurando la cadena de suministros. VENTAJA 2 _Reducción de Costos___ JUSTIFICACION: La mayor parte de las compañías busca reducir costos, al implementar una norma como esta, disminuye los reprocesos, y fallas que se puedan presentar en la cadena de suministros. VENTAJA 3 _Ventaja Competitiva__ JUSTIFICACION: Una de las mayores ventajas que puede tener una compañía es que está certificada con una norma como esta, genera más confiabilidad a los clientes, teniendo en cuenta que no cualquiera se puede certificar. EJERCICIO 3 CADENAS DE SUMINISTROS En sus Propias Palabras indique, ¿Que es una Cadena de Suministros? Es la gestión y mejora continua del abastecimiento y planeación de productos de la cadena de valor para satisfacción efectiva de la demanda del cliente, en el mejor tiempo y costo posible a través de la gestión de flujos de información. EJERCICIO 4 CADENAS DE SUMINISTROS Según su Experiencia y lo visto en el Curso, está de acuerdo o no con Michael Porter, cuando indica que “En el Futuro la competencia no será de empresa a empresa, sino más bien, de Cadena de Suministros a Cadena de Suministros. Rta Es de cadena de suministros a cadena de suministros, el decía que la supervivencia y el éxito de una empresa en el mundo competitivo moderno requiere de mucho más que la simple mejora de sus operaciones y la integración de sus funciones internas. EJERCICIO 5 CADENAS DE SUMINISTROS / PARTES INTERESADAS (INTERNAS / EXTERNAS) Su Empresa está Vinculada al Comercio internacional y presta Servicios de Almacenamiento y Distribución.  De acuerdo con la siguiente Cadena de Suministro, Indique 2 Partes Interesadas Internas, 2 Partes Interesadas Externas y Justifique porque la organización debería tenerlas en cuenta en su SGSCS.  De acuerdo con la siguiente Cadena de Suministro, Indique que Partes Interesadas se encuentran Aguas Arriba y Aguas Abajo de su empresa. 1. PARTES INTERESADAS INTERNAS No 1: Centro de distribución JUSTIFICACION: Se debe tener en cuenta en el SGSC debido a que existen muchos riesgos en esta zona que pueden afectar la seguridad de la mercancía, así como poner en juego el buen nombre de la empresa. No 2: Transporte JUSTIFICACION: Se debe tener en cuenta en el SGSC porque como lo mencioné anteriormente ponen en juego e buen nombre de la empresa si no se tienen los controles respectivos pues es muy propenso a que se transporte mercancía ilícita como fachada. PARTES INTERESADAS EXTERNAS No 1: Comprador/consumidor JUSTIFICACION: Se debe tener en cuenta en el SGSC porque lo que se busca es que los clientes se sientan satisfechos con los servicios prestados, si no se tiene control sobre esto se incurre en el riesgo de pérdida de clientes. No 2: Tiendas JUSTIFICACION: Se debe tener en cuenta en el SGSC puesto que en este punto se corren muchos riesgos si no se tienen en cuenta los controles necesarios y pertinentes para que las operaciones se hagan legalmente. 2. PARTES INTERESADAS AGUAS ARRIBA / AGUAS ABAJO AGUAS ARRIBA No 1 Centro de distribución No 2 Transporte AGUAS ABAJO No 1 Consumidor No 2 Tiendas EJERCICIO 6 La Norma NTC-ISO 28000 es utilizada para cumplir varias Normas y Reglamentos que están relacionados con la Cadena de Suministros Internacional. ¿Indique al menos 4 Normas o Reglamentos que una empresa vinculada al Comercio Internacional debe cumplir? 1. Resolución 4050 de 1994 - Reglamenta examen de ingreso al trabajo y los exámenes periódicos y de egreso. 2. Decreto 1295 de 27 de junio de 1994 - Ministerio de la Protección Social. Obligatoriedad de afiliación al Sistema General de Riesgos profesionales, programa de salud ocupacional, realizar programas educativos sobre los riesgos para la salud a que están expuestos los trabajadores y sobre los métodos de prevención y control. 3. Decreto 1772 de 03 de agosto de 1994 - Afiliar a los trabajadores al Sistema General de seguridad Social en Riesgos profesionales, informar a los trabajadores la entidad administradora de riesgos profesionales a la que se encuentran afiliados 4. Decreto 1973 de 1995 - Por el cual se promulga el convenio 170 sobre la seguridad en la utilización de los productos químicos en el trabajo adoptado por la conferencia general de la O.I.T. EJERCICIO 7 CLAUSULA 4 ELEMENTOS DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD Numeral 4.1 REQUISITOS GENERALES Según la Norma NTC-ISO28000 que aspectos deben cumplirse en este Numeral? No 1: Establecer un sistema de Gestión de la seguridad No 2: Documentar un sistema de Gestión de la seguridad No 3: Implementar un sistema de Gestión de la seguridad No 4: Mantener un sistema de Gestión de la seguridad EJERCICIO No 9 CLAUSULA 4.3 VALORACION DEL RIESGO Y PLANEACION NUMERAL 4.3.1 VALORACION DEL RIESGO DE SEGURIDAD Determine los riesgos y vulnerabilidades asociadas con las siguientes situaciones e indique los posibles impactos. AMENAZAS RIESGOS VULNERABILIDADES IMPACTOS El ex-director de Que la información ALTO seguridad de la Que se lleve confidencial este empresa es información para rotando en la contratado por la la competencia competencia competencia