Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

ISO 28003 2007

1,016 views

Published on

NORMA PARA LA ACREDITACION DE ORGANISMO DE CERTIFICACION DE LA NORMA ISO 28000

Published in: Business
  • Be the first to comment

  • Be the first to like this

ISO 28003 2007

  1. 1. NORMA ISO 28003:2007 Sistemas de Gestion de Seguridad para la Cadena de Suministro - Requisitos para los organismos que presten servicios de auditoría y certificación de sistemas de gestión de seguridad de la cadena de suministro REQUISITOS DE COMPETENCIA DE AUDITORES DE SEGURIDAD PARA LA CADENA DE SUMINISTRO Ing. Miller A. Romero / gerencia@consultoresauditores.com www.consultoresauditores.com
  2. 2. q I S O 2 8 0 0 3 f u e p r e p a r a d a conjuntamente por el Comité de ISO para la evaluación de la conformidad (ISO / CASCO) y la tecnología ISO / TC 8, buques y marinos. q Esta primera edición anula y sustituye a la norma ISO / PAS 28003:2006, la cual ha sido revisada técnicamente. q ISO 28003 incluye los requisitos de la norma ISO / IEC 17021, Evaluación de la conformidad - Requisitos para los organismos que realizan la auditoría y certificación de sistemas de gestión. q Proporciona orientación armonizada para la acreditación de organismos de certificación ISO 28000 ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  3. 3. PRINCIPIOS PARA LOS ORGANISMOS DE CERTIFICACION El valor de la certificación es el grado de confianza por parte del público que se establece para un sistema de gestión, proceso o producto (incluyendo servicios) que ha sido evaluado de forma imparcial y competente por parte de un tercero. 4.1.3 Principios para inspirar confianza ü IMPARCIALIDAD ü LA COMPETENCIA ü LA RESPONSABILIDAD ü LA TRANSPARENCIA ü LA CONFIDENCIALIDAD ü LA CAPACIDAD DE RESPUESTA A LAS QUEJAS. ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  4. 4. PRINCIPIOS PARA LOS ORGANISMOS DE CERTIFICACION 4.2.4 Amenazas a la imparcialidad q Interés propio q Auto-revisión q Familiaridad o confianza q La intimidación ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  5. 5. 7.2 PERSONAL QUE INTERVIENEN EN LAS ACTIVIDADES DE CERTIFICACION 7.2.1 COMPETENTE 7.2.2 EMPLEAR AUDITORES LIDERES, AUDITORES Y EXPERTOS TECNICOS 7.2.3 D I V U L G A R A L P E R S O N A L S U S D E B E R E S , RESPONSABILIDADES Y AUTORIDAD. 7.2.3.1 COMPETENCIA DE EQUIPO AUDITOR EN ANÁLISIS DE RIESGOS, ANÁLISIS DE PUNTOS CRÍTICOS DE CONTROL, METODOLOGÍAS DE GESTIÓN DE RIESGOS Y LA CONFIDENCIALIDAD DE INFORMACIÓN. ADEMAS DE : • COMPRENDER LOS REQUISITOS ISO 28000 PARA LA CADENA DE SUMINISTRO • TODO TIPO DE AMENAZAS EN LA CADENA DE SUMINISTRO • EVALUACIÓN DE RIESGOS Y ANÁLISIS: • MINIMIZACIÓN DE RIESGOS, MITIGACIÓN Y CONTROL: • PLANES DE CONTINGENCIAS / CONTINUIDAD / RECUPERACIÓN / RESILIENCIA 7.2.3.3 PLAN DE FORMACION PARA AUDITORES REQUISITOS DEL PLAN DE FORMACION A) RESULTADO DE ANALISIS DE NECESIDADES B) SER REGISTRADO C) INCLUYIR ESTUDIO DE CASOS DE AUDITORIA D) INTERPRETACION DE NORMAS E) SER EVALUADO F) EJECUTADO POR FACILITADORES CALIFICADOS ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  6. 6. 