Curso Auditor Interno Sistema de Gestión de la Seguridad

para la Cadena de Suministros

NTC-ISO28000:2007

Curso Auditor Interno Sistema de

Gestión de la Seguridad para la
Cadena de Suministro NTC-
ISO28000:2007

Taller / Ejercicios / Auditoria

Nombre y
Jesús Eduardo Camacho Aragón
Apellidos
Fecha 31 de mayo de 2019
Email jesuse.camachoa@ecci.edu.co
Celular 3143088705
Código 83246

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

EJERCICIO No 1

NUMERAL 4.5.5 AUDITORIA

En este Numeral la Norma NTC-ISO28000 indica, que las auditorias del

sistema de gestión de la seguridad se lleven a cabo en intervalos
planeados, para:

Determinar si el Sistema de Gestión de la Seguridad: cumple con las

disposiciones planificadas para la gestión de la seguridad; ha sido
implementado y se mantiene adecuadamente; es eficaz para cumplir la política
y objetivos de gestión de la seguridad.
Revisar resultados de la auditoria anterior y acciones emprendidas para las No
Conformidades.
Proporcionar información a la dirección sobre los resultados de las auditorias.
Verificar el despliegue apropiado de los equipos y personal de seguridad.

EJERCICIO No 2

CLAUSULA 4.6 REVISION POR LA DIRECCION Y MEJORA CONTINUA

Explique la importancia del ejercicio de la Revisión por la Dirección con

relación a la Gestion de la Seguridad de la Cadena de Suministros.

Garantizar que el SGSCS siga siendo eficaz, conveniente y suficiente, también

debe brindar oportunidades de mejora y necesidades de cambió del sistema,
incluida las políticas, los objetivos y las amenazas y riesgos del sistema.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

EJERCICIO 3
ETICA

Para cada situación de la siguiente lista, explique cómo actuaria siendo

auditor interno ISO 28000.

1) El auditado solicita su permiso para utilizar las notas de la auditoria

para crear un caso de estudio sobre cómo se llevó a cabo la
auditoria. El caso de estudio sólo será utilizado internamente y no
se mencionarán nombres.

Si se prestará la información y las notas de auditoria, debido a que el material

será utilizado de manera académica y no se utilizarán nombres de las
organizaciones, claramente antes se debe firmar un compromiso que garantice
la confidencialidad de la información.

2) El auditado es una empresa de computación y le regalan a usted

una de sus más modernas computadoras que tienen un valor de
venta a consumidor final de USD 3000. El auditado le asegura que
sus costos de producción son significativamente menores.

No recibiría el computador dado que se incumple con el principio de auditoría

de integridad, pues influye en la sensibilidad a cualquier influencia sobre el
resultado y los juicios emitidos.

3) Durante la hora del almuerzo, el auditado le paga a usted una

costosa y deliciosa comida en un restaurante. Usted no está seguro
si quiere impresionarlo, hacerle perder tiempo o ambos.

Se recibe la comida con amabilidad, sin embargo se genera un poco de perdida

de tiempo y querer impresionar al auditor, por lo tanto se debe procurar limitar
el tiempo del almuerzo y evitar que se influencie la decisión o los resultados de
la auditoría.

4) Usted descubre una gran cantidad de fotos de pornografía infantil

en uno de los servidores de la organización

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

Se tomarían acciones legales, pues eso es un delito en el país y se procede a

dar por terminada la auditoría ya que la empresa no cuenta con las garantías
y seguridad para continuar con el proceso.

5) Usted descubre una no conformidad durante la auditoria de una

organización pequeña. Usted cree que esta no conformidad
ocurrió porque el empleado responsable hacia poco tiempo que
había sido contratado y no tenía la experiencia suficiente. Usted
tiene la firme sospecha de que, si usted informa de esta no
conformidad, el más alto ejecutivo de la organización, un hombre
muy fácilmente irritable, se pondrá furioso y despedirá
inmediatamente al empleado.

Se reporta la no conformidad, independientemente de las acciones que pueda

tomar la compañía, basado en el principio de auditoria de independencia,
pues se debe estar libre de sesgo y conflicto de interés.

EJERCICIO 4

EVIDENCIA EN UNA AUDITORIA

Determine cómo se verificaría cada uno de los siguientes requisitos.

Señale por lo menos 2 elementos de evidencia para cada requisito
e indique claramente el tipo de evidencia.