La policía Que podemos Porque en algún ALTO sospecha que un estar momento nos pueden grupo terrorista perjudicados contaminar nuestras utiliza la cadena de porque podemos cargas suministro como estar expuestos si medio de utiliza la cadena contrabando de de suministros armas ilegales hacia dentro y fuera del país La Delincuencia Porque podemos roben ALTO Común ha hurtado estas expuestos 3 Vehículos y su al robo Carga ( TV / Celulares / Ipads) en menos de una semana a la salida de Buenaventura Los puertos de Que en algún Que contaminen alto embarque de la momento nos nuestra carga mercancía de puedan exportación de la contaminar empresa presentan nuestras cargas si un alto índice de no hay la contaminación de seguridad la carga con adecuada narcóticos El depósito de Que nos roben Robo Alto almacenamiento y nuestra distribución de mercancía mercancías de la empresa está ubicado en un sector con alto índice de delincuencia común Los Contenedores Que sean Robo alto de Exportación son hurtados o los dejados en puedan utilizar Parqueaderos que para no cuentan con contaminarlos barreras perimetrales y CCTV AMENAZAS RIESGOS CONTROLES DE SEGURIDAD El ex-director de seguridad de la Que divulgue la Una clausulas penales en el contrato donde empresa es información a la se especifique que no puede llevarse la contratado por la competencia información competencia La policía Que nos Mayor control en aduana y en inspecciones sospecha que un contaminen grupo terrorista nuestras carga utiliza la cadena de suministro como medio de contrabando de armas ilegales hacia dentro y fuera del país La Delincuencia Que nos roben Mayor vigilancia en la entrada y salida de Común ha hurtado puertos 3 Vehículos y su Carga ( TV / Celulares / Ipads) en menos de una semana a la salida de Buenaventura Los puertos de Que nos Mayores controles y revisiones de las embarque de la contaminen personas de la compañía para que no halla mercancía de nuestras cargas contaminación de nuestras cargas exportación de la empresa presentan un alto índice de contaminación de la carga con narcóticos El depósito de Robo La vigilancia y los motorizados cuando la almacenamiento y carga sea de un alto valor distribución de mercancías de la empresa está ubicado en un sector con alto índice de delincuencia común Los Contenedores Robo Utilizar los parqueaderos establecidos y de Exportación son solicitar a la empresa que estos sean con dejados en toda las normas de seguridad que se Parqueaderos que necesitan para guardar los vehículos. no cuentan con barreras perimetrales y CCTV Numeral 4.3.2 REQUISITOS LEGALES Y REGLAMENTARIOS Identifique 5 Requisitos Legales que una organización vinculada al Comercio Internacional debe Cumplir como miras a garantizar la Seguridad de su Cadena de Suministros. No 1 mantener actualizada la información organización No 2: Comunicar la información pertinente sobre requisitos legales No 3 Comunicar la información pertinente sobre requisitos legales y otros a sus empleados No 4 Comunicar la información pertinente sobre requisitos legales y otros a sus empleados incluidos los contratistas. Numeral 4.3.5 PROGRAMAS DE GESTION DE LA SEGURIDAD No 5 Según la Norma NTC-ISO28000, ¿Señale 3 aspectos que según su criterio, son los que revisten mayor importancia en este Numeral? No 1: La organización debe establecer e implementar y mantener programas de gestion de la seguridad para los objetivos y metas. No 2: Los programas debe optimizarse y luego priorizarse. No 3 La organización debe prever el uso de los costos de manera eficiente y eficaz en la implementación de seguridad. EJERCICIO No 10 CLAUSULA 4.4 IMPLEMENTACION Y OPERACIÓN NUMERAL 4.4.1 ESTRUCTURA Y RESPONSABILIDAD PARA LA GESTION DE LA SEGURIDAD. Según la Norma NTC-ISO28000, La Alta Dirección debe proporcionar evidencia de su compromiso con el desarrollo e implementación de los procesos del Sistema de Gestión de la seguridad y mejorar continuamente su eficacia. ¿Indique al menos 5 acciones con las cuales la Alta dirección demostraría evidencia de su compromiso? No 1: Nombrar un miembro o varios de la dirección con la autoridad necesaria para garantizar que implementen en los objetivos y metas. No 2: Garantizar la disponibilidad de recursos adecuados No 3 Comunicar a la organización la importancia de cumplir sus requisitos de gestion de la seguridad a fin de cumplir con su política No 4: garantizar la viabilidad de los objetivos metas y programas de gestion de seguridad No 5: Identificar y hacer seguimiento a los requisitos y expectativas de las partes interesadas. NUMERAL 4.4.2 COMPETENCIA, FORMACION Y TOMA DE CONCIENCIA. En este numeral la norma NTC-ISO28000, nos indica que la organización y las personas deben ser conscientes de: La importancia de los cumplimientos de políticas y procedimientos de gestion de seguridad y las consecuencias potenciales que tiene la seguridad en la organización. NUMERAL 4.4.4 DOCUMENTACION Indique cuales son los documentos mínimos que debe tener el Sistema de Gestión de la Seguridad . Son los documentos incluidos en los registros