7.2 PERSONAL QUE INTERVIENEN EN LAS ACTIVIDADES DE CERTIFICACION 7.2.3.4 AUDITOR CON MINIMO DE CINCO ( 5 ) AÑOS DE EXPERIENCIA RELEVANTE PARA EL ANÁLISIS Y GESTIÓN DE RIESGOS, O DE DOS AÑOS DE AUDITORIA A PRÁCTICAS Y ESTÁNDARES DEL SECTOR. 7.2.3.5 AUDITOR REALIZAR UN MÍNIMO DE 5 AUDITORÍAS POR AÑO O LLEVAR A CABO UN MÍNIMO DE 10 DÍAS DE AUDITORÍA EN SITIO POR AÑO 7.2.3.6 AUDITOR CON LA FORMACIÓN Y EXPERIENCIA ADECUADAS PARA LAS DIFERENTES CATEGORÍAS PARA LAS QUE SE CONSIDERA COMPETENTE. 7.2.4 PROCEDIMIENTO PARA LA SELECCIONAR, FORMACION, AUTORIZACION DE EXPERTOS TECNICOS INCLUIR EN EVALUACION DE AUDITORES LA CAPACIDAD PARA APLICAR EL CONOCIMIENTO Y LAS HABILIDADES EN AUDITORIA IN SITU UTILIZAR EVALUADOR COMPETENTE 7.2.5 PROCEDIMIENTO PARA DEMOSTRAR Y LOGRAR AUDITORIAS EFICACES 7.2.6 CONOCIMIENTO DE PROCEDIMIENTO POR EQUIPO AUDITOR ACCESO DE EQUIPO AUDITOR A PROCEDIMIENTOS DE CERTIFICACION ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  7. 7. 7.2 PERSONAL QUE INTERVIENEN EN LAS ACTIVIDADES DE CERTIFICACION 7.2.7 UTILIZAR AUDITORES Y EXPERTOS TECNICOS UNICAMENTE EN LOS SECTORES QUE POSEEN COMPETENCIA 7.2.8 SUMINISTRAR FORMACION A AUDITORES Y EXPERTOS TECNICOS PROGRAMAR AUDITORES CON CONOCIMIENTOS Y EXPERIENCIA DE SEGURIDAD EN LAS CADENAS DE SUMINISTRO DE LOS SECTORES AUDITADOS. 7.2.9 EL GRUPO O LA PERSONA QUE TOMA LA DECISIÓN DE OTORGAR, MANTENER, RENOVAR, AMPLIAR, REDUCIR, SUSPENDER O RETIRAR LA CERTIFICACIÓN DEBE COMPRENDER LA NORMA APLICABLE Y LOS REQUISITOS DE CERTIFICACIÓN, Y DEMOSTRAR COMPETENCIA PARA EVALUAR LOS PROCESOS DE AUDITORÍA Y LAS RECOMENDACIONES RELACIONADAS DEL EQUIPO AUDITOR. 7.2.10 EVALUAR DESEMPEÑO DE EQUIPO AUDITOR Y DEMAS PERSONAL INTERVINIENTE EN LA CERTIFICACION COMPETENCIA VERIFICABLE MEDIANTE EXAMENES ESCRITOS CON NOTAS MINIMAS DE APROBACION. 7.2.11 LA EVALUACION DE DESEMPEÑO DE AUDITORES DEBE INCLURI • OBSERVACIÓN IN SITU, • REVISIÓN DE LOS INFORMES DE AUDITORÍA Y • LA RETROALIMENTACIÓN DE LOS CLIENTES O DEL MERCADO, REQUISITOS DE EVALUACION DOCUMENTADOS. 7.2.12 EL ORGANISMO DE CERTIFICACIÓN DEBE OBSERVAR PERIÓDICAMENTE EL DESEMPEÑO DE CADA AUDITOR IN SITU. 7.2.15 EL ORGANISMO DE CERTIFICACIÓN DEBE REVISAR LA COMPETENCIA DE SU PERSONAL, A LA LUZ DE SUS RESULTADOS CON EL FIN DE IDENTIFICAR LAS NECESIDADES DE CAPACITACIÓN. ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  8. 8. 7.3 EMPLEO DE AUDITORES EXTERNOS Y EXPERTOS TÉCNICOS EXTERNOS INDIVIDUALES ACUERDO DE CONFIDENCIALIDAD POR ESCRITO CON AUDITORES Y EXPERTOS TECNICOS. INCLUIR REPORTE DE CONFLICTO DE INTERESES EL ACUERDO NO CONSTITUYE CONTRATACION. ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  9. 9. 7.4 REGISTROS RELATIVOS AL PERSONAL EL ORGANISMO DE CERTIFICACIÓN DEBE MANTENER REGISTROS ACTUALIZADOS DEL PERSONAL QUE INTERVIENE EN LA CERTIFICACION 7.4.1 APLICACIÓN DE ESTUDIOS DE SEGURIDAD EQUIPO AUDITOR LOS CLIENTES DE AUDITORIA PUEDEN TENER ACCESO A ESTUDIOS DE SEGURIDAD U OTRAS PARTES INTERESADAS SI SE REQUIERE. DOCUMENTAR PROCESO DE INVESTIGACION DE EQUIPO AUDITOR 7.4.2 VERIFICACIÓN DE ANTECEDENTES LOS ORGANISMOS DE CERTIFICACIÓN DEBERÁN LLEVAR A CABO VERIFICACIONES DE ANTECEDENTES PENALES DE TODO EL PERSONAL, AUDITORES Y EXPERTOS TÉCNICOS. CUANDO NO APLIQUE SE DEBEN REALIZAR ENTREVISTAS DE SEGURIDAD 7.4.3 DEBE EXISTIR UN RESPONSABLE DE LA EJECUCION DE ENTREVISTA DE SEGURIDAD, EXAMEN DE LA DOCUMENTACIÓN PRESENTADA PARA DETERMINAR CONFIABILIDAD DE LOS POSTULADOS A AUDITORES. ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  10. 10. 7.4 REGISTROS RELATIVOS AL PERSONAL 7.4.4 VERIFICACION DE REFERENCIAS LABORALES DE ALMENOS 5 AÑOS DE TRABAJO 7.4.5 CARNE DE IDENTIFICACIÓN CADA AUDITOR DE SEGURIDAD, SE LE EXPEDIRÁ UN CARNE DE IDENTIFICACIÓN QUE INCLUYA LO SIGUIENTE: FOTOGRAFÍA; NOMBRE(S) Y APELLIDOS; NACIONALIDAD; NÚMERO DE IDENTIFICACIÓN DE LA TARJETA; NOMBRE Y EL LOGOTIPO DEL ORGANISMO DE CERTIFICACIÓN; UNA MARCA Y CARACTERÍSTICA QUE IMPIDE LA ALTERACIÓN Y FALSIFICACIÓN. CUANDO LAS POLÍTICAS DE CONFIDENCIALIDAD Y SEGURIDAD LO REQUIERAN PODRÁN SER SOLICITADAS POR ORGANIZACIONES EN PROCESO DE AUDITORÍA. 7.4.6 PROCEDIMIENTO PARA LA APLICACIÓN DE MEDIDAS DISCIPLINARIAS EN CASO DE INCUMPLIMIENTO DE REQUISITOS POR PARTE DE AUDITORES. 7.4.7 LOS AUDITORES DEBEN SER INFORMADOS POR ESCRITO Y COMPRENDER LAS INFRACCIONES QUE PUDIERAN SOMETERSE A MEDIDAS DISCIPLINARIAS, RESPONSABILIDAD CIVIL Y LOS ENJUICIAMIENTOS PENALES. ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  11. 11. 9.1.2 PLAN DE AUDITORIA 9.1.2.2.2 OBJETIVO DE LA AUDITORIA A) LA DETERMINACIÓN DE LA CONFORMIDAD DEL SISTEMA DE GESTIÓN DEL CLIENTE, O DE PARTES DE DICHO SISTEMA, CON LOS CRITERIOS DE AUDITORÍA; B) LA EVALUACIÓN DE LA CAPACIDAD DEL SISTEMA DE GESTIÓN PARA ASEGURAR QUE LA ORGANIZACIÓN CLIENTE CUMPLE LOS REQUISITOS LEGALES, REGLAMENTARIOS Y CONTRACTUALES APLICABLES; C) LA EVALUACIÓN DE LA EFICACIA DEL SISTEMA DE GESTIÓN PARA ASEGURAR QUE LA ORGANIZACIÓN CLIENTE CUMPLE CONTINUAMENTE SUS OBJETIVOS ESPECIFICADOS; Y D) CUANDO CORRESPONDA, LA IDENTIFICACIÓN DE LAS ÁREAS DE MEJORA POTENCIAL DEL SISTEMA DE GESTIÓN. 9.1.2.2.3 EL ALCANCE DE LA AUDITORÍA DEBE DESCRIBIR LA EXTENSIÓN Y LOS LÍMITES DE LA AUDITORÍA, TAL COMO, LAS UBICACIONES FÍSICAS, LAS UNIDADES ORGANIZACIONALES, LAS ACTIVIDADES Y LOS PROCESOS A AUDITAR. 9.1.2.2.4 CRITERIOS DE AUDITORIA ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  12. 12. 9.1.2.3 PREPARACION DEL PLAN DE AUDITORIA EL PLAN DE AUDITORÍA DEBE AJUSTARSE A LOS OBJETIVOS Y AL ALCANCE DE LA AUDITORÍA. EL PLAN DE AUDITORÍA DEBE AL MENOS INCLUIR O HACER REFERENCIA A LO SIGUIENTE: A) LOS OBJETIVOS DE LA AUDITORÍA; B) LOS CRITERIOS DE LA AUDITORÍA; C) EL ALCANCE DE LA AUDITORÍA, INCLUIDA LA IDENTIFICACIÓN DE LAS UNIDADES ORGANIZACIONALES Y FUNCIONALES O DE LOS PROCESOS A AUDITAR; D) LAS FECHAS Y LOS SITIOS EN LOS QUE SE VAN A REALIZAR LAS ACTIVIDADES DE AUDITORÍA IN SITU, INCLUIDAS LAS VISITAS A LOS SITIOS TEMPORALES, CUANDO CORRESPONDA; E) EL TIEMPO Y LA DURACIÓN PREVISTOS PARA LAS ACTIVIDADES DE AUDITORÍA IN SITU, Y F) LAS FUNCIONES Y LAS RESPONSABILIDADES DE LOS MIEMBROS DEL EQUIPO AUDITOR Y DE LAS PERSONAS QUE LOS ACOMPAÑAN. 