1. Política de gestión de la seguridad (4.2k): La política deberá:

k) estar disponible para las partes interesadas cuando sea
apropiado.
 Verificar que la política de Gestión de la Seguridad se encuentre
publicada en la organización y disponible para las partes interesadas de
la organización
 Verificar que la política es divulgada al personal y entendida por el
mismo, a través de evaluación.

www.consultorgo.co
Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

2. Metas de gestión de seguridad (4.3.4d): Estas metas deberán

ser: d) revisadas periódicamente para garantizar que se
mantienen relevantes y consistentes con los objetivos de la
gestión de seguridad. Donde sea necesario, deberán ser
enmendadas adecuadamente.
 Verificar implementación, seguimiento, análisis y control de las metas a
través de indicadores de gestión los cuales deben revisarse
periódicamente.
 Planes de acción en los que se evidencien acciones correctivas en caso
de que no se cumplan los objetivos e indicadores establecidos para las
metas.

3. Estructura, autoridad y responsabilidades para la gestión de

seguridad (4.41 f): La alta dirección deberá proveer
evidencia de su compromiso con el desarrollo e
implementación del SGSCS y continuamente mejorar su
efectividad: f) deberá garantizar que cualquier programa de
seguridad generado por otras partes de la organización
complemente el SGSCS.
 Verificar realización de la revisión por la alta dirección al Sistema de
Gestión de la Seguridad en la Cadena de Suministros, en la cual se
identifiquen acciones de mejora al sistema.
 Planes de acción derivados de la revisión por la dirección,
implementación de otros planes de seguridad generados por cualquier
parte de la organización.

4. Control de documentos y datos (4.4.5 f): La organización

deberá establecer y mantener procedimientos para
controlar todos los documentos, datos e información exigidos
en el numeral 4 de esta norma internacional para garantizar
que: f) estos documentos, datos e información sean seguros,
y, si se encuentran en formato electrónico, deberán tener
copia de seguridad adecuada y deberán poder ser
recuperados.
 Verificar la existencia de procedimiento para el control de los
documentos y la información documentada, adicionalmente contar con
listado maestro de documentos, en el cual se garantice el control,
disposición, conservación y acceso de los documentos y registros.
 Verificar existencia de la copia de seguridad o backup para la
conservación y recuperación de los documentos, datos y registros.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

EJERCICIO 5

REVISION DE LA DOCUMENTACION

Revise los siguientes documentos del SGSCS de la organización en el caso

de estudio. Determine y explique si estos documentos cumplen con los
requisitos mínimos de la ISO 28000

1. POLITICA DEL SGSCS

La política integral de la empresa Logística M5 SAS es apropiada a la
organización dado que proporciona un marco de referencia para establecer
objetivos, metas e indicadores; se basa en la identificación y minimización de
los riesgos que se puedan presentar en la operación y puedan afectar a la
empresa y a sus asociados, se incluye compromiso para el cumplimiento de
requisitos legales aplicables a la organización; cuenta con el respaldo de la alta
dirección; al ser integral también se compromete a la protección y promoción
de la salud de los trabajadores y capacitación. Adicionalmente, se evidencia
en la política explícitamente el compromiso por la mejora continua de los
procesos de gestión de la seguridad, a través de la identificación, control de
los riesgos que los puedan afectar.

2. DEFINICIÓN DE LOS OBJETIVOS Y METAS DE SEGURIDAD

Los objetivos y metas de seguridad claramente se derivan de la política integral

de la empresa; son coherentes con el compromiso de la organización con la
mejora continua, es posible su cuantificación y se trasmiten a las partes
interesadas y asociados de negocio de la organización. Se tuvo en cuenta para
su definición el cumplimiento de los requisitos legales, estatutarios y de
reglamentación en materia de seguridad, el control y minimización de los
riesgos y amenazas de seguridad, opciones tecnológicas en pro de la
implementación de los procesos, también teniendo en cuenta los requisitos
financieros, operacionales y empresariales, por lo tanto, cumplen con los
requisitos establecidos en la ISO 28000.

www.consultorgo.co
Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

3. PROCESO DE GESTION DE INCIDENTES RELACIONADOS CON

EL SGSCS

El Proceso de Gestión de incidentes relacionados con el SGCSC establecido

por la organización Logística M5 SAS no es apropiado y no cumple con los
requisitos establecidos en el numeral 4.3.5 de la ISO 28000 dado que el
programa de gestión de la seguridad debe aplicar a toda la organización y no
solo al procedimiento de recurso humano. También, el documento debe incluir
la responsabilidad y autoridad designada para cumplir metas y objetivos,
además los medios y escalas en el tiempo para el cumplimiento de objetivos y
metas de seguridad; lo cual no se evidencia en el proceso de la organización
Logística M5 SAS.