determinados por la organización como necesarios. NUMERAL 4.4.6 CONTROL OPERACIONAL ¿Qué se debe tener en cuenta cuando se actualicen las disposiciones existentes, o se introduzcan nuevas que puedan causar impacto en las operaciones y actividades de gestión de la seguridad? NUMERAL 4.4.7 PREPARACIÓN Y RESPUESTA ANTE EMERGENCIAS Y RECUPERACIÓN DE LA SEGURIDAD ¿Con base a que deben estructurarse los Planes de Emergencia y Cuál es su objetivo fundamental? EJERCICIO No 11 CLAUSULA 4.5 VERIFICACIÓN Y ACCION CORRECTICA NUMERAL 4.4.2 EVALUACION ¿Según la Norma Según la Norma NTC-ISO28000, que aspectos se deben evaluar en este numeral? En el numeral 4.5.2 que corresponde a la evaluación del sistema es claro en especificar que la organización debe evaluar: los planes, procedimientos y capacidades de la gestión de seguridad; así como también evaluar de forma periódica la conformidad con la legislación y la reglamentaciones pertinentes, las mejores prácticas de la industria y la conformidad con su propia política y objetivos. NUMERAL 4.5.5 AUDITORIA En este Numeral la Norma NTC-ISO28000 indica, que las auditorias del sistema de gestión de la seguridad se lleven a cabo en intervalos planeados, para: A) Determinar si el sistema de gestión de la seguridad: 1) cumple con las disposiciones planificadas para la gestión de la seguridad, incluyendo los requisitos de toda la claúsula 4 de esta norma; 2) ha sido implementado y mantenido adecuadamente y 3) es eficaz para cumplir la política y objetivos de gestión de seguridad de la organización. B) Revisar los resultados de auditorías previas y las acciones tomadas para rectificar no conformidades. C) Proporcionar información a la dirección sobre resultados de auditorías. D) Verificar el despliegue apropiado de los equipos y el personal de seguridad. EJERCICIO No 12 CLAUSULA 4.6 REVISION POR LA DIRECCION Y MEJORA CONTINUA Explique la importancia del ejercicio de la Revisión por la Dirección con relación a la Gestión de la Seguridad de la Cadena de Suministros La Revisión por la Dirección y mejora continua es una herramienta de gran valor para la mejora del sistema de gestión de la seguridad implantado y para garantizar su eficacia. A través de la evaluación y análisis de las distintas entradas como cambios en el sistema, modificación del contexto, cambios en las necesidades y expectativas de las partes interesadas, estado de la resolución de las no conformidades detectadas, etc., se pueden tomar decisiones y cambios para mejorar el sistema, aportando valor al mismo. Este informe tiene como objetivo convertirse en un fiel reflejo de la alineación que la empresa ha realizado de sus planes estratégicos con el sistema de gestión implantado. Además, permitirá demostrar la implicación de la alta dirección en el sistema, en la mejora continua y en el logro de los resultados esperados. EJERCICIO 13 ETICA Para cada situación de la siguiente lista, explique cómo actuaria siendo auditor interno ISO 28000. 1) El auditado solicita su permiso para utilizar las notas de la auditoria para crear un caso de estudio sobre cómo se llevó a cabo la auditoria. El caso de estudio sólo será utilizado internamente y no se mencionarán nombres. No le daría la autorización de utilizar las notas, ellos como auditados tienen presencia física en la auditoria interna, es decir conocen como se lleva a cabo la misma y si está atento conoce como es el proceso, le diría que tome apuntes y realice un análisis de acuerdo a lo que pudo observar. 2) El auditado es una empresa de computación y le regalan a usted una de sus más modernas computadoras que tienen un valor de venta a consumidor final de USD 3000. El auditado le asegura que sus costos de producción son significativamente menores. Como auditor no estaría dentro de mi ética profesional recibir este tipo de obsequios, además lo tomaría como un estilo de soborno, donde estaría obligado a dar conformidades donde sean No conformidades. Por este motivo les diría que NO. 3) Durante la hora del almuerzo, el auditado le paga a usted una costosa y deliciosa comida en un restaurante. Usted no está seguro si quiere impresionarlo, hacerle perder tiempo o ambos. Iniciando auditoria lo primero que hago es establecer los horarios de almuerzo, no me saldría del mismo, y si lo que busca es impresionar, no me sorprendería le daría las gracias y continuaría realizando mi labor. 4) Usted descubre una gran cantidad de fotos de pornografía infantil en uno de los servidores de la organización Lo primero que hago es notificar a la compañía del mal manejo del computador teniendo en cuenta que esta información no debería estar en este ordenador, Adicional informaría a las respectivas autoridades competentes y puedan realizar el respectivo manejo ya que en Colombia este tipo de actividades no es legal. 