9.1.3 SELECCIÓN DEL EQUIPO AUDITOR Y ASIGNACIÓN DE TAREAS 9.1.3.1 PROCEDIMIENTO SELECCIÓN EQUIPO AUDITOR (LIDER Y AUDITORES) CUANDO HAY UN SOLO AUDITOR DEBE TENER COMPETENCIA DE AUDITOR LIDER ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  13. 13. 9.1.3 SELECCIÓN DEL EQUIPO AUDITOR Y ASIGNACIÓN DE TAREAS 9.1.3.2 DESIGNAR EL EQUIPO TENIENDO EN CUENTA: a) LOS OBJETIVOS, ALCANCE Y CRITERIOS DE LA AUDITORÍA Y, LA DURACIÓN ESTIMADA DE LA MISMA; b) SI LA AUDITORÍA ES UNA AUDITORÍA COMBINADA, INTEGRADA O CONJUNTA; c) LA COMPETENCIA GLOBAL DEL EQUIPO AUDITOR NECESARIA PARA LOGRAR LOS OBJETIVOS DE LA AUDITORÍA; d) LOS REQUISITOS DE LA CERTIFICACIÓN (INCLUIDOS TODOS LOS REQUISITOS LEGALES, REGLAMENTARIOS O CONTRACTUALES APLICABLES); e) EL IDIOMA Y LA CULTURA; Y f) SI LOS MIEMBROS DEL EQUIPO AUDITOR HAN AUDITADO PREVIAMENTE EL SISTEMA DE GESTIÓN DEL CLIENTE. 9.1.3.3 APOYO DE EXPERTOS TECNICOS 9.1.3.4 AUDITORES EN FORMACION ACOMPAÑADOS SIEMPRE DE AUDITOR 9.1.3.5 EL AUDITOR LIDER UNICO RESPONSABLE DE ASIGNAR FUNCIONES Y RESPONSABILIDADES ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  14. 14. 9.1.5 MUESTREO MULTISITIO PROCEDIMIENTO MUESTREO MULTISITIO. SE DEBE ARGUMENTAR Y DOCUMENTAR LA JUSTIFICACIÓN DEL PLAN DE MUESTREO PARA CADA CLIENTE. 9.1.6 COMUNICACION DE LAS TAREAS DEL EQUIPO AUDITOR AL CLIENTE TODOS LOS SITIOS DEBEN SER OBJETO DE AUDITORIA, LAS EXCLUSIONES DEBEN SOPORTARSE Y ARGUMENTARSE EN LOS RIESGOS. PARA DETERMINAR EL TIEMPO DE AUDITOR, EL ORGANISMO DE CERTIFICACIÓN DEBERÍA CONSIDERAR, ENTRE OTRAS COSAS, LOS SIGUIENTES ASPECTOS: A) LOS REQUISITOS PERTINENTES DE LA CADENA DE SUMINISTRO ESTÁNDAR DE SISTEMA DE GESTIÓN DE LA SEGURIDAD; B) LA COMPLEJIDAD; C) TAMAÑO; D) RIESGOS; E) EL CONTEXTO TECNOLÓGICO Y NORMATIVO, Y F) EL NÚMERO DE SITIOS Y CONSIDERACIONES MÚLTIPLES SITIOS LOS DÍAS DE AUDITOR SE BASA EN LA TABLA ANEXO A. ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  15. 15. 9.1.5 MUESTREO MULTISITIO 9.1.7 PROPORCIONAR EL NOMBRE Y, CUANDO SE SOLICITE, PONER A DISPOSICIÓN LOS ANTECEDENTES DE CADA MIEMBRO DEL EQUIPO AUDITOR A LA ORGANIZACIÓN CLIENTE, SE PUEDE RECORTAR TIEMPOS DE AUDITORIA O NO AUDITAR SITIOS BAJO ARGUMENTOS DE RIESGOS QUE NO IMPACTAN LA CADENA DE SUMINISTRO. 9.1.8 SE DEBE COMUNICAR AL CLIENTE EL PLAN DE AUDITORIA EL PLAN DE AUDITORIA PUEDE SER REALIZADO POR UN AUDITOR NO LIDER PERO DEBE SER REVISADO Y APROBADO POR EL AUDITOR LIDER. ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  16. 16. 9.1.9 REALIZACION DE LA AUDITORIA IN SITU 9.1.9.1 GENERALIDADES PROCEDIMIENTO PARA REALIZAR LAS AUDITORÍAS IN SITU. ESTE PROCESO DEBE INCLUIR UNA REUNIÓN DE APERTURA AL COMIENZO DE LA AUDITORÍA Y UNA REUNIÓN DE CIERRE A LA CONCLUSIÓN DE LA AUDITORÍA. 9.1.9.2 REALIZACIÓN DE LA REUNIÓN DE APERTURA LISTA DE VERIFICACION REUNION DE APERTURA 9.1.9.3 COMUNICACION DURANTE LA AUDITORIA 9.1.9.3.1 DURANTE LA AUDITORÍA, EL EQUIPO AUDITOR DEBE EVALUAR PERIÓDICAMENTE EL PROGRESO DE LA AUDITORÍA E INTERCAMBIAR INFORMACIÓN 9.1.9.3.2 CUANDO LAS EVIDENCIAS DISPONIBLES DE LA AUDITORÍA INDIQUEN QUE LOS OBJETIVOS DE LA AUDITORÍA NO SON ALCANZABLES O SUGIERA LA PRESENCIA DE UN RIESGO INMEDIATO Y SIGNIFICATIVO (POR EJEMPLO, EN MATERIA DE SEGURIDAD), EL LÍDER DEL EQUIPO AUDITOR DEBE INFORMAR DE ESTE HECHO AL CLIENTE Y, SI ES POSIBLE, AL ORGANISMO DE CERTIFICACIÓN PARA DETERMINAR LAS ACCIONES APROPIADAS. 