4. DESCRIPCIÓN DE LA FUNCIONES DEL REPRESENTANTE DEL

SGCS

Las Funciones del representante del SGCS definidos por la organización

Logística M5 SAS son acordes a lo definido en el numeral 4.4.1 de la ISO
28000 dado que se evidencia el compromiso con el diseño, mantenimiento,
documentación y mejora del sistema; cumplimiento de metas y objetivos;
realizar seguimiento al funcionamiento del sistema a través de auditorías,
garantizar el suministro de los recursos necesarios para la implementación del
sistema, capacitar al personal y comunicar la importancia de cumplir con los
requisitos de gestión del sistema, identificar, analizar e implementar estrategias
para la minimización o eliminación de los riesgos en materia de seguridad.

5. REVISIÓN POR LA DIRECCIÓN

La revisión por la dirección realizada el 25 de noviembre de 2017 en la empresa
Logística M5 SAS, es pertinente y cumple con los requisitos del numeral 4.6
de la ISO 28000 dado que se analizó el resultado de las auditorías y
cumplimiento de los requisitos legales, medios de comunicación con partes
interesadas, desempeño del SGSCS, cumplimiento de metas y objetivos,
estado de acciones correctivas, acciones de la revisión por la dirección anterior
y recomendaciones de mejora en cuanto al análisis del contexto externo e
interno de la organización. A pesar de que los resultados no son los esperados
pues no se logró cumplir con la meta indicada para el desempeño del SGSCS
sin realizar un análisis, no existe control al cumplimiento de requisitos legales,
no se tiene comunicación efectiva con las partes interesadas y no se ha logrado
validar el cierre de lo propuesto en las revisiones por la dirección anterior. Sin
embargo, no se garantiza que el sistema siga siendo conveniente, suficiente y
eficaz, por otro lado, se evalúa oportunidades de mejora a fin de evitar que se
caiga el sistema.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

EJERCICIO 6

LLEVAR A CABO UNA REUNION DE APERTURA

Basado en el caso de estudio, prepare una reunión de apertura para la

auditoria a la organización.

 Preparar plan de reunión (Lista de verificación )de apertura

a) Presentación del equipo auditor.

b) Confirmar el alcance y los objetivos de la auditoria.
c) Definir métodos y procedimientos que se utilizarán en la auditoría, tales
como entrevistas, documentos, observación. Toma de muestras de
evidencias objetivas.
d) Confirmar los canales de comunicación con el auditado.
e) Confirmar el idioma en el que se realizará la auditoría.
f) Confirmar los recursos e infraestructura necesaria para la realización de
la auditoría.
g) Definir asuntos relacionados con la confidencialidad de la información.
h) Confirmación de necesidades de seguridad, emergencia para el equipo
auditor.
i) Definir el método de la identificación de las No Conformidades.
j) Información acerca de las condiciones en las cuales las auditoria será
terminada.
k) Tiempos para el cierre de las no conformidades.
l) Información acerca de quejas, apelaciones o reclamos acerca del
equipo auditor y los hallazgos de la auditoría.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

EJERCICIO 7

ENTREVISTA CON LA GERENCIA CORPORATIVA

Elabore lista de verificación ISO 28000 para entrevista de auditoria al

Gerente corporativo de la organización en el caso de estudio.