5) Usted descubre una no conformidad durante la auditoria de una organización pequeña. Usted cree que esta no conformidad ocurrió porque el empleado responsable hacia poco tiempo que había sido contratado y no tenía la experiencia suficiente. Usted tiene la firme sospecha de que, si usted informa de esta no conformidad, el más alto ejecutivo de la organización, un hombre muy fácilmente irritable, se pondrá furioso y despedirá inmediatamente al empleado. Si es una No conformidad Menor, trataría de dar una solución, la notifico pero doy las herramientas para su respectiva corrección y mejora y la misma no sea causante de despido al trabajador. EJERCICIO 15 REVISION DE LA DOCUMENTACION Revise los siguientes documentos del SGSCS de la organización en el caso de estudio. Determine y explique si estos documentos cumplen con los requisitos mínimos de la ISO 28000 1. POLITICA DEL SGSCS  De acuerdo al numeral 4.2 la política de la empresa LOGISTICA MS S.A.S LTDA es apropiada con la naturaleza y el grado de los riesgos de accidentes y enfermedades del trabajo al empleado dado que en esta lo menciona, Incluye el compromiso de prevenir lesiones y enfermedades de trabajo. La mejora continua de la gestión y el desempeño del SG-SST.  Menciona el cumplimiento con todos los requisitos legales que se aplican y que están relacionados con los peligros para su logística.  Se identifican objetivos conforme a la política de gestión indicando mejora continua.  Se aplicara no conformidad ya que no menciona tener su política documentada, implantada y comunicada a todas las personas que trabajen en la empresa, con la intención de que sean conscientes de las obligaciones que tienen.  Para concluir la política es coherente con otras políticas de la organización, en cuanto a amenazas y riesgos de la seguridad general de la organización. 2. DEFINICION DE LOS OBJETIVOS Y METAS DE SEGURIDAD Los objetivos de la empresa LOGISTICA MS S.A.S son coherentes con las políticas y el corr de negocio en el cual brindan seguridad en la gestión del riesgo, adicional cumplen con el procedimiento estableciendo y garantizando capacitación al personal, e implementando todos los procesos y procedimientos logísticos de la organización para así lograr una mejora continua y mantener la calidad de los procesos de la garantía. 3. PROCESO DE GESTION DE INCIDENTES RELACIONADOS CON EL SGSCS 1 para identificar la necesidad es necesario que el área de recursos humanos establezca un plan de comunicación y cultura en la organización para no solo implementar un buen SGSCS si no mantenerlo. 2 se debe realizar la gestión de riesgos mediante un seguimiento en el cumplimiento de los objetivos metas y políticas de gestión de la seguridad , mediante reactivas de desempeño para hacer el seguimiento de deterioro perdidas fallas incidentes y no conformidades relacionados con la seguridad y cultura del SGSC 3 algunos de los riesgos organizacionales los cuales vamos a mitigares el hacer un adecuado seguimiento mediante un registro de las actividades procedimientos y capacidades de gestión de la seguridad por medio de revisiones periódicas al área de recursos humanos. 4 para velar por el cuidado de los bienes y propiedad de la organización sera necesario mantener una cultura organizacional con mejora continua al procedimiento de objetivos y políticas en comunicación abierta a todas las áreas de la compañía en especial la de recursos humanos ya que es una de las áreas promotoras de la cultura y sensibilización al programa de riesgos de la compañía 4. DESCRIPCION DE LA FUNCIONES DEL REPRESENTANTE DEL SGCS De acuerdo a las funciones te plantea 10 las cuales son acorde con el encargado de SGCS sin embargo cabe agregar que deberá tener en cuenta el funcionario que debe llevar unos indicadores de medición de cumplimiento y mejora continua dado que este es un procedimiento de implementar y mantener en la compañía 5. REVISION POR LA DIRECCION La revisión por la dirección se realizó el 25 de noviembre del 2017, en los cuales mencionan los resultados de la auditoria de gestión de la norma internación de cadena de suministros en la cual, se concluye que: se cumple con el programa con indicadores de objetivos y metas a un 87 y 92% pero se decide hacer una revisión exhaustiva para no permitir que se cumple aún la mejora continua y no se caiga el sistema de gestión dentro de la compañía EJERCICIO 16 LLEVAR A CABO UNA REUNION DE APERTURA Basado en el caso de estudio, prepare una reunión de apertura para la auditoria a la organización.  Preparar plan de reunión (Lista de verificación )de apertura Se realiza un formato con los siguientes parámetros a diligenciar: Hoja membretada logo de la compañía auditada Nº Auditoria Objetivo de la auditoria Criterios de la auditoria Nombre del auditor Responsable en la compañía Selección del equipo de auditores internos de calidad Elaboración del Programa De Auditoria Elaboración del Plan de Auditoria Elaboración de Lista de Verificación Realización de la Reunión de Apertura Ejecución de la Auditoria. Realización de la Reunión de cierre Elaboración del Informe Final de Auditoría Diligenciamiento de las Evaluaciones del Auditor Apertura de Acciones EJERCICIO 17 Firma Representante o Coordinador ENTREVISTA CON LA GERENCIA CORPORATIVA Elabore lista de verificación ISO 28000 para entrevista de auditoria al Gerente corporativo de la organización en el caso de estudio Nº ÍTEMS/ PUNTOS A EVIDENCIAS C F NC 0 VERIFICAR 1 4.1 REQUISITOS La organización debe establecer, GENERALES documentar, implementar, mantener y mejorar continuamente un sistema de gestión de la seguridad eficaz para identificar las amenazas a la seguridad, evaluar los riesgos y controlar y mitigar sus consecuencias. 