9.1.9.3.3 EL LÍDER DEL EQUIPO AUDITOR DEBE REVISAR CON EL CLIENTE CUALQUIER NECESIDAD DE MODIFICACIÓN DEL ALCANCE DE LA AUDITORÍA QUE SURJA A MEDIDA QUE AVANCEN LAS ACTIVIDADES DE LA AUDITORÍA IN SITU E INFORMAR AL ORGANISMO DE CERTIFICACIÓN. ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  17. 17. 9.1.9.4 OBSERVADORES Y GUIAS 9.1.9.4.1 OBSERVADORES LA PRESENCIA Y LA JUSTIFICACIÓN DE OBSERVADORES DURANTE UNA ACTIVIDAD DE AUDITORÍA DEBE ACORDARSE ENTRE EL ORGANISMO DE CERTIFICACIÓN Y EL CLIENTE ANTES DE LA REALIZACIÓN DE LA AUDITORÍA. EL EQUIPO AUDITOR DEBE ASEGURARSE DE QUE LOS OBSERVADORES NO INFLUYEN NI INTERFIEREN EN EL PROCESO DE AUDITORÍA O EL RESULTADO DE LA AUDITORÍA. 9.1.9.4.2 GUIAS CADA AUDITOR DEBE ESTAR ACOMPAÑADO DE UN GUÍA, ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  18. 18. 9.1.9.5 RECOPILACION Y VERIFICACION DE LA INFORMACION 9.1.9.5.1 MUESTREO APROPIADO DE INFORMACION Y VERIFICACION DE EVIDENCIAS 9.1.9.5.2 LOS MÉTODOS PARA RECOPILAR LA INFORMACIÓN A) LAS ENTREVISTAS; B) LA OBSERVACIÓN DE LOS PROCESOS Y LAS ACTIVIDADES; Y C) LA REVISIÓN DE LA DOCUMENTACIÓN Y DE LOS REGISTROS. 9.1.9.6 IDENTIFICACION Y REGISTRO DE LOS HALLAZGOS DE AUDITORIA 9.1.9.6.1 INFORME DE REPORTE DE HALLAZGOS 9.1.9.6.2 SE PUEDEN IDENTIFICAR Y REGISTRAR OPORTUNIDADES DE MEJORA ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  19. 19. 9.1.9.6.3 REPORTAR NO CONFORMIDADES CONTRA REQUISITOS DE NORMA 9.1.9.6.4 LOGRAR CONCENSO DE LOS HALLAZGOS CON EL CLIENTE DE AUDITORIA 9.1.9.7 PREPARACIÓN DE LAS CONCLUSIONES DE LA AUDITORÍA ANTES DE LA REUNIÓN DE CIERRE, EL EQUIPO AUDITOR DEBE: A) REVISAR LOS HALLAZGOS DE AUDITORÍA CON RESPECTO A LOS OBJETIVOS DE LA AUDITORÍA; B) ACORDAR LAS CONCLUSIONES DE LA AUDITORÍA, C) IDENTIFICAR TODA ACCIÓN DE SEGUIMIENTO NECESARIA; D) CONFIRMAR QUE EL PROGRAMA DE AUDITORÍA ES ADECUADO O IDENTIFICAR CUALQUIER MODIFICACIÓN QUE SEA NECESARIA (POR EJEMPLO, EL ALCANCE, LOS HORARIOS O LAS FECHAS DE LA AUDITORÍA, LA FRECUENCIA DE LAS ACCIONES DE SEGUIMIENTO, LAS COMPETENCIAS). ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  20. 20. 9.1.9.8 REALIZACION DE LA REUNION DE CIERRE 9.1.9.8.1 SE DEBE REALIZAR UNA REUNIÓN FORMAL DE CIERRE, SE DEBE REGISTRAR LA ASISTENCIA A LA MISMA. 9.1.9.8.2 ELEMENTOS DE LA LA REUNIÓN DE CIERRE 9.1.9.8.3 LAS DIFERENCIAS DE OPINIÓN QUE NO SE RESUELVAN DEBEN REGISTRARSE Y REMITIRSE AL ORGANISMO DE CERTIFICACIÓN. ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  21. 21. 9.1.10 INFORME DE AUDITORIA 9.1.10.1 INFORME ESCRITO DE AUDITORIA 9.1.10.2 EL INFORME DE AUDITORÍA DEBE PROPORCIONAR UN REGISTRO COMPLETO, EXACTO, CLARO Y CONCISO DE LA AUDITORÍA QUE PERMITA TOMAR UNA DECISIÓN INFORMADA Y DEBE INCLUIR O HACER REFERENCIA A LO SIGUIENTE: A) LA IDENTIFICACIÓN DEL ORGANISMO DE CERTIFICACIÓN; B) EL NOMBRE Y LA DIRECCIÓN DEL CLIENTE Y DEL REPRESENTANTE DE LA DIRECCIÓN DEL CLIENTE; C) EL TIPO DE AUDITORÍA (POR EJEMPLO, AUDITORÍA INICIAL, DE SEGUIMIENTO O DE RENOVACIÓN DE LA