 Numeral 4.1 - ¿Cómo se realiza la mejora continua de la eficacia del

SGSCS según el numeral 4?
 Numeral 4.2 - ¿Se tiene establecida la política de gestión de la seguridad
general?
 Numeral 4.2 - ¿Cómo se comunica la política de gestión de la seguridad
integral a todas las partes interesadas?
 Numeral 4.2 - ¿Cómo se establecen los objetivos de la organización?
 Numeral 4.2 - ¿Cómo se garantiza que las partes interesadas son
conscientes de sus obligaciones con la gestión de la seguridad?
 Numeral 4.3.1 - ¿La organización mantiene procedimientos para la
identificación de las amenazas a su seguridad y riesgos?
 Numeral 4.3.1 - ¿Cómo se identifican los riesgos y amenazas a la
seguridad de la operación, infraestructura y partes involucradas?
 Numeral 4.3.1 - ¿Como se realizan controles y planes de acción para la
implementación de controles a los riesgos y amenazas?
 Numeral 4.3.1 - ¿Cómo se realiza el seguimiento a las acciones y
controles para minimizar los riesgos y amenazas?
 Numeral 4.3.2 - ¿Se tiene establecido un procedimiento para el
cumplimiento a requisitos legales aplicables?
 Numeral 4.3.3 - ¿Cuáles objetivos tiene establecidos la organización?
 Numeral 4.3.3 - ¿Cómo se realiza el seguimiento, medición y análisis a
los objetivos y metas establecidas?
 Numeral 4.3.3 - ¿Cómo se comunican los objetivos a las partes
interesadas?
 Numeral 4.6 - ¿Cómo se planifica la revisión por la dirección? ¿cuál es
su periodicidad?
 Numeral 4.6 - ¿Cuáles son las entradas para la revisión por la dirección?
 Numeral 4.6 - ¿Cuáles son las salidas de la revisión por la dirección?

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

EJERCICIO 8

REALIZAR UNA AUDITORIA (PARTE 1)

Elaborar lista de verificación ISO 28000 para la auditoria a la Gerencia

general de la organización en el caso de estudio.

CRITERIO AUDITORIA EVIDENCIA DOCUMENTO / REGISTRO

Observar si la política se encuentra
4.2 Política de Gestión publicada en la organización y si se
OBSERVACIÓN
de la Seguridad mantiene disponible para las
partes interesadas.
Registro de las revisiones por la
dirección realizadas, con sus
4.6 Revisión por la respectivas entradas, salidas,
DOCUMENTO
Dirección opciones de compromiso con la
mejora, cambios posibles y análisis
de los riesgos y amenazas.
Entrevistar a los colaboradores y
4.2 Política de Gestión partes interesadas la conciencia
ENTREVISTA
de la Seguridad sobre las obligaciones individuales
relacionadas con la seguridad.
Procedimiento para la gestión del
riesgo, el cual incluye
identificación, evaluación y
métodos de control de las
amenazas y riesgos relacionados
4.3.1 Evaluación del VERIFICACIÓN
con la gestión de la seguridad
riesgo de seguridad TÉCNICA
apropiadas a la naturaleza de las
operaciones de la empresa.
Verificar las operaciones de la
empresa, sus riesgos y amenazas y
los controles implementados.
Análisis del seguimiento a los
4.3.3 Objetivos de objetivos a través de indicadores,
ANÁLISIS
Gestión de Seguridad dado que deben cuantificarse y
verificar su desempeño.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

EJERCICIO 9
REALIZAR UNA AUDITORIA (PARTE 2)

Elaborar lista de verificación ISO 28000 para la auditoria a la que ud

considere como la segunda oficina en importancia de la organización en
el caso de estudio.

CRITERIO AUDITORIA EVIDENCIA DOCUMENTO / REGISTRO

4.4.1 Estructura, Observar si las funciones realizadas
autoridad y por el responsable de la
responsabilidades OBSERVACIÓN implementación del SGCSG son las
para la gestión de la apropiadas según el manual de
seguridad. funciones.
4.4.2 Competencia, Registro de las competencias y
entrenamiento y DOCUMENTO entrenamientos realizados por la
toma de conciencia organización al personal.
Entrevistar a los colaboradores y
4.4.1 Estructura,
partes interesadas de la
autoridad y
organización la importancia de
responsabilidades ENTREVISTA
cumplir los requisitos de gestión de
para la gestión de la
la seguridad en la cadena de
seguridad.
suministro.
Procedimiento para la gestión del
riesgo, el cual incluye
identificación, evaluación y
métodos de control de las
amenazas y riesgos relacionados
4.3.1 Evaluación del VERIFICACIÓN
con la gestión de la seguridad
riesgo de seguridad TÉCNICA
apropiadas a la naturaleza de las
operaciones de la empresa.
Verificar las operaciones de la
empresa, sus riesgos y amenazas y
los controles implementados.
Analizar los resultados obtenidos de
las auditorias internas y externas
realizada en la organización, sus
hallazgos, el cierre de las no
4.5.5. Auditoría ANÁLISIS
conformidades y la
implementación y eficacia de las
No Conformidades según el plan
de acción.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

EJERCICIO 10

CREAR LISTA DE VERIFICACION E INFORMES DE NO CONFORMIDAD

Parte 1: Preparación de una lista de verificación

Prepare una lista de verificación de auditoria para validar el siguiente

criterio de auditoria, identificando los diferentes procedimientos de
auditoria aplicables.