2 4.2 POLÍTICA La alta dirección de la organización GESTIÓN DE LA debe autorizar una política de gestión de la SEGURIDAD seguridad general. Proporcionar el marco de referencia para establecer objetivos, metas y programas específicos de gestión de la seguridad Ser apropiada para las amenazas de la organización y la naturaleza y escala de sus operaciones 3 4.3 EVALUACIÓN La identificación, evaluación y métodos de RIESGO DE control de amenazas y riesgos de la SEGURIDAD Y seguridad deberían como mínimo, ser PLANIFICACIÓN apropiados a la naturaleza y escala de las operaciones. Esta evaluación debe considerar la probabilidad de un evento y todas sus consecuencias. Amenazas y riesgos de falla física, tales como falla funcional, daño incidental, daño malicioso o terrorista o acción criminal. Gestión de datos e información y comunicaciones Una amenaza a la continuidad de las operaciones. 4 4.3.2 Requisitos de Seguridad Legales, Estatuarios y Otros Para identificar y tener acceso a los Regulatorios requisitos legales aplicables y otros requisitos que suscribe la organización en relación con sus amenazas y riesgos para la seguridad. 5 4.3.3 Objetivos de La organización debe establecer, Gestión de la implementar y mantener objetivos de gestión Seguridad de la seguridad documentados, en las funciones y niveles pertinentes dentro de la organización. Los objetivos deber derivarse de la política y ser coherentes con ella. EJERCICIO 18 REALIZAR UNA ENTREVISTA (PARTE 1) Elaborar lista de verificación ISO 28000 para la auditoria a la oficina general de la organización en el caso de estudio. OBSERVACION Se realizan evaluaciones periódicas de los planes, procedimientos y capacidades de gestión de la seguridad DOCUMENTO GOOP0219 Procedimiento de Gestión del Riesgo en los Procesos ENTREVISTA Recolecta información a través de entrevistas, escuchando, observando y la revisando documentos, registros y datos? V ERIFICACION No se evidencia la aplicación de pruebas de vulnerabilidad en los últimos meses. TECNICA La Empresa Capacita a los trabajadores sobre las técnicas adecuadas para la gestión de riesgos en los procesos ANALISIS Se tiene como información de entrada las auditorías internas, comunicación de partes interesadas, quejas, desempeño de la seguridad, objetivos y metas, estado de acciones correctivas y preventivas. EJERCICIO 18 REALIZAR UNA ENTREVISTA (PARTE 2) Elaborar lista de verificación ISO 28000 para la auditoria a la segunda oficina en importancia de la organización en el caso de estudio. OBSERVACION Cuenta con un procedimiento para el seguimiento y medición del desempeño del sistema de gestión? DOCUMENTO GG0219 Procedimiento de Seguimiento y Medición ENTREVISTA Recolecta información a través de entrevistas, escuchando, observando y la revisando documentos, registros y datos? VERIFICACION Se evidencia procedimiento para el seguimiento y medición TECNICA Se ha elaborado un programa de auditorías internas para el Sistema de gestión en Seguridad en la cadena de suministro para la empresa. ANALISIS Se tiene establecido el GG0216 Procedimiento de revisión por la gerencia con el fin de revisar la conveniencia y desempeño del sistema 2. Se ha observado una no conformidad porque un técnico que traía una copia de seguridad de un CD al segundo sitio de la empresa ubicado a 3 kms de distancia del primer sitio no siguió el procedimiento que consiste en colocar la copia de seguridad del CD en la caja de seguridad (no hay caja de seguridad en el segundo sitio de la compañía). Por lo tanto dejó la copia de seguridad en un cajón sin llave. Sumado a esto, un CD no es destruido cuando se completa su vida útil (simplemente es arrojado a la basura). Respuesta del auditado Causa intrínseca: El procedimiento de destrucción de los medios digitales es informal y no está por escrito. Acción Correctiva: Instalar una caja de seguridad en el segundo sitio de la organización y establecer un procedimiento de destrucción para los medios digitales. (Marco temporal: Dentro de 3 meses) RTA: Se toman acciones correctivas de acuerdo a las No Conformidades detectadas por parte del auditor interno. Se requiere que periódicamente se realicen acciones preventivas con la finalidad de evitar que se lleguen a presentar estos sucesos que pueden afectar a toda la compañía porque es información confidencial y debe ser tratada con los protocolos establecidos.. EJERCICIO 19 CREAR LISTA DE VERIFICACION E INFORMES DE NO CONFORMIDAD Parte 1: Preparación de una lista de verificación Prepare una lista de verificación de auditoria para validar el siguiente criterio de auditoria, identificando los diferentes procedimientos de auditoria aplicables. Evaluación