CERTIFICACIÓN); D) LOS CRITERIOS DE LA AUDITORÍA; E) LOS OBJETIVOS DE LA AUDITORÍA; F) EL ALCANCE DE LA AUDITORÍA, PARTICULARMENTE LA IDENTIFICACIÓN DE LAS UNIDADES ORGANIZACIONALES O FUNCIONALES O LOS PROCESOS AUDITADOS, ASÍ COMO LA DURACIÓN DE LA AUDITORÍA; G) LA IDENTIFICACIÓN DEL LÍDER DEL EQUIPO AUDITOR, LOS MIEMBROS DEL EQUIPO AUDITOR Y CUALQUIER PERSONA ACOMPAÑANTE; H) LAS FECHAS Y LUGARES EN LOS QUE SE REALIZARON LAS ACTIVIDADES DE AUDITORÍA (IN SITU O FUERA); I) LOS HALLAZGOS, LAS EVIDENCIAS, Y LAS CONCLUSIONES DE LA AUDITORÍA, COHERENTES CON LOS REQUISITOS DEL TIPO DE AUDITORÍA; Y II) J) CUALQUIER PROBLEMA NO RESUELTO, SI FUERA IDENTIFICADO. 9.1.11 ESE DEBE REQUERIR AL CLIENTE APLICACIÓN DE ACCIONES CORRECTIVAS ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  22. 22. 9.1.12 EFICACIA DE LAS CORRECCIONES Y ACCIONES CORRECTIVAS REVISAR LAS CORRECCIONES, IDENTIFICAR LAS CAUSAS Y LAS ACCIONES CORRECTIVAS ENVIADAS POR EL CLIENTE PARA DETERMINAR SI SON ACEPTABLES. 9.1.13 AUDITORÍAS ADICIONALES SE DEBE INFORMAR A LA ORGANIZACIÓN AUDITADA SI SERÁ NECESARIO REALIZAR UNA AUDITORÍA COMPLETA ADICIONAL 9.1.14 DECISIÓN DE CERTIFICACIÓN ASEGURAR IMPARCIALIDAD DE COMITÉ DE CERTIFICACION 9.1.15 ACCIONES PREVIAS A LA TOMA DE LA DECISIÓN EL ORGANISMO DE CERTIFICACIÓN DEBE CONFIRMAR, ANTES DE TOMAR UNA DECISIÓN, QUE: A) LA INFORMACIÓN PROPORCIONADA POR EL EQUIPO AUDITOR ES SUFICIENTE CON RESPECTO A LOS REQUISITOS DE CERTIFICACIÓN Y AL ALCANCE DE LA CERTIFICACIÓN; B) SE HA REVISADO, ACEPTADO Y VERIFICADO LA EFICACIA DE LAS CORRECCIONES Y DE LAS ACCIONES CORRECTIVAS, PARA TODAS LAS NO CONFORMIDADES QUE REPRESENTAN: 1) EL INCUMPLIMIENTO DE UNO O MÁS REQUISITOS DE LA NORMA DE SISTEMAS DE GESTIÓN, O 2) UNA SITUACIÓN QUE GENERE DUDAS SIGNIFICATIVAS SOBRE LA CAPACIDAD DEL SISTEMA DE GESTIÓN DEL CLIENTE PARA ALCANZAR LOS RESULTADOS PRETENDIDOS; C) SE HA REVISADO Y ACEPTADO EL PLAN DE CORRECCIONES Y ACCIONES CORRECTIVAS. ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  23. 23. 9.2.3.1 AUDITORIA DE LA ETAPA 1 9.2.3.1.1 OBJETO a) AUDITAR LA DOCUMENTACIÓN b) EVALUAR LA UBICACIÓN Y LAS CONDICIONES ESPECÍFICAS DEL SITIO DEL CLIENTE Y DETERMINAR EL ESTADO DE PREPARACIÓN PARA LA AUDITORÍA DE LA ETAPA 2; c) REVISAR EL ESTADO DEL CLIENTE Y SU GRADO DE COMPRENSIÓN DE LOS REQUISITOS DE LA NORMA,; d) RECOPILAR LA INFORMACIÓN NECESARIA CORRESPONDIENTE AL ALCANCE DEL SISTEMA DE GESTIÓN, A LOS PROCESOS Y A LAS UBICACIONES DE LA ORGANIZACIÓN CLIENTE, ASÍ COMO A LOS ASPECTOS LEGALES Y REGLAMENTARIOS RELACIONADOS Y SU CUMPLIMIENTO e) REVISAR LA ASIGNACIÓN DE RECURSOS PARA LA AUDITORÍA DE LA ETAPA 2 Y ACORDAR CON EL CLIENTE LOS DETALLES DE LA AUDITORÍA DE LA ETAPA 2; f) PROPORCIONAR UN ENFOQUE PARA LA PLANIFICACIÓN DE LA AUDITORÍA DE LA ETAPA 2, g) EVALUAR SI LAS AUDITORÍAS INTERNAS Y LA REVISIÓN POR LA DIRECCIÓN SE PLANIFICAN Y REALIZAN h) SE RECOMIENDA QUE AL MENOS PARTE DE LA AUDITORÍA DE LA ETAPA 1 SE LLEVE A CABO EN LAS INSTALACIONES DEL CLIENTE, EN CASOS EXCEPCIONALES ETAPA 1 PODRÍA LLEVARSE A CABO SIN UNA VISITA. LA DECISIÓN DE NO VISITAR EL SITIO DEBE ESTAR JUSTIFICADO Y DOCUMENTADO Y EL CLIENTE DEBERÁ SER INFORMADO QUE CREA UN RIESGO PARA LA ETAPA 2 DE LA AUDITORÍA. ESTA JUSTIFICACIÓN DEBE BASARSE EN EL TAMAÑO DE LAS ORGANIZACIONES, LA UBICACIÓN, LAS CONSIDERACIONES DE RIESGO, EL CONOCIMIENTO PREVIO, ETC ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  24. 