Evaluación del Sistema (4.5.2)

La organización deberá evaluar los planes, procedimientos y
capacidades de la gestión de la seguridad mediante revisiones, pruebas,
informes post-incidentes, lecciones aprendidas, evaluaciones de
desempeño y ejercicios periódicos. Los cambios significativos en estos
factores deberán estar reflejados inmediatamente en el/los
procedimiento(s).

La organización deberá evaluar periódicamente la conformidad con la

legislación y reglamentos relevantes, con las mejores prácticas de la
industria y con su propia política y objetivos.

La organización deberá llevar registros de los resultados de las

evaluaciones periódicas.

CRITERIO AUDITORIA EVIDENCIA DOCUMENTO / REGISTRO

Observar evidencia de la
4.5.2 Evaluación del evaluación del sistema con el fin de
OBSERVACIÓN
Sistema identificar cambios significativos
para el SGSCS.
Registro de las evaluaciones
periódicas realizadas por la
4.5.2 Evaluación del
DOCUMENTO organización ya sea revisiones,
Sistema
ensayos, informes, lecciones
aprendidas, entre otras.
Entrevistar a los encargados de
4.5.2 Evaluación del realizar las evaluaciones del
ENTREVISTA
Sistema. sistema sobre la metodología para
realizar la evaluación del sistema.
Verificación técnica del
4.5.2 Evaluación del VERIFICACIÓN
procedimiento para realizar la
Sistema. TÉCNICA
evaluación del sistema y sus

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

resultados, identificando el
cumplimiento o no del sistema.

Analizar los cambios significativos

resultantes en los procedimientos
del SGSCS basado de la
4.5.2 Evaluación del
ANÁLISIS evaluación del sistema y el
Sistema.
cumplimiento de la organización
con los requisitos legales y
reglamentarios pertinentes.

Parte 2. Redacción de informes de no conformidad

Utilizando el caso de estudio redacte un informe de 2 no conformidades

(mayor y menor) que usted haya identificado en la auditoría documental.

INFORME DE NO CONFORMIDAD # 1
Cliente de auditoria LOGÍSTICA M5 S.A.S.
Proceso / Dominio Proceso de Seguridad
Criterio de la auditoria 4.3.5 Programa de gestión de Seguridad

Descripción de la no conformidad observada:

Se evidencia proceso de incidentes relacionados con el SGCSC de la

empresa LOGÍSTICA M5 S.A.S. el cual incumple lo estipulado en el
numeral 4.3.5 de la norma ISO 28000 dado que no se evidencia que el
proceso este encaminado a lograr los objetivos y metas de la
organización; igualmente no se encuentra documentada la
responsabilidad y autoridad designada a cumplir los objetivos y metas
de gestión de la seguridad y los medios y escalas en el tiempo de los
cuales se van a cumplir los logros y objetivos en gestión de la seguridad.
Por lo tanto, existe incumplimiento directo del requisito 4.3.5 de la norma
ISO 28000.

Auditor: Jesús Camacho Inmediato Superior Categoría:

Fecha: 31/05/2019 del auditado
NC Mayor X

NC Menor

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

INFORME DE NO CONFORMIDAD # 2
Cliente de auditoria LOGÍSTICA M5 S.A.S.
Proceso / Dominio Proceso Gerencial
Criterio de la auditoria 4.6 Revisión por la dirección

Descripción de la no conformidad observada:

Se evidencia revisión por la dirección realizada el día 25 de noviembre

de 2017 en la empresa LOGÍSTICA M5 S.A.S. la cual cuenta con las
entradas necesarias, dado que se analizó el resultado de las auditorías
y cumplimiento de los requisitos legales, medios de comunicación con
partes interesadas, desempeño del SGSCS, cumplimiento de metas y
objetivos, estado de acciones correctivas, acciones de la revisión por
la dirección anterior y recomendaciones de mejora en cuanto al
análisis del contexto externo e interno de la organización. Sin embargo,
es presenta un incumplimiento parcial al numeral 4.6 de la norma ISO
28000 dado que el numeral especifica que se debe garantizar que el
SGSCS sea conveniente, suficiente y eficaz, en los resultados de la
revisión por la dirección no se garantiza que el sistema siga siendo
conveniente, suficiente y eficaz, dado que no se garantiza el
desempeño adecuado del SGSCS, los objetivos y metas y no se
validaron el cumplimiento de los cierres de los planes de acción
propuestos en la revisión por la dirección anterior.