del Sistema (4.5.2) La organización deberá evaluar los planes, procedimientos y capacidades de la gestión de la seguridad mediante revisiones, pruebas, informes post-incidentes, lecciones aprendidas, evaluaciones de desempeño y ejercicios periódicos. Los cambios significativos en estos factores deberán estar reflejados inmediatamente en el/los procedimiento(s). La organización deberá evaluar periódicamente la conformidad con la legislación y reglamentos relevantes, con las mejores prácticas de la industria y con su propia política y objetivos. La organización deberá llevar registros de los resultados de las evaluaciones periódicas. OBSERVACION DOCUMENTO ENTREVISTA VERIFICACION TECNICA ANALISIS Parte 2. Redacción de informes de no conformidad Utilizando el caso de estudio redacte un informe de 2 no conformidades (mayor y menor) que usted haya identificado en la auditoria documental. INFORME DE NO CONFORMIDAD # 1 Cliente de auditoria LOGISTICA M5 S.A.S. Proceso / Dominio CONTROL INTERNO Criterio de la auditoria ISO 28000 Descripción de la no conformidad observada: La empresa en su proceso comercial no está solicitando los documentos legales requeridos por la norma ISO 28000, adicional los documentos tienen fechas mayor a 7 años, nos son documentos actualizados internamente no están realizando este tipo de verificación de clientes y proveedores. Auditor: Lorena García Acuso de recibo por un Categoría: Fecha: 27 de Enero de 2018 representante del auditado NC Mayor NC Menor Se realiza un formato con los siguientes parámetros a diligenciar: Hoja membretada logo de la compañía auditada Proceso Fecha Lugar Hora de inicio Hora de terminación Nombre del auditor Responsable en la compañía. 1. ASISTENCIA: La reunión de cierre contó con los siguientes funcionarios todo el personal Por parte del proceso auditado: Por parte del auditor: 2 .AGRADECIMIENTO: Se agradeció al líder Auditor del proceso y a los funcionarios de todas las dependencias auditada, por la disponibilidad de los recursos físicos y logísticos que fueron solicitados para realizar el trabajo y por disposición del personal que fue requerido en las evaluaciones, que fueron realizadas. EJERCICIO 22 EVALUACION DE LAS ACCIONES CORRECTIVAS Usted ha recibido una planificación de acciones correctivas. Evalúe si las acciones correctivas propuestas son adecuadas. Si usted está de acuerdo con las acciones correctivas, explique por qué? Si usted no está de acuerdo, explique por qué no y proponga cuáles cree usted que serían las acciones correctivas adecuadas? Se ha observado una no conformidad porque varios empleados del turno de la noche a veces se olvidan cerrar con llave la puerta principal de la oficina cuando se retiran. Dado que ellos terminan su turno de trabajo a las 6:00 a.m. y el siguiente empleado llega a las 9:00 a.m., la puerta principal de la oficina puede llegar a permanecer sin llave durante 3 horas. Respuesta del auditado: Causa Intrínseca: Los empleados no están lo suficientemente conscientes de los temas de seguridad Acción Correctiva: Enviar una carta a todos los empleados del turno de la noche, informándoles de sanciones disciplinarias si este evento vuelve a suceder. (Marco temporal: inmediatamente) RTA No me parece que se sea una acción correctiva ya que esto no está explícito en ningún procedimiento, además no se sabe si es que a los empleados no se les dio la capacitación o no se les informo de cómo debían dejar la puerta la salir 2. Se ha observado una no conformidad porque un técnico que traía una copia de seguridad de un CD al segundo sitio de la empresa ubicado a 3 kms de distancia del primer sitio no siguió el procedimiento que consiste en colocar la copia de seguridad del CD en la caja de seguridad (no hay caja de seguridad en el segundo sitio de la compañía). Por lo tanto dejó la copia de seguridad en un cajón sin llave. Sumado a esto, un CD no es destruido cuando se completa su vida útil (simplemente es arrojado a la basura).Respuesta del auditado Causa intrínseca: El procedimiento de destrucción de los medios digitales es informal y no está por escrito. Acción Correctiva: Instalar una caja de seguridad en el segundo sitio de la organización y establecer un procedimiento de destrucción para los medios digitales. (Marco temporal: Dentro de 3 meses). RTA Estoy de acuerdo con la acción correctiva ya que se va hacer un procedimiento de cómo se debe hace la destrucción de medios digitales, para que todos en la compañía lo conozcan y sepan cómo se debe hacer. 3 Se ha observado una no conformidad porque el equipo de Recursos Humanos no era consciente del procedimiento que les obliga a validar todas las referencias de todos los futuros empleados antes de contratarlos. Respuesta del auditado Causa Intrínseca: Hay muchos puestos vacantes en el departamento de Recursos Humanos y el personal está sobrecargado de trabajo Acción Correctiva: Informar inmediatamente y capacitar dentro de los 6 meses al personal de Recursos Humanos respecto de este procedimiento y hacer que cada miembro del equipo lo cumpla. RTA Estoy de acuerdo porque el procedimiento existía pero no había la capacitación para que lo cumplieran y lo hicieran dentro de los parámetros. 