24. 9.2.3.1 AUDITORIA DE LA ETAPA 1 9.2.3.1.2 LOS HALLAZGOS DE LA AUDITORÍA DE LA ETAPA 1 DEBEN DOCUMENTARSE Y COMUNICARSE AL CLIENTE, 9.2.3.1.3 EN EL MOMENTO DE DETERMINAR EL INTERVALO ENTRE LA AUDITORÍA DE LA ETAPA 1 Y LA AUDITORÍA DE LA ETAPA 2, SE DEBEN CONSIDERAR LAS NECESIDADES DEL CLIENTE PARA RESOLVER LOS PROBLEMAS IDENTIFICADOS EN LA AUDITORÍA DE LA ETAPA 1. EL ORGANISMO DE CERTIFICACIÓN PUEDE ASIMISMO TENER QUE REVISAR SUS ACUERDOS PARA LA AUDITORÍA DE LA ETAPA 2. LOS PROCESOS DEL SGSCS REVISADOS EN ETAPA 1 NO TIENEN QUE NECESARIAMENTE VOLVERSE A REVISAR EN ETAPA 2 EL INFORME DE AUDITORIA DE LA ETAPA 2 DEBERÁ INCLUIR LOS HALLAZGOS Y DESCRIPCION DE ESTADO DE CIERRE DE LA ETAPA 1. ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  25. 25. 9.2.3.2. AUDITORIA DE LA ETAPA 2 EL PROPÓSITO DE LA AUDITORÍA DE LA ETAPA 2 ES EVALUAR LA IMPLEMENTACIÓN, INCLUIDA LA EFICACIA, DEL SISTEMA DE GESTIÓN DEL CLIENTE. LA AUDITORÍA DE LA ETAPA 2 DEBE TENER LUGAR EN LAS UBICACIONES DEL CLIENTE. DEBE INCLUIR AL MENOS LO SIGUIENTE: A) LA INFORMACIÓN Y LAS EVIDENCIAS DE LA CONFORMIDAD B) LA REALIZACIÓN DE ACTIVIDADES DE SEGUIMIENTO, MEDICIÓN, INFORME Y REVISIÓN CON RELACIÓN A LOS OBJETIVOS Y METAS DE DESEMPEÑO CLAVE; C) EL SISTEMA DE GESTIÓN DEL CLIENTE Y SU DESEMPEÑO EN RELACIÓN CON EL CUMPLIMIENTO DE LA LEGISLACIÓN; D) EL CONTROL OPERACIONAL DE LOS PROCESOS DEL CLIENTE; E) LAS AUDITORÍAS INTERNAS Y LA REVISIÓN POR LA DIRECCIÓN; F) LA RESPONSABILIDAD DE LA DIRECCIÓN EN RELACIÓN CON LAS POLÍTICAS DEL CLIENTE; G) LOS VÍNCULOS ENTRE LOS REQUISITOS NORMATIVOS, LA POLÍTICA, LOS OBJETIVOS Y METAS DE DESEMPEÑO, CUALQUIER REQUISITO LEGAL APLICABLE, LA RESPONSABILIDAD, LA COMPETENCIA DEL PERSONAL, LAS OPERACIONES, LOS PROCEDIMIENTOS, LOS DATOS DEL DESEMPEÑO Y LOS HALLAZGOS Y CONCLUSIONES DE LAS AUDITORÍAS INTERNAS. ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  26. 26. 9.2.3.2.1 FASE 2 AUDITORÍAS DEBEN TENER UN PLAN DE AUDITORÍA 9.2.3.2.6 EL EQUIPO AUDITOR DEBE ANALIZAR TODA LA INFORMACIÓN Y EVIDENCIA DE AUDITORÍA OBTENIDA DURANTE LA ETAPA 1 Y LA ETAPA 2. EL EQUIPO DE AUDITORÍA PODRÁ PROPONER OPORTUNIDADES DE MEJORA, PERO NO RECOMENDARÁ SOLUCIONES ESPECÍFICAS. 9.2.3.2.7 9.2.3.2.8 ACCIÓN QUE SE LLEVARÁ A CABO DESPUÉS DE LA FINALIZACIÓN DE UNA ETAPA 2 DE LA AUDITORÍA DEBERÁ INCLUIR AL MENOS LO SIGUIENTE: A) UN REGISTRO DE LAS NO CONFORMIDADES IDENTIFICADAS Y ACORDADAS SE QUEDA CON EL CLIENTE ANTES DE LA SALIDA DE LA AUDITORÍA IN SITU; B) EL ESTABLECIMIENTO DEL INFORME DE AUDITORÍA EL ORGANISMO DE CERTIFICACIÓN ES LIBRE DE DEFINIR LOS TIPOS DE HALLAZGOS DE AUDITORIA. ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  27. 27. 9.2.4 CONCLUSIONES DE LA AUDITORIA INICIAL DE CERTIFICACION EL EQUIPO AUDITOR DEBE ANALIZAR TODA LA INFORMACIÓN Y LAS EVIDENCIAS DE AUDITORÍA OBTENIDAS DURANTE LAS AUDITORÍAS DE LAS ETAPAS 1 Y 2, PARA REVISAR LOS HALLAZGOS DE AUDITORÍAS Y ACORDAR LAS CONCLUSIONES DE LA AUDITORÍA. 