Auditor: Jesús Camacho Inmediato Superior Categoría:

Fecha: 31/05/2019 del auditado
NC Mayor

NC Menor X

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

EJERCICIO 11

ANALISIS DE LAS CONCLUSIONES DE LA AUDITORIA CON LA DIRECCION

Redacte el informe de las conclusiones del auditoria documental

realizada a la alta dirección de la organización.

 La organización cuenta con una política, objetivos y metas del Sistema

de Gestión de la Seguridad en la Cadena de Suministro acorde a su
operación, enfocado en la identificación, análisis y control de los riesgos
y amenazas para la operación.
 La organización no cuenta con un procedimiento para la gestión del
riesgo acorde a lo establecido en la norma ISO 28000, por ende, no ha
logrado el desempeño del SGSCS establecido.
 La gerencia de la organización realizó la revisión de la dirección al
SGSCS, sin embargo, en esta revisión se hallaron varias no
conformidades, entre ellas el incumplimiento a los programas de
auditoria, no controla los requisitos legales aplicables, no tiene medios
eficaces de comunicación con las partes interesadas de la organización,
no cumple el desempeño previsto al SGSCS, no se validaron el cierre
de lo propuesto en revisiones anteriores, pero no se evidencian planes
de acción para la corrección de estos hallazgos.

EJERCICIO 12
REUNION DE CIERRE

Prepare una lista de verificación para llevar a cabo la reunión de cierre

de auditoria con la dirección de la organización. (Asiste Todo el Personal)

a) Agradecer a los auditados.

b) Retroalimentar a los auditados sobre las fortalezas y observaciones
encontradas en la auditoría.
c) Presentar los hallazgos de auditoría.
d) Tiempo del auditado para presentar los planes para las acciones
correctivas y preventivas.
e) Informar al cliente los procedimientos para realizar quejas o apelaciones
sobre la auditoría y los hallazgos.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

EJERCICIO 13
EVALUACION DE LAS ACCIONES CORRECTIVAS

Usted ha recibido una planificación de acciones correctivas. Evalúe si las

acciones correctivas propuestas son adecuadas.

¿Si usted está de acuerdo con las acciones correctivas, explique por
qué?

¿Si usted no está de acuerdo, explique por qué no y proponga cuáles

cree usted que serían las acciones correctivas adecuadas?

1. Se ha observado una no conformidad porque varios empleados del

turno de la noche a veces se olvidan cerrar con llave la puerta
principal de la oficina cuando se retiran. Dado que ellos terminan su
turno de trabajo a las 6:00 a.m. y el siguiente empleado llega a las 9:00
a.m., la puerta principal de la oficina puede llegar a permanecer sin
llave durante 3 horas.

Respuesta del auditado:

Causa Intrínseca: Los empleados no están lo suficientemente conscientes

de los temas de seguridad

Acción Correctiva: Enviar una carta a todos los empleados del turno de
la noche, informándoles de sanciones disciplinarias si este evento vuelve
a suceder. (Marco temporal: inmediatamente)

La acción correctiva definida por la empresa no es adecuada, porque

no garantiza que la no conformidad hallada no se repita, pues no se
define seguimiento y control a sanciones disciplinarias a los empleados
por el turno de la noche si vuelve a suceder.

La acción correctiva que se debe tomar es la de contratar una

empresa de vigilancia durante las 3 horas en que la oficina se
encuentra desocupada, para asegurarse de que se cierre
adecuadamente la puerta principal de la oficina y se salvaguarde la
seguridad de la oficina.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

2. Final del formulario2. Se ha observado una no conformidad porque un

técnico que traía una copia de seguridad de un CD al segundo sitio
de la empresa ubicado a 3 kms de distancia del primer sitio no siguió
el procedimiento que consiste en colocar la copia de seguridad del
CD en la caja de seguridad (no hay caja de seguridad en el segundo
sitio de la compañía). Por lo tanto, dejó la copia de seguridad en un
cajón sin llave. Sumado a esto, un CD no es destruido cuando se
completa su vida útil (simplemente es arrojado a la basura).

Respuesta del auditado

Causa intrínseca: El procedimiento de destrucción de los medios digitales

es informal y no está por escrito.

Acción Correctiva: Instalar una caja de seguridad en el segundo sitio de

la organización y establecer un procedimiento de destrucción para los
medios digitales. (Marco temporal: Dentro de 3 meses)

La acción correctiva definida por la empresa es adecuada dado que

se debe salvaguardar la información en un sitio de la empresa y otro,
por lo tanto, es indispensable instalar también una caja de seguridad
en el segundo sitio y documentar el procedimiento para la destrucción
de los medios digitales cuando estos ya no son utilizados; con el fin de
garantizar que no haya perdida de la información.

3. Se ha observado una no conformidad porque el equipo de Recursos

Humanos no era consciente del procedimiento que les obliga a
validar todas las referencias de todos los futuros empleados antes de
contratarlos.

Respuesta del auditado

Causa Intrínseca: Hay muchos puestos vacantes en el departamento de

Recursos Humanos y el personal está sobrecargado de trabajo.

Acción Correctiva: Informar inmediatamente y capacitar dentro de los 6

meses al personal de Recursos Humanos respecto de este procedimiento
y hacer que cada miembro del equipo lo cumpla.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

La causa identificada por el auditado no es la apropiada, por lo tanto,

la acción correctiva definida no es la apropiada, dado que no se
puede esperar 6 meses para capacitar al personal de Recurso
Humano; dado que realizar el estudio de seguridad del personal nuevo
es muy importante para garantizar la seguridad de la empresa.

Según la causa la acción correctiva apropiada es en primer lugar

contratar personal para el área de recursos humanos que apoye la
labor de validar las referencias de todos los futuros empleados; realizar
la capacitación de manera inmediata sobre el procedimiento, hacer
seguimiento constante a su cumplimiento y verificar que no se contrate
empleados nuevos a los cuales no se le hayan verificado las referencias
y se haya realizado el estudio de seguridad.

4. Se ha observado una no conformidad porque un empleado fue visto

en un área sensible a la que él normalmente no tiene acceso. Es
imposible que nadie en esta área sensible no se haya dado cuenta
que esta persona no tiene autorización para estar allí. Hay carteles
que identifican el área restringida y métodos para controlar los
accesos con tarjetas magnéticas.

Respuesta del auditado:

Causa intrínseca: El empleado, conociendo el reglamento interno de la

compañía, ha violado las reglas, pero es un caso aislado.

Acción Correctiva: Despedir al empleado basándose en las reglas y

políticas de la empresa. (Marco temporal: Inmediatamente).

La Acción correctiva definida por la empresa, no es apropiada dado

que la solución no es despedir al empleado, pues si bien él tenía
conocimiento de no ingresar a la zona restringida, fue falla de la
seguridad de la empresa el permitir su ingreso.

La acción correctiva apropiada para garantizar que no se repita la no

conformidad es implementar métodos apropiados para garantizar el
acceso al personal autorizado y la seguridad en las zonas sensibles de
la empresa, por otro lado, se debe sancionar al empleado que ingreso
allí conociendo que es una zona a la cual no tenia acceso.

www.consultorgo.co
 Curso Auditor Interno Sistema de Gestión de la Seguridad
para la Cadena de Suministros
NTC-ISO28000:2007

5. Se ha observado una no conformidad porque la organización no tiene

un procedimiento formal para el tratamiento de incidentes de
seguridad.

Respuesta del auditado:

Causa Intrínseca: No está documentado un procedimiento para el

tratamiento de incidentes de seguridad.

Acción Correctiva: Establecer un procedimiento para tratar incidentes de

seguridad (Marco temporal: próximos 12 meses), comprar una solución
de software (Marco temporal: dentro de los 24 meses), y adaptar la
solución al proceso de registro y tratamiento de incidentes propios
(Marco temporal: Dentro de los 36 meses).

La acción correctiva es apropiada debido a que la acción inmediata

es documentar y establecer un procedimiento para el tratamiento de
los incidentes de seguridad que se puedan presentar; la adquisición del
software de solución es un control adecuado para el proceso y
tratamiento de incidentes de seguridad que se presenten.

www.consultorgo.co