4 Se ha observado una no conformidad porque un empleado fue visto en un área sensible a la que él normalmente no tiene acceso. Es imposible que nadie en esta área sensible no se haya dado cuenta que esta persona no tiene autorización para estar allí. Hay carteles que identifican el área restringida y métodos para controlar los accesos con tarjetas magnéticas. Respuesta del auditado: Causa intrínseca: El empleado, conociendo el reglamento interno de la compañía, ha violado las reglas, pero es un caso aislado. Acción Correctiva: Despedir al empleado basándose en las reglas y políticas de la empresa. (Marco temporal: Inmediatamente). RTA No estoy de acuerdo que se haga la acción correctiva porque puede que le empleado no haya recibido la capacitación donde le especifiquen que esa área es restringida y que no puede estar allí adicional, una acción correctiva no debe ser despedir a un empleado. 5Se ha observado una no conformidad porque la organización no tiene un procedimiento formal para el tratamiento de incidentes de seguridad. Respuesta del auditado: Causa Intrínseca: No está documentado un procedimiento para el tratamiento de incidentes de seguridad. Acción Correctiva: Establecer un procedimiento para tratar incidentes de seguridad (Marco temporal: próximos 12 meses), comprar una solución de software (Marco temporal: dentro de los 24 meses), y adaptar la solución al proceso de registro y tratamiento de incidentes propios (Marco temporal: Dentro de los 36 meses). Comentar en el texto. RTA Esto de acuerdo con la acción correctiva porque se debe establecer el procedimiento para que todos en la compañía lo conozcan, y lo lleven a cabo ya que este es muy importante en la compañía que se realice. 25. Se ha observado una no conformidad porque el equipo de Recursos Humanos no era consciente del procedimiento que les obliga a validar todas las referencias de todos los futuros empleados antes de contratarlos. Respuesta del auditado Causa Intrínseca: Hay muchos puestos vacantes en el departamento de Recursos Humanos y el personal está sobrecargado de trabajo Acción Correctiva: Informar inmediatamente y capacitar dentro de los 6 meses al personal de Recursos Humanos respecto de este procedimiento y hacer que cada miembro del equipo lo cumpla. No estoy de acuerdo con la acción correctiva, 6 meses es demasiado tiempo para capacitar a las personas de recursos humanos, debe ser en un tiempo menor, 3 meses, adicional el personal si se debe capacitar pero máximo un mes se supone que deben contratar personas que cumplan con todas las expectativas acorde al cargo y las funciones que debe realizar el reclutamiento de hojas de vida debe estar acorde de acuerdo a lo solicitado. El seguimiento a estos correctivos no lo haría cada 6 meses, los haría cada 3 meses. 27 27. Tabla de contenido 1. Objetivos................................................................................................................... 27 2. Alcance ..................................................................................................................... 27 3. Ámbito de Aplicación ................................................................................................ 27 4. Requisitos de Calidad Aplicable ................................................................................ 27 5. Definiciones .............................................................................................................. 27 6. Generalidades. ......................................................................................................... 28 7. Relación de actividades la Gestión de incidentes de seguridad de la información: Error! Bookmark not defined. Referencias Bibliográficas .................................................. Error! Bookmark not defined. Registros ............................................................................ Error! Bookmark not defined. ELABORÓ: REVISÓ: APROBÓ: Profesional Oficina de Jefe Oficina Asesora de Jefe Oficina Operaciones y procedimientos. Planeación control interno de Profesional Oficina procedimientos Asesora de Planeación Jefe Oficina Operaciones y control interno de procedimientos FECHA: FECHA: FECHA: 01/01/2018 15//01/2018 03/02/2018 1. Objetivos Gestionar adecuadamente los incidentes y eventos de seguridad de los procedimientos y así mismo documentarlos para conocimiento de todos los empleados de la compañía, mediante el reporte oportuno de cual novedades, para reducir la afectación negativa de la seguridad en la documentación explicita de los procedimientos internos. 2. Alcance Inicia con la detección del incidente de seguridad de la gestión de la documentación de los procedimientos internos de la compañía para una mejora continua con la estrategia de contención y termina con el análisis post-incidente. 3. Ámbito de Aplicación Proteger y Establecer en forma sistematizada, es decir, que deben seguir un ordenamiento racional, dotarlo de los elementos necesarios para el funcionamiento del plan de acción correctivo y orientarlo a objetivos específicos, de manera que su efecto por la acción que produce, puede ser evaluable, República de Colombia- Gobierno Nacional.Dado en Santafé de Bogotá, D.C., a 29 de noviembre de1993 4. Requisitos de Calidad Aplicable Está guía da cumplimiento a los lineamientos establecidos en la Norma internacional ISO 28000;2007 Sistema de gestión de la seguridad para la cadena de suministros 5. Definiciones  Procedimiento: un conjunto de acciones u operaciones que tienen que realizarse de la misma forma, para obtener siempre el mismo resultado bajo las mismas circunstancias y mejora continua.  Control interno: Se entiende por control interno el sistema integrado por el esquema de organización y el conjunto de los planes, métodos, principios, normas, procedimientos y mecanismos de verificación y evaluación adoptados por una entidad, con el fin de procurar que todas las actividades, operaciones y actuaciones, así como la administración de la información y los recursos, se realicen de acuerdo con las normas constitucionales y legales vigentes dentro de las políticas trazadas por la dirección y en atención a las metas u objetivos previstos.  Amenaza: Factor externo que aprovecha una debilidad en los activos de información y puede impactar en forma negativa en la organización. No existe una única clasificación de las amenazas, lo importante es considerarlas todas a la hora de su identificación.  Gestión de Incidentes: Es el conjunto de todas las acciones, medidas, mecanismos, recomendaciones, tanto proactivos, como reactivos, tendientes a evitar y eventualmente responder de manera eficaz y eficiente a incidentes de seguridad que afecten activos de una Entidad. Minimizando su impacto en el negocio y la probabilidad que se repita.  Impacto: Consecuencias que produce un incidente de seguridad sobre la organización.  Validación: Garantizar que la evidencia recolectada es la misma que la presentada ante las autoridades.  Vulnerabilidad: Ausencia o debilidad de un control. Condición que podría permitir que una amenaza se materialice con mayor frecuencia, mayor impacto o ambas. Una vulnerabilidad puede ser la ausencia o debilidad en los controles administrativos, técnicos y/o físicos. 6. Generalidades. 1. Roles que participan en el proceso  Oficial de Procedimientos: Orientar y dar adecuado tratamiento a los incidentes de la documentación de los procedimientos internos de la compañía debe hacer un seguimiento periódico a los incidentes de seguridad presentados. En caso de no presentarse un número significativo de reportes de incidentes de inconformidad por procedimientos no formales, revisara los reportes de las herramientas de seguridad para el análisis pertinente y otras fuentes con el propósito de mejorar la gestión de incidentes por procedimientos.  Funcionarios y contratistas Deben tomar conciencia de su responsabilidad de reportar eventos y debilidades el procedimiento de documentación de un plan de procedimiento formal tan pronto como sea posible al grupo de control interno, recibir las capacitaciones y participar en las campañas de sensibilización que se realicen al interior de la entidad. Reportar oportunamente los incidentes o eventos por inconsistencia o vacíos en el procedimiento y cualquier comportamiento anormal que se presente en la entidad  El Grupo de Operaciones y control interno Debe mantener constante capacitación y sensibilización a los funcionarios, contratistas y demás partes interesadas en cuanto al reporte de incidentes por procedimiento y vulnerabilidades de los sistemas de información con los que cuenta la Entidad, debe hacer énfasis en: a) Los riesgos de un control de seguridad ineficaz; b) Que es la violación de la integridad, confidencialidad o expectativas de disponibilidad de la información. c) Los errores humanos. d) Las no conformidades con políticas o directrices. Lo anterior con el propósito que los funcionarios, contratistas y demás partes interesadas de la entidad estén en capacidad de reconocer y reportar incidentes por procedimiento. Debe mantener contactos apropiados con las autoridades, grupos de interés o foros externos que manejen las cuestiones relacionadas con incidentes por procedimientos. Función y control de los responsables: El grupo responsable debe atender los incidentes por procedimientos, de acuerdo a los niveles de criticidad del evento / incidente a fin de darle el tratamiento adecuado. Nivel Descripción Interrumpe seriamente la operación de la entidad, el incidente puede tener velocidad significativa/rápida en su propagación y ocasionar daños de activos. Alto Podría llegar a afectar más de un tipo de activo. Interrumpe en un periodo corto de tiempo los procesos generales de la entidad, Medio el incidente/evento compromete un activo importante. No interrumpe los procesos generales de la entidad, el incidente/evento, se Bajo detecta y puede controlar fácilmente con recursos existentes en la entidad.
Copyright © 2024 DOKUMEN.SITE Inc.