9.2.4.2 LA ETAPA 1 INFORME DE AUDITORÍA DEBERÁ INCLUIR • COMENTARIOS SOBRE LA IDONEIDAD DE LA CADENA DE SUMINISTRO • DE LA DOCUMENTACIÓN DEL SISTEMA DE GESTIÓN DE LA SEGURIDAD, • EL ANÁLISIS DEL DESEMPEÑO DE LA ORGANIZACIÓN EN SEGURIDAD • EL NIVEL DE IMPLANTACIÓN DEL SGSCS • INDICAR SI LA EMPRESA ESTÁ LISTA PARA LA ETAPA 2 DE LA AUDITORÍA. ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  28. 28. 9.2.4 CONCLUSIONES DE LA AUDITORIA INICIAL DE CERTIFICACION 9.2.4.4 A) IDENTIFICACIÓN DEL CLIENTE DE AUDITORÍA; B) LA IDENTIFICACIÓN DE LOS REPRESENTANTES DE LA ENTIDAD AUDITADA; C) IDENT I F ICACIÓN DEL ORGANISMO DE CERTIFICACIÓN; D) LA IDENTIFICACIÓN DEL LÍDER DEL EQUIPO AUDITOR Y DE LOS MIEMBROS, E) LOS OBJETIVOS DE LA AUDITORÍA; F ) E L A L C A N C E D E L A A U D I T O R Í A , PARTICULARMENTE LA IDENTIFICACIÓN DE LAS UNIDADES ORGANIZACIONALES Y FUNCIONALES O LOS PROCESOS AUDITADOS, EL PERÍODO DE TIEMPO CUBIERTO Y EVALUARON LOS ELEMENTOS DE LA CADENA DE SUMINISTRO; G) LOS CRITERIOS DE AUDITORÍA; H) LA REFERENCIA A LOS ESTÁNDARES DE LA CADENA DE SUMINISTRO DE GESTIÓN DE SEGURIDAD Y / U OTROS DOCUMENTOS NORMATIVOS DE REFERENCIA UTILIZADO; I) LAS FECHAS Y LUGARES EN QUE LAS ACTIVIDADES DE AUDITORÍA IN SITU SE LLEVARON A CABO Y LA FECHA DE LA AUDITORÍA ANTERIOR; J AUDITORÍA SOBRE EL ESTADO DE LA CERTIFICACIÓN. ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  29. 29. 9.2.4 CONCLUSIONES DE LA AUDITORIA INICIAL DE CERTIFICACION 9.2.4.4 J) LOS HALLAZGOS DE LA AUDITORÍA: 1) RESUMEN DE LAS OBSERVACIONES MÁS IMPORTANTES, POSITIVOS Y NEGATIVOS, 2) APLICACIÓN Y EFICACIA DE LA METODOLOGÍA DE EVALUACIÓN DE RIESGOS; 3) NO CONFORMIDADES 4) INFORME SOBRE EL TRATAMIENTO DE NO CONFORMIDADES; K) LAS CONCLUSIONES DE LA AUDITORÍA: 1) EL GRADO DE CONFIANZA DEL SGSCS Y LA EVALUACION DE RIESGOS 2) LAS RECOMENDACIONES DEL EQUIPO DE AUDITORÍA SOBRE EL ESTADO DE LA CERTIFICACIÓN. 9.2.4.6 LA PROPIEDAD Y EL DERECHO A MODIFICAR LOS INFORMES CORRESPONDE AL ORGANISMO DE CERTIFICACIÓN. ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  30. 30. 9.2.5 INFORMACION PARA EL OTORGAMIENTO INICIAL DE LA CERTIFICACION 9.2.5.1 EL EQUIPO AUDITOR DEBE PASAR AL OC a) LOS INFORMES DE AUDITORÍA; b) LOS COMENTARIOS SOBRE LAS NO CONFORMIDADES Y, CUANDO CORRESPONDA, LAS CORRECCIONES Y ACCIONES CORRECTIVAS LLEVADAS A CABO POR EL CLIENTE; c) L A C O N F I R M A C I Ó N DE L A I N F O R M A C I Ó N PROPORCIONADA AL ORGANISMO DE CERTIFICACIÓN Y UTILIZADA PARA LA REVISIÓN DE LA SOLICITUD, Y d) LA RECOMENDACIÓN DE OTORGAR O NO LA CERTIFICACIÓN, JUNTO CON CUALQUIER CONDICIÓN U OBSERVACIÓN. 9.2.5.2 EL OC TOMA LA DECISIÓN DE CERTIFICAR BASÁNDOSE EN UNA EVALUACIÓN DE LOS HALLAZGOS Y CONCLUSIONES DE LA AUDITORÍA Y CUALQUIER OTRA INFORMACIÓN PERTINENTE 9.2.6.3 MIEMBROS DEL COMITÉ DE CERTIFICACION SIN CONFLICTO DE INTERESES CON EL EQUIPO AUDITOR ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001
  31. 31. ISO 28003 : 2007 Ing. Miller A. Romero C. / Experto Técnico ONAC ISO 